WIXLIB

AUDITORIA DE SISTEMASAlejandra Mercedes Colina Vargas, Ph.D.Noviembre, 2019

INTRODUCCIÓN A LOS CONTROLES.Alejandra Mercedes Colina Vargas, Ph.D.Noviembre, 2019

Introducción a los Controles.Control Interno deuna Organización ysu relación con laAuditoría de SistemasPerfil del profesional deAuditoría de Sistemasde InformaciónFunciones yresponsabilidades delauditor informáticoEnfoque de la auditoríade Sistemas deInformación: Auditoríatradicional, Auditoríabasada en riesgos

Control Interno de una Organización ysu relación con la Auditoría de Sistemas

Controles Cualquier actividad o acción realizada manual y/o automáticamente paraprevenir, corregir errores o irregularidades que puedan afectar alfuncionamiento de un sistema para conseguir sus objetivos.Control Interno Aquellos mecanismos existentes dentro de la organización, que tienen comoobjetivo asegurar la veracidad e integridad de la información que maneja elsistema tanto aquella que entra y sale de él como la que se almacena y semanipula internamente dentro de la configuración computacional.

ObjetivosControles paraalcanzar losobjetivosRiesgosEvento resultante de laocurrencia o materialización deuna amenaza (peligro)ControlesControles paramitigar/ evitar losriesgosMedidas, normas y procedimientosque se disponen para proteger losrecursos

Objetivos del Control InternoAsegurar el cumplimiento de las políticas y procedimientos definidos por laalta direcciónGarantizar la emisión de información útil, confiable y oportunaSalvaguardar los activos y prevenir el cometimiento de errores eirregularidadesContribuir al cumplimiento de la misión y objetivos institucionales

Control Interno Informático Permite controla diariamente que todas las actividades desistemas de información sean realizadas cumpliendo losprocedimientos, estándares y normas fijados por la Dirección dela organización y/o Dirección de Sistemas, así como losrequerimientos legales. Su misión es asegurar de que las medidas que se obtienen delos mecanismos implantados por cada responsable seancorrectas y válidas.

Elementos del Control Interno1. Ambiente de control En qué consiste:‒ Integridad, Ética y Capacidad del personal de la empresa Cómo se evalúa:‒ Existencia e Implantación de Códigos de Conducta‒ Presión para cumplir metas de eficacia poco realistas‒ Descripción de los Puestos de Trabajo‒ Análisis de conocimientos y Habilidades que se requieren Participación de la Alta Dirección Responsabilidad de los empleados

Elementos del Control Interno2. Evaluación del Riesgo (progresos tecnológicos, cambios en elentorno operativo, nuevo personal, etc.) amiento de la información, controles físicos,separación de funciones, otros controles.)3. Información y Comunicación de la Información4. Supervisión de los controles internos para asegurarse que elproceso funciona según lo previsto.

El personal debe estar altamente capacitado en lo que concierne a lastecnologías de la información, verificación del cumplimiento decontroles internos, normativas y procedimientos establecidos por lagerencia para los sistemas informáticos.Un buen control debe contar con las siguientes características: Completos. Simples. Revisables. Adecuados. Rentables. Fiables. Actualizados.

Control Interno Informático vs. Auditoría InformáticaSIMILITUDES Personal interno Conocimiento especializados en TI Verificación del cumplimiento de controles internos normativas yprocedimientos establecidos por la Gerencia en TI o Gerencial GeneralDIFERENCIAS Análisis de los controles en el día a día. InformaalaDireccióndelDepartamento de Informática Solo personal interno El alcance de sus funciones esúnicamente sobre el Departamento deInformática Análisis de un momento informáticodeterminado Informa a la Dirección General de laOrganización Personal interno o externo Tienecoberturasobretodosloscomponentes de los sistemas informáticosde la organización

Tipos de Control Interno InformáticoControles preventivos:Controles detectivos:Controles correctivos: Para tratar de evitar elhecho, como unsoftware de seguridadque impida los accesosno autorizados alsistema. Cuando fallan lospreventivos para tratarde conocer cuantoantes el evento. Por ejemplo, el registrode intentos de accesono autorizados, elregistro de la actividaddiaria para detectarerrores uomisiones.etc. Facilitan la suelta a lanormalidad cuando sehan producidoincidencias. Por ejemplo, larecuperación de unarchivo dañado a partirde las copias deseguridad.

Control Interno Informático (Áreas DeAplicación) Controles generales organizativos Controles de desarrollo y mantenimiento de sistemas deinformación Controles de explotación de sistemas de información Controles en aplicaciones Controles en sistemas de gestión de base de datos Controles informáticos sobre redes Controles sobre computadores y redes de área local

FUNCIONES Y RESPONSABILIDADESDEL AUDITOR INFORMÁTICO

Perfil de un Auditor Informático El auditor informático como encargado de laverificación y certificación de la informáticadentro de las organizaciones, deberá contarconunperfilquelepermitapoderdesempeñar su trabajo con la calidad y laefectividad esperada.

Perfil de un Auditor Informático Corresponde a un Ingeniero e Ingeniero Técnico en Informática encualquiera de sus especialidades, pero más concretamente laespecialidad de Gestión. Profesional al que se le presupone cierta formación técnica eninformática y experiencia en el sector, independencia y objetividad,madurez, capacidad de síntesis, análisis y seguridad en símismo.

Características del Auditor Informático Deben poseer una mezcla de conocimientos de auditoríafinanciera y de informática en general. En el área informática, tener conocimientos básicos de: Desarrollode SI, Sistemas operativos, Telecomunicaciones, Administraciónde Bases de Datos, Redes locales, Seguridad física,Administración de Datos, Automatización de oficinas (ofimática),Comercio electrónico, de datos, etc. Especialización en función de la importancia económica quetienen distintos componentes financieros dentro del entornoempresarial

Características del Auditor Informático Debe conocer técnicas de administración de empresas y decambio, ya que las recomendaciones y soluciones que aportedeben estar alineadas a los objetivos de la empresa y a losrecursos que se poseen. Debe tener un enfoque de Calidad Total, lo cual hará que susconclusiones y trabajo sean reconocidos como un elementovalioso dentro de la empresa y que los resultados seanaceptados en su totalidad

Responsabilidad del Auditor Informático Verificación del control interno tanto de las aplicaciones comode los SI, periféricos, etc. Análisis de la administración de Sistemas de Información,desde un punto de vista de riesgo de seguridad, administracióny efectividad de la administración. Análisis de la integridad, fiabilidad y certeza de la información através del análisis de aplicaciones. Auditoría del riesgo operativo de los circuitos de información Análisis de la administración de los riesgos de la información yde la seguridad implícita

Responsabilidad del Auditor Informático Verificación del nivel de continuidad de las operaciones. Análisis del Estado del Arte tecnológico de la instalaciónrevisada y las consecuencias empresariales que un desfasetecnológico puede acarrear. Diagnóstico del grado de cobertura que dan las aplicaciones alas necesidades estratégicas y operativas de información de laempresa Es responsable de establecer los objetivos de control quereduzcan o eliminen la exposición al riesgo de control interno

Principios básicos del auditor informático1. Principio de beneficio del auditado.El auditor deberá conseguir la máxima eficiencia y rentabilidad de losmedios informáticos de la empresa auditada.2. Principio de calidad.El auditor deberá prestar servicios con los medios a su alcance.Condiciones técnicas adecuadas.3. Principio de capacidad.El auditor debe estar plenamente capacitado para la realización de laauditoría encomendada.

Principios básicos del auditor informático4. Principio de cautela.El auditor debe evitar que el auditado se embarque en proyectos defuturo fundamentados en intuiciones sobre la evolución de las TI.5. Principio de comportamiento profesional.Exige al auditor una seguridad en sus conocimientos técnicos y unaclara percepción de sus carencias. Debe guardar un escrupulosorespeto por la política de la empresa que audita.6. Principio de concentración en el trabajoEl auditor deberá evitar que un exceso de trabajo supere susposibilidades de concentración y precisión en cada una de las tareas.

Principios básicos del auditor informático7. Principio de confianza.El auditor deberá facilitar e incrementar la confianza del auditado enbase a una actuación de transparencia en su actividad profesional8. Principio de criterio propio.El auditor deberá actuar con criterio propio y no permitir que estesubordinado al de otros profesionales.9. Principio de discreción.El auditor deberá mantener una cierta discreción en la divulgaciónde datos

Principios básicos del auditor informático10.Principio de economía. El auditor deberá proteger los derechoseconómicos del auditado evitando generar gastos innecesarios11.Principio de formación continuada. Impone al auditor la obligaciónde estar en continúa formación.12.Principio de fortalecimiento y respeto a la profesión. Los auditoreshan de cuidar del valor de trabajo realizado y de las conclusionesobtenidas

Principios básicos del auditor informático13.Principio de independencia. El auditor debe exigir una totalautónoma e independencia en su trabajo.14.Principio de información suficiente. Obliga al auditor aportar enforma clara, precisa e inteligible para el auditado la información15.Principio de integridad moral. Obliga al auditor a ser honesto,leal y diligente en el desempeño de su misión, a ajustarse a lasnormas morales, de justicia y probidad.

Principios básicos del auditor informático16.Principio de libre competenciaExige que el ejercicio de la profesión se realice en el marco de la librecompetencia.16.Principio de no discriminaciónEl auditor en su actuación antes, durante y después de la auditoría,deberá evitar inducir, participar o aceptar situaciones discriminatorias deningún tipo.16.Principio de no injerenciaEl auditor deberá evitar injerencias en los trabajos de otrosprofesionales, respetar su labor y eludir hacer comentarios quepudieran interpretarse como despreciativos de la misma o provocarcierto desprestigio de su calificación profesional.

Principios básicos del auditor informático19.Principio de precisión. Exige del auditor la no conclusión de sutrabajo hasta estar convencido de la viabilidad de sus propuestas.20. Principio de secreto profesional. Obligado a guardar en secreto loshechos e informaciones que conozca en el ejercicio de su actividadprofesional.21. Principio de veracidad. Asegurar la veracidad de susmanifestaciones con los límites impuestos por los deberes de respeto,corrección y secreto.22. Principio de legalidad El auditor deberá evitar utilizar susconocimientos para facilitar, a los auditados o a terceras personas, lacontravención de la legalidad vigente.

ENFOQUE DE LA AUDITORÍA DESISTEMAS DE INFORMACIÓN

Auditoría basada en riesgosSe define como“ una forma de conducir las auditorías internas y externas dediferentes tipos, con enfoque preventivo y proactivo, basandosu planeación y desarrollo en una muestra de eventos de riesgoinherentes que pudieran causar el mayor impacto negativo enla organización, para confirmar si el manejo de las operacionesy de la información se realizan de conformidad con las buenasy mejores prácticas de control interno y seguridad, las reglasdel negocio y las normas, leyes y regulaciones aplicables”