INFORMATICA concepto. AUDITORIA Concepto

Transcripción

1 INFORMATICA concepto Es la ciencia que estudia el tratamiento automático y racional de la información La tecnología informática, traducida en hardware, software, sistemas de información, redes, bases de datos, telecomunicaciones, es una herramienta estratégica que brinda rentabilidad y ventajas competitivas a los negocios. SEPTIEMBRE 2009 LA PAZ - BOLIVIA 1 2 La informática, es el campo que se encarga del estudio y aplicación práctica de la tecnología, métodos, técnicas y herramientas relacionadas con los ordenadores y el manejo de la información por medios electrónicos. Es garantía de confiabilidad, oportunidad, integridad y veracidad. 3 La informática es utilizada en todo proceso contable; Es un nuevo condicionante para el auditor: ha de trabajar ante y con elementos de TI; Los libros o soporte de los documentos financieros se encuentran materializados en los archivos electrónicos; El auditor financiero (AF) ve alterado el objeto de su actividad. Ahora esta en soporte magnético; La auditoria financiera sigue siendo auditoria y financiera, con la diferencia de que en su objeto, el mismo de siempre, es decir, en la información financiera, se ha introducido la TI; 4 AUDITORIA Concepto El AF, puede acceder directamente a los archivos electrónicos y proceder a su análisis de forma tambien electrónica; El AF, ha de aplicar procedimientos que utilizan técnicas asistidas por computador; El AF, utilizando medios electrónicos incrementa en velocidad, eficiencia y seguridad; El AF, en la ejecución de su trabajo destacan la inspección, observación, averiguación, confirmación, calculo y análisis. Por lo menos 4 se ejecutan de forma mas eficiente por medios Es la actividad consistente en la emisión de una opinión profesional sobre si el objeto que es sometido a análisis presenta adecuadamente la realidad que pretende reflejar y/o cumple con las condiciones que le han sido prescritas. informáticos

2 AUDITORIA INFORMATICA FUNCIONES DEL AUDITOR INFORMATICO Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos y utiliza los recursos en forma eficiente. Mario G. Piattini 7 Participar en las revisiones durante y despues del diseño, realización, implantación y explotación; Revisar y juzgar los controles implantados, para verificar cumplimiento de la alta gerencia; Revisar y emitir opinión sobre el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e información. 8 AUDITORIA DE SISTEMAS OBJETIVOS DE LA A. S.I. Es el proceso de evaluar la eficiencia y eficacia del área de: Procesamiento Automático de Datos Utilización correcta de recursos Desarrollo de sistemas Instalaciones. 9 Buscar una mejor relación costo-beneficio de los sistemas computarizados diseñados e implementados por el PAD; Incrementar la satisfacción de los usuarios; Asegurar una mayor integridad, confiabilidad y confidencialidad de la información mediante la recomendación de seguridades y controles; Seguridad de personal, datos, hardware, software e instalaciones; 10 JUSTIFICATIVOS PARA EFECTUAR A.S.I. Minimizar existencias de riesgos en el uso de tecnologías de información; Orientar en decisiones de inversión y gastos innecesarios; Aplicación correcta de modelos de control; Capacitación y educación sobre controles en los sistemas de información. 11 Aumento considerable e injustificado del presupuesto del PAD; Falta total o parcial de seguridades físicas y lógicas que garanticen la integridad del personal, equipos e información; Descubrimiento de fraudes efectuados con el ordenador; Falta de una planificación informática; 12 2

3 Organización que no funciona correctamente, falta de políticas, objetivos, normas, metodología, asignación de tareas y adecuada administración del recurso humano. Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados. Falta de documentación o documentación incompleta de sistemas para El trabajo de auditores se enmarcan: Responsabilidad. Autoridad. Independencia. Relacion organizacional. Etica Profesional Competencia. Planificacion. Preparacion de informe Actividades para el seguimiento. mantenimiento CONTROLES INTERNOS CONTROLES EN LA AUDITORIA DE SISTEMAS DE INFORMACION 15 Han sido desarrollados para proveer una garantía razonable de que los objetivos del negocio serán alcanzados y que se previenen o detectarán y corregirán los casos de riesgo no deseados. Los controles internos tales como las políticas, procedimientos, prácticas y estructuras organizativas son desarrollados y/o diseñados. 16 OBJETIVOS DEL CONTROL INTERNO OBJETIVOS DE CONTROL EN TI Los objetivos del control interno son declaraciones del resultado deseado o del propósito a ser alcanzado implementando procedimientos de control en una actividad en particular. En otras palabras, control es el medio por el cual se alcanzan los objetivos de control. 17 Un objetivo de control de TI se define como una declaración del resultado o propósito que se desea alcanzar mediante la implementación de procedimientos de control en una actividad de TI en particular. 18 3

4 Los principales objetivos del proceso de control interno pueden ser categorizados: Salvaguarda de los activos (objetivos de seguridad); Integridad de los entornos operativos; Asegurar la eficiencia y la eficacia de las operaciones; Cumplimiento con los requerimientos de los usuarios y con las políticas y procedimientos; Planes de copias de seguridad; 19 Garantizar la integridad de los entornos sensitivos y críticos de aplicación del sistema, incluyendo información contable/financiera y administrativa a través: Autorización de información entrante (input); Exactitud e integridad del procesamiento de las transacciones; Fiabilidad de las actividades generales de procesamiento de información; Exactitud, integridad y seguridad de la información saliente (output); Integridad de la Base de Datos. 20 PROCEDIMIENTOS DE CONTROL EN SI CLASIFICACIONES DEL CONTROL Los controles generales de TI son controles que se aplican a todas las funciones dentro de una organización: Estrategia y dirección; Acceso a datos y programas; Desarrollo de sistemas y control de cambios; Operaciones de procesamiento de datos; Procedimientos de garantía de calidad; Controles físicos de acceso; Planeación de continuidad/recuperación de desastre del negocio. 21 CLASE FUNCION EJEMPLOS PREVENTIVOS Descartar problemas antes de que surjan; Monitorear operaciones. Tratar de predecir. Impedir que ocurra un error, omision o acto malicioso Emplear RRHH calificados; Segregacion de funciones; Controlar el acceso a las instalaciones fisicas; Usar documentos bien diseñados; Establecer procedimientos adecuados para autorizar transacciones; Uso de software para niveles de acceso. 22 CLASE FUNCION DETECTIVOS Controles que detectan que ha ocurrido un error, una omision o un acto malicioso y lo reportan. EJEMPLOS Hash Totals; Puntos de verificacion en los trabajos de produccion; Mensajes de error; Verificacion doble de los calculos; Reportes de cuentas vencidas; Controles de eco en comunicaciones; CLASE FUNCION EJEMPLOS CORRECTIVOS Minimizar el impacto de una amenaza; Remediar problemas descubiertos por los controles de deteccion; Identificar la causa. Corregir errores que surjan de un problema. Modificar el SI, para minimizar que el problema ocurra en el futuro. Planeacion de contingencias; Copias de seguridad; Procedimientos de nueva ejecucion de programa. Funciones de auditoria interna

5 MEDIOS DE CONTROL CONTROLES OPERATIVOS DEL DEPTO TI Para que los controles directos resulten efectivos, las actividades del depto. TI: Los empleados del departamento TI no realicen funciones imcompatibles; Exista supervision de las actividades del personal de sistemas; Se controle la utilización de Una efectiva segregacion de funciones, debe ir acompañada de controles de acceso, o de supervision de los accesos otorgados. Estos controles incluyen: Manuales de operacion y controles operativos diarios; Supervision de usuarios privilegiados; Control sobre software sensitivo; Controles sobre el desarrollo de sistemas. Software sensitivo ACCESO A DATOS Y PROGRAMAS MEDIOS DE CONTROL Este riesgo implica que personas no autorizadas (empleados o terceros) puedan tener acceso directo a los archivos de datos o programas de aplicación, con fines que puedan perjudicar a sujetos y en el peor de los casos a la organización. 27 Una forma de restringir el acceso en ambientes computacionales es a traves de identificadores de usuarios y contraseñas, utilizando software para: Interactuar con solicitudes de acceso de los usuarios a programas o datos; Rechazar o permitir el acceso. 28 SEGURIDAD LOGICA SEGURIDAD FISICA Se deben tomar en cuenta lo siguiente: Administracion de passwords; Proceso de Log-in; Uso de los sistemas; Control de acceso para uso de datos Separacion de usuarios; Cambio frecuente de password; No divulgar el password por fono. 29 Control fisico de acceso al área de sistemas. Guardia o recepcionista; Tarjeta de identificación visible. 30 5

6 CAMBIOS A PROGRAMAS Los programadores pueden realizar cambios incorrectos o no autorizados en el software de aplicación, lo cual podria reducir la confiabilidad de la informacion financiera procesada en el sistema. 31 El proceso de modificación en el software, considera lo siguiente: Las solicitudes de modificaciones deben ser documentadas y aprobadas por un nivel gerencial adecuado; Los cambios, en primera instancia, deben ser introducidos en las versiones de prueba del software y luego, ser introducidas en versiones de produccion; 32 CONTINUIDAD DE PROCESAMIENTO Los cambios solo deben ser realizados por el personal de sistemas o programadores; Los cambios deben ser respaldados por documentación; Las pruebas al software modificado deben ser realizadas por un equipo de prueba independiente; Llevar un registro de modificaciones; Los negocios de la empresa podrian verse afectados, como consecuencia de interrupciones en los servicios de procesamiento de datos, originadas por desastres u otras contingencias. Los medios de control para la continuidad de procesamiento de datos: Aprobacion por parte de la gerencia AMBIENTES TECNOLOGICOS Procedimientos adecuados que describan su aplicación en caso de contigencia. - Historial de problemas relevantes; - Manejo de interrupciones de proc.; - Modificaciones de emergencia. Mecanismos de seguimiento y control gerencial; Contar con plan de contingencias para Estructura de redes; Voz sobre IP (VoIp); Redes WLAN; Redes WMAN; Redes WWAN; Topologías de red; Cableado estructurado; Dispositivos de Networking; Telecomunicaciones. procesos críticos

7 Permiten dar razón del grado de cumplimiento de los cambios generados a nivel de actividades y la utilización de recursos necesarios para conseguir los objetivos funcionales: Gestión Eficacia Eficiencia Efectividad Productividad Tiempo Tiempo de ciclo Tiempo x actividad Financieros VPN (trema) Costo / actividad Costo de oportunidad operativo Costo de oportunidad financiero Análisis de costos Calidad Cantidad de quejas Satisfacción del cliente Cantidad de soluciones planteadas Cantidad de productos defectuosos

8