Anda di halaman 1dari 25

UNIVERSIDAD AUTONOMA DE CHILE

Conceptos Bsicos de Auditora


de Sistemas de Informcin
Profesor. Marcelo Faundez P.
AUDITORA INFORMTICA

Tema Objetivos

1. Conceptos bsicos Conocer qu es la Auditora

Conocer la evolucin de la Auditora

Comprender las diferencias entre la auditora externa e interna

Comprender qu son los controles internos y la necesidad de los mismos en una


organizacin.

2. Necesidad de la Auditora Conocer la importancia que tiene la informacin para las organizaciones y las dificultades
Informtica que presenta la gestin y el control de los SI/TI en las organizaciones

Explicar los principios que rigen el establecimiento de un marco de gobierno en una


organizacin y como implantarlo para los SI/TI

Conocer las formas de actuacin del auditor informtico, ya sea auditando la funcin
informtica, los sistemas de informacin o como apoyo a la auditora general en el uso de la
informtica

Comprender cules son las diferencias esenciales entre informacin, sistemas de


informacin y tecnologa de informacin, tanto en sus aspectos cuantitativos como cualitativos,
as como la necesidad de medir la gestin que se realiza en cada uno de ellos

Comprender la necesidad de la existencia de la Auditora de Sistemas de Informacin en las


organizaciones y los distintos roles que la Auditora de Sistemas de Informacin juega en las
mismas

Aprender a redactar los instrumentos ms importantes de comunicacin del gobierno de la


informacin, especialmente procedimientos
AUDITORA INFORMTICA

Temas Objetivos

3. Controles internos Explicar los fundamentos de un sistema de control interno en una


organizacin as como los conceptos y tcnicas de anlisis y control de
riesgos relacionados con los SI/TI.

Explicar COBIT como marco de referencia para la implantacin de dichos


controles.

Comprender la necesidad de implantar controles en los procesos TI en


una organizacin

Ser capaz de identificar qu objetivos de control son aplicables en casos


simples

Ser capaz de redactar una aplicacin de objetivos de control en casos


simples

Evaluar la factibilidad y el riesgo


La tecnologa de informacin (IT), segn lo definido por la asociacin de la
tecnologa de informacin de Amrica (ITAA) es el estudio, diseo,
desarrollo, implementacin, soporte o direccin de los sistemas de
informacin computarizados, en particular de software de aplicacin y
hardware de computadoras. Se ocupa del uso de las computadoras y su
software para convertir, almacenar, proteger, procesar, transmitir y
recuperar la informacin. Hoy en da, el trmino tecnologa de
informacin se suele mezclar con muchos aspectos de la computacin y la
tecnologa y el trmino es ms reconocible que antes. La tecnologa de la
informacin puede ser bastante amplio, cubriendo muchos campos. Los
profesionales TI realizan una variedad de tareas que van desde instalar
aplicaciones a disear complejas redes de computacin y bases de datos.
Algunas de las tareas de los profesionales TI incluyen, administracin de datos,
redes, ingeniera de hardware, diseo de programas y bases de datos, as como
la administracin y direccin de los sistemas completos. Cuando las tecnologas
de computacin y comunicacin se combinan, el resultado es la tecnologa de la
informacin o infotech. La Tecnologa de la Informacin (IT) es un trmino
general que describe cualquier tecnologa que ayuda a producir, manipular,
almacenar, comunicar, y/o esparcir informacin.
Las tecnologas de la informacin y la comunicacin (TIC) son un conjunto de
servicios, redes, software y dispositivos que tienen como fin la mejora de la
calidad de vida de las organizaciones y personas dentro de un entorno, y que se
integran a un sistema de informacin interconectado y complementario.
Las Tecnologas de la informacin y la comunicacin, son un solo concepto en dos
vertientes diferentes como principal premisa de estudio en la ciencias sociales
donde tales tecnologas afectan la forma de vivir de las sociedades.
Qu es la informacin?
la informacin puede ser definida como los datos que han
sido recogidos, procesados, almacenados y

recuperados con el propsito de tomar decisiones


financieras y econmicas o para el soporte de una
produccin y distribucin eficientes de bienes y
servicios.

La informacin tiene que ser considerada como un recurso


bsico en una organizacin, junto a los talentos
humanos, el capital, las materias primas y
dems equipos.
Es clave para la organizacin tanto para su
supervivencia
como para mejorar su posicionamiento en los
negocios.
Qu es la informacin?

La informacin puede ser clasificada en cuatro clases: Informacin


estratgica, Informacin para el control de gestin, Informacin financiera
o contable e Informacin operativa o tcnica.
Informacin estratgica permite a la alta gerencia definir los objetivos
de la organizacin, la cantidad y clase de recursos necesarias para
alcanzar los objetivos y las polticas que gobiernan su uso. La alta
gerencia tiene que tomar decisiones econmicas importantes basadas en
las condiciones de los cambiantes mercados e innovacin tecnolgica.
Parte de esta informacin es externa.
Qu es la informacin?
Informacin para el control de gestin ayuda a los
mandos medios especialmente para tomar decisiones en el
perodo actual, normalmente un ao, para que sean
consistentes con los
objetivos estratgicos organizativos. Incluye
comparaciones entre los resultados
actuales y objetivos,
presupuestos y medidas de rendimiento.

Informacin tcnica u operacional se produce por


rutina, da a da e incluye datos de contabilidad,
control de inventario, programacin de la produccin,
planificacin de necesidades de materiales, normas y
gestin del personal, control del flujo de caja, logstica,
ingeniera, fabricacin, recepcin, distribucin, ventas
y todo el conjunto de operaciones que son necesarias
para mantener la empresa en funcionamiento.
Qu es la informacin?

Informacin contable y financiera es la informacin


que se genera con el propsito de control e
informacin financieros. Este tipo de informacin
se recoge de acuerdo con Principios Contables
Generalmente Aceptados y son aplicados por los
profesionales contables.
Por qu es valiosa la informacin para la toma de
decisiones?

La calidad de las decisiones Tomadas depende

directamente de la calidad de la informacin que las


soporta.
La toma de decisionesrequiere:
Un profundo conocimiento de las circunstanciasque
rodean unproblema.
Conocimiento de las alternativas disponibles y
Estrategias competitivas.
Atributos de la informacin que la hacen valiosa
para la toma de decisiones
Completa: Si la informacin se pierde u oculta al que
toma la decisin, el resultado de la decisin ser
pobre.
Exacta: Errores en la entrada, conversin o procesos
puede dar como resultado conclusiones invalidas
que darn lugar a decisiones errneas.
Autorizada: La informacin puede ser semnticamente
correcta, pero representar transacciones invalidas o no
autorizadas.
Auditable: La informacin debe ser seguible a travs
de los documentos fuente o su ejecucin seguida
mediante sistemas de control Monitorizados y
preverificados.
Econmica: El costo de producir la informacin
debera no exceder su valor cuando se utiliza
Atributos de la informacin que la hacen valiosa
para la toma de decisiones
Adecuada: Informacin especfica debe estar disponible
solamente para aquellos que la necesitan para
asegurar una gestin eficiente. Demasiada
informacin irrelevante a disposicin de quin
debe tomar la decisin puede ocultar el proceso.

Oportuna o Puntual: La informacin pierde su


valor cuando a quin tiene que tomar la decisin, se
le entrega despus de que la necesita.

Segura: La informacin debe ser protegida de su


difusin a personas no autorizadas, sin ello puede
dar lugar a prdidas econmicas en la organizacin.
Debe estar protegida contra destrucciones
accidentales o voluntarias
Qu hace que la informacin sea un
recurso crtico para la organizacin?
Los estudios realizados en diversas organizaciones y
universidades revelan que en los sectores
financieros,productivos y de servicios, una cada
total de las redes y equipos informticos de tres o
cuatro das puede dar lugar a la prdida del
negocio.

la prdida de confidencialidad en las bases de


datos puede proporcionar a los competidores una
ventaja definitiva
Se reconoce a la informacin como
un recurso crtico?
Con relacin a la proteccin de las instalaciones fsicas y
el control de acceso a los sistemas de informacin, hay
pocas estadsticas disponibles sobre el uso del software de
control de acceso en cuanto a sus polticas de utilizacin
y calidad de su administracin.

Una vez que se es consciente de que tal software puede ser


instalado y utilizado de distintas maneras, es ms evidente
que poseer este software, por si mismo, no garantiza la
seguridad sino que la administracin es la clave del
xito.
Aun cuando el software de control de acceso est
instalado y bien administrado, hay numerosas vas por
las cuales, los programadores de sistemas desde dentro
y los hackers desde fuera de la organizacin pueden
burlar los mecanismos de seguridad.
Cmo mejorar la gestin y el control
de las T.I.?
Para ello es necesario que las organizaciones
puedan disponer de:
Una funcin de auditora informtica
independiente .
Una utilizacin correcta de la informtica en la
prctica de los distintos tipos de auditora,
La definicin de unos objetivos de control de T.I.
Necesidad de la Auditora Informtica
Por tanto la auditora informtica debe analizar:
- La funcin informtica, que engloba el anlisis de
la organizacin, seguridad, segregacin de
funciones y gestin de las actividades de proceso
de datos.
Los sistemas informticos, buscando asegurar la
adecuacinde los mismos a los finespara
losque fueron diseados.
Objetivos de la Auditora Informtica
Los objetivos de la auditora informtica son:

Verificar el control interno de la funcin


informtica.
Asegurar a la alta direccin y al resto de las reas de
la empresa que la informacin que les llega es la
necesaria en el momento oportuno, y es fiable, ya
que les sirve de base para tomar decisiones
importantes.
Eliminar o reducir al mximo la posibilidad de
prdida de la informacin por fallos en los equipos,
en los procesos o por una gestin inadecuada de los
archivos de datos.
Detectar y prevenir fraudes por manipulacin de la
informacin o por acceso de personas no
autorizadas a transacciones que exigen trasvases
de fondos.
Tipos de Auditora informtica
Dentro de la auditora informtica destacan los siguientes tipos (entre otros):
Auditora de la gestin: Referido a la contratacin de bienes y servicios, documentacin de
los programas, etc.
Auditora de Proteccin de Datos: Cumplimiento de l as medidas de seguridad .
Auditora de los datos: Clasificacin de los datos, estudio de las aplicaciones y anlisis
de los flujogramas.
Auditora de las bases de datos: Controles de acceso, de actualizacin, de integridad y
calidad de los datos.
Auditora de la seguridad: Referidos a datos e informacin verificando disponibilidad,
integridad, confidencialidad, autenticacin y no repudio.
Auditora de la seguridad fsica: Referido a la ubicacin de la organizacin, evitando
ubicaciones de riesgo, y en algunos casos no revelando la situacin fsica de esta.Tambin
est referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y
protecciones del entorno.
Auditora de la seguridad lgica: Comprende los mtodos de autenticacin de los
sistemas de informacin.
Auditora de las comunicaciones. Se refiere a la auditoria de los procesos de
autenticacin en los
sistemas de comunicacin.
Auditora de la seguridad en produccin: Frente a errores, accidentes y fraudes.
Qu hace la Auditora Informtica?
Detectar evidencias de riesgos y/o
problemas en el apoyo informtico a
los procesos de negocios originados
por un mal uso informtico y/o del
control.

Sugerir mejoras
ENFOQUES DE LA AUDITORIA INFORMATICA
Auditora alrededor del computador
En este enfoque de auditora, los programas y los archivos de datos no se auditan.

La auditora alrededor del computador concentra sus esfuerzos en la entrada de datos y en la salida de
informacin. Es el ms cmodo para los auditores de sistemas, por cuanto nicamente se verifica
la efectividad del sistema de control interno en el ambiente externo de la mquina. Naturalmente
que se examinan los controles desde el origen de los datos para protegerlos de cualquier tipo de
riesgo que atente contra la integridad, completitud, exactitud y legalidad.

La auditora alrededor del computador no es tan simple como aparentemente puede


presentarse, pues tiene objetivos muy importantes como:
1.Verificar la existencia de una adecuada segregacin funcional.
2.Comprobar la eficiencia de los controles sobre seguridades fsicas y lgicas de los datos.
3.Asegurarse de la existencia de controles dirigidos a que todos los datos enviados a proceso
estn autorizados.
4.Comprobar la existencia de controles para asegurar que todos los datos enviados sean
procesados.
5.Cerciorarse que los procesos se hacen con exactitud.
6.Comprobar que los datos sean sometidos a validacin antes de ordenar su proceso.
7.Verificar la validez del procedimiento utilizado para corregir inconsistencias y la posterior
realimentacin de los datos corregidos al proceso.
8.Examinar los controles de salida de la informacin para asegurar que se eviten los riesgos entre
sistemas y el usuario. 9.Verificar la satisfaccin del usuario. En materia de los informes
recibidos.
10. Comprobar la existencia y efectividad de un plan de contingencias, para asegurar la continuidad
de los procesos y la recuperacin de los datos en caso de desastres.
Auditora a travs del computador
Este enfoque est orientado a examinar y evaluar los recursos del software, y surge como complemento
del enfoque de auditora alrededor del computador, en el sentido de que su accin va dirigida a evaluar
el sistema de controles diseados para minimizar los fraudes y los errores que normalmente tienen
origen en los programas.

Este enfoque es ms exigente que el anterior, por cuanto es necesario saber con cierto rigor,
lenguajes de
programacin o desarrollo de sistemas en general, con el objeto de facilitar el proceso de auditaje.

Objetivos de esta auditora


1.Asegurar que los programas procesan los datos, de acuerdo con las necesidades del usuario o dentro
de los parmetros de precisin previstos.
2.Cerciorarse de la no-existencia de rutinas fraudulentas al interior de los programas.
3.Verificar que los programadores modifiquen los programas solamente en los aspectos
autorizados.
4.Comprobar que los programas utilizados en produccin son los debidamente autorizados por el
administrador.
5.Verificar la existencia de controles eficientes para evitar que los programas sean modificados con
fines ilcitos o que se utilicen programas no autorizados para los procesos corrientes.
6.Cerciorarse que todos los datos son sometidos a validacin antes de ordenar su proceso
correspondiente.

Informe de Auditora: deber orientarse a opinar sobre la validez de los controles, en este caso de
software, para proteger los datos en su proceso de conversin en informacin.
Auditora con el computador
Este enfoque va dirigido especialmente, al examen y evaluacin de los archivos de datos en
medios magnticos, con el auxilio del computador y de software de auditora generalizado y /o a la
medida. Este enfoque es relativamente completo para verificar la existencia, la integridad y la
exactitud de los datos, en grandes volmenes de transacciones.

La auditora con el computador es relativamente fcil de desarrollar porque los programas de auditora
vienen documentados de tal manera que se convierten en instrumentos de sencilla aplicacin.
Normalmente son paquetes que se aprenden a manejar en cursos cortos y sin avanzados conocimientos de
informtica. Los paquetes de auditora permiten desarrollar operaciones y prueba, tales como:
1- reclculos y verificacin de informacin, como por ejemplo, relaciones sobre nmina, montos de
depreciacin y acumulacin de intereses, entre otros. 2- Demostracin grfica de datos seleccionados.
3 Seleccin de muestras estadsticas.
4 Preparacin de anlisis de cartera por antigedad.

Informe de Auditora: Este informe deber versar sobre la confiabilidad del sistema de control interno
para proteger los datos sometidos a proceso y la informacin contenida en los archivos maestros.

Los tres (3) enfoque de auditora vistos, son complementarios, pues ninguno de los tres, es suficiente para
auditar aplicaciones en funcionamiento.
Auditora Interna informtica
Hoy la auditora interna es:
Una unidad con atribuciones y
facultades para auditar todas las
operaciones TIC de las organizaciones.
Se define como una funcin de valoracin
independiente establecida dentro de una
organizacin para examinar y evaluar sus
actividades como un servicio a la organizacin.

Su objetivo es asistir a los miembros de la


organizacin en el cumplimiento efectivo de sus
responsabilidades
Auditora Interna informtica
proporciona anlisis, valoraciones,
recomendaciones, consejo e
informacin sobre las actividades revisadas.
El alcance de la auditora interna debe abarcar el
examen y evaluacin de la
adecuacin y efectividad del
sistema de ejecucin en el
control interno y la calidad de la
realizacin de las responsabilidades asignadas.