Auditoria de Sistemas

Javier Perez
Ely Velasquez
Roselyn Falcon
Durvis Sambrano
Vianel Guerra
Ivan Ramos
 ¿De dónde proviene la
auditoría?

Nace como una forma de controlar

las actividades de algunas
instituciones estatales y privadas.

Su función inicial era

estrictamente económico-
financiero.
 Procedimientos

1. Se procede a recopilar, clasificar y evaluar

evidencia de manera de verificar si un Sistema
Informático está cumpliendo con el resguardo de
los activos.

Por ejm evaluara si:

 Mantiene la integridad y seguridad de los datos .
 Si el RRHH cumple eficazmente con los objetivos
de la organización y utiliza eficientemente los
recursos que ella posee.

Profesora Pilar Pardo

Entonces el auditor informático
debe estar al tanto de lo que
sucede en la organización,
revisar e informar a la dirección
o gerencia como están
funcionando los controles
implantados y sobre la
fiabilidad de la información
suministrada.
…para ello
 Participar en las revisiones
durante y después del diseño,
desarrollo, implementación y
explotación de las
aplicaciones informáticas, así
como también, en cualquier
tipo de cambios que suceda.

 Revisar y juzgar el nivel de

eficacia, utilidad, fiabilidad y
seguridad de los equipos e
información.
Eficaz Eficiente = Efectividad

 Eficacia : Cumplir requerimientos de usuarios.

 Eficiencia : Utilizar recursos en forma óptima.

 Seguridad : Mitigar adecuadamente los riesgos.

 Perfil de un
Auditor Informático

 Formación técnica, universitaria o equivalente.

 Experiencia en estudios de auditoría.
 Conocimientos profundos de computación, sólida
experiencia en análisis, diseño y programación de sistemas
computacionales, y conocimientos de sistemas operativos.
 Análisis y codificación de programas de auditorías.
 Responsabilidad, autoridad y rendimiento de cuentas.
 En la medida de lo posible, independencia.
 Ética, idoneidad y normas profesionales.
 Realizar trabajos planificados.
 Ejecución profesional
 Saber confeccionar informes de acuerdo al trabajo realizado.
 Constancia, flexibilidad y características personales de
perfeccionamiento.
 La informática
en la Empresa

 Hoy la informática está incluida totalmente en la

gestión integral de las empresas.

 Es por ello que las empresas deben someterse a las

normas y estándares propiamente informáticos.

 Se aclara sí que la Informática no gestiona

propiamente la empresa más bien ayuda a la
toma de decisiones en beneficio de las
organizaciones.

 Es por ello que deben existir normas que regulen su

funcionamiento entonces, nace la Auditoría
Informática.
 Tipos de Auditoría

 Auditoría Informática de Seguridad.

 Auditoría Informática de Datos.

 Auditoría de Sistemas.
 Auditoría Informática de
Seguridad

 Está encargada de detectar intromisiones no autorizadas

(intrusos).

 También se encarga de prevenir dichas intromisiones.

 Se preocupa de detectar y prevenir delitos frecuentes como:

 Espionaje cibernético a computadoras.

 Espionaje a redes computacionales.
 Intromisión en las CPDs.
 Etc.
 Auditoría Informática
de Datos
 Observa los resultados que se producen como salida en los
computadores.

 Generalmente dependen directamente de los datos con que

los alimentamos.

 Por lo tanto, si los datos son erróneos va a producirse

información resultante errónea.
 Las empresas no se preocupan de la calidad de los datos de
entrada, los cuales si están errados provocan un “efecto
cascada”, es decir afectan incluso a aplicaciones
independientes.

Datos Resultado
Erróneos Proceso Erróneo
 Auditoría
de Sistemas

 Una amenaza latente para las empresas es que

toda su gestión se apoye en un sistema informático
erróneo o mal diseñado.

 Entonces la auditoría de sistemas debe tratar de

corregir los problemas que suceden en estos casos
o evitar que sucedan

Profesora Pilar Pardo

 ¿Por qué una
Auditoría Informática?

 Existen muchas causas para realizar auditorías,

alguna de ellas, aunque parezcan sin importancia
son:

 Cambios en la gerencia.
 Mayor cantidad de funciones dentro de la organización
que están siendo computarizadas.
 Problemas con los activos.
 Compras de empresas.
 Existencia de grandes volúmenes de datos que pueden
ser accesados por varios programas.
 Implementación de procesamiento de datos distribuidos.
 El uso de computadores personales cuyas características
los hacen más vulnerables a la fuga de información.
 Etc.
 Entonces se debe:

 Detectar el o los orígenes del problema.

 Saber y entender la estructura de la

organización donde se trabajará.

 Observar dónde se deben realizar

mejoras a la gestión.
 Problemas de la AI

 No siempre es fácil de implementar la función de

auditoría computacional. Existen dos grandes
problemas que dificultan su implementación:

a)Relacionados con el personal

b) Relacionados con la empresa

 Relacionados con el Personal

 Los reportes del auditor son negativos.

 El auditor es la policía.
 Los requerimientos de control no son realistas.
 El auditor carece de experiencia.
 El auditor es demasiado simplista, todo es fácil para
él.
 Cuesta entablar una comunicación adecuada.
 Los controles propuestos son costosos
Relacionados con la Empresa
 Documentación inadecuada de los sistemas y
programas.
 Falta de procedimientos.
 Ausencia de conceptos de seguridad y/o control de
información.
 Asignación de recursos y presupuesto restringido.
 Problemas técnicos en el CPD.
 Planificación inadecuada.
 Apoyo poco comprometido de los niveles
gerenciales.
 Técnicas y herramientas inadecuadas para efectuar
auditoría.
 Problemas internos entre auditoría tradicional y
auditoría computacional.
 El nivel técnico del auditor es a veces insuficiente,
dada la gran complejidad de los Sistemas, unidos a
los plazos demasiado breves de los que suelen
disponer para realizar su tarea.

 Además del chequeo de los Sistemas, el auditor

somete al auditado a una serie de cuestionarios o
Check List.

 Las Check List tienen que ser comprendidas por el

auditor al pie de la letra, ya que si son mal
redactadas y aplicadas se puede llegar a obtener
resultados distintos a los esperados por la empresa
auditora.

 El cuestionario debe estar subordinado a la regla, a

la norma, al método.
 Sólo una metodología precisa puede desentrañar
las causas por las cuales se realizan actividades
teóricamente inadecuadas o se omiten otras
correctas.

 El auditor sólo puede emitir un juicio general o

parcial basado en hechos y situaciones
encontradas, no estando dentro de sus
atribuciones modificar la situación analizada.
 Tipos de Auditoría
Existen dos tipos de
auditorías:

– Auditoría Interna

– Auditoría Externa

Profesora Pilar Pardo

 Auditoría Externa

 Es realizada por personas afines a la

empresa auditada.

 Se presupone una mayor objetividad

y credibilidad que en la auditoría
interna debido al distanciamiento
entre auditores y auditados.
 Se realiza una Auditoría Externa porque:

 Existe la necesidad de auditar una materia de

gran especialización, para la cual los servicios
propios no están suficientemente capacitados.

 Contrastar algún Informe interno con el que

resulte del externo, en aquellos casos de graves
hallazgos o conclusiones que chocan con la
opinión generalizada de la propia empresa.

 Servir como mecanismo protector de posibles

auditorias informáticas externas decretadas por
la misma empresa
 El hecho de que la auditoría interna se realice en forma
independiente del Departamento de Sistemas, sigue siendo
realizada por la misma empresa, entonces si se desea tener
una visión general y objetiva de la investigación, es
imprescindible que la auditoría se realice en forma externa, no
siempre, pero sí cada cierto tiempo de manera de
salvaguardar la información importante, las redes, etc..
 Auditoría Interna

 La auditoría Interna es la realizada con recursos materiales y

humanos que pertenecen a la empresa auditada. Existe por expresa
decisión de la empresa.

 La auditoría interna tiene la ventaja de que puede actuar

periódicamente realizando revisiones globales, como parte de su
plan anual y de su actividad normal.

 Si la auditoría es realizada en forma eficiente y objetiva los auditados

se habitúan a ellas, especialmente cuando las recomendaciones
benefician su trabajo, lo que trae como valor agregado una
producción de calidad mejorada constantemente.

 Ambos tipos de auditoría deben estar ajenos a cualquier tipo de

tendencias, es decir, sociales, políticas, de la misma empresa,
“compañerismo”, filiación, etc.
 Control

 Los datos son uno de los recursos más valiosos

de las organizaciones y, aunque son intangibles,
necesitan ser controlados y auditados con el
mismo cuidado que los demás inventarios de la
organización.

 Definición : Controles son todos aquellos

mecanismos existentes dentro del sistema y de la
organización, que tienen como objetivo asegurar
la veracidad e integridad de la información que
maneja el sistema tanto aquella que entra y sale
de él como la que se almacena y se manipula
internamente dentro de la configuración
computacional.
Control Interno Informático vs. Auditoría Informática

Análisis de los controles Análisis de un momento informático

día a día. determinado

Informa a la dirección informática Informa a la dirección general de la

organización

Solo personal interno Personal interno o externo

Alcance de funciones solo Cobertura sobre todos los componentes

sobre el departamento informático de los sistemas informáticos de la
organización
 SIMILITUDES ENTRE
CONTROL INTERNO Y
AUDITORIA
INFORMATICA

- El personal debe estar altamente

capacitado en lo que concierne a las
tecnologías de la información,
verificación del cumplimiento de
controles internos, normativas y
procedimientos establecidos por la
gerencia para los sistemas informáticos.
 Un buen control debe
contar con las
siguientes
características:

 Completos.
 Simples.
 Revisables.
 Adecuados.
 Rentables .
 Fiables.
 Actualizados.
 Tipos de Controles Internos
 En general, existen tres tipos de controles
que es posible implementar en un sistema:

– Preventivos
– Detectores o detectivos
– Correctivos

 Aunque ésta es una clasificación general,

es necesario definir en qué etapas o
procesos del sistema es aplicable cada tipo
de control, y qué etapas es necesario
controlar.
 Tipos de Controles Internos

 Preventivos : Evitar el
hecho, por ejemplo, los
software de seguridad de
acceso al sistema.

 Detectores : Poder detectar

lo antes posible fallas en el
sistema, por ejemplo, registro
de actividad diaria.

 Correctivos : Volver a un
estado normal después de
una falla, por ejemplo, la
mantención de un BDC con la
réplica de la base de datos de
los usuarios SAM.
 TIPOS DE CONTROLES

– Controles Generales
– Controles de Aplicación
– Controles Especiales
 Controles Generales
 Definición : Son los que se realizan para
asegurar que la organización y sistemas operen en
forma normal.

 Ejemplos :

– Separación de funciones.
– Acceso y Seguridad.
– Procedimientos escritos.
– Controles sobre software de sistemas.
– Control sobre la continuidad del procesamiento.
– Control sobre el desarrollo y modificación de sistemas.
 Controles de Aplicación
 Definición : Son los que se realizan para
asegurar la exactitud, integridad y validez
de la información procesada.

 Ejemplos :

- Control sobre los datos de entrada.

- Control sobre los datos constantes o fijos.
- Control sobre el procesamiento.
- Control sobre los datos rechazados.
- Control sobre los datos de salida.
 Controles Especiales

 Definición : Son los que se realizan para

asegurar la integridad, seguridad y aspectos
operacionales.

 Ejemplos :

- Control sobre la entrada de datos en línea.

- Procedimientos de recuperación y reenganche en
sistemas en línea.
- Control sobre la modificación de programas.
- Control sobre el procesamiento distribuido.
- Control sobre sistemas integrados.
- Control sobre bases de datos.