SlideShare une entreprise Scribd logo

Auditoria Informatica y de Sistemas de Informacion

J
Javier Moreno
1  sur  14
Télécharger pour lire hors ligne
REPÚBLICA BOLIVARIANA DE VENEZUELA MINISTERIO DEL PODER POPULAR PARA LA EDUCACION INSTITUTO UNIVERSITARIO POLITÉCNICO SANTIAGO MARIÑO EXTENSIÓN PORLAMAR - SEDE GENOVÉS AUDITORÍA INFORMÁTICA AUTOR: FREDDY JAVIER MORENO BRAVO C.I.: 18.058.745 AUDITORIA Y EVALUACIÓN DE SISTEMAS (SAIA) PORLAMAR, SEPTIEMBRE DE 2012
Introducción En este informe se presentan diversos puntos correspondientes al tema de la auditoría, iniciándose desde su historia y evolución hasta describir el perfil profesional de un auditor Informático. Cabe destacar que la auditoria tiene ciertas variedades, es por esto que se ha desarrollado el presente trabajo con la intención de dar a conocer el punto de vista de su autor, sintetizando y resaltando los temas más relevantes, adecuados y correspondientes a la computación, sistemas, y la ingeniería de estas mismas ramas como tal. Se realiza en palabras propias y se muestran cuadros y mapas conceptuales para graficar las ideas a presentar y de esta manera poder hacer del mismo, un medio informativo de fácil entendimiento para sus lectores.
Auditor Un auditor es aquel que ha sido designado por una autoridad competente, para examinar, evaluar y revisar los resultados de una gestión administrativa y/o financiera de una institución, empresa u organización, con el fin de informar acerca de estos procesos en busca de recomendaciones u observaciones que permitan optimizar el desempeño de las mismas. Auditoría Sabiendo esto, es posible y definir a la auditoria como una función de dirección cuya finalidad es analizar y apreciar, con vistas a las eventuales acciones correctivas, el control interno de las organizaciones y sus procesos.
Mapa cronológico de la historia y evolución de la auditoría según Carlos Muños Razo  Al subir al trono Sancho VI "El Bravo", ordeno a algunos de sus hombres de confianza que controlaran el destino de los AÑO 1284 caudales públicos. Como resultado de esta medida y como producto de su reinado, se origino el tribunal de cuentas en España  El descubrimiento de América, contribuyó también al crecimiento de la actividad de la auditoría, pues la Corona envió visitadores a revisar las cuentas y resultados de sus colonias; dichos visitadores supervisaban Año 1492 que el registro y manejo de las cuentas fueran correctos y emitían una opinión sobre la actuación de los encargados.  Se estima que el verdadero nacimiento de la auditoria fue a finales del siglo XV cuando países poderosos y algunos personajes influyentes de ese entonces, recurrían a los servicios de revisores Siglo XV de cuentas, quienes se encargaban de revisar las cuentas manejadas por los administradores de sus bienes, y se aseguraban de que no hubiera fraudes en los reportes que se les presentaban.  A mediados del siglo XIX, la Ley de Empresas del Reino Unido de Inglaterra, impuso la obligación de ejecutar auditorías a los resultados financieros, el balance general, los Siglo XIX registros contables y las actividades financieras de las empresas públicas  Del año 1912 al 1984, desde el Instituto de Contadores Públicos de España hasta Robert J. Thierauf, quien habló sobre la auditoria Siglo XX administrativa como una técnica utilizada para evaluar las áreas operacionales de una organización, enfocando su trabajo desde el punto de vista administrativo
Mapa Conceptual de los diferentes tipos de Auditoría según Carlos Muños Razo Auditorías Por su lugar de aplicación Por su área de aplicación Auditoría externa Auditoría financiera Auditoría interna Auditoría administrativa Especializadas en áreas específicas Auditoría operacional Auditoría al área médica Auditoría integral (Evaluación médico-sanitaria) Auditoría gubernamental Auditoría al desarrollo de obras y Auditoría de sistemas Construcciones De sistemas computacionales (Evaluación de ingeniería) Auditoría informática Auditoría fiscal Auditoría con la computadora Auditoría laboral Auditoría sin la computadora Auditoría de proyectos de inversión Auditoría a la gestión informática Auditoría a la caja chica o Auditoría al sistema de cómputo Caja mayor (arqueos) Auditoría alrededor de la computadora Auditoría al manejo de mercancías Auditoría de la seguridad (inventarios) de sistemas computacionales Auditoría ambiental Auditoría a los sistemas de redes Auditoría de sistemas Auditoría integral a los centros de cómputo Auditoría ISO-9000 a los sistemas computacionales Auditoría outsourcing Auditoría ergonómica de sistemas computacionales
Cuadro comparativo Auditoria Interna Auditoria Externa Ventajas Desventajas Ventajas Desventajas  Facilita una ayuda  Tiene la desventaja que cada  Las ventajas para todos  El trabajo es más primordial a la dirección al empresa tiene sus los empresarios, no arduo en la evaluar de forma características propias y importando su tamaño, recopilación de datos relativamente especiales de manera que localización o sector en el para explicar independiente los deben enfocarse al tipo de que actúen sus empresas. resultados como: sistemas de organización empresa que se trate, además  Los diversos métodos de  Falta de elementos y de administración puede modificarse por que es trabajo empleados en las en los almacenes de el control interno halla variado  Facilita una evaluación auditorías externas repuestos por lo que los procedimientos global y objetiva de los permiten su adecuación al también serán diferentes.  Falta o exceso en el problemas de la empresa, tipo de empresa al que se almacenaje de que generalmente suelen dirige en cada caso. La materias primas ser interpretados de una auditoría empresarial manera parcial por los puede ser aprovechada,  Falta o exceso en el departamentos afectados. entre otras cosas, en los almacenaje de procesos siguientes: productos terminados  Pone a disposición de la  Deficiente instalación
dirección un profundo • Reorganización de la empresa contra incendio o mal conocimiento de las desarrollo de Plan de • Atribución o reparto de nuevas operaciones de la emergencia funciones a los empleados empresa, proporcionado  Deficiencias en la • Análisis de los asuntos por el trabajo de contabilidad empresariales verificación de los datos contables y financieros. • Elaboración de descripciones de  Deficiencias en los puestos de trabajo algunas Normas ISO  Contribuye eficazmente a evitar las actividades • Estudio de los requisitos de las  Deficiencias en el rutinarias y la inercia competencias para cada puesto plan de trabajo de burocrática que calidad (partes diarios • Examen de la actitud de los generalmente se de trabajo de cada empleados hacia el trabajo desarrollan en las grandes departamento) • Estudio de la motivación de los empresas.  Deficiencias en la empleados  Favorece la protección de distribución ordenada los intereses y bienes de de deshechos la empresa frente a terceros.
Definición de Auditoria informática Es el conjunto de técnicas, procedimientos y actividades, destinados a analizar y evaluar el funcionamiento de los sistemas informáticos de un ente, por lo que comprende un examen metódico, puntual y discontinuo, con el propósito de mejorar aspectos como: Control y seguridad de los sistemas informáticos; Cumplimiento de la normativa tecnológica del ente; Control de planes de contingencia; Eficacia y rentabilidad en el manejo de los sistemas. Alcance de la auditoría informática El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoria informática, se completa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidos. En este sentido un ejemplo de este control surge al plantearse las siguientes cuestiones ¿Se someterán los registros grabados a un control de integridad exhaustivo- ¿Se comprobará que los controles de validación de errores son adecuados y suficientes. La indefinición de los alcances de la auditoria compromete el éxito de la misma. Características de la auditoría informática. La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informática, materia de la que se ocupa la Auditoria de Inversión Informática.
Importancia de la Auditoria Informática en una Organización Los órganos de la los Sistemas Informáticos están sometidos al control correspondiente, circunstancia que no se debe olvidar. La importancia de llevar un control de esta herramienta se puede deducir de varios aspectos que a continuación se detallaran: - Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditoria Informática de Seguridad. - Las computadoras creadas para procesar y difundir resultados o información elaborada pueden producir resultados o información errónea si dichos datos son, a su vez, erróneos. Este concepto obvio es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus Sistemas Informáticos, con la posibilidad de que se provoque un efecto cascada y afecte a Aplicaciones independientes. En este caso interviene la Auditoria Informática de Datos. - Un Sistema Informático mal diseñado puede convertirse en una herramienta harto peligrosa para la empresa: como las maquinas obedecen ciegamente a las órdenes recibidas y la modelización de la empresa está determinada por las computadoras que materializan los Sistemas de Información, la gestión y la organización de la empresa no puede depender de un Software y Hardware mal diseñados. Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema Informático, de ahí la necesidad de la Auditoría de Sistemas.
Auditoria Informática y Auditoria de Sistemas de Información Similitudes Diferencias  No se requieren nuevas normas de auditoría,  Se establecen algunos nuevos son las mismas. procedimientos de auditoría.  Los elementos básicos de un buen sistema de  Hay diferencias en las técnicas control contable interno siguen siendo los destinadas a mantener un adecuado mismos; por ejemplo, la adecuada segregación control interno contable. de funciones.  Los propósitos principales del estudio y la  Hay alguna diferencia en la manera de evaluación del control contable interno son la estudiar y evaluar el control interno obtención de evidencia para respaldar una contable. opinión y determinar la base, oportunidad y extensión de las pruebas futuras de auditoría.  El énfasis en la evaluación de los sistemas manuales esta en la evaluación de transacciones, mientras que el énfasis en los sistemas informáticos, está en la evaluación del control interno. Características y Objetivos de la Auditoría Informática La Auditoría Informática se puede definir como “el conjunto de procedimientos y técnicas para evaluar y controlar un sistema informático con el fin de constatar si sus actividades son correctas y de acuerdo a las normativas informáticas y generales en la organización”. La Auditoría Informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además tendrá que evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información. Esta es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo: informática, organización de centros de información, hardware y software.
La Auditoría del Sistema de Información en la empresa, a través de la evaluación y control que realiza, tiene como objetivo fundamental mejorar la rentabilidad, la seguridad y la eficacia del sistema mecanizado de información en que se sustenta. El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoría informática, se complementa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas. Ejemplo: ¿Se someterán los registros grabados a un control de integridad exhaustivo? ¿Se comprobará que los controles de validación de errores son adecuados y suficientes? La indefinición de los alcances de la auditoría compromete el éxito de la misma. Control de integridad de registros: Hay Aplicaciones que comparten registros, son registros comunes. Si una Aplicación no tiene integrado un registro común, cuando lo necesite utilizar no lo va encontrar y, por lo tanto, la aplicación no funcionaría como debería.*Control de validación de errores: Se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente. Características de la Auditoría Informática La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoría de Inversión Informática. Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas. Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función: se está en el campo de la Auditoría de Organización Informática. Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una auditoría parcial. De otra manera: cuando se realiza una
auditoria del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas. Síntomas de Necesidad de una Auditoría Informática Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases: Síntomas de descoordinación y desorganización - No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.- Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente. [Puede ocurrir con algún cambio masivo de personal, o en una restructuración fallida de alguna área o en la modificación de alguna Norma importante] Síntomas de mala imagen e insatisfacción de los usuarios: - No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc.- No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente. - No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles. Síntomas de debilidades económico-financieras: - Incremento desmesurado de costes. Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal
necesidad y decide contrastar opiniones). Desviaciones Presupuestarias significativas. - Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición). Síntomas de Inseguridad: Evaluación de nivel de riesgos - Seguridad Lógica y/o Seguridad Física Confidencialidad [Los datos son propiedad inicialmente de la organización que los genera. Los datos de personal son especialmente confidenciales]- Continuidad del Servicio. Es un concepto aún más importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia Totales y Locales. - Centro de Proceso de Datos fuera de control, Si tal situación llegara a percibirse, sería prácticamente inútil la auditoría. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio. El Auditor Informático debe ser una persona con un alto grado de calificación técnica y al mismo tiempo estar integrado en las corrientes organizativas empresariales que imperan hoy en día. Se deben de contemplar las siguientes características para mantener el perfil profesional adecuado y actualizado: 1. La persona o personas que integren esta función deben contemplar en su formación básica una mezcla de conocimientos de auditoría financiera y de informática en general .Estos últimos deben contemplar conocimientos básicos de:  Desarrollo informático, gestión de proyectos y del ciclo de vida de un proyecto de desarrollo. Gestión del departamento de sistemas. Análisis de riesgo en un entorno informático. Sistema operativo. Telecomunicaciones. Gestión de
base de datos. Seguridad física. Operaciones y planificación informática. Gestión de la seguridad de los sistemas y de la continuidad empresarial a través de planes de contingencia de la información. Gestión de problemas y de cambios en entornos informáticos. Administración de datos. Comercio electrónico. Encriptación de datos. A estos conocimientos básicos se les deberá añadir una especialización en función de la importancia económica que distintos componentes financieros puedan tener en un entorno empresarial. Así en un entorno financiero pueden tener mucha importancia las comunicaciones y será necesario que alguien dentro de la función de auditoría informática tenga esta especialización, pero esto mismo puede no ser válido para un entorno productivo en el que las transacciones EDI pueden ser más importantes. El auditor informático debe conocer técnicas de gestión empresarial y sobre todo de gestión del cambio ya que las recomendaciones y soluciones que aporten deben estar en la línea de la búsqueda optima de la mejor solución para los objetivos empresariales que se persiguen y con los recursos que se tienen. El auditor informático debe tener siempre el concepto de calidad total. Como parte de un colectivo empresarial, bien sea permanentemente como auditor interno o puntualmente como auditor externo, el concepto de calidad total hará que sus conclusiones y trabajo sean reconocidos como un elemento valioso dentro de la organización y que los resultados sean aceptados en su totalidad. Esta aplicación organizativa debe hacer que la propia imagen del auditor informático sea más reconocida de forma positiva por la organización.

Recommandé

Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas Informaticos
Eduardo Gonzalez
 
Dictamen de la auditoria de sistemas
Dictamen de la auditoria de sistemasDictamen de la auditoria de sistemas
Dictamen de la auditoria de sistemas
Jose Alvarado Robles
 
Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria Informática
Luis Eduardo Aponte
 
Ejemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosEjemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticos
Diana Alfaro
 
Informe final de Auditoria Informatica
Informe final de Auditoria InformaticaInforme final de Auditoria Informatica
Informe final de Auditoria Informatica
Amd Cdmas
 
AUDITORIA INFORMATICA
AUDITORIA INFORMATICAAUDITORIA INFORMATICA
AUDITORIA INFORMATICA
Josefernandezzafra
 
Herramientas y Técnicas de Auditoria de Sistema For Ucc
Herramientas y Técnicas de Auditoria de Sistema For UccHerramientas y Técnicas de Auditoria de Sistema For Ucc
Herramientas y Técnicas de Auditoria de Sistema For Ucc
oamz
 
Ejemplo de una auditoria
Ejemplo de una auditoriaEjemplo de una auditoria
Ejemplo de una auditoria
joinergac
 

Recommandé

Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas Informaticos
Eduardo Gonzalez
 
Dictamen de la auditoria de sistemas
Dictamen de la auditoria de sistemasDictamen de la auditoria de sistemas
Dictamen de la auditoria de sistemas
Jose Alvarado Robles
 
Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria Informática
Luis Eduardo Aponte
 
Ejemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosEjemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticos
Diana Alfaro
 
Informe final de Auditoria Informatica
Informe final de Auditoria InformaticaInforme final de Auditoria Informatica
Informe final de Auditoria Informatica
Amd Cdmas
 
AUDITORIA INFORMATICA
AUDITORIA INFORMATICAAUDITORIA INFORMATICA
AUDITORIA INFORMATICA
Josefernandezzafra
 
Herramientas y Técnicas de Auditoria de Sistema For Ucc
Herramientas y Técnicas de Auditoria de Sistema For UccHerramientas y Técnicas de Auditoria de Sistema For Ucc
Herramientas y Técnicas de Auditoria de Sistema For Ucc
oamz
 
Ejemplo de una auditoria
Ejemplo de una auditoriaEjemplo de una auditoria
Ejemplo de una auditoria
joinergac
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.ppt
Fredy EC
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria Informatica
xsercom
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
Enrique Cabello
 
Los controles de aplicacion
Los controles de aplicacionLos controles de aplicacion
Los controles de aplicacion
Maria de Lourdes Castillero
 
Fases de la Auditoría en Sistemas
Fases de la Auditoría en SistemasFases de la Auditoría en Sistemas
Fases de la Auditoría en Sistemas
Barbara brice?
 
Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas
Nanet Martinez
 
Fundamentos de la auditoria informatica
Fundamentos de la auditoria informaticaFundamentos de la auditoria informatica
Fundamentos de la auditoria informatica
mppc
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
Ubaldin Gómez Carderón
 
Control Interno en la Auditoría de Sistemas
Control Interno en la Auditoría de SistemasControl Interno en la Auditoría de Sistemas
Control Interno en la Auditoría de Sistemas
Ana Julieta Gonzalez Garcia
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
Roberto Porozo
 
Alcance de la auditoría informática
Alcance de la auditoría informáticaAlcance de la auditoría informática
Alcance de la auditoría informática
Natii Rossales Hidrobo
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
Alexander Velasque Rimac
 
Metodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaMetodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informatica
Carlos R. Adames B.
 
Control interno informatico
Control interno informaticoControl interno informatico
Control interno informatico
nehifi barreto
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - Introducción
Universidad San Agustin
 
Técnicas de Evaluación en una Auditoria de Sistemas Computacionales
Técnicas de Evaluación en una Auditoria de Sistemas Computacionales Técnicas de Evaluación en una Auditoria de Sistemas Computacionales
Técnicas de Evaluación en una Auditoria de Sistemas Computacionales
Jazmín Moreno
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informática
Acosta Escalante Jesus Jose
 
10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemas10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemas
Hector Chajón
 
Mapa conceptual - Auditoría de Sistemas
Mapa conceptual - Auditoría de SistemasMapa conceptual - Auditoría de Sistemas
Mapa conceptual - Auditoría de Sistemas
vmtorrealba
 
7. Tecnicas de auditoria asistidas por computadora
7. Tecnicas de auditoria asistidas por computadora7. Tecnicas de auditoria asistidas por computadora
7. Tecnicas de auditoria asistidas por computadora
Hector Chajón
 
Auditoria saia
Auditoria saiaAuditoria saia
Auditoria saia
Javier Moreno
 
Luis rodriguez
Luis rodriguez Luis rodriguez
Luis rodriguez
luismrl30
 

Contenu connexe

Tendances

Fases de la Auditoría en Sistemas
Fases de la Auditoría en SistemasFases de la Auditoría en Sistemas
Fases de la Auditoría en Sistemas
Barbara brice?
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
Roberto Porozo
 
Metodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaMetodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informatica
Carlos R. Adames B.
 
Mapa conceptual - Auditoría de Sistemas
Mapa conceptual - Auditoría de SistemasMapa conceptual - Auditoría de Sistemas
Mapa conceptual - Auditoría de Sistemas
vmtorrealba
 

Tendances (20)

Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.ppt
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria Informatica
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Los controles de aplicacion
Los controles de aplicacionLos controles de aplicacion
Los controles de aplicacion
 
Fases de la Auditoría en Sistemas
Fases de la Auditoría en SistemasFases de la Auditoría en Sistemas
Fases de la Auditoría en Sistemas
 
Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas
 
Fundamentos de la auditoria informatica
Fundamentos de la auditoria informaticaFundamentos de la auditoria informatica
Fundamentos de la auditoria informatica
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
 
Control Interno en la Auditoría de Sistemas
Control Interno en la Auditoría de SistemasControl Interno en la Auditoría de Sistemas
Control Interno en la Auditoría de Sistemas
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
 
Alcance de la auditoría informática
Alcance de la auditoría informáticaAlcance de la auditoría informática
Alcance de la auditoría informática
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
 
Metodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaMetodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informatica
 
Control interno informatico
Control interno informaticoControl interno informatico
Control interno informatico
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - Introducción
 
Técnicas de Evaluación en una Auditoria de Sistemas Computacionales
Técnicas de Evaluación en una Auditoria de Sistemas Computacionales Técnicas de Evaluación en una Auditoria de Sistemas Computacionales
Técnicas de Evaluación en una Auditoria de Sistemas Computacionales
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informática
 
10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemas10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemas
 
Mapa conceptual - Auditoría de Sistemas
Mapa conceptual - Auditoría de SistemasMapa conceptual - Auditoría de Sistemas
Mapa conceptual - Auditoría de Sistemas
 
7. Tecnicas de auditoria asistidas por computadora
7. Tecnicas de auditoria asistidas por computadora7. Tecnicas de auditoria asistidas por computadora
7. Tecnicas de auditoria asistidas por computadora
 

Similaire à Auditoria Informatica y de Sistemas de Informacion

Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
isgleidy
 
Und. i antecedentes de la auditoria rosmary astudillo
Und. i antecedentes de la auditoria rosmary astudilloUnd. i antecedentes de la auditoria rosmary astudillo
Und. i antecedentes de la auditoria rosmary astudillo
OllidutsaRosmary
 
Trabajo de Auditoria
Trabajo de AuditoriaTrabajo de Auditoria
Trabajo de Auditoria
Nestor Casas
 
Freddy Moreno 18.058.745 Auditoria
Freddy Moreno 18.058.745 AuditoriaFreddy Moreno 18.058.745 Auditoria
Freddy Moreno 18.058.745 Auditoria
Juanito Alimaña
 
Ronny balan auditoria
Ronny balan auditoriaRonny balan auditoria
Ronny balan auditoria
ronnybalan
 

Similaire à Auditoria Informatica y de Sistemas de Informacion (20)

Auditoria saia
Auditoria saiaAuditoria saia
Auditoria saia
 
Luis rodriguez
Luis rodriguez Luis rodriguez
Luis rodriguez
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria maria sanabria.
Auditoria maria sanabria.Auditoria maria sanabria.
Auditoria maria sanabria.
 
Und. i antecedentes de la auditoria rosmary astudillo
Und. i antecedentes de la auditoria rosmary astudilloUnd. i antecedentes de la auditoria rosmary astudillo
Und. i antecedentes de la auditoria rosmary astudillo
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria/CristopherFuzi
Auditoria/CristopherFuziAuditoria/CristopherFuzi
Auditoria/CristopherFuzi
 
Auditoria trabajo
Auditoria trabajoAuditoria trabajo
Auditoria trabajo
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Auditoria inerna edixon
Auditoria inerna edixonAuditoria inerna edixon
Auditoria inerna edixon
 
Introduccion auditoria informatica_josemanuelavila_ci15561211
Introduccion auditoria informatica_josemanuelavila_ci15561211Introduccion auditoria informatica_josemanuelavila_ci15561211
Introduccion auditoria informatica_josemanuelavila_ci15561211
 
Trabajo de Auditoria
Trabajo de AuditoriaTrabajo de Auditoria
Trabajo de Auditoria
 
Freddy Moreno 18.058.745 Auditoria
Freddy Moreno 18.058.745 AuditoriaFreddy Moreno 18.058.745 Auditoria
Freddy Moreno 18.058.745 Auditoria
 
Freddy moreno auditoria
Freddy moreno auditoriaFreddy moreno auditoria
Freddy moreno auditoria
 
Capitulo 1. auditoria
Capitulo 1. auditoriaCapitulo 1. auditoria
Capitulo 1. auditoria
 
Capitulo 1. auditoria
Capitulo 1. auditoriaCapitulo 1. auditoria
Capitulo 1. auditoria
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Rm
RmRm
Rm
 
Ronny balan auditoria
Ronny balan auditoriaRonny balan auditoria
Ronny balan auditoria
 

Auditoria Informatica y de Sistemas de Informacion

  • 1. REPÚBLICA BOLIVARIANA DE VENEZUELA MINISTERIO DEL PODER POPULAR PARA LA EDUCACION INSTITUTO UNIVERSITARIO POLITÉCNICO SANTIAGO MARIÑO EXTENSIÓN PORLAMAR - SEDE GENOVÉS AUDITORÍA INFORMÁTICA AUTOR: FREDDY JAVIER MORENO BRAVO C.I.: 18.058.745 AUDITORIA Y EVALUACIÓN DE SISTEMAS (SAIA) PORLAMAR, SEPTIEMBRE DE 2012
  • 2. Introducción En este informe se presentan diversos puntos correspondientes al tema de la auditoría, iniciándose desde su historia y evolución hasta describir el perfil profesional de un auditor Informático. Cabe destacar que la auditoria tiene ciertas variedades, es por esto que se ha desarrollado el presente trabajo con la intención de dar a conocer el punto de vista de su autor, sintetizando y resaltando los temas más relevantes, adecuados y correspondientes a la computación, sistemas, y la ingeniería de estas mismas ramas como tal. Se realiza en palabras propias y se muestran cuadros y mapas conceptuales para graficar las ideas a presentar y de esta manera poder hacer del mismo, un medio informativo de fácil entendimiento para sus lectores.
  • 3. Auditor Un auditor es aquel que ha sido designado por una autoridad competente, para examinar, evaluar y revisar los resultados de una gestión administrativa y/o financiera de una institución, empresa u organización, con el fin de informar acerca de estos procesos en busca de recomendaciones u observaciones que permitan optimizar el desempeño de las mismas. Auditoría Sabiendo esto, es posible y definir a la auditoria como una función de dirección cuya finalidad es analizar y apreciar, con vistas a las eventuales acciones correctivas, el control interno de las organizaciones y sus procesos.
  • 4. Mapa cronológico de la historia y evolución de la auditoría según Carlos Muños Razo  Al subir al trono Sancho VI "El Bravo", ordeno a algunos de sus hombres de confianza que controlaran el destino de los AÑO 1284 caudales públicos. Como resultado de esta medida y como producto de su reinado, se origino el tribunal de cuentas en España  El descubrimiento de América, contribuyó también al crecimiento de la actividad de la auditoría, pues la Corona envió visitadores a revisar las cuentas y resultados de sus colonias; dichos visitadores supervisaban Año 1492 que el registro y manejo de las cuentas fueran correctos y emitían una opinión sobre la actuación de los encargados.  Se estima que el verdadero nacimiento de la auditoria fue a finales del siglo XV cuando países poderosos y algunos personajes influyentes de ese entonces, recurrían a los servicios de revisores Siglo XV de cuentas, quienes se encargaban de revisar las cuentas manejadas por los administradores de sus bienes, y se aseguraban de que no hubiera fraudes en los reportes que se les presentaban.  A mediados del siglo XIX, la Ley de Empresas del Reino Unido de Inglaterra, impuso la obligación de ejecutar auditorías a los resultados financieros, el balance general, los Siglo XIX registros contables y las actividades financieras de las empresas públicas  Del año 1912 al 1984, desde el Instituto de Contadores Públicos de España hasta Robert J. Thierauf, quien habló sobre la auditoria Siglo XX administrativa como una técnica utilizada para evaluar las áreas operacionales de una organización, enfocando su trabajo desde el punto de vista administrativo
  • 5. Mapa Conceptual de los diferentes tipos de Auditoría según Carlos Muños Razo Auditorías Por su lugar de aplicación Por su área de aplicación Auditoría externa Auditoría financiera Auditoría interna Auditoría administrativa Especializadas en áreas específicas Auditoría operacional Auditoría al área médica Auditoría integral (Evaluación médico-sanitaria) Auditoría gubernamental Auditoría al desarrollo de obras y Auditoría de sistemas Construcciones De sistemas computacionales (Evaluación de ingeniería) Auditoría informática Auditoría fiscal Auditoría con la computadora Auditoría laboral Auditoría sin la computadora Auditoría de proyectos de inversión Auditoría a la gestión informática Auditoría a la caja chica o Auditoría al sistema de cómputo Caja mayor (arqueos) Auditoría alrededor de la computadora Auditoría al manejo de mercancías Auditoría de la seguridad (inventarios) de sistemas computacionales Auditoría ambiental Auditoría a los sistemas de redes Auditoría de sistemas Auditoría integral a los centros de cómputo Auditoría ISO-9000 a los sistemas computacionales Auditoría outsourcing Auditoría ergonómica de sistemas computacionales
  • 6. Cuadro comparativo Auditoria Interna Auditoria Externa Ventajas Desventajas Ventajas Desventajas  Facilita una ayuda  Tiene la desventaja que cada  Las ventajas para todos  El trabajo es más primordial a la dirección al empresa tiene sus los empresarios, no arduo en la evaluar de forma características propias y importando su tamaño, recopilación de datos relativamente especiales de manera que localización o sector en el para explicar independiente los deben enfocarse al tipo de que actúen sus empresas. resultados como: sistemas de organización empresa que se trate, además  Los diversos métodos de  Falta de elementos y de administración puede modificarse por que es trabajo empleados en las en los almacenes de el control interno halla variado  Facilita una evaluación auditorías externas repuestos por lo que los procedimientos global y objetiva de los permiten su adecuación al también serán diferentes.  Falta o exceso en el problemas de la empresa, tipo de empresa al que se almacenaje de que generalmente suelen dirige en cada caso. La materias primas ser interpretados de una auditoría empresarial manera parcial por los puede ser aprovechada,  Falta o exceso en el departamentos afectados. entre otras cosas, en los almacenaje de procesos siguientes: productos terminados  Pone a disposición de la  Deficiente instalación
  • 7. dirección un profundo • Reorganización de la empresa contra incendio o mal conocimiento de las desarrollo de Plan de • Atribución o reparto de nuevas operaciones de la emergencia funciones a los empleados empresa, proporcionado  Deficiencias en la • Análisis de los asuntos por el trabajo de contabilidad empresariales verificación de los datos contables y financieros. • Elaboración de descripciones de  Deficiencias en los puestos de trabajo algunas Normas ISO  Contribuye eficazmente a evitar las actividades • Estudio de los requisitos de las  Deficiencias en el rutinarias y la inercia competencias para cada puesto plan de trabajo de burocrática que calidad (partes diarios • Examen de la actitud de los generalmente se de trabajo de cada empleados hacia el trabajo desarrollan en las grandes departamento) • Estudio de la motivación de los empresas.  Deficiencias en la empleados  Favorece la protección de distribución ordenada los intereses y bienes de de deshechos la empresa frente a terceros.
  • 8. Definición de Auditoria informática Es el conjunto de técnicas, procedimientos y actividades, destinados a analizar y evaluar el funcionamiento de los sistemas informáticos de un ente, por lo que comprende un examen metódico, puntual y discontinuo, con el propósito de mejorar aspectos como: Control y seguridad de los sistemas informáticos; Cumplimiento de la normativa tecnológica del ente; Control de planes de contingencia; Eficacia y rentabilidad en el manejo de los sistemas. Alcance de la auditoría informática El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoria informática, se completa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidos. En este sentido un ejemplo de este control surge al plantearse las siguientes cuestiones ¿Se someterán los registros grabados a un control de integridad exhaustivo- ¿Se comprobará que los controles de validación de errores son adecuados y suficientes. La indefinición de los alcances de la auditoria compromete el éxito de la misma. Características de la auditoría informática. La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informática, materia de la que se ocupa la Auditoria de Inversión Informática.
  • 9. Importancia de la Auditoria Informática en una Organización Los órganos de la los Sistemas Informáticos están sometidos al control correspondiente, circunstancia que no se debe olvidar. La importancia de llevar un control de esta herramienta se puede deducir de varios aspectos que a continuación se detallaran: - Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditoria Informática de Seguridad. - Las computadoras creadas para procesar y difundir resultados o información elaborada pueden producir resultados o información errónea si dichos datos son, a su vez, erróneos. Este concepto obvio es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus Sistemas Informáticos, con la posibilidad de que se provoque un efecto cascada y afecte a Aplicaciones independientes. En este caso interviene la Auditoria Informática de Datos. - Un Sistema Informático mal diseñado puede convertirse en una herramienta harto peligrosa para la empresa: como las maquinas obedecen ciegamente a las órdenes recibidas y la modelización de la empresa está determinada por las computadoras que materializan los Sistemas de Información, la gestión y la organización de la empresa no puede depender de un Software y Hardware mal diseñados. Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema Informático, de ahí la necesidad de la Auditoría de Sistemas.
  • 10. Auditoria Informática y Auditoria de Sistemas de Información Similitudes Diferencias  No se requieren nuevas normas de auditoría,  Se establecen algunos nuevos son las mismas. procedimientos de auditoría.  Los elementos básicos de un buen sistema de  Hay diferencias en las técnicas control contable interno siguen siendo los destinadas a mantener un adecuado mismos; por ejemplo, la adecuada segregación control interno contable. de funciones.  Los propósitos principales del estudio y la  Hay alguna diferencia en la manera de evaluación del control contable interno son la estudiar y evaluar el control interno obtención de evidencia para respaldar una contable. opinión y determinar la base, oportunidad y extensión de las pruebas futuras de auditoría.  El énfasis en la evaluación de los sistemas manuales esta en la evaluación de transacciones, mientras que el énfasis en los sistemas informáticos, está en la evaluación del control interno. Características y Objetivos de la Auditoría Informática La Auditoría Informática se puede definir como “el conjunto de procedimientos y técnicas para evaluar y controlar un sistema informático con el fin de constatar si sus actividades son correctas y de acuerdo a las normativas informáticas y generales en la organización”. La Auditoría Informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además tendrá que evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información. Esta es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo: informática, organización de centros de información, hardware y software.
  • 11. La Auditoría del Sistema de Información en la empresa, a través de la evaluación y control que realiza, tiene como objetivo fundamental mejorar la rentabilidad, la seguridad y la eficacia del sistema mecanizado de información en que se sustenta. El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoría informática, se complementa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas. Ejemplo: ¿Se someterán los registros grabados a un control de integridad exhaustivo? ¿Se comprobará que los controles de validación de errores son adecuados y suficientes? La indefinición de los alcances de la auditoría compromete el éxito de la misma. Control de integridad de registros: Hay Aplicaciones que comparten registros, son registros comunes. Si una Aplicación no tiene integrado un registro común, cuando lo necesite utilizar no lo va encontrar y, por lo tanto, la aplicación no funcionaría como debería.*Control de validación de errores: Se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente. Características de la Auditoría Informática La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoría de Inversión Informática. Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas. Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función: se está en el campo de la Auditoría de Organización Informática. Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una auditoría parcial. De otra manera: cuando se realiza una
  • 12. auditoria del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas. Síntomas de Necesidad de una Auditoría Informática Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases: Síntomas de descoordinación y desorganización - No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.- Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente. [Puede ocurrir con algún cambio masivo de personal, o en una restructuración fallida de alguna área o en la modificación de alguna Norma importante] Síntomas de mala imagen e insatisfacción de los usuarios: - No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc.- No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente. - No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles. Síntomas de debilidades económico-financieras: - Incremento desmesurado de costes. Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal
  • 13. necesidad y decide contrastar opiniones). Desviaciones Presupuestarias significativas. - Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición). Síntomas de Inseguridad: Evaluación de nivel de riesgos - Seguridad Lógica y/o Seguridad Física Confidencialidad [Los datos son propiedad inicialmente de la organización que los genera. Los datos de personal son especialmente confidenciales]- Continuidad del Servicio. Es un concepto aún más importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia Totales y Locales. - Centro de Proceso de Datos fuera de control, Si tal situación llegara a percibirse, sería prácticamente inútil la auditoría. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio. El Auditor Informático debe ser una persona con un alto grado de calificación técnica y al mismo tiempo estar integrado en las corrientes organizativas empresariales que imperan hoy en día. Se deben de contemplar las siguientes características para mantener el perfil profesional adecuado y actualizado: 1. La persona o personas que integren esta función deben contemplar en su formación básica una mezcla de conocimientos de auditoría financiera y de informática en general .Estos últimos deben contemplar conocimientos básicos de:  Desarrollo informático, gestión de proyectos y del ciclo de vida de un proyecto de desarrollo. Gestión del departamento de sistemas. Análisis de riesgo en un entorno informático. Sistema operativo. Telecomunicaciones. Gestión de
  • 14. base de datos. Seguridad física. Operaciones y planificación informática. Gestión de la seguridad de los sistemas y de la continuidad empresarial a través de planes de contingencia de la información. Gestión de problemas y de cambios en entornos informáticos. Administración de datos. Comercio electrónico. Encriptación de datos. A estos conocimientos básicos se les deberá añadir una especialización en función de la importancia económica que distintos componentes financieros puedan tener en un entorno empresarial. Así en un entorno financiero pueden tener mucha importancia las comunicaciones y será necesario que alguien dentro de la función de auditoría informática tenga esta especialización, pero esto mismo puede no ser válido para un entorno productivo en el que las transacciones EDI pueden ser más importantes. El auditor informático debe conocer técnicas de gestión empresarial y sobre todo de gestión del cambio ya que las recomendaciones y soluciones que aporten deben estar en la línea de la búsqueda optima de la mejor solución para los objetivos empresariales que se persiguen y con los recursos que se tienen. El auditor informático debe tener siempre el concepto de calidad total. Como parte de un colectivo empresarial, bien sea permanentemente como auditor interno o puntualmente como auditor externo, el concepto de calidad total hará que sus conclusiones y trabajo sean reconocidos como un elemento valioso dentro de la organización y que los resultados sean aceptados en su totalidad. Esta aplicación organizativa debe hacer que la propia imagen del auditor informático sea más reconocida de forma positiva por la organización.