Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1. INTRODUCCION.........................................................................................................................................3
2. QUE ES LA AUDITORÍA DE SISTEMAS...............................................................................................4
2.1 OBJETIVOS GENERALES DE UNA AUDITORÍA DE SISTEMAS...............................................................4
3. ANÁLISIS DE RIESGOS Y DE CONTROLES EN LAS APLICACIONES DE COMPUTADOR. .5
4. CONTROLES GENERALES EN EL DEPARTAMENTO DE SISTEMAS ...........................................8
4.1 REVISIÓN DE DOCUMENTACIÓN............................................................................................................8
4.2 ENTREVISTAS AL PERSONAL..................................................................................................................9
4.3 OBSERVACIÓN DE PERSONAL REALIZANDO SUS TAREAS.....................................................................9
4.4 SEÑALES DE PELIGRO DE AUDITORÍA:..................................................................................................9
4.5 INFORMACIÓN QUE SOLICITA EL AUDITOR:.......................................................................................10
4.6 REVISIÓN DE CENTROS DE CÓMPUTO................................................................................................10
5. ENFOQUE DE LOS TRES NIVELES, BARRERAS O ANILLOS DE CONTROL...........................11
5.1. NIVEL DE CONTROLES PREVENTIVOS................................................................................................11
5.2. NIVEL DE CONTROLES DETECTIVOS..................................................................................................13
5.3. NIVEL DE CONTROLES CORRECTIVOS................................................................................................14
6. TÉCNICAS DE AUDITORÍA DE SISTEMAS......................................................................................14
7. TÉCNICAS DE AUDITORIA MEDIANTE EL USO DE LOS COMPUTADORES.........................15
8. METODOLOGÍAS PARA LA AUDITORIA DE SISTEMAS..............................................................16
8.1 ISACA COBIT.....................................................................................................................................16
8.2 COSO....................................................................................................................................................18
8.3 AICPA-SAS..........................................................................................................................................19
8.4 IFAC-NIA (LA FEDERACIÓN INTERNACIONAL DE CONTABLES IFAC)...................................................19
8.5 SAC........................................................................................................................................................19
8.6 MARGERIT..........................................................................................................................................20
8.7 EDP........................................................................................................................................................20
9. APORTE PERSONAL...............................................................................................................................21
CONCLUSIONES............................................................................................................................................22
BIBLIOGRAFÍA..................................................................................................................................................23
2
1. INTRODUCCION
Todos los aspectos citados, han tenido gran influencia en la situación actual de los
sistemas de información diseñados y desarrollados en la mayoría de nuestras
organizaciones; situación que debe cambiar ya y son los mismos auditores
quienes deben ser agentes de este cambio.
3
2. QUE ES LA AUDITORÍA DE SISTEMAS
El Auditor emite una opinión objetiva e imparcial sobre el funcionamiento del área
auditada y señala los aspectos que requieren nuevos o mejores controles para
proteger a la organización contra los riesgos que puedan afectarla. Desde este
punto de vista la Auditoria de Sistemas es primordialmente una auditoria
preventiva.
4
3. ANÁLISIS DE RIESGOS Y DE CONTROLES EN LAS APLICACIONES DE
COMPUTADOR
(Áreas de Revisión)
Una breve descripción de los quince (15) Escenarios de Riesgo de las aplicaciones
de computador se incluye a continuación:
5
validación y depuración antes de iniciar los procesos de actualización sobre los
archivos.
6
8) Procedimientos de backup y recuperación.
Comprende los controles ejercidos por los propietarios de los datos (usuarios
primarios de la aplicación) sobre los resultados del procesamiento. También
cubre el grado de satisfacción del usuario con el sistema de información.
7
14) El Sistema de Directorio/Diccionario de Datos (SD/DD).
Informes del comité de sistemas. Los informes del comité de sistemas brindan
información documentada acerca de los proyectos de nuevos sistemas.
8
Objetivos a Corto y Largo Plazo. Planes de trabajo a corto y largo plazo reflejan
estos objetivos de departamento, los cuales deberán estar de acuerdo con las
necesidades de los usuarios y debidamente autorizados.
9
Numerosos proyectos de desarrollo abortados o suspendidos.
Compras de Hardware y Software sin respaldo o autorización.
Cambios frecuentes a versiones superiores de Hardware y Software.
A nivel organizacional.
10
c) Revisión de controles ambientales: Para verificar si los equipos tienen un
cuidado adecuado, es decir si se cuenta con deshumidificadores, aire
acondicionado, fuentes de energía continua, extintores de incendios, etc.
d) Revisión del plan de mantenimiento : Verifica que todos los equipos principales
tengan un adecuado mantenimiento que garantice su funcionamiento continuo.
e) Revisión del sistema de administración de archivos : Verifica que existan formas
adecuadas de organizar los archivos en el computador, que estén respaldados,
así como asegurar que el uso que le dan es el autorizado.
f) Revisión del plan de contingencias : Verifica si es adecuado el plan de recupero
en caso de desastre.
Características.
• Son pasivos, no requieren feedback.
Cerraduras de terminal.
Interruptores de energía.
• Guían y alinean las acciones para que ocurran correctamente.
Formularios preimpresos.
Programas de entrenamiento.
• Reducen la frecuencia de las amenazas.
Inspección de la instalación del computador.
La auditoría.
Verificación de antecedentes del personal.
Segregación de funciones.
• Son transparentes: las personas generalmente no tienen conciencia de su
existencia.
11
• Son de bajo costo.
Cerraduras en las puertas.
Escarapelas (carnets).
• En ambientes de sistemas de información, los controles preventivos están
implementados por medio de procedimientos automáticos para que las acciones
se ejecuten según lo previsto por los usuarios.
12
5.2. Nivel de Controles Detectivos.
Ofrecen la segunda línea de defensa contra los agentes causales (Causas del
Riesgo) que pasen la barrera preventiva. Son alarmas que se disparan ante la
ocurrencia de alguna desviación. Son insuficientes por sí solos, al menos que se
tome alguna acción correctiva.
Características.
• Accionan (disparan) alarmas.
• Registran la ocurrencia de una amenaza.
• Bloquean la operación del sistema.
• Monitorean la ocurrencia y rango de aceptación.
• Alertan al personal.
• Verifican la operación de los controles preventivos.
• Anticipan la terminación de la Operación del sistema.
1) Predisposición.
2) Documentos remisorios.
3) Número de secuencia de batch.
4) Log de control de batches.
5) Totales de control de cantidad.
6) Totales de control de documentos individuales.
7) Contador de líneas de uno o más documentos fuente.
8) Totales hash.
9) Totales batch.
10) Balanceo de batches.
11) Verificación visual.
12) Verificación de secuencia.
13) Verificación de overflow.
14) Verificación de formato de los datos (numéricos o alfanuméricos.)
15) Pruebas de completitud de los datos de entrada.
16) Dígitos de comprobación.
17) Pruebas de razonabilidad.
18) Pruebas de límite.
19) Validez de código.
20) Read back descriptivo.
21) Fecha de operación.
22) Fecha de expiración.
23) Totales de control de corrida a corrida.
24) Totales de programa a programa.
13
25) Balance a cierres o fechas de corte (balanceo).
26) Reconciliación.
27) Matching.
28) Procesamiento redundante.
29) Labels internos en los archivos.
30) Documentación.
Características.
• Toman acción para resolver un problema.
• Implican reproceso.
• Son los más costosos.
• Proveen ayuda para investigaciones.
14
transacciones iniciadas por el auditor son independientes de la aplicación normal,
pero son procesadas al mismo tiempo.
15
informática; proporcionando así mayor independencia al auditor en la revisión de
los datos del sistema.
ISACA (COBIT)
COSO
AICPA (SAS)
IFAC (NIA)
SAC
MARGERIT
EDP
COBIT
16
naturalmente agrupados para proveer la información pertinente y confiable que
requiere una organización para lograr sus objetivos.
La metodología COBIT puede ser utilizada por diferentes tipos de usuarios como:
Orientado al negocio
Alineado con estándares y regulaciones "de facto"
Basado en una revisión crítica y analítica de las tareas y actividades en TI
Alineado con estándares de control y auditoria
Planificación y organización
17
P9 Evaluación de riesgos
P10 Administración de proyectos
P11 Administración de la calidad
Adquisición e implementación
Prestación y soporte
Control
8.2 COSO
18
8.3 AICPA-SAS
Da una guía a los auditores externos sobre el impacto del control interno en la
planificación y desarrollo de una auditoría de estados financieros de las empresas,
presentado como objetivos de control la información financiera, la efectividad y
eficiencia de las operaciones y el cumplimiento de regulaciones, que desarrolla en
los componentes de ambiente de control, valoración de riesgo, actividades de
control, información, comunicación y monitoreo.
Disponibilidad
Seguridad
Integridad
Que se puede mantener
8.5 SAC
19
Ofrece una guía de estándares y controles para los auditores internos en el área de
auditoría de sistemas de información y tecnología. Tiene como objetivos de control
la efectividad y eficiencia de las operaciones, la integridad de la información
financiera y el cumplimiento de normas y regulaciones que explica en el ambiente
de control, sistemas manuales y automatizados y procedimientos de control.
8.6 MARGERIT
8.7 EDP
20
9. APORTE PERSONAL
Aunque es una gran herramienta, trae consigo grandes riesgos que pueden poner
en peligro la estabilidad de la empresa gracias a la importancia y dependencia que
se puede generar de su uso.
Las personas aprenden cada día más, , pero no todos están orientados puramente
al conocimiento como aumento de calidad en todos los campos; a algunos les
interesa aprender más que todo, para ver cómo efectúan o generan
irregularidades en provecho propio, o que como producto de lo que conocen,
adquieren destreza para utilizarlas con fines alevosos y malintencionados; situación
que ligada a la pérdida de valores morales, éticos y religiosos en todos los niveles
y estratos de la sociedad, ha originado todo tipo de acciones fraudulentas, y que
se haga imposible para la administración, establecer controles que disminuyan los
riesgos presentados.
21
CONCLUSIONES
22
BIBLIOGRAFÍA
23