AUDITORIA INFORMATICA. Carlos A Jara

Transcripción

1 AUDITORIA INFORMATICA Carlos A Jara

2 IMPORTANCIA DE LA AUDITORIA INFORMATICA Mejora la Imagen del negocio. Genera confianza entre los clientes internos y externos sobre la seguridad y el control. Disminuye los costos de la mala calidad (reprocesos, rechazos, tiempos perdidos, sanciones por entregas de información a destiempo). Sirve apoyo a la alta gerencia para establecer y mejorar controles a los sistemas de información.

3 AUDITORIA Proceso sistemático en el que se utilizan técnicas y métodos para evaluar los controles establecidos en una organización, obtener las evidencias, analizarlas, identificar y evaluar niveles de cumplimiento, detectar posibles riesgos y presentar recomendaciones para un mejoramiento continuo. Controles actuales Deber ser Verificación Cumplimiento El Es

4 AUDITORIAS Por su origen Auditoria Interna Auditoria Externa

5 AUDITORIA INFORMÁTICA La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si los controles establecidos, permiten salvaguardar los recursos informáticos y garantizan la integridad, disponibilidad y confidencialidad de los datos e información de la empresa, si lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.

6 AUDITORIA INFORMÁTICA Proceso Para Evaluar Verificar Normas Políticas Procedimientos Estándares De De De Recursos Informáticos Del

7 OBJETIVOS AUDITORIA INFORMATICA Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y La Disponibilidad de los datos e información. Evaluar que los controles garanticen la seguridad del personal, los datos, el hardware, el software y las instalaciones. Prever la existencias de riesgos para la información y el uso de Tecnologías de información. Evaluar la aplicación de las normas, las políticas, y los procedimientos informáticos.

8 IMPORTANCIA DE LA AUDITORIA INFORMATICA Auditoria Informática Las tecnologías de Información Controles normas, políticas Para garantizar Mide Desempeño de Integridad Confidencialidad De los recursos Informáticos Disponibilidad Mejoramiento Continuo De la Gestión Informática

9 ETAPAS DEL TRABAJO DE AUDITORIA Planeación Ejecución Información.

10 ETAPAS PARA REALIZAR UN TRABAJO DE AUDITORIA Planeación Identificar la infraestructura informática del centro de computo. Conocer las políticas, normas, procedimientos y estándares de esta área La Planeación debe definir: Objetivos. Técnicas a utilizar. Personal participante, duración, horario, Alcance Elaboración de cronogramas Calculo de la muestra, Diagramas de Pareto, aplicación de formulas, diagramas de flujo,

11 ETAPAS PARA REALIZAR UN TRABAJO DE AUDITORIA EJECUCION Revisión y evaluación de controles, normas, políticas de seguridad, diagramas, procesos históricos (backups), documentación. Examen detallado de áreas criticas. Análisis de Vulnerabilidad, Amenazas y Riesgos evaluación de Riesgos y su impacto. Recolección de evidencias y hallazgos

12 Hallazgos de auditoría Hechos relevantes que significan debilidad en el control interno y resultan de la comparación del Deber Ser con el ES (evidencia de auditoría). NOTA Los hallazgos de la auditoría pueden indicar tanto conformidad o no conformidad y pueden generar oportunidades de mejora.

13 CLASIFICACIÓN DE LOS HALLAZGOS Desviación Positiva Cuando el desempeño obtenido supera lo esperado (fortaleza) Desempeño esperado= Conformidad Desviación Negativa: Cuando el resultado se encuentra por debajo de lo esperado se genera: No conformidad aspecto por mejorar oportunidad de mejora.

14 CLASIFICACIÓN DE LOS HALLAZGOS Las no conformidades se consideran como tal cuando: Se incumple con un requisito, de una norma o política o procedimiento de la organización. Este tipo de desviación afecta el normal desarrollo del negocio. Impactan los objetivos de la empresa. Impactan la parte económica. Impactan los resultados de la organización. Incumplen requisitos legales.

15 CLASIFICACIÓN DE LOS HALLAZGOS Las oportunidades de mejora se dan cuando: Se presenta incumplimiento por desconocimiento de normas internas. fallas leves encontradas en normas, políticas o procedimientos internos. Problemas de comunicación interna. Falta de actualización de normas, políticas o procedimientos.

16 ELEMENTOS DE UN HALLAZGO CONDICION: Lo que Es. La situación encontrada, debe detallarse los elementos que se encontraron. CRITERIO: Lo que debe Ser. Es la norma o política o procedimiento con el que se compara la condición CAUSA: Por Que. Razón porque ocurrió la condición. El porque de la diferencia entre el criterio y la condición

17 EFECTOS: Las consecuencias. Puede ser perdidas económicas, daños a la imagen, sanciones legales, gastos indebidos, informes inexactos, uso ineficiente de los recursos humanos o financieros etc. Una adecuada identificación de los efectos, permite adoptar acciones correctivas. CONCLUSIONES: basadas en los hallazgos RECOMENDACIONES: Anular o mejorar la condición

18 ETAPAS PARA REALIZAR UN TRABAJO DE AUDITORIA INFORMACION Redacción del Informe final (comunicación de resultados: Relación de evidencias y hallazgos. Conformidades y no conformidades encontradas. Causas. Sugerencias. Solicitud de planes de acción.

19 OBJETIVOS ESPECÍFICOS DE LA AUDITORIA INFORMÁTICA Comprobar la seguridad y confiabilidad de la información. el control de la función informática, el análisis de la eficiencia de los Sistemas Informáticos, la verificación del cumplimiento de la Normativa en este ámbito. la revisión de la eficaz gestión de los recursos informáticos.

20 CAUSAS PARA INICIAR UNA A.I. Baja Productividad de los empleados que trabajan con sistemas de información. Informes que se entregan a destiempo o con errores. Perdida o Ausencia de datos. Fallas constantes de los sistemas de Información. Aumento considerable e injustificado del presupuesto del Dpto. de Informática. Descubrimiento de fraudes efectuados con el computador.

21 CAUSAS PARA INICIAR UNA A.I. No definición de políticas, objetivos, normas, metodologías computacionales. Descontento general de los usuarios por fallas en los sistemas de información. Verificación de los controles de seguridad establecidos por la implementación de nuevas tecnologías.

22 TECNICAS DE AUDITORIA

23 TECNICAS DE AUDITORIA Son las prácticas de investigación y prueba que utiliza el auditor para obtener la evidencia necesaria que fundamente sus opiniones y conclusiones. Su empleo se basa en su criterio o juicio, según las circunstancias.

24 CUESTIONARIOS Son formatos previamente diseñados por el Auditor sobre un tema especifico y que se entregan al auditado, con el fin de que lo diligencie. Los datos contestados se confrontan con otros medios.

25 INSPECCIÓN Técnica que consiste en hacer una revisión o examinar los recursos informáticos de la empresa (Hardware, Software, Redes, Comunicaciones) Esta técnica se aplica sobre los objetos como: hardware, software, redes, documentos, normas, procedimientos, políticas, no se aplica sobre personas como: clientes internos o clientes externos, proveedores.

26 LA ENTREVISTA Es una de las actividades personales más importante del auditor; en ellas, recoge más información y mejor matizada que la proporcionada por medios como las respuestas escritas o cuestionarios. La entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio.

27 CONFIRMACIÓN Consiste en comprobar la veracidad y confiabilidad de las evidencias. Esta puede ser con entidades internas como un usuario o un departamento o entidades externas como proveedores, clientes, entidades del estado etc.

28 MATRIZ DOFA Debilidades Oportunidades Fortalezas Amenazas. Al interior de la organización: examinar fortalezas, y debilidades. Al exterior de la organización: examinar oportunidades y amenazas

29 EL CHECKLIST Es un formato u hoja de verificación, para realizar revisiones sistemáticas o cumplimiento de requisitos en un sistema de información, en el cumplimiento de normas, políticas o procedimientos, con respuestas cerradas (si, no) o con calificaciones cuantitativas.

30

31 TIPOS CHECKLIST Los cuestionarios o Checklist responden fundamentalmente a dos tipos de "filosofía" de calificación o evaluación: Checklist de calificación o rango Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido por ejemplo, de 1 a 5, siendo 1 la respuesta más negativa y el 5 el valor más positivo.

32 TIPOS CHECKLIST Las respuestas tienen los siguientes significados: 1 : Muy deficiente. 2 : Deficiente. 3 : Mejorable. 4 : Aceptable. 5 : Correcto.

33 TIPOS CHECKLIST Checklist de evaluación o Binario Es el constituido por preguntas con respuesta única y excluyente: Si o No. Aritméticamente, equivalen a 1(uno) o 0(cero), respectivamente.

34 TECNICAS DE AUDITORIA Trazas o Huellas: El auditor informático debe verificar que los programas, realicen exactamente las funciones previstas, y no otras. Para ello se apoya en Software un especial, que permite rastrear los caminos que siguen los datos a través del programa, verificando entre otras las validaciones de datos previstas.

35 TECNICAS DE AUDITORIA Log: El log es un historial que informa todo lo que hizo la Aplicación al ingresar, modificar, y borrar datos, (quien cuando, donde), todo queda grabado en el log como una transacción. El log permite analizar cronológicamente que fue lo que sucedió con los datos. Carlos A Jara