Universidad Nacional de Trujillo Facultad de Ingeniera - Ingeniera de Sistemas Auditora de Sistemas

Universidad Nacional de Trujillo

Auditora de Sistemas

Universidad Nacional de Trujillo

Auditora de Sistemas
Agenda
Introduccin

Conceptos, Delito Informtico, Control Interno y Auditora

Jaime E. Daz Snchez Ing. Sistemas C.I.P. 73304 jdiazunt@yahoo.com

Riesgo Amenazas Vulnerabilidades Impacto tecnolgico

Delitos Informticos
El Control Interno y la Auditoria de Sistemas. Control Informtico
2

Universidad Nacional de Trujillo

Auditora de Sistemas Riesgo Informtico
La Organizacin Internacional de Normalizacin (ISO) define riesgo tecnolgico (Guas para la Gestin de la Seguridad) como:

Universidad Nacional de Trujillo

Auditora de Sistemas Amenazas
Acciones que pueden ocasionar consecuencias negativas en la plataforma informtica disponible: fallas, ingresos no autorizados a las reas de computo, virus, uso

La probabilidad de que una amenaza se materialice de

acuerdo al nivel de vulnerabilidad existente de un activo, generando un impacto especfico, el cual puede estar representado por prdidas y daos.

inadecuado
ambientales

de

activos

informticos,
inundaciones),

desastres
incendios,

(terremotos,

accesos ilegales a los sistemas, fallas elctricas. Pueden ser de tipo lgico o fsico.

Universidad Nacional de Trujillo

Auditora de Sistemas Vulnerabilidad
Condiciones inherentes a los activos o presentes en su entorno que facilitan que las amenazas se materialicen. Se manifiestan como debilidades o carencias:
Falta de conocimiento del usuario, Tecnologa inadecuada, Fallas en la transmisin, Inexistencia de antivirus, Otros.
5

Universidad Nacional de Trujillo

Auditora de Sistemas Impacto
Consecuencias de la ocurrencia de las distintas

amenazas: financieras o no financieras. Perdida de dinero, deterioro de la imagen de la empresa, reduccin de eficiencia, fallas operativas a corto o largo plazo, prdida de vidas humanas, etc.

Auditora de Sistemas - Pgina 1

Universidad Nacional de Trujillo Facultad de Ingeniera - Ingeniera de Sistemas Auditora de Sistemas

Universidad Nacional de Trujillo

Auditora de Sistemas
Control
Cualquier actividad o accin realizada manual y/o automticamente para prevenir, corregir errores o

Universidad Nacional de Trujillo

Auditora de Sistemas
Control
COSO define: las polticas, procedimientos, prcticas y estructuras organizacionales diseadas para garantizar razonablemente que los objetivos del negocio sern alcanzados y que eventos no deseables sern prevenidos o detectados y corregidos.

irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos.

COSO: Committee of Sponsoring Organizations of the Treadway Commission (Comit de Organizaciones Patrocinadoras de la Comisin Treadway)

Universidad Nacional de Trujillo

Auditora de Sistemas reas de Aplicacin de los Controles
Gestin financiera, Contabilidad, Logstica, Cmo

Universidad Nacional de Trujillo

Auditora de Sistemas Necesidad de Control
hacer para lograr tener bajo control la

Tecnologa de Informacin de manera tal que esta entregue la informacin segn las necesidades?

Personal,
Obras, Tecnologa de informacin, Valores ticos, entre otras.

10

Universidad Nacional de Trujillo

Auditora de Sistemas Necesidad de Control en TI
La sociedad se ha globalizado en el ciberespacio para el intercambio de informacin sin restricciones. Las organizaciones se han percatado de la importancia de la Informacin y TI relacionada. Los informticos se preocupan por su propio gobierno de la TI. Existe un creciente desarrollo y utilizacin de Tecnologas de Informacin.
11

Universidad Nacional de Trujillo

Auditora de Sistemas Caractersticas de los Controles Completos. Simples. Fiables. Revisables. Adecuados. Rentables.
12

Auditora de Sistemas - Pgina 2

Universidad Nacional de Trujillo Facultad de Ingeniera - Ingeniera de Sistemas Auditora de Sistemas

Universidad Nacional de Trujillo

Auditora de Sistemas
Clasificacin
Controles preventivos: para tratar de evitar el hecho. Ejemplo: un software que impida los accesos no autorizados. Controles detectivos: se realizan para tratar de conocer cuanto antes el evento. Ejemplo: Registro de intentos de acceso no autorizados, registro de errores diarios, etc. Controles correctivos: facilitan la vuelta a la normalidad cuando se han producido incidencias. Ejemplo: Recuperacin de un archivo daado a partir de las copias de seguridad.

Universidad Nacional de Trujillo

Auditora de Sistemas
Razones de los Controles
Efectividad. Eficiencia. Confidencialidad. Disponibilidad. Integridad.

Cumplimiento.
Confiabilidad.
13 14

Universidad Nacional de Trujillo

Auditora de Sistemas Control Interno
Es un proceso llevado a cabo por las personas de una organizacin, diseado con el fin de proporcionar un grado de seguridad "razonable" para la consecucin de sus

Universidad Nacional de Trujillo

Auditora de Sistemas Control Interno
Constituyen lineamientos, criterios, mtodos y

disposiciones para la aplicacin y regulacin del controles en las principales reas de la actividad administrativa u

objetivos, dentro de las siguientes categoras:

Eficiencia y eficacia de las operaciones. Fiabilidad de la informacin financiera. Cumplimiento de las leyes y normas aplicables

operativa de las organizaciones.

15

16

Universidad Nacional de Trujillo

Auditora de Sistemas Componentes del Control Interno
Entorno de control: el personal es el ncleo del negocio, como as tambin el entorno donde trabaja. Evaluacin de riesgos: toda organizacin debe conocer los riesgos a los que enfrenta, estableciendo mecanismos para identificarlos, analizarlos y tratarlos. Actividades de control: establecimiento y ejecucin de las polticas y procedimientos que sirvan para alcanzar los objetivos de la organizacin.
17

Universidad Nacional de Trujillo

Auditora de Sistemas Componentes del Control Interno
Informacin y comunicacin: los sistemas de informacin y comunicacin permiten que el personal capte e

intercambie la informacin requerida para desarrollar, gestionar y controlar sus operaciones. Supervisin: Para que un sistema reaccione gil y flexiblemente de acuerdo con las circunstancias, deber ser supervisado.

18

Auditora de Sistemas - Pgina 3

Universidad Nacional de Trujillo Facultad de Ingeniera - Ingeniera de Sistemas Auditora de Sistemas

Universidad Nacional de Trujillo

Auditora de Sistemas
Relacin entre los Objetivos y los Componentes

Universidad Nacional de Trujillo

Auditora de Sistemas
Seguridad razonable
El Control Interno por muy bien diseado e implementado que est, slo puede brindar a la direccin un grado razonable de seguridad acerca de la consecucin de los objetivos de la organizacin, esto se debe a que los objetivos se ven afectados por limitaciones que son inherente al Sistema de Control Interno, pudiendo ser:
Decisiones errneas. Problemas en el funcionamiento del sistema como consecuencia de fallas o intenciones humanas. Colusin entre 2 o ms empleados que permita burlar los controles establecidos.

19

20

Universidad Nacional de Trujillo

Auditora de Sistemas Auditora Interna
Constituye un proceso para sistemtico, independiente pertinente y y

Universidad Nacional de Trujillo

Auditora de Sistemas Aspectos de una Auditora Interna
Planificar un programa de auditoras tomando en

documentado

obtener

informacin

consideracin el estado y la importancia de los procesos y las reas a auditar, as como los resultados de auditoras

verificable acerca de cmo en la organizacin se cumple con

un conjunto de polticas, procedimientos o requisitos

utilizados como referencia.

previas.
Definir los criterios de auditora, el alcance de la misma, su frecuencia y la metodologa. Los auditores no deben auditar su propio trabajo. Mantener registros de las auditorias y de sus resultados.
21 22

Universidad Nacional de Trujillo

Auditora de Sistemas Aspectos de una Auditora Interna
La seleccin de los auditores y la realizacin de las auditoras deben asegurar la objetividad e imparcialidad del proceso de auditora. Establecer un procedimiento documentado para definir las responsabilidades y los requisitos para planificar y realizar las auditoras, establecer los registros e informar de los resultados.

Universidad Nacional de Trujillo

Auditora de Sistemas Aspectos de una Auditora Interna
La direccin responsable del rea que est siendo auditada debe asegurarse de que se realizan las correcciones y se toman las acciones correctivas

necesarias sin demora injustificada para eliminar las no conformidades detectadas y sus causas. Las actividades de seguimiento deben incluir la

verificacin de las acciones tomadas y el informe de los resultados de la verificacin.

23 24

Auditora de Sistemas - Pgina 4

Universidad Nacional de Trujillo Facultad de Ingeniera - Ingeniera de Sistemas Auditora de Sistemas

Universidad Nacional de Trujillo

Auditora de Sistemas
Principios de la Auditora Interna
Principios referidos a los Auditores: Conducta tica el fundamento de la profesionalidad
Confianza, integridad, confidencialidad y discrecin son esenciales en la auditora

Universidad Nacional de Trujillo

Auditora de Sistemas
Principios de la Auditora Interna
Principios referidos a los Auditores: Debido cuidado profesional la aplicacin de diligencia y juicio al auditar
Poseer la competencia necesaria es un requisito previo importante.

Presentacin ecunime la obligacin de informar con veracidad y exactitud

Los hallazgos, conclusiones e informes de la auditora reflejan sinceramente y con exactitud sus actividades. Informar obstculos y opiniones divergentes.
25 26

Universidad Nacional de Trujillo

Auditora de Sistemas Principios de la Auditora Interna
Principios referidos a la Auditora: Independencia la base para la imparcialidad y la objetividad de las conclusiones de la auditora
Auditores independientes de la actividad auditada y libres de sesgo
y/o conflicto de intereses. Objetividad a lo largo del proceso para que los hallazgos y conclusiones estn basados slo en la evidencia.

Universidad Nacional de Trujillo

Auditora de Sistemas Principios de la Auditora Interna
Principios referidos a la Auditora: Enfoque basado en la Evidencia mtodo racional para alcanzar conclusiones fiables y reproducibles
La evidencia en la auditora es verificable, basada en muestras de la
informacin disponible.

27

28

Universidad Nacional de Trujillo

Auditora de Sistemas Actividades de una Auditora Interna
Nro 1 2 3 4 5 6 Inicio de la Auditora Revisin de la Documentacin Preparacin de Actividades de Auditora IN SITU Realizacin de Actividades de Auditora IN SITU Preparacin, Aprobacin y Distribucin del Informe Finalizacin de la Auditora Actividad

Universidad Nacional de Trujillo

Auditora de Sistemas Actividades de una Auditora Interna
1. Inicio de Auditora
Designacin del auditor lder Definicin de los objetivos, alcance y criterios de auditora Determinacin de la viabilidad de la auditora Establecimiento del equipo auditor Establecimiento de los contactos iniciales con el auditado

Seguimiento de la Auditora

29

30

Auditora de Sistemas - Pgina 5

Universidad Nacional de Trujillo Facultad de Ingeniera - Ingeniera de Sistemas Auditora de Sistemas

Universidad Nacional de Trujillo

Auditora de Sistemas
Actividades de una Auditora Interna
2. Revisin de la documentacin
La documentacin del auditado debe ser revisada para determinar la conformidad del sistema, segn documentacin, con el criterio de auditora.

Universidad Nacional de Trujillo

Auditora de Sistemas
Actividades de una Auditora Interna
4. Realizacin de actividades de Auditora IN SITU
Realizacin de la reunin de apertura Comunicacin durante la auditora Funciones y responsabilidades de los guas y de los observadores Recopilacin y verificacin de informacin Generacin de hallazgos de auditora Preparacin de conclusiones de la auditora Realizacin de la reunin de cierre

3. Preparacin de actividades de Auditora IN SITU

Preparacin del plan de auditora Asignacin de los trabajos al equipo auditor Preparacin de los documentos de trabajo
31

32

Universidad Nacional de Trujillo

Auditora de Sistemas Actividades de una Auditora Interna
5. Preparacin, aprobacin y distribucin del Informe
Preparacin del informe Aprobacin y distribucin del informe

Universidad Nacional de Trujillo

Auditora de Sistemas Actividades de una Auditora Interna
7. Seguimiento de la Auditora
Las acciones derivadas de las conclusiones de la auditora (preventivas, correctivas, de mejora) no se consideran parte de la misma y son responsabilidad del auditado. La verificacin puede ser parte de una auditora posterior.

6. Finalizacin de la Auditora
Conservacin de los documentos Finalizacin de la auditora

33

34

Universidad Nacional de Trujillo

Auditora de Sistemas Diferencias entre Control Interno y Auditoria
Control Interno
Definicin de Propietarios y Perfiles: Clasificacin de la Informacin Administracin delegada en control Dual Responsable del desarrollo y actualizacin del Plan de Contingencias, Manual de Procedimientos y Planes de Seguridad Define procedimientos de control Control de calidad Control de costos

Auditora
Vigilancia y evaluacin mediante dictmenes Evalan eficiencia, costo y Seguridad Operan segn un plan Utilizan metodologas de evaluacin Repeticin de auditoria por nivel de exposicin de rea auditada y el resultado de la ltima auditoria de la misma.

35

Auditora de Sistemas - Pgina 6