Infografia de Funcion de Auditoria en Sistema

Luis Alffredo Galo Lagos CTA # 20061005415

Catedratico

Asignatura

Tema de Infografia

Fecha de entraga

Auditoria de Sistemas de Información

Lic. Ricardo Casco

Función de la Auditoria en Sistemas

10 de Febrero de 2024

Funcion de Auditoria en Sistemas

¿Qué es Auditoría?

La Auditoría es un proceso sistemático de obtención y evaluación objetiva de evidencias respecto a afirmaciones o aseveraciones acerca de hechos y eventos económicos y comunicar los resultados a los usuarios interesados.

Funcion de Auditoria en Sistemas

¿QUÉ ES AUDITORIA EN INFORMATICA?

La auditoría en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad. Deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.

Funcion de Auditoria en Sistemas

¿Qué es la Auditoría de un Sistemas de Información?

Toda la auditoría que comprenda la revisión y evaluación de todos los aspectos (o cualquier porción ) de los sistemas automatizados de procesamiento de información, incluyendo los procesos no automatizados relacionados y las interfaces entre ellos.

Funcion de Auditoria en Sistemas

¿Qué hace la ASI ?

Es una función de la auditoría que: - Evalúa y verifica los controles establecidos en las actividades y recursos de cómputo de las empresas. - Asesora a la Administración en asuntos de cómputo. - Promueve la automatización en las diferentes modalidades de la auditoría

Funcion de Auditoria en Sistemas

Objetivos de la Auditoría de Sistemas

Verificar que los sistemas de información automatizados satisfaga los siete criterios de la información de negocios requeridos por COBIT.

Verificar que los controles utilizados en los sistemas de información protejan a las organizaciones contra los riesgos que podrían afectarlas a través de sus recursos de cómputo.oría de Sistemas

Evaluar y verificar el control interno en todos los aspectos de los sistemas automatizados de procesamiento de datos de la empresa: - Administrativos - Técnicos y - Operativos

- Efectividad - Eficiencia - Confidencialidad - Integridad - Disponibilidad - Cumplimiento con leyes y Regulaciones - Confiabilidad

- Datos - Aplicaciones del Computadora - Tecnología - Instalaciones de Cómputo - Las personas

Funcion de Auditoria en Sistemas

La Auditoría de Sistemas y los Riesgos en las Empresasoría de Sistemas

La Auditoría de Sistemas evalúa y verifica que existan controles apropiados para proteger a las organizaciones contra eventos indeseados (RIESGOS) que podrían afectarlas a través de sus recursos de cómputo - Errores humanos - Actos mal intencionados - Decisiones erróneas - Pérdidas de activo - Encubrimientos de pasivos - Desventajas ante la competencia - sanciones legales - Desastres naturales - Pérdida de credibilidad e imagen

Funcion de Auditoria en Sistemas

LOS EXISTENTES

Cuales controles evalúa y verifica?

LOS QUE DEBERÍAN EXISTIR.

Enfoque estático de la auditoría “detrás de lo conocido” . Tiempo de auditoría posterior al tiempo de los eventos auditados.

Enfoque dinámico de la auditoría: “prevención y asesoría” Tiempo de auditoría menor o igual que el tiempo de los eventos. Enfoque Proactivo: Suscita acciones para prevenir errores, desviaciones e irregularidades.

Funcion de Auditoria en Sistemas

Funciones de la Auditoría de Sistemas:

Alcance del trabajo de la Auditoría de Sistemas:

- Auditoría de Controles Generales de la Informática- Auditoría de Aplicaciones en funcionamiento- Auditoría en el Desarrollo de Sistemas- Soporte a Grupos de Auditoría

- las actividades de TI de la empresa (administración de los recursos de cómputo de la organización) - Las aplicaciones en el computador en estado de producción o funcionamiento - El desarrollo de nuevas aplicaciones para el computador - El soporte técnico a otras actividades de la auditoría (financiera, operativa, etc.)

Funcion de Auditoria en Sistemas

Tangibles:

Intangibles: (Valor Agregado)

RESULTADOS DEL TRABAJO DE ASI

Informes escritos con opiniones, observaciones y recomendaciones dirigidos a: - Dirección de la Empresa - La Gerencia de Sistemas (Organización y Métodos) - Las Áreas de negocio y de soporte administrativo que manejan operaciones críticas de las empresas que se soportan en Tecnología de Información

- El mejoramiento de la Seguridad en Informática - El mejoramiento de la Cultura de Control en las Organizaciones

Funcion de Auditoria en Sistemas

Previene la ocurrencia de situaciones perjudiciales para la organización (es un control preventivo)

Genera actitud positiva hacia los controles en los responsables del manejo de las operaciones de la empresa para que asuman la responsabilidad de:

BENEFICIOS DE LA AUDITORÍA DE SISTEMAS

Promueve la calidad, seguridad y eficiencia en los sistemas de información automatizados

- Actúa como médico de los sistemas de información. - Revisa suficiencia de los controles existentes - Señala las áreas de riesgos críticas que requieren ser controladas - Promueve le mejoramiento de la cultura de control en las organizaciones - Fomenta la conciencia de seguridad institucional - Fomenta la definición de un lenguaje común de seguridad

- Identificar a priori posibles riesgos innecesarios en las operaciones del negocio - Efectuar ajustes al sistema de control interno existente - Establecer que los controles sean intrínsecos a los procedimientos manuales y automatizados. (Autocontrol)

- Efecto Psicológico de tener auditores de sistemas : el hecho de tener auditoría de sistemas estimula mayor diligencia del personal de sistemas y de las áreas de operación - Formula recomendaciones constructivas : el auditor no se queda en el ámbito de la crítica, también propone alternativas de solución a los problemas que detecte. - Complementa el control que ejerce la Gerencia de Sistemas - Observa y detecta lo que el Gerente de Sistemas no puede ver - Ojos y oídos de la Gerencia - Actúa con independencia orgánica, mental y de criterio - Asesora a la Organización en asuntos de seguridad corporativa - Complementa el efecto de los controles ejercidos por los usuarios internos y externos de los sistemas: - Actúa como un control sobre los controles establecidos en la empresa - Tiene el poder de influir (es el poder detrás del trono) - Es parte integral del sistema de control interno de la empresa

Funcion de Auditoria en Sistemas

Gestión de la función de Auditoria de SI

La función de auditoría debe ser en una forma que asegure que las diversas tareas realizadas y logradas por el equipo de auditoría cumplirán los objetivos de la función de auditoría y asegurar a la alta dirección las contribuciones al valor agregado respecto a la eficiente gestión de TI y al logro de los objetivos del negocio.

Funcion de Auditoria en Sistemas

PLANEACION DE LA AUDITORÍA DE SI

• La planeación debe ser a corto plazo y a largo plazo
• Planeación Anual
• Asignaciones de Auditoria individual
• El análisis a problemas a corto largo plazo debe hacerse por lo menos una vez al año
• Cada tarea individual de la auditoria debe ser planeada adecuadamente.
• Considerar: Evaluación de riesgos, privacidad y requerimientos regulatorios para el enfoque general de la auditoria.
• Considerar fechas límites establecidas para la implementación/actualización de los sistemas, las tecnologías actuales y futuras, requerimientos de los dueños del proceso de negocios y de las limitaciones de recursos de SI.
• Al planear una auditoria, el auditor de SI debe tener un entendimiento general del ambiente a revisar.
• Practicas de negocio
• Funciones relativas al sujeto de la auditoria
• Tipos de sistemas de información y la tecnología que soportan la actividad.

Funcion de Auditoria en Sistemas

PASOS PARA LA PLANEACION DE LA AUDITORÍA DE SI

• Lograr un entendimiento de la misión, los objetivos, el propósito y los procesos del negocio, requerimientos de información y procesamiento.
• Identificar contenidos específicos tales como políticas, estándares y directrices requeridos, procedimientos y estructura de la organización.
• Evaluar el análisis de riesgo y todo análisis de impacto sobre la privacidad llevado a cabo por la organización.
• Realizar un análisis de riesgos.
• Llevar a cabo una revisión de control interno.
• Establecer el alcance y los objetivos de la auditoria.
• Desarrollar el enfoque o la estrategia de auditoría.
• Asignar recursos humanos a la auditoria

Considerar la logística del trabajo de la auditoria

Funcion de Auditoria en Sistemas

PEFECTO DE LEYES Y REGULACIONES SOBRE LA PLANIFICACION DE TI

• Toda organización debe cumplir con un numero de requerimientos externos relacionados con las practicas y los controles de SI
• Las regulaciones de negocio pueden impactar la forma en que los datos se procesan, se transmiten y se almacenan.
• Hay industrias que históricamente han tenido un marco regulatorio muy estricto (industria bancaria, por ejemplo).
• Existen dos áreas principales de interés
• Los requerimientos legales de la Auditoria de SI
• Los requerimientos legales aplicables al auditado y sus sistemas.
• Un ejemplo de prácticas solidas de control, es la Ley Sarbanes-Oxley (SOX) de 2002.
• Se espera que la organización tenga una función de cumplimiento legal en la que el personal de Control de SI pueda confiar
• La calidad de la información suministrada a los inversionistas se ha convertido en un asunto de interés primordial en todo el mundo.

Funcion de Auditoria en Sistemas

PASOS QUE SEGUIRIÁ UN AUDITOR DE CONTROLES DE SI PARA DETERMINAR UN NIVEL DE CUMPLIMIENTO DE UNA ORGANIZACIÓN CON LOS REQUERIMIENTOS EXTERNOS:

• Identificar los requerimientos gubernamentales u otros externos relevantes que se refieren a:
• Datos electrónicos, derechos de autor, comercio electrónico, firmas digitales, etc.
• Practicas y controles de sistemas computarizados
• La manera en que se almacenan las computadoras, los programas y los datos
• La organización o las actividades de los servicios de información.
• Documentar las leyes y regulaciones pertinentes
• Determinar si la dirección de la organización y la función de SI han tomado en consideración los requerimientos relevantes.
• Revisar los documentos internos de la función del SI que se ocupan del cumplimiento de las leyes aplicables a la industria.
• Determinar el cumplimiento con los procedimientos establecidos que se ocupan de estos requerimientos.

Funcion de Auditoria en Sistemas

Auditorías administrativas

CLASIFICACIÓN DE LAS AUDITORÍAS

Auditorías financieras

Auditorías Operativas

Auditorías integradas

•Auditorías de SI

•Auditorías especializadas

•Auditorías forenses

Estas están orientadas a evaluar aspectos relacionados con la eficiencia de la productividad operativa dentro de una organización.

El propósito de una auditoría financiera es determinar la exactitud de los estados financieros de una organización. Una auditoría financiera a menudo implicará pruebas sustantivas detalladas, aunque cada vez más, los auditores están poniendo más énfasis en un enfoque de auditoría basado en riesgo y control. Este tipo de auditoría se relaciona con la integridad y confiabilidad de la información financiera.

Una auditoría operativa está diseñada para evaluar la estructura del control interno en un proceso o área determinada. Las auditorías de SI sobre controles de las aplicaciones o de sistemas de seguridad lógica son algunos ejemplos de auditorías operativas.

Una auditoría integrada combina pasos de auditoría financiera y operativa. También se realiza para evaluar los objetivos generales dentro de una organización, relacionados con la información financiera y la salvaguarda de activos, la eficiencia y el cumplimiento. Una auditoría integrada puede ser ejecutada por auditores externos o internos e incluiría pruebas de cumplimiento a los controles internos y los pasos de auditoría sustantiva.

• Este proceso recolecta y evalúa la evidencia para determinar si los sistemas de información y los recursos relacionados protegen adecuadamente los activos, mantienen la integridad y disponibilidad de los datos y del sistema, proveen información relevante y confiable, logran de forma efectiva las metas organizacionales, usan eficientemente los recursos y tienen en efecto controles internos que proveen una certeza razonable de que los objetivos de negocio, operacionales y de control serán alcanzados y que los eventos no deseados serán evitados o detectados y corregidos de forma oportuna.

Dentro de la categoría de las auditorías de SI, existe un número de revisiones especializadas que examinan áreas tales como los servicios realizados por terceros.

La auditoría forense ha sido definida como una auditoría especializada en descubrir, revelar y hacer seguimiento a fraudes y crímenes.

Funcion de Auditoria en Sistemas

USO DE LOS SERVICIOS DE OTROS AUDITORES Y EXPERTOS

Cuando se propone que una parte o la totalidad de los servicios de auditoría de SI se externalice a otro proveedor externo de servicios o de auditoría, se debería considerar lo siguiente respecto al uso de servicios de otros auditores y expertos:

Basado en la naturaleza de la asignación, lo siguiente también puede requerir consideración especial:

• Restricciones sobre la externalización (outsourcing) de servicios de auditoría/seguridad dispuestas por las leyes y regulaciones • Estatuto de auditoría o estipulaciones contractuales • Impacto sobre los objetivos generales y específicos de auditoría de SI • Impacto sobre riesgo de auditoría de SI y responsabilidad profesional • Independencia y objetividad de otros auditores y expertos • Competencia profesional, calificaciones y experiencia • Alcance del trabajo que se propone que se externalice y método • Controles de supervisión y de gestión de auditoría • Método y modalidades de comunicación de los resultados del trabajo de auditoría • Cumplimiento de las estipulaciones legales y regulatorias • Cumplimiento de los estándares profesionales aplicables

. Verificaciones de testimonios/referencias y antecedentes • Acceso a sistemas, premisas y registros • Restricciones de confidencialidad para proteger la información relacionada con el cliente • El uso de CAATs y otras herramientas que deban ser usadas por el proveedor de servicios de auditoría externos • Estándares y metodologías para el desempeño de trabajo y documentación • Acuerdos de no divulgación

Funcion de Auditoria en Sistemas

Fin de la presentacion

Muchas Gracias!!!