Tema 11

Sistemas Informativos de Gestión Curso 2014/2015

Tema 11

SEGUIMIENTO DE UN SISTEMA DE INFORMACIÓN (II). AUDITORIA


2

Definiciones de Auditoría informática

Causas de Auditoría Informática

Objetivos de la Auditoría Informática

El auditor y el departamento de auditoría informática

Tipos de auditoría informática

Metodología para la realización de una auditoría informática

Herramientas, técnicas y normas para la auditoría informática

ESQUEMA


3

La revisión, verificación y evaluación de un

conjunto de métodos, técnicas y herramientas de

los sistemas de información de una organización,

de forma discontinua y a petición de su Dirección

y con el fin de mejorar su rentabilidad, seguridad

y eficacia

DEFINICIONES DE AUDITORÍA INFORMÁTICA


4

Desorganización

Insatisfacción de usuarios

Debilidades económico- financieras

Inseguridad de los Sistemas de Información

Cumplimiento de la legalidad

CAUSAS DE LA AUDITORÍA INFORMÁTICA


5

Objetivos fundamentales:

Mantenimiento de la operatividad

La mejora de la eficiencia, la seguridad y la

rentabilidad del SI sobre el que actúa.

Beneficios para una entidad que ha sido

auditada:

Refuerza la imagen pública

Otorga confianza en los usuarios sobre la

seguridad y control de los servicios de T.I

Optimiza las relaciones internas

Reduce los costos de la mala calidad

Proporciona un balance de los riesgos en TI

Realiza un control de la inversión en TI

OBJETIVOS DE LA AUDITORÍA INFORMÁTICA


6

El auditor observa, juzga y recomienda.

Debe ser independiente, con buena preparación,

teórica y práctica.

Cualificación de auditor:

Educación

Experiencia

Habilidad para la comunicación

Entrenamiento específico en S.I

EL AUDITOR INFORMÁTICO


7

¿Qué debe hacer el auditor?

Recomendar

Ser independiente, objetivo

Ser competente en A.I

Diagnosticar en base a verificaciones

Actualizarse

¿Qué no debe hacer el auditor?

Obligar o amenazar

Actuar en beneficio propio

Diagnosticar en base a suposiciones

Dejar obsoletos sus conocimientos

EL AUDITOR INFORMÁTICO


8

No debe depender del Responsable de

Informática ni de ninguna de sus áreas, y

tampoco del Administrador de Seguridad.

Podría depender de la Dirección General o del

Director de Auditoría General

La organización tipo de la A.I deber contemplar

los siguientes principios:

Su localización puede estar ligada a la localización

de la auditoría interna

Debe ser independiente de auditoría interna

EL DEPARTAMENTO DE AUDITORIA INFORMÁTICA


9

Tipos de auditoría en general:

De gestión

Operacional

Financiera

Contable

Organizativa

De Calidad

Informática

TIPOS DE AUDITORIA


10

Según áreas a considerar

Áreas generales

Áreas específicas

Según los realizadores

Interna

Externa

Mixta

Según el ámbito de aplicación

De cifras

De procedimientos

De gestión

Según la especificidad

De cumplimiento de controles

De concienciación de la Dirección y los usuarios

De cumplimiento de la legislación vigente

De remuneración de los RRHH del departamento de S.I.

TIPOS DE AUDITORIA INFORMÁTICA


11

Según áreas a considerar

Áreas generales

» Dirección de informática

» Usuarios

» Interna

» Seguridad (actividades generales)

Áreas específicas

» Explotación

» Desarrollo

» Sistemas con sistemas operativos (SW básico y de

procesos)

» Comunicaciones

» Seguridad física y lógica



12

Según los realizadores

Interna

» Por personas de la empresa

» Ventaja: Los responsables pertenecen a la propia

empresa

» Inconveniente: Falta de objetividad

Externa

» Se realiza por personas ajenas a la empresa

» Ventaja: Objetividad

» Inconvenientes:

– Alejamiento de la problemática de la empresa

– Mayores costes

Mixta

» Equipo mixto de auditores internos y externos



13

Según el ámbito de aplicación

De cifras

» Control de entrada de datos

» Control de tratamiento de datos

» Control de salidas de datos

De procedimientos

» Adecuación de los métodos utilizados

» Adecuación de la documentación

» Adecuación de la normativa aplicada

De gestión



14

Según la especificidad

De cumplimiento de controles

De concienciación de la Dirección y los usuarios

De cumplimiento de la legislación vigente

De remuneración de los RRHH del departamento de

S.I.



15

Definición del ámbito y objetivos

Será necesario un acuerdo entre auditores y “clientes”

Definir las excepciones (lo que no será auditado)

Fijar interlocutores

Estudio previo donde se examinará:

El entorno organizativo

El entorno operativo

Entorno técnico

Determinación de recursos (humanos y materiales)

Elaboración del plan (plan de trabajo,

cronograma…)

Realización (transparencias 16 y 17)

Elaboración del informe final (transparencia 18)

METODOLOGÍA PARA LA REALIZACIÓN DE UNA A.I.


16

Construcción del equipo de trabajo

Presentación del proyecto de auditoría a los

implicados

Preparación de la documentación de trabajo

(cuestionarios)

Captura de información (entrevistas, simulaciones,

muestreos…)

Evaluación y diagnóstico (análisis de desviaciones)

Informe final

REALIZACIÓN

Lo veremos en detalle


17

ENTREVISTA

Petición de documentación

Entrevista general

Entrevista planificada, buscando

finalidades concretas

CUESTIONARIO

Check list

De rango (de 1 a 5)

Binarios (Si /No)

ENTREVISTAS Y CUESTIONARIOS


18

En forma de documento

Tres partes:

Preparación/ planificación

Situación actual y diagnóstico

Recomendaciones

Habrá otros documentos además del informe

final

Informes parciales

Borradores

Papeles de trabajo

…

ELABORACIÓN DEL INFORME FINAL


19

La cifra global del sistema informático en

cuanto a costes no debe superar el 1,5%

de la cifra de ventas.

El coste de personal informático no debe

superar el 19% del coste total del S.I.

UNAS REFERENCIAS CUANTITATIVAS …

Tema 11

Documents

Transcript of Tema 11