AUDITORIA DE SISTEMAS

PARA EL NUEVO MILENIO

AUDITORIA DE SISTEMAS Y SOLUCIONES TECNOLOGICAS, S. A.

 CAPITULO I
INTRODUCCION A LA
AUDITORIA DE SISTEMAS
 Auditoria de Sistemas
Conjunto de procedimientos y técnicas para evaluar
y controlar la integridad, confiabilidad y
seguridad de la Información procesada por los
Sistemas Informáticos, con el fin de proteger sus
activos y recursos, verificando que sus actividades
se desarrollen eficientemente y eficazmente de
acuerdo con la normativa informática existente en
cada empresa.
 I-1
INTRODUCCION A LA AUDITORIA DE SISTEMAS

¿QUE ES AUDITORIA DE SISTEMAS?

 ES UN CONCEPTO RECIENTE EN NUESTRO

MEDIO
 ES UNA FUNCION ASESORA
 CONJUGA DOS DICIPLINAS: AUDITORIA Y
TECNOLOGIA DE INFORMACION
 I-1
OBJETIVOS DE LA AUDITORIA DE SISTEMAS EN
EL NUEVO MILENIO?

 BRINDAR A LA GERENCIA UNA SEGURIDAD

RAZONABLE DE QUE LOS OBJETIVOS DE
CONTROL INFORMATICOS SE HAN CUMPLIDO.

 IDENTIFICAR LAS FORTALEZAS Y DEBILIDADES

DE CONTROL.

 ADMINISTRAR LOS RIESGOS DE TECNOLOGÍA.

 ASESORAR A LA GERENCIA EN LAS ACCIONES

CORRECTIVAS.
 I-2
FUNCION DE LA AUDITORIA DE SISTEMAS EN EL
NUEVO MILENIO

LA ORIENTACIÓN MODERNA ES:

1. ASESORAR Y APOYAR A LOS DIFERENTES

NIVELES DE LA ORGANIZACIÓN EN TODO LO
RELACIONADO CON LA TECNOLOGÍA DE
INFORMACIÓN, MEDIANTE ANÁLISIS,
EVALUACIONES Y RECOMENDACIONES.

2. ASESORAR Y COOPERAR CON LOS AUDITORES

INTERNOS EN EL CUMPLIMIENTO DE SU
TRABAJO.
 I-3
NECESIDAD DE LA AUDITORIA DE SISTEMAS EN
EL NUEVO MILENIO
INCREMENTO EN LOS RIESGOS TECNOLOGICOS POR:
 USO DE NUEVAS HERRAMIENTAS DE DESARROLLO
MANEJADAS POR USUARIOS

 ARQUITECTURAS CLIENTE-SERVIDOR

 SERVICIOS EDI (INTERCAMBIO ELECTRÓNICO DE DATOS)

ENTRE ORGANIZACIONES Y SIN LÍMITES DE FRONTERAS

 INTERNET

 DEPENDENCIA SOBRE SISTEMAS MEDULARES DEL

NEGOCIO
 I-3
BONDADES DE LA AUDITORIA DE SISTEMAS EN
EL NUEVO MILENIO

 PERMITE EVALUAR Y DETECTAR LOS RIESGOS

TECNOLÓGICOS.

 ESTABLECER LAS MEDIDAS ADECUADAS PARA LA

MINIMIZACIÓN DE LOS RIESGOS.

 SUPERVISAR EN FORMA INDEPENDIENTE, EL

CUMPLIMIENTO DE LOS CONTROLES Y POLÍTICAS
DEFINIDAS.
 I-4
¿QUE HACER COMO AUDITORES DE SISTEMAS?

 PLANIFICAR LA AUDITORÍA DE SISTEMAS

 UNA TÉCNICA: PLANIFICACIÓN BASADA EN RIESGOS

 DESARROLLAR EL PROGRAMA DE TRABAJO PARA LA

AUDITORÍA DE SISTEMAS

 DESARROLLAR LA EVALUACIÓN

 PREPARAR UN INFORME Y RECOMENDACIONES

 I-5 OTROS ENFOQUES PARA LA PLANIFICACION

 POR SISTEMAS DE INFORMACION CRITICOS

 POR COMPONENTES DEL NEGOCIO

 POR COMPONENTES TECNOLOGICOS

 POR CONTROLES GENERALES

 POR OPINIONES EXTERNADAS EN EVALUACIONES

PREVIAS
 I-6
POSIBLES COMPONENTES A AUDITAR

1. ESTRUCTURA 6. CONTROLES DE SISTEMAS

ORGANIZATIVA DE INFOR- EN FUNCIONAMIENTO
MÁTICA 7. OPERACIONES EN LOS
2. PROCEDIMIENTOS DE CENTROS DE CÓMPUTO
DESARROLLO Y ADQUISI- 8. SEGURIDAD FISICA Y
CIÓN DE SISTEMAS LÓGICA
3. PROCEDIMIENTOS DE 9. MICROCOMPUTADORAS
MANTENIMIENTO (HW Y 10. PLAN DE CONTINGENCIA
SW)
4. REDES LAN
5. COMUNICACIÓN DE DATOS
 LAS EVALUACIONES EN AUDITORIA DE
SISTEMAS, DEBEN EFECTUARSE MEDIANTE LA
PRACTICA DE UNA METODOLOGIA FORMAL Y
CONSISTENTE.

 LAS OPINIONES DEBEN SER SUSTENTADAS Y

REGULADAS POR NORMAS PROFESIONALES.
 CAPITULO II
PLANIFICACION DE LA
AUDITORIA DE SISTEMAS

BASADA EN RIESGOS
 UN ENFOQUE MODERNO
 II-1 PLANIFICACION BASADA EN RIESGOS

 SELECCIONAR ÁREAS DE MAYOR RIESGO

 ELABORAR PLAN PARA AUDITAR LAS ÁREAS EN FUNCIÓN

DEL NIVEL DE RIESGO

 DESIGNAR PERSONAL PARA LA EVALUACIÓN

 LIMITAR EL TRABAJO PARA RIESGOS CRÍTICOS

 II-2 DONDE BUSCAR EL RIESGO TECNOLOGICO

LOS RIESGOS DE TECNOLOGÍA DE INFORMACIÓN SE PUEDEN

UBICAR EN TRES GRANDES ÁREAS:

 ADMINISTRACIÓN DE PROYECTOS DE TECNOLOGÍA

 INFRAESTRUCTURA DE TECNOLOGÍA

 SISTEMAS DE INFORMACIÓN
 II-3
RIESGOS DE ADMINISTRACIÓN DE
PROYECTOS DE TECNOLOGÍA
DENTRO DE ESTE CONTEXTO SE
MENCIONAN LOS SIGUIENTES RIESGOS:

 TECNOLÓGICO

 DE CALENDARIZACIÓN

 FINANCIERO

 EXTERNO

 IMPLEMENTACIÓN Y PUESTA EN
MARCHA
 II-4
RIESGOS DE INFRAESTRUCTURA
TECNOLOGICA
LOS RIESGOS DE INFRA-
ESTRUCTURA PUEDEN AFECTAR
LOS SERVICIOS, DE LA SIGUIENTE
MANERA:

 AUSENCIA DE SERVICIOS DE
TECNOLOGIA

 INOPERABILIDAD DE
SISTEMAS

 ACCESO NO AUTORIZADO

 INADECUADA ADMINISTRACIÓN
 II-5
RIESGOS DE LOS SISTEMAS DE INFORMACION

LOS RIESGOS PARA LOS SISTEMAS

SON:

 INEXACTITUD DE PROCESAMIENTO

 PROCESAMIENTO INCOMPLETO

 NO DISPONIBILIDAD

 INSEGURIDAD DE LA APLICACIÓN
 II-6
QUE HACER CON LOS RIESGOS?

ADMINISTRARLOS:

 IDENTIFICARLOS: DESCRIBIRLOS CON PRECISION

 ANALIZARLOS: PONDERARLOS Y ESTABLECER SU

NIVEL DE IMPACTO. PARA SABER DONDE ESTAN
LAS DEBILIDADES MAS FUERTES

 DEFINIR Y ESTABLECER CONTROLES

MITIGANTES
 II-6
QUE HACER CON LOS RIESGOS?

 CADA ORGANIZACIÓN DEBE ESTABLECER SUS

PROPIOS CRITERIOS PARA CUANTIFICAR LOS RIESGOS
DE ACUERDO A SUS CONDICIONES Y NECESIDADES.

 LOS VALORES DE LOS RIESGOS Y LOS PESOS

ASIGNADOS PUEDEN ESTABLECERSE BASÁNDOSE EN
APRECIACIONES Y EN LA EXPERIENCIA.

 ES IMPORTANTE ASIGNAR LOS VALORES MÁS ALTOS A

LOS RIESGOS MÁS SIGNIFICATIVOS Y DISMINUYENDO
EL VALOR EN FUNCIÓN DE LA PÉRDIDA DE
IMPORTANCIA DEL RIESGO.
 II-7
COMO HACERLO ?

 OBTENGA INFORMACIÓN DE: infraestructura

(instalaciones), sistemas de información y de la
administración de proyectos (planificados o en
desarrollo). LUEGO IDENTIFIQUE LOS RIESGOS.

 DESARROLLE EL ANÁLISIS DE LOS RIESGOS

 PONDERE LOS RIESGOS

 EVALÚE LA EFECTIVIDAD DE LOS CONTROLES

EXISTENTES

 DETALLE LOS NUEVOS CONTROLES QUE SE

REQUIERAN
 II-7
EJEMPLO DE PONDERACION
SISTEMAS DE INFORMACION IM PORTANCIA PESO TOTAL DEL
4 RIESGO RIESGO RIESGO
INEXACTITUD DE PROCESAM IENTO 1
M ALA EDICION Y VALIDACION 4 1 4
M ALA TRANSM ISION DE DATOS 4 8 32
REPORTES INEXACTOS 4 4 16
CARENCIA DE PISTAS DE AUDITORIA 4 2 8

ETC
PROCESAM IENTO INCOM PLETO 2
INADECUADOS CONT. SOBRE REGI. RECHAZADOS 8 2 16
INADECUADOS CONT. SOBRE TRANSAC. EN SUSPENSO 8 4 32
INADECUADOS CONTR. SOBRE SESIONES ACTIVAS 8 8 64
INADECUADOS CONTROLES SOBRE PROCESOS EN LOTE 8 1 8

NO DISPONIBILIDAD 3
INADECUADO ESTUDIO REQUERIM IENTOS USUARIO 12 16 192
FALTA EVALUACION DE AM ENAZAS 12 4 48
AUSENCIA DE PROCEDIM IENTOS 12 8 96
AUSENCIA DE DOCUM ENTOS DE SOPORTE 12 1 12
FALTA DETECCION DE FALLAS 12 2 24
ETC
INSEGURIDAD DE LA APLICACIÓN 4
INADECUADA SEGREGACION DE FUNCIONES 16 4 64
AUSENCIA /INADECUADAS PISTAS DE AUDITORIA 16 8 128
M ALA DISTRIBUCION INFORM ACION 16 1 16
CARENCIA CONTROLES SOBRE DOCUM ENTOS FUENTE 16 2 32

ETC
II-7
EJEMPLO DE MATRIZ DE RIESGOS Y CONTROLES

RIESGO 1 RIESGO 2 RIESGO 3 RIESGO N

CONTROL1 X

CONTROL 2 X X

CONTROL 3 X X X

CONTROL 4 X

CONTROL N X
 CAPITULO III
TECNICAS DE AUDITORIA
ASISTIDAS POR COMPUTADORA
(CAAT)

 IDEA, UN CASO PRACTICO

 III-1
TECNICAS DE AUDITORIA

EXISTEN DIVERSAS TECNICAS, ALGUNAS SON:

 DATOS DE PRUEBA
 TEST INTEGRADO (ITF)
 SIMULACIÓN PARALELA (APLICACIÓN
ESPECIAL DESARROLLADA)
 OPERACIÓN PARALELA (DUPLICADO DEL
SOFTWARE EN AMBIENTES DIFERENTES)
 SOFTWARE PARA EXTRACCIÓN Y ANALISIS
DE DATOS
III-2
EJEMPLO DE UNA HERRAMIENTA
INTERACTIVE DATA EXTRACTION AND ANALISYS
(IDEATM)
 III-2
EJEMPLO DE UNA HERRAMIENTA
INTERACTIVE DATA EXTRACTION AND ANALISYS
(IDEA)

IDEA ES UNA HERRAMIENTA DESARROLLADA POR EL

INSTITUTO CANADIENSE DE CONTADORES PUBLICOS DE
CANADÁ (CICA).
LE PERMITE AL USUARIO DESPLEGAR, EXTRAER Y
ANALIZAR INFORMACIÓN, VIRTUALMENTE DESDE
CUALQUIER TIPO DE SISTEMA DE INFORMACIÓN
COMPUTARIZADO.

 FACILITA EL TRABAJO DE AUDITORÍA

 REDUCE TIEMPOS SIGNIFICATIVAMENTE
PARA PRUEBAS SUSTANTIVAS
 III-4
INTERACTIVE DATA EXTRACTION AND ANALISYS
IDEA

EJEMPLOS DE PRUEBAS DE AUDITORÍA CON IDEA:

 REVISIÓN DE LA ANTIGÜEDAD DE CARTERA DE

CUENTAS POR COBRAR Y DE PROVEEDORES

 RECÁLCULO DE SALDOS E INTERESES BANCARIOS

 ANÁLISIS DE MOVIMIENTOS DE TODAS LAS CUENTAS

DE UN BANCO
 III-4
INTERACTIVE DATA EXTRACTION AND ANALISYS
IDEA

EJEMPLOS DE PRUEBAS (cont.)

 CÁLCULO DE INVENTARIO OBSOLETO

 ANÁLISIS DE CADUCIDAD DE MEDICAMENTOS
 VALORIZACIÓN DEL INVENTARIO
 MUCHAS OTRAS...
GRACIAS