UNIVERSIDAD CENTRAL DEL ECUADOR

FACULTAD DE CIENCIAS ADMINISTRATIVAS

CARRERA DE CONTABILIDAD Y AUDITORA

AUDITORA DE SISTEMAS

Msc. Mnica Jimbo Santana, Phd (c)

Julio 2017
 CARRERA DE CONTABILIDAD Y
AUDITORA

TCNICAS DE INFORMACION Y COMUNICACIN

 Tcnicas de Informacin y Comunicacin
TIC
Conjunto de tecnologas que permiten la
adquisicin, produccin, almacenamiento,
tratamiento, comunicacin, registro y
presentacin de informaciones, en forma de voz,
imgenes y datos contenidos en seales de
naturaleza acstica, ptica o electromagntica.
 INFORMACIN

DATOS PROCESAMIENTO INFORMACIN

La palabra INFORMAR significa DAR FORMA A

Es el elemento que le da significado o sentido a las cosas, e
indica mediante cdigos y conjunto de datos, los modelos de
pensamiento humano . En consecuencia , la Informacin
procesa y crea el conocimiento humano.
 Por qu es importante el manejo de
la informacin?
Cuando el ser humano es capaz de manejar toda la informacin que
dispone, puede alcanzar sus metas y cumplir con sus objetivos de una
manera mucho ms rpida y fcil.

Actividades ms importantes que componen este proceso son:

Definir necesidades de informacin
Buscar fuentes de informacin de modo estratgico
Registrar y organizar sistemticamente la informacin
Procesar la informacin
Representar la informacin
Comunicar la informacin

La estadsticas en el proceso de manejo de la informacin demuestran

que el conocimiento impreso se duplica cada 8 aos, y que en los ltimos
30, se ha generado ms informacin que en los 5.000 aos anteriores.
 COMUNICACIN
Redes:

Internet ha trado como consecuencia pasar de una

poca que la informacin era escasa, de difcil acceso y
costosa a otra en la cual sta es abundante, fcil de
localizar y acceder y en muchsimos casos gratuita.
 Auditora
de
Sistemas

CONCEPTOS
FUNDAMENTOS TENDENCIAS
 Qu es la Auditoria?

Revisin independiente de una actividad

determina.

Cul es el objetivo de la Auditoria de

Sistemas?

MINIMIZAR RIESGOS
 Para que?

Brindar una certidumbre razonable.

Cumplir las metas y objetivos del negocio.
Eficacia y Eficiencia Operativa.
Confiabilidad e Integridad de informes.
Cumplir las leyes y las reglamentaciones.
Brindar advertencia temprana
 La Gestin del Servicio Informtico
Se basa en la promocin, soporte y aplicacin de las mejores
prcticas, marcos referenciales y estndares de aceptacin
Internacional, tales como:
ISO/IEC ,
(International Organization for Standardization)
(International Electrotechnical Commission)

ITIL, (Information Technology

Infrastructure Library)

COBIT, (Control Objectives for Information

and related Technology).

COSO, (Committee of Sponsoring Organizations)

ISO/IEC -24764-7799 2700X y otras.
METODOLOGAS DE AUDITORIAS DE
SISTEMAS

COSO
 ESTRUCTURA DE RIESGO
EVALUACIN DEL RIESGO ADMINISTRACIN DEL RIESGO

Identificacin de Procesos Ejecucin del

Plan del
Plan del
Manejo del
Manejo del
Riesgo
Cualitativo Riesgo

Anlisis Priorizacin

Auto
Monitoreo
Cuantitativo Evaluacin
 ANLISIS DEL RIESGO
ELEMENTOS DEL RIESGO

PROBABILIDAD : Frecuencia (estimada o

conocida) con la que podra ocurrir el hecho.

IMPACTO: El resultado que el hecho incierto

puede ocasionar
 Control de las diferentes actividades operativas sobre:

i. Cumplimiento de procedimientos, normas y controles dictados. Merece

resaltarse la vigilancia sobre el control de cambios y versiones de
software.
ii. Controles sobre la produccin diaria
iii. Controles sobre la calidad y eficiencia del desarrollo y mantenimiento de
software y del servicio de informtica
iv. Controles en las redes de comunicaciones
v. Controles sobre el software de base
vi. Controles en los sistemas microinformticos
vii. La seguridad informtica ( puede designarse la responsabilidad a control
interno o control dual)
viii. Usuarios, responsables y perfiles de uso de archivo, bases de datos.
ix. Normas de seguridad
x. Control de Informacin clasificada
xi. Control dual de la seguridad Informtica
xii. Licencias y relaciones contractuales con terceros
xiii. Asesorar y transmitir cultura sobre el riesgo informtico.
 ELEMENTOS DEL RIESGO
MEDIDAS DE PROBABILIDAD
NIVEL DENOMINACIN VALOR DESCRIPCIN
81% - 100% CASI CERTEZA 5 Se espera que
ocurra
61% - 80% PROBABLE 4 Probablemente
ocurra
41% - 60% POSIBLE 3 Podra ocurrir
en algn
momento
21% - 40% IMPROBABLE 2 Puede ocurrir
en algn
momento
0% - 20% RARO 1 Puede ocurrir
solo en una
circunstancias
 ELEMENTOS DE IMPACTO
MEDIDAS DE PROBABILIDAD
NIVEL DENOMINACIN DESCRIPCIN

1 Insignificante Requiere tratamiento mnimo

2 Menor Requiere tratamiento menor

3 Moderado Requiere tratamiento

4 Mayor Requiere tratamiento intenso

5 Catastrfico Requiere tratamiento mayor

ESTNDARES MS UTILIZADOS TI
TEMAS ESTNDARES TI

GESTIN DE TI ISO 20000, ITIL, COBIT

GESTIN DE SEGURIDAD ISO 27000, COBIT SEGURITY

GESTIN DE CALIDAD ISO 90001

GESTIN DE RIESGO ISO 31000, ISO 27705, COSO

AUDITORA ISO 19011, COBIT

UN MARCO DE REFERENCIA DE NEGOCIO PARA EL
GOBIERNO Y GESTIN DE TI DE LA EMPRESA
GOBIERNO DE TI
OBJETIVOS DE GOBIERNO EMPRESARIAL DE
TI

Maximizar la Realizacin
Optimizacin de Riesgos Optimizacin de Recursos.
de Beneficios
OBJETIVOS DE GOBIERNO EMPRESARIAL DE
TI
 FUNDAMENTOS DE COBIT
DIRIGIR

CONTROLAR

RESPONSABILIZAR

EJECUTAR
 FUNDAMENTOS DE COBIT
CEO ACCONUNTANT

RESPONSABLE

CIO
ACCONUNTANT
RESPONSABLE

R
PROCESOS - ACTIVIDADES
Modelo de objetivos en cascada de COBIT
5 (ISACA)
 Modelo de objetivos en cascada de
COBIT 5 (ISACA)
Ejemplo completo que incluye la relacin entre perspectiva,
meta de negocio, metas de TI, procesos de TI e indicadores
relacionados.
PRINCIPIO 1: Satisfacer las necesidades de
las partes interesadas
CREACIN DE VALOR A SUS
ACCIONISTAS
Realizacin
de Beneficios
Al tomar una decisin, se pueden
y deben hacer las siguientes
Optimizacin preguntas:
de Recursos
Quin se beneficia?
Quin asume el riesgo?
Qu recursos se requieren?
Optimacin
del Riesgo
Quien se perjudica?
 PRINCIPIO 1: Satisfacer las necesidades de las
partes interesadas

Cmo se consigue valor mediante el uso de TIC?

Est el usuario final satisfecho con la calidad de servicio de TIC?
Cmo se gestiona el rendimiento de TIC?
Cmo se puede explotar mejor la tecnologa para conseguir nuevas oportunidades
estratgicas?
Cmo puedo construir y estructurar mejor mi departamento de TIC? Cunto
dependo de mis proveedores externos?
Qu tan bien estn siendo gestionados los acuerdos de tercerizacin de TIC?
Cmo puedo verificarlos sobre proveedores externos?
Cules son los requisitos de control para la informacin? contemplado todos los
riesgos relacionados con TIC?
Estoy ejecutando una operacin de TIC eficiente y robusta?
Cmo se controla el coste de TIC?
Cmo se usan los recursos de TIC en la manera ms efectiva y eficiente?
Cules son las opciones de aprovisionamiento ms efectivas y eficientes?
Tengo suficiente personal para TIC?
Cmo puedo desarrollar y mantener sus habilidades y cmo gestiono su
rendimiento?
 PRINCIPIO 1: Satisfacer las necesidades de las
partes interesadas
Esta bien asegurada la informacin que se est procesando?
Cmo se puede mejorar la capacidad de respuesta del negocio mediante
un entorno de TIC ms flexible?
Fracasan los proyectos de TIC en proporcionar lo que haban
prometido? Si es as, por qu permanece la TIC en el camino de ejecutar
la estrategia de negocio?
Cun crtica es la TIC para la sostenibilidad de la empresa?
Qu pasara si la TIC no estuviera disponible?
Qu procesos de negocio crticos dependen de TIC y cules son los
requerimientos de los procesos del negocio?
Son suficientes los recursos y la infraestructura de TIC disponibles para
conseguir los objetivos estratgicos de la empresa requeridos?
Cuanto se tarda en la toma de decisiones importantes de TIC?
transparentes el esfuerzo y las inversiones totales en TIC?
Respalda TIC a la empresa en el cumplimiento de la normativa y los
niveles de servicio?
PRINCIPIO 2: Cubrir la Empresa de
Extremo a Extremo
 Principio 3: Aplicar un Marco de
Referencia nico Integrado

COBIT 5 se alinea con los ltimos estndares y marcos

de referencia usados en el mundo empresarial:
Empresas: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC
31000. Relacionados con TI: ISO/IEC 38500, ITIL, ISO/IEC
27000 series, TOGAF, PMBOK/PRINCE2, CMMI . Esto
permite que la empresa use COBIT 5 como el marco de
referencia integrador general de gobierno y gestin.
ISACA planea una capacidad para facilitar al usuario de
COBIT el mapeo de prcticas y actividades de
referencias de terceros.
Principios 4: Hacer Posible un Enfoque Holstico

Los catalizadores de COBIT 5:

Factores que individual y colectivamente, tienen
influencia en que algo funcione en el caso de
COBIT, el Gobierno y Gestin de la TI empresarial.
Manejados por la Cascada de Metas, es decir, los
objetivos relacionados con TI de alto nivel definen
aquello que los diferentes catalizadores deben
lograr.
Descritos en el marco de referencia COBIT 5 en siete
categoras.
Principios 4: Hacer Posible un
Enfoque Holstico
Principios 4: Hacer Posible un Enfoque Holstico

1. Los Principios, Polticas y Marcos de Referencia

2. Los Procesos
3. Las Estructuras Organizativas
4. La Cultura, tica y Comportamiento
5. La Informacin impregna
6. Los Servicios, Infraestructuras y Aplicaciones
7. Las Personas, Habilidades y Competencias
 Principio 5: Separar el Gobierno de la
Gestin.
El marco de referencia COBIT 5 establece una clara diferencia
entre el Gobierno y la Gestin. Estas dos disciplinas:

Abarcan diferentes tipos de actividades . Requieren

diferentes estructuras organizacionales. Sirven para
diferentes propsitos.

GobiernoEn la mayora de empresas, el Gobierno es

responsabilidad del directorio bajo el liderazgo del
Presidente del Directorio.

GestinEn la mayora de empresas, la Gestin es

responsabilidad de la plana ejecutiva bajo el liderazgo del
Gerente General.
Principio 5: Separar el Gobierno de la
Gestin.
 PROCESOS DE GOBIERNO DE TI

EVALUAR, DIRIGIR Y MONITORIAR:

EDM01: Asegurar y mantenimiento y marco de

gobierno
EDM02: Asegurar la Optimizacin de Valor
EDM03: Asegurar la Optimizacin de Riesgos
EDM04: Asegurar la Optimizacin de Recursos
EDM05: Asegurar la Transparencia de los Stakeholders
 PROCESOS DE GESTIN
ALINEAR, PLANEAR Y ORGANIZAR
APO01:Gestionar el marco de gestin de TI
APO02:Gestionar la estrategia
APO03: Administrar la Arquitectura Empresarial
APO04: Gestionar la Innovacin
APO05: Gestionar la Cartera
APO06: Gestionar los Costos y el Presupuesto
APO07: Gestionar los Recursos Humanos
APO08: Gestionar las Relaciones
APO09: Gestionar los acuerdos de Servicios
APO10: Gestionar a los Proveedores
APO11: Gestionar la Calidad
APO12: Gestionar el Riesgo
APO13: Gestionar la Seguridad
 PROCESOS DE GESTIN
CONSTRUIR, ADQUIRIR E IMPLEMENTAR

BAI01: Gestionar Programas y Proyectos

BAI02: Gestionar la definicin de Requerimientos
BAI03: Gestionar la identificacin y Construccin de Soluciones
BAI04: Gestionar la Disponibilidad y Capacidad
BAI05: Gestionar la Habilitacin del Campo Organizacional
BAI06: Gestionar los Cambios
BAI07: Gestionar la Aceptacin y Transicin de los Cambios
BAI08: Gestionar el Conocimiento
BAI09: Gestionar los Activos
BAI10: Gestionar la Configuracin
 PROCESOS DE GESTIN
OPERACIN, SERVICIO, TRANSPORTE

DSS01: Gestionar las Operaciones

DSS02: Gestionar los Requerimientos de los Servicios e Incidentes
DSS03: Gestionar los problemas
DSS04: Gestionar la Continuidad
DSS05: Gestionar los Servicios de Seguridad
DSS06: Gestionar los controles de los Procesos de Negocios.
 PROCESOS DE GESTIN
MONITOREAR, MEDIR Y EVALUAR

MEA01: Monitorear, Medir y Evaluar el

Rendimiento y la Conformidad
MEA02: Monitorear, Medir y Evaluar el Sistema
de Control Interno
MEA03: Monitorear, Medir y Evaluar el
Cumplimiento de los Requerimientos
Externos
 CONCLUSIONES COBIT 5

Integra los cinco principios que permiten a la

empresa construir un marco de referencia de
Gobierno y Gestin efectivos basado en un
conjunto holstico de siete Catalizadores que
optimizan la inversin y el uso de la
Informacin y la Tecnologa para beneficio de
las Partes Interesadas, 1 dominio de Gob TI, 4
dominios de gestin en total 37 procesos.