La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Auditoría de Sistemas Administración de recursos

Publicada porAmilcar Pollino Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Auditoría de Sistemas Administración de recursos"— Transcripción de la presentación:

1 Auditoría de Sistemas Administración de recursos
Ing. En sistemas de Información FRBA - UTN - ARGENTINA 2010

2 Auditoría de Sistemas Contenido Concepto Objetivos Justificación
Tipos de auditoría Evidencia de auditoría Normas de auditoría Control Interno Riesgos de auditoría Fases de la auditoría

3 Auditoría de Sistemas Concepto
“La auditoría de sistemas es la parte de la auditoria interna que se encarga de llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de computadores; es decir, en estas evaluaciones se está involucrando tanto los elementos técnicos como humanos que intervienen en el proceso de la información”

4 Auditoría de Sistemas Concepto

5 Auditoría de Sistemas 2-Objetivos

6 Auditoría de Sistemas Objetivos específicos
Evaluar la intervención de la auditoría en el desarrollo, implementación y mantenimiento de aplicaciones. Evaluar las políticas y criterios para la adquisición y/o desarrollo del software. Evaluar los riesgos y fraudes de mayor incidencia al interior de la empresa. Examinar la documentación y los procedimientos existentes para determinar su actualización y efectividad. Constatar si el personal se encuentra capacitado para aplicar controles y procedimientos de seguridad.

7 Auditoría de Sistemas Objetivos específicos
Comprobar la participación de los usuarios durante las etapas de análisis, diseño y puesta en marcha de las diferentes aplicaciones. Evaluar los procedimientos para asignación de claves de acceso, modificaciones, cancelaciones, etc. Revisar los estándares de producción y comprobar la calidad de la información producida. Verificar la programación de los mantenimientos a las aplicaciones

8 Auditoría de Sistemas 3-Justificación

9 Auditoría de Sistemas 4-Tipos de auditoría
Auditoría forense: en aquellos casos que existan sospechas de fraude o actuaciones ilegales, pueden realizarse investigaciones para obtener evidencia (pruebas) utilizando herramientas informáticas para recuperar datos de forma legal de equipos informáticos utilizados por los sospechosos y posteriormente analizarlos. Este tipo de actuaciones se realiza, generalmente, por la policía, fiscalía o a instancia judicial.

10 Auditoría de Sistemas 4-Tipos de auditoría
Auditoría de gestión: examen de un sistema informático para evaluar si los objetivos previstos al implementar el sistema han sido alcanzados efectivamente, con criterios de economía y eficiencia. Auditorías sobre adquisición de equipos y sistemas: dada la complejidad, su efecto en la organización y el elevado coste de los actuales sistemas informáticos, este tipo de auditorías son de realización frecuente en los auditores públicos más avanzados a nivel internacional. Existe una relativamente abundante metodología a nivel internacional sobre este tipo de trabajos

11 Auditoría de Sistemas 4-Tipos de auditoría
Auditoría de seguridad informática: auditoría de controles de seguridad en sistemas informáticos para evaluar la extensión en la que se mantiene la confidencialidad, integridad y disponibilidad de los datos y los sistemas, teniendo en consideración el perfil de riesgo de la entidad y de sus sistemas TI. Es una de las auditorías de mayor interés para las entidades y empresas, ya que en los complejos sistemas informatizados actuales se multiplican las potenciales vulnerabilidades de seguridad que deben ser adecuadamente cubiertas.

12 Auditoría de Sistemas 4-Tipos de auditoría
Auditoría de aplicaciones informáticas/sistemas de información y auditorías limitadas sobre controles generales y de aplicación: revisiones sobre los controles manuales y automatizados en un sistema informatizado, con el objetivo de evaluar el grado de confianza que puede depositarse en las transacciones procesadas y en los informes generados por el sistema.

13 Auditoría de Sistemas 5-Evidencia de auditoría
Concepto y naturaleza: la evidencia de auditoría es toda la información usada por el auditor para alcanzar las conclusiones sobre las que basa su opinión de auditoría, sus conclusiones y recomendaciones. La naturaleza de la evidencia está constituida por todos aquellos hechos y aspectos susceptibles de ser verificados por el auditor. Características de la evidencia: dado que en pocas ocasiones se puede tener certeza absoluta sobre la validez de la información, el auditor, para tener una base razonable en que apoyar su informe, precisa que la evidencia tenga unas características esenciales; la evidencia debe ser: suficiente y apropiada (pertinente y fiable).

14 Auditoría de Sistemas 5-Evidencia de auditoría
Suficiente: evidencia suficiente es la que el auditor necesita en términos cuantitativos para obtener una seguridad razonable que le permita expresar una opinión en el informe de auditoría. Es decir, es la medida de la cantidad de evidencia. La valoración del número de elementos de prueba que se considera suficiente depende del juicio del auditor. Apropiada: apropiada es la medida de la calidad de la evidencia de auditoría, calidad que está condicionada por la relevancia (o pertinencia) y fiabilidad (validez) de la misma. Es la característica cualitativa.

15 Auditoría de Sistemas 5-Evidencia de auditoría- La evidencia informática de auditoría «Evidencia informática. Información y datos contenidos en soportes electrónicos, informáticos y telemáticos, así como los elementos lógicos, programas y aplicaciones utilizados en los procedimientos de gestión del auditado. Esta evidencia informática incluirá los elementos identificados y estructurados que contienen texto, gráficos, sonidos, imágenes o cualquier otra clase de información que pueda ser almacenada, editada, extraída e intercambiada entre sistemas de tratamiento de la información, o usuarios de tales sistemas, como unidades diferenciadas.»

16 Evidencia de auditoría tradicional Evidencia informática de auditoría
Auditoría de Sistemas Evidencia de auditoría tradicional Evidencia informática de auditoría Origen Se puede establecer con facilidad el origen/procedencia. Es difícil determinar el origen si únicamente se examina información en soporte informático. Se requiere la utilización de controles y de técnicas de seguridad que permitan la autenticación y reconocimiento. Alteración La evidencia en papel es difícil de alterar sin que se detecte. Es difícil, si no imposible, detectar cualquier alteración únicamente mediante el examen de la información en soporte informático. La integridad de la información depende de los controles fiables y de las técnicas de seguridad empleadas. Aprobación Los documentos en papel muestran la prueba de su aprobación en su superficie. Es difícil de establecer la aprobación si únicamente se examina la información en soporte informático. Se requiere la utilización de controles y de técnicas de seguridad.

17 Auditoría de Sistemas Evidencia de auditoría tradicional
Evidencia informática de auditoría Integridad Todos los términos relevantes de una operación/transacción se incluyen por lo general en un mismo documento. Los términos más significativos aparecen a menudo en distintos archivos de datos. Lectura No se requiere ningún tipo de herramienta o equipo. Es necesaria la utilización de distintas tecnologías y herramientas. Formato Parte integral del documento. El formato viene separado de los datos y puede modificarse. Disponibilidad y accesibilidad Normalmente no es una restricción durante la fiscalización. Las pistas de auditoría para la información en soporte informático puede que no estén disponibles en el momento de la auditoría y el acceso a los datos puede resultar más difícil. Firma Es sencillo firmar un documento en papel y comprobar la firma. Se necesitan las tecnologías adecuadas para realizar una firma electrónica fiable y revisarla.

18 Auditoría de Sistemas 6-Normas técnicas de auditoria
INTOSAI - Organización Internacional de Entidades Fiscalizadoras superiores ISSAI - Normas Internacionales de las Entidades Fiscalizadoras superiores ISSAI 100 Postulados Básicos de la Fiscalización Pública   ISSAI 200 Normas Generales de Fiscalización Pública et Normas sobre los derechos y el comportamiento de los auditores ISSAI 300 Normas de Procedimiento en la Fiscalización Pública ISSAI 400 Normas para la Elaboración de los Informes en la Fiscalización Pública                                           ISSAI  Directrices de la IT auditoria: ISSAI 5310 Information System Security Review Methodology - A Guide for Reviewing Information System Security in Government Organisations

19 Auditoría de Sistemas 6-Normas técnicas de auditoria
The Institute of Internal Auditors GTAG - Global Technology Audit Guides GTAG 12: Auditing IT Projects GTAG 11: Developing the IT Audit Plan GTAG 10: Business Continuity Management GTAG 9: Identity and Access Management GTAG 8: Auditing Application Controls GTAG 7: IT Outsourcing GTAG 6: Managing and Auditing IT Vulnerabilities GTAG 5: Managing and Auditing Privacy Risks GTAG 4: Management of IT Auditing GTAG 3: Continuous Auditing GTAG 2: Change and Patch Management Controls GTAG 1: Information Technology Controls

20 Auditoría de Sistemas 6-Normas técnicas de auditoria
The Institute of Internal Auditors GTAG - Global Technology Audit Guides Principios GAIT Principio 1: la identificación de riesgos y controles generales TI será la continuación del enfoque de arriba hacia abajo basado en el análisis de riesgos utilizado para identificar cuentas significativas, los riesgos de estas cuentas y los controles clave en los procesos de negocio. Principio 2: los riesgos y controles generales TI que deben ser identificados son los que afectan a la funcionalidad TI que sea crítica en las aplicaciones financieras significativas y los datos relacionados.  Principio 3: los riesgos y controles generales TI que deben identificarse existen en los procesos y en varios niveles TI: aplicaciones, bases de datos, sistemas operativos y redes. Principio 4: los riesgos en los procesos TI de control son mitigados mediante el cumplimiento de los objetivos de control TI.

21 Auditoría de Sistemas 6-Normas técnicas de auditoria
ISACA - Information Systems Audit and Control Association Normas de Auditoría de Sistemas de Información de ISACA S1 Estatuto de auditoría S2 Independencia S3 Etica y normas profesionales S4 Competencia profesional S5 Planeación S6 Realización labores de auditoría S7 Reporte S8 Actividades de seguimiento S9 Irregularidades y acciones ilegales S10 Gobernabilidad de TI S11 Evaluación de riesgos en la planeación S12 Materialidad S13 Uso de otros expertos S14 Evidencia de auditoría

22 Auditoría de Sistemas 7-Control interno
«El control interno es un proceso integral efectuado por la gerencia y el personal, y está diseñado para enfrentarse a los riesgos y para dar una seguridad razonable de que en la consecución de la misión de la entidad, se alcanzarán los siguientes objetivos gerenciales: Ejecución ordenada, ética, económica, eficiente y efectiva de las operaciones Cumplimiento de las obligaciones de responsabilidad Cumplimiento de las leyes y regulaciones aplicables Salvaguarda de los recursos para evitar pérdidas, mal uso y daño.»

23 Auditoría de Sistemas 7-Control interno
Controles internos en entornos informatizados Los controles internos relativos a los procesos informáticos comprenden tanto los controles generales que afectan al entorno informatizado en su conjunto como los controles específicos de las distintas aplicaciones de negocio.

24 Auditoría de Sistemas 7-Control interno Tipos de controles
a) Controles generales: los controles generales son las políticas y procedimientos que se aplican a la totalidad o a gran parte de los sistemas de información de una entidad, incluyendo la infraestructura y plataformas informáticas de la organización auditada. b) Controles de aplicación: dado que la mayor parte de los procesos de negocio de una entidad están soportados por aplicaciones informáticas, muchos de los controles internos están automatizados en ellas. c) Controles de usuario: los controles de usuario son aquellos realizados por personas que interactúan con los controles de los SI. La eficacia de los controles de usuario generalmente depende de la exactitud de la información proporcionada por el sistema de información, como por ejemplo los informes de excepción u otros informes.

25 Auditoría de Sistemas 8-Riesgos de auditoría
Posibilidad de que cualquier error, omisión o irregularidad de importancia que exista y no haya sido puesto de manifiesto por el Sistema de control interno o que no fuera a su vez detectado por la aplicación de las pruebas adecuadas de auditoria. Tipos de riesgo Riesgo inherente: es la posibilidad inherente a la actividad de la entidad de que existan errores o irregularidades significativas en el proceso, antes de considerar la efectividad de los sistemas de control. El riesgo inherente es la tendencia de un área de Tecnología de Información a cometer un error que podría ser material, en forma individual o en combinación con otros, suponiendo la inexistencia de controles internos relacionados. Riesgo de Control: es el riesgo por el que un error, que podría cometerse en un área de auditoría y que podría ser material, individualmente o en combinación con otros-, no pueda ser evitado o detectado y corregido oportunamente por el sistema de control interno.

26 Auditoría de Sistemas 8-Riesgos de auditoría
Riesgo de Detección: es el riesgo que se produce cuando los procedimientos sustantivos del Auditor Interno no detectan un error que podría ser material, individualmente o en combinación con otros. Por ejemplo, el riesgo de detección asociado a la identificación de violaciones de la seguridad en un sistema de aplicación es normalmente alto, debido a que en el transcurso de la auditoría, los registros de todo su período no se encuentran disponibles. El riesgo de detección asociado con la identificación de la falta de planes de recuperación ante desastres es normalmente bajo, dado que su existencia puede verificarse con facilidad.

27 Auditoría de Sistemas 9-Fases de la auditoría
Las Normas Internacionales de Auditoría exigen que el auditor realice sus auditorías basándose en el risk-based approach to auditing o enfoque de auditoría basado en el análisis de los riesgos (ABAR). Esto implica tres pasos: Evaluar el riesgo de manifestaciones erróneas significativas; Diseñar y ejecutar los procedimientos de auditoría precisos en respuesta a los riesgos evaluados y reducir el riesgo a un nivel aceptablemente bajo, y Emitir un adecuado informe escrito basado en la evidencia de auditoría obtenida y en las incidencias de auditoría detectadas.

28 Auditoría de Sistemas 9-Fases de la auditoría
Etapas principales de la Auditoria Exploración: la exploración es la etapa en la cual se realiza el estudio o examen previo al inicio de la Auditoria con el  propósito de conocer en detalle las características de la entidad a auditar. Los resultados de la exploración permiten, además, hacer la selección y las adecuaciones a la metodología y programas a utilizar; así como determinar la importancia de las materias que se habrán de examinar. Planeamiento: el trabajo fundamental en esta etapa es el definir la estrategia que se debe seguir en la Auditoría a acometer. Después de que se ha determinado el tiempo a emplear en la ejecución de cada comprobación o verificación, se procede a elaborar el plan global o general de la Auditoría.

29 Auditoría de Sistemas 9-Fases de la auditoría
Contenidos mínimos del plan de auditoría: Definición de los temas y las tareas a ejecutar. Nombre del o los especialistas que intervendrán en cada una de ellas. Fecha prevista de inicio y terminación de cada tarea. Se considera desde la exploración hasta la conclusión del trabajo. Igualmente se confecciona el plan de trabajo individual de cada especialista, considerando como mínimo: Nombre del especialista. Definición de los temas y cada una de las tareas a ejecutar. Fecha de inicio y terminación de cada tarea. Cualquier ampliación del  término previsto debe estar autorizada por el supervisor u otro nivel superior; dejando constancia en el expediente de Auditoría. Según criterio del jefe de grupo, tanto el plan general de la Auditoría, como el individual de cada especialista, pueden incluirse en un solo documento en atención al número de tareas a ejecutar, cantidad de especialistas subordinados, etc.

30 Auditoría de Sistemas 9-Fases de la auditoría
Etapas principales de la Auditoria Supervisión: el propósito esencial de la supervisión es asegurar el cumplimiento de los objetivos de la Auditoría y la calidad razonable del trabajo. Asimismo, debe garantizar el cumplimiento de las Normas de Auditoría y que el informe final refleje correctamente los resultados de las comprobaciones, verificaciones e investigaciones realizadas. Ejecución: el propósito fundamental de esta etapa  es recopilar las pruebas que sustenten las opiniones del auditor en cuanto al trabajo realizado, es la fase, por decir de alguna manera, del trabajo de campo, esta depende grandemente del grado de profundidad con que se hayan  realizado las  dos etapas anteriores, en esta se elaboran los Papeles de Trabajo y las hojas de nota, instrumentos que  respaldan excepcionalmente la opinión del auditor actuante.

31 Auditoría de Sistemas 9-Fases de la auditoría
Etapas principales de la Auditoria Informe: en esta etapa el Auditor se dedica a formalizar en un documento los resultados a los cuales llegaron los auditores en la Auditoría ejecutada y demás verificaciones vinculadas con el trabajo realizado. La elaboración del informe final de Auditoría es una de las fases más importante y compleja de la Auditoría, por lo que requiere de extremo cuidado en su confección. El informe de Auditoría debe cumplir con los principios siguientes: Que se emita por el jefe de grupo de los auditores actuantes. Por escrito. Oportuno. Que sea completo, exacto, objetivo y convincente, así como claro, conciso y fácil de entender. Que todo lo que se consigna esté reflejado en los papeles de trabajo y que responden a hallazgos relevantes con evidencias suficientes y competentes. Que refleje una actitud independiente. Que muestre la calificación según la evaluación de los resultados de la Auditoría. Distribución rápida y adecuada. .

32 Auditoría de Sistemas 9-Fases de la auditoría
Etapas principales de la Auditoria  Seguimiento: en esta etapa se siguen, como dice la palabra, los resultados de una Auditoría, generalmente una Auditoria evaluada de Deficiente o mal, así que pasado un tiempo aproximado de seis meses o un año se vuelve a realizar otra Auditoría de tipo recurrente para comprobar el verdadero cumplimiento de las deficiencias detectadas en la Auditoria. Técnicas y Herramientas de trabajo Análisis de la información recabada del auditado. Cruzamiento de las informaciones anteriores. Entrevistas. Simulación. Muestreos. Cuestionarios. Cuestionario Checklist. Simuladores (Generadores de datos). Paquetes de auditoría (Generadores de Programas).

33 Auditoría de Sistemas Bibliografía
Alonso Tamayo Alzate, Auditoría de sistemas. Una visión practica. Universidad Nacional de Colombia Antonio Minguillón Roy, La Auditoría de sistemas de Información integrada en la auditoría Financiera.

Descargar ppt "Auditoría de Sistemas Administración de recursos"

Presentaciones similares

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Auditoría. Concepto Conceptualmente la auditoría, toda y cualquier auditoría, es la actividad consistente en la emisión de una opinión profesional sobre.

Auditoría. Concepto Conceptualmente la auditoría, toda y cualquier auditoría, es la actividad consistente en la emisión de una opinión profesional sobre.
Universidad Nacional de Ingeniería UNI-Norte

Universidad Nacional de Ingeniería UNI-Norte
TEMA 3: EL RIESGO Y LA EVIDENCIA

TEMA 3: EL RIESGO Y LA EVIDENCIA
PROGRAMA DE AUDITORIA DE SISTEMAS

PROGRAMA DE AUDITORIA DE SISTEMAS
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.

Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.
Etapas de una Auditoria

Etapas de una Auditoria
LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4

LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4
CONTROL DE CALIDAD PARA LOS DESPACHOS Y EL PROFESIONAL INDIVIDUAL

CONTROL DE CALIDAD PARA LOS DESPACHOS Y EL PROFESIONAL INDIVIDUAL
AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS

AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS
NORMA INTERNACIONAL DE AUDITORÍA 300

NORMA INTERNACIONAL DE AUDITORÍA 300
AUDITORIA DE SISTEMAS Conceptos introductorios

AUDITORIA DE SISTEMAS Conceptos introductorios
Medición, Análisis y Mejora

Medición, Análisis y Mejora
Universidad de Buenos Aires Facultad de Ciencias Económicas

Universidad de Buenos Aires Facultad de Ciencias Económicas
LAS NORMAS TÉCNICAS DE AUDITORÍA

LAS NORMAS TÉCNICAS DE AUDITORÍA
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
AUDITORIA DE SISTEMAS DE INFORMACIÓN

AUDITORIA DE SISTEMAS DE INFORMACIÓN
Sistema de Control de Evaluación.

Sistema de Control de Evaluación.
 1) Soporta las opiniones y conclusiones expuestas en el informe.   2) Acumulación de conocimiento del cliente   3) Fácil transición en caso de realizar.

 1) Soporta las opiniones y conclusiones expuestas en el informe.   2) Acumulación de conocimiento del cliente   3) Fácil transición en caso de realizar.

Presentaciones similares

Anuncios Google