AUDITORIA Y SEGURIDAD

de los
SISTEMAS DE INFORMACIÓN

Bolilla IV
 TEMARIO
 INTRODUCCIÓN
* Vulnerabilidad acarreada por los computadores
* Impacto de los computadores en auditoría
* Adecuación de las normas de auditoría a un entorno electrónico
* Concepto de auditoría en informática y su planificación
 CONTROL INTENO ELECTRÓNICO
* El control interno electrónico
* Enfoque metodológico para el relevamiento y evaluación de los SCIE
* Relevamiento y evaluación del SCIE
 EMPLEO DEL COMPUTADOR PARA LAS VERIFICACIONES O PRUEBAS DE
PROCEDIMIENTOS
* La confiabilidad del software
* Los errores del software. Causas
* La prueba del software
 AUDITORÍA DE LA INFORMACIÓN PROCESADA POR EL SISTEMA
* Obtención de elementos de prueba válidos y suficientes
* Programas especiales de auditoría
* Paquetes de auditoría
 SEGURIDAD DE LOS SISTEMAS DE COMPUTACIÓN
* El problema general de la seguridad en computación
* Funciones o finalidades de la seguridad
* Análisis de riesgos
* Seguridad de riesgos
* Seguridad lógica y confidencial
* Seguridad en el personal
* Seguridad física
 EL DELITO INFORMÁTICO
* Los nuevos activos informáticos
* Tipificación del delito informático
* El computador como instrumento del delito
* Perfil de un delincuente informático
* Conclusiones
 LA PERICIA TÉCNICA DEL AUDITOR. PAPELES DE TRABAJO
* La pericia técnica del auditor
* La formación de un auditor de computación
* Conclusiones finales
ADVENIMIENTO DEL PROCESAMIENTO ELECTRÓNICO

Manual

Mecánico

Electromecánico

Electrónico
 Sistema de Información

Sistema de procesamiento de información

basado en el computador que apoya las
funciones de operación, administración y
toma de decisiones de una organización .
IMPACTO DE LOS COMPUTADORES

 Cambio en las pistas de Auditoría

Necesidad de adecuación de las normas
 Pericia técnica del auditor
 El delito informático
 La privacidad
ACTIVIDADES OPERACIONALES VS. DÍAS SIN COMPUTADOR
 ESQUEMA GENERAL DE UNA
COMPUTADORA ELECTRÓNICA DIGITAL
 AUDITORÍA EN INFORMÁTICA
 Es la revisión y evaluación de los controles, sistemas, procedimientos de
Informática, de los equipos de cómputos, su utilización, eficiencia y seguridad,
de la organización que participan en el procesamiento de la información, a fin
de que por medio del señalamiento de cursos alternativos se logre una
utilización más eficiente y segura de la información que servirá para una
adecuada toma de decisiones.
Se deberán evaluar los sistemas de información ene general desde sus
entradas, procedimientos, controles, archivos, seguridad y obtención de
información.
Su campo de acción será:
* La evaluación administrativa del departamento de procesos
electrónicos.
* La evaluación de los sistemas y procedimientos, y de la eficiencia
que se tiene en el uso de la información.
* La evaluación del proceso de datos y de los equipos de cómputo.
* La seguridad.
 CONTROL INTERNO
El CONTROL consiste en la creación de relaciones adecuadas entre las diversas
funciones del negocio y los resultados finales de operación.
El CONTROL tiene por objeto evitar que se produzcan desviaciones de los planes
elaborados por la empresa, es decir que se impida que los subordinados de la misma,
sigan un camino no previsto en los planes de la dirección, es esencial de que obligue
a los subalternos a realizar las tareas como fueron diseñadas. La forma de lograrlos lo
que es mediante el CONTROL ADMINISTRATIVO INTERNO, utilizando como medio
para ejercer el control, los informes, manuales de procedimientos u otros instrumentos
de control comodatos estadísticos, balances de comprobación, conciliaciones
bancarias, inventarios, etc.
 No permitir desviaciones del plan de la dirección.
 Proteger activos de la empresa.
 Promocionar el buen desempeño de los subordinados.
 Obtención de información:
 Veraz
 Confiable
 Oportuna
 Eficiencia en la operación de la empresa
 CONTROL INTERNO
ELECTRÓNICO

Parte de la definición del Control

Interno de la Contabilidad
Tradicional, agregando el
relevamiento y evaluación del
control interno del computador y del
sistema de procesamiento
electrónico de la información.
 INFORMÁTICA

INFORMAción automáTICA
 Consecuencias de la Informatización Empresarial
1. Concentración de la información
2. Falta de registros visibles
3. Posibilidad de alterar los programas y/o la información sin dejar huellas o
rastros visibles.
4. Factibilidad de hacer desaparecer la información con extremada rapidez.
5. Los sistemas “En Línea – Tiempo Real” presentan a menudo el problema
de armonizar la eficiencia operativa con los aspectos de control.
6. Complejidad de la operatoria.
7. Dificultades de la seguridad física de los archivos, especialmente los
archivos maestros (o la Base de Datos)
8. Concentración de funciones.
9. Falta de un enfoque u óptica orientados especialmente hacia el control en
la etapa de diseño del sistema.
10. Necesidad de emplear personal altamente calificado por su formación y
conocimientos técnicos
 Bit de Paridad
Representación de la información Así se transmitiría:
Sistema Decimal 0-1-2-3-4-5-6-7-8-9 DIGITO DE CONTROL + INF. EN BINARIO
Sistema Binario 0-1 (Señal – No Señal) 1 0111
Equivalencias entre Sistemas Si en la recepción se detectaría
0000 = 0 1 0101
0001 = 1 El sistema debería solicitar
retransmisión ya que no corresponde
0010 = 2 el dígito de control.
0011 = 3 Este es un método básico que no
0100 = 4 detecta la transposición de valores
del tipo:
0101 = 5
1 1011
0110 = 6
0 0101
0111 = 7
con los mismos valores de
1000 = 8 transmisión.
1001 = 9 Existen métodos para controlar la
transposición en el bit de paridad
Si se transmite información, por
ejemplo el número 7, el binario
correspondiente sería 0111. A esta
expresión se le agrega un 0 si tiene
par cantidad de 1, 1 si tiene impar
cantidad de 1.
 Dígito de Control
Suma Simple y 2-1-2
Suma Simple
a)Comenzar con el número de cuenta: 851562
b)Sumar los dígitos: 8+5+1+5+6+2 = 27
c)Sustraer el resultado de la suma anterior del próximo
número superior múltiplo de 10. 30 - 27 = 3
d)La diferencia precedente es el dígito de control, 3 que
se añade como sufijo al número base.
El ejemplo anterior permite establecer rápidamente que
esta fórmula no detectaría una forma común de error
como es la transposición (Ej. 815562)
2–1–2
a) Comenzar con el número de cuenta: 851562
b) Multiplicar cada dígito alternadamente por 1 o por 2,
comenzando con 2 como multiplicador del dígito de las
unidades
8 5 1 5 6 2
x 1 2 1 2 1 2
8 10 1 10 6 4
c) Sumar los resultados de las multiplicaciones:
8 + 10 + 1 + 10 + 6 + 4 = 39
d) Sustraer el resultado anterior del próximo número
superior múltiplo de 10
40 – 39 = 1
e) Emplear dicha diferencia como dígito de control
Este método si controla la transposición de valores.
Así como el segundo método controla más la posibilidad
de detectar un error, existen otros con mayo grado de
seguridad.
Ciclo de vida
del Desarrollo
de los
Sistemas
 Esquema
General para
la Solución
Algorítmica de
un Problema
 PRINCIPIOS
PRINCIPIOS
FUNDAMENTALES
FUNDAMENTALES DEDE LA
LA
AUDITORÍA
AUDITORÍA DE
DE UNA
UNA
COMPUTADORA
COMPUTADORA

 Automatismo
 Determinismo
 Enfoque Metodológico para el Relevamiento y Evaluación
Pautas Básicas
- Controles internos del equipo
- Controles de procedimientos
- Controles programados
Entrevistas
- Entrevistas iniciales – Gerencia de Sistemas
- Planeación de temas a tratar
- Tipo: escrita / oral
- Duración
CONTROL INTERNO ELECTRÓNICO
- Control interno del equipo (bit par)
- Controles de firmware
- Procedimientos de revisión
- Controles de procedimientos
- Organigramas
- Análisis y Programación
- Analista de Software
- Biblioteca de archivos magnéticos
- Operación
- Control
- Controles Programados
- Validación de información de entrada, fechas, códigos existentes, fórmulas de
dígitos de control 1-2-1, 1-3-1, etc.
- Procesamiento
Macromodelo del Desarrollo del Software
Organigrama “ideal” de una Gerencia de Sistemas
 SOFTWARE
Confiabilidad y Error

Confiabilidad del Software: es la probabilidad que el mismo se comportará

dentro de un lapso determinado sin fallas, ponderada por el costo que
representará para el usuario cada falla producida.

Error del Software: un error de software se presenta cuando el mismo no

realiza algo que coincida con las expectativas razonables del usuario. Una
falla de software es una consecuencia de un error del software.
 Confiabilidad del Software
DISEÑO

A) ACCIONES PREVENTIVAS
1 – Minimización de la complejidad.
2 – Mayor precisión.
3 – Mejorar la transmisión de información.
4 – Detección y corrección de errores en cada etapa del diseño.

B) DETECCIÓN DE ERRORES
C) CORRECCIÓN DE ERRORES
D) TOLERANCIA DE ERRORES
 El Problema del Triángulo

Al programa ingresan tres números enteros que representan las

dimensiones de los lados de un triángulo. El programa examina la
información de entrada e imprime un mensaje indicando si se
trata de un triángulo escaleno, isósceles o equilátero.
Consigna:
-Desarrollar los datos de prueba a efectos de probar
adecuadamente el programa.
-Según su criterio, el programa, está libre de errores?
El Programa del Triángulo
Los Problemas del Software
 Definición 1: La prueba consiste en el
proceso de confirmar que un programa es
correcto. Consiste en la demostración que
La Prueba del no existen errores.
Software
Definición 2: Prueba es el proceso de
ejecución de un programa con la intención
de hallar errores.
 Datos de Prueba

Definición: El conjunto de datos de prueba consiste en un lote de

transacciones preparadas por el autidor, procesadas mediante el empleo de
los programas de aplicaciones de la entidad, con la finalidad de verificar el
funcionamiento efectivo de los controles programados previstos.
Planificación de la Prueba
- Establecer los pasos a seguir.
- Orientar y supervisar a los colaboradores encargados de la
ejecución del plan.
A) Observación
B) Reejecución del procesamiento
* Manual
* Lotes de prueba
* Instalaciones de prueba integrada o “Minicompañía”
* Técnicas de “pistas de transacciones”
* Simulación en paralelo
* Comparación de programas
 Datos de Prueba
TÉCNICAS
A) Diagrama
B) Tablas de Decisión
Ejemplo: Reserva de un pasaje de avión
El viajero se presenta en el mostrador de Aerolíneas Argentinas y solicita un pasaje
para viajar a la ciudad de Nueva York. Si requiere un pasaje de primera clase y hay
plazas disponibles para el vuelo deseado se le vende el pasaje de primera clase. En el
caso de no resultar posible lo anterior por hallarse reservados todos los pasajes de
primera clase, se le interroga si aceptaría un pasaje en clase turística, caso de
disponerse de tal plaza; obviamente, de contestar afirmativamente, se le vende el
pasaje de clase turística. Puede ocurrir que no acepte cambiar de clase, o que todos
los asientes de clase turística estén reservados, en cuyo caso se lo registra en lista de
espera de primera clase.
Si el viajero requiere un pasaje de clase turística y hay plaza disponible se le vende un
pasaje de esa clase; caso contrario se le interroga si está dispuesto a adquirir un
pasaje de primera clase; de no ser así, se lo ubica en lista de espera de la clase
turística.
Ejemplo de la Tabla de Decisión de la Venta del Pasaje de Avión
Esquema
EsquemaGeneral
Generalde
delalaaplicación
aplicacióndel
del“Conjunto
“Conjuntode
deDatos
Datosde
dePrueba”
Prueba”
 Datos
Datosde
dePrueba
Prueba
GUÍA
GUÍAPRÁCTICA
PRÁCTICANO
NOEXCLUYENTE
EXCLUYENTE

Verificación de caracteres numéricos, alfabéticos y especiales

Comprobación de validez (fechas no válidas, códigos
inexistentes)
Overflow
Límites
Verificación de totales
Incluir condiciones lógicas
 Esquema General de la
Prueba de un Programa

Información de Programa Información de

entrada (X, Y) salida (Z)
A Ser Probado
 AXIOMAS DE MYERS
 Un buen conjunto de datos de prueba es el que posee una gran probabilidad de detectar un error no
descubierto, no aquel que muestra que el programa se comporta correctamente.
 Uno de los problemas más difíciles con que se tropieza en una prueba es saber cuándo detenerse.
 Es imposible que usted pruebe su propio programa.
 La descripción de la información de salida o de los resultados esperados, es un elemento imprescindible de
todo conjunto de datos de prueba.
 Evite las pruebas no repetibles o reproducibles.
 Desarrolle datos de prueba que contengan información de entrada relativa a condiciones válidas o inválidas.
 Examine y revise cuidadosamente los resultados de cada prueba.
 Con el incremento del número de errores encontrados en un programa, aumenta igualmente la probabilidad
de la existencia de errores no descubiertos.
 Asigne la tarea de prueba a los programadores con mayor creatividad.
 Asegúrese que se hallan contemplado en el diseño y estructura del programa, las facilidades para una
prueba adecuada.
 El diseño del sistema debería contemplar y asegurar que cada módulo sea integrado con el sistema una sola
vez.
 No altere nunca el programa para que la prueba resulte más fácil.
 La prueba, como cualquier otra actividad, debe comenzar con el establecimiento de los objetivos pertinentes.
 AUDITORÍA DE LA INFORMACIÓN
PROCESADA POR EL SISTEMA

Empleo del computador para la obtención de

“evidencia” necesaria
- LISTADOS DISPONIBLES
- MEDIOS MAGNÉTICOS
- PANTALLAS DE TRABAJO
 PAQUETES DE AUDITORÍA
Generalized Audit Software (G.A.S.)

Definición:
Consiste en un programa o una serie de programas de
computación, desarrollados para llevar a cabo ciertas funciones
de procesamiento electrónico con finalidades de auditoría.
Dichas funciones incluyen, normalmente, la lectura de la
información contenida en medios magnéticos, selección de
datos, realización de cálculos, e impresión de listados de
acuerdo con las especificaciones del auditor.
 PAQUETES DE AUDITORÍA
Limitaciones de un G.A.S.

•Permiten una post – auditoría del sistema.

•No compatibilidad de Hardware – Software.
•No determinan la propensión del error de los sistemas.
•En el caso de estructuras complejas de datos, la extracción de
la información se complica.
•Etc.
 PAQUETES DE AUDITORÍA
Funciones Típicas de un G.A.S.

-Creación de un Archivo de Trabajo de auditoría.

-Actualización de un Archivo de Trabajo.
-Resumen de registro de trabajo.
-Clasificación del Archivo de Trabajo.
-Cálculo de un Archivo de Trabajo.
-Impresión de un Archivo de Trabajo.
-Grabación de un Archivo de Trabajo.
-Borrado de un Archivo de Trabajo.
 1 – Confirmación
Auditoría de la
información procesada 2 – Comparación
por el sistema
3 – Razonabilidad
Obtención de elementos de prueba
válidos y suficientes
Un Ejemplo clásico de empleo de la computadora por parte del Auditor para la obtención de la
evidencia comprobatoria válida y suficiente, mediante el desarrollo de un programa especial
 Características
Fundamentales de un
programa de Auditoría

 Sencillez
 Diseño de archivos realizado por el Centro de
Cómputos
 Análisis del contenido del archivo
 No es necesario utilizar el mismo lenguaje que el
programa auditado.
 SEGURIDAD
SEGURIDADDE DELOS
LOSSISTEMAS
SISTEMASDE
DE
INFORMACIÓN
INFORMACIÓN

•Desastres naturales
•Errores u omisiones humanos
•Actos intencionales
 FINALIDADES
FINALIDADESDE
DELA
LASEGURIDAD
SEGURIDAD

Evitar Disuadir Prevenir Detectar Recuperar

y Corregir
 Sistemas de Información
Seguridad Física

Riesgo de Incendio
* Ubicación física
* Disposición física
* Protección contra incendios
* Biblioteca
Interferencias de Señales de Radar
* En el procesamiento electrónico
* En los circuitos lógicos
Boletín Oficial Nº
27.825 (1º Sección)

PROPIEDAD INTELECTUAL.
DECRETO 165/94
Boletín Oficial Nº
27.825 (1º Sección)

PROPIEDAD INTELECTUAL.
DECRETO 165/94
 Delito Informático
Perfil del Delincuente Informático

• Finalidad: satisfacción de necesidades urgentes

• Sin antecedentes
• Más hombres que mujeres
• Edad: entre 18 a 30 años
• Factores coadyuvantes
• No son delincuentes comunes
• Conocimientos especializados
• Síndrome de Robin Hood
• Escrupulosos en cuanto a los damnificados
• Objeto de ataque: La Entidad
• Desafío a su inteligencia
 Propiedad
PropiedadIntelectual
IntelectualDecreto
Decreto165/94
165/94
SOFTWARE
SOFTWAREYYBASES
BASESDE
DEDATOS
DATOS

• Diseño del Software

• Global
• Detallado
• Programas
• Códigos Fuentes
• Códigos Objetos
• Documentación
• Bases de Datos
Papeles de Trabajo del Auditor
Relevamiento y evaluación del SCIE

1. Información extraída de los manuales del equipo sobre los controles de

Hardware y Software de Base
2. Organigrama
3. Descripciones narrativas, diagramas, etc. del flujo de la información
contable
4. Explicaciones de los diversos controles existentes en el sistema
5. Detalle y diseño de los archivos maestros más significativos
6. Documentación y análisis de las pruebas de procedimientos llevadas a
cabo
7. Modelos de formularios e impresos de computadora
8. Resúmenes de entrevistas mantenidas con el personal
9. Conclusiones acerca del grado de confiabilidad del SCI
  Revisión de los objetivos del sistema propuesto
 Determinar el impacto del sistema sobre el régimen contable
 Documentación adecuada del sistema
 Determinar la “filosofía” de control del sistema
 Identificar las pistas de auditoría del sistema
 Determinar la naturaleza de la evidencia que para auditoría dejarán las
transacciones procesadas
 Examinar los procedimientos de programación y prueba a seguirse
 Revisión de los procedimientos y controles propuestos para la etapa de
conversión del sistema
 Determinar la naturaleza de cualquier programación especial con
finalidades de auditoría

PRE – AUDITORÍA DE LOS S.I.

Etapa de Diseño
 PAPELES DE TRABAJO DEL AUDITOR
Obtención de elementos de juicio válidos y suficientes
• •Programas
Programasespeciales
especialesde
deauditoría:
auditoría:
• •Documentación
Documentacióncompleta
completadel
delprograma
programa
• •Fechas
Fechasde
deutilización
utilizaciónyyarchivos
archivosmaestros
maestrosutilizados
utilizados
• •Programas
Programasutilitarios
utilitarios––programas
programasproducto:
producto:
• •Detalle
Detalleyydescripción
descripciónde
delos
losprogramas
programasutilizados
utilizados
• •Fechas
Fechasde
deprocesamiento
procesamiento
• •Archivos
Archivosmaestros
maestrosempleados
empleados
• •“Paquetes”
“Paquetes”de
deauditoría
auditoría(G.A.S.)
(G.A.S.)
• •Descripción
Descripcióngeneral
generaldel
delG.A.S.
G.A.S.
• •Fechas
Fechasde
deutilización
utilización
• •Diagrama
Diagramageneral
generalde
decada
cadaaplicación
aplicaciónplaneada
planeada
• •Hojas
Hojasde
decodificación
codificaciónconfeccionadas
confeccionadas
• •Pruebas
Pruebasde
delalaaplicación
aplicación
• •Archivos
Archivosmaestros
maestrosempleados
empleados
• •Para
Paracada
cadauna
unade
delas
lastres
tresvariantes
variantesanteriores,
anteriores,incluir:
incluir:
• •Listados
Listadosde
decomputadora
computadora
• •Resultados
Resultadosdel
delprocesamiento
procesamiento
• •Seguimiento
Seguimientode
delas
lasexcepciones
excepcionesencontradas
encontradas
Auto-Evaluación