Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

AUDITORIA DE SISTEMAS

La importancia que han adquirido los sistemas de TI en la información contable, por el volumen de operaciones procesadas en ellos, así como por la pérdida de huellas visibles y concentración de funciones contables que
by

Oscar Chivalan

on 19 October 2012

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of AUDITORIA DE SISTEMAS

AUDITORIA DE SISTEMAS
La verificación de controles en el procesamiento de la información, desarrollo de sistemas e instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia. Se debe señalar en forma detallada el alcance y dirección esperados y debe comprender un plan de trabajo para que, en caso de que existan cambios o condiciones inesperadas que ocasionen modificaciones al plan general, sean justificadas por escrito.

Se debe hacer una investigación preliminar solicitando y revisando la información de cada una de las áreas de la organización.
A Nivel Organizacion Total:


Objetivos a corto y largo plazo
Manual de la Organización
Antecedentes o historia del Organismo
Políticas generales
A nivel Área informática:

Objetivos a corto y largo plazo
Manual de organización del área que incluya puestos, niveles jerárquicos y tramos de mando.
Manual de políticas, reglamentos internos y lineamientos generales.
Número de personas y puestos en el área
Procedimientos administrativos en el área.
Presupuestos y costos del área. Sistemas

Manual de formularios.
Manual de procedimientos de los sistemas
Descripción genérica
Diagrama de entrada, archivo y salida.
Salidas impresas
Fecha de instalación de los sistemas
Proyectos de instalación de nuevos sistemas. Recursos materiales y técnicos

Solicitar documentos sobre los equipos, número (de los equipos por instalados, por instalar y programados), localización y características.
Fechas de instalación de los equipos y planes de instalación.
Contratos vigentes de compra, renta y servicio de mantenimiento.
Contrato de seguros
Convenios que se mantienen con otras instalaciones
Configuración de los equipos, capacidades actuales y máximas.
Planes de expansión
Ubicación general de los equipos
Políticas de operación
Políticas de uso o de equipos FASES DE LA
AUDITORIA Toma de Contacto
 
Esta fase tendrá mucho mas sentido si el equipo auditor es externo a la organización, ya que en ella se recaba toda la información preliminar. Estudio preliminar y determinación de alcances.

Es en definitiva una larga lista de elementos que permiten al auditor conocer la organización donde se ubicará para efectuar su trabajo. Planificación de la Operación

En esta etapa se deberán establecer:
Objetivo de la AI
Las áreas a cubrir
Personas de la Organización que colaboraran
Plan de trabajo:
tareas
calendario
resultados parciales
presupuesto
equipo auditor necesario Formulación del Plan de Mejoras

El plan de mejoras abarcará todas las Recomendaciones derivadas de las deficiencias detectadas en la realización de la auditoria. Para ello se tendrán en cuenta los recursos disponibles, o al menos potencialmente disponibles, por parte de la Empresa objeto de la Auditoria. SISTEMAS DE INFORMACION
EMPRESARIAL El sistema de información empresarial constituye el conjunto de recursos de la empresa que sirven como soporte para el proceso básico de captación, transformación y comunicación de la información. Funciones del SIE
-Recibe datos de fuentes internas o externas.

-Actúa sobre los datos para procesarlos.

-Distribuye información procesada para el usuario. Clasificación de los SIE
*SIE en función del nivel de dirección y de las actividades de ejecución
*Sistemas de información para el nivel operativo
*SIE en relación con las áreas funcionales de la empresa Sistema de procesamiento de transacciones
Sistemas de información gerencial
Sistemas de soporte a decisiones
Sistemas de información ejecutiva Desde un punto de vista empresarial

Existe una clasificación que se basa en la jerarquía de una organización y se llamó el modelo de la pirámide. Según la función a la que vayan destinados o el tipo de usuario final del mismo, los sistemas de información (SI) pueden clasificarse en: PIRÁMIDE
ORGANIZACIONAL Auditor de Sistemas Perfil de auditor de Sistemas:

Profesional en sistemas de información 
 
Conocimiento Gral. De auditoria
 
Conocimiento Gral. De gestión de empresas PLANIFICACION
AUDITORIA DE SISTEMAS El examen y evaluación de los procesos del Área de Procesamiento automático de Datos (PAD) y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas. OTTO VALDEZ
OSCAR CHIVALAN
KAREN MENDEZ
MARCO MONARES Proceso de Administracion de Riesgo SISTEMAS AUDITORIA DE
SISTEMAS OBJETIVOS
Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados por el PAD
Incrementar la satisfacción de los usuarios de los sistemas computarizados
Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.
Seguridad de personal, datos, hardware, software e instalaciones
Apoyo de función informática a las metas y objetivos de la organización
Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático Justificativos para efectuar una Auditoría de Sistemas

Desconocimiento en el nivel directivo de la situación informática de la empresa
Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal, equipos e información.
Descubrimiento de fraudes efectuados con el computador Justificativos para efectuar una Auditoría de Sistemas

Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados
Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción Controles

Conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, ordenes impartidas y principios admitidos. Clasificación general de los controles
Controles Preventivos: Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones .
Controles Detectivos:Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los mas importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos. Controles Correctivos
Ayudan a la investigación y corrección de las causas del riesgo. La corrección adecuada puede resultar díficil e ineficiente, siendo necesaria la implantación de controles detectivos sobre los controles correctivos, debido a que la corrección de errores es en si una actividad altamente propensa a errores. Principales Controles físicos y lógicos

AutenticidadExactitudTotalidad
Redundancia
Privacidad Protección deActivos

Efectividad

Eficiencia Controles automáticos o lógicos
Periodicidad de cambio de claves de acceso
Combinación de alfanuméricos en claves de acceso

Para redefinir claves es necesario considerar los tipos de claves que existen:

Individuales:Pertenecen a un solo usuario, por tanto es individual y personal. Esta clave permite al momento de efectuar las transacciones registrar a los responsables de cualquier cambio.

Confidenciales:De forma confidencial los usuarios deberán ser instruidos formalmente respecto al uso de las claves.

No significativas:Las claves no deben corresponder a números secuenciales ni a nombres o fechas. Controles Automáticos o lógicos

Verificación de datos de entrada
Conteo de registros
Totales de Control
Utilizar software de seguridad microcomputadores Controles de Preinstalación
Hacen referencia a procesos y actividades previas a la adquisición e instalación de un equipo de computación y obviamente a la automatización de los sistemas existentes.
Objetivos:Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa. Controles de organización y Planificación

Se refiere a la definición clara de funciones, linea de autoridad y responsabilidad de las diferentes unidades del área PAD, en labores tales como:
Diseñar un sistema
Elaborar los programas
Operar el sistema
Control de calidad Controles de Sistema en Desarrollo y Producción

Se debe justificar que los sistemas han sido la mejor opción para la empresa, bajo una relación costo-beneficio que proporcionen oportuna y efectiva información, que los sistemas se han desarrollado bajo un proceso planificado y se encuentren debidamente documentados. Controles de Operación

Abarcan todo el ambiente de la operación del equipo central de computación y dispositivos de almacenamiento, la administración de la cintoteca y la operación de terminales y equipos de comunicación por parte de los usuarios de sistemas on line.
Los controles tienen como fin:Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cómputo durante un proceso Para poder analizar y dimensionar la estructura por auditar se debe solicitar: Desarrollo de la Auditoria de Sistemas
Se efectuarán las entrevistas previstas en la fase de planificación.
se completarán todos los cuestionarios que presente el auditor
se observarán las situaciones deficientes, no solo las aparentes, sino las que hasta ahora no hayan sido detectadas, para lo que se podrá llegar a simular situaciones límites.
se observarán los procedimientos, tanto los informáticos como los de usuarios.
se ejecutarán por lo tanto, todas las previsiones efectuadas en la etapa anterior con el objeto de llegar a la siguiente etapa en condiciones de diagnosticar la situación encontrada Fase de Diagnóstico
Cuando ya se hayan efectuado todas los estudios y revisiones, se debe elaborar el diagnóstico. Como resultados de esta etapa han de quedar claramente definidos los puntos débiles, y por contrapunto los fuertes, los riesgos eventuales, y en primera instancia los posibles tipos de solución o mejoras de los problemas planteados. Presentación de las Conclusiones

Estas conclusiones se discutirán con las personas afectadas por lo que serán suficientemente argumentadas y probadas.

Es un momento delicado en el trato con las áreas, los auditores deben presentar estas conclusiones como un plan de mejoras en beneficio de todos, en lugar de una reprobación de los afectados, salvo en el caso de que esto sea estrictamente necesario. OBJETIVO OBJETIVO Auditor de sistemas

Conocimientos específicos:
 Desarrollo de sistemas
Gestión de TI
Análisis de riesgo de TI
Telecomunicaciones y redes
 Base de datos Código de Ética del Auditor

Se espera que los auditores apliquen y cumplan los siguientes principios: Integridad
La integridad de los auditores internos establece confianza y, consiguientemente, provee la base para confiar en su juicio:
Desempeñarán su trabajo con honestidad, diligencia y responsabilidad.
Respetarán las leyes y divulgarán lo que corresponda de acuerdo con la ley y la profesión.
No participarán a sabiendas de una actividad ilegal ó de actos que vayan en detrimento de la profesión de auditoría interna o de la organización.
Respetarán y contribuirán a los objetivos legítimos y éticos de la organización. Objetividad
Los auditores internos exhiben el más alto nivel de objetividad profesional al reunir, evaluar y comunicar información sobre la actividad o proceso a ser examinado.
Auditores internos hacen una evaluación equilibrada de todas las circunstancias relevantes y forman sus juicios sin dejarse influir indebidamente por sus propios intereses o por otras personas Cuestionario de evaluación de sistemas

¿Cuáles servicios se implementarán?
¿Cuándo se pondrán a disposición de los usuarios?
¿Qué características tendrán?
¿Cuántos recursos se requerirán?
¿Qué aplicaciones serán desarrolladas y cuando?
¿Qué tipo de archivos se utilizarán y cuando?
¿Qué bases de datos serán utilizarán y cuando?
¿Qué lenguajes se utilizarán y en que software?
¿Qué tecnología será utilizada y cuando se implementará?
¿Cuántos recursos se requerirán aproximadamente?
¿Cuál es aproximadamente el monto de la inversión en hardware y software?
¿Qué estudios van a ser realizados al respecto?
¿Qué metodología se utilizará para dichos estudios?
¿Quién administrará y realizará dichos estudios? Cuestionario de evaluación del diseño lógico del sistema

En el procedimiento:
¿Quién hace, cuando y como?
¿Qué formas se utilizan en el sistema?
¿Son necesarias, se usan, están duplicadas?
¿El número de copias es el adecuado?
¿Existen puntos de control o faltan?

En la gráfica de flujo de información:
¿Es fácil de usar?¿Es lógica?
¿Se encontraron lagunas?
¿Hay faltas de control?

En el diseño:
¿Cómo se usará la herramienta de diseño si existe?
¿Qué también se ajusta la herramienta al procedimiento? Cuestionario de control de diseño de sistemas y programación

¿Quiénes intervienen al diseñar un sistema?
Usuario.
Analista.
Programadores.
Operadores.
Gerente de departamento.
Auditores internos.
Asesores.
Otros.

2. ¿Los analistas son también programadores? SÍ ( ) NO ( )
3. ¿Qué lenguaje o lenguajes conocen los analistas?
4. ¿Cuántos analistas hay y qué experiencia tienen?
5. ¿Qué lenguaje conocen los programadores?
6. ¿Cómo se controla el trabajo de los analistas?
7. ¿Cómo se controla el trabajo de los programadores?
8. Indique qué pasos siguen los programadores en el desarrollo de un programa? Instructivos de operación
- Diagrama de flujo por cada programa
- Diagrama particular de entrada/salida
- Mensaje y su explicación
- Parámetros y su explicación
- Diseño de impresión de resultados
- Cifras de control
- Fórmulas de verificación- Observaciones
- Instrucciones en caso de error
- Calendario de proceso y resultados GOBIERNO TI Es Responsabilidad del consejo administrativo y de la dirección ejecutiva .

Consiste en el liderazgo, estructuras de organización y procesos

El gobierno TI integra e institucionaliza las buenas practicas para garantizar que la TI de la empresa sirva como base a los objetivos del negocio OBJETIVO COBIT

Objetivos de Control para Tecnologías de información y relacionadas (COBIT, en inglés: Control Objectives for Information and related Technology) es un conjunto de mejores practicas para el manejo de información creado por la Asociación para la Auditoría y Control de Sistemas de Información,(ISACA, en inglés: Information Systems Auditand and Control Association), y el Instituto de Administración de las Tecnologías de la Información (ITGI, en inglés: IT Governance Institute) en 1992. La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios de información, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la tecnología de información, como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación sobre los procesos involucrados en la organización Contro de Informacion
Full transcript