Documente Academic
Documente Profesional
Documente Cultură
Unidad 6:
Auditoría de los Sistemas de Información
3
Auditoría: Conceptos
Control Interno
• Salvaguardar activos,
a) Funciones Preventivas
• Políticas Gerenciales
• Misiones y Funciones
• Esquemas de organización
• Normas y procedimientos
• Políticas de personal
• Etc.
b) Funciones de Control/Verificación
• La función de línea, en todos sus niveles (control
operativo)
• La función staff (auditoría)
Auditoría: Conceptos
Componentes de un Sistema de Control
RT7 CECyT
Característica
Sistema
o Condición Sensor
Operante
Controlada
Grupo Grupo de
Activante Control
Auditoría: Conceptos
Auditoría
Concepto
APLICACIONES
• Auditoría de la Adquisición
Sensor
Unidad de medida, el estándar o la norma con la cual voy a medir o comparar el
sistema de información.
Normas internas:
Algunas organizaciones de cierta envergadura suelen generar su propio conjunto de normas de
funcionamiento materializadas en manuales de procedimientos, cursogra-mas, flujogramas,
organigramas, documentación de sistemas, etc.
Normas externas:
Profesionales:
• Informe 6 Area de Auditoría del CECyT: Pautas para el Examen de Estados Contables en un
Contexto Computadorizado
Organismos de Control:
• Comunicación A 2659 del Banco Central de la República Argentina
• Pautas de Control Interno para Sistemas Computadorizados y Tecnología de Información de
la SIGEN (Sindicatura Gral.de la Nación)
•Internacionales
C.O.B.I.T Objetivos de control para la información y la tecnología
Relacionada, desarrollado por la I.S.A.C.A. Asociación de Auditoría y Control de Sistemas de
Información.
Auditoría de Sistemas de Información: Conceptos
Sensor
1 – Introducción:
• Objetivos y Alcances,
• Descripción del Ambito Computadorizado
• Impacto de la Computación en las Actividades de Control
Marco Conceptual
Planificación y organización:
• Definir un plan estratégico,
• Determinar la arquitectura de la información,
• Definir la dirección tecnológica,
• Definir la organización y las relaciones,
• Administrar la inversión,
• Comunicar los objetivos y la dirección de la gerencia,
• Administrar los recursos humanos,
• Asegurar el cumplimiento de los requisitos externos,
• Evaluar el riesgo,
• Administrar proyectos
• Administrar la calidad.
Adquisición e implementación:
• Identificar soluciones,
• Adquirir y mantener software de aplicaciones,
• Adquirir y mantener la infraestructura tecnológica,
• Desarrollar y mantener procedimientos,
• Instalar y acreditar sistemas,
• Administrar cambios.
Auditoría de Sistemas de Información: Conceptos
Entrega y Soporte:
• Definir niveles de servicio,
• Administrar servicios de terceros,
• Administrar la performance y la capacidad,
• Asegurar un servicio contínuo,
• Asegurar la seguridad de los sistemas,
• Identificar y atribuir costos,
• Educar y capacitar a los usuarios,
• Administrar la configuración,
• Administrar problemas e incidentes,
• Administrar datos,
• Administrar instalaciones y
• Administrar operaciones.
Monitoreo:
• Monitorear el proceso,
• Evaluar el Control Interno,
• Obtener un aseguramiento independiente y
• Proveer una auditoría independiente
Análisis de Riesgos
Riesgo de Auditoría
Definición de Riesgo
Metodología de Análisis
Nivel Macro
Identificar los factores de Riesgo
Sistema de Control – Nivel de Sensibilidad - Complejidad – Cambios -
Materialidad
Sistema de Control 5 0 0
Políticas de seguridad del entorno informático 0,75
Nivel de cumplimiento de las normas y procedimientos 1
Pronta detección de errores 0,75
Pronta solución de desvíos 0,75
Experiencia de los programadores 0,5
Nivel de confiabilidad de los sistemas 1,25
Sensibilidad 2
Probabilidad de ocurrencia de errores 0,5
Queja de usuarios 0,4
Errores de Criterio al toma decisiones 0,4
Nivel de errores del sistema de autorización del SI 0,4
Grado de sensibilidad por variables exógenas 0,3
Cambios 3
Frecuencia de rotación del personal 0,6
Frecuencia de reorganizaciones estructurales 0,6
Nivel de crecimiento y rotación del personal 0,15
Criterios funcionales y modalidades operativas 0,9
Implantación de nuevos Sistemas 0,6
Nivel de modificaciones a sistemas y programas 0,15
Complejidad 4
Naturaleza de las actividades 0,6
Nivel de Actividad 0,8
Entornos Funcionales 0,6
Modalidad Operativa 0,6
Desarrollo y Mantenimiento de Sistemas 0,6
Alcance de la automatización 0,8
Materialidad 1
Total Ponderación
Análisis de Riesgos
Nivel Micro
Consiste en:
• Desarrollar los objetivos del control
• Establecer prioridades de seguridad y confiabilidad
• Seleccionar salvaguardas y controles para mitigar o eliminar las
amenazas, y por lo tanto la pérdida o exposición resultante.
Análisis de Riesgos
Determinación de Zonas y
Identificación de Amenazas Puntos de Control
Posibles ¿Qué? ¿Dónde?
Vinculaciones de Amenazas y
Puntos de control
Determinación de la
ETAPA 2 frecuencia de riesgo ¿Con qué asiduidad?
Estimación de la exposición
ETAPA 3 (pérdida) Magnitud de la pérdida
NO SI Diseñar
¿OK? Implantar
Revisar
Etapas para el Desarrollo de la Auditoría
PLANIFICACION
Etapas clave
Conocimiento del
negocio
Evaluar
Riesgos Controles
Controles Físicos gerenciales
y Lógicos
Estrategia de
Auditoría
Auditoría de Sistemas de Información: Conceptos
• Auditoría de la Adquisición
El proyecto se encuentra dentro del Los sistemas no responden a las necesidades del El plan estratégico de sistemas es coordinado con
marco del plan de negocios de la negocio. el plan de negocios.
empresa.
Las especificaciones establecidas La habilidades propias del negocio no se En la documentación de los requerimientos se
contemplan los factores esenciales encuentran apoyadas por los nuevos sistemas. identifican las habilidades principales que
del negocio. distinguen a la empresa.
El sistema tiene la capacidad de El sistema se muestra inflexible ante nuevos Se ha previsto que el o los sistemas sean
adaptarse a nuevas reglas del cambios. parametrizables y flexibles para adaptarse a los
negocio. cambios.
Se ha medido adecuadamente el El negocio se ve seriamente cuestionado ante el Se ha previsto el alcance e impacto del proyecto
impacto del proyecto en el negocio fracaso del proyecto de sistemas. como así también las consecuencias del fracaso
del mismo.
Revisiones de Auditoría
Revisión
Revisión del Revisión de la
Proceso
requerimiento especificación
selección
Revisión Revisión de
Revisión de la
Proceso de pruebas
Entrega
customización e instalación
Revisiones de Auditoría
Aspectos a Auditar
Plan de Contingencia
Integridad (completo)
Divulgación
Actualización
Plan de Recuperación
Informe de Auditorías de Sistemas de Información
• Material de la Cátedra
PLANIFICACION
Etapas clave
Conocimiento del
negocio
Ambiente de
control Controles
Evaluación de gerenciales
Sistemas y
Ambiente IT
Estrategia de
Auditoría
PLANIFICACION
Conocimiento del
Negocio
Conocimiento del
Negocio
VALOR
Ambiente de control
Evaluación previa a
la definición de la
estrategia
Ambiente de control
Areas a analizar
Rol de Directores
Organización, roles y responsabilidades del cliente Efectividad de la organización
Políticas de RRHH
Proceso evaluatorio
Evaluación del riesgo por parte del cliente Cumplimiento de leyes y regulaciones
Evaluación de
sistemas y ambiente
IT
¿Qué se requiere?
Documentar y probar los controles gerenciales para determinar la estrategia apropiada para cada
ciclo
PLANIFICACION
Evaluación de
sistemas y ambiente
IT
Nivel de
entendimiento
requerido
Evaluación de
sistemas y ambiente
IT
Dos pasos
fundamentales
– ¿Cómo está organizada la función IT? – Determinar relaciones entre procesos de negocios,
– ¿Cómo maneja la gerencia las actividades de control áreas de auditoría, actividades, sistemas y
IT? ambiente computarizado
– ¿Cómo soporta la función IT al negocio? – Información relevante: volumen, monto y
– ¿Cuáles son las principales características de los frecuencia de transacciones
sistemas?
– ¿Cuáles son los principales cambios a los sistemas?
– ¿Cuáles son los problemas más significativos?
PLANIFICACION
Evaluación de
sistemas y ambiente
IT
Pasos a seguir
DIAGRAMA DE MAPEO
PLANIFICACION
Evaluación de
sistemas y ambiente
IT
Diagramas de
mapeo
Mayor General
Ciclo de
Inventarios
Evaluación de Sistemas
y Ambiente IT
Controles generales
Puntos a evaluar
Responsabilidades de la gerencia Peligro de pérdida de datos por Acceso de muchos usuarios a los
Instrucciones de uso manipulabilidad de equipos datos
Requerimientos de entrenamiento Uso de contraseñas
Políticas de prevención Control de integridad
Standards de integridad de datos Control de interfaces
Separación de funciones Existencia de back ups
Políticas de back up Analizar medidas de
seguridad adoptadas
Evaluación de Sistemas
y Ambiente IT
Controles de aplicación
Puntos a evaluar
Enfoque bajo
normas
internacionales de
auditoría
Sistemas de Sistemas de
Sistemas de base de datos
Microcomputadores
Red
Evaluación de Sistemas
y Ambiente IT
Sistemas de
Microcomputadores
Debilidades frecuentes
Falta de segregación de funciones dos o más usuarios pueden realizar funciones de:
Sistemas de
Red
Debilidades frecuentes
Sistemas de
Base de datos
Debilidades frecuentes