Mdulo: I Unidad: I Semana: 2

AUDITORIA DE SISTEMAS
CONTABLES

Mg. Jorge Luis Aguilar Alcalde

 TTULO DEL TEMA

AUDITORIA DE TECNOLOGAS DE
INFORMACIN
 ORIENTACIONES

Estimados alumnos, se recomienda

la lectura del libro de texto para
reforzar las clases, adems de
revisar los enlaces interesantes y
responder las autoevaluaciones.
 CONTENIDOS TEMTICOS

Auditoria de Sistemas de Informacin:

Objetivos, roles y retos del auditor TI.
reas Especficas de Auditoria Tecnolgica
Ejemplos de Programas de trabajo y Pruebas
de auditoria.
Estndares internacionales principales
 Auditora TI

Proceso de revisin y evaluacin de

todos los aspectos de los sistemas
automticos de procesamiento de
Informacin, incluidos procedimientos
no automticos relacionados con ellos y
las interfaces correspondientes.
Fuente:
ISACA (Information Systems Audit & Control Association)
Auditora TI
 Auditora TI

Auditora Gerencia de
tradicional sistemas

Auditora de
sistemas

Ciencia del
Ciencias de la comportamiento
Computacin
Ingeniero
de sistemas
 Auditora TI
Objetivos de la Auditora de TI

Organizaciones

Confiabilidad:
Integridad de Uso de recursos
los datos con eficiencia
Preservar la
Mejorar la confidencialidad Mejorar la
salvaguarda de los datos efectividad de
de los activos los Procesos
 Retos del auditor
Conocimiento del negocio.
Conocimientos de TI.
Conocimiento sobre como actan las TI en
el proceso del negocio.
Conocimiento de Riesgos y Procesos.
Confianza y respeto de los auditados.
Conocimiento del impacto de sus
recomendaciones.
Contraparte vlida y asesor en controles y
autocontrol para el auditado.
 Roles y funciones del
Auditor TI

Realizar el Plan anual de las auditoras a realizar

Determinar el Mapa de Procesos de negocio y
soporte
Realizar la evaluacin de Riesgos asociados a las
actividades de Tecnologas de Informacin
Evaluar los controles de los procesos TI
Presentar informe de debilidades y
recomendaciones, acordando un cronograma de
solucin con los involucrados
Participar en auditoras integradas.
Seguimiento de las recomendaciones
 Auditora TI

Areas Especficas de Auditoria

Seguridad de la Informacin
Desarrollo y Mantenimiento
Aplicaciones de Negocios y Operativos
Explotacin de Tecnologa
Infraestructura de Sistemas
 Desarrollo y
Mantenimiento
Los componentes claves de Proyectos TI,
recomendados para enfocar la auditora
Alineacin
Negocio-TI

Preparacin
Post Gestin de de Soluciones
Implantacin Proyectos TI

Organizacin y
Gestin de
Cambios
 Desarrollo y
Mantenimiento
Proceso del Ciclo de Desarrollo Metodologa
Requerimientos Usuario. Estndares

Anlisis y Diagnstico. Normas

Entregables
Diseo: Funcional y Tcnico.
Desarrollo: Programacin.
Pruebas
Instalacin: Entrega a Explotacin.
 Desarrollo y
Mantenimiento
Administracin y Control
Plan anual de atencin
Planificacin de requerimientos
Actividades, Recursos, Esfuerzo, Cronogramas, Hitos.
Ejecucin: Actualizacin y Registro.
Cambios: Al plan, repriorizaciones
Informe anual resultados
 Desarrollo y
Mantenimiento

El Auditor puede participar

Como miembro del equipo de desarrollo para
identificar fallas o debilidades en etapas tempranas.
En revisiones de postimplementacin
En revisiones de los procesos o aplicaciones.
 Desarrollo y
Mantenimiento
Mantenimiento
Correctivos
Incidencias
Optimizaciones
 Auditoria de
Aplicaciones
Revisin de cobertura operativa /o negocio:
Adecuado servicio a los requerimientos del
Negocio
Entender el flujo de transacciones y la estructura
bsica de control, incluyendo los aspectos de
procesos manuales, automatizados e interfaces
Controles de acceso y facultades en la operativa,
para el cumplimiento de la segregacin de
funciones y autorizaciones de control dual.
Atencin de incidencias
Comprobar que la operativa se ajusta a la
normativa interna externa.
 Auditoria de Aplicaciones
Revisin de Implementacin:
Nivel de documentacin de sistemas y
programas.
Pruebas, aprobaciones, y documentacin de los
cambios a programas y procesos.
Controles de Acceso a libreras de programas,
documentacin y archivos.
Analizar Integridad, Calidad y Consistencia de
los datos en la Base de Datos.
Revisar los Controles Informticos de Entrada y
Salida de datos.
Controles de acceso a la base de datos y
transacciones.
 Auditoria de Aplicaciones

Revisin de Diseo
Especificaciones funcionales:
Requerimientos de transacciones,
clculos, flujos de control, etc.
Diseo Funcional
Diseo de Interfaces con usuarios (E/S)
Diseo de Procesos
Diseo de Bases de Datos
 Auditoria de Aplicaciones
Desarrollo de pruebas
Diseo de datos de pruebas
Caja Negra: Pruebas de especificaciones funcionales
Caja Blanca: Cobertura completa, a nivel de Instrucciones,
Rutas de lgica
Valores Lmite: con datos para probar la ejecucin de lmites
mayores, menores e iguales a lo indicado en el programa.
Pruebas de esfuerzo operativo y tcnico.
Pruebas de conformidad: procedimientos, reglas de negocio,
etc.
Pruebas sustantivas o de validacin: detectar errores o
irregularidades en procesos, actividades o transacciones
Pruebas de Intrusin: Recomendaciones
 Auditora de Explotacin

Control de entrada de datos.

Gestin de Cambios:
Planificacin y recepcin de aplicaciones.
Centro de control y monitoreo de eventos
Centro de atencin de Usuarios y resolucin de
problemas
Planificacion de procesos
Control de resultados.
Capacity Planning: Demanda, Recursos, Rendimiento
 Auditora de Infraestructura
de sistemas

Comunicaciones y Redes.

Sistemas Operativos.

Software base y herramientas.

Administracin de
Bases de Datos.
 Auditora de Comunicaciones

Diseo de la infraestructura de las redes

Monitoreo de trfico y disponibilidad de las redes ->
alertas
Servicios de transporte y balanceo de trfico
Pruebas de los enlaces de contingencia
Inventario de equipos de comunicaciones y
servidores de infraestructura y aplicativos
 Auditora de Comunicaciones

Deteccin, registro y resolucin de problemas

Pruebas de vulnerabilidad de la segmentacin de
redes
Evaluacin de certificados de seguridad: Polticas,
controles, autoridad, distribucin, etc.
Proveedores: disponibilidad para escalamiento,
upgrades, mantenimiento, costos, etc.
 Auditora de Seguridad

Gestin de Riesgos
Metodologa usada
Activos significativos identificados, con
evaluacin de riesgos y controles que lo
mitigan
Plan de Seguridad de Informacin
Basado en las mejores prcticas:
ISO 27001 SGSI
Conocidos y aprobados por dueo del negocio
y de acuerdo en los riesgos y controles
Publicacin, documentacin, revisin y
mantenimiento.
 Auditora de Seguridad

Seguridad Fsica
Procedimiento de accesos a instalaciones
Implementacin de instalaciones tecnolgicas
Consideraciones ergonmicas: Diseo de
productos y puestos
Ambiente de Control
Verificar nivel de concientizacin del personal y
responsabilidad de los controles de seguridad
Cumplimiento de las polticas y de la normativa
relacionada.
Cumplimiento y valoracin de los controles
 Auditora de Seguridad

Control de Accesos
Procesos de Negocio y Operativos
Accesos a Infraestructura Tecnolgica: Servidores,
Entornos, etc.
Mtodos y Herramientas: Acceso biomtrico
Evaluar procedimientos de registro y validacin.
Nivel de aceptacin usuarios
Existencia de plan de contingencia

Infraestructura
Prevencin de fuga de informacin
Proteccin de Datos
 Auditora de Seguridad

Seguridad Perimetral
Segmentacin: separacin en redes lgicas para
aislar a los usuarios e infraestructura de intrusos
Arquitectura: proveer autenticacin, autorizacin,
auditora y deteccin de intrusos
Pruebas de acceso a redes y/o servidores segn
perfiles
Tests de intrusin
 Auditora de Seguridad
Continuidad de Negocios
Existencia de un Plan de Continuidad de Negocios:
Servicios crticos
Organizacin y Procedimientos
Pruebas de los Planes de Contingencia:
Sistema de recuperacion
Infraestructura alternativa
Atencin de servicios
Retorno a la Normalidad
 Estndares de Auditora

En el mundo, han evolucionado las

siguientes organizaciones profesionales:
American Institute of Certified Public Accountants (AICPA)
Canadian Institute of Chartered Accountants (CICA)
Institute of Internal Auditors (IIA)
Information Systems Audit and Control Association
(ISACA)
U.S. General Accounting Office.
 Estndares de Auditora

Informe COSO - (Committee of Sponsoring Organizations), de la

Comisin de Estudios de Controles Internos -> Para la
Gerencia
SAC - (Systems Auditability and Control), de la Fundacin de
Investigacin del IIA -> Para los Auditores Internos.
SAS 55 y SAS 78 - Consideraciones de la estructura de
Controles Internos en los Informes de los Estados
Financieros, del Instituto Americano de Contadores Pblicos
(AICPA) -> Auditores Externos
COBIT (Control Objectives for Information and related Technology),
de la Fundacin de Auditora y Control de Sistemas de
Informacin ->Auditores de TI.
 Programas de certificacin

CISA: Certified Information System Auditor.

CISM: Certified Information Security Manager.
ESI: European Software Institute.
CIA: Certified Internal Auditor.
GRACIAS