Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tema 1: Sistemas
Concepto
Un sistema es un conjunto ordenado de componentes o elementos interrelacionados, interdependientes e interactuantes, cuya
finalidad es lograr un objetivo determinado.
El sistema de información es el medio por el cual datos fluyen de una persona o departamentos hacia otros.
El sistema de información computarizada consiste en la recolección organizada, el procesamiento, la transmisión y distribución de la
información, en forma automatizada y de acuerdo a procedimientos específicos.
Los riesgos pueden ser múltiples: el primer paso es conocerlos, y el segundo es tomar decisiones al respecto. Las medidas tienen un
costo, a veces los directivos se preguntan, o nos preguntas a los consultores, cuál es el riesgo máximo que podría soportar su entidad,
porque depende de la criticidad del sector y de la entidad misma, de su dependencia respecto a la información, y del impacto que su
no disponibilidad pudiera tener en la entidad.
Nunca debería aceptarse un riesgo que pudiera llegar a poner en peligro la propia continuidad de la entidad, siendo los errores y
omisiones la causa mas frecuente, normalmente de poco impacto pero frecuencia muy alta, y otras el acceso indebido a los datos, la
cesión no autorizada de soportes magnéticos con información crítica, los daños por fuego, por agua, la variación no autorizada de
programas, su copia indebida.
Otra figura es la del hacker, que intenta acceder a los sistemas más para demostrar de qué es capaz, así como que puede superar las
barreras de protección que le hayan establecido.
Son activos vitales todos aquellos relacionados con la continuidad de la entidad, como pueden ser: planes estratégicos, fórmulas
magistrales, diseño de protipos, resguardos, contratos y datos estratégicos, que son los que más nos interesan bajo la perspectiva de la
seguridad de la información.
Y la protección no ha de basarse sólo en dispositivos y medios físicos, sino en formación e información adecuada al personal,
empezando por los directivos para que, “en cascada”, afecte a todos los niveles de la pirámide organizativa.
El control interno, basado en objetivos de control y llevado a cabo por los supervisores a distinto nivel.
La auditoría de sistemas de información interna, objetiva e independiente y con una preparación adecuada, como control del
control.
La auditoría de sistemas de información externa, contratada cuando se considera necesaria, y como un nivel de protección más.
Igualmente objetiva e independiente.
Auditoría: concepto
Es la actividad consistente en la emisión de una opinión profesional sobre si el objeto sometido al análisis presenta adecuadamente la
realidad que pretende reflejar, en forma eficaz y eficiente, y/o cumple las condiciones que han sido prescritas.
Podemos descomponer el concepto en los elementos fundamentales:
1) Contenido: Un opinión.
2) Condición: Profesional.
3) Justificación: Sustentada en determinados procedimientos.
4) Objeto: Una determinada información obtenida de un cierto soporte.
5) Finalidad: Determinar si presenta adecuadamente la realidad o ésta responde a las expectativas que le son atribuidas, es decir, su
fiabilidad.
Clases de auditorías
Los elementos 4 y 5 distinguen de qué clase y tipo de auditoría se trata. El objetivo sometido a estudio y la finalidad con que se realiza
el estudio, definen el tipo de auditoria de que se trata.
Clases: Financiera, Informática, Gestión, Cumplimiento.
Procedimientos
La opinión profesional, elemento esencial de la auditoria, se fundamenta y justifica por medio de unos procedimientos específicos
tendientes a proporcionar una seguridad razonable de lo que se afirma.
Garantizar que se toman en consideración todos los aspectos que sean significativos.
Para ello se establecen procedimientos que en cuanto a la ejecución de la auditoria se resumen en que:
1. El trabajo se planificará apropiadamente y se supervisará adecuadamente.
2. Se estudiará y evaluará el sistema de control interno.
3. Se obtendrá evidencia suficiente y adecuada.
Se ha introducido un nuevo elemento en el objeto de la auditoria, el uso de la informática como factor consustancial a la gestión, con
la introducción de la TI en los sistemas, muy probablemente basada en las ventajas que aporta la información con respecto al trabajo
manual.
La TI afecta a los auditores en forma dual: a)) cambia el soporte del objeto de su actividad; b) posibilita la utilización de medios
informatizados para la realización de sus procedimientos.
pueden ser:
• Análisis de riesgos.
• Planes de contingencia
• Desarrollo de aplicaciones
• Asesoramiento en paquetes de seguridad
• Revisión de controles y cumplimiento de los mismos, así como de las normas legales aplicables
• Evaluación de la gestión de los recursos informáticos.
J.J. Acha: “Un conjunto de procedimientos y técnicas para evaluar y controlar total o parcialmente un sistema informático, con el fin
de proteger sus activos y recursos, verificar si la informática y general existente en cada empresa y para conseguir la eficacia exigida
en el marco de la organización correspondiente”.
Tema 3: Informe 16
1. Introducción
1.2. Objetivos y alcances
El presente Informe se emite para facilitar la comprensión de los procedimientos de auditoría que se deben aplicar en
ambientes computarizados.
El objetivo de una auditoría de estados contables es hacer posible que el auditor exprese una opinión, acerca de la
preparación de los Estados.
Puede afirmarse que el objetivo y alcances globales de una auditoría no cambia bajo un ambiente de Sistemas de
Información Computarizada (SIC). Sin embargo, el uso de computadoras puede, y efectivamente produce cambios
significativos en el ingreso, procesamiento, almacenamiento y comunicación de la información contable y, por tal razón,
tener efecto sobre los sistemas de contabilidad y control interno, empleados por el ente.
aplicación:
• Controles directivos, que son los que establecen las bases, como las politicas, o la creación de comites relacionados o de
funciones: de administración de seguridad o auditoria de sistemas de información interna.
• Controles preventivos: antes del hecho, como la identificación de visitas (seguridad física) o las contraseñas (seguridad
lógica).
• Controles de detención, como determinadas revisiones de accesos producidos o la detección de incendios.
• Controles correctivos, para rectificar errores, negligencias o acciones interaccionadas, como la recuperación de un archivo
dañado a partir de una copia.
• Controles de recuperación, que facilitan la vuelta a la normalidad después de accidentes o contingencias, como puede ser un
plan de continuidad adecuado.
Evaluación de riesgos
Se trata de identificar los riesgos, cuantificar su probabilidad e impacto, y analizar medidas que las elimine o que disminuyan la
probabilidad de que ocurran los hechos o mitiguen el impacto.
Para evaluar riesgos hay que considerar el tipo de información almacenada, procesada y transmitida, la criticidad de las aplicaciones,
la tecnología usada, el marco legal aplicable, el sector de la entidad, la entidad misma y el momento.
Para ello es necesario evaluar las vulnerabilidades que existen, ya que la cadena de protección se podrá romper con mayor
probabilidad por los eslabones más débiles.
El factor humano es el principal a considerar, salvo en algunas situaciones de protección física muy automatizadas. Si las personas no
quieren colaborar de poco sirven los medios y dispositivos aunque sean caros y sofisticados.
Es necesaria una separación de funciones: es peligroso que una misma persona realice una transacción, la autorice y revise después los
resultados (un diario de operaciones, por ejemplo), porque podría planificar un fraude y no detectarse.
Una vez identificados y medidos los riesgos, lo mejor sería poder eliminarlos, pero ya hemos indicado que normalmente lo mas que
conseguimos es disminuir la probabilidad de que algo se produzca o bien su impacto.
Otra posibilidad es asumir los riesgos, pero debe hacerse a un nivel adecuado en la entidad, y considerando que puede ser mucho
mayor el costo de la inseguridad que el de la seguridad, lo que a veces sólo se sabe cuando ha ocurrido algo.
La evaluación de riesgos puede ser global: todos los sistemas de información, centros y plataformas.
A menudo en la auditoría externa se trata de saber si la entidad, a través de funciones como administración de la seguridad, auditoría
interna, u otras si las anteriores no existieran, ha evaluado de forma adecuada los riesgos.
Es necesaria la designación de propietarios de los activos, sobre todos los datos, y que son quienes pueden realizar la clasificación y
autorizar las reglas de acceso; un buen propietario se interesará por los riesgos que puedan existir, por lo que promoverá o exigirá la
realización de auditorías y querrá conocer, en términos no técnicos, la sustancia de los informes.
Al hablar de seguridad siempre se habla de sus tres dimensiones:
La confidencialidad: se cumple cuando sólo las personas autorizadas pueden conocer los datos o la información correspondiente.
La integridad: consiste en que sólo los usuarios autorizados pueden variar los datos.
La disponibilidad: se alcanza si las personas autorizadas pueden acceder a tiempo a la información a la que estén autorizadas.
Debe existir además autenticidad: que los datos o información sean auténticos, introducidos o comunicados por usuarios auténticos y
con las autorizaciones necesarias.
7 Auditoría de Sistemas Computarizados