proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de...
TRANSCRIPT
![Page 2: Proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de identificar y evaluar niveles de riesgos y presentar](https://reader036.vdocuments.site/reader036/viewer/2022062519/5665b45e1a28abb57c90f13b/html5/thumbnails/2.jpg)
AUDITORIA
Proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de identificar y evaluar niveles de riesgos y presentar recomendaciones para un mejoramiento continuo.
La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si los controles establecidos, permiten salvaguardar los recursos informáticos y garantizan la integridad, disponibilidad y confidencialidad de los datos e información de la empresa, si lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.
La evidencia de auditoría es la información que obtiene el auditor para extraer conclusiones en las cuales sustenta su opinión
![Page 3: Proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de identificar y evaluar niveles de riesgos y presentar](https://reader036.vdocuments.site/reader036/viewer/2022062519/5665b45e1a28abb57c90f13b/html5/thumbnails/3.jpg)
AUDITORIA INFORMÁTICA
Proceso
Evaluar
Verificar
RecursosInformáticos
Normas
PolíticasProcedimient
osControles
Para
De
DelDe
De
Estandares
![Page 4: Proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de identificar y evaluar niveles de riesgos y presentar](https://reader036.vdocuments.site/reader036/viewer/2022062519/5665b45e1a28abb57c90f13b/html5/thumbnails/4.jpg)
OBJETIVOS AUDITORIA INFORMATICA
Asegurar: La integridad de los datos e información, La confidencialidad de los datos e
información y La Disponibilidad de los datos e
información. Evaluar que los controles garanticen la
seguridad del personal, los datos, el hardware, el software y las instalaciones.
Prever la existencias de riesgos en el uso de Tecnologías de información.
Evaluar la aplicación de las normas, las políticas, y los procedimientos informáticos.
![Page 5: Proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de identificar y evaluar niveles de riesgos y presentar](https://reader036.vdocuments.site/reader036/viewer/2022062519/5665b45e1a28abb57c90f13b/html5/thumbnails/5.jpg)
IMPORTANCIA DE LA AUDITORIA INFORMATICA
AuditoriaInformática
Mide Desempeñode
Los Sistemas de InformaciónControles normas, políticas
Mejoramiento Continuo
Integridad
Confidencialidad
Disponibilidad
Para garantizar
De la Gestión Informática
De los recursos Informáticos
![Page 6: Proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de identificar y evaluar niveles de riesgos y presentar](https://reader036.vdocuments.site/reader036/viewer/2022062519/5665b45e1a28abb57c90f13b/html5/thumbnails/6.jpg)
OBJETIVOS ESPECÍFICOS
• Comprobar la seguridad y confiabilidad de la información, administrativa, operativa, financiera, legal etc., desarrollada dentro de la Empresa.• Evaluar las competencias del personal del CPD.• Participar en el desarrollo de los sistemas de información o en su compra, a fin de verificar la incorporación o diseño de los controles necesarios para garantizar su operatividad en forma confiable ,eficiente y segura.
![Page 7: Proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de identificar y evaluar niveles de riesgos y presentar](https://reader036.vdocuments.site/reader036/viewer/2022062519/5665b45e1a28abb57c90f13b/html5/thumbnails/7.jpg)
ALCANCE DE LA AUDITORÍA INFORMÁTICA
El alcance de la auditoría expresa el entorno y los límites en que se ejecutara la misma.
Debe especificar que áreas, normas, procesos o politicas especificas se van a auditar.
![Page 8: Proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de identificar y evaluar niveles de riesgos y presentar](https://reader036.vdocuments.site/reader036/viewer/2022062519/5665b45e1a28abb57c90f13b/html5/thumbnails/8.jpg)
CAUSAS PARA INICIAR UNA A.I. Baja Productividad de los empleados que
trabajan con sistemas de información. Informes que se entregan a destiempo o
con errores. Perdida o Ausencia de datos. Fallas constantes de los sistemas de
nformación. Aumento considerable e injustificado del
presupuesto del Dpto. de Informática. Descubrimiento de fraudes efectuados
con el computador.
![Page 9: Proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de identificar y evaluar niveles de riesgos y presentar](https://reader036.vdocuments.site/reader036/viewer/2022062519/5665b45e1a28abb57c90f13b/html5/thumbnails/9.jpg)
CAUSAS PARA INICIAR UNA A.I.
No definición de políticas, objetivos, normas, metodologías computacionales.
Descontento general de los usuarios por fallas en los sistemas de información.
Verificación de los controles de seguridad establecidos por la implementación de nuevas tecnologías.
![Page 10: Proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de identificar y evaluar niveles de riesgos y presentar](https://reader036.vdocuments.site/reader036/viewer/2022062519/5665b45e1a28abb57c90f13b/html5/thumbnails/10.jpg)
ETAPAS PARA REALIZAR UN TRABAJO DE AUDITORIA
Planeación Ejecución
Información.
![Page 11: Proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de identificar y evaluar niveles de riesgos y presentar](https://reader036.vdocuments.site/reader036/viewer/2022062519/5665b45e1a28abb57c90f13b/html5/thumbnails/11.jpg)
ETAPAS PARA REALIZAR UN TRABAJO DE AUDITORIA
Planeación Identificar la infraestructura informática del (centro de computo o CPD).Conocer las políticas, normas, procedimientos y estándares de esta áreaLa Planeación debe definir:objetivos.metodología.personal participante, duración, horario, AlcanceElaboración de cronogramasPlaneación de la muestra.
![Page 12: Proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de identificar y evaluar niveles de riesgos y presentar](https://reader036.vdocuments.site/reader036/viewer/2022062519/5665b45e1a28abb57c90f13b/html5/thumbnails/12.jpg)
ETAPAS PARA REALIZAR UN TRABAJO DE AUDITORIA
EJECUCION Revisión y evaluación de controles,
normas, políticas de seguridad, diagramas, procesos históricos (backups), documentación.
Examen detallado de áreas criticas. Análisis de Vulnerabilidad, Amenazas y
Riesgosevaluación de Riesgos y su impacto.
Recolección de evidencias y hallazgos
![Page 13: Proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de identificar y evaluar niveles de riesgos y presentar](https://reader036.vdocuments.site/reader036/viewer/2022062519/5665b45e1a28abb57c90f13b/html5/thumbnails/13.jpg)
Hallazgos de auditoríaResultados de la evaluación de la evidencia de auditoría recopilada durante el proceso de ejecución de auditoría. NOTA Los hallazgos de la auditoría
pueden indicar tanto conformidad o no conformidad y pueden generar oportunidades de mejora.
![Page 14: Proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de identificar y evaluar niveles de riesgos y presentar](https://reader036.vdocuments.site/reader036/viewer/2022062519/5665b45e1a28abb57c90f13b/html5/thumbnails/14.jpg)
ETAPAS PARA REALIZAR UN TRABAJO DE AUDITORIA
INFORMACION Redacción del Informe final
(comunicación de resultados:Relación de evidencias y hallazgos.Conformidades y no conformidades encontradas.Causas.Sugerencias.Solicitud de planes de acción.
![Page 15: Proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de identificar y evaluar niveles de riesgos y presentar](https://reader036.vdocuments.site/reader036/viewer/2022062519/5665b45e1a28abb57c90f13b/html5/thumbnails/15.jpg)
TECNICAS DE AUDITORIA
![Page 16: Proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de identificar y evaluar niveles de riesgos y presentar](https://reader036.vdocuments.site/reader036/viewer/2022062519/5665b45e1a28abb57c90f13b/html5/thumbnails/16.jpg)
TECNICAS DE AUDITORIA
Son los métodos prácticos de investigación y prueba que utiliza el auditor para obtener la evidencia necesaria que fundamente sus opiniones y conclusiones.Su empleo se basa en su criterio o juicio, según las circunstancias.
![Page 17: Proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de identificar y evaluar niveles de riesgos y presentar](https://reader036.vdocuments.site/reader036/viewer/2022062519/5665b45e1a28abb57c90f13b/html5/thumbnails/17.jpg)
CUESTIONARIOS
Son formatos previamente diseñados por el Auditor y que se entregan al auditado, con el fin de que lo diligencie. Los datos contestados se confrontan con otros medios.
![Page 18: Proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de identificar y evaluar niveles de riesgos y presentar](https://reader036.vdocuments.site/reader036/viewer/2022062519/5665b45e1a28abb57c90f13b/html5/thumbnails/18.jpg)
LA ENTREVISTA
La entrevista es una de las actividades personales más importante del auditor; en ellas, recoge más información, y mejor matizada, que la proporcionada por medios como las respuestas escritas a cuestionarios.La entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio.
![Page 19: Proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de identificar y evaluar niveles de riesgos y presentar](https://reader036.vdocuments.site/reader036/viewer/2022062519/5665b45e1a28abb57c90f13b/html5/thumbnails/19.jpg)
EL CHECKLIST
Es un formato con un listado de preguntas, sobre un tema especifico y el cual debe contestar el auditado, con respuestas cerradas (si, no) o con calificaciones.
![Page 20: Proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de identificar y evaluar niveles de riesgos y presentar](https://reader036.vdocuments.site/reader036/viewer/2022062519/5665b45e1a28abb57c90f13b/html5/thumbnails/20.jpg)
TIPOS CHECKLIST
Los cuestionarios o Checklists responden fundamentalmente a dos tipos de "filosofía" de calificación o evaluación:Checklist de rango Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta más negativa y el 5 el valor más positivo)
![Page 21: Proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de identificar y evaluar niveles de riesgos y presentar](https://reader036.vdocuments.site/reader036/viewer/2022062519/5665b45e1a28abb57c90f13b/html5/thumbnails/21.jpg)
TIPOS CHECKLIST
Las respuestas tienen los siguientes significados:1 : Muy deficiente.2 : Deficiente.3 : Mejorable.4 : Aceptable.5 : Correcto.
![Page 22: Proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de identificar y evaluar niveles de riesgos y presentar](https://reader036.vdocuments.site/reader036/viewer/2022062519/5665b45e1a28abb57c90f13b/html5/thumbnails/22.jpg)
TIPOS CHECKLIST
Checklist Binaria Es el constituido por preguntas con respuesta única y excluyente: Si o No. Aritméticamente, equivalen a 1(uno) o 0(cero), respectivamente
![Page 23: Proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de identificar y evaluar niveles de riesgos y presentar](https://reader036.vdocuments.site/reader036/viewer/2022062519/5665b45e1a28abb57c90f13b/html5/thumbnails/23.jpg)
TECNICAS DE AUDITORIA
Trazas y/o Huellas:El auditor informático debe verificar que los programas, realicen exactamente las funciones previstas, y no otras. Para ello se apoya en Software un especial, que permite rastrear los caminos que siguen los datos a través del programa, verificando entre otras las validaciones previstas.
![Page 24: Proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de identificar y evaluar niveles de riesgos y presentar](https://reader036.vdocuments.site/reader036/viewer/2022062519/5665b45e1a28abb57c90f13b/html5/thumbnails/24.jpg)
TECNICAS DE AUDITORIA
Log:El log es un historial que informa todo lo que hizo la Aplicación al ingresar, modificar, y borrar datos, (quien cuando, donde), todo queda grabado en el log como una transacción.El log permite analizar cronológicamente que fue lo que sucedió con los datos.