INACAP ASIGNATURA: Auditora de Sistemas DESCRIPCIN DE LA ASIGNATURA: 88 HORAS

Asignatura lectiva del rea de especialidad de administracin y negocios, orientada a desarrollar, en los futuros profesionales, la capacidad de aplicar herramientas de apoyo en la evaluacin de los diferentes sistemas de informacin procesados en ambientes computarizados relacionados con el control existente, la confiabilidad de la informacin y el cumplimiento y la racionalidad de los procedimientos y normas.

COMPETENCIAS:

Aplicar Tcnicas de auditora de sistemas de informacin (IS) en conformidad con las normas y directrices de auditora generalmente aceptadas.

Esta asignatura contribuye al desarrollo de las siguientes competencias genricas: Demostrar compromiso con el trabajo bien hecho. Comunicar ideas de manera efectiva y eficaz a travs del lenguaje oral y escrito. Trabajar en equipo agregando valor. Resolver problemas aplicando criterio y de forma efectiva. Emitir juicios fundados, a partir del conocimiento, la experiencia y el razonamiento.

UNIDADES DE APRENDIZAJE:

HORAS 1 El Proceso de Auditora de Sistemas de

Informacin Operativas

16 14 14 14 20 10

2 Infraestructura Tcnica y Prcticas 3 Integridad, Confidencialidad y

Recuperacin de Desastres

4 Los Sistemas de Aplicacin del Negocio 5 Aplicacin de Herramientas CAAT (ACL) EVALUACIN: ESPECIALISTA TCNICO: Selim Vargas Argandoa - Andrs Grey Barrera UNIDADES DE APRENDIZAJE 1.- El Proceso de Auditora de Sistemas de Informacin APRENDIZAJES ESPERADOS 1.1.- Reconoce el
proceso de auditora de sistemas de informacin, conforme a su importancia en la organizacin

ESPECIALISTA PEDAGGICO: Patricio Gonzlez Rodrguez

16 Horas CONTENIDOS
1.- INTRODUCCIN A LA AUDITORA COMPUTACIONAL Propsitos de la Auditora de Sistemas. Normas y Directrices de ISACA para la auditora de Sistemas de Informacin.

CRITERIOS DE EVALUACION 1.1.1.- Describe los objetivos y la

estrategia de auditora de Sistemas de Informacin (IS) de una organizacin, basado en sus riesgos

1.1.2.- Explica auditoras especficas,

de acuerdo a los resultados de la evaluacin del riesgo

1.1.3.- Reconoce los objetivos de una

auditora, a partir de evidencia suficiente, confiable, relevante y til COBIT (Control Objectives for Information and related Technology) ltima Edicin Estructura COBIT y Val IT La certificacin CISA (Certified Information Systems Auditor) otorgada por la ISACA. Anlisis del Riesgo Evaluacin de los procesos de administracin de Riesgos del Negocio. Elementos de Riesgo Activos Amenazas, Vulnerabilidades, Impactos Riesgo Global y Residual Realizacin de una auditora de IS. Clasificacin de las auditoras Metodologa de Auditora Riesgo y Materialidad de las auditoras Tcnicas de estimacin de riesgos Objetivos de la auditora Pruebas de cumplimiento vs. Pruebas sustantivas Evidencia y Muestreo Tcnicas de Auditora Asistidas por Computador (teora). Comunicacin de los resultados de la auditora Acciones de la gerencia para implementar las Recomendaciones Documentacin de la auditora Management de recursos de auditora Limitaciones a la realizacin de la auditora Tcnicas de Administracin de proyectos. 2.- LAS HERRAMIENTAS DE APOYO A LA AUDITORA Herramientas que utilizan los auditores de TI Cobit ITIL ISO 17799/27001 Tipos De Controles, Segn COBIT La Information Technology Assurance Framework (ITAF) 3.MTODO DE AUDITORA

1.1.4.- Reconoce los mtodos de

administracin, planificacin y organizacin de Sistemas de Informacin, conforme a la estrategia de Sistemas de Informacin

CONTINUA. Tipos de Tcnicas Archivo de Revisin de auditora de los Sistemas de Control y mdulos integrados de Auditora (SCARF / EAM) Instantneas Hooks Prueba integrada Simulacro Continuo e Intermitente (CIS) Autoevaluacin del Control (Control Self Assesment) 4.- ADMINISTRACIN, PLANEACIN Y ORGANIZACIN DE SISTEMAS DE INFORMACIN Estrategias de los sistemas de informacin. Planificacin Estratgica Comit(s) de Seguimiento Polticas y procedimientos. Polticas y Procedimientos Polticas / Prcticas de Recursos Humanos Prcticas de Outsourcing Prcticas Gerenciales de los sistemas de informacin. Principios de Administracin Mtodos de evaluacin de IS Gerencia de Calidad Estructura organizativa y responsabilidades de IS. Estructuras Gerenciales Estructura de la Gerencia de Proyectos Responsabilidades y Deberes de IS. Separacin de funciones dentro de IS Auditora de la Administracin, Planificacin y Organizacin de IS Revisin de documentacin Entrevistas y Observaciones al personal en el Desempeo de sus funciones. Revisin de los compromisos contractuales.

ACTIVIDADES
El alumno: Investiga la pgina http://www.isaca.cl/. Debate respecto de las Normas y Directrices de la Asociacin de Auditora y Control de los Sistemas de Informacin (Information Systems Audit and Control Association) para la auditora de Sistemas de Informacin (IS) de acuerdo a las prcticas reales aplicadas en Chile. Investiga y explica la estructura del COBIT y el manual CISA

 Investiga respecto de la information technology assurance framework (ITAF). Presenta en forma explicativa un Mapa de Riesgos de Negocios. Expone y ejemplifica la planificacin estratgica de la empresa y las funciones del Departamento de Sistemas de Informacin. Resuelve casos relacionados con documentacin tpica de Administracin de un rea de SI. (Plan informtico, polticas y procedimientos) Analiza individualmente y en grupo la estructura bsica que debe contener un plan informtico, de acuerdo a apunte entregado por el docente. Realiza foro de discusin sobre los objetivos de las Polticas, procedimientos y requisitos de los Sistemas de Informacin. Discute en grupo la aplicacin de la planificacin estratgica en el rea de tecnologas de informacin.

2.- Infraestructura Tcnica y Prcticas Operativas APRENDIZAJES ESPERADOS 2.1.- Aplica tcnicas
de evaluacin de infraestructura y prcticas operativas, de acuerdo a los requerimientos de los Sistemas de Informacin

14 Horas CONTENIDOS
Hardware de los Sistemas de Informacin. Arquitectura y Adquisicin del Hardware Programa de mantenimiento y monitoreo del Hardware Administracin de los datos y de la capacidad Red de Sistemas de Informacin e Infraestructura de Telecomunicaciones. Software de los Sistemas de Informacin Arquitectura de Software y Sistemas Operativos Sistema de Administracin de Base de Datos (DBMS) Sistemas de Adm. de Bibliotecas de programas, de Cinta y de Disco Software de Administracin de la Red. Programas de Utilidad Software de Elaboracin de Cronogramas de Trabajo Adquisicin de Software Definicin de los requerimientos Alternativas de software Anlisis Costo / Beneficio Implementacin de software de sistema y procedimientos de control de cambios. Aspectos del Licenciamiento de software. Operaciones de los Sistemas de Informacin. Operaciones de la computadora Nivel de Servicio Contabilidad de trabajos (Job

CRITERIOS DE EVALUACION 2.1.1.- Emplea tcnicas de evaluacin

de la adquisicin, instalacin y mantenimiento del hardware y de la infraestructura de red del Sistema de Informacin, en base al respaldo eficiente y efectivo del procesamiento de IS

2.1.2.- Usa tcnicas de evaluacin del

desarrollo, adquisicin, implementacin y mantenimiento del software (o de las utileras de los sistemas), en base al respaldo continuo de los requerimientos de procesamiento de Sistema de Informacin

2.1.3.- Utiliza tcnicas de evaluacin de

las prcticas operativas de IS, conforme al uso efectivo y eficiente de los recursos tcnicos

2.1.4.- Aplica tcnicas de evaluacin

del uso de los procesos de ejecucin de sistemas y de monitoreo, herramientas y tcnicas, conforme a los sistemas de cmputo

Accounting) Preparacin de Cronogramas Monitoreo del Uso de los Recursos Administracin de Problemas Control de Cambio de Programa Garanta de Calidad Soporte / Mesa de Ayuda (Support / Help Desk) Auditora de la Infraestructura y Operaciones. Revisin de Hardware, Sistema Operativo y de la Base de Datos Revisiones de la Red de rea Local, del Control Operativo de Redes, de las Operaciones de IS Operaciones Ligth-Out (revisin de operaciones automatizadas no asistidas) Revisiones de Reporte de Problemas por la administracin Revisiones de Disponibilidad de Hardware y de Reporte de utilizacin Revisin de Cronogramas

ACTIVIDADES
El alumno: Expone y ejemplifica contenidos relacionados con las reas funcionales de una empresa y las arquitecturas de las tecnologas de informacin, diccionarios de datos, reglas de sintaxis de la organizacin y niveles de seguridad. Realiza foros de discusin con el fin de comprender las tcnicas de auditoras aplicadas para evaluar la infraestructura y operaciones del rea de TI. Utiliza el ERP manager para explicar infraestructura tcnica y prcticas operativas Realiza ejercicio prctico de evaluacin de seguridad de Sistemas Operativos. Confecciona un informe sobre las debilidades observadas.

3.- Integridad, Confidencialidad y Recuperacin de

Desastres

14 Horas CONTENIDOS

APRENDIZAJES ESPERADOS 3.1.- Aplica tcnicas

de evaluacin de la Integridad, confidencialidad y disponibilidad, de acuerdo a los requerimientos de los Sistemas de Informacin

CRITERIOS DE EVALUACION 3.1.1.- Usa tcnicas de evaluacin del

diseo, implementacin y monitoreo de los controles de acceso lgico, conforme a criterios de integridad, confidencialidad y disponibilidad de los activos de informacin de una organizacin

3.1.2.- Utiliza tcnicas de evaluacin de

la seguridad de la infraestructura de red

Exposiciones y controles de acceso lgico. Componentes de una poltica de seguridad Las vas de acceso lgico Los virus Exposiciones de las Computadoras al Crimen

de una organizacin, conforme a criterios de integridad, confidencialidad, disponibilidad, uso autorizado de la red y de la informacin transmitida

3.1.3.- Emplea tcnicas de evaluacin

en el diseo, la implementacin, el monitoreo de los controles ambientales y de acceso fsico, conforme a niveles de proteccin de activos y de instalaciones

Software de Control de Acceso Identificadores de inicio de sesin (logon-Id) y Contraseas Acceso a la Computadora Auditora de Acceso Lgico Pruebas de Seguridad Seguridad de infraestructura de red. Seguridad, Riesgos y Problemas de la LAN Controles de Acceso de Llamada Seguridad y riesgos Cliente / Servidor Encriptacin Criptosistema simtrico y asimtrico Proceso de Encriptacin y Desencriptacin Seguridad Firewall (muro impenetrable) Sistemas de Deteccin de Intrusos (IDS) Auditando la seguridad de la infraestructura de red. Auditando las conexiones de Internet Revisin de los diagramas de la red La seguridad del acceso remoto Infraestructura Desarrollo y Control de Cambios Seguridad Lgica Exposiciones y controles ambientales. Problemas y Exposiciones Ambientales Detectores de Agua, Humo, Extintores, Alarmas, Sistemas de Supresin de Incendios, etc. Ubicacin estratgica de la Sala de Computadoras Prohibiciones de la sala de cmputo. Planes de evacuacin de Emergencia Auditora de los Controles Ambientales Exposiciones y controles de acceso fsico. Problemas y exposiciones de Acceso Fsico Exposiciones de Acceso Fsico Posibles Perpetradores Controles y Auditora de Acceso Fsico Planificacin de la recuperacin / continuidad Casos de Desastre Componentes de un Plan Efectivo

de Continuidad del Negocio Personal Clave en la toma de decisiones Respaldos de los suministros requeridos Organizacin y Asignacin de Responsabilidades Clasificacin de Riesgo de los sistemas Perodo de Tiempo de recuperacin crtica Aplicaciones que deben recuperarse en perodo crtico Prioridades del Procesamiento Redes de Telecomunicacin Seguros Alternativas de recuperacin Contrato con Hot, Warm y/o Cold Sites Hardware Alternativo Bibliotecas fuera del sitio (offside) Controles de bibliotecas fuera del sitio Seguridad y control de las instalaciones off-side Respaldo de seguridad de los medios y su documentacin Procedimientos peridicos de respaldo Frecuencia de Rotacin Mantenimiento de los registros para almacenamiento fuera del sitio. Pruebas del plan de recuperacin / continuidad Especificaciones Ejecucin de la Prueba Documentacin de los resultados Anlisis de los resultados Mantenimiento del plan de Recuperacin /Continuidad Auditora de la recuperacin de desastres y de la continuidad del negocio. Revisar el Plan de Continuidad del Negocio Evaluar los resultados de las pruebas anteriores Evaluar el Almacenamiento offside Entrevistas a Personal Clave Revisin de la Cobertura del Seguro.

3.2.- Aplica tcnicas

de evaluacin en recuperacin de desastres, en base a la continuidad del

3.2.1.- Aplica tcnicas de evaluacin de

la disponibilidad de medios de seguridad y de recuperacin, en base a la continuidad del suministro de las

negocio

capacidades de procesamiento del Sistema de Informacin

3.2.2.- Aplica tcnicas de evaluacin de

los medios de recuperacin de informacin en caso de desastre, en base a la continuidad del negocio

ACTIVIDADES
El alumno: Expone y define los riesgos que enfrentan los sistemas de informacin. Forma equipos de trabajo y expone sobre causantes de violaciones de acceso fsico y/o lgico en los sistemas computacionales. A travs de un caso prctico y guiado por el docente identifica debilidades de control en la seguridad de un sistema considerando los siguientes tpicos discutidos en la asignatura: o Poltica de seguridad o mbitos de la seguridad o Rutas de Acceso o Riesgos relacionados con el acceso lgico o Riesgos relacionados con el acceso fsico o Riesgos relacionados con la seguridad ambiental o Identificacin de controles Realiza foros de discusin en base a casos de falla en seguridad lgica, fsica y/o ambiental (investiga casos reales) (optativo) En la pelcula TRON o Matrix identifica y asocia, desde el punto de vista de control, las debilidades de una red informtica y las medidas de seguridad utilizadas para responder a estas fallas. Expone sobre las diferencias bsicas entre un BCP y un BRP, siglas utilizadas en la planificacin de contingencia. Proporciona borrador de un plan de contingencias, donde el alumno deber, de acuerdo a lo aprendido en clases y con gua del docente, observar las debilidades que presenta y recomendar las inclusiones que deben realizarse. Realiza actividades prcticas de documentacin de la evidencia obtenida en el relevamiento de la informacin de una organizacin. Analiza la disponibilidad y utilizacin de medios preventivos / correctivos ante una contingencia.

4.- Los Sistemas de Aplicacin del Negocio APRENDIZAJES ESPERADOS 4.1.- Aplica tcnicas
de evaluacin de procesos de negocio y administracin del riesgo, de acuerdo a los objetivos de la organizacin

14 Horas CONTENIDOS
Desarrollo de los sistemas de informacin del negocio. Metodologa estructurada (tradicional) del ciclo de vida del desarrollo de sistemas (SDLC). Metodologas alternativas de desarrollo. Desarrollo de Sistemas Orientado a Datos Tecnologa Orientada a Objetos Prototipos Desarrollo Rpido de Aplicaciones (RAD) Reingeniera Ingeniera Inversa o de Reversa

CRITERIOS DE EVALUACION 4.1.1.- Emplea tcnicas de evaluacin

de los procesos de desarrollo e implementacin de los sistemas de informacin, de acuerdo a los objetivos de la organizacin

4.1.2.- Utiliza tcnicas de evaluacin de

los procesos de mantenimiento de los sistemas de informacin, de acuerdo a los objetivos de la organizacin

 Anlisis Estructurado Prcticas de mantenimiento de los sistemas de informacin. Administracin / Gestin de Cambios Cambios de emergencia Aprobacin Documentacin Pruebas de los cambios a programas Proceso de Migracin de Programas Integridad del cdigo Ejecutable y del Fuente Comparacin del Cdigo Fuente Auditora al desarrollo, adquisicin y mantenimiento de los sistemas. Adm. / Gestin de proyectos Estudio de Factibilidad / Viabilidad Definicin de los Requerimientos Proceso de Adquisicin de software Diseo detallado y etapas de la programacin. Etapa de pruebas Fase de implementacin Revisin posterior a la implementacin Procedimiento de cambios al sistema y proceso de migracin de programas. Evaluacin del Proceso del Negocio y Administracin del Riesgo Tcnicas benchmarking. Anlisis de mejores prcticas (best practices). Reingeniera del proceso del negocio (BPR) y Proyectos de Cambio del Proceso Gobierno de Tecnologas de Informacin (TI). Controles en las aplicaciones. Controles de Entrada / Origen Procesamiento, Validacin y Edicin Validacin y Edicin de datos Procedimientos de control de procesamiento y Control de Archivos de Datos Controles de Salida Auditora a los Controles de Aplicacin Revisin de la documentacin de la aplicacin Anlisis del flujo de transacciones a travs del sistema Modelo de anlisis de riesgo para analizar los controles de las Aplicaciones

 Observacin y Pruebas de procedimientos utilizados Prueba de Integridad de los Datos Sistemas de Aplicaciones del Negocio. Comercio Electrnico Intercambio Electrnico de Datos Correo Electrnico Sistemas de Puntos de Ventas (POS) Sistemas integrados de Manufacturas Transferencia Electrnica de Fondos (EFT) Archivo integrado de Clientes Cajeros Automticos (ATM) Inteligencia Artificial (AI) Data Warehouse Sistemas para el Soporte de Decisiones (DSS) Sistemas para el soporte de decisiones

ACTIVIDADES
El alumno: Resuelve talleres prcticos para documentar la evidencia resultante de la revisin a los ambientes computacionales. Realiza foros de discusin sobre los aspectos de organizacin y gestin del rea de Desarrollo de los Sistemas de Informacin basndose en el material presentado por el docente. Discute en grupos sobre la decisin de adquirir o desarrollar software, considerando: o Estudios de factibilidad (costo/beneficio) o Seguridad o Pistas de auditora o Contratacin de terceros Realiza foros de discusin sobre las polticas y procedimientos relacionados con el ciclo de vida de desarrollo de un sistema. Mediante el anlisis de un caso establece los aspectos generales a considerar en un proyecto de desarrollo y otro de adquisicin, Analiza, a travs de ejemplos, la metodologa de verificacin del grado de cumplimiento de las recomendaciones entregadas por los auditores revisiones previas. Realiza foros de discusin con el fin de analizar algunas metodologas de reingeniera de procesos expuestas por el docente. Analiza en grupos la metodologa de verificacin del grado de cumplimiento de las recomendaciones entregadas. A partir de un Caso analiza en grupos la autoevaluacin del sistema de control interno de una empresa. Realiza actividades prcticas relacionadas con la ejecucin de seguimientos de observaciones e implementacin de un plan de accin de las recomendaciones

5.20 Horas
Aplicacin de Herramientas CAAT (ACL)

APRENDIZAJES ESPERADOS 5.1.- Aplica

Herramientas CAAT,

CRITERIOS DE EVALUACION 5.1.1.- Establece preguntas o lneas de

CONTENIDOS
Habilidades bsicas Windows

conforme a las normas y directrices de auditora generalmente aceptadas

investigacin, conforme al anlisis de datos de ACL

Fundamentos de ACL Acceso a Datos (Planificacin en colaboracin con el departamento de informtica y el rea de negocios). Comprensin de Datos Manejo de Datos (integridad e incoherencia entre los datos; conocimiento del negocio) Generacin de Reportes (confirmacin y documentacin de hallazgos, informe sobre resultados)

5.1.2.- Obtiene respuestas a las

preguntas o lneas de investigacin formuladas, a partir de los comandos y funciones de ACL

5.1.3.- Utiliza el programa ACL, segn

con los procedimientos de auditora de un Sistema de informacin

ACTIVIDADES
El alumno: Expone, analiza y ejemplifica las principales diferencias de tcnicas de auditora asistidas por computador, distintas del software ACL Desarrolla ejercicios prcticos en ACL mediante la utilizacin de equipos audiovisuales: - Contenido del men principal. - Principales caractersticas de la interfaz. - Captura de datos. - Carga de archivos de datos - Campos computados - Comandos - Pareos - Funciones - Creando los documentos de trabajo. - Desarrollo de pruebas de auditorias

ESTRATEGIAS METODOLGICAS
La asignatura se imparte en modalidad presencial, por medio de clases expositivas y desarrollo de actividades de simulacin prctica, en los que se trabajan y refuerzan los contenidos de acuerdo a las estrategias siguientes aplicables para todas las unidades: Mtodos expositivos / clase magistral en las que se relacionan los contenidos de las unidades con situaciones cotidianas que luego son analizados en grupos a partir de los elementos tericos entregados en las clases. Clases prcticas. Aprendizaje basado en problemas y casos reales en donde se fomentar que los estudiantes ensayen e indaguen sobre la naturaleza de los conceptos explicados en clase y expuestos previamente. Con estas actividades se fomenta la responsabilidad, el trabajo en equipo, el pensamiento crtico y la resolucin de problemas. Resolucin de casos, ejercicios y problemas a partir de soluciones adecuadas mediante la iniciativa, aplicando mtodos e interpretando resultados. Se utiliza como complemento de las clases de teora. Estas prcticas tienen el propsito de motivar a los alumnos a desarrollar la proactividad, resolver problemas, identificar necesidades de aprendizaje y desarrollar estrategias para el autoaprendizaje. Anlisis de bibliografa y pginas web relacionadas a las temticas tratadas. Aprendizaje orientado a proyectos, aprendizaje cooperativo en clases, en los que se debe fomentar: o El compromiso con el trabajo bien hecho: desarrollo de un trabajo de calidad respetando estndares y tiempos, haciendo propias sus responsabilidades y cumpliendo los compromisos acordados. o La apertura para compartir informacin y disposicin para trabajar en forma colaborativa con el objetivo de lograr las metas propuestas por el equipo.

o El trato digno y con respeto, no discriminando a ningn individuo o grupo. o El respeto y comprensin por los diversos puntos de vista. o La reflexin en torno a las consecuencias de las decisiones y/o opiniones tomadas. o La capacidad crtica y coherente a los juicios emitidos. o La argumentacin pertinente de los juicios, segn principios y valores que los sustentan.

SISTEMA DE EVALUACIN
UNIDAD I Estudio de casos, controles y talleres. Ponderacin 10% Prueba escrita. Unidad 1. Ponderacin 15 % UNIDAD II Estudio de casos, controles y talleres. Ponderacin 5% Prueba escrita Unidad 2. Ponderacin 10 % UNIDAD III Estudio de casos, controles y talleres. Ponderacin 5% Prueba escrita Unidad 3. Ponderacin 10 % UNIDAD IV Estudio de casos, controles y talleres. Ponderacin 5% Prueba escrita Unidades 4. Ponderacin 10 % UNIDAD V Estudio de casos, controles y talleres. Ponderacin 10% Prueba escrita Unidades 5. Ponderacin 20 %

Aplicacin de examen segn reglamento acadmico vigente.

BIBLIOGRAFA DE LA ASIGNATURA Bibliografa Bsica Arens, A.,Auditora informatizada mediante ACL.,Dalton Armond Inc,2008,9780912503295 Mendvil Escalante, Vctor Manuel,Prctica elemental de auditora,Cengage learning,2010,6074812276 Bibliografa Sugerida: Arens y Elder,Auditora informatizada mediante ACL.,Dalton Armond Inc,2008, 978-0-912503-29-5 Normas internacionales de informacin financiera y normas internacionales de contabilidad,www.iasb.org Portal del servicio de impuestos internos,www.sii.cl Whittington,Principios de auditora,Mc Graw Hill,2004, 970104665X PERFIL DOCENTE Preferencia Ttulo Profesional Grado Acadmico Experiencia Experiencia Docente Profesional

1 2 3

Contador Auditor Ingeniero Civil en Informtica Ingeniero en Informtica Licenciado en Ciencias de la Ingeniera

2 2 2

3 3 3

Observaciones Formacin y experiencia en Auditora de Sistemas. Manejo de herramientas CAAT (software ACL). Experiencia docente en Educacin Superior ESTNDAR SOFTWARE Software ACL Versin Observaciones Software de Auditora Computacional.