Auditora InformticaLa informacin es un activo de la empresa
Joaqun Carrillo [email protected]
Auditora Informtica
u El notorio incremento en el uso de computadoras para procesar la informacin a crecido en los ltimos cuarenta aos, ha determinado que, con el propsito de conseguir los objetivos que la administracin se propone, deben existir sistemas de control interno adecuados para asegurar la integridad de dicha informacin.
Auditora Informtica
Control Interno
La administracin es responsable de establecer, disear y mantener controles y procedimientos internos adecuados para alcanzar los objetivos organizacionales.
Auditora Informtica
Control Interno
Controles y procedimientos
u Las transacciones estn adecuadamente autorizadas
u Los activos estn adecuadamente protegidos contra uso no autorizado o inadecuado
u Que las transacciones estn adecuadamente registradas
Auditora Informtica
u El Auditor de Sistemas debe estar encaminado a un objetivo especfico que es el de evaluar la eficiencia y eficacia con que se est operando para que, por medio del sealamiento de cursos alternativos de accin, se tomen decisiones que permitan corregir los errores en caso de que existan, o bien mejorar la forma de actuacin.
Auditora Informtica
u Revisin, evaluacin y elaboracin de un informe dirigido al nivel ejecutivo encaminado a un objetivo especfico en el ambiente computacional y los sistemas.
Auditora Informtica
Algunos conceptos y tareas :
u Verificacin de controles en el procesamiento de la informacin y en el desarrollo de los sistemas e instalacin con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia.
u Examen y evaluacin de los procesos del rea de Procesamiento de Datos y de la utilizacin de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economa de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.
Auditora Informtica
u Proceso de recoleccin y evaluacin de evidencia encaminada a determinar si un sistema automatizado permite:
u Salvaguarda activos (Daos, Destruccin Uso no Autorizado, Robo) u Mantiene Integridad (Informacin Precisa,
Completa, Oportuna y Confiable) u Alcanza metas organizacionales (Contribucin de
funcin informtica) u Emplea recursos eficientemente (Consume
recursos adecuadamente en el procesamiento de la informacin.
u
Auditora Informtica
AUDITORA A SISTEMAS DE INFORMACIN
Emitir una opinin respecto del nivel de riesgo presente en un Sistema de Informacin Computacional, considerando los controles internos generales y especficos establecidos en el mismo para resguardar la calidad de la informacin y asegurar su correcta captura, procesamiento y entrega
Auditora Informtica
u Es el examen o revisin de carcter objetivo (independiente), crtico (evidencia), sistemtico (normas), selectivo (muestras) de las polticas, normas, prcticas, funciones, procesos, procedimientos e informes relacionados con los Sistemas de Informacin Computarizados, con el fin de emitir una opinin profesional (imparcial) con respecto a: u Eficiencia en el uso de los recursos informticos
u Validez de la informacin
u Efectividad de los controles establecidos.
Auditora Informtica
AUDITORA A PLATAFORMAS TECNOLGICAS
Emitir una opinin respecto del nivel de riesgo presente en una Plataforma Tecnolgica (infraestructura y servicios bsicos de TI).
Host (IBM, TANDEM)
Infraestructura de Redes y Comunicaciones
Centrales de Telefona
Servidores
Sistemas Operativos asociados (Microsoft-No Microsoft)
Otras aplicaciones de ms bajo nivel o propietarias (Microsoft-No Microsoft).
Almacenamiento en la nube
Auditora Informtica
Proceso
Conjunto de recursos y actividades interrelacionados que transforman elementos de entrada en elementos de salida, que cumplen un objetivo completo y agregan valor para el cliente.
IN Act 1 Act.2 Act.4 OUT
Act.3 Act. 5IN
Auditora InformticaMapa de Procesos
u Es una representacin de todos los procesos de una organizacin.
Niveles de Proceso
u Macroprocesos: Proceso de alto nivel, que se visualiza en la cadena de valor de una organizacin.
u Cadenas de Valor del Proceso: Es la representacin de un proceso, con las principales etapas de mismo, se considera los eventos "detonadores" del proceso y los resultados.
u Flujo de Actividades: Es la representacin real de un proceso conceptual. Considera tambin los roles y aplicaciones del proceso.
u Flujo de Tareas: Es la representacin del detalle de una actividad en las tareas o pasos requeridos para su ejecucin por un rol.
u Descripcin de Actividades o Tareas: Es la descripcin detallada de cmo se realiza una actividad o una tarea.
Cadena de Valor del Proceso
Cadena de Valor de TI
Auditora Informtica
Objetivos Generales de la Auditora de Sistemas
u Buscar una mejor relacin costo-beneficio de los sistemas automticos o computarizados diseados e implantados.
u Incrementar la satisfaccin de los usuarios de los sistemas computarizados
u Asegurar una mayor integridad, confidencialidad y confiabilidad (Seguridad) de la informacin mediante recomendaciones y controles.
u Conocer la situacin actual del rea informtica y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.
u Seguridad de personal, datos, hardware, software e instalaciones.
Auditora Informtica continuacin
u Apoyo de la funcin informtica a las metas y objetivos de la organizacin
u Minimizar existencias de riesgos en el uso de Tecnologa de informacin
u Decisiones de inversin y gastos innecesarios
u Capacitacin y educacin sobre controles en los Sistemas de Informacin.
Auditora Informtica ISACA.- (Information Systems Audit and Control Association)
u Con ms de 95,000 miembros en 160 pases, ISACA (www.isaca.org) es un lder mundialmente reconocido, proveedor de conocimiento, certificaciones, comunidad, apoyo y educacin en seguridad y aseguramiento de sistemas de informacin, gobierno empresarial, administracin de TI as como riesgos y cumplimiento relacionados con TI. Fundada en 1969 la no lucrativa e independiente ISACA organiza conferencias internacionales, publica el ISACA Journal, y desarrolla estndares internacionales de auditora y control de sistemas de informacin que ayudan a sus miembros a garantizar la confianza y el valor de los sistemas de informacin. Asimismo, certifica los avances y habilidades de los conocimientos de TI a travs de la mundialmente respetada Certified Information Systems Auditor (Auditor Certificado en Sistemas de Informacin) (CISA), el Certified Information Security Manager (Gerente Certificado de Seguridad de la Informacin) (CISM), Certified in the Governance of Enterprise IT (Certificado en Gobierno de Tecnologas de la Informacin Empresarial) (CGEIT) y el Certified Risk and Information Systems Control (Certificado en Riesgo y Control de Sistemas de Informacin) (CRISC). ISACA actualiza continuamente COBIT, que ayuda a los profesionales y lderes empresariales de TI a cumplir con sus responsabilidades de administracin y gestin, particularmente en las reas de aseguramiento, seguridad, riesgo y control, para agregar valor al negocio.
u El IT Governance Institute (ITGI ) (www.itgi.org) es una entidad sin fines de lucro, de investigacin independiente que proporciona orientacin a la comunidad mundial de negocios sobre temas relacionados con el gobierno empresarial de los activos de TI. El ITGI fue establecido en 1998 por ISACA, asociacin de miembros sin fines de lucro.
Auditora Informtica
Cdigo de Conducta de la ISACA (Information Systems Audit and Control Association) u Los auditores debern:
uActuar en inters de sus accionistas, empleadores, clientes y pblico en general en forma diligente, leal y honesta, y no contribuir a sabiendas en actividades ilcitas o incorrectas.
uMantener la confidencialidad de la informacin obtenida durante sus deberes. La informacin no deber ser utilizada en beneficio propio o divulgada a terceros no legitimados.
Auditora Informtica
u Cdigo de Conducta de la ISACA (Continuacin)
u Los auditores debern:
uEjercer sumo cuidado al obtener y documentar material suficiente sobre el cual basar sus conclusiones y observaciones.
uApoyar la entrega de conocimientos a la direccin, clientes y publico en general para mejorar su comprensin de la auditora y TI.
Auditora Informtica
u Cdigo de Conducta de la ISACA (Continuacin)
u Los auditores debern: uCumplir con sus deberes en forma independiente y objetiva, y evitar toda actividad que comprometa o parezca comprometer su independencia.
uMantener su capacidad en auditora de TI mediante la capacitacin continua y profesional.
Auditora Informtica
u Cdigo de Conducta de la ISACA (Continuacin)
u Los auditores debern:
uMantener altos estndares de conducta y carcter tanto en sus actividades profesionales como en las privadas.
Auditora Informtica
u CISA.- Certified Information Systems Auditor es una certificacin para auditores respaldada por la Asociacin ISACA (para ms informacin ver archivo en dropbox)
Auditora Informtica
Cdigo de Conducta British Computer Society
uConducta Profesional; dignidad, reputacin u Inters Pblico y de terceras personas uFidelidad; cumplir obligaciones con empleadores y clientes
uCompetencia tcnica u Imparcialidad; informes por escrito a sus clientes de actividades que puedan perjudicar un dictamen.
Auditora Informtica
u Perfil del Auditor de Sistemas
uTecnologas de Informacin uAdministracin uNegocio (Bancario, financiero) uMetodologas de Aseguramiento de SW
uModelos uTecnologas de Punta
Auditora Informtica
Debe ser parte de la formacin profesional:
u Hardware, Software, Compiladores ,Imgenes,
u Sistemas Operativos, Bases de Datos, Anlisis de Sistemas etc.).
u Gestin de Tecnologas de Informacin
u Seguridad, Calidad, Ingeniera de Software
u Administracin de Proyectos
Auditora Informtica
Impacto de las TI en las Organizaciones
Internet: Conocida como la red de redes, pues se trata de una de las redes ms grandes con un estimado de mil quinientos millones de usuarios (2008). Para funcionar utiliza el conjunto de protocolos TCP/IP. Fue creada a finales de la dcada del 60 y se llam al principio ARPANET; pensada para el rea militar y usada por cientficos. Intranet: Red entre computadoras montada para el uso exclusivo dentro de una empresa u hogar. Se trata de una red privada que puede o no tener acceso a Internet. Sirve para compartir recursos entre computadoras
Auditora Informtica
Impacto de las TI en las Organizaciones TCP/IP: (Transfer Control Protocol / Internet Protocol). Es el protocolo que utiliza internet para la comunicarse.
B2B: Forma de comercio electrnico en donde las operaciones comerciales son entre empresas y no con usuarios finales
CRM: Modelo de gestin orientado hacia los clientes, es el concepto ms cercano al Marketing Relacional. Sistemas informticos de apoyo a la gestin de las relaciones con los clientes, a la venta y al marketing. Con este significado CRM se refiere al Data warehouse o almacenamiento de datos con orientacin a la informacin de la gestin de ventas, y de los clientes de la empresa. Involucra: aumento de venta por cruce de productos, venta proactiva, mejorar los niveles de retencin y fidelizacin de clientes.
Auditora Informtica
Riesgos
La incertidumbre que ocurra un evento que podra tener un impacto en el logro de los objetivos.
Auditora Informtica
Riesgos
Los riesgos cuando se materializan, se denominan errores, irregularidades u omisiones, los cuales pueden generar una prdida monetaria, en la imagen de la empresa o incumplimiento de normativa externa.
Auditora Informtica
Riesgos
Riesgo = Impacto * Probabilidad
Impacto: es el efecto o consecuencia cuando el riesgo se materializa
Probabilidad: representa la posibilidad que un evento dado ocurra.
Auditora InformticaRiesgos
Riesgo Inherente: Riesgo inherente son aquellos riesgos propios de la materia y/o componentes de sta. Se entiende que una materia por su naturaleza tiene riesgos que surgen por diversas fuentes, como los errores, irregularidades o fallas que pudieran ser importantes en forma individual o en conjunto con otros riesgos. Los riesgos inherentes a la materia pueden tener o no controles elaborados por la direccin para mitigar su probabilidad o su impacto.
Los riesgos inherentes a la materia bajo anlisis pueden ser relativos al entorno, ambiente interno, procesos, informacin, etc
Auditora Informtica
Riesgos Inherentes Riesgo de Crdito Riesgo Financiero Riesgo Operacional Riesgo de Tecnologa de la Informacin Riesgo Calidad de Servicio y transparencia de la Informacin
Auditora InformticaRiesgos Inherentes
uRiesgo de Crdito: Exposicin a una prdida real o el costo de oportunidad como consecuencia del incumplimiento de pago de una persona natural o jurdica.
uRiesgo Financiero: ocurrencia de un imprevisto por variaciones o cambios en la economa local o internacional que podra afectar los descalces de caja o posiciones asumidas por inversiones y su liquidez, como asimismo los descalces globales de activos.
uRiesgo Operacional: Se define como el riesgo de prdida debido a la inadecuacin o fallas en los procesos, el personal y los sistemas internos o bien a causa de acontecimientos externos (fraudes, daos activos materiales, fallas en procesos, etc). Incluye riesgos legales y normativos.