Upload
hferna01
View
222
Download
2
Embed Size (px)
DESCRIPTION
Elementos a considerar en un auditoría de sistemas de información
Citation preview
Auditora de TI
POR QU ES IMPORTANTE AUDITAR LOS SISTEMAS DE
INFORMACIN DE UNA EMPRESA?
Es muy probable que al leer el ttulo del tpico,
se habrn preguntado:
...auditora informtica?
... para que necesito estudiar esto si ese no es
mi campo?
...realmente es importante para mi labor
profesional conocer del tema o es slo por un
requisito acadmico?.
Auditora de TI
Financiera
Tecnologa de
Informacin
Cumplimiento
Gestin
La auditora de TI es el proceso de
recoger, agrupar y evaluar evidencias
para determinar si un sistema de
informacin salvaguarda los activos,
mantiene la integridad de los datos,
lleva a cabo eficazmente los fines de
la organizacin y utiliza eficientemente
los recursos
Tipo de Auditoras
Auditora Interna
Auditora Interna: Evaluacin realizada por un departamento interno responsable dentro de la empresa, para examinar y evaluar algunas funciones y los controles relacionados
Auditora Financiera
Auditora Operativa
Auditora de Cumplimiento de Regulaciones
Auditora de Posibles Fraudes
Auditora de TI
Auditora Externa
Auditora Externa: Su principal objetivo es asegurar que los estados financieros emitidos por una empresa, son una representacin fiel de todas sus transacciones y actividades relevantes.
En abril de 2003, la Comisin Nacional Bancaria y de Valores determin que
las empresas registradas en la BMV, preparen su informacin financiera
siguiendo las normas establecidas por el CINIF.
El Consejo Mexicano para la Investigacin y Desarrollo de Normas de
Informacin Financiera (CINIF) publica las Normas de Informacin
Financiera (NIFs ). http://www.cinif.org.mx/
Normalmente es realizada por una empresa consultora: PWC, Deloitte, KPMG
Externa vs. Interna
Auditora Externa: Auditor Independiente(CPA)
Requerida por la BMV o la SEC para empresas pblicas
Se le conoce como auditora financiera
Representa los intereses de los accionistas el gran pblico inversionista
Regida por estndares
Auditora Interna: Empleado interno (normalmente CIA o CISA)
Algunas veces la funcin puede ser tercerizada (Outsourcing)
Alcance ms amplio (operaciones, RH, Ventas, Almacenes)
Representa los intereses de la propia organizacin (Consejo de Administracin)
Regida por estndares: ISACA (Information Systems Audit and Control Association)
Qu significa CISA? CISM?
CISA - Certified Information Systems Auditor
CISM - Certified Information Systems Manager
www.isaca.org (Information Systems Audit and Control Organization
COBIT
COBIT significa Control OBjetives forInformation and related Tecnology
Es una herramienta de gobierno de las tecnologas de informacin diseado por la
ISACA
COBIT
La misin del COBIT: buscar, desarrollar, publicar y
promover un autoritario y actualizado conjunto
internacional de objetivos de control de tecnologas de la
informacin, generalmente aceptadas, para el uso diario
por parte de gestores de negocio y auditores
COBIT
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL
DETALLADOS
DOMINIOS
Planificacin y organizacin
Adquisicin e implementacin
Soporte de entrega
Monitorizacin
302 Objetivos
11 Objetivos
6 Objetivos
13 Objetivos
4 Objetivos
Total 34 Objetivos
Qu es la Auditora de TI?
AUDITORIA
DE TI
Es una disciplina encargada de aplicar un conjunto de tcnicas y procedimientos con el fin de evaluar la seguridad, confiabilidad y eficiencia de los sistemas de informacin.
Adicionalmente se encarga de evaluar la seguridad en los departamentos de TI, la eficiencia en el control de los procesos administrativos y la privacidad de la informacin
Para ello necesita
Conjunto de Procedimientos y Tcnicas para evaluar y
controlar, total o parcialmente los elementos informticos
de una organizacin.
Su finalidad es proteger los recursos de sta, verificando
que las actividades que desarrollan estos elementos
informticos cumplan con las normativas de la Empresa
Metodologa
Controles insuficientes
Insuficiente involucracin del usuario
Falta de estndares de procesamiento de datos
Exposicin al fraude
Falta de revisiones independientes
Retorno de la inversin inadecuado
Principales preocupaciones de la Gerencia
Paradigma de los Auditores
Mucha desconfianza
En muchas ocasiones las personas son reacias a cooperar
Surge el miedo natural: Si vienen los auditores me van a correr
Sntomas de cuando es necesario ejecutar la Auditora de TI
Falta de coordinacin y desorganizacin en los servicios de TI
Mala imagen e insatisfaccin de los usuarios
Debilidades econmico-financieras
Irregularidades y violaciones continuas a las polticas de manejo de informacin
Etapas de una Auditora de TI
Determinacin de Alcances y Objetivos
Evaluacin Preliminar del Entorno Auditable
Planificacin de la Auditora
Ejecucin de la Auditora
Informe de Auditora
Seguimiento
Qu elementos de TI se auditan?
Desarrollo de Sistemas
Segregacin de Funciones
Bases de Datos
Comercio Electrnico
Infraestructura de Redes
Controles de Acceso a Aplicaciones
Auditora de Aplicaciones
Evaluacin con alcance enfocado en una aplicacin o un proceso de negocio especfico
Proceso de nmina que abarca diferentes servidores, bases de datos, localidades y empresas
Hojas de clculo que utiliza macros de Excel para generar datos crticos
El nivel de control est directamente relacionado con el grado de riesgo involucrado con un procesamiento
incorrecto o inadecuado de la informacin
Administracin
Inputs, Procesamiento, Outputs
Seguridad Lgica
Disaster Recovery Plan
Administracin del Cambio
Soporte a Usuarios
Servicios de Proveedores
Controles Generales
Auditora de Aplicaciones
Tips para manejar adecuadamente una Auditora
No es una confrontacin
Estar disponible para atender a los auditores
Conocer perfectamente el Alcance y los Objetivos que busca la Auditora
Involucrar al equipo especficamente requerido
Entender el tipo de informacin que se requiere recolectar
Entender el tipo de informacin que NO se requiere recolectar