Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Nueva perspectiva de la auditoria en TI

No description
by

Josue Rodriguez

on 9 February 2015

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Nueva perspectiva de la auditoria en TI

Evaluación de la
Información

Planeación de
La Auditoría

Investigación Preliminar
Pruebas
Evaluación de Sistemas
Planeación de la auditoría
Se debe obtener la información de todos los asuntos relacionados con los objetivos y alcances del auditor. La información relevante apoya los hallazgos y recomendaciones de auditoría y es consistente con los objetivos de ésta. El proceso de recabar, analizar, interpretar y documentar la información deberá supervisarse para seguridad razonable de que la objetividad del auditor se mantuvo y que las metas de auditoría se cumplieron. Los documentos de trabajo de la auditoría deberán ser preparados por los auditores y revisados por la gerencia de auditoría.
Las Pruebas
AUDITORÍA
Social
ITLA
SEO
CMS
Nueva perspectiva de la auditoría en TI
Integrantes del Grupo:
Examen y evaluación de la información


Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características del área dentro del organismo a auditar, sus sistemas, organización y equipo; con ello podremos determinar el número y características del personal de auditoría, las herramientas necesarias, el tiempo y costo, así como definir los alcances de la auditoría para, en caso necesario, poder elaborar el contrato de servicios.
Determinar si los CI operan como fueron diseñados para operar. El auditor debe determinar si los controles declarados en realidad existen y si en realidad trabajan confiablemente.

En algunos casos el auditor puede decidir el no confiar en los controles internos dentro de las instalaciones informáticas, porque el usuario ejerce controles que compensan cualquier debilidad dentro de los CI de informática
Evaluación de los sistemas de acuerdo al riesgo
GRUPO
#3
Patricia Lopez 2013-1598
Karen Brito 2013-1595
Josué Rodríguez - 2013-1900
Lisbette Travieso -2013-1795
Lissa Hernández - 20131683
Fases de la Auditoría Informática
Fase I: Conocimientos del Sistema
Aspectos Legales y Políticas Internas: Sobre estos elementos está construido el sistema de control y por lo tanto constituyen el marco de referencia para su evaluación.
Características del Sistema Operativo: Organigrama del área que participa en el sistema, Informes de auditoría realizadas anteriormente.
Características de la aplicación de computadora: Manual técnico de la aplicación del sistema, Equipos utilizados en la aplicación de computadora
Fase 2: Análisis de las transacciones
Definición de las transacciones.
Establecer el flujo de los documentos
Identificar y codificar los recursos que participan en el sistemas Relación entre transacciones y recursos
Fase III: Análisis de riesgos y amenazas
Identificación de riesgos
Identificación de las amenazas
Relación entre recursos/amenazas/riesgos
Fase IV: Análisis de controles
Codificación de controles
Relación entre recursos/amenazas/riesgos Análisis de cobertura de los controles requeridos
Fase V: Evaluación de Controles
Objetivos de la evaluación
Plan de pruebas de los controles Pruebas de controles
Análisis de resultados de las pruebas
Fase VI: Informe de Auditoría
Informe detallado de recomendaciones
Evaluación de las respuestas
Informe resumen para la alta gerencia
Fase VII: Seguimiento de Recomendaciones
Informes del seguimiento
Evaluación de los controles implantados
Pruebas de Consentimiento
Pruebas de Controles del Usuario
En algunos casos el auditor puede decidir el no confiaren los controles internos dentro de las instalaciones informáticas, porque el usuario ejerce controles que compensan cualquier debilidad dentro de los controles de informática. Estas pruebas que compensan las deficiencias de los controles internos se pueden realizar mediante cuestionarios, entrevistas, visitas y evaluaciones hechas directamente con los usuarios.
Pruebas Sustantivas
El objetivo de la fase de pruebas sustantivas es obtener evidencia suficiente que permita al auditor emitir su juicio en las conclusiones acerca de cuándo pueden ocurrir pérdidas materiales durante el procesamiento de la información. El auditor externo expresará este juicio en forma de opinión sobre cuándo puede existir un proceso equivocado o falta de control de la información. Se pueden identificar ocho diferentes pruebas sustantivas:

Pruebas para identificar errores en el procesamiento o de falta de seguridad o confidencialidad.
Pruebas para asegurar la calidad de los datos.
Pruebas para identificar la inconsistencia de los datos.
Pruebas para comparar con los datos o contadores físicos
Confirmación de datos con fuentes externas. Pruebas para confirmar la adecuada comunicación
Pruebas para determinar falta de seguridad. Pruebas para determinar problemas de legalidad
Se debe poder obtener una evaluación económica del impacto de estos sucesos. Este valor se podrá utilizar para contrastar el costo de la protección de la información en análisis, versus el costo de volverla a producir (reproducir).

Se debe tener en cuenta la probabilidad que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial.
Se debe conocer qué se quiere proteger, dónde y cómo, asegurando que con los costos en los que se incurren se obtengan beneficios efectivos.

"¿Qué puede ir mal?"
"¿Con qué frecuencia puede ocurrir?"
"¿Cuáles serían sus consecuencias?"
EVALUACIÓN DE LOS SITEMAS DE ACUERDO AL RIESGO
Sistema de Acceso
Nivel de seguridad de acceso

Empleo de las claves de acceso
Evaluar la seguridad contemplando la relación costo, ya que a mayor tecnología de acceso a mayor costo.
CANTIDAD Y TIPO DE INFORMACIÓN

 La información esté en manos de algunas personas
 La alta dependencia en caso de pérdida de datos
Se debe observar este punto con mucho cuidado, ya que hablamos de las personas que están ligadas al sistema de información de forma directa y se deberá contemplar principalmente:
 Contemplar la cantidad de personas con acceso opera- tivo y administrativo.
 Conocer la capacitación del personal en situaciones de emergencia.
PERSONAL
 La continuidad del flujo eléctrico
 Efectos del flujo eléctrico sobre el software y hardware
 Evaluar las conexiones con los sistemas eléctrico, telefónico, cable, etc.
 Verificar si existen un diseño, especificación técnica, manual o algún tipo de
documentación sobre las instalaciones, entre otras
INSTALACIONES

El plan de seguridad debe asegurar la integridad y exactitud de los datos
Debe permitir identificar la información que es confidencial
Debe contemplar áreas de uso exclusivo
Debe proteger y conservar los activos de desastres provocados por tamaño del hombre y los actos abiertamente hostiles
PLAN DE SEGURIDAD IDEAL (O NORMATIVO)
Aumento de la productividad.
Aumento de la motivación del personal.
Compromiso con la misión de la compañía.
Mejora de las relaciones laborales.
Ayuda a formar equipos competentes.
Mejora de los climas laborales para los RR.HH
BENEFICIOS DE UN SISTEMA DE SEGURIDAD

Es necesario iniciar el trabajo de obtención de datos con un contacto preliminar que permita una primera idea global. El objeto de este primer contacto es percibir rápidamente las estructuras fundamentales y diferencias principales entre el organismo a auditar y otras organizaciones que se hayan investigado.

Durante la revisión de los controles de las aplicaciones, el auditor debe entender los controles ejercidos sobre el mayor tipo de transacciones que fluyen a través de los sistemas de aplicaciones más significativos dentro de la instalación de computadoras.
INVESTIGACIÓN PRELIMINAR
INVESTIGACIÓN PRELIMINAR

Objetivos a corto y largo plazos
Manual de la organización
Antecedentes o historia del organismo  Políticas generales

Objetivos a corto y largo plazos.
Manual de organización del área que incluye puestos, funciones, niveles jerárquicos y
tramos de mando.
Manual de políticas, reglamentos internos y lineamientos generales.
Número de personas y puestos en el área.
Procedimientos administrativos del área.
Presupuestos y costos del área.
A nivel organización total:
A nivel del área de informática:
Recursos materiales y técnicos:

Solicitar documentos sobre los equipos, así como el número de ellos, su localización y sus
características.
Estudios de viabilidad
Fechas de instalación de los equipos y planes de instalación.
Contratos vigentes de compra, renta y servicio de mantenimiento.
Contrato de seguros.
Covenios que se tienen con otras instalaciones.
Configuración de los equipos y capacidades actuales y máximas.
Configuración de equipos de comunicación y localización de los equipos.
Planes de expansión
Ubicación general de los equipos.
Políticas de operación
Políticas de uso de los equipos
Políticas de seguridad física y prevención contra contingencias internas y externas.
En el momento de hacer la planeación de la auditoría o bien en su realización debemos evaluar que pueden presentarse las siguientes situaciones:
Se solicita la información y se ve que: No se tiene y se necesita.
No se tiene y no se necesita.
Se tiene la información pero: No se usa
Es incompleta
No está actualizada
No es la adecuada
Se usa, está actualizada, es la adecuada y está completa.
El éxito del análisis crítico depende de las consideraciones siguientes:
Estudiar hechos y no opiniones. Investigar las causas, no los efectos.
Atender razones, no excusas.
No confiar en la memoria, preguntar constantemente.
Criticar objetivamente y a fondo todos los informes y los datos recabados.
Personal Participante
Personal Participante
Una de las partes más importantes en la planeación de la auditoría en informática es el personal que deberá participar.
Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervenga esté debidamente capacitado, que tenga un alto sentido de moralidad, al cual se le exija la optimización de recursos y se le retribuya o compense justamente por su trabajo.

PERSONAL PARTICIPANTE
Para complementar el grupo, como colaboradores directos en la realización de la auditoría, se deben tener personas con las siguientes características:

 Técnico en informática
 Conocimientos de administración, contaduría y finanzas.
 Experiencia en el área de informática.
 Experiencia en operación y análisis de sistemas.
 Conocimientos y experiencia en psicología industrial.
 Conocimiento de los sistemas operativos, bases de datos, redes y comunicaciones, dependiendo del área y características a auditar.
 Conocimientos de los sistemas más importantes.
El control de avance de la auditoría lo
podemos llevar mediante el formato
de la siguiente figura, el cual nos permite
cumplir con los procedimientos de control
y asegurarnos que el trabajo se está
llevando a cabo de acuerdo con el
programa de auditoría, con los recursos
estimados y en el tiempo señalado en la
planeación.

El hecho de contar con la información
del avance permite que el trabajo
elaborado pueda ser revisado por cualquiera de nuestros asistentes.

Medios de Control
Revisión Preliminar
La revisión preliminar significa la recolección de evidencias por medio de entrevistas con el personal de la instalación
El primero paso en el desarrollo de la auditoria, después de la planeación, es la revisión preliminar del área de informática. el objetivo de la revisión preliminar es el de obtener la información necesaria para que el auditor pueda tomar la decisión de cómo proceder en la auditoria.
La revisión preliminar elaborada por un audito interno difiere de la realizada por un auditor externo en tres aspectos. en primero lugar, el auditor interno normalmente requiere de menos remisiones y trabajos, especialmente en la parte gerencia y de organización, ya que él es parte de la organización y está familiarizado con la misma.
Revisión Detallada
El auditor debe decidir si se debe continuar elaborando pruebas de consentimiento, con la esperanza de obtener mayor confianza por medio del sistema de control interno, o proceder directamente a la revisión con los usuarios (pruebas compensatorias), o a las pruebas sustantivas. en la fase de evaluación detallada es importante para el auditor identificar las causas de las pérdidas y los efectos causados por estas. al terminar la revisión detallada el auditor debe evaluar en que momento los controles establecidos reducen las perdidas esperadas a un nivel aceptable.
INVESTIGACIÓN PRELIMINAR
Sistemas

 Descripción general de los sistemas instalados y de los que estén por instalarse, que contengan volúmenes de información.
 Manual de formas.
 Manual de procedimientos de los sistemas.
 Descripción genérica.
 Diagramas de entrada, archivos, salida.
 Fecha de instalación de los sistemas.
 Proyecto de instalación de nuevos sistemas.
 Bases de datos, propietarios de la información y usuarios de la misma.
 Procedimientos y políticas en casos de desastre.
 Sistemas propios, rentados y adquiridos.
INVESTIGACIÓN PRELIMINAR
PERSONAL PARTICIPANTE
FORMATO DE PLANEACIÓN DE LA AUDITORIA
Full transcript