Introducción a la Auditoría Informática

Slides:



Advertisements
Presentaciones similares
INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.
Advertisements

REQUISITOS GENERALES PARA LA COMPETENCIA DE LOS LABORATORIOS DE ENSAYO Y DE CALIBRACION NTG ISO/IEC 17025:2005 CURSO AUDITORES INTERNOS RELABSA UVG MAYO.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
UNIVERSIDAD "ALONSO DE OJEDA"
Control Interno Informático. Concepto
Auditoría. Concepto Conceptualmente la auditoría, toda y cualquier auditoría, es la actividad consistente en la emisión de una opinión profesional sobre.
Alumno: Alex M. Cayoja Bustillos Software para la Auditoria de Sistemas.
Evaluaciones de Sistemas de Administración de la Seguridad SMSA
PROGRAMA DE AUDITORIA DE SISTEMAS
EL AUDITOR INTERNO DE CALIDAD
INTERPRETACIÓN DE NORMAS ISO
LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4
AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS
AUDITORIA TECNOLOGIAS DE INFORMACION
AUDITORIA DE SISTEMAS Conceptos introductorios
AUDITORIA INTERNA.
IEEE-std Práctica Recomendada para la Especificación de Requerimientos de Software Fuente: IEEE Recommendad Practice for Software Requirements.
Medición, Análisis y Mejora
Universidad de Buenos Aires Facultad de Ciencias Económicas
USMP – Turismo y Hotelería Auditoría Operativa Aplicaciones prácticas del enfoque de auditoría operacional (Clase 9)
EL CONTROL INTERNO Y EL CONTROL DE GESTIÓN
Eveline Estrella Zambrano Sara Alvear Montesdeoca
Controles internos en Sistemas de Información Universidad de Buenos Aires Facultad de Ciencias Económicas Materia: Sistemas Administrativos.
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
AUDITORIA DE LA SEGURIDAD EN SISTEMAS DE SOFTWARE
AUDITORIA DE SISTEMAS DE INFORMACIÓN
Resolución 318/2010 Auditorias
Auditoria de aplicaciones
AUDITORÍAS INTERNAS A SISTEMAS DE GESTIÓN
Auditoria de Sistemas Ing. En Sist. Héctor Samuel Recinos Agustín.
6.4 Realización de las Actividades de Auditoría
UNIDAD No. 5 ESTUDIO Y EVALUACION DEL CONTROL INTERNO EN INFORMATICA
Metodología de Control Interno, Seguridad y Auditoría Informática
NORMA INTERNACIONAL DE AUDITORÍA 540
Ailyn Lopez pitty Leda Sequeira picado Kevin barquero irola
AUDITORIAS DE SEGURIDAD
Proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de identificar y evaluar niveles de riesgos y presentar.
Es fundamental para las estrategias de la compañía : Planeación, Control, Seguridad y Reducción de Costos Involucrados en los Sistemas de Información La.
PROCESO DE PLANEACIÓN T/I

AUDITORÍA INTERNA Y SU INTERRELACIÓN CON AUDITORÍA EXTERNA EN LA UNIVERSIDAD. Febrero de 2004.
AUDITORIA DE LA OFIMATICA
Organización del Departamento de Auditoria Informática
Ailyn Lopez pitty Leda Sequeira picado Kevin barquero irola
AUDITORIAS DE CALIDAD LAURA CARABALLO RUTH LEON NATHALIA AVILA
Unidad 3: Adquisición de Paquetes de Software Msc. Lic. Susana I. Herrera - Lic. Paola Budán UNSE 2012.
Control Interno La estructura de control interno de una entidad consiste en las políticas y procedimientos establecidos para proporcionar una seguridad.
AUDITORIA NIA 500 “EVIDENCIA DE AUDITORIA”
NORMAS INTERNACIONALES DE AUDITORIA
NORMA INTERNACIONAL DE AUDITORIA 230
AUDITORIA Seguridad y Auditoria de Sistemas Ciclo Ing. Yolfer Hernández, CIA.
AUDITORIA TECNOLOGIAS DE INFORMACION - COBIT
Profesora: Kinian Ojito Ramos
...Auditorias de sistemas de administración bajo ISO 19011: "
Daniela Ovando Santander Auditoria de Sistemas
Auditoria Computacional
REVISION Y AUDITORIA.
Auditoría de Sistemas.
Auditoría de sistemas UNLaR  Aplicaciones en funcionamiento en cuanto al grado de cumplimiento de los objetivos para los que fueron creadas.
Universidad Latina CONTROL INTERNO.
Computer Assisted Audit Techniques (CAATs)
EI, Profesor Ramón Castro Liceaga IV. AREAS DE EVALUACIÓN DE LA AUDITORIA EN INFORMÁTICA. UNIVERSIDAD LATINA (UNILA)
VI. EVALUACIÓN DE LOS RECURSOS
SISTEMA DE GESTIÓN DE LA CALIDAD ISO 9001: AUDITORÍA INTERNA
PROGRAMA EDUCATIVO INFORMÁTICA ADMINISTRATIVA UNIDAD DE APRENDIZAJE: AUDITORÍA INFORMÁTICA UNIDAD DE COMPETENCIA II.II NOMBRE DEL MATERIAL: ELABORACION.
La evidencia y los papeles de trabajo constituyen el soporte fundamental de los hallazgos detectados por el auditor, de ahí la importancia que.
FASES DE LA AUDITORÍA ADMINISTRATIVA
Transcripción de la presentación:

Introducción a la Auditoría Informática Asignatura: Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista en Redes y Telemática La comunicación como la evidencia más significativa a la hora de tomar decisiones…

Nuestro Apoyo al Aprendizaje Nuestra intención es enriquecer la experiencia de aprender con ayuda de las TICs. www.AuditoriaInformatica.ecaths.com

BASE TEÓRICA PRINCIPAL ISACF (2006). "COBIT: Control Objectives for Information and Related Technology". The Information System Audit and Control Foundation, Illinois, EEUU. PIATTINI, M. (ed.) (2000).“Auditing Information Systems”. EEUU, Idea Group Publishing. PIATTINI, M. y DEL PESO, E. (2001). “Auditoría informática: Un enfoque práctico”. 2ª ed. Madrid, Ra-Ma. SOLER, P., PIATTINI, M. y COEIC (2006). “Contratación y gestión informática”. Barcelona, Ed. Aranzadi. UNIVERSIDAD DE CASTILLA-LA MANCHA - ESCUELA SUPERIOR DE INFORMÁTICA – CASOS - Documentos propiedad de Dr. Mario Piattini V., Dr. Ignacio García R. Compilado de MSc.Lorena Moreno Jiménez Sitios web: www.isaca.org, www.asia.org

METODOLOGIA TRADICIONAL: CUESTIONARIO El auditor revisa los controles con la ayuda de una lista de control que consta de una serie de preguntas o cuestiones a verificar La evaluación consiste en identificar la existencia de unos controles establecidos o estandarizados

METODOLOGIA basada en la EVALUACIÓN de RIESGOS El auditor realiza una evaluación del RIESGO POTENCIAL EXISTENTE Como consecuencia de la ausencia de controles o bien por ser un sistema deficiente, estos riesgos deben ser cuantificados y valorados de tal forma que permita determinar el nivel de fiabilidad que brinda el sistema sobre la exactitud, integridad y procesamiento de la información

ELEMENTOS PRINCIPALES OBJETIVOS de CONTROL EVALUACIÓN de RIESGOS TECNICAS de CONTROL PRUEBAS INDEPENDIENTES CONCLUSIONES SUSTENTADAS

OBJETIVO de CONTROL REDUCCIÓN del RIESGO El objetivo de todo control es la REDUCCIÓN del RIESGO

(Políticas y Procedimientos) TECNICAS de CONTROL (Políticas y Procedimientos) Por cada objetivo de control/riesgo potencial se deben identificar las técnicas de control existentes que deben minimizar el riesgo, logrando cumplir así, el objetivo de control

ENTORNO GENERAL de CONTROL CONTROLES en determinadas APLICACIONES Procesos de negocio automatizados

CONTROLES de APLICACIÓN ENTRADA PROCESO SALIDA

CONTROLES PREVENTIVOS CONTROLES CORRECTIVOS CONTROLES DETECTIVOS CONTROLES CORRECTIVOS

PRUEBAS Permiten obtener evidencia y verificar la consistencia de los controles existentes y también medir el riesgo por deficiencia de estos o por su ausencia

PRUEBAS de CUMPLIMIENTO SUSTANTIVAS

TÉCNICAS GENERALES .ENTREVISTAS .REVISIONES de DOCUMENTOS .EVALUACION de RIESGOS y CONTROLES .MUESTREO ESTADISTICO .VERIFICACIONES de CALCULOS .PRUEBAS de CUMPLIMIENTO y SUSTANTIVAS .HERRAMIENTAS de AUDITORIA y SOFTWARE ESPECIFICO

Son productos de software que permiten al auditor TÉCNICAS ESPECÍFICAS Son productos de software que permiten al auditor OBTENER INFORMACIÓN de los sistemas automatizados como evidencias de las pruebas que diseñen

HERRAMIENTAS PROPIAS del AUDITOR y bajo su CONTROL Software de auditoría o de revisión de productos determinados o plataformas Permiten obtener una diagnosis de la situación de parámetros y otros aspectos y su relación con respecto a la seguridad y protección del software y de la información

HERRAMIENTAS PROPIAS del AUDITOR y bajo su CONTROL Software de auditoría que permiten extraer información para su revisión, comparación, etc. Estos productos utilizados habitualmente por los auditores operativos o financieros, permiten extraer datos concretos o en base a muestras estadísticas

UTILIDADES del SOFTWARE o PLATAFORMA a auditar, bajo el CONTROL de la INSTALACIÓN AUDITADA Utilidades provistas por el software auditado: revisión de registros lógicos de actividades, edición de parámetros, etc. Productos específicos de rendimiento, control, calidad instalados en la plataforma a auditar: lenguajes de interrogación, software de librerías, depuradores de software, etc.

EVIDENCIAS, RESULTADOS y CONCLUSIONES Los resultados de cada prueba deben VALORARSE, obtener UNA CONCLUSIÓN, siempre teniendo en cuenta los OBJETIVOS y el ALCANCE de la auditoría EVIDENCIAS: PERTINENTES y SUFICIENTES FEHACIENTES VERIFICACIÓN de resultados INTERRELACIÓN con otros resultados

Las conclusiones obtenidas deben comentarse y discutirse con los responsables directos del área afectada POR EJEMPLO: Puede haber limitaciones de recursos, en la realización de pruebas, en la disponibilidad de la evidencia......... Puede haber controles alternativos que el auditor no haya detectado..............

CUANTIFICACIÓN del riesgo Deben incluir DESCRIPCION de la situación RIESGO existente, DEFICIENCIA a solucionar si corresponde, SUGERENCIA de solución CONEXIÓN con objetivo y otras deficiencias CUANTIFICACIÓN del riesgo

PAPELES de TRABAJO de la Auditoría de SI

METODOLOGÍA utilizada COBERTURA del OBJETIVO de PRUEBAS realizadas y Se deben realizar de ACUERDO a NORMAS de AUDITORÍA, y deben reflejar METODOLOGÍA utilizada COBERTURA del OBJETIVO de auditoría PRUEBAS realizadas y CRITERIOS utilizados RESULTADOS de las pruebas

LIMITACIONES en las tareas realizadas DEFICIENCIAS en pruebas realizadas que puedan requerir alguna EXTENSIÓN ESPECIAL de la revisión y FALTA de CONSISTENCIA o claridad en las conclusiones

CONCLUSIONES GENERALES en base a los resultados obtenidos INFORME Es necesario elaborar CONCLUSIONES GENERALES en base a los resultados obtenidos Todo informe incluirá: ALCANCE y OBJETIVO de la auditoría, METODOLOGÍA UTILIZADA, POSIBLES LIMITACIONES y CONCLUSIONES Es recomendable obtener junto con la presentación del borrador, una contestación o confirmación del área auditada /cliente /organización

el vocabulario debe ser preciso, objetivo, cuidadoso, respetuoso,... Reglas en la preparación de Informes el vocabulario debe ser preciso, objetivo, cuidadoso, respetuoso,... NO incluir juicios de valor, nombres propios, abreviaturas o iniciales de productos, ...... y frases con contenido y breves......

¿Cuál de las siguientes opciones brinda mejor control de acceso a los datos de nómina que se están procesando en un servidor local? Bitácora (log) de todos los accesos a la información personal Contraseña separada para las transacciones sensitivas Que el software restrinja las reglas de acceso al personal autorizado Acceso al sistema, restringido a horas hábiles

El control más efectivo para un antivirus es: Escanear los archivos adjuntos de correo electrónico en el servidor de correo Restaurar sistemas a partir de copias limpias Deshabilitar las unidades de diskettes Un escaneo en línea con definiciones actualizadas de virus

¿Cuál de las siguientes es una función de control de acceso al sistema operativo? Registrar las actividades del usuario Registrar las actividades de acceso a la comunicación de datos Verificar la autorización de usuario a nivel de campo Cambiar los archivos de datos

Una organización está proponiendo instalar una facilidad de clave única (single sign-on) que de acceso a todos los sistemas. La organización debe ser consciente de que: sería posible un acceso máximo no autorizado si se revelara una contraseña los derechos de acceso a usuario estarían restringidos por los parámetros adicionales de seguridad aumentaría la carga de trabajo del administrador de seguridad aumentarían los derechos de acceso del usuario

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.