1 AI Introduccion

8/19/2019 1 AI Introduccion

1/20

M B A , C A R O L I N A A R G U E L L O

AUDITORIAINFORMÁTICA


2/20

1. INTRODUCCION A LA AUDITORIAINFORMATICA

• CONTENIDO• Antecedentes y Concepto• Origen y desarrollo de la A.I.• Áreas de revisión de la A.I.• Objetivos de la A.I.• Tipos de A.I.• Principales pruebas y herramientas de A.I.• Perfil y capacidades del Auditor Informat.• Motivos de realización de la A.I.


3/20

1.1. AUDITORIA - CONCEPTOS

• La auditoría en informática se encarga de evaluary verificar políticas, controles, procedimientos yseguridad en los recursos dedicados al manejo dela información, mediante la aplicación de una

metodología que debe de ejecutarse conformalidad y oportunidad.

• El rol del auditor en informática es el de funcionarcomo un punto de control y confianza para la altadirección o los dueños de la empresa, ademásdebe ser el facilitador de soluciones. Una de lastareas principales del auditor es la de conducirsiempre a la empresa a optimizar el uso de losrecursos informáticos


4/20

1.2. ORIGEN Y DESARROLLO DE LA A.I.

ANTES AHORA• Sistemas manuales defacturación.

• La facturación estácontrolada por sistemas

informáticos (programas).• Los documentos sonalmacenados yrecuperados en medios

físicos.

• La información esalmacenada en medioscomputacionales.

• El acceso a la informaciónfísica se encontrabarestringida por controles

físicos.

• El acceso a la informaciónno solo está restringida porcontroles físicos, también

por controles lógicos.


5/20

• LA AUDITORIA INFORMATICA• Es una revisión de carácter objetivo (independiente), crítico

(evidencia), sistemático (normas), selectivo (muestras) delas políticas, normas, prácticas, funciones, procesos,

procedimientos e informes relacionados con los sistemas deinformación computarizados, con el fin de emitir unaopinión profesional (imparcial) con respecto a la:

• Eficiencia y eficacia en la utilización de los recursos

informáticos• Seguridad de los recursos informáticos• Efectividad de los controles establecidos.

1.2. ORIGEN Y DESARROLLO DE LA A.I.


6/20

1.3 AEREAS DE REVISION DE LA A.I.

Generalmente la A.I. se puede desarrollar en algunao combinación de las siguientes áreas:

Gobierno corporativo de TIProtección y Seguridad del ambiente TIAdministración del Ciclo de vida de los sistemasServicios y SoportesPlanes de contingencias y recuperación antedesastres


7/20

1.4 OBJETIVOS DE LA A.I.

Conocer la situación actual del área informática y lasactividades y esfuerzos necesarios para lograr losobjetivos propuestos.La verificación de la implantación y cumplimiento denormativas establecidas y recomendar las necesarias eneste ámbito.Verificar la seguridad, privacidad y disponibilidad de losrecursos en el ambiente informático.Auditoria de los propios sistemas Informáticos.Prestar colaboración a la Auditoria de cuentasPrevención de fraude y obtención de la pruebaLa revisión de la eficaz gestión de los recursosinformáticos.El control de la función informática


8/20

1.5. TIPOS DE AUDITORIAINFORMÁTICA

Auditoría de la gestión de TI: Referido al gobiernode TI, plan corporativo, a la contratación de bienesy servicios, gerenciamiento de proyectos de TI, etc.

Auditoría de las bases de datos : Controles deacceso, de actualización, de integridad y calidadde los datos, errores, fraudes.

Auditoría de la seguridad : Referidos a datos einformación verificando disponibilidad, integridad,confidencialidad, autenticación y no repudio.


9/20

Auditoría de la seguridad física : Referido a la ubicación dela organización, evitando ubicaciones de riesgo, y enalgunos casos no revelando la situación física de esta.También está referida a las protecciones externas (arcos

de seguridad, CCTV, vigilantes, etc.) y protecciones delentorno.

Auditoría de la seguridad lógica : Comprende los métodosde autenticación de los sistemas de información,asignación de programas, clasificación de la información,etc

Auditoría de Redes y las comunicaciones : comprende

administración, configuración, transmisión de datos,encriptación, etc.

1.5. TIPOS DE AUDITORIAINFORMÁTICA


10/20

1.6. PRINCIPALES PRUEBAS EN UNAAUDITORIA INFORMATICA

Prueba Clásica

Pruebas de Cumplimiento o control.

Pruebas Sustantivas


11/20


12/20

• Pruebas de cumplimiento• Determina si un sistema de control interno funciona

adecuadamente (según la documentación, segúndeclaran los auditados y según las políticas yprocedimientos de la organización).

• Tienen como objetivo conocer el nivel deseguridad que los controles brindan y el nivel deaplicación de dichos controles.

•

Implican:- Análisis de la documentación, los procedimientosy los programas.

- Estudio de causas de riesgos y controlesexistentes.

- Estudio de controles débiles y ausentes.

1.6. PRINCIPALES PRUEBAS EN UNAAUDITORIA INFORMÁTICA


13/20

• Pruebas Sustantivas• Revisión exhaustivas del objeto de auditoría. Aportan al A.I.

suficientes evidencias para que se pueda formar un juicio.Se suelen obtener mediante cálculos, muestreos,entrevistas, técnicas de examen analítico, revisiones yconciliaciones. Verifican asimismo la exactitud, integridad yvalidez de la información.

• Se realizan cuando se detectan controles débiles oausentes, fraudes, errores significativos, debilidades decontrol interno.

• Buscan determinar pruebas de situaciones inadecuadas oincorrectas

1.6. PRINCIPALES PRUEBAS EN UNAAUDITORIA INFORMÁTICA


14/20

1.7. PRINCIPALES HERRAMIENTAS DEUN AUDITOR INFORMÁTICO

ObservaciónRealización de cuestionariosEntrevistas a auditados y no auditadosMuestreo estadísticoFlujogramasListas de checkMapas conceptualesVerificación específica


15/20

1.8. PERFIL DEL AUDITORINFORMÁTICO

• A un auditor informático se le presupone ciertaformación informática y experiencia en el sector,independencia y objetividad, madurez, capacidadde síntesis y análisis y seguridad en sí mismo.

• En nuestro país existe un vacío legal por la ausenciade normativas que defina claramente:

Quien puede realizar auditoría informática.

Como se debe realizar una auditoría informática.

En que casos es necesaria una auditoría informática


16/20

La necesidad de contar con lineamientos yherramientas estándar para el ejercicio de laauditoría informática ha promovido la creación ydesarrollo de mejores prácticas como COBIT, COSO eITIL.

Actualmente la certificación de ISACA para ser CISACertified Information Systems Auditor es una de lasmás reconocidas y avaladas por los estándaresinternacionales ya que el proceso de selecciónconsta de un examen inicial bastante extenso y lanecesidad de mantenerse actualizado acumulando

horas (puntos) para no perder la certificación.

1.8. PERFIL DEL AUDITORINFORMÁTICO


17/20

1.8.1. HABILIDADES DEL AUDITORINFORMÁTICO

• Capacitación continua, especialización, certificación• Comprender los ciclos de negocios y conocer sobre auditoría

contable/financiera.• Experiencias en desarrollos de proyectos• Tener conocimientos de técnicas y lenguajes de

programación.• Estar familiarizado con los sistemas operativos y redes de

comunicación• Tener conocimientos de los tipos y estructuras de base de

datos.• Saber cuando pedir apoyo de un especialista.


18/20

1.9. MOTIVOS DE REALIZACIÓN DE UNAAUDITORIA INFORMÁTICA

Desconocimiento en el nivel directivo de la situacióninformática de la empresa

Falta total o parcial de seguridades lógicas y físicas quegaranticen la integridad del personal, equipos eInformación.

Descubrimiento de fraudes efectuados con la PC

Organización que no funciona correctamente, falta depolíticas, objetivos, normas, metodologías, inadecuadautilización y administración del recurso humano del áreainformática


19/20

Falta de una planificación informática

Descontento general de los usuarios por

incumplimiento de plazos y mala calidad de losresultados

Falta de documentación o documentaciónincompleta de sistemas que revela la dificultad deefectuar el mantenimiento de los sistemas enproducción

Aumento considerable e injustificado del

presupuesto del TI (Tecnología Informática)

1.9. MOTIVOS DE REALIZACIÓN DE UNAAUDITORIA INFORMÁTICA


20/20

MUCHAS GRACIAS !!!PREGUNTAS???

1 AI Introduccion

Documents

Transcript of 1 AI Introduccion