Está en la página 1de 41

Bloque II

EL PROCESO Y LOS ELEMENTOS DE LA AUDITORA DE SSII

Tema 2

Introduccin a la Auditora de
Sistemas de Informacin

Jos F Vlez Serrano


Francisco Nava
Bloque II El proceso y los elementos de Auditora de los SSII
Tema 1 Introduccin a la auditora de SSII

1/41

ndice
ndice

Breve historia de la auditora de SSII

Razones para auditar y controlar los SSII

Definicin de la Auditora de Sistemas de Informacin

Efectos del PED sobre los controles internos

Efectos del PED sobre la Auditora

Fundamentos de la Auditora de SSII

Referencias
Bloque II El proceso y los elementos de Auditora de los SSII
Tema 1 Introduccin a la auditora de SSII

2/41

Breve historia de la auditora de SSII

Auditora alrededor del ordenador. Auditora


convencional con un elemento extico. El ordenador como
caja negra.
Auditora del ordenador. Se adaptaron los criterios al
centro de proceso de datos.
Auditora a travs del ordenador. Se comienza a
estudiar el tratamiento de la informacin en las
aplicaciones.
Auditora con el ordenador. El auditor comienza a usar
el ordenador para conseguir pruebas y evidencias.
Auditora operativa de proceso de datos. Basada en al
auditora operativa estudia la eficacia y la eficiencia del
tratamiento automtico de los datos.
Bloque II El proceso y los elementos de Auditora de los SSII
Tema 1 Introduccin a la auditora de SSII

3/41

Razones para auditar y controlar los SSII


Las principales razones son:

Toma de decisiones incorrectas

Coste de los errores

Control del uso de la tecnologa

Consecuencias de las prdidas de datos

Valor del hardware, del software y del personal

Privacidad de los datos personales

Fraude informtico

Bloque II El proceso y los elementos de Auditora de los SSII


Tema 1 Introduccin a la auditora de SSII

4/41

Razones para auditar y controlar los SSII


Toma de decisiones incorrectas
Los datos inexactos pueden acarrear prdidas econmicas o
perdida del control de los procesos.
Factores a tener en cuenta:

Los datos utilizados para las decisiones a corto plazo


deben gozar de alta exactitud.
Los datos utilizados para las decisiones a largo plazo tiene
un margen de error mayor.
Se debe evaluar el grado de precisin de los datos que se
manejan en relacin a las decisiones que sustentan.
Bloque II El proceso y los elementos de Auditora de los SSII
Tema 1 Introduccin a la auditora de SSII

5/41

Razones para auditar y controlar los SSII


Coste de los errores
Los errores tienen coste econmico
Factores a tener en cuenta:

Errores inasumibles en funciones crticas: monitoreo de


pacientes, pagos de intereses, direccin de barcos, diseo
de satlites...
Errores que reducen la credibilidad de la empresa: errores
en informes, errores en plazos de entrega...

Operar segn normas, pruebas y revisiones evitan errores


Bloque II El proceso y los elementos de Auditora de los SSII
Tema 1 Introduccin a la auditora de SSII

6/41

Razones para auditar y controlar los SSII


Control del uso de la tecnologa
La responsabilidad no puede desaparecer
Factores a tener en cuenta:

En que casos debe utilizarse y en que casos debe


prohibirse el uso de tecnologa: control areo, conduccin
de vehculos, operaciones mdicas...
Quin es responsable cuando un sistema falla: los
sistemas, las compaas que los usan, las compaas que
los proporcionan, las personas que los desarrollan...
La normativa y los contratos deben explicar estos puntos
Bloque II El proceso y los elementos de Auditora de los SSII
Tema 1 Introduccin a la auditora de SSII

7/41

Razones para auditar y controlar los SSII


Consecuencias de las prdidas de datos
Los datos son un recurso crtico para las operaciones de una
organizacin
Factores a tener en cuenta:

Prdida de histrico (pasado)

Prdida de los planes a corto plazo (presente)

Operaciones deterioradas (presente)

Prdida de planes estratgicos (futuro)

Prdida de imagen respecto a terceros

Prdida de confianza en los sistemas

Respaldos adecuados y controles de los mismos


Bloque II El proceso y los elementos de Auditora de los SSII
Tema 1 Introduccin a la auditora de SSII

8/41

Razones para auditar y controlar los SSII


Valor del Hardware, del software y del personal
La organizacin no puede detenerse

Factores a tener en cuenta:

El alto nivel de cualificacin del personal informtico lo hacen


un recurso muy valioso.
Tras la destruccin o corrupcin del software la organizacin
quizs no pueda continuar sus operaciones.
El fallo del hardware tambin puede detener el funcionamiento
de una organizacin.

Prever las bajas, tener personal preparado por duplicado,


tener sistemas duplicados, copias de seguridad...
Bloque II El proceso y los elementos de Auditora de los SSII
Tema 1 Introduccin a la auditora de SSII

9/41

Razones para auditar y controlar los SSII


Privacidad
El tratamiento informtico de datos personales erosiona la
privacidad de las personas

Factores a tener en cuenta:

Enfoque fuerte: La informtica no debe permitir que los


datos personales puedan ser integrados, procesados y
recuperados rpidamente.
Enfoque dbil: Los datos solo deben usarse para el
propsito para el que fueron recogidos. Y siempre pueden
eliminarse bajo peticin.
Probar la imposibilidad del acceso a los datos privados
Bloque II El proceso y los elementos de Auditora de los SSII
Tema 1 Introduccin a la auditora de SSII

10/41

Razones para auditar y controlar los SSII


Fraude
Incidentes relacionados con la informtica en el que un
causante gana y una vctima pierde

Factores a tener en cuenta:

El control del fraude puede ser difcil debido a temas


legales (privacidad, jurisdiccin...)
Solo las personas pueden ser defraudadas.
Proteccin de los activos, uso de protocolos estndar,
conocer la legislacin aplicable

Bloque II El proceso y los elementos de Auditora de los SSII


Tema 1 Introduccin a la auditora de SSII

11/41

Definicin de la Auditora de Sistemas de Informacin


La Auditora de SSII es el proceso de:

recoger y evaluar las evidencias


para dar una opinin sobre:

la salvaguarda de los activos,

la integridad de los datos,

la eficacia

y la eficiencia

en la consecucin de los objetivos de la organizacin

Bloque II El proceso y los elementos de Auditora de los SSII


Tema 1 Introduccin a la auditora de SSII

12/41

Definicin de la Auditora de Sistemas de Informacin

La Auditora de Sistemas de Informacin ayuda a


las organizaciones a conseguir esos objetivos

Bloque II El proceso y los elementos de Auditora de los SSII


Tema 1 Introduccin a la auditora de SSII

13/41

Definicin de la Auditora de Sistemas de Informacin


La salvaguarda de los activos
Los activos son:

El hardware, y la documentacin del sistema, que


puede ser daado fsicamente.
El software y los ficheros de datos, que pueden ser
robados o espiados.
El personal y los suministros.
Todo debe estar protegido por un sistema de control
interno
Bloque II El proceso y los elementos de Auditora de los SSII
Tema 1 Introduccin a la auditora de SSII

14/41

Definicin de la Auditora de Sistemas de Informacin


La integridad de los datos
El valor de un dato depende de su contribucin a la
reduccin de incertidumbre y su valor debe incrementarse
por cada usuario del dato.
Aspectos:

Exactitud (Accurazy), precisin de los datos.


Completitud (Completeness), datos encontrados respecto
al total.
Fiabilidad (reliability), vlida, sin errores, y representativa.
La integridad tiene un coste, y los beneficios deben
superar el coste de los procedimientos de control que se
establezcan
Bloque II El proceso y los elementos de Auditora de los SSII
Tema 1 Introduccin a la auditora de SSII

15/41

Definicin de la Auditora de Sistemas de Informacin


La eficacia
Un sistema eficaz es el que consigue sus objetivos
Aspectos:

La auditora de eficacia se realiza cuando el sistema ya


lleva tiempo funcionando, para saber si cumple las
necesidades de los usuarios.
Cuando un sistema es difcil de construir, se puede
realizar una auditora del diseo, para averiguar si el
resultado responder a las necesidades.

El auditor necesita conocer las caractersticas de los usuarios


y su marco de toma de decisiones, para saber si el sistema
las facilita
Bloque II El proceso y los elementos de Auditora de los SSII
Tema 1 Introduccin a la auditora de SSII

16/41

Definicin de la Auditora de Sistemas de Informacin


La eficiencia
Un sistema eficiente es el que minimiza los recursos para
conseguir sus objetivos
Aspectos:

Los recursos siempre son escasos para la demanda: Tiempo,


mquinas, comunicaciones, personas
No se puede evaluar aisladamente debido a sus dependencias con
otros sistemas (sistemas lentos que penalizan, lneas de
comunicacin, personas...). .
La eficiencia es clave cuando el sistema informtico tiene poca
capacidad. Hay que decidir si ampliar la capacidad de los sistemas
informticos o mejorar el software.

La auditora detecta problemas de capacidad y los relaciona con cuellos


de botella o con aplicaciones ineficientes.
Bloque II El proceso y los elementos de Auditora de los SSII
Tema 1 Introduccin a la auditora de SSII

17/41

Efectos del PED sobre los controles internos


En un sistema de Proceso Electrnico de Datos (PED) el
sistema de control interno sigue teniendo los mismos
componentes que en uno clsico:

Segregacin de funciones

Delegacin de responsabilidad y autoridad

Competencia del personal

Sistema de autorizaciones

Documentacin y registros adecuados

Control fsico sobre activos y registros

Adecuada supervisin de la gestin

Verificacin independiente de las operaciones

Comparacin peridica de los registros con los activos


Bloque II El proceso y los elementos de Auditora de los SSII
Tema 1 Introduccin a la auditora de SSII

18/41

Efectos del PED sobre los controles internos


Segregacin de funciones
Previene y detecta errores e irregularidades.
La segregacin clsica no es vlida:

En un sistema manual distintas personas deben: Iniciar las transacciones,


registrar las transacciones, custodiar activos...
Un mismo programa puede: Reconciliar una factura de un proveedor contra
el documento recibido e imprimir un taln por la cantidad adeudada al
proveedor (funciones incompatibles en un sistema manual).

En sistemas informatizados se deben verificar la segregacin de:

La capacidad de ejecutar el programa en el entorno de produccin

La capacidad de modificar el programa

En entornos con miniordenadores y PCs la segregacin de estas


funciones puede ser difcil de conseguir. Deben existir: contraseas,
permisos de escritura, registro de cambios.
Bloque II El proceso y los elementos de Auditora de los SSII
Tema 1 Introduccin a la auditora de SSII

19/41

Efectos del PED sobre los controles internos


Delegacin de la responsabilidad y de la autoridad
La especificacin clara de la responsabilidad y de la autoridad es
un control esencial
Aspectos a considerar:

En un sistema informatizado, puede ser difcil de conseguir una


especificacin no ambigua pues algunos recursos se comparten
entre distintos usuarios.

Por ejemplo, si varios usuarios acceden a los mismos datos y se viola la


integridad de los datos puede ser difcil determinar la responsabilidad de:

La corrupcin de los datos

Responsable de identificar y corregir el error.

Se debe comprobar la existencia de traza adecuada en cada caso y la


imposibilidad de suplantacin y eliminacin de rastro
Bloque II El proceso y los elementos de Auditora de los SSII
Tema 1 Introduccin a la auditora de SSII

20/41

Efectos del PED sobre los controles internos


Personal competente y de confianza
La existencia de personal competente y de confianza es cada
vez ms importante
Aspectos a considerar:

Como la tecnologa informtica es cada vez ms compleja se


necesita personal muy cualificado para: desarrollar, mantener y
operar los sistemas informticos.
Un pequeo nmero de personas asumen la responsabilidad
de la integridad de los datos.
La alta rotacin del personal hace difcil evaluar su adecuada
cualificacin.
Se puede verificar la posibilidad de ausencias, la existencia de
cuellos de botellas...
Bloque II El proceso y los elementos de Auditora de los SSII
Tema 1 Introduccin a la auditora de SSII

21/41

Efectos del PED sobre los controles internos


Sistema de autorizaciones
Los programas cumplen el sistema de autorizaciones
Aspectos a considerar:

Normalmente la direccin da dos tipos de autorizacin para ejecutar las


transacciones:

Generales establecen polticas a seguir (una lista fija de precios para el personal
de ventas)
Especficas aplican a transacciones especficas (las compras de valor muy
elevado deben ser aprobadas por el comit de direccin)

Cambia la forma de evaluar el seguimiento de las autorizaciones:

En un sistema manual se examinan el trabajo de los empleados.


En un sistema informtico, el procedimiento de autorizacin suele estar imbuido
en un programa, por lo que se debe verificar adems la veracidad del
programa.

Verificar que los programas cumplen el sistema de autorizaciones


Bloque II El proceso y los elementos de Auditora de los SSII
Tema 1 Introduccin a la auditora de SSII

22/41

Efectos del PED sobre los controles internos


Documentacin y registros adecuados
El sistema debe registrar todos los eventos y se debe poder
acceder a esos registros
Aspectos a considerar:

En un sistema manual hay un soporte documental para permitir un


rastreo de auditora, mientras que en un sistema informtico puede
no haber soporte documental para iniciar, ejecutar y registrar
algunas transacciones.

Por ejemplo si los datos se introducen directamente en el sistema, o si


las ordenes de compras se producen automticamente cuando el
inventario es muy bajo.

La segregacin (ejecucin / modificacin) debe funcionar para


impedir problemas de control.

Se debe revisar las existencia y el acceso a los registros de los sistemas


Bloque II El proceso y los elementos de Auditora de los SSII
Tema 1 Introduccin a la auditora de SSII

23/41

Efectos del PED sobre los controles internos


Control fsico sobre activos y registros
Control crtico en sistemas manuales e informticos
Aspectos a considerar:

Los sistemas informatizados tienden a concentrar sus activos y


Registros, por lo que se incrementa la prdida que puede suceder
debido a un fraude informtico o a un desastre.

Por ejemplo un incendio que destruya archivos sin respaldo


puede impedir que se continen las operaciones.

El auditor debe verificar la existencia de sistemas contingencias y sus


controles

Bloque II El proceso y los elementos de Auditora de los SSII


Tema 1 Introduccin a la auditora de SSII

24/41

Efectos del PED sobre los controles internos


Adecuada supervisin de la gestin
Se deben implementar controles de supervisin en el sistema
informtico que compensen los controles que antes se hacan por
observacin y consulta.

Aspectos a considerar:

Antes, en un sistema manual los supervisores y los subordinados


suelen estar cerca.
Ahora, los SSII permite que los empleados estn cerca de sus
clientes y lejos de los supervisores.
El auditor debe verificar los controles de supervisin existentes
(informes, registros...)

Bloque II El proceso y los elementos de Auditora de los SSII


Tema 1 Introduccin a la auditora de SSII

25/41

Efectos del PED sobre los controles internos


Verificacin independiente de las operaciones
La verificacin de las operaciones es innecesaria
Aspectos a considerar:

Antes, en un sistema manual se realizan pruebas independientes ya


que los empleados pueden: olvidar los procedimientos, cometer
errores...
Ahora, el sistema siempre seguir los procedimientos (si el cdigo
del programa est autorizado, es exacto y completo).

El nfasis cambia a asegurar la veracidad del programa, evaluando los


controles establecidos para el desarrollo y mantenimiento

Bloque II El proceso y los elementos de Auditora de los SSII


Tema 1 Introduccin a la auditora de SSII

26/41

Efectos del PED sobre los controles internos


Comparacin peridica de los registros
contabilizados con los activos
Peridicamente, hay que comparar los datos y los activos que los
datos pretenden representar
Aspectos a considerar:

En un sistema manual personal independiente prepara los datos


para realizar la comparacin.
En un sistema informtico esta preparacin la realiza un programa.
Si se realizan modificaciones no autorizadas a los programas o a los
ficheros, se podra no descubrir una irregularidad.
El control cambia a asegurar la veracidad de los programas

Bloque II El proceso y los elementos de Auditora de los SSII


Tema 1 Introduccin a la auditora de SSII

27/41

Efectos del PED sobre la Auditora


Los auditores han de ser competentes e independientes
para evaluar la correspondencia entre las actividades de
una organizacin y los estndares o criterios establecidos.
El PED ha impactado en las dos funciones bsicas de la
auditora:

La recogida de las evidencias

La evaluacin de las evidencias

Bloque II El proceso y los elementos de Auditora de los SSII


Tema 1 Introduccin a la auditora de SSII

28/41

Efectos del PED sobre la Auditora


Cambios en la recogida de las evidencias

La recogida de
evidencia es ms
compleja en un sistema
informtico. Los
auditores tienen que
evaluar un conjunto
de controles
tecnolgicos variado y
complejo no existente
en un sistema manual.

Bloque II El proceso y los elementos de Auditora de los SSII


Tema 1 Introduccin a la auditora de SSII

29/41

Efectos del PED sobre la Auditora


Cambios en la recogida de las evidencias (2)

Entender los controles


tecnolgicos no es
fcil. La rpida
evolucin hardware y
el software implica
una continua
evolucin de los
controles asociados.

Bloque II El proceso y los elementos de Auditora de los SSII


Tema 1 Introduccin a la auditora de SSII

30/41

Efectos del PED sobre la Auditora


Cambios en la recogida de las evidencias (3)

Todo esto hace ms


difcil recoger la
evidencia de forma
manual, por lo que
los auditores
necesitan sistemas
PED para poder
recoger la evidencia.
Por ello existe
software general de
auditora.

Bloque II El proceso y los elementos de Auditora de los SSII


Tema 1 Introduccin a la auditora de SSII

31/41

Efectos del PED sobre la Auditora


Cambios en la evaluacin de las evidencias
Es ms difcil evaluar las consecuencias de las fortalezas y
debilidades de los controles en la fiabilidad global del
sistema.
El auditor debe:

Entender cuando un control est funcionando bien o mal


Rastrear las consecuencias de la debilidad o la fortaleza del
control a travs del sistema.

En un entorno compartido, puede ser una tarea difcil. Por ejemplo,


una transaccin de entrada de datos puede actualizar mltiples
datos utilizados por mltiples usuarios de distintas localizaciones.
Bloque II El proceso y los elementos de Auditora de los SSII
Tema 1 Introduccin a la auditora de SSII

32/41

Efectos del PED sobre la Auditora


Cambios en la evaluacin de las evidencias (2)
Si al evaluar las evidencias se descubren errores, hay que tener
en cuenta que as consecuencias de los errores en un sistema
informtico suelen ser ms graves que en uno manual.

Los errores se generan a alta


velocidad

El coste de corregir un error y/o


volver a ejecutar un programa
puede ser muy alto.

Los errores en los programas


suelen requerir rediseo y
reimplementacin.
El auditor debe verificar que existen controles que aseguren
sistemas de alta calidad
Bloque II El proceso y los elementos de Auditora de los SSII
Tema 1 Introduccin a la auditora de SSII

33/41

Efectos del PED sobre la Auditora


Cambios en la evaluacin de las evidencias (3)
La localizacin de errores cambia debido a que:

Los errores en los sistema manual suceden de una forma


estocstica. Por ejemplo, un administrativo comete
aleatoriamente un error al introducir un precio de un artculo.
En un sistema informtico tienden a presentarse de una forma
determinista. Un programa errneo siempre producir el
mismo error.

Bloque II El proceso y los elementos de Auditora de los SSII


Tema 1 Introduccin a la auditora de SSII

34/41

Fundamentos de la Auditora de SSII


La auditora de los SSII no es una simple extensin de la

auditora tradicional.
La necesidad de una funcin de Auditora de SSII emana
de dos direcciones:

Los ordenadores han impactado en la habilidad de los


auditores para dar una prueba clara
La alta direccin y la de SSII consideran que estos son
recursos valiosos que deben ser controlados

Bloque II El proceso y los elementos de Auditora de los SSII


Tema 1 Introduccin a la auditora de SSII

35/41

Fundamentos de la Auditora de SSII


Auditora tradicional

Gestin de SSII

Auditora de los SSII

Ciencias del
comportamiento

Ciencias de la
computacin

Bloque II El proceso y los elementos de Auditora de los SSII


Tema 1 Introduccin a la auditora de SSII

36/41

Fundamentos de la Auditora de SSII


Auditora tradicional

La auditora tradicional aporta un importante bagaje de


conocimiento y experiencia de tcnicas de control interno.

Los trabajos administrativos, que soportan al sistema informtico,


(como las actividades de preparacin de datos) deben estar
sujetas a principios de control interno.

Muchos controles de los sistemas manuales se han exportado


a sistemas informticos (como los totales de control).
La auditora tradicional resalta la importancia crtica que tienen

La evidencia objetiva y verificable

La evaluacin independiente de los sistemas.

Su aporte ms importante es la filosofa del control.


Bloque II El proceso y los elementos de Auditora de los SSII
Tema 1 Introduccin a la auditora de SSII

37/41

Fundamentos de la Auditora de SSII


Gestin de SSII

La rama de la gestin de los SSII ha realizado


numerosos aportes que impactan en la
Auditora informtica como los relativos a:

La direccin de proyectos (Cascada, Scrum, XP...)


Desarrollar e implementar SSII (Warnier, E/R,
Objetos, UML...)

Creacin de estndares.

Generacin de documentacin.

Bloque II El proceso y los elementos de Auditora de los SSII


Tema 1 Introduccin a la auditora de SSII

38/41

Fundamentos de la Auditora de SSII


Una de las razones para el fracaso de un Sistema Informtico
es la ignorancia de los problemas del comportamiento de
las personas involucradas en su desarrollo e implementacin.
Adems, se debe considerar el impacto de todo Sistema
informtico en:

El cumplimiento de las tareas (sistema tcnico)

La calidad de vida en el trabajo (sistema social)

La psicologa, la sociologa o la ciencia de la gerencia


contribuyen a entender los problemas de las personas
dentro de las organizaciones
Ciencias del
comportamiento
Bloque II El proceso y los elementos de Auditora de los SSII
Tema 1 Introduccin a la auditora de SSII

39/41

Fundamentos de la Auditora de SSII


Los objetivos de los controles tambin se han visto
influenciados por los avances realizados en las ciencias
de la computacin

Organizacin de la informacin

Desarrollo de software sin errores

Transmisin de informacin segura

Pruebas automticas

Los auditores de SSII deben tener un alto nivel de informtica


para entender los sistemas.

Ciencias de la
computacin
Bloque II El proceso y los elementos de Auditora de los SSII
Tema 1 Introduccin a la auditora de SSII

40/41

Referencias utilizadas

Apuntes de Auditora Informtica, Francisco Javier Nava


Garca.

SpieceWorks.

Wikipedia

Bloque II El proceso y los elementos de Auditora de los SSII


Tema 1 Introduccin a la auditora de SSII

41/41