Auditoría Informática

O El

notorio incremento en el uso de computadores para procesar la información acaecido en los últimos cuarenta años, ha determinado que, con el propósito de conseguir los objetivos que la administración se propone, deben existir sistemas de control interno adecuados para asegurar la integridad de dicha información.

Auditoría Informática
Control Interno La administración es responsable por establecer, diseñar y mantener controles y procedimientos internos adecuados para alcanzar los objetivos organizacionales.

Auditoría Informática Control Interno Controles y procedimientos O Las transacciones están adecuadamente autorizadas O Los activos están adecuadamente protegidos contra uso no autorizado o inadecuado O Que las transacciones estén adecuadamente registradas .

se tomen decisiones que permitan corregir los errores en caso de que existan. . o bien mejorar la forma de actuación.Auditoría Informática O El Auditor de Sistemas debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia con que se está operando para que. por medio del señalamiento de cursos alternativos de acción.

evaluación y elaboración de un informe dirigido al nivel ejecutivo encaminado a un objetivo específico en el ambiente computacional y los sistemas.Auditoría Informática O Revisión. .

. Examen y evaluación de los procesos del Area de Procesamiento de Datos y de la utilización de los recursos que en ellos intervienen. efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.Auditoría Informática O algunos conceptos y tareas : O O Verificación de controles en el procesamiento de la información y en el desarrollo de los sistemas e instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia. para llegar a establecer el grado de eficiencia.

Robo) O Mantiene Integridad (Información Precisa. O . Oportuna y Confiable) O Alcanza metas organizacionales (Contribución de función informática) O Consume recursos eficientemente (Consume recursos adecuadamente en el procesamiento de la información.Auditoría Informática O Proceso de recolección y evaluación de evidencia encaminada a determinar si un sistema automatizado permite: O Salvaguarda activos (Daños. Destrucción Uso no Autorizado. Completa.

Auditoría Informática AUDITORÍA A SISTEMAS DE INFORMACIÓN Emitir una opinión respecto del nivel de riesgo presente en un Sistema de Información Computacional. considerando los controles internos generales y específicos establecidos en el mismo para resguardar la calidad de la información y asegurar su correcta captura. procesamiento y entrega .

. normas. procedimientos e informes relacionados con los Sistemas de Información Computarizados. con el fin de emitir una opinión profesional (imparcial) con respecto a: O Eficiencia en el uso de los recursos informáticos O Validez de la información O Efectividad de los controles establecidos. sistemático (normas).Auditoría Informática O Es el examen o revisión de carácter objetivo (independiente). crítico (evidencia). prácticas. funciones. procesos. selectivo (muestras) de las políticas.

. TANDEM) Infraestructura de Redes y Comunicaciones Centrales de Telefonía Servidores Sistemas Operativos asociados (Microsoft-No Microsoft) O Otras aplicaciones de más bajo nivel o propietarias (Microsoft-No Microsoft).Auditoría Informática AUDITORÍA A PLATAFORMAS TECNOLÓGICAS Emitir una opinión respecto del nivel de riesgo presente en una Plataforma Tecnológica (infraestructura y servicios básicos de TI). O O O O O Host (IBM.

IN Act 1 Act.3 Act.Auditoría Informática Proceso Conjunto de recursos y actividades interrelacionados que transforman elementos de entrada en elementos de salida. 5 . que cumplen un objetivo completo y agregan valor para el cliente.2 Act.4 OUT IN Act.

con las principales etapas de mismo. se considera los eventos "gatilladores" del proceso y los resultados. O Flujo de Tareas: Es la representación del detalle de una actividad en las tareas o pasos requeridos para su ejecución por un rol. Considera también los roles y aplicaciones del proceso. O Flujo de Actividades: Es la representación real de un proceso conceptual. O Cadenas de Valor del Proceso: Es la representación de un proceso. Niveles de Proceso O Macroprocesos: Proceso de alto nivel. O Descripción de Actividades o Tareas: Es la descripción detallada de cómo se realiza una actividad o una tarea.Auditoría Informática Mapa de Procesos O Es una representación de todos los procesos de una organización. que se visualiza en la cadena de valor de una organización. .

datos. Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.Auditoría Informática Objetivos Generales de la Auditoría de Sistemas O O O O O Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados. Incrementar la satisfacción de los usuarios de los sistemas computarizados Asegurar una mayor integridad. . software e instalaciones. Seguridad de personal. confidencialidad y confiabilidad (Seguridad) de la información mediante recomendaciones y controles. hardware.

Auditoría Informática continuación… O O O O Apoyo de la función informática a las metas y objetivos de la organización Minimizar existencias de riesgos en el uso de Tecnología de información Decisiones de inversión y gastos innecesarios Capacitación y educación sobre controles en los Sistemas de Información. .

La información no deberá ser utilizada en beneficio propio o divulgada a terceros no legitimados. . leal y honesta. clientes y público en general en forma diligente. y no contribuir a sabiendas en actividades ilícitas o incorrectas. O Mantener la confidencialidad de la información obtenida durante sus deberes. empleadores.Auditoría Informática Código de Conducta de la ISACA O Los auditores deberán: O Actuar en interés de sus accionistas.

O Apoyar la entrega de conocimientos a la dirección. clientes y publico en general para mejorar su comprensión de la auditoría y TI.Auditoría Informática O Código de Conducta de la ISACA (Continuación…) O Los auditores deberán: O Ejercer sumo cuidado al obtener y documentar material suficiente sobre el cual basar sus conclusiones y observaciones. .

Auditoría Informática O Código de Conducta de la ISACA (Continuación…) O Los auditores deberán: O Cumplir con sus deberes en forma independiente y objetiva. y evitar toda actividad que comprometa o parezca comprometer su independencia. O Mantener su capacidad en auditoría de TI mediante la capacitación continua y profesional. .

.Auditoría Informática O Código de Conducta (Continuación…) O Los auditores deberán: de la ISACA O Mantener altos estándares de conducta y carácter tanto en sus actividades profesionales como en las privadas.

dignidad. reputación O Interés Público y de terceras personas O Fidelidad.Auditoría Informática Código de Society Conducta British Computer O Conducta Profesional. informes por escrito a sus clientes de actividades que puedan perjudicar un dictamen. cumplir obligaciones con empleadores y clientes O Competencia técnica O Imparcialidad. .

Auditoría Informática O Perfil del Auditor de Sistemas O O O O Tecnologías de Información Administración Negocio (Bancario. financiero) Metodologías de Aseguramiento de SW O Modelos O Tecnologías de Punta .

Compiladores . O Gestión de Tecnologías de Información O Seguridad. Análisis de Sistemas etc).Imágenes. Ingeniería de Software O Administración de Proyectos .Auditoría Informática Debe ser parte de la formación profesional: O Hardware. Bases de Datos. O Sistemas Operativos. Software. Calidad.

pensada para el área militar y usada por científicos. Se trata de una red privada que puede o no tener acceso a Internet.Auditoría Informática Impacto de las TI en las Organizaciones Internet: Conocida como la red de redes. Sirve para compartir recursos entre computadoras . Para funcionar utiliza el conjunto de protocolos TCP/IP. Fue creada a finales de la década del 60 y se llamó al principio ARPANET. pues se trata de una de las redes más grandes con un estimado de mil quinientos millones de usuarios (2008). Intranet: Red entre computadoras montada para el uso exclusivo dentro de una empresa u hogar.

. Es el protocolo que utiliza internet para la comunicarse. es el concepto más cercano al Marketing Relacional. mejorar los niveles de retención y fidelización de clientes. y de los clientes de la empresa. a la venta y al marketing. B2B: Forma de comercio electrónico en donde las operaciones comerciales son entre empresas y no con usuarios finales CRM: Modelo de gestión orientado hacia los clientes. venta proactiva. Sistemas informáticos de apoyo a la gestión de las relaciones con los clientes. Involucra: aumento de venta por cruce de productos.Auditoría Informática Impacto de las TI en las Organizaciones TCP/IP: (Transfer Control Protocol / Internet Protocol). Con este significado CRM se refiere al Data warehouse o almacenamiento de datos con orientación a la información de la gestión de ventas.

. se denominan errores. irregularidades u omisiones. los cuales pueden generar una pérdida monetaria. Riesgos Los riesgos cuando se materializan.Auditoría Informática Riesgos “La incertidumbre que ocurra un evento que podría tener un impacto en el logro de los objetivos”. en la imagen de la empresa o incumplimiento de normativa externa.

Auditoría Informática Riesgos Riesgo = Impacto * Probabilidad Impacto: es el efecto o consecuencia cuando el riesgo se materializa Probabilidad: representa la posibilidad que un evento dado ocurra. .

etc . como los errores. ambiente interno. Se entiende que una materia por su naturaleza tiene riesgos que surgen por diversas fuentes. Los riesgos inherentes a la materia pueden tener o no controles elaborados por la dirección para mitigar su probabilidad o su impacto. irregularidades o fallas que pudieran ser importantes en forma individual o en conjunto con otros riesgos. información. Los riesgos inherentes a la materia bajo análisis pueden ser relativos al entorno. procesos.Auditoría Informática Riesgos Riesgo Inherente: Riesgo inherente son aquellos riesgos propios de la materia y/o componentes de ésta.

Auditoría Informática Riesgos Inherentes O Riesgo O Riesgo O Riesgo O Riesgo O Riesgo de Crédito Financiero Operacional de Tecnología de la Información Calidad de Servicio y transparencia de la Información .

O Riesgo Financiero: ocurrencia de un imprevisto por variaciones o cambios en la economía local o internacional que podría afectar los descalces de caja o posiciones asumidas por inversiones y su liquidez. daños activos materiales. como asimismo los descalces globales de activos.Auditoría Informática Riesgos Inherentes O Riesgo de Crédito: Exposición a una pérdida real o el costo de oportunidad como consecuencia del incumplimiento de pago de una persona natural o jurídica. el personal y los sistemas internos o bien a causa de acontecimientos externos (fraudes. Incluye riesgos legales y normativos. fallas en procesos. O Riesgo Operacional: Se define como el riesgo de pérdida debido a la inadecuación o fallas en los procesos. . etc).