AUDITORIA Y SEGURIDAD de los SISTEMAS DE INFORMACIN

ADVENIMIENTO DEL PROCESAMIENTO ELECTRNICO

Manual

Mecnico

Electromecnico

Electrnico

Sistema de Informacin

Sistema de procesamiento de informacin basado en el computador que apoya las funciones de operacin, administracin y toma de decisiones de una organizacin.

IMPACTO DE LOS COMPUTADORES

Cambio en las pistas de Auditora Necesidad de adecuacin de las normas Pericia tcnica del auditor

El delito informtico
La privacidad

ACTIVIDADES OPERACIONALES VS. DAS SIN COMPUTADOR

ESQUEMA GENERAL DE UNA COMPUTADORA ELECTRNICA DIGITAL

AUDITORA EN INFORMTICA

Es la revisin y evaluacin de los controles, sistemas, procedimientos de

Informtica, de los equipos de cmputos, su utilizacin, eficiencia y seguridad, de la organizacin que participan en el procesamiento de la informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones. Se debern evaluar los sistemas de informacin ene general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin. Su campo de accin ser: * La evaluacin administrativa del departamento de procesos electrnicos. * La evaluacin de los sistemas y procedimientos, y de la eficiencia que se tiene en el uso de la informacin. * La evaluacin del proceso de datos y de los equipos de cmputo.

* La seguridad.

CONTROL INTERNO
El CONTROL consiste en la creacin de relaciones adecuadas entre las diversas funciones del negocio y los resultados finales de operacin. El CONTROL tiene por objeto evitar que se produzcan desviaciones de los planes elaborados por la empresa, es decir que se impida que los subordinados de la misma, sigan un camino no previsto en los planes de la direccin, es esencial de que obligue a los subalternos a realizar las tareas como fueron diseadas. La forma de lograrlos lo que es mediante el CONTROL ADMINISTRATIVO INTERNO, utilizando como medio para ejercer el control, los informes, manuales de procedimientos u otros instrumentos de control comodatos estadsticos, balances de comprobacin, conciliaciones bancarias, inventarios, etc. No permitir desviaciones del plan de la direccin. Proteger activos de la empresa. Promocionar el buen desempeo de los subordinados. Obtencin de informacin: Veraz Confiable

Oportuna
Eficiencia en la operacin de la empresa

CONTROL INTERNO
ELECTRNICO

Parte de la definicin del Control Interno de la Contabilidad Tradicional, agregando el relevamiento y evaluacin del control interno del computador y del sistema de procesamiento electrnico de la informacin.

INFORMTICA
INFORMAcin

automTICA

Consecuencias de la Informatizacin Empresarial

1. Concentracin de la informacin 2. Falta de registros visibles 3. Posibilidad de alterar los programas y/o la informacin sin dejar huellas o rastros visibles. 4. Factibilidad de hacer desaparecer la informacin con extremada rapidez. 5. Los sistemas En Lnea Tiempo Real presentan a menudo el problema de armonizar la eficiencia operativa con los aspectos de control. 6. Complejidad de la operatoria.

7. Dificultades de la seguridad fsica de los archivos, especialmente los archivos maestros (o la Base de Datos) 8. Concentracin de funciones. 9. Falta de un enfoque u ptica orientados especialmente hacia el control en la etapa de diseo del sistema.

10. Necesidad de emplear personal altamente calificado por su formacin y conocimientos tcnicos

Bit de Paridad
Representacin de la informacin Sistema Decimal 0-1-2-3-4-5-6-7-8-9 Sistema Binario 0-1 (Seal No Seal) Equivalencias entre Sistemas 0000 = 0 0001 = 1 0010 = 2 0011 = 3 0100 = 4 As se transmitira: DIGITO DE CONTROL + INF. EN BINARIO 1 1 0111 0101

Si en la recepcin se detectara
El sistema debera solicitar retransmisin ya que no corresponde el dgito de control. Este es un mtodo bsico que no detecta la transposicin de valores del tipo: 1 0 con los mismos valores de transmisin. 1011 0101

0101 = 5
0110 = 6 0111 = 7 1000 = 8 1001 = 9

Si se transmite informacin, por ejemplo el nmero 7, el binario correspondiente sera 0111. A esta expresin se le agrega un 0 si tiene par cantidad de 1, 1 si tiene impar cantidad de 1.

Existen mtodos para controlar la transposicin en el bit de paridad

Ciclo de vida del Desarrollo de los Sistemas

Esquema General para la Solucin Algortmica de un Problema

PRINCIPIOS FUNDAMENTALES DE LA AUDITORA DE UNA COMPUTADORA

Automatismo Determinismo

Enfoque Metodolgico para el Relevamiento y Evaluacin

Pautas Bsicas - Controles internos del equipo - Controles de procedimientos - Controles programados Entrevistas - Entrevistas iniciales Gerencia de Sistemas - Planeacin de temas a tratar - Tipo: escrita / oral - Duracin CONTROL INTERNO ELECTRNICO - Control interno del equipo (bit par) - Controles de firmware - Procedimientos de revisin - Controles de procedimientos - Organigramas - Anlisis y Programacin - Analista de Software - Biblioteca de archivos magnticos - Operacin - Control - Controles Programados - Validacin de informacin de entrada, fechas, cdigos existentes, frmulas de dgitos de control 1-2-1, 1-3-1, etc. - Procesamiento

Macromodelo del Desarrollo del Software

Organigrama ideal de una Gerencia de Sistemas

SOFTWARE

Confiabilidad y Error
Confiabilidad del Software: es la probabilidad que el mismo se comportar dentro de un lapso determinado sin fallas, ponderada por el costo que representar para el usuario cada falla producida.

Error del Software: un error de software se presenta cuando el mismo no realiza algo que coincida con las expectativas razonables del usuario. Una falla de software es una consecuencia de un error del software.

Confiabilidad del Software DISEO

A) ACCIONES PREVENTIVAS
1 Minimizacin de la complejidad. 2 Mayor precisin.

3 Mejorar la transmisin de informacin.

4 Deteccin y correccin de errores en cada etapa del diseo. B) DETECCIN DE ERRORES C) CORRECCIN DE ERRORES D) TOLERANCIA DE ERRORES

El Problema del Tringulo

Al programa ingresan tres nmeros enteros que representan las dimensiones de los lados de un tringulo. El programa examina la informacin de entrada e imprime un mensaje indicando si se trata de un tringulo escaleno, issceles o equiltero.
Consigna: -Desarrollar los datos de prueba a efectos de probar adecuadamente el programa. -Segn su criterio, el programa, est libre de errores?

Los Problemas del Software

La Prueba del Software

Definicin 1: La prueba consiste en el proceso de confirmar que un programa es correcto. Consiste en la demostracin que no existen errores.

Definicin 2: Prueba es el proceso de ejecucin de un programa con la intencin de hallar errores.

AUDITORA DE LA INFORMACIN
PROCESADA POR EL SISTEMA

Empleo del computador para la obtencin de evidencia necesaria - LISTADOS DISPONIBLES - MEDIOS MAGNTICOS

- PANTALLAS DE TRABAJO

PAQUETES DE AUDITORA
Generalized Audit Software (G.A.S.)

Definicin:
Consiste en un programa o una serie de programas de computacin, desarrollados para llevar a cabo ciertas funciones de procesamiento electrnico con finalidades de auditora. Dichas funciones incluyen, normalmente, la lectura de la informacin contenida en medios magnticos, seleccin de datos, realizacin de clculos, e impresin de listados de acuerdo con las especificaciones del auditor.

PAQUETES DE AUDITORA
Limitaciones de un G.A.S.

Permiten una post auditora del sistema.

No compatibilidad de Hardware Software. No determinan la propensin del error de los sistemas.

En el caso de estructuras complejas de datos, la extraccin de la informacin se complica.

Etc.

PAQUETES DE AUDITORA
Funciones Tpicas de un G.A.S.

-Creacin de un Archivo de Trabajo de auditora. -Actualizacin de un Archivo de Trabajo. -Resumen de registro de trabajo. -Clasificacin del Archivo de Trabajo. -Clculo de un Archivo de Trabajo.

-Impresin de un Archivo de Trabajo.

-Grabacin de un Archivo de Trabajo. -Borrado de un Archivo de Trabajo.

1 Confirmacin
Auditora de la informacin procesada por el sistema

2 Comparacin
3 Razonabilidad

Obtencin de elementos de prueba vlidos y suficientes

Un Ejemplo clsico de empleo de la computadora por parte del Auditor para la obtencin de la evidencia comprobatoria vlida y suficiente, mediante el desarrollo de un programa especial

Caractersticas Fundamentales de un programa de Auditora

Sencillez

Diseo de archivos realizado por el Centro de Cmputos

Anlisis del contenido del archivo

No es necesario utilizar el mismo lenguaje que el programa auditado.

SEGURIDAD DE LOS SISTEMAS DE INFORMACIN

Desastres naturales Errores u omisiones humanos Actos intencionales

FINALIDADES DE LA SEGURIDAD

Evitar

Disuadir

Prevenir

Detectar

Recuperar y Corregir

Sistemas de Informacin
Seguridad Fsica
Riesgo de Incendio * Ubicacin fsica * Disposicin fsica * Proteccin contra incendios * Biblioteca Interferencias de Seales de Radar * En el procesamiento electrnico * En los circuitos lgicos

Boletn Oficial N 27.825 (1 Seccin)

PROPIEDAD INTELECTUAL. DECRETO 165/94

Propiedad Intelectual Decreto 165/94

SOFTWARE Y BASES DE DATOS

Diseo del Software Global Detallado Programas Cdigos Fuentes

Cdigos Objetos
Documentacin Bases de Datos

Papeles de Trabajo del Auditor

Relevamiento y evaluacin del SCIE
1. Informacin extrada de los manuales del equipo sobre los controles de Hardware y Software de Base 2. Organigrama 3. Descripciones narrativas, diagramas, etc. del flujo de la informacin contable 4. Explicaciones de los diversos controles existentes en el sistema 5. Detalle y diseo de los archivos maestros ms significativos 6. Documentacin y anlisis de las pruebas de procedimientos llevadas a cabo 7. Modelos de formularios e impresos de computadora 8. Resmenes de entrevistas mantenidas con el personal 9. Conclusiones acerca del grado de confiabilidad del SCI

Revisin de los objetivos del sistema propuesto

Determinar el impacto del sistema sobre el rgimen contable Documentacin adecuada del sistema Determinar la filosofa de control del sistema Identificar las pistas de auditora del sistema Determinar la naturaleza de la evidencia que para auditora dejarn las transacciones procesadas

Examinar los procedimientos de programacin y prueba a seguirse

Revisin de los procedimientos y controles propuestos para la etapa de conversin del sistema

Determinar la naturaleza de cualquier programacin especial con finalidades de auditora

PRE AUDITORA DE LOS S.I.

Etapa de Diseo

PAPELES DE TRABAJO DEL AUDITOR

Obtencin de elementos de juicio vlidos y suficientes
Programas especiales de auditora: Documentacin completa del programa Fechas de utilizacin y archivos maestros utilizados Programas utilitarios programas producto: Detalle y descripcin de los programas utilizados Fechas de procesamiento Archivos maestros empleados Paquetes de auditora (G.A.S.) Descripcin general del G.A.S. Fechas de utilizacin Diagrama general de cada aplicacin planeada Hojas de codificacin confeccionadas Pruebas de la aplicacin Archivos maestros empleados Para cada una de las tres variantes anteriores, incluir:

Listados de computadora
Resultados del procesamiento Seguimiento de las excepciones encontradas