Post on 12-Apr-2017
Auditoría de Sistemas Informáticos
Ingeniería de Sistemas
UTP 2015-3
¡Bienvenidos!
Nos presentamos…
Nombre y apellidos.Especialidad y ciclo de estudios.¿Trabaja, además de estudiar?¿Qué espera del curso?
Reglas básicas
Asistencia.Se tomará lista al iniciar y culminar la clase
Si llega tarde, ingresar en silencio.
Respeto al docente y entre los compañeros.Consultas sobre el curso:En clase, levante la mano.
Fuera de clase, al correo electrónico del docente.
Celulares en vibrador / silencio.Para contestar el celular, salir del aula.
Seguridad en el aula.Pasillos libres de mochilas.
Elección de delegado de aula
Contenido del curso
(Fuente: Syllabus del curso, actualizado al 24/07/2015)
Sistema de evaluación
Tareas calificadas para dos (02) de las evaluaciones
(Fuente: Syllabus del curso, actualizado al 24/07/2015)
El Auditor de Sistemas, rol,
responsabilidades.
Semana 1
Agenda
Auditoría de Sistemas
• Especialidad del Auditor de Sistemas• Actividades del Auditor de Sistemas
El Auditor de Sistemas• Perfil del Auditor de Sistemas• Responsabilidades del Auditor de Sistemas• Ética del Auditor de Sistemas• Caso: Arthur Andersen
Tipos de Auditorías
Por alcance
• Financiera – Contable• Operativa• Administrativa• Especializada• Integrada
Por quien lo ejecuta
• Auditoría Interna• Auditoría Externa
Operaciones fraudulentas
Pérdida de información
Pérdida financiera
Comercio electrónico /
Operaciones en línea
Accesos no autorizados
Procesos de negocioProceso A Proceso B Proceso C
Visión / Misión / Objetivos estratégicos
Objetivo A Objetivo B Objetivo C
Riesgos
Auditoría
Especialidad del Auditor de Sistemas
Procesos de negocioProceso A Proceso B Proceso C
Controles generales de TIGobierno y gestión
de TIDesarrollo de
sistemas Operaciones de TI Seguridad de información
Aplicaciones de negocioAplicación A Aplicación B
Visión / Misión / Objetivos estratégicos
Objetivo A Objetivo B Objetivo C
Riesgos
Auditoría
De Sistemas Informáticos
Especialidad del Auditor de Sistemas
Controles generales de TIGobierno y gestión de TI Desarrollo de sistemas Operaciones de TI Seguridad de información
Aplicaciones de negocioAplicación A Aplicación B
Riesgos
Auditoría de Sistemas
Informáticos
Hardware Software y aplicaciones
Bases de datos Redes y comunicaciones
Información en la nube
Especialidad del Auditor de Sistemas
Una definición de Auditoría de Sistemas Informáticos
“…es la revisión y evaluación de los controles, sistemas y procedimientos de la informática, de los equipos de cómputo, su utilización, eficiencia y seguridad; de la organización que participa en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente, confiable y segura de la información que servirá para una adecuada toma de decisiones.”
ECHENIQUE GARCÍAAuditoría en Informática. UNAM, México, (1996)
Actividades del Auditor de Sistemas
Controles Generales de TI• Organización de la
unidad de TI• Continuidad del
negocio• Seguridad física y
lógica• Administración de
los cambios a los sistemas
• Desarrollo de proyectos de sistemas
• Control de las operaciones computarizadas
Controles de Aplicación de TI
• Controles de entrada• Controles de
proceso• Autorizaciones y
controles de salida• Pistas de auditoría
Otros controles de TI
• Pruebas CAAT (*)• Revisiones
específicas
(*) CAAT: técnicas de auditoría asistidas por computador
Roles del Auditor de Sistemas
Auditoría Interna
Auditoría Externa
Directorio de la compañía
Unidad de TI
Auditoría Específica
Reporta aRevisa a
Perfil del Auditor de Sistemas
Conocimientos de Tecnología de Información.• Desarrollo de sistemas y Gestión de proyectos• Gestión de la unidad de TI• Análisis de riesgos de TI• Sistemas operativos, redes y telecomunicaciones• Gestión de bases de datos• Seguridad física y lógica• Operaciones y planificación informática• Gestión de continuidad del negocio y recuperación ante desastres• Gestión de problemas y cambios en entornos informáticosConocimientos de Auditoría.
• Redacción de informes• Criterio del auditor
Cualidades personales.
• Capacidad de escucha• Intuición profesional• Equilibro emocional y dinamismo• Ética e independencia
Responsabilidades del Auditor de Sistemas
Minimizar riesgos de fraude y
malversación de recursos de TI.
Garantizar el control y la administración
adecuada de recursos de TI.
Apoyar en la prevención, detección y
corrección oportuna de fallas.
Ética del Auditor de Sistemas1. Respaldar la implementación y promover el cumplimiento de
los estándares, procedimientos y controles apropiados para los sistemas
de información.
2. Llevar a cabo sus labores con objetividad, debida diligencia
y rigor/cuidado profesional, de acuerdo con estándares y
mejores prácticas profesionales.
3. Servir en beneficio de las partes interesadas de un modo
legal y honesto y, al mismo tiempo, mantener altos niveles
de conducta y carácter, y no involucrarse en actos que resten
méritos a la profesión.
4. Mantener la privacidad y confidencialidad de la
información durante el trabajo, a menos que sea requerida por
una autoridad legal. Dicha información no debe ser usada
en beneficio personal.
(Fuente: ISACA.org)
Ética del Auditor de Sistemas
5. Mantener la aptitud en sus respectivos campos y asumir sólo aquellas actividades que
razonablemente esperen completar con las habilidades, conocimiento y competencias
necesarias.
6. Informar a las partes correspondientes los resultados del trabjo realizado, revelando todos
los hechos significativos que conozcan.
7. Apoyar la formación profesional de las partes interesadas para mejorar su comprensión
sobre seguridad y control de SI.
(Fuente: ISACA.org)
* Práctica a veces fraudulenta de los ingresos incorrectamente reconocidos o los gastos para hacer que la situación financiera de una empresa parezca más favorable de lo que en realidad es.
Ocultar informaci
ón
Destruir informaci
ón
Manipular
información
(Contabilidad
Agresiva*)
Caso: Arthur Andersen
Cumplimiento de estándares y procedimientos
Objetividad, debida diligencia y rigor profesional
Altos niveles de conducta
Privacidad y confidencialidad de la información
Ahora les toca a ustedes…
•Indique dos (02) principios de ética profesional que no se hayan aplicado en el caso Arthur Andersen. Sustentar por qué.
Conclusiones…
• El Auditor de Sistemas tiene la responsabilidad de alertar sobre situaciones de riesgo relacionadas a las tecnologías de información.
• La ética permite al Auditor de Sistemas realizar sus actividades de forma profesional y cumplir los lineamientos establecidos para la profesión.
¡Gracias por su atención!