Académique Documents
Professionnel Documents
Culture Documents
Informtica
Unidad 7:
Auditora de los Sistemas de
Informacin
Salvaguardar activos,
a) Funciones Preventivas
Polticas Gerenciales
Misiones y Funciones
Esquemas de organizacin
Normas y procedimientos
Polticas de personal
Etc.
b) Funciones de Control/Verificacin
La funcin de lnea, en todos sus niveles (control
operativo)
La funcin staff (auditora)
Auditora: Conceptos
Componentes de un Sistema de Control
RT7 CECyT (reemplazada por RT 37)
Caracterstica
Sistema
o Condicin Sensor
Operante
Controlada
Grupo Grupo de
Activante Control
Auditora: Conceptos
Auditora
Concepto
APLICACIONES
Auditora de la Adquisicin
Sensor
Unidad de medida, el estndar o la norma con la cual voy a medir o
comparar el sistema de informacin.
Normas internas:
Algunas organizaciones de cierta envergadura suelen generar su propio conjunto de
normas de funcionamiento materializadas en manuales de procedimientos, cursogra-
mas, flujogramas, organigramas, documentacin de sistemas, etc.
Normas externas:
Profesionales:
Informe 6 Area de Auditora del CECyT: Pautas para el Examen de Estados Contables
en un Contexto Computadorizado
Informe 15 Area de Auditora del CECyt: Auditora en Ambientes Computadorizados.
Organismos de Control:
Comunicacin A 2659 del Banco Central de la Repblica Argentina
Pautas de Control Interno para Sistemas Computadorizados y Tecnologa de
Informacin de la SIGEN (Sindicatura Gral.de la Nacin)
Internacionales
C.O.B.I.T Objetivos de control para la informacin y la tecnologa
Relacionada, desarrollado por la I.S.A.C.A. Asociacin de Auditora y Control de
Sistemas de Informacin.
Auditora de Sistemas de Informacin: Conceptos
Sensor
1 Introduccin:
Objetivos y Alcances,
Descripcin del Ambito Computadorizado
Impacto de la Computacin en las Actividades de Control
Marco Conceptual
Riesgo de Auditora
Definicin de Riesgo
Metodologa de Anlisis
Nivel Macro
Identificar los factores de Riesgo
Sistema de Control Nivel de Sensibilidad - Complejidad Cambios -
Materialidad
Sistema de Control 5 0 0
Polticas de seguridad del entorno informtico 0,75
Nivel de cumplimiento de las normas y procedimientos 1
Pronta deteccin de errores 0,75
Pronta solucin de desvos 0,75
Experiencia de los programadores 0,5
Nivel de confiabilidad de los sistemas 1,25
Sensibilidad 2
Probabilidad de ocurrencia de errores 0,5
Queja de usuarios 0,4
Errores de Criterio al toma decisiones 0,4
Nivel de errores del sistema de autorizacin del SI 0,4
Grado de sensibilidad por variables exgenas 0,3
Cambios 3
Frecuencia de rotacin del personal 0,6
Frecuencia de reorganizaciones estructurales 0,6
Nivel de crecimiento y rotacin del personal 0,15
Criterios funcionales y modalidades operativas 0,9
Implantacin de nuevos Sistemas 0,6
Nivel de modificaciones a sistemas y programas 0,15
Complejidad 4
Naturaleza de las actividades 0,6
Nivel de Actividad 0,8
Entornos Funcionales 0,6
Modalidad Operativa 0,6
Desarrollo y Mantenimiento de Sistemas 0,6
Alcance de la automatizacin 0,8
Materialidad 1
Total Ponderacin
Anlisis de Riesgos
Nivel Micro
Consiste en:
Desarrollar los objetivos del control
Establecer prioridades de seguridad y confiabilidad
Seleccionar salvaguardas y controles para mitigar o eliminar las
amenazas, y por lo tanto la prdida o exposicin resultante.
Anlisis de Riesgos
Nivel Micro: Proceso de Evaluacin
ETAPA 1 Definicin del Objeto a auditar
Determinacin de Zonas y
Identificacin de Amenazas Puntos de Control
Posibles Qu? Dnde?
Vinculaciones de Amenazas y
Puntos de control
Determinacin de la
ETAPA 2 frecuencia de riesgo Con qu asiduidad?
Estimacin de la exposicin
ETAPA 3 (prdida) Magnitud de la prdida
NO SI Disear
OK? Implantar
Revisar
Etapas para el Desarrollo de la Auditora
PLANIFICACION
Etapas clave
Conocimiento
del negocio
Evaluar
Riesgos Controles
Controles gerenciales
Fsicos y Lgicos
Estrategia de
Auditora
Informe de Auditoras de Sistemas de Informacin
Material de la Ctedra
PLANIFICACION
Etapas clave
Conocimiento
del negocio
Ambiente de
control Controles
Evaluacin de gerenciales
Sistemas y
Ambiente IT
Estrategia de
Auditora
PLANIFICACION
Conocimiento del
Negocio
Conocimiento del
Negocio
VALOR
Ambiente de control
Evaluacin previa
a la definicin de
la estrategia
Ambiente de control
Areas a analizar
Rol de Directores
Organizacin, roles y responsabilidades del cliente Efectividad de la organizacin
Polticas de RRHH
Proceso evaluatorio
Evaluacin del riesgo por parte del cliente Cumplimiento de leyes y regulaciones
Evaluacin de
sistemas y
ambiente IT
Qu se requiere?
Documentar y probar los controles gerenciales para determinar la estrategia apropiada para
cada ciclo
PLANIFICACION
Evaluacin de
sistemas y
ambiente IT
Nivel de
entendimiento
requerido
Evaluacin de
sistemas y
ambiente IT
Dos pasos
fundamentales
Evaluacin de
sistemas y
ambiente IT
Pasos a seguir
DIAGRAMA DE
MAPEO
MAPEO DE CUENTAS Y PROCESOS
Mayor General
Ciclo de
Inventarios
Evaluacin de Sistemas
y Ambiente IT
Controles generales
Puntos a evaluar
Controles de
aplicacin
Puntos a evaluar
Enfoque bajo
normas
internacionales de
auditora
Sistemas de Sistemas de
Sistemas de base de datos
Microcomputadores
Red
Evaluacin de Sistemas
y Ambiente IT
Sistemas de
Microcomputadores
Debilidades frecuentes
Sistemas de
Red
Debilidades frecuentes
Sistemas de
Base de datos
Debilidades frecuentes
Auditora de la Adquisicin
El proyecto se encuentra dentro Los sistemas no responden a las necesidades El plan estratgico de sistemas es coordinado
del marco del plan de negocios del negocio. con el plan de negocios.
de la empresa.
Las especificaciones establecidas La habilidades propias del negocio no se En la documentacin de los requerimientos se
contemplan los factores encuentran apoyadas por los nuevos sistemas. identifican las habilidades principales que
esenciales del negocio. distinguen a la empresa.
El sistema tiene la capacidad de El sistema se muestra inflexible ante nuevos Se ha previsto que el o los sistemas sean
adaptarse a nuevas reglas del cambios. parametrizables y flexibles para adaptarse a
negocio. los cambios.
Se ha medido adecuadamente el El negocio se ve seriamente cuestionado ante Se ha previsto el alcance e impacto del
impacto del proyecto en el el fracaso del proyecto de sistemas. proyecto como as tambin las consecuencias
negocio del fracaso del mismo.
Revisiones de Auditora
Revisin
Revisin del Revisin de la
Proceso
requerimiento especificacin
seleccin
Revisin Revisin de
Revisin de la
Proceso de pruebas
Entrega
customizacin e instalacin
Revisiones de Auditora
Aspectos a Auditar
Plan de Contingencia
Integridad (completo)
Divulgacin
Actualizacin
Plan de Recuperacin