AR8378 - Módulo I

*
Profesor
Ing. Juan N. Mariñas R.
I. IMPORTANCIA DE LA AUDITORIA
1. El proceso Administrativo y la Auditoria

2. Conceptos Básicos de la Auditoría
3. Tipos de Auditorias
4. Tipos de Auditoría Informática
1. Con la computadora
2. Sin la computadora
3. Al sistema de cómputo
4. A la seguridad de los sistemas computacionales
5. A los sistemas de redes
5. Objetivos de la Auditoría
6. Auditoria de Redes
7. Auditoría Física
8. Auditoría de Sistemas Operativos
9. Auditoría de Sistemas en Producción
10. Auditoría de Bases de Datos
11. El Control como Sistema
12. Conceptos de Control
13. Objetivos del Control
1. Clasificación del Control
2. Controles Internos
El Proceso Administrativo y la Auditoría
• Examen crítico que se realiza con el

objetivo de evaluar la eficiencia y eficacia
de una sección o de una organización.
• No es una actividad mecánica
• Requiere de aplicar un juicio profesional,
sólido y maduro para juzgar los
procedimientos aplicados y los que
deben seguirse.
• ¿Por qué hacer una auditoría si dirijo una

empresa u organización?
• ¿Cómo saber qué tipo de auditoría debo
aplicar?
• Se puede proveer el servicio de auditoría
externa o interna
• El rol de la función de auditoría interna de
SI se debe establecer en un estatuto de
auditoría aprobado por la alta dirección
• Aspectos de responsabilidad que involucra la

función de los Ejecutivos de Auditoría
• Evaluar y reportar el grado Alineación
de alineación estratégica Estratégica
• Evaluar y reportar sobre Gestión de
las prácticas y resultados Riesgo
de la gestión de riesgo
corporativo
Entrega de
• Evaluar y reportar sobre la
Valor
eficiencia
• Aspectos de responsabilidad que involucra la

función de los Ejecutivos de Auditoría
• Evaluar e informar sobre el grado
Medición de
de efectividad de las medidas y
métricas en uso Desempeño
• Evaluar y reportar sobre la Gestión de
eficiencia o la gestión de recursos Recurso
• Evaluar y reportar sobre la
efectividad de los procesos de
aseguramiento realizados por las Aseguramiento
diferentes áreas de la organización del Proceso
• Resumiendo lo anterior, en base a la auditoría

que se realice, se van a precisar:
• Enfocar objetivos de la organización
• Pérdidas y deficiencias
• Mejores métodos y procedimientos de
trabajo
• Mejores formas de control
• Operaciones más eficientes
• Mejor uso de los recursos
• Aumento de la calidad
Conceptos Básicos de la Auditoría
• Organización de la función de auditoría

• Se debe declarar mediante un estatuto
de auditoría
• Debe ser de criterio independiente
• Estblecer objetivos dela gerencia de
auditoría
• Delegación de autoridad
• Alcance y responsabilidades
• Enfoque de auditoría basado en riesgo

• Según el nivel de riesgo, se
establecen los controles a aplicar
• Agrega más valor
• Diferenciar
• Objetivos de control
• Objetivo del control
• Procedimientos de control
• Planificación de la auditoría
• Corto plazo
• Toma en cuenta aspectos relevantes de
la auditoría que se cubrirán durante un
año
• Largo plazo
• Toma en cuenta aspectos relacionados
con riesgos según los cambios en la
dirección estratégica
• Consideraciones de parte del auditor que

afectan el enfoque de la auditoría
• Resultados de evaluaciones periódicas
de riesgo
• Cambios en la aplicación de la tecnología
• Evolución de aspectos de privacidad
• Requerimientos regulatorios
• Comprensión general de las diversas
prácticas y funciones del negocio
• Estándares y directrices de Auditoría de

SI que se deben seguir
• Código de Ética Profesional de ISACA
• Marco General de Estándares de
Auditoría de SI de ISACA (16)
• Guías o Directrices de Auditoría de SI de
ISACA (40)
• Procedimientos de Auditoría de SI de
ISACA (11)
• Otros Marcos de Trabajo

• CoBIT
• ITAFTM
• ISO 27001
• ISO 17799
• ITIL
• Otros
• Estándares Generales
• Estatuto de Auditoría
• Independencia
• Ética Profesional y Estándares
• Competencia Profesional
• Planificación
• Ejecución del Trabajo de Auditoría
• Reportes
• Actividades de Seguimiento
• Estándares Generales
• Irregularidades y Actos Ilegales
• Gobierno de TI
• Uso de la Evaluacción de Riesgos en la
Planificación de Auditoría
• Materialidad de la Auditoría
• Uso del Trabajo de Otros Expertos
• Evidencia de Auditoría
• Controles de TI
• Comercio Electrónico
• Terminología
• Control • Programa de
• Objetivo de Control Auditoría
• Evento • Evidencia
• Amenaza • Hallazgo
• Vulnerabilidad • Auditoría
• Impacto Continua
• Riesgo • CAATs
• Activos • GAS
• Objetivo de Auditoría • Políticas
Tipos de Auditoría
• Clasificación de las Auditorías

• Auditorías Financieras: determinar la
exactitud financiera de una organización
• Implica pruebas sustantivas detalladas
• Prueba Sustantiva: aquella que se aplica
para evaluar la integridad de transacciones
individuales, datos u otra información
• Relaciona la integridad y confiabilidad de la
información financiera
Tipos de Auditoría

• Auditorías Operativas: evalúa la estructura
del control interno en un proceso o área
determinada
• Ejemplos
• Auditoría de SI sobre controles de
aplicaciones
• Auditoría de sistemas de seguridad
lógica
Tipos de Auditoría

• Auditorías Integradas: combina pasos de
auditoría financiera y operativa
• Evalúa objetivos generales dentro de una
organización
• Información financiera
• Salvaguarda de activos
• Eficiencia y cumplimiento
• Incluye pruebas de cumplimiento: cumplimiento
de procedimientos en la organización
Tipos de Auditoría

• Auditorías Administrativas: evalúa
aspectos relacionados con la eficiencia de
la productividad operativa dentro de la
organizacción
• Debe considerarse como parte de la
auditoría del área informática
• Se evalúan objetivos, planes, metas,
políticas, procedimientos,
organización,funciones, entre otros
Tipos de Auditoría

• Auditorías de SI: recolecta y evalúa la
evidencia para determinar si los sistemas
de información:
• Protegen adecuadamente los activos
• Mantienen la integridad y disponibilidad de los
datos y del sistema
• Proveen información relevante y confiable
• Logran de forma efectiva las metas
organizacionales
• Usan los recursos de forma eficiente
• Tienen controles internos adecuados
Tipos de Auditoría

• Auditorías Especializadas: son aquellas
que examinan áreas que requieren una
revisión especializada
• Ejemplos
• Servicios realizados por terceros
• SAS 70 (Standard Audit Statement 70) define
estándares profesionales usados por un auditor
de servicios para evaluar controles internos de
una organización de servicios
Tipos de Auditoría

• Auditorías Forenses: especializada en
descubrir, revelar y hacer seguimiento a
fraudes y crímenes
• Propósito principal: desarrollo de evidencia
para ser revisada por autoridades policiales
y judiciales
• Participación en en investigaciones de
fraude corporativo y crimen cibernético
• ¿Qué incluye una investigación de cómputo
forense?
Tipos de Auditoría Informática
• Dependiendo del objetivo o la forma en

que se realice una auditoría informática,
la misma se puede llevar a cabo:
• Aplicando diferentes técnicas
• Aplicando diferentes herramientas
• Definiendo alcances específicos
• Lo cierto, es que debe aplicar una
metodología que le permita cubrir todas
las fases del proceso de auditoría
• Con la Computadora
• Auditoría que se realiza con el apoyo
de los equipos de cómputo y sus
programas para evaluar cualquier tipo
de actividades y operaciones, no
necesariamente computarizadas pero
sí susceptibles de ser automatizadas
• Aprovecha la computadora y sus
programas para la evaluación
• Con la Computadora
• Utilizada como herramienta de apoyo
• Permite aplicar el uso de software
generalizado de auditoría (GAS)
• Permite aplicar el uso de software
especializado para evaluar el
contenido de archivos
• Con la Computadora - Aplicación

• Auditoría de sistemas computacionales
• Rendimiento y aprovechamiento de HW/SW
• A los métodos y sistemas de seguridad
• Rendimiento y aprovechamiento de los
sistemas computacionales
• Productividad del procesamiento de
información (cantidad, calidad, confiabilidad,
oportunidad, veracidad, integridad)
• Sin la Computadora
• Aquella en la que métodos, técnicas y
procedimientos están orientados
únicamente a la evaluación tradicional del
comportamiento y validez de las
transacciones económicas, administrativas
y operacionales de un área de cómputo
• Aspectos que afectan a las actividades en
las que se utilizan sistemas informáticos
• Sin la Computadora
• Se aplican técnicas y herramientas
manuales de revisión de información
• Diseñar diagramas de flujo para
entendimiento del negocio
• Uso de registros e informes de auditoría
• Revisión de la documentación
• Observación, consultas, inspección y
verificación
• Sin la Computadora - Aplicaciones

• Actividad administrativa del centro de cómputo
• Gestión financiera del centro de cómputo
• Operación de los sistemas
• Desarrollo de los proyectos de sistemas
computacionales
• Técnicas y sistemas de procesamiento
• Sistemas de seguridad y prevención de
contingencias
• Consumibles para el funcionamiento de los
sistemas
• Uso y acceso a los sistemas y programas
computacionales
• Al Sistema de Cómputo
• Auditoría técnica y especializada
• Enfocada únicamente en la evaluación del
funcionamiento y uso correcto del equipo de
cómputo (HW, SW, periféricos asociados)
• Evaluación desde el punto de vista lógico
• Evaluación de elementos que ayudan a su
funcionamiento
• Funciones de personal y usuarios
• Información, telecomunicaciones
• Otros componentes del sistema
• Sistema computacional según las
características del hardware
• Sistema computacional según las
características del software
• Diseño lógico del sistema
• Diseño físico del sistema
• Administración y control de accesos y
salidas de datos
• Administración y control de
procesamiento de datos
• Controles de almacenamiento
• Seguridad del sistema computacional
• Controles adicionales para la operación
del sistema
• Administración del área de sistemas
computacionales
• Al Sistema de Cómputo – En síntesis

• Implica la revisión de la estructura
organizativa
• A los sistemas y aplicaciones críticas
• Al los controles existentes aplicados
• A los procedimientos de trabajo
• Funciones del personal
• Seguridad y continuidad de operación
• Riesgos involucrados
• Controles ambientales
• A la Seguridad de los Sistemas

Computacionales
• Revisión exhaustiva, técnica y especializada
a todo lo relacionado a la seguridad de un
sistema computacional
• Revisa
• Áreas, personal, actividades, funciones
• Acciones preventivas y correctivas
• Equipos, bases de datos, redes, sistemas,
instalaciones, usuarios, planes de
contingencia

Computacionales – Evaluar Impacto
• Sistemas y dispositivos
• Información institucional y BBDD
• SO, lenguajes, programas, paquetes, utilería
• Activos de TI
• Personal y usuarios de TI
• Protección y conservación de instalaciones
• Arquitectura de telecomunicaciones
• Sistemas de redes, PCs, mainframes
• Piratería y virus informáticos

Computacionales
• Implica la revisión de la estructura
organizativa
• Sistemas y aplicaciones críticas
• Controles de acceso lógicos y físicos
• Procedimientos de trabajo
• Funciones y compatibilidad de las mismas
• Seguridad y riesgos involucrados

Computacionales
• Mantenimientos
• Monitoreo y Desempeño
• Continuidad de servicios
• Gestión de incidentes
• Concienciación de usuarios
• Administración de la seguridad
• A los Sistemas de Redes

• Revisión especializada y técnica que
evalúa los tipos de redes, arquitectura,
topología, protocolos de comunicación,
conexiones, privilegios de acceso,
seguridad, administración
• Se debe hacer una evaluación del diseño,
instalación y aprovechamiento de la red
de cómputo

• Seguridad de la LAN
• Riesgos y Problemas de la LAN
• Seguridad Cliente-Servidor
• Amenazas y seguridad inalámbrica, de
Internet y dispositivos móviles
• Controles y procedimientos
• Configuración de dispositivos de red
• Configuración de sistemas operativos

• Encriptación, Firmas digitales,
Certificados digitales
• Control de virus
• Recursos sobre tecnología IP
• Controles de acceso lógico y físico a
datos e información
• Pruebas de penetración
Objetivos de la Auditoría
• Se refieren a las metas específicas que

deben cumplirse por parte de la auditoría
• Objetivo del control: se refiere a cómo
debería funcionar un control interno
• Una auditoría puede incorporar varios
objetivos de auditoría
• Se centran en validar que existen controles
internos para minimizar los riesgos del
negocio y que funcionan como se espera
• Incluyen el aseguramiento del

cumplimiento con:
• Requerimientos legales
• Requerimientos regulatorios
• Confidencialidad, integridad, confiabilidad y
disponibilidad de recursos de información y
de TI
• Elemento Clave en la Planificación: traducir
los objetivos de la auditoría en objetivos
específicos de auditoría
• Ejemplo:
• En una auditoría financiera/operacional, un
objetivo de control interno podría ser
asegurar que las transacciones sean
debidamente registradas en las cuentas del
libro mayor del sistema contable
• En la auditoría de SI, el objetivo podría
ampliarse para asegurar que existen
funciones de edición para detectar errores en
la codificación de las transacciones
Auditoría de Redes
• Las redes se desarrollan a partir de la

necesidad de compartir recursos de
información residentes en diferentes
dispositivos informáticos
• El auditor debe manejar información y
conocimiento sobre la infraestructura de
las redes de SI
• Se hace importante si el auditor ha tenido
experiencia práctica o de campo
Auditoría de Redes
• El auditor de SI debe tener conocimientos

sobre:
• La arquitectura de redes empresariales
• Interconexión, redes LAN y WAN,
funciones de TI en segmentos de red,
aplicaciones front-end, servidores de
aplicaciones, software de emulación,
acceso a sistemas back-end
• Tipos de redes
• PAN, LAN, WAN, MAN, SAN
Auditoría de Redes

sobre:
• Servicios que se manejan en las redes
• Características funcionales habilitadas por
las aplicaciones apropiadas del SO
• Se solicitan a través de llamadas a
interfaces
• Ej.: Sistema de archivos en red, correo
electrónico, impresión, acceso remoto,
directorio, gestión de redes, DHCP, DNS
Auditoría de Redes

sobre:
• Estándares y protocolos de red
• Creación de un entorno integrado
• Interoperabilidad, Disponibilidad,
Flexibilidad, Mantenimiento
• Arquitectura OSI (7 capas) y su aplicación
• Aplicación, Presentación, Sesión,
Transporte, Red, Enlace de Datos, Física
Auditoría de Redes

sobre:
• Fundamentos y especificaciones de LANs
• Especificaciones de los medios físicos
• Topologías y protocolos de redes LAN
• Tecnologías LAN de acceso a medios
• Componentes del LAN
• Técnicas de transmisión de mensajes WAN
• Dispositivos WAN
Auditoría de Redes

sobre:
• Tecnologías WAN (x.25, PPP, Frame Relay,
ISDN, ATM, MPLS, xDSL, VPN, redes wireless)
• Wireless LAN (WiFi, Bluetooth, RF, redes Ad
Hoc), WAP
• TCP/IP y servicios de Internet
• Gestión de red
• Tecnología Cliente-Servidor
• Conceptos de Middleware
Auditoría de Redes
• Aspectos a considerar en una revisión de

infraestructura de Red:
• Controles físicos
• Dispositivos de HW de red
• Servidor de archivos
• Documentación
• Registros de llave
• Armario de cableado de red y transmisión
• Instalación del servidor
Auditoría de Redes
• Aspectos a considerar en una revisión de

infraestructura de Red:
• Controles de seguridad lógica
• Contraseñas
• Acceso de usuario a la red
• Solicitudes de cambio a acceso a la red
• Planes de prueba
• Informes de seguridad
• Mecanismos de seguridad
• Procedimientos de operación de red
• Entrevistas a responsables y usuarios
Auditoría Física
• Tiene que ver con revisiones que se

relacionan al ambiente físico de las
instalaciones, equipos, ambiente y su
proceso de administración
• La exposición física y ambiental se debe
principalmente a eventos que ocurren
naturalmente
• De igual forma, pueden darse eventos
provocados que deben considerarse
Auditoría Física
• Exposiciones de Acceso Físico

• La exposición física podría tener como
consecuencia:
• Pérdida financiera
• Repercusiones legales
• Pérdida de la credibilidad
• Pérdida de la ventaja competitiva
• Origen o causas
• Peligros naturales o artificiales
• Accesos no autorizados y falta de
disponibilidad de información
Auditoría Física
• Exposiciones de Acceso Físico

• Acceso no autorizado
• Daño, vandalismo, robo de equipos o
documentos
• Copia o visualización de información
sensible o patentada
• Alteración de equipos o información sensible
• Revelación pública de información sensible
• Abuso de los recursos de PED
• Chantaje
• Fraude
Auditoría Física
• Posibles Perpetradores
• Empleados (descontentos, huelga, en
sanción disciplinaria, adictos, con problemas
financieros/emocionales, despedidos)
• Antiguos empleados
• Personas ajenas interesadas o informadas
• El ignorante accidental
• La fuente más probable es la persona no
informada, accidental o que no sabe
• El impacto mayor puede proceder de personas
con intenciones maliciosas
Auditoría Física
• Instalaciones que deben ser protegidas

• Área de programación, sala de computador
• Consolas y terminales de operación
• Bibliotecas de medios de almacenamiento
• Salas de almacenamiento y suministros
• Sitios externos de almacenamiento de
archivos
• Sala de control de entrada/salida
• Armario de comunicaciones
• Equipo de telecomunicaciones
• Microcomputadoras, PCs, laptops
Auditoría Física
• Instalaciones que deben ser protegidas

• Fuentes de energía
• Sitios de disposición de desechos
• Establecimientos de minicomputadoras
• Líneas de comunicación
• Unidades de control y procesadores de
entrada (front-end)
• Equipos portátiles (scanners, codificadores,
lectores de barra, impresoras, etc.)
• Impresoras locales y remotas
• Redes de área local
Auditoría Física
• Controles de Acceso Físico

• Cerraduras de pestillo
• Cerraduras de combinación
• Cerraduras de puertas electrónicas
• Cerraduras de puertas biométricas
• Registro manual (log de visitas)
• Registro electrónico (logging)
• Tarjetas de identificación (con fotografía)
• Cámaras de video (CCTV)
• Guardias de seguridad
Auditoría Física
• Controles de Acceso Físico

• Acceso controlado de visitantes (escoltas)
• Personal afianzado
• Puertas esclusa
• No publicitar la ubicación de áreas sensibles
• Bloqueo de las terminales de computadoras
• Punto único de entrada controlado
• Sistema de alarma
• Carretilla segura de distribución de
documentos
• Ventanas
Auditoría Física
• Áreas de preocupación son las fallas de

energía, inundación y sistemas de soporte
ambiental y de seguridad
• Tipos de fallas de energía según la
duración y severidad relativa de falla
• Falla total o apagón
• Caídas de voltaje o Voltaje severamente
reducido
• Depresiones, picos y sobre voltajes
• Interferencia Electro Magnética (EMI)
Auditoría Física
• Falla Total o Apagón

• Pérdida total de energía
• Causas climatológicas, accidentes,
incapacidad de atención de la demanda
• Caídas de voltaje o Voltaje severamente
reducido
• Falla en recibir el voltaje aceptable de una
compañía proveedora
• Pone un esfuerzo adicional a los equipos
electrónicos
• Reduce su tiempo de vida o los daña
Auditoría Física
• Depresiones, picos y sobre voltajes

• Disminuciones o aumentos temporales y
rápidos en los niveles de voltaje
• Pueden causar pérdida y corrupción de
datos, errores de transmisión de red, daño
físico a dispositivos de hardware (discos,
memorias, motherboards)
• Interferencia Electro Magnética (EMI)
• Causada por tormentas eléctricas o equipo
eléctrico ruidoso (motores, luces
fluorescentes, transmisores de radio)
Auditoría Física
• Dependiendo del tipo de interrupción se

pueden utilizar:
• Protectores de voltaje
• UPSs
• Generadores eléctricos (plantas eléctricas)
• Daño por agua o inundación
• Independiente de la ubicación, alta o baja
• En pisos superiores puede ocurrir por daños
de tuberías de agua rota, filtraciones,
desbordamiento de baños, etc.
Auditoría Física
• Daños o amenazas provocadas por el

hombre
• Amenazas y/o ataques terroristas
• Vandalismo
• Choque eléctrico
• Fallas de equipos
• Las organizaciones deben evaluar
diversas situaciones respecto a los
problemas y exposiciones ambientales
Auditoría Física
• Cuestionamientos como:
• Suministro de energía de equipos de
cómputo vs especificaciones del fabricante
• Sistemas de control de A/A, humedad,
ventilación adecuados según las
especificaciones del fabricante
• Protección contra electricidad estática
• Limpieza contra polvo, humo y otras
partículas de materia como comida
• Política de consumo de alimentos y tabaco
• Protección a los medios de respaldo
Auditoría Física
• Controles para las Exposiciones

Ambientales
• Paneles de control de alarmas
• Detectores de agua
• Extintores manuales de incendio
• Alarmas manuales de incendio
• Detectores de humo
• Protectores de voltaje
• Ubicación estratégica de la sala de
computadoras
Auditoría Física

Ambientales
• Sistemas de supresión de incendio
• Inundación total: agente de extinción
dentro de espacio cerrado
• Aplicación local: agente de extinción
directo a un incendio
• Sistemas basados en agua (rociadores) de
tubería seca o cargada, rociadores
automáticos, Halon, FM-200TM, Argonite,
sistemas de CO2
Auditoría Física

Ambientales
• Inspección periódica del departamento de
bomberos
• Paredes, pisos y techos alrededor del centro
informático a prueba de incendios
• Generadores ininterrumpidos de energía
eléctrica (UPS)
• Switches de energía de emergencia
• Líneas de energía paralela
Auditoría Física

Ambientales
• Cableado colocado en paneles y conductos
eléctricos
• Actividades inhibidas dentro de las FPI
• Materiales de oficina resistentes al fuego
• Planes documentados y probados de
evacuación
Auditoría de Sistemas Operativos
• Áreas y Aspectos a considerar en una

revisión de auditoría de sistemas operativos:
Procedimientos de selección de Cumplimiento de planes de SI,
software de sistema requerimientos de SI,
procesamiento y control de SI,
alineación con objetivos del
negocio, capacidades del SW
Estudio de viabilidad y factibilidad Objetivos y fines propuestos
Proceso de selección consistentes con la solicitud,
criterios aplicados, análisis costo
beneficio de procedimientos de
software, estabilidad financiera del
proveedor, capacitación, costo de
mantenimiento

Software de seguridad del sistema Procedimientos para evitar la
evasión de controles de acceso
lógico, capacidad de interrupción
del sistema, administración de
parches, actualización,
disposiciones de seguridad física y
lógica
Implementación de software del Controles en procedimientos de
sistema cambio, autorización,
documentación controles de
acceso, pistas de auditoría

Documentación de autorización Documentación de adiciones,
eliminaciones o cambios
autorizados, existe documentación
de intentos de violación,
seguimiento
Documentación del sistema Se documentan adecuadamente las
áreas de estados de control de
instalación, tablas de parámetros,
definiciones de salida,
registros/informes de actividad

Actividades de mantenimiento de Disponibilidad de documentación
software del sistema de cambios realizados al software
de sistema, versiones actuales de
software respaldadas por el
proveedor
Controles de cambios al software Acceso limitado a las bibliotecas de
del sistema SW a personas autorizadas,
cambios al SW documentados y
probados adecuadamente, SW
autorizado del ambiente de prueba
al ambiente de producción

Controles sobre la instalación del Implementación de niveles de
software del sistema cambiado software, actualizaciones
anteriores, impacto de los
cambios, plan escrito para probar
cambios, ofrecimiento de garantías
razonables, conclusión de pruebas
según lo planificado, problemas
encontrados resueltos y probados
nuevamente, establecimiento de
procesos de reversión o
restauración
Auditoría de Sistemas en Producción
• Tiene que ver con la revisión a sistemas,

procesos, aplicaciones, procedimientos
que se utilizan en la operación del día a día
dentro de una organización
• Involucra la revisión de controles de
captura, procesamiento y salida de datos
• Proceso de administración y
aseguramiento de los datos y tareas de
recuperación, acceso a la información
Auditoría de Bases de Datos
• Cuando se audita una base de datos, se

debe revisar:
• El diseño
• El acceso
• La administración
• Las interfaces
• La portabilidad
• Los controles de SI que admite la BD

revisión de auditoría de BD
Esquema lógico Existen todas las entidades que
contienen el diagrama E-R como
tablas o vistas, especificación de
limitaciones claras, relaciones
representadas mediante claves
externas, etc.
Esquema físico Asignación de espacio y extensión
y áreas temporales, existencia de
índices por calves primaria o de
acceso frecuente, la falta de
regulación por estándares está
justificada

Informes de tiempo de acceso Uso de índices para minimizar
tiempos de acceso, construcción
correcta de índices, búsquedas
abiertas sin índices están
justificadas
Controles de seguridad de la base Identificación de niveles de
de datos seguridad adecuados para todos los
usuarios y sus funciones,
justificación de los derechos de
acceso para usuarios y grupos

Interfaces con otros programas o Procedimientos de importación y
software exportación afectan la integridad y
confidencialidad de datos,
procedimientos para manejo de
consistencia e integridad durante
accesos simultáneos
Procedimientos de respaldo y Existen procedimientos de
recuperación ante desastres respaldo y recuperación ante
desastres para asegurar la
confiabilidad y disponibilidad de la
base de datos

Controles de SI respaldados por la Acceso a datos compartidos es
base de datos apropiado, procedimientos de
cambio aseguran integridad del
software de administración de BD,
redundancia de datos minimizada,
dónde existe redundancia,
referencia cruzada entre
diccionario de datos o de otra
documentación, integridad del
diccionario de datos del sistema de
administración de BD
El Control como Sistema
• Definición de sistema
• Conjunto de elementos interrelacionados que
pretenden satisfacer un fin
• CONTROL COMO SISTEMA: Está
compuesto por un ciclo fundamental de
comportamiento que consiste en
• Insumos de entrada
• Proceso
• Resultados en salidas
• Retroalimentación para corregir
desviaciones
Entrada Proceso Salida
Se determinan los Se analiza y se Se establecen las

objetivos y planes compara lo desviaciones de lo
realmente inicialmente
Se establecen los alcanzado con lo esperado
estándares de esperado
medición
Retroalimentación
Se informa y se elaboran acciones

correctivas
Fuente: Auditoría en Sistemas Computacionales. C. Muñoz Razo

• Definición de control (tomado del glosario

de COBIT 4.1)
• Las políticas, procedimientos, prácticas y
estructuras organizacionales diseñadas para
proporcionar una garantía razonable de que
los objetivos del negocio se alcanzarán y los
eventos no deseados serán prevenidos o
detectados
• Modelo de control
• El control como sistema
establece o define los
mecanismos que se deben
aplicar para lograr la
eficiencia de los distintos
procesos dentro de una
organización
• Se establece desde la
definición de normas,
estándares y políticas
• Modelo de control
• Actúa sobre los procesos,
actividades y recursos en un
flujo de aplicación
• A un control se le define un
ciclo de vida en virtud de los
cambios y evolución de las
actividades del negocio, la
tecnología y la organización
• Debe ser monitoreado y
mantenido
Conceptos de Control
• Suceso que ocurre en un sistema

• Suceso imprevisto, hecho, acontecimiento
• Un incidente u ocurrencia que emana de

fuentes internas o externas a una entidad
que podrían afectar la implantación de
una estrategia o logro de objetivos
CONCEPTOS DE ADMINISTRACIÓN DE RIESGOS
Conceptos de Control - Definiciones
– Robert B. Buchele: El proceso de medir los actuales resultados

en relación con los planes, diagnosticando la razón de las
desviaciones y tomando las medidas correctivas necesarias.
– George R. Terry: El proceso para determinar lo que se está
llevando a cabo, valorización y, si es necesario, aplicando
medidas correctivas, de manera que la ejecución se desarrolle
de acuerdo con lo planeado.
– Robert Eckles, Ronald Carmichael y Bernard Sarchet: Es la
regulación de las actividades, de conformidad con un plan
creado para alcanzar ciertos objetivos.
– Chiavenato: El control es una función administrativa: es la fase
del proceso administrativo que mide y evalúa el desempeño y
toma la acción correctiva cuando se necesita. De este modo, el
control es un proceso esencialmente regulador.
– MI DEFINICIÓN DE CONTROL
• ¿Qué es un evento?
• Suceso que ocurre en un sistema

• Suceso imprevisto, hecho, acontecimiento
• Un incidente u ocurrencia que emana de

fuentes internas o externas a una entidad
que podrían afectar la implantación de
una estrategia o logro de objetivos
• ¿Qué es una amenaza?
• Cosa o persona que constituye una posible

causa de riesgo o perjuicio para alguien o algo
• Fenómeno o proceso natural o causado por el
ser humano que puede poner en peligro a un
grupo de personas, sus cosas y su ambiente,
cuando no son precavidos
• Eventos que pueden desencadenar un
incidente en la organización, produciendo
daños materiales o pérdidas inmateriales en
sus activos
• ¿Qué es una vulnerabilidad?
• Incapacidad de resistencia cuando se presenta una

amenaza o incapacidad de reponerse a un desastre
• En términos de Seguridad de la Información, una
vulnerabilidad es una debilidad en los procedimientos
de seguridad, diseño, implementación o control
interno que podría ser explotada (accidental o
intencionalmente) y que resulta en una brecha de
seguridad o una violación de la política de seguridad
de sistemas
• Situaciones que pueden aumentar la vulnerabilidad
• ¿Qué es riesgo?
• Amenaza que un evento, acción o

situación puede afectar a la empresa en
el logro de sus objetivos y metas
• Es la probabilidad de que una amenaza
se convierta en un desastre
– La vulnerabilidad o las amenazas, por
separado, no representan un peligro. Pero si
se juntan, se convierten en un riesgo, o sea,
en la probabilidad de que ocurra un desastre
• Activos
– Constituyen los recursos económicos en general que posee
una empresa
– Que se espera beneficiarán las operaciones futuras de esta en
cuestión
– Pueden ser físicos
• locales en que desempeña labores
• edificios de los que son propietarios
• maquinaria o mercancía
– Pueden ser intangibles
• no existen de manera física
• ciertos derechos legales y títulos
• cuentas por cobrar
• inversiones, marcas de la empresa, etc.
• Impacto
– Choque de un objeto que se lanza con fuerza

contra algo
– Huella o señal que deja este choque
– Golpe emocional producido por una noticia
dramática o desconcertante
– Impresión que causa desconcierto por un
acontecimiento
– Efecto producido en la opinión pública por un
acontecimiento, una disposición de la autoridad,
una noticia, una catástrofe, etc.
• Diferencia entre evento y riesgo
• Relación entre
– Evento – Activos
– Amenaza
– Vulnerabilidad – Impacto
– Riesgo
– Control
• ¿Cómo identificamos eventos y evaluamos
riesgos?
Amenazas
Vulnerabilidades
Riesgos
ACTIVOS
• Elementos de Riesgo
AMENAZAS CONTROLES ACTIVOS

VULNERABILIDADES
IMPACTO
TERRORISMO ALTO NO HAY PERSONAS

SABOTAJE INSTALACIÓN
EMPLEADOS DATOS
FALLAS DE MODERADO PLANTA SOFTWARE
ENERGÍA ELÉCTRICA APLICACIONES
EQUIPOS
TORNADOS CERO TELECOM.
PROBABILIDAD CLIENTES
• Eventos Externos
– Económicos
– Sociales
– Políticos
– Tecnológicos
– Ecológicos Identificación
de Eventos
• Eventos Internos Y Riesgos
– Estrategia
– Estructura Organizacional
– Procesos
– Personas
– Cultura
– Tecnología
• Análisis FODA
FORTALEZAS DEBILIDADES
ANÁLISIS INTERNO
OPORTUNIDADES AMENAZAS
ANÁLISIS EXTERNO
Objetivos de Control
• Un objetivo de control de TI es una

declaración del resultado o fin que se
desea lograr al implantar procedimientos
de control en una actividad de TI en
particular.
• Los objetivos de control de COBIT son
los requerimientos mínimos para un
control efectivo de cada proceso de IT.
• Los controles internos están normalmente

definidos por políticas, procedimientos,
prácticas y estructuras organizacionales
implementados para reducir los riesgos
para la organización
• Los controles internos son desarrollados
para proveer una certeza razonable a la
gerencia de que se alcanzarán los objetivos
de negocio y se prevendrán, detectarán o
corregirán eventos de riesgo
• Clasificación de Controles
• Los controles pueden ser clasificados
de diferentes formas
• Según el tipo de control
• Según la función del control
• Controles de contabilidad interna:
dirigidos a las operaciones
contables; por ejemplo, salvaguarda
de activos y la confiabilidad de los
registros contables
• Controles operacionales: dirigidos
a las operaciones, funciones y
actividades cotidianas para
asegurar que la operación está
cumpliendo los objetivos del
negocio
• Controles administrativos: se
ocupan de la eficiencia operacional
en un área funcional y el
acatamiento de las políticas de
gestión que incluye los controles
operacionales y el acatamiento de
la política organizacional
• Los Controles de SI: pueden ser
traducidos a partir de los controles
generales antes mencionados
• Incluyen también políticas y
procedimientos organizacionales, diseño
y uso de documentos y registros,
prácticas para asegurar la protección
adecuada de acceso y activos, políticas
de seguridad lógica y física
• Controles preventivos:
• Detectan problemas antes de que
aparezcan
• Intentan predecir problemas
potenciales
• Evita que ocurra un error, omisión o
acto malicioso
• Controles preventivos - Ejemplos
• Empleo de sólo personal
calificado
• Segregar funciones
• Control de acceso a instalaciones
físicas
• Controles detectivos:
• Controles que detectan e
informan la ocurrencia de un
error, omisión o acto fraudulento
• Controles detectivos - Ejemplos
• Totales de comprobación
• Puntos de verificación
• Funciones de auditoría interna
• Informes de cuentas vencidas
• Revisión de registros de acceso
• Controles correctivos:
• Minimizan el impacto de una amenaza
• Remedian problemas descubiertos por
controles detectivos
• Identifican la causa de un problema
• Corregir errores a partir de un
problema
• Modifican los sistemas para minimizar
futuras ocurrencias de problemas
• Controles correctivos- Ejemplos
• Planificación de contingencia
• Procedimientos de respaldo
• Procedimientos de nueva
ejecución
• Programa de manejo de
incidentes
• Riesgos, Controles y Auditoria

Objetivos de Objetivos de
Control Auditoria
Anular o Mitigar Verificar Existen Controles

Riesgos con Funcionan Eficazmente
Políticas y Objetivos
Metodologías
Controles Físicos, Lógicos, Administrativos

AR8378 - Módulo I

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

AR8378 - Módulo I

Încărcat de

Drepturi de autor:

Formate disponibile

*

1. El proceso Administrativo y la Auditoria

El Proceso Administrativo y la Auditoría

• Examen crítico que se realiza con el

El Proceso Administrativo y la Auditoría

• ¿Por qué hacer una auditoría si dirijo una

El Proceso Administrativo y la Auditoría

• Aspectos de responsabilidad que involucra la

El Proceso Administrativo y la Auditoría

• Aspectos de responsabilidad que involucra la

El Proceso Administrativo y la Auditoría

• Resumiendo lo anterior, en base a la auditoría

Conceptos Básicos de la Auditoría

• Organización de la función de auditoría

Conceptos Básicos de la Auditoría

• Enfoque de auditoría basado en riesgo

Conceptos Básicos de la Auditoría

Conceptos Básicos de la Auditoría

• Consideraciones de parte del auditor que

Conceptos Básicos de la Auditoría

• Estándares y directrices de Auditoría de

Conceptos Básicos de la Auditoría

• Otros Marcos de Trabajo

Conceptos Básicos de la Auditoría

Conceptos Básicos de la Auditoría

Conceptos Básicos de la Auditoría

• Clasificación de las Auditorías

• Clasificación de las Auditorías

• Clasificación de las Auditorías

• Clasificación de las Auditorías

• Clasificación de las Auditorías

• Clasificación de las Auditorías

• Clasificación de las Auditorías

Tipos de Auditoría Informática

• Dependiendo del objetivo o la forma en

Tipos de Auditoría Informática

Tipos de Auditoría Informática

Tipos de Auditoría Informática

• Con la Computadora - Aplicación

Tipos de Auditoría Informática

Tipos de Auditoría Informática

Tipos de Auditoría Informática

• Sin la Computadora - Aplicaciones

Tipos de Auditoría Informática

Tipos de Auditoría Informática

Tipos de Auditoría Informática

Tipos de Auditoría Informática

• Al Sistema de Cómputo – En síntesis

Tipos de Auditoría Informática

• A la Seguridad de los Sistemas

Tipos de Auditoría Informática

• A la Seguridad de los Sistemas

Tipos de Auditoría Informática

• A la Seguridad de los Sistemas

Tipos de Auditoría Informática

• A la Seguridad de los Sistemas

Tipos de Auditoría Informática

• A los Sistemas de Redes

Tipos de Auditoría Informática

• A los Sistemas de Redes

Tipos de Auditoría Informática

• A los Sistemas de Redes

• Se refieren a las metas específicas que

• Incluyen el aseguramiento del