AUDITORÍA DE SISTEMAS DE INFORMACIÓN

Universidad Simón BolívarDepartamento de Procesos y SistemasSistemas de Información I. PS-2150Prof.Marianella VillegasIntegrantes: - Alifano, María José. 08-01158- Páez, Nina Gabriela. 09-

10602

AUDITORÍA• Es el proceso que comprende las

tareas de evaluar y analizar ciertos procesos, dependiendo el área al que se aplique, donde el auditor debe estar encaminado a la búsqueda de problemas existentes, y a la vez buscar soluciones para estos problemas.

• Es un conjunto de elementos interrelacionados con el propósito de prestar atención a las demandas de información de una organización, para elevar el nivel de conocimientos que permitan un mejor apoyo a la toma de decisiones y desarrollo de acciones.

SISTEMAS DE INFORMACIÓN

AUDITORÍA DE SISTEMAS DE INFORMACIÓN• Según G.A. Rivas, padre de la introducción informática:

¨Es el conjunto de técnicas, actividades y procedimientos

destinados a analizar, verificar y recomendar en asuntos relativos a la planificación, control, eficacia,

seguridad y adecuación del servicio informático en una empresa…¨

OBJETIVOS• Participación en el desarrollo de

nuevos sistemas:– Evaluación de controles– Cumplimiento de la metodología.

• Evaluación de la seguridad en el área informática.

• Evaluación de suficiencia en los planes de contingencia.– Respaldos, proveer qué va a pasar si se

presentan fallas. 

• Opinión de la utilización de los recursos informáticos.

• Control de modificación a las aplicaciones existentes.– Fraudes– Control a las modificaciones de los

programas.

• Participación en la negociación de contratos con los proveedores.

• Revisión de la utilización del sistema operativo y los programas utilitarios.

OBJETIVOS

• Auditoria de la base de datos.– Estructura sobre la cual se desarrollan las

aplicaciones.

• Auditoria de la red de teleprocesos.

• Desarrollo de software de auditoría.

OBJETIVOS

OBJETIVO• Es el objetivo final de una auditoría

de sistemas bien implementada, desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del área de procesamiento de datos.

¿Cómo realizar una Auditoría de SI ?• TOMA DE CONTACTO: momento en que la

organización se da cuenta de su necesidad de auditoría y procede a llamar al auditor.

• PLANIFICACIÓN DE LA OPERACIÓN: determina los objetivos, las fechas, ámbitos de estudios y posibles problemas, inventario de puntos a estudiar,

• DESARROLLO DE LA AUDITORÍA: Su objetivo es buscar evidencias que puedan conducir a conclusiones certeras en el diagnóstico.

• SÍNTESIS Y DIAGNÓSTICO: “DAFOR”: debilidades, amenazas,

fortalezas y oportunidades.

• PRESENTACIÓN DE CONCLUSIONES

• REDACCIÓN DEL INFORME Y FORMACIÓN DEL PLAN MEJORA

HERRAMIENTAS• Entrevista Analizar primero si la información buscada

no está disponible en otros medios. Identificar previamente a las personas a

entrevistar. Preparar la entrevista. Planificar el tiempo y definir el lugar. Toma de notas Análisis de la entrevista.

HERRAMIENTAS• Cuestionario Definir si se quieren conocer hechos, opiniones o

ambas cosas Si el auditor va a estar presente o no. Preguntas concretas. Evitar usar la jerga de la auditoría y la

informática. Las preguntas no deben conducir indirectamente

a las respuestas. Evitar cuestiones hipotéticas. Reflexionar sobre el rango con que se estimarían

las posibles respuestas.

¿Cómo debe ser el perfil de un auditor de SI ?

• Conocimientos técnicos de la informática.

• Conocimientos de auditoría: psicología, redacción de informes, dirección, etc.

• Cualidades personales: atención, equilibrio emocional, intuición profesional, dinamismo, capacidad de escuchar, etc.

• Estándar de Auditoría de Sistemas de Información: Independencia.

• Punto de vista imparcial que le permita obrar objetiva y justamente.

• El Auditor no sólo debe ser independiente, sino también guardar las apariencias.

• El Auditor y la dirección deben evaluar continuamente la independencia.

• El trabajo e informe del Auditor deben representar grandes responsabilidades profesionales, lo que ejemplifica la integridad y la objetividad.

ÁREAS DE APLICACIÓN

1. Auditoría de Seguridad Física y Lógica

2. Auditoría de Planificación3. Auditoría de la Organización y

Gestión de Centro de Procesamiento de Datos

4. Área de explotación5. Área del entorno Hardware/Software

ÁREAS DE APLICACIÓNAuditoría de Seguridad Física

y Lógica

Seguridad Física: adecuación de instalaciones

Seguridad Lógica: salvaguarda de acreditación de usuarios, secreto de archivos y transacciones

ÁREAS DE APLICACIÓNAuditoría de Planificación- Conocer y evaluar los planes del

CPD y su nivel de integración con la empresa

- Revisión de planes informáticos y desarrollo de software

- Evaluar el nivel de participación y compromiso de directivos en la elaboración de los planes

ÁREAS DE APLICACIÓNAuditoría de la Organización y

Gestión del CPD - Analizar que el responsable del

Centro de Procesamiento de Datos organiza, dirige y controla los recursos del mismo

Área de Explotación- Examinar los procedimientos seguidos

en el Centro de Procesamiento de Datos en su operatividad diaria.

ÁREAS DE APLICACIÓNÁrea del entorno

Hardware/Software

- Garantizar un eficiente funcionamiento y utilidad del ordenador garantizando su continuidad en el tiempo.

FIN

GRACIAS!!!