Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SEUDNIMO
6free
2
SUMARIO
Pgina
RESUMEN EJECUTIVO 5
CAPTULO I
1 DEFINICIN DEL PROBLEMA 6
1.1 ANTECEDENTES DEL PROBLEMA 6
1.2 ANTECEDENTES GENERALES DEL ORGANISMO CONTRALOR 7
1.3 OBJETIVOS DE LA INVESTIGACIN 7
1.3.1 OBJETIVO GENERAL 7
1.3.2 OBJETIVO ESPECFICO 8
1.4 ALCANCE DE LA INVESTIGACIN 8
CAPTULO II
2 DISEO METODOLGICO DE LA INVESTIGACIN 9
2.1 METODOLOGA DE LA INVESTIGACIN 9
RESULTADO DE LA INVESTIGACIN
CAPTULO III
3 AUDITORA A LAS TECONOLOGAS DE LA INFORMACIN 9
3.1 MARCO TERICO 9
3.1.1 Clasificacin de las auditoras 9
3.2 LOS SISTEMAS DE INFORMACIN 9
3.2.1 Caractersticas de los sistemas de informacin 10
3.2.2 Estructura de los sistemas de informacin 12
3.2.3 Procesos de los sistemas de informacin 13
3.2.4 Clasificacin de los sistemas de informacin 14
3.3 COBIT 4.1 16
3.3.1 Definicin 16
3.3.2 Misin 16
3.3.3 Estructura 17
3.4 ISO/IEC 27002:2005 25
3.4.1 Definicin y objetivos 25
3
CAPTULO IV
EL ENFOQUE METODOLGICO PROPUESTO
4.1 METODOLOGA 26
4.1.1 Sntesis de actividades y productos entregables por etapas 27
4.2 FASE I. PLANIFICACIN DE LA AUDITORA
4.2.1 Programa de auditora preliminar 29
4.2.2 Programa de trabajo para el desarrollo de la auditora 29
4.2.3 Asignacin de recursos y estimacin del tiempo requerido
para efectuar la auditora 30
4.2.4 Comprensin de los procesos de negocios y sistemas de
informacin que los soportan 31
4.2.5 Levantamiento de la informacin bsica y detallada 32
4.2.6 Estructura y organizacin de los archivos de trabajo 33
4.2.7 Ficha tcnica de los sistemas de informacin 34
4.2.8 Definicin del alcance de la auditora 34
4.2.9 Programa de trabajo para el desarrollo de la auditora 35
4.2.10 Estimacin del tiempo requerido por etapa y auditor 36
4
4.4 FASE III. COMUNICACIN DE LOS RESULTADOS
4.4.1 Elaboracin de los informes con los resultados de la auditora 73
4.4.2 Estructura y contenido de los informes 73
4.4.3 Aseguramiento de la calidad de los informes de auditora 74
4.4.4 Organizar y cerrar la carpeta con archivos de trabajo 76
4.4.5 Seguimiento a las observaciones de la auditora 78
4.4.6 Planificar el seguimiento a las observaciones de la auditora 78
4.4.7 Ejecutar el seguimiento a las observaciones de la auditora 79
4.4.8 Informe de seguimiento de la auditora 79
CAPTULO V
CONCLUSIONES 80
BIBLIOGRAFA 81
5
RESUMEN EJECUTIVO
6
CAPTULO I
7
1.2 ANTECEDENTES GENERALES DEL ORGANISMO CONTRALOR
8
1.3.2 Objetivo especfico
9
CAPTULO II
RESULTADO DE LA INVESTIGACIN
CAPTULO III
10
y de tiempo; y el cumplimiento de las atribuciones institucionales.
11
Actualmente, la informacin debe ser considerada como uno de los
recursos ms valiosos de una organizacin y el sistema de informacin es
el encargado de que sta sea gestionada siguiendo criterios de eficiencia y
eficacia.
12
agregacin y otras caractersticas. A medida que se asciende en el
escalafn organizacional, se observa cmo la informacin requerida
aumenta en nivel de agregacin (menor nivel de detalle), incorpora
informacin del entorno y hace un mayor nfasis en el mediano y largo
plazo, a diferencia de la informacin puramente operativa, que
normalmente se refiere a los hechos ocurridos dentro de la propia
organizacin y a un corto plazo.
13
de informacin que sirven de soporte a las primeras.
14
La informacin til se plasma en una serie de documentos, informes y
grficos, para ser distribuida a las personas adecuadas dentro de la
organizacin. Esta informacin, as como los datos de partida, se
almacenan generalmente, en un soporte informtico para poder ser
reutilizados en cualquier momento.
15
datos bsicos en las operaciones y se les denomina sistema de
procesamiento transaccional.
Los sistemas de soporte a la direccin son los que asisten a los directivos
de las organizaciones en todos los aspectos de un proceso de toma de
decisiones: generacin de alternativas, anlisis de ellas, simulacin de
resultados que se obtendran con cada una de ellas, etc. Se puede afirmar
que estos sistemas van un paso ms all que los sistemas de informacin
16
tradicionales.
3.3.2 Misin
17
conjunto internacional, autorizado y actual de objetivos de control en
tecnologas de informacin generalmente aceptados por el uso cotidiano de
gerentes de organizaciones y auditores.
3.3.3 Estructura
18
a) Recursos de TI
b) Procesos de Trabajo
19
Monitoreo: Monitoring (M)
20
DS8: Apoyar y orientar a clientes.
DS9: Administrar la configuracin.
DS10: Administrar problemas e incidentes.
DS11: Administrar la informacin.
DS12: Administrar las instalaciones.
DS13: Administrar la operacin.
4) Monitoreo (M)
M1: Monitorear el proceso.
M2: Evaluar lo adecuado del control interno.
M3: Obtener aseguramiento independiente.
M4: Proporcionar auditora independiente.
c) Requerimientos de negocio
Requerimientos de calidad:
o Calidad.
21
o Costo.
o Prestacin de servicio.
Requerimientos de confianza:
o Efectividad y eficiencia de operaciones.
o Confiabilidad de la informacin.
o Cumplimiento de leyes y regulaciones.
Requerimientos de seguridad de la informacin:
o Confidencialidad.
o Integridad.
o Disponibilidad.
22
Confiabilidad de la informacin: Se refiere a proveer la informacin
apropiada para que la administracin opere la organizacin y cumpla
con sus responsabilidades de informes financieros y de cumplimiento
normativo.
23
compromisos en tiempo y en costo.
PO11. Administrar calidad Satisfacer los requerimientos de los
clientes de TI.
ADQUISICION E IMPLEMENTACION (AI)
AI1. Identificar soluciones de Asegurar el mejor enfoque para
automatizacin satisfacer los requerimientos del usuario.
AI2. Adquirir y mantener software de Proveer funciones automatizadas que
aplicacin efectivamente soporten los procesos de
negocio.
AI3. Adquirir y mantener la arquitectura Proveer la plataforma adecuada para
tecnolgica proporcionar soporte a las aplicaciones
de negocio.
AI4. Desarrollar y mantener Asegurar el uso apropiado de las
procedimientos aplicaciones y de las soluciones de
tecnologa existentes.
AI5. Instalar y acreditar sistemas de Verificar y confirmar que la solucin
informacin corresponda al propsito pretendido.
AI6. Administrar cambios Minimizar la probabilidad de
interrupciones, alteraciones no
autorizadas y errores.
PRESTACION DE SERVICIO Y SOPORTE (DS)
DS1. Definir niveles de servicio Establecer un entendimiento comn del
nivel de servicio requerido.
DS2. Administrar servicio de terceros Asegurar que los roles y
responsabilidades de terceros estn
definidas claramente, son respetados y
continan satisfaciendo los
requerimientos.
DS3. Administrar desempeo y capacidad Asegurar que la capacidad adecuada se
encuentra disponible y se hace el mejor
y ptimo uso de la misma para
satisfacer los requerimientos de
desempeo.
DS4. Asegurar continuidad de servicio Contar con servicios disponibles de
acuerdo con los requerimientos y
mantener la prestacin de los mismos en
caso de una interrupcin.
DS5. Garantizar la seguridad de sistemas Salvaguardar informacin contra uso no
autorizado, divulgacin o modificacin,
dao o prdida.
24
DS6. Identificar y asignar costos Asegurar una concientizacin correcta de
los costos atribuibles a servicios de TI.
DS7. Educar y capacitar usuarios Asegurar que los usuarios estn
haciendo uso efectivo de la tecnologa y
estn conscientes de los riesgos y
responsabilidades involucradas.
DS8. Apoyar y orientar a clientes Asegurar que cualquier problema
experimentado por los usuarios es
manejado apropiadamente.
DS9. Administrar la configuracin Dar razn de todos los componentes.
Prevenir alteraciones no autorizadas,
confirmar existencia fsica y proveer las
bases para una slida administracin de
cambios.
DS10. Administrar problemas e Asegurar que problemas e incidentes son
incidentes resueltos y que las causas son
investigadas para prevenir cualquier
ocurrencia futura.
DS11. Administrar la informacin Asegurar que la informacin se mantiene
completa, exacta y vlida durante su
entrada, actualizacin y
almacenamiento.
DS12. Administrar las instalaciones Proporcionar una ubicacin fsica
conveniente que proteja al equipo y a las
personas contra riesgos naturales y
riesgos producidos por el hombre.
DS13. Administrar la operacin Asegurar que las funciones importantes
de TI son desarrolladas regularmente y
en una forma ordenada.
MONITOREO (M)
M1. Monitorear el proceso Asegurar el cumplimiento de los
objetivos de desempeo establecidos
para los procesos de TI.
M2. Evaluar lo adecuado del control Asegurar el logro de los objetivos de
interno control interno establecidos para los
procesos de TI.
M3. Obtener aseguramiento Incrementar los niveles de confianza y
independiente beneficiarse con recomendaciones sobre
mejores prcticas.
M4. Obtener auditora independiente Incrementar la confianza y confiabilidad
25
entre la organizacin, clientes y
proveedores.
La poltica de seguridad
Organizacin para la seguridad de la informacin
Gestin de activos de informacin
Seguridad del personal
Seguridad fsica y ambiental
Gestin de comunicaciones y operaciones
Control de acceso
Adquisicin, desarrollo y mantenimiento de sistemas
Gestin de incidentes de la seguridad de la informacin
Gestin de la continuidad del negocio
Cumplimiento
26
CAPTULO IV
ENFOQUE METODOLGICO
4.1 METODOLOGA
27
c) FASE III. Comunicacin de los resultados
ETAPAS DE LA
ACTIVIDADES QUE SE
METODOLOGA PRODUCTOS DE LA ETAPA
EJECUTAN
N DESCRIPCION
1 Plan de auditora Elaborar un plan de auditora con objetivos Plan de auditora preliminar.
generales. Definicin del perfil del personal
preliminar
Conformar el grupo de trabajo que requerido y asignacin de auditores.
realizar la auditora. Lista con horas estimadas por etapa
Estimar tiempo necesario para realizar la para realizar la auditora.
auditora.
3 Definicin del Seleccionar los objetivos de control Lista de objetivos de control que deben
aplicables a los procesos de negocio y ser satisfechos por los procesos de
programa y
sistemas de informacin. negocio y sistemas de informacin.
alcance de la
Elaborar el programa de auditora Programa de auditora detallado.
auditora detallado. Carta Gantt del programa de auditora.
Confeccionar Carta Gantt del programa de
auditora.
28
4 Evaluacin del Identificar y documentar los controles Lista de controles existentes para los
existentes en los procesos de negocio y procesos de negocio y sistemas de
sistema de
sistemas de informacin. informacin.
control interno
Evaluar el diseo y grado de proteccin Lista con el grado de proteccin de
que ofrecen los controles existentes. controles existentes para los procesos
Identificar y documentar los controles de negocio y los sistemas.
deficientes. Lista de deficiencias y debilidades de
control interno.
5 Definicin y Definir y disear pruebas de cumplimiento Definicin del alcance de las pruebas
para los controles claves de los procesos de cumplimiento.
diseo de las
de negocio y sistemas agrupados por Diseo detallado de las pruebas de
pruebas de
tcnicas de verificacin. cumplimiento segn tcnicas de
auditora Definir el diseo y alcance de las pruebas verificacin.
sustantivas para datos clave de los Definicin del alcance de las pruebas
procesos y sistemas. sustantivas.
Diseo detallado de las pruebas
sustantivas.
7 Evaluacin de los Evaluar los resultados de las pruebas Listado con anlisis de observaciones
efectuadas. de auditora para pruebas de
resultados
Desarrollar el anlisis de las observaciones cumplimiento y sustantivas.
obtenidos en las
de auditora y puntos mejorables para los Conclusiones de los resultados
pruebas de controles y datos deficientes. obtenidos.
auditora Identificar las causas, el impacto y las
implicaciones de las observaciones para la
organizacin y verificar los estndares y
mejores prcticas que no se cumplen.
Disear las conclusiones de auditora para
los resultados no satisfactorios.
29
4.2 FASE I. PLANIFICACIN DE LA AUDITORA
Objetivos de la auditora
Definicin del equipo de auditores requerido: perfil y habilidades.
Tiempo estimado para efectuar la auditora.
30
4.2.3 Asignacin de recursos y estimacin del tiempo requerido
para efectuar la auditora
Suponga que se presupuestan 480 horas para todo el trabajo, las que
podran ser asignadas as: 15% para labores de supervisin, 20% para el
auditor a cargo y el restante 65% para los auditores en terreno.
31
pruebas
6 Ejecucin de las pruebas 40
Anlisis de resultados de las
7 40
pruebas
Elaboracin informe con los
8 40
resultados
32
4.2.5 Levantamiento de la informacin bsica y detallada
Estructura organizacional
Estructura de las reas propietarias de la informacin de los procesos
de negocio
Clientes interno y externos
Dependencias de la organizacin
Tareas o actividades que realiza cada dependencia
Terceros que intervienen en el manejo de la informacin
Cuantificacin de las cifras de operaciones que manejan los procesos de
negocio (promedio durante un ao)
Polticas y procedimientos establecidos en la organizacin relacionados
con los procesos de negocio
Normas legales e institucionales que rigen el funcionamiento del
servicio
Informacin sobre fraudes y otros antecedentes en las operaciones del
servicio
33
Modelo entidad/relacin de las bases de datos de los sistemas
Diccionario de datos de los modelos entidad/relacin
Inventario de documentos fuentes y otros medios de entrada de datos
Personas claves que dan soporte tcnico a la operacin y mantencin
de los sistemas para cada dependencia.
Terceros que prestan servicios de tecnologas de informacin para los
procesos de negocio.
Inventario de informes que producen los sistemas y destinatarios de los
mismos
Interfaces entre sistemas (informacin que reciben o proporcionan a
otros sistemas)
Manuales existentes con la documentacin tcnica y del usuario
Plataforma en la que funcionan los sistemas de informacin (sistema
operativo, software de desarrollo y motor de base de datos utilizados)
Si el sistema de informacin fue adquirido; datos del proveedor, ao de
adquisicin, versin en produccin, cantidad de usuarios con licencia,
poseen programas fuentes y contrato de mantencin)
Si el sistema de informacin fue desarrollado internamente (tipo de
lenguaje utilizado, archivos fuentes y ejecutables, fecha de ingreso a
produccin, versin actual en produccin).
a) Archivo permanente
34
Este archivo contiene informacin de la organizacin que es poco
cambiante y, por consiguiente, tiene validez continua a travs del tiempo.
Generalmente, se elabora completamente en la primera auditora y en las
dems se reemplazan unos documentos por otros actualizados.
Es el archivo con las hojas de trabajo que contienen las evidencias del
desarrollo de cada una de las etapas de la auditora.
Los documentos de este archivo tienen validez por una sola vez, es decir,
para cada auditora realizada a las aplicaciones que estn en proceso de
evaluacin. Por consiguiente, cada vez que se efecte una auditora se debe
elaborar un nuevo archivo con la informacin recopilada.
35
De esta etapa se obtiene lo siguiente:
1. Estrategia y direccin
2. Organizacin general
3. Acceso a los recursos de informacin
4. Metodologa de desarrollo de sistemas y control de cambios
5. Procedimientos de operaciones
6. Programacin de sistemas y funciones de soporte tcnico
7. Procedimientos de aseguramiento de calidad
8. Controles de acceso fsico
9. Planificacin de la continuidad del negocio y recuperacin de desastres
10. Redes y comunicaciones
11. Administracin de la base de datos
12. Proteccin y mecanismos de deteccin contra ataques internos y
externos
36
En la etapa evaluacin del sistema de control, se debe analizar si los
controles establecidos por la administracin se encuentran alineados con
los objetivos de control seleccionados de los estndares. Posteriormente,
en la etapa Ejecucin de pruebas de auditora, se debe verificar si la
proteccin de los controles es suficiente para asegurar razonablemente el
cumplimiento de los objetivos del negocio.
37
3.- ACCESO A LOS RECURSOS DE INFORMACIN
OBJETIVOS DE CONTROL APLICABLES
COBIT ISO/IEC 27002
PO2.3 Esquema de clasificacin de datos 11.1.1 Polticas de control de acceso
PO6.2 Riesgo corporativo y marco de referencia del
control interno de TI
DS5.2 Plan de seguridad de TI
DS5.4 Gestin de cuentas de usuario 11.2.1 Registro de usuarios
DS5.3 Gestin de identidad 11.2.2 Gestin de privilegios
11.2.4 Revisin de derechos de acceso de usuarios
11.2.3 Gestin de contraseas de usuarios
11.3.1 Uso de contraseas
11.5.1 Procedimientos seguros de inicio de sesin
11.6.1 Restriccin de acceso a la informacin
DS5.9 Prevencin, deteccin y correccin de software 11.4.2 Autenticacin de usuario para conexiones
malicioso externas
DS5.11 Intercambio de datos sensitivos
DS9.2 Identificacin y mantenimiento de elementos 11.4.3 identificacin de equipos en redes
de la configuracin
38
5.- PROCEDIMIENTOS DE OPERACIONES
OBJETIVOS DE CONTROL APLICABLES
COBIT ISO/IEC 27002
AI4 Facilitar la operacin y el uso 10.1.1 Procedimientos operativos documentados
DS13 Gestionar las operaciones
AI7 Instalar y acreditar soluciones y cambios 10.1.4 Separacin de los entornos de desarrollo,
pruebas y produccin
DS1 Definir y gestionar los niveles de servicio 10.2.1 Entrega de servicios
DS2 Gestionar los servicios de terceros
DS2 Gestionar los servicios de terceros 10.2.2 Monitoreo y revisin de los servicios de terceros
10.2.3 Gestin de cambios a los servicios de terceros
10.3.1 Gestin de la Capacidad
DS11 Gestionar datos 10.5.1 Respaldo de la informacin
10.7.2 Eliminacin de medios de almacenamiento
ME1 Monitorear y evaluar el desempeo de TI 10.10.2 Monitoreo del uso de los sistemas
DS5 Garantizar la seguridad de los sistemas 10.10.4 Logs de administrador y de operador
10.10.5 Logs de errores
39
8.- CONTROLES DE ACCESO FSICO
OBJETIVOS DE CONTROL APLICABLES
COBIT ISO/IEC 27002
DS12.1 Seleccin y diseo del centro de datos 9.1.1 Permetro de seguridad fsica
DS12.2 Medidas de seguridad fsica
DS12.3 Acceso fsico 9.1.2 Controles fsicos de ingreso
DS12.4 Proteccin contra factores ambientales 9.1.4 Proteccin contra amenazas externas y
ambientales
PO4.14 Polticas y procedimientos para personal 9.1.6 reas de acceso pblico, despacho y recepcin
contratado
PO6.2 Riesgo corporativo y marco de referencia para
el control interno de TI
AI3.3 Mantenimiento de la infraestructura
9.2.1 Ubicacin y proteccin de los equipos
DS5.7 Proteccin de la tecnologa de seguridad
9.2.3 Seguridad del cableado
AI3.3 Mantenimiento de la infraestructura 9.2.4 Mantenimiento de equipos
DS12.5 Gestin de instalaciones fsicas
DS13.5 Mantenimiento preventivo del hardware
DS11.4 Desechar 9.2.6 Eliminacin o reutilizacin segura de equipos
40
10.- REDES Y COMUNICACIONES
OBJETIVOS DE CONTROL APLICABLES
COBIT ISO/IEC 27002
11.4.1 Polticas de uso de los servicios de red
DS9.2 Identificacin y mantenimiento de elementos 11.4.3 identificacin de equipos en redes
de la configuracin
11.4.4 Proteccin de puertos de configuracin y
diagnstico remoto
11.4.5 Segregacin en redes
11.4.6 Control de conexiones en la red
11.4.7 Control de enrutamiento en la red
DS5 Garantizar la seguridad de los sistemas 10.6.1 Controles de red
10.6.2 Seguridad de los servicios de red
41
4.3 FASE II. EJECUCIN DE LA AUDITORA
42
auditor como base para determinar la naturaleza y extensin de las
pruebas de auditora que se consideren necesarias y apropiadas a las
circunstancias.
43
4.3.3 Criterios para evaluar la proteccin que ofrecen los controles
44
Costo de adquisicin del control
Costo de instalacin del control
Costo de operacin del control
Costo de mantenimiento del control
45
4.3.5 Observaciones de control interno
46
El auditor debe verificar que:
47
Tales controles se denominarn claves.
Los controles claves son aquellos que, a juicio del auditor, son
indispensables para evitar o detectar y corregir el efecto o la probabilidad
de ocurrencia de las causas de riesgo que generan riesgo alto. Tambin,
pueden considerarse claves aquellos controles que con mayor frecuencia
actan sobre varias causas de riesgo, es decir, tienen efecto mltiple. Se
asume que entre mayor frecuencia tenga un control, mayor ser su
importancia y por consiguiente podr ser considerado clave.
Otro criterio que podra emplear el auditor para seleccionar los controles
clave es la clase de control. Por ejemplo, podra decidir seleccionar una
muestra de controles automatizados y otra muestra de controles
manuales.
48
La aplicabilidad de cada tcnica de comprobacin depende de la naturaleza
del control, por lo que el auditor debe analizar sus caractersticas y optar
por la tcnica que a su criterio permita la correcta ejecucin y
comprobacin de las pruebas a realizar. En la siguiente etapa de la
auditora se detallan las tcnicas y procedimientos de mayor aceptacin
para realizar las pruebas de cumplimiento y sustantivas en ambientes
informticos.
Los pasos a seguir para definir las pruebas utilizando este mtodo se
explican a continuacin:
En este primer paso se agrupan los controles claves que sern verificados
49
y se escogen las tcnicas de prueba a emplear. Una misma tcnica puede
ser asignada a diferentes controles.
50
sistemas y de las reas de negocio la ejecucin de las pruebas de auditora
(manual y asistida por computador) en el lugar de trabajo.
Se confecciona una lista con los datos clave para cada una de las tcnicas
51
a utilizar. En este caso, debe considerarse que una misma tcnica puede
ser utilizada para verificar varios datos claves.
Para este fin, se elabora un plan de pruebas, considerando las fechas que
sean ms oportunas, especialmente cuando para su ejecucin se requiera
52
de los equipos de procesamiento, que no son administrados por la
auditora y la colaboracin del personal de sistemas.
53
4.3.12 Tcnicas y herramientas de auditora
Los auditores pueden utilizar diferentes mtodos para revisar los controles
de las aplicaciones en funcionamiento y las operaciones en el centro de
servicios informticos. A continuacin se describe en qu consiste cada
tcnica o herramienta.
Snapshot
Mapping y tracing manuales
Mapping y tracing asistidos por el computador
Flujogramas de control (control flowcharting)
54
4.3.12.1 Tcnicas para probar los controles en los sistemas
Tales tcnicas son usadas para dos propsitos: evaluar los sistemas de
aplicacin y probar el cumplimiento.
Los auditores usan esta tcnica para probar la lgica del procesamiento
seleccionado, las rutinas de clculos y las caractersticas de control dentro
de los sistemas de informacin.
55
desbordamiento causaron errores o transacciones fuera de lmite fueron
procesadas como si fueran correctas (ejemplo transacciones de clientes
que exceden el lmite de crdito).
56
el auditor.
Los resultados obtenidos en el punto cinco se deben comparar con los
resultados predeterminados.
57
Entrar a un campo con signo negativo y observar si se procesa
realmente con este signo
En algunos sistemas sin controles apropiados, el signo negativo se
convierte a positivo
Hacer comprobaciones de validez. Por ejemplo, entrar un cdigo
invlido o un departamento con nmero equivocado
Hacer pruebas de razonabilidad y de lmite
Cuando las transacciones deben estar ordenadas por nmero de
secuencia, entrar transacciones en desorden
Incluir un nmero de cuenta dgito de chequeo predeterminado y ver si
se procesa normalmente
Incluir diversos campos de datos incompletos o inexistentes
Insertar caracteres en campos que causen condiciones de
desbordamiento
Tratar de leer o escribir un archivo equivocado
Los archivos que se van a probar, deben ser copiados como archivos
especiales de trabajo con el fin de permitir todo tipo de pruebas.
Ventajas:
o Su uso puede limitarse a funciones especficas del programa,
minimizando el alcance de la prueba y su complejidad
o Es una buena herramienta de aprendizaje para los auditores porque
su uso requiere mnimos conocimientos de informtica
o No se requiere que el auditor tenga grandes conocimientos tcnicos
o Tiene buena aplicacin donde son pocas las variaciones y
combinaciones de transacciones
o Da una evaluacin y verificacin objetiva de los controles de
programa y de otras operaciones que seran impracticables por otros
medios
o Los datos de prueba se podran correr sorpresivamente para
descubrir la posible modificacin de programas sin autorizacin e
58
incrementar la efectividad de otras pruebas realizadas
Desventajas:
o Se requiere bastante cantidad de tiempo y esfuerzo para preparar y
mantener un lote de datos de prueba representativo. Cualquier
cambio en programas, diseo de registros y sistema implican
cambiar los datos de prueba
o En algunos casos el auditor puede no probar el sistema que
realmente est en produccin
o En un sistema complejo con gran variedad de transacciones es difcil
anticipar todas las condiciones significativas y las variables que
deberan probarse
o El auditor debe estar bastante relacionado con la lgica de
programacin que est probando
o La prueba en si misma no detecta todos los errores. Cuando los
programas son muy complejos, pueden existir infinidad de rutas y es
muy difcil seguirlas todas
o Hay una probabilidad muy alta que los datos de prueba no detecten
manipulaciones inadecuadas de una cuenta o cantidad especfica
59
o Crear un registro para una divisin inexistente, un departamento,
una planta, un elemento de inventario, empleado, cliente y as
sucesivamente
o Crear dos o ms registros de cabecera, uno inmediatamente despus
del otro
o Crear un registro nuevo con llave cero
o Crear un registro nuevo con llaves nuevas
o Crear un registro nuevo pero incompleto. (por ejemplo slo uno o
dos campos de diez posibles)
Para transacciones:
o Crear transacciones para el primer registro del archivo
o Crear transacciones para el ltimo registro del archivo
o Crear transacciones para otros registros diferentes al primero y
ltimo del archivo
o Crear transacciones para un registro nuevo creado en la misma
corrida
o Crear transacciones para varios registros consecutivos
o Crear varios tipos de transacciones para un mismo registro
o Intentar crear transacciones para registros inexistentes que fueran
menores en secuencia que el menor registro existente, mayores en
secuencia que el ltimo registro existente y entre registros
existentes, as como para varios registros consecutivos no existentes
o Crear transacciones de tal manera que los totales se hagan
negativos y verificar el efecto en otros campos del registro
o Crear cantidades demasiado grandes para crear desbordamiento.
Examinar los resultados
o Si se utiliza un registro de encabezado seguido por registros de
detalle, crea registros detallados para el primer registro del archivo,
el ltimo registro, dos registros consecutivos, un registro no
existente y varios registros inexistentes
60
o Eliminar el ltimo registro de cada archivo
o Eliminar tres o cuatro registros consecutivos de cada archivo
o Intentar accesar un registro inexistente
o Codificar un registro como inactivo e intentar grabar datos al mismo
registro en la misma corrida
o Volver activo un registro inactivo y crearle transacciones en la misma
corrida
Para fechas:
o Asegurarse que todos los campos de datos de fechas se han
actualizado correctamente.
o Crear fechas con meses 00 y 13, das 0 y 32 y un ao invlido
o Crear fechas que estn fuera de los intervalos de actualizacin.
Ejemplo en un perodo mensual, hacer intervalo de ms de 30 das
o Hacer dos corridas de actualizacin con la misma fecha
61
o Mezcla de caracteres numricos y alfabticos
62
o Disear varias entradas contables ilgicas (ejemplo: crdito a gastos
de depreciacin y debido a cuentas por cobrar)
Los archivos de prueba del sistema de caso base, por definicin, son
creados para proveer una prueba selectiva de todas las caractersticas y
funciones dentro de un sistema de informacin.
63
Aunque esta tcnica proporciona la ventaja de efectuar pruebas de
cumplimiento y verificar el sistema completo, el esfuerzo requerido para
mantener los archivos de datos despus de su instalacin inicial requiere
de estrecha cooperacin entre usuarios, auditores y el personal del centro
de datos para la preparacin de los datos de prueba y la validacin de los
resultados.
c) Operacin paralela
d) Simulacin paralela
64
tiempo consumido en la preparacin de los datos de prueba.
Los auditores que usen esta tcnica, sin embargo, deben preparar
programas de computador que simulen las funciones de produccin a ser
verificadas. Programas de auditora especialmente preparados o software
generalizado de auditora pueden ser usados para este propsito. El
software generalizado de auditora ha simplificado la preparacin de
programas de simulacin paralela.
a) Snapshot
65
b) Tracing y mapping manual
66
implican anlisis detallado.
67
evidencia se limita a los archivos de datos y en consecuencia no es
utilizable (funcional) para pruebas de cumplimiento en los programas, para
condiciones que no se reflejan en los archivos.
68
Los criterios de seleccin son generalmente parmetros controlados por el
auditor y usan pruebas de rango, tcnicas de muestreo o condiciones de
error para implicar la seleccin de registros para su posterior evaluacin
por parte del auditor. Tales tcnicas se usan en pruebas de cumplimiento
para monitorear el procesamiento de transacciones y seleccionar datos
para su verificacin.
69
b) Coleccin de datos de auditora integrados en los sistemas de
informacin
c) Registros extendidos
70
4.3.13 Anlisis del resultado de las pruebas de auditora
71
Por cada tcnica de comprobacin utilizada, para todo el proceso de
negocio o el sistema de informacin, el auditor procede a analizar los
resultados obtenidos como se indica a continuacin:
72
2. Para cada control verificado con resultado insatisfactorio,
desarrollar una observacin de auditora
Para los datos claves verificados por cada proceso de negocio o sistema de
informacin, se debe concluir si los resultados de las pruebas son
satisfactorios o no y generar una observacin de auditora por cada prueba
con resultado negativo.
73
4.4 FASE III. COMUNICACIN DE LOS RESULTADOS
Estos son los insumos para elaborar el informe de auditora con el cual se
comunicar a la alta direccin y a los dems interesados, las
observaciones y conclusiones sobre las caractersticas de seguridad,
calidad y confiabilidad de la informacin y de los recursos tecnolgicos y
humanos que intervienen en las actividades de control de los procesos de
negocio y sistemas de informacin.
El propsito del informe final es atender las respuestas del servicio a las
observaciones y desarrollar las conclusiones de auditora.
74
aspectos de seguridad examinados, los objetivos de controles y las
dependencias en las que se efectu la revisin. Tambin, se mencionan el
perodo de tiempo que cubri la revisin y el rango de las fechas durante
las cuales se efectu la auditora.
b) Antecedentes generales
c) Observaciones de la auditora
Esta parte del informe presenta, para cada proceso y sistema evaluado,
las observaciones y debilidades de control identificados por la auditora
que debe contestar la administracin.
75
prcticas recomendados por los expertos. Si alguna de las respuestas a las
preguntas que se incluyen a continuacin es negativa, significa que el
informe necesita ms trabajo de revisin.
76
implantar sin causar costos significativos. Cada punto tendr asignado un
nmero de secuencia y un ttulo que exprese de manera resumida lo que
se detect, utilizando un lenguaje positivo y constructivo.
77
La documentacin del trabajo realizado por los auditores asignados al
desarrollo de un trabajo particular de auditora
Las evidencias vlidas y suficientes de los trabajos de auditora
Las evidencias de las actividades y procedimientos de planeacin,
ejecucin y control de cada una de las etapas de la auditora
78
Las polticas y procedimientos que en efecto pueden estar para asegurar la
custodia apropiada y retencin de la documentacin que soporta
observaciones y conclusiones de auditora, por un tiempo prudente para
satisfacer los requerimientos legales, profesionales y organizacionales.
79
Fecha de seguimiento prevista
Establecer fechas de compromiso de comn acuerdo con el encargado de
cada observacin:
80
CAPTULO V
CONCLUSIONES
81
BIBLIOGRAFA
Warren Gorham & Lamont. Practical IT Auditing. RIA. New York. USA.
870 pp.
82