La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Auditoría de los Sistemas de Informacion SIS-303

Publicada porCarmela Corte Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Auditoría de los Sistemas de Informacion SIS-303"— Transcripción de la presentación:

1 Auditoría de los Sistemas de Informacion SIS-303
SIS IG

2 Auditoría: Conceptos Control Interno
Conjunto de métodos coordinados y medidas adoptadas dentro de una organización con el fin de: Salvaguardar activos, Asegurar la confiabilidad y corrección de los datos contables y extracontables Promover la eficacia y eficiencia de las operaciones Promover la adhesión a las políticas vigentes SIS IG

3 El Control Interno se instrumenta a partir de: Funciones Preventivas
Auditoría: Conceptos El Control Interno se instrumenta a partir de: Funciones Preventivas Políticas Gerenciales Misiones y Funciones Esquemas de organización Normas y procedimientos Políticas de personal Etc. Funciones de Control/Verificación La función de línea, en todos sus niveles (control operativo) La función staff (auditoría) SIS IG

4 Auditoría Auditoría: Conceptos
Es una función de control independiente del sistema controlado, que en forma sistemática y organizada debe: Comparar la característica o condición controlada, con respecto a las pautas, normas o elementos utilizados para medirla. Es decir comparar el objeto con respecto al sensor. Determinar los desvíos, e Informar a quien ordena o contrata la auditoría, que jerárquicamente debe estar por encima del sistema auditado. SIS IG

5 Concepto Moderno de Auditoría
Auditoría: Conceptos Concepto Moderno de Auditoría La Auditoría ha cambiado de un enfoque de viejas nociones reactivas hacia una actitud proactiva, con una fuerte inclinación hacia detección de fraudes, monitoreo continuo y capacidad para mejorar procesos del negocio SIS IG

6 Auditoría de Sistemas de Información
Concepto Proceso formal llevado adelante por especialistas en auditoría y en informática a efectos de verificar y asegurar que los recursos y procesos involucrados en la construcción y explotación de los sistemas de información cumplen con los procedimientos establecidos y se ajustan a criterios de integridad, eficiencia, seguridad, efectividad y legalidad. SIS IG

7 Auditoría de Sistemas de Información: Conceptos
Objeto de la Auditoría de Sist.de Información El ámbito de la ASI se refiere al entorno informático correspondiendo entenderse por tal a todo lo que conforma: Tecnología Informática (Oferta) Hardware y Software Tecnología de Comunicaciones y Base de datos Metodología para la construcción de aplicaciones. A P L I C A C I O N E S Sistemas de Información (Demanda) Necesidades de Información Requerimientos del Negocio SIS IG

8 Factores a tener en cuenta
Elementohumano Organization Integracion Direccion Supervision Comunicacionycoordinacion Delegacion Recursosmateriales Recursostecnicos Recursosfinancieros control SIS IG

9 Auditoría de Sistemas de Información: Conceptos
Principales Areas de Actividad de la A.S.I. Auditoría de la dirección (Plan Estratégico de Sistemas) Auditoría del desarrollo (gestión de proyecto) Auditoría de la Adquisición Auditoría Seguridad (Seguridad Física, Seguridad Lógica, Evaluación de Riesgos, Plan de Contingencias) Auditoría de la explotación y Mantenimiento (Utilización de sistemas, puesta en marcha, cambios de programas) SIS IG

10 Auditoría de Sistemas de Información: Conceptos
Principales Funciones de la A.S.I. Evaluación y verificación de controles y procedimientos relacionados con la función de informática Verificación del uso eficiente de los SI. Desarrollo de las actividades del área de auditoría informática de acuerdo a estándares normativos. Evaluación de las áreas de riesgo y en consecuencia planificación de las tareas del área. Realizar el monitoreo permanente de las actividades del área. Realizar el monitoreo de la seguridad. Monitoreo de la aplicación de procedimientos. Realizar una adecuada información y seguimiento de las observaciones realizadas. SIS IG

11 Auditoría de Sistemas de Información: Conceptos
Sensor Unidad de medida, el estándar o la norma con la cual voy a medir o comparar el sistema de información. Normas internas: Algunas organizaciones de cierta envergadura suelen generar su propio conjunto de normas de funcionamiento materializadas en manuales de procedimientos, cursogra-mas, flujogramas, organigramas, documentación de sistemas, etc. Normas externas: Profesionales Organismos de Control Nacionales Internacionales C.O.B.I.T Objetivos de control para la información y la tecnología Relacionada, desarrollado por la I.S.A.C.A. Asociación de Auditoría y Control de Sistemas de Información. SIS IG

12 ¿Qué es COBIT? El modelo para implantar Gobierno de TI.
Es un estándar abierto y de amplia difusión. Consta de 34 procesos y 220 Objetivos de Control de bajo nivel. Es 100 % compatible con ISO 17799, COSO I y II, y con otros estándares de menor nivel de abstracción en los que se apoya. COBIT fija el Qué y los estándares de apoyo el Cómo en materia de implantación de Gobierno de TI. SIS IG

13 COBIT Significa: Control Objectives for Information and Related Technology. Modelo desarrollado por la ISACA y el IT Governance Institute (ITGI) para llevar a la práctica el Gobierno de TI en las organizaciones. SIS IG

14 ISACA Fundada en 1969. Es una organización líder en Gobernabilidad, Control, Aseguramiento y Auditoría en TI. Con sede en Chicago USA. Tiene más de miembros en más de 100 países. Realiza eventos, conferencias, desarrolla estándares en IT Governance, AssuranceandSecurity. COBIT: 1ra Edición 1996 2da Edición 1988 3ra Edición 2000 4ta Edición (Nov/Dic) SIS IG

15 ? Marco COBIT REQUERIMIENTOS DE NEGOCIO CRITERIOS DE INFORMACIÓN
efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad CRITERIOS DE INFORMACIÓN PROCESOS DE INFORMACIÓN aplicaciones información infraestructura personal RECURSOS DE TI ? SIS IG

16 COBIT 4.0 SIS IG

17 Aseguramiento de la Información
El aseguramiento de la información es la base sobre la que se construye la toma de decisiones de una organización. Sin aseguramiento, las empresas no tienen certidumbre de que la información sobre la que sustentan sus decisiones de misión crítica es confiable, segura y está disponible cuando se la necesita. Definimos Aseguramiento de la Información como la utilización de información y de diferentes actividades operativas con el fin de proteger la información, los sistemas de información y las redes, de forma de preservar la disponibilidad, la integridad, la confidencialidad, la autenticación y el no repudio, ante el riesgo de impacto de amenazas locales, o remotas a través de comunicaciones e Internet. Veremos dos importantes técnicas de aseguramiento, la auto evaluación y la auditoría de sistemas de información. SIS IG

18 COBIT: Autoevaluación de controles (Meycor COBIT CSA)
Es una técnica gerencial que asegura a todos aquellos con intereses en el negocio, que el sistema de control interno del mismo es confiable. También asegura que los empleados son concientes de los riesgos del negocio, y que llevan adelante revisiones proactivas periódicas de los controles. SIS IG

19 COBIT Guías de Auditoría
Dan una estructura simple para auditar los controles en TI. Son genéricas y estructuradas a alto nivel. Permiten la revisión de Procesos contra los Objetivos de Control en TI. SIS IG

20 Se audita mediante los siguientes pasos:
Obtener un entendimiento de los requerimientos del negocio, los riesgos relacionados, y las medidas de control relevantes. Evaluar la conveniencia de los controles establecidos. Evaluar el cumplimiento al probar si los controles establecidos están funcionando como se espera, de manera consistente y continua. Justificar el riesgo de que los objetivos de control no se estén cumpliendo mediante el uso de técnicas analíticas y/o consultando fuentes alternativas. SIS IG

21 Guía Genérica de Auditoría
Obtener entendimiento Los pasos de auditoría a realizar para documentar las actividades subyacentes a los objetivos de control, así como también identificar las medidas/procedimientos de control establecidas. Entrevistar al personal administrativo y de staff indicado para lograr la comprensión de: Los requerimientos del negocio y los riesgos asociados. La estructura organizacional. Los roles y responsabilidades. Las medidas de control establecidas. La actividad de reporte a la administración (estatus, desempeño, acciones). Documentar los recursos de TI relacionados con el proceso que se ven especialmente afectados por el proceso bajo revisión. Confirmar el entendimiento del proceso bajo revisión, los Indicadores Clave de Desempeño (KPI) del proceso, las implicaciones de control, por ejemplo, mediante un seguimiento paso a paso del proceso. SIS IG

22 Guía Genérica de Auditoría
Evaluación de los controles Los pasos de auditoría a realizar en la evaluación de la eficacia de las medidas de control establecidas o el grado en el que se logra el objetivo de control. Básicamente, decidir qué se va a probar, si se va a probar y cómo se va a probar. Evaluar la conveniencia de las medidas de control para el proceso bajo revisión mediante la consideración de los criterios identificados y las prácticas estándares de la industria, los Factores Críticos de Éxito (CSF) de las medidas de control y la aplicación del juicio profesional de auditor. Existen procesos documentados. Existen resultados apropiados. La responsabilidad y es clara y eficaz. Existen controles compensatorios en donde es necesario. Concluir el grado en el que se cumple el objetivo de control. SIS IG

23 Guía Genérica de Auditoría
Valoración del cumplimiento Los pasos de auditoría a realizar para asegurar que las medidas de control establecidas estén funcionando como es debido, de manera consistente y continua, y concluir sobre la conveniencia de ambiente de control. Obtener evidencia directa o indirecta de puntos/períodos seleccionados para asegurarse que se ha cumplido con los procedimientos durante el período de revisión, utilizando evidencia tanto directa como indirecta. Realizar una revisión de la suficiencia de los resultados del proceso. Determinar el nivel de pruebas justificantes y trabajo adicional necesarios para asegurar que el proceso de TI es adecuado. Los controles debieron funcionar en el periodo evaluado. SIS IG

24 Guía Genérica de Auditoría
Justificar el riesgo Los pasos de auditoría a realizar para justificar el riesgo de que no se cumpla el objetivo de control mediante el uso de técnicas analíticas y/o consultas a fuentes alternativas. Documentar las debilidades del control y las amenazas y vulnerabilidades resultantes. Identificar y documentar el impacto real y potencial; por ejemplo, mediante el análisis de causa-raíz. Brindar información comparativa; por ejemplo, mediante puntos de referencia. El objetivo es respaldar la opinión e “impresionar” a la administración para que tome acción. Los auditores tienen que ser buenos comunicadores para encontrar y presentar esta información que con frecuencia es susceptible y confidencial. SIS IG

25 Auditoría de Sistemas de Información: Conceptos
NORMAS ESPECÍFICAS DE TECNOLOGÍA INFORMÁTICA. Normas COBIT: (Control OBjectives for Information and relatives Technologies) - I.S.A.C.A. ( Information System Audit Control Association) PRIMERA VERSIÓN: 1996, SEGUNDA VERSIÓN: 1998. Establece una guía metodológica estándar para la evaluación y comprobación de actividades de Control Interno, en el campo específico. MARCO CONCEPTUAL: LA INFORMACIÓN, CUMPLE CON LOS PROCESOS DE NEGOCIOS, SIGUIENDO CRITERIOS DE: Auditoría de Sistemas de Información: Conceptos Sensor: Estructura del Informe C.O.B.I.T. Marco Conceptual La información, cumple con los procesos de negocios, siguiendo criterios de: Calidad: Eficacia y Eficiencia Seguridad: Confidencialidad, Integridad y Disponibilidad Confianza: Cumplimiento de disposiciones y confiabilidad. Utilizando los recursos de la tecnología informática: Datos, Aplicaciones, Tecnología, Instalaciones y Personal. Las actividades de los procesos informáticos, se analizan por dominios: Planificación y organización, Adquisición e implementación, Entrega y soporte y Monitoreo. SIS IG

26 Auditoría de Sistemas de Información: Conceptos
NORMAS ESPECÍFICAS DE TECNOLOGÍA INFORMÁTICA. Normas COBIT: (Control OBjectives for Information and relatives Technologies) - I.S.A.C.A. ( Information System Audit Control Association) PRIMERA VERSIÓN: 1996, SEGUNDA VERSIÓN: 1998. Establece una guía metodológica estándar para la evaluación y comprobación de actividades de Control Interno, en el campo específico. MARCO CONCEPTUAL: LA INFORMACIÓN, CUMPLE CON LOS PROCESOS DE NEGOCIOS, SIGUIENDO CRITERIOS DE: Auditoría de Sistemas de Información: Conceptos Sensor: Estructura del Informe C.O.B.I.T. Requerimientos de la información del negocio: Calidad, Costo y Entrega. Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones. Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad SIS IG

27 Auditoría de Sistemas de Información: Conceptos
NORMAS ESPECÍFICAS DE TECNOLOGÍA INFORMÁTICA. Normas COBIT: (Control OBjectives for Information and relatives Technologies) - I.S.A.C.A. ( Information System Audit Control Association) PRIMERA VERSIÓN: 1996, SEGUNDA VERSIÓN: 1998. Establece una guía metodológica estándar para la evaluación y comprobación de actividades de Control Interno, en el campo específico. MARCO CONCEPTUAL: LA INFORMACIÓN, CUMPLE CON LOS PROCESOS DE NEGOCIOS, SIGUIENDO CRITERIOS DE: Auditoría de Sistemas de Información: Conceptos Sensor: COBIT – Análisis por Dominios SIS IG

28 Auditoría de Sistemas de Información: Conceptos
NORMAS ESPECÍFICAS DE TECNOLOGÍA INFORMÁTICA. Normas COBIT: (Control OBjectives for Information and relatives Technologies) - I.S.A.C.A. ( Information System Audit Control Association) PRIMERA VERSIÓN: 1996, SEGUNDA VERSIÓN: 1998. Establece una guía metodológica estándar para la evaluación y comprobación de actividades de Control Interno, en el campo específico. MARCO CONCEPTUAL: LA INFORMACIÓN, CUMPLE CON LOS PROCESOS DE NEGOCIOS, SIGUIENDO CRITERIOS DE: Auditoría de Sistemas de Información: Conceptos Sensor: COBIT – Análisis por Dominios Planificación y organización: Definir un plan estratégico, Determinar la arquitectura de la información, Definir la dirección tecnológica, Definir la organización y las relaciones, Administrar la inversión, Comunicar los objetivos y la dirección de la gerencia, Administrar los recursos humanos, Asegurar el cumplimiento de los requisitos externos, Evaluar el riesgo, Administrar proyectos Administrar la calidad. Adquisición e implementación: Identificar soluciones, Adquirir y mantener software de aplicaciones, Adquirir y mantener la infraestructura tecnológica, Desarrollar y mantener procedimientos, Instalar y acreditar sistemas, Administrar cambios. SIS IG

29 Auditoría de Sistemas de Información: Conceptos
NORMAS ESPECÍFICAS DE TECNOLOGÍA INFORMÁTICA. Normas COBIT: (Control OBjectives for Information and relatives Technologies) - I.S.A.C.A. ( Information System Audit Control Association) PRIMERA VERSIÓN: 1996, SEGUNDA VERSIÓN: 1998. Establece una guía metodológica estándar para la evaluación y comprobación de actividades de Control Interno, en el campo específico. MARCO CONCEPTUAL: LA INFORMACIÓN, CUMPLE CON LOS PROCESOS DE NEGOCIOS, SIGUIENDO CRITERIOS DE: Auditoría de Sistemas de Información: Conceptos Sensor: COBIT – Análisis por Dominios Entrega y Soporte: Definir niveles de servicio, Administrar servicios de terceros, Administrar la performance y la capacidad, Asegurar un servicio contínuo, Asegurar la seguridad de los sistemas, Identificar y atribuir costos, Educar y capacitar a los usuarios, Administrar la configuración, Administrar problemas e incidentes, Administrar datos, Administrar instalaciones y Administrar operaciones. Monitoreo: Monitorear el proceso, Evaluar el Control Interno, Obtener un aseguramiento independiente y Proveer una auditoría independiente SIS IG

30 Análisis de Riesgos Riesgo de Auditoría
Es el riesgo que tiene un auditor como consecuencia de no haber detectado durante la revisión practicada las fallas o irregularidades que, al ser conocidas, le hubieran hecho modificar el dictámen del informe y las recomendaciones asociadas. La auditoría debe ser planeada y para ello es imprescindible una debida evaluación y categorización de riesgos para priorizar los casos asignar recursos y aplicar los procedimientos de auditoría más convenientes. SIS IG

31 Componentes del riesgo de Auditoría
Análisis de Riesgos Componentes del riesgo de Auditoría Riesgo inherente: aquel que es propio de la actividad del ente o sistema, su naturaleza, estructura, actividad, magnitud, etc. Está fuera de poder ser controlado por el auditor como para poder eliminarlo. Riesgo de Control: son los que resultan de un sistema de control deficiente, incapaz de evitar o detectar fallas o irregularidades en forma oportuna. Está fuera de poder ser controlado por el auditor como para poder eliminarlo, pero sus recomendaciones deben contribuir a reducirlo. Riesgo de Detección: son los que resultan de un deficiente planeamiento y/o ejecución de la auditoría, sea tanto en la evaluación y categorización de los riesgos, como en la selección y/o aplicación de los procedimientos de auditoría. Es del ámbito y tarea exclusiva del auditor. SIS IG

32 Evaluación y Categorización del Riesgo
Análisis de Riesgos Evaluación y Categorización del Riesgo Es la actividad que tiene como propósito medir el nivel de riesgo que presenta cada caso objeto de auditoría. Es altamente subjetiva. Depende del criterio, capacidad y experiencia del auditor. Constituye la base del plan de actividades, determinando el alcance y oportunidad de la revisión, así como también del procedimiento de auditoría a emplear. Existen métodos para reducir el nivel de subjetividad en la evaluación y categorización de los riesgos. Los métodos establecen pautas y procedimientos para la evaluación. SIS IG

Descargar ppt "Auditoría de los Sistemas de Informacion SIS-303"

Presentaciones similares

ASEGURAMIENTO DE LA INFORMACIÓN MEDIANTE COBIT

ASEGURAMIENTO DE LA INFORMACIÓN MEDIANTE COBIT
INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.

INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.
COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.

COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
Sistema Integrado de Gestion

Sistema Integrado de Gestion
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Universidad Nacional de Ingeniería UNI-Norte

Universidad Nacional de Ingeniería UNI-Norte
NORMALIZACIÓN ISO 9000: GESTION DE LA CALIDAD.

NORMALIZACIÓN ISO 9000: GESTION DE LA CALIDAD.
POLITICAS PRESUPUESTARIAS Y GESTION PUBLICA POR RESULTADOS

POLITICAS PRESUPUESTARIAS Y GESTION PUBLICA POR RESULTADOS
Herramientas y metodologías de éxito para el manejo de proyectos TIC: Caso PYME CREATIVA Noviembre 2008.

Herramientas y metodologías de éxito para el manejo de proyectos TIC: Caso PYME CREATIVA Noviembre 2008.
Comprimido ARCHIformativo

Comprimido ARCHIformativo
Normas de Control Interno para Tecnología de la Información Res

Normas de Control Interno para Tecnología de la Información Res
¿ Qué es Control Interno ? Una herramienta para que la administración de todo tipo de organización, obtenga una seguridad razonable sobre el cumplimiento.

¿ Qué es Control Interno ? Una herramienta para que la administración de todo tipo de organización, obtenga una seguridad razonable sobre el cumplimiento.
Auditoría de los Sistemas de Informacion SIS-303

Auditoría de los Sistemas de Informacion SIS-303
AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS

AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS
Auditoria en Informatica Lic. Enrique Hernandez H.

Auditoria en Informatica Lic. Enrique Hernandez H.
Medición, Análisis y Mejora

Medición, Análisis y Mejora
Universidad de Buenos Aires Facultad de Ciencias Económicas

Universidad de Buenos Aires Facultad de Ciencias Económicas

Presentaciones similares

Anuncios Google