PRESENTADO POR:

CAMILO MORA

FABIO BAJONERO

XIMENA FARFAN

DEFINICION:

La auditoría en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de

informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que

participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos

alternativos se logre una utilización más eficiente y segura de la información que servirá para una

adecuada toma de decisiones.

PLANEACIÓN DE LA AUDITORÍA EN INFORMÁTICA

Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a

evaluar. Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá

incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el

desarrollo de la misma.

INVESTIGACIÓN PRELIMINAR

Se deberá observar el estado general del área, su situación dentro de la organización, si existe la información solicitada, si es o no necesaria y la fecha de su última actualización.

Se debe hacer la investigación preliminar solicitando y revisando la información de cada una de las áreas basándose en los siguientes puntos:

ADMINISTRACION

SISTEMAS

PASOS A SEGUIR

El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoria que consta de objetivos de control y procedimientos de auditoria que deben satisfacer esos objetivos. El proceso de auditoria exige que el auditor de sistemas reúna evidencia, evalúe fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, y que prepare un informe de auditoria que presente esos temas en forma objetiva a la gerencia.

OBJETIVO GENERAL DE LA AUDITORIA DE SISTEMASBuscar una mejor una relación costo- beneficio de los sistemas automáticos o computarizados diseñados e implementados por el PAD.

Incrementar la satisfacción de los usuarios de los sistemas computarizados

Asegurar una mayor integridad, confidencialidad y contabilidad de la información mediante la recomendación de seguridades y controles.

OBJETIVOS ESPECIFICOS:

Conocer la situación actual del área informática y las actividades, esfuerzos necesarios para lograr los objetivos propuestos

Seguridad del personal, datos , hardware, software, e instalaciones.

Minimizar existencias de riesgos en el uso de tecnología de la información.

Capacitación y educación sobre los controles en los sistemas de información

AUDITORIA

Auditoría de sistemas a la base de datos del Sistema de Información para la Participación Ciudadana – SIPAR, de la contraloría General de la República.

Realizar una auditoría de sistemas a la base de datos del Sistema de Información para la Participación

Ciudadana – SIPAR, perteneciente a la Contraloría General de la República, aplicando la metodología de

auditoría basada en el análisis de riesgos, utilizando técnicas y herramientas adecuadas para auditar este

componente componente,

OBJETIVOS ESPECIFICOS

Aplicar la metodología para la realización de auditorías de sistemas basada en el análisis de riesgos, cubriendo todos los pasos desde la obtención de la información hasta la presentación del informe final con los resultados obtenidos.

Verificar si se han identificado los riesgos que se pueden presentar en la base de datos a auditar y los controles respectivos, con el fin de corroborar su efectividad o sugerir las correspondientes mejoras.

.

El sistema de información sipar entra en funcionamiento en el 2010, al interior de la contraloría y se dispuso para la ciudadanía en en 2011

Sistema de apoyo para el enlace con clientes y partes interesadas que requieran un seguimiento sobre su funcionamiento e identificar posibles fallas que suministren información exacta sobre los temas, como las denuncias interpuestas por la ciudadanía ante la entidad.

DESARROLLO DE LA AUDITORIA

Obtención y documentación del conocimiento sobre el área. contraloría general y sus funciones

evaluación de riesgos de la auditoria los riesgos que se podrían correr en el desarrollo de la auditoria

Planeación general de la auditoría. Se realizó el cronograma e identificaron recursos necesarios para llevar a cabo la auditoría.

Planeación detallada de la auditoría. Se definió el objetivo general, los objetivos específicos, el alcance

DESARROLLO DE LA AUDITORIA

Revisión preliminar del área Se realizó una encuesta con funcionarios claves, consultando sobre punto importantes.

Evaluación del área/objeto de auditoría. Se identificaron los riesgos a los que puede estar expuesta la base de datos.

Verificación y evaluación de los controles diseñados para minimizar cada uno de los riesgos Una vez identificados los riesgos y sus causas que se podrían presentar en la base de datos, se identificaron los controles que deberían existir

Divulgación de información confidencial

Daño o pérdida de activos

Interrupción del servicio

Pérdida de credibilidad

Mala toma de decisiones

RIESGOS:

EVIDENCIAS

Causa: Indisponibilidad del servicio debido a fallas de acceso a la base de datos por parte de la aplicación que impide que los ciudadanos realicen las denuncias.

Control: Verificar que la base de datos está operando y que la aplicación la tiene configurada correctamente, que existen logs que indiquen fallas y se toman las medidas a que haya lugar.

Resultado: Este control resulta insuficiente, puesto que no se hace una revisión constante de los logs

EVIDENCIAS

Causa: Falta de un sitio alterno para el centro de cómputo en donde se ubica la base de datos en caso de desastre.

Control: Verificar que la entidad tiene un contrato que le permite mover la base de datos a un sitio alterno en caso de desastre

Hallazgo: Se debe implementar este control y llevar a cabo el contrato o convenio que permita garantizar que en caso de desastre la base de datos puede ser reubicada rápidamente, sin interrumpir los procesos que hacen uso de ella.

EVIDENCIAS

Causa: Falta de un adecuado procedimiento de backups

Control: Verificar que existen políticas y procedimientos de backup que permitan salvaguardar la información

Recomendación: Realizar las copias de seguridad por lo menos en tres medios de almacenamiento

CONCLUSIONES DE LA AUDITORIA:

Se deben realizar controles preventivos , correctivos y detectivos

Correctivos: Implementación de mecanismos que impidan el doble registro de información.

Preventivos: Definir un sitio alterno externo para garantizar la continuidad en caso de desastre.

Detectivos: Realizar la revisión periódico de logs

BIBLIOGRAFIA

PROYECTO PRÁCTICA INVESTIGATIVA, SANDRA DEL PILAR CHUQUÍN BADILLO, UNIVERSIDAD ANTONIO NARIÑO, ESPECIALIZACIÓN EN AUDITORÍA DE SISTEMAS, BOGOTÁ, D.C., 2011

http://www.monografias.com/trabajos16/auditoria-de-informacion/auditoria-de-informacion.shtml

PRINCIPIOS DE AUDITORIA INSTITUCIÓN UNIVERSITARIA DE ENVIGADOFACULTAD DE CIENCIAS EMPRESARIALESCONTADURÍA PÚBLICA