auditoria informatica - · pdf fileobjetivos auditoria informatica asegurar: la integridad de...
TRANSCRIPT
![Page 2: AUDITORIA INFORMATICA - · PDF fileOBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y](https://reader035.vdocuments.net/reader035/viewer/2022070606/5a9de1bb7f8b9ae0108cf612/html5/thumbnails/2.jpg)
Mejora la Imagen del negocio.
Genera confianza entre los clientes internos y
externos sobre la seguridad y el control.
Disminuye los costos de la mala calidad
(reprocesos, rechazos, tiempos perdidos,
sanciones por entregas de información a
destiempo).
Sirve apoyo a la alta gerencia para establecer y
mejorar controles a los sistemas de información.
IMPORTANCIA DE LA AUDITORIA INFORMATICA
![Page 3: AUDITORIA INFORMATICA - · PDF fileOBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y](https://reader035.vdocuments.net/reader035/viewer/2022070606/5a9de1bb7f8b9ae0108cf612/html5/thumbnails/3.jpg)
AUDITORIA
Proceso sistemático en el que
se utilizan técnicas y métodos
para evaluar los controles
establecidos en una
organización, obtener las
evidencias, analizarlas,
identificar y evaluar niveles de
cumplimiento, detectar
posibles riesgos y presentar
recomendaciones para un
mejoramiento continuo.
Controles actuales Verificación Cumplimiento
El Es Deber ser
![Page 4: AUDITORIA INFORMATICA - · PDF fileOBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y](https://reader035.vdocuments.net/reader035/viewer/2022070606/5a9de1bb7f8b9ae0108cf612/html5/thumbnails/4.jpg)
AUDITORIAS
Por su origen
Auditoria Interna
Auditoria Externa
![Page 5: AUDITORIA INFORMATICA - · PDF fileOBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y](https://reader035.vdocuments.net/reader035/viewer/2022070606/5a9de1bb7f8b9ae0108cf612/html5/thumbnails/5.jpg)
AUDITORIA INFORMÁTICA
La auditoría informática es el proceso
de recoger, agrupar y evaluar
evidencias para determinar si los
controles establecidos, permiten
salvaguardar los recursos
informáticos y garantizan la
integridad, disponibilidad y
confidencialidad de los datos e
información de la empresa, si lleva a
cabo eficazmente los fines de la
organización y utiliza eficientemente
los recursos.
![Page 6: AUDITORIA INFORMATICA - · PDF fileOBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y](https://reader035.vdocuments.net/reader035/viewer/2022070606/5a9de1bb7f8b9ae0108cf612/html5/thumbnails/6.jpg)
AUDITORIA INFORMÁTICA
Proceso
Evaluar
Verificar
Recursos Informáticos
Normas
Políticas
Procedimientos
Para
De
Del De
De
Estándares
![Page 7: AUDITORIA INFORMATICA - · PDF fileOBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y](https://reader035.vdocuments.net/reader035/viewer/2022070606/5a9de1bb7f8b9ae0108cf612/html5/thumbnails/7.jpg)
OBJETIVOS AUDITORIA INFORMATICA
Asegurar:
La integridad de los datos e información,
La confidencialidad de los datos e información y
La Disponibilidad de los datos e información.
Evaluar que los controles garanticen la seguridad
del personal, los datos, el hardware, el software y
las instalaciones.
Prever la existencias de riesgos para la información
y el uso de Tecnologías de información.
Evaluar la aplicación de las normas, las políticas, y
los procedimientos informáticos.
![Page 8: AUDITORIA INFORMATICA - · PDF fileOBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y](https://reader035.vdocuments.net/reader035/viewer/2022070606/5a9de1bb7f8b9ae0108cf612/html5/thumbnails/8.jpg)
IMPORTANCIA DE LA AUDITORIA INFORMATICA
Auditoria
Informática
Mide Desempeño de
Las tecnologías de Información Controles
normas,
políticas
Mejoramiento Continuo
Integridad
Confidencialidad
Disponibilidad
Para garantizar
De la Gestión Informática
De los recursos Informáticos
![Page 9: AUDITORIA INFORMATICA - · PDF fileOBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y](https://reader035.vdocuments.net/reader035/viewer/2022070606/5a9de1bb7f8b9ae0108cf612/html5/thumbnails/9.jpg)
ETAPAS DEL TRABAJO DE AUDITORIA
Planeación
Ejecución
Información.
![Page 10: AUDITORIA INFORMATICA - · PDF fileOBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y](https://reader035.vdocuments.net/reader035/viewer/2022070606/5a9de1bb7f8b9ae0108cf612/html5/thumbnails/10.jpg)
ETAPAS PARA REALIZAR UN TRABAJO DE AUDITORIA
Planeación
Identificar la infraestructura informática del centro de
computo.
Conocer las políticas, normas, procedimientos y
estándares de esta área
La Planeación debe definir:
Objetivos.
Técnicas a utilizar.
Personal participante, duración, horario, Alcance
Elaboración de cronogramas
Calculo de la muestra, Diagramas de Pareto,
aplicación de formulas, diagramas de flujo,
![Page 11: AUDITORIA INFORMATICA - · PDF fileOBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y](https://reader035.vdocuments.net/reader035/viewer/2022070606/5a9de1bb7f8b9ae0108cf612/html5/thumbnails/11.jpg)
ETAPAS PARA REALIZAR UN TRABAJO DE AUDITORIA
EJECUCION
Revisión y evaluación de controles, normas,
políticas de seguridad, diagramas, procesos
históricos (backups), documentación.
Examen detallado de áreas criticas.
Análisis de Vulnerabilidad, Amenazas y Riesgos
evaluación de Riesgos y su impacto.
Recolección de evidencias y hallazgos
![Page 12: AUDITORIA INFORMATICA - · PDF fileOBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y](https://reader035.vdocuments.net/reader035/viewer/2022070606/5a9de1bb7f8b9ae0108cf612/html5/thumbnails/12.jpg)
Hallazgos de auditoría
Hechos relevantes que significan debilidad en el
control interno y resultan de la comparación del
Deber Ser con el ES (evidencia de auditoría).
NOTA Los hallazgos de la auditoría pueden
indicar tanto conformidad o no conformidad y
pueden generar oportunidades de mejora.
![Page 13: AUDITORIA INFORMATICA - · PDF fileOBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y](https://reader035.vdocuments.net/reader035/viewer/2022070606/5a9de1bb7f8b9ae0108cf612/html5/thumbnails/13.jpg)
CLASIFICACIÓN DE LOS HALLAZGOS
Desviación Positiva
Cuando el desempeño obtenido supera lo esperado (fortaleza)
Desempeño esperado= Conformidad
Desviación Negativa: Cuando el resultado se encuentra por debajo de lo esperado se genera: No conformidad
aspecto por mejorar
oportunidad de mejora.
![Page 14: AUDITORIA INFORMATICA - · PDF fileOBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y](https://reader035.vdocuments.net/reader035/viewer/2022070606/5a9de1bb7f8b9ae0108cf612/html5/thumbnails/14.jpg)
CLASIFICACIÓN DE LOS HALLAZGOS
Las no conformidades se consideran como tal cuando:
Se incumple con un requisito, de una norma o política o procedimiento de la organización. Este tipo de desviación afecta el normal desarrollo del negocio.
Impactan los objetivos de la empresa.
Impactan la parte económica.
Impactan los resultados de la organización.
Incumplen requisitos legales.
![Page 15: AUDITORIA INFORMATICA - · PDF fileOBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y](https://reader035.vdocuments.net/reader035/viewer/2022070606/5a9de1bb7f8b9ae0108cf612/html5/thumbnails/15.jpg)
CLASIFICACIÓN DE LOS HALLAZGOS
Las oportunidades de mejora se dan cuando:
Se presenta incumplimiento por
desconocimiento de normas internas.
fallas leves encontradas en normas, políticas o
procedimientos internos.
Problemas de comunicación interna.
Falta de actualización de normas, políticas o
procedimientos.
![Page 16: AUDITORIA INFORMATICA - · PDF fileOBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y](https://reader035.vdocuments.net/reader035/viewer/2022070606/5a9de1bb7f8b9ae0108cf612/html5/thumbnails/16.jpg)
ELEMENTOS DE UN HALLAZGO
CONDICION: Lo que Es.
La situación encontrada, debe detallarse los
elementos que se encontraron.
CRITERIO: Lo que debe Ser.
Es la norma o política o procedimiento con el
que se compara la condición
CAUSA: Por Que.
Razón porque ocurrió la condición. El porque de
la diferencia entre el criterio y la condición
![Page 17: AUDITORIA INFORMATICA - · PDF fileOBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y](https://reader035.vdocuments.net/reader035/viewer/2022070606/5a9de1bb7f8b9ae0108cf612/html5/thumbnails/17.jpg)
EFECTOS: Las consecuencias.
Puede ser perdidas económicas, daños a la
imagen, sanciones legales, gastos indebidos,
informes inexactos, uso ineficiente de los
recursos humanos o financieros etc.
Una adecuada identificación de los efectos,
permite adoptar acciones correctivas.
CONCLUSIONES: basadas en los hallazgos
RECOMENDACIONES: Anular o mejorar la
condición
![Page 18: AUDITORIA INFORMATICA - · PDF fileOBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y](https://reader035.vdocuments.net/reader035/viewer/2022070606/5a9de1bb7f8b9ae0108cf612/html5/thumbnails/18.jpg)
ETAPAS PARA REALIZAR UN TRABAJO DE AUDITORIA
INFORMACION
Redacción del Informe final (comunicación de resultados:
Relación de evidencias y hallazgos.
Conformidades y no conformidades encontradas.
Causas.
Sugerencias.
Solicitud de planes de acción.
![Page 19: AUDITORIA INFORMATICA - · PDF fileOBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y](https://reader035.vdocuments.net/reader035/viewer/2022070606/5a9de1bb7f8b9ae0108cf612/html5/thumbnails/19.jpg)
OBJETIVOS ESPECÍFICOS DE LA AUDITORIA
INFORMÁTICA
• Comprobar la seguridad y confiabilidad de la
información.
• el control de la función informática,
• el análisis de la eficiencia de los Sistemas
Informáticos,
• la verificación del cumplimiento de la
Normativa en este ámbito.
• la revisión de la eficaz gestión de los
recursos informáticos.
![Page 20: AUDITORIA INFORMATICA - · PDF fileOBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y](https://reader035.vdocuments.net/reader035/viewer/2022070606/5a9de1bb7f8b9ae0108cf612/html5/thumbnails/20.jpg)
CAUSAS PARA INICIAR UNA A.I.
Baja Productividad de los empleados que trabajan con sistemas de información.
Informes que se entregan a destiempo o con errores.
Perdida o Ausencia de datos.
Fallas constantes de los sistemas de Información.
Aumento considerable e injustificado del presupuesto del Dpto. de Informática.
Descubrimiento de fraudes efectuados con el computador.
![Page 21: AUDITORIA INFORMATICA - · PDF fileOBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y](https://reader035.vdocuments.net/reader035/viewer/2022070606/5a9de1bb7f8b9ae0108cf612/html5/thumbnails/21.jpg)
CAUSAS PARA INICIAR UNA A.I.
No definición de políticas, objetivos, normas,
metodologías computacionales.
Descontento general de los usuarios por
fallas en los sistemas de información.
Verificación de los controles de seguridad
establecidos por la implementación de
nuevas tecnologías.
![Page 22: AUDITORIA INFORMATICA - · PDF fileOBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y](https://reader035.vdocuments.net/reader035/viewer/2022070606/5a9de1bb7f8b9ae0108cf612/html5/thumbnails/22.jpg)
TECNICAS DE AUDITORIA
![Page 23: AUDITORIA INFORMATICA - · PDF fileOBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y](https://reader035.vdocuments.net/reader035/viewer/2022070606/5a9de1bb7f8b9ae0108cf612/html5/thumbnails/23.jpg)
TECNICAS DE AUDITORIA
Son las prácticas de investigación y prueba
que utiliza el auditor para obtener la evidencia
necesaria que fundamente sus opiniones y
conclusiones.
Su empleo se basa en su criterio o juicio, según
las circunstancias.
![Page 24: AUDITORIA INFORMATICA - · PDF fileOBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y](https://reader035.vdocuments.net/reader035/viewer/2022070606/5a9de1bb7f8b9ae0108cf612/html5/thumbnails/24.jpg)
CUESTIONARIOS
Son formatos previamente diseñados por el
Auditor sobre un tema especifico y que se
entregan al auditado, con el fin de que lo
diligencie.
Los datos contestados se confrontan con otros
medios.
![Page 25: AUDITORIA INFORMATICA - · PDF fileOBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y](https://reader035.vdocuments.net/reader035/viewer/2022070606/5a9de1bb7f8b9ae0108cf612/html5/thumbnails/25.jpg)
INSPECCIÓN
Técnica que consiste en hacer una revisión o
examinar los recursos informáticos de la
empresa (Hardware, Software, Redes,
Comunicaciones)
Esta técnica se aplica sobre los objetos como:
hardware, software, redes, documentos, normas,
procedimientos, políticas, no se aplica sobre
personas como: clientes internos o clientes
externos, proveedores.
![Page 26: AUDITORIA INFORMATICA - · PDF fileOBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y](https://reader035.vdocuments.net/reader035/viewer/2022070606/5a9de1bb7f8b9ae0108cf612/html5/thumbnails/26.jpg)
LA ENTREVISTA
Es una de las actividades personales más
importante del auditor; en ellas, recoge más
información y mejor matizada que la
proporcionada por medios como las respuestas
escritas o cuestionarios.
La entrevista entre auditor y auditado se basa
fundamentalmente en el concepto de
interrogatorio.
![Page 27: AUDITORIA INFORMATICA - · PDF fileOBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y](https://reader035.vdocuments.net/reader035/viewer/2022070606/5a9de1bb7f8b9ae0108cf612/html5/thumbnails/27.jpg)
CONFIRMACIÓN
Consiste en comprobar la veracidad y
confiabilidad de las evidencias. Esta puede ser
con entidades internas como un usuario o un
departamento o entidades externas como
proveedores, clientes, entidades del estado etc.
![Page 28: AUDITORIA INFORMATICA - · PDF fileOBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y](https://reader035.vdocuments.net/reader035/viewer/2022070606/5a9de1bb7f8b9ae0108cf612/html5/thumbnails/28.jpg)
MATRIZ DOFA
Debilidades – Oportunidades – Fortalezas –
Amenazas.
Al interior de la organización: examinar
fortalezas, y debilidades.
Al exterior de la organización: examinar
oportunidades y amenazas
![Page 29: AUDITORIA INFORMATICA - · PDF fileOBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y](https://reader035.vdocuments.net/reader035/viewer/2022070606/5a9de1bb7f8b9ae0108cf612/html5/thumbnails/29.jpg)
EL CHECKLIST
Es un formato u hoja de verificación, para
realizar revisiones sistemáticas o
cumplimiento de requisitos en un sistema de
información, en el cumplimiento de normas,
políticas o procedimientos, con respuestas
cerradas (si, no) o con calificaciones
cuantitativas.
![Page 30: AUDITORIA INFORMATICA - · PDF fileOBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y](https://reader035.vdocuments.net/reader035/viewer/2022070606/5a9de1bb7f8b9ae0108cf612/html5/thumbnails/30.jpg)
![Page 31: AUDITORIA INFORMATICA - · PDF fileOBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y](https://reader035.vdocuments.net/reader035/viewer/2022070606/5a9de1bb7f8b9ae0108cf612/html5/thumbnails/31.jpg)
TIPOS CHECKLIST
Los cuestionarios o Checklist responden
fundamentalmente a dos tipos de "filosofía" de
calificación o evaluación:
Checklist de calificación o rango
Contiene preguntas que el auditor debe
puntuar dentro de un rango preestablecido por
ejemplo, de 1 a 5, siendo 1 la respuesta más
negativa y el 5 el valor más positivo.
![Page 32: AUDITORIA INFORMATICA - · PDF fileOBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y](https://reader035.vdocuments.net/reader035/viewer/2022070606/5a9de1bb7f8b9ae0108cf612/html5/thumbnails/32.jpg)
TIPOS CHECKLIST
Las respuestas tienen los siguientes
significados:
1 : Muy deficiente.
2 : Deficiente.
3 : Mejorable.
4 : Aceptable.
5 : Correcto.
![Page 33: AUDITORIA INFORMATICA - · PDF fileOBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y](https://reader035.vdocuments.net/reader035/viewer/2022070606/5a9de1bb7f8b9ae0108cf612/html5/thumbnails/33.jpg)
TIPOS CHECKLIST
Checklist de evaluación o Binario
Es el constituido por preguntas con respuesta
única y excluyente: Si o No. Aritméticamente,
equivalen a 1(uno) o 0(cero), respectivamente.
![Page 34: AUDITORIA INFORMATICA - · PDF fileOBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y](https://reader035.vdocuments.net/reader035/viewer/2022070606/5a9de1bb7f8b9ae0108cf612/html5/thumbnails/34.jpg)
TECNICAS DE AUDITORIA
Trazas o Huellas:
El auditor informático debe verificar que los
programas, realicen exactamente las funciones
previstas, y no otras. Para ello se apoya en
Software un especial, que permite rastrear los
caminos que siguen los datos a través del
programa, verificando entre otras las
validaciones de datos previstas.
![Page 35: AUDITORIA INFORMATICA - · PDF fileOBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y](https://reader035.vdocuments.net/reader035/viewer/2022070606/5a9de1bb7f8b9ae0108cf612/html5/thumbnails/35.jpg)
TECNICAS DE AUDITORIA
Log:
El log es un historial que informa todo lo que
hizo la Aplicación al ingresar, modificar, y borrar
datos, (quien cuando, donde), todo queda
grabado en el log como una transacción.
El log permite analizar cronológicamente que
fue lo que sucedió con los datos.
Carlos A Jara