Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tema 2
Introducción a la Auditoría de
Sistemas de Información
Índice
●
Breve historia de la auditoría de SSII
●
Razones para auditar y controlar los SSII
●
Definición de la Auditoría de Sistemas de Información
●
Efectos del PED sobre los controles internos
●
Efectos del PED sobre la Auditoría
●
Fundamentos de la Auditoría de SSII
●
Referencias
●
Auditoría alrededor del ordenador. Auditoría
convencional con un elemento exótico. El ordenador como
caja negra.
●
Auditoría del ordenador. Se adaptaron los criterios al
centro de proceso de datos.
●
Auditoría a través del ordenador. Se comienza a
estudiar el tratamiento de la información en las
aplicaciones.
●
Auditoría con el ordenador. El auditor comienza a usar
el ordenador para conseguir pruebas y evidencias.
●
Auditoría operativa de proceso de datos. Basada en al
auditoría operativa estudia la eficacia y la eficiencia del
tratamiento automático de los datos.
Bloque II – El proceso y los elementos de Auditoría de los SSII
Tema 1 – Introducción a la auditoría de SSII 3 /41
Razones para auditar y controlar los SSII
8 41
Razones para auditar y controlar los SSII
Tema 1 – Introducción a la auditoría de SSII /
Razones para auditar y controlar los SSII
Privacidad
El tratamiento informático de datos personales erosiona la
privacidad de las personas
Factores a tener en cuenta:
●
Enfoque fuerte: La informática no debe permitir que los
datos personales puedan ser integrados, procesados y
recuperados rápidamente.
●
Enfoque débil: Los datos solo deben usarse para el
propósito para el que fueron recogidos. Y siempre pueden
eliminarse bajo petición.
Fraude
Incidentes relacionados con la informática en el que un
causante gana y una víctima pierde
Factores a tener en cuenta:
●
El control del fraude puede ser difícil debido a temas
legales (privacidad, jurisdicción...)
●
Solo las personas pueden ser defraudadas.
La eficacia
Un sistema eficaz es el que consigue sus objetivos
Aspectos:
●
La auditoría de eficacia se realiza cuando el sistema ya
lleva tiempo funcionando, para saber si cumple las
necesidades de los usuarios.
●
Cuando un sistema es difícil de construir, se puede
realizar una auditoría del diseño, para averiguar si el
resultado responderá a las necesidades.
El auditor necesita conocer las características de los usuarios
y su marco de toma de decisiones, para saber si el sistema
las facilita
La eficiencia
Un sistema eficiente es el que minimiza los recursos para
conseguir sus objetivos
Aspectos:
●
Los recursos siempre son escasos para la demanda: Tiempo,
máquinas, comunicaciones, personas
●
No se puede evaluar aisladamente debido a sus dependencias con
otros sistemas (sistemas lentos que penalizan, líneas de
comunicación, personas...). .
●
La eficiencia es clave cuando el sistema informático tiene poca
capacidad. Hay que decidir si ampliar la capacidad de los sistemas
informáticos o mejorar el software.
La auditoría detecta problemas de capacidad y los relaciona con cuellos
de botella o con aplicaciones ineficientes.
Bloque II – El proceso y los elementos de Auditoría de los
SSII
17 /41
Efectos del PED sobre los controles internos
Segregación de funciones
Previene y detecta errores e irregularidades.
La segregación clásica no es válida:
● En un sistema manual distintas personas deben: Iniciar las transacciones,
registrar las transacciones, custodiar activos...
● Un mismo programa puede: Reconciliar una factura de un proveedor contra
el documento recibido e imprimir un talón por la cantidad adeudada al
proveedor (funciones incompatibles en un sistema manual).
En sistemas informatizados se deben verificar la segregación de:
● La capacidad de ejecutar el programa en el entorno de producción
● La capacidad de modificar el programa
En entornos con miniordenadores y PCs la segregación de estas
funciones puede ser difícil de conseguir. Deben existir: contraseñas,
permisos de escritura, registro de cambios.
Bloque II – El proceso y los elementos de Auditoría de los
SSII
19 /41
Efectos del PED sobre los controles internos
Sistema de autorizaciones
Los programas cumplen el sistema de autorizaciones
Aspectos a considerar:
● Normalmente la dirección da dos tipos de autorización para ejecutar las
transacciones:
●
Generales establecen políticas a seguir (una lista fija de precios para el personal
de ventas)
●
Específicas aplican a transacciones específicas (las compras de valor muy
elevado deben ser aprobadas por el comité de dirección)
● Cambia la forma de evaluar el seguimiento de las autorizaciones:
●
En un sistema manual se examinan el trabajo de los empleados.
●
En un sistema informático, el procedimiento de autorización suele estar imbuido
en un programa, por lo que se debe verificar además la veracidad del
programa.
Verificar que los programas cumplen el sistema de autorizaciones
Bloque II – El proceso y los elementos de Auditoría de los
SSII
22 /41
Efectos del PED sobre los controles internos
●
La auditoría tradicional aporta un importante bagaje de
conocimiento y experiencia de técnicas de control interno.
●
Los trabajos administrativos, que soportan al sistema informático,
(como las actividades de preparación de datos) deben estar
sujetas a principios de control interno.
●
Muchos controles de los sistemas manuales se han exportado
a sistemas informáticos (como los totales de control).
●
La auditoría tradicional resalta la importancia crítica que tienen
●
La evidencia objetiva y verificable
●
La evaluación independiente de los sistemas.
●
Su aporte más importante es la filosofía del control.
●
La rama de la gestión de los SSII ha realizado
numerosos aportes que impactan en la
Auditoría informática como los relativos a:
●
La dirección de proyectos (Cascada, Scrum, XP.. .)
●
Desarrollar e implementar SSII (Warnier, E/R,
Objetos, UML...)
●
Creación de estándares.
●
Generación de documentación.
Ciencias del
comportamiento
Ciencias de la
computación