Auditoría de Sistemas José Luis Dominikow. Auditoría Informática “La Información es un Activo...

Auditoría de Sistemas

José Luis Dominikow


Auditoría Informática

“La Información es un Activo de la Empresa”.



El notorio incremento en el uso de computadores para procesar la información acaecido en los últimos treinta años, ha determinado que deben existir sistemas de control interno adecuados para asegurar la integridad de dicha información.


Controles

Quien es el “dueño” de los controles??

La línea…

… el que realiza una tarea, es la persona mas indicada para definir controles sobre la misma… el auditor debe verificar que existan controles y que sean adecuados…


Control Interno

La administración es responsable por establecer, diseñar y mantener controles y procedimientos internos

adecuados para alcanzar los objetivos organizacionales.


Controles y procedimientos

Las transacciones están adecuadamente autorizadas

Los activos están adecuadamente protegidos contra uso no autorizado o inadecuado

Que las transacciones estén adecuadamente registradas


Control Interno

El Auditor de Sistemas debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia con que se está operando para que, por medio del señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir los errores en caso de que existan, o bien mejorar la forma de actuación.


Control Interno

Revisión, evaluación y elaboración de un informe dirigido al nivel ejecutivo encaminado a un objetivo específico en el ambiente computacional y los sistemas.


Algunos conceptos y tareas:

Verificación de controles en el procesamiento de la información y en el desarrollo de los sistemas e instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia.


Algunos conceptos y tareas:

Examen y evaluación de los procesos del Area de Procesamiento de Datos y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.



Proceso de recolección y evaluación de evidencia encaminada a determinar si un sistema automatizado permite:

Salvaguarda activos (Daños, Destrucción Uso no Autorizado, Robo)

Mantiene Integridad (Información Precisa, Completa, Oportuna y Confiable)

Alcanza metas organizacionales (Contribución de función informática)

Consume recursos eficientemente (Consume recursos adecuadamente en el procesamiento de la información.


Auditoría a sistemas de información

Emitir una opinión respecto del nivel de riesgo presente en un Sistema de Información Computacional, considerando los controles internos generales y específicos establecidos en el mismo para resguardar la calidad de la información y asegurar su correcta captura, procesamiento y entrega.


Auditoría a plataformas tecnológicas

Emitir una opinión respecto del nivel de riesgo presente en una Plataforma Tecnológica (infraestructura y servicios básicos de TI).

Host (IBM, TANDEM)Infraestructura de Redes y ComunicacionesCentrales de TelefoníaServidoresSistemas Operativos asociados (Microsoft -

No Microsoft)Otras aplicaciones de más bajo nivel o

propietarias (Microsoft-No Microsoft).



Es el examen o revisión de carácter objetivo (independiente), crítico (evidencia), sistemático (normas), selectivo (muestras) de las políticas, normas, prácticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de información computarizados, con el fin de emitir una opinión profesional (imparcial) con respecto a:

• Eficiencia en el uso de los recursos informáticos

• Validez de la información• Efectividad de los controles establecidos.


Objetivos Generales de la Auditoría de Sistemas…

Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados.

Incrementar la satisfacción de los usuarios de los sistemas computarizados

Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante recomendaciones y controles.

Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.


Objetivos Generales de la Auditoría de Sistemas

Seguridad de personal, datos, hardware, software e instalaciones.

Apoyo de función informática a las metas y objetivos de la organización

Minimizar existencias de riesgos en el uso de Tecnología de información

Decisiones de inversión y gastos innecesariosCapacitación y educación sobre controles en los

Sistemas de Información.


Son Tareas de un auditor de sistemas

• Auditar• Participar en proyectos• Asesorar sobre riesgos, seguridad informática,

etc. (si esta capacitado…)• Emitir informes• Evaluar controles


No Son tareas de un auditor de sistemas

• Liderar proyectos• Probar sistemas• Definir controles

Código de conducta…


Los auditores deberán:Actuar en interés de sus accionistas, empleadores, clientes y público en general en forma diligente, leal y honesta, y no contribuir a sabiendas en actividades ilícitas o incorrectas.Mantener la confidencialidad de la información obtenida durante sus deberes. La información no deberá ser utilizada en beneficio propio o divulgada a terceros no legitimados.

Código de Conducta de la ISACA


Los auditores deberán:Ejercer sumo cuidado al obtener y documentar material suficiente sobre el cual basar sus conclusiones y observaciones.Apoyar la entrega de conocimientos a la dirección, clientes y publico en general para mejorar su comprensión de la auditoría y TI.



Los auditores deberán:Cumplir con sus deberes en forma independiente y objetiva, y evitar toda actividad que comprometa o parezca comprometer su independencia.Mantener su capacidad en auditoría de TI mediante la capacitación continua y profesional.



Los auditores deberán:Mantener altos estándares de conducta y carácter tanto en sus actividades profesionales como en las privadas.


Perfil del Auditor de Sistemas


Conocimientos deseables…

Tecnologías de InformaciónAdministraciónNegocio (Bancario, financiero, comercial)Metodologías de Aseguramiento de SWModelosTecnologías de Punta


Conocimientos deseables…

Debe ser parte de la formación profesional:• Hardware, Software,

Compiladores ,Imágenes, • Sistemas Operativos, Bases de Datos,

Análisis de Sistemas etc).• Gestión de Tecnologías de Información• Seguridad, Calidad, Ingeniería de

Software• Administración de Proyectos

Impacto de las TI en las Organizaciones


Tecnologías recientes…

Internet: Conocida como la red de redes, pues se trata de una de las redes más grandes con un estimado de mil cien millones de usuarios (2007).Para funcionar utiliza el conjunto de protocolos TCP/IP.Fue creada a finales de la década del 60 y se llamó al principio ARPANET; pensada para el área militar y usada por científicos.

Intranet: Red entre computadoras montada para el uso exclusivo dentro de una empresa u hogar. Se trata de una red privada que puede o no tener acceso a Internet.Sirve para compartir recursos entre computadoras



TCP/IP: (Transfer Control Protocol / Internet Protocol). Es el protocolo que utiliza internet para la comunicarse.

B2B: Forma de comercio electrónico en donde las operaciones comerciales son entre empresas y no con usuarios finales



CRM: Modelo de gestión orientado hacia los clientes, es el concepto más cercano al Marketing Relacional. Sistemas informáticos de apoyo a la gestión de las relaciones con los clientes, a la venta y al marketing.

Con este significado CRM se refiere al Data warehouse o almacenamiento de datos con orientación a la información de la gestión de ventas, y de los clientes de la empresa.

Involucra: aumento de venta por cruce de productos, venta proactiva, mejorar los niveles de retención y fidelización de clientes.

Auditoría de Sistemas José Luis Dominikow. Auditoría Informática “La Información es un Activo...

Documents

Transcript of Auditoría de Sistemas José Luis Dominikow. Auditoría Informática “La Información es un Activo...