AUDITORIA DE SISTEMAS CONTABLES

Ing. Marlon Frank Acua Benites

TTULO DEL TEMA

AUDITORIA DE TECNOLOGAS DE
INFORMACIN

ORIENTACIONES
Estimados alumnos, se recomienda
la lectura del libro de texto para
reforzar las clases, adems de
revisar los enlaces interesantes y
responder las autoevaluaciones.

CONTENIDOS TEMTICOS
Auditoria de Sistemas de Informacin:
Objetivos, roles y retos del auditor TI.
reas Especficas de Auditoria Tecnolgica
Ejemplos de Programas de trabajo y Pruebas
de auditoria.
Estndares internacionales principales

Auditora TI
Proceso de revisin y evaluacin de
todos los aspectos de los sistemas
automticos
de
procesamiento
de
Informacin, incluidos procedimientos
no automticos relacionados con ellos y
las interfaces correspondientes.
Fuente:
ISACA (Information Systems Audit & Control Association)

Auditora TI

Auditora TI
Auditora
tradicional

Gerencia de
sistemas

Auditora de
sistemas
Ciencias de la
Computacin

Ciencia del
comportamiento
Ingeniero
de sistemas

Auditora TI
Objetivos de la Auditora de TI

Organizaciones
Confiabilidad:
Integridad de
los datos
Mejorar la
salvaguarda
de los activos

Preservar la
confidencialidad
de los datos

Uso de recursos
con eficiencia
Mejorar la
efectividad de
los Procesos

Retos del auditor

Conocimiento del negocio.
Conocimientos de TI.
Conocimiento sobre como actan las TI
en el proceso del negocio.
Conocimiento de Riesgos y Procesos.
Confianza y respeto de los auditados.
Conocimiento
del
recomendaciones.

impacto

de

sus

Contraparte vlida y asesor en controles y

autocontrol para el auditado.

Roles y funciones del

Auditor TI
Realizar el Plan anual de las auditoras a realizar
Determinar el Mapa de Procesos de negocio y
soporte
Realizar la evaluacin de Riesgos asociados a las
actividades de Tecnologas de Informacin
Evaluar los controles de los procesos TI
Presentar
informe
de
recomendaciones, acordando
solucin con los involucrados

debilidades
un cronograma

Participar en auditoras integradas.

Seguimiento de las recomendaciones

y
de

Auditora TI
Areas Especficas de Auditoria
Seguridad de la Informacin
Desarrollo y Mantenimiento
Aplicaciones de Negocios y Operativos
Explotacin de Tecnologa
Infraestructura de Sistemas

Desarrollo y Mantenimiento
Los componentes claves de Proyectos TI,
recomendados para enfocar la auditora
Alineacin
Negocio-TI

Post
Implantacin

Gestin de
Proyectos

Organizacin y
Gestin de Cambios

Preparacin de
Soluciones TI

Desarrollo y Mantenimiento
Proceso del Ciclo de Desarrollo
Requerimientos Usuario.
Anlisis y Diagnstico.
Diseo: Funcional y Tcnico.
Desarrollo: Programacin.
Pruebas
Instalacin: Entrega a Explotacin.

Metodologa
Estndares
Normas
Entregables

Desarrollo y Mantenimiento
Administracin y Control
Plan anual de atencin
Planificacin de requerimientos
Actividades, Recursos, Esfuerzo, Cronogramas, Hitos .

Ejecucin: Actualizacin y Registro.

Cambios: Al plan, repriorizaciones
Informe anual resultados

Desarrollo y Mantenimiento

El Auditor puede participar

Como miembro del equipo de desarrollo para
identificar fallas o debilidades en etapas tempranas.
En revisiones de postimplementacin
En revisiones de los procesos o aplicaciones.

Desarrollo y Mantenimiento
Mantenimiento
Correctivos
Incidencias
Optimizaciones

Auditoria de Aplicaciones
Revisin de cobertura operativa /o negocio:
Adecuado servicio a los requerimientos del Negocio
Entender el flujo de transacciones y la estructura
bsica de control, incluyendo los aspectos de
procesos manuales, automatizados e interfaces
Controles de acceso y facultades en la operativa,
para el cumplimiento de la segregacin de
funciones y autorizaciones de control dual.
Atencin de incidencias
Comprobar que la operativa
normativa interna externa.

se

ajusta

la

Auditoria de Aplicaciones
Revisin de Implementacin:
Nivel de documentacin de sistemas y programas.
Pruebas, aprobaciones, y documentacin de los
cambios a programas y procesos.
Controles de Acceso a libreras de programas,
documentacin y archivos.
Analizar Integridad, Calidad y Consistencia de los
datos en la Base de Datos.
Revisar los Controles Informticos de Entrada y
Salida de datos.
Controles de acceso a la base de datos y
transacciones.

Auditoria de Aplicaciones
Revisin de Diseo
Especificaciones funcionales:
Requerimientos de transacciones, clculos,
flujos de control, etc.
Diseo Funcional
Diseo de Interfaces con usuarios (E/S)
Diseo de Procesos
Diseo de Bases de Datos

Auditoria de Aplicaciones
Desarrollo de pruebas
Diseo de datos de pruebas
Caja Negra: Pruebas de especificaciones funcionales
Caja Blanca: Cobertura completa, a nivel de Instrucciones,
Rutas de lgica
Valores Lmite: con datos para probar la ejecucin de lmites
mayores, menores e iguales a lo indicado en el programa.
Pruebas de esfuerzo operativo y tcnico.
Pruebas de conformidad: procedimientos, reglas de negocio,
etc.
Pruebas sustantivas o de validacin: detectar errores o
irregularidades en procesos, actividades o transacciones
Pruebas de Intrusin: Recomendaciones

Auditora de Explotacin
Control de entrada de datos.
Gestin de Cambios:
Planificacin y recepcin de aplicaciones.

Centro de control y monitoreo de eventos

Centro de atencin de Usuarios y resolucin de
problemas
Planificacion de procesos
Control de resultados.
Capacity Planning: Demanda, Recursos, Rendimiento

Auditora de Infraestructura
de sistemas
Comunicaciones y Redes.
Sistemas Operativos.
Software base y herramientas.
Administracin de
Bases de Datos.

Auditora de Comunicaciones
Diseo de la infraestructura de las redes
Monitoreo de trfico y disponibilidad de las redes ->
alertas
Servicios de transporte y balanceo de trfico
Pruebas de los enlaces de contingencia
Inventario de equipos de comunicaciones y
servidores de infraestructura y aplicativos

Auditora de Comunicaciones
Deteccin, registro y resolucin de problemas
Pruebas de vulnerabilidad de la segmentacin de
redes
Evaluacin de certificados de seguridad: Polticas,
controles, autoridad, distribucin, etc.
Proveedores: disponibilidad para escalamiento,
upgrades, mantenimiento, costos, etc.

Auditora de Seguridad
Gestin de Riesgos
Metodologa usada
Activos significativos identificados, con
evaluacin de riesgos y controles que lo mitigan
Plan de Seguridad de Informacin
Basado en las mejores prcticas:
ISO 27001 SGSI

Conocidos y aprobados por dueo del negocio y

de acuerdo en los riesgos y controles
Publicacin, documentacin, revisin y
mantenimiento.

Auditora de Seguridad
Seguridad Fsica
Procedimiento de accesos a instalaciones
Implementacin de instalaciones tecnolgicas
Consideraciones ergonmicas: Diseo de
productos y puestos
Ambiente de Control
Verificar nivel de concientizacin del personal y
responsabilidad de los controles de seguridad
Cumplimiento de las polticas y de la normativa
relacionada.
Cumplimiento y valoracin de los controles

Auditora de Seguridad
Control de Accesos
Procesos de Negocio y Operativos
Accesos a Infraestructura Tecnolgica: Servidores,
Entornos, etc.
Mtodos y Herramientas: Acceso biomtrico
Evaluar procedimientos de registro y validacin.
Nivel de aceptacin usuarios
Existencia de plan de contingencia

Infraestructura
Prevencin de fuga de informacin
Proteccin de Datos

Auditora de Seguridad
Seguridad Perimetral
Segmentacin: separacin en redes lgicas para
aislar a los usuarios e infraestructura de intrusos
Arquitectura: proveer autenticacin, autorizacin,
auditora y deteccin de intrusos
Pruebas de acceso a redes y/o servidores segn
perfiles
Tests de intrusin

Auditora de Seguridad
Continuidad de Negocios
Existencia de un Plan de Continuidad de Negocios:
Servicios crticos
Organizacin y Procedimientos

Pruebas de los Planes de Contingencia:

Sistema de recuperacion
Infraestructura alternativa
Atencin de servicios
Retorno a la Normalidad

Estndares de Auditora
En el mundo, han evolucionado las
siguientes organizaciones profesionales:

American Institute of Certified Public Accountants (AICPA)

Canadian Institute of Chartered Accountants (CICA)
Institute of Internal Auditors (IIA)
Information Systems Audit and Control Association
(ISACA)
U.S. General Accounting Office.

Estndares de Auditora
Informe COSO - (Committee of Sponsoring Organizations), de la
Comisin de Estudios de Controles Internos -> Para la
Gerencia
SAC - (Systems Auditability and Control), de la Fundacin de
Investigacin del IIA -> Para los Auditores Internos.
SAS 55 y SAS 78 - Consideraciones de la estructura de
Controles Internos en los Informes de los Estados
Financieros, del Instituto Americano de Contadores Pblicos
(AICPA) -> Auditores Externos
COBIT (Control Objectives for Information and related Technology), de
la Fundacin de Auditora y Control de Sistemas de
Informacin ->Auditores de TI.

Programas de certificacin
CISA: Certified Information System Auditor.
CISM: Certified Information Security Manager.
ESI: European Software Institute.
CIA: Certified Internal Auditor.

GRACIAS