AUDITORIA Y CONTROL INFORMATICOS Mag Ing Mario Ramos

  • Slides: 34
Download presentation
AUDITORIA Y CONTROL INFORMATICOS Mag. Ing. Mario Ramos Moscol

AUDITORIA Y CONTROL INFORMATICOS Mag. Ing. Mario Ramos Moscol

CONCEPTO DE AUDITORIA DE SISTEMAS (1) • Auditorius Auditoría • Auditor tiene la virtud

CONCEPTO DE AUDITORIA DE SISTEMAS (1) • Auditorius Auditoría • Auditor tiene la virtud de oir y revisar cuentas. • Evaluar la eficiencia y eficacia con que se está operando • Señalar alternativas de acción para corregir errores ó mejorar la forma de actuación. • Revisión, evaluación y elaboración de un informe para el ejecutivo encaminado a un objetivo específico en el ambiente computacional y los sistemas.

CONCEPTO DE AUDITORIA DE SISTEMAS (2) 1. Verificar de qué manera se están aplicando

CONCEPTO DE AUDITORIA DE SISTEMAS (2) 1. Verificar de qué manera se están aplicando los controles en el área de actuación de la Informática. 2. Examen y evaluación de los procesos y del uso de los recursos que en ellos intervienen, determinado el grado de eficiencia, efectividad y economía de los sistemas de la empresa, presentando conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorar los procesos.

CONCEPTO DE AUDITORIA DE SISTEMAS (3) Proceso de recolección y evaluación de evidencia para:

CONCEPTO DE AUDITORIA DE SISTEMAS (3) Proceso de recolección y evaluación de evidencia para: * Determinar daños, Salvaguardar activos. * Evitar destrucción de datos, uso no autorizado, robos. * Mantener Integridad de Información, Presentar datos completos, oportunos, confiables. * Alcanzar metas organizacionales, Contribución de la función informática.

CONCEPTO DE AUDITORIA DE SISTEMAS (4) Es el examen o revisión de carácter objetivo

CONCEPTO DE AUDITORIA DE SISTEMAS (4) Es el examen o revisión de carácter objetivo (independiente), crítico(evidencia), sistemático (normas), selectivo (muestras) de las políticas, normas, prácticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de información computarizados, con el fin de emitir una opinión profesional (imparcial) con respecto a: a) Eficiencia en el uso de los recursos informáticos b) Validez de la información c) Efectividad de los controles establecidos

TIPOS DE AUDITORIA • Financiera. Veracidad de los estados financieros, prácticas y principios contables.

TIPOS DE AUDITORIA • Financiera. Veracidad de los estados financieros, prácticas y principios contables. • Tributaria. Observa el cumplimiento del código tributario. • Gestión. Analiza logros del proceso administrativo, funciones, métodos, etc. • Sistemas. Relativo a la función informática. • Ambiental, Gubernamental, etc.

Tipos de auditoria de sistemas • • • Desarrollo de sistemas. Operación. Bases de

Tipos de auditoria de sistemas • • • Desarrollo de sistemas. Operación. Bases de datos. Ofimática. Comunicaciones y Redes. Seguridad física y lógica.

AUDITORIA DE LA OPERACION INFORMATICA • La Operación Informática se ocupa de producir resultados

AUDITORIA DE LA OPERACION INFORMATICA • La Operación Informática se ocupa de producir resultados informáticos de todo tipo: reportes, bases de datos, procesamiento de documento, etc. – – – Control de entrada de datos Planificación y Recepción de Aplicaciones Centro de Control y Seguimiento de Trabajos Operadores de Centros de Cómputos Centro de Control de Red y Centro de Diagnosis

AUDITORIA DE DESARROLLO DE PROYECTOS • Ciclo de vida de los sistemas • Se

AUDITORIA DE DESARROLLO DE PROYECTOS • Ciclo de vida de los sistemas • Se utiliza metodología de desarrollo de Proyectos informáticos. • Exigente control interno de todas las fases antes nombradas. • Seguridad de los programas, Hacen la función prevista

AUDITORIA INFORMATICA DE SISTEMAS • Analiza la "Técnica de Sistemas" en todas sus facetas.

AUDITORIA INFORMATICA DE SISTEMAS • Analiza la "Técnica de Sistemas" en todas sus facetas. • Sistemas Operativos. • Sistemas multimediales. • Software de Teleproceso. • Administración de Base de Datos. • Investigación y Desarrollo. • Algunas áreas por su naturaleza se independizan.

AUDITORIA INFORMATICA DE COMUNICACIONES Y REDES • Redes LAN, MAN, WAN • Las Comunicaciones

AUDITORIA INFORMATICA DE COMUNICACIONES Y REDES • Redes LAN, MAN, WAN • Las Comunicaciones son el Soporte Físico. Lógico de la Informática en Tiempo Real. • Topología de la Red de Comunicaciones, • Nùmero de líneas, cómo son y dónde están instaladas. • Tipo de terminales, carga de la red, etc.

AUDITORIA DE LA SEGURIDAD INFORMATICA • Seguridad física y seguridad lógica. • La Seguridad

AUDITORIA DE LA SEGURIDAD INFORMATICA • Seguridad física y seguridad lógica. • La Seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como los edificios e instalaciones que los albergan. • La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información. • Elaboración de "Matrices de Riesgo“.

OBJETIVOS DE LA AI (1) 1) Optimizar el costo-beneficio de los sistemas. 2) Satisfacción

OBJETIVOS DE LA AI (1) 1) Optimizar el costo-beneficio de los sistemas. 2) Satisfacción de los usuarios de los sistemas. 3) Asegurar integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles. 4) Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.

OBJETIVOS DE LA AI (2) 5) Seguridad de personal, datos, hardware, software e instalaciones

OBJETIVOS DE LA AI (2) 5) Seguridad de personal, datos, hardware, software e instalaciones 6) Apoyo de función informática a las metas y objetivos de la organización 7) Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático 8) Minimizar los riesgos en el uso de Tecnología de información 9) Decisiones de inversión y gastos innecesarios 10) Capacitación y educación sobre controles en los Sistemas de Información

Porqué realizar una AI? 1) Aumento en el presupuesto del Dpto de informática. 2)

Porqué realizar una AI? 1) Aumento en el presupuesto del Dpto de informática. 2) Desconocimiento de la situación informática. 3) Niveles de inseguridades lógicas y físicas. 4) Sospecha de fraudes informáticos. 5) Falta de una planificación informática 6) Organización que no funciona correctamente, falta de políticas, objetivos, normas, metodología, asignación de tareas y adecuada administración del Recurso Humano 7) Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados 8) Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción

CONTROLES Conjunto de disposiciones metódicas, diseñadas con el fin de vigilar las funciones y

CONTROLES Conjunto de disposiciones metódicas, diseñadas con el fin de vigilar las funciones y actitudes de las empresas para verificar si todo se realiza conforme a los programas adoptados, ordenes impartidas y principios admitidos.

Clasificación de los controles • Preventivos. Reducen la frecuencia con que ocurren las causas

Clasificación de los controles • Preventivos. Reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones. ("No fumar“, Sistemas de claves de acceso). • Detectivos. Detectan los hechos después de ocurridos. . Evalúan la eficiencia de los controles preventivos. (Archivos y procesos que sirven como pistas de auditoria, Procedimientos de validación) • Correctivos. Ayudan a la investigación y corrección de las causas del riesgo. Porqué ocurrió? Porqué no se detectó? Qué medidas debo tomar?

Controles físicos (1) • Autenticidad. Permiten verificar la identidad: Passwords, Firmas digitales • Exactitud.

Controles físicos (1) • Autenticidad. Permiten verificar la identidad: Passwords, Firmas digitales • Exactitud. Aseguran la coherencia de los datos Validación de campos, Validación de excesos • Totalidad. Evitan la omisión de registros así como garantizan la conclusión de un proceso de envío: Conteo de registros, Cifras de control • Redundancia. Evitan la duplicidad de datos: Cancelación de lotes, Verificación de secuencias

Controles físicos (2) • Privacidad: Aseguran la protección de los datos: Compactación, Encriptación •

Controles físicos (2) • Privacidad: Aseguran la protección de los datos: Compactación, Encriptación • Existencia. Aseguran la disponibilidad de los datos: Bitácora de estados, Mantenimiento de activos, Protección de Activos, Destrucción o corrupción de información o del hardware, Extintores • Efectividad. Aseguran el logro de los objetivos: Encuestas de satisfacción, Medición de niveles de servicio, • Eficiencia. Aseguran el uso óptimo de los recursos: Programas monitores, , Análisis costo-beneficio

Controles automáticos o lógicos • Periodicidad de cambio de claves de acceso • Combinación

Controles automáticos o lógicos • Periodicidad de cambio de claves de acceso • Combinación de alfanuméricos en claves de acceso • Verificación de datos de entrada. • Conteo de registros. • Totales de Control. • Verificación de límites. • Verificación de secuencias. • Dígito autoverificador.

Controles administrativos en Informática • Controles de Preinstalación • Controles de Organización y Planificación

Controles administrativos en Informática • Controles de Preinstalación • Controles de Organización y Planificación • Controles de Sistemas en Desarrollo y Producción • Controles de Procesamiento • Controles de Operación • Controles de uso de Microcomputadores

Controles de preinstalación(1) Hacen referencia a procesos y actividades previas a la adquisición e

Controles de preinstalación(1) Hacen referencia a procesos y actividades previas a la adquisición e instalación de un equipo de computación y obviamente a la automatización de los sistemas existentes. Objetivos: * Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa. * Garantizar la selección adecuada de equipos y sistemas de computación * Asegurar la elaboración de un plan de actividades previo a la instalación

Acciones a seguir • Elaboración de un informe técnico que se justifique la adquisición

Acciones a seguir • Elaboración de un informe técnico que se justifique la adquisición del equipo, software y servicios de computación, incluyendo un estudio costo-beneficio. • Formación de un comité que coordine y se responsabilice de todo el proceso de adquisición e instalación • Elaborar un plan de instalación de equipo y software (fechas, actividades, responsables) el mismo que debe contar con la aprobación de los proveedores del equipo. • Elaborar un instructivo con procedimientos a seguir para la selección y adquisición de equipos, programas y servicios computacionales. Este proceso debe enmarcarse en normas y disposiciones legales. • Efectuar las acciones necesarias para una mayor participación de proveedores. • Asegurar respaldo de mantenimiento y asistencia técnica.

Controles de organización y Planificación(1) • Se refiere a la definición clara de funciones,

Controles de organización y Planificación(1) • Se refiere a la definición clara de funciones, línea de autoridad y responsabilidad de las diferentes unidades del área informática, en labores tales como: Diseño del sistema, Programación, Operación del sistema, Control de calidad. • Se debe evitar que una misma persona tenga el control de toda una operación. Es importante la utilización óptima de recursos mediante la preparación de planes a ser evaluados continuamente

Acciones a seguir • La unidad informática debe estar al mas alto nivel de

Acciones a seguir • La unidad informática debe estar al mas alto nivel de la pirámide administrativa. • Deben existir mecanismos necesarios a fin de asegurar que los programadores y analistas no tengan acceso a la operación del computador y los operadores a su vez no conozcan la documentación de programas y sistemas. • Debe existir una unidad de control de calidad. • El manejo y custodia de dispositivos y archivos magnéticos deben estar expresamente definidos por escrito. • Debe formularse el "Plan Maestro de Informática“ (PESI) • Debe existir una participación efectiva de directivos, usuarios en la planificación y evaluación del cumplimiento del plan. • Las instrucciones deben impartirse por escrito.

Controles de Sistema en Desarrollo y Producción(1) • Se debe justificar que los sistemas

Controles de Sistema en Desarrollo y Producción(1) • Se debe justificar que los sistemas han sido la mejor opción para la empresa, bajo una relación costo-beneficio que proporcionen oportuna y efectiva información, que los sistemas se han desarrollado bajo un proceso planificado y se encuentren debidamente documentados.

Acciones a seguir • Equipo de trabajo: usuarios, personal de auditoría interna/control, especialistas. •

Acciones a seguir • Equipo de trabajo: usuarios, personal de auditoría interna/control, especialistas. • El desarrollo, diseño y mantenimiento de sistemas obedece a un plan estratégico. • Documentación de fases con actas de conclusión/recepción. • Prueba de programas. • Documentación de sistemas: informes, diagramas, objetivos de los programas, fuentes, formatos de entrada/salida. • Procesos de contingencia.

Controles de Procesamiento(1) Los controles de procesamiento se refieren al ciclo que sigue la

Controles de Procesamiento(1) Los controles de procesamiento se refieren al ciclo que sigue la información desde la entrada hasta la salida de la información, lo que conlleva al establecimiento de una serie de seguridades para: – Asegurar que todos los datos sean procesados – Garantizar la exactitud de los datos procesados – Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditoria – Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones.

Acciones a seguir • Preparación y validación de datos de entrada previo procesamiento debe

Acciones a seguir • Preparación y validación de datos de entrada previo procesamiento debe ser realizada en forma automática: clave, dígito autoverificador, totales de lotes, etc. • Procesos de corrección de errores. • Estandarización de formularios, fuente para agilitar la captura de datos y minimizar errores. • Los procesos interactivos deben garantizar una adecuada interrelación entre usuario y sistema. • Planificar el mantenimiento del hardware y software, tomando todas las seguridades para garantizar la integridad de la información y el buen servicio a usuarios.

Controles de Operación • Abarcan el ambiente de la operación del equipo y dispositivos

Controles de Operación • Abarcan el ambiente de la operación del equipo y dispositivos de almacenamiento, la operación de terminales y equipos de comunicación. • Los controles tienen como fin: – Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cómputo durante un proceso – Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del PAD – Garantizar la integridad de los recursos informáticos. – Asegurar la utilización adecuada de equipos acorde a planes y objetivos, Recursos Informáticos

Acciones a seguir(1) El acceso al centro de computo solo personal autorizado. Ingreso a

Acciones a seguir(1) El acceso al centro de computo solo personal autorizado. Ingreso a equipos con claves Políticas de seguridad, privacidad y protección de los recursos informáticos frente a: incendio, vandalismo, robo y uso indebido, intentos de violación y como responder ante esos eventos. Llevar una bitácora de todos los procesos realizados, dejando constancia de suspensiones o cancelaciones. Procesos de recuperación o restauración de información. Todas las actividades del Centro de Computo deben normarse mediante manuales, instructivos, normas, reglamentos, etc.

Acciones a seguir(2) El proveedor de hardware y software deberá proporcionar lo siguiente: –

Acciones a seguir(2) El proveedor de hardware y software deberá proporcionar lo siguiente: – – Manual de operación de equipos Manual de lenguaje de programación Manual de utilitarios disponibles Manual de Sistemas operativos Las instalaciones deben contar con sistema de alarma por presencia de fuego, humo, asi como extintores de incendio, conexiones eléctricas seguras, entre otras. Instalar equipos que protejan la información y los dispositivos en caso de variación de voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de energía. Contratar pólizas de seguros para proteger la información, equipos, personal y todo riesgo que se produzca por casos fortuitos o mala operación.

Controles en el uso del Microcomputador • Es la tarea mas difícil pues son

Controles en el uso del Microcomputador • Es la tarea mas difícil pues son equipos vulnerables, de fácil acceso, de fácil explotación pero los controles que se implanten ayudaran a garantizar la integridad y confidencialidad de la información.

Acciones a seguir • Adquisición de equipos de protección: supresores de pico, reguladores de

Acciones a seguir • Adquisición de equipos de protección: supresores de pico, reguladores de voltaje y UPS • Vencida la garantía de mantenimiento del proveedor se debe contratar mantenimiento preventivo y correctivo. • Establecer procedimientos para obtención de backups de paquetes y de archivos de datos. • Revisión periódica y sorpresiva del contenido del disco para verificar la instalación de aplicaciones no relacionadas a la gestión de la empresa. • Mantener programas y procedimientos de detección e inmunización de virus en copias no autorizadas o datos procesados en otros equipos. • Propender a la estandarización del Sistema Operativo, software utilizado como procesadores de palabras, hojas electrónicas, manejadores de base de datos y mantener actualizadas las versiones y la capacitación sobre modificaciones incluidas.

AUDITORIA Auditoria Interna LAS NORMAS DE AUDITORIA INTERNAAUDITORIA Auditoria Interna LAS NORMAS DE AUDITORIA INTERNA
AUDITORIA OPERACIONAL Aula 4 Normas de Auditoria AUDITORIAAUDITORIA OPERACIONAL Aula 4 Normas de Auditoria AUDITORIA
AUDITORIA I Programas de Auditoria AUDITORIA I RoteiroAUDITORIA I Programas de Auditoria AUDITORIA I Roteiro
Mario Prezentace o he Mario Mario Hlavn hrdinaMario Prezentace o he Mario Mario Hlavn hrdina
MARIO DOUCETTE Biographie de Mario Doucette u MarioMARIO DOUCETTE Biographie de Mario Doucette u Mario
Nemetali Mario Fridl mag ing mech Nemetali suNemetali Mario Fridl mag ing mech Nemetali su
Goriva i maziva Mario Fridl mag ing mechGoriva i maziva Mario Fridl mag ing mech
Sinterirani materijali Mario Fridl mag ing mech SinteriraniSinterirani materijali Mario Fridl mag ing mech Sinterirani
Conceptualmente la auditoria toda y cualquier auditoria esConceptualmente la auditoria toda y cualquier auditoria es
Fundamentos de Auditoria El Informe de Auditoria InformeFundamentos de Auditoria El Informe de Auditoria Informe
TCNICAS DE AUDITORIA CONVENCIONAL APLICADAS A AUDITORIA DETCNICAS DE AUDITORIA CONVENCIONAL APLICADAS A AUDITORIA DE
Auditoria de Sistemas Computacionais Tcnicas de Auditoria deAuditoria de Sistemas Computacionais Tcnicas de Auditoria de
AUDITORIA FINANCIERA GUBERNAMENTAL AUDITORIA FINANCIRA GUBERNAMENTAL La auditoraAUDITORIA FINANCIERA GUBERNAMENTAL AUDITORIA FINANCIRA GUBERNAMENTAL La auditora
Curso de Auditoria Governamental Prof Vitor Maciel AuditoriaCurso de Auditoria Governamental Prof Vitor Maciel Auditoria
COMO FAZER UMA BOA AUDITORIA Auditoria Definies QualidadeCOMO FAZER UMA BOA AUDITORIA Auditoria Definies Qualidade
COMPARACIN DE LA AUDITORIA FINANCIERA Y LA AUDITORIACOMPARACIN DE LA AUDITORIA FINANCIERA Y LA AUDITORIA
auditoria FASES DA AUDITORIA Introduo Reunio de Aberturaauditoria FASES DA AUDITORIA Introduo Reunio de Abertura
Fundamentos de Auditoria TERCERA NORMA DE AUDITORIA RELATIVAFundamentos de Auditoria TERCERA NORMA DE AUDITORIA RELATIVA
Relatrio de Auditoria de Gesto de TI AuditoriaRelatrio de Auditoria de Gesto de TI Auditoria
AUDITORIA INTERNA Pablo Padilha Pereira Novembro2004 FortalezaCE AUDITORIAAUDITORIA INTERNA Pablo Padilha Pereira Novembro2004 FortalezaCE AUDITORIA
I FUNDAMENTOS DE AUDITORIA Y AUDITORIA INFORMTICA ProfI FUNDAMENTOS DE AUDITORIA Y AUDITORIA INFORMTICA Prof
I FRUM ESTADUAL DE AUDITORIA A Auditoria comoI FRUM ESTADUAL DE AUDITORIA A Auditoria como
AUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientesAUDITORIA DE SISTEMAS Conceptos introductorios Auditoria de ambientes
AUDITORIA AMBIENTAL Profa Ms Helaine Resplandes AUDITORIA AMBIENTALAUDITORIA AMBIENTAL Profa Ms Helaine Resplandes AUDITORIA AMBIENTAL