Está en la página 1de 74

AUDITORIA INFORMATICA

AUDITORIA DE SISTEMAS DE INFORMACION


Joel Huenul Faundez (joel_huenul@hotmail.com) +56 9 99197376
CONTENIDO
Unidad 1: Conceptos Básicos de Seguridad y Auditoría.
Introducción a la auditoria de los Sistemas de Información.
Aspectos Generales de la Auditoría de los Sistemas de Información.
Seguridad Informática
Introducción a la seguridad informática.
Unidad 2: Control interno y auditoría informática.
Unidad 3: Metodologías de control interno, seguridad y auditoría Informática.
Unidad 4: El informe de auditoría.
Unidad 5: Organización del Departamento de auditoría informática.
Unidad 6: El marco jurídico de la auditoría informática.
Unidad 7: Tecnología del auditor informático y códigos éticos.
Unidad 8: Auditoría física.
Unidad 9: Auditoría de la ofimática.
Unidad 10: Auditoría de la dirección.
Unidad 11: Auditoría de la explotación.
Unidad 12: Auditoría del desarrollo.
Unidad 13: Auditoría del mantenimiento.
Unidad 14: Auditoría de bases de datos.
Unidad 15: Auditoría de técnicas de sistemas.
Unidad 16: Auditoría de la calidad.
Unidad 17: Auditoría de la seguridad.
Unidad 18: Auditoría de Redes.
Unidad 19: Auditoría de aplicaciones.
Unidad 20: Auditoría de EIS/DSS.
Unidad 21: Auditoría en entornos informáticos.
Unidad 22: Auditoría en el sector financiero.
Unidad 23: Auditoría en el sector aéreo.
Unidad 24: Auditoría en la administración.
Unidad 25: Auditoría en las PYMES.
Unidad 26: Peritar Vs Auditar.
Unidad 27: Contrato de Auditoria.
1. AUDITORIA. CONCEPTO
Actividad consistente en la emisión de una opinión
profesional sobre si el objeto sometido a análisis presenta
adecuadamente la realidad que pretende reflejar y/o
cumple las condiciones que le han sido prescritas

1. Contenido Una opinión


2. Condición Profesional
3. Justificación Sustentada en determinados procedimientos
4. Objeto Una determinada información obtenida en un cierto soporte
5. Finalidad Determinar si presenta adecuadamente la realidad o ésta responde a
las expectativas que le son atribuidas , es decir, su fiabilidad

33
1.3. CLASES DE AUDITORIA
4. Objeto Una determinada información obtenida en un cierto soporte
5. Finalidad Determinar si presenta adecuadamente la realidad o ésta responde a
las expectativas que le son atribuidas , es decir, su fiabilidad

Estos elementos definen que clase o tipo de


auditoria se trata.
Clase Contenido Objeto Finalidad
Financiera Opinión Cuantas Anuales Presentan realidad
Informática Opinión Sistemas de aplicación, recursos Operatividad eficiente y
informáticos, planes de según normas establecidas
contingencia, etc.
Gestión Opinión Dirección Eficacia, eficiencia, economía
Cumplimiento Opinión Normas establecidas Las operaciones de adecuan
a estas normas

33
1.4. PROCEDIMIENTOS
La opinión profesional se fundamenta y justifica por medio
de procedimientos específicos.

Cada clase o tipo de auditoria posee sus propios


procedimientos para alcanzar el fin provisto.
La amplitud o profundidad de los procedimientos que se
apliquen definen el alcance de la auditoria.
Auditoria Característica Procedimiento Limitaciones
Financiera Altamente Aplicación de normas Cualquier limitación que impida la aplicación de
reglamentada técnicas y decidir los una norma técnica se debe considerar en el
procedimientos a informe de auditoria como una reserva al alcance.
aplicar

34
1.4. PROCEDIMIENTOS
En una auditoria se deben considerar todos los aspectos
como áreas, elementos, operaciones, circunstancias, etc.,
que sean significativas.

Para lograr lo anterior se establecen normas o


procedimientos que se resumen en:

- El trabajo se planificará apropiadamente y se


supervisara adecuadamente
- Se estudiara y evaluara el sistema de control interno
- Se obtendrá evidencia suficiente y adecuada.
Estas 3 normas se deducen de los riesgos que ha de
afrontar el auditor.
34
1.4. PROCEDIMIENTOS
Al llegar la revolución cuantitativa, que trajo consigo la
creación de sociedades con importantes medios, que las
operaciones se multiplicaran, el método tradicional de
auditoria resulto laborioso, tedioso, largo, ineficaz y
económicamente inviable.

Ya no era posible verificar la totalidad de las operaciones.


En este escenario, el sector de la banca fue el principal
usuario de las auditorias orientadas a la calidad y
representatividad de los balances. (Dale S. Flesher)

El riesgo evidente de esto, es la no verificación de todas


las operaciones

35
1.4. PROCEDIMIENTOS
Ante esos riesgos el auditor tiene el cometido irrenunciable
de que ocurran pero en limites tolerables.

Matemáticamente es: R(c) * R(d) = S(c)


R(c) = Riesgo en el proceso o riesgo de control
R(d) = Riesgo de detección
S(c) = Constante o parámetro admisible en que se desea
mantener el riesgo de auditoria.

El R(c) y R(d) son inversamente proporcionales.


R(c) es ajeno al auditor, depende de la entidad auditada
R(d) para definirlo hasta donde se esta dispuesto a admitir
se debe evaluar primero el R(c) existente.

35
1.4. VARIACION DEL OBJETO
El uso de la informática como factor consustancial a la
gestión.

El auditor financiero ve alterado el objeto de su actividad


en el sentido que se ha introducido la TI.

La auditoria financiera sigue siendo auditoria y financiera


con la diferencia que en su objeto, el mismo de siempre, es
decir en la información financiera, se ha introducido la TI.

38
1.4. CONSULTORIA. CONCEPTO
Dar asesoramiento o consejo sobre lo que ha de hacer o
como llevar adecuadamente una determinada actividad
para obtener los fines deseados.
Elementos de una consultoría:
1) Contenido Dar asesoramiento o consejo
2) Condición De carácter especializado
3) Justificación En base a un examen o análisis
4) Objeto La actividad o cuestión sometida a consideración
5) Finalidad Establecer la manera de llevarla a cabo adecuadamente.

Consultoría -> Como llevar a cabo


Auditoria -> Verifica si se cumple y si se obtienen los
resultados.
39
1.4. CONSULTORIA. CONCEPTO
Tipos o clases de consultoría:

Clase Contenido Objetivo Finalidad


Financiera Asesoramiento Planes de cuentas, Diseño e
Procedimientos implementación
administrativos
Informática Asesoramiento Aplicaciones, Desarrollo, Diseño
Planes de e implementación
contingencia

39
1.4. CONCLUSIONES
El objeto de la auditoria ha cambiado, incorpora la TI.

Al auditor se le presenta una disyuntiva: o se adapta hacia


las nuevas tecnologías o simplemente es una victima de la
evolución que no quiso o no supo afrontar.

39
2.CONTROL INTERNO Y AUDITORIA INFORMATICA
2.1. Introducción
Las empresas en su misión de evitar situaciones que
pueden provocar perdidas para ellas, han adoptado en el
tiempo varias iniciativas con el fin de mejorar el control
interno.
La reestructuracion de los procesos empresariales ( BPR –
Bussiness Process Re-engineering)
La gestión de la calidad total (TQM – Total Quality
Management)
El redimensionamiento por reducción y/o por aumento del
tamaño hasta el nivel correcto
La contratación externa (outsourcing)
La descentralización.

39
2.CONTROL INTERNO Y AUDITORIA INFORMATICA
2.1. Introducción
Ante la rapidez de los cambios, las organizaciones re
estructuran sus sistemas de controles internos

39
2.CONTROL INTERNO Y AUDITORIA INFORMATICA
2.2. Las funciones de control interno y auditoria informática

2.2.1. Control interno informático


Controla diariamente que todas las actividades de
sistemas de información sean realizadas cumpliendo los
procedimientos, estándares y normas fijados por la
dirección de la organización.

Suele ser un órgano staff de la dirección del la gerencia de


informática.

Objetivos: …..

55
2.CONTROL INTERNO Y AUDITORIA INFORMATICA
2.2. Las funciones de control interno y auditoria informática

2.2.2. Auditoria Informática


Es el proceso de recoger, agrupar y evaluar evidencias
para determinar si un sistema informático salvaguarda los
activos, mantiene la integridad de los datos, lleva acabo
eficazmente los fines de la organización y utiliza
eficientemente los recursos asignados y disponibles.

Objetivos:
Protección de los activos e integridad de datos.
Objetivos de gestión que abarcan, no solamente los de
protección de activos, sino también los de eficacia y
economía.
55
2.CONTROL INTERNO Y AUDITORIA INFORMATICA
2.2. Las funciones de control interno y auditoria informática

2.2.3. Control Interno y auditoría informática: campos


análogos
Existe una gran similitud

Muchos auditores pasan al campo de control interno


informático debido a la similitud de los objetivos de control
y auditoria.

55
2.CONTROL INTERNO Y AUDITORIA INFORMATICA
2.3. SISTEMA DE CONTROL INTERNO INFORMATICO

2.3.1. Definición y tipos de controles internos


Control interno es cualquier actividad o acción realizada
manual y/o automática para prevenir, corregir errores o
irregularidades que puedan afectar el funcionamiento de
un sistema para conseguir sus objetivos.

Los controles internos deben ser:


• Completos
• Simples
• Fiables
• Revisables
• Adecuados
• Rentables 58
2.CONTROL INTERNO Y AUDITORIA INFORMATICA
2.3. SISTEMA DE CONTROL INTERNO INFORMATICO

2.3.1. Definición y tipos de controles internos


Los controles internos evolucionan a medida que los
sistemas evolucionan en TI y complejidad.

Podemos categorizar los controles internos en :


• Controles preventivos
• Controles detectivos
• Controles correctivos

58
2.CONTROL INTERNO Y AUDITORIA INFORMATICA
2.3. SISTEMA DE CONTROL INTERNO INFORMATICO

2.3.1. Definición y tipos de controles internos


El concepto de control se origina en la profesión de la
auditoria

Es importante conocer la relación entre:


• Métodos de control
• Objetivos de control
• Objetivos de auditoría

58
2.CONTROL INTERNO Y AUDITORIA INFORMATICA
2.3. SISTEMA DE CONTROL INTERNO INFORMATICO

2.3.2. Implementación de un sistema de control interno


informático
Se debe conocer muy bien la configuración del sistema.
¿Qué debemos conocer?
Entorno de Red
Configuración del computador base
Entorno de aplicaciones

Productos y herramientas

Seguridad del computador base

60
2.CONTROL INTERNO Y AUDITORIA INFORMATICA
2.3. SISTEMA DE CONTROL INTERNO INFORMATICO

2.3.2. Implementación de un sistema de control interno


informático
Para implementar control interno informático se debe
definir:
Gestión de sistemas de información
Administración de sistemas

Seguridad
Gestión del cambio

60
2.CONTROL INTERNO Y AUDITORIA INFORMATICA
2.3. SISTEMA DE CONTROL INTERNO INFORMATICO

2.3.2. Implementación de un sistema de control interno


informático
Políticas de
La implementación de seguridad
procedimientos, Plan de
políticas y cultura de seguridad
seguridad requiere que Normas y
sea en fases y procedimientos
respaldada por la Medidas tecnológicas
dirección de la implementadas
organización.
Formación, entrenamiento

60
2.CONTROL INTERNO Y AUDITORIA INFORMATICA
2.3. SISTEMA DE CONTROL INTERNO INFORMATICO

2.3.2. Implementación de un sistema de control interno


informático
Dirección de negocio o dirección de sistemas de
información:
Definir políticas y directrices para los sistemas de informacion en base
a las exigencias del negocio.

Dirección de informática:
Definir normas de funcionamiento del entorno informático

60
2.CONTROL INTERNO Y AUDITORIA INFORMATICA
2.3. SISTEMA DE CONTROL INTERNO INFORMATICO

2.3.2. Implementación de un sistema de control interno


informático
Control interno informático:
Definir los diferentes controles periódicos a realizar en cada una de las
funciones informáticas de acuerdo al nivel de riesgo de cada una de
ellas, y se diseñadas confirme a los objetivos del negocio y dentro del
marco legal aplicable.

Auditor interno/externo informático:


Debe revisar los diferentes controles internos definidos y verificar el
cumplimiento de la normativa interna y externa.

60
2.CONTROL INTERNO Y AUDITORIA INFORMATICA
2.3. SISTEMA DE CONTROL INTERNO INFORMATICO

Ejemplo de algunos controles internos:


Controles internos organizativos
• Políticas:

Son la base para la planificación, control y evaluación por la dirección de


las actividades del departamento de informática.

• Planificación:

- Plan estratégico de informacion


- Plan informático
- Plan general de seguridad
- Plan de emergencia ante desastres

60
2.CONTROL INTERNO Y AUDITORIA INFORMATICA
2.3. SISTEMA DE CONTROL INTERNO INFORMATICO

2.3.2. Implementación de un sistema de control interno


informático
• Estándares
Regular adquisición de recursos diseño, desarrollo , etc.

• Procedimientos
Deben describir claramente la forma y responsabilidad de ejecución y
relación con las otras áreas de la organización.

• Organizar el área de informática


Definir el área de una forma superior, que asegure la independencia de
las áreas de la organización.

63
2.CONTROL INTERNO Y AUDITORIA INFORMATICA
2.3. SISTEMA DE CONTROL INTERNO INFORMATICO

2.3.2. Implementación de un sistema de control interno


informático
• Definir roles, funciones y responsabilidades

• Políticas de personal
Capacitación, selección, vacaciones, evaluación, etc.

• Asegurar que la Dirección revisa, ejecuta y resuelve.


Dado informes de control y excepciones

• Designar claramente y de forma oficial la figura de control interno


informático y de auditoria informática.

63
2.CONTROL INTERNO Y AUDITORIA INFORMATICA
2.3. SISTEMA DE CONTROL INTERNO INFORMATICO

Ejemplo de algunos controles internos:


Controles de desarrollo, adquisición y mantención de
sistemas de información.
• Metodología del ciclo de vida del desarrollo de sistemas:
- Las especificaciones del nuevo sistema deben ser definidas por los usuarios y
quedar documentadas antes del inicio del desarrollo.
- Estudios de viabilidad
- Seleccionada una alternativa se debe definir un plan director del proyecto
- Procedimientos para la definición y documentación de especificaciones
- Plan de validación, verificación, pruebas, carga, etc.
- Documentación de aceptación
- Procedimientos de adquisición
- Manuales de operación, etc.

60
2.CONTROL INTERNO Y AUDITORIA INFORMATICA
2.3. SISTEMA DE CONTROL INTERNO INFORMATICO

2.3.2. Implementación de un sistema de control interno


informático

• Explotación y mantención
Controles que aseguren que los datos se tratan de forma congruente y
exacta y que los cambios son controlados y regulados

63
2.CONTROL INTERNO Y AUDITORIA INFORMATICA
2.3. SISTEMA DE CONTROL INTERNO INFORMATICO

Ejemplo de algunos controles internos:


Controles explotación de sistemas de información.
• Planificación y gestión de recursos
- Definir presupuesto
- Plan de adquisición de equipos
- Gestión de la capacidad de los equipos

• Controles para asegurar el uso efectivo de los recursos


computadores

- Calendario de carga de trabajo


- Programación de personal
- Mantenimiento preventivo
- Gestión de problemas y cambios

65
2.CONTROL INTERNO Y AUDITORIA INFORMATICA
2.3. SISTEMA DE CONTROL INTERNO INFORMATICO

Ejemplo de algunos controles internos:


• Procedimientos de selección de:
- Software
- Mantención
- Seguridad

• Seguridad física y lógica


- Definir un grupo de seguridad de la informacion
- Controles físicos de acceso a instalaciones
- Procedimientos para control de personal externo
- Establecer zonas de seguridad a nivel de servidores
- Procedimientos de evacuación del edificio y seguridad de las instalaciones
informáticas
- Control y acceso restringido computadores y zonas físicas

65
2.CONTROL INTERNO Y AUDITORIA INFORMATICA
2.3. SISTEMA DE CONTROL INTERNO INFORMATICO

Ejemplo de algunos controles internos:


Controles en aplicaciones:
• Control de entrada de datos
- Definir métodos de entrada
- Validación de datos y consistencia
- Asegurar validez de los datos y consistencia

• Seguridad de los datos


- Verificar como se agregan, modifican y eliminan datos.

• Control de salida de datos


- Asegurar consistencia
- Control de reportes
- Definir fuentes oficiales
65
2.CONTROL INTERNO Y AUDITORIA INFORMATICA
2.4. CONCLUSIONES
• La evolución tecnológica trae cuatro grandes beneficios a las
organizaciones:

- Racionalización de costos
- Mejora en la toma de decisiones
- Mejora en la calidad de servicios
- Creación de nuevos servicios

• Es responsabilidad de la dirección plantear una estrategia de


inversiones en recursos de TI y planificar o plantear todos los
controles internos de tal forma que garanticen grados de eficiencia y
seguridad suficiente de los activos.

65
3.METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA
INFORMATICA
3.1. INTRODUCCION

• Método
- Modo de decir o hacer con orden una cosa

• Metodología
- Conjunto de métodos que se siguen en una investigación científica o en una
exposición doctrinal

Las metodologías son necesarias para que un equipo de profesionales alcance un


resultado homogéneo.

65
3.METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA
INFORMATICA
3.1. INTRODUCCION

• Seguridad de los sistemas de información


- La doctrina que trata de los riesgos informáticos o creados por la informática,
entonces la auditoria es una de las figuras involucradas en el proceso de
detección y preservación de la información y de sus medios de procesos.

Dado que la informática crea riesgos, debemos trabajar utilizando contramedidas y los
factores que componen una contramedida son:

• La normativa
- Definir de forma clara y precisa todo lo que debe existir y debe ser cumplido.

• La organización
- Personas con funciones especificas y concretas.

65
3.METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA
INFORMATICA
3.1. INTRODUCCION

• Las metodologías
- Necesarias para desarrollar el proceso en orden y de forma clara.

• Los objetivos de control


- Objetivos que se han de cumplir en todo proceso

• Los procedimientos de control


- Los procesos de control de las distintas áreas de la empresa, obtenidos con una
metodología apropiada.

• Tecnología de seguridad
- Elementos y recursos de hardware o software que ayudan a controlar el riesgo
informático

65
3.METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA
INFORMATICA
3.1. INTRODUCCION

• Las herramientas de control


- Elementos de software que definen uno o varios procedimientos de control para
cumplir una normativa y objetivo de control

Todos estos factores indicados están relacionados entre si, cuando se


evalúa el nivel de seguridad se evalúan todos estos factores y se
plantea un plan de seguridad nuevo que perfecciona los factores.

• Plan de seguridad
- Estrategia planificada de acciones y productos que lleven a un sistema de
información y sus centros de procesos desde una situación inicial a una situación
final mejorada.

65
3.METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA
INFORMATICA
3.2. Metodologías de evaluación de sistemas

• Se deben evaluar todas las posibles metodologías


- Se debe buscar la que mas se ajuste a los objetivos.

Existen dos metodologías en la evaluación de sistemas:

 Análisis de riesgos
 Auditoria Informática

Pero antes de analizar debemos evaluar algunos conceptos o


definiciones relevantes.

77
3.METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA
INFORMATICA
3.2. Metodologías de evaluación de sistemas

• Amenaza
- Alguna posible fuente de peligro o catástrofe

• Vulnerabilidad
- Situación creada, por la falta de uno o varios controles.

• Riesgo
- La probabilidad de que una amenaza llegue a afectarnos producto de una
vulnerabilidad.

• Exposición o Impacto
- La evaluación del efecto del riesgo.

77
3.METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA
INFORMATICA
3.3. Metodologías de auditoria informática

• Auditorias de Controles Generales


- Auditorias generadas por auditores profesionales homologadas con estándares
internacionales.

- El objetivo es entregar una opinión sobre la fiabilidad de los datos del computador
para la auditoria financiera.

- El resultado es un informe donde se destacan las vulnerabilidades encontradas.

• Metodológicas
- Las realizadas por auditores interno

Estas metodologías están muy desprestigiadas, no por que sean malas, sino porque
dependen de la experiencia del auditor.

77
3.METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA
INFORMATICA
3.3. Metodologías de auditoria informática

Muchos profesionales sin experiencia utilizan estas metodologías.

Las anomalías de estas metodologías nacen producto de los profesionales sin


experiencia que asumen la función de auditoria y buscan una formula fácil para
comenzar y finalizar su trabajo.

El auditor informático necesita de una larga experiencia tutelada y una gran formación
tanto en auditoria como en informática.

Esta formación debe ser adquirida mediante el estudio y práctica tutelada.

Por lo tanto la metodología del auditor interno debe ser diseñada y desarrollada por el
propio auditor, y esta será la significación de su grado de experiencia y habilidad.

77
3.METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA
INFORMATICA
3.4. El plan auditor informático

Es el esquema metodológico mas importante para el auditor informático.

Es un documento en donde se describen todo lo relacionado a esta función y el trabajo


que se realiza en una organización o entidad y debe estar en sintonía con el plan auditor
del resto de los auditores de la organización o entidad.

Partes de un plan auditor informático.

Funciones

- Ubicación de la figura en el organigrama de la organización


- Debe existir una clara segregación (separación) de las funciones con la Informática y
de control interno informático y esto debe ser auditado.
- Se deben definir y describir las funciones, la organización interna del departamento,
los recursos y todo con el mayor detalle y precisión posible.

77
3.METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA
INFORMATICA
3.4. El plan auditor informático

Procedimientos

- Identificar todos los procedimientos de las distintas tareas de la auditoria.


- Procedimientos de apertura
- Procedimientos de entrega y discusión de debilidades
- Procedimientos de entrega de informe preliminar
- Procedimientos de cierre de auditoria
- Redacción del informe final

Tipos de auditoria que realiza

- Definición del tipo de auditoria.


- Descripción de la metodología y cuestionarios a aplicar.
- Definición de tipo de auditoria según su alcance
- Full o completa de un área
- Limitada a un aspecto (Ej: una aplicación, el software de base, etc)
- CAR (corrective Action Review), comprobación de acciones correctivas de
auditorias anteriores.

77
3.METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA
INFORMATICA
3.4. El plan auditor informático
Sistema de evaluación

- Definición del sistema de evaluación y los aspectos que evalúa.

Nivel de exposición

- Se debe definir el nivel de exposición de cada tema para definir la frecuencia o


repetición de la misma auditoria.
- El nivel de exposición significa la suma de factores como impacto, peso del área,
situación de control en el área.
- Incluso se puede rebajar el nivel de un área auditada por su buen resultado, por lo
tanto no amerita una revisión tan continua.

Lista de distribución de informes

Seguimiento de las acciones correctas

77
3.METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA
INFORMATICA
3.4. El plan auditor informático
Plan quinquenal

- Todas las áreas a auditar deben corresponderse con cuestionarios metodológicos y


deben repetirse en cuatro o cinco años de trabajo.

Plan de trabajo anual

- Estimar tiempos de forma racional y componer un calendario que una vez terminado
nos dé un resultado de horas de trabajo previstas y recursos necesarios o requeridos.

77
3.METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA
INFORMATICA
3.5. Control interno informático, sus métodos y procedimientos. Las
herramientas de control

3.5.1. La función de control

En la actualidad sabemos que es común ver la figura de control interno al lado de la del
auditor informático.

La función de control interno informático independiente, debe ser independiente del


departamento controlado, ya que por segregación de funciones la informática no debería
controlarse a si misma.

El área informática
La auditoria
monta los procesos El control interno
informática evalúa
informáticos monta los controles
el grado de control
seguros

77
3.METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA
INFORMATICA
3.5. Control interno informático, sus métodos y procedimientos. Las
herramientas de control

La auditoria informática

- Tiene la función de vigilancia y evaluación mediante dictámenes


- Opera según un plan auditor…….(-)

Control interno informático

- Tiene funciones propias


- Funciones de control dual con otros departamentos
- Función normativa y del cumplimiento del marco jurídico.

Funciones de control interno mas comunes

- Definición de propietarios y perfiles (según clasificación de la información)


- Administración delegada en control dual (dos personas participan)
- Responsable del desarrollo y actualización del plan de contingencias, manuales de
procedimientos y plan de seguridad.
- Promover el plan de seguridad informática
- Dictar normas de seguridad informática
- Definir procedimientos de control…(-)
96
3.METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA
INFORMATICA
3.5.2. Metodologías de clasificación de información y de obtención de
los procedimientos de control

Clasificación de la información

Si se identifican distintos niveles de contramedidas para distintas entidades de


información con distinto nivel de criticidad, se estará optimizando la eficiencia de las
contramedidas y reduciendo los costos de las mismas.

Inicialmente se hablaba de clasificación de la información a los típicos documentos en


papel.

Con la tecnología en concepto cambio e incluso se ha pedido el control en entornos


sensibles.

Por lo tanto, hoy hablamos de “Entidad de Información” como objetivo a proteger en el


entorno informático en donde la clasificación de la información ayudara a proteger
especializando las contramedidas según el nivel de confidencialidad o importancia que
tengan.

96
3.METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA
INFORMATICA
3.5.2. Metodologías de clasificación de información y de obtención de
los procedimientos de control

Algunos ejemplos de “Entidad de Información” son : pantalla, listado, archivo, sueldos,


etc.

Factores Jerarquías

Requerimiento legislativo Vital Altamente confidencial

Sensibilidad a la divulgación Confidencial


Crítica

Sensibilidad a la modificación Restringida


Valuada

Sensibilidad a la destrucción No sensible


No sensible

96
3.METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA
INFORMATICA
3.5.2. Metodologías de clasificación de información y de obtención de
los procedimientos de control

PRIMA

Estratégica

Restringida

De uso interno

De uso común

96
3.METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA
INFORMATICA
3.5.2. Metodologías de clasificación de información y de obtención de
los procedimientos de control
Los pasos de la metodología son los siguientes:

I. Identificación de la información
II. Inventario de entidades de información residentes y operativas
III. Identificación de propietarios
IV. Definición de jerarquías de información
V. Definición de la matriz de clasificación
VI. Confección de la matriz de clasificación
VII. Realización del plan de acciones
VIII. Implementación y mantenimiento

96
3.METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA
INFORMATICA
3.5.2. Metodologías de clasificación de información y de obtención de
los procedimientos de control
Obtención de los procedimientos de control

Es frecuente encontrar manuales de procedimientos en todas las áreas de la


organización, estos son necesarios para que los auditores realicen sus revisiones
operativas, evaluando si los procedimientos son correctos, están aprobados y lo mas
importante, se cumplen.

Metodología :

Fase I : Definición de objetivos de control


- Tarea 1:Analisis de la empresa
- Tarea 2: Recopilación de estándares
- Tarea 3: Definición de los objetivos de control

Fase II : Definición de controles


- Tarea 1: Definición de controles
- Tarea 2: Definición de necesidades tecnológicas
- Tarea 3: Definición de los procedimientos de control
- Tarea 4: Definición de necesidades de RRHH
96
3.METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA
INFORMATICA
3.5.2. Metodologías de clasificación de información y de obtención de
los procedimientos de control

Fase III : Implantación de controles


Es importante que una vez realizada le implementación de controles se debe
documentar los procedimientos nuevos y revisar todos aquellos que fueron modificados .

96
3.METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA
INFORMATICA
3.5.3. Las herramientas de control
Son elementos de software que por sus características funcionales permiten ejecutar y
estructurar un control de una forma mas actual y automatizada.

No olvidar que la herramienta de software en si misma no es nada.

Herramientas de control (software) mas comunes:

- Seguridad lógica del sistema


- Seguridad lógica complementaria al sistema (desarrollo a medida)
- Seguridad lógica para entornos distribuidos
- Control de acceso físico
- Control de copias
- Gestión de soportes magnéticos
- Gestión y control de impresión
- Control de proyectos
- Control de versiones
- Control y gestión de incidencias
- Control de cambios

103
3.METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA
INFORMATICA
3.5.3. Las herramientas de control
Objetivos de control de acceso lógico
- Segregación de funciones entre los usuarios del sistema
- Integridad de los “log” del cada sistema
- Gestión centralizada de la seguridad
- Contraseñas o password
- Separación de entornos
- Mecanismos de auto-logout

Muchos de estos objetivos se pueden obtener desde estándares como ISO (International
Organization for Standardization) , ITSEC (Information Technology Security Evaluation Criteria)

Metodología
Análisis de plataformas
Catalogo de requerimientos previos de implantación
Análisis de aplicaciones
Inventario de funcionalidades y propietarios
Administración de la seguridad
Facilidad de uso y reportes
Seguridades
Adquisición, Instalación e implementación
Formación
103
Manuales de procedimientos y controlhttp://youtu.be/eyjtk9RQX1w.
3.METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA
INFORMATICA
3.5.7. Ejemplo de metodología de auditoria de una aplicación

103
4. EL INFORME DE AUDITORIA

4.1. Introducción
El informe de auditoria es al mismo tiempo el objetivo de la auditoria informática.

4.2. Normas

4.3. Evidencia
La certeza absoluta no siempre existe, según el punto de vista de los auditores; los usuarios piensan
lo contrario.

La Evidencia es la base razonable de la opinión del auditor informático, esto es, el informe de
auditoria informática.

Evidencia relevante

Evidencia fiable

Evidencia suficiente

Evidencia adecuada

124
4. EL INFORME DE AUDITORIA
La opinión deberá estar basada en evidencias justificativas, es decir, desprovistas de prejuicios y si es
preciso con evidencia adicional.

4.4. Las irregularidades


Las irregularidades, es decir, los fraudes y errores son los elementos mas preocupantes..

La empresas u organismos son tienen la responsabilidad primaria en la detección de errores,


irregularidades y fraudes; la responsabilidad del auditor se centra en planificar, llevar a cabo y evaluar
su trabajo para obtener una expectativa razonable de su detección.

Se debe aclarar al máximo si el informe de auditoria es propiamente de auditoria y no de consultoría


o asesoría informática, o de otra materia afín próxima.

124
4. EL INFORME DE AUDITORIA
4.5. La documentación
Los papeles de trabajo del auditor se conocen como : “la totalidad de los documentos preparados o
recibidos por el auditor de forma que el total de ellos constituyen la información utilizada y pruebas
utilizadas en la ejecución de su trabajo, de tal forma que justifican su opinión.

El informe de auditoria debe estar basado en la documentación o papeles de trabajo

Se debe incluir:

- El contrato cliente / auditor


- Las declaraciones de la dirección
- Los contratos o equivalentes que afectan al sistema de información.
- Conocimiento de la actividad del cliente.

124
4. EL INFORME DE AUDITORIA
4.6. El Informe
Al redactar el informe de auditoria informática, este debe ser formal, e incluso solemne el algunas
oportunidades, detallando objetivos, periodo de cobertura, naturaleza, extensión del trabajo realizado,
resultados y conclusiones.

No existe un formato especifico, pero si esquemas aceptados con requisitos mínimos aconsejados
respecto de redacción, estructura y contenido.

En relación a la redacción el informa debe ser:

- Claro
- Adecuado
- Suficiente
- Comprensible
- Utilizar correctamente el lenguaje informático es imprescindible.

124
4. EL INFORME DE AUDITORIA
4.6. El Informe
Temas fundamentales del informe:

1. Identificación del informe


Titulo destacado

2. Identificación del cliente

3. Identificación de la entidad auditada

4. Objeto de la auditoria informática

5. Normativa aplicada y excepciones

6. Alcance de la auditoria

7. Conclusiones (resumen concreto de opinión)


Tipos de opiniones:
 Favorable o sin salvedades
 Con salvedades
 Desfavorable o adversa
 Denegada
124
4. EL INFORME DE AUDITORIA
4.6. El Informe
Favorable o sin salvedades

Se debe manifestar de forma clara y precisa, y es el resultado de un trabajo completo sin


restricciones.

Opinión con salvedades

Se plantean las opiniones favorables indicando las salvedades cuando estas son
significativas. Se deben describir claramente la naturaleza y las razones.
Estas opiniones se entregan dependiendo del contexto:

 Limitación al alcance del trabajo realizado (restricciones por parte del auditado)
 Incertidumbres cuyo resultado no permite una previsión razonable
 Irregularidades significativas
 Incumplimientos de normas legales o profesionales..

124
4. EL INFORME DE AUDITORIA
4.6. El Informe
Opinión desfavorable

 Identificación de irregularidades
 Incumplimientos de normas legales o profesionales, que afecten los objetivos de la auditoria

Opinión denegada

 Limitación al alcance de la auditoria


 Incertidumbre que impidan al auditor armar una opinión.
 Irregularidades
 Incumplimientos de normas legales o profesionales..

124
4. EL INFORME DE AUDITORIA
4.6. El Informe
8. Resultados
Se debe tener encuentra los siguientes aspectos:
 El secreto de la empresa
 El secreto profesional
 Aspectos relevantes de la auditoria

9. Informes previos
El informe de auditoria es GLOBAL por lo tanto es usual generar informes de avances los
cuales son mas específicos dado algún requerimiento de información.

10. Fecha del informe


Es importante estipular fechas de inicio y termino del trabajo e incluso algunas otras fechas
o hitos relevantes.

11. Identificación y firma del auditor


Es un aspecto formal y esencial.

12. Distribución del informe


Debe ser consistente con el contrato de auditoria, el acceso al informe de auditoria es de
carácter privado y de acceso a personal autorizado definido previamente.

124
5. ORGANIZACIÓN DEL DEPARTAMENTO DE AUDITORIA DE
INFORMATICA O SISTEMAS DE NFORMACION
La incorporación del concepto de departamento de auditoria de informática, nace en 1950
aproximadamente junto con el nacimiento de los primeros sistemas de información.

Consideraciones Importantes:

Todos los auditores deben tener conocimientos informáticos.


Cada vez se necesitan conocimientos mas específicos.
El auditor de informática no debe ser parte del área de informática

Hoy, la auditoria informática debe cubrir todas las aéreas de la informática.

124
5. ORGANIZACIÓN DEL DEPARTAMENTO DE AUDITORIA DE
INFORMATICA O SISTEMAS DE NFORMACION

5.3. Función de auditoria informática


Sabemos, que la auditoria, revisión diagnostico y control de los sistemas de información y de los
sistemas informáticos que soportan estos, deben ser realizados por profesionales formados en
Auditoria e Informática.

Todo departamento debe tener un líder y a este le llamaremos Contralor General o Auditor Informático
General

No existe una profesión especifica para esto, por ello es que Auditores financieros o profesionales de
la informática pueden tomar estas responsabilidades.

124
5. ORGANIZACIÓN DEL DEPARTAMENTO DE AUDITORIA DE
INFORMATICA O SISTEMAS DE NFORMACION

5.3.2. Perfil profesional necesario


Alto grado de calificación técnica en auditoria financiera e informática general

Desarrollo informático: Gestión de proyectos


Gestión del departamento de sistemas
Análisis de riesgos en entornos informáticos
Sistemas operativos
Telecomunicaciones
Bases de datos
Redes
Seguridad física
Operaciones y explotación
E-bussines e-commerce
Etc.

Especialización en el aspecto financiero de la organización.

Conocimiento y practicas en calidad total.


5. ORGANIZACIÓN DEL DEPARTAMENTO DE AUDITORIA DE
INFORMATICA O SISTEMAS DE NFORMACION

5.3.3. Funciones que debe desarrollar el departamento


No es un tema simple,. Pero básicamente debemos responder lo siguiente:

¿Cuál es el objetivo de la auditoria informática?


¿Qué se debe analizar, revisar o diagnosticar?

Se debe velar por cumplir los objetivos de revisión que demande la organización

Verificación del control interno

Análisis de los sistemas desde un punto de vista de seguridad y efectividad de la gestión

]Análisis de la integridad, fiabilidad y certeza de la información


5. ORGANIZACIÓN DEL DEPARTAMENTO DE AUDITORIA DE
INFORMATICA O SISTEMAS DE NFORMACION

5.3.3. Funciones que debe desarrollar el departamento


No es un tema simple,. Pero básicamente debemos responder lo siguiente:

¿Cuál es el objetivo de la auditoria informática?


¿Qué se debe analizar, revisar o diagnosticar?

Se debe velar por cumplir los objetivos de revisión que demande la organización

Verificación del control interno

Análisis de los sistemas desde un punto de vista de seguridad y efectividad de la gestión

]Análisis de la integridad, fiabilidad y certeza de la información

El auditor tiene la obligación de convertirse también en consultor y en ayuda para el auditado,


entregando ideas de cómo establecer procedimientos de seguridad, control interno, efectividad,
eficacia, eficiencia y medición del riesgo empresarial.
5. ORGANIZACIÓN DEL DEPARTAMENTO DE AUDITORIA DE
INFORMATICA O SISTEMAS DE NFORMACION

5.3.3. Funciones que debe desarrollar el departamento


No es un tema simple,. Pero básicamente debemos responder lo siguiente:

¿Cuál es el objetivo de la auditoria informática?


¿Qué se debe analizar, revisar o diagnosticar?

Se debe velar por cumplir los objetivos de revisión que demande la organización

Verificación del control interno

Análisis de los sistemas desde un punto de vista de seguridad y efectividad de la gestión

]Análisis de la integridad, fiabilidad y certeza de la información

El auditor tiene la obligación de convertirse también en consultor y en ayuda para el auditado,


entregando ideas de cómo establecer procedimientos de seguridad, control interno, efectividad,
eficacia, eficiencia y medición del riesgo empresarial.
5. ORGANIZACIÓN DEL DEPARTAMENTO DE AUDITORIA DE
INFORMATICA O SISTEMAS DE NFORMACION
5.3.3. Funciones que debe desarrollar el departamento
Eficacia se refiere a que se cumple determinado objetivo planeado con anterioridad

Eficiencia. Junto con cumplir el objetivo deseado, ello se logra utilizando de manera "óptima" los
recursos de que disponemos.

Efectividad.
Se entiende por efectividad el logro de los resultados propuestos en forma oportuna. Es el
óptimo empleo y uso racional de los recursos disponibles (materiales, dinero, personas), en la
consecución de los resultados esperados. Es la conjunción de eficacia y eficiencia.
Se le define como la óptima relación existente entre los productos, servicios o resultados alcanzados y
el uso que se hace de los recursos. . Es la conjunción de eficacia y eficiencia.

Eficacia + Eficiencia = Efectividad


De acuerdo con lo anterior, una de las necesidades primordiales, es buscar que las entidades sean
más eficientes, eficaces y efectivas en todos los servicios que entregan a sus clientes, mediante el
cumplimiento de las metas y objetivos, apoyándose en el autocontrol y compromiso de todos y cada
uno de los funcionarios en la búsqueda de la misión institucional.
5. ORGANIZACIÓN DEL DEPARTAMENTO DE AUDITORIA DE
INFORMATICA O SISTEMAS DE NFORMACION
5.3.3. Funciones que debe desarrollar el departamento

eficacia eficiencia
extensión en la que se relación entre el resultado
realizan las actividades alcanzado y los recursos
planificadas y se alcanzan utilizados.
los resultados planificados.
ISO 9000:2000
ISO 9000:2000
5. ORGANIZACIÓN DEL DEPARTAMENTO DE AUDITORIA DE
INFORMATICA O SISTEMAS DE NFORMACION
5.4. Organización del departamento
El rol pasa a ser el de auditor, consultor y asesor en:

Seguridad
Control Interno Operativo
Eficiencia , Eficacia y efectividad
Tecnología Informática
Continuidad Operacional
Gestión de riesgos

El equipo debe estar conformado por una mezcla perfecta de auditoria, organización e informática

Jefe del departamento

Desarrolla el plan de operación, descripción de cargos, programas de formación, etc.

Gerente o supervisor de auditoria informática:


Trabaja directamente con el jefe del departamento en las tareas operativas diarias.

Auditores informáticos:

Son los responsables de la ejecución del trabajo