Sistemas de Informacin para la Gestin /

Informtica

Sistemas de Informacin para la Gestin

UNIDAD 7: AUDITORA DE LOS SISTEMAS DE INFORMACIN

Unidad 7:
Auditora de los Sistemas de
Informacin
Material Adicional

2. Revisiones de auditora: Entorno jurdico de la auditora de

los S. Herramientas para auditora de SI. Principales reas de
la auditora. Del outsourcing, de la seguridad fsica, de la
direccin informtica, de la explotacin, de bases de dato, de
la seguridad, de redes, de Internet, de aplicaciones, del
desarrollo y mantenimiento de sistemas, del sistema de
vigilancia y sobre los datos de carcter general

U.N.Sa. Facultad de Cs.Econmicas SIG 2014

Control Interno y Auditora de SI

Auditora de Sistemas de Informacin
Proceso

Control Interno y Auditora de SI

Auditora de Sistemas de Informacin
Objetivo
Datos

Recoge, agrupa y
evala evidencias
para

Determinar si un
Sistema de
Informacin

Salvaguarda
activos; Mantiene
integridad datos;
Cumple objetivos
de la empresa;
Utiliza
eficientemente
recursos

Personas

Evaluar org.,
seg. y uso
recursos TI

Aplicacio
nes

Infraest
ructura

Auditora de Sistemas de Informacin

Metodologa Auditora de SI

Entorno Jurdico de la Auditora de SI

Adems de normas profesionales, legales y de regulacin la

labor del auditor de SI tambin se encuentra regulado por
Derecho Informtico, parte del Derecho que regula el
mundo informtico.
Delitos Informticos
Proteccin de Datos Personales
Propiedad Intelectual
Firma Digital

Auditora de Sistemas de Informacin

Ley Proteccin Datos Personales

Sensor - Esquema Documento de Seguridad
1.
2.

3.
4.
5.
6.
7.
8.
9.
10.
11.

Funciones y obligaciones personal

Descripcin archivos y sistemas de informacin;
rutinas de control
Registro incidentes de seguridad
Procedimientos back up y recupero de datos
Relacin actual SdeI y usuarios de datos
Procedimientos ID
Control acceso lgico y fsico
Prevenir software malicioso
Procedimientos Gestin y Distribucin de Soportes
Responsable de Seguridad
Auditorias

Herramientas para auditoria de SI

Entrevistas
Analizar primero si la informacin buscada no est
disponible en otros medios.
Identificar previamente a las personas a entrevistar.
Preparar la entrevista.
Planificar el tiempo y definir el lugar.
Tomar nota.
Analizar entrevista.

Auditora de Sistemas de Informacin

Auditora de Sistemas de Informacin

Herramientas para auditoria de SI

Herramientas para auditoria de SI

Cuestionarios

Definir si se quieren conocer hechos, opiniones o

ambas cosas
Si el auditor va a estar presente o no.
Preguntas concretas.
Evitar usar la jerga de la auditora y la informtica.
Las preguntas no deben conducir indirectamente a las
respuestas.
Evitar cuestiones hipotticas.

Auditora de Sistemas de Informacin

Herramientas para auditoria de SI
LOTES DE PRUEBA
Transacciones simuladas que se introducen al Sistema a
fin de verificar el funcionamiento del mismo. Entre los
datos que se deben incluir en una prueba se tienen:

TCNICAS DE AUDITORA ASISTIDA POR

COMPUTADORA
CAAT (Computer Assisted Audit Technique)
CAAT se refiere al uso de software que puede ser usado por el
auditor para realizar auditorias y para archivar hallazgos.
Se pueden clasificar en las siguientes categoras:
SW Anlisis de Datos
SW y Utilidades de evaluacin de Seguridad de Redes
SW y Utilidades de evaluacin de Sistemas Operativos y
DBMS
Herramientas de test de SW y Cdigos

Auditora de Sistemas de Informacin

Principales reas de la Auditora de SI
Auditora de la Direccin Informtica (Plan Estratgico de
Sistemas)
Auditora del Desarrollo (gestin de proyecto)
Auditora de la Adquisicin y Outsourcing

Datos de Excepcin
Datos Ilgicos
Transacciones Errneas

Auditora Seguridad (Fsica, de Vigilancia, Lgica, Redes,

Internet, Plan de Contingencias)
Auditora de la Explotacin y Mantenimiento (Utilizacin de
sistemas, puesta en marcha, cambios de programas)
Auditora de Bases de Datos y Datos de carcter general

Auditora de Sistemas de Informacin

Auditora de la Direccin Informtica

(Planificacin)
-

Conocer y evaluar los planes de TI y su nivel

de integracin con la empresa
Revisin de planes de sistemas y desarrollo
de software
Evaluar el nivel de participacin y compromiso
de directivos en la elaboracin de los planes

Auditora de Sistemas de Informacin

Auditora de Sistemas de Informacin

Auditora de la Direccin Informtica

(Planificacin)
- Ejemplos hallazgos de auditora:
Planes de TI no se encuentran integrados al Plan
Estratgico de Negocios de la empresa.

Auditora de Sistemas de Informacin

Auditora de la Organizacin y Gestin

Auditora de la Organizacin y Gestin

- Analizar que el responsable de TI organiza,

dirige y controla sus recursos

- Ejemplos hallazgos de auditora:

No contar con manuales de polticas y
procedimientos para el rea de sistemas y
tampoco para los usuarios finales formalmente
documentados y aprobados por los niveles
directivos.

- Analizar estructura y segregacin funcional

Auditora de Sistemas de Informacin

Auditora de Sistemas de Informacin

Auditora de Adquisicin y Outsourcing

Auditora de Adquisicin y Outsourcing

- Ejemplos hallazgos de auditora:

Examinar desarrollo de SW contemple

adecuadas especificaciones de control interno
y seguridad

Examinar planificacin conjunta reas de TI y
Usuarias para cambios de programa

Examinar administracin de servicios de TI
delegados en terceros

La vinculacin de personal contratista, no

permite que haya continuidad en los
procesos relacionados con el diseo,
desarrollo y mantenimiento del Sistema
de Gestin Acadmico.

Auditora de Sistemas de Informacin

Auditora de Sistemas de Informacin

Auditora de Seguridad Fsica y Lgica

Auditora de Seguridad Fsica y Lgica

Seguridad Fsica y de Vigilancia: adecuacin de

instalaciones

Ejemplos hallazgos de auditora:

Seguridad Lgica: salvaguarda de acreditacin de

usuarios, secreto de archivos y transacciones

Administracin usuarios de aplicativos la realiza el

departamento de sistemas.
Claves principales de servidores las conoce el jefe
de sistemas y el asistente.
No contar con un plan de contingencias integral, el
cual incluya acciones a realizar frente a posibles
siniestros que se puedan presentar.

Auditora de Sistemas de Informacin

rea de Explotacin y Mantenimiento

-

Examinar los procedimientos seguidos en el

Centro de Procesamiento de Datos en su
operatividad diaria.
Examinar que exista plan de mantenimiento
preventivo y/o correctivo de hardware
Examinar que operaciones rechazadas sean
informadas

Auditora de Sistemas de Informacin

rea de Base de Datos y Datos de carcter

general
-

Examinar estndares y procedimientos

seguidos en la administracin de base de datos
conforme a criterios y normas legales.
Examinar que datos ingresados a BD son
consistentes y completos.
Examinar actualizacin de datos tengan niveles
de validacin

Auditora de Sistemas de Informacin

rea de Explotacin y Mantenimiento

Ejemplos hallazgos de auditora:
Procedimiento para respaldos de informacin se
realiza con la debida frecuencia por el Jefe de
Sistemas y llevados a su domicilio; pero, no
existen documentos escritos de los
procedimientos a seguir tanto para la
realizacin de los respaldos como para la
restauracin de los mismos.

Auditora de Sistemas de Informacin

rea de Base de Datos y Datos de carcter

general
- Ejemplos hallazgos de auditora:

La asignacin de horarios en el modulo

carga acadmica debe ser alimentada
una a una, cada hora con su respectivo da.
As la carga de las asignaturas es tedioso y
puede llegar a ser lento.

Auditora de Sistemas de Informacin

rea del entorno Redes / Internet /

Hardware/Software
-

Examinar funcionamiento y utilidad de

Hardware/Software.
Examinar disponibilidad servicios de
comunicaciones (redes, internet)

Auditora de Sistemas de Informacin

rea del entorno Redes / Internet /

Hardware/Software

Ejemplos hallazgos de auditora:

No mantener registros de problemas que se
presentan en los servidores/comunicaciones.

Auditora de Sistemas de Informacin

Redaccin Observaciones
CON TRMINOS DUDOSOS

Auditora de Sistemas de
Informacin

Se detect que el Depto. De Inf. no cuenta con un S.C. efectivo

en el P.E.B.D., para el uso y mantenimiento de la informacin
relativa al archivo de adquisiciones

CON TRMINOS CLAROS

Redaccin Observaciones
Se detect que el Departamento de Informtica no cuenta con
un sistema de control efectivo en el Procesamiento Electrnico
de Bases de Datos (P.E.B.D.), para el uso y mantenimiento de la
informacin relativa al archivo de adquisiciones.

Auditora de Sistemas de Informacin

Redaccin Observaciones

Auditora de Sistemas de Informacin

Redaccin Observaciones
CON TECNICISMOS
En la revisin del stock del almacn de productos terminados y
los registros en el kardex electrnico, as como de los
attachments respectivos, se observ que existen diferencias
contra los registros contables en 5 tipos de materiales las cules
ascienden a $270.9 miles.
SIN TECNICISMOS

Al revisar las existencias en el almacn de productos terminados

y los registros correspondientes en la base de datos, con sus
correspondientes anexos, se observ que existen diferencias
contra los registros contables en 5 tipos de materiales, las cules
ascienden a $270.9 miles.

EXPRESIN LARGA

Se observ que el Departamento de Cobranzas no viene

desarrollando sus actividades en forma oportuna, pues hasta
ahora viene iniciando las gestiones de cobro con desfasamientos
que van de 27 a 30 das, respecto de las fechas en que le turna
las formas F-3020 de notificacin, el rea de crdito.
EXPRESIN CORTA

El Departamento de Cobranzas realiza las gestiones de cobro en

forma retrasada, un mes despus de recibidas las notificaciones
correspondientes.

Auditora de Sistemas de Informacin

Redaccin Observaciones
SIN EL NOMBRE DEL DOCUMENTO

Auditora de Sistemas de Informacin

Redaccin Observaciones
CONFUSA Y REDUNDANTE
A continuacin se detalla el material faltante en la bodega No. 5 al primer trimestre de 2014:
Material

En el formato H-069, no se contempla un espacio destinado al

registro de los das tomados a cuenta de vacaciones.

Cantidad

Importe (miles)

Papel:
Bond blanco, 40 Kg.

155.5 Ton.

$2,332

10% de las existencias de ese papel.

Bond blanco, 90 Kg.

250.3 Ton.

$4,100

15% de las existencias de ese papel.

San Rafael Azul, 98 cm.

1,520 Kg.

$2,332

1% de las existencias de ese papel.

San Rafael Azul, 146 cm.

22,000 Kg.

$4,100

3% de las existencias de ese papel.

Couch R-70; 60 X 124

244,462 Kg.

$6,278

7% de todas las cartulinas.

Couch R-70; 53 X 124

100,000 Kg.

$2,600

3% de todas las cartulinas.

Cartulinas:

CON EL NOMBRE DEL DOCUMENTO

En el formato H-069 "Tarjeta para Control de Asistencia", no se
contempla un espacio destinado al registro de los das tomados
a cuenta de vacaciones.

$21,742

CONCISA Y RELEVANTE
Faltante de material en la bodega No. 5 de Papel Bond y San Rafael y
Cartulinas tipo Couch, cuyo importe asciende a $21,742 miles, al
primer trimestre de 2014.

Auditora de Sistemas de Informacin

Redaccin Observaciones

Auditora de Sistemas de Informacin

Redaccin Observaciones
SIN TACTO

SIN RESPETO
Debido a que Jorge Luis insiste en atender personalmente todos
los trabajos, stos se encuentran seriamente retrasados.

La torpeza de los empleados del almacn de materia prima

ocasion la prdida del 80% del material.

CON TACTO
CON RESPETO
La falta de una delegacin de funciones en la Subgerencia de
Produccin ha ocasionado retrasos importantes en las entregas
del producto.

El 80% de la materia prima se perdi debido a la poca

experiencia del personal que labora en el almacn.

Auditora de Sistemas de Informacin

Modelo Informe

Auditora de Sistemas de
Informacin

Modelo de Informe

Auditora de Sistemas de Informacin

Modelo Informe

Auditora de Sistemas de Informacin

Modelo Informe

V- CONCLUSIN

En razn de los resultados obtenidos de la

auditora de Sistemas en la presente revisin,
consideramos el control interno de la Prueba
del Plan de Continuidad del Negocio
Satisfactorio.

Auditora de Sistemas de Informacin

Conclusiones

Auditoria de SI

Empresa
pblica o
privada

Herramienta
Gerencial =
toma decisiones

Verificar puntos
dbiles y tomar
medidas

SI
medianamente
complejo

Evaluar su
eficacia y
eficiencia

Una auditoria mal hecha puede acarrear consecuencias

drsticas para la empresa auditada, principalmente econmicas.
Preguntas? Gracias.

10