UNIDAD I

INTRODUCCIN A LA AUDITORIA INFORMTICA

CONCEPTO DE AUDITORIA:
La auditora es el examen crtico y sistemtico que realiza una persona o grupo de personas independientes del sistema auditado. Funcin a desarrollar de una Auditoria Investigacin constante de planes y objetivos Estudio de las polticas y sus prcticas Revisin constante de la estructura orgnica Estudio constante de las operaciones de la empresa Analizar la eficiencia de la utilizacin de recursos humanos y materiales Revisin del equilibrio de las cargas de trabajo Revisin constante de los mtodos de control

1.1.- CONCEPTOS DE AUDITORIA INFORMTICA

Proceso metodolgico ejecutado por especialistas del rea de auditora y de informtica. Orientado a la verificacin y aseguramiento de que las polticas y procedimientos establecidos para el manejo y uso adecuado de la tecnologa de informacin, se lleven a cabo de manera oportuna y eficiente. Que operen en un ambiente se seguridad y control para generar confiabilidad, integridad, exactitud, etc. en los datos. Debe generar un informe que indique las observaciones, recomendaciones y reas de oportunidad para el mejoramiento y optimizacin de las Tecnologas de Informacin.

Los objetivos de la auditora Informtica son: El control de la funcin informtica El anlisis de la eficiencia de los Sistemas Informticos La verificacin del cumplimiento de la Normativa en este mbito La revisin de la eficaz gestin de los recursos informticos. La auditora informtica sirve para mejorar ciertas caractersticas en la empresa como: - Eficiencia - Eficacia - Rentabilidad - Seguridad

1.2.- TIPOS DE AUDITORIA

Auditora Interna

Auditora informtica

Auditora Externa

La auditora interna Es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados econmicamente. La auditora interna existe por expresa decisin de la Empresa, o sea, que puede optar por su disolucin en cualquier momento. Por otro lado, La auditora externa Es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditora Interna, debido al mayor distanciamiento entre auditores y auditados.

q q q q q q q

El auditor tiene relacin con la empresa. La relacin con la empresa puede influir en la emisin del juicio sobre la evaluacin de las reas de la empresa. Informe para uso interno. Permite detectar problemas y desviaciones. Puede actuar peridicamente como parte de su Plan Anual. Los auditados conocen estos planes y se habitan a las Auditoras. Las Recomendaciones habidas benefician su trabajo.

q q q q

El auditor no tiene relacin con la empresa Revisin independiente con total libertad de criterio sin ninguna influencia Realizadas por despachos de auditores

Auditoria Interna Generalmente solicitado por instituciones Auditoria Externa gubernamentales

1.3.- CAMPO DE LA AUDITORIA INFORMTICA

Algunos campos de aplicacin de lainformticason las siguientes: Investigacin cientfica y humanstica:Se usan lascomputadoraspara la resolucin de clculos matemticos, recuentos numricos, etc. Algunas de estas operaciones:

Resolucin deecuaciones. Anlisis de datos de medidas experimentales,encuestasetc. Anlisis automticos de textos.

Aplicacionestcnicas:Usala computadorapara facilitar diseos deingenieray de productos comerciales, trazado de planos, etc. Algunas de estas operaciones:

Anlisis ydiseodecircuitosdecomputadora. Clculo deestructurasen obras de ingeniera. Minera. Cartografa.

Documentacin e informacin: Es uno de los campos ms importantes para la utilizacin de computadoras. Estas se usan para almacenamiento de grandes cantidades de datos y la recuperacin controlada de los mismos en bases de datos. Ejemplos de este campo de aplicacin son:

el

Documentacin cientfica y tcnica. Archivos automatizados debibliotecas. Bases de datos jurdicas.

Gestin administrativa: Automatiza las funciones degestintpicas deuna empresa. Existen programas que realizan las siguientes actividades:

Contabilidad. Facturacin. Control de existencias.

Inteligencia artificial: Las computadoras se programan de forma que emulen el comportamiento de la mente humana. Los programas responden como previsiblemente lo hara una persona inteligente. Aplicaciones como:

Reconocimiento dellenguajenatural. Programas dejuegocomplejos (ajedrez).

Instrumentacin y control: Instrumentacin electrnica, electromedicina, robots industriales, entre otros.

1.4.- CONTROL INTERNO

Se puede definir el control interno como "cualquier actividad o accin realizada manual y/o automticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para lograr o conseguir sus objetivos. Los controles internos se clasifican en los siguientes:

Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema. Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones.etc. Controles correctivos: Facilitan la suelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperacin de un fichero daado a partir de las copias de seguridad.

Para la implantacin de un sistema de controles internos informticos habr que definir:

Gestin de sistema de informacin: polticas, pautas y normas tcnicas que sirvan de base para el diseo y la implantacin de los sistemas de informacin y de los controles correspondientes. Administracin de sistemas: Controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administracin de las redes. Seguridad: incluye las tres clases de controles fundamentales implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad. Gestin del cambio: separacin de las pruebas y la produccin a nivel del software y controles de procedimientos para la migracin de programas software aprobados y probados.

1.5.- MODELOS DE CONTROL

En la actualidad existen una gran cantidad de modelos de control interno. Los modelos de control interno COSO y COBIT son los dos modelos ms difundidos en la actualidad. COSO esta enfocado a toda la organizacin, contempla polticas, procedimientos y estructuras organizativas adems de procesos para definir el modelo de control interno. Mientras que COBIT (Control Objectives for Information and Related Technology, Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas) se centra en el entorno IT, contempla de forma especfica la seguridad de la informacin como uno de sus objetivos, cosa que COSO no hace. Adems el modelo de control interno que presenta COBIT es ms completo, dentro de su mbito.

Existen otros tipos de modelos los cuales se mencionan a continuacin: OECD (Organization for Economic Cooperation and Development) GAPP (Generaly Accepted Principles and Practices). National Institute of Standards and Technology (NIST) BS 7799 (British Standard Institute) SAC (Security Auditability and Control). The Inst. of Internal Audit. COSO (Internal Control Integrated Framework. Committee of Sponsoring Organizations) SSE CMM (Systems Security Engineering Capability Maturity Model) National Security Agency (NSA) Defense- Canada. CoCo (Criteria of Control Board of The Canadian Instituteof Chartered Accountants.) ITCG (Information Technology Control Guidelines). Canadian Institute of Chartered Accountants(CICA) GASSP (Generaly Accepted System Security Principles). International Information Security Foundation (IISF) Cobit (Control Objectives for Information and Related Technologies) FISCAM (Federal Information Systems Controls Audit Manual). GAO SysTrust (AICPA/CICA SysTrust Principles and Criteria for System Reliability) SSAG (System Self-Assessment Guide for Information Technology Systems). NIST

COBIT - DEFINICIN

Es un marco de control interno de TI. Parte de la premisa de que la TI requiere proporcionar informacin para lograr los objetivos de la organizacin. Promueve el enfoque y la propiedad de los procesos.

Apoya a la organizacin al proveer un marco que asegura que:

La Tecnologa de Informacin (TI) est alineada con la misin y visin. LA TI capacite y maximice los beneficios. Los recursos de TI sean usados responsablemente. Los riesgos de TI sean manejados apropiadamente.

COBIT - PRINCIPIOS

Requerimientos de informacin del negocio

Procesos de TI Recursos de TI

COBIT - ESTRUCTURA
Criterios de la Informacin
ad
C on ili ad d

Procesos TI

Dominio s Procesos Actividade s

Dato s Aplicaciones

Tecnolog a Instalacione
cu e R I T

Ca

lid

b ia f

eg S

ri u

ad d

o rs

s Recurso Humano
s de

COBIT REQUERIMIENTOS DE LA INFORMACIN DEL NEGOCIO

COBIT combina los principios contenidos por modelos existentes y conocidos, como COSO, SAC Y SAS.

Requerimientos de Calidad Requerimientos Financieros (COSO) Requerimientos de Seguridad

Calidad. Costo. Oportunidad. Efectividad y eficiencia operacional. Confiabilidad de los reportes financieros Cumplimiento de leyes y regulaciones. Confidencialidad. Integridad. Disponibilidad.

COBIT REQUERIMIENTOS DE LA INFORMACIN DEL NEGOCIO

Efectividad: Informacin relevante y pertinente, proporcionada en forma oportuna, correcta, consistente y utilizable Eficiencia: Empleo ptimo de los recursos. Confidencialidad: Proteccin de la informacin sensitiva contra divulgacin no autorizada Integridad: Informacin exacta y completa, as como vlida de acuerdo con las expectativas de la organizacin. Disponibilidad: accesibilidad a la informacin y la salvaguarda de los recursos y sus capacidades. Cumplimiento: Leyes, regulaciones y compromisos contractuales. Confiabilidad: Apropiada para la toma de decisiones adecuadas y el cumplimiento normativo

COBIT RECURSOS DE TI
q Datos: Todos los objetos de informacin interna y

externa, estructurada o no, grficas, sonidos, etc.

q Aplicaciones: Sistemas de informacin, que

integran procedimientos manuales y sistematizados.

q Tecnologa: Hardware y software bsico, sistemas

operativos, de administracin de bases de datos, de redes, telecomunicaciones, multimedia, etc.

q Instalaciones: Recursos necesarios para alojar y

dar soporte a los sistemas.

q Recurso Humano: Habilidad, actitud y

productividad del personal.

COBIT PROCESOS DE TI TRES NIVELES

Dominios Procesos

Agrupacin natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional

Conjuntos o series de actividades unidas con delimitacin o cortes de control.

Actividades o tareas

Acciones requeridas para lograr un resultado medible. Las Actividades Tienen un ciclo de vida mientras que las tareas son discretas.

1.6.- PRINCIPIOS APLICADOS A AUDITORES INFOMTICOS

PRINCIPIO DE BENEFICIO DE AUDITADO En este principio el auditor debe conseguir la mxima eficacia y rentabilidad de los medios informticos de la empresa auditada, no debe de ningn modo obtener beneficio propio. PRINCIPIO DE CALIDAD En el auditor deber prestar sus servicios conforme las posibilidades de la ciencia y medios a su alcance con absoluta libertad respecto a la utilizacin de dichos medios y en unas condiciones tcnicas adecuadas para el idneo cumplimiento de su labor. PRINCIPIO DE CONFIANZA El auditor deber facilitar e incrementar la confianza del auditoreo en base a una actuacin de transparencia en su actividad profesional sin alardes cientficos-tcnicos.

PRINCIPIOS APLICADOS A AUDITORES INFOMTICOS

PRINCIPIO DE CAPACIDAD El auditor debe estar plenamente capacitado para la realizacin de la auditora encomendada, maximice teniendo en cuenta que, a los auditados en algunos casos les puede ser extremadamente difcil verificar sus recomendaciones y evaluar correctamente la precisin de las mismas. PRINCIPIO DE COMPORTAMIENTO PROFESIONAL El auditor, tanto en sus relaciones con el auditado como con terceras personas, deber, en todo momento, actuar conforma a las normas, implcitas o explcitas, de dignidad de la profesin y de correccin en el trato personal. PRINCIPIO DE CRITERIO PROPIO El auditor durante la ejecucin deber actuar con criterio propio y no permitir que est subordinado al de otros profesionales, aun de reconocido prestigio, que no coincidan con el mismo.

PRINCIPIOS APLICADOS A AUDITORES INFOMTICOS

PRINCIPIO DE CONCENTRACION EN EL TRABAJO El auditor deber evitar que un exceso de trabajo supere sus posibilidades de concentracin y precisin en cada una de las tareas a l encomendadas, y a que la estructuracin y dispersin de trabajos suele a menudo, si no est debidamente controlada, provocar la conclusin de los mismos sin las debidas garantas de seguridad. PRINCIPIO DE DISCRECIN El auditor deber en todo momento mantener una cierta discrecin en la divulgacin de datos, aparentemente inocuos, que se le hayan puesto de manifiesto durante la ejecucin de la auditoria. PRINCIPIO DE ECONOMA El auditor deber proteger, en la medida de sus conocimientos, los derechos econmicos del auditado evitando generar gastos innecesarios en el ejercicio de su actividad.

PRINCIPIOS APLICADOS A AUDITORES INFOMTICOS

PRINCIPIO DE FORMACIN CONTINUADA Este principio impone a los auditores el deber y la responsabilidad de mantener una permanente actualizacin de sus conocimientos y mtodos a fin de adecuarlos a las necesidades de la demanda y a las exigencias de la competencia de la oferta. PRINCIPIO DE FORTALECIMIENTO Y RESPETO DE LA PROFESIN La defensa de los auditados pasa por el fortalecimiento de la profesin de los auditores informticos, lo que exige un respeto por el ejercicio, globalmente considerado, de la actividad desarrollada por los mismos y un comportamiento acorde con los requisitos exigibles para el idneo cumplimiento de la finalidad de las auditorias. PRINCIPIO DE INDEPENDENCIA Esta relacionado con el principio de criterio propio, obliga al auditor, tanto si acta como profesional externo o con dependencia laboral respecto a la empresa en la que deba realizar la auditoria informtica, a exigir una total autonoma e independencia en su trabajo.

PRINCIPIOS APLICADOS A AUDITORES INFOMTICOS

PRINCIPIO DE INFORMACIN SUFICIENTE Este principio obliga al auditor a aportar, en forma pormenorizada, clara, precisa e inteligible para el auditado, informacin de los puntos y conclusiones relacionados con la auditoria. PRINCIPIO DE INTEGRIDAD MORAL Este principio, inherentemente ligado a la dignidad de la persona, obliga al auditor a ser honesto, leal y diligente en el desempeo de su misin, a ajustarse a las normas morales de justicia y prioridad. PRINCIPIO DE LEGALIDAD La primaca de esta obligacin exige del auditor un comportamiento activo de oposicin a todo intento, por parte del auditado o de terceras personas, tendente a infringir cualquier precepto integrado en el derecho positivo.

PRINCIPIOS APLICADOS A AUDITORES INFOMTICOS

PRINCIPIO DE LIBRE COMPETENCIA La actual economa de mercado exige que el ejercicio de la profesin se realice en el marco de la libre competencia siendo rechazables, por tanto, las prcticas colusorias tendentes a impedir o limitar la legitima competencia de otros profesionales. PRINCIPIO DE NO DISCRIMINACIN El auditor en su actuacin previa, durante y posterior a la auditoria deber evitar cualquier tipo de condicionantes personalizados y actuar en todos los casos con similar diligencia. PRINCIPIO DE NO INJERENCIA El auditor, deber evitar injerencias en los trabajos de otros profesionales, respetar su labor y eludir hacer comentarios que pudieran interpretarse como despreciativos de la misma, deber igualmente evitar aprovechar los datos.

PRINCIPIOS APLICADOS A AUDITORES INFOMTICOS

PRINCIPIO DE PRECISIN Este principio exige del auditor la no conclusin de su trabajo hasta estar convencido, en la medida de lo posible, de la viabilidad de sus propuestas. PRINCIPIO DE PUBLICIDAD ADECUADA La oferta y promocin de los servicios de auditoria debern en todo momento ajustarse a las caractersticas, condiciones y finalidad perseguidas. PRINCIPIO DE RESPONSABILIDAD El auditor deber, como elemento intrnseco de todo comportamiento profesional, responsabilizarse de lo que haga, diga o aconseje. PRINCIPIO DE SECRETO PROFESIONAL La confidencia y confianza entre el auditor y el auditado e imponen al primero la obligacin de guardar en secreto los hechos e informaciones que conozca en el ejercicio de su actividad profesional.

PRINCIPIOS APLICADOS A AUDITORES INFOMTICOS

PRINCIPIO DE SERVICIO PUBLICO La aplicacin de este principio debe incitar al auditor a hacer lo que este en su mano y sin perjuicio de los intereses de su cliente, para evitar daos sociales. PRINCIPIO DE VERACIDAD El Auditor en sus comunicaciones con el auditado deber tener siempre presente la obligacin de asegurar la veracidad de sus manifestaciones con los limites impuestos por los deberes de respeto, correccin, y secreto profesional.

1.7.- RESPONSABILIDADES DE LOS ADMINISTRADORES Y EL AUDITOR

El auditor informtico debe ser una persona con un alto grado de calificacin tcnica y al mismo tiempo estar integrado a las corrientes organizativas empresariales. Es responsable de realizar las siguientes actividades: Verificacin del control interno tanto de las aplicaciones como de los SI, perifricos, etc. Anlisis de la administracin de Sistemas de Informacin, desde un punto de vista de riesgo de seguridad, administracin y efectividad de la administracin. Anlisis de la integridad, fiabilidad y certeza de la informacin a travs del anlisis de aplicaciones. Auditora del riesgo operativo de los circuitos de informacin Anlisis de la administracin de los riesgos de la informacin y de la seguridad implcita. Verificacin del nivel de continuidad de las operaciones. Anlisis del Estado del Arte tecnolgico de la instalacin revisada y las consecuencias empresariales que un desfase tecnolgico puede acarrear. Diagnstico del grado de cobertura que dan las

RESPONSABILIDADES DE LOS ADMINISTRADORES Y EL AUDITOR

Organizacin de la funcin de Auditora Informtica La funcin de la auditora informtica se ha convertido en una funcin que desarrolla un trabajo ms acorde con la importancia que para las organizaciones tienen los SI, que son su objeto de estudio y anlisis. El auditor informtico pasa a ser auditor y consultor de empresas en materias de: Seguridad Control interno operativo Eficiencia y eficacia Tecnologas de Informacin Continuidad de operaciones Administracin de riesgos

RESPONSABILIDADES DE LOS ADMINISTRADORES Y EL AUDITOR

Su localizacin puede estar ligada a la auditora interna operativa y financiera (aunque exista una coordinacin lgica entre ambos departamentos), con independencia de objetivos, planes de formacin y presupuestos. Debe ser un grupo independiente del de auditora interna, con acceso total a los SI y dems tecnologa, que depende de la misma persona que la auditora interna (Director General o Consejero) La dependencia debe ser del mximo responsable de la organizacin, nunca del departamento de sistemas o del financiero. Esto es para que no se pueda sospechar que existe sesgo al momento de realizar el trabajo de auditora y ofrecer conclusiones y recomendaciones.

Los recursos humanos con los que debe contar el departamento debe ser una mezcla equilibrada de personas con formacin en auditora y organizacin y con perfil informtico (especialidades).

GRACIAS!!