Sistemas de Informacin para la Gestin /

Informtica

Unidad 7:
Auditora de los Sistemas de
Informacin

U.N.Sa. Facultad de Cs.Econmicas SIG 2017

Sistemas de Informacin para la Gestin /
Informtica

UNIDAD 7: AUDITORA DE LOS SISTEMAS DE INFORMACIN

1. Control Interno y Auditora de SI. Las funciones de control interno y auditoria

informticos. Sistema de control interno informtico. Tipos y metodologas

2. Revisiones de auditora: Entorno jurdico de la auditora de los S. Herramientas

para auditora de SI. Principales reas de la auditora. Del outsourcing, de la
seguridad fsica, de la direccin informtica, de la explotacin, de bases de dato,
de la seguridad, de redes, de Internet, de aplicaciones, del desarrollo y
mantenimiento de sistemas, del sistema de vigilancia y sobre los datos de carcter
general

3. Contrato e Informe de auditoras de sistemas de informacin: El contrato de

auditora. El informe de auditora. tica del auditor de los SI.
Sistemas de Informacin para la Gestin /
Informtica

UNIDAD 7: AUDITORA DE LOS SISTEMAS DE INFORMACIN

Sistemas de informacin para la gestin empresaria: Procedimientos, Seguridad y

Auditora. Alerto Lardent. Prentice Hall. Seccin Segunda .

RT 37 Centro de Estudios Cientficos y Tcnicos FACPCE

Normas de Auditora, Revisin, Otros Encargos de Aseguramiento, Certificacin y
Servicios Relacionados.

Informe 15 Area Auditora FACPCE: Auditora en Ambientes Computadorizados

 Auditora: Conceptos
Control Interno

Conjunto de mtodos coordinados y medidas

adoptadas dentro de una organizacin con el fin de:

Salvaguardar activos,

Asegurar la confiabilidad y correccin de los

datos contables y extracontables

Promover la eficacia y eficiencia de las

operaciones

Promover la adhesin a las polticas vigentes

 Auditora: Conceptos

El Control Interno se instrumenta a partir de:

a) Funciones Preventivas
Polticas Gerenciales
Misiones y Funciones
Esquemas de organizacin
Normas y procedimientos
Polticas de personal
Etc.

b) Funciones de Control/Verificacin
La funcin de lnea, en todos sus niveles (control
operativo)
La funcin staff (auditora)
 Auditora: Conceptos
Componentes de un Sistema de Control
RT7 CECyT (reemplazada por RT 37)

Caracterstica
Sistema
o Condicin Sensor
Operante
Controlada

Grupo Grupo de
Activante Control
 Auditora: Conceptos

Auditora

Es una funcin de control independiente del sistema

controlado, que en forma sistemtica y organizada
debe:
Comparar la caracterstica o condicin controlada,
con respecto a las pautas, normas o elementos
utilizados para medirla. Es decir comparar el objeto
con respecto al sensor.
Determinar los desvos, e
Informar a quien ordena o contrata la auditora,
que jerrquicamente debe estar por encima del
sistema auditado.
 Auditora: Conceptos

Concepto Moderno de Auditora

La Auditora ha cambiado de un enfoque de viejas

nociones reactivas hacia una actitud proactiva, con
una fuerte inclinacin hacia deteccin de fraudes,
monitoreo continuo y capacidad para mejorar
procesos del negocio
 Auditora de Sistemas de Informacin

Concepto

Proceso formal llevado adelante por especialistas en

auditora y en informtica a efectos de verificar y
asegurar que los recursos y procesos involucrados
en la construccin y explotacin de los sistemas de
informacin cumplen con los procedimientos
establecidos y se ajustan a criterios de integridad,
eficiencia, seguridad, efectividad y legalidad.
Auditora de Sistemas de Informacin: Conceptos

Objeto de la Auditora de Sist.de Informacin

El mbito de la ASI se refiere al entorno informtico

correspondiendo entenderse por tal a todo lo que
conforma:
Tecnologa Informtica (Oferta)
Hardware y Software
Tecnologa de Comunicaciones y Base de datos
Metodologa para la construccin de
aplicaciones.

APLICACIONES

Sistemas de Informacin (Demanda)

Necesidades de Informacin
Requerimientos del Negocio
Auditora de Sistemas de Informacin: Conceptos

Principales Areas de Actividad de la A.S.I.

Auditora de la direccin (Plan Estratgico de Sistemas)

Auditora del desarrollo (gestin de proyecto)

Auditora de la Adquisicin

Auditora Seguridad (Seguridad Fsica, Seguridad Lgica,

Evaluacin de Riesgos, Plan de Contingencias)

Auditora de la explotacin y Mantenimiento (Utilizacin de

sistemas, puesta en marcha, cambios de programas)
Auditora de Sistemas de Informacin: Conceptos

Principales Funciones de la A.S.I.

Evaluacin y verificacin de controles y procedimientos relacionados con

la funcin de informtica
Verificacin del uso eficiente de los SI.
Desarrollo de las actividades del rea de auditora informtica de acuerdo
a estndares normativos.
Evaluacin de las reas de riesgo y en consecuencia planificacin de las
tareas del rea.
Realizar el monitoreo permanente de las actividades del rea.
Realizar el monitoreo de la seguridad.
Monitoreo de la aplicacin de procedimientos.
Realizar una adecuada informacin y seguimiento de las observaciones
realizadas.
Auditora de Sistemas de Informacin: Conceptos

Sensor
Unidad de medida, el estndar o la norma con la cual voy a medir o
comparar el sistema de informacin.

Normas internas:
Algunas organizaciones de cierta envergadura suelen generar su propio conjunto de
normas de funcionamiento materializadas en manuales de procedimientos, cursogra-
mas, flujogramas, organigramas, documentacin de sistemas, etc.

Normas externas:
Profesionales:
Informe 6 Area de Auditora del CECyT: Pautas para el Examen de Estados Contables
en un Contexto Computadorizado
Informe 15 Area de Auditora del CECyt: Auditora en Ambientes Computadorizados.
Organismos de Control:
Comunicacin A 2659 del Banco Central de la Repblica Argentina
Pautas de Control Interno para Sistemas Computadorizados y Tecnologa de
Informacin de la SIGEN (Sindicatura Gral.de la Nacin)
Internacionales
C.O.B.I.T Objetivos de control para la informacin y la tecnologa
Relacionada, desarrollado por la I.S.A.C.A. Asociacin de Auditora y Control de
Sistemas de Informacin.
Auditora de Sistemas de Informacin: Conceptos
Sensor

Criterio del Auditor:

Es el menos recomendable y en general el ms utilizado.

La principal crtica que se le puede hacer como sensor es la falta de

objetividad, ya que es la opinin del auditor sobre lo que debera ser, y por lo
general suele ser muy discutida, salvo casos de observaciones muy evidentes, o
una muy buena fundamentacin del criterio utilizado.
Auditora de Sistemas de Informacin: Conceptos

Sensor: Estructura del Informe 6 CECYT

1 Introduccin:
Objetivos y Alcances,
Descripcin del Ambito Computadorizado
Impacto de la Computacin en las Actividades de Control

2 - Evaluacin de las actividades de control

Descripcin de los controles
Metodologa
Relevamiento general
Relevamiento detallado
Evaluacin de las actividades relevadas
Prueba y evaluacin del funcionamiento. Tcnicas.
Auditora de Sistemas de Informacin: Conceptos

Sensor: Estructura del Informe 6 CECYT

3 - Determinacin de la naturaleza, extensin y oportunidad de los

procedimientos a aplicar para obtener elementos de juicio vlidos y
suficientes
Conceptos Generales
Calidad de los Controles
Posibilidades de Utilizar el Computador
Ventajas de Utilizar el Computador

4 Cuestionario de Actividades de Control de Sistemas Computadorizados

Recursos Afectados (Medios fsicos, soporte lgico, RRHH, instalaciones,
documentacin, archivos de datos y programas)
Mtodos de Operacin (en lotes, en lnea diferido, en tiempo real, servicio
de computacin.
Desarrollo y Mantenimiento del Sistema
Auditora de Sistemas de Informacin: Conceptos

Sensor: Estructura del Informe C.O.B.I.T.

Control OBjectives for Information and Relatives Technologies -

I.S.A.C.A. ( Information System Audit Control Association)

Establece una gua metodolgica estndar para la evaluacin

y comprobacin de actividades de Control Interno, en el
campo especfico.
Auditora de Sistemas de Informacin: Conceptos

Sensor: Estructura del Informe C.O.B.I.T.

Marco Conceptual

La informacin, cumple con los procesos de negocios, siguiendo criterios de:

1. Calidad: Eficacia y Eficiencia
2. Seguridad: Confidencialidad, Integridad y Disponibilidad
3. Confianza: Cumplimiento de disposiciones y confiabilidad.

Utilizando los recursos de la tecnologa informtica:

1. Datos,
2. Aplicaciones,
3. Tecnologa,
4. Instalaciones y
5. Personal.

Las actividades de los procesos informticos, se analizan por dominios:

1. Planificacin y organizacin,
2. Adquisicin e implementacin,
3. Entrega y soporte y
4. Monitoreo.
Ejemplo de Controles
Ejemplo de Controles
 Anlisis de Riesgos

Riesgo de Auditora

Es el riesgo que tiene un auditor como consecuencia de no haber

detectado durante la revisin practicada las fallas o irregularidades
que, al ser conocidas, le hubieran hecho modificar el dictmen del
informe y las recomendaciones asociadas.

La auditora debe ser planeada y para ello es imprescindible una

debida evaluacin y categorizacin de riesgos para priorizar los
casos asignar recursos y aplicar los procedimientos de auditora
ms convenientes.
 Anlisis de Riesgos

Definicin de Riesgo

o Todo evento contingente que de materializarse puede impedir o

comprometer el logro de los objetivos de un negocio o proceso.
o Es la probabilidad de que un hecho pueda afectar negativamente a la
organizacin
o Es una medida de incertidumbre

o Es cualquier amenaza externa o interna que pueda afectar el logro de

los objetivos de una organizacin
 Anlisis de Riesgos

Componentes del riesgo de Auditora

Riesgo inherente: aquel que es propio de la actividad del ente o
sistema, su naturaleza, estructura, actividad, magnitud, etc.
Est fuera de poder ser controlado por el auditor como para poder
eliminarlo.
Riesgo de Control: son los que resultan de un sistema de control
deficiente, incapaz de evitar o detectar fallas o irregularidades en
forma oportuna.
Est fuera de poder ser controlado por el auditor como para poder
eliminarlo, pero sus recomendaciones deben contribuir a reducirlo.

Riesgo de Deteccin: son los que resultan de un deficiente

planeamiento y/o ejecucin de la auditora, sea tanto en la evaluacin
y categorizacin de los riesgos, como en la seleccin y/o aplicacin de
los procedimientos de auditora.
Es del mbito y tarea exclusiva del auditor.
 Anlisis de Riesgos

Evaluacin y Categorizacin del Riesgo

Es la actividad que tiene como propsito medir el nivel de riesgo que

presenta cada caso objeto de auditora.
Es altamente subjetiva.
Depende del criterio, capacidad y experiencia del auditor.
Constituye la base del plan de actividades, determinando el alcance y
oportunidad de la revisin, as como tambin del procedimiento de
auditora a emplear.
Existen mtodos para reducir el nivel de subjetividad en la evaluacin
y categorizacin de los riesgos.
Los mtodos establecen pautas y procedimientos para la evaluacin.
 Anlisis de Riesgos

Metodologa de Anlisis

Pautas de Nivel Macro

Apoyan la fase del planeamiento que hace a un plan global del
mbito informtico, determinando los sistemas y/o reas de
mayor riesgo

Pautas de Nivel Micro

Se orientan a un subsistema o tarea puntual, que debieran
mitigar o eliminar los riesgos y determinar los procedimientos
de auditora.
 Anlisis de Riesgos

Nivel Macro
Identificar los factores de Riesgo
Sistema de Control Nivel de Sensibilidad - Complejidad Cambios -
Materialidad

Definir la importancia de los factores

(Apertura en cuanto a parmetros)

Puntuacin de cada factor

(al ser evaluados en sus parmetros)

Calcular y Evaluar Factores de Riesgo de cada

proyecto de auditora

Determinar las prioridades de los proyectos en

base a los riesgos
Proyectos priorizados conforme a los
resultados obtenidos
 Anlisis de Riesgos
Nivel Macro: Factores de Riesgo
Factor Parmetros o Indicadores
Reflejan la opinin acerca del funcionamiento del sistema de control interno en
el rea o sistema considerado
Un buen recurso para su tratamiento lo constituye el considerar determinados
indicadores como ser:
Participacin de los niveles gerenciales en la poltica de seguridad
Sistema de Polticas de seguridad del entorno informtico
Control Separacin de funciones y controles
Nivel de cumplimiento de las normas y procedimientos
Oportunidad en la deteccin de errores
Oportunidad en la solucin de problemas
Experiencia del personal (analistas, programadores, operadores,
usuarios)
Nivel de confiabilidad de los sistemas
Grado de sensibilidad de las reas y/o sistemas considerados en cuanto a su
gravitacin en os objetivos del ente o bien en cuanto a la adaptacin de los
mismos frente a las variantes del entorno.
Un buen recurso para su tratamiento lo constituye la disponibilidad de
Nivel de estadsticas que reflejen el comportamiento de indicadores como ser:
Sensibilidad Probabilidad de ocurrencia de errores
Quejas de usuarios y del pblico
Porcentajes de errores
Porcentaje de decisiones errneas
Grado de sensibilidad del sistema respecto a variables exgenas
 Anlisis de Riesgos
Nivel Macro: Factores de Riesgo
Factor Parmetros o Indicadores
Persigue evaluar el nivel potencial de errores que se pueden producir como
consecuencia de las variables interactuantes, como ser:
Naturaleza de las actividades
Nivel de actividad
Alcance y grado de automatizacin
Complejidad Entorno funcional y tecnologa utilizada
Modalidad operativa (centralizada, descentralizada, distribuda, en
lnea, en tiempo real, etc.)
Desarrollo y mantenimiento de sistemas
Dispersin geogrfica, conexiones locales y/o remotas
Cambios y su reiteracin en el tiempo que se producen respecto a aspectos
organizacionales, estructurales, de personal, sistemas de informacin, etc.
Entre los indicadores estn:
Cambios Nivel y frecuencia de rotacin del personal
Frecuencia de reestructuraciones
Nivel de crecimiento/reduccin de personal
Cantidad de modificaciones e implantacin de nuevos sistemas
Importancia del proyecto en trmino de magnitudes: costo, personas,
Materialidad recursos.
A mayor materialidad, mayores riesgos
 Anlisis de Riesgos
Nivel Macro
Ejemplo Evaluacin Factores de Riesgo
Factor de Riesgo Importancia Puntuacin Ponderacin

Sistema de Control 5 0 0
Polticas de seguridad del entorno informtico 0,75
Nivel de cumplimiento de las normas y procedimientos 1
Pronta deteccin de errores 0,75
Pronta solucin de desvos 0,75
Experiencia de los programadores 0,5
Nivel de confiabilidad de los sistemas 1,25
Sensibilidad 2
Probabilidad de ocurrencia de errores 0,5
Queja de usuarios 0,4
Errores de Criterio al toma decisiones 0,4
Nivel de errores del sistema de autorizacin del SI 0,4
Grado de sensibilidad por variables exgenas 0,3
Cambios 3
Frecuencia de rotacin del personal 0,6
Frecuencia de reorganizaciones estructurales 0,6
Nivel de crecimiento y rotacin del personal 0,15
Criterios funcionales y modalidades operativas 0,9
Implantacin de nuevos Sistemas 0,6
Nivel de modificaciones a sistemas y programas 0,15
Complejidad 4
Naturaleza de las actividades 0,6
Nivel de Actividad 0,8
Entornos Funcionales 0,6
Modalidad Operativa 0,6
Desarrollo y Mantenimiento de Sistemas 0,6
Alcance de la automatizacin 0,8
Materialidad 1
Total Ponderacin
 Anlisis de Riesgos

Nivel Micro

La evaluacin a nivel Micro se utiliza para:

Diseo de controles para los SI
Comparar controles que presentan distintos tipos de Software
Auditora de Sistemas

Consiste en:
Desarrollar los objetivos del control
Establecer prioridades de seguridad y confiabilidad
Seleccionar salvaguardas y controles para mitigar o eliminar las
amenazas, y por lo tanto la prdida o exposicin resultante.
 Anlisis de Riesgos
Nivel Micro: Proceso de Evaluacin
ETAPA 1 Definicin del Objeto a auditar

Determinacin de Zonas y
Identificacin de Amenazas Puntos de Control
Posibles Qu? Dnde?

Vinculaciones de Amenazas y
Puntos de control

Determinacin de la
ETAPA 2 frecuencia de riesgo Con qu asiduidad?

Estimacin de la exposicin
ETAPA 3 (prdida) Magnitud de la prdida

Amenazas vs.Objetivos de Definicin de Objetivos

ETAPA 4 Control especficos de control Qu Hacer?

Seleccin de Cmo se satisfacen los

ETAPA 5 salvaguardas/controles objetivos de control?

ETAPA 6 Justificacin de Controles Costo/Beneficio

NO SI Disear
OK? Implantar
Revisar
Etapas para el Desarrollo de la Auditora

PLANIFICACION

Etapas clave

Conocimiento
del negocio
Evaluar
Riesgos Controles
Controles gerenciales
Fsicos y Lgicos

Estrategia de
Auditora
Informe de Auditoras de Sistemas de Informacin

Objetivos del Informe de Auditora

Objetivo Propsito Medios

Informar Brindar Clara y comprensible
conocimientos identificacin de dificultades y
oportunos y oportunidades de mejora
apropiados

Persuadir Lograr aceptacin y Real y persuasivo respaldo de las

respaldo de las conclusiones y evidencia de su
acciones importancia

Obtener Originar Cursos de Propsitos claros , prcticos y

Resultados Accin constructivos para realizar los
cambios necesarios
Informe de Auditoras de Sistemas de Informacin

Estructura del Informe de Auditora

Introduccin Se indica: Objetivo, Alcance y Posicin de la auditora

frente al objeto auditado
Se indica: Evidencias y hallazgos claves obtenidos
Resultados durante la revisin, que sean significativos y que sirvan de
base para las conclusiones
Se expone: el diagnstico en funcin de los resultados
Conclusiones obtenidos.
Ordenar: problema y causalidad (causa-efecto)
Incluir siempre opinin del personal auditado.
Recomenda- Cursos de accin que se estimen pertinentes.
ciones Importante: participacin del personal auditado
Anexos Incluir: El detalle que respalda los hallazgos y explica el
mtodo empleado.
Informe de Auditoras de Sistemas de Informacin

Pautas para desarrollar el Informe de Auditora

Aspecto (Qu) Caracterstica (Cmo)
Directo Ttulo Informativo
Priorizar lo importante
Oraciones concluyentes sin enunciaciones elpticas
Preciso Seleccionar y presentar los temas de mayor importancia
Acompaar resmenes de documentacin respaldatoria
Realizar una redaccin precisa
Persuasivo Llevar convencimiento con la informacin que se expone
Desarrollar las consecuencias de las situaciones descriptas
Prudente y Propender a una razonable interpretacin de los hechos y exponer las causas no
Constructivo los sntomas
Presentar una visin del conjunto balanceando lo positivo y lo negativo
Trasuntar confianza en el auditado para solucionar el o los problemas
Oportuno Para lograr la pronta solucin de los problemas
Anticipar informes en casos de gravedad
Expuesto Resmenes para los niveles superiores
conforme al Exposicin que potencie la interpretacin (relaciones %, tablas, grficos)
destinatario Atractivos (presentacin, distinta tipografa para resaltar temas)

Orientado a Recomendaciones prcticas, factibles y especficas

Resultados Descripcin de los cursos de accin a tomar
 Para Pensar

Un buen Auditor es:

Quin ms problemas detecta?

o
Quin logra soluciones para los
problemas detectados?
 Bibliografa

Material de la Ctedra

Alberto R Lardent Sistemas de Informacin para la Gestin

Empresaria Procedimiento, Seguridad y AuditoraPrentice
HallBrasil 2001

Informe 6 CECYT FACPCE

Informe COBIT (ISACA)

Material Adicional
Etapas para el Desarrollo de la Auditora

PLANIFICACION

Etapas clave

Conocimiento
del negocio
Ambiente de
control Controles
Evaluacin de gerenciales
Sistemas y
Ambiente IT

Estrategia de
Auditora
 PLANIFICACION

Conocimiento del
Negocio

Fundamental para una auditora efectiva

La cantidad de informacin requerida depender del tamao y complejidad del cliente
Contribuir a desarrollar una estrategia de auditora efectiva y eficiente

Gua para lograrlo

Reuniones con la Gerencia

Lectura de informacin sobre el cliente
Entrevistas con otros especialistas que asesoran al cliente
Relevamiento de circuitos administrativos
Acceso a websites de internet
Lectura de reportes de auditora interna
 PLANIFICACION

Conocimiento del
Negocio

VALOR

Mejor entendimiento de los riesgos inherentes

Identificacin de potencial riesgo de fraude
Mejor conocimiento de controles clave
Mejor determinacin del enfoque de auditora a aplicar
Mejor conocimiento de los cambios ocurridos
Entendimiento de las acciones llevadas a cabo por la Gerencia para ejercer el control
 PLANIFICACION

Ambiente de control

Evaluacin previa
a la definicin de
la estrategia

Representa la filosofa de la gerencia y su actitud frente a la implementacin y ejecucin de

una atmsfera de control sobre las operaciones

Compone el proceso de Risk Management

 PLANIFICACION

Ambiente de control

Areas a analizar

Rol de Directores
Organizacin, roles y responsabilidades del cliente Efectividad de la organizacin
Polticas de RRHH

Proceso evaluatorio
Evaluacin del riesgo por parte del cliente Cumplimiento de leyes y regulaciones

Razonabilidad de planes y control presupuestario

Monitoreo del entorno del cliente Confiabilidad de la informacin reportada
Confiabilidad de la informacin de gestin
Rol de auditora interna
 PLANIFICACION

Evaluacin de
sistemas y
ambiente IT

Qu se requiere?

Obtener el conocimiento suficiente de los sistemas

Conocer el ambiente de sistemas

Documentar y probar los controles gerenciales para determinar la estrategia apropiada para
cada ciclo
 PLANIFICACION

Evaluacin de
sistemas y
ambiente IT

Nivel de
entendimiento
requerido

Clases de transacciones de la Compaa

Forma en que las transacciones son generadas
Registros significativos
Calidad de la documentacin respaldatoria
Proceso de registro contable y financiero
 PLANIFICACION

Evaluacin de
sistemas y
ambiente IT

Dos pasos
fundamentales

Ambiente de sistemas Mapeo

Cmo est organizada la funcin IT? Determinar relaciones entre procesos de

Cmo maneja la gerencia las actividades de negocios, reas de auditora, actividades,
control IT? sistemas y ambiente computarizado
Cmo soporta la funcin IT al negocio?
Cules son las principales caractersticas de los Informacin relevante: volumen, monto y
sistemas? frecuencia de transacciones
Cules son los principales cambios a los
sistemas?
Cules son los problemas ms significativos?
 PLANIFICACION

Evaluacin de
sistemas y
ambiente IT

Pasos a seguir

Entender los reportes

Conocer la estructura de clave utilizados por la
negocios (procesos que Identificar ciclos contables
claves gerencia para
alimentan los EECC a monitorear el negocio y
travs de sistemas el mecanismo para su
emisin

DIAGRAMA DE
MAPEO
 MAPEO DE CUENTAS Y PROCESOS

Ejemplo para ciclo de compras

EECC

Mayor General

Cuentas por Dbito fiscal Caja y

Gastos Provisiones
pagar IVA Bancos

Orden de Recepcin Registracin Devoluciones

Pago
compra de bienes de factura y ajustes

Ciclo de
Inventarios
 Evaluacin de Sistemas
y Ambiente IT

Controles generales

Puntos a evaluar

Autorizaciones Seguridad Seguridad de

para Operacin Fsica Datos

Responsabilidades de la gerencia Peligro de prdida de datos por Acceso de muchos usuarios a

Instrucciones de uso
Requerimientos de entrenamiento
Polticas de prevencin
Standards de integridad de datos
Separacin de funciones
Polticas de back up
manipulabilidad de equipos los datos
Uso de contraseas
Control de integridad
Control de interfaces
Existencia de back ups
Analizar medidas de
seguridad adoptadas
 Evaluacin de Sistemas
y Ambiente IT

Controles de
aplicacin

Puntos a evaluar

Integridad de Registros Validez de los Acceso restringido

los registros adecuados registros activos y registros

Ingreso y registro de datos Transacciones son Proteccin

claves en forma correcta autorizadas contra acceso
Todas las transacciones
Cambios correctamente Transacciones no son indebido
registradas, ingresadas y
ingresados ficticias Confidencial
aceptadas una sola vez
Datos aceptados actualizan Cambios a los Proteccin
Actualizacin de los
los archivos maestros son fsica
archivos
correspondientes autorizados
Inalterabilidad de los datos
en los archivos
 Evaluacin de
sistemas y
ambiente IT

Enfoque bajo
normas
internacionales de
auditora

Sistemas de Sistemas de
Sistemas de base de datos
Microcomputadores
Red
 Evaluacin de Sistemas
y Ambiente IT

Sistemas de
Microcomputadores

Debilidades frecuentes

Falta de segregacin de funciones dos o ms usuarios pueden realizar funciones de:

iniciar y autorizar documentos fuente

entrar datos al sistema
operar las unidades
cambiar programas y archivos
Fallas en controles de aplicacin:
inexistencia de logs por cada transaccin
falta de supervisin directa
falta de reconciliacin entre los registros contables y los totales de mayor
 Evaluacin de Sistemas
y Ambiente IT

Sistemas de
Red

Debilidades frecuentes

Transacciones perfeccionadas lejos de donde se originan

Las transacciones invlidas son corregidas pero no reingresadas inmediatamente

El ingreso de datos es efectuado desconociendo la naturaleza de las transacciones
El procesamiento no se efecta inmediatamente
Las terminales estn diseminadas por toda la compaa (peligro de usuarios no autorizados)
Posibilidad de modificaciones de datos ingresados
Posibilidad de modificaciones a los programas
Acceso a los datos y programas en forma remota
Falta de documentos fuente para cada transaccin ingresada
 Evaluacin de Sistemas
y Ambiente IT

Sistemas de
Base de datos

Debilidades frecuentes

Significatividad de las transacciones financieras

Base de datos de naturaleza dbil y con inconsistencias

Gran cantidad de aplicaciones en bases de datos de tamao insuficiente
Falta de controles adecuados
Auditora de Sistemas de Informacin: Conceptos

Principales Areas de Actividad de la A.S.I.

Auditora de la direccin (Plan Estratgico de Sistemas)

Auditora del desarrollo (gestin de proyecto)

Auditora de la Adquisicin

Auditora Seguridad (Seguridad Fsica Plan de Contingencias,

evaluacin de riesgos, seguridad lgica)

Auditora de la explotacin y Mantenimiento (Utilizacin de

sistemas, puesta en marcha, cambios de programas)
 Revisiones de Auditora

Auditora del Plan Estratgico de Sistemas

Objetivo de Control Riesgos Asociados Verificaciones a Realizar

El Plan de sistemas
contempla las necesidades
organizaciones y el
crecimiento del negocio y
se encuentra
adecuadamente aprobado
por la direccin y es
peridicamente revisado
ante cambios en la
planificacin de la
organizacin.
Los sistemas no responden a las
necesidades de la organizacin.
Inflexibilidad de los sistemas ante
nuevos requerimientos
organizacionales.
Desvinculacin entre los distintos
sistemas.
Comportamiento desordenado y
errtico en el desarrollo y
adquisicin de aplicaciones.
Desconocimiento de la existencia o
alcance del plan por parte de las
distintas reas organizacionales.
La asignacin de recursos no es la
adecuada dado la dimensin del
proyecto.
Existencia de un plan formalizado y
aprobado por el nivel mximo de la
organizacin.
Verificacin de la actualizacin
peridica del plan.
Revisin de la documentacin del
directorio (actas de reuniones,
instrucciones de la direccin,
existencia de un responsable de la
formulacin, etc.
Los cambios de los proyectos
impactan en el plan de sistemas.
 Revisiones de Auditora

Auditora del Impacto sobre el Negocio

Objetivo de Control Riesgos Asociados Verificaciones a Realizar

El proyecto se encuentra dentro Los sistemas no responden a las necesidades El plan estratgico de sistemas es coordinado
del marco del plan de negocios del negocio. con el plan de negocios.
de la empresa.

Las especificaciones establecidas La habilidades propias del negocio no se En la documentacin de los requerimientos se
contemplan los factores encuentran apoyadas por los nuevos sistemas. identifican las habilidades principales que
esenciales del negocio. distinguen a la empresa.

El sistema tiene la capacidad de El sistema se muestra inflexible ante nuevos Se ha previsto que el o los sistemas sean
adaptarse a nuevas reglas del cambios. parametrizables y flexibles para adaptarse a
negocio. los cambios.

Se ha medido adecuadamente el El negocio se ve seriamente cuestionado ante Se ha previsto el alcance e impacto del
impacto del proyecto en el el fracaso del proyecto de sistemas. proyecto como as tambin las consecuencias
negocio del fracaso del mismo.
 Revisiones de Auditora

Auditora del Desarrollo, Compra o Implementacin de SI

Adquisicin de Software: Actividades a Auditar

Revisin
Revisin del Revisin de la
Proceso
requerimiento especificacin
seleccin

Revisin Revisin de
Revisin de la
Proceso de pruebas
Entrega
customizacin e instalacin
 Revisiones de Auditora

Auditora del Desarrollo, Compra o Implementacin de SI

Ejemplo de Plan para Revisin de Requerimientos

Objetivo de Control Riesgos Asociados Verificaciones a Realizar

Se han establecido en forma
clara todos los
requerimientos de todos los
usuarios.
El sistema no contempla todas las
necesidades de los sectores usuarios.
Algunos aspectos funcionales no se
encuentran soportados.
Las necesidades de informacin de los
niveles directivos no se encuentran
totalmente cubiertas.
El sistema no contempla aspectos de
control interno.
El sistema no contempla aspectos
legales o normativos propios de la
actividad de la organizacin.
Existe un documento adonde se
establecen cuales son los usuarios que
representan a cada sector.
Existe un documento donde se establece
como se realizar el contacto con los
reas usuarias.
Se ha analizado el sistema actual y se
han identificado las fortalezas y
debilidades del mismo.
Existe un documento donde se
establecen los requerimientos
funcionales de control, legales y de
informacin.
Dicho documento fue aceptado por las
reas intervinientes.
 Revisiones de Auditora

Auditora del Desarrollo, Compra o Implementacin de SI

Ejemplo de Plan para Revisin de la Instalacin

Objetivo de Control Riesgos Asociados Verificaciones a Realizar

La instalacin del Hardaware
necesario se cumpliment en
tiempo y forma.
La instalacin de software de
base se cumplimento en
tiempo y forma
Todos los parmetros de
funcionamiento se
encuentran adecuadamente
definidos.
Existen demoras en la
implementacin debido a que el
hardaware no est disponible en
tiempo y forma establecidos.
Existe demoras en la instalacin
debido a que no se ha realizado la
instalacin del software de base o el
mismo est mal instalado.
Existen parmetros no definidos que
provocan el mal funcionamiento del
sistema.
La definicin de los parmetros no
es la adecuada y provoca el
malfuncionamiento del sistema.
Se ha establecido un plan de
instalacin del hardware acorde con
los tiempos establecidos para el
proyecto.
Se ha establecido un plan de
instalacin del software de base y se
han contemplado los requerimientos
establecidos por el proveedor.
Los parmetros han sido
adecuadamente establecidos y los
usuarios participan en su definicin.
Se ha realizado la capacitacin
suficiente para la adecuada definicin
de los parmetros.
 Revisiones de Auditora
Auditora del Procesamiento de la Informacin
Aspecto Riesgo
Segregacin Personas no autorizadas pueden tener acceso a
de Funciones funciones de procesamiento de transacciones,
permitindoles leer, ingresar, modificar o
eliminar datos o ingresar transacciones no
autorizadas para su procesamiento.
Ingreso de Los datos ingresados pueden ser imprecisos,
Datos incompletos o ingresados ms de una vez
tems Los datos rechazados y las partidas en
rechazados o suspenso pueden ser no identificadas,
en suspenso analizadas y corregidas
Procesamiento Las transacciones ingresadas para su
procesamiento pueden perderse o ser
procesadas incorrectamente
Problemas
Inadecuada separacin de funciones dentro del
Dpto.de Sistemas
Inadecuada ubicacin del rea de Seguridad
Informtica
Inadecuado esquema de seguridad lgica-
perfiles de usuarios
Problemas con la puesta en funcionamiento de
nuevas versiones
Falta de controles de edicin y validacin (tipos
de campos, campos faltantes, lmites y
validacin)
Inadecuada codificacin
Falta de controles por lotes
Inexistencia de aviso de rechazo
Identificacin inadecuada de datos rechazados
Inexistencia de reportes de excepcin
Falta de seguimiento de datos rechazados
Duplicacin del procesamiento
Falta de controles operativos
Falta de informes de problemas de proceso
Problemas de reenganche de procesos
Problemas de administracin de procesos
(secuencia)
 Revisiones de Auditora

Auditora del Plan de Continuidad del Negocio

Aspectos a Auditar

Plan de Contingencia
Integridad (completo)

Divulgacin

Actualizacin

Plan de Recuperacin