Está en la página 1de 74

UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS

FACULTAD DE CIENCIAS CONTABLES

Auditoría de TI
Control Interno de TI

Dr Carlos Pastor Carrasco


RAZONES PARA LA AUDITORIA Y EL
CONTROL DE TI
 Mayor dependencia de los sistemas informáticos
 Es vital que su utilización sea controlada

Toma de Altos costos Evolución Consecuenc Valor Hardware, Privacidad


Fraude
decisiones de los de la pérdidas de Software y datos
informático
incorrectas errores tecnología datos personal personales

ORGANIZACIONES

Auditoría y control
de los TI
Costos por pérdida de los datos
 Datos.- Recurso crítico necesario para que una
organización continúe operando
 Suministran una imagen de la organización
 Su entorno,
 Su historia
 Su futuro

 Si la imagen es precisa la habilidad para


 Adaptarse
 Sobrevivir
 Nos encontramos en un entorno cambiante.
Costos por pérdida de los datos
 Cuando una organización pierde su archivo de cuentas a pagar.
 No podría pagar sus deudas a tiempo ==>
 Sufriría una pérdida su nivel de crédito
 Si pidiese ayuda a sus acreedores
 Tendría que confiar en su honestidad para saber la deuda
 Además los acreedores
 Pondrían en cuestión su competencia
 Podrían eliminar el nivel del crédito en el futuro.

POSIBLE CAUSA
Controles débiles en los sistemas informáticos.
Respaldos de los archivo no adecuados pérdida de un fichero
(error en un programa, sabotaje, .....)
===> archivo no se podría recuperar ===>operaciones deterioradas
Costos por pérdida de los datos
 Importancia de la exactitud de los datos depende
del tipo de decisiones que se tomen en una
organización.
 Nivel estratégico
 Toleran cierto margen de error (su perspectiva a largo plazo y su
nivel de incertidumbre)
 Nivel operativo y control requieren datos exactos.
 Los datos inexactos ==> costosas investigaciones
 Procesos fuera de control sin detectar.
 Personas de fuera de la organización
 Datos exactos (accionistas, gobierno, sindicatos, grupos
de presión,...)
Fraude informático
 Incidente asociado con
la tecnología informática
en el que:
 Víctima sufre o puede
sufrir pérdidas y,
 Causante
intencionadamente gana
o puede ganar.
 A veces difícil de
controlar debido a
temas legales
Valor del Hw, Sw y del
personal

 Recursos críticos en una


organización.
 Pérdida HW ==> causar
interrupciones
considerables.
• SW corrompido o destruido ===>
• No se puedan continuar las operaciones
• El personal de la organización es muy valioso
• En el entorno informático dado el alto nivel de cualificación
requerido es más valioso
Errores informáticos
 Los sistemas informáticos
realizan muchas funciones
críticas
 Controlan robots
 Monitorizan las condiciones
de un paciente en una
operación,
 Calculan y pagan intereses
en cuentas de inversión,
 Dirigen el rumbo de un barco.
 ===>

 El costo de un error
informático puede ser muy
alto.
La evolución controlada del uso
de las TI
 La tecnología es neutral, ni buena ni mala,..
 Su uso puede producir problemas sociales.
 Temas sin resolver:
 ¿Cómo se deben utilizar los computadores en nuestra sociedad?
 ¿Hasta que nivel se puede permitir a la informática desplazar al
trabajo de las personas?.
 Concierne a los gobiernos, asociaciones profesionales y grupos
de presión la evaluación del uso de la tecnología
 También las organizaciones deben tener una conciencia social
del uso de la informática.
FUNDAMENTOS DE LA AUDITORIA DE
TI

Auditoria Gestión
tradicional de SSII

Auditoria
de TI

Ciencias de los
Ciencias del
computadores
comportamiento
FUNDAMENTOS DE LA AUDITORIA DE
TI

 No es una extensión de la auditoria tradicional.


 La función de auditoria de TI emana de dos
direcciones:
 Los computadores han impactado su habilidad para la
realización de la función dar una clara prueba
 La alta dirección considera que estos son recursos
valiosos que deben ser controlados
AUDITORIA TRADICIONAL
Auditoria tradicional
 Aporta un importante bagaje de conocimiento
y experiencia de técnicas de control interno.
 Trabajos administrativos que soportan al sistema
informático (ej. actividades de preparación de
datos).
 Estas actividades deben estar sujetas a principios de
control interno:
 segregación funciones,
 personal competente y de confianza
 Aplicación de estos principios incrementa la integridad
de los datos antes de su introducción en un SI y en la
distribución de la salida.
Auditoria tradicional
 Muchos controles de los sistemas manuales se han
llevado a los informáticos
 Ejem. Totales de control relevantes para programas que
actualicen archivos.
 Debe asegurarse que todas las transacciones se
procesan correctamente de la misma forma que un
sistema manual.
GESTIÓN DE LOS SISTEMAS
DE INFORMACIÓN
Gestión de sistemas de
información
 Desastres en la implantación de los sistemas
informáticos.
 Mucha actividad de investigación en como
 desarrollar e implementar sistemas de información,
 técnicas de dirección de proyectos
 Cada vez se hace más énfasis en la utilización de
estándares y en la documentación.
CIENCIAS DEL
COMPORTAMIENTO
Ciencias del comportamiento
 La principal razón de que fallen los sistemas
informáticos es:
 Ignorancia de los problemas del comportamiento
de las personas involucradas en el desarrollo e
implementación de los sistemas de información.
 Los auditores de SSII deben conocer las
condiciones que llevan a problemas de
comportamiento y al posible fallo del sistema.
Ciencias del comportamiento
 Los especialistas en organización han contribuido mucho a
entender los problemas de las personas dentro de las
organizaciones.
 Se aplica al desarrollo e implementación de los sistemas.
 Se está enfatizando la necesidad de que los desarrolladores de
sistemas consideren a la vez el impacto de un sistema
informático en
 Cumplimiento de las tareas (el sistema técnico)
 Calidad de vida en el trabajo de los individuos (el sistema social)
CIENCIAS DE LOS
COMPUTADORES
Ciencias de los Computadores
 Sobre control se ha realizado mucha
investigación en:
 Desarrollo de software libre de errores
 Transmitir datos de forma segura
 Bases teóricas de programación
Ciencias de los Computadores
 El conocimiento técnico de alto nivel de la informática produce
beneficios y problemas a los auditores de SSII.
 Permite al auditor estar más confiado acerca de la fiabilidad de
cierto componente de un SI.
 Si se abusa del conocimiento técnico, puede ser muy difícil para
el auditor detectar el abuso.
 Un abuso cometido por un programador de sistemas muy
cualificado puede ser casi imposible de detectar por un auditor
que no tenga el correspondiente nivel de conocimiento técnico.
Ciencias de los Computadores
 Los resultados de negocios de cualquier
organización dependen de la calidad de
servicios de TI.
 Esta dependencia se deriva en los siguientes
requerimientos:
 Alinear los objetivos de TI con el negocio
 Gestionar costos, inversiones y riesgo
Auditoria de TI

DEFINICIÓN
Auditoria de TI
Definición
 Proceso de recolección y evaluación de
evidencia para determinar si un sistema
automatizado: Daños
Destrucción
Salvaguarda activos
Uso no autorizado
Robo

Oportuna
Mantiene Integridad
Precisa
de los datos
Confiable
Completa

Alcanza Metas Organizacionales Contribución de la función Informática

Utiliza los recursos adecuadamente


Consume recursos eficientemente
en el procesamiento de la información
Objetivos de la Auditoría de TI
 Puede concebirse como:
 Fuerza que ayuda a las organizaciones a conseguir
mejor estos objetivos

Auditoría
de TI

ORGANIZACION

Mejora de la Mejora de la Mejora de la Mejora de la


salvaguarda integridad efectividad eficiencia
de los recursos de los datos del sistema del sistema
SALVAGUARDA DE LOS
RECURSOS
Salvaguarda de los recursos
 Personal
Salvaguarda de los recursos
 Hardware
Salvaguarda de los recursos
 Software
Salvaguarda de los recursos
 Archivo de datos
Salvaguarda de los recursos
 Documentación del sistema
Salvaguarda de los recursos
 Suministros.
INTEGRIDAD DE LOS DATOS
Integridad de los datos
 Concepto fundamental
 Incluye varios aspectos:
 completitud
 robustez
 pureza
 fiabilidad.
 Sin integridad de los
datos, una organización
no tiene una verdadera
representación de sí
misma ni de los eventos
del mundo real.
Integridad de datos
EFECTIVIDAD DEL SISTEMA
Efectividad del sistema
 Sistema que consigue sus objetivos.
 Para evaluar la eficacia hay que conocer las
necesidades de los usuarios.
 El auditor debe conocer:
 Características de los usuarios y
 Marco de la toma de decisiones.
EFICIENCIA DEL SISTEMA
Eficiencia del sistema
 Es difícil asegurarse de que los usuarios:
 comunican sus necesidades
 entienden el diseño propuesto
 lo aceptan
 La gerencia puede querer una evaluación
independiente de la probabilidad de que el diseño
responda a las necesidades de los usuarios.
 El auditor puede ser el responsable de realizarla
Eficiencia del sistema
 ¿Un sistema informático es eficiente?
 no se tiene una respuesta clara.

 La eficiencia de un sistema no se puede


considerar aisladamente.
 Problema:
 Cuando la optimización de un sistema penaliza a
otros
Eficiencia del sistema
 Es crítica cuando no tiene excesiva capacidad.
 El rendimiento de las aplicaciones individuales normalmente se
degrada – tiempo de respuesta mas lento-
 La gerencia tiene que decidir:
 Si mejorar la eficiencia o
 Comprar recursos extras.

 Tiene que saber:


 Si la capacidad se ha agotado debido a aplicación ineficiente o
 La asignación de recursos está causando un cuello de botella.
Cuello de botella

Teoría de restricciones
Efectos de las TI
sobre los Controles
Internos
EFECTOS DE LA TI SOBRE LOS
CONTROLES INTERNOS
1. Segregación de funciones
2. Delegación de la responsabilidad y de la autoridad
3. Personal competente y de confianza
4. Sistema de autorizaciones
5. Documentación y registros adecuados
6. Control físico sobre activos y registros
7. Adecuada supervisión de la gestión
8. Verificación independiente de las operaciones
9. Comparación periódica de los registros contabilizados con los
activos
1. SEGREGACIÓN DE
FUNCIONES
Error de concepción
Accesos críticos Segregación de funciones
 Proceso no asociado a  Análisis de actividades
fraudes, sino a errores que deben encontrarse
humanos que pueden separadas una de otra,
originar impacto en los dado el riesgo que una
registros u operaciones sola persona lo concentre
 Ejem:Aperturas y cierres  Se busca que ninguna
contables mensuales (sólo persona realice el ciclo
personal autorizado)
 Permite registro de
completo de una
transacciones en periodos actividad.
incorrectos  Ejem. Ciclo de compras
Segregación de funciones
 Generación de la Orden de Compra
 Aprobación de la Orden de Compra
 Recepción de los Bienes Servicios
 Recepción de las Facturas de los
Proveedores
 Aprobación de las Facturas de los
Proveedores
Criticidad de los pares
incompatibles
 Tipos de pares de incompatibilidad
 Primer tipo
 El que genera la Orden de compra no puede
aprobarla (Muy comprometida)
 El que genera la Orden de compra no puede recibir
las facturas
 Segundo tipo
 Debe ser otra persona la que autoriza
 La persona que recibe el bien o servicio debe ser otra
¿Cómo mejorar el control interno por medio
de la segregación de funciones?

Por más que el


usuario pudiera
ingresar la
factura al
sistema
Existiría así una
instancia
posterior de
análisis y
aprobación de la
misma
Asignar la
función de
aprobación de
facturas a otro
usuario
Segregación de funciones
 Limites entre tareas
de unidades y
servidores,
 Independencia
 Separación de
funciones
incompatibles
Segregación de funciones
 Previene/detecta errores e irregularidades.
 En un sistema manual distintas personas deben:
 iniciar las transacciones,
 registrar las transacciones
 custodiar los activos.
 En un sistema informatizado un programa puede:
 reconciliar una factura de un proveedor contra el documento
recibido
 imprimir un talón por la cantidad adeudada al proveedor.
 (funciones que en un sistema manual serían consideradas
incompatibles)
Segregación de funciones
 La segregación de funciones sigue existiendo pero
de una forma diferente:
 Determinado que el programa funciona correctamente

 Se deben segregar:
 Capacidad de ejecutar el programa en el entorno de
producción.
 Capacidad de modificar el programa.
2. DELEGACIÓN DE LA RESPONSABILIDAD
Y DE LA AUTORIDAD
Delegación de la responsabilidad
y de la autoridad (Dr&A)
 Debe mantener una línea clara responsabilidad y de la
autoridad.
 La DR&A de una forma no ambigua puede ser difícil de
conseguir (algunos recursos se comparten entre distintos
usuarios).
 Ej. Varios usuarios acceden a los mismos datos y se viola la
integridad de los datos
 Puede ser difícil determinar la responsabilidad de:
 La falta de integridad de los datos
 Responsable de identificar y corregir el error.
Personal competente y de
confianza
 Como la tecnología informática es cada vez más
compleja
 Se necesita personal muy calificado para:
 desarrollar
 mantener
 operar
los sistemas informáticos
 La existencia de personal competente y de confianza
es cada vez más importante
 Pocas personas asumen la responsabilidad de la
integridad de los datos.
 Alta rotación del personal hace difícil evaluar su
adecuada calificación.
Sistema de autorizaciones
 La dirección da dos tipos de autorización para
ejecutar las transacciones:
 generales
 específicas.
 generales establecen políticas a seguir
 (una lista fija de precios para el personal de ventas)
 específicas aplican a transacciones específicas
 (las compras de valor muy elevado deben ser aprobadas
por el comité de dirección)
Sistema de autorizaciones
 En un sistema manual
 Los auditores evalúan el adecuado seguimiento de las
autorizaciones examinando el trabajo de los empleados.
 En un sistema informático,
 El procedimiento de autorización suele estar imbuido en un
programa

 Los auditores tendrán que verificar la veracidad del


programa.
Documentación y registros
adecuados
 En un sistema manual
 Soporte documental para permitir un rastreo de auditoria.
 En un sistema informático
 Puede no haber soporte documental para iniciar, ejecutar y
registrar algunas transacciones (pedidos telefónicos
sistema de entrada de pedidos)
 Algunas transacciones pueden ser activadas
automáticamente (programa de reaprovisionamiento de
inventario inicia orden compra)
Documentación y registros
adecuados
 La ausencia de rastro de auditoria visible se
tiene que compensar
 Registro de todos los eventos y su acceso
 Problemas
 Sistemas mal diseñados
 Paquetes de software para miniordenadores con
controles deficientes
Control físico sobre activos y
registros
 Tipo de control crítico tanto en sistemas manuales como informáticos.
 Los sistemas informatizados tienden a concentrar sus activos y
registros.

 Se incrementa la pérdida que puede suceder debido a un fraude


informático o a un desastre.
 Ej.
 Incendio -- destruye los archivos maestros
 Si no es adecuado el respaldo de los archivos

 Problemas para continuar las operaciones


Adecuada supervisión de la
gestión
 En un sistema manual es relativamente fácil
conseguirla que los supervisores y los subordinados
estén relativamente cerca
 Un Sistema de Información puede permitir que los
empleados estén cerca de sus clientes

 Se deben implementar controles de supervisión en


el sistema informático que compensen los controles
que antes se hacían por observación y consulta.
Verificación independiente de las
operaciones
 En un sistema manual se realizan pruebas
independientes ya que los empleados
pueden:
 olvidar los procedimientos
 cometer errores ....
 Estas pruebas ayudan a detectar los errores
e irregularidades que puedan ocurrir.
Verificación independiente de las
operaciones
 En un sistema informático, el sistema siempre
seguirá los procedimientos
 Si el código del programa está autorizado, es exacto y
completo.
 El énfasis cambia a:
 asegurar la veracidad del programa
 evaluando los controles establecidos para:
 el desarrollo y

 mantenimiento
Comparación periódica de los registros
contabilizados con los activos
 Periódicamente, hay que comparar los datos y los activos que
los datos pretenden representar
 En un sistema manual personal independiente prepara los datos
para realizar la comparación.
 En un sistema informático esta preparación la realiza un
programa.
 Si se realizan modificaciones no autorizadas a los programas o a
los archivos, se podría no descubrir una irregularidad.
 El control cambia a asegurar la veracidad de los programas
EFECTOS DE LA TI SOBRE LA
AUDITORIA
 Competencia e independencia para evaluar la
correspondencia entre las actividades de una
organización y los estándares o criterios
establecidos.
 TI ha impactado en las dos funciones básicas de la
evaluación:
 Recogida de las evidencias
 Evaluación de las evidencias
Cambios en la recogida de las
evidencias
 Es más compleja en un sistema informático

 Los auditores tienen que:


 evaluar un conjunto de controles tecnológicos variado y complejo no
existente en un sistema manual
 Ej. una operación precisa y completa de un dispositivo de disco requiere un
conjunto de controles de hardware.

 entender estos controles, para poder recoger las evidencias de la fiabilidad


de estos controles
Cambios en la recogida de las
evidencias
 Entender los controles tecnológicos no es fácil
 rápida evolución hardware y el software

 rápida evolución de los controles asociados


 Ej. Actividad de investigación muy fuerte en
desarrollo de controles criptográficos para proteger la
privacidad de los datos cuando viajan por las líneas
de comunicaciones.

 Deben estar al tanto de estos desarrollos para poder


evaluar la fiabilidad de las redes de comunicaciones.
Cambios en la recogida de las
evidencias
 La continua evolución de los controles tecnológicos hace más
difícil recoger la evidencia de forma manual

 los auditores necesitan sistemas de TI para poder recoger la


evidencia.
 La aparición del software general de auditoria se ha debido a
que se necesita acceder a los datos almacenados en soporte
magnético.
 Se necesitan nuevas herramientas de auditoria para evaluar la
fiabilidad de las redes de comunicaciones.
Cambios en la recogida de las
evidencias
 Es más difícil evaluar las consecuencias de las
fortalezas y debilidades de los controles en la
fiabilidad global del sistema.

 El auditor debe:
 Entender cuando un control está funcionando bien o mal.
 Rastrearlas consecuencias de la debilidad o la fortaleza
del control a través del sistema.
Cambios en la evaluación de las
evidencias
 En un entorno compartido, puede ser una tarea difícil.
 (Una simple transacción de entrada de datos actualiza múltiples
datos utilizados por múltiples usuarios de distintas localizaciones
geográficas)
 Las consecuencias de los errores en un sistema informático
suelen ser más graves que en uno manual
 Los errores:
 En sistema manual suceden de una forma estocástica,
 Un administrativo comete periódicamente un error al introducir un
precio de un artículo
 sistema informático tienden a presentarse de una forma
determinista
 Un programa erróneo siempre producirá el mismo error
Cambios en la evaluación de las
evidencias
 Los errores se generan a una alta velocidad
 El coste de reejecutar un programa puede ser muy
alto
 Errores en programas pueden conllevar gran trabajo
de rediseño y reprogramación

 Implantar controles que aseguren sistemas de alta


calidad