AUDITORIA DE SISTEMAS

AUDITORÍA Y SEGURIDAD DE
TECNOLOGÍAS DE INFORMACIÓN
 AUDITORIA DE SISTEMAS

METODOLOGIAS
 AUDITORIA DE SISTEMAS

METODOLOGIA TRADICIONAL:
CUESTIONARIO
El auditor revisa los controles con la
ayuda de una lista de control que
consta de una serie de preguntas o
cuestiones a verificar

La evaluación consiste en
identificar la existencia de unos
controles establecidos o
estandarizados
 AUDITORIA DE SISTEMAS

METODOLOGIA basada en la
EVALUACIÓN de RIESGOS
El auditor realiza una evaluación del
RIESGO POTENCIAL EXISTENTE
Como consecuencia de la ausencia de
controles o bien por ser un sistema
deficiente, estos riesgos deben ser
 cuantificados y
 valorados
de tal forma que permita determinar el
nivel de fiabilidad que brinda el sistema
sobre la exactitud, integridad y
procesamiento de la información
 AUDITORIA DE SISTEMAS

ELEMENTOS PRINCIPALES

OBJETIVOS de CONTROL

EVALUACIÓN de RIESGOS

TECNICAS de CONTROL

PRUEBAS INDEPENDIENTES

CONCLUSIONES SUSTENTADAS
 AUDITORIA DE SISTEMAS

OBJETIVO de
CONTROL
El objetivo de todo control es la

REDUCCIÓN del
RIESGO
 AUDITORIA DE SISTEMAS

TECNICAS de CONTROL
(Políticas y Procedimientos)
Por cada objetivo de control/riesgo
potencial
se deben identificar las técnicas de control existentes que
deben minimizar el riesgo ,
logrando cumplir así, el objetivo de
control
 AUDITORIA DE SISTEMAS

ENTORNO GENERAL
de CONTROL

CONTROLES
en determinadas
APLICACIONES
Procesos de negocio automatizados
 AUDITORIA DE SISTEMAS

CONTROLES de APLICACIÓN

ENTRADA PROCESO

SALIDA
 AUDITORIA DE SISTEMAS

CONTROLES PREVENTIVOS

CONTROLES DETECTIVOS

CONTROLES CORRECTIVOS
 AUDITORIA DE SISTEMAS

PRUEBAS
Permiten obtener evidencia y
verificar la consistencia de los controles

existentes y
también medir el riesgo por deficiencia
de estos o por su ausencia
 AUDITORIA DE SISTEMAS

PRUEBAS

de CUMPLIMIENTO

SUSTANTIVAS
 AUDITORIA DE SISTEMAS

TÉCNICAS GENERALES
1.ENTREVISTAS
2.REVISIONES de DOCUMENTOS
3.EVALUACION de RIESGOS y
CONTROLES
4.MUESTREO ESTADISTICO
5.VERIFICACIONES de CALCULOS
6.PRUEBAS de CUMPLIMIENTO y
SUSTANTIVAS
7.HERRAMIENTAS de AUDITORIA y
SOFTWARE ESPECIFICO
 AUDITORIA DE SISTEMAS

TÉCNICAS ESPECÍFICAS

Son productos de software que

permiten al auditor

OBTENER INFORMACIÓN
de los sistemas automatizados
como evidencias de las pruebas
que diseñen
 AUDITORIA DE SISTEMAS

HERRAMIENTAS PROPIAS del

AUDITOR y bajo su CONTROL

1.Software de auditoría o de
revisión de productos
determinados o plataformas

Permiten obtener una diagnostico de la

situación de parámetros y otros aspectos y
su relación con respecto a la seguridad y
protección del software y de la información
 AUDITORIA DE SISTEMAS

HERRAMIENTAS PROPIAS del

AUDITOR y bajo su CONTROL

2.Software de auditoría que

permiten extraer información
para su revisión, comparación,
etc.
Estos productos utilizados habitualmente
por los auditores operativos o financieros,
permiten extraer datos concretos o en base
a muestras estadísticas
 AUDITORIA DE SISTEMAS

UTILIDADES del SOFTWARE o

PLATAFORMA a auditar, bajo el CONTROL
de la INSTALACIÓN AUDITADA

Utilidades provistas por el software

auditado: revisión de registros
lógicos de actividades, edición de
parámetros, etc.

Productos específicos de rendimiento,

control, calidad instalados en la plataforma
a auditar: lenguajes de interrogación,
software de librerías, depuradores de
software, etc.
 AUDITORIA DE SISTEMAS

SECUENCIA del
PROCESO
de una AUDITORÍA de SISTEMAS de INFORMACIÓN
 AUDITORIA DE SISTEMAS

OBJETIVO de la AUDITORÍA I

DEFINICION del ALCANCE

RECURSOS y TIEMPO

RECOPILACION de INFORMACIÓN
BÁSICA

IDENTIFICACIÓN y EVALUACIÓN de
RIESGOS POTENCIALES
 AUDITORIA DE SISTEMAS

PROGRAMA de AUDITORÍA II

IDENTIFICACION de ÁREAS
CRÍTICAS y CONTROLES FUERTES

PRUEBAS y TÉCNICAS a UTILIZAR

REALIZACION de PRUEBAS y
OBTENCIÓN de RESULTADOS
 AUDITORIA DE SISTEMAS

EVALUACIÓN de RESULTADOS III

y CONCLUSIONES

CONSIDERACIÓN de OTROS
CONTROLES COMPENSATORIOS o
PRUEBAS ADICIONALES

REVISIÓN y CIERRE de PAPELES de

TRABAJO

INFORME
 AUDITORIA DE SISTEMAS

EVIDENCIAS, RESULTADOS y
CONCLUSIONES
Los resultados de cada prueba deben VALORARSE,
obtener UNA CONCLUSIÓN, siempre teniendo
en cuenta los OBJETIVOS y el ALCANCE de la
auditoría

EVIDENCIAS:
PERTINENTES y SUFICIENTES
FEHACIENTES
VERIFICACIÓN de resultados
INTERRELACIÓN con otros resultados
 AUDITORIA DE SISTEMAS

Las conclusiones obtenidas deben

comentarse y discutirse con los
responsables directos del área
afectada

POR EJEMPLO:

Puede haber limitaciones de recursos,

en la realización de pruebas, en la
disponibilidad de la evidencia.........
Puede haber controles alternativos que
el auditor no haya detectado..............
 AUDITORIA DE SISTEMAS

Deben incluir
DESCRIPCION de la situación
RIESGO existente,
DEFICIENCIA a solucionar
si corresponde, SUGERENCIA
de solución
CONEXIÓN con objetivo y otras
deficiencias
CUANTIFICACIÓN del
riesgo
 AUDITORIA DE SISTEMAS

PAPELES de
TRABAJO de la
Auditoría de SI
 AUDITORIA DE SISTEMAS

Se deben realizar de ACUERDO a

NORMAS de AUDITORÍA, y deben
reflejar

METODOLOGÍA utilizada
COBERTURA del OBJETIVO de
auditoría
PRUEBAS realizadas y
CRITERIOS utilizados
RESULTADOS de las pruebas
 AUDITORIA DE SISTEMAS

LIMITACIONES en las tareas realizadas

DEFICIENCIAS en pruebas realizadas

que puedan requerir alguna
EXTENSIÓN ESPECIAL de la revisión y

de CONSISTENCIA o claridad en las

FALTA

conclusiones
 AUDITORIA DE SISTEMAS

INFORME
Es necesario elaborar
CONCLUSIONES GENERALES en base a
los resultados obtenidos

Todo informe incluirá:

ALCANCE y OBJETIVO de la auditoría,
METODOLOGÍA UTILIZADA,
POSIBLES LIMITACIONES y
CONCLUSIONES
Es recomendable obtener junto con la
presentación del borrador, una contestación o
confirmación del área auditada /cliente
/organización
 AUDITORIA DE SISTEMAS

Reglas en la preparación de Informes

• el vocabulario debe ser preciso,

objetivo, cuidadoso, respetuoso,...
• NO incluir juicios de valor,
nombres propios, abreviaturas
o iniciales de productos, ......
y
• frases con contenido y breves......
 AUDITORIA DE SISTEMAS

¿Cuál de las siguientes opciones brinda mejor

control de acceso a los datos de nómina que se
están procesando en un servidor local?

1. Bitácora (log) de todos los accesos a la información

personal
2. Contraseña separada para las transacciones sensitivas
3. Que el software restrinja las reglas de acceso al personal
autorizado
4. Acceso al sistema, restringido a horas hábiles
 AUDITORIA DE SISTEMAS

El control más efectivo para un antivirus es:

1. Escasear los archivos adjuntos de correo electrónico
en el servidor de correo
2. Restaurar sistemas a partir de copias limpias
3. Deshabilitar las unidades de diskettes
4. Un escaneo en línea con definiciones actualizadas de
virus