8/4/2019 19505290 Auditoria a

1/33

UNIDAD I

INTRODUCCIN A LA

AUDITORIA INFORMTICA

8/4/2019 19505290 Auditoria a

2/33

La auditora es el examen crtico y sistemtico querealiza una persona o grupo de personasindependientes del sistema auditado.

Funcin a desarrollar de una Auditoria

Investigacin constante de planes y objetivos Estudio de las polticas y sus prcticas Revisin constante de la estructura orgnica Estudio constante de las operaciones de la

empresa Analizar la eficiencia de la utilizacin de recursoshumanos y materiales Revisin del equilibrio de las cargas de trabajo Revisin constante de los mtodos de control

CONCEPTO DE AUDITORIA:

8/4/2019 19505290 Auditoria a

3/33

1.1.- CONCEPTOS DE AUDITORIA INFORMTICA

Proceso metodolgico ejecutado por especialistas delrea de auditora y de informtica.

Orientado a la verificacin y aseguramiento de quelas polticas y procedimientos establecidos para el

manejo y uso adecuado de la tecnologa deinformacin, se lleven a cabo de manera oportunay eficiente.

Que operen en un ambiente se seguridad y controlpara generar confiabilidad, integridad, exactitud,

etc. en los datos.Debe generar un informe que indique las

observaciones, recomendaciones y reas deoportunidad para el mejoramiento y optimizacinde las Tecnologas de Informacin.

8/4/2019 19505290 Auditoria a

4/33

Los objetivos de la auditora Informtica son: El control de la funcin informtica El anlisis de la eficiencia de los Sistemas

Informticos La verificacin del cumplimiento de la Normativa en

este mbito La revisin de la eficaz gestin de los recursos

informticos.

La auditora informtica sirve para mejorar ciertascaractersticas en la empresa como:

- Eficiencia

- Eficacia

- Rentabilidad

- Seguridad

8/4/2019 19505290 Auditoria a

5/33

Auditora informtica

Auditora Interna

Auditora Externa

1.2.- TIPOS DE AUDITORIA

8/4/2019 19505290 Auditoria a

6/33

La auditora interna

Es la realizada con recursos materiales y personasque pertenecen a la empresa auditada. Losempleados que realizan esta tarea son remuneradoseconmicamente. La auditora interna existe por

expresa decisin de la Empresa, o sea, que puedeoptar por su disolucin en cualquier momento.

Por otro lado,

La auditora externa

Es realizada por personas afines a la empresaauditada; es siempre remunerada. Se presupone unamayor objetividad que en la Auditora Interna, debidoal mayor distanciamiento entre auditores yauditados.

8/4/2019 19505290 Auditoria a

7/33

q El auditor tiene relacin con la empresa.

q La relacin con la empresa puede influir en la emisin del juicio sobre laevaluacin de las reas de la empresa.

q Informe para uso interno.

q Permite detectar problemas y desviaciones.

q Puede actuar peridicamente como parte de su Plan Anual.

qLos auditados conocen estos planes y se habitan a las Auditoras.

q Las Recomendaciones habidas benefician su trabajo.

q El auditor no tiene relacin con la empresa

q Revisin independiente con total libertad de criterio sin ningunainfluencia

q Realizadas por despachos de auditores

q Generalmente solicitado por instituciones gubernamentalesAuditoria Interna Auditoria Externa

8/4/2019 19505290 Auditoria a

8/33

Algunos campos de aplicacin de la informtica son lassiguientes: Investigacin cientfica y humanstica: Se usanlas computadoras para la resolucin de clculosmatemticos, recuentos numricos, etc. Algunas deestas operaciones:

Resolucin de ecuaciones. Anlisis de datos de medidas

experimentales, encuestas etc. Anlisis automticos de textos.

Aplicaciones tcnicas: Usa la computadora parafacilitar diseos de ingeniera y de productos

comerciales, trazado de planos, etc. Algunas de estasoperaciones: Anlisis y diseo de circuitos de computadora. Clculo de estructuras en obras de ingeniera. Minera. Cartografa.

1.3.- CAMPO DE LA AUDITORIA INFORMTICA

8/4/2019 19505290 Auditoria a

9/33

Documentacin e informacin: Es uno de loscampos ms importantes para la utilizacin decomputadoras. Estas se usan para el

almacenamientode grandes cantidades de datos y la recuperacin

controlada de los mismos en bases de datos.Ejemplos de este campo de aplicacin son:

Documentacin cientfica y tcnica. Archivos automatizados de bibliotecas. Bases de datos jurdicas.

Gestin administrativa: Automatiza las funcionesde gestin tpicas de una empresa. Existenprogramas

que realizan las siguientes actividades: Contabilidad. Facturacin.

Control de existencias.

8/4/2019 19505290 Auditoria a

10/33

Inteligencia artificial: Las computadoras seprograman de forma que emulen el comportamientode la mente humana. Los programas responden comoprevisiblemente lo hara una persona inteligente.Aplicaciones como:

Reconocimiento del lenguaje natural. Programas de juego complejos (ajedrez).

Instrumentacin y control: Instrumentacinelectrnica, electromedicina, robots industriales,entre otros.

8/4/2019 19505290 Auditoria a

11/33

Se puede definir el control interno como "cualquier actividad oaccin realizada manual y/o automticamente para prevenir,corregir errores o irregularidades que puedan afectar alfuncionamiento de un sistema para lograr o conseguir susobjetivos.

Los controles internos se clasifican en los siguientes:

Controles preventivos: Para tratar de evitar el hecho,como un software de seguridad que impida los accesos noautorizados al sistema.

Controles detectivos: Cuando fallan los preventivos paratratar de conocer cuanto antes el evento. Por ejemplo, el

registro de intentos de acceso no autorizados, el registro dela actividad diaria para detectar errores u omisiones.etc.

Controles correctivos: Facilitan la suelta a la normalidadcuando se han producido incidencias. Por ejemplo, larecuperacin de un fichero daado a partir de las copias deseguridad.

1.4.- CONTROL INTERNO

8/4/2019 19505290 Auditoria a

12/33

Para la implantacin de un sistema de controles internosinformticos habr que definir:

Gestin de sistema de informacin: polticas,pautas y normas tcnicas que sirvan de base para eldiseo y la implantacin de los sistemas deinformacin y de los controles correspondientes.

Administracin de sistemas: Controles sobre laactividad de los centros de datos y otras funciones deapoyo al sistema, incluyendo la administracin de lasredes.

Seguridad: incluye las tres clases de controles

fundamentales implantados en el software delsistema, integridad del sistema, confidencialidad(control de acceso) y disponibilidad.

Gestin del cambio: separacin de las pruebas y laproduccin a nivel del software y controles deprocedimientos para la migracin de programassoftware aprobados y probados.

8/4/2019 19505290 Auditoria a

13/33

1.5.- MODELOS DE CONTROL

En la actualidad existen una gran cantidad de modelos decontrol interno.

Los modelos de control interno COSO y COBIT son los dosmodelos ms difundidos en la actualidad.

COSO esta enfocado a toda la organizacin, contempla

polticas, procedimientos y estructuras organizativasadems de procesos para definir el modelo de controlinterno.

Mientras que COBIT (Control Objectives for Information andRelated Technology, Objetivos de Control para Tecnologade Informacin y Tecnologas relacionadas) se centra en el

entorno IT, contempla de forma especfica la seguridad de lainformacin como uno de sus objetivos, cosa que COSO nohace. Adems el modelo de control interno que presentaCOBIT es ms completo, dentro de su mbito.

8/4/2019 19505290 Auditoria a

14/33

Existen otros tipos de modelos los cuales se mencionan a continuacin:

OECD (Organization for Economic Cooperation and Development) GAPP (Generaly Accepted Principles and Practices). National Instituteof Standards and Technology (NIST)

BS 7799 (British Standard Institute) SAC (Security Auditability and Control). The Inst. of Internal Audit. COSO (Internal Control Integrated Framework. Committee of

Sponsoring Organizations)

SSE CMM (Systems Security Engineering Capability Maturity Model)National Security Agency (NSA) Defense- Canada.

CoCo (Criteria of Control Board of The Canadian InstituteofChartered Accountants.)

ITCG (Information Technology Control Guidelines). CanadianInstitute of Chartered Accountants(CICA)

GASSP (Generaly Accepted System Security Principles). InternationalInformation Security Foundation (IISF)

Cobit (Control Objectives for Information and Related Technologies) FISCAM (Federal Information Systems Controls Audit Manual). GAO SysTrust (AICPA/CICA SysTrust Principles and Criteria for System

Reliability) SSAG (System Self-Assessment Guide for Information Technology

Systems). NIST

8/4/2019 19505290 Auditoria a

15/33

Es un marco de control interno de TI.

Parte de la premisa de que la TI requiereproporcionar informacin para lograr los objetivosde la organizacin.

Promueve el enfoque y la propiedad de losprocesos.

Apoya a la organizacin al proveer un marco queasegura que:

La Tecnologa de Informacin (TI) est alineada con

la misin y visin. LA TI capacite y maximice los beneficios.

Los recursos de TI sean usados responsablemente.

Los riesgos de TI sean manejados apropiadamente.

COBIT - DEFINICIN

8/4/2019 19505290 Auditoria a

16/33

Requerimientosde informacin

del negocio

Recursosde TI

Procesosde TI

COBIT - PRINCIPIOS

8/4/2019 19505290 Auditoria a

17/33

Proces

os

Dominio

Procesos

Actividade

Dato

Apli

caciones

Tecnolog

Ins

ta

lac

ione

Recurso

Recur

sosde

Calid

ad

Confiabili

dad

S

egur

idad

Criterios de la Informacin

COBIT - ESTRUCTURA

8/4/2019 19505290 Auditoria a

18/33

8/4/2019 19505290 Auditoria a

19/33

Efectividad: Informacin relevante y pertinente,proporcionada en forma oportuna, correcta, consistente yutilizable

Eficiencia: Empleo ptimo de los recursos.

Confidencialidad: Proteccin de la informacin sensitivacontra divulgacin no autorizada

Integridad: Informacin exacta y completa, as como vlidade acuerdo con las expectativas de la organizacin.

Disponibilidad: accesibilidad a la informacin y lasalvaguarda de los recursos y sus capacidades.

Cumplimiento: Leyes, regulaciones y compromisoscontractuales.

Confiabilidad: Apropiada para la toma de decisionesadecuadas y el cumplimiento normativo

COBIT REQUERIMIENTOS DE LAINFORMACIN DEL NEGOCIO

8/4/2019 19505290 Auditoria a

20/33

q Datos:Todos los objetos de informacin interna yexterna, estructurada o no, grficas, sonidos, etc.

q Aplicaciones: Sistemas de informacin, queintegran procedimientos manuales y

sistematizados.q Tecnologa: Hardware y software bsico, sistemas

operativos, de administracin de bases de datos,de redes, telecomunicaciones, multimedia, etc.

q Instalaciones: Recursos necesarios para alojar ydar soporte a los sistemas.

q Recurso Humano: Habilidad, actitud yproductividad del personal.

COBIT RECURSOS DE TI

8/4/2019 19505290 Auditoria a

21/33

DominiosAgrupacin natural de procesos,normalmente corresponden aun dominio o unaresponsabilidad organizacional

ProcesosConjuntos o series deactividades unidas condelimitacin o cortes de control.

Actividadeso tareas

Acciones requeridas para lograrun resultado medible. LasActividadesTienen un ciclo de vida mientrasque las tareas son discretas.

COBIT PROCESOS DE TI TRES NIVELES

8/4/2019 19505290 Auditoria a

22/33

PRINCIPIO DE BENEFICIO DE AUDITADOEn este principio el auditor debe conseguir lamxima eficacia y rentabilidad de los mediosinformticos de la empresa auditada, no debe deningn modo obtener beneficio propio.

PRINCIPIO DE CALIDADEn el auditor deber prestar sus servicios conformelas posibilidades de la ciencia y medios a su alcancecon absoluta libertad respecto a la utilizacin dedichos medios y en unas condiciones tcnicasadecuadas para el idneo cumplimiento de su labor.

PRINCIPIO DE CONFIANZAEl auditor deber facilitar e incrementar la confianzadel auditoreo en base a una actuacin detransparencia en su actividad profesional sin alardescientficos-tcnicos.

1.6.- PRINCIPIOS APLICADOS A AUDITORESINFOMTICOS

8/4/2019 19505290 Auditoria a

23/33

PRINCIPIO DE CAPACIDADEl auditor debe estar plenamente capacitado para larealizacin de la auditora encomendada, maximiceteniendo en cuenta que, a los auditados en algunoscasos les puede ser extremadamente difcil verificarsus recomendaciones y evaluar correctamente laprecisin de las mismas.

PRINCIPIO DE COMPORTAMIENTO PROFESIONALEl auditor, tanto en sus relaciones con el auditadocomo con terceras personas, deber, en todomomento, actuar conforma a las normas, implcitas oexplcitas, de dignidad de la profesin y de correccinen el trato personal.

PRINCIPIO DE CRITERIO PROPIOEl auditor durante la ejecucin deber actuar concriterio propio y no permitir que est subordinado al deotros profesionales, aun de reconocido prestigio, que nocoincidan con el mismo.

PRINCIPIOS APLICADOS A AUDITORESINFOMTICOS

8/4/2019 19505290 Auditoria a

24/33

PRINCIPIO DE CONCENTRACION EN EL TRABAJOEl auditor deber evitar que un exceso de trabajo supere susposibilidades de concentracin y precisin en cada una de lastareas a l encomendadas, y a que la estructuracin ydispersin de trabajos suele a menudo, si no est

debidamentecontrolada, provocar la conclusin de los mismos sin las

debidas garantas de seguridad.

PRINCIPIO DE DISCRECINEl auditor deber en todo momento mantener una ciertadiscrecin en la divulgacin de datos, aparentemente inocuos,que se le hayan puesto de manifiesto durante la ejecucin de

la auditoria.

PRINCIPIO DE ECONOMAEl auditor deber proteger, en la medida de susconocimientos, los derechos econmicos del auditado evitandogenerar gastos innecesarios en el ejercicio de su actividad.

PRINCIPIOS APLICADOS A AUDITORESINFOMTICOS

8/4/2019 19505290 Auditoria a

25/33

PRINCIPIO DE FORMACIN CONTINUADAEste principio impone a los auditores el deber y laresponsabilidad de mantener una permanente actualizacinde sus conocimientos y mtodos a fin de adecuarlos a lasnecesidades de la demanda y a las exigencias de lacompetencia de la oferta.

PRINCIPIO DE FORTALECIMIENTO Y RESPETO DE LA

PROFESINLa defensa de los auditados pasa por el fortalecimiento de laprofesin de los auditores informticos, lo que exige unrespeto por el ejercicio, globalmente considerado, de laactividad desarrollada por los mismos y un comportamientoacorde con los requisitos exigibles para el idneocumplimiento de la finalidad de las auditorias.

PRINCIPIO DE INDEPENDENCIAEsta relacionado con el principio de criterio propio, obliga alauditor, tanto si acta como profesional externo o condependencia laboral respecto a la empresa en la que debarealizar la auditoria informtica, a exigir una total

autonomae independencia en su trabajo.

PRINCIPIOS APLICADOS A AUDITORESINFOMTICOS

8/4/2019 19505290 Auditoria a

26/33

PRINCIPIO DE INFORMACIN SUFICIENTEEste principio obliga al auditor a aportar, en formapormenorizada, clara, precisa e inteligible para elauditado, informacin de los puntos y conclusionesrelacionados con la auditoria.

PRINCIPIO DE INTEGRIDAD MORALEste principio, inherentemente ligado a la dignidadde la persona, obliga al auditor a ser honesto, leal ydiligente en el desempeo de su misin, a ajustarse alas normas morales de justicia y prioridad.

PRINCIPIO DE LEGALIDAD

La primaca de esta obligacin exige del auditor uncomportamiento activo de oposicin a todo intento,por parte del auditado o de terceras personas,tendente a infringir cualquier precepto integrado enel derecho positivo.

PRINCIPIOS APLICADOS A AUDITORESINFOMTICOS

8/4/2019 19505290 Auditoria a

27/33

PRINCIPIO DE LIBRE COMPETENCIALa actual economa de mercado exige que el ejerciciode la profesin se realice en el marco de la librecompetencia siendo rechazables, por tanto, lasprcticas colusorias tendentes a impedir o limitar lalegitima competencia de otros profesionales.

PRINCIPIO DE NO DISCRIMINACINEl auditor en su actuacin previa, durante yposterior a la auditoria deber evitar cualquier tipode condicionantes personalizados y actuar en todoslos casos con similar diligencia.

PRINCIPIO DE NO INJERENCIAEl auditor, deber evitar injerencias en los trabajosde otros profesionales, respetar su labor y eludirhacer comentarios que pudieran interpretarse comodespreciativos de la misma, deber igualmente evitaraprovechar los datos.

PRINCIPIOS APLICADOS A AUDITORESINFOMTICOS

8/4/2019 19505290 Auditoria a

28/33

PRINCIPIO DE PRECISINEste principio exige del auditor la no conclusin desu trabajo hasta estar convencido, en la medida de loposible, de la viabilidad de sus propuestas.

PRINCIPIO DE PUBLICIDAD ADECUADALa oferta y promocin de los servicios de auditoria

debern en todo momento ajustarse a lascaractersticas, condiciones y finalidad perseguidas.

PRINCIPIO DE RESPONSABILIDADEl auditor deber, como elemento intrnseco de todocomportamiento profesional, responsabilizarse de loque haga, diga o aconseje.

PRINCIPIO DE SECRETO PROFESIONALLa confidencia y confianza entre el auditor y elauditado e imponen al primero la obligacin deguardar en secreto los hechos e informaciones queconozca en el ejercicio de su actividad profesional.

PRINCIPIOS APLICADOS A AUDITORESINFOMTICOS

8/4/2019 19505290 Auditoria a

29/33

PRINCIPIO DE SERVICIO PUBLICOLa aplicacin de este principio debe incitar al auditora hacer lo que este en su mano y sin perjuicio de losintereses de su cliente, para evitar daos sociales.

PRINCIPIO DE VERACIDADEl Auditor en sus comunicaciones con el auditadodeber tener siempre presente la obligacin deasegurar la veracidad de sus manifestaciones con loslimites impuestos por los deberes de respeto,correccin, y secreto profesional.

PRINCIPIOS APLICADOS A AUDITORESINFOMTICOS

8/4/2019 19505290 Auditoria a

30/33

1.7.- RESPONSABILIDADES DE LOSADMINISTRADORES Y EL AUDITOR

El auditor informtico debe ser una persona con un alto

grado de calificacin tcnica y al mismo tiempo estarintegrado a las corrientes organizativas empresariales. Esresponsable de realizar las siguientes actividades:

Verificacin del control interno tanto de las aplicacionescomo de los SI, perifricos, etc.

Anlisis de la administracin de Sistemas de Informacin,desde un punto de vista de riesgo de seguridad,administracin y efectividad de la administracin.

Anlisis de la integridad, fiabilidad y certeza de lainformacin a travs del anlisis de aplicaciones.

Auditora del riesgo operativo de los circuitos de

informacin Anlisis de la administracin de los riesgos de la

informacin y de la seguridad implcita. Verificacin del nivel de continuidad de las operaciones. Anlisis del Estado del Arte tecnolgico de la instalacin

revisada y las consecuencias empresariales que un desfase

tecnolgico puede acarrear.

8/4/2019 19505290 Auditoria a

31/33

Organizacin de la funcin de AuditoraInformticaLa funcin de la auditora informtica se haconvertido en una funcin que desarrolla un trabajoms acorde con la importancia que para las

organizaciones tienen los SI, que son su objeto deestudio y anlisis. El auditor informtico pasa a serauditor y consultor de empresas en materias de:

SeguridadControl interno operativo

Eficiencia y eficaciaTecnologas de InformacinContinuidad de operacionesAdministracin de riesgos

RESPONSABILIDADES DE LOSADMINISTRADORES Y EL AUDITOR

8/4/2019 19505290 Auditoria a

32/33

Su localizacin puede estar ligada a la auditorainterna operativa y financiera (aunque exista unacoordinacin lgica entre ambos departamentos), conindependencia de objetivos, planes de formacin ypresupuestos.

Debe ser un grupo independiente del de auditora

interna, con acceso total a los SI y dems tecnologa,que depende de la misma persona que la auditorainterna (Director General o Consejero)

La dependencia debe ser del mximo responsable dela organizacin, nunca del departamento de sistemaso del financiero. Esto es para que no se puedasospechar que existe sesgo al momento de realizar eltrabajo de auditora y ofrecer conclusiones yrecomendaciones.

Los recursos humanos con los que debe contar eldepartamento debe ser una mezcla equilibrada depersonas con formacin en auditora y organizacin ycon perfil informtico (especialidades).

RESPONSABILIDADES DE LOSADMINISTRADORES Y EL AUDITOR

8/4/2019 19505290 Auditoria a

33/33

GRACIAS!!