Upload
maribel-porto
View
215
Download
0
Embed Size (px)
Citation preview
AUDITORIA
Proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de identificar y evaluar niveles de riesgos y presentar recomendaciones para un mejoramiento continuo.
La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si los controles establecidos, permiten salvaguardar los recursos informáticos y garantizan la integridad, disponibilidad y confidencialidad de los datos e información de la empresa, si lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.
La evidencia de auditoría es la información que obtiene el auditor para extraer conclusiones en las cuales sustenta su opinión
AUDITORIA INFORMÁTICA
Proceso
Evaluar
Verificar
RecursosInformáticos
Normas
PolíticasProcedimient
osControles
Para
De
DelDe
De
Estandares
OBJETIVOS AUDITORIA INFORMATICA
Asegurar: La integridad de los datos e información, La confidencialidad de los datos e
información y La Disponibilidad de los datos e
información. Evaluar que los controles garanticen la
seguridad del personal, los datos, el hardware, el software y las instalaciones.
Prever la existencias de riesgos en el uso de Tecnologías de información.
Evaluar la aplicación de las normas, las políticas, y los procedimientos informáticos.
IMPORTANCIA DE LA AUDITORIA INFORMATICA
AuditoriaInformática
Mide Desempeñode
Los Sistemas de InformaciónControles normas, políticas
Mejoramiento Continuo
Integridad
Confidencialidad
Disponibilidad
Para garantizar
De la Gestión Informática
De los recursos Informáticos
OBJETIVOS ESPECÍFICOS
• Comprobar la seguridad y confiabilidad de la información, administrativa, operativa, financiera, legal etc., desarrollada dentro de la Empresa.• Evaluar las competencias del personal del CPD.• Participar en el desarrollo de los sistemas de información o en su compra, a fin de verificar la incorporación o diseño de los controles necesarios para garantizar su operatividad en forma confiable ,eficiente y segura.
ALCANCE DE LA AUDITORÍA INFORMÁTICA
El alcance de la auditoría expresa el entorno y los límites en que se ejecutara la misma.
Debe especificar que áreas, normas, procesos o politicas especificas se van a auditar.
CAUSAS PARA INICIAR UNA A.I. Baja Productividad de los empleados que
trabajan con sistemas de información. Informes que se entregan a destiempo o
con errores. Perdida o Ausencia de datos. Fallas constantes de los sistemas de
nformación. Aumento considerable e injustificado del
presupuesto del Dpto. de Informática. Descubrimiento de fraudes efectuados
con el computador.
CAUSAS PARA INICIAR UNA A.I.
No definición de políticas, objetivos, normas, metodologías computacionales.
Descontento general de los usuarios por fallas en los sistemas de información.
Verificación de los controles de seguridad establecidos por la implementación de nuevas tecnologías.
ETAPAS PARA REALIZAR UN TRABAJO DE AUDITORIA
Planeación Ejecución
Información.
ETAPAS PARA REALIZAR UN TRABAJO DE AUDITORIA
Planeación Identificar la infraestructura informática del (centro de computo o CPD).Conocer las políticas, normas, procedimientos y estándares de esta áreaLa Planeación debe definir:objetivos.metodología.personal participante, duración, horario, AlcanceElaboración de cronogramasPlaneación de la muestra.
ETAPAS PARA REALIZAR UN TRABAJO DE AUDITORIA
EJECUCION Revisión y evaluación de controles,
normas, políticas de seguridad, diagramas, procesos históricos (backups), documentación.
Examen detallado de áreas criticas. Análisis de Vulnerabilidad, Amenazas y
Riesgosevaluación de Riesgos y su impacto.
Recolección de evidencias y hallazgos
Hallazgos de auditoríaResultados de la evaluación de la evidencia de auditoría recopilada durante el proceso de ejecución de auditoría. NOTA Los hallazgos de la auditoría
pueden indicar tanto conformidad o no conformidad y pueden generar oportunidades de mejora.
ETAPAS PARA REALIZAR UN TRABAJO DE AUDITORIA
INFORMACION Redacción del Informe final
(comunicación de resultados:Relación de evidencias y hallazgos.Conformidades y no conformidades encontradas.Causas.Sugerencias.Solicitud de planes de acción.
TECNICAS DE AUDITORIA
TECNICAS DE AUDITORIA
Son los métodos prácticos de investigación y prueba que utiliza el auditor para obtener la evidencia necesaria que fundamente sus opiniones y conclusiones.Su empleo se basa en su criterio o juicio, según las circunstancias.
CUESTIONARIOS
Son formatos previamente diseñados por el Auditor y que se entregan al auditado, con el fin de que lo diligencie. Los datos contestados se confrontan con otros medios.
LA ENTREVISTA
La entrevista es una de las actividades personales más importante del auditor; en ellas, recoge más información, y mejor matizada, que la proporcionada por medios como las respuestas escritas a cuestionarios.La entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio.
EL CHECKLIST
Es un formato con un listado de preguntas, sobre un tema especifico y el cual debe contestar el auditado, con respuestas cerradas (si, no) o con calificaciones.
TIPOS CHECKLIST
Los cuestionarios o Checklists responden fundamentalmente a dos tipos de "filosofía" de calificación o evaluación:Checklist de rango Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta más negativa y el 5 el valor más positivo)
TIPOS CHECKLIST
Las respuestas tienen los siguientes significados:1 : Muy deficiente.2 : Deficiente.3 : Mejorable.4 : Aceptable.5 : Correcto.
TIPOS CHECKLIST
Checklist Binaria Es el constituido por preguntas con respuesta única y excluyente: Si o No. Aritméticamente, equivalen a 1(uno) o 0(cero), respectivamente
TECNICAS DE AUDITORIA
Trazas y/o Huellas:El auditor informático debe verificar que los programas, realicen exactamente las funciones previstas, y no otras. Para ello se apoya en Software un especial, que permite rastrear los caminos que siguen los datos a través del programa, verificando entre otras las validaciones previstas.
TECNICAS DE AUDITORIA
Log:El log es un historial que informa todo lo que hizo la Aplicación al ingresar, modificar, y borrar datos, (quien cuando, donde), todo queda grabado en el log como una transacción.El log permite analizar cronológicamente que fue lo que sucedió con los datos.