Auditoría de Auditoría de Sistemas de Sistemas de

AplicaciónAplicaciónSesión 1Sesión 1

– – Introducción Introducción – – Conceptos GeneralesConceptos Generales

AdministraciónAdministración

Horario

CalificaciónAsistencia y Participación en Clase 10%Presentación de Casos 25%Examen Parcial 30%Examen Final 35%

BibliografíaBibliografía Information Systems Control and Audit

- Ron Weber

Information Technology Control and Audit

- Gallegos, Manson, Allen-Seft

Auditoría en Informática

- José Echenique García

Data Processing: Audit Practices Reports

- Standford Research Institute

Data Processing: Control Practices Report

- Standford Research Institute

Apuntes personales

Concepto de una AuditoríaConcepto de una Auditoría

Concepto errado: Evaluación cuyo fin es detectar errores y señalar fallas

Concepto amplio: Examen crítico con el objetivo de evaluar la eficiencia y eficacia de una organización determinando cursos alternativos de mejora

AUDITORIA

DE

SISTEMAS

Es una disciplina encargada de aplicar un conjunto de técnicas y procedimientos con el fin de evaluar la seguridad, confiabilidad y eficiencia de los sistemas de información.

Adicionalmente se encarga de evaluar la seguridad en los departamentos de sistemas, la eficiencia de los procesos administrativos y la privacidad de la información.

Concepto de una Auditoría Concepto de una Auditoría (cont.)(cont.)

Verificar la confiabilidad, veracidad y oportunidad de la información financiera, operacional y administrativa así como las políticas y lineamientos establecidos que han sido observados y respetados para cumplir obligaciones fiscales, jurídicas y reglamentos en general

Objetivo de una AuditoríaObjetivo de una Auditoría

Descubrir deficiencias e irregularidades en una función organizacional

Indicar sus posibles correccionesAyudar a la gerencia en lograr una administración eficaz y eficiente

Proceso de colectar y evaluar evidencia para determinar si un sistema protege los activos, mantiene la integridad de los datos, permite que se logren los objetivos de la empresa efectivamente y utilice recursos eficientemente

Definición de Auditoría de Definición de Auditoría de Sistemas de InformaciónSistemas de Información

Importancia de una AuditoríaImportancia de una Auditoría

Es una herramienta especializada para evaluación continua de métodos y procedimientos en todas las áreas de la empresa

BeneficiosBeneficios

Determinar si los sistemas y procedimientos establecidos son efectivos para alcanzar los objetivos fijados y asegurar cumplimiento de las políticas establecidas

Recomendación para el mejoramiento de políticas, procedimientos y sistemas

Medio de proveer mayor grado de delegación de autoridad y si es necesario un medio para facilitar descentralización de operaciones

Por qué controlamos un Por qué controlamos un negocio?negocio?

Proteger la inversión de los accionistasRequerimientos legalesAsegurar la veracidad y confiabilidad de los datos

Preservar la reputación del negocioMinimizar el fraude, desperdicio y pérdida/robo de activos

Seguimiento Com

unicacione

s

Info

rmac

ión

Actividades de Control

Administración del Riesgo

Entorno de Control

Modelo de NegocioModelo de Negocio

Factores que influencian a la Factores que influencian a la organización hacia auditoria y organización hacia auditoria y controlcontrol

Costos de pérdida de informaciónCosto de la incorrecta toma de decisiones

Costo del abuso en la utilización del procesador

Valor del HW/SWValor de los Recursos HumanosAlto costo del error del procesadorMantenimiento de la privacidadEvolución controlada del uso del procesador

Impacto de la Auditoría de Impacto de la Auditoría de Sistemas en la OrganizaciónSistemas en la Organización

Mejora en la custodia de activosMejora en la integridad de la informaciónMejora en la efectividad del sistemaMejora en la eficiencia del sistema

Estructuras de Auditoría de Estructuras de Auditoría de SistemasSistemas

Auditoría tradicionalAdministración de Sistemas de Información

Ciencia del comportamientoCiencia de la computación

Mayores Preocupaciones de la Mayores Preocupaciones de la GerenciaGerencia

Controles InsuficientesComplejidad del procesamiento de datosInsuficiente involucración del usuarioFalta de estándares de procesamiento de datos

Expuestos al fraudeFalta de revisiones independientesRetorno de la inversión inadecuadoOtros

Cambios en el entorno de Proc. Cambios en el entorno de Proc. DatosDatos

Cambios en las necesidades de información

Incremento de la capacidad de los procesadores

Expuesto a pérdidasError potencial en las aplicacionesPérdida potencial en el centro de operaciones

Pérdida en la identificación y reporte de problemas

Cambios en el entorno de Proc. Cambios en el entorno de Proc. DatosDatos

Areas de cambioProcesador de la informaciónDesarrollo de aplicacionesDiseño de aplicaciones /utilización de archivos

Relación del usuario con el procesamiento de datos

Controles Internos son responsabilidad de la alta gerencia

Necesidad de Mejora en los ControlesParticipación de Auditoría interna en el proceso de desarrollo de aplicaciones

Verificación de controles antes y después de la instalación

Necesidad de mejora en la involucración de Auditoría Interna

Conclusiones del SRI / IIA Conclusiones del SRI / IIA (1977)(1977)

Necesidad de desarrollo de Consultores de Auditoría en Procesamiento Electrónico de Datos (PED)

Necesidad de nuevas técnicas y herramientas en PED

Necesidad de una calificación en Auditoría y Control

Conclusiones del SRI / IIA Conclusiones del SRI / IIA (cont.)(cont.)

Preocupaciones de AuditoríaPreocupaciones de Auditoría

• Adecuadas pistas de auditoría• Documentación y existencia de controles• Manejo de eexcepciones y rechazos• Pruebas unitarias e integradas• Control de cambios• Procedimientos de autorización de

sobreponer rutinas del sistema• Políticas de la organización están adheridas

en la implementación de sistemas

Preocupaciones de Auditoría (cont.)Preocupaciones de Auditoría (cont.)

• Entrenamiento del personal• Determinación de criterios de evaluación• Controles adecuados de interconexión• Controles adecuados de seguridad de

información• Control de cambios• Procedimientos de respaldo y recuperación• Utilización de tecnología de proveedores• Diseño y control adecuado de base de datos

Normas Generales de una Normas Generales de una Auditoría de SistemasAuditoría de Sistemas

Actitud y aparienciaRelación en la organizaciónCódigo de ética profesionalDestrezas y conocimientosEducación profesional permanentePlanificación y supervisiónExigencia de EvidenciaDebido Cuidado profesionalInforme del alcance de la auditoríaInforme de los hallazgos y las conclusiones

EJEMPLO….

Ministra Directora

Fiscalía

Auditoría

Subdirectora

Unidad de PlanificaciónControl de Gestión e

Informática

Depto. Estudios y Capacitación

Depto. de Comunicacione

s

Depto. Coordinación Intersectorial

Depto. Administración y Finanzas

Depto. Reformas Legales

Depto. RR II

U. de la Violencia Intrafamiliar

U. de Desarrollo Regional y Local

Unidad Mujeres Jefas del Hogar

U. de Promoción de Derechos y Participación

Unidad de Buenas Prácticas Laborales

Direcciones Regionales

Auditoría

SERNAM: Servicio Nacional de la Mujer creado para promover la igualdad de oportunidades entre

hombres y mujeres

Funciones de Auditoría

• 1) Evaluar en forma permanente el sistema de control interno institucional y efectuar las recomendaciones.

• 2) Evaluar el grado de economía, eficiencia y equidad con que se utilizan los recursos humanos, financieros y materiales del Servicio.

• 3) Verificar la existencia de adecuados sistemas de información.

• 4) Efectuar el seguimiento de las medidas preventivas y correctivas, emanadas de los informes de auditoría.

JUNTA GENERAL DE ACCIONISTAS

DIRECTORIO

Oficina de Auditoria Interna

Gerencia de Administración

Gerencia General

Gerencia Técnica Comercial

Gerencia de Operaciones

Oficina de Auditoria Interna

EGESUR Generaenergía eléctrica

AUDITORIA INTERNA

• Es el órgano técnico de control de EGESUR, dependiente del Directorio

encargado de: programar, planificar, conducir, ejecutar y evaluar las acciones de control (auditorias y exámenes especiales) en todas las áreas de la empresa.

Elaborar Inventario

Priorizar Elaborar el PGAS

Aprueba el PGAS

Auditor General Evalúa el PGAS

Alta Dirección Evalúa el PGAS

Modificar el PGAS

Designación de Comisiones

Elabora el Plan de Desarrollo

Aprueba el PGAS

SI

SI

NO

NO

Tramitar las Cartas de

Presentación

Realizar Trabajo de

Campo

Elaborar el Borrador del Informe Preliminar

Coordinar con el Área Auditora

Esperar la Respuesta del Inf.

Preliminar

Presentardel Informe Preliminar

Presentar Inf.Final

Preparar el Informe Final

Seguimiento Auditoría Realizada

Preparar el Informe Preliminarl

A

FIN DE SESION 1

ƒ Introducciónƒ Conceptos Generales

Auditoria de SistemasAuditoria de Sistemas