Download - Auditoriaitvf
INFORMÁTICA PROGRAMACIÓN
Objetivos:
• Comprender el significado del concepto de Control Interno.
• Comprender el concepto de Auditoría de TI.
• Comprender el concepto de Peritaje.
• Reconocer la importancia que tienen los procesos de control interno, auditoría informática y peritaje, en los análisis de estado de los departamentos de TIC en las organizaciones.
• Conocer el marco de referncia COBIT para la auditoría informática.
AUDITORÍA DE TI
Auditoría de TI - Concepto
Auditoría TI
Concepto
Consiste en un conjunto de procesos orientados hacia la certificación del estado de la función informática y de las TIC en general en una empresa.
Tecnologías
Específicas
Emergentes
Cambiantes en elMercado
Difíciles de controlar
Auditoría de TI - Concepto
Auditoría de TI - Concepto
Control Interno
La necesidad de un control interno de las TIC, se produce tanto desde la necesidad de la dirección del departamento de Tecnologías de la Información y la Comunicación, como de la alta dirección de la compañía.
PARA
Verificar su correcta aplicación, de acuerdo al plan de TI y los proyectos en ejecución.
Y
Generar una confianza en terceros, que garantice que función informática y la gestión de las TIC, se está realizando correctamente para la empresa.
RESPONSABLE
Director de Informática
DOCUMENTOS REQUERIDOS RESULTADO
Plan estratégico de TI
Procesos y Procedimientos del Dpto. de TI
Informe de estado de los proyectos
Calidad en la oferta de los servicios de TI
Nivel de cumplimiento en las tareas del día a día
Generación de Informes para usointerno del Dpto. deInformática
Seguimiento para la alta dirección.
Auditoría de TI - Concepto
Auditoría Informática
Es un análisis sobre el estado del desarrollo del departamento de TIC, que intenta evaluar su eficiencia y eficacia con respecto a su misión descrita, los objetivos indicados y los recursos disponibles.
Todo lo anterior puede encontrarse principalmente, en el plan estratégico de TIC de la empresa.
FUNCIONES
Control de la Función Informática
Análisis de la eficiencia de los sistemas informáticos
Verificación del cumplimiento de las normativas generales de la organización
Verificación del cumplimiento en la ejecución de su plan estratégico de TIC
Gestión eficaz de los recursos materiales, tecnológicos y humanos
OBJETIVO FINAL PERSEGUIDO
Protección de los recursos físicos y lógicos (Activos) de la empresa
Proteger la integridad de los datos de la compañía
Asegurar la calidad de la gestión y de los procesos con eficacia y eficiencia
Asegurar que la gestión se ajuste a la misión y objetivos planteados por la altadirección.
Auditoría de TI – Por qué una auditoría
Qué motiva una Auditoría Informática
Problemas graves en los servicios que ofrece el departamento de TIC.
Necesidad de comunicar externamente una imagen de seguridad en las tareas del dpto. de TIC.
La conveniencia de disponer de una visión externa del desarrollo del plan de TIC de la empresa.
Peritaje - Concepto
Peritaje
Consiste en un proceso examinador realizado sobre un proceso o recurso informático (Físico o Lógico) a causa de una problemática grave o de un incidente con consecuencias de tipo legal, laboral o en la interpretación extrema de un contrato, persiguiendo el objetivo de certificar las causas de la problemática o de la incidencia presentada.
Un peritaje puede ser extrajudicial cuando intenta utilizarse para explicar y aclarar las causas que produjeron el incidente, a personas quienes no son expertas en TIC forzando un acuerdo para la resolución del conflicto.
Así mismo puede ser judicial cuando se presenta a un juez, cuando va como prueba de algunas de las partes.
Siempre deberá ser realizado por una firma consultora o un grupo de profesionales con comprobada experiencia y reconocimiento en el tema de la problemática.
RESPONSABLE DE SU REALIZACIÓN
Alta dirección de la compañía.
DIFERENCIA ENTRE PERITAJE Y AUDITORÍA
El peritaje se centra en un problema en concreto, tratando de identificar sus causas,entre tanto la auditoría efectúa un análisis y entrega unas conclusiones de unescenario más “global” para la empresa, identificando problemas yefectuando recomendaciones.
Principios de la Auditoría Informática
Principios de la Auditoría Informática
Principio Descripción
Independencia Debe ser realizada por personas totalmente independientes, quienes no se encuentren condicionadas por laparticipación en las actividades objeto de análisis.
Aceptar el planteamiento estratégico
Los planteamientos estratégicos de la dirección no se discuten, sino que se aceptan como punto base departida para estudiar el estado de las TIC en la organización.
Utilización de documentacióninterna de gestión
Documentación como el Plan estratégico de TIC, manual de procesos y procedimientos del Dpto. de TIC, entreotros, se convierten en los “guiones” que deben seguirse para verificar que las funciones de informáticasoportadas por el Dpto. de TIC, se encuentran alineadas con los intereses de la alta dirección de laorganización.
Es posible, en el documento final entregable de la auditoría sobre las recomendaciones y conclusiones, elformular propuestas de modificación a dichos documentos.
Alcance El nivel de profundidad del estudio de la auditoría, está sujeta a los objetivos que fueron establecidospara su realización en la organización. Su definición es de orden técnica, pues obedecerá al modelo de TI dela empresa, así como de gestión en las estrategias y procesos internos descritos.
Origen Puede ser a causa de motivos internos (alta dirección de la organización y/o dirección de TI) con el objetivo dereflexionar y asegurar que la planificación estratégica de las TIC se está cumpliendo correctamente. Tambiénpuede ser por motivos externos (accionistas, organismos públicos, clientes, proveedores, etc.) para verificarque la función informática en la empresa se realiza acorde con la legislación, con la planificación de TICalineada con los objetivos empresariales y sin poner en peligro los intereses de terceros.
Motivación Pude ser por una necesidad de reflexión crítica alrededor de las TIC al interior de la empresa, o por laevidencia de síntomas perceptibles de debilidad en la aplicación del plan estratégico de TIC, caso en cual esrecomendable realizar una auditoría externa.
Síntomas que pueden motivar una Auditoría Informática
Principios de la Auditoría Informática
Clasificación Síntoma
Síntomas de Descoordinación y
Desorganización
No coinciden los objetivos de las TIC con los objetivos de Negocio
Se presenta una desviación importante en los estándares de productividad medios que se consiguen habitualmente.
Síntomas de malaImagen e insatisfacción
De los usuarios
No se atienden las peticiones de cambio de los usuarios
No se reparan las averías de hardware ni se resuelven las incidencias en plazos razonables. El usuario se siente abandonado yDesatendido Permanentemente.
Síntomas de debilidades financieras
Incremento desmesurado de los costos
Necesidad de justificación de inversiones informáticas
Costos y plazos de nuevos proyectos
Síntomas de Inseguridad.
Evaluación de nivel deriesgos
Continuidad del servicio
Seguridad Física
Seguridad Lógica
Confidencialidad
Departamento de TIC fuera de control
Metodologías de Auditoría
Tipos de Auditoría
Tipo de Auditoría Descripción
Interna o Externa Si se realizan con la participación de personal interno de la organización seleccionado desde diferentes áreas ytipologías de usuario o externa contratada a una empresa especializada.
Actividades Internaso
Externas
Consiste en la auditoría informática de usuario o de cliente, interpretada también como auditoría de laexplotación y/o del soporte.
El control del funcionamiento del dpto. de informáticacon el usuario, siempre ha de realizarse por mediode la dirección del dpto.
Parcial según las áreas deactividad de la función
informática
Se establecen las siguientes divisiones (áreas) de auditoría más importantes: de dirección, de sistemas deinformación y de desarrollo de proyectos, de seguridad, de calidad, de explotación (sistemas ycomunicaciones) y de soporte.
Auditoria de Seguimiento Frente a la realización de auditorías periódicas, debe contarse con tareas de aseguimiento a estas, paraevaluar el grado de aplicación de las medidas correctivas que en su momento fueron establecidas, conrelación a los resultados encontrados.
Herramientas con las que debe contar un Auditor
Herramientas de auditoría
Herramienta Descripción
Estándares Guías, estándares, metodologías de buenas prácticas en la gestión de TIC, genéricos y parametizables adistintos modelos de organizaciones y estructuras.
Cuestionarios Con preguntas fijas de carácter genérico que deben aplicarse por ejemplo a la dirección de TIC y a losresponsables de cada área.
Entrevistas De carácter de libre evolución con la dirección de TIC y a los responsables de cada área.
Checklist Confirmar y verificar la existencia de documentación (normas y planes) con objetivos determinados, decarácter general para la alta dirección, para el departamento de TIC y ara cada unidad organizacional y laverificación de la existencia de la documentación sobre los procesos más críticos.
Matrices de Riesgo Se generan a parti de los cuestionarios y checklist, identificando los riesgos a los cuales la organización estásometida.
Trazas y/o Huellas Inventario de las trazas o huellas de síntomas de disfunción de que se han detectado antes o durante elproceso de auditoría.
Software de Auditoría Las empresas pueden contar con sistemas de información que permitan gestionar de una manera máseficiente, los procesos de auditoría, facilitando además su seguimiento.
Etapas del proceso auditor
Marcos de referencia - COBIT
Marcos de Referencia
COBIT(Control Objectives for Information and Related Technology)
Consiste de un conjunto de mejores prácticas para el manejo de la información, creado por
ISACA (Information Systems Audit and Control Association) e ITGI (IT Governance Institute).
De acuerdo a COBIT, los procesos de gestión que deben documentarse son:
• Planificación y Organización
• Adquisicón e Implementación
• Entrega y Soporte
• Seguimiento y Gestión
Informe de Auditoría
Contenido Informe de Auditoría
TEMA DESCRIPCIÓN
1. Situación Actual Frente a una revisión periódica en la que se analiza no
solamente la situación sino su evolución en el tiempo, se
presentará la situación prevista y la situación real.
2. Tendencias Se tratarán de determinar parámetros que permitan establecer
tendencias futuras.
3. Puntos débiles y amenazas Debe presentarse una identificación detallada de los puntos débiles
y amenazas a los cuales debe enfrentarse la empresa.
4. Recomendaciones y planes de acción Junto con el punto anterior, hacen parte del objetivo central de la
auditoría.
5. Redacción posterior de la carta de introducción o
presentación
Se anexa la carta de presentación del consultor o firma consultora
con información.