AUDITORIA DE SISTEMAS

CONCEPTO DE AUDITORIA DE
SISTEMAS
• Auditorius  Auditoría
• Auditor  tiene la virtud de oir y revisar
cuentas.
• Evaluar la eficiencia y eficacia con que se está
operando
• Señalar alternativas de acción para corregir
errores ó mejorar la forma de actuación.
• Revisión, evaluación y elaboración de un
informe para el ejecutivo encaminado a un
objetivo específico en el ambiente
computacional y los sistemas.
CONCEPTO DE AUDITORIA DE
SISTEMAS (2)
1. Verificar de qué manera se están aplicando
los controles en el área de actuación de la
Informática.

2. Examen y evaluación de los procesos y del

uso de los recursos que en ellos intervienen,
determinado el grado de eficiencia,
efectividad y economía de los sistemas de la
empresa, presentando conclusiones y
recomendaciones encaminadas a corregir las
deficiencias existentes y mejorar los
procesos.
CONCEPTO DE AUDITORIA DE
SISTEMAS (3)
 Proceso de recolección y evaluación de
evidencia para:
 * Determinar daños, Salvaguardar activos.
 * Evitar destrucción de datos, uso no
autorizado, robos.
 * Mantener Integridad de Información,
Presentar datos completos, oportunos,
confiables.
 * Alcanzar metas organizacionales,
Contribución de la función informática.
TIPOS DE AUDITORIA
 Financiera. Veracidad de los estados financieros, prácticas y
principios contables.

 Tributaria. Observa el cumplimiento del código tributario.

 Gestión. Analiza logros del proceso administrativo, funciones,

métodos, etc.

 Sistemas. Relativo a la función informática.

 Ambiental, Gubernamental, etc.

Tipos de auditoria de sistemas

• Desarrollo de sistemas.
• Operación.
• Bases de datos.
• Ofimática.
• Comunicaciones y Redes.
• Seguridad física y lógica.
AUDITORIA DE LA OPERACION
INFORMATICA
• La Operación Informática se ocupa de
producir resultados informáticos de todo tipo:
reportes, bases de datos, procesamiento de
documento, etc.
– Control de entrada de datos
– Planificación y Recepción de Aplicaciones
– Centro de Control y Seguimiento de Trabajos
– Operadores de Centros de Cómputos
– Centro de Control de Red y Centro de Diagnosis
AUDITORIA DE DESARROLLO DE
PROYECTOS
• Ciclo de vida de los sistemas
• Se utiliza metodología de desarrollo de Proyectos informáticos.
• Exigente control interno de todas las fases antes nombradas.
• Seguridad de los programas, Hacen la función prevista
AUDITORIA INFORMATICA DE
SISTEMAS
• Analiza la "Técnica de Sistemas" en todas sus
facetas.
• Sistemas Operativos.
• Sistemas multimediales.
• Software de Teleproceso.
• Administración de Base de Datos.
• Investigación y Desarrollo.
• Algunas áreas por su naturaleza se
independizan.
AUDITORIA INFORMATICA DE
COMUNICACIONES Y REDES
• Redes LAN, MAN, WAN
• Las Comunicaciones son el Soporte Físico-Lógico de la Informática en
Tiempo Real.
• Topología de la Red de Comunicaciones,
• Nùmero de líneas, cómo son y dónde están instaladas.
• Tipo de terminales, carga de la red, etc.
AUDITORIA DE LA SEGURIDAD
INFORMATICA
• Seguridad física y seguridad lógica.
• La Seguridad física se refiere a la protección
del Hardware y de los soportes de datos, así
como los edificios e instalaciones que los
albergan.
• La seguridad lógica se refiere a la seguridad
de uso del software, a la protección de los
datos, procesos y programas, así como la del
ordenado y autorizado acceso de los usuarios
a la información.
• Elaboración de "Matrices de Riesgo“.
OBJETIVOS DE LA AI (1)

 1) Optimizar el costo-beneficio de los sistemas.

 2) Satisfacción de los usuarios de los sistemas.
3) Asegurar integridad, confidencialidad y
confiabilidad de la información mediante la
recomendación de seguridades y controles.
 4) Conocer la situación actual del área
informática y las actividades y esfuerzos
necesarios para lograr los objetivos propuestos.
OBJETIVOS DE LA AI (2)
 5) Seguridad de personal, datos, hardware,
software e instalaciones
 6) Apoyo de función informática a las metas y
objetivos de la organización
 7) Seguridad, utilidad, confianza, privacidad y
disponibilidad en el ambiente informático
 8) Minimizar los riesgos en el uso de Tecnología
de información
 9) Decisiones de inversión y gastos innecesarios
 10) Capacitación y educación sobre controles en
los Sistemas de Información
Porqué realizar una AI?
 1) Aumento en el presupuesto del Dpto de informática.
 2) Desconocimiento de la situación informática.
 3) Niveles de inseguridades lógicas y físicas.
 4) Sospecha de fraudes informáticos.
 5) Falta de una planificación informática
 6) Organización que no funciona correctamente, falta de
políticas, objetivos, normas, metodología, asignación de
tareas y adecuada administración del Recurso Humano
 7) Descontento general de los usuarios por
incumplimiento de plazos y mala calidad de los
resultados
 8) Falta de documentación o documentación incompleta
de sistemas que revela la dificultad de efectuar el
mantenimiento de los sistemas en producción
CONTROLES

 Conjunto de disposiciones metódicas, diseñadas con el fin de vigilar

las funciones y actitudes de las empresas para verificar si todo se
realiza conforme a los programas adoptados, ordenes impartidas y
principios admitidos.
Clasificación de los controles
• Preventivos. Reducen la frecuencia con que ocurren las
causas del riesgo, permitiendo cierto margen de
violaciones. ("No fumar“, Sistemas de claves de acceso).

• Detectivos. Detectan los hechos después de ocurridos. .

Evalúan la eficiencia de los controles preventivos.
(Archivos y procesos que sirven como pistas de auditoria,
Procedimientos de validación)

• Correctivos. Ayudan a la investigación y corrección de

las causas del riesgo. Porqué ocurrió? Porqué no se
detectó? Qué medidas debo tomar?
Controles físicos (1)

• Autenticidad. Permiten verificar la identidad:

Passwords, Firmas digitales

• Exactitud. Aseguran la coherencia de los datos

Validación de campos, Validación de excesos

• Totalidad. Evitan la omisión de registros así

como garantizan la conclusión de un proceso de
envío: Conteo de registros, Cifras de control

• Redundancia. Evitan la duplicidad de datos:

Cancelación de lotes, Verificación de secuencias
Controles físicos (2)

• Privacidad: Aseguran la protección de los datos:

Compactación, Encriptación

• Existencia. Aseguran la disponibilidad de los datos:

Bitácora de estados, Mantenimiento de activos,
Protección de Activos, Destrucción o corrupción de
información o del hardware, Extintores

• Efectividad. Aseguran el logro de los objetivos: Encuestas

de satisfacción, Medición de niveles de servicio,

• Eficiencia. Aseguran el uso óptimo de los recursos:

Programas monitores,,Análisis costo-beneficio
Controles automáticos o lógicos

• Periodicidad de cambio de claves de acceso

• Combinación de alfanuméricos en claves de
acceso
• Verificación de datos de entrada.
• Conteo de registros.
• Totales de Control.
• Verificación de límites.
• Verificación de secuencias.
• Dígito autoverificador.