Post on 31-Jul-2015
Definiciones y consideraciones
Exámen de las demostraciones y registros administrativos. (Holmes)
Observa la exactitud, integridad y autenticidad de tales demostraciones, registros y documentos
No es una evaluación para detectar errores y señalar fallas
Persigue el fin de evaluar y mejorar la eficacia/eficiencia de una organización
Auditoria Informática
“Una sistemática evaluación de las diversas operaciones y controles de una organización, para determinar si se siguen políticas y procedimientos aceptables, si se siguen las normas establecidas, si se utilizan los recursos eficientemente y si se han alcanzado los objetivos de la organización.
(B.Sawyer)”.
Objetivos de la AIControl de la función informáticaEl análisis de la eficiencia de los sistemas
informáticosVerificación de la normativa general de la
empresa en el ámbito informáticoRevisión de la eficaz gestión de los
recursos materiales y humanos informáticos
Éxito de la AIEstudiar hechos no opinionesInvestigar las causas no los efectosAtender razones no excusasNo confiar en la memoria, preguntar
constantementeCriticar objetivamente y a fondo todos los
informes y datos recabadosRegistrar TODO
Tipos de AIInterna
Los recursos y personas pertenecen a la empresa auditada
Es remuneradaLa organización la controla
ExternaLos recursos y personas no pertenecen a la
empresa auditadaEs remuneradaDistancia entre auditores y auditados: mayor
objetividad
Auditoría Interna
Constituye una función de evaluación independiente. Sin embargo, existe en el seno de una entidad y bajo la autorización de la dirección con el ánimo de examinar y evaluar las actividades de la entidad. La función principal del auditor interno es ayudar a la dirección en la realización de sus funciones, asegurando:
Auditoria Interna
El auditor interno está casi siempre ocupado con la adecuación de los controles sobre las actividades mecanizadas, así como con la eficiencia y eficacia de los procedimientos empleados desde el punto de vista de los costos.
Auditoria Externa
Constituye una función de evaluación independiente y externa a la entidad que se examina. En la mayoría de las empresas, se contrata anualmente la realización de una auditoría de los estados financieros por parte de un contador público independiente, bien voluntariamente o bien por obligación legal.
Objetivo Auditoria Externa
El objetivo principal de una auditoria externa es la expresión de una opinión respecto de la calidad de los estados financieros de la entidad, por lo que el auditor externo se ocupa principalmente de la fiabilidad de la información financiera.
Ventajas de la AII y la AUE
Tamaño de la organizaciónNiveles de confiabilidadAmbiente organizacionalPresupuestoActivos informáticos auditables
Alcances de la AITener el claro el objetivoConocer el ambienteLimites del sistemaControl de integridad de registros
Para aplicaciones de registros comunesControl de validación de errores
Detectar y corregir erroresDeben figurar en el informe final
Lo incluyenteLo excluyente
Síntomas de necesidadDescoordinación y desorganización
Concordancia con los objetivosDesvíos importantes del plan operativo anualAlta rotación de personal – Cambios grandes
Mala imagen – Insatisfacción de los usuariosSoftwareHardwarePlazos de entregas
Síntomas de necesidad
Debilidades económicas-financierasIncremento de costosJustificación de inversiones informáticasDesviaciones presupuestariasCostos y plazos de nuevos proyectos
InseguridadLógicaFísicaConfidencialidadCarencia de planes de contingencias
Fundamentos de la AISistemas informáticos OPERATIVOSControles técnicos generales
Software y hardware compatiblesSoftware de base y de aplicación compatibles
$$$ y ocioProductos comunes y compatibles (desarrollo
interno de productos de software)Controles técnicos específicos
Cuotas en disco
Consideraciones en una AI?
Control de la entrada de datosCaptura, calendario, transmisión, integridad y calidad
de los datos. Debe especificase la norma/procedimiento.
Planificación y recepción de aplicacionesPor parte del área de desarrollo de sistemas
Centro de control y seguimiento de trabajosBatchTiempo Real
La AI en del desarrollo de proyectos / aplicaciones
AnálisisDiseñoProgramaciónPruebaImplantaciónSeguimiento
Consideraciones de la AI en el desarrollo de sistemas
Revisión de las metodologías utilizadasModularidad, ampliaciones y mantenimiento
Control interno de las aplicacionesPara casa fase del proceso
Satisfacción de usuariosControl de procesos y ejecuciones de
programas críticos
La AI de Sistemas
SOActualización de versiónIncompatibilidades con el software de
aplicación
Otro software de BaseSoftware de TeleprocesoAdministración de Bases de DatosInvestigación y Desarrollo
La AI de comunicaciones y redes
Redes nodalesConcentradoresMANWANWi-FiMultiplexoresLíneas telefónicas (proveedores externos)..entre otros aspectos
Auditoría de la Seguridad Informática
FísicaEquiposInfraestructuraAmenazas naturales…etc
LógicaDatos, procesos, programas y usuarios
Planes de contingencia-desastresPiratería/hackersAtaques víricos
Que debe tener?Elementos administrativosPolíticas de seguridadOrganización y división de responsabilidadesSeguridad física y contra catástrofesPracticas de seguridad del personalElementos técnicos y procedimientosSistemas de seguridad de equipos y de sistemas locales
y remotosAplicación de los sistemas de seguridad, incluyendo
datos y archivosRol de los auditores internos y externosPlanes de desastres y su prueba
Estudio INICIAL de una AI
Constitución legal - AntecedentesOrganigramaDepartamentosRelaciones jerárquicas y funcionalesFlujos de información – CursogramasPlanos - Layout
Entorno Operacional de una AI
Situación geográfica de los sistemasDonde están los centros de procesos de datos
(CPD)Responsables de cada CPDEstándares de trabajo de cada CPD
Arquitectura y configuración de Hardware y SoftwareSegún fichas de relevamiento adjuntas
Inventario de hardware y softwareComunicación y redes de datos
Entrono de AplicacionesVolumen, antigüedad y complejidad de las
aplicacionesMetodología de diseñoDocumentaciónBases de Datos
CantidadComplejidad
CRMRCRMR
ComputerResourceManagementReview
Evaluación de la gestión de los recursos informáticos por medio del management.¿Es lo mismo que la AI?
CRMREvaluación de la gestión de recursos
informáticosEs una evaluación de la eficiencia de utilización
de los recursos por medio de la administración.No es una AIProporciona soluciones rápidas a problemas
concretos y evidentesAplicable a problemas de deficiencia
organizativas y gerenciales.
CRMR – Áreas de aplicación
Gestión de DatosControl de operacionesControl y utilización de recursos
materiales y humanosInterfaces y relaciones con usuariosPlanificaciónOrganización y administración
CRMR – Objetivo
Evaluar el grado de bondad o ineficiencia de los procedimientos y métodos
de gestión que se observan en un CPD
CRMR – Alcances
Reducidos: señalar áreas de actuación con potencialidad inmediata de obtención de beneficios
Medio: establece conclusiones y recomendaciones
Amplia: incluye planes de accion en concordancia con las recomendaciones realizadas
CRMR – Que necesito?
Datos del mantenimiento preventivo del hardware Informe de anomalías de los sistemas Procedimientos de emergencia Monitoreo de sistemas Rendimiento de sistemas Mantenimiento de librería de programas Gestión de espacio en disco Documentación de entrega de aplicaciones Utilización de CPU, canales y datos Datos de paginación de sistemas Volumen total y libre de almacenamiento Ocupación media de disco Manuales de procedimiento ..entre las mas importantes
Planeación de la AI
Permite dimensional el tamaño y las características del área dentro de la organización a auditar
SistemasOrganizaciónEquipos
Herramientas a utilizar
EntrevistasVisitas a la organizaciónEstudio de documentación y
antecedentesCuestionariosEncuestasAporte de la clase..
Entrevista a USUARIOS
Determinar el universoDefinir el objetivo
Relevamiento de datosComprobación de datos
Diseñarlas – Ver diseños apunte
Planeación de la AI
Estudio PreliminarAdministraciónSistemas
PersonalCapacitado – practica profesionalValores morales y éticosEficientePensar en los roles!!!Multidisciplinario
Solo técnicos …NO..Porque?
Evaluación del AnálisisPolíticas, procedimientos y normasOrigen/fuente de la aplicación
Plan estratégicoUsuario Inventario de sistemas
A desarrollarEn desarrolloDesarrollada
• Modificaciones, con problemas, etc
Documentación y registros usados en la elaboración del sistema
Evaluación del diseño lógico
Analizar las especificaciones del sistemaQue debe hacer?Como, cuando, en que orden, etc.
Analizar la participaciónUsuarioAuditoria interna (área)
Comparar lo entregado como documento y lo que el sistema realmente hace
Evaluación del desarrollo del sistema
Se auditanProgramasDiseño de programasLenguaje utilizadoInterconexión entre programas
Red
Características del hardware utilizado
La administración de proyectos
Tiene como finalidad el control del avance de lo sistemas en una organización
Requiere de líder de proyectos Debe confeccionarse un plan y su seguimiento
respectivoActividades/RecursosMetasTiempos/prioridadesCostosPersonal involucrado/Gestión de desempeño
Control de Diseño de sistemas y programas
Acorde a las especificaciones funcionales desde:Análisis
AmbigüedadesOmisiones
DiseñoErroresDebilidadesOmisiones
ProgramaciónClaridadModularidadVerificación
Instructivos de operación
DiagramasFlujoE/S
Diseño de formulariosMensajes de erroresParámetrosFormulas
CONTROLESDe datos
FuenteVolumenFrecuenciaAccesoCifras de control
De operaciónCalidad e integridad de la documentación para el
proceso en una computadoraProcedimientos e instructivos formales de operaciónEstandarización y cumplimiento de los procedimientos
CONTROLESDe salidaDe medios de almacenamiento masivo
Acceso a los mediosDocumentación de los soportesCopias de seguridad…ver cuestionarios en apunte
De MantenimientoTotal : Correctivo y preventivoPor demanda in situEn banco
Orden en un CPDReglas
OrdenCuidadoLugares físicos de almacenamiento de mediosFuncionalidad de muebles….ver cuestionario apunte