AUDITORIA Y CONTROL

INFORMATICOS
Mag. Ing. Mario Ramos Moscol

CONCEPTO DE AUDITORIA
DE SISTEMAS (1)
Auditorius Auditora
Auditor tiene la virtud de oir y revisar cuentas.
Evaluar la eficiencia y eficacia con que se est
operando
Sealar alternativas de accin para corregir errores
mejorar la forma de actuacin.
Revisin, evaluacin y elaboracin de un informe
para el ejecutivo encaminado a un objetivo
especfico en el ambiente computacional y los
sistemas.

CONCEPTO DE AUDITORIA
DE SISTEMAS (2)
1. Verificar de qu manera se estn aplicando los
controles en el rea de actuacin de la
Informtica.
2. Examen y evaluacin de los procesos y del uso
de los recursos que en ellos intervienen,
determinado el grado de eficiencia, efectividad y
economa de los sistemas de la empresa,
presentando conclusiones y recomendaciones
encaminadas a corregir las deficiencias existentes
y mejorar los procesos.

CONCEPTO DE AUDITORIA
DE SISTEMAS (3)
Proceso de recoleccin y evaluacin de evidencia
para:
* Determinar daos, Salvaguardar activos.
* Evitar destruccin de datos, uso no autorizado,
robos.
* Mantener Integridad de Informacin, Presentar
datos completos, oportunos, confiables.
* Alcanzar metas organizacionales,Contribucin
de la funcin informtica.

CONCEPTO DE AUDITORIA
DE SISTEMAS (4)
Es el examen o revisin de carcter objetivo
(independiente), crtico(evidencia), sistemtico (normas),
selectivo (muestras) de las polticas, normas, prcticas,
funciones, procesos, procedimientos e informes
relacionados con los sistemas de informacin
computarizados, con el fin de emitir una opinin
profesional (imparcial) con respecto a:
a) Eficiencia en el uso de los recursos informticos
b) Validez de la informacin
c) Efectividad de los controles establecidos

TIPOS DE AUDITORIA
Financiera. Veracidad de los estados
financieros, prcticas y principios contables.
Tributaria. Observa el cumplimiento del
cdigo tributario.
Gestin. Analiza logros del proceso
administrativo, funciones, mtodos, etc.
Sistemas. Relativo a la funcin informtica.
Ambiental, Gubernamental, etc.

Tipos de auditoria de sistemas

Desarrollo de sistemas.
Operacin.
Bases de datos.
Ofimtica.
Comunicaciones y Redes.
Seguridad fsica y lgica.

AUDITORIA DE LA OPERACION
INFORMATICA
La Operacin Informtica se ocupa de
producir resultados informticos de todo tipo:
reportes, bases de datos, procesamiento de
documento, etc.

Control de entrada de datos

Planificacin y Recepcin de Aplicaciones
Centro de Control y Seguimiento de Trabajos
Operadores de Centros de Cmputos
Centro de Control de Red y Centro de Diagnosis

AUDITORIA DE DESARROLLO
DE PROYECTOS
Ciclo de vida de los sistemas
Se utiliza metodologa de desarrollo de
Proyectos informticos.
Exigente control interno de todas las fases
antes nombradas.
Seguridad de los programas, Hacen la
funcin prevista

AUDITORIA INFORMATICA DE
SISTEMAS
Analiza la "Tcnica de Sistemas" en todas sus
facetas.
Sistemas Operativos.
Sistemas multimediales.
Software de Teleproceso.
Administracin de Base de Datos.
Investigacin y Desarrollo.
Algunas reas por su naturaleza se independizan.

AUDITORIA INFORMATICA DE
COMUNICACIONES Y REDES
Redes LAN, MAN, WAN
Las Comunicaciones son el Soporte FsicoLgico de la Informtica en Tiempo Real.
Topologa de la Red de Comunicaciones,
Nmero de lneas, cmo son y dnde estn
instaladas.
Tipo de terminales, carga de la red, etc.

AUDITORIA DE LA SEGURIDAD
INFORMATICA
Seguridad fsica y seguridad lgica.
La Seguridad fsica se refiere a la proteccin del
Hardware y de los soportes de datos, as como los
edificios e instalaciones que los albergan.
La seguridad lgica se refiere a la seguridad de
uso del software, a la proteccin de los datos,
procesos y programas, as como la del ordenado y
autorizado acceso de los usuarios a la informacin.
Elaboracin de "Matrices de Riesgo.

OBJETIVOS DE LA AI (1)
1) Optimizar el costo-beneficio de los sistemas.
2) Satisfaccin de los usuarios de los sistemas.
3) Asegurar integridad, confidencialidad y
confiabilidad de la informacin mediante la
recomendacin de seguridades y controles.
4) Conocer la situacin actual del rea informtica y
las actividades y esfuerzos necesarios para lograr
los objetivos propuestos.

OBJETIVOS DE LA AI (2)
5) Seguridad de personal, datos, hardware,
software e instalaciones
6) Apoyo de funcin informtica a las metas y
objetivos de la organizacin
7) Seguridad, utilidad, confianza, privacidad y
disponibilidad en el ambiente informtico
8) Minimizar los riesgos en el uso de Tecnologa
de informacin
9) Decisiones de inversin y gastos innecesarios
10) Capacitacin y educacin sobre controles en los
Sistemas de Informacin

Porqu realizar una AI?

1) Aumento en el presupuesto del Dpto de informtica.
2) Desconocimiento de la situacin informtica.
3) Niveles de inseguridades lgicas y fsicas.
4) Sospecha de fraudes informticos.
5) Falta de una planificacin informtica
6) Organizacin que no funciona correctamente, falta de
polticas, objetivos, normas, metodologa, asignacin de
tareas y adecuada administracin del Recurso Humano
7) Descontento general de los usuarios por incumplimiento de
plazos y mala calidad de los resultados
8) Falta de documentacin o documentacin incompleta de
sistemas que revela la dificultad de efectuar el
mantenimiento de los sistemas en produccin

CONTROLES
Conjunto de disposiciones metdicas,
diseadas con el fin de vigilar las funciones
y actitudes de las empresas para verificar si
todo se realiza conforme a los programas
adoptados, ordenes impartidas y principios
admitidos.

Clasificacin de los controles

Preventivos. Reducen la frecuencia con que ocurren las
causas del riesgo, permitiendo cierto margen de
violaciones. ("No fumar, Sistemas de claves de acceso).
Detectivos. Detectan los hechos despus de ocurridos. .
Evalan la eficiencia de los controles preventivos.
(Archivos y procesos que sirven como pistas de auditoria,
Procedimientos de validacin)
Correctivos. Ayudan a la investigacin y correccin de las
causas del riesgo. Porqu ocurri? Porqu no se detect?
Qu medidas debo tomar?

Controles fsicos (1)

Autenticidad. Permiten verificar la identidad:
Passwords, Firmas digitales
Exactitud. Aseguran la coherencia de los datos
Validacin de campos, Validacin de excesos
Totalidad. Evitan la omisin de registros as como
garantizan la conclusin de un proceso de envo:
Conteo de registros, Cifras de control
Redundancia. Evitan la duplicidad de datos:
Cancelacin de lotes, Verificacin de secuencias

Controles fsicos (2)

Privacidad: Aseguran la proteccin de los datos:
Compactacin, Encriptacin
Existencia. Aseguran la disponibilidad de los datos:
Bitcora de estados, Mantenimiento de activos, Proteccin
de Activos, Destruccin o corrupcin de informacin o del
hardware, Extintores
Efectividad. Aseguran el logro de los objetivos: Encuestas
de satisfaccin, Medicin de niveles de servicio,
Eficiencia. Aseguran el uso ptimo de los recursos:
Programas monitores,,Anlisis costo-beneficio

Controles automticos o lgicos

Periodicidad de cambio de claves de acceso
Combinacin de alfanumricos en claves de
acceso
Verificacin de datos de entrada.
Conteo de registros.
Totales de Control.
Verificacin de lmites.
Verificacin de secuencias.
Dgito autoverificador.

Controles administrativos en
Informtica
Controles de Preinstalacin
Controles de Organizacin y Planificacin
Controles de Sistemas en Desarrollo y
Produccin
Controles de Procesamiento
Controles de Operacin
Controles de uso de Microcomputadores

Controles de preinstalacin(1)
Hacen referencia a procesos y actividades previas a la
adquisicin e instalacin de un equipo de computacin y
obviamente a la automatizacin de los sistemas existentes.
Objetivos:
* Garantizar que el hardware y software se adquieran siempre y
cuando tengan la seguridad de que los sistemas computarizados
proporcionaran mayores beneficios que cualquier otra alternativa.
* Garantizar la seleccin adecuada de equipos y sistemas de
computacin
* Asegurar la elaboracin de un plan de actividades previo a la
instalacin

Acciones a seguir
Elaboracin de un informe tcnico que se justifique la adquisicin del
equipo, software y servicios de computacin, incluyendo un estudio
costo-beneficio.
Formacin de un comit que coordine y se responsabilice de todo el
proceso de adquisicin e instalacin
Elaborar un plan de instalacin de equipo y software (fechas,
actividades, responsables) el mismo que debe contar con la aprobacin
de los proveedores del equipo.
Elaborar un instructivo con procedimientos a seguir para la seleccin y
adquisicin de equipos, programas y servicios computacionales. Este
proceso debe enmarcarse en normas y disposiciones legales.
Efectuar las acciones necesarias para una mayor participacin de
proveedores.
Asegurar respaldo de mantenimiento y asistencia tcnica.

Controles de organizacin y
Planificacin(1)
Se refiere a la definicin clara de funciones, lnea
de autoridad y responsabilidad de las diferentes
unidades del rea informtica, en labores tales
como: Diseo del sistema, Programacin,
Operacin del sistema, Control de calidad.
Se debe evitar que una misma persona tenga el
control de toda una operacin. Es importante la
utilizacin ptima de recursos mediante la
preparacin de planes a ser evaluados
continuamente

Acciones a seguir
La unidad informtica debe estar al mas alto nivel de la pirmide
administrativa.
Deben existir mecanismos necesarios a fin de asegurar que los
programadores y analistas no tengan acceso a la operacin del
computador y los operadores a su vez no conozcan la documentacin
de programas y sistemas.
Debe existir una unidad de control de calidad.
El manejo y custodia de dispositivos y archivos magnticos deben estar
expresamente definidos por escrito.
Debe formularse el "Plan Maestro de Informtica (PESI)
Debe existir una participacin efectiva de directivos, usuarios en la
planificacin y evaluacin del cumplimiento del plan.
Las instrucciones deben impartirse por escrito.

Controles de Sistema en
Desarrollo y Produccin(1)
Se debe justificar que los sistemas han sido
la mejor opcin para la empresa, bajo una
relacin costo-beneficio que proporcionen
oportuna y efectiva informacin, que los
sistemas se han desarrollado bajo un
proceso planificado y se encuentren
debidamente documentados.

Acciones a seguir
Equipo de trabajo: usuarios, personal de auditora
interna/control, especialistas.
El desarrollo, diseo y mantenimiento de sistemas
obedece a un plan estratgico.
Documentacin de fases con actas de
conclusin/recepcin.
Prueba de programas.
Documentacin de sistemas: informes, diagramas,
objetivos de los programas, fuentes, formatos de
entrada/salida.
Procesos de contingencia.

Controles de Procesamiento(1)
Los controles de procesamiento se refieren al ciclo
que sigue la informacin desde la entrada hasta la
salida de la informacin, lo que conlleva al
establecimiento de una serie de seguridades para:
Asegurar que todos los datos sean procesados
Garantizar la exactitud de los datos procesados
Garantizar que se grabe un archivo para uso de la
gerencia y con fines de auditoria
Asegurar que los resultados sean entregados a los
usuarios en forma oportuna y en las mejores
condiciones.

Acciones a seguir
Preparacin y validacin de datos de entrada previo
procesamiento debe ser realizada en forma automtica:
clave, dgito autoverificador, totales de lotes, etc.
Procesos de correccin de errores.
Estandarizacin de formularios, fuente para agilitar la
captura de datos y minimizar errores.
Los procesos interactivos deben garantizar una adecuada
interrelacin entre usuario y sistema.
Planificar el mantenimiento del hardware y software,
tomando todas las seguridades para garantizar la integridad
de la informacin y el buen servicio a usuarios.

Controles de Operacin
Abarcan el ambiente de la operacin del equipo y
dispositivos de almacenamiento, la operacin de terminales
y equipos de comunicacin.
Los controles tienen como fin:
Prevenir o detectar errores accidentales que puedan
ocurrir en el Centro de Cmputo durante un proceso
Evitar o detectar el manejo de datos con fines
fraudulentos por parte de funcionarios del PAD
Garantizar la integridad de los recursos informticos.
Asegurar la utilizacin adecuada de equipos acorde a
planes y objetivos, Recursos Informticos

Acciones a seguir(1)
El acceso al centro de computo solo personal autorizado.
Ingreso a equipos con claves
Polticas de seguridad, privacidad y proteccin de los recursos
informticos frente a: incendio, vandalismo, robo y uso
indebido, intentos de violacin y como responder ante esos
eventos.
Llevar una bitcora de todos los procesos realizados, dejando
constancia de suspensiones o cancelaciones.
Procesos de recuperacin o restauracin de informacin.
Todas las actividades del Centro de Computo deben normarse
mediante manuales, instructivos, normas, reglamentos, etc.

Acciones a seguir(2)
El proveedor de hardware y software deber proporcionar lo siguiente:

Manual de operacin de equipos

Manual de lenguaje de programacin
Manual de utilitarios disponibles
Manual de Sistemas operativos

Las instalaciones deben contar con sistema de alarma por presencia de

fuego, humo, asi como extintores de incendio, conexiones elctricas
seguras, entre otras.
Instalar equipos que protejan la informacin y los dispositivos en caso de
variacin de voltaje como: reguladores de voltaje, supresores pico,
UPS, generadores de energa.
Contratar plizas de seguros para proteger la informacin, equipos,
personal y todo riesgo que se produzca por casos fortuitos o mala
operacin.

Controles en el uso del

Microcomputador
Es la tarea mas difcil pues son equipos
vulnerables, de fcil acceso, de fcil
explotacin pero los controles que se
implanten ayudaran a garantizar la
integridad y confidencialidad de la
informacin.

Acciones a seguir
Adquisicin de equipos de proteccin: supresores de pico, reguladores
de voltaje y UPS
Vencida la garanta de mantenimiento del proveedor se debe contratar
mantenimiento preventivo y correctivo.
Establecer procedimientos para obtencin de backups de paquetes y de
archivos de datos.
Revisin peridica y sorpresiva del contenido del disco para verificar
la instalacin de aplicaciones no relacionadas a la gestin de la
empresa.
Mantener programas y procedimientos de deteccin e inmunizacin de
virus en copias no autorizadas o datos procesados en otros equipos.
Propender a la estandarizacin del Sistema Operativo, software
utilizado como procesadores de palabras, hojas electrnicas,
manejadores de base de datos y mantener actualizadas las versiones y
la capacitacin sobre modificaciones incluidas.