AUDITORÍA INFORMÁTICA unidad I
30
AUDITORÍA INFORMÁTICA Miguel Ángel Rodríguez Santiago 8° C Lic. Informática Unidad I Instituto Tecnológico superior de Acatlan de Osorio Puebla
-
Upload
david-arturo -
Category
Documents
-
view
40 -
download
0
Transcript of AUDITORÍA INFORMÁTICA unidad I
AUDITORÍA INFORMÁTICA
Miguel Ángel Rodríguez Santiago
8° C Lic. Informática
Unidad I
Instituto Tecnológico superior de Acatlan de Osorio Puebla
Introducción a la Auditoría Informática.
1.1 Conceptos de Auditoría y Auditoría Informática.
1.2 Tipos de Auditoría.1.2.1 Auditoría Interna y Externa.
1.3 Campo de la Auditoría Informática.1.4 Control Interno. 1.5 Modelos de control utilizados en auditoría
informática.1.6 Principios aplicados a los auditores
informáticos.1.7 Responsabilidades de los administradores y
delauditor.
1.1 Conceptos de Auditoría y Auditoría Informática.
Introducción En su sentido más general, se puede entender a
la auditoría como la investigación, consulta, revisión, verificación, comprobación y obtención de evidencia, desde una posición de independencia, sobre la documentación e información de una organización, realizadas por un profesional, el auditor, designado para desempeñar tales funciones.
El auditor, cuando actúa como tal, no es responsable ni de la operación del organismo ni del control de su funcionamiento. Tales funciones son responsabilidad de los órganos directivos del organismo auditado. La función del auditor es la de examinar e informar sobre la documentación elaborada por los órganos directivos.
Objetivo de la Auditoría:El objetivo fundamental de un trabajo de auditoría es
permitir que el auditor llegue a estar en condiciones de informar fundadamente sobre la fidelidad y razonabilidad de la situación que refleja la documentación aportada por la empresa.
El auditor está obligado a establecer de forma inequívoca, según su criterio, si la imagen de la empresa es fiel y razonable en la documentación aportada. Si no ha podido confirmar estos términos, debe calificar su informe justificando las razones que le han llevado a considerar las desviaciones de fidelidad y razonabilidad, y en qué aspectos, y en qué medida, se ha incurrido en una formulación errónea. El auditor debe expresar con independencia su opinión.
En resumen:
En todas las definiciones anteriores de auditoria podemos encontrar varios puntos comunes:
• La realización de un examen ordenado y planificado
• La comprobación de la calidad de lo examinado,
• La verificación de la fiabilidad de lo examinado en cuanto a los hechos reales que refleja, y
• La obligación de informar a terceros con una opinión fundada.
Concepto de Auditoría Informática:
Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.
De esta forma la auditoría informática sustenta y confirma la consecución de los objetivos tradicionales de auditoría.
El auditor evalúa y comprueba en determinados momentos del tiempo los controles y procedimientos informativos mas complejos, desarrollando y aplicando técnicas mecanizadas de auditoría, incluyendo el uso de software.
Principales objetivos que constituyen a laAuditoría Informática
El control de la función informática.El análisis de la eficacia del Sistema
Informático.La verificación de la implantación de la
Normativa.La revisión de la gestión de los recursos
informáticos.
La auditoría informática sirve para mejorar ciertas características en la empresa como:
EficienciaEficaciaRentabilidadSeguridad
1.2 Tipos de Auditoría
La Auditoría puede clasificarse desde diversos puntos de vista, según el sujeto que la efectúa, según el contenido y los fines, por su amplitud y por su frecuencia.
Por el sujeto que la efectúa:
• Auditoría interna: Está a cargo de empleados de la propia empresa, encuadrados en un departamento directamente dependiente de la dirección general.
• Auditoría externa: Está a cargo de auditores profesionales, ajenos a la empresa y totalmente independientes.
Por su contenido y fines• Auditoría de gestión: Afecta a la situación global de la empresa.
• Auditoría organizativa: Analiza si la estructura organizativa de la empresa es la adecuada, según las necesidades y problemas de la misma.
• Auditoría operacional: Para determinar hasta qué punto una organización, una unidad o función dentro de una organización, está cumpliendo los objetivos establecidos por la gerencia; así como identificar las condiciones que necesiten mejora.
• Auditoría financiera: Examen y verificación de los estados financieros de la empresa, para emitir una opinión fundada sobre el grado de fiabilidad de dichos estados.
• Auditoría contable: Analiza la adecuación de los criterios empleados para recoger los hechos derivados de la actividad de la empresa y su representación, mediante apuntes contables, en los estados financieros.
• Auditoría informática: Examen y verificación del correcto funcionamiento y control del sistema informático de la empresa.
Por su amplitud: • Auditoría total: Afecta a todos los elementos de la
empresa.
• Auditoría parcial: Se concentra en determinados elementos de la empresa.
Por su frecuencia:
• Auditoría permanente: Se realiza periódicamente a lo largo del ejercicio económico.
• Auditoría ocasional: Se realiza de forma esporádica.
Beneficios de la Auditoría:
Los beneficiarios de la auditoría son los que tienen relación con la empresa y necesitan información correcta y auténtica sobre la situación y actividades de la misma.
Auditoría interna: Es la propia empresa y todos los órganos de gobierno y ejecutivos.
Auditoría externa: Accionistas o socios. Consejeros y ejecutivos.
Proveedores, acreedores y otros. Inversores.
La Banca.
La Hacienda Pública.
Los empleados de la empresa.
Otros organismos públicos e institucionales.
1.3 Campo de la Auditoría Informática
Generalmente se puede desarrollar en alguna o
combinación de las siguientes áreas:
Gobierno corporativo.Administración del Ciclo de vida de los sistemas.Servicios de Entrega y Soporte.Protección y Seguridad.Planes de continuidad y Recuperación de
desastres.
1.4 Control Interno
Una de las formas de definir el concepto de control interno es la siguiente:
El control interno es un proceso que lleva a cabo el Consejo de Administración, la dirección y el resto de los miembros de una entidad, con el objeto de proporcionar un grado razonable de confianza en la consecución de objetivos de fiabilidad de la información financiera, eficacia
y eficiencia de las operaciones y cumplimiento de las leyes y las normas aplicables.
Componentes de un Sistema de Control interno:
Tradicionalmente, los principales componentes de un sistema de control interno han incluido:
1. la segregación de funciones,
2. la delegación de la responsabilidad y de la autoridad,
3. existencia de personal competente y de confianza,
4. el sistema de autorizaciones,
5. documentación y registros adecuados,
6. el control físico sobre activos y registros,
7. la adecuada supervisión de la gestión,
8. la verificación independiente de las operaciones y
9. la comparación periódica de los registros contabilizados con los activos.
1.5 Modelos de control utilizados en Auditoría Informática.
Las metodologías son necesarias para desarrollar cualquier
proyecto que nos propongamos de manera ordenada y eficaz.
Laauditoria informática solo identifica el nivel de “exposición” por la falta de controles mientras el análisis de riesgos facilita la evaluación de los riesgos y recomienda acciones en base al costo-beneficio de la misma.
Todas las metodologías existentes en seguridad de sistemas van encaminadas a establecer y mejorar un entramado de contramedidas que garanticen que la productividad de que las amenazas se materialicen en hechos sea lo mas baja posible o al menos quede reducida de una forma razonable en costo-beneficio.
Todas las metodologías existentes desarrolladas y utilizadas en la auditoría y el control informático, se puede agrupar en dos grandes familias:
Cuantitativas
Cualitativas
Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la realización del trabajo, están diseñadas par producir una lista de riesgos que pueden compararse entre sí con facilidad por tener asignados unos valores numérico. Estos valores son datos de probabilidad de ocurrencia de un evento que se debe extraer de un riesgo de incidencias donde el numero de incidencias tiende al infinito.
Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base a la experiencia acumulada. Puede excluir riesgos significantes desconocidos (depende de la capacidad del profesional para usar el check-list/guía). Basadas en métodos estadísticos y lógica borrosa, que requiere menos recursos humanos / tiempo que las metodologías cuantitativas.
1.6 Principios aplicados a los auditores informáticos
Principio de beneficio de auditado. Principio de calidad. Principio de capacidad. Principio de comportamiento profesional.Principio de concentración en el trabajo. Principio de confianza. Principio de criterio propio. Principio de discreción.
…
Principio de economía. Principio de formación continua. Principio de fortalecimiento y respeto a la
profesión. Principio de independencia. Principio de información suficiente. Principio de integridad moral. Principio de legalidad.
Principio de libre competencia. Principio de no discriminación. Principio de no injerencia. Principio de precisión. Principio de publicidad adecuada. Principio de responsabilidad.Principio de secreto profesional.Principio de servicio público.Principio de veracidad.
1.7 Responsabilidades de los administradores y del auditor.
El auditor informático debe ser una persona con un alto grado de calificación técnica y al mismo tiempo estar integrado a las corrientes organizativas empresariales. Es responsable de realizar las siguientes actividades:
Verificación del control interno tanto de las aplicaciones como de los Sistemas de Información (SI), periféricos, etc.
Análisis de la administración de los SI, desde un punto de vista de riesgo de seguridad, administración y efectividad de la administración.
Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de aplicaciones.
Auditoría del riesgo operativo de los circuitos de información Análisis de la administración de los riesgos de la información y
de la seguridad implícita. Verificación del nivel de continuidad de las operaciones. Análisis del Estado del Arte tecnológico de la instalación
revisada y las consecuencias empresariales que un desfase tecnológico puede acarrear.
RESPONSABILIDADES DE LOS ADMINISTRADORES Y EL AUDITOR
Organización de la función de Auditoría Informática
La función de la auditoría informática se ha convertido en una función que desarrolla un trabajo más acorde con la importancia que para las organizaciones tienen los SI, que son su objeto de estudio y análisis. El auditor informático pasa a serauditor y consultor de empresas en materias de:
SeguridadControl interno operativoEficiencia y eficaciaTecnologías de InformaciónContinuidad de operacionesAdministración de riesgos
Los recursos humanos con los que debe contar el departamento debe ser una mezcla equilibrada de personas con formación en auditoría y organización y con perfil informático (especialidades).
Gracias.
