AUDITORIA INFORMATICA Carlos A Jara
Mejora la Imagen del negocio.
Genera confianza entre los clientes internos y
externos sobre la seguridad y el control.
Disminuye los costos de la mala calidad
(reprocesos, rechazos, tiempos perdidos,
sanciones por entregas de información a
destiempo).
Sirve apoyo a la alta gerencia para establecer y
mejorar controles a los sistemas de información.
IMPORTANCIA DE LA AUDITORIA INFORMATICA
AUDITORIA
Proceso sistemático en el que
se utilizan técnicas y métodos
para evaluar los controles
establecidos en una
organización, obtener las
evidencias, analizarlas,
identificar y evaluar niveles de
cumplimiento, detectar
posibles riesgos y presentar
recomendaciones para un
mejoramiento continuo.
Controles actuales Verificación Cumplimiento
El Es Deber ser
AUDITORIAS
Por su origen
Auditoria Interna
Auditoria Externa
AUDITORIA INFORMÁTICA
La auditoría informática es el proceso
de recoger, agrupar y evaluar
evidencias para determinar si los
controles establecidos, permiten
salvaguardar los recursos
informáticos y garantizan la
integridad, disponibilidad y
confidencialidad de los datos e
información de la empresa, si lleva a
cabo eficazmente los fines de la
organización y utiliza eficientemente
los recursos.
AUDITORIA INFORMÁTICA
Proceso
Evaluar
Verificar
Recursos Informáticos
Normas
Políticas
Procedimientos
Para
De
Del De
De
Estándares
OBJETIVOS AUDITORIA INFORMATICA
Asegurar:
La integridad de los datos e información,
La confidencialidad de los datos e información y
La Disponibilidad de los datos e información.
Evaluar que los controles garanticen la seguridad
del personal, los datos, el hardware, el software y
las instalaciones.
Prever la existencias de riesgos para la información
y el uso de Tecnologías de información.
Evaluar la aplicación de las normas, las políticas, y
los procedimientos informáticos.
IMPORTANCIA DE LA AUDITORIA INFORMATICA
Auditoria
Informática
Mide Desempeño de
Las tecnologías de Información Controles
normas,
políticas
Mejoramiento Continuo
Integridad
Confidencialidad
Disponibilidad
Para garantizar
De la Gestión Informática
De los recursos Informáticos
ETAPAS DEL TRABAJO DE AUDITORIA
Planeación
Ejecución
Información.
ETAPAS PARA REALIZAR UN TRABAJO DE AUDITORIA
Planeación
Identificar la infraestructura informática del centro de
computo.
Conocer las políticas, normas, procedimientos y
estándares de esta área
La Planeación debe definir:
Objetivos.
Técnicas a utilizar.
Personal participante, duración, horario, Alcance
Elaboración de cronogramas
Calculo de la muestra, Diagramas de Pareto,
aplicación de formulas, diagramas de flujo,
ETAPAS PARA REALIZAR UN TRABAJO DE AUDITORIA
EJECUCION
Revisión y evaluación de controles, normas,
políticas de seguridad, diagramas, procesos
históricos (backups), documentación.
Examen detallado de áreas criticas.
Análisis de Vulnerabilidad, Amenazas y Riesgos
evaluación de Riesgos y su impacto.
Recolección de evidencias y hallazgos
Hallazgos de auditoría
Hechos relevantes que significan debilidad en el
control interno y resultan de la comparación del
Deber Ser con el ES (evidencia de auditoría).
NOTA Los hallazgos de la auditoría pueden
indicar tanto conformidad o no conformidad y
pueden generar oportunidades de mejora.
CLASIFICACIÓN DE LOS HALLAZGOS
Desviación Positiva
Cuando el desempeño obtenido supera lo esperado (fortaleza)
Desempeño esperado= Conformidad
Desviación Negativa: Cuando el resultado se encuentra por debajo de lo esperado se genera: No conformidad
aspecto por mejorar
oportunidad de mejora.
CLASIFICACIÓN DE LOS HALLAZGOS
Las no conformidades se consideran como tal cuando:
Se incumple con un requisito, de una norma o política o procedimiento de la organización. Este tipo de desviación afecta el normal desarrollo del negocio.
Impactan los objetivos de la empresa.
Impactan la parte económica.
Impactan los resultados de la organización.
Incumplen requisitos legales.
CLASIFICACIÓN DE LOS HALLAZGOS
Las oportunidades de mejora se dan cuando:
Se presenta incumplimiento por
desconocimiento de normas internas.
fallas leves encontradas en normas, políticas o
procedimientos internos.
Problemas de comunicación interna.
Falta de actualización de normas, políticas o
procedimientos.
ELEMENTOS DE UN HALLAZGO
CONDICION: Lo que Es.
La situación encontrada, debe detallarse los
elementos que se encontraron.
CRITERIO: Lo que debe Ser.
Es la norma o política o procedimiento con el
que se compara la condición
CAUSA: Por Que.
Razón porque ocurrió la condición. El porque de
la diferencia entre el criterio y la condición
EFECTOS: Las consecuencias.
Puede ser perdidas económicas, daños a la
imagen, sanciones legales, gastos indebidos,
informes inexactos, uso ineficiente de los
recursos humanos o financieros etc.
Una adecuada identificación de los efectos,
permite adoptar acciones correctivas.
CONCLUSIONES: basadas en los hallazgos
RECOMENDACIONES: Anular o mejorar la
condición
ETAPAS PARA REALIZAR UN TRABAJO DE AUDITORIA
INFORMACION
Redacción del Informe final (comunicación de resultados:
Relación de evidencias y hallazgos.
Conformidades y no conformidades encontradas.
Causas.
Sugerencias.
Solicitud de planes de acción.
OBJETIVOS ESPECÍFICOS DE LA AUDITORIA
INFORMÁTICA
• Comprobar la seguridad y confiabilidad de la
información.
• el control de la función informática,
• el análisis de la eficiencia de los Sistemas
Informáticos,
• la verificación del cumplimiento de la
Normativa en este ámbito.
• la revisión de la eficaz gestión de los
recursos informáticos.
CAUSAS PARA INICIAR UNA A.I.
Baja Productividad de los empleados que trabajan con sistemas de información.
Informes que se entregan a destiempo o con errores.
Perdida o Ausencia de datos.
Fallas constantes de los sistemas de Información.
Aumento considerable e injustificado del presupuesto del Dpto. de Informática.
Descubrimiento de fraudes efectuados con el computador.
CAUSAS PARA INICIAR UNA A.I.
No definición de políticas, objetivos, normas,
metodologías computacionales.
Descontento general de los usuarios por
fallas en los sistemas de información.
Verificación de los controles de seguridad
establecidos por la implementación de
nuevas tecnologías.
TECNICAS DE AUDITORIA
TECNICAS DE AUDITORIA
Son las prácticas de investigación y prueba
que utiliza el auditor para obtener la evidencia
necesaria que fundamente sus opiniones y
conclusiones.
Su empleo se basa en su criterio o juicio, según
las circunstancias.
CUESTIONARIOS
Son formatos previamente diseñados por el
Auditor sobre un tema especifico y que se
entregan al auditado, con el fin de que lo
diligencie.
Los datos contestados se confrontan con otros
medios.
INSPECCIÓN
Técnica que consiste en hacer una revisión o
examinar los recursos informáticos de la
empresa (Hardware, Software, Redes,
Comunicaciones)
Esta técnica se aplica sobre los objetos como:
hardware, software, redes, documentos, normas,
procedimientos, políticas, no se aplica sobre
personas como: clientes internos o clientes
externos, proveedores.
LA ENTREVISTA
Es una de las actividades personales más
importante del auditor; en ellas, recoge más
información y mejor matizada que la
proporcionada por medios como las respuestas
escritas o cuestionarios.
La entrevista entre auditor y auditado se basa
fundamentalmente en el concepto de
interrogatorio.
CONFIRMACIÓN
Consiste en comprobar la veracidad y
confiabilidad de las evidencias. Esta puede ser
con entidades internas como un usuario o un
departamento o entidades externas como
proveedores, clientes, entidades del estado etc.
MATRIZ DOFA
Debilidades – Oportunidades – Fortalezas –
Amenazas.
Al interior de la organización: examinar
fortalezas, y debilidades.
Al exterior de la organización: examinar
oportunidades y amenazas
EL CHECKLIST
Es un formato u hoja de verificación, para
realizar revisiones sistemáticas o
cumplimiento de requisitos en un sistema de
información, en el cumplimiento de normas,
políticas o procedimientos, con respuestas
cerradas (si, no) o con calificaciones
cuantitativas.
TIPOS CHECKLIST
Los cuestionarios o Checklist responden
fundamentalmente a dos tipos de "filosofía" de
calificación o evaluación:
Checklist de calificación o rango
Contiene preguntas que el auditor debe
puntuar dentro de un rango preestablecido por
ejemplo, de 1 a 5, siendo 1 la respuesta más
negativa y el 5 el valor más positivo.
TIPOS CHECKLIST
Las respuestas tienen los siguientes
significados:
1 : Muy deficiente.
2 : Deficiente.
3 : Mejorable.
4 : Aceptable.
5 : Correcto.
TIPOS CHECKLIST
Checklist de evaluación o Binario
Es el constituido por preguntas con respuesta
única y excluyente: Si o No. Aritméticamente,
equivalen a 1(uno) o 0(cero), respectivamente.
TECNICAS DE AUDITORIA
Trazas o Huellas:
El auditor informático debe verificar que los
programas, realicen exactamente las funciones
previstas, y no otras. Para ello se apoya en
Software un especial, que permite rastrear los
caminos que siguen los datos a través del
programa, verificando entre otras las
validaciones de datos previstas.
TECNICAS DE AUDITORIA
Log:
El log es un historial que informa todo lo que
hizo la Aplicación al ingresar, modificar, y borrar
datos, (quien cuando, donde), todo queda
grabado en el log como una transacción.
El log permite analizar cronológicamente que
fue lo que sucedió con los datos.
Carlos A Jara