Auditoria de Sistemas Sesión 3

Ing. Abaned manrique

Auditoria de Sistemas Sesión 3

Ing. Abaned Manrique C
Concepto: La Auditoría Informática es un proceso llevado a cabo por
profesionales especialmente capacitados para el efecto, y que consiste en
recoger, agrupar y evaluar evidencias para determinar si un Sistema de
Información salvaguarda el activo empresarial, mantiene la integridad de los datos
ya que esta lleva a cabo eficazmente los fines de la organización, utiliza
eficientemente los recursos, cumple con las leyes y regulaciones establecidas.

Permiten detectar de Forma Sistemática el uso de los recursos y los flujos de

información dentro de una Organización y determinar qué Información es crítica
para el cumplimiento de su Misión y Objetivos, identificando necesidades,
falsedades, costes, valor y barreras, que obstaculizan flujos de información
eficientes.

•Nace como una forma de controlar las actividades de

algunas instituciones estatales y privadas.
Procedimiento
Se procede a recopilar, clasificar y evaluar evidencia para verificar si un
Sistema Informático está cumpliendo con el resguardo de los activos.

Por ejemplo evaluara si:

• Mantiene la integridad y seguridad de los datos.
• Si el RRHH cumple eficazmente con los objetivos de la organización y utiliza
eficientemente los recursos que ella posee.

• Realiza un proceso :
• Es un conjunto de actividades que recibe uno o más insumos y crea un producto o
servicio de valor para el cliente
Entonces el auditor informático
debe estar al tanto de lo que
sucede en la organización,
revisar e informar a la dirección
o gerencia como están
funcionando los controles
implantados y sobre la fiabilidad
de la información suministrada.
 …para ello
•Participar en las revisiones durante y
después de cada una de sus etapas:
identificación, análisis, diseño, desarrollo e
implementación y explotación de las
aplicaciones informáticas, así como también,
en cualquier tipo de cambios que suceda.

•Revisar y juzgar el nivel de eficacia, utilidad,

fiabilidad y seguridad de los equipos e
información.
Eficaz Eficiente = Efectividad

•Eficacia : Cumplir requerimientos de usuarios.

• Eficiencia : Utilizar recursos en forma óptima.
•Seguridad : Mitigar adecuadamente los riesgos.
 Perfil de un Auditor Informático
• Formación técnica, universitaria o equivalente.
• Experiencia en estudios de auditoría.
• Conocimientos profundos de computación, sólida, experiencia en análisis,
diseño y programación de sistemas computacionales, y conocimientos de
sistemas operativos.
• Análisis y codificación de programas de auditorías.
• Responsabilidad, autoridad y rendimiento de cuentas.
• En la medida de lo posible, independencia.
• Ética, idoneidad y normas profesionales.
• Realizar trabajos planificados.
• Ejecución profesional
• Identificar Indicadores, para la construcción de informes de acuerdo al
trabajo realizado
• Constancia, flexibilidad y características personales de perfeccionamiento.
Funciones del auditor
• Planificar las actividades de auditoría.
• Consensuar un cronograma en el auditado o cliente.
• Solicitar y analizar documentación, con objeto de emitir una opinión.
• Análisis de datos a través de herramientas y síntesis de conclusiones.
• Trabajo de campo, entrevistas y revisiones in-situ
• Obtener y evaluar evidencia objetivamente
La informática en la Empresa
•Hoy la informática está incluida totalmente en la gestión
integral de las empresas.
•Es por ello que las empresas deben someterse a las normas y
estándares propiamente informáticos.
•Se aclara sí que la Informática no gestiona propiamente la
empresa más bien ayuda a la toma de decisiones en
beneficio de las organizaciones.
• Es por ello que deben existir normas que regulen su
funcionamiento entonces, nace la Auditoría Informática.
Tipos de Auditoría de sistemas
•Auditoría Informática de Seguridad.

•Auditoría Informática de Datos.

Auditoría Informática de Seguridad
• Está encargada de detectar intromisiones no autorizadas (intrusos).
• También se encarga de prevenir dichas intromisiones.
• Se preocupa de detectar y prevenir delitos frecuentes como:

• Espionaje cibernético a computadoras.

• Espionaje a redes computacionales.
• Intromisión en las CPDs.
• Etc

Por lo tanto la integridad de la información tiene por objeto es: garantizar

que la información llegue en el momento oportuno.
Auditoría Informática
de Datos
• Observa los resultados que se producen como salida en los
computadores.
• Generalmente dependen directamente de los datos con que los
alimentamos.
• Por lo tanto, si los datos son erróneos va a producirse información
resultante errónea.
• Las empresas no se preocupan de la calidad de los datos de entrada,
los cuales si están errados provocan un “efecto cascada”, es decir
afectan incluso a aplicaciones independientes.
Datos Proceso Resultados
erróneos erróneos
 Auditoría
de Sistemas
•Una amenaza latente para las empresas es que toda su
gestión se apoye en un sistema informático erróneo o mal
diseñado.

•Entonces la auditoría de sistemas debe tratar de

corregir los problemas que suceden en estos casos o
evitar que sucedan
 ¿Por qué una
Auditoría Informática?
• Existen muchas causas para realizar auditorías, alguna de ellas, aunque parezcan
sin importancia son:
• Cambios en la gerencia.
• Mayor cantidad de funciones dentro de la organización que están siendo
sistematizadas.
• Problemas con los activos.
• Compras de empresas.
• Existencia de grandes volúmenes de datos que pueden ser accesados por varios
programas.
• Implementación de procesamiento de datos distribuidos.
• El uso de computadores personales cuyas características los hacen más
vulnerables a la fuga de información.
• Etc.
Entonces se debe:
•Detectar el o los orígenes del problema.

•Saber y entender la estructura de la organización donde se

trabajará.

•Observar dónde se deben realizar mejoras a la gestión.

Problemas de la AI
•No siempre es fácil de implementar la función de auditoría
computacional. Existen dos grandes problemas que dificultan
su implementación:

•a)Relacionados con el personal

•b) Relacionados con la empresa

Relacionados con el Personal
•Los reportes del auditor son negativos.
• El auditor es la policía.
•Los requerimientos de control no son realistas.
•El auditor carece de experiencia.
•El auditor es demasiado simplista, todo es fácil para él.
•Cuesta entablar una comunicación adecuada.
•Los controles propuestos son costosos
Relacionados con la Empresa
• Documentación inadecuada de los sistemas y programas.
• Falta de procedimientos.
• Ausencia de conceptos de seguridad y/o control de información.
• Asignación de recursos y presupuesto restringido.
• Problemas técnicos en el CPD. (centro de proceso de datos)
• Planificación inadecuada.
• Apoyo poco comprometido de los niveles
• gerenciales.
• Técnicas y herramientas inadecuadas para efectuar
• auditoría.
• Problemas internos entre auditoría tradicional y
• auditoría computacional.
•El nivel técnico del auditor es a veces insuficiente, dada la gran
complejidad de los Sistemas, unidos a los plazos demasiado
breves de los que suelen disponer para realizar su tarea.
• Además del chequeo de los Sistemas, el auditor somete al
auditado a una serie de cuestionarios o Check List.
• Las Check List tienen que ser comprendidas por el auditor al
pie de la letra, ya que si son mal redactadas y aplicadas se
puede llegar a obtener resultados distintos a los esperados por
la empresa auditora.
• El cuestionario debe estar subordinado a la regla, a la norma,
al método.
• Sólo una metodología precisa puede desentrañar las causas por las
cuales se realizan actividades teóricamente inadecuadas o se omiten
otras correctas.

• El auditor sólo puede emitir un juicio general o parcial basado en

hechos y situaciones encontradas, no estando dentro de sus
atribuciones modificar la situación analizada.
Clases de Auditoría:
• Dependiendo de los fines perseguidos en una auditoria esta puede
ser dos tipos de auditorías:

• – Auditoría Interna

• – Auditoría Externa
Auditoría Externa
•Es realizada por personas afines a la empresa auditada.

•Se presupone una mayor objetividad y credibilidad que en la

auditoría

•interna debido al distanciamiento entre auditores y

auditados.
Se realiza una Auditoría Externa porque
•Existe la necesidad de auditar una materia de gran
especialización, para la cual los servicios propios no están
suficientemente capacitados.
•Contrastar algún Informe interno con el que resulte del
externo, en aquellos casos de graves hallazgos o
conclusiones que chocan con la opinión generalizada de la
propia empresa.
•Servir como mecanismo protector de posibles auditorias
informáticas externas decretadas por la misma empresa
•El hecho de que la auditoría interna se realice en
forma independiente del Departamento de Sistemas,
sigue siendo realizada por la misma empresa,
entonces si se desea tener una visión general y
objetiva de la investigación, es imprescindible que la
auditoría se realice en forma externa, no siempre,
pero sí cada cierto tiempo de manera de salvaguardar
la información importante, las redes, etc..
 Auditoría Interna
• La auditoría Interna es la realizada con recursos materiales y
humanos que pertenecen a la empresa auditada. Existe por expresa
decisión de la empresa.
• La auditoría interna tiene la ventaja de que puede actuar
periódicamente realizando revisiones globales, como parte de su plan
anual y de su actividad normal.
• Si la auditoría es realizada en forma eficiente y objetiva los auditados
se habitúan a ellas, especialmente cuando las recomendaciones
benefician su trabajo, lo que trae como valor agregado una
producción de calidad mejorada constantemente.
• Ambos tipos de auditoría deben estar ajenos a cualquier tipo de
tendencias, es decir, sociales, políticas, de la misma empresa,
• “compañerismo”, filiación, etc.
 Control
• Los datos son uno de los recursos más valiosos de las organizaciones
y, aunque son intangibles, necesitan ser controlados y auditados con
el mismo cuidado que los demás inventarios de la organización.
• Definición : Controles son todos aquellos mecanismos existentes
dentro del sistema y de la organización, que tienen como objetivo
asegurar la veracidad e integridad de la información que maneja el
sistema tanto aquella que entra y sale de él como la que se almacena
y se manipula internamente dentro de la configuración
computacional.
• El área responsable de evaluar la efectividad del sistema de control
establecido en el ambiente informático es el Control interno
informático
 SIMILITUDES ENTRE
CONTROL INTERNO Y
AUDITORIA
INFORMATICA
•El personal debe estar altamente capacitado en lo que
concierne a las tecnologías de la información,
verificación del cumplimiento de controles internos,
normativas y procedimientos establecidos por la
gerencia para los sistemas informáticos.
 Un buen control debe
contar con las
siguientes
características:
•Completos.
• Simples.
• Revisables.
• Adecuados.
• Rentables .
• Fiables.
• Actualizados.
Tipos de Controles Internos
• En general, existen tres tipos de controles que es posible
implementar en un sistema:

• – Preventivos
• – Detectores o detectivos
• – Correctivos

• Aunque ésta es una clasificación general, es necesario definir en qué

etapas o procesos del sistema es aplicable cada tipo de control, y qué
etapas es necesario controlar.
 Tipos de Controles Internos
•Preventivos : Evitar el hecho, por ejemplo, los software
de seguridad de acceso al sistema.

• Detectores : Poder detectar lo antes posible fallas en el

sistema, por ejemplo, registro de actividad diaria.

•Correctivos : Volver a un estado normal después de una

falla, por ejemplo, la mantención de un BDC con la réplica
de la base de datos de los usuarios SAM.
TIPOS DE CONTROLES
• – Controles Generales

•– Controles de Aplicación

•– Controles Especiales
Controles Generales
• Definición : Son los que se realizan para asegurar que la organización
y sistemas operen en forma normal.
Ejemplos :

• – Separación de funciones.
• – Acceso y Seguridad.
• – Procedimientos escritos.
• – Controles sobre software de sistemas.
• – Control sobre la continuidad del procesamiento.
• – Control sobre el desarrollo y modificación de sistemas.
Controles de Aplicación
•Definición : Son los que se realizan para asegurar la
exactitud, integridad y validez de la información procesada.
Ejemplos :

•- Control sobre los datos de entrada.

•- Control sobre los datos constantes o fijos.
•- Control sobre el procesamiento.
•- Control sobre los datos rechazados.
•- Control sobre los datos de salida.
Controles Especiales
• Definición : Son los que se realizan para asegurar la integridad,
seguridad y aspectos operacionales.
• Ejemplos :

• - Control sobre la entrada de datos en línea.

• - Procedimientos de recuperación y reenganche en sistemas en línea.
• - Control sobre la modificación de programas.
• - Control sobre el procesamiento distribuido.
• - Control sobre sistemas integrados.
• - Control sobre bases de datos.
• ESTUDIANTES

• PREGUNTAS