Sistemas de Información para la Gestión

Unidad 6:
Auditoría de los Sistemas de Información

U.N.Sa. – Facultad de Cs.Económicas – SIG 2010

UNIDAD 6: AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN

1. Control Interno y Auditoría de SI. Las funciones de control interno y auditoria

informáticos. Sistema de control interno informático. Tipos y metodologías

2. Revisiones de auditoría: Entorno jurídico de la auditoría de los S. Herramientas para

auditoría de SI. Principales áreas de la auditoría. Del outsourcing, de la seguridad física, de
la dirección informática, de la explotación, de bases de dato, de la seguridad, de redes, de
Internet, de aplicaciones, del desarrollo y mantenimiento de sistemas, del sistema de
vigilancia y sobre los datos de carácter general

3. Contrato e Informe de auditorías de sistemas de información: El contrato de

auditoría. El informe de auditoría. Ética del auditor de los SI.
Gracias

3
 Auditoría: Conceptos

Control Interno

Conjunto de métodos coordinados y medidas adoptadas

dentro de una organización con el fin de:

• Salvaguardar activos,

• Asegurar la confiabilidad y corrección de los datos

contables y extracontables

• Promover la eficacia y eficiencia de las operaciones

• Promover la adhesión a las políticas vigentes

 Auditoría: Conceptos

El Control Interno se instrumenta a partir de:

a) Funciones Preventivas
• Políticas Gerenciales
• Misiones y Funciones
• Esquemas de organización
• Normas y procedimientos
• Políticas de personal
• Etc.

b) Funciones de Control/Verificación
• La función de línea, en todos sus niveles (control
operativo)
• La función staff (auditoría)
 Auditoría: Conceptos
Componentes de un Sistema de Control
RT7 CECyT

Característica
Sistema
o Condición Sensor
Operante
Controlada

Grupo Grupo de
Activante Control
 Auditoría: Conceptos

Auditoría

Es una función de control independiente del sistema

controlado, que en forma sistemática y organizada debe:
• Comparar la característica o condición controlada, con
respecto a las pautas, normas o elementos utilizados
para medirla. Es decir comparar el objeto con respecto al
sensor.
• Determinar los desvíos, e
• Informar a quien ordena o contrata la auditoría, que
jerárquicamente debe estar por encima del sistema
auditado.
 Auditoría: Conceptos

Concepto Moderno de Auditoría

La Auditoría ha cambiado de un enfoque de viejas

nociones reactivas hacia una actitud proactiva, con una
fuerte inclinación hacia detección de fraudes, monitoreo
continuo y capacidad para mejorar procesos del negocio
 Auditoría de Sistemas de Información

Concepto

Proceso formal llevado adelante por especialistas en

auditoría y en informática a efectos de verificar y
asegurar que los recursos y procesos involucrados en la
construcción y explotación de los sistemas de
información cumplen con los procedimientos establecidos
y se ajustan a criterios de integridad, eficiencia,
seguridad, efectividad y legalidad.
Auditoría de Sistemas de Información: Conceptos

Objeto de la Auditoría de Sist.de Información

El ámbito de la ASI se refiere al entorno informático

correspondiendo entenderse por tal a todo lo que
conforma:
Tecnología Informática (Oferta)

Hardware y Software

Tecnología de Comunicaciones y Base de datos

Metodología para la construcción de aplicaciones.

APLICACIONES

Sistemas de Información (Demanda)

• Necesidades de Información
• Requerimientos del Negocio
Auditoría de Sistemas de Información: Conceptos

Principales Areas de Actividad de la A.S.I.

• Auditoría de la dirección (Plan Estratégico de Sistemas)

• Auditoría del desarrollo (gestión de proyecto)

• Auditoría de la Adquisición

• Auditoría Seguridad (Seguridad Física, Seguridad Lógica, Evaluación de

Riesgos, Plan de Contingencias)

• Auditoría de la explotación y Mantenimiento (Utilización de sistemas,

puesta en marcha, cambios de programas)
Auditoría de Sistemas de Información: Conceptos

Principales Funciones de la A.S.I.

• Evaluación y verificación de controles y procedimientos relacionados con la

función de informática
• Verificación del uso eficiente de los SI.
• Desarrollo de las actividades del área de auditoría informática de acuerdo a
estándares normativos.
• Evaluación de las áreas de riesgo y en consecuencia planificación de las tareas
del área.
• Realizar el monitoreo permanente de las actividades del área.
• Realizar el monitoreo de la seguridad.
• Monitoreo de la aplicación de procedimientos.
• Realizar una adecuada información y seguimiento de las observaciones
realizadas.
 Auditoría de Sistemas de Información: Conceptos

Sensor
Unidad de medida, el estándar o la norma con la cual voy a medir o comparar el
sistema de información.

Normas internas:
Algunas organizaciones de cierta envergadura suelen generar su propio conjunto de normas de
funcionamiento materializadas en manuales de procedimientos, cursogra-mas, flujogramas,
organigramas, documentación de sistemas, etc.

Normas externas:
Profesionales:
• Informe 6 Area de Auditoría del CECyT: Pautas para el Examen de Estados Contables en un
Contexto Computadorizado
Organismos de Control:
• Comunicación A 2659 del Banco Central de la República Argentina
• Pautas de Control Interno para Sistemas Computadorizados y Tecnología de Información de
la SIGEN (Sindicatura Gral.de la Nación)
•Internacionales
C.O.B.I.T Objetivos de control para la información y la tecnología
Relacionada, desarrollado por la I.S.A.C.A. Asociación de Auditoría y Control de Sistemas de
Información.
Auditoría de Sistemas de Información: Conceptos
Sensor

Criterio del Auditor:

Es el menos recomendable y en general el más utilizado.

La principal crítica que se le puede hacer como sensor es la falta de

objetividad, ya que es la opinión del auditor sobre lo que debería ser, y por lo general
suele ser muy discutida, salvo casos de observaciones muy evidentes, o una muy buena
fundamentación del criterio utilizado.
Auditoría de Sistemas de Información: Conceptos

Sensor: Estructura del Informe 6 CECYT

1 – Introducción:
• Objetivos y Alcances,
• Descripción del Ambito Computadorizado
• Impacto de la Computación en las Actividades de Control

2 - Evaluación de las actividades de control

• Descripción de los controles
• Metodología
• Relevamiento general
• Relevamiento detallado
• Evaluación de las actividades relevadas
• Prueba y evaluación del funcionamiento. Técnicas.
 Auditoría de Sistemas de Información: Conceptos

Sensor: Estructura del Informe 6 CECYT

3 - Determinación de la naturaleza, extensión y oportunidad de los procedimientos

a aplicar para obtener elementos de juicio válidos y suficientes
• Conceptos Generales
• Calidad de los Controles
• Posibilidades de Utilizar el Computador
• Ventajas de Utilizar el Computador

4 – Cuestionario de Actividades de Control de Sistemas Computadorizados

• Recursos Afectados (Medios físicos, soporte lógico, RRHH, instalaciones,
documentación, archivos de datos y programas)
• Métodos de Operación (en lotes, en línea diferido, en tiempo real, servicio de
computación.
• Desarrollo y Mantenimiento del Sistema
 Auditoría de Sistemas de Información: Conceptos

Sensor: Estructura del Informe C.O.B.I.T.

Control OBjectives for Information and Relatives Technologies - I.S.A.C.A.

( Information System Audit Control Association)

Establece una guía metodológica estándar para la evaluación y

comprobación de actividades de Control Interno, en el campo
específico.
 Auditoría de Sistemas de Información: Conceptos

Sensor: Estructura del Informe C.O.B.I.T.

Marco Conceptual

La información, cumple con los procesos de negocios, siguiendo criterios de:

1. Calidad: Eficacia y Eficiencia
2. Seguridad: Confidencialidad, Integridad y Disponibilidad
3. Confianza: Cumplimiento de disposiciones y confiabilidad.

Utilizando los recursos de la tecnología informática:

1. Datos,
2. Aplicaciones,
3. Tecnología,
4. Instalaciones y
5. Personal.

Las actividades de los procesos informáticos, se analizan por dominios:

1. Planificación y organización,
2. Adquisición e implementación,
3. Entrega y soporte y
4. Monitoreo.
 Auditoría de Sistemas de Información: Conceptos

Sensor: Estructura del Informe C.O.B.I.T.

Requerimientos de la información del negocio: Calidad, Costo y Entrega.

Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes
financieros y Cumplimiento le leyes y regulaciones.
Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad
Auditoría de Sistemas de Información: Conceptos

Sensor: COBIT – Análisis por Dominios

 Auditoría de Sistemas de Información: Conceptos

Sensor: COBIT – Análisis por Dominios

Planificación y organización:
• Definir un plan estratégico,
• Determinar la arquitectura de la información,
• Definir la dirección tecnológica,
• Definir la organización y las relaciones,
• Administrar la inversión,
• Comunicar los objetivos y la dirección de la gerencia,
• Administrar los recursos humanos,
• Asegurar el cumplimiento de los requisitos externos,
• Evaluar el riesgo,
• Administrar proyectos
• Administrar la calidad.

Adquisición e implementación:
• Identificar soluciones,
• Adquirir y mantener software de aplicaciones,
• Adquirir y mantener la infraestructura tecnológica,
• Desarrollar y mantener procedimientos,
• Instalar y acreditar sistemas,
• Administrar cambios.
 Auditoría de Sistemas de Información: Conceptos

Sensor: COBIT – Análisis por Dominios

Entrega y Soporte:
• Definir niveles de servicio,
• Administrar servicios de terceros,
• Administrar la performance y la capacidad,
• Asegurar un servicio contínuo,
• Asegurar la seguridad de los sistemas,
• Identificar y atribuir costos,
• Educar y capacitar a los usuarios,
• Administrar la configuración,
• Administrar problemas e incidentes,
• Administrar datos,
• Administrar instalaciones y
• Administrar operaciones.

Monitoreo:
• Monitorear el proceso,
• Evaluar el Control Interno,
• Obtener un aseguramiento independiente y
• Proveer una auditoría independiente
 Análisis de Riesgos

Riesgo de Auditoría

Es el riesgo que tiene un auditor como consecuencia de no haber detectado

durante la revisión practicada las fallas o irregularidades que, al ser
conocidas, le hubieran hecho modificar el dictámen del informe y las
recomendaciones asociadas.

La auditoría debe ser planeada y para ello es imprescindible una debida

evaluación y categorización de riesgos para priorizar los casos
asignar recursos y aplicar los procedimientos de auditoría más
convenientes.
 Análisis de Riesgos

Definición de Riesgo

o Todo evento contingente que de materializarse puede impedir o

comprometer el logro de los objetivos de un negocio o proceso.
o Es la probabilidad de que un hecho pueda afectar negativamente a la
organización
o Es una medida de incertidumbre
o Es cualquier amenaza externa o interna que pueda afectar el logro de los
objetivos de una organización
 Análisis de Riesgos

Componentes del riesgo de Auditoría

Riesgo inherente: aquel que es propio de la actividad del ente o sistema, su
naturaleza, estructura, actividad, magnitud, etc.
Está fuera de poder ser controlado por el auditor como para poder eliminarlo.
Riesgo de Control: son los que resultan de un sistema de control deficiente,
incapaz de evitar o detectar fallas o irregularidades en forma oportuna.
Está fuera de poder ser controlado por el auditor como para poder eliminarlo,
pero sus recomendaciones deben contribuir a reducirlo.

Riesgo de Detección: son los que resultan de un deficiente planeamiento y/o

ejecución de la auditoría, sea tanto en la evaluación y categorización de los
riesgos, como en la selección y/o aplicación de los procedimientos de
auditoría.
Es del ámbito y tarea exclusiva del auditor.
 Análisis de Riesgos

Evaluación y Categorización del Riesgo

• Es la actividad que tiene como propósito medir el nivel de riesgo que

presenta cada caso objeto de auditoría.
• Es altamente subjetiva.
• Depende del criterio, capacidad y experiencia del auditor.
• Constituye la base del plan de actividades, determinando el alcance y
oportunidad de la revisión, así como también del procedimiento de auditoría
a emplear.
• Existen métodos para reducir el nivel de subjetividad en la evaluación y
categorización de los riesgos.
• Los métodos establecen pautas y procedimientos para la evaluación.
 Análisis de Riesgos

Metodología de Análisis

Pautas de Nivel Macro

Apoyan la fase del planeamiento que hace a un plan global del
ámbito informático, determinando los sistemas y/o áreas de mayor
riesgo

Pautas de Nivel Micro

Se orientan a un subsistema o tarea puntual, que debieran mitigar o
eliminar los riesgos y determinar los procedimientos de auditoría.
 Análisis de Riesgos

Nivel Macro
Identificar los factores de Riesgo
Sistema de Control – Nivel de Sensibilidad - Complejidad – Cambios -
Materialidad

Definir la importancia de los factores

(Apertura en cuanto a parámetros)

Puntuación de cada factor

(al ser evaluados en sus parámetros)

Calcular y Evaluar Factores de Riesgo de cada

proyecto de auditoría

Determinar las prioridades de los proyectos en

base a los riesgos
Proyectos priorizados conforme a los resultados
obtenidos
 Análisis de Riesgos
Nivel Macro: Factores de Riesgo
Factor Parámetros o Indicadores
Reflejan la opinión acerca del funcionamiento del sistema de control interno en
el área o sistema considerado
Un buen recurso para su tratamiento lo constituye el considerar determinados
indicadores como ser:
• Participación de los niveles gerenciales en la política de seguridad
Sistema de • Políticas de seguridad del entorno informático
Control • Separación de funciones y controles
• Nivel de cumplimiento de las normas y procedimientos
• Oportunidad en la detección de errores
• Oportunidad en la solución de problemas
• Experiencia del personal (analistas, programadores, operadores,
usuarios)
• Nivel de confiabilidad de los sistemas
Grado de sensibilidad de las áreas y/o sistemas considerados en cuanto a su
gravitación en os objetivos del ente o bien en cuanto a la adaptación de los
mismos frente a las variantes del entorno.
Un buen recurso para su tratamiento lo constituye la disponibilidad de
Nivel de estadísticas que reflejen el comportamiento de indicadores como ser:
Sensibilidad • Probabilidad de ocurrencia de errores
• Quejas de usuarios y del público
• Porcentajes de errores
• Porcentaje de decisiones erróneas
• Grado de sensibilidad del sistema respecto a variables exógenas
 Análisis de Riesgos
Nivel Macro: Factores de Riesgo
Factor Parámetros o Indicadores
Persigue evaluar el nivel potencial de errores que se pueden producir como
consecuencia de las variables interactuantes, como ser:
• Naturaleza de las actividades
• Nivel de actividad
• Alcance y grado de automatización
Complejidad • Entorno funcional y tecnología utilizada
• Modalidad operativa (centralizada, descentralizada, distribuída, en
línea, en tiempo real, etc.)
• Desarrollo y mantenimiento de sistemas
• Dispersión geográfica, conexiones locales y/o remotas
Cambios y su reiteración en el tiempo que se producen respecto a aspectos
organizacionales, estructurales, de personal, sistemas de información, etc.
Entre los indicadores están:
Cambios • Nivel y frecuencia de rotación del personal
• Frecuencia de reestructuraciones
• Nivel de crecimiento/reducción de personal
• Cantidad de modificaciones e implantación de nuevos sistemas
Importancia del proyecto en término de magnitudes: costo, personas,
Materialidad recursos.
A mayor materialidad, mayores riesgos
 Análisis de Riesgos
Nivel Macro
Ejemplo Evaluación Factores de Riesgo
Factor de Riesgo Importancia Puntuación Ponderación

Sistema de Control 5 0 0
Políticas de seguridad del entorno informático 0,75
Nivel de cumplimiento de las normas y procedimientos 1
Pronta detección de errores 0,75
Pronta solución de desvíos 0,75
Experiencia de los programadores 0,5
Nivel de confiabilidad de los sistemas 1,25
Sensibilidad 2
Probabilidad de ocurrencia de errores 0,5
Queja de usuarios 0,4
Errores de Criterio al toma decisiones 0,4
Nivel de errores del sistema de autorización del SI 0,4
Grado de sensibilidad por variables exógenas 0,3
Cambios 3
Frecuencia de rotación del personal 0,6
Frecuencia de reorganizaciones estructurales 0,6
Nivel de crecimiento y rotación del personal 0,15
Criterios funcionales y modalidades operativas 0,9
Implantación de nuevos Sistemas 0,6
Nivel de modificaciones a sistemas y programas 0,15
Complejidad 4
Naturaleza de las actividades 0,6
Nivel de Actividad 0,8
Entornos Funcionales 0,6
Modalidad Operativa 0,6
Desarrollo y Mantenimiento de Sistemas 0,6
Alcance de la automatización 0,8
Materialidad 1
Total Ponderación
 Análisis de Riesgos

Nivel Micro

La evaluación a nivel Micro se utiliza para:

• Diseño de controles para los SI
• Comparar controles que presentan distintos tipos de Software
• Auditoría de Sistemas

Consiste en:
• Desarrollar los objetivos del control
• Establecer prioridades de seguridad y confiabilidad
• Seleccionar salvaguardas y controles para mitigar o eliminar las
amenazas, y por lo tanto la pérdida o exposición resultante.
 Análisis de Riesgos

Nivel Micro: Proceso de Evaluación

ETAPA 1 Definición del Objeto a auditar

Determinación de Zonas y
Identificación de Amenazas Puntos de Control
Posibles ¿Qué? ¿Dónde?

Vinculaciones de Amenazas y
Puntos de control

Determinación de la
ETAPA 2 frecuencia de riesgo ¿Con qué asiduidad?

Estimación de la exposición
ETAPA 3 (pérdida) Magnitud de la pérdida

Amenazas vs.Objetivos de Definición de Objetivos

ETAPA 4 Control específicos de control ¿Qué Hacer?

Selección de ¿Cómo se satisfacen los

ETAPA 5 salvaguardas/controles objetivos de control?

ETAPA 6 Justificación de Controles Costo/Beneficio

NO SI Diseñar
¿OK? Implantar
Revisar
Etapas para el Desarrollo de la Auditoría

PLANIFICACION

Etapas clave

Conocimiento del
negocio
Evaluar
Riesgos Controles
Controles Físicos gerenciales
y Lógicos

Estrategia de
Auditoría
Auditoría de Sistemas de Información: Conceptos

Principales Areas de Actividad de la A.S.I.

• Auditoría de la dirección (Plan Estratégico de Sistemas)

• Auditoría del desarrollo (gestión de proyecto)

• Auditoría de la Adquisición

• Auditoría Seguridad (Seguridad Física – Plan de Contingencias,

evaluación de riesgos, seguridad lógica)

• Auditoría de la explotación y Mantenimiento (Utilización de sistemas,

puesta en marcha, cambios de programas)
 Revisiones de Auditoría
Auditoría del Plan Estratégico de Sistemas
Objetivo de Control Riesgos Asociados
El Plan de sistemas • Los sistemas no responden a las
contempla las necesidades necesidades de la organización.
organizaciones y el • Inflexibilidad de los sistemas ante
crecimiento del negocio y nuevos requerimientos
se encuentra organizacionales.
adecuadamente aprobado • Desvinculación entre los distintos
por la dirección y es sistemas.
periódicamente revisado • Comportamiento desordenado y
ante cambios en la errático en el desarrollo y
planificación de la adquisición de aplicaciones.
organización. • Desconocimiento de la existencia o
alcance del plan por parte de las
distintas áreas organizacionales.
• La asignación de recursos no es la
adecuada dado la dimensión del
proyecto.
Verificaciones a Realizar
• Existencia de un plan formalizado y
aprobado por el nivel máximo de la
organización.
• Verificación de la actualización
periódica del plan.
• Revisión de la documentación del
directorio (actas de reuniones,
instrucciones de la dirección,
existencia de un responsable de la
formulación, etc.
• Los cambios de los proyectos
impactan en el plan de sistemas.
 Revisiones de Auditoría

Auditoría del Impacto sobre el Negocio

Objetivo de Control Riesgos Asociados Verificaciones a Realizar

El proyecto se encuentra dentro del Los sistemas no responden a las necesidades del El plan estratégico de sistemas es coordinado con
marco del plan de negocios de la negocio. el plan de negocios.
empresa.

Las especificaciones establecidas La habilidades propias del negocio no se En la documentación de los requerimientos se
contemplan los factores esenciales encuentran apoyadas por los nuevos sistemas. identifican las habilidades principales que
del negocio. distinguen a la empresa.

El sistema tiene la capacidad de El sistema se muestra inflexible ante nuevos Se ha previsto que el o los sistemas sean
adaptarse a nuevas reglas del cambios. parametrizables y flexibles para adaptarse a los
negocio. cambios.

Se ha medido adecuadamente el El negocio se ve seriamente cuestionado ante el Se ha previsto el alcance e impacto del proyecto
impacto del proyecto en el negocio fracaso del proyecto de sistemas. como así también las consecuencias del fracaso
del mismo.
 Revisiones de Auditoría

Auditoría del Desarrollo, Compra o Implementación de SI

Adquisición de Software: Actividades a Auditar

Revisión
Revisión del Revisión de la
Proceso
requerimiento especificación
selección

Revisión Revisión de
Revisión de la
Proceso de pruebas
Entrega
customización e instalación
 Revisiones de Auditoría

Auditoría del Desarrollo, Compra o Implementación de SI

Ejemplo de Plan para Revisión de Requerimientos

Objetivo de Control Riesgos Asociados Verificaciones a Realizar

Se han establecido en forma
clara todos los
requerimientos de todos los
usuarios.
• El sistema no contempla todas las
necesidades de los sectores usuarios.
• Algunos aspectos funcionales no se
encuentran soportados.
• Las necesidades de información de los
niveles directivos no se encuentran
totalmente cubiertas.
• El sistema no contempla aspectos de
control interno.
• El sistema no contempla aspectos
legales o normativos propios de la
actividad de la organización.
• Existe un documento adonde se
establecen cuales son los usuarios que
representan a cada sector.
• Existe un documento donde se establece
como se realizará el contacto con los
áreas usuarias.
• Se ha analizado el sistema actual y se
han identificado las fortalezas y
debilidades del mismo.
• Existe un documento donde se
establecen los requerimientos
funcionales de control, legales y de
información.
• Dicho documento fue aceptado por las
áreas intervinientes.
 Revisiones de Auditoría

Auditoría del Desarrollo, Compra o Implementación de SI

Ejemplo de Plan para Revisión de la Instalación

Objetivo de Control Riesgos Asociados Verificaciones a Realizar

La instalación del Hardaware
necesario se cumplimentó en
tiempo y forma.
La instalación de software de
base se cumplimento en
tiempo y forma
Todos los parámetros de
funcionamiento se
encuentran adecuadamente
definidos.
• Existen demoras en la
implementación debido a que el
hardaware no está disponible en
tiempo y forma establecidos.
• Existe demoras en la instalación
debido a que no se ha realizado la
instalación del software de base o el
mismo está mal instalado.
• Existen parámetros no definidos que
provocan el mal funcionamiento del
sistema.
• La definición de los parámetros no
es la adecuada y provoca el
malfuncionamiento del sistema.
• Se ha establecido un plan de
instalación del hardware acorde con
los tiempos establecidos para el
proyecto.
• Se ha establecido un plan de
instalación del software de base y se
han contemplado los requerimientos
establecidos por el proveedor.
• Los parámetros han sido
adecuadamente establecidos y los
usuarios participan en su definición.
• Se ha realizado la capacitación
suficiente para la adecuada definición
de los parámetros.
 Revisiones de Auditoría
Auditoría del Procesamiento de la Información
Aspecto Riesgo
Segregación Personas no autorizadas pueden tener acceso a
de Funciones funciones de procesamiento de transacciones,
permitiéndoles leer, ingresar, modificar o
eliminar datos o ingresar transacciones no
autorizadas para su procesamiento.
Ingreso de Los datos ingresados pueden ser imprecisos,
Datos incompletos o ingresados más de una vez
Ítems Los datos rechazados y las partidas en
rechazados o suspenso pueden ser no identificadas,
en suspenso analizadas y corregidas
Procesamiento Las transacciones ingresadas para su
procesamiento pueden perderse o ser
procesadas incorrectamente
Problemas
• Inadecuada separación de funciones dentro del
Dpto.de Sistemas
• Inadecuada ubicación del área de Seguridad
Informática
• Inadecuado esquema de seguridad lógica-
perfiles de usuarios
• Problemas con la puesta en funcionamiento de
nuevas versiones
• Falta de controles de edición y validación (tipos
de campos, campos faltantes, límites y
validación)
• Inadecuada codificación
• Falta de controles por lotes
• Inexistencia de aviso de rechazo
• Identificación inadecuada de datos rechazados
• Inexistencia de reportes de excepción
• Falta de seguimiento de datos rechazados
• Duplicación del procesamiento
• Falta de controles operativos
• Falta de informes de problemas de proceso
• Problemas de reenganche de procesos
• Problemas de administración de procesos
(secuencia)
 Revisiones de Auditoría

Auditoría del Plan de Continuidad del Negocio

Aspectos a Auditar
Plan de Contingencia
 Integridad (completo)
 Divulgación
 Actualización

Plan de Recuperación
Informe de Auditorías de Sistemas de Información

Objetivos del Informe de Auditoría

Objetivo Propósito Medios

Informar Brindar Clara y comprensible identificación
conocimientos de dificultades y oportunidades de
oportunos y mejora
apropiados

Persuadir Lograr aceptación y Real y persuasivo respaldo de las

respaldo de las conclusiones y evidencia de su
acciones importancia

Obtener Originar Cursos de Propósitos claros , prácticos y

Resultados Acción constructivos para realizar los
cambios necesarios
Informe de Auditorías de Sistemas de Información

Estructura del Informe de Auditoría

Introducción Se indica: Objetivo, Alcance y Posición de la auditoría frente

al objeto auditado
Se indica: Evidencias y hallazgos claves obtenidos durante
Resultados la revisión, que sean significativos y que sirvan de base para las
conclusiones
Se expone: el diagnóstico en función de los resultados
Conclusiones obtenidos.
Ordenar: problema y causalidad (causa-efecto)
Incluir siempre opinión del personal auditado.
Recomenda- Cursos de acción que se estimen pertinentes.
ciones Importante: participación del personal auditado
Anexos Incluir: El detalle que respalda los hallazgos y explica el
método empleado.
Informe de Auditorías de Sistemas de Información

Pautas para desarrollar el Informe de Auditoría

Aspecto (Qué) Característica (Cómo)
Directo Título Informativo
Priorizar lo importante
Oraciones concluyentes sin enunciaciones elípticas
Preciso Seleccionar y presentar los temas de mayor importancia
Acompañar resúmenes de documentación respaldatoria
Realizar una redacción precisa
Persuasivo Llevar convencimiento con la información que se expone
Desarrollar las consecuencias de las situaciones descriptas
Prudente y Propender a una razonable interpretación de los hechos y exponer las causas no los
Constructivo síntomas
Presentar una visión del conjunto balanceando lo positivo y lo negativo
Trasuntar confianza en el auditado para solucionar el o los problemas
Oportuno Para lograr la pronta solución de los problemas
Anticipar informes en casos de gravedad
Expuesto Resúmenes para los niveles superiores
conforme al Exposición que potencie la interpretación (relaciones %, tablas, gráficos)
destinatario Atractivos (presentación, distinta tipografía para resaltar temas)

Orientado a Recomendaciones prácticas, factibles y específicas

Resultados Descripción de los cursos de acción a tomar
 Para Pensar

Un buen Auditor es:

¿Quién más problemas detecta?

o…
¿Quién logra soluciones para los problemas
detectados?
 Bibliografía

• Material de la Cátedra

• Alberto R Lardent Sistemas de Información para la Gestión

Empresaria Procedimiento, Seguridad y AuditoríaPrentice HallBrasil
2001

• Informe 6 CECYT FACPCE

• Informe COBIT (ISACA)

Material Adicional
Etapas para el Desarrollo de la Auditoría

PLANIFICACION

Etapas clave

Conocimiento del
negocio
Ambiente de
control Controles
Evaluación de gerenciales
Sistemas y
Ambiente IT

Estrategia de
Auditoría
 PLANIFICACION

Conocimiento del
Negocio

Fundamental para una auditoría efectiva

La cantidad de información requerida dependerá del tamaño y complejidad del cliente
Contribuirá a desarrollar una estrategia de auditoría efectiva y eficiente

Guía para lograrlo

Reuniones con la Gerencia

Lectura de información sobre el cliente
Entrevistas con otros especialistas que asesoran al cliente
Relevamiento de circuitos administrativos
Acceso a websites de internet
Lectura de reportes de auditoría interna
 PLANIFICACION

Conocimiento del
Negocio

VALOR

Mejor entendimiento de los riesgos inherentes

Identificación de potencial riesgo de fraude
Mejor conocimiento de controles clave
Mejor determinación del enfoque de auditoría a aplicar
Mejor conocimiento de los cambios ocurridos
Entendimiento de las acciones llevadas a cabo por la Gerencia para ejercer el control
 PLANIFICACION

Ambiente de control

Evaluación previa a
la definición de la
estrategia

Representa la filosofía de la gerencia y su actitud frente a la implementación y ejecución de una

atmósfera de control sobre las operaciones

Compone el proceso de Risk Management

 PLANIFICACION

Ambiente de control

Areas a analizar

Rol de Directores
Organización, roles y responsabilidades del cliente Efectividad de la organización
Políticas de RRHH

Proceso evaluatorio
Evaluación del riesgo por parte del cliente Cumplimiento de leyes y regulaciones

Razonabilidad de planes y control presupuestario

Monitoreo del entorno del cliente Confiabilidad de la información reportada
Confiabilidad de la información de gestión
Rol de auditoría interna
 PLANIFICACION

Evaluación de
sistemas y ambiente
IT

¿Qué se requiere?

Obtener el conocimiento suficiente de los sistemas

Conocer el ambiente de sistemas

Documentar y probar los controles gerenciales para determinar la estrategia apropiada para cada
ciclo
 PLANIFICACION

Evaluación de
sistemas y ambiente
IT

Nivel de
entendimiento
requerido

Clases de transacciones de la Compañía

Forma en que las transacciones son generadas
Registros significativos
Calidad de la documentación respaldatoria
Proceso de registro contable y financiero
 PLANIFICACION

Evaluación de
sistemas y ambiente
IT

Dos pasos
fundamentales

Ambiente de sistemas Mapeo

– ¿Cómo está organizada la función IT?
– ¿Cómo maneja la gerencia las actividades de control
IT?
– ¿Cómo soporta la función IT al negocio?
– ¿Cuáles son las principales características de los
sistemas?
– ¿Cuáles son los principales cambios a los sistemas?
– ¿Cuáles son los problemas más significativos?
– Determinar relaciones entre procesos de negocios,
áreas de auditoría, actividades, sistemas y
ambiente computarizado
– Información relevante: volumen, monto y
frecuencia de transacciones
 PLANIFICACION

Evaluación de
sistemas y ambiente
IT

Pasos a seguir

Entender los reportes

Conocer la estructura de clave utilizados por la
negocios (procesos que Identificar ciclos contables
claves gerencia para monitorear
alimentan los EECC a través el negocio y el mecanismo
de sistemas para su emisión

DIAGRAMA DE MAPEO
 PLANIFICACION

Evaluación de
sistemas y ambiente
IT

Diagramas de
mapeo

Muestra la relación entre los

reportes utilizados por la
gerencia y las actividades para
cada ciclo identificado y los
sistemas realizados
 MAPEO DE CUENTAS Y PROCESOS

Ejemplo para ciclo de compras

EECC

Mayor General

Cuentas por Débito fiscal Caja y

Gastos Provisiones
pagar IVA Bancos

Orden de Recepción Registración Devoluciones y

Pago
compra de bienes de factura ajustes

Ciclo de
Inventarios
 Evaluación de Sistemas
y Ambiente IT

Controles generales

Puntos a evaluar

Autorizaciones Seguridad Seguridad de

para Operación Física Datos

Responsabilidades de la gerencia
Instrucciones de uso
Requerimientos de entrenamiento
Políticas de prevención
Standards de integridad de datos
Separación de funciones
Políticas de back up
Peligro de pérdida de datos por
manipulabilidad de equipos
Analizar medidas de
seguridad adoptadas
Acceso de muchos usuarios a los
datos
Uso de contraseñas
Control de integridad
Control de interfaces
Existencia de back ups
 Evaluación de Sistemas
y Ambiente IT

Controles de aplicación

Puntos a evaluar

Integridad de los Registros Validez de los Acceso restringido

registros adecuados registros activos y registros

Ingreso y registro de datos Transacciones son

claves en forma correcta Protección
Todas las transacciones autorizadas
Cambios correctamente contra acceso
registradas, ingresadas y Transacciones no son
ingresados indebido
aceptadas una sola vez ficticias
Datos aceptados actualizan Confidencial
Actualización de los archivos Cambios a los maestros
los archivos correspondientes Protección física
Inalterabilidad de los datos en son autorizados
los archivos
 Evaluación de
sistemas y ambiente
IT

Enfoque bajo
normas
internacionales de
auditoría

Sistemas de Sistemas de
Sistemas de base de datos
Microcomputadores
Red
 Evaluación de Sistemas
y Ambiente IT

Sistemas de
Microcomputadores

Debilidades frecuentes

Falta de segregación de funciones dos o más usuarios pueden realizar funciones de:

• iniciar y autorizar documentos fuente

• entrar datos al sistema
• operar las unidades
• cambiar programas y archivos
Fallas en controles de aplicación:
• inexistencia de logs por cada transacción
• falta de supervisión directa
• falta de reconciliación entre los registros contables y los totales de mayor
 Evaluación de Sistemas
y Ambiente IT

Sistemas de
Red

Debilidades frecuentes

Transacciones perfeccionadas lejos de donde se originan

Las transacciones inválidas son corregidas pero no reingresadas inmediatamente

El ingreso de datos es efectuado desconociendo la naturaleza de las transacciones
El procesamiento no se efectúa inmediatamente
Las terminales están diseminadas por toda la compañía (peligro de usuarios no autorizados)
Posibilidad de modificaciones de datos ingresados
Posibilidad de modificaciones a los programas
Acceso a los datos y programas en forma remota
Falta de documentos fuente para cada transacción ingresada
 Evaluación de Sistemas
y Ambiente IT

Sistemas de
Base de datos

Debilidades frecuentes

Significatividad de las transacciones financieras

Base de datos de naturaleza débil y con inconsistencias

Gran cantidad de aplicaciones en bases de datos de tamaño insuficiencia
Falta de controles adecuados