Universidad de los Lagos

AUDITORA INFORMTICA

Miguel ngel Barahona M.

Ingeniero Informtico, UTFSM
Magster en Tecnologa y Gestin, UC
PMP Certificado
Evaluaciones

NF = (S1 + S2 + S3) / 3

S1, 25 de Septiembre
S2, 30 de Octubre
S3, 4 de Diciembre
Introduccin
Historia
Se piensa que el origen de la escritura surge como respuesta a la
necesidad de auditar
En el 1800 se extiende la auditora en Reino Unido y Norteamrica
En 1950 la informtica se convierte en una herramienta importante
en labores de auditora.
Primeros casos de fraude en los aos 60s.
Surge la Auditora del Computador.
Cambios en el tiempo.
De Sociedad Industrial a Sociedad de la Informacin.
Empresas deben adaptarse rpidamente para sobrevivir.
La COMPETENCIA GLOBAL ha llegado. Las empresas deben
orientarse a operaciones cada vez ms competitivas, por lo que
deben aprovechar todos los avances tecnolgicos.
I+T son los activos ms importantes para muchas organizaciones.
Auditora

Conceptos
La auditora, toda y cualquier auditora, es la
actividad consistente en la emisin de una opinin
profesional sobre si el objeto sometido a anlisis
presenta adecuadamente la realidad que pretende
reflejar y/o cumple las condiciones que le han sido
prescritas. Auditora Informtica, Piattini y Del
Peso.
Clases de Auditora

El Objeto sometido a estudio, y la finalidad

con que se realiza el estudio definen el tipo
de auditora. Entre las cuales se encuetran:

Clase Objeto Finalidad

Financiera Cuentas Anuales Presentar la realidad

Informtica Aplicaciones, recursos Operatividad eficiente y

informticos, planes de consistente con las normas
contingencia, etc. establecidas
Gestin Direccin Eficacia, eficiencia,
economa.
Cumplimiento Normas o polticas Las operaciones se adecuan
establecidas a las normas.
PROCEDIMIENTOS

La opinin profesional, esencial en la auditora, se fundamenta y

justifica por medio de procedimientos especficos que nos
permitirn entregar una seguridad razonable de lo que se afirma.
Cada una de las clases de auditora posee sus propios
procedimientos para alcanzar su fin.
La amplitud y profundidad de los procedimientos que se apliquen
definirn el alcance de la auditora.
La evidencia obtenida debe recogerse adecuadamente, ya que
servir de evidencia y soporte del trabajo efectuado.
La introduccin de las TIs en los sistemas de informacin, afecta
a los auditores de forma dual:
Cambia el soporte objeto de su actividad
La utilizacin de tecnologa para la ejecucin de sus procedimientos.
Consultora

La consultora consiste en dar asesoramiento

o consejo de carcter especializado sobre lo
que se ha de hacer o como llevar
adecuadamente una actividad para obtener
los fines deseados. Lo anterior en base a un
examen o anlisis.
La auditora verifica a posteriormente si estas
condiciones se cumplen y los resultados
pretendidos se obtienen realmente.
Control Interno y Auditora Informtica

En el pasado el control interno estaba limitado a los controles

contables internos.
El control interno en muchas empresas no inclua actividades
operativas claves para la deteccin de riesgos potenciales en la
organizacin.
Hoy en da, ante la rapidez de los cambios (fusiones, alianzas
estratgicas, respuestas a la competencia, etc.) las
organizaciones estn tomando conciencia de que para evitar
fallos significativos se deben evaluar y reestructurar sus sistemas
de control interno.
Se debe actuar con proactividad.
El auditor ha dejado de centrarse en la evaluacin y la
comprobacin de resultados de procesos, desplazando su
atencin en la evaluacin de riesgos de riesgos y en la
comprobacin de controles.
Las Funciones de Control Interno y Auditora
Informtica

Control Interno Informtico

Suele ser un staff del rea de Informtica.
El control interno informtico controla diariamente que todas las actividades
de los sistemas de informacin sean realizadas cumpliendo los
procedimientos, estndares y normas fijadas por la organizacin.
La misin del control interno informtico es asegurarse de que las medidas
que se obtienen de los mecanismos implantados sean correctas y vlidas.
Debe asesorar sobre el conocimiento de las normas.
Colaborar y apoyar el trabajo del equipo de auditora.
Realizar en los diferentes sistemas y entornos informticos las siguientes
acciones:
Controles sobre la produccin diaria
Controles sobre la calidad y eficiencia del desarrollo y mantencin de software
Controles en las redes de comunicaciones
Controles sobre el software base
La seguridad informtica (usuarios, normas de seguridad, control de informacin
clasificada)
Licencias y relaciones contractuales con terceros
Las Funciones de Control Interno y Auditora
Informtica

La auditora informtica es el proceso de recoger, agrupar, y

evaluar evidencias para determinar si un sistema informatizado
salvaguarda los activos, mantiene la integridad de los datos,
cumple con los fines de la organizacin y utiliza eficientemente
los recursos.
El auditor evala y comprueba en determinados momentos del
tiempo los controles y procedimientos informticos.
Se pueden establecer tres grupos de funciones a realizar por el
auditor informtico:
Participar en el ciclo de desarrollo de software.
Revisar y juzgar los controles implantados en los sistemas
informticos para validar el cumplimientos de las normas y polticas
de la organizacin.
Revisar y juzgar los niveles de eficacia, utilidad, fiabilidad y
seguridad de los equipos e informacin.
Control Interno y Auditora: Campos Anlogos.

Control Interno Informtico Auditor Informtico

Similitudes Conocimientos especializados en TI

Verificacin de cumplimientos internos

Diferencias Anlisis de los controles en el Anlisis

de un momento
da a da determinado
Informa al Gte. de Informtica Informa al Gte. Gral.
Personal Interno Personal Interno y/o
El alcance de sus funciones esta Externo
restringido al rea de informtica Cubre toda la
organizacin
Definicin y Tipos de Controles Internos

Se puede definir como control interno a cualquier actividad o

accin realizada manual o automticamente para prevenir y
corregir errores o irregularidades que puedan afectar al
funcionamiento de un sistema para conseguir sus objetivos.
Los objetivos de los controles informticos se clasifican en:
Controles preventivos: para tratar de evitar algn hecho no deseado.
Por ejemplo, un software de seguridad que impida los accesos no
autorizados al sistema.
Controles detectivos: Cuando fallan los preventivos trata de conocer
cuanto antes el evento. Por ejemplo, registro de intento de acceso
no autorizado.
Controles correctivos: facilitan la vuelta atrs cuando se han
producido incidentes. Por ejemplo, la recuperacin de un BD a partir
de copias de seguridad.
Implantacin de Controles Internos Informticos

Los controles se pueden implantar en diferentes

niveles
Es necesario que conozcamos la configuracin
tecnolgica de la empresa para saber donde implantar
los controles, como tambin poder identificar riesgos.
Entorno de red: topologa, HW de comunicaciones,
etc.
Configuracin de Servidores y Pcs: SO, SW, HW.
Entorno de Aplicaciones
Productos y herramientas
Seguridad
1.Controles Generales Organizativos

Polticas: Debern servir de base para la planificacin, control y

evaluacin de las actividades del departamento de informtica.
Planificacin:
Plan Estratgico: Realizado por la alta direccin, en donde se
definen los procesos corporativos y se considera el uso de diversas
tecnologas de informacin, a si como las amenazas y oportunidades
de su uso o ausencia.
Plan Informtico: Realizado por el rea de informtica, el cual debe
cubrir las necesidades estratgicas de la compaa.
Plan de Seguridad: Que garantice confidencialidad, integridad y
disponibilidad de la informacin.
Plan de emergencia ante desastres: Que garantice la disponibilidad
de los sistemas ante eventos.
Estndares: que regulen la adquisicin de recursos,el diseo,
desarrollo, modificacin y explotacin de sistemas.
1.Controles Generales Organizativos

Procedimientos: que describan la forma y las

responsabilidades de ejecucin.
Organizar al departamento de informtica en un nivel
suficientemente alto en la estructura organizativa.
Definiciones claras de las funciones y
responsabilidades de cada integrante de la
organizacin.
Polticas de personal: seleccin, plan de formacin,
plan de vacaciones, evaluacin y promocin.
Asegurar que existe una poltica de clasificacin de la
informacin, y las restricciones a los usuarios.
2.Controles de desarrollo, adquisicin y mantenimientos
de sistemas de informacin

Metodologa de Ciclo de Vida del Desarrollo de Sistemas: Su

correcto empleo nos debera llevar a alcanzar los objetivos
definidos para el sistema. Algunos controles que deben existir en
la metodologa son:
La alta direccin debe publicar una normativa sobre el uso de
metodologa de ciclo de vida en el desarrollo de sistemas.
La metodologa debe establecer los papeles y responsabilidades de
las distintas reas del depto. de informtica.
Las especificaciones del nuevo sistema deben quedar definidas por
los usuarios (stackeholders), y quedar escritas y aprobadas antes
que comience el proyecto.
Debe establecerse un estudio tecnolgico de viabilidad en el cual se
formulen formas alternativas de alcanzar los objetivos del proyecto,
acompaadas de anlisis coste-beneficio.
2.Controles de desarrollo, adquisicin y mantenimientos
de sistemas de informacin

Cuando se seleccione una alternativa debe realizarse un plan

director del proyecto, con una metodologa de control de
costos.
Procedimientos para la definicin y documentacin de
especificaciones
Plan de validacin, verificacin y pruebas.
Estndares de prueba de programas o sistemas
Prueba de aceptacin funcional final
Los procedimientos de adquisicin de software debern
seguir las polticas de adquicicn de la organizacin.
La contratacin de servicios externos deber ser justificada.
Debern prepararse manuales de operacin, usuario y
mantenimiento como parte de todo proyecto.
2.Controles de desarrollo, adquisicin y mantenimientos
de sistemas de informacin

Explotacin y mantenimiento: El establecimiento de

controles asegurar que los datos se tratan
correctamente y que la mantencin de los sistemas
deber efectuarse con las autorizaciones necesarias.
3. Controles de explotacin de sistemas de
informacin

Planificacin y Gestin de Recursos.

Presupuesto
Adquisicin de Equipos
Gestin de la Capacidad de Equipos
Controles para usar de manera efectiva los recursos en
computadores.
Calendario de carga de trabajo
Programacin de personal
Mantenimiento preventivo
Gestin de problemas y cambios
Procedimientos de facturacin de usuarios
Procedimientos de seleccin del software, instalacin,
mantencin, de seguridad y control de cambios.
Seguridad fsica y lgica.
4. Controles en Aplicaciones

Control de entrada de datos: Conversin, validacin y

correccin de datos.
Control de manipulacin de datos
Controles de salidas de datos
5. Controles especficos de ciertas tecnologas

Controles en Sistemas de Gestin de Base de Datos

(SGBD)
Controles sobre el acceso a los datos y concurrencia
Recuperacin de la BD en caso de fallos
Controles en computacin distribuida y redes
Procedimientos de cifrado de informacin sensible que viaja
en la red.
Detectar la correcta o mala recepcin de mensajes.
Revisar contratos de mantencin.
Controles sobre computadores personales
Controles de acceso a las redes
Procedimientos de control de software licenciado
Conclusin

Es necesario revisar frecuentemente los controles

internos para asegurarnos que el proceso funciona
segn lo previsto.
Lo anterior es muy importante, ya que a medida que
cambian los factores internos o externos, los controles
que antes eran adecuados, ahora no lo son.