Professional Documents
Culture Documents
SISTEMAS
AUDITORIA EN INFORMATICA
Antecedentes
Terminologa
Referencias
Antecedentes
Inicialmente la informtica apoy las reas de
contabilidad, nminas, etc., lo que origin la
necesidad de conocer y medir dicho apoyo a
estas reas y a toda la empresa.
-> Se origina el proceso de la auditora a
sistemas de informacin o auditoria de sistemas.
Personas
Datos
Aplicativos
Tecnologa
(Hard., Soft., BD, Comunics.)
Procesos
La Direccin de TI
Problemas:
Debilidades en la planeacin del negocio (informtica)
Resultados negativos (improductividad, duplicidad de
funciones, etc) de los SI (Desarrollo, Mantenimiento.
Operacin).
Falta de actualizacin de personal informtico.
Capacitacin deficiente de los usuarios de los SI
Deficiente involucramiento de los usuarios en el
desarrollo e implantaciones de soluciones informticas.
Administracin deficiente de los proyectos (Falta de un
proceso de anlisis costo/beneficio, metodologas de
planeacin y desarrollo no estandarizadas, poco uso
de tcnicas formales, falta proceso formal de
planeacin)
Involucramiento mnimo de la alta direccin
Importancia de la
auditoria en informtica
La tecnologa informtica es una herramienta
que brinda rentabilidad y ventaja competitiva;
pero puede originar costos y desventajas si no
es bien llevada.
Cmo saber si se est administrando y
dirigiendo de manera correcta la funcin
informtica?
Es necesario auditar o evaluar la funcin de
informtica?
Quines lo haran?.
La solucin es realizar evaluaciones oportunas
y completas de la funcin informtica, a cargo
de personal calificado (consultores externos,
auditores en informtica).
La funcin informtica se ha convertido en una
herramienta permanente y necesaria, en un
aliado confiable y oportuno, de los procesos
principales de los negocios.
Es posible auditar la funcin informtica, si se
implementan los controles y esquemas de
seguridad requeridos para su aprovechamiento
ptimo.
=> Evaluar, formal y peridicamente, la funcin
de informtica integrada al proceso de negocios.
Sistemas de informacin
Redes y comunicaciones
Bases de datos
Desarrollo de sistemas
Soporte a usuarios
Planeacin informtica
Investigacin de nuevas tecnologas
Sistemas de Informacin:
Conjunto de mdulos computacionales organizados e
interrelacionados de manera formal para la administracin
y uso eficiente de todos los recursos (humanos,
materiales, tecnolgicos, etc.) de un rea de la empresa
(manufactura, administracin, direccin, etc.); para
representar los procesos reales y orientar los
procedimientos, polticas y funciones inherentes al logro
eficientemente las metas y objetivos del negocio.
Pueden orientarse al apoyo de:
Niveles operativos.
Niveles tcticos.
Niveles estratgicos.
Servicios de TI
Prioridades
Del Negocio
Planeacin estratgica
Evaluacin permanente de los procesos y flujos de datos.
Reingeniera de negocios, Investigacin de mercados.
Estudio y asimilacin del aspecto social, cultural, poltico,
econmico y tecnolgico del entorno.
Compromiso de todos los niveles de la empresa con la
calidad y satisfaccin del cliente.
Orientar los recursos a los procesos fundamentales del
negocio.
Considerar el recurso humano como la pieza clave de la
organizacin.
La Direccin de TI
TI PRODUCTOS y SERVICIOS
Aplicativos
Infraestructura
TALENTOS (RrHh)
Bases de Datos
CLIENTES
Stakeholders
Relaciones
Aplicaciones
disponibles
Instalacin y
Soporte de
PROVEEDORES Infraestructura
Conocimiento
Stakeholders
5 dimensiones
Alineamiento estratgico con el negocio
concordantes con visin, misin y lineamientos
estratgicos de la organizacin
Gestin de recursos
personas, aplicaciones, informacin, infraestructura
Gestin de rendimiento
medicin, seguimiento y mejora
Gestin de riesgos
identificados, priorizados, cuantificados, comunicados
Factores que propician la Auditora
Informtica
Leyes gubernamentales.
Polticas internas de la empresa.
Necesidad de controlar el uso de equipos
computacionales.
Altos costos debido a errores.
Prdida de informacin y de capacidades
de procesamiento de datos, aumentando el
riesgo de toma de decisiones incorrectas.
Valor del hardware, software y personal.
Necesidad de mantener la privacidad y
confidencialidad de las transacciones de la
organizacin.
Objetivos generales de la
Auditora en Informtica
Asegurar la integridad, confidencialidad
y confiabilidad de la informacin.
Minimizar existencias de riesgos en el
uso de Tecnologa de informacin
Conocer la situacin actual del rea
informtica para lograr los objetivos.
Seguridad, utilidad, confianza,
privacidad y disponibilidad en el
ambiente informtico, as como tambin
seguridad del personal, los datos, el
hardware, el software y las
instalaciones.
Objetivos generales de la
Auditora en Informtica
Incrementar la satisfaccin de los
usuarios de los sistemas informticos.
Capacitacin y educacin sobre
controles en los Sistemas y Tecnologas
de Informacin.
Buscar una mejor relacin costo-
beneficio de los sistemas informticos
y tomar decisiones en cuanto a
inversiones en TICs.
Objetivo del auditor en informtica al
estudiar el entorno y su impacto en el
negocio
Direccin de Informtica
Auditores en Consultores
Consultores
informtica
Gerencia de
Informtica
Personal de apoyo
de auditoria en
informtica
Gerencia de
Gerencia de informtica
auditoria
Jefaturas de
Jefaturas de auditoria informtica
(consultores)
Analistas y
Auditores programadores
(consultores)
Subdireccin de
auditoria
Despacho de
auditores en
informtica externos
Gerencia de Gerencia de
Auditoria Auditoria financiera
administrativa
Auditores Auditores
Se podra considerar:
Especialista en el entorno informtico a auditar
Especialista en comunicacin y/o redes
Responsables de gestin de riesgos operativo y
aplicaciones
Responsables de la auditoria de sistemas de
informacin
Especialista para la elaboracin de programas de
trabajo conjuntos con la auditora administrativa
4.3 Administracin de la Funcin de
Auditoria en informtica
Garantiza que los recursos involucrados obedezcan los
principios bsicos de un proceso administrativo, como: la
planeacin, el personal , el control y el seguimiento del
desempeo.
Objetivos principales de la administracin de AI:
1. Cubrir y proteger los riesgos informticos
2. Asegurar los recursos sean orientados al logro de
objetivos
3. Asegurar la formulacin, elaboracin, difusin y
cumplimiento de las polticas, funciones y
procedimientos
4. Asegurar resultados esperados por el negocio
5. Para el xito: Elaborar y formalizar planes, organizar
la funcin, dirigir, revisar y evaluar el desempeo.
Conocimiento o Habilidades requeridas para la
funcin de la Auditoria en informtica
Concepto Responsable de Supervisor de Auditor
Auditoria Auditoria
Metodologa
Planeacin de sists Alto Alto Bueno
Desarrollo de sists. Mnimo Alto Alto
Tcnicas
Anlisis
1.Organizacional Alto Alto Regular
Diseo
1.Conceptual Regular Alto Alto
Planificacin
1. Desarrollar una matriz de la planeacin de AI para
determinar las reas que sern evaluadas.
2. Tener informacin de los sistemas, equipos, Sw, planes
de informtica y de auditoria, actuales.
3. Coordinar los planes con Gerencia de Auditoria interna
4. Componentes de xito de la Planeacin:
*Juntas formales de discusin de planes peridicas.
*Seguimiento de deficiencias y debilidades
*Reportes de Auditoria y aseguramiento de calidad
*Capacitacin conjunta
*Metodologa, tcnicas y herramientas comunes.
Personal
1. Polticas de seleccin y reclutamiento
2. Preparacin suficiente y confiable Informtica/Auditora
3. Personal con experiencia, educacin, adaptabilidad,
entendimiento, determinacin y diligencia.
4. Establecer el nmero de auditores y horas de auditora
Control
1. Supervisin oportuna garantiza un producto consistente
2. Ayuda en el desarrollo y control de los presupuestos
3. Es un proceso continuo, desde la planeacin hasta el informe final
4. Verificacin con los estndares y procedimientos.
Reportes de desempeo
1. Herramientas muy importantes para evaluar:
Productividad y calidad de los proyectos
Resultados y Avances de los proyectos
reas susceptibles de control y seguimiento individual y de
grupo.
ACTIVIDADES CRITICAS DE LA AUDITORA INFORMTICA (i)
Clave:
Conocimiento, habilidades y capacidades profesionales
y personales del auditor informtico.
Conocer tericamente normas, polticas y estndares
de auditora/informtica, no son garanta de seguridad
y confianza.
Experiencia: Prctica, Disciplina, Orden y Objetividad.
Facultades apropiadas de: anlisis objetivo,
habilidades de comunicacin y modelacin conceptual,
observacin y capacidad para tomar decisiones.
FUNCION DEL AUDITOR INFORMTICO
Auditora Interna
Auditora Externa
Auditora Externa
Preventivos
Detectores o detectivos
Correctivos
Controles Generales
Controles de Aplicacin
Controles Especiales
Controles Generales
Definicin : Son los que se realizan para asegurar
que la organizacin y sistemas operen en forma
normal.
Ejemplos :
Separacin de funciones.
Acceso y Seguridad.
Procedimientos escritos.
Controles sobre software de sistemas.
Control sobre la continuidad del procesamiento.
Control sobre el desarrollo y modificacin de sistemas.
Controles de Aplicacin
Definicin : Son los que se realizan para
asegurar la exactitud, integridad y validez de la
informacin procesada.
Ejemplos :
Ejemplos :
Cumplimiento de Estndares.
Cumplimiento formal de polticas y
procedimientos.
Grado de Satisfaccin: Alta Direccin y
personal usuario.
Prioridades de la alta direccin.
Prioridades de la funcin de auditoria en
informtica.
Otros de inters del auditor.
Elaboracin de una matriz de Riesgos
Considera:
Finalidad:
Ejecucin de actividades de
seguimiento.
Informtica
Automatizacin de Informtica Proveedores, reas
oficinas usuarias
Red Local Informtica Proveedores, usuarios
de la red
Desarrollo de Informtica reas usuarias,
sistemas asesores
Tipo de Proyectos Responsables Involucrados
Auditora
Financiera Auditores internos o reas de la empresa
externos
Fiscal Auditores internos o reas de la empresa
externos
Operativa Auditores internos o reas de la empresa
externos
Auditora en informtica
PROVEEDOR DE
SERVICIOS
PROVEEDOR DE
TECNOLOGA
ALINEAMIENTO
CON EL NEGOCIO
VALOR
SERVICIOS
INFRAESTRUCTURAS
POR QU DE LA GESTIN DE S.T.I. COMO UN NEGOCIO
VISION
MISION
ESTRATEGIA ORGANIZACIONAL
OBJETIVOS del NEGOCIO
OPERACIONES PORTAFOLIO
Planific. Planific.
Gestin Gestin
OPERACIONES PROGRAMAS
y PROYECTOS
en CURSO autorizados
Actividades Actividades de
proyectos
recurrentes
Aumentan capacidad
Producen
de producir valor
valor
Productos y Servicios
Generacin Operacin
Soporte, Mantenimiento
Productos
Servicios
Resultados
Proyectos Productos y
Servicios
Aumentan
capacidad de Generan valor
producir valor
PARA QU SER . innovadores,
soporte,
QU OFRECER .
Demanda, beneficios