Sie sind auf Seite 1von 34

Auditoria de Sistemas

Javier Perez
Ely Velasquez
Roselyn Falcon
Durvis Sambrano
Vianel Guerra
Ivan Ramos
¿De dónde proviene la
auditoría?

Nace como una forma de controlar


las actividades de algunas
instituciones estatales y privadas.

Su función inicial era


estrictamente económico-
financiero.
Procedimientos

1. Se procede a recopilar, clasificar y evaluar


evidencia de manera de verificar si un Sistema
Informático está cumpliendo con el resguardo de
los activos.

Por ejm evaluara si:


 Mantiene la integridad y seguridad de los datos .
 Si el RRHH cumple eficazmente con los objetivos
de la organización y utiliza eficientemente los
recursos que ella posee.

Profesora Pilar Pardo


Entonces el auditor informático
debe estar al tanto de lo que
sucede en la organización,
revisar e informar a la dirección
o gerencia como están
funcionando los controles
implantados y sobre la
fiabilidad de la información
suministrada.
…para ello
 Participar en las revisiones
durante y después del diseño,
desarrollo, implementación y
explotación de las
aplicaciones informáticas, así
como también, en cualquier
tipo de cambios que suceda.

 Revisar y juzgar el nivel de


eficacia, utilidad, fiabilidad y
seguridad de los equipos e
información.
Eficaz Eficiente = Efectividad

 Eficacia : Cumplir requerimientos de usuarios.

 Eficiencia : Utilizar recursos en forma óptima.

 Seguridad : Mitigar adecuadamente los riesgos.


Perfil de un
Auditor Informático

 Formación técnica, universitaria o equivalente.


 Experiencia en estudios de auditoría.
 Conocimientos profundos de computación, sólida
experiencia en análisis, diseño y programación de sistemas
computacionales, y conocimientos de sistemas operativos.
 Análisis y codificación de programas de auditorías.
 Responsabilidad, autoridad y rendimiento de cuentas.
 En la medida de lo posible, independencia.
 Ética, idoneidad y normas profesionales.
 Realizar trabajos planificados.
 Ejecución profesional
 Saber confeccionar informes de acuerdo al trabajo realizado.
 Constancia, flexibilidad y características personales de
perfeccionamiento.
La informática
en la Empresa

 Hoy la informática está incluida totalmente en la


gestión integral de las empresas.

 Es por ello que las empresas deben someterse a las


normas y estándares propiamente informáticos.

 Se aclara sí que la Informática no gestiona


propiamente la empresa más bien ayuda a la
toma de decisiones en beneficio de las
organizaciones.

 Es por ello que deben existir normas que regulen su


funcionamiento entonces, nace la Auditoría
Informática.
Tipos de Auditoría

 Auditoría Informática de Seguridad.

 Auditoría Informática de Datos.

 Auditoría de Sistemas.
Auditoría Informática de
Seguridad

 Está encargada de detectar intromisiones no autorizadas


(intrusos).

 También se encarga de prevenir dichas intromisiones.

 Se preocupa de detectar y prevenir delitos frecuentes como:

 Espionaje cibernético a computadoras.


 Espionaje a redes computacionales.
 Intromisión en las CPDs.
 Etc.
Auditoría Informática
de Datos
 Observa los resultados que se producen como salida en los
computadores.

 Generalmente dependen directamente de los datos con que


los alimentamos.

 Por lo tanto, si los datos son erróneos va a producirse


información resultante errónea.
 Las empresas no se preocupan de la calidad de los datos de
entrada, los cuales si están errados provocan un “efecto
cascada”, es decir afectan incluso a aplicaciones
independientes.

Datos Resultado
Erróneos Proceso Erróneo
Auditoría
de Sistemas

 Una amenaza latente para las empresas es que


toda su gestión se apoye en un sistema informático
erróneo o mal diseñado.

 Entonces la auditoría de sistemas debe tratar de


corregir los problemas que suceden en estos casos
o evitar que sucedan

Profesora Pilar Pardo


¿Por qué una
Auditoría Informática?

 Existen muchas causas para realizar auditorías,


alguna de ellas, aunque parezcan sin importancia
son:

 Cambios en la gerencia.
 Mayor cantidad de funciones dentro de la organización
que están siendo computarizadas.
 Problemas con los activos.
 Compras de empresas.
 Existencia de grandes volúmenes de datos que pueden
ser accesados por varios programas.
 Implementación de procesamiento de datos distribuidos.
 El uso de computadores personales cuyas características
los hacen más vulnerables a la fuga de información.
 Etc.
 Entonces se debe:

 Detectar el o los orígenes del problema.

 Saber y entender la estructura de la


organización donde se trabajará.

 Observar dónde se deben realizar


mejoras a la gestión.
Problemas de la AI

 No siempre es fácil de implementar la función de


auditoría computacional. Existen dos grandes
problemas que dificultan su implementación:

a)Relacionados con el personal

b) Relacionados con la empresa


Relacionados con el Personal

 Los reportes del auditor son negativos.


 El auditor es la policía.
 Los requerimientos de control no son realistas.
 El auditor carece de experiencia.
 El auditor es demasiado simplista, todo es fácil para
él.
 Cuesta entablar una comunicación adecuada.
 Los controles propuestos son costosos
Relacionados con la Empresa
 Documentación inadecuada de los sistemas y
programas.
 Falta de procedimientos.
 Ausencia de conceptos de seguridad y/o control de
información.
 Asignación de recursos y presupuesto restringido.
 Problemas técnicos en el CPD.
 Planificación inadecuada.
 Apoyo poco comprometido de los niveles
gerenciales.
 Técnicas y herramientas inadecuadas para efectuar
auditoría.
 Problemas internos entre auditoría tradicional y
auditoría computacional.
 El nivel técnico del auditor es a veces insuficiente,
dada la gran complejidad de los Sistemas, unidos a
los plazos demasiado breves de los que suelen
disponer para realizar su tarea.

 Además del chequeo de los Sistemas, el auditor


somete al auditado a una serie de cuestionarios o
Check List.

 Las Check List tienen que ser comprendidas por el


auditor al pie de la letra, ya que si son mal
redactadas y aplicadas se puede llegar a obtener
resultados distintos a los esperados por la empresa
auditora.

 El cuestionario debe estar subordinado a la regla, a


la norma, al método.
 Sólo una metodología precisa puede desentrañar
las causas por las cuales se realizan actividades
teóricamente inadecuadas o se omiten otras
correctas.

 El auditor sólo puede emitir un juicio general o


parcial basado en hechos y situaciones
encontradas, no estando dentro de sus
atribuciones modificar la situación analizada.
Tipos de Auditoría
Existen dos tipos de
auditorías:

– Auditoría Interna

– Auditoría Externa

Profesora Pilar Pardo


Auditoría Externa

 Es realizada por personas afines a la


empresa auditada.

 Se presupone una mayor objetividad


y credibilidad que en la auditoría
interna debido al distanciamiento
entre auditores y auditados.
 Se realiza una Auditoría Externa porque:

 Existe la necesidad de auditar una materia de


gran especialización, para la cual los servicios
propios no están suficientemente capacitados.

 Contrastar algún Informe interno con el que


resulte del externo, en aquellos casos de graves
hallazgos o conclusiones que chocan con la
opinión generalizada de la propia empresa.

 Servir como mecanismo protector de posibles


auditorias informáticas externas decretadas por
la misma empresa
 El hecho de que la auditoría interna se realice en forma
independiente del Departamento de Sistemas, sigue siendo
realizada por la misma empresa, entonces si se desea tener
una visión general y objetiva de la investigación, es
imprescindible que la auditoría se realice en forma externa, no
siempre, pero sí cada cierto tiempo de manera de
salvaguardar la información importante, las redes, etc..
Auditoría Interna

 La auditoría Interna es la realizada con recursos materiales y


humanos que pertenecen a la empresa auditada. Existe por expresa
decisión de la empresa.

 La auditoría interna tiene la ventaja de que puede actuar


periódicamente realizando revisiones globales, como parte de su
plan anual y de su actividad normal.

 Si la auditoría es realizada en forma eficiente y objetiva los auditados


se habitúan a ellas, especialmente cuando las recomendaciones
benefician su trabajo, lo que trae como valor agregado una
producción de calidad mejorada constantemente.

 Ambos tipos de auditoría deben estar ajenos a cualquier tipo de


tendencias, es decir, sociales, políticas, de la misma empresa,
“compañerismo”, filiación, etc.
Control

 Los datos son uno de los recursos más valiosos


de las organizaciones y, aunque son intangibles,
necesitan ser controlados y auditados con el
mismo cuidado que los demás inventarios de la
organización.

 Definición : Controles son todos aquellos


mecanismos existentes dentro del sistema y de la
organización, que tienen como objetivo asegurar
la veracidad e integridad de la información que
maneja el sistema tanto aquella que entra y sale
de él como la que se almacena y se manipula
internamente dentro de la configuración
computacional.
Control Interno Informático vs. Auditoría Informática

Análisis de los controles Análisis de un momento informático


día a día. determinado

Informa a la dirección informática Informa a la dirección general de la


organización

Solo personal interno Personal interno o externo

Alcance de funciones solo Cobertura sobre todos los componentes


sobre el departamento informático de los sistemas informáticos de la
organización
SIMILITUDES ENTRE
CONTROL INTERNO Y
AUDITORIA
INFORMATICA

- El personal debe estar altamente


capacitado en lo que concierne a las
tecnologías de la información,
verificación del cumplimiento de
controles internos, normativas y
procedimientos establecidos por la
gerencia para los sistemas informáticos.
 Un buen control debe
contar con las
siguientes
características:

 Completos.
 Simples.
 Revisables.
 Adecuados.
 Rentables .
 Fiables.
 Actualizados.
Tipos de Controles Internos
 En general, existen tres tipos de controles
que es posible implementar en un sistema:

– Preventivos
– Detectores o detectivos
– Correctivos

 Aunque ésta es una clasificación general,


es necesario definir en qué etapas o
procesos del sistema es aplicable cada tipo
de control, y qué etapas es necesario
controlar.
Tipos de Controles Internos

 Preventivos : Evitar el
hecho, por ejemplo, los
software de seguridad de
acceso al sistema.

 Detectores : Poder detectar


lo antes posible fallas en el
sistema, por ejemplo, registro
de actividad diaria.

 Correctivos : Volver a un
estado normal después de
una falla, por ejemplo, la
mantención de un BDC con la
réplica de la base de datos de
los usuarios SAM.
TIPOS DE CONTROLES

– Controles Generales
– Controles de Aplicación
– Controles Especiales
Controles Generales
 Definición : Son los que se realizan para
asegurar que la organización y sistemas operen en
forma normal.

 Ejemplos :

– Separación de funciones.
– Acceso y Seguridad.
– Procedimientos escritos.
– Controles sobre software de sistemas.
– Control sobre la continuidad del procesamiento.
– Control sobre el desarrollo y modificación de sistemas.
Controles de Aplicación
 Definición : Son los que se realizan para
asegurar la exactitud, integridad y validez
de la información procesada.

 Ejemplos :

- Control sobre los datos de entrada.


- Control sobre los datos constantes o fijos.
- Control sobre el procesamiento.
- Control sobre los datos rechazados.
- Control sobre los datos de salida.
Controles Especiales

 Definición : Son los que se realizan para


asegurar la integridad, seguridad y aspectos
operacionales.

 Ejemplos :

- Control sobre la entrada de datos en línea.


- Procedimientos de recuperación y reenganche en
sistemas en línea.
- Control sobre la modificación de programas.
- Control sobre el procesamiento distribuido.
- Control sobre sistemas integrados.
- Control sobre bases de datos.