BIENVENIDO S

Auditoria en Informatica

PROCESO ADMINISTRATIVO
I II

IV

III

Auditoria en Informatica

CONCEPTOS GENERALES
CONTROLES Y ESTANDARES

CONTROL: ES LA ULTIMA ETAPA DEL PROCESO ADMINISTRATIVO. EL CONTROL BIEN APLICADO ES DINAMICO, PROMUEVE LA POTENCIALIDAD DE LOS INDIVIDUOS Y, MAS QUE HISTORICO, SU CARCTER ES PRONOSTICO, YA QUE SIRVE PARA MEDIR LA ACTUACION PRESENTE Y FUTURA DE TODOS LOS RECURSOS DE LA EMPRESA , SIENDO SU PRINCIPAL PROPOSITO , PREVEER Y CORREGIR ERRORES , Y NO SIMPLEMENTE Auditoria en Informatica

imprimir

Auditoria en Informatica

CLASIFICACION DEL CONTROL:

CLASIFICACIN DEL CONTROL INTERNO En un sentido amplio el Control Interno incluye controles que pueden ser catalogados como contables o administrativos. La clasificacin entre controles contables y controles administrativos variara de acuerdo con las circunstancias individuales.

Auditoria en Informatica

CONTROL ADMINISTRATIVO

Los controles administrativos comprenden el plan de organizacin y todos los mtodos y procedimientos relacionados principalmente con eficiencia en operaciones y adhesin a las polticas de la empresa y por lo general solamente tienen relacin indirecta con los registros financieros. Incluyen ms que todo controles tales como anlisis estadsticos, estudios de mocin y tiempo, Auditoria en Informatica reportes de operaciones,

Ejemplo: imprimir
Que los trabajadores de la fbrica lleven siempre su placa de identificacin. Otro control administrativo sera la obligatoriedad de un examen mdico anual para todos los trabajadores. Estos controles administrativos interesan en segundo plano a los Auditores independientes, pero nada les prohbe realizar una evaluacin de los mismos hasta donde consideren sea necesario para lograr una mejor opinin. El control administrativo se establece en el SAS-1 de la siguiente manera: El control administrativo incluye, pero no se limita al plan de organizacin, procedimientos y registros que se relacionan con los procesos de decisin que conducen a la autorizacin de operaciones por la administracin. Esta autorizacin es una funcin de la administracin asociadaInformatica Auditoria en directamente con la

CONTROL CONTABLE

Los controles contables comprenden el plan de organizacin y todos los mtodos y procedimientos relacionados principal y directamente a la salvaguardia de los activos de la empresa y a la confiabilidad de los registros financieros. Generalmente incluyen controles tales como el sistema de autorizaciones y aprobaciones con registros y reportes contables de los deberes de operacin y custodia de activos y auditora interna. Ejemplo: La exigencia de una persona cuyas funciones envuelven el manejo de dinero no deba manejar tambin los registros contables. Otro caso, el requisito de que los cheques, Auditoria en Informatica rdenes de compra y dems documentos estn

El control contable est descrito tambin en el SAS Nmero 1 as:

El control contable comprende el plan de organizacin y los procedimientos y registros que se relacionen con la proteccin de los activos y la confiabilidad de los registros financieros y por consiguiente se disean para prestar seguridad razonable de que:
Auditoria en Informatica

a) Las operaciones se ejecuten de acuerdo con la autorizacin general o especfica de la administracin. b) Se registren las operaciones como sean necesarias para 1) permitir la preparacin de estados financieros de conformidad con los principios de contabilidad generalmente aceptados o con cualquier otro criterio aplicable a dichos estados, y 2) mantener la contabilidad de los activos. c) el acceso a los activos se permite solo de acuerdo con la autorizacin de la administracin. d) Los activos registrados en la contabilidad seencomparan a intervalos Auditoria Informatica

ETAPAS DEL CONTROL

Auditoria en Informatica

ESTANDAR
UN ESTANDAR PUEDE SER DEFINIDO COMO UNA UNIDAD DE MEDIDA QUE SIRVE COMO MODELO, GUIA O PATRON CON BASE EN LA CUAL SE EFECTUA EL CONTROL.
Auditoria en Informatica

Imprimir desde aqu ESTABLECIMIENTO DE Los estndares representan el ESTANDARES estado de ejecucin deseado, de

hecho, no son mas que los objetivos definidos de la organizacin. Ralph c. Davis dice que los estndares no debe limitarse a establecer niveles operativos de los trabajadores, sino que, preferentemente, deben abarcar las funciones bsicas y reas clave de resultados
Auditoria en Informatica

TIPOS 1.- Rendimiento de beneficios. Son los beneficios obtenidos por la empresa, que resulta de la comparacin o relacin entre las utilidades y el capital empleado en cada una de las funciones. 2.- Posicin en el mercado. Estndares utilizados para determinar la aceptacin de algn producto en el mercado, y la efectividad de las tcnicas mercadolgicas. 3.- Productividad. Este tipo de modelo debe establecerse no solo para el rea de produccin, si no para todas las reas de la Auditoria en Informatica empresa. Se determina en con base en

4.- Calidad del producto. Este estndar se establece para determinar la primaca en cuanto a calidad del producto, en relacin con la competencia. 5.- Desarrollo del personal. Su objeto es medir los programas de desarrollo de la gerencia, y su efectividad. 6.- Evaluacin de la actuacin. Establece las condiciones que deben existir para que el trabajo se desempee satisfactoriamente; sirve para determinar, objetivamente, los limites de productividad del personal de la
Auditoria en Informatica

EXISTEN 3 METODOS PARA ESTABLECER ESTANDARES, CUYA APLICACIN VARIA DE ACUERDO CON LAS NECESIDADES ESPECIFICAS DEL AREA DONDE SE IMPLEMENTEN
1.- ESTANDARES ESTADISTICOS: LLAMADOS TAMBIEN HISTORICOS, SE ELABORAN CON BASE EN EL ANALISIS DE DATOS DE EXPERIENCIAS PASADAS, YA SEA DE LA MISMA EMPRESA O DE EMPRESAS COMPETIDORAS. 2.- ESTANDARES FIJADOS CON APRECIACION.- SON ESCENCIALMENTE JUICIOS DE VALOR, RESULTADO DE LAS EXPERIENCIAS PASADAS DEL ADMINISTRADOR, EN AREAS DONDE LA EJECUCION PERSONAL ES DE GRAN IMPORTANCIA . SE REFIERE A CATIVIDADES DE CARCTER INTANGIBLE O CUALITATIVO TALES COMO LA MORAL, ACTITUD DEL PERSONAL ETC. 3.- ESTANDARES TECNICAMENTE ELABORADOS: SON AQUELLOS QUE SE FUNDAMENTAN EN UN ESTUDIO OBJETIVO Y CUANTITATIVO DE UNA SITUACION DE TRABAJO ESPECIFICA. EN RELACION CON LA PRODUCTIVIDAD DE LA MAQUINARIA, DEL Auditoria en Informatica

POR OTRA PARTE, DE ACUERDO CON SUS CARACTERISTICAS, PUEDEN SER: CUANTITATIVOS, SI SON SUSCEPTIBLES DE MEDIRSE EN UNIDADES NUMERICAS, O CUALITATIVOS, CUANDO LOS ASPECTOS QUE SE EVALUAN SON REFERENTES ACIERTAS
Auditoria en Informatica

CLASIFICACION DE LOS ESTANDARES MAS USADOS ESTANDARES EN CUANTO AL METODO:

ESTADISTICOS. POR APRECIACION. TECNICAMENTE ELABORADOS.

CUANTITATIVOS:
FISICOS: UNIDADES DE PRODUCCION DE COSTO: COSTOS DE OPERACIN COSTOS DIRECTOS E INDIRECTOS POR UNIDAD. DE CAPITAL: RENDIMIENTO DE INVERSION, UTILIZACION DE ACTIVOS. DE INGRESO: IMPORTE DE VENTAS DE PROGRAMAS: INVESTIGACION DE MERCADO, DE VENTAS ETC.

Auditoria en Informatica

CUALITATIVOS EVALUACION DE LA ACTUACION. CURVAS DE COPORTAMIENTO. PERFILES.

Auditoria en Informatica

CONSISTE EN MEDIR LA EJECUCION Y LOS RESULTADOS, MEDIANTE LA APLICACIN DE UNIDADES DE MEDIDA, QUE DEBEN SER DEFINIDOS DE ACUERDO CON LOS ESTANDARES. EL ESTABLECER DICHAS UNIDADES ES UNO DE LOS PROBLEMAS MAS DIFICILES, SOBRE TODO EN AREAS CON ASPECTOS CUALITATIVOS. PARA LLEVAR A CABO SU FUNCION ESTA ETAPA SE VALE DE LOS SISTEMAS DE INFORMACION; POR TANTO, LA EFECTIVIDAD DEL PROCESO DE CONTROL DEPENDERA DIRECTAMENTE DE LA INFORMACION RECIBIDA, MISMA QUE DEBERA SER OPORTUNA Y CONFIABLE. UNA VEZ EFECTUADA LA MEDICION Y OBTENIDA ESTA INFORMACION, SERA NECESARIO COMPARAR LOS RESULTADOS MEDIDOS EN RELACION CON LOS ESTANDARES PREESTABLECIDOS, DETERMINANDOSE ASI Auditoria en Informatica

MEDICION DE RESULTADOS

CORRECCION
LA UTILIDAD CONCRETA Y TANGIBLE DEL CONTROL ESTA EN LA ACCION CORRECTIVA PARA INTEGRAR LAS DESVIACIONES EN RELACION CON LOS ESTANDARES. EL TOMAR ACCION CORRECTIVA ES FUNCION DE CARACTER EJECUTIVO. ES DE VITAL IMPORTANCIA RECONOCER SI LA DESVIACION ES UN SINTOMA O UNA CAUSA. POR EJEMPLO: CUANDO EXISTE UNA BAJA EN LAS VENTAS, LO QUE INDICA QUE ALGO NO SE HA EJECUTADO DE ACUERDO CON LO PLANEADO, PERO ANTES DE INCREMENTAR VENDEDORES, ES CONVENIENTE ANALIZAR SI ESTA BAJA NO ES CAUSA DE UNA MALA CALIDAD EN EL PRODUCTO O DE UNA PUBLICIDAD POBRE.
Auditoria en Informtica

RETROALIMENTACION
ES BASICA EN EL PROCESO DE CONTROL, YA QUE A TRAVEZ DE LA RETROALIMENTACION, LA INFORMACION OBTENIDA SE AJUSTA AL SISTEMA ADMINISTRATIVO AL CORRER DEL TIEMPO. DE LA CALIDAD DE LA INFORMACION, DEPENDERA EL GRADO Y RAPIDEZ CON QUE SE RETROALIMENTE EL SISTEMA.
Auditoria en Informatica

FACTORES QUE COMPRENDE EL CONTROL

EXISTEN 4 FACTORES QUE DEBEN SER CONSIDERADOS AL APLICAR EL PROCESO DE CONTROL: CANTIDAD TIEMPO COSTO CALIDAD
Auditoria en Informatica

LOS TRES PRIMEROS SON CARCTER CUANTITATIVO Y ULTIMO, COMO SU NOMBRE INDICA CUALITATIVO.

DE EL LO

EL FACTOR CANTIDAD SE APLICA EN ACTIVIDADES EN LAS QUE EL VOLUMEN ES IMPORTANTE; A TRAVEZ DEL FACTOR TIEMPO SE CONTROLAN LAS FECHAS PROGRAMADAS; EL COSTO ES UTILIZADO COMO UN INDICADOR DE LA EFICACIA ADMINISTRATIVA ; POR ULTIMO LA CALIDAD SE REFIERE A LAS ESPECIFICACIONES QUE DEBE REUNIR UN DETERMINADO PRODUCTOO CIERTAS
Auditoria en Informatica

TIPOS DE CONTROL
En cuanto a su periodicidad: Control preliminar. Es aquel que se efecta antes de realizar las actividades. Control concurrente. Se ejerce de manera simultnea a la realizacin de actividades, como un proceso continuo. Control posterior. Se aplica despus de haber realizado las actividades planeadas. Su objeto es suministrar informacin para comparar los resultados obtenidos, en relacin con lo preestablecido. Auditoria en Informatica

Por reas funcionales:

Control de calidad Control de inventarios Control de la produccin Compras Control de ventas Investigacin y desarrollo Control presupuestal Control contable Costos Auditora Evaluacin del desempeo Evaluacin de capacitacin y desarrollo Evaluacin de la motivacin Evaluacin de sueldos y salarios Evaluacin sobre prestaciones y seguridad Evaluacin de reclutamiento y seleccin Auditora de recursos humanos

Produccin Mercadotecnia Finanzas

Personal e higiene
Auditoria en Informatica

QUE ES AUDITORIA Es un examen crtico que se realiza con el fin de evaluar la eficacia y eficiencia de una seccin, un organismo, una entidad, etc.
Auditoria en Informatica

La palabra auditora proviene del latn auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de or.

Auditoria en Informatica

Tradicionalmente se conocen dos clases: Auditora Interna y Auditora Externa.

La auditora interna: La desarrollan personas que dependen del negocio y actan revisando, las ms de las veces, aspectos que interesan particularmente a la administracin, aunque pueden efectuar revisiones programadas sobre todos los aspectos

Auditoria en Informatica

La auditoria externa, conocida tambin como auditoria independiente, la efectan profesionistas que no dependen de la empresa, ni econmicamente ni bajo cualquier otro concepto, y a los que se reconoce un juicio imparcial merecedor de la confianza de terceros. El objetivo de su trabajo es la emisin de un dictamen. Esta clase de auditoria es la actividad ms caracterstica del Contador Pblico.
Auditoria en Informatica

AUDITORIA INFORMATICA
La Informtica hoy, est subsumida en la gestin integral de la empresa, y por eso las normas y estndares propiamente informticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones informticas forman parte de lo que se ha denominado el "management" o gestin de la empresa. Cabe aclarar que la Informtica no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por s misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditora Informtica.
Auditoria en Informatica

Los principales objetivos que constituyen a la auditora Informtica son:

El control de la funcin informtica, el anlisis de la eficiencia de los Sistemas Informticos que comporta, la verificacin del cumplimiento de la Normativa general de la empresa en este mbito y la revisin de la eficaz gestin de los recursos materiales y humanos informticos.
Auditoria en Informatica

El auditor informtico
Ha de velar por la correcta utilizacin de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Informacin. Claro est, que para la realizacin de una auditora informtica eficaz, se debe entender a la empresa en su ms amplio sentido, ya que una Universidad, un Ministerio o un Hospital son tan empresas como una Sociedad Annima o empresa Pblica. Todos utilizan la informtica para gestionar sus "negocios" de forma rpida y eficiente con el Auditoriade obtener beneficios fin en Informatica

Por eso, al igual que los dems rganos de la empresa , los Sistemas Informticos estn sometidos al control correspondiente, o al menos debera estarlo. La importancia de llevar un control de esta herramienta se puede deducir de varios aspectos. He aqu algunos:

Auditoria en Informatica

Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditora Informtica de Seguridad. Las computadoras creadas para procesar y difundir resultados o informacin elaborada pueden producir resultados o informacin errnea si dichos datos son, a su vez, errneos. Este concepto obvio es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus Sistemas Informticos, con la posibilidad de que se provoque un efecto cascada y
Auditoria en Informatica

Un Sistema Informtico mal diseado puede convertirse en una herramienta peligrosa para la empresa, est determinada por las computadoras que materializan los Sistemas de Informacin , la gestin y la organizacin de la empresa no puede depender de un Software y Hardware mal diseados. Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema Informtico, por eso, la necesidad de la Auditora de Sistemas.
Auditoria en Informatica

Qu es auditoria informtica? Considerada como un examen crtico que se realiza con el fin de evaluar la eficacia y eficiencia de la infraestructura informtica de una empresa y si la inversin que se ha hecho en la misma cumple con los propsitos para lo cual fue

 La auditoria informtica es por lo tanto el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de informacin salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos, pues el progreso de la tecnologa de la computacin y la informtica, est mejorando da a da, esto a la vez est causando los

Programas para auditoria informtica

En el mercado existen una gran variedad de software o programas para la realizacin de auditoria informtica en las empresas, dentro de los cuales queremos destacar los que son gratuitos como las herramientas Centennial Discovery, Gasp, Novell ZENworks Asset Management, y EasyVista que han sido diseadas para ayudarles a identificar y realizar un seguimiento del software instalado en sus

Se pueden destacar sus atributos como la GASP: Una herramienta para auditoria de software, hardware y archivos, las versiones de esta herramienta se encuentran disponibles para plataformas Windows y Mac. Adems est Centennial Discovery: una herramienta completa para auditora y descubrimiento de la red. Esta herramienta se encuentra disponible para las plataformas Windows, Mac, Unix y Linux. Tambin ZENworks Asset Management: para inventario integrado

Objetivo fundamental de la auditora informtica: Operatividad

La operatividad es una funcin de mnimos consistente en que la organizacin y las maquinas funcionen, siquiera mnimamente. No es admisible detener la maquinaria informtica para descubrir sus fallos y comenzar de nuevo. La auditora debe iniciar su actividad cuando los Sistemas estn operativos, es el principal objetivo el de mantener tal situacin. Tal objetivo debe conseguirse tanto a nivel global como parcial. La operatividad de los Sistemas ha de constituir entonces la principal preocupacin del auditor informtico. Para conseguirla hay que acudir a la realizacin de Controles Tcnicos Generales de Operatividad y Controles Tcnicos Especficos de Operatividad, previos a cualquier actividad de

Los Controles Tcnicos Generales

Los Controles Tcnicos Generales son los que se realizan para verificar la compatibilidad de funcionamiento simultaneo del Sistema Operativo y el Software de base con todos los subsistemas existentes, as como la compatibilidad del Hardware y del Software instalados. Estos controles son importantes en las instalaciones que cuentan con varios competidores, debido a que la profusin de entornos de trabajo muy diferenciados obliga a la contratacin de diversos productos de Software bsico, con el consiguiente riesgo de abonar ms de una vez el mismo producto o

CONTROLES TECNICOS ESPECIFICOS

Los Controles Tcnicos Especficos, de modo menos acusado, son igualmente necesarios para lograr la Operatividad de los Sistemas. Un ejemplo de lo que se puede encontrar mal son parmetros de asignacin automtica de espacio en disco* que dificulten o impidan su utilizacin posterior por una Seccin distinta de la que lo gener. Tambin, los periodos de retencin de ficheros comunes a varias Aplicaciones pueden estar definidos con distintos plazos en cada una de ellas, de modo que la prdida de

 *Parmetros de asignacin automtica de espacio en disco: Todas las Aplicaciones que se desarrollan son super-parametrizadas , es decir, que tienen un montn de parmetros que permiten configurar cual va a ser el comportamiento del Sistema. Una Aplicacin va a usar para tal y tal cosa cierta cantidad de espacio en disco. Si uno no analiz cual es la operatoria y el tiempo que le va a llevar ocupar el espacio asignado, y se pone un valor muy chico, puede ocurrir que un da la Aplicacin reviente, se caiga. Si esto sucede en medio de la operatoria y la Aplicacin se cae, el volver a levantarla, con la nueva asignacin de espacio, si hay que hacer reconversiones o lo que sea, puede llegar

 Revisin de Controles de la Gestin Informtica: Una vez conseguida la Operatividad de los Sistemas, el segundo objetivo de la auditora es la verificacin de la observancia de las normas tericamente existentes en el departamento de Informtica y su coherencia con las del resto de la empresa. Para ello, habrn de revisarse sucesivamente y en este orden: Las Normas Generales de la Instalacin Informtica. Se realizar una revisin inicial sin estudiar a fondo las contradicciones que pudieran existir, pero registrando las reas que carezcan de normativa, y sobre todo verificando que esta Normativa General Informtica no est en contradiccin con alguna Norma

Perfil del Auditor Informtico

El auditor informtico como encargado de la verificacin y certificacin de la informtica dentro de las organizaciones, deber contar con un perfil que le permita poder desempear su trabajo con la calidad y la efectividad esperada. Para ello a continuacin se establecen algunos elementos con que deber contar: Conocimientos generales. * Todo tipo de conocimientos tecnolgicos, de forma actualizada y especializada respecto a las plataformas existentes en la organizacin; * Normas estndares para la auditora interna;

*Caractersticas de la organizacin respecto a la tica, estructura organizacional, tipo de supervisin existente, compensaciones monetarias a los empleados, extensin de la presin laboral sobre los empleados, historia de la organizacin, cambios recientes en la administracin, operaciones o sistemas, la industria o ambiente competitivo en la cual se desempea la organizacin, etc.

 Herramientas.

* Herramientas de control y verificacin de la seguridad; * Herramientas de monitoreo de actividades, etc.

Tcnicas.

* Tcnicas de Evaluacin de riesgos; * Muestreo; * Clculo pos operacin; * Monitoreo de actividades; * Recopilacin de grandes cantidades de informacin; * Verificacin de desviaciones en el comportamiento de la data; * Anlisis e interpretacin de la evidencia,

Cul es el objetivo del Auditor?.

1.- Identificacin de vulnerabilidades, amenazas, exposiciones y riesgos potenciales. 2.- Asegurar que los controles contengan pistas de auditora y medidas de seguridad. 3.- Verificar que stos estn funcionando correcta y efectivamente.

Ubicacin jerrquica Independencia no influida por aspectos personales o autoridad Polticas claras para la funcin Apoyo de la direccin Participacin de reas de negocio Nunca en un nivel operativo No debe depender de... Direccin de RRHH Finanzas Manufactura rea contable reas operativas en general TABLA

LAS NORMAS DE AUDITORIA GENERALMENTE ACEPTADAS

NORMAS GENERALES O PERSONALES NORMAS RELATIVAS A LA EJECUCION DEL TRABAJO NORMAS RELATIVAS A LA RENDICION DE INFORMES

NORMAS DE LA AUDITORIA
Son los requisitos mnimos de calidad relativos a: Personalidad del Auditor: Cuidado y diligencia profesional Entrenamiento Tcnico y capacidad profesional. Independencia mental, es decir, que no existan lazos jerrquicos o familiares entre auditores y auditados. Ejecucin del trabajo. Planeacin y supervisin. Estudio y evaluacin del control interno. Obtencin de evidencia suficiente y competente (vistas de auditora).

NORMAS RELATIVAS A LA RENDICION DE INFORMES

Adherencia a los principios de contabilidad Revelaciones Opinin

El programa de auditora.
Determina el rea a auditar. Evaluar o revisar informacin relativa a el rea a la cual se tiene acceso: el programa de trabajo del rea, organigrama, manual de organizacin, reportes de trabajo, plantilla de personal, relacin de sistemas que est desarrollando o explotando el rea, entre otros. Preparar documentos de trabajo (Cuestionario de auditora). Presentarnos con el rea a auditar y explicar de qu forma se llevar la auditora. Aplicar el cuestionario al rea aplicada, y el auditado debe proporcionar evidencia que corrobore sus afirmaciones. Analizar la informacin obtenida y elaborar un dictamen. Revisar el dictamen y aclarar puntos obscuros o dudosos. Presentar el dictamen a la alta direccin y al auditado.