Auditora y Seguridad

de Sistemas de Informacin
Auditoria de Sistemas un Desafo
Principales Actividades de la
Auditora de Sistemas
 Nuevo Concepto de Auditora
Interna
Auditora interna es una actividad
independiente,objetiva y de consultora
diseada para agregar valor y mejorar las
operaciones de una organizacin. Ayuda a
una organizacin a cumplir sus objetivos
aportando un enfoque sistemtico,
disciplinado para evaluar y mejorar la
efectividad de la administracin del riesgo, el
control y los procesos de conduccin.
Nvo. Concepto de Auditora Interna
1. Es ms importante el aporte que hace a la
organizacin que su propia eficiencia.
2. Tiene que ser percibida como un valor
agregado a la organizacin.
3. Los auditores internos deben adoptar la
perspectiva de la cadena entera de valor.
4. Ver ms all de sus propios procesos
para reflejarse como conductores de
servicios organizacionales.
5. Los estndares y otras guas
profesionales no slo deben orientar la
profesin, sino tambin, lograr simbolizar
una calidad distintiva en el mercado.
 Nuevos retos a superar
Mayor productividad

Reduccin de costos

Mayor calidad y confiabilidad

Menor plazo de entrega de los trabajos

Servicios de valor agregado

 Tarea de Reflexion

Enumere 10 actividades
laborales o sociales en los
que la informatica este
presente y otras 10 en las
que no.
 Pero que comprende la
Informatica?
Tecnologa Informtica (Oferta)
Hardware y Software
Tecnologa de Comunicaciones y Base de datos
Metodologa para la construccin de aplicaciones.

APLICACIONES
Sistemas de Informacin (Demanda)
Necesidades de Informacin
Requermientos del Negocio
Impacto de los Sistemas de Inf.
La creciente dependencia en informacin y en los
sistemas que proporcionan dicha informacin .
La creciente vulnerabilidad y un amplio espectro de
amenazas, tales como las "ciber amenazas" y la
guerra de informacin
La escala y el costo de las inversiones actuales y
futuras en informacin y en tecnologa de
informacin;
El potencial que tienen las tecnologas para cambiar
radicalmente las organizaciones y las prcticas de
negocio, crear nuevas oportunidades y reducir costos.
Problemas que surgen de los
diagnsticos organizacionales
En el plan de negocios no se suele tener
presente al rea de informtica.
Problemas de procesos (duplicidad de
tareas, falta de conexin entre procesos, etc.)
Problemas de actualizacin tecnolgica soft,
hard y recursos humanos.
Falta del integracin del usuario al proceso
de desarrollo e implementacin.
Mal uso de recursos del negocio falta de
priorizacin de los proyectos.
Falta de Formalizacin de los procesos
 Impacto en la tarea de auditora

Cambio de las pistas de auditora

Adecuacin de las normas de auditora
a entorno computadorizado.
Pericia tcnica del auditor
Delito informtico
Privacidad
 Una definicin de Auditora de
Sistemas
Es un proceso formal que es llevado
adelante por especialistas en auditora y
en informtica a efectos de verificar y
asegurar que los recursos y procesos
involucrados en la construccin y
explotacin de los sistemas de
informacin cumplen con los
procedimientos establecidos y se ajustan
a criterios de integridad, eficiencia,
seguridad, efectividad y legalidad.
Principales reas de Actividad de la
Audit.Sist.
Auditora de la direccin (Plan Estratgico de
Sistemas)
Auditora del desarrollo (gestin de proyecto)
Auditora de la Adquisicin
Auditora Seguridad (Seguridad Fsica Plan
de Contingencias, evaluacin de riesgos,
seguridad lgica)
Auditora de la explotacin y Mantenimiento
(Utilizacin de sistemas, puesta en marcha,
cambios de programas)
Organizacin del Area de Auditora
Informtica Ubicacin
Departamento de Auditora Interna.
Independencia Funcional
Coordinacin con Auditora Tradicional
Direccin de Informtica
Dependencia Funcional
Problemas de administracin por parte del Gerente de
Informtica
Brinda mayor apoyo al rea de informtica
Staff de la Gerencia General
Mayor apoyo a la alta direccin
Mayor compromiso con los objetivos del negocio
Problemas para el seguimiento de las actividades del rea por
parte de la Gerencia General
Externa
Imposibilidad de contar con un rea propia
Mayor experiencia y amplitud de visin
Mayor nivel tecnolgico y de conocimientos
Problemas con el conocimiento del negocio
Organizacin del Area de Auditora
Informtica Principales Funciones
Evaluacin y verificacin de controles y procedimientos
relacionados con la funcin de informtica
Verificacin del uso eficiente de los SI.
Desarrollo de las actividades del rea de auditora inf. de
acuerdo a estndares normativos.
Evaluacin de las reas de riesgo y en consecuencia
planificacin de las tareas del rea.
Relaizar el monitoreo permanente de las actividades del
rea.
Realizar el monitoreo de la seguridad.
Monitoreo de la aplicacin de procedimientos.
Realizar una adecuada informacin y seguimiento de las
observaciones realizadas.
 Herramientas
Herramientas de escritorio. Base de datos,
Planillas de Clculo, Procesador de Texto,
Proyect, etc.
Herramientas que requieren conocimiento
tcnico especfico: SQL, programacin.
Herramientas de anlisis de datos: IDEA
,ACL
Herramientas que ayudan en todo el
proceso CAATs (Computer Assisted Audit
Techniques)
ACL
 Se solicitan Auditores para el
prximo milenio....

La Auditora ha cambiado de un enfoque de

viejas nociones reactivas hacia una actitud
proactiva, con una fuerte inclinacin hacia
deteccin de fraudes, monitoreo continuo y
capacidad para mejorar procesos del negocio

Fuente: Future Report: Audit and Data Analysis Technology

 SEGUNDA CLASE

1. Conceptualizacin
1.1 Auditora
Se define como un proceso sistemtico que
consiste en obtener y evaluar objetivamente
evidencias sobre las afirmaciones relativas los
actos y eventos de carcter econmico; con el
fin de determinar el grado de correspondencia
entre esas afirmaciones y los criterios
establecidos, para luego comunicar los
resultados a las personas i
 finalidad de la Auditoria
La Auditora es una funcin de direccin cuya
finalidad es analizar y apreciar, con vistas
alas eventuales las acciones correctivas, el
control interno de las organizaciones para
garantizar la integridad de su patrimonio, la
veracidad de su informacin y el
mantenimiento de la eficacia de sus sistemas
de gestin.
 Criterio de la Auditoria

1.2 Criterio de Auditora

Criterio de Auditoria: Polticas, practicas,
procedimientos o requerimientos contra los
que el auditor compara la informacin
recopilada sobre la gestin de calidad. Los
requerimientos pueden incluir estndares,
normas, requerimientos organizacionales
especficos, y requerimientos legislativos o
regulados.
 Auditoria de sistemas

1.3 Auditora en sistemas

Es la rama que se encarga de llevar a cabo la
evaluacin de normas, controles, tcnicas y
procedimientos que se tienen establecidos en una
empresa para lograr confiabilidad, oportunidad,
seguridad y confidencialidad de la informacin que
se procesa a travs de los sistemas de informacin.
La auditora de sistemas es una rama especializada
de la auditora que promueve y aplica conceptos de
auditora en el rea de sistemas de informacin
 Auditoria informtica

es la revisin y la evaluacin de los controles,

sistemas, procedimientos de informtica; de
los equipos de cmputo, su utilizacin,
eficiencia y seguridad, de la organizacin que
participan en el procesamiento de la
informacin, a fin de que por medio del
sealamiento de cursos alternativos se logre
una utilizacin ms eficiente y segura de la
informacin que servir para una adecuada
toma de decisiones.
 Auditoria informacin

La auditora de la informacin es una rama

especializada de la auditora que promueve y
aplica conceptos de auditora en el rea de
sistemas de informacin. El objetivo final que
tiene el auditor es dar recomendaciones a la
alta gerencia para mejorar o lograr un
adecuado control interno en ambientes de
tecnologa informtica con el fin de lograr
mayor eficiencia operacional y administrativa.
 Auditora en sistemas de
informacin

La auditora de los sistemas de informacin se

define como cualquier auditora que abarca la
revisin y evaluacin de todos los aspectos
(o de cualquier porcin de ellos) de los
sistemas
automticos de procesamiento de la inf
ormacin, incluidos los procedimientos n
o automticos relacionados con ellos y las
interfaces correspondientes.
 Auditora en sistemas de
informacin

Objetivos
Participacin en el desarrollo de nuevos
sistemas.
Evaluacin de controles
Cumplimiento de la metodologa.
Evaluacin de la seguridad en el rea
informtica.
Evaluacin de suficiencia en los planes de
contingencia
 Auditora
Evaluacin en sistemas
de suficiencia de de
en los planes
informacin
contingencia
Respaldos, proveer qu va a pasar si se presentan
fallas
Opinin de la utilizacin de los recursos informticos.
Control de modificacin a las aplicaciones existentes.
Participacin en la negociacin de contratos con los
proveedores.
Revisin de la utilizacin del sistema operativo y los
programas
Auditora de la base de datos.
Auditora de la red de teleprocesos.
Desarrollo de software de auditora.
 Auditora en sistemas de
informacin
PROCEDIMIENTOS DE LA AUDITORIA:
Se requieren varios pasos para realizar una auditoria de sistemas
de informacin. El auditor de sistemas debe evaluar los riesgos
globales y luego desarrollar un programa de auditoria que
consta de objetivos de control y procedimientos de auditoria
que deben satisfacer esos objetivos. El proceso de auditoria
exige que el auditor de sistemas rena evidencia, evale
fortalezas y debilidades de los controles existentes basado en
la evidencia recopilada, y que prepare un informe de auditoria
que presente esos temas en forma objetiva a la gerencia.
Asimismo, la gerencia de auditoria debe garantizar una
disponibilidad y asignacin adecuada de recursos para realizar
el trabajo de auditoria adems de las revisiones de seguimiento
sobre las acciones correctivas emprendidas por la gerencia.
Auditora en sistemas de
informacin
Auditora sistemas de informacin
Metodologa de la auditora de sistemas de
informacin
Existen algunas metodologas de Auditoras de
Sistemas de informacin y todas dependen
de lo que se pretenda revisar o analizar:
Estudio preliminar
Revisin y evaluacin de controles y
seguridades
Examen detallado de reas criticas
Comunicacin de resultados
Actividades sujetas a controles en
la auditoria
Actividades sujetas a controles en la auditoria
Las principales actividades sujetas a control seran las siguientes:
-operaciones de comercializacin: ventas, facturacin, reclamos
y service, devoluciones, solicitudes de crdito de cliente.
-operaciones de compra: requerimientos, seleccin de
proveedores, recepcin y almacenamiento.
-operaciones de consumo de materiales y mano de obra:
transporte y puesta en la lnea de programacin, identificacin
de tiempos de trabajo, liquidacin de sueldos.
-operaciones de ingresos y egresos de dinero: cobranzas,
rendiciones de cuentas, cuentas a pagar, planificacin de
pagos.
-operaciones de procedimientos de la informacin: sistemas de
registracin y contabilizacin de todas las operaciones
relevantes para controlar.
Conceptos de control interno y
externo:
El control interno es un conjunto de normas, procedimientos
coordinados y medidas adoptadas en la empresa con el fin de
salvaguardar los activos operacionales, verificar la confiabilidad
y seguridad de los datos contables, promover la eficiencia
operativa y estimular la adhesin a las prcticas establecidas
por la administracin.
El control interno apunta principalmente a satisfacerlos
requerimientos y necesidades gerenciales en orden a conseguir
eficiencia y economa en el uso de recursos y efectividad en los
resultados
El control externo, que se apoya en el interno, y verifica los actos
de los administradores y a la obligacin que stos tienen de dar
cuenta de los resultados de su gestin y del uso de las
atribuciones, facultades y recursos que el ordenamiento jurdico
y la sociedad ponen a su disposicin.
Controles en las Aplicaciones:

Los controles de aplicacin son aquellos controles o

revisiones correspondientes al alcance de las
aplicaciones o procesos de negocio, que incluyen la
edicin de datos para verificar su exactitud, la
diferenciacin de las funciones de negocio, el
registro de las transacciones, la generacin del
detalle de errores, entre tantos.
 Herramientas y tcnicas de
control:
Tcnicas:
-ocular: consiste en visualizar e forma directa y paralela la manera de como los
responsables de la administracin, desarrollan y documentan los procesos de la
empresa
-verbal: obtener informacin mediante el dialogo
-Escrita: registrar informacin que a juicio del auditor sea importante dentro del
trabajo.
-documental: anlisis guardados mediante comprobaciones, revisiones analticas.
Herramientas:
-cuestionarios
-entrevistas
-Checklist
-Software de auditorias
-diagramas de pescado
-diagrama de trebol
Objetividad de los controles:

Objetividad de los controles:

-Establecer estndares
-Medir el cumplimiento
-evaluar el alcance de los planes
-proteger y salva guardar los bienes y
activos de la empresa
-planear y evaluar el cumplimiento de las
actividades, funciones y operaciones de
la empresa