AUDITORIA TECNOLOGIA INFORMATICA FERNANDO RADA BARONA

Transcripción

1 AUDITORIA TECNOLOGIA INFORMATICA FERNANDO RADA BARONA

2 Estrategia para la Auditoría de Sistemas de Información Necesidad de definir una estrategia Las TIC han acompañado la automatización y el crecimiento La información y los recursos TIC como activos de las organizaciones Dependencia de las TIC Implicación de la Dirección Incremento vulnerabilidad de los sistemas Dar respuesta a la dependencia de la información Importancia costes e inversiones TIC Potencial de las TIC para introducir cambios Desconfianza en los procedimientos automatizados

3 Estrategia para la Auditoría de Sistemas de Información Objetivos de las Administraciones públicas y privadas: Cumplimiento de la legalidad vigente Eficacia Eficiencia Auditoría Sistemas de Información Supervisión de los riesgos de los sistemas de información que pudieran afectar al cumplimiento de la legalidad vigente, la eficiencia y la eficacia de los procesos soportados por los sistemas de información, en especial los de la administración electrónica.

4 Esquema Organizativo Naturaleza del trabajo de auditoría de sistemas de información Protección de datos de carácter personal Control de accesos Administración Electrónica Equipamiento informático Seguridad sistemas Desarrollo y mantenimiento de aplicaciones Explotación de sistemas de información Contratación bienes y servicios TIC Técnica de sistemas Continuidad del servicio TIC Acreditación de confianza

5 Esquema Organizativo Naturaleza del trabajo de auditoría de sistemas de información Acciones proactivas Participación en el ciclo de control Asegurar existencia de controles internos razonables y adecuados Divulgar y fomentar las buenas prácticas Fomentar la documentación de los sistemas y procedimientos Asesorar en la implementación de pistas de auditoría Asesorar en las salvaguardas de activos Asegurar eficiencia gestión recursos

6 Esquema Organizativo Naturaleza del trabajo de auditoría de sistemas de información Auditoría forense Desafío ante delitos informáticos, garantizando la evidencia digital que se presentase en un proceso judicial. Recuperar información Determinar cusa y origen de una situación Identificar autor(es) acciones ilícitas Identificar uso inapropiado de los medios de la Organización

7 Esquema Organizativo Naturaleza del trabajo de auditoría de sistemas de información Apoyo en auditorías externas Supervisión de auditores externos. Apoyo a otras áreas de Auditoría Asistencia para la obtención, estructuración y análisis de la información.

8 Auditor Informático Áreas de Conocimiento (certificables) Técnica o metodología de auditoría informática Gestión, planificación y organización de las TIC Infraestructura técnica, prácticas operativas y protección de activos Recuperación de desastres y continuidad de la actividad Desarrollo, adquisición, implementación y mantenimiento de sistemas Evaluación de procesos y gestión de riesgos

9 Planificación de Actuaciones Qué auditar Cumplimiento de requerimientos legales Sensibilidad de la organización a riesgos / resultado de análisis Resultado de auditorías anteriores Condicionantes de la Organización Cuándo auditar Priorizar las actuaciones detectadas y ajustando el alcance a los recursos disponibles y las demandas de la dirección Elaborar el documento de planificación periódica de la unidad de auditoría Revisión periódica del plan inicial para incorporar actuaciones no previstas Cómo auditar Proceso para planificar las actuaciones individuales

10 AUDITORÍA DE SISTEMAS DE INFORMACIÓN AUDITORÍA Proceso sistemático de obtención y evaluación objetiva acerca de aseveraciones efectuadas por terceros referentes a hechos y eventos de naturaleza económica, para testimoniar el grado de correspondencia entre tales afirmaciones y un conjunto de criterios convencionales, comunicando los resultados obtenidos a los destinatarios y usuarios interesados American Accounting Association

11 AUDITORÍA DE SISTEMAS DE INFORMACIÓN la AUDITORIA de SI es el PROCESO de RECOGER, AGRUPAR y EVALUAR EVIDENCIAS para DETERMINAR si un SISTEMA INFORMATIZADO SALVAGUARDA los ACTIVOS, mantiene la INTEGRIDAD de los DATOS, lleva a cabo los FINES de la ORGANIZACIÓN y UTILIZA EFICIENTEMENTE los RECURSOS

12 QUE ES LA AUDITORIA TECNOLOGIA INFORMATICA Conjunto de procedimientos y técnicas para evaluar total o parcialmente los recursos tecnológicos del negocio, con el objetivo de salvaguardar los activos y recursos, garantizar el desarrollo eficiente de sus actividades acorde con los objetivos estratégicos, con el fin de obtener la eficacia exigida en el marco de la organización.

13 OBJETIVOS DE LA FUNCIÓN DE AUDITORIA TECNOLOGIA INFORMATICA OBJETIVOS GENERALES Se establece como objetivo fundamental de la auditoria de tecnología informática el proporcionar a la alta gerencia una seguridad razonable de que las aplicaciones en producción, el desarrollo de sistema de información, los equipos de computo y datos, están siendo utilizados adecuadamente, que se operan de acuerdo con los estándares de seguridad y confiabilidad establecidos y que están debidamente controlados para evitar perdidas o su usos indebidos

14 OBJETIVOS DE LA FUNCIÓN DE AUDITORIA TECNOLOGIA INFORMATICA Lograr que en el ambiente informático existan los controles eficientes y efectivos a fin de proveer seguridad razonable sobre: 1. El cumplimiento de las metas y objetivos establecidos por la Alta Gerencia en el área de informática. 2. La utilización eficiente y eficaz de los recursos de informáticos (Humanos, Equipos y de Aplicación). 3. El cumplimiento de las normas, políticas y procedimientos que permitan garantizar que las aplicaciones en producción, los desarrollos de sistemas, y los equipos de sistemas, se operan de acuerdo con los estándares de seguridad y confiabilidad establecidos en la organización

15 OBJETIVOS DE LA FUNCION DE AUDITORIA T/I OBJETIVOS ESPECÍFICOS Revisar y evaluar las normas, políticas y procedimientos establecidos por área de informática para el desarrollo de aplicaciones y en la operación de los sistemas. Evaluar permanentemente la seguridad existentes en los centros de computo, en los procesamientos de la información y sobre los programas y archivos de datos de las Empresas. Prever situaciones de riesgos y sugerir a la Gerencia los controles suficientes y necesarios que eviten situaciones anormales en las Empresas. Comprobar la seguridad y confiabilidad de la información, administrativa, operativa, financiera, legal etc., desarrollada dentro de la Empresa. Evaluar la calidad del desempeño en la conducción de las responsabilidades asignadas para el área de la informática. Participar en el desarrollo de los sistemas de información o en su compra, a fin de verificar la incorporación o diseño de los controles necesarios para garantizar su operatividad en forma confiable,eficiente y segura.

16 POR QUE LA AUDITORIA T/I ASPECTOS RELAVENTES Cambio cultural del concepto de D.P. Al concepto de S.I. La tecnología de la informática Desarrollo de la informática Planeación estratégica de sistemas Herramientas de calidad y productividad del software Control preventivo vs control correctivo Valores morales y participación ética Auditoria - consultoría Independencia y confianza

17 PORQUE LA AUDITORIA T/I EVOLUCIÓN DE LA INFORMATICA EN LAS EMPRESAS. Inversiones cada vez mas cuantiosas en informática. Crecimiento permanente y frecuentemente desordenado. Paso de soporte operativo a soporte cada vez mas Gerencial. Creciente dependencia. Mayores conflictos entre usuarios y la Gerencia de informática. Dispersión de la informática por múltiples centro autónomos de procesamiento. La intervención activa de organización y métodos.

18 PROBLEMAS DE LA AUDITORIA EN T/I Falta de documentación. Escasez de personal idóneo. Planeación inadecuada. Falta de apoyo y compromiso de la alta Gerencia. Técnicas y herramientas inadecuadas. Capacitación vs tecnología. Problemas, relaciones y comportamientos. El control es visto como un obstáculo. El control se ejerce como vigilancia, poder desconfianza.

19 METAS DE LA AUDITORIA T/I Determinar la adherencia de los servicios informáticos con las políticas, objetivos, metas y normas de la organización. Evaluar la gestión de informática y tecnología por el desempeño y calidad de los servicios prestados. Evaluar la planeación, dirección y organización del área de informática. Evaluar la efectiva utilización de los recursos informáticos. Evaluar que exista una efectiva función de desarrollo. Evaluar que exista eficiencia en el mantenimiento de los aplicativos. Evaluar que exista una función de control de calidad. Evaluar que exista una función de control técnico. Evaluar que exista una adecuada documentación y estándares.

20 AUDITORIA T/I UN CAMBIO GENERACIONAL Auditoria aplicaciones producción Auditoria centro de procesamiento de datos. Auditoria al desarrollo de sistemas de información. Auditoria plan de contingencias. Auditoria adquisición de software. Auditoria a las comunicaciones -telematica. Auditoria bases de datos. Auditoria seguridad física y seguridad lógica. Auditoria aplicativos en mantenimiento.

21 AUDITORIA DE CAMBIO GENERACIONAL SISTEMAS PASO TECNOLOGICO Software. Bases de datos. Lenguajes de cuarta generación. Telecomunicaciones. Redes. Satélites. Criptografía Correo electrónico. PASO GESTION Procesos. Reingeniería. Planeación estratégica Mejoramiento continuo.

22 HABILIDADES DE UN AUDITOR T/I Asesor-consultor. Comunicador. Retroalimentador. Manejador de conflictos. Gestor de iniciativas. Gestor de cambio. LIDER

23 DEFINICION DE AUDITORIA T/I Ya analizados unos conceptos básicos, definamos lo que es la auditoria tecnología informática: Parte de la auditoria General, enfocada a evaluar los recursos informaticos de las empresa para garantizar la integridad, confidencialidad, exactitud y seguridad de la información para la toma de decisiones.

24 OTRA DEFINICION DE AUDITORIA T/I La Auditoria tecnología informática la podemos definir también como un proceso de investigación, que tiene por objeto evaluar el sistema de control interno informático y la información computarizada, para emitir una opinión independiente sobre la validez técnica del sistema de control vigente y la confiabilidad de la información producida por el sistema. La auditoria en ningún momento implica el diseño, implantación y ejecución de controles. Su función es eminente evaluativa y asesora.

25 Dos enfoques de la auditoria. El enfoque tradicional de la auditoría. Limitado a los controles contables internos. No se enfocaba a las actividades claves. Sólo interesaba al personal financiero. En la actualidad. Los SI intervienen en todas las actividades. El auditor moderno evalúa riesgos y comprueba controles. Demuestra conocimientos informáticos.

26 Tipos de auditorias Financiera Gestión La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si Informática un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos Cumplimiento

27 BENEFICIOS DE LA AUDITORIA T/I Asesoría al personal de desarrollo de sistemas, en materia de control informático, para diseñar los controles necesarios para garantizar la confiabilidad de los procesos Examinar y evaluar el sistema de control de las aplicaciones en producción, garantizando confiabilidad y credibilidad de la información suministrada para la toma de decisiones. Auxilia a los Auditores Financieros y Revisores Fiscales para que puedan cumplir con la función de dar fe publica sobre la razonabilidad de las cifras mostradas en los Estados Financieros del negocio. Asesora a la Alta Gerencia en la toma de decisiones correspondiente al área de tecnología informática.

28 BENEFICIOS DE LA AUDITORIA DE TI Promueve el mejoramiento de la cultura de control en la organización Previene la ocurrencia de situaciones perjudiciales para la organización Genera actitud positiva hacia los controles en los responsables de las operaciones de la empresa Promueve la eficiencia operacional en el p.e.d. Complementa el control que ejerce la gerencia de sistemas Complementa los controles ejercidos por los usuarios internos y externos del s.i.c.

29 AUDITORIA DE T/I Auditoria que comprende la evaluación de todos los aspectos de los sistemas automatizados de procesamiento de información, incluyendo los procesos no automatizados relacionados y las interfaces entre ellos

30 EFECTOS DE LA INFORMATICA EN LA AUDITORIA Aumento de los riesgos por la dependencia de las empresa de sus sistemas Incremento drásticos en p.e.d Migración de controles al ambiente p.e.d. Menos visibilidad de las pistas de auditoria Segregación de funciones hombre - maquina Nuevas funciones y recursos a auditar

31 SERVICIOS DE AUDITORIA DE TECNOLOGIA INFORMATICA Asesoria en: Diseño de controles Medidas de seguridad Normas y estandares Evaluacion de: Eficiencia y seguridad de operaciones Planes de continuidad Control Interno en aplicaciones Integridad de Informacion Cooperacion en: Normas y estandares Diseño de S.I Ejecucion de Pruebas Implementacion de Software de seguridad Y Politicas de seguridad

32 1 Requerimiento 2 Validacion en el sistema Internet EDI Internet EDI PROCESO DE COMPRAS 3 Socios de Negocio 6 Despacha la mercancia 11 Socio de Negocio Correo Electronico Internet EDI 4 Sistema inteligente 5 Elabora O.C. 7 Factura Electronica 9 Ingreso inventarios Interne t EDI 10 Banco. 9 Tesoreria 8 Causacion. 9 Remision electronica Interne t EDI