AUDITORIA DE SISTEMAS

INTRODUCCION

CONCEPTO DE AUDITORIA DE
SISTEMAS
La palabra auditora viene del latn auditorius
y de esta proviene auditor, que tiene la virtud
de oir y revisar cuentas, pero debe estar
encaminado a un objetivo especfico que es el
de evaluar la eficiencia y eficacia con que se
est operando para que, por medio del
sealamiento de cursos alternativos de
accin, se tomen decisiones que permitan
corregir los errores, en caso de que existan, o
bien mejorar la forma de actuacin.

CONCEPTO DE AUDITORIA
La disciplina que mediante tcnicas y
procedimientos
aplicados
en
una
organizacin por personas independientes a
la operacin de la misma, evala el
cumplimiento
de
los
objetivos
institucionales, emite una opinin al respecto
y efecta recomendaciones para mejorar el
nivel de cumplimiento de dichos objetivos.
A. Montes Sols, CISA (Reingeniera de la Auditora Informtica)

AUDITORIA DE SISTEMAS DE
INFORMACION
Proceso que recolecta y evala la evidencia para
determinar si los sistemas de informacin y los
recursos relacionados protegen adecuadamente
los activos, mantienen los datos y la integridad
del sistema, proveen informacin relevante y
confiable, busca que se obtengan efectivamente
las metas organizacionales, el consumo eficiente
de los recursos y tiene un efecto sobre los
controles
internos
que
proveen
un
aseguramiento razonable de que los objetivos
operacionales y de control del negocio sern
alcanzados y que los eventos no deseados sern
*Manual preparacin
CISA prevenidos o detectados y corregidos
en una
ISACA
forma oportuna.

TIPOS DE AUDITORIA
Existen algunos tipos de auditora entre las que la
Auditora de Sistemas integra un mundo paralelo pero
diferente y peculiar resaltando su enfoque a la funcin
informtica.

Financiera (estados financieros)

Operacional (eficacia)
Sistemas (funcin informtica)
Fiscal (cumplimiento de leyes)
Administrativa ( funciones administrativas)
Calidad (producto)

Social

(contribucin a la sociedad)

Objetivos Generales de una

Auditora de Sistemas
Buscar una mejor relacin costo-beneficio de los sistemas automticos o
computarizados diseados e implantados por el PAD
Incrementar la satisfaccin de los usuarios de los sistemas
computarizados
Asegurar una mayor integridad, confidencialidad y confiabilidad de la
informacin mediante la recomendacin de seguridades y controles.
Conocer la situacin actual del rea informtica y las actividades y
esfuerzos necesarios para lograr los objetivos propuestos.
Seguridad de personal, datos, hardware, software e instalaciones
Apoyo de funcin informtica a las metas y objetivos de la organizacin
Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente
informtico
Minimizar existencias de riesgos en el uso de Tecnologa de informacin
Decisiones de inversin y gastos innecesarios
Capacitacin y educacin sobre controles en los Sistemas de Informacin

Justificativos para efectuar una

Auditora de Sistemas
Aumento considerable e injustificado del presupuesto del PAD
(Departamento de Procesamiento de Datos)
Desconocimiento en el nivel directivo de la situacin informtica de la
empresa
Falta total o parcial de seguridades lgicas y fisicas que garanticen la
integridad del personal, equipos e informacin.
Descubrimiento de fraudes efectuados con el computador
Falta de una planificacin informtica
Organizacin que no funciona correctamente, falta de polticas, objetivos,
normas, metodologa, asignacin de tareas y adecuada administracin
del Recurso Humano
Descontento general de los usuarios por incumplimiento de plazos y mala
calidad de los resultados
Falta de documentacin o documentacin incompleta de sistemas que
revela la dificultad de efectuar el mantenimiento de los sistemas en
produccin

CONTROLES:
Conjunto de disposiciones metdicas, cuyo fin
es vigilar las funciones y actitudes de las
empresas y para ello permite verificar si todo se
realiza conforme a los programas adoptados,
ordenes impartidas y principios admitidos
CLASIFICACION
Controles Preventivos
Controles detectivos
Controles correctivos

Ejercicio: Indique a que tipo de

control pertenece cada alternativa:
A. Controles de Acceso PREVENTIVO
S
Fsico.. PREVENTIVO
S
B. Segregacin de funciones
CORRECTI
VO
C. Procedimientos de
Respaldo de
DETECTIV
O
Seguridad.
D. Rastros de Auditora

PRINCIPALES CONTROLES FISICOS Y

LOGICOS

Autenticidad (identidad)
Exactitud (coherencia de datos)
Totalidad (evita omisin y garantiza conclusin)
Redundancia (duplicidad de datos)
Privacidad (proteccion de datos)
Existencia (disponibilidad de datos)
Proteccin de Activos (destruccin de soft y
hard)
Efectividad (asegura el logro de objetivos)
Eficiencia (uso optimo de recursos)

CONTROLES AUTOMATICOS O
LOGICOS
Periodicidad de cambio de claves de acceso (trimestralmente)
Combinacin de alfanumricos en claves de acceso
Individuales
Confidenciales
No significativas

Verificacin de datos de entrada

Conteo de registros
Totales de Control
Verficacin de limites
Verificacin de secuencias
Dgito autoerificador
Utilizar software de seguridad en los microcomputadores

Controles administrativos en un
ambiente de procesamiento de
datos
1.- Controles de Preinstalacin (adq Hw, sw
adecuado)

2.- Controles de
Planificacin
3.- Controles de
y Produccin
4.- Controles de
5.- Controles de
6.- Controles de

Organizacin y
Sistemas en Desarrollo
Procesamiento
Operacin
uso de

Texto Word

Controles administrativos en un
ambiente de Procesamiento de Datos
Controles de preinstalacion; Hacen referencia a procesos y
actividades previas a la adquisicin e instalacin de un equipo de
computacin y obviamente a la automatizacin de los sistemas
existentes
Controles de organizacin y planificacion; Se refiere a la definicin
clara de funciones, linea de autoridad y responsabilidad de las
diferentes unidades del rea PAD, en labores tales como: Disear un
sistema, Elaborar los programas, Operar el sistema Control de calidad
Controles de sistema en desarrollo
y produccion; Se debe
justificar que los sistemas han sido la mejor opcin para la empresa,
bajo una relacin costo-beneficio que proporcionen oportuna y efectiva
informacin, que los sistemas se han desarrollado bajo un proceso
planificado y se encuentren debidamente documentados.
Controles de procesamiento; Los controles de procesamiento se
refieren al ciclo que sigue la informacin desde la entrada hasta la
salida de la informacin.

Controles administrativos en un
ambiente de Procesamiento de Datos
Controles de operacin; Abarcan todo el
ambiente de la operacin del equipo central de
computacin y dispositivos de almacenamiento, la
administracin de la cintoteca y la operacin de
terminales y equipos de comunicacin por parte de
los usuarios de sistemas on line
Controles en el uso del microcomputador; Es
la tarea mas difcil pues son equipos mas
vulnerables, de fcil acceso, de fcil explotacin
pero los controles que se implanten ayudaran a
garantizar la integridad y confidencialidad de la
informacin

1.- Controles de Preinstalacin

(adq Hw, sw adecuado)

Actividades previas a adquisicin e instalacin de equipos de

computo
Garantizar que el hw y sw sean los adecuados
Elaborar inf tcnico de hw y sw.
Formar comit de adquisiciones
Elaborar plan de instalacin de hw y sw
Elaborar procedimientos y normas
Asegurar mantto y asistencia tecnica.

2.- Controles de Organizacin y

Planificacin

Funciones, lnea de autoridad, equipos de computo

Evitar que una misma persona tenga control de toda una
operacin.
Informtica debe estar en el nivel mas alto en la gestin
administrativa
Funciones de operacin, programacin, diseo de sistemas deben
estar bien definidas y delimitadas.
Debe existir una unidad de Control de calidad (in, out) del

3.- Controles de Sistemas en Desarrollo y Produccin

Justificar C/B de los sistemas, documentacin de los sistemas y planificacin.

El personal de auditoria debe intervenir en el diseo, para sugerir rutinas de control

Se debe obedecer a planes, normas, estndares.
Cada fase concluida, debe estar documentada y acta.
Los programas para pasar a produccin deben ser probados con datos aleatorios.
Todos los sistemas deben estar documentados: diagrama bloque, lgico, objetivo,
listado prg, formatos de salida, pruebas.
Implantar procedimientos: solicitud, cambios, ejecucin a programas.
Sistema concluido ser entregado al usuario, con manuales

4.- Controles de Procesamiento

Desde la In hasta la out de la informacin (asegurar procesamiento de todos datos,

exactitud, garantizar las pistas de auditoria, disponibilidad de la informacin )
Validar datos de entrada (cdigo autoverificador, totales x lotes)
Los datos son responsabilidad del usuario y su correccin.
Horarios para in de datos
Acciones para correccin de errores
Analizar la estandarizacin de formularios
Planificar mantto Hw, Sw, garantizando la integridad de la informacion

5.- Controles de Operacin

Operacin del equipo, almacenamiento, cintoteca, terminales,

equipos de comunicaciones on line.
Ingreso al Centro de computo solo a personal autorizado
Implantar claves para el mainframe a personal autorizado
Polticas de seguridad, privacidad, proteccin ante: incendios,
inundaciones, robo, etc.
Registro permanente (bitcora)
Backup deben ser dos (padres e hijos) preferentemente bvedas
bancos.
Todas las actividades del centro de computo deben estar
normadas, reglamentos.
Los proveedores debern proporcionar ( manual de: operacin,
manual programador, utilitarios, SO.
Instalaciones: alarma de fuego, humo, extintores, red elctrica
segura, etc.
Instalar: reguladores de voltaje, UPS, generadores de energa
Seguros para proteccin de informacin, personal, equipos,.

6.- Controles de uso de Microcomputadores

Los equipos son mas vulnerables, fcil acceso, fcil explotacin.

Adquirir: supresores de pico, estabilizadores, UPS.
Vencida la garanta, contratar mantto preventivo y correctivo
Procedimientos para backup de paquetes y archivos.
Verificacin peridica de los DD para verificar software no
relacionados a la empresa.
Procedimientos para deteccin de virus
Propender a la estandarizacin de SO. Bd, procesador de textos,
hoja electrnica, actualizar versiones.

AUDITORIA A APLICACIONES EN
FUNCIONAMIENTO
OBJETIVO DE LA AUDITORIA A APLICACIONES EN FUNCIONAMIENTO
Evaluar la efectividad de los controles existentes y sugerir nuevos
controles con el fin de minimizar riesgos y fortalecer el control de
PRINCIPALES CONTROLES A UNA APLICACIN
dichas aplicaciones.

SI STEMA DE I NFORMACI ON

ENTRADA
Documentos

I. Controles
In Datos
9/23/16

PROCESO

SALI DA
Informacin

II. Controles
III. Controles
Procesamiento
en la salida
de datos
19

19

I.

CONTROLES EN LOS INGRESOS DE DATOS

Detectan posibles errores en la digitacin
Ingresos de datos incompletos

Controles
preventivos

Ingresos repetidos u omisiones

PRINCIPALES CONTROLES EN LA CAPTURA DE DATOS

La pantalla de captura de datos debe ser similar a los documentos
fuente
La aplicacin debe tener adecuados mensajes de ayuda
Restringir el acceso de usuarios a las diferentes opciones de la
aplicacin

9/23/16

Verificar que cada pantalla de captura de datos sea de

obligatoria digitacin

20

 I.

CONTROLES EN LOS INGRESOS DE DATOS

En toda la aplicacin cada campo debe tener un formato de dato

apropiado
Establecer un limite para los datos numricos y campos fecha
para asegurar que los datos estn dentro de un limite. Por
ejemplo que la fecha de vencimiento de un crdito debe ser
posterior a la fecha de otorgamiento.
En la captura o modificacin de datos crticos debe dejarse una
pista de auditoria donde se identifique lo siguiente:
- Nombre del usuario
- Fecha y hora de creacin
- Valor del campo antes de actualizar
- Valor del campo despus de la actualizacin
Verificar que las pistas de auditoria sean revisadas por los
responsables
Al ingresar datos, el sistema debe ir verificando con los registros
de los archivos maestros para determinar su validez
9/23/16

Las pantallas con captura de datos numricos deben incluir el

21
ingreso totales de control

 I.

CONTROLES EN LOS INGRESOS DE DATOS

La aplicacin debe permitir imprimir listados de datos

ingresados
La aplicacin no debe permitir que los datos de los archivos
maestros, despus de haber tenido movimientos, puedan ser
borrados del sistema
Los nmeros de los documentos fuente o el numero de lote
no debe permitir ser ingresados para el procesamiento mas
de una vez.
Lo anterior se debe tener en cuenta para los documentos ya
existentes que requieran ser modificados
Si existen documentos rechazados por la aplicacin, sta
debe permitir mantener un archivo en suspenso para que
estas sean revisadas, analizadas y corregidas.

9/23/16

22

Los controles para este tipo de transaccin son los siguientes:

- Controlar y mantener un registro de las transacciones
rechazadas en un archivo
- La aplicacin debe permitir la impresin de los
documentos o transacciones rechazadas
- Antes de realizar un proceso de cierre el sistema debe
validar que las transacciones rechazadas hayan sido
corregidas o pendientes en el archivo en suspenso.

9/23/16

23

23

II.CONTROLES EN EL PROCESAMIENTO DE

DATOS

Los controles en el procesamiento de datos permiten identificar las

transacciones que son actualizadas en forma incorrecta o
incompleta
El ingreso de los documentos fuente para su procesamiento
debe generar nmeros consecutivos
Incluir en la aplicacin controles de balanceo programados tales
como:
- Balanceo de crditos y dbitos
- Saldo inicial del ciclo de procesamiento actual debe ser igual
al saldo final del ciclo anterior
- El saldo inicial ms las transacciones procesadas debe ser
igual al saldo final del ciclo
Incluir en la aplicacin controles de limite y razonabilidad sobre
los clculos
Cuando la aplicacin esta realizando algn proceso debe
mostrar un mensaje al usuario
9/23/16

24

. II.CONTROLES EN EL PROCESAMIENTO DE

DATOS

La ejecucin de procesos debe ser secuencial, el sistema debe

controlar que al realizar determinados proceso estn listos los
procesos previos a su ejecucin
Al realizar un proceso de cierre de todos los documentos
deben estar procesados completamente y no deben existir
documentos pendientes en el archivo en suspenso
Verificar la existencia totales de control para confirmar la
confiabilidad de las interfaces entre los diferentes mdulos o
aplicaciones
En los procesos crticos de la operacin debe dejarse una pista
de auditoria

9/23/16

25

III.CONTROLES EN LA SALIDA
Los controles en la salida sirven para verificar la exactitud,
funcionalidad, adems del adecuado uso y distribucin de los
reportes
Generar reportes por excepcin para verificar aspectos tales
como: cantidades poco frecuentes, transacciones que no
cumplen con las polticas de la compaa.

9/23/16

Generar listados o consultas por pantalla de los datos

producidos por el sistema con el fin de que sean revisadas y/o
autorizadas por los usuarios.

Los reportes que genera la aplicacin debe indicar en la ultima

pgina que ha finalizado. Para reportes confidenciales se debe
indicar la distribucin a los usuarios el tiempo de conservacin e
indicar que se debe hacer despus de su uso.

Cuando se anulan documentos en la aplicacin, esta no debe

permitir imprimirlos y para control se debe generar un reporte
26
de documentos anulados

. III.CONTROLES EN LA SALIDA

En la peticin de nuevos reportes por usuarios debe existir una

peticin escrita autorizada por el jefe del rea usuaria con su
respectiva justificacin
Verificar que los reportes generados sean lo suficientemente
completos para facilitar la toma de decisiones
Para los documentos que son titulo valor, verificar que tanto
los que se encuentran en blanco como los diligenciados, estn
adecuadamente controlados y se les haya asignado una
persona responsable de su inventario.

9/23/16

27

EJERCICIO: ANALISIS DE CASOS DE CONTROLES

ADMINISTRATIVOS

Controles sobre datos fijos

1.- Enuncie un control que hubiera prevenido el problema o
posibilitado su deteccin.
2.- Identifique uno o ms controles alternativos que hubieran
ayudado a prevenir o a detectar el problema.
Situacin 1: Un empleado del grupo de control de datos obtuvo un
formulario para modificaciones al archivo maestro de proveedores
(en blanco) y lo completo con el cdigo y nombre de un proveedor
ficticio, asignndole como domicilio el nmero de una casilla de
correo que previamente haba abierto a su nombre.
Su objetivo era que el sistema emitiera cheques a la orden del
referido proveedor, y fueran luego remitidos a la citada casilla de
correo. Cuando el listado de modificaciones al archivo maestro de
proveedores (impreso por esta nica modificacin procesada en la
oportunidad) le fue enviado para su verificacin con los datos de
entrada, procedi a destruirlo.

ALTERNATIVAS DE
SOLUCION
Los formularios para modificarse a los archivos
maestros
deberan
ser
prenumerados;
el
departamento usuario respectivo debera controlar
su secuencia numrica.
Los listados de modificaciones a los archivos
maestros no slo deberan listar los cambios
recientemente procesados, sino tambin contener
totales de control de los campos importantes,
(nmero
de
registros,
suma
de
campos
importantes, fecha de la ltima modificacin ,etc.)
que
deberan
ser
reconciliados
por
los
departamentos usuarios con los listados anteriores

Situacin 2: Al realizar una prueba de

facturacin los auditores observaron
que los precios facturados en algunos
casos no coincidan con los indicados
en las listas de precios vigentes.
Posteriormente se comprob que
ciertos cambios en las listas de precios
no haban sido procesados, razn por
la cual el archivo maestro de precios
estaba desactualizado.

ALTERNATIVAS
Uso de formularios prenumerados para modificaciones y
controles
programados
diseado
para
detectar
alteraciones en la secuencia numrica de los mismos.
Creacin de totales de control por lotes de formularios
de modificaciones y su posterior reconciliacin con un
listado de las modificaciones procesadas.
Conciliacin de totales de control de campos
significativos con los acumulados por el computador.
Generacin y revisin de los listados de modificaciones
procesadas por un delegado responsable. Revisin de
listados peridicos del contenido del archivo maestro de
precios.

Situacin 3 El operador del turno de la noche,

cuyos conocimientos de programacin eran
mayores de los que los dems suponan, modifico
(por consola) al archivo maestro de
remuneraciones a efectos de lograr que se
abonara a una remuneracin ms elevada a un
operario del rea de produccin con el cual
estaba emparentado. El fraude fue descubierto
accidentalmente varios meses despus.
Alternativas
Preparacin de totales de control del usuario y
reconciliacin con los acumulados del campo
remuneraciones, por el computador.
Aplicacin de control de lmites de razonabilidad