AUDITORIA DE SISTEMAS

CURSO TALLER – INSTITUTO DE AUDITORES

INTERNOS DE BOLIVIA
EXPOSITOR: SUGAR FLORES
2021
 AGENDA
Planificación de la Ejecución de la Auditoria Elaboración del Informe
Introducción Auditoria de Sistemas de Sistemas de resultados (Dictamen)

• Porque realizar una • Identificar el contexto • Aplicar las acciones e • Elaborar y gestionar el
Auditoria y objetivos de la instrumentos Informe final de
• Aspectos generales de auditoria, Diseñar y programados resultados
la auditoria aprobar los recursos • Elaborar los • Analizar informes
• Casos relevantes de para la Auditoria. documentos de referenciales
Auditoria de Sistemas • Elaborar Planes, desviaciones y papeles Bolivianos
• Auditoria de Sistemas programas y primeras de trabajo
según la Historia de evidencias o posibles • Elaborar el informe
Bolivia hallazgos preliminar
 RESPONSABILIDAD DEL AUDITOR
Auditor
Interno

Aplicar
N.A.G. GRALES
N.A.G. T.I.C.

APLICACION
FALTA DE OMISION DE EXISTE INDICIO DE RESP.
INCORRECTA ADMINISTRATIVA, SIN PERJUICIO
INDEPENDENCIA RESULTADOS DE LA RESP. CIVIL O PENAL.
DE N.A.G.

AFECTANDO LAS CONCLUSIONES DE UN TRABAJO ESPECÍFICO

MARCO NORMATIVO
NORMAS DE AUDITORÍA DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA
COMUNICACIÓN (NA TIC) (270) Normas Generales de Auditoría de
Sistemas de Información emitidas por la
Asociación de Auditoría y Control de Sistemas
de Información ISACA.

El modelo de control COBIT (Objetivos de

Control para la Información y Tecnologías
Relacionadas).
VACÍOS TÉCNICOS
Son aspectos no Las Normas Internacionales de Auditoría
contemplados en las (NIA) emitidas por la Federación Internacional
NA TIC de Contadores (IFAC).

Las Declaraciones sobre Normas de Auditoría

(SAS) emitidas por el Instituto Americano de
Contadores Públicos (AICPA).

Las Normas de Auditoría emitidas por la

Organización Internacional de Entidades
Fiscalizadoras Superiores (INTOSAI).
4
MARCO NORMATIVO
NORMAS DE AUDITORÍA
DE TECNOLOGÍAS DE
LA INFORMACIÓN Y LA
La Fundación para la Auditoría y Control de
COMUNICACIÓN (NA Sistemas de Información (ISACF).
TIC) (270)

La Asociación de Auditoría y Control de

FUENTE Sistemas de Información (ISACA).
Principales criterios
de la normativa
emitida por:
La Federación Internacional de Contadores
(IFAC).

El Instituto Americano de Contadores

Públicos (AICPA).

5
MARCO NORMATIVO
 Constitución Política del Estado del 7 de febrero de 2009.
 Ley N° 1178 de Administración y Control Gubernamentales, de 20 de
julio de 1990.
 Ley Nº 004 Lucha Contra la Corrupción, Enriquecimiento Ilícito e
Investigación de Fortunas “Marcelo Quiroga Santa Cruz”, de 31 de marzo
de 2010.
 Manual de Organización y Funciones V5 de la Empresa Estatal de
Transporte por Cable “Mi Teleférico”, aprobado mediante Resolución
Administrativa Nº 031/2018 de fecha 23 de marzo de 2018.
 Manual de Descripción y Perfiles de Puestos V8 de la Empresa Estatal de
Transporte por Cable “Mi Teleférico”, aprobado mediante Resolución
Administrativa Nº 080/2019 de fecha 10 de julio de 2019.

6
MARCO NORMATIVO
 Reglamento Específico del Sistema de Administración de Bienes y Servicios
(RE-SABS) de la Empresa Estatal de Transporte por Cable “Mi Teleférico”,
aprobado mediante Resolución Administrativa N° 062/2017 del 22 de
agosto 2017.
 Reglamento para el Ejercicio de las Atribuciones de la Contraloría General
de la República, (actual Contraloría General del Estado) aprobado
mediante Decreto Supremo N° 23215, de 22 de julio de 1992.
 Reglamento de la Responsabilidad por la Función Pública, aprobado
mediante Decreto Supremo Nº 23318-A, de 3 de noviembre de 1992.
 Principios, Normas Generales y Básicas de Control Interno
Gubernamental, aprobados por la Contraloría General de la República
mediante Resolución N° CGR-1/070/2000 del 21 de septiembre de 2000.

7
MARCO NORMATIVO

 Normas Generales de Auditoría Gubernamental aprobadas con Resolución

Nº CGE/094/2012 de 27 de agosto de 2012, de la Contraloría General del
Estado, entraron en vigencia a partir del 1 de noviembre de 2012.
 Guía para la aplicación de los Principios, Normas Generales y Básicas de
Control Interno Gubernamental, aprobados por la Contraloría General de
la República (actual Contraloría General del Estado), mediante Resolución
N° CGR-1/173/2002 de 31 de octubre de 2002.

8
MARCO CONCEPTUAL

• Documento que resume los resultados

obtenidos en la fase de planificación, el
Memorándum de cual no es rígido y tiene la finalidad de
Planificación de Auditoría que los resultados del examen sean
alcanzados eficientemente.

• Es el riesgo de que el objeto de la

auditoría o área que se está examinando,
Riesgo de Auditoría contengan errores o irregularidades no
detectadas, una vez que la auditoría ha
sido completada.

9
MARCO CONCEPTUAL

a) Enfoque a las seguridades: Consiste en

evaluar los controles de seguridad
implementados en los sistemas de información con
la finalidad de mantener la confidencialidad,
integridad y disponibilidad de la información.
b) Enfoque a la información: Consiste en
evaluar la estructura, integridad y confiabilidad
de la información gestionada por el sistema de
información.
La auditoría de tecnologías de
la información y la c) Enfoque a la infraestructura tecnológica:
comunicación está definida Consiste en evaluar la correspondencia de los
Auditoría recursos tecnológicos en relación a los objetivos
principalmente por sus
de TIC objetivos y puede ser previstos.
orientada hacia uno o varios d) Enfoque al software de aplicación: Consiste
de los siguientes enfoques: en evaluar la eficacia de los procesos y controles
inmersos en el software de aplicación, que el
diseño conceptual de éste cumpla con el
ordenamiento jurídico administrativo vigente.
e) Enfoque a las comunicaciones y redes:
Consiste en evaluar la confiabilidad y
desempeño del sistema de comunicación para
mantener la disponibilidad de la información.

10
MARCO CONCEPTUAL
• Se refiere a la protección de la información crítica
Confidencialidad de la contra su divulgación no autorizada.
información:

• Se vincula con la exactitud y la totalidad de la

información así como también con su validez de
Integridad de la información:
acuerdo con los valores y las expectativas de la
entidad.
•.

• Se vincula con la provisión oportuna e íntegra de la

Confiabilidad de la información: información para coadyuvar a la consecución de los
objetivos de la entidad.

• Se vincula con el hecho de que la información se encuentre

disponible cuando el proceso la requiera. También se asocia
Disponibilidad de la información: con la protección de los recursos necesarios y las
capacidades asociadas.

11
MARCO CONCEPTUAL
• Es la posibilidad de errores o irregularidades en la
información, administrativa u operativa, antes de
Riesgo Inherente considerar la efectividad de los controles internos
diseñados y aplicados por la entidad.

• Es la posibilidad de que existan errores o

irregularidades significativas en la información
Riesgo de Control auditada, que no hayan sido prevenidos o
detectados por los controles internos de la entidad.

• Es la posibilidad de que los procedimientos de

auditoría fallen en detectar o no detecten la
Riesgo de Detección existencia de errores o irregularidades
significativas en la información auditada.

12
MARCO CONCEPTUAL
• A cargo del personal competente el cual debe
supervisar sistemática y oportunamente el trabajo
Supervisión realizado por los profesionales que conformen el
equipo de auditoría.

• Instruir al equipo de auditoría;

• Revisar el trabajo realizado;
Actividades de Supervisión • Asistir y entrenar oportunamente al equipo de
auditoría.
•.

• Es un proceso implementado por la dirección y

todo el personal, diseñado con el objeto de
Control Interno proporcionar una seguridad razonable para el logro
de los objetivos institucionales.

• Debe obtenerse evidencia competente y suficiente

como base razonable para fundamentar la opinión
Evidencia del auditor de sistemas.

13
MARCO CONCEPTUAL
• Comprenden la totalidad de los documentos preparados o
recibidos por los auditores gubernamentales, de manera que,
Papel de Trabajo en conjunto, constituyan un compendio de las pruebas
realizadas durante el proceso de auditoría.

• Principal sustento del informe de los auditores gubernamentales.

Propósitos de los Papeles • Permite que los auditores gubernamentales ejecuten y supervisen la
auditoría.
de Trabajo
• Permite que otros revisen la calidad de la auditoría.

• Se refiere a debilidades en el control interno

Hallazgo de Auditoría detectados por el auditor, las cuales deberan ser
comunicadas a las instancias competentes.

14
MARCO CONCEPTUAL

• El informe de auditoría de tecnologías de la información y la

comunicación debe ser oportuno, objetivo, claro, convincente,
conciso y será el medio para comunicar los resultados
obtenidos durante la misma.

Comunicación de • El informe de auditoría de tecnologías de la información y la

Resultados comunicación debe ser emitido en forma escrita, lógica y
organizada.

• El informe debe contener información suficiente para ser

entendido por los destinatarios y facilitar la acción correctiva
si corresponde.

15
HALLAZGOS DE AUDITORÍA
CONDICIÓN:
 Son los hechos (escenario) que
describe la deficiencia o la
irregularidad detectada por el
Auditor.
 Referida a la situación advertida la
cual debe estar sustentada con la
evidencia (LO QUE ES).
HALLAZGOS DE AUDITORÍA
CRITERIO:
 Es la norma, disposición o parámetro de
medición aplicable a la condición.
 Situación ideal, según el parámetro
utilizado como criterio (LO QUE
DEBERÍA SER).
 CAUSA:
 La razón comprobada o inferida que
ha provocado un comportamiento
diferente a lo esperado, situación que
HALLAZGOS ha generado el desvió del criterio.
DE  Es la razón o motivo que da lugar al
AUDITORÍA hecho deficiente detectado.
 La identificación de la causa
contribuye a que el Auditor proponga
recomendaciones.
 EFECTO:
 Permite informar sobre el impacto de la
diferencia encontrada entre la condición y
el criterio, es decir DIFERENCIA ENTRE
HALLAZGOS DE
AUDITORÍA
LO QUE ES Y LO QUE DEBE SER.
 Es el perjuicio identificado, resultado
adverso o riesgo potencial ocasionado
como consecuencia de haberse producido
la condición.

19
 RECOMENDACIÓN:
HALLAZGOS DE  Orientada a eliminar la CAUSA.
AUDITORÍA
 Asimismo, a prevenir su ocurrencia
en el FUTURO

20
  Condición: Los contratos del personal del
Departamento de Sistemas, no cuentan con
clausulas de confidencialidad y propiedad
intelectual.
 Criterio: Punto 6.1.3 Acuerdo de
Confidencialidad y 12.1.2 derecho de Propiedad
Intelectual de la ISO 17799.
 Causa: El Asesor Legal de la Entidad no a
CASO PRACTICO previsto incluir en el Contrato de Prestación de
HALLAZGOS DE Servicios, clausulas de propiedad de la
AUDITORÍA información.
 Efecto: Podría generar conflictos legales en caso
de desvinculación y litigios respecto a la
propiedad del Software.
 Recomendación: Se recomienda a corto y largo
plazo incluir adendas a los contratos con
clausulas de Confidencialidad y Propiedad
Intelectual.
 Ley N° 164 de 8 de
agosto de 2011
Ley General de
FIRMA DIGITAL Telecomunicaciones
Tecnologías de
Información y
Comunicación

22
 Artículo 6
(Definiciones)
Firma Digital

Es la firma electrónica que identifica

FIRMA DIGITAL únicamente a su titular, creada por
métodos que se encuentran bajo el
absoluto y exclusivo control de su
titular…de modo de que tal que
cualquier modificación de los mismos
ponga en evidencia su alteración.

23
  Auditoría de sistemas:
Es el examen objetivo, crítico, metodológico y selectivo de
evidencia relacionada con políticas, prácticas, procesos y
procedimientos en materia de Tecnologías de la Información y
la Comunicación, para expresar una opinión independiente
respecto:

DEFINICIÓN 1. A la confidencialidad, integridad, disponibilidad y confiabilidad

de la información.
2. Al uso eficaz de los recursos tecnológicos.
3. A la efectividad del sistema de control interno asociado a las
Tecnologías de la Información y la Comunicación.
POR QUE?
 Razones por la que es importante la auditoria de sistemas,
en las organizaciones:
 La dependencia de la organización y sus procesos, con la
automatización
 Derivado de lo anterior, el aumento de la complejidad de las
operaciones y procesos de negocio.
 El existo de la tercerización de los servicios y la gestión
del procesamiento de información, Así también la
dependencia de uno o varios proveedores.
 La globalización de los datos, los servicios de la nube, el uso
inteligencia artificial y BigData para la toma de decisiones, la
ciberseguridad y el uso de la firma digital para las transacciones
comerciales
LA PANDEMIA EN CIFRAS: CIBERSEGURIDAD

Según la empresa de seguridad:

BlueVoyant - 2021
 CLOUD (NUBE) EN LA INDUSTRIA 4.0

•Rápido acceso a la información en tiempo real

•Acceso libre y remoto
•No necesita una gran infraestructura
•Bajo coste
Ventajas •Agilidad en los procesos
•Mayor rendimiento y mayor productividad
•Versatilidad y comodidad
•Software en permanente actualización
•Seguridad…?
BIG DATA - INTELIGENCIA ARTIFICIAL
Si usas Big Data, que sea
respetando la privacidad de los Predicciones para 2020 - 2021
cliente y sus datos.
NOTICIAS DE
SEGURIDAD EN 2021
 HITOS SOBRESALIENTES DE LA AUDITORIA DE SISTEMAS EN BOLIVIA
1990 2007 2011
Ley 1178 IBNORCA ISO ATT – Ley 164
ACG 17799
Sistema de
Código para la Ejecución de
Control auditorías
Gubernament práctica de la gestión
al Auditoria de la seguridad de la técnicas IPS –
TIC información Firma Digital

2003 2008 2017

ASFI SB/436 Universid PISI
ades Planes
Reglamento para la
Gestión de Seguridad Parte de la Institucionales de SI
de la Información Curricula de las entidades del
sector público
 Periodo Etapa Hitos
Primera conexión desde Bolivia desde la Carrera ETN -UMSA
Creación del Proyecto BOLNET
llegada de internet a Primeros Correos Electrónicos
ANTECEDENTES 1989-1994 Bolivia Técnico- Primera navegacion de 24 horas
Académica Uso paralelo de Bulletin Board System (BBS) en Cochabamba y
DEL INTERNET Santa Cruz
EN BOLIVIA, Uso exclusivo de internet con fines académicos.
Capitalización de ENTEL
Instalación de nodos en todas las Universidades Bolivianas que
Expansión y formaban parte de la red académica
1995-2001 comercialización del Comercialización del servicio a estaca nacional
Servicio Primeros sitios WEB bolivianos
Tabla: hitos de la Incrusión del sector privado y de los medios de comunicación
llegada de escritos en el ámbito virtual
Participación de Bolivia en la Cumbre Mundial de la Sociedad de la
Internet a Bolivia. El estado toma el Información
control: Bolivia hacia la Creación de la Agencia para el Desarrollo de la Sociedad de la
2002- 2005
sociedad de la Información en Bolivia (ADSIB)
Fuente: libro “Bolivia Digital” Información Elaboración de la Estratégia Boliviana para las Tecnologías de la
de Eliana Quiroz dic-2016 Información y Comunicación ETIC
Masificación del Nacionalización de Entel
2006-2015 servicio: Internet como Internet como derecho en la normativa Nacional
Derecho Soberania Tecnológica como meta 2025
AUDITORÍA DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA
COMUNICACIÓN
Está definida principalmente por sus objetivos y puede ser orientada
hacia uno o varios de los siguientes enfoques

Enfoque a la Enfoque al Software de Enfoque a las

Enfoque a las Enfoque a la
Infraestructura Aplicación Comunicaciones y Redes
Seguridades Información
tecnológica
Eficacia de los procesos
Confidencialidad Confiabilidad
Estructura
Recursos Controles inmersos en el
Integridad tecnológicos software de aplicación
Integridad en relación a Cumplimiento del Disponibilidad o
los objetivos ordenamiento jurídico desempeño de la Red
Disponibilidad
previstos administrativo vigente
Confiabilidad
Fuente
NORMAS DE AUDITORÍA GUBERNAMENTAL NAG 270
MAPEO NAG 270 – ISO 27002
N° NE/CE-017
Consiste en evaluar los
controles de seguridad
implementados en los sistemas
Enfoque a las
1 de información con la finalidad
seguridades:
de mantener la
confidencialidad, integridad y
disponibilidad de la información
Consiste en evaluar la
estructura, integridad y
Enfoque a la
2 confiabilidad de la información
información:
gestionada por el sistema de
información
Fuente: Ing. Franz Gutierrez
ISO 27002
POLÍTICAS DE SEGURIDAD DE 5.1.1 Políticas para la seguridad de la información
INFORMACION 5.1.2 Revisión de las políticas para la seguridad de la información
6.1.1 Revision de los roles y ersponsabilidad de la seguridad en la información
ORGANIZACiÓN DE LA 6.1.2 Segregación de los deberes
SEGURIDAD DE LA 6.1.3 Contactos con las autoridades
INFORMACiÓN 6.1.4 Contactos con grupos de interés especiales
6.1.5 Seguridad de la información en la administración de proyectos
10.1.1 Políticas sobre el uso de controles criptográficos
CRIPTOGRAFIA
10.1.2 Administración de claves
9.1.1 Política de control de acceso
9.1.2 Acceso a redes y servicios de red
9.2.1 Registro y cancelacion de registros de usuarios
9.2.2 Entrega de acceso a los usuarios
9.2.3 Administración de derechos privilegiado
9.2.4 Administración de la información deautenticación secreta de los usuarios
CONTROLES DE ACCESOS 9.2.5 Revisión de los derechos de acceso de usuarios
9.3.1 Uso de información de autenticación secreta
9.4.1 Restricción de acceso a la información
9.4.2 Procedimientos de inicio de sesión seguros
9.4.2 Sistemas de administración de contraseñas
9.4.2 Uso de programas de utilidad privilegiados
9.4.2 Control de acceso al código de fuente del programa
16.1.1 Responsabilidades y procedimientos
16.1.2 Informe de eventos de seguridad de la información
ADMINISTRACiÓN DE 16.1.3 Informe de las debilidades de la seguridad de la información
INCIDENTES DE SEGURIDAD DE 16.1.4 Evaluación y decisión sobre los eventos de seguridad de la información
LA INFORMACiÓN 16.1.5 Respuestas ante incidentes e seguridad de la información
16.1.6 Aprendizaje de los incidentes de seguridad de la información
16.1.7 Recopilación de evidencia
MAPEO NAG 270 – ISO 27002

N° NE/CE-017 ISO 27002

12.1.1 Procedimientos operativos documentados
12.1.2 Administración de cambios
12.1.3 Administración de capacidad
12.1.4 Separación de entornos de desarrollo, pruebas operacionales
12.2.1 Controles contra malware
12.3.1 Respaldo de información
SEGURIDAD DE LAS 12.4.1 Registro de eventos
OPERACIONES 12.4.2 Protección de registro de información
12.4.3 Registro de administración y del operador
12.4.4 Sincronización con relojes
Consiste en evaluar la 12.5.1 Instalación de software en sistemas operacionales
Enfoque a la
correspondencia de los recursos 12.6.1 Administración de vulnerabilidades técnicas
3 infraestructura
tecnológicos en relación a los 12.6.2 Restricciones en la instalación de software
tecnológica: objetivos previstos 12.7.1 Controles de auditoría de los sistemas de los sistemas de información
8.1.1 Inventario de activos
8.1.2 Propiedades de los activos
8.1.3 Uso aceptable de activos
8.1.4 Devolusón de activos
8.2.1 Clasificación de información
ADMINISTRACiÓN DE ACTIVOS
8.2.2 Etiquetado de información
8.2.3 Manejo de activos
8.3.1 Administración de medios extraíbles
8.3.2 Eliminación de medios
8.3.3 Transferencia de medios físicos

Fuente: Ing. Franz Gutierrez

MAPEO NAG 270 – ISO 27002
N° NE/CE-017 ISO 27002
14.1.1 Análisis y especificación de los requisitos de la información
14.1.2 Protección de servicios de aplicación en redes públicas
14.1.3 Proteccion de transacciones de servicios de aplicación
Consiste en evaluar la eficacia 14.2.1 Política de desrrollo seguro
de los procesos y controles 14.2.2 Procedimientos de control de cambios del sistema
Enfoque al inmersos en el software de 14.2.3 Revisión técnica de las aplicaciones después de los cambios en la plataformaoperativa
ADQUISICiÓN, DESARROLLO Y
4 software de aplicación, que el diseño 14.2.4 Restricciones a los cambios de paquetes de software
MANTENIMIENTO DE SISTEMAS
aplicación: conceptual de éste cumpla con 14.2.5 Principios de ingienería segura del sistema
el ordenamiento jurídico 14.2.6 Entorno de desarrollo seguro
administrativo vigente. 14.2.7 Desarrollo externalizado
14.2.8 Pruebas de seguridad del sistema
14.2.9 Pruebas de aceptación del sistema
14.3.1 Protección de los datos de prueba
13.1.1 Controles de red
13.1.2 Seguridad de los servicios de redes
13.1.3 Segregación de las redes
SEGURIDAD EN LAS
13.2.1 Políticas y procedimientos sobre la transferencia de información
COMUNICACIONES
13.2.2 Acuerdos sobre la transferencia de información
Consiste en evaluar la
13.2.3 Mensajería electrónica
Enfoque a las confiabilidad y desempeño del
13.2.4 Confidencialidad de los acuerdos de no divulgación
5 comunicacione sistema de comunicación para
16.1.1 Responsabilidades y procedimientos
s y redes mantener la disponibilidad de la
16.1.2 Informe de eventos de seguridad de la información
información.
ADMINISTRACiÓN DE 16.1.3 Informe de las debilidades de la seguridad de la información
INCIDENTES DE SEGURIDAD DE 16.1.4 Evaluación y decisión sobre los eventos de seguridad de la información
LA INFORMACiÓN 16.1.5 Respuestas ante incidentes e seguridad de la información
16.1.6 Aprendizaje de los incidentes de seguridad de la información
16.1.7 Recopilación de evidencia

Fuente: Ing. Franz Gutierrez