procesos en la auditoria de sistemas
TRANSCRIPT
7/23/2019 Procesos en La Auditoria de Sistemas
http://slidepdf.com/reader/full/procesos-en-la-auditoria-de-sistemas 1/17
AUDITORIA DE SISTEMAS
23/05/2015 1
7/23/2019 Procesos en La Auditoria de Sistemas
http://slidepdf.com/reader/full/procesos-en-la-auditoria-de-sistemas 2/17
AUDITORIA DE SISTEMAS
La Auditoría de Sistemas esun mecanismo de control.
- Recoger, agrupar y evaluarevidencias.
Que permitan determinar si el área
de sistema salvaguarda la:
Control
Confidencialidad, integridad y disponibilidad de las TICs.Velando por la no transgresión de la normatividad vigente
23/05/2015 2
7/23/2019 Procesos en La Auditoria de Sistemas
http://slidepdf.com/reader/full/procesos-en-la-auditoria-de-sistemas 3/17
La auditoria de Sistemas busca el
aseguramiento de la calidad en la Gestión delas Tecnologías de Información y Comunicación.- Hardware
- Software- Redes- RR. HH.
Que coopere al logro de las metas y objetivosde la organización.
PROPOSITO
3
7/23/2019 Procesos en La Auditoria de Sistemas
http://slidepdf.com/reader/full/procesos-en-la-auditoria-de-sistemas 4/17
LOS AUDITORES
Los auditores deben conocer los enfoques y
las prácticas de TIC’s claves a fin de poder
evaluar la calidad de la gerencia e identificar
los problemas gerenciales existentes.
Los auditores deben evaluar las
organizaciones para conocer si tienen un
enfoque estructurado para planificar y
gerenciar los recursos de TIC’s.
23/05/2015 4
7/23/2019 Procesos en La Auditoria de Sistemas
http://slidepdf.com/reader/full/procesos-en-la-auditoria-de-sistemas 5/17
ENFOQUES DE LA AUDITORIA
Enfoque Gubernamental(Público)
Enfoque MejoramientoContinuo (Privado)
• Exámenes de Control Interno.• Determinación de responsabilidades• Sanciones• Aplicación de recomendaciones(Poco)• Cobit (Referencial)• PCM – ONGEI (Rector)• ISACA (REFERECIAL)• ENC – Contraloría de la República.
• Intervenciones Rápidas• Determinación de debilidades• Aseguramiento de la calidad• Aplicación de recomendaciones(mucho)• Cobit (Rector)• PCM – ONGEI (Lo necesario)• ISACA (POR LO GENERAL)Information Systems Audit And Control Association
23/05/2015 5
7/23/2019 Procesos en La Auditoria de Sistemas
http://slidepdf.com/reader/full/procesos-en-la-auditoria-de-sistemas 6/17
BASE LEGAL•Constitución Política del Estado.• Ley N° 27785 Ley Orgánica del Sistema Nacional de Control.•
Resolución de Contraloría Nº 162-95-CG Normas de Auditoria Gubernamental y su modificatoria Resoluciónde Contraloría N° 259-2000-CG Normas de Auditoria Gubernamental.•Decreto Legislativo No 728 Ley de Productividad y Competitividad Laboral, DS No 003-97-TR.•Resolución de Directorio Nº 020-2005-EPSASA/D que aprueba el Reglamento de Organización y funciones.•Resolución de Directorio Nº 022-2005-EPSASA/D que aprueba el manual de organización y funciones.•Resolución de Directorio Nº 013-99-EPS Ayacucho S.A, 025-2003-EPSASA/D que aprueba el ReglamentoInterno de Trabajo.•Decreto Supremo N° 013-2003-PCM, publicada el 13/02/2005 y su modificatoria D.S. N° 037-2005-PCM del11/05/2005. “Medidas para garantizar la legalidad de la adquisición de programas de software en entidades
y dependencias del Sector Público.•Decreto Supremo N° 024-2006-PCM “Reglamento de la ley N° 28612 – ley que norma el uso, adquisición yadecuación del software en la Administración Pública”.
•Resolución Ministerial N° 179-2004-PCM publicada el 14/06/2004. Aprueban uso obligatorio de la NormaTécnica Peruana NTP-ISO/IEC 12207/2004: Tecnología de la información. Procesos del ciclo de vida delsoftware. 1° Edición en entidades del Sistema Nacional de Informática”, y su modificatoria a la Resolución
Ministerial 396-2005-PCM publicada el 08/11/2005.•Resolución Jefatural N° 386-2002-INEI publicada el 16/01/2003 Aprueban directiva Normas Técnicas para elAlmacenamiento y Respaldo de la Información procesada por las Entidades de la Administración Pública.•Resolución Jefatural N° 053-2003-INEI publicada el 23/02/2003 Aprueban Directiva sobre Norma Técnicapara la implementación del Registro de Recursos Informáticos en las instituciones de la AdministraciónPública.• OTROS NO MENOS IMPORTANTES . (www.ongei.gob.pe)
23/05/2015 6
7/23/2019 Procesos en La Auditoria de Sistemas
http://slidepdf.com/reader/full/procesos-en-la-auditoria-de-sistemas 7/17
COBIT 4.1
Tiene como fin:Suministrar a la gerencia normasgeneralmente aceptadas basadasen buenas prácticas para el controlde la Información y la Tecnologíade Información.
Proveer a los usuarios de unabase sólida para administrar la TI yobtener garantías.
Brindar a los auditores de excelentes criterios para las tareas deevaluación y auditoría.
Respaldar los esfuerzos conjuntos de la gerencia, losresponsables de procesos de negocio y los auditores a fin depropiciar el mejor gobierno de TI.
23/05/2015 7
7/23/2019 Procesos en La Auditoria de Sistemas
http://slidepdf.com/reader/full/procesos-en-la-auditoria-de-sistemas 8/17
NORMAS INTERNACIONALES YNACIONALES DE SEGURIDAD
SP800-14+27
SAS 94
CMM - Capability
ISO 15408 - Common Criteria
COBIT 4.1
ISO 17799
1. Directiva para el uso, registro y consulta del Sistema Electrónico del Registro Nacional de Sanciones de Destitución yDespido – RNSDD (RM Nª 017-2007-PCM del 18.Ene.2007).
2. “Formulación y Evaluación del Plan Operativo Informático de las Entidades de la Administración Pública para el Año 2008
(RM Nª 430-200-PCM del 28.Dic.2007).3. Uso obligatorio de la Norma Técnica Peruana “NTP-ISO/IEC 17799:2007 EDI. Tecnología de la Información. Código de
buenas prácticas para la gestión de la seguridad de la Información. 2da. Edición” en todas las entidades integrantes del
Sistema Nacional de Informática (RM Nª 246-2007-PCM del 22.Ago.2007).4. Disposiciones referidas a licenciamiento de software en entidades públicas (DS Nª 002-2007-PCM del 11.Ene.2007).5. Ley Nª 28612: Ley que norma el uso, adquisición y adecuación del software en la administración pública (18.Oct.2005).6. Uso obligatorio de la Norma Técnica Peruana “NTP-ISO/IEC 12207:2004 Tecnología de la Información. Procesos del Ciclo de
Vida de Software. 1ª Edición” en todas las entidades integrantes del Sistema Nacional de Informática (RM Nª 179-2004-PCM del 14.Jun.2004).7. Ley Nª 28530: Ley de Promoción de Acceso a Internet para personas con discapacidad y adecuación del espacio físico en
cabinas públicas de internet (02.Jun.2005).8. Disposiciones relativas a la administración del “Portal del Estado Peruano” (DS Nª 059-2004-PCM del 11.Ago.2004).9. Guía Técnica sobre Evaluación de Software para la Administración Pública (RM Nª 139-2004-PCM del 28.May.2004).10. Guía para la Administración Eficiente del Software Legal en la Administración Pública (RM Nª 073-2004-PCM del
17.Mar.2004).
Internacionales
Nacionales
23/05/2015 8
7/23/2019 Procesos en La Auditoria de Sistemas
http://slidepdf.com/reader/full/procesos-en-la-auditoria-de-sistemas 9/17
(Leyes de Murphy )
1. Si algo puede fallar, fallará
2. Si hay la posibilidad de que algunas cosas fallen, la que causara másdaño será la primera.
3. Si algo no puede fallar, lo hará a pesar de todo.4. Si se aprecia que existen cuatro posibles maneras de que algo puedafallar, y se soslayan, en seguida sedesarrollará una quinta para la que no se esta preparado.
5. Por si mismas, las cosas tienden a ir de mal en peor.6. Si algo parece que va bien, es obvio que se ha pasado algo por alto.
7. La Naturaleza siempre esta del lado del fallo oculto.
LEYES QUE GOBIERNAN LA INFORMÁTICA
23/05/2015 9
7/23/2019 Procesos en La Auditoria de Sistemas
http://slidepdf.com/reader/full/procesos-en-la-auditoria-de-sistemas 10/17
PROCESOS DE AUDITORIA
PLANEACION EJECUCION INFORME SEGUIMIENTO
23/05/2015 10
7/23/2019 Procesos en La Auditoria de Sistemas
http://slidepdf.com/reader/full/procesos-en-la-auditoria-de-sistemas 11/17
a) Conocimiento General de la Entidadb) Evaluación del Sistema de Control Interno de laGerencia de Sistemas de Información
c) Programa de Auditoría
Ejecución de la Auditoríaa. Evaluación de Organización en el Área de Sistemas.b. Evaluación de la Seguridad Física y Planes de Contingenciade la Oficina de Sistemas.c. Evaluación de Bases de Datos, Archivos y Datos.d. Evaluación de Operaciones (Centro de Procesamiento yÁrea de atención a usuarios).e. Evaluación de Desarrollo y Mantenimiento de Sistemas.f. Evaluación de Redes de Comunicaciones.
PLANEACION
23/05/2015 11
7/23/2019 Procesos en La Auditoria de Sistemas
http://slidepdf.com/reader/full/procesos-en-la-auditoria-de-sistemas 12/17
• Determinación de responsabilidades.
• Conclusiones.
• Recomendaciones.
•Sugerencias.
Informe de Auditoría
1) La responsabilidad puede surgir de distintas fuentes:
- CIVIL(por daños y perjuicios)
- PENAL
(por comisión de delitos)- ADMINISTRATIVA (por incumplimiento de normas administrativas)
23/05/2015 12
7/23/2019 Procesos en La Auditoria de Sistemas
http://slidepdf.com/reader/full/procesos-en-la-auditoria-de-sistemas 13/17
PASOS DE UNA AUDITORÍA
CUALIDADES
ATRIBUTOS
Normas.
Buenas PracticasEstándares
CUANTIFICACION
MEDICIÓN CONTRASTACIÓN
Determinación dediscrepancia
Determinación eimplementación de
estrategias para que:X 0
1 2 3 1 2 3
1
2
3
1
2
3
4
CSF (Critical Success Factors - Factores Críticos de Éxito).KPI (Key Performance Indicators – Indicadores Clave de Desempeño).KGI (Key Goal Indicators – Indicadores Clave de Logro).
23/05/2015 13
7/23/2019 Procesos en La Auditoria de Sistemas
http://slidepdf.com/reader/full/procesos-en-la-auditoria-de-sistemas 14/17
ADMINISTRACION DE RIESGOS
Una metodología válida para la administración de los riesgosresponde a los siguientes conceptos:
ADMINISTRACIÓN DE RIESGOS
MODELAMIENTO DE LOS RIESGOS: INSTITUCIONAL UNIDAD (es) DE NEGOCIO (s)
DEFINICIÓN DEL NIVEL DEEXPOSICIÓN AL RIESGO
ANÁLISIS DE LOS RIESGOS PORUNIDAD DE NEGOCIO
EVALUACIÓN DE LOSPROCEDIMIENTOS DE
CONTROL IMPERANTES.
PROPOSICIÓN DE MEJORESPRÁCTICAS DE CONTROL Y
SU ADMINISTRACIÓN
ANÁLISIS DE LOS RIESGOS A NIVELDE LA ORGANIZACIÓN.
MONITOREO DE LASMEJORES PRÁCTICAS YRETROALIMENTACIÓN
COMPRENDEROBJETIVOS
INSTITUCIONALES
23/05/2015 14
7/23/2019 Procesos en La Auditoria de Sistemas
http://slidepdf.com/reader/full/procesos-en-la-auditoria-de-sistemas 15/17
RIESGO
Cualquier acontecimiento que podría evitar que unaorganización cumpla sus objetivos institucionales previstos.
TIPOS DE RIESGOESTRATÉGICO.
TECNOLÓGICO.GENTE Y ORGANIZACIÓN.PROCESOS.
ECUACIÓN UNIVERSAL DEL RIESGO
23/05/2015 15
7/23/2019 Procesos en La Auditoria de Sistemas
http://slidepdf.com/reader/full/procesos-en-la-auditoria-de-sistemas 16/17
PROCESO DE LA AUDITORIA
USED A T: A UTHOR: DA TE:
REV:PROJECT: GESTION DE LA AUDITORIA
GUBERNAMENTAL
Friday 13 d e July de 2001
Wednesday 18 d e July de 20 01
NOTES: 1 2 3 4 5 6 7 8 9 10
WORKING
DRAFT
RECOMMENDED
PUBLICATION
READER DATE CONTEXT:
A-0
NODE: TITLE: NUMBER:GESTION DE LA AUDITORIA GUBERNAMENTAL A0
1
PLANIFICAR AUDIT ORIAS
2
EJECUTAR AUDIT ORIAS
3
REALIZAR
SEGUIMIENTODE MEDIDASCORRECTIVAS
4
EVALUAR LAEJECUCION DEL
PLAN DE AUDIT ORIAS
Informes de Auditoría Anteriores
Pedidos Especial esy Denuncias
Documento deEvaluación del Plan
Planes y Normativa Legal Aplic able a la Entidad Auditada
Organo Auditor
Información del Entorno
Plan de Auditoríadel Organo Auditor
Normativa General deControl
Informe de Auditoría
Avance de Auditorías
Informe de Seguimiento
de Med idas Correcti vas
Encargo de Ejecuciónde Auditoría
Disposiciones para implantac iónde recomendaciones
23/05/2015 16
7/23/2019 Procesos en La Auditoria de Sistemas
http://slidepdf.com/reader/full/procesos-en-la-auditoria-de-sistemas 17/17
PARTES DE UN HALLAZGO
• SUMILLA
• CONDICIÓN
• CRITERIO
• CAUSA
• EFECTO
• SUMILLA: No se estableció una metodología de
ciclo de vida para la elaboración del Sistema deInformación.
• CONDICIÓN: El Sistema de Información noespecifica ni se acoge a una metodología olineamiento base de la Ingeniería de Software, o
métrica alguna.• CRITERIO: Norma Técnica Peruana NTP-
ISO/12207:2004
Tecnología de la Información - Procesos de Ciclo deVida del Software “Métrica 3”
• CAUSA: Desconocimiento de la existencia de la
normatividad vigente por parte del Jefe de Proyecto.
• EFECTO: Incumple con la NTP-ISO/12207:2004.
23/05/2015 17