AUDITORIA DE SISTEMAS

PARA EL NUEVO MILENIO

AUDITORIA DE SISTEMAS Y SOLUCIONES TECNOLOGICAS, S. A.

CAPITULO I
INTRODUCCION A LA
AUDITORIA DE SISTEMAS

Auditoria de Sistemas
Conjunto de procedimiento y tcnicas para evaluar y
controlar la integridad, confiabilidad y seguridad
de la Informacin procesada por los Sistemas
Informticos, con el fin de proteger sus activos y
recursos, verificando que sus actividades se
desarrollen eficientemente y eficazmente de
acuerdo con la normativa informtica existente en
cada empresa.

I-1
INTRODUCCION A LA AUDITORIA DE SISTEMAS

QUE ES AUDITORIA DE SISTEMAS?

ES UN CONCEPTO RECIENTE EN NUESTRO
MEDIO
ES UNA FUNCION ASESORA
CONJUGA DOS DICIPLINAS: AUDITORIA Y
TECNOLOGIA DE INFORMACION

I-1
OBJETIVOS DE LA AUDITORIA DE SISTEMAS EN
EL NUEVO MILENIO?
BRINDAR A LA GERENCIA UNA SEGURIDAD
RAZONABLE DE QUE LOS OBJETIVOS DE CONTROL
SE HAN CUMPLIDO.
IDENTIFICAR LAS FORTALEZAS Y DEBILIDADES DE
CONTROL.
ADMINISTRAR LOS RIESGOS DE TECNOLOGA.
ASESORAR A LA GERENCIA EN LAS ACCIONES
CORRECTIVAS.

I-2
FUNCION DE LA AUDITORIA DE SISTEMAS EN EL
NUEVO MILENIO
LA ORIENTACIN MODERNA ES:
1. ASESORAR Y APOYAR A LOS DIFERENTES
NIVELES DE LA ORGANIZACIN EN TODO LO
RELACIONADO CON LA TECNOLOGA DE
INFORMACIN,
MEDIANTE
ANLISIS,
EVALUACIONES Y RECOMENDACIONES.
2. ASESORAR Y COOPERAR CON LOS AUDITORES
INTERNOS EN EL CUMPLIMIENTO DE SU
TRABAJO.

I-3
NECESIDAD DE LA AUDITORIA DE SISTEMAS EN
EL NUEVO MILENIO

INCREMENTO EN LOS RIESGOS TECNOLOGICOS POR:

USO DE NUEVAS HERRAMIENTAS DE DESARROLLO
MANEJADAS POR USUARIOS

ARQUITECTURAS CLIENTE-SERVIDOR

SERVICIOS EDI (INTERCAMBIO ELECTRNICO DE DATOS)

ENTRE ORGANIZACIONES Y SIN LMITES DE FRONTERAS

INTERNET

DEPENDENCIA SOBRE SISTEMAS MEDULARES DEL NEGOCIO

I-3
BONDADES DE LA AUDITORIA DE SISTEMAS EN
EL NUEVO MILENIO
PERMITE EVALUAR Y DETECTAR
TECNOLGICOS.

LOS

RIESGOS

ESTABLECER LAS MEDIDAS ADECUADAS PARA LA

MINIMIZACIN DE LOS RIESGOS.
SUPERVISAR EN FORMA INDEPENDIENTE, EL
CUMPLIMIENTO DE LOS CONTROLES Y POLTICAS
DEFINIDAS.

I-4
QUE HACER COMO AUDITORES DE SISTEMAS?

PLANIFICAR LA AUDITORA DE SISTEMAS

UNA TCNICA: PLANIFICACIN BASADA EN RIESGOS

DESARROLLAR EL PROGRAMA DE TRABAJO PARA LA

AUDITORA DE SISTEMAS

DESARROLLAR LA EVALUACIN

PREPARAR UN INFORME Y RECOMENDACIONES

I-5 OTROS ENFOQUES PARA LA PLANIFICACION

POR SISTEMAS DE INFORMACION CRITICOS

POR COMPONENTES DEL NEGOCIO

POR COMPONENTES TECNOLOGICOS

POR CONTROLES GENERALES

POR OPINIONES EXTERNADAS EN

PREVIAS

EVALUACIONES

I-6
POSIBLES COMPONENTES A AUDITAR

1.

2.

3.

4.
5.

ESTRUCTURA
ORGANIZATIVA DE INFORMTICA
PROCEDIMIENTOS
DE
DESARROLLO Y ADQUISICIN DE SISTEMAS
PROCEDIMIENTOS
DE
MANTENIMIENTO (HW Y
SW)
REDES LAN
COMUNICACIN DE DATOS

6. CONTROLES DE SISTEMAS
EN FUNCIONAMIENTO
7. OPERACIONES
EN
LOS
CENTROS DE CMPUTO
8. SEGURIDAD FISICA Y
LGICA
9. MICROCOMPUTADORAS
10. PLAN DE CONTINGENCIA

 LAS EVALUACIONES EN AUDITORIA DE

SISTEMAS, DEBEN EFECTUARSE MEDIANTE LA
PRACTICA DE UNA METODOLOGIA FORMAL Y
CONSISTENTE.
LAS OPINIONES DEBEN SER SUSTENTADAS Y
REGULADAS POR NORMAS PROFESIONALES.

CAPITULO II
PLANIFICACION DE LA
AUDITORIA DE SISTEMAS
BASADA EN RIESGOS
UN ENFOQUE MODERNO

II-1 PLANIFICACION BASADA EN RIESGOS

SELECCIONAR REAS DE MAYOR RIESGO

ELABORAR PLAN PARA AUDITAR LAS REAS EN FUNCIN
DEL NIVEL DE RIESGO
DESIGNAR PERSONAL PARA LA EVALUACIN
LIMITAR EL TRABAJO PARA RIESGOS CRTICOS

II-2 DONDE BUSCAR EL RIESGO TECNOLOGICO

LOS RIESGOS DE TECNOLOGA DE INFORMACIN SE PUEDEN

UBICAR EN TRES GRANDES REAS:

ADMINISTRACIN DE PROYECTOS DE TECNOLOGA

INFRAESTRUCTURA DE TECNOLOGA

SISTEMAS DE INFORMACIN

II-3
RIESGOS DE ADMINISTRACIN DE
PROYECTOS DE TECNOLOGA
DENTRO DE ESTE CONTEXTO SE
MENCIONAN LOS SIGUIENTES RIESGOS:
TECNOLGICO
DE CALENDARIZACIN
FINANCIERO
EXTERNO
IMPLEMENTACIN
MARCHA

PUESTA

EN

II-4
RIESGOS DE INFRAESTRUCUTRA
TECNOLOGICA
LOS
RIESGOS
DE
INFRAESTRUCTURA PUEDEN AFECTAR LOS
SERVICIOS,
DE
LA
SIGUIENTE
MANERA:
AUSENCIA DE
TECNOLOGIA

SERVICIOS

INOPERABILIDAD DE
SISTEMAS
ACCESO NO AUTORIZADO
INADECUADA ADMINISTRACIN

DE

II-5
RIESGOS DE LOS SISTEMAS DE INFORMACION
LOS RIESGOS PARA LOS SISTEMAS
SON:
INEXACTITUD DE PROCESAMIENTO
PROCESAMIENTO INCOMPLETO
NO DISPONIBILIDAD
INSEGURIDAD DE LA APLICACIN

II-6
QUE HACER CON LOS RIESGOS?
ADMINISTRARLOS:
IDENTIFICARLOS: DESCRIBIRLOS CON PRECISION
ANALIZARLOS: PONDERARLOS Y ESTABLECER SU
NIVEL DE IMPACTO. PARA SABER DONDE ESTAN
LAS DEBILIDADES MAS FUERTES
DEFINIR Y ESTABLECER CONTROLES MITIGANTES

II-6
QUE HACER CON LOS RIESGOS?

CADA ORGANIZACIN DEBE ESTABLECER SUS

PROPIOS CRITERIOS PARA CUANTIFICAR LOS RIESGOS
DE ACUERDO A SUS CONDICIONES Y NECESIDADES.

LOS VALORES DE LOS RIESGOS

Y LOS PESOS
ASIGNADOS PUEDEN ESTABLECERSE BASNDOSE EN
APRECIACIONES Y EN LA EXPERIENCIA.

ES IMPORTANTE ASIGNAR LOS VALORES MS ALTOS A

LOS RIESGOS MS SIGNIFICATIVOS Y DISMINUYENDO EL
VALOR EN FUNCIN DE LA PRDIDA DE IMPORTANCIA
DEL RIESGO.

II-7
COMO HACERLO ?

OBTENGA INFORMACIN DE: infraestructura (instalaciones),

sistemas de informacin y de la
administracin de proyectos
(planificados o en desarrollo).
LUEGO IDENTIFIQUE LOS
RIESGOS.

DESARROLLE EL ANLISIS DE LOS RIESGOS

PONDERE LOS RIESGOS

EVALE LA EFECTIVIDAD DE LOS CONTROLES

EXISTENTES

DETALLE LOS NUEVOS CONTROLES QUE SE

REQUIERAN

II-7
EJEMPLO DE PONDERACION
SISTEMAS DE INFORMACION

IM PORTANCIA

PESO

TOTAL DEL

RIESGO

RIESGO

RIESGO

1
4
4
4
4

1
8
4
2

4
32
16
8

2
8
8
8
8

2
4
8
1

16
32
64
8

3
12
12
12
12
12

16
4
8
1
2

192
48
96
12
24

4
16
16
16
16

4
8
1
2

64
128
16
32

INEXACTITUD DE PROCESAM IENTO

M ALA EDICION Y VALIDACION
M ALA TRANSM ISION DE DATOS
REPORTES INEXACTOS
CARENCIA DE PISTAS DE AUDITORIA

ETC
PROCESAM IENTO INCOM PLETO
INADECUADOS CONT. SOBRE REGI. RECHAZADOS
INADECUADOS CONT. SOBRE TRANSAC. EN SUSPENSO
INADECUADOS CONTR. SOBRE SESIONES ACTIVAS
INADECUADOS CONTROLES SOBRE PROCESOS EN LOTE

NO DISPONIBILIDAD
INADECUADO ESTUDIO REQUERIM IENTOS USUARIO
FALTA EVALUACION DE AM ENAZAS
AUSENCIA DE PROCEDIM IENTOS
AUSENCIA DE DOCUM ENTOS DE SOPORTE
FALTA DETECCION DE FALLAS
ETC
INSEGURIDAD DE LA APLICACIN
INADECUADA SEGREGACION DE FUNCIONES
AUSENCIA /INADECUADAS PISTAS DE AUDITORIA
M ALA DISTRIBUCION INFORM ACION
CARENCIA CONTROLES SOBRE DOCUM ENTOS FUENTE
ETC

II-7
EJEMPLO DE MATRIZ DE RIESGOS Y CONTROLES
RIESGO 1

RIESGO 2

CONTROL1

CONTROL 2

RIESGO N

CONTROL 3

CONTROL 4

CONTROL N

RIESGO 3

CAPITULO III
TECNICAS DE AUDITORIA
ASISTIDAS POR COMPUTADORA
(CAAT)
IDEA, UN CASO PRACTICO

III-1
TECNICAS DE AUDITORIA

EXISTEN DIVERSAS TECNICAS, ALGUNAS SON:

DATOS DE PRUEBA
TEST INTEGRADO (ITF)
SIMULACIN PARALELA (APLICACIN
ESPECIAL DESARROLLADA)
OPERACIN PARALELA (DUPLICADO DEL
SOFTWARE EN AMBIENTES DIFERENTES)
SOFTWARE PARA EXTRACCIN Y ANALISIS
DE DATOS

III-2
EJEMPLO DE UNA HERRAMIENTA
INTERACTIVE DATA EXTRACTION AND ANALISYS
(IDEATM)

III-2
EJEMPLO DE UNA HERRAMIENTA
INTERACTIVE DATA EXTRACTION AND ANALISYS
(IDEA)
IDEA ES UNA HERRAMIENTA DESARROLLADA POR EL
INSTITUTO CANADIENSE DE CONTADORES PUBLICOS DE
CANAD (CICA).
LE PERMITE AL USUARIO DESPLEGAR, EXTRAER Y ANALIZAR
INFORMACIN, VIRTUALMENTE DESDE CUALQUIER TIPO DE
SISTEMA DE INFORMACIN COMPUTARIZADO.

FACILITA EL TRABAJO DE AUDITORA

REDUCE TIEMPOS SIGNIFICATIVAMENTE
PARA PRUEBAS SUSTANTIVAS

III-4
INTERACTIVE DATA EXTRACTION AND ANALISYS
IDEA
EJEMPLOS DE PRUEBAS DE AUDITORA CON IDEA:
REVISIN DE LA ANTIGEDAD DE CARTERA DE
CUENTAS POR COBRAR Y DE PROVEEDORES
RECLCULO DE SALDOS E INTERESES BANCARIOS
ANLISIS DE MOVIMIENTOS DE TODAS LAS CUENTAS
DE UN BANCO

III-4
INTERACTIVE DATA EXTRACTION AND ANALISYS
IDEA
EJEMPLOS DE PRUEBAS (cont.)
CLCULO DE INVENTARIO OBSOLETO
ANLISIS DE CADUCIDAD DE MEDICAMENTOS
VALORIZACIN DEL INVENTARIO
MUCHAS OTRAS...

GRACIAS