Upload
henry-figueroa
View
215
Download
0
Embed Size (px)
Citation preview
7/21/2019 Auditoria de Sistemas_nuevo Milenio
1/30
AUDITORIA DE SISTEMAS Y SOLUCIONES TECNOLOGICAS, S. A.
AUDITORIA DE SISTEMAS
PARA EL NUEVO MILENIO
7/21/2019 Auditoria de Sistemas_nuevo Milenio
2/30
CAPITULO I
INTRODUCCION A LA
AUDITORIA DE SISTEMAS
7/21/2019 Auditoria de Sistemas_nuevo Milenio
3/30
Auditoria de Sistemas
Conjunto de procedimiento y tcnicas para evaluar y
controlar la integridad, confiabilidad y seguridad
de la Informacin procesada por los Sistemas
Informticos, con el fin de proteger sus activos y
recursos, verificando que sus actividades se
desarrollen eficientemente y eficazmente de
acuerdo con la normativa informtica eistente en
cada empresa!
7/21/2019 Auditoria de Sistemas_nuevo Milenio
4/30
QUE ES AUDITORIA DE SISTEMAS?
ES UN CONCEPTO RECIENTE EN NUESTROMEDIO
ES UNA FUNCION ASESORA
CONJUGA DOS DICIPLINAS: AUDITORIA YTECNOLOGIA DE INFORMACION
I-1INTRODUCCION A LA AUDITORIA DE SISTEMAS
7/21/2019 Auditoria de Sistemas_nuevo Milenio
5/30
BRINDAR A LA GERENCIA UNA SEGURIDADRAZONABLE DE QUE LOS OBJETIVOS DE CONTROLSE HAN CUMPLIDO.
IDENTIFICAR LAS FORTALEZAS Y DEBILIDADES DECONTROL.
ADMINISTRAR LOS RIESGOS DE TECNOLOGA.
ASESORAR A LA GERENCIA EN LAS ACCIONESCORRECTIVAS.
I-1OBJETIVOS DE LA AUDITORIA DE SISTEMAS ENEL NUEVO MILENIO?
7/21/2019 Auditoria de Sistemas_nuevo Milenio
6/30
LA ORIENTACIN MODERNA ES:
1. ASESORAR Y APOYAR A LOS DIFERENTESNIVELES DE LA ORGANIZACIN EN TODO LORELACIONADO CON LA TECNOLOGA DEINFORMACIN, MEDIANTE ANLISIS,EVALUACIONES Y RECOMENDACIONES.
. ASESORAR Y COOPERAR CON LOS AUDITORESINTERNOS EN EL CUMPLIMIENTO DE SUTRABAJO.
I-2FUNCION DE LA AUDITORIA DE SISTEMAS EN ELNUEVO MILENIO
7/21/2019 Auditoria de Sistemas_nuevo Milenio
7/30
INCREMENTO EN LOS RIESGOS TECNOLOGICOS POR: USO DE NUEVAS HERRAMIENTAS DE DESARROLLO
MANEJADAS POR USUARIOS
ARQUITECTURAS CLIENTE!SERVIDOR
SERVICIOS EDI "INTERCAMBIO ELECTRNICO DE DATOS#ENTRE ORGANIZACIONES Y SIN LMITES DE FRONTERAS
INTERNET
DEPENDENCIA SOBRE SISTEMAS MEDULARES DEL NEGOCIO
I-3NECESIDAD DE LA AUDITORIA DE SISTEMAS ENEL NUEVO MILENIO
7/21/2019 Auditoria de Sistemas_nuevo Milenio
8/30
PERMITE EVALUAR Y DETECTAR LOS RIESGOSTECNOLGICOS.
ESTABLECER LAS MEDIDAS ADECUADAS PARA LAMINIMIZACIN DE LOS RIESGOS.
SUPERVISAR EN FORMA INDEPENDIENTE, ELCUMPLIMIENTO DE LOS CONTROLES Y POLTICAS
DEFINIDAS.
I-3BONDADES DE LA AUDITORIA DE SISTEMAS ENEL NUEVO MILENIO
7/21/2019 Auditoria de Sistemas_nuevo Milenio
9/30
PLANIFICAR LA AUDITORA DE SISTEMAS
UNA T$CNICA: PLANIFICACIN BASADA EN RIESGOS
DESARROLLAR EL PROGRAMA DE TRABAJO PARA LAAUDITORA DE SISTEMAS
DESARROLLAR LA EVALUACIN
PREPARAR UN INFORME Y RECOMENDACIONES
I-QUE !ACER COMO AUDITORES DE SISTEMAS?
7/21/2019 Auditoria de Sistemas_nuevo Milenio
10/30
I-" OTROS ENFOQUES PARA LA PLANIFICACION
POR SISTEMAS DE INFORMACION CRITICOS
POR COMPONENTES DEL NEGOCIO
POR COMPONENTES TECNOLOGICOS
POR CONTROLES GENERALES
POR OPINIONES E%TERNADAS EN EVALUACIONESPREVIAS
7/21/2019 Auditoria de Sistemas_nuevo Milenio
11/30
I-#POSIBLES COMPONENTES A AUDITAR
1. ESTRUCTURAORGANIZATIVA DE INFOR!MTICA
. PROCEDIMIENTOS DEDESARROLLO Y ADQUISI!CIN DE SISTEMAS
&. PROCEDIMIENTOS DEMANTENIMIENTO "H' Y
S'#(. REDES LAN
). COMUNICACIN DE DATOS
*. CONTROLES DE SISTEMASEN FUNCIONAMIENTO
+. OPERACIONES EN LOSCENTROS DE CMPUTO
. SEGURIDAD FISICA YLGICA
-. MICROCOMPUTADORAS
1. PLAN DE CONTINGENCIA
7/21/2019 Auditoria de Sistemas_nuevo Milenio
12/30
LAS EVALUACIONES EN AUDITORIA DESISTEMAS, DEBEN EFECTUARSE MEDIANTE LA
PRACTICA DE UNA METODOLOGIA FORMAL YCONSISTENTE.
LAS OPINIONES DEBEN SER SUSTENTADAS YREGULADAS POR NORMAS PROFESIONALES.
7/21/2019 Auditoria de Sistemas_nuevo Milenio
13/30
CAPITULO II
PLANIFICACION DE LA
AUDITORIA DE SISTEMAS
BASADA EN RIESGOS
UN ENFOQUE MODERNO
7/21/2019 Auditoria de Sistemas_nuevo Milenio
14/30
II-1 PLANIFICACION BASADA EN RIESGOS
SELECCIONAR REAS DE MAYOR RIESGO
ELABORAR PLAN PARA AUDITAR LAS REAS EN FUNCIN
DEL NIVEL DE RIESGO
DESIGNAR PERSONAL PARA LA EVALUACIN
LIMITAR EL TRABAJO PARA RIESGOS CRTICOS
7/21/2019 Auditoria de Sistemas_nuevo Milenio
15/30
LOS RIESGOS DE TECNOLOGA DE INFORMACIN SE PUEDENUBICAR EN TRES GRANDES REAS:
ADMINISTRACIN DE PROYECTOS DE TECNOLOGA
INFRAESTRUCTURA DE TECNOLOGA
SISTEMAS DE INFORMACIN
II-2 DONDE BUSCAR EL RIESGO TECNOLOGICO
7/21/2019 Auditoria de Sistemas_nuevo Milenio
16/30
II-3RIESGOS DE ADMINISTRACI$N DE
PROYECTOS DE TECNOLOG%ADENTRO DE ESTE CONTE%TO SEMENCIONAN LOS SIGUIENTES RIESGOS:
TECNOLGICO
DE CALENDARIZACIN
FINANCIERO
E%TERNO
IMPLEMENTACIN Y PUESTA ENMARCHA
7/21/2019 Auditoria de Sistemas_nuevo Milenio
17/30
LOS RIESGOS DE INFRA!ESTRUCTURA PUEDEN AFECTAR LOSSERVICIOS, DE LA SIGUIENTEMANERA:
AUSENCIA DE SERVICIOS DETECNOLOGIA
INOPERABILIDAD DE
SISTEMAS
ACCESO NO AUTORIZADO
INADECUADA ADMINISTRACIN
II-RIESGOS DE INFRAESTRUCUTRA
TECNOLOGICA
7/21/2019 Auditoria de Sistemas_nuevo Milenio
18/30
LOS RIESGOS PARA LOS SISTEMASSON:
INE%ACTITUD DE PROCESAMIENTO
PROCESAMIENTO INCOMPLETO
NO DISPONIBILIDAD
INSEGURIDAD DE LA APLICACIN
II-"RIESGOS DE LOS SISTEMAS DE INFORMACION
7/21/2019 Auditoria de Sistemas_nuevo Milenio
19/30
II-#QUE !ACER CON LOS RIESGOS?
ADMINISTRARLOS:
IDENTIFICARLOS: DESCRIBIRLOS CON PRECISION
ANALIZARLOS: PONDERARLOS Y ESTABLECER SUNIVEL DE IMPACTO. PARA SABER DONDE ESTANLAS DEBILIDADES MAS FUERTES
DEFINIR Y ESTABLECER CONTROLES MITIGANTES
7/21/2019 Auditoria de Sistemas_nuevo Milenio
20/30
II-#QUE !ACER CON LOS RIESGOS?
CADA ORGANIZACIN DEBE ESTABLECER SUSPROPIOS CRITERIOS PARA CUANTIFICAR LOS RIESGOSDE ACUERDO A SUS CONDICIONES Y NECESIDADES.
LOS VALORES DE LOS RIESGOS Y LOS PESOSASIGNADOS PUEDEN ESTABLECERSE BASNDOSE ENAPRECIACIONES Y EN LA E%PERIENCIA.
ES IMPORTANTE ASIGNAR LOS VALORES MS ALTOS ALOS RIESGOS MS SIGNIFICATIVOS Y DISMINUYENDO ELVALOR EN FUNCIN DE LA P$RDIDA DE IMPORTANCIADEL RIESGO.
7/21/2019 Auditoria de Sistemas_nuevo Milenio
21/30
II-&COMO !ACERLO ?
OBTENGA INFORMACIN DE: /0234562786723 "/0563938/045#,5/564;35
7/21/2019 Auditoria de Sistemas_nuevo Milenio
22/30
II-&EJEMPLO DE PONDERACION
SISTEMAS DE INFORMACION IMPORTANCIA PESO TOTAL DEL RIESGO RIESGO RIESGO
INE'ACTITUD DE PROCESAMIENTO 1
MALA EDICION Y VALIDACION 1 MALA TRANSMISION DE DATOS ( 32
REPORTES INE'ACTOS 1#
CARENCIA DE PISTAS DE AUDITORIA 2 (
ETC
PROCESAMIENTO INCOMPLETO 2
INADECUADOS CONT. SOBRE REGI. REC!A)ADOS ( 2 1#
INADECUADOS CONT. SOBRE TRANSAC. EN SUSPENSO ( 32
INADECUADOS CONTR. SOBRE SESIONES ACTIVAS ( ( #INADECUADOS CONTROLES SOBRE PROCESOS EN LOTE ( 1 (
NO DISPONIBILIDAD 3
INADECUADO ESTUDIO REQUERIMIENTOS USUARIO 12 1# 1*2
FALTA EVALUACION DE AMENA)AS 12 (
AUSENCIA DE PROCEDIMIENTOS 12 ( *#
AUSENCIA DE DOCUMENTOS DE SOPORTE 12 1 12
FALTA DETECCION DE FALLAS 12 2 2
ETC
INSEGURIDAD DE LA APLICACI$N
INADECUADA SEGREGACION DE FUNCIONES 1# #
AUSENCIA +INADECUADAS PISTAS DE AUDITORIA 1# ( 12(
MALA DISTRIBUCION INFORMACION 1# 1 1#
CARENCIA CONTROLES SOBRE DOCUMENTOS FUENTE 1# 2 32
ETC
7/21/2019 Auditoria de Sistemas_nuevo Milenio
23/30
II-&EJEMPLO DE MATRI) DE RIESGOS Y CONTROLES
RIESGO 1 RIESGO 2 RIESGO 3 RIESGO N
CONTROL1 '
CONTROL 2 ' '
CONTROL 3 ' ' '
CONTROL '
CONTROL N '
7/21/2019 Auditoria de Sistemas_nuevo Milenio
24/30
CAPITULO III
TECNICAS DE AUDITORIA
ASISTIDAS POR COMPUTADORA
CAAT
IDEA, UN CASO PRACTICO
7/21/2019 Auditoria de Sistemas_nuevo Milenio
25/30
E%ISTEN DIVERSAS TECNICAS, ALGUNAS SON:
DATOS DE PRUEBA TEST INTEGRADO "ITF# SIMULACIN PARALELA "APLICACIN
ESPECIAL DESARROLLADA# OPERACIN PARALELA "DUPLICADO DEL
SOFT'ARE EN AMBIENTES DIFERENTES# SOFT'ARE PARA E%TRACCIN Y ANALISIS
DE DATOS
III-1TECNICAS DE AUDITORIA
7/21/2019 Auditoria de Sistemas_nuevo Milenio
26/30
III-2EJEMPLO DE UNA !ERRAMIENTAINTERACTIVE DATA E'TRACTION AND ANALISYS
IDEATM
7/21/2019 Auditoria de Sistemas_nuevo Milenio
27/30
IDEA ES UNA HERRAMIENTA DESARROLLADA POR ELINSTITUTO CANADIENSE DE CONTADORES PUBLICOS DECANAD "CICA#.LE PERMITE AL USUARIO DESPLEGAR, E%TRAER Y ANALIZARINFORMACIN, VIRTUALMENTE DESDE CUALQUIER TIPO DESISTEMA DE INFORMACIN COMPUTARIZADO.
FACILITA EL TRABAJO DE AUDITORA REDUCE TIEMPOS SIGNIFICATIVAMENTE
PARA PRUEBAS SUSTANTIVAS
III-2EJEMPLO DE UNA !ERRAMIENTAINTERACTIVE DATA E'TRACTION AND ANALISYS
IDEA
7/21/2019 Auditoria de Sistemas_nuevo Milenio
28/30
EJEMPLOS DE PRUEBAS DE AUDITORA CON IDEA: REVISIN DE LA ANTIGEDAD DE CARTERA DE
CUENTAS POR COBRAR Y DE PROVEEDORES
RECLCULO DE SALDOS E INTERESES BANCARIOS
ANLISIS DE MOVIMIENTOS DE TODAS LAS CUENTASDE UN BANCO
III-INTERACTIVE DATA E'TRACTION AND ANALISYSIDEA
7/21/2019 Auditoria de Sistemas_nuevo Milenio
29/30
EJEMPLOS DE PRUEBAS "806.#
CLCULO DE INVENTARIO OBSOLETO
ANLISIS DE CADUCIDAD DE MEDICAMENTOS VALORIZACIN DEL INVENTARIOMUCHAS OTRAS...
III-INTERACTIVE DATA E'TRACTION AND ANALISYSIDEA
7/21/2019 Auditoria de Sistemas_nuevo Milenio
30/30
GRACIAS