Documento preparado de recopilaciones realizdas por el Lic. Roberto Chang W.
para ser utilizado en la
clase de Auditora de Sistemas de Informacin. Junio 2001 1
AUDITORA DE SISTEMAS DE INFORMACIN
Qu es Auditora ?
La Auditora es un proceso sistemtico de obtencin y evaluacin objetiva de evidencias respecto a afirmaciones o aseveraciones acerca de hechos y eventos econmicos, para determinar el grado de correspondencia entre tales aseveraciones y los criterios establecidos, y comunicar los resultados a los usuarios interesados. Definicin de American Accounting Association (AAA) para varios tipos de auditora incluyendo la auditora interna, auditora externa y auditora de computacin.
Qu es Auditora de Sistemas de Informacin (ASI) ?
Toda la auditora que comprenda la revisin y evaluacin de todos los aspectos ( cualquier porcin ) de los sistemas automatizados de procesamiento de informacin, incluyendo los procesos no automatizados relacionados y las interfaces entre ellos. Definicin de Information Systems Audit and control Association ( ISACA)
Qu hace la ASI ?
Es una funcin de la auditora que :
- Evala y verifica los controles establecidos en las actividades y recursos de cmputo de las empresas.
- Asesora a la Administracin en asuntos de cmputo.
- Promueve la automatizacin en las diferentes modalidades de la auditora
Objetivos de la Auditora de Sistemas
Evaluar y verificar el control interno en todos los aspectos de los sistemas automatizados de procesamiento de datos de la empresa:
- Administrativos - Tcnicos y - Operativos
Verificar que los sistemas de informacin automatizados satisfaga las siete caractersticas de la informacin de negocios recomendadas por COBIT.
Documento preparado de recopilaciones realizdas por el Lic. Roberto Chang W. para ser utilizado en la clase de Auditora de Sistemas de Informacin. Junio 2001 2 - Disponibilidad - Cumplimiento con leyes y Regulaciones - Confiabilidad
Verificar que los controles utilizados en los sistemas de informacin protejan a las organizaciones contra los riesgos que podran afectarlas a travs de sus recursos de cmputo.
- Datos - Aplicaciones del Computadora - Tecnologa - Instalaciones de Cmputo - Las personas
La Auditora de Sistemas y los Riesgos en las Empresas
La Auditora de Sistemas evala y verifica que existan controles apropiados para proteger a las organizaciones contra eventos indeseados (RIESGOS) que podran afectarlas a travs de sus recursos de cmputo
- Errores humanos - Actos mal intencionados - Decisiones errneas - Prdidas de activo - Encubrimientos de pasivos - Desventajas ante la competencia - sanciones legales - Desastres naturales - Prdida de credibilidad e imagen
Cuales controles evala y verifica ?
- LOS EXISTENTES.
Enfoque esttico de la auditora detrs de lo conocido . Tiempo de auditora posterior al tiempo de los eventos auditados.
- LOS QUE DEBERAN EXISTIR.
Enfoque dinmico de la auditora : prevencin y asesora
Tiempo de auditora menor o igual que el tiempo de los eventos.
Enfoque Proactivo: Suscita acciones para prevenir errores, desviaciones e irregularidades
Documento preparado de recopilaciones realizdas por el Lic. Roberto Chang W. para ser utilizado en la clase de Auditora de Sistemas de Informacin. Junio 2001 3 Funciones de la Auditora de Sistemas:
- Auditora de Controles Generales de la Informtica - Auditora de Aplicaciones en funcionamiento - Auditora en el Desarrollo de Sistemas - Soporte a Grupos de Auditora
Alcance del trabajo de la Auditora de Sistemas:
- las actividades del Departamento de Sistemas de la empresa (administracin de los recursos de cmputo de la organizacin) - Las aplicaciones en el computador en estado de produccin o funcionamiento - El desarrollo de nuevas aplicaciones para el computador - El soporte tcnico a otras actividades de la auditora (financiera, operativa, etc.)
RESULTADOS DEL TRABAJO DE ASI
Tangibles:
Informes escritos con opiniones, observaciones y recomendaciones dirigidos a: - Direccin de la Empresa - La Gerencia de Sistemas (Organizacin y Mtodos) - Las reas de negocio y de soporte administrativo que manejan operaciones crticas de las empresas que se soportan en Tecnologa de Informacin
Intangibles: (Valor Agregado)
- El mejoramiento de la Seguridad en Informtica - El mejoramiento de la Cultura de Control en las Organizaciones
BENEFICIOS DE LA AUDITORA DE SISTEMAS
Previene la ocurrencia de situaciones perjudiciales para la organizacin ( es un control preventivo)
- Acta como mdico de los sistemas de informacin. - Revisa suficiencia de los controles existentes - Seala las reas de riesgos crticas que requieren ser controladas (principio de pareto)
Documento preparado de recopilaciones realizdas por el Lic. Roberto Chang W. para ser utilizado en la clase de Auditora de Sistemas de Informacin. Junio 2001 4 - Promueve le mejoramiento de la cultura de control en las organizaciones - Fomenta la conciencia de seguridad institucional - Fomenta la definicin de un lenguaje comn de seguridad
Genera actitud positiva hacia los controles en los responsables del manejo de las operaciones de la empresa para que asuman la responsabilidad de:
- Identificar a priori posibles riesgos innecesarios en las operaciones del negocio - Efectuar ajustes al sistema de control interno existente - Establecer que los controles sean intrnsecos a los procedimientos manuales y automatizados. (Autocontrol)
Promueve la calidad, seguridad y eficiencia en los sistemas de informacin automatizados
- Efecto Psicolgico de tener auditores de sistemas : el hecho de tener auditora de sistemas estimula mayor diligencia del personal de sistemas y de las reas de operacin - Formula recomendaciones constructivas : el auditor no se queda en el mbito de la crtica, tambin propone alternativas de solucin a los problemas que detecte. - Complementa el control que ejerce la Gerencia de Sistemas - Observa y detecta lo que el Gerente de Sistemas no puede ver - Ojos y odos de la Gerencia - Acta con independencia orgnica, mental y de criterio - Asesora a la Organizacin en asuntos de seguridad corporativa - Complementa el efecto de los controles ejercidos por los usuarios internos y externos de los sistemas: - Acta como un control sobre los controles establecidos en la empresa - Tiene el poder de influir (es el poder detrs del trono) - Es parte integral del sistema de control interno de la empresa
Documento preparado de recopilaciones realizdas por el Lic. Roberto Chang W. para ser utilizado en la clase de Auditora de Sistemas de Informacin. Junio 2001 5
CONCEPTOS SOBRE RIESGOS
WebsterS define el riesgo como la posibilidad de dao o prdida
En el contexto de los negocios el riesgo se define como los factores, eventos o exposiciones, internos o externos que amenazan el logro de los objetivos
Gran parte del riesgo es inherente a la naturaleza de los negocios o servicios de las empresas. Esta parte no pude ser eliminada y por consiguiente, su manejo es una parte natural del xito de los negocios.
EJEMPLOS DE RIESGOS
- Errores en el Calculo de Ingresos - Errores en el Calculo de Egresos - Prdida de negocios o de credibilidad pblica - Prdida de Ventaja ante la Competencia - Dao y Destruccin de Activos - Hurto / fraude / Robo - Decisiones Errneas - Sanciones Legales
CAUSAS DEL RIESGO (AMENAZAS)
Se refieren a los medios, medios o circunstancias y agentes que generan riesgos.
Ejemplos: - Causas de sanciones legales - Causas de prdida de ingresos
RELACIN ENTRE RIESGOS Y CAUSAS DE RIESGO
Una causa puede generar ms de un tipo de riesgo.
Ejemplo:
La causa incendio en el centro de computo podra generar varios de los riegos considerados como ser: el dao y destruccin de activos. prdida de negocios, prdida de ingresos (futuros) Etc..
COMPONENTES DEL RIESGO
El riesgo tiene dos componentes:
Documento preparado de recopilaciones realizdas por el Lic. Roberto Chang W. para ser utilizado en la clase de Auditora de Sistemas de Informacin. Junio 2001 6
a. La probabilidad de la ocurrencia de la causa b. El impacto (efecto) que la causa podra tener, expresado en trminos monetarios
Los controles posibles para una causa del riesgo atacan los componentes del riesgo de dos maneras no excluyentes: - para reducir la probabilidad de ocurrencia de la causa (cuando sea posible) - para reducir el impacto que pueda tener la ocurrencia de la causa (siempre ser posible)
Ejemplos: El terremoto, el dao de los equipos.
RELACIN ENTRE CAUSAS DEL RIESGO Y LOS CONTROLES
COBIT (Control OBjetives For Informatin and Related Technology) Define CONTROL as:
LAS POLTICAS, PROCEDIMIENTOS, PRCTICAS Y ESTRUCTURAS ORGANIZACIONALES DISEADAS PARA PROPORCIONAR RAZONABLE CONFIANZA DE QUE LOS OBJETIVOS DEL NEGOCIO SEN ALCANZADOS Y QUE LOS EVENTOS INDESEADOS SERN PREVENIDOS DETECTADOS Y CORREGIDOS (ISACA)
OBJETIVOS DE LOS CONTROLES
los controles actan sobre las causas del riesgo de tres maneras, mutuamente excluyente:
A. Como Control Preventivo. Para evitar la ocurrencia de la causa del riesgo
B. Como Control Detectivo. Para detectar, registrar e informar la ocurrencia de la causa (actuar como alarma que se dispara cuando detecta la causa),
C. Como control Correctivo. Obligan a tomar accin correctiva para resolver el problema detectado por los controles detectivos.
NO EXISTE UNA RELACIN UNO A UNO ENTRE CAUSAS DE RIESGOS Y CONTROLES
- Varias tcnicas de control pueden actuar sobre una causa de riesgo particular - Una tcnica de control puede servir para diferentes causas del riesgo
Ejemplos:
Documento preparado de recopilaciones realizdas por el Lic. Roberto Chang W. para ser utilizado en la clase de Auditora de Sistemas de Informacin. Junio 2001 7 El control nmero de secuencia preimpreso, acta sobre las siguientes causas de riesgo: - Doble procesamiento de factura - Prdida o extravo de factura sin utilizar o ya utilizadas
PRUEBAS DE AUDITORA:
Desde el punto de vista de su ejecucin pueden ser:
- Manuales - Con asistencia del computador (CAATs)
Computer Audit Assist Techniques
Desde el punto de vista de su aplicacin pueden ser;
- De aplicacin discreta ( Pruebas manuales) - De aplicacin continua (pruebas CAATs)
Desde el punto de vista de su objetivo pueden ser:
- Pruebas de Cumplimiento. Tambin llamadas pruebas de control, verifican el grado de cumplimiento y/ funcionamiento del control.
- Pruebas Sustantivas. Tambin llamadas prueba de riesgo, su propsito es sustentar cifras y/ determinar el grado de ocurrencia de eventos, hechos, riesgos, etc.