SESION 9: Auditoría de

Sistemas de Información
 Auditoría de Sistemas de
información
Agenda:
■ Confidencialidad y seguridad
■ Integridad de información
■ Disponibilidad de información
■ Eficiencia y eficacia
■ Controles generales
 Principales Actividades de un Sistema de Información

Sistemas de Información

Control de
datos

Fuente Colección Procesam. Administ. Inform.

de datos de datos de datos información Usuario

Administ.
de los datos

Ingreso Proceso de datos Salida

 Auditoria de los Sistemas de
Información
Objetivos:
■ Confidencialidad y Seguridad de la
información
■ Integridad de la información
■ Disponibilidad de la información
■ Eficiencia y eficacia del sistema
 Auditoria de los Sistemas de
Información
Objetivo: Confidencialidad y Seguridad
■ Acceso inapropiado al procesamiento de las
funciones del sistema: personal de activo fijo
con acceso al sistema de pagos
■ Protección inadecuada a la información de las
bases de datos del sistema: personal de
soporte técnico con posibilidad de alterar los
datos del sistema
 Auditoria de los Sistemas de
Información
Objetivo: Confidencialidad y Seguridad
Los controles utilizados son:
■ Los de acceso al sistema y relativos a la
identificación y autenticación del usuario
■ Los creados por el sistema para proteger el
uso del menú, función o transacción
particular y la visualización de los datos
 Auditoria de los Sistemas de
Información
Objetivo: Confidencialidad y Seguridad
■ Uso de software especializado para control de
acceso, tales como: monitoreo de teleproceso,
control de acceso a software y el
administrador de las bases de datos
■ Uso de controles físicos para ubicar los
Terminales en áreas supervisadas, para
manipular los equipos (llaves) y restricción
del terminal a procesos determinados.
 Auditoria de los Sistemas de
Información
Objetivo: Integridad
■ Control del procesamiento de las
transacciones en el sistema: unicidad,
completa y registro de la totalidad
■ Control de acceso inadecuado a las bases de
datos del sistema: afectación total o parcial de
los datos, formato de la base de datos, uso
inadecuado de los campos de control
 Auditoria de los Sistemas de
Información
Objetivo: Integridad
■ Control de consistencia de datos entre el
archivo maestro, de movimientos y tablas
correspondiente a una misma transacción,
p.e.: cambios erróneos en las tablas del
sistema pueden afectar la integridad de la
información en su proceso alterando los
resultados esperados
 Auditoria de los Sistemas de
Información
Objetivo: Integridad
Entre los controles utilizados están:
■ Controles de ingreso de datos:
*chequeo y validación de datos para
evitar duplicidad, ingreso de datos
fuera de rango, códigos inexistentes
*formato adecuado en el registro de
datos
 Auditoria de los Sistemas de
Información
Objetivo: Integridad
*campos críticos completos en la B.D.
*control físico con el número de
documento autorizado a ingresar la
transacción en el sistema
*balance de transacciones
*duplicidad de registro
 Auditoria de los Sistemas de
Información
Objetivo: Integridad
■ Transacciones retenidas o marcadas por
el sistema, que se encuentran en un
reporte de excepción, identificadas en la
B.D. con una marca particular, y
rechazadas por el sistema (no
procesadas)
 Auditoria de los Sistemas de
Información
Objetivo: Integridad
■ Revisión del proceso seguido con las
transacciones rechazadas, p.e.:
procedimiento de corrección y
reingreso al sistema, control de
atención, rechazo definitivo
 Auditoria de los Sistemas de
Información
Objetivo: Integridad
■ Control de procesamiento de las
transacciones:
*Ciclo de procesamiento: comparación
del total de registros procesados por el
sistema versus los ingresados al proceso
(calculo en base a campos críticos)
 Auditoria de los Sistemas de
Información
Objetivo: Integridad
*Control de sesión: emulan el
procedimiento de control manual o
batch comúnmente realizado, totales
por tipo de transacción se acumulan
automáticamente y se comparan con los
balances realizados al termino del
proceso
 Auditoria de los Sistemas de
Información
Objetivo: Integridad
*Control de balance: el sistema
incorpora dentro de sí todo el proceso
de control, lleva el registro de totales de
transacciones por tipo y compara con
las transacciones procesadas y la
información obtenida
 Auditoria de los Sistemas de
Información
Objetivo: Integridad
*Control de transmisión de datos: tanto
al envío como a la recepción se realizan
algoritmos de calculo o simple registro
de totales que permiten verificar sí la
información fue recibida conforme y
enviada del mismo modo
 Auditoria de los Sistemas de
Información
Objetivo: Integridad
*Control de reinicio y recuperación: se
verifica que las transacciones interrumpidas o
los proceso cortados puedan recuperarse sin
afectar las operaciones o transacciones del
sistema. Se usan tablas de fechas de registro
de transacción, cálculos internos entre las
transacciones ingresadas
 Auditoria de los Sistemas de
Información
Objetivo: Disponibilidad de
información
■ Se afecta como resultado de una falla o
interrupción del sistema (p.e.:caídas) o por
una política inefectiva de retención de datos
■ Los controles frecuentemente utilizados son:
sistema de tolerancia de fallas, Log diario de
transacciones en línea, software de
recuperación y reinicio, archivo de
recuperación almacenado en otro volumen
 Auditoria de los Sistemas de
Información
Objetivo: Eficiencia y eficacia de los S.I.
■ Controlar que los sistemas satisfagan las
expectativas de sus usuarios y que no
distorsionen las funciones del negocio
■ Controlar que el sistema consuma el mínimo
de recursos
■ Responde a los criterios de cuantificación de
los costos de operación y mantenimiento del
sistema
 Auditoria de de los Sistemas de
Información
Controles Generales de los S.I.
■ Seguridad de los programas y datos
■ Control de cambio de programas
■ Control de desarrollo de sistemas
■ Control de operaciones de los sistemas
 Auditoria de los Sistemas de
Información
La auditabilidad de los sistemas depende de :
■ Acceso a las Bases de Datos: uso de
herramientas informáticas
■ Uniformidad de las transacciones: relativo a
intercambio electrónico
■ Documentación de los procesos
■ Conciliaciones entre la información detallada
y los resúmenes o en las transferencias de
datos
 Auditoria de los Sistemas de
Información
Métodos de revisión de aplicaciones:
■ Análisis de E/S: sigue el flujo de la
transacción. Es engorroso para sistemas
complejos
■ Revisión de código fuente: se dificulta por la
disponibilidad de los códigos fuente
■ Revisión del desarrollo o de la
preimplantación: inclusión de puntos de
control antes de su uso
■ Revisión de los controles de la aplicación
 Auditoria de los Sistemas de
Información

Sistema integrado contable financiero:

■ Componentes del sistema: contabilidad,
costos, tesorería, caja, presupuesto, reportes
financieros, control patrimonial
■ Interrelación entre componentes: función de
la organización y disponibilidad tecnológica
■ Funcionalidad de cada componente:
tratamiento de la información y manejo de
parámetros
■ Revisión de los controles de cada componente
 Auditoria de los Sistemas de
Información

Sistema integrado contable financiero:

Puntos de control en contabilidad
■ Mantenimiento de cuentas: ingresos,
campos significativos, transacciones de
sustento
■ Diario: Control de totales, aprobación
de transacciones en línea, validación de
transacciones que están en el balance
 Auditoria de los Sistemas de
Información

Sistema integrado contable financiero:

■ Reportes: control de totales, conciliación de
interfase, fecha de proceso de cuentas
■ Conversión monetaria: ingreso de cambios,
reporte de cambio de moneda en uso,
identificar transacciones sujetas a cambio,
reporte de diferencia de cambio respecto al
estándar
 Auditoria de los Sistemas de
Información

Sistema integrado contable financiero:

Puntos de control- Pago proveedores u otros
■ Directorio de proveedores: unicidad de
código de proveedor, reporte de cambios
■ Procesamiento e ingresos: marcas
automáticas de los proveedores
descontinuados, a los que no ingresan a
proceso
 Auditoria de los Sistemas de
Información

Sistema integrado contable financiero:

■ Edición y validación: validación de código de
vendedor, validación de cuenta contable,
validación de partida presupuestal y O/C
■ Procesamiento de pagos: relacionar O/C,
Guía, Factura, Partida y la prioridad en el
pago, marca de pagos, conciliación de caja,
pagos con transferencia de fondos
 Auditoria de los Sistemas de
Información

Sistema integrado contable financiero:

Puntos de Control - Ingresos
■ Archivo de clientes: Logs, cambios en el
limite de crédito identificándose la fecha
■ Proceso de transacciones: chequeo automático
de límite de crédito
■ Caja: posteo automático de diferencia de
pagos a cuentas apropiadas, créditos
 Auditoria de los Sistemas de
Información

Sistema integrado contable financiero:

■ Reportes: Logs, resúmenes totales por
documento, pagos a créditos, pagos con
depósitos, Balances de pagos, créditos
excepcionales autorizados
 Auditoria de los Sistemas de
Información

Sistema integrado de Recursos Humanos:

Componentes:
■ Administración del personal,
■ Asistencia de personal
■ Planillas, AFP, CTS,
■ Evaluación de personal y
■ Selección del personal
 Auditoria de los Sistemas de
Información

Sistema integrado de Recursos Humanos:

Puntos de Control:
■ Los ingresos de personal se procesan
separados de la planilla
■ Reportes de todos los mantenimientos
indicando el usuario, el Terminal, Fecha y
Hora
■ Validar periodos de pago y personal pagado
 Auditoria de los Sistemas de
Información

Sistema integrado de Recursos Humanos:

■ Preplanillas con archivo de errores para
corrección
■ Procedimiento de aprobación en línea para
procesar a un solo individuo
■ Correspondencia de pago extraordinario por
empleado (H-E, incentivos)
■ Validación de las tablas usadas en los pagos
 Auditoria de los Sistemas de
Información

Sistema integrado de Recursos Humanos:

■ Reporte de incrementos de pago versus rango
de salario por categoría y/o nivel
■ Control de pagos negativos e inusuales
■ Confirmación de pagos, descuentos y cambio
en los beneficios
■ Reportes de conciliación de lo contabilizado y
lo registrado de pagos, descuentos y otros
 Auditoria de los Sistemas de
Información

Mantenimiento de los Sistemas de

información:
■ Función que acompaña la vida de un sistema
de información
■ Se producen 3 tipos de cambios en los
sistemas: por emergencia (falla en proceso o
resultados incorrectos), programados
(críticos) y mejoras (no críticos)
 Auditoria de los Sistemas de
Información

Mantenimiento de Sistemas información:

Puntos de control:
■ Mantenimiento de emergencia: reporte de
actividades de emergencia, reporte de accesos
autorizados, aprobación del usuario,
documentación de las acciones realizadas y
calificación de la solución (escalabilidad de
problemas)
 Auditoria de los Sistemas de
Información

Mantenimiento de Sistemas información:

■ Mantenimiento programado: debe existir el
requerimiento, la revisión y aprobación de la
solución, el nuevo código y su prueba, la
aceptación del usuario, el pase a producción y
la documentación respectiva (metodología e
impacto en el sistema y período de atención)
 Auditoria de los Sistemas de
Información

Mantenimiento de los Sistemas de

información:
■ Mejoras: deben existir los mismos controles
que en el caso anterior.
En todos los casos las tareas deben
segregarse, programador a cargo del código,
el administrador de la librería de fuentes y
versiones, el control de calidad (pruebas)