TEMATICA
SEMANA-1
- Introduccin de la Auditoria de Sistemas
- Entorno y Areas de Aplicacin
SEMANA-2
- Tipos y Clases de Auditoria
- Ubicacin dentro de la estructura organizacional.
SEMANA- 3
- Metodologa para el desarrollo e implantacin de la auditoria en informtica
- Proceso de Planeacin de la auditoria
- Tcnicas y Herramientas de auditoria
SEMANA- 4
- Papel y responsabilidades del Auditor de Sistemas
- Relaciones entre el Auditor y el Personal de Proceso de Datos
- Conocimientos tcnicos requeridos
SEMANA- 5
- Auditoria en un centro de tecnologa de informacin.
o Gestin, Normas, Polticas, Procedimientos
o Plan de contingencia
o Plan de seguridad
SEMANA- 6
- Auditoria en un centro de tecnologa de informacin
o Gestin del Hardware
o Plan de contingencia
o Plan de seguridad
SEMANA- 7
- Presentacin y Sustentacin de avances de trabajos
SEMANA- 8
EXAMEN PARCIAL
SEMANA- 9
- Auditoria en un centro de tecnologa de informacin
o Gestin del Software
o Plan de contingencia
o Plan de seguridad
SEMANA- 10
- Auditoria a Proyectos computacionales: Controles, estndares, otros
SEMANA- 11
- Auditorias a las aplicaciones (Procesos administrativos, financieros sistematizados)
SEMANA- 12
-
SEMANA- 13
- Planes de contingencia preventiva y correctiva
- Caso estudio
- Aspectos Legales
SEMANA- 14 y 15
- Presentacin y Sustentacin de trabajos concluidos
SEMANA- 16
EXAMEN FINAL
CONTENIDO TEMATICO
SEMANA-1
1.1 Introduccin de la Auditoria de Sistemas
Los departamentos de Informtica y Proceso de Datos realizan muchas de las funciones de
control que estn incorporadas en los sistemas automatizados.
Lo ms importante para los auditores es la bondad del proceso, la exactitud de los datos
grabados y la adecuacin de los procedimientos de control. Por lo tanto el auditor de sistemas
debe tener los conocimientos necesarios para llevar a cabo estudios sobre sistemas
automatizados.
ADMINISTRATIVA
SISTEMAS
FINANCIERA
OTROS ...
<<El sistema informtico constituye una parte fundamental del sistema administrativo y
financiero general de la empresa>>
1.2 Entorno y reas de Aplicacin
La aplicacin de auditoria se da en todas las reas de la organizacin con los especialistas
que corresponda. En los ltimos aos con el desarrollo vertiginoso de la tecnologa de
informacin, se est dando nfasis en la auditoria de sistemas aplicada al rea de sistemas e
informtica, para lo cual los auditores son necesariamente especialistas en el rea. A diferencia
de otras pocas en la cual un contador estaba involucrado en la auditoria de sistemas hoy en
da esta labor es manejada por el ingeniero de sistemas. El profesional en sistemas adems
apoya a la auditoria general en el anlisis de datos de las aplicaciones automatizadas,
convirtindose en este caso en un soporte fundamental.
<<La auditoria es otra forma de asegurar la calidad de la informacin que contiene el
sistema. Con una definicin amplia, la auditoria implica contar con un experto que no se
encuentre involucrado con la operacin del sistema, para examinar la informacin, con el fin
de identificar el problema >>
<< Es un proceso formal que se orienta a la verificacin y aseguramiento de que Las
polticas y procedimientos establecidos para el manejo y uso adecuado de las tecnologas de
informacin en la empresa se lleven a cabo en forma oportuna y eficiente >>
Las reas de aplicacin para la Auditoria de Sistemas, estn dirigidas a aquellas actividades
cuya gestin u operacin involucran de una u otra manera el manejo de la informacin. Para
aquellas actividades en la que se aprecia a la informacin involucrado a la Tecnologa de
informacin podemos distinguir lo siguiente:
Auditoria a los centros de tecnologa de informacin
SEMANA-2
2.1 Tipos y Clases de Auditoria
AUDITORIA INTERNA
A. SISTEMAS
TIPOS DE AUDITORIA
Auditoria de Gestin
Auditoria Financiera
Auditoria Especial
A. ADM/FIN.
G.T.I
G.A
G.F
Otras
SEMANA- 3
3.1 Metodologa para el desarrollo e implantacin de la auditoria en informtica
Preliminar
(diagnostico)
- Negocio
- Informtica
Justificacin
- Areas a auditar
- Plan propuesto
Revisin informal
Adecuacin
- Mtodo
- Tcnicas
- Herramient.
Formalizacin
- Aprobacin
- Arranque
Revisin formal
Desarrollo
- Entrevistas
- Observaciones
- Recomendaciones
- Informes
Aprobacin formal
Implantacin
- Acciones correctivas y
preventivas
- Seguiniento
El modelo representa un a estrategia para implantar un proceso metodolgico de auditoria en
informtica (Bib. Auditoria en informtica, Enrique Hernndez Hernndez, pag. 72)
Productos finales a obtenerse en cada etapa:
Etapa preliminar: un diagnostico de negocio o de informtica
Etapa Justificacin: Una matriz de riesgos
Etapa Justificacin: Una matriz de riesgos, plan de auditoria en informtica
Etapa Adecuacin: Un plan y metodologa de acuerdo con el cliente
Etapa Formalizacin: Un plan aprobado, compromiso ejecutivo
Etapa Desarrollo: Auditar reas seleccionadas, informe de auditoria en informtica
Etapa Implantacin: Recomendaciones y aprobacin final
RESPONSABLE
EJECUCIN
RESPONSABLE
SEGUIMIENTO
COMENTARIOS
Determinacin
De las reas por
Auditar
Supervisor de
auditoria en
informtica
Gerente de
auditoria en
informtica
Se efecta una
evaluacin del
rea de informtica
Con el fin de detectar
reas de riesgo.
Elaboracin del
Plan de auditoria
En informtica
Supervisor de
auditoria en
informtica
Gerente de
auditoria en
informtica
Presentacin del
Plan a la alta
direccin
Gerente de
auditoria en
informtica
Alta direccin
de la empresa
Se efecta con la
autorizacin de la
alta direccin.
Ejecucin del
Plan de auditoria
En informtica
Supervisor de
auditoria en
informtica
Gerente de
auditoria en
informtica
Puede efectuarse
como auditoria
interna o externa.
SEMANA- 4
4.1 Papel y responsabilidades del Auditor de Sistemas
La auditoria de sistemas puede llevarse a cabo como parte integrante de la auditoria
general o en forma independiente a ella. El objetivo de la auditoria de sistemas se orienta
entre otras cosas a:
Organizacin: Un anlisis de los controles operativos y de organizacin del departamento,
HW, SW, otros
Desarrollo: Un anlisis de los estndares, metodologa, seguridad, las aplicaciones en
desarrollo, etc.
Datos: Un anlisis de los datos para las aplicaciones en funcionamiento.
Responsabilidad del Auditor
Si durante el curso de Auditoria, los Auditores tuvieran razones para pensar que las
disposiciones de seguridad de la empresa y los planes de contingencia no fuera adecuados,
deber reflejar sus opiniones a travs del informe de Auditoria.
Normalmente el auditor:
Examina sistemticamente todos las medidas existentes que de alguna manera representen
algn riesgo.
Realiza una evaluacin de riesgos para cada una de ellas
Para cada una de las observaciones hace las recomendaciones necesarias
Evala todas las medidas de contingencias tomadas.
Entre los riesgos ms crticos ha tomarse en cuenta son:
Incendios
Inundaciones
Avera de los equipos auxiliares
Acciones malintencionadas
Robo de informacin
Relaciones laborales
Etc.
4.2 Relaciones entre el Auditor y el Personal de Proceso de Datos
Los auditores de sistemas deben tener un conocimiento general del entorno informtico:
Estndares, funcionalidad, control, diseo, metodologa de desarrollo, entre otros. De tal
manera que puedan hablar en el mismo idioma con el equipo tcnico del rea de sistemas.
Normalmente la presencia del Auditor, produce conflictos con el personal que maneja los
procesos auditables, siendo necesario mucho tino de los especialistas para superar este
inconveniente.
REQ
PERSONAL
DEL
AREA
AUDITADA
OS
IENT
EU RIM
DIRE
CT I
V
Document.
EQUIPO DE
AUDITORIA
AS
EJECUTIVOS
DE LA
ORGANIZAC.
ALCANCES
Requer.
Alcances
Para los casos de que el auditor de Sistemas participe como Soporte a la Auditoria de los
Sistemas Financieros, la relacin generalmente es la siguiente:
REQ
PERSONAL
DEL
AREA
AUDITADA
S
NT O
IMIE
UER
DIRE
CT I
V
Document.
AUDITORIA FINANCIERA
Sistema
Financiera
ALCANCES
AS
EJECUTIVOS
DE LA
ORGANIZAC.
Alcances
10
SEMANA- 5
3]
7]
ms
30
100
70
-------200
11
Controles:
ORGANIZACION
PROCESO
CONT ROL
Orientados a lograr:
Que el control interno sea adecuadamente diseado
Niveles de autorizacin adecuadas y a quien corresponda
Estndares que cubran los objetivos
12
<< Algunas metodologa de auditoria sugieren como Tipos de preguntas que el auditor debe
tener presente, las Preguntas abiertas: libertad de respuesta al entrevistado, y las Preguntas
cerradas: cuando las respuestas son presentadas como alternativas. Lo que se aplica en la
realidad es una mixtura de ambas.>>
Tareas principales de la auditoria
Estudiar y actualizar permanentemente las reas susceptibles de revisin.
Apegarse a las tareas que desempean las normas, polticas, procedimientos y tcnicas de
auditoria establecidos por los organismos generalmente aceptados a nivel nacional e
internacional.
Evaluacin y verificacin de las reas requeridas por la alta direccin o responsables
directos de la organizacin.
Elaboracin del informe de auditoria (debilidades y recomendaciones).
Otras recomendaciones para el desempeo eficiente de la auditoria.
Preparacin de la Documentacin
Una vez que la entrevista ha concluido, el entrevistador debe redactar un informe que
enumere los principales puntos planteados, as como las opiniones de las que se trato. Es de
suma importancia documentar la informacin una vez que esta ha concluido utilizando el
formato que corresponda en forma adecuada y que cumpla con lo establecido por ley.
<<Los auditores internos estudian los controles utilizados por el sistema informtico para
asegurar que este realice lo que supuestamente debe hacer. Tambin examina la operacin de
los controles de seguridad. Aunque trabajan dentro de la misma organizacin, los auditores
internos no reportan a la gente responsable del sistema que auditan. El trabajo de los auditores
externos, con frecuencia es de mayor profundidad que el de los auditores internos>>.
13
SEMANA- 7
Sustentacin de avances de trabajo
14
SEMANA- 8
EXAMEN PARCIAL
SEMANA- 9
9.1 Auditoria en un centro de tecnologa de informacin: Recursos de Software
Controles:
Normalmente se aplica el modelo anteriormente descrito para efectuar los controles.
Sin embargo debe ponerse nfasis en algunos aspectos como por ejemplo:
Seguridad de los Programas
Se debe comprobar aspectos como:
Existen copias de seguridad de los programas
Existe un control de la manipulacin de programas
El almacenamiento de los programas fuentes, objetos y otros obedecen a las normas y
procedimientos establecidos.
9.2 Plan de contingencia
Orientado a establecer los respectivos planes de contingencia preventivo y correctivo que
requiera el rea, previo estudio de las reas o actividades ms importantes asociados a esta
actividad.
Ejm:
Contingencia preventiva: El uso de un ANTIVIRUS EN LINEA instalado en el sistema de red,
frente a archivos infectados del virus. Es preventiva porque permite evitar que el dao ocurra.
Contingencia correctiva: El uso de un ANTIVIRUS NO EN LINEA que permita desinfectar
los archivos atacados por el virus. Es correctiva porque permite disminuir los daos iniciados u
ocasionados.
9.3 Plan de seguridad
Orientado a establecer las medidas adecuadas que permitan garantizar la continuidad de los
procesos sistematizados de la empresa. Ejemplo disponer del funcionamiento de software con
licencias.
Nota:
Ver anexo : Auditoria del Software
(Bib. Auditoria en informtica, Enrique Hernndez Hernndez, pag. 277)
SEMANA- 10
10.1 Auditoria a Proyectos computacionales: Controles, estndares, otros.
Controles:
Normalmente se aplica el modelo anteriormente descrito para efectuar los controles.
15
Sin embargo debe ponerse nfasis en las fases del ciclo de vida del desarrollo de sistemas.
Estndares
Los estndares en los sistemas aplicativos se elabora segn los criterios de cada organizacin,
sin embargo todos ellos tienen como objetivo lograr mantener una uniformidad de criterios
operativos y de documentacin que permita facilitar la gestin del usuario. El Auditor debe
comprobar si estos estndares son adecuados, fiables y practicables.
Debe evaluarse la estructura organizativa y las distintas reas de responsabilidad, incluyendo
descripciones de puestos de trabajo de tal manera que permita al auditor conocer como
funciona la unidad.
Los estndares en los sistemas automatizados pueden clasificarse en:
a) Operativos
Control de datos, segn las mnimas necesidades de control, deben especificar las pistas de
datos, integridad de datos, etc.
Registro de procedimientos con normas y pautas para todos los sistemas.
Los procedimientos y controles de seguridad de SW y HW, las autorizaciones para el
acceso de datos, etc.
Evaluacin general de las necesidades que hay que satisfacer.
b) Implantacin
Los estndares de desarrollo afectan a la etapas de anlisis y diseo del sistema, los estndares
de implantacin deben apoyarse en procedimientos y documentacin adecuada.
Pruebas y verificacin de datos. Niveles de responsabilidad, etc.
Debe contener recomendaciones de normas y procedimientos de control
Mantenimiento Pos implantacin.
c) Documentacin
La documentacin representa un espejo del esquema funcional del sistema, incluyendo los
estndares, etc.
Auditoria de la Documentacin
Normalmente la documentacin del desarrollo de un sistema se va elaborando en forma
paralela al desarrollo de esta, sin embargo se considera completa; cuando esta contemple todos
los ajustes realizados; por lo que siempre se concluye despus que el sistema haya pasado la
fase de pruebas. Se debe verificar los estndares utilizados y que concuerden con el sistema en
funcionamiento.
Anlisis de los manuales del Usuario
Se deben preparar los manuales orientado a los usuarios que usaran el sistema, entre los
manuales ms importantes tenemos: Manual del sistema, de usuario y de operacin.
Auditoria de Desarrollo de Sistema
Esta orientado a la evaluacin de los mtodos y procedimientos usados para el procesamiento
de datos. No existe un momento oportuno para llevar a cabo la auditoria de desarrollo de
sistemas, este puede hacerse durante el desarrollo (en cualquier ciclo de vida de un sistema)
con la finalidad de lograr una calidad, consistencia y dinamismo del sistema.
La auditoria del Desarrollo busca lo siguiente:
Si se ha planificado correctamente, cumpliendo las necesidades de los usuarios
Si el control de proyectos es adecuado
Si los controles de requerimientos son adecuados como los solicita el usuario
16
La auditoria de desarrollo se lleva a cabo bsicamente sobre cada fase del ciclo de desarrollo
del sistema.
Auditoria de la Propuesta de automatizacin
Al inicio del proyecto debe tenerse en cuenta:
Si existen los controles de gestin adecuados en las etapas del desarrollo?
Las propuestas para los sistemas grandes son complejas y difciles de evaluar, siendo
necesario adoptar un enfoque sistemtico en la siguiente secuencia:
Identificacin de los objetivos
Identificacin de los procesos a desarrollar (alcances del sistema)
Entregables
Seguridad y continuidad de los sistemas
Etc.
Auditorias de los Programas y de las Pruebas
Se debe verificar entre otras cosas:
Los estndares de desarrollo programacin, adems de sus controles
Las relaciones de trabajo entre Analista y Programadores sean adecuadas
Las pruebas han sido adecuadamente planificadas
Se establecen procedimientos que permitan incorporar programas modificados a las
aplicaciones en prueba.
Se encuentre separado el rea de desarrollo y el operativo
Entre otros.
17
Plan de contingencia
Orientado a establecer los respectivos planes de contingencia preventivo y correctivo que
requiera el rea, previo estudio de las reas o actividades ms importantes asociados a esta
actividad.
NOTA: Ver anexo : Auditoria Durante el ciclo de desarrollo e implantacin de sistemas de
informacin
(Bib. Auditoria en informtica, Enrique Hernndez Hernndez, pag. 211)
18
INICIO
Lee
Pend-cobr.
Lee
Fact-cobr.
Existe ?
S
Selecciona
registro
Lee
Fact-cobr.
actualiza
Lee
Cta-Cte
Clientes y
actualiza
SEMANA- 11
19
PROCESO
FUNCIONAL
Document.
funcional
RESULT ADO
PROCESO
AUTOMATIZ.
Document.
automatiz.
ACCESO
USUARIO
Base de
datos
SEMANA- 12
12.1 Soporte a la auditoria financiera
20
21
22
A.J. Thomas
Auditoria Informtica.
Editorial Paraninfo, Espaa, 1988
Soporte Computacional a la
Coopers & Lybrand
Auditoria
MAGU, NAGU
Contralora General de la Repblica
I.B.M. del Per
Curso de Auditoria de Sistemas 1996
I.B.M. del Per
Curso de Seguridad de Sist. 1996
AICPA
Manual del Inst. Americano de Cont. Pblicos
ILAC
Manual del Inst. de Auditores Int.
Carlos A. Siosse Auditoria un nuevo enfoque empres.
Buenos Aires,1990
Enrique Hernandez Auditoria en informtica, un enfoque
Mexico.1996
metodolgico
Jose Antonio Ech. Auditoria en informtica
Mc Graw-Hill
DATOS GENERALES
- Nombre de la Asignatura
- Nro. de Crditos
: AUDITORIA DE SISTEMAS
:3
23
: 4 (2 Teora, 2 Prctica)
: I406
: Obligatorio
: Dcimo Ciclo
: Ing. Humberto Arteaga C.
B.
SUMILLA
Proporcionar al alumno las herramientas tcnicas y procedimientos necesarios para evaluar
la gestin del rea de Tecnologa de Informacin abordando todas las reas involucradas
en ella (Sistemas de informacin, operaciones, desarrollo, aplicaciones, etc.) adems para
detectar riesgos de seguridad
C.
OBJETIVOS GENERALES
Conocer las herramientas, metodologa y conceptos ms importantes que permitan aplicar
la auditoria de sistemas en las Organizaciones.
OBJETIVOS ESPECIFICOS
1.
Conocer las Herramientas y Metodologa utilizada en la Auditoria.
2.
Identificar el Papel del auditor de Sistemas.
3.
Definicin de los Controles y Estndares de la Auditoria
4.
Dotar de los conocimientos bsicos para aplicar la Auditoria de Sistemas privada y
Pblica.
5.
Evaluar la Gestin, Normas, Polticas, Procedimientos, Servicios
En un Centro de Tecnologa de Informacin
6.
Evaluar riesgos en todas las actividades que realiza el rea
D.
TEMATICA
E.
F.
G.
SISTEMA DE EVALUACION
La evaluacin es uniforme, el cual ser de la sgte. Manera:
N1: Nota promedio de trabajos, orales, exposicin
N2: Nota de Examen parcial
N3: Nota de Examen final
24
H.
A.J. Thomas
Auditoria Informtica.
Editorial Paraninfo, Espaa, 1988
Soporte Computacional a la
Coopers & Lybrand
Auditoria
MAGU, NAGU
Contralora General de la Repblica
I.B.M. del Per
Curso de Auditoria de Sistemas 1996
I.B.M. del Per
Curso de Seguridad de Sist. 1996
AICPA
Manual del Inst. Americano de Cont. Pblicos
ILAC
Manual del Inst. de Auditores Int.
Carlos A. Siosse Auditoria un nuevo enfoque empres.
Buenos Aires,1990
Enrique Hernandez Auditoria en informtica, un enfoque
Mexico.1996
metodolgico
Jose Antonio Ech. Auditoria en informtica
Mc Graw-Hill
COBIT
Control
Objetives for Information
and Related
tecnology, information system Audit and Control
foundation Rolling Meadows II
B.
DATOS GENERALES
- Nombre de la Asignatura
- Nro. de Crditos
- Nro. Horas Teora y Prctica
- Pre-requisito
- Carcter
- Ciclo Acadmico
- Profesor
SUMILLA
: AUDITORIA DE SISTEMAS
:4
: 4 (2 Teora, 2 Prctica)
: Sistemas de Informacin Gerencial
: Obligatorio
: Dcimo Ciclo
: Ing. Humberto Arteaga C.
25
OBJETIVOS GENERALES
Conocer las herramientas, metodologa y conceptos ms importantes que permitan aplicar
la auditoria de sistemas en las Organizaciones.
OBJETIVOS ESPECIFICOS
6.
Conocer las Herramientas y Metodologa utilizada en la Auditoria.
7.
Identificar el Papel del auditor de Sistemas.
8.
Definicin de los Controles y Estndares de la Auditoria
9.
Dotar de los conocimientos bsicos para aplicar la Auditoria de Sistemas privada y
Pblica.
10.
Evaluar la Gestin, Normas, Polticas, Procedimientos, Servicios
En un Centro de Tecnologa de Informacin
6.
Evaluar riesgos en todas las actividades que realiza el rea
D.
TEMATICA
E.