Definicion de Auditoria de Sistemas Informaticos
-
Upload
luis-jesus-perez-pereda -
Category
Documents
-
view
30 -
download
1
description
Transcript of Definicion de Auditoria de Sistemas Informaticos
1
AUDITORÍA Y
SEGURIDADCURSO
Capítulo 05 – Definición de
Auditoría de Sistemas
Teoría
2
Objetivo de Sesión• Definición
• Características
• Riesgos
• Tipos y clasificación
• Justificación
• Objetivos
• Perfil
• Rol
• Conclusiones y Preguntas
Profesor: Oscar Gómez Marín 3
¿Qué es la Auditoría de Sistemas?
Es el examen crítico que se realiza concarácter objetivo con el fin evaluar laeficiencia y eficacia de la utilización de losrecursos informáticos y de la gestióninformática de un período determinado encumplimiento de los objetivos del negocio
4
OBJETIVA
Es la medida en que considera que el auditor debe mantener una
actitud inteligente, respecto de las actividades a examinar en la
entidad; en función de los objetivos de auditoria.
SISTEMÁTICA Y PROFESIONAL
Porque responde a un proceso que es debidamente planeado y
porque debe ser desarrollada por profesionales idóneos y
expertos, sujetos a normas profesionales y al código de ética
profesional.
CONCLUYENTE
Termina en un informe escrito, en cuyo contenido se presentan
los resultados del examen realizado, incluyendo observaciones,
conclusiones y recomendaciones.
CARACTERISTICAS DE UNA AUDITORIA
5
RIESGO DE AUDITORÍA
El riesgo de que el auditor emita inadvertidamente una opinión
de auditoría sin salvedad sobre los hechos que contengan
errores e irregularidades de importancia relativa.
Ejemplo: Que el auditor emita una opinión sin las
evidencias completas a los auditados sobre un hecho en
proceso de investigación
RIEGO DE CONTROL
El riesgo de que los controles internos no prevengan, no
detecten ni corrijan oportunamente los errores e
irregularidades significativos que puedan ocurrir.
Ejemplo: De un S.I. de 20 controles, selectivamente se
evalúan 6, los cuales al final de la evaluación de dichos
control no son significativos
RIESGOS EN UNA LABOR DE AUDITORÍA
6
RIESGO INHERENTE
La posibilidad de que ocurran errores o irregularidades
significativas, sin considerar en efecto de control interno.
Ejemplo: La posibilidad de que un saldo de una cuenta o
una transacciones hayan sufrido distorsiones por
problemas de sectores físico del almacenamiento
RIESGO DE DETECCIÓN
El riesgo de que nuestros procedimientos sustantivos de
auditoría no detecten errores o irregularidades significativas.
Ejemplo: Los procedimientos de los programas de
auditoria planificado durante su desarrollo no detectan
evidencias significativas
RIESGOS EN UNA LABOR DE AUDITORÍA
7
RIESGO MUESTRAL
Riesgo que surge de la posibilidad de que las conclusiones del
auditor, basadas en muestras, pueden ser diferentes de las
conclusiones a que habría llegado si la población muestral
completa hubiera sido sometida al mismo procedimiento de
auditoría.
Ejemplo: En la empresa ABC de los 25 sistemas solo se
evalúa 5 emitiendo la comisión un juicio sobre todos ellos al
final un juicio que puede ser no significativo que si se
hubieran verificado todos los SI
RIESGOS EN UNA LABOR DE AUDITORÍA
8
TIPOS Y CLASIFICACIONES DE
AUDITORIAS DE SISTEMAS
9
JUSTIFICACIÓN DE UNA AUDITORÍA
DE SISTEMAS• Aumento considerable e injustificado del presupuesto e
inversiones del Área de Informática, sin la obtención deresultados favorables.
• Desconocimiento de la alta dirección sobre la situacióninformática de la empresa y carece de tiempo para podereducarse en áreas técnicas
• Descubrimiento de fraudes, robos, estafas electrónicos.
• Falta de organización y planificación informática
• Área de informática que no funciona eficientemente y nogenera independencia a otras áreas
• Descontento de las áreas usuarios sobre las TICimplementadas
• Documentación incompleta o faltante de los sistemas enexplotación que limita efectuar un mantenimiento oportuno.
• Evaluación y resultados de la tercerización (outsourcing)
• Otras que estén debidamente justificadas.
10
OBJETIVOS DE UNA AUDITORIA DE SISTEMAS
• Evaluar la relación costo-beneficio de las TICimplementados
• Evaluar la satisfacción de las necesidades de los usuariossobre las TIC utilizadas en la organización.
• Verificación de la integridad, confidencialidad yconfiabilidad de la información registrada y procesada porlos sistemas de información.
• Establecer la situación del área de informática, lasactividades y esfuerzos realizados para el logro de losobjetivos propuestos.
• Verificar la seguridad de personal, controles, datos,hardware, software e instalaciones.
• Verificar si existen de riesgos en el uso de tecnología deinformación y comunicaciones.
• Evaluar las decisiones de inversión y gastos.
11
Es el profesional de ingeniería de sistemas oafín que pone a disposición de la labor deauditoria sus conocimientos de informática yexperiencia profesional aplicando técnicas yherramientas según el caso lo requiera
Las actividades típicas donde el auditor desistemas se desarrolla se pueden clasifican en:• Auditoría a la Gestión del Área de Informática.
• Auditoría informática de sistemas
• Auditoría informática de explotación
• Auditoría informática de comunicaciones
• Auditoría informática de desarrollo
• Auditoría informática de seguridad
• Apoyo a los auditores no informáticos
EL AUDITOR DE SISTEMAS ?
12
PERFIL DEL AUDITOR DE SISTEMAS (1)
- Profesional de la especialidad de ingeniería de sistemas o afín
- Habilidad para investigar un hecho y documentar su trabajo
- Experiencia en el área de sistemas
- Conocimiento de herramientas TAAC
- Capacidad de trabajar en equipo con profesionales y técnicos dediferentes especialidades
- Habilidad para comunicarse con las personas de las áreasauditadas
- Conocimientos de normatividad y procedimientos de auditoria
- Conocimientos de técnicas de análisis de riesgo aplicado a laauditoria de sistemas de información
- De preferencia con años de experiencia en control
- Deseable contar con certificaciones de auditoria
y horas de capacitación en auditoria.
(1) Debido a la característica cambiante del ambiente del área de sistemas, producto en mucho de los casos por la
continua incorporación de nuevas tecnologías, es necesario que el Auditor de Sistemas este en permanente proceso de
capacitación, perfeccionamiento y actualización.
13
ROL DEL AUDITOR DE SISTEMAS (*)
• Revisar documentación de su competencia.
• Validar hechos que hagan daño a la Organizacióny estrategias para reducirlos a través de lasrecomendaciones.
• Responder al nivel de participación en una laborde auditoria.
• Preparar, revisar y modificar el programa deauditoria en caso de ser necesario.
• Verificación y evaluación de controles
(*) Rol.- Conjunto de funciones que definen la conducta social del individuo y que le sonexigidos por la sociedad para reforzar su capacidad de integración (“La Enciclopedia” -Salvat Editores S.A. 2004 Pag. 13521)
14
Conclusiones
• Conocer la definición de auditoria de
sistemas
• Conocimiento de riesgos en una labor
de auditoria
• Tipos y clasificación de la auditoria de
sistemas
• Conocer los objetivos y justificación
de una auditoria de sistemas
• Conocer la importancia del auditor de
sistemas, el rol y perfil necesario
15
Preguntas ..?
• …….
• …….
• …….
• …….
• …….
• …….