Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CAPITULO I
INTRODUCCION A LA
AUDITORIA DE SISTEMAS
Auditoria de Sistemas
Conjunto de procedimiento y tcnicas para evaluar y
controlar la integridad, confiabilidad y seguridad
de la Informacin procesada por los Sistemas
Informticos, con el fin de proteger sus activos y
recursos, verificando que sus actividades se
desarrollen eficientemente y eficazmente de
acuerdo con la normativa informtica existente en
cada empresa.
I-1
INTRODUCCION A LA AUDITORIA DE SISTEMAS
I-1
OBJETIVOS DE LA AUDITORIA DE SISTEMAS EN
EL NUEVO MILENIO?
BRINDAR A LA GERENCIA UNA SEGURIDAD
RAZONABLE DE QUE LOS OBJETIVOS DE CONTROL
SE HAN CUMPLIDO.
IDENTIFICAR LAS FORTALEZAS Y DEBILIDADES DE
CONTROL.
ADMINISTRAR LOS RIESGOS DE TECNOLOGA.
ASESORAR A LA GERENCIA EN LAS ACCIONES
CORRECTIVAS.
I-2
FUNCION DE LA AUDITORIA DE SISTEMAS EN EL
NUEVO MILENIO
LA ORIENTACIN MODERNA ES:
1. ASESORAR Y APOYAR A LOS DIFERENTES
NIVELES DE LA ORGANIZACIN EN TODO LO
RELACIONADO CON LA TECNOLOGA DE
INFORMACIN,
MEDIANTE
ANLISIS,
EVALUACIONES Y RECOMENDACIONES.
2. ASESORAR Y COOPERAR CON LOS AUDITORES
INTERNOS EN EL CUMPLIMIENTO DE SU
TRABAJO.
I-3
NECESIDAD DE LA AUDITORIA DE SISTEMAS EN
EL NUEVO MILENIO
ARQUITECTURAS CLIENTE-SERVIDOR
INTERNET
I-3
BONDADES DE LA AUDITORIA DE SISTEMAS EN
EL NUEVO MILENIO
PERMITE EVALUAR Y DETECTAR
TECNOLGICOS.
LOS
RIESGOS
I-4
QUE HACER COMO AUDITORES DE SISTEMAS?
DESARROLLAR LA EVALUACIN
EVALUACIONES
I-6
POSIBLES COMPONENTES A AUDITAR
1.
2.
3.
4.
5.
ESTRUCTURA
ORGANIZATIVA DE INFORMTICA
PROCEDIMIENTOS
DE
DESARROLLO Y ADQUISICIN DE SISTEMAS
PROCEDIMIENTOS
DE
MANTENIMIENTO (HW Y
SW)
REDES LAN
COMUNICACIN DE DATOS
6. CONTROLES DE SISTEMAS
EN FUNCIONAMIENTO
7. OPERACIONES
EN
LOS
CENTROS DE CMPUTO
8. SEGURIDAD FISICA Y
LGICA
9. MICROCOMPUTADORAS
10. PLAN DE CONTINGENCIA
CAPITULO II
PLANIFICACION DE LA
AUDITORIA DE SISTEMAS
BASADA EN RIESGOS
UN ENFOQUE MODERNO
INFRAESTRUCTURA DE TECNOLOGA
SISTEMAS DE INFORMACIN
II-3
RIESGOS DE ADMINISTRACIN DE
PROYECTOS DE TECNOLOGA
DENTRO DE ESTE CONTEXTO SE
MENCIONAN LOS SIGUIENTES RIESGOS:
TECNOLGICO
DE CALENDARIZACIN
FINANCIERO
EXTERNO
IMPLEMENTACIN
MARCHA
PUESTA
EN
II-4
RIESGOS DE INFRAESTRUCUTRA
TECNOLOGICA
LOS
RIESGOS
DE
INFRAESTRUCTURA PUEDEN AFECTAR LOS
SERVICIOS,
DE
LA
SIGUIENTE
MANERA:
AUSENCIA DE
TECNOLOGIA
SERVICIOS
INOPERABILIDAD DE
SISTEMAS
ACCESO NO AUTORIZADO
INADECUADA ADMINISTRACIN
DE
II-5
RIESGOS DE LOS SISTEMAS DE INFORMACION
LOS RIESGOS PARA LOS SISTEMAS
SON:
INEXACTITUD DE PROCESAMIENTO
PROCESAMIENTO INCOMPLETO
NO DISPONIBILIDAD
INSEGURIDAD DE LA APLICACIN
II-6
QUE HACER CON LOS RIESGOS?
ADMINISTRARLOS:
IDENTIFICARLOS: DESCRIBIRLOS CON PRECISION
ANALIZARLOS: PONDERARLOS Y ESTABLECER SU
NIVEL DE IMPACTO. PARA SABER DONDE ESTAN
LAS DEBILIDADES MAS FUERTES
DEFINIR Y ESTABLECER CONTROLES MITIGANTES
II-6
QUE HACER CON LOS RIESGOS?
II-7
COMO HACERLO ?
II-7
EJEMPLO DE PONDERACION
SISTEMAS DE INFORMACION
IM PORTANCIA
PESO
TOTAL DEL
RIESGO
RIESGO
RIESGO
1
4
4
4
4
1
8
4
2
4
32
16
8
2
8
8
8
8
2
4
8
1
16
32
64
8
3
12
12
12
12
12
16
4
8
1
2
192
48
96
12
24
4
16
16
16
16
4
8
1
2
64
128
16
32
ETC
PROCESAM IENTO INCOM PLETO
INADECUADOS CONT. SOBRE REGI. RECHAZADOS
INADECUADOS CONT. SOBRE TRANSAC. EN SUSPENSO
INADECUADOS CONTR. SOBRE SESIONES ACTIVAS
INADECUADOS CONTROLES SOBRE PROCESOS EN LOTE
NO DISPONIBILIDAD
INADECUADO ESTUDIO REQUERIM IENTOS USUARIO
FALTA EVALUACION DE AM ENAZAS
AUSENCIA DE PROCEDIM IENTOS
AUSENCIA DE DOCUM ENTOS DE SOPORTE
FALTA DETECCION DE FALLAS
ETC
INSEGURIDAD DE LA APLICACIN
INADECUADA SEGREGACION DE FUNCIONES
AUSENCIA /INADECUADAS PISTAS DE AUDITORIA
M ALA DISTRIBUCION INFORM ACION
CARENCIA CONTROLES SOBRE DOCUM ENTOS FUENTE
ETC
II-7
EJEMPLO DE MATRIZ DE RIESGOS Y CONTROLES
RIESGO 1
RIESGO 2
CONTROL1
CONTROL 2
RIESGO N
CONTROL 3
CONTROL 4
CONTROL N
RIESGO 3
CAPITULO III
TECNICAS DE AUDITORIA
ASISTIDAS POR COMPUTADORA
(CAAT)
IDEA, UN CASO PRACTICO
III-1
TECNICAS DE AUDITORIA
III-2
EJEMPLO DE UNA HERRAMIENTA
INTERACTIVE DATA EXTRACTION AND ANALISYS
(IDEATM)
III-2
EJEMPLO DE UNA HERRAMIENTA
INTERACTIVE DATA EXTRACTION AND ANALISYS
(IDEA)
IDEA ES UNA HERRAMIENTA DESARROLLADA POR EL
INSTITUTO CANADIENSE DE CONTADORES PUBLICOS DE
CANAD (CICA).
LE PERMITE AL USUARIO DESPLEGAR, EXTRAER Y ANALIZAR
INFORMACIN, VIRTUALMENTE DESDE CUALQUIER TIPO DE
SISTEMA DE INFORMACIN COMPUTARIZADO.
III-4
INTERACTIVE DATA EXTRACTION AND ANALISYS
IDEA
EJEMPLOS DE PRUEBAS DE AUDITORA CON IDEA:
REVISIN DE LA ANTIGEDAD DE CARTERA DE
CUENTAS POR COBRAR Y DE PROVEEDORES
RECLCULO DE SALDOS E INTERESES BANCARIOS
ANLISIS DE MOVIMIENTOS DE TODAS LAS CUENTAS
DE UN BANCO
III-4
INTERACTIVE DATA EXTRACTION AND ANALISYS
IDEA
EJEMPLOS DE PRUEBAS (cont.)
CLCULO DE INVENTARIO OBSOLETO
ANLISIS DE CADUCIDAD DE MEDICAMENTOS
VALORIZACIN DEL INVENTARIO
MUCHAS OTRAS...
GRACIAS