Auditoria de Sistemas_nuevo Milenio

7/21/2019 Auditoria de Sistemas_nuevo Milenio

1/30

AUDITORIA DE SISTEMAS Y SOLUCIONES TECNOLOGICAS, S. A.

AUDITORIA DE SISTEMAS

PARA EL NUEVO MILENIO


2/30

CAPITULO I

INTRODUCCION A LA



3/30

Auditoria de Sistemas

Conjunto de procedimiento y tcnicas para evaluar y

controlar la integridad, confiabilidad y seguridad

de la Informacin procesada por los Sistemas

Informticos, con el fin de proteger sus activos y

recursos, verificando que sus actividades se

desarrollen eficientemente y eficazmente de

acuerdo con la normativa informtica eistente en

cada empresa!


4/30

QUE ES AUDITORIA DE SISTEMAS?

ES UN CONCEPTO RECIENTE EN NUESTROMEDIO

ES UNA FUNCION ASESORA

CONJUGA DOS DICIPLINAS: AUDITORIA YTECNOLOGIA DE INFORMACION

I-1INTRODUCCION A LA AUDITORIA DE SISTEMAS


5/30

BRINDAR A LA GERENCIA UNA SEGURIDADRAZONABLE DE QUE LOS OBJETIVOS DE CONTROLSE HAN CUMPLIDO.

IDENTIFICAR LAS FORTALEZAS Y DEBILIDADES DECONTROL.

ADMINISTRAR LOS RIESGOS DE TECNOLOGA.

ASESORAR A LA GERENCIA EN LAS ACCIONESCORRECTIVAS.

I-1OBJETIVOS DE LA AUDITORIA DE SISTEMAS ENEL NUEVO MILENIO?


6/30

LA ORIENTACIN MODERNA ES:

1. ASESORAR Y APOYAR A LOS DIFERENTESNIVELES DE LA ORGANIZACIN EN TODO LORELACIONADO CON LA TECNOLOGA DEINFORMACIN, MEDIANTE ANLISIS,EVALUACIONES Y RECOMENDACIONES.

. ASESORAR Y COOPERAR CON LOS AUDITORESINTERNOS EN EL CUMPLIMIENTO DE SUTRABAJO.

I-2FUNCION DE LA AUDITORIA DE SISTEMAS EN ELNUEVO MILENIO


7/30

INCREMENTO EN LOS RIESGOS TECNOLOGICOS POR: USO DE NUEVAS HERRAMIENTAS DE DESARROLLO

MANEJADAS POR USUARIOS

ARQUITECTURAS CLIENTE!SERVIDOR

SERVICIOS EDI "INTERCAMBIO ELECTRNICO DE DATOS#ENTRE ORGANIZACIONES Y SIN LMITES DE FRONTERAS

INTERNET

DEPENDENCIA SOBRE SISTEMAS MEDULARES DEL NEGOCIO

I-3NECESIDAD DE LA AUDITORIA DE SISTEMAS ENEL NUEVO MILENIO


8/30

PERMITE EVALUAR Y DETECTAR LOS RIESGOSTECNOLGICOS.

ESTABLECER LAS MEDIDAS ADECUADAS PARA LAMINIMIZACIN DE LOS RIESGOS.

SUPERVISAR EN FORMA INDEPENDIENTE, ELCUMPLIMIENTO DE LOS CONTROLES Y POLTICAS

DEFINIDAS.

I-3BONDADES DE LA AUDITORIA DE SISTEMAS ENEL NUEVO MILENIO


9/30

PLANIFICAR LA AUDITORA DE SISTEMAS

UNA T$CNICA: PLANIFICACIN BASADA EN RIESGOS

DESARROLLAR EL PROGRAMA DE TRABAJO PARA LAAUDITORA DE SISTEMAS

DESARROLLAR LA EVALUACIN

PREPARAR UN INFORME Y RECOMENDACIONES

I-QUE !ACER COMO AUDITORES DE SISTEMAS?


10/30

I-" OTROS ENFOQUES PARA LA PLANIFICACION

POR SISTEMAS DE INFORMACION CRITICOS

POR COMPONENTES DEL NEGOCIO

POR COMPONENTES TECNOLOGICOS

POR CONTROLES GENERALES

POR OPINIONES E%TERNADAS EN EVALUACIONESPREVIAS


11/30

I-#POSIBLES COMPONENTES A AUDITAR

1. ESTRUCTURAORGANIZATIVA DE INFOR!MTICA

. PROCEDIMIENTOS DEDESARROLLO Y ADQUISI!CIN DE SISTEMAS

&. PROCEDIMIENTOS DEMANTENIMIENTO "H' Y

S'#(. REDES LAN

). COMUNICACIN DE DATOS

*. CONTROLES DE SISTEMASEN FUNCIONAMIENTO

+. OPERACIONES EN LOSCENTROS DE CMPUTO

. SEGURIDAD FISICA YLGICA

-. MICROCOMPUTADORAS

1. PLAN DE CONTINGENCIA


12/30

LAS EVALUACIONES EN AUDITORIA DESISTEMAS, DEBEN EFECTUARSE MEDIANTE LA

PRACTICA DE UNA METODOLOGIA FORMAL YCONSISTENTE.

LAS OPINIONES DEBEN SER SUSTENTADAS YREGULADAS POR NORMAS PROFESIONALES.


13/30

CAPITULO II

PLANIFICACION DE LA


BASADA EN RIESGOS

UN ENFOQUE MODERNO


14/30

II-1 PLANIFICACION BASADA EN RIESGOS

SELECCIONAR REAS DE MAYOR RIESGO

ELABORAR PLAN PARA AUDITAR LAS REAS EN FUNCIN

DEL NIVEL DE RIESGO

DESIGNAR PERSONAL PARA LA EVALUACIN

LIMITAR EL TRABAJO PARA RIESGOS CRTICOS


15/30

LOS RIESGOS DE TECNOLOGA DE INFORMACIN SE PUEDENUBICAR EN TRES GRANDES REAS:

ADMINISTRACIN DE PROYECTOS DE TECNOLOGA

INFRAESTRUCTURA DE TECNOLOGA

SISTEMAS DE INFORMACIN

II-2 DONDE BUSCAR EL RIESGO TECNOLOGICO


16/30

II-3RIESGOS DE ADMINISTRACI$N DE

PROYECTOS DE TECNOLOG%ADENTRO DE ESTE CONTE%TO SEMENCIONAN LOS SIGUIENTES RIESGOS:

TECNOLGICO

DE CALENDARIZACIN

FINANCIERO

E%TERNO

IMPLEMENTACIN Y PUESTA ENMARCHA


17/30

LOS RIESGOS DE INFRA!ESTRUCTURA PUEDEN AFECTAR LOSSERVICIOS, DE LA SIGUIENTEMANERA:

AUSENCIA DE SERVICIOS DETECNOLOGIA

INOPERABILIDAD DE

SISTEMAS

ACCESO NO AUTORIZADO

INADECUADA ADMINISTRACIN

II-RIESGOS DE INFRAESTRUCUTRA

TECNOLOGICA


18/30

LOS RIESGOS PARA LOS SISTEMASSON:

INE%ACTITUD DE PROCESAMIENTO

PROCESAMIENTO INCOMPLETO

NO DISPONIBILIDAD

INSEGURIDAD DE LA APLICACIN

II-"RIESGOS DE LOS SISTEMAS DE INFORMACION


19/30

II-#QUE !ACER CON LOS RIESGOS?

ADMINISTRARLOS:

IDENTIFICARLOS: DESCRIBIRLOS CON PRECISION

ANALIZARLOS: PONDERARLOS Y ESTABLECER SUNIVEL DE IMPACTO. PARA SABER DONDE ESTANLAS DEBILIDADES MAS FUERTES

DEFINIR Y ESTABLECER CONTROLES MITIGANTES


20/30

II-#QUE !ACER CON LOS RIESGOS?

CADA ORGANIZACIN DEBE ESTABLECER SUSPROPIOS CRITERIOS PARA CUANTIFICAR LOS RIESGOSDE ACUERDO A SUS CONDICIONES Y NECESIDADES.

LOS VALORES DE LOS RIESGOS Y LOS PESOSASIGNADOS PUEDEN ESTABLECERSE BASNDOSE ENAPRECIACIONES Y EN LA E%PERIENCIA.

ES IMPORTANTE ASIGNAR LOS VALORES MS ALTOS ALOS RIESGOS MS SIGNIFICATIVOS Y DISMINUYENDO ELVALOR EN FUNCIN DE LA P$RDIDA DE IMPORTANCIADEL RIESGO.


21/30

II-&COMO !ACERLO ?

OBTENGA INFORMACIN DE: /0234562786723 "/0563938/045#,5/564;35


22/30

II-&EJEMPLO DE PONDERACION

SISTEMAS DE INFORMACION IMPORTANCIA PESO TOTAL DEL RIESGO RIESGO RIESGO

INE'ACTITUD DE PROCESAMIENTO 1

MALA EDICION Y VALIDACION 1 MALA TRANSMISION DE DATOS ( 32

REPORTES INE'ACTOS 1#

CARENCIA DE PISTAS DE AUDITORIA 2 (

ETC

PROCESAMIENTO INCOMPLETO 2

INADECUADOS CONT. SOBRE REGI. REC!A)ADOS ( 2 1#

INADECUADOS CONT. SOBRE TRANSAC. EN SUSPENSO ( 32

INADECUADOS CONTR. SOBRE SESIONES ACTIVAS ( ( #INADECUADOS CONTROLES SOBRE PROCESOS EN LOTE ( 1 (

NO DISPONIBILIDAD 3

INADECUADO ESTUDIO REQUERIMIENTOS USUARIO 12 1# 1*2

FALTA EVALUACION DE AMENA)AS 12 (

AUSENCIA DE PROCEDIMIENTOS 12 ( *#

AUSENCIA DE DOCUMENTOS DE SOPORTE 12 1 12

FALTA DETECCION DE FALLAS 12 2 2

ETC

INSEGURIDAD DE LA APLICACI$N

INADECUADA SEGREGACION DE FUNCIONES 1# #

AUSENCIA +INADECUADAS PISTAS DE AUDITORIA 1# ( 12(

MALA DISTRIBUCION INFORMACION 1# 1 1#

CARENCIA CONTROLES SOBRE DOCUMENTOS FUENTE 1# 2 32

ETC


23/30

II-&EJEMPLO DE MATRI) DE RIESGOS Y CONTROLES

RIESGO 1 RIESGO 2 RIESGO 3 RIESGO N

CONTROL1 '

CONTROL 2 ' '

CONTROL 3 ' ' '

CONTROL '

CONTROL N '


24/30

CAPITULO III

TECNICAS DE AUDITORIA

ASISTIDAS POR COMPUTADORA

CAAT

IDEA, UN CASO PRACTICO


25/30

E%ISTEN DIVERSAS TECNICAS, ALGUNAS SON:

DATOS DE PRUEBA TEST INTEGRADO "ITF# SIMULACIN PARALELA "APLICACIN

ESPECIAL DESARROLLADA# OPERACIN PARALELA "DUPLICADO DEL

SOFT'ARE EN AMBIENTES DIFERENTES# SOFT'ARE PARA E%TRACCIN Y ANALISIS

DE DATOS

III-1TECNICAS DE AUDITORIA


26/30

III-2EJEMPLO DE UNA !ERRAMIENTAINTERACTIVE DATA E'TRACTION AND ANALISYS

IDEATM


27/30

IDEA ES UNA HERRAMIENTA DESARROLLADA POR ELINSTITUTO CANADIENSE DE CONTADORES PUBLICOS DECANAD "CICA#.LE PERMITE AL USUARIO DESPLEGAR, E%TRAER Y ANALIZARINFORMACIN, VIRTUALMENTE DESDE CUALQUIER TIPO DESISTEMA DE INFORMACIN COMPUTARIZADO.

FACILITA EL TRABAJO DE AUDITORA REDUCE TIEMPOS SIGNIFICATIVAMENTE

PARA PRUEBAS SUSTANTIVAS

III-2EJEMPLO DE UNA !ERRAMIENTAINTERACTIVE DATA E'TRACTION AND ANALISYS

IDEA


28/30

EJEMPLOS DE PRUEBAS DE AUDITORA CON IDEA: REVISIN DE LA ANTIGEDAD DE CARTERA DE

CUENTAS POR COBRAR Y DE PROVEEDORES

RECLCULO DE SALDOS E INTERESES BANCARIOS

ANLISIS DE MOVIMIENTOS DE TODAS LAS CUENTASDE UN BANCO

III-INTERACTIVE DATA E'TRACTION AND ANALISYSIDEA


29/30

EJEMPLOS DE PRUEBAS "806.#

CLCULO DE INVENTARIO OBSOLETO

ANLISIS DE CADUCIDAD DE MEDICAMENTOS VALORIZACIN DEL INVENTARIOMUCHAS OTRAS...

III-INTERACTIVE DATA E'TRACTION AND ANALISYSIDEA


30/30

GRACIAS

Documents

Auditoria de Sistemas_nuevo Milenio