Documentos de Académico
Documentos de Profesional
Documentos de Cultura
sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones
informáticas, materia de la que se ocupa la Auditoria de Inversión Informática.
Los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe
la existencia de la Auditoría de Seguridad Informática.
Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna
forma su función: se está en el campo de la Auditoría de Organización Informática.
Auditoria de sistemas. - “Es la revisión técnica, especializada y exhaustiva que se
realiza a los sistemas computacionales, software e información utilizados en una
empresa, sean individuales, compartidos y/o de redes, así como a sus instalaciones,
telecomunicaciones, mobiliario, equipos periféricos y demás componentes.”
El propósito fundamental es evaluar el uso adecuado de los sistemas para el correcto
ingreso de los datos, el procesamiento adecuado de la información y la emisión
oportuna de sus resultados en la institución.
Este propósito incluye la evaluación en el cumplimiento de las funciones de
funcionarios, empleados y usuarios involucrados con los servicios que proporcionan los
sistemas computacionales a la empresa.
Instrumentos de recopilación de datos aplicables en la auditoría de sistemas:
Entrevistas, Encuestas, Observación, Inventarios, Muestreo y Experimentación
Técnicas de evaluación aplicables en la auditoría de sistemas:
Examen – Matriz, Inspección, Confirmación, Comparación y Revisión documental
Técnicas especiales para la auditoría de sistemas computacionales:
Guías de evaluación, Ponderación, Simulación, Diagrama del círculo de sistemas,
Diagramas de sistemas, Matriz de evaluación, Seguimiento de programación
Objetivos de la Auditoria
1. Realizar una evaluación con personal multidisciplinario y capacitado en el área
de sistemas, con el fin de emitir un dictamen independiente sobre la
razonabilidad de las operaciones del sistema y la gestión administrativa del área
de informática.
2. Hacer una evaluación sobre el uso de los recursos financieros en las áreas del
centro de información, así como del aprovechamiento del sistema
computacional, sus equipos periféricos e instalaciones.
3. Evaluar el uso y aprovechamiento de los equipos de cómputo, sus periféricos,
las instalaciones y mobiliario del centro de cómputo, así como el uso de sus re-
cursos técnicos y materiales para el procesamiento y evaluación de información.
4. Evaluar el aprovechamiento de los sistemas de procesamiento, sus sistemas
operativos, los lenguajes, programas y paqueterías de aplicación y desarrollo, así
como el desarrollo e instalación de nuevos sistemas.
5. Evaluar el cumplimiento de planes, programas, estándares, políticas, normas y
lineamientos que regulan las funciones y actividades de las áreas y de los
sistemas de procesamiento de información, así como de su personal y de los
usuarios del centro de información.
6. Realizar la evaluación de las áreas, actividades y funciones de una empresa,
contando con el apoyo de los sistemas computacionales, de los programas
especiales para auditoría y de la paquetería que sirve de soporte para el
desarrollo de auditorías por medio de la computadora.
Alcance de la Auditoria
El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse
la auditoria informática
El alcance ha de figurar expresamente en el Informe Final, de modo que quede
perfectamente determinado hasta que puntos se ha llegado y cuales materias fronterizas
han sido omitidas.
Tipos de Auditoria
Auditorías por su lugar de aplicación: Auditoría interna y externa
Auditorías por su área de aplicación: Auditoría financiera, administrativa,
operacional, integral, gubernamental, Auditoría de sistemas.
Auditoría de sistemas computacionales: Auditoría a la gestión informática, Auditoría al
sistema de cómputo, Auditoría de la seguridad de sistemas computacionales, Auditoría a
los sistemas de redes, Auditoría integral a los centros de cómputo,Auditoría a la base de
datos.
Auditoria Interna
Realizar una evaluación independiente dentro de la institución donde se trabaja,
contando con un mayor entendimiento de sus actividades y operaciones.
Evaluar internamente el cumplimiento de los planes, programas, políticas, normas y
lineamientos que regulan la actuación de cada uno de los integrantes de una institución
Auditoria externa
La auditoría externa es aquella que se realiza con personal totalmente ajeno a la empresa
auditada, con libertad absoluta de actuación.
Realiza una evaluación, de manera independiente, con el fin emitir un dictamen externo
sobre la razonabilidad de sus actividades, operaciones y resultados.
Evalúa el cumplimiento de los planes, programas, políticas, normas y lineamientos que
regulan las funciones de una institución.
Área de planificación
- Conocer y evaluar los planes del CPD y su nivel de integración con la empresa
- Revisión de planes informáticos y desarrollo de software
- Evaluar el nivel de participación y compromiso de directivos en la elaboración
de los planes
Área de la organización
- Analizar que el responsable del Centro de Procesamiento de Datos organiza, dirige y
controla los recursos del mismo.
Área de la explotación
- Examinar los procedimientos seguidos en el Centro de Procesamiento de Datos en su
operatividad diaria.
Perfil de un auditor de SI
• Conocimientos técnicos de informática.
• Conocimientos de auditoría, psicología, redacción de informes, dirección, etc.
• Cualidades personales: atención, equilibrio emocional, intuición profesional,
dinamismo, capacidad de escuchar, objetivo, etc.
• Punto de vista imparcial que le permita obrar objetiva y justamente.
• El Auditor no sólo debe ser independiente, sino también guardar las apariencias.
• El Auditor y la dirección deben evaluar continuamente la independencia.
(interno)
• El trabajo e informe del Auditor deben representar grandes responsabilidades
profesionales, lo que ejemplifica la integridad y la objetividad.
PLANIFICACIÓN DE LA AUDITORÍA
Identificar el Alcance de la Actuación
Que se quiere comprobar
Que se pretende demostrar
Que se va a informar
Obtención de Información Preliminar
Actividad llevada a cabo por el área a auditar
Esquema de control interno (políticas, normas, etc.)
Estándares de referencia
Informes anteriores
Familiarizarse con el entorno tecnológico a auditar
Conocimiento del Plan de Auditoría
• Socialización del Plan de Auditoria
• Preparación del área a auditar
• Evaluación previa a la Auditoria
Metodología de la Auditoría
Una metodología de auditoría es un conjunto de procedimientos documentados
de auditoría, diseñados para alcanzar los objetivos de la auditoría.
La metodología de la auditoría debe ser aprobada por la gerencia de auditoría, y
debe ser comunicada a todo el personal de auditoría.
Fases de Auditoría Descripción
CRITERIO DE EVIDENCIA SI - NO
Los sistemas cuentan con controles internos que provean una seguridad
razonable de que los objetivos operacionales y de control serán satisfechos.
Los sistemas cuentan con controles de que los eventos no deseados serán
prevenidos o detectados y corregidos de manera oportuna
Evidencia
Es un requerimiento que las conclusiones del auditor deben basarse en
evidencia suficiente y competente
• Independencia del proveedor de la evidencia
• Calificación de la persona que provee la información o
evidencia
• Objetividad de la evidencia
• Oportunidad de la evidencia
Técnicas para obtener evidencia:
Revisar las estructuras organizacionales de SI
Revisar las políticas, procedimientos y estándares de SI
Revisar documentación de SI
Entrevistar al personal apropiado
Observar el desempeño de los procesos y de los empleados
• Funciones Reales
• Procesos/Procedimientos Reales
• Concientización sobre Seguridad
Muestreo
Enfoques generales de muestreo en auditoría:
• Muestreo estadístico:
Es un enfoque objetivo para determinar el tamaño y los
criterios de selección de la muestra. Usa las leyes de las
probabilidades para: calcular el tamaño de la muestra,
seleccionar los objetos de la muestra, y evaluar los
resultados de la muestra y hacer inferencias.
Para que una muestra sea estadística, cada elemento de la
población debe tener igual probabilidad de ser
seleccionado.
• Muestreo no-estadístico
El método de muestreo, el número de elementos que serán
examinados en una población (tamaño de una muestra), y
cuales elementos seleccionar son determinados en base al
juicio del auditor.
Tanto el muestreo estadístico como el no-estadístico exigen que el auditor utilice
su propio juicio al definir características del muestreo, y por lo tanto sufren del
riesgo de que el auditor llegue a una conclusión errónea a partir de la muestra
(riesgo de muestreo).
Pasos claves en la selección de la muestra
Determinar los objetivos de la prueba
Definir la población a ser muestreada
Determinar el método de muestreo
Calcular el tamaño de la muestra
Seleccionar la muestra
Evaluar la muestra desde una perspectiva de auditoría.
Técnicas de auditoría asistidas por computador
Las herramientas CAAT (Computer Assisted Audit Tools and
Techniques ) son muy importantes para los auditores de SI en la
recolección independiente de información
Utilización de técnicas CAAT
Generador de datos de prueba: para preparar un lote de prueba para
verificar la lógica de los programas de aplicación
Sistemas expertos: aplicaciones desarrolladas a fin de contener una base
de conocimiento experto y lógica provista por expertos en determinado
campo
Paquetes de biblioteca de software: para verificar la integridad y
corrección de cambios a programas
Utilización de técnicas CAAT
• Instalaciones de prueba integradas: consiste en crear entidades
en un sistema de aplicación y procesar datos de prueba o
producción sobre la entidad a fin de verificar la exactitud de
procesamiento.
• Instantánea: consiste en tomar fotografías de una transacción a
medida que recorre el sistema computadorizado
• Archivo de revisión de auditoría de control del sistema:
consiste en integrar módulos de auditoría en un sistema de
aplicación para realizar un monitoreo continuo de las
transacciones del sistema.
• Software especializado de auditoría: para que el auditor realice
diversa tareas tales como muestreo y comparaciones.
Ventajas de las técnicas CAAT:
Reducen el nivel de riesgo de auditoría
Mayor independiencia respecto del auditado
Cobertura más amplia y coherente de la auditoría
Mayor disponibilidad de información
Mejor identificación de excepciones
Mayor flexibilidad de tiempos de ejecución
Mayores oportunidades de cuantificar las debilidades de control interno
Mejor muestreo
Ahorro de tiempo con el transcurso del tiempo
El auditor debe sopesar los costos y beneficios de las técnicas CAAT. Ha de
tener en cuenta:
Facilidad de utilización
Requisitos de capacitación
Compliejidad de codificación y mantenimiento
Flexibilidad de uso
Requisitos de instalación
Eficiencia de procesamiento
Esfuerzo que se requiere para llevar al información fuente al CAAT para
su auditoría
Evaluación de fortalezas y debilidades de auditoría
Luego de desarrollar un programa de auditoría y recopilar la evidencia de
auditoría, el siguiente paso es evaluar la información recopilada a fin de
desarrollar una opinión de auditoría.
Lo anterior le exige al auditor de sistemas que tenga en cuenta una serie
de fortalezas y debilidades y que luego desarrolle opiniones y
recomendaciones de auditoría.
Evaluación de requerimientos de control
El auditor debe evaluar los resultados de la evidencia recopilada para el
cumplimiento de los requerimientos de control.
A menudo se utiliza una matriz de control para evaluar el nivel correcto
de controles. Sobre el eje vertical se colocan los tipos conocidos de
errores que pueden presentarse en el área y en el eje horizontal los
controles conocidos para detectar o corregir errores.
Utilizando un método de ranking se llena la matriz con las medidas
correctas.
Una vez completada, la matriz muestra las áreas en las que los controles
son débiles o inexistentes.
Matriz de Evaluación de requerimientos de control
SISTEMA: __________________________
AREA/OPCIÓN: _________________________
<Desc. Error
1>
<Desc. Error
2>
<Desc. Error
3>
<Desc. Error
4>
<Desc. Error
5>
<Desc. Error
6>
EJEMPLO:
SISTEMA: Sistema Integrado Académico
AREA/OPCIÓN: Mantenimiento de Notas
Duplicidad 7
Estudiante
Generación 8
incorrecta de
promedio
Inexistencia de 7 7 8 8
Usuarios
Seguridad de 8 8
Datos
Tipos de Metodologías
En la actualidad existen tres tipos de metodologías de auditoría informática:
1. R.O.A. (RISK ORIENTED APPROACH- Enfoque Orientado a Riesgos),
diseñada por Arthur Andersen.
2. CHECKLIST o customaries.
3. AUDITORIA DE PRODUCTOS (por ejemplo, Red Local Windows NT;
sistemas de Gestión de base de Datos DB2; paquete de seguridad RACF, etc.).
R.O.A
• Enfoque Orientado a RIESGO
• Esta evaluación de riesgos se desarrolla sobre determinadas áreas de
aplicación y bajo técnicas de cuestionarios adaptados a cada entorno
especifico; deberá tenerse en cuenta que determinados controles se
repetirían en diversas áreas de riesgo.
• FASES DE LA EVALUACIÓN
Entenderemos como eficiencia del servicio la mejor forma de realizar los procesos
o trabajos, ya sea a nivel económico o técnico, pretendiendo con el análisis de
estos riesgos mejorar la calidad de servicio.
• Riesgos económicos directos
•
En cuanto a estos riesgos se analizarán aquellas posibilidades de desembolsos
directos inadecuados, gastos varios que no deberían producirse, e incluso
aquellos gastos derivados de acciones ilegales con o sin consentimiento de la
empresa que pudieran transgredir la normativa de la empresa o las leyes
vigentes.
• Riesgos de la seguridad lógica
•
Todos aquellos que posibiliten accesos no autorizados a la información
estructurada mediante técnicas informáticas o de otro tipos.
•
Riesgos de la seguridad física
•
Comprenderán todos aquellos que actúen sobre el deterioro o resguardo de
elementos de obtención de la información de una forma meramente física.
METODOLOGIA CHECKLIST
El auditor revisa o audita los controles con la ayuda de una lista de control (checklist)
que consta de una serie de preguntas o cuestiones a verificar.
La evaluación consiste en identificar la existencia de los controles establecidos.
Las listas de control suelen utilizarse por los auditores, algunas por auditores con
menor experiencia, como una guía de referencia, para asegurar que se han
revisado todos los controles
En nuestro caso particular se ha dividido la lista de control en los siguientes apartados:
Conocimiento del sistema:
• Inventario
• Software
• Planes de contingencia
• Seguridad
TÉCNICAS DE AUDITORIA
Las técnicas de auditoría se refieren a los métodos comúnmente usados por el
auditor para recolectar evidencia.
ENTREVISTAS
MUESTREOS
REVISION DE DOCUMENTACION
CUESTIONARIOS
OBSERVACION FISICA
PROCEDIMIENTOS DE AUDITORIA
Los procedimientos de auditoría son el conjunto de técnicas aplicadas por el auditor
en forma secuencial; desarrolladas para:
1. Comprender la actividad o el área objeto del examen;
2. Recopilar la evidencia de auditoría;
3. Respaldar una observación o hallazgo;
4. Confirmar o discutir un hallazgo, observación o recomendación con la
administración.
Informacion • Se hará un recorrido por el área para observar su organización.
del área a
auditar.
Recopilació
• Se utilizará la técnica de Checklist para obtener los datos.
n de Datos.
Soporte de
• Se tomarán fotografías como respaldo de las evidencias encontradas.
evidencias.
Discusiones
de • Mediante un proceso en línea los auditores comunicarán los hallazgos.
hallazgos.
Recomenda
ciones • Se emitirán recomendaciones por escrito a la Dirección
.
INFORME FINAL
• El informe comienza con la fecha de comienzo de la auditoría y la fecha de
redacción del mismo. Se incluyen los nombres del equipo auditor y los
nombres de todas las personas entrevistadas, con indicación de la
jefatura, responsabilidad y puesto de trabajo que ostente.
• Definición de objetivos y alcance de la auditoría.
• Enumeración de temas considerados: Antes de tratarlos con profundidad,
se enumerarán lo más exhaustivamente posible todos los temas objeto de la
auditoría.
Para cada tema, se seguirá el siguiente orden a saber:
a) Situación actual. Cuando se trate de una revisión periódica, en la que se analiza
no solamente una situación sino además su evolu-ción en el tiempo, se
expondrá la situación prevista y la situación real.
b) Tendencias. Se tratarán de hallar parámetros que permitan esta-blecer
tendencias futuras.
c) Puntos débiles y amenazas.
d) Recomendaciones y planes de acción. Constituyen junto con la
exposición de puntos débiles, el verdadero objetivo de la
auditoría informática.
e) Redacción posterior de la Carta de Introducción o
presentación.
• Conclusiones y opiniones
– El informe de auditoría debe incluir una sección con la opinión respecto
de las observaciones de auditoría.
– Puede exponerse como que los controles o procedimientos examinados
son adecuados o no.
– El resto del informe de auditoría debe respaldar esa conclusión, y la
evidencia global recopilada durante la auditoría debe brindar un nivel
mayor de respaldo.
• Existen cuatro tipo de informes:
– Informe sin salvedades: implica una auditoría limpia en la que no se
hallan problemas materiales o declaraciones erróneas. Esta opinión
normalmente dice que los estados contables de la organización auditada
están de acuerdo con principios de contabilidad generalmente aceptados.
– Informe con salvedades: los auditores externos utilizan un informe con
salvedades para indicar que la información contable de la organización
auditada cumple con las normas de auditoría generalmente aceptadas,
salvo que por una excepción de condiciones o situaciones mencionadas
expresamente. Estas excepciones no tienen que tener una importancia
que afecte materialmente la situación patrimonial de la organización
– Opinión adversa; los auditores externos emiten una opinión adversa
cuando consideran que los estados contables de la organización auditada
están mal expuestos o significativamente no cumplen con los principios
contables generalmente aceptados.
– Renuncia de opinión: se emite tal tipo de informe cuando los auditores
externos consideran que la situación financiera de la organización
auditada es muy precaria y puede conllevar con la disolución de la
misma.
• Entrevista de finalización o salida
– La entrevista de finalización que se lleva a cabo al final de la auditoría, le
brinda al auditor los medios para discutir los hallazgos y
recomendaciones con la gerencia.
– Durante esta entrevista, puede asegurarse que los hechos que se
presentan en el informe son correctos, asegurarse de que las
recomendaciones son realistas y efectivas en términos de costos, y de no
ser así, buscar alternativas a través de la negociación con el área
auditada, y tratar de obtener fechas de implementación para las
recomendaciones sobre las que se ha llegado a un acuerdo.
• Técnicas de exposición
– A menudo se le solicita al auditor de sistemas que exponga los resultados
de las tareas de auditoría a diversos niveles gerenciales. Las técnicas de
exposición incluyen:
• Resumen ejecutivo: es un informe de fácil lectura,
gramaticalmente correcto y breve que presenta los hallazgos a la
gerencia en forma comprensible. Los anexos pueden ser de
naturaleza técnica ya que la gerencia operativa necesitará los
detalles para corregir las situaciones informadas
• Presentaciones visuales: pueden incluir transparencias,
diapositivas o gráficos
• 2.30 Seguridad de la información. Preservación de la confidencialidad,
integridad y disponibilidad de la información
• 2.13 Confidencialidad. Propiedad de que la información no este disponible o no
sea divulgada a personas, entidades o procesos no autorizados.
• 2.36 Integridad. La propiedad de proteger la precisión y lo completo de los
activos.
• 2.10 Disponibilidad. Propiedad de estar disponible y utilizable en el momento
que sea requerido por una entidad autorizada.
RIESGO
2.61 Riesgo. efecto de incertidumbre sobre los objetivos.
2.62 Aceptación del riesgo. decisión de aceptar un riesgo.
2.63 Análisis del riesgo. Proceso para comprender la naturaleza del riesgo y determinar
el nivel del riesgo
2.39 Nivel de Riesgo. magnitud de un riesgo(2.61) expresado de una combinación de
consecuencias(2.15) y sus probabilidades(2.4)
Que trabajamos en la seguridad
• Amenazas.
Vulnerabilidades
Estructura de la norma 27000 – 27001
1. Alcance
2. Referencias normativas
3. Términos y definiciones
4. Sistema de gestión de la seguridad de la información.
5. Responsabilidad de la dirección.
6. Auditorias internas SGSI.
7. Revisión del SGSI por la dirección.
8. Mejora continua.
Correspondencia entre ISO 9001:2008, ISO 14001:2004 y esta norma.