Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
TEMATICA
SESIN-1
- Introduccin de la Auditoria de Sistemas
- Entorno y reas de Aplicacin
SESIN-2
- Tipos y Clases de Auditoria
- Ubicacin dentro de la estructura organizacional.
SESIN- 3
- Metodologa para el desarrollo e implantacin de la auditoria en informtica
- Proceso de Planeacin de la auditoria
- Tcnicas y Herramientas de auditoria
SESIN- 4
- Papel y responsabilidades del Auditor de Sistemas
- Relaciones entre el Auditor y el Personal de Proceso de Datos
- Conocimientos tcnicos requeridos
SESIN- 5
- Auditoria en un centro de tecnologa de informacin.
o Gestin, Normas, Polticas, Procedimientos
o Plan de contingencia
o Plan de seguridad
SESIN- 6
- Auditoria en un centro de tecnologa de informacin
o Gestin del Hardware
o Plan de contingencia
o Plan de seguridad
SESIN- 7
- Sustentacin de trabajos
SESIN- 8
Evaluacin
SESIN- 9
- Auditoria en un centro de tecnologa de informacin
o Gestin del Software
o Plan de contingencia
o Plan de seguridad
SESIN- 10
- Auditoria a Proyectos computacionales: Controles, estndares, otros
SESIN- 11
- Auditorias a las aplicaciones (Procesos administrativos, financieros sistematizados)
SESIN- 12
-
SESIN- 13
- Planes de contingencia preventiva y correctiva
- Caso estudio
- Aspectos Legales
SESIN- 14 y 15
- Sustentacin de trabajo final
SESIN- 16
Evaluacin final
CONTENIDO TEMATICO
SESIN-1
1.1 Introduccin de la Auditoria de Sistemas
Los departamentos de Sistemas e Informtica y Proceso de Datos realizan muchas de las
funciones de control que estn incorporadas en los sistemas automatizados.
Lo ms importante para los auditores es la bondad del proceso, la exactitud de los datos
grabados, la adecuacin de los procedimientos de control y el cumplimiento del aspecto
tcnico y legal en la gestin. Por lo tanto el auditor de sistemas debe tener los conocimientos
necesarios para llevar a cabo la evaluacin de la gestin realizado en un determinado centro
de tecnologa de informacin (Proyectos, Aplicativos, seguridad, calidad, etc).
ADMINISTRATIVA
SISTEMAS
FINANCIERA
OTROS ...
<<El sistema informtico constituye una parte fundamental del sistema administrativo y
financiero general de la empresa>>
1.2 Entorno y reas de Aplicacin
La aplicacin de auditoria se da en todas las reas de la organizacin con los especialistas
que corresponda. En los ltimos aos con el desarrollo vertiginoso de la tecnologa de
informacin, se est dando nfasis la auditoria de sistemas aplicada al rea de sistemas e
informtica, para lo cual los auditores deben ser necesariamente especialistas en el rea. A
diferencia de otras pocas en la cual un contador estaba involucrado en la auditoria de
sistemas, hoy en da esta labor es manejada por el ingeniero de sistemas o informtico,
debido a que la informtica en las organizaciones involucra conocimientos especializados en
la gestin, cuyos riesgos no pueden ser percibidos por un profesional de otra especialidad. El
profesional en sistemas adems apoya a la auditoria financiera en el anlisis de datos de las
aplicaciones automatizadas, convirtindose en este caso en un soporte fundamental.
<<La auditoria es otra forma de asegurar la calidad de la informacin que contiene el
sistema. Con una definicin amplia, la auditoria implica contar con un experto que no se
encuentre involucrado con la operacin del sistema, para examinar la informacin, con el fin
de identificar el problema >>
SESIN-2
2.1 Tipos y Clases de Auditoria
TIPOS DE AUDITORIA
Auditoria de Gestin
Auditoria Financiera
Auditoria (examen) Especial
CLASES DE AUDITORIA
A. INTERNA
A. EXTERNA
G.T.I
G.A
G.F
Otras
SESIN- 3
3.1 Metodologa para el desarrollo e implantacin de la auditoria en informtica
Preliminar
(diagnostico)
- Negocio
- Informtica
Justificacin
- reas a auditar
- Plan propuesto
Revisin informal
Adecuacin
- Mtodo
- Tcnicas
- Herramient.
Formalizacin
- Aprobacin
- Arranque
Revisin formal
Desarrollo
- Entrevistas
- Observaciones
Recomendaciones
- Informes
Aprobacin formal
Implantacin
- Acciones correctivas y
preventivas
- Seguimiento
RESPONSABLE
EJECUCIN
RESPONSABLE
SEGUIMIENTO
COMENTARIOS
Determinacin
De las reas por
Auditar
Supervisor de
auditoria en
informtica
Gerente de
auditoria en
informtica
Se efecta una
evaluacin del
rea de informtica
Con el fin de detectar
reas de riesgo.
Elaboracin del
Plan de auditoria
En informtica
Supervisor de
auditoria en
informtica
Gerente de
auditoria en
informtica
Presentacin del
Plan a la alta
Direccin
Gerente de
auditoria en
informtica
Alta direccin
de la empresa
Se efecta con la
autorizacin de la
alta direccin.
Ejecucin del
Plan de auditoria
En informtica
Supervisor de
auditoria en
informtica
Gerente de
auditoria en
informtica
Puede efectuarse
como auditoria
interna o externa.
en
ta
do
?
pl
em
01
I
m
Ninguna . Debilidad
?
ad
lid
a
C
?
iste
x
E
No tiene . Debilidad
No existe . Debilidad
Comentario
Debe existir
procedimiento de
accesos.
No se debe
permitir acceso
no autorizados
Herramientas
Las herramientas necesarias para auditar las reas seleccionadas en el proceso de planeacin de la
auditoria en sistemas lo encontramos en:
o
Software adecuados para la evaluacin de datos
o
Un enfoque metodolgico
o
Tcnicas de documentacin adecuada
o
Instrumentos legales asociado a la actividad auditada (normas, leyes, directivas, etc)
o
Otros
En la medida que el auditor tenga la formacin profesional, la experiencia y conocimiento del
rubro que se audita, los resultados sern exitosos.
SESIN- 4
4.1 Papel y responsabilidades del Auditor de Sistemas
La auditoria de sistemas puede llevarse a cabo como parte integrante de la auditoria
general o en forma independiente a ella. El auditor de sistemas o informtico es responsable
de dirigir y controlar la accin de la auditoria sobre todas las actividades de informacin
asociadas con tecnologa informtica; manteniendo la debida objetividad e independencia, as
mismo emitir los informes finales. Podemos citar algunos de ellos:
Organizacin: Un anlisis de la gestin y controles operativos que realiza el
departamento informtico. Contempla la gestin de todas las reas tcnicas: Redes,
proyectos informticos, aplicaciones y seguridad de datos, etc.
Proyecto informtico: Una evaluacin especializada, que implica una revisin de todas
las fases del proyecto, as mismo los riesgos involucrados y la orientacin de la calidad
del producto final.
Datos: Un anlisis de la seguridad de los datos para las aplicaciones en funcionamiento.
Responsabilidad del Auditor
Deben emitir recomendacin sobre las debilidades o daos ocultos encontrados en las
actividades de informacin asociadas con tecnologa informtica que se audita. Si durante la
ejecucin de Auditoria, los Auditores perciben debilidades en la gestin dichas actividades,
deber reflejar sus opiniones a travs del informe de Auditoria. Si el profesional no esta
debidamente preparado para identificar las debilidades cometidas entonces corre el riesgo
de ser asociado al delito de colusin u ocultamiento de informacin.
10
11
R
UE
EQ
S
TO
EN
I
IM
PERSONAL
DEL
AREA
AUDITADA
DI
Document.
EQUIPO DE
AUDITORIA
RE
CT
IVA
S
EJECUTIVOS
DE LA
ORGANIZAC.
ALCANCES
Requer.
Alcances
Para los casos de que el auditor de Sistemas participe como Soporte a la Auditoria de los
Sistemas Financieros, la relacin generalmente es la siguiente:
ER
QU
E
R
PERSONAL
DEL
AREA
AUDITADA
S
TO
EN
I
IM
DI
Document.
AUDITORIA FINANCIERA
Sistema
Financiera
ALCANCES
RE
CT
IVA
S
EJECUTIVOS
DE LA
ORGANIZAC.
Alcances
3]
7]
ms
30
100
70
--------
12
200
4.4 Conocimientos tcnicos requeridos
El ambiente de un rea auditada para una organizacin cualquiera, esta asociado con muchas
variables tcnicas; como por ejemplo, procesos del negocios que requieren el uso de
tecnolgico, personal especializado en informtica, software base, software aplicativo,
proyectos, hardware, comunicaciones, etc los cuales influirn en el cumplimiento de los
objetivos institucionales, entre otros.
Estas variables exigen del Auditor de sistemas o informtico amplia experiencia en el tema a
examinar, objetividad, honestidad, reserva de la informacin recibida, transparencia,
autonoma, independencia con el rea auditada, con la finalidad mostrar todas las debilidades
que pongan en riesgo prdidas en la institucin, las cuales deben ser objetivas, completas y
exactas.
Por ello, en la actualidad se habla de la auditoria a medida con el propsito de hacer ms
eficiente, eficaz y econmico el trabajo del auditor frente a los retos de complejidad de las
organizaciones, de los avances vertiginosos de la informtica, del volumen de operaciones,
etc. Para el caso que la auditoria informtica requiera anlisis de Bases de datos, existen
muchos software con el cual se pueden evaluar dicha informacin, por lo que su eleccin
depende del auditor.
SESIN- 5
Controles:
ORGANIZACION
PROCESO
CONTROL
13
Transparencia en la gestin
Cumplimiento de disposiciones
Orientados a lograr:
Que el control interno sea adecuadamente diseado
Niveles de autorizacin adecuadas y a quien corresponda
Estndares que cubran los objetivos
Seguridad y proteccin de datos plenamente garantizados
Las rotaciones de personal no debe generar vacos de control.
Etc.
14
SESIN- 6
6.1 Auditoria en un centro de tecnologa de informacin: Recursos de Hardware
Controles:
Podemos sealar para este caso, algunos aspectos bsicos del control como:
Evaluacin de desempeo
Transparencia en la gestin
Estndares de trabajo
Etc.
6.2 Plan de contingencia
Orientado a establecer los respectivos planes de contingencia preventivo y correctivo que
requiera el rea, previo estudio de las reas o actividades ms importantes asociados a esta
actividad.
Ejm:
Contingencia preventiva: El uso de un UPS para proteger la red del sistema, frente a cadas de
tensin. Es preventiva porque permite evitar que el dao ocurra.
Contingencia correctiva: El uso de un EXTINGUIDOR para proteger la instalacin de los
equipos de la institucin, en caso de incendios. Es correctiva porque permite disminuir los
daos iniciados u ocasionados.
6.3 Plan de seguridad
Orientado a establecer las medidas adecuadas que permitan garantizar la continuidad de las
actividades en la empresa. Ejemplo, prever un ambiente adecuado para el funcionamiento de
los equipos.
Nota:
Ver anexo : Auditoria del Hardware
(Bib. Auditoria en informtica, Enrique Hernndez Hernndez, pag. 267)
SESIN- 7
Sustentacin de trabajo
15
SESIN- 8
Evaluacin
SESIN- 9
9.1 Auditoria en un centro de tecnologa de informacin: Recursos de Software
Controles:
Podemos sealar para este caso, algunos aspectos bsicos del control como:
Evaluacin de desempeo
16
SESIN- 10
10.1 Auditoria a Proyectos computacionales: Controles, estndares, otros.
Controles:
En el caso de la auditoria de sistemas debemos controlar aspectos como:
Evaluacin de desempeo
Transparencia en la gestin
Estndares
Los estndares en los sistemas aplicativos se elaboran segn los criterios de cada
organizacin, sin embargo todos ellos tienen como objetivo lograr mantener una uniformidad
de criterios operativos y de documentacin que permita facilitar la gestin del usuario. El
Auditor debe comprobar si estos estndares son adecuados, fiables y practicables.
Debe evaluarse la estructura organizativa y las distintas reas de responsabilidad, incluyendo
descripciones de puestos de trabajo de tal manera que permita al auditor conocer como
funciona la unidad.
Auditoria de la Propuesta de automatizacin
Al inicio del proyecto debe tenerse en cuenta:
Si existen los controles de gestin adecuados en las etapas del desarrollo?
Las propuestas para los sistemas grandes son complejas y difciles de evaluar, siendo
necesario adoptar un enfoque sistemtico en la siguiente secuencia:
Identificacin de los objetivos
Identificacin de los procesos a desarrollar (alcances del sistema)
Entregables
Seguridad y continuidad de los sistemas
Etc.
17
La auditoria de desarrollo se lleva a cabo bsicamente sobre cada fase del ciclo de desarrollo
del sistema.
Los procesos o ciclos para la auditoria pueden clasificarse en:
a) Operativos
Control de datos, segn las mnimas necesidades de control, deben especificar las pistas
de auditora, integridad de datos, etc.
Registro de procedimientos con normas y pautas para todos los sistemas.
Los procedimientos y controles de seguridad de SW y HW, las autorizaciones para el
acceso de datos, etc.
Evaluacin general de las necesidades que hay que satisfacer.
b) Implantacin
Los estndares de desarrollo afectan a las etapas de anlisis y diseo del sistema, los
estndares de implantacin deben apoyarse en procedimientos y documentacin adecuada.
Pruebas y verificacin de datos. Niveles de responsabilidad, etc.
Debe contener recomendaciones de normas y procedimientos de control
Mantenimiento Pos implantacin.
Es necesario que el sistema este adecuadamente integrado para iniciar el proceso de pruebas,
la cual debe verificar la integridad de datos en todos los procesos. Debe contemplarse lo
siguiente:
Una evaluacin con todo tipo de datos que permita simular el ciclo completo de operacin
del sistema.
Recolectar y preparar los posibles resultados que debera arrojar el sistema.
18
c) Documentacin
La documentacin representa un espejo del esquema funcional del sistema, incluyendo los
estndares, etc.
Auditoria de la Documentacin
Normalmente la documentacin del desarrollo de un sistema se va elaborando en forma
paralela al desarrollo de esta, sin embargo se considera completa; cuando esta contemple
todos los ajustes realizados; por lo que siempre se concluye despus que el sistema haya
pasado la fase de pruebas. Se debe verificar los estndares utilizados y que concuerden con el
sistema en funcionamiento.
Anlisis de los manuales del Usuario
Se deben preparar los manuales orientado a los usuarios que usaran el sistema, entre los
manuales ms importantes tenemos: Manual del sistema, de usuario y de operacin.
SESIN- 11
11.1 Auditoria a las Aplicaciones: Calidad del producto implementado
Controles:
En el caso de la auditoria de sistemas debemos controlar aspectos como:
Evaluacin de desempeo
Evaluacin de la funcionalidad
Plan de contingencia
Orientado a establecer la seguridad de informacin, previo estudio de los procesos ms
importantes asociados a esta actividad.
NOTA: Ver anexo: Auditoria Durante el ciclo de desarrollo e implantacin de sistemas de
informacin
(Bib. Auditoria en informtica, Enrique Hernndez Hernndez, pag. 211)
19
PROCESO
FUNCIONAL
Document.
funcional
RESULTADO
PROCESO
AUTOMATIZ.
ACCESO
USUARIO
Ba se d e
da to s
Document.
automatiz.
INICIO
Lee
Pend-cobr.
Lee
Fact-cobr.
Existe ?
S
Selecciona
registro
Lee
Fact-cobr.
actualiza
Lee
Cta-Cte
Clientes y
actualiza
SESIN- 12
12.1 Soporte a la auditoria financiera
20
21
SESIN- 13
13.1 Polticas de seguridad de datos
La implantacin de procedimientos de seguridad, reduce los riesgos pero no los elimina
totalmente. La organizacin debe contar con un plan de emergencia (medidas de
contingencia) prctico y documentado que pueda responder ante cualquier riesgo que se
presente. Una de las medidas que toda empresa debe tener presente es el Seguro contra
riesgo, cuya cobertura debe ser la ms amplia posible.
Los datos constituyen uno de los recursos ms importantes que existe en una organizacin,
por lo tanto se debe verificar que:
Existan estndares, procedimientos y polticas de Backup definidos.
Existen controles adecuados para evitar la manipulacin de los datos
Los almacenamientos de datos estn codificados para su identificacin
Etc.
NOTA: ver anexo de Auditoria de seguridad
(Bib. Auditoria en informtica, Enrique Hernndez Hernndez, pag. 285)
22
Interno
Externo
Buenas Practicas
PUBLICO
Las disposiciones que se
emitan al interior de la
Institucin:
Resoluciones
internas, Directivas internas,
procedimientos, etc
- NAGU, estructura 4.40
NCI 500 (1-8)
NCI 320
Decreto Supremo
circular SBS G-105-2002
(Financiero)
ISO 17799
DS N 013-2003-PCM
(Legalidad del SW)
D.L N 822 (Derecho de
autor)
Otros
INFORME COSO
COBIT, PM Book
otros
SESIN- 14, 15
Sustentacin de los trabajos
SESIN- 16
Evaluacin final
PRIVADO
Las disposiciones que se emitan al
interior de la Empresa:
Directivas, procedimientos,
disposiciones, memorndum,
Manual de funciones, etc
circular SBS G-105-2002
(Financiero)
DS N 013-2003-PCM (Legalidad
del SW)
D.L N 822 (Derecho de autor)
INFORME COSO
COBIT, PM Book
Otros