Está en la página 1de 7

Documento preparado de recopilaciones realizdas por el Lic. Roberto Chang W.

para ser utilizado en la


clase de Auditora de Sistemas de Informacin. Junio 2001
1

AUDITORA DE SISTEMAS DE INFORMACIN

Qu es Auditora ?

La Auditora es un proceso sistemtico de obtencin y evaluacin objetiva de evidencias
respecto a afirmaciones o aseveraciones acerca de hechos y eventos econmicos, para
determinar el grado de correspondencia entre tales aseveraciones y los criterios
establecidos, y comunicar los resultados a los usuarios interesados. Definicin de
American Accounting Association (AAA) para varios tipos de auditora incluyendo la
auditora interna, auditora externa y auditora de computacin.


Qu es Auditora de Sistemas de Informacin (ASI) ?

Toda la auditora que comprenda la revisin y evaluacin de todos los aspectos (
cualquier porcin ) de los sistemas automatizados de procesamiento de informacin,
incluyendo los procesos no automatizados relacionados y las interfaces entre ellos.
Definicin de Information Systems Audit and control Association ( ISACA)


Qu hace la ASI ?

Es una funcin de la auditora que :

- Evala y verifica los controles establecidos en las actividades y recursos de cmputo
de las empresas.

- Asesora a la Administracin en asuntos de cmputo.

- Promueve la automatizacin en las diferentes modalidades de la auditora


Objetivos de la Auditora de Sistemas

Evaluar y verificar el control interno en todos los aspectos de los sistemas automatizados de
procesamiento de datos de la empresa:

- Administrativos
- Tcnicos y
- Operativos

Verificar que los sistemas de informacin automatizados satisfaga las siete caractersticas
de la informacin de negocios recomendadas por COBIT.

- Efectividad - Eficiencia
- Confidencialidad - Integridad



Documento preparado de recopilaciones realizdas por el Lic. Roberto Chang W. para ser utilizado en la
clase de Auditora de Sistemas de Informacin. Junio 2001
2
- Disponibilidad - Cumplimiento con leyes y Regulaciones
- Confiabilidad


Verificar que los controles utilizados en los sistemas de informacin protejan a las
organizaciones contra los riesgos que podran afectarlas a travs de sus recursos de
cmputo.

- Datos
- Aplicaciones del Computadora
- Tecnologa
- Instalaciones de Cmputo
- Las personas


La Auditora de Sistemas y los Riesgos en las Empresas

La Auditora de Sistemas evala y verifica que existan controles apropiados para proteger a
las organizaciones contra eventos indeseados (RIESGOS) que podran afectarlas a travs
de sus recursos de cmputo

- Errores humanos - Actos mal intencionados
- Decisiones errneas - Prdidas de activo
- Encubrimientos de pasivos - Desventajas ante la competencia
- sanciones legales - Desastres naturales
- Prdida de credibilidad e imagen


Cuales controles evala y verifica ?

- LOS EXISTENTES.

Enfoque esttico de la auditora detrs de lo conocido . Tiempo de auditora
posterior al tiempo de los eventos auditados.

- LOS QUE DEBERAN EXISTIR.

Enfoque dinmico de la auditora : prevencin y asesora

Tiempo de auditora menor o igual que el tiempo de los eventos.

Enfoque Proactivo: Suscita acciones para prevenir errores, desviaciones e
irregularidades







Documento preparado de recopilaciones realizdas por el Lic. Roberto Chang W. para ser utilizado en la
clase de Auditora de Sistemas de Informacin. Junio 2001
3
Funciones de la Auditora de Sistemas:

- Auditora de Controles Generales de la Informtica
- Auditora de Aplicaciones en funcionamiento
- Auditora en el Desarrollo de Sistemas
- Soporte a Grupos de Auditora


Alcance del trabajo de la Auditora de Sistemas:

- las actividades del Departamento de Sistemas de la empresa
(administracin de los recursos de cmputo de la organizacin)
- Las aplicaciones en el computador en estado de produccin o
funcionamiento
- El desarrollo de nuevas aplicaciones para el computador
- El soporte tcnico a otras actividades de la auditora (financiera,
operativa, etc.)


RESULTADOS DEL TRABAJO DE ASI

Tangibles:

Informes escritos con opiniones, observaciones y recomendaciones dirigidos a:
- Direccin de la Empresa
- La Gerencia de Sistemas (Organizacin y Mtodos)
- Las reas de negocio y de soporte administrativo que manejan
operaciones crticas de las empresas que se soportan en Tecnologa
de Informacin

Intangibles: (Valor Agregado)

- El mejoramiento de la Seguridad en Informtica
- El mejoramiento de la Cultura de Control en las Organizaciones


BENEFICIOS DE LA AUDITORA DE SISTEMAS

Previene la ocurrencia de situaciones perjudiciales para la organizacin ( es un
control preventivo)

- Acta como mdico de los sistemas de informacin.
- Revisa suficiencia de los controles existentes
- Seala las reas de riesgos crticas que requieren ser controladas
(principio de pareto)



Documento preparado de recopilaciones realizdas por el Lic. Roberto Chang W. para ser utilizado en la
clase de Auditora de Sistemas de Informacin. Junio 2001
4
- Promueve le mejoramiento de la cultura de control en las
organizaciones
- Fomenta la conciencia de seguridad institucional
- Fomenta la definicin de un lenguaje comn de seguridad

Genera actitud positiva hacia los controles en los responsables del manejo de las
operaciones de la empresa para que asuman la responsabilidad de:

- Identificar a priori posibles riesgos innecesarios en las operaciones
del negocio
- Efectuar ajustes al sistema de control interno existente
- Establecer que los controles sean intrnsecos a los procedimientos
manuales y automatizados. (Autocontrol)

Promueve la calidad, seguridad y eficiencia en los sistemas de informacin
automatizados

- Efecto Psicolgico de tener auditores de sistemas : el hecho de tener
auditora de sistemas estimula mayor diligencia del personal de
sistemas y de las reas de operacin
- Formula recomendaciones constructivas : el auditor no se queda en el
mbito de la crtica, tambin propone alternativas de solucin a los
problemas que detecte.
- Complementa el control que ejerce la Gerencia de Sistemas
- Observa y detecta lo que el Gerente de Sistemas no puede ver
- Ojos y odos de la Gerencia
- Acta con independencia orgnica, mental y de criterio
- Asesora a la Organizacin en asuntos de seguridad corporativa
- Complementa el efecto de los controles ejercidos por los usuarios
internos y externos de los sistemas:
- Acta como un control sobre los controles establecidos en la
empresa
- Tiene el poder de influir (es el poder detrs del trono)
- Es parte integral del sistema de control interno de la empresa
















Documento preparado de recopilaciones realizdas por el Lic. Roberto Chang W. para ser utilizado en la
clase de Auditora de Sistemas de Informacin. Junio 2001
5



CONCEPTOS SOBRE RIESGOS

WebsterS define el riesgo como la posibilidad de dao o prdida

En el contexto de los negocios el riesgo se define como los factores, eventos o
exposiciones, internos o externos que amenazan el logro de los objetivos

Gran parte del riesgo es inherente a la naturaleza de los negocios o servicios de las
empresas. Esta parte no pude ser eliminada y por consiguiente, su manejo es una parte
natural del xito de los negocios.

EJEMPLOS DE RIESGOS


- Errores en el Calculo de Ingresos
- Errores en el Calculo de Egresos
- Prdida de negocios o de credibilidad pblica
- Prdida de Ventaja ante la Competencia
- Dao y Destruccin de Activos
- Hurto / fraude / Robo
- Decisiones Errneas
- Sanciones Legales

CAUSAS DEL RIESGO (AMENAZAS)

Se refieren a los medios, medios o circunstancias y agentes que generan riesgos.

Ejemplos:
- Causas de sanciones legales
- Causas de prdida de ingresos

RELACIN ENTRE RIESGOS Y CAUSAS DE RIESGO

Una causa puede generar ms de un tipo de riesgo.

Ejemplo:

La causa incendio en el centro de computo podra generar varios de los riegos
considerados como ser: el dao y destruccin de activos. prdida de negocios, prdida de
ingresos (futuros) Etc..

COMPONENTES DEL RIESGO

El riesgo tiene dos componentes:



Documento preparado de recopilaciones realizdas por el Lic. Roberto Chang W. para ser utilizado en la
clase de Auditora de Sistemas de Informacin. Junio 2001
6

a. La probabilidad de la ocurrencia de la causa
b. El impacto (efecto) que la causa podra tener, expresado en trminos monetarios

Los controles posibles para una causa del riesgo atacan los componentes del riesgo de dos
maneras no excluyentes:
- para reducir la probabilidad de ocurrencia de la causa (cuando sea
posible)
- para reducir el impacto que pueda tener la ocurrencia de la causa
(siempre ser posible)

Ejemplos: El terremoto, el dao de los equipos.

RELACIN ENTRE CAUSAS DEL RIESGO Y LOS CONTROLES

COBIT (Control OBjetives For Informatin and Related Technology) Define CONTROL
as:

LAS POLTICAS, PROCEDIMIENTOS, PRCTICAS Y ESTRUCTURAS
ORGANIZACIONALES DISEADAS PARA PROPORCIONAR RAZONABLE
CONFIANZA DE QUE LOS OBJETIVOS DEL NEGOCIO SEN ALCANZADOS
Y QUE LOS EVENTOS INDESEADOS SERN PREVENIDOS DETECTADOS Y
CORREGIDOS (ISACA)

OBJETIVOS DE LOS CONTROLES

los controles actan sobre las causas del riesgo de tres maneras, mutuamente excluyente:

A. Como Control Preventivo. Para evitar la ocurrencia de la causa del riesgo

B. Como Control Detectivo. Para detectar, registrar e informar la ocurrencia de la causa
(actuar como alarma que se dispara cuando detecta la causa),

C. Como control Correctivo. Obligan a tomar accin correctiva para resolver el problema
detectado por los controles detectivos.


NO EXISTE UNA RELACIN UNO A UNO ENTRE CAUSAS DE RIESGOS Y
CONTROLES

- Varias tcnicas de control pueden actuar sobre una causa de riesgo
particular
- Una tcnica de control puede servir para diferentes causas del riesgo

Ejemplos:




Documento preparado de recopilaciones realizdas por el Lic. Roberto Chang W. para ser utilizado en la
clase de Auditora de Sistemas de Informacin. Junio 2001
7
El control nmero de secuencia preimpreso, acta sobre las siguientes causas de
riesgo:
- Doble procesamiento de factura
- Prdida o extravo de factura sin utilizar o ya utilizadas

PRUEBAS DE AUDITORA:

Desde el punto de vista de su ejecucin pueden ser:

- Manuales
- Con asistencia del computador (CAATs)

Computer Audit Assist Techniques

Desde el punto de vista de su aplicacin pueden ser;

- De aplicacin discreta ( Pruebas manuales)
- De aplicacin continua (pruebas CAATs)

Desde el punto de vista de su objetivo pueden ser:

- Pruebas de Cumplimiento. Tambin llamadas pruebas de control,
verifican el grado de cumplimiento y/ funcionamiento del control.


- Pruebas Sustantivas. Tambin llamadas prueba de riesgo, su
propsito es sustentar cifras y/ determinar el grado de ocurrencia de
eventos, hechos, riesgos, etc.

También podría gustarte