Presentacion - Tema 2 - Introduccion A La Auditoria de Sistemas de Informacion

Bloque II
EL PROCESO Y LOS ELEMENTOS DE LA AUDITORÍA DE

SSII
Tema 2
Introducción a la Auditoría de
Sistemas de Información
José F Vélez Serrano

Francisco Nava
Bloque II – El proceso y los elementos de Auditoría de los SSII

Tema 1 – Introducción a la auditoría de SSII 1 /41
Índice
Índice
●
Breve historia de la auditoría de SSII
●
Razones para auditar y controlar los SSII
●
Definición de la Auditoría de Sistemas de Información
●
Efectos del PED sobre los controles internos
●
Efectos del PED sobre la Auditoría
●
Fundamentos de la Auditoría de SSII
●
Referencias

Breve historia de la auditoría de SSII
●
Auditoría alrededor del ordenador. Auditoría
convencional con un elemento exótico. El ordenador como
caja negra.
●
Auditoría del ordenador. Se adaptaron los criterios al
centro de proceso de datos.
●
Auditoría a través del ordenador. Se comienza a
estudiar el tratamiento de la información en las
aplicaciones.
●
Auditoría con el ordenador. El auditor comienza a usar
el ordenador para conseguir pruebas y evidencias.
●
Auditoría operativa de proceso de datos. Basada en al
auditoría operativa estudia la eficacia y la eficiencia del
tratamiento automático de los datos.
Las principales razones son:

●
Toma de decisiones incorrectas
●
Coste de los errores
●
Control del uso de la tecnología
●
Consecuencias de las pérdidas de datos
●
Valor del hardware, del software y del personal
●
Privacidad de los datos personales
●
Fraude informático

Toma de decisiones incorrectas

Los datos inexactos pueden acarrear pérdidas económicas o
perdida del control de los procesos.
Factores a tener en cuenta:
●
Los datos utilizados para las decisiones a corto plazo
deben gozar de alta exactitud.
●
Los datos utilizados para las decisiones a largo plazo tiene
un margen de error mayor.
Se debe evaluar el grado de precisión de los datos que se

manejan en relación a las decisiones que sustentan.

Coste de los errores

Los errores tienen coste económico

●
Errores inasumibles en funciones críticas: monitoreo de
pacientes, pagos de intereses, dirección de barcos, diseño
de satélites...
●
Errores que reducen la credibilidad de la empresa: errores
en informes, errores en plazos de entrega...
Operar según normas, pruebas y revisiones evitan errores

Control del uso de la tecnología

La responsabilidad no puede desaparecer
●
En que casos debe utilizarse y en que casos debe
prohibirse el uso de tecnología: control aéreo, conducción
de vehículos, operaciones médicas...
●
Quién es responsable cuando un sistema falla: los
sistemas, las compañías que los usan, las compañías que
los proporcionan, las personas que los desarrollan...
La normativa y los contratos deben explicar estos puntos

Tema 1 – Introducción a la auditoría de SSII 7/41
Consecuencias de las pérdidas de datos

Los datos son un recurso crítico para las operaciones de una
organización
●
Pérdida de histórico (pasado)
●
Pérdida de los planes a corto plazo (presente)
●
Operaciones deterioradas (presente)
●
Pérdida de planes estratégicos (futuro)
●
Pérdida de imagen respecto a terceros
●
Pérdida de confianza en los sistemas
Respaldos adecuados y controles de los mismos
8 41
Tema 1 – Introducción a la auditoría de SSII /
Valor del Hardware, del software y del personal

La organización no puede detenerse
●
El alto nivel de cualificación del personal informático lo hacen
un recurso muy valioso.
●
Tras la destrucción o corrupción del software la organización
quizás no pueda continuar sus operaciones.
●
El fallo del hardware también puede detener el funcionamiento
de una organización.
Prever las bajas, tener personal preparado por duplicado,
tener sistemas duplicados, copias de seguridad...
Bloque II – El proceso y los elementos de Auditoría de los

SSII
9 /41
Privacidad
El tratamiento informático de datos personales erosiona la
privacidad de las personas
●
Enfoque fuerte: La informática no debe permitir que los
datos personales puedan ser integrados, procesados y
recuperados rápidamente.
●
Enfoque débil: Los datos solo deben usarse para el
propósito para el que fueron recogidos. Y siempre pueden
eliminarse bajo petición.
Probar la imposibilidad del acceso a los datos privados

SSII
10 /41
Fraude
Incidentes relacionados con la informática en el que un
causante gana y una víctima pierde
●
El control del fraude puede ser difícil debido a temas
legales (privacidad, jurisdicción...)
●
Solo las personas pueden ser defraudadas.
Protección de los activos, uso de protocolos estándar,

conocer la legislación aplicable

SSII
11 /41
La Auditoría de SSII es el proceso de:

recoger y evaluar las evidencias
para dar una opinión sobre:
●
la salvaguarda de los activos,
●
la integridad de los datos,
●
la eficacia
●
y la eficiencia
en la consecución de los objetivos de la organización

SSII
12 /41
La Auditoría de Sistemas de Información ayuda a

las organizaciones a conseguir esos objetivos

SSII
13 /41
La salvaguarda de los activos

Los activos son:
●
El hardware, y la documentación del sistema, que
puede ser dañado físicamente.
●
El software y los ficheros de datos, que pueden ser
robados o espiados.
●
El personal y los suministros.
Todo debe estar protegido por un sistema de control

interno

SSII
14 /41
La integridad de los datos

El valor de un dato depende de su contribución a la
reducción de incertidumbre y su valor debe incrementarse
por cada usuario del dato.
Aspectos:
●
Exactitud (Accurazy), precisión de los datos.
●
Completitud (Completeness), datos encontrados respecto
al total.
●
Fiabilidad (reliability), válida, sin errores, y representativa.
La integridad tiene un coste, y los beneficios deben
superar el coste de los procedimientos de control que se
establezcan
SSII
15 /41
La eficacia
Un sistema eficaz es el que consigue sus objetivos
Aspectos:
●
La auditoría de eficacia se realiza cuando el sistema ya
lleva tiempo funcionando, para saber si cumple las
necesidades de los usuarios.
●
Cuando un sistema es difícil de construir, se puede
realizar una auditoría del diseño, para averiguar si el
resultado responderá a las necesidades.
El auditor necesita conocer las características de los usuarios
y su marco de toma de decisiones, para saber si el sistema
las facilita

SSII
16 /41
La eficiencia
Un sistema eficiente es el que minimiza los recursos para
conseguir sus objetivos
Aspectos:
●
Los recursos siempre son escasos para la demanda: Tiempo,
máquinas, comunicaciones, personas
●
No se puede evaluar aisladamente debido a sus dependencias con
otros sistemas (sistemas lentos que penalizan, líneas de
comunicación, personas...). .
●
La eficiencia es clave cuando el sistema informático tiene poca
capacidad. Hay que decidir si ampliar la capacidad de los sistemas
informáticos o mejorar el software.
La auditoría detecta problemas de capacidad y los relaciona con cuellos
de botella o con aplicaciones ineficientes.
SSII
17 /41
En un sistema de Proceso Electrónico de Datos (PED) el

sistema de control interno sigue teniendo los mismos
componentes que en uno clásico:
●
Segregación de funciones
●
Delegación de responsabilidad y autoridad
●
Competencia del personal
●
Sistema de autorizaciones
●
Documentación y registros adecuados
●
Control físico sobre activos y registros
●
Adecuada supervisión de la gestión
●
Verificación independiente de las operaciones
●
Comparación periódica de los registros con los activos

SSII
18 /41
Segregación de funciones
Previene y detecta errores e irregularidades.
La segregación clásica no es válida:
● En un sistema manual distintas personas deben: Iniciar las transacciones,
registrar las transacciones, custodiar activos...
● Un mismo programa puede: Reconciliar una factura de un proveedor contra
el documento recibido e imprimir un talón por la cantidad adeudada al
proveedor (funciones incompatibles en un sistema manual).
En sistemas informatizados se deben verificar la segregación de:
● La capacidad de ejecutar el programa en el entorno de producción
● La capacidad de modificar el programa
En entornos con miniordenadores y PCs la segregación de estas
funciones puede ser difícil de conseguir. Deben existir: contraseñas,
permisos de escritura, registro de cambios.
SSII
19 /41
Delegación de la responsabilidad y de la autoridad

La especificación clara de la responsabilidad y de la autoridad es
un control esencial
Aspectos a considerar:
●
En un sistema informatizado, puede ser difícil de conseguir una
especificación no ambigua pues algunos recursos se comparten
entre distintos usuarios.
Por ejemplo, si varios usuarios acceden a los mismos datos y se viola la
integridad de los datos puede ser difícil determinar la responsabilidad de:
●
La corrupción de los datos
●
Responsable de identificar y corregir el error.
Se debe comprobar la existencia de traza adecuada en cada caso y la
imposibilidad de suplantación y eliminación de rastro

SSII
20 /41
Personal competente y de confianza

La existencia de personal competente y de confianza es cada
vez más importante
●
Como la tecnología informática es cada vez más compleja se
necesita personal muy cualificado para: desarrollar, mantener y
operar los sistemas informáticos.
●
Un pequeño número de personas asumen la responsabilidad
de la integridad de los datos.
●
La alta rotación del personal hace difícil evaluar su adecuada
cualificación.
Se puede verificar la posibilidad de ausencias, la existencia de
cuellos de botellas...
SSII
21 /41
Sistema de autorizaciones
Los programas cumplen el sistema de autorizaciones
● Normalmente la dirección da dos tipos de autorización para ejecutar las
transacciones:
●
Generales establecen políticas a seguir (una lista fija de precios para el personal
de ventas)
●
Específicas aplican a transacciones específicas (las compras de valor muy
elevado deben ser aprobadas por el comité de dirección)
● Cambia la forma de evaluar el seguimiento de las autorizaciones:
●
En un sistema manual se examinan el trabajo de los empleados.
●
En un sistema informático, el procedimiento de autorización suele estar imbuido
en un programa, por lo que se debe verificar además la veracidad del
programa.
Verificar que los programas cumplen el sistema de autorizaciones
SSII
22 /41
Documentación y registros adecuados

El sistema debe registrar todos los eventos y se debe poder
acceder a esos registros
●
En un sistema manual hay un soporte documental para permitir un
rastreo de auditoría, mientras que en un sistema informático puede
no haber soporte documental para iniciar, ejecutar y registrar
algunas transacciones.
● Por ejemplo si los datos se introducen directamente en el sistema, o si
las ordenes de compras se producen automáticamente cuando el
inventario es muy bajo.
●
La segregación (ejecución / modificación) debe funcionar para
impedir problemas de control.
Se debe revisar las existencia y el acceso a los registros de los sistemas

SSII
23 /41
Control físico sobre activos y registros

Control crítico en sistemas manuales e informáticos
●
Los sistemas informatizados tienden a concentrar sus activos y
Registros, por lo que se incrementa la pérdida que puede suceder
debido a un fraude informático o a un desastre.
●
Por ejemplo un incendio que destruya archivos sin respaldo
puede impedir que se continúen las operaciones.
El auditor debe verificar la existencia de sistemas contingencias y sus

controles

SSII
24 /41
Adecuada supervisión de la gestión

Se deben implementar controles de supervisión en el sistema
informático que compensen los controles que antes se hacían por
observación y consulta.
●
Antes, en un sistema manual los supervisores y los subordinados
suelen estar cerca.
●
Ahora, los SSII permite que los empleados estén cerca de sus
clientes y lejos de los supervisores.
El auditor debe verificar los controles de supervisión existentes

(informes, registros...)

SSII
25 /41
Verificación independiente de las operaciones

La verificación de las operaciones es innecesaria
●
Antes, en un sistema manual se realizan pruebas independientes ya
que los empleados pueden: olvidar los procedimientos, cometer
errores...
●
Ahora, el sistema siempre seguirá los procedimientos (si el código
del programa está autorizado, es exacto y completo).
El énfasis cambia a asegurar la veracidad del programa, evaluando los

controles establecidos para el desarrollo y mantenimiento

SSII
26 /41
Comparación periódica de los registros

contabilizados con los activos
Periódicamente, hay que comparar los datos y los activos que los
datos pretenden representar
●
En un sistema manual personal independiente prepara los datos
para realizar la comparación.
●
En un sistema informático esta preparación la realiza un programa.
Si se realizan modificaciones no autorizadas a los programas o a los
ficheros, se podría no descubrir una irregularidad.
El control cambia a asegurar la veracidad de los programas

SSII
27 /41
Los auditores han de ser competentes e independientes

para evaluar la correspondencia entre las actividades de
una organización y los estándares o criterios establecidos.
El PED ha impactado en las dos funciones básicas de la

auditoría:
●
La recogida de las evidencias
●
La evaluación de las evidencias

SSII
28 /41
Cambios en la recogida de las evidencias

●
La recogida de
evidencia es más
compleja en un sistema
informático. Los
auditores tienen que
evaluar un conjunto
de controles
tecnológicos variado y
complejo no existente
en un sistema manual.

SSII
29 /41
Cambios en la recogida de las evidencias (2)

●
Entender los controles
tecnológicos no es
fácil. La rápida
evolución hardware y
el software implica
una continua
evolución de los
controles asociados.

SSII
30 /41
Cambios en la recogida de las evidencias (3)

●
Todo esto hace más
difícil recoger la
evidencia de forma
manual, por lo que
los auditores
necesitan sistemas
PED para poder
recoger la evidencia.
Por ello existe
software general de
auditoría.

SSII
31 /41
Cambios en la evaluación de las evidencias

Es más difícil evaluar las consecuencias de las fortalezas y
debilidades de los controles en la fiabilidad global del
sistema.
El auditor debe:
●
Entender cuando un control está funcionando bien o mal
●
Rastrear las consecuencias de la debilidad o la fortaleza del
control a través del sistema.
En un entorno compartido, puede ser una tarea difícil. Por ejemplo,

una transacción de entrada de datos puede actualizar múltiples
datos utilizados por múltiples usuarios de distintas localizaciones.

SSII
32 /41
Cambios en la evaluación de las evidencias (2)

Si al evaluar las evidencias se descubren errores, hay que tener
en cuenta que as consecuencias de los errores en un sistema
informático suelen ser más grave s que en uno manual.
●
Los errores se generan a alta
velocidad
●
El coste de corregir un error y/o
volver a ejecutar un programa
puede ser muy alto.
● Los errores en los programas
suelen requerir rediseño y
reimplementación.
El auditor debe verificar que existen controles que aseguren

sistemas de alta calidad
SSII
33 /41
Cambios en la evaluación de las evidencias (3)

La localización de errores cambia debido a que:
●
Los errores en los sistema manual suceden de una forma
estocástica. Por ejemplo, un administrativo comete
aleatoriamente un error al introducir un precio de un artículo.
●
En un sistema informático tienden a presentarse de una forma
determinista. Un programa erróneo siempre producirá el
mismo error.

SSII
34 /41
La auditoría de los SSII no es una simple extensión de la

auditoría tradicional.
La necesidad de una función de Auditoría de SSII emana
de dos direcciones:
●
Los ordenadores han impactado en la habilidad de los
auditores para dar una prueba clara
●
La alta dirección y la de SSII consideran que estos son
recursos valiosos que deben ser controlados

SSII
35 /41
Auditoría tradicional Gestión de SSII
Auditoría de los SSII
Ciencias del Ciencias de la

comportamiento computación

SSII
36 /41
Auditoría tradicional
●
La auditoría tradicional aporta un importante bagaje de
conocimiento y experiencia de técnicas de control interno.
●
Los trabajos administrativos, que soportan al sistema informático,
(como las actividades de preparación de datos) deben estar
sujetas a principios de control interno.
●
Muchos controles de los sistemas manuales se han exportado
a sistemas informáticos (como los totales de control).
●
La auditoría tradicional resalta la importancia crítica que tienen
●
La evidencia objetiva y verificable
●
La evaluación independiente de los sistemas.
●
Su aporte más importante es la filosofía del control.

SSII
37 /41
Gestión de SSII
●
La rama de la gestión de los SSII ha realizado
numerosos aportes que impactan en la
Auditoría informática como los relativos a:
●
La dirección de proyectos (Cascada, Scrum, XP.. .)
●
Desarrollar e implementar SSII (Warnier, E/R,
Objetos, UML...)
●
Creación de estándares.
●
Generación de documentación.

SSII
38 /41
Una de las razones para el fracaso de un Sistema Informático

es la ignorancia de los problemas del comportamiento de
las personas involucradas en su desarrollo e implementación.
Además, se debe considerar el impacto de todo Sistema
informático en:
●
El cumplimiento de las tareas (sistema técnico)
●
La calidad de vida en el trabajo (sistema social)
La psicología, la sociología o la ciencia de la gerencia
contribuyen a entender los problemas de las personas
dentro de las organizaciones
Ciencias del
comportamiento

SSII
39 /41
Los objetivos de los controles también se han visto

influenciados por los avances realizados en las ciencias
de la computación
●
Organización de la información
●
Desarrollo de software sin errores
●
Transmisión de información segura
●
Pruebas automáticas
Los auditores de SSII deben tener un alto nivel de informática
para entender los sistemas.
Ciencias de la
computación

SSII
40 /41
Referencias utilizadas
● Apuntes de Auditoría Informática, Francisco Javier Nava

García.
●
SpieceWorks.
●
Wikipedia

SSII
41 /41

Presentacion - Tema 2 - Introduccion A La Auditoria de Sistemas de Informacion

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Presentacion - Tema 2 - Introduccion A La Auditoria de Sistemas de Informacion

Cargado por

Copyright:

Formatos disponibles

Bloque II

EL PROCESO Y LOS ELEMENTOS DE LA AUDITORÍA DE

José F Vélez Serrano

Bloque II – El proceso y los elementos de Auditoría de los SSII

Bloque II – El proceso y los elementos de Auditoría de los SSII

Las principales razones son:

Bloque II – El proceso y los elementos de Auditoría de los SSII

Toma de decisiones incorrectas

Se debe evaluar el grado de precisión de los datos que se

Bloque II – El proceso y los elementos de Auditoría de los SSII

Coste de los errores

Factores a tener en cuenta:

Operar según normas, pruebas y revisiones evitan errores

Bloque II – El proceso y los elementos de Auditoría de los SSII

Control del uso de la tecnología

La normativa y los contratos deben explicar estos puntos

Bloque II – El proceso y los elementos de Auditoría de los SSII

Consecuencias de las pérdidas de datos

Valor del Hardware, del software y del personal

Bloque II – El proceso y los elementos de Auditoría de los

Probar la imposibilidad del acceso a los datos privados

Protección de los activos, uso de protocolos estándar,

Bloque II – El proceso y los elementos de Auditoría de los

La Auditoría de SSII es el proceso de:

Bloque II – El proceso y los elementos de Auditoría de los

La Auditoría de Sistemas de Información ayuda a

Bloque II – El proceso y los elementos de Auditoría de los

La salvaguarda de los activos

Todo debe estar protegido por un sistema de control

Bloque II – El proceso y los elementos de Auditoría de los

La integridad de los datos

Bloque II – El proceso y los elementos de Auditoría de los

En un sistema de Proceso Electrónico de Datos (PED) el

Bloque II – El proceso y los elementos de Auditoría de los

Delegación de la responsabilidad y de la autoridad

Bloque II – El proceso y los elementos de Auditoría de los

Personal competente y de confianza

Documentación y registros adecuados

Bloque II – El proceso y los elementos de Auditoría de los

Control físico sobre activos y registros

El auditor debe verificar la existencia de sistemas contingencias y sus

Bloque II – El proceso y los elementos de Auditoría de los

Adecuada supervisión de la gestión

El auditor debe verificar los controles de supervisión existentes

Bloque II – El proceso y los elementos de Auditoría de los

Verificación independiente de las operaciones

El énfasis cambia a asegurar la veracidad del programa, evaluando los

Bloque II – El proceso y los elementos de Auditoría de los

Comparación periódica de los registros

El control cambia a asegurar la veracidad de los programas

Bloque II – El proceso y los elementos de Auditoría de los

Los auditores han de ser competentes e independientes

El PED ha impactado en las dos funciones básicas de la

Bloque II – El proceso y los elementos de Auditoría de los

Cambios en la recogida de las evidencias

Bloque II – El proceso y los elementos de Auditoría de los

Cambios en la recogida de las evidencias (2)

Bloque II – El proceso y los elementos de Auditoría de los

Cambios en la recogida de las evidencias (3)

Bloque II – El proceso y los elementos de Auditoría de los

Cambios en la evaluación de las evidencias

En un entorno compartido, puede ser una tarea difícil. Por ejemplo,

Bloque II – El proceso y los elementos de Auditoría de los