La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Auditoría y Seguridad de Sistemas de Información Principales Actividades de la Auditoría de Sistemas MBA Luis Elissondo.

Publicada porIgnacio Padilla Rubio Modificado hace 8 años

Presentaciones similares

Presentación del tema: "Auditoría y Seguridad de Sistemas de Información Principales Actividades de la Auditoría de Sistemas MBA Luis Elissondo."— Transcripción de la presentación:

1 Auditoría y Seguridad de Sistemas de Información Principales Actividades de la Auditoría de Sistemas MBA Luis Elissondo

2 Agenda Introducción Conceptos Iniciales Riesgos de Aplicación Base de Datos y Sistemas Integrados Auditoria del Proceso de Adq. De Soft Seguridad y Plan de Contingencia COBIT y Normas de Seguridad y Auditoría Herramientas para la Auditoria ACL Negocios en Internet Introducción Conceptos Iniciales Riesgos de Aplicación Base de Datos y Sistemas Integrados Auditoria del Proceso de Adq. De Soft Seguridad y Plan de Contingencia COBIT y Normas de Seguridad y Auditoría Herramientas para la Auditoria ACL Negocios en Internet

3 Se solicitan Auditores para el próximo milenio.... “La Auditoría ha cambiado de un enfoque de viejas nociones reactivas hacia una actitud proactiva, con una fuerte inclinación hacia detección de fraudes, monitoreo continuo y capacidad para mejorar procesos del negocio” Fuente: “Future Report: Audit and Data Analysis Technology” “La Auditoría ha cambiado de un enfoque de viejas nociones reactivas hacia una actitud proactiva, con una fuerte inclinación hacia detección de fraudes, monitoreo continuo y capacidad para mejorar procesos del negocio” Fuente: “Future Report: Audit and Data Analysis Technology”

4 Nvas. Ideas sobre Auditoría  Tiene que ser percibida como un valor agregado a la organización.  Los auditores internos deben adoptar la perspectiva de la cadena entera de valor.  Ver más allá de sus propios procesos para reflejarse como conductores de servicios organizacionales.  Los estándares y otras guías profesionales no sólo deben orientar la profesión, sino también, lograr simbolizar una calidad distintiva en el mercado.

5 Nuevos retos a superar Mayor productividad Reducción de costos Mayor calidad y confiabilidad Menor plazo de entrega de los trabajos Servicios de valor agregado Mayor productividad Reducción de costos Mayor calidad y confiabilidad Menor plazo de entrega de los trabajos Servicios de valor agregado

6 Por que preocuparme por este tema? Hacia el año 2010, Gartner prevé que los gastos en IT representarán el 50 por ciento del presupuesto de capital de la mayoría de las empresas. Es necesario utilizar mejores prácticas y disciplinas de management para administrar estos activos.

7 Como Compramos Hoy?

8 Ir al Banco

9 Como es una Oficina Hoy?

10 Leer el Diario

11 Nuevos Negocios

12 Nuevos Problemas

13 TI y Empresas TradicionalesCombinadasTecnológicas

14 Empresa y TI Comprar Vender ProducirD istribuir Campaña MKT Atención Clientes Cobrar Pagar Base de Datos Internet Redes ERP E- Business BI CRM SCM

15 Área Demandante de TI Fte:Encuesta Information Technology 2007

16 Inversión 2006 Fte:Encuesta Information Technology 2006

17 Problemas que surgen de los diagnósticos organizacionales En el plan de negocios no se suele tener presente al área de informática. Problemas de procesos (duplicidad de tareas, falta de conexión entre procesos, etc.) Problemas de actualización tecnológica soft, hard y recursos humanos. Falta del integración del usuario al proceso de desarrollo e implementación. Mal uso de recursos del negocio falta de priorización de los proyectos. Falta de Formalización de los procesos

18 Impacto del ambiente SIC Afecta la comprensión del auditor del sistema de contabilidad y de control interno. Afecta la forma en que el auditor realiza la evaluación de los riesgos. Afecta el diseño y desarrollo de pruebas de control y de procedimientos sustantivos. Requiere de nuevos conocimientos por parte del auditor (participación de otros profesionales).

19 Una definición de Auditoría de Sistemas Es un proceso formal que es llevado adelante por especialistas en auditoría y en informática a efectos de verificar y asegurar que los recursos y procesos involucrados en la construcción y explotación de los sistemas de información cumplen con los procedimientos establecidos y se ajustan a criterios de integridad, eficiencia, seguridad, efectividad y legalidad.

20 IFAC International Education Practice Statement 2 User Role IT Control Compentences (Agosto 2006) Evaluar el ambiente de Control Interno de TI (Regulaciones, Comité de Control, Estructura Organizacional, politicas de RRHH,etc) Evaluar los objetivos de TI (Objetivos estratégicos de TI) Evaluar como la Org. Identificar y estimar el impacto funcional y monetario de los riesgos de TI. Evaluar las actividades de control interno de TI(efectividad del diseño y explotación de los sistemas, integridad de datos, adquisición y desarrollo de sistemas, uso de estándares para el diseño, desarrollo y adq. De sistemas. Evaluar el proceso de comunicación Evaluar el proceso de cambios Conocimiento de sistemas operativos, software de procesamiento, base de datos,seguridad, plan de contigencia, ERP, CRM, Comercio Electrónico.

21 Ciclo de vida de la Información Generación Registro Modificación / Consulta Eliminación

22 Que es un SI Sistema de Información EntradaProceso Salida Clientes ProveedoresBancos DGI Accionistas Competidores Almc

23 Flujo de los Procesos PERSONAS TECNOLOGIA Flujo Trabajo Flujo Información

24 ¿De que hablamos cuando decimos Tecnología Informática? Tecnología Informática (Oferta) – Hardware y Software – Tecnología de Comunicaciones y Base de datos – Metodología para la construcción de aplicaciones. Sistemas de Información (Demanda) – Necesidades de Información – Requermientos del Negocio A P L I C A C I O N E S

25 Control Interno – Def COSO (Committee Of Sponsoring Organizations). PROCESO EFECTUADO POR EL DIRECTORIO DE UNA ENTIDAD, LA GERENCIA Y OTROS MIEMBROS DE LA ENTIDAD DISEÑADO PARA PROPORCIONAR UNA SEGURIDAD RAZONABLE ACERCA DEL LOGRO DE OBJETIVOS

26 Definición de Control Interno Ambiente de Control Proceso de análisis de Riesgos El sistema de información, y los procesos de negocios relacionados, que son relevantes para el proceso de comunicación y de reportes financieros. Actividades de Control Monitoreo de controles

27 Características de elementos automatizados o manuales del CI La TI brinda beneficios en efectividad y eficiencia y le permite a la organización: Aplicación consistente de las reglas de negocio y realización de cálculos complejos y el procesamiento de grandes volúmenes de datos. Permite mejorar los tiempos, acceso y exactitud de la información. Facilita análisis adicionales de información. Permite monitorear el desempeño de la organización y de sus políticas y procedimientos. Reduce el riesgo de que los controles sean eludidos. Permite la efectiva separación de responsabilidades a través de controles de aplicación, base de datos y sistemas operativos

28 Características de elementos automatizados o manuales del CI IT también poses riesgos específicos, tales como: Existen sistemas o programas que procesan inadecuadamente los datos o no procesan los datos, o ambos. Accesos no autorizados pueden resultar en la destrucción o cambios inapropiados de los datos, incluyendo el registro de transacciones no autorizadas o inexistentes. Este riesgo se ve incrementado cuando varios usuarios acceden a la base de datos. Personal de TI posea privilegios de accesos que exceden lo necesario para la realización de sus tareas. Cambios no autorizados en registros maestros Cambios no autorizados a programas Fallos que hacen necesarios cambios en los sistemas. Potencial para la pérdida de datos o falta de acceso a los mismos.

29 Características de elementos automatizados o manuales del CI La intervención manual en los sistemas suele ser necesaria en los siguientes casos: Transacciones inusuales. Circunstancias donde los errores son difíciles de definir, anticipar o predecir. Circunstancias cambiantes que requieren un control no previsto, distinto a los controles automatizados. En el monitoreo de la efectividad de los controles automatizados.

30 Como obtener el conocimiento de los sistemas de información Determinar los tipos de operaciones que son significativas para los estados contables. Los procesos donde las transacciones son iniciadas, registradas, procesadas y reportadas en los estados contables. Los registros contables soportados en los sistemas de información. Como los sistemas capturan hechos u otras clases de transacciones que son significativas para los estados financieros. Analizar como se transfiere la información desde los sistemas de procesamientos generales al sistema contable La preparación de la información para los estados financieros suele ser acumulada, registrada, procesada y sumarizada.

31 Como obtener el conocimiento de los sistemas de información Se debe tener cuidado cuando se realiza la transferencia automática de información, ya que podría no quedar evidencia de tales movimientos. Se debe prestar atención a situaciones tales como el tratamiento de errores o items en suspenso y como son aclarados. Como los sistemas que utiliza para registrar sus operaciones básicas se encuentran respecto a la normativa legal vigente.

32 Desarrollo Práctico Caso Fabrica de Helados

33 Actividades de Control Existencia de Actividades de Control respecto de: Autorización Análisis de performance Procesamiento de la Información Controles físicos Segregación de responsabilidades El auditor debe obtener conocimiento acerca de cómo la entidad responde a los riesgos que presenta el uso de TI, mediante el análisis de los controles generales y de aplicación. Los SI seran efectivos en lamedida que mantengan la integridad y seguridad en el procesamiento de la información.

34 Actividades de Control Son controles generales aquellos que corresponden a muchas aplicaciones y soportan el efectivo funcionamiento de los mismos y aseguran el efectiva continuidad de operación de los sistemas de información: Data center y operación de la Red. Adquisición, cambio y mantenimiento de sistemas. Seguridad de acceso Adquisición, desarrollo y mantenimiento de Aplicativos. Los controles de aplicación son aquellos que se corresponden con tareas realizadas en los procesos de negocios y que tiene por objetivo el adecuado ingreso, registro, procesamiento y reporte de la información

35 ? ? ? ? ? Conclusiones y Preguntas

Descargar ppt "Auditoría y Seguridad de Sistemas de Información Principales Actividades de la Auditoría de Sistemas MBA Luis Elissondo."

Presentaciones similares

SEMINARIO DE AUDITORÍA INTEGRAL

SEMINARIO DE AUDITORÍA INTEGRAL
Ingeniería de Software II

Ingeniería de Software II
COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.

COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Gustavo Ramiro Soliz Garnica

Gustavo Ramiro Soliz Garnica
NIA 520 PROCEDIMIENTOS ANALÍTICOS

NIA 520 PROCEDIMIENTOS ANALÍTICOS
FUNDAMENTOS DE AUDITORIA

FUNDAMENTOS DE AUDITORIA
AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS

AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS
AUDITORIA TECNOLOGIAS DE INFORMACION

AUDITORIA TECNOLOGIAS DE INFORMACION
AUDITORIA DE SISTEMAS Conceptos introductorios

AUDITORIA DE SISTEMAS Conceptos introductorios
Universidad de Buenos Aires Facultad de Ciencias Económicas

Universidad de Buenos Aires Facultad de Ciencias Económicas
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
AUDITORIA DE SISTEMAS DE INFORMACIÓN

AUDITORIA DE SISTEMAS DE INFORMACIÓN
SISTEMA DE CONTROL DE LA MISIÓNDEL PROCESOALCANCECONTABILIDA D ADMINISTRATIVO *Garantizar la eficiencia, eficacia y economía en todas las operaciones.

SISTEMA DE CONTROL DE LA MISIÓNDEL PROCESOALCANCECONTABILIDA D ADMINISTRATIVO *Garantizar la eficiencia, eficacia y economía en todas las operaciones.
UNA HERRAMIENTA PARA AGREGAR VALOR

UNA HERRAMIENTA PARA AGREGAR VALOR
INSTITUTO DE CIENCIAS MATEMÁTICAS Presentado por:

INSTITUTO DE CIENCIAS MATEMÁTICAS Presentado por:
Metodología de Control Interno, Seguridad y Auditoría Informática

Metodología de Control Interno, Seguridad y Auditoría Informática

Presentaciones similares

Anuncios Google