Este documento presenta una introducción a las auditorías informáticas. Explica las definiciones y objetivos de una auditoría informática, incluyendo el control de la función informática y la verificación de la normativa general de la empresa en el ámbito informático. También describe los tipos de auditorías internas y externas, y los factores que deben considerarse al planificar una auditoría informática como el estudio preliminar de la organización y los sistemas.

1. Auditoría Informática
Definición, métodos, tipos
Planeación de la auditoria

2. Definiciones y consideraciones
Exámen de las demostraciones y registros
administrativos. (Holmes)
Observa la exactitud, integridad y
autenticidad de tales demostraciones,
registros y documentos
No es una evaluación para detectar
errores y señalar fallas
Persigue el fin de evaluar y mejorar la
eficacia/eficiencia de una organización

3. Objetivos de la AI
Control de la función informática
El análisis de la eficiencia de los sistemas
informáticos
Verificación de la normativa general de la
empresa en el ámbito informático
Revisión de la eficaz gestión de los
recursos materiales y humanos
informáticos

4. Éxito de la AI
Estudiar hechos no opiniones
Investigar las causas no los efectos
Atender razones no excusas
No confiar en la memoria, preguntar
constantemente
Criticar objetivamente y a fondo todos los
informes y datos recabados
Registrar TODO

5. Tipos de AI
 Interna
Los recursos y personas pertenecen a la empresa
auditada
Es remunerada
La organización la controla
 Externa
Los recursos y personas no pertenecen a la
empresa auditada
Es remunerada
Distancia entre auditores y auditados: mayor
objetividad

6. Ventajas de la AII y la AUE
Tamaño de la organización
Niveles de confiabilidad
Ambiente organizacional
Presupuesto
Activos informáticos auditables

7. Alcances de la AI
 Tener el claro el objetivo
 Conocer el ambiente
 Limites del sistema
 Control de integridad de registros
Para aplicaciones de registros comunes
 Control de validación de errores
Detectar y corregir errores
 Deben figurar en el informe final
Lo incluyente
Lo excluyente

8. Síntomas de necesidad
 Descoordinación y desorganización
Concordancia con los objetivos
Desvíos importantes del plan operativo anual
Alta rotación de personal – Cambios grandes
 Mala imagen – Insatisfacción de los usuarios
Software
Hardware
Plazos de entregas

9. Síntomas de necesidad
 Debilidades económicas-financieras
Incremento de costos
Justificación de inversiones informáticas
Desviaciones presupuestarias
Costos y plazos de nuevos proyectos
 Inseguridad
Lógica
Física
Confidencialidad
Carencia de planes de contingencias

10. Fundamentos de la AI
Sistemas informáticos OPERATIVOS
Controles técnicos generales
Software y hardware compatibles
Software de base y de aplicación compatibles
$$$ y ocio
Productos comunes y compatibles (desarrollo
interno de productos de software)
Controles técnicos específicos
Cuotas en disco

11. Consideraciones en una AI?
 Control de la entrada de datos
Captura, calendario, transmisión, integridad y calidad de
los datos. Debe especificase la norma/procedimiento.
 Planificación y recepción de aplicaciones
Por parte del área de desarrollo de sistemas
 Centro de control y seguimiento de trabajos
Batch
Tiempo Real

12. La AI en del desarrollo de proyectos /
aplicaciones
Análisis
Diseño
Programación
Prueba
Implantación
Seguimiento

13. Consideraciones de la AI en el desarrollo
de sistemas
Revisión de las metodologías utilizadas
Modularidad, ampliaciones y mantenimiento
Control interno de las aplicaciones
Para casa fase del proceso
Satisfacción de usuarios
Control de procesos y ejecuciones de
programas críticos

14. La AI de Sistemas
SO
Actualización de versión
Incompatibilidades con el software de
aplicación
Otro software de Base
Software de Teleproceso
Administración de Bases de Datos
Investigación y Desarrollo

15. La AI de comunicaciones y redes
Redes nodales
Concentradores
MAN
WAN
Wi-Fi
Multiplexores
Líneas telefónicas (proveedores externos)
..entre otros aspectos

16. Auditoría de la Seguridad Informática
Física
Equipos
Infraestructura
Amenazas naturales…etc
Lógica
Datos, procesos, programas y usuarios
Planes de contingencia-desastres
Piratería/hackers
Ataques víricos

17. Que debe tener?
 Elementos administrativos
 Políticas de seguridad
 Organización y división de responsabilidades
 Seguridad física y contra catástrofes
 Practicas de seguridad del personal
 Elementos técnicos y procedimientos
 Sistemas de seguridad de equipos y de sistemas locales
y remotos
 Aplicación de los sistemas de seguridad, incluyendo
datos y archivos
 Rol de los auditores internos y externos
 Planes de desastres y su prueba

18. Estudio INICIAL de una AI
Constitución legal - Antecedentes
Organigrama
Departamentos
Relaciones jerárquicas y funcionales
Flujos de información – Cursogramas
Planos - Layout

19. Entorno Operacional de una AI
Situación geográfica de los sistemas
Donde están los centros de procesos de datos
Responsables de cada CPD
Estándares de trabajo de cada CPD
Arquitectura y configuración de Hardware
y Software
Según fichas de relevamiento adjuntas
Inventario de hardware y software
Comunicación y redes de datos

20. Entrono de Aplicaciones
Volumen, antigüedad y complejidad de las
aplicaciones
Metodología de diseño
Documentación
Bases de Datos
Cantidad
Complejidad

21. Tarea a exponer próxima clase por los
grupos……
CRMR
Computer
Resource
Management
Review
Evaluación de la gestión de los recursos
informáticos por medio del management.
¿Es lo mismo que la AI?

22. CRMR
 Evaluación de la gestión de recursos
informáticos
 Es una evaluación de la eficiencia de utilización
de los recursos por medio de la administración.
 No es una AI
 Proporciona soluciones rápidas a problemas
concretos y evidentes
 Aplicable a problemas de deficiencia
organizativas y gerenciales.

23. CRMR – Áreas de aplicación
Gestión de Datos
Control de operaciones
Control y utilización de recursos
materiales y humanos
Interfaces y relaciones con usuarios
Planificación
Organización y administración

24. CRMR – Objetivo
Evaluar el grado de bondad
o ineficiencia de los
procedimientos y métodos
de gestión que se observan
en un CPD

25. CRMR – Alcances
Reducidos: señalar áreas de actuación
con potencialidad inmediata de obtención
de beneficios
Medio: establece conclusiones y
recomendaciones
Amplia: incluye planes de accion en
concordancia con las recomendaciones
realizadas

26. CRMR – Que necesito?
 Datos del mantenimiento preventivo del hardware
 Informe de anomalías de los sistemas
 Procedimientos de emergencia
 Monitoreo de sistemas
 Rendimiento de sistemas
 Mantenimiento de librería de programas
 Gestión de espacio en disco
 Documentación de entrega de aplicaciones
 Utilización de CPU, canales y datos
 Datos de paginación de sistemas
 Volumen total y libre de almacenamiento
 Ocupación media de disco
 Manuales de procedimiento
 ..entre las mas importantes

27. Planeación de la AI
Permite dimensional el tamaño y las
características del área dentro de la
organización a auditar
Sistemas
Organización
Equipos

28. Herramientas a utilizar
Entrevistas
Visitas a la organización
Estudio de documentación y antecedentes
Cuestionarios
Encuestas
Aporte de la clase..

29. Entrevista a USUARIOS
Determinar el universo
Definir el objetivo
Relevamiento de datos
Comprobación de datos
Diseñarlas – Ver diseños apunte

30. Planeación de la AI
 Estudio Preliminar
Administración
Sistemas
 Personal
Capacitado – practica profesional
Valores morales y éticos
Eficiente
Pensar en los roles!!!
Multidisciplinario
Solo técnicos …NO..Porque?

31. Evaluación de sistemas
Sistemas aislados vs. entrelazados
Plan estratégico de sistemas
Cuestionario adjunto (practica)…

32. Evaluación del Análisis
 Políticas, procedimientos y normas
 Origen/fuente de la aplicación
Plan estratégico
Usuario
Inventario de sistemas
A desarrollar
En desarrollo
Desarrollada
• Modificaciones, con problemas, etc
 Documentación y registros usados en la
elaboración del sistema

33. Evaluación del diseño lógico
Analizar las especificaciones del sistema
Que debe hacer?
Como, cuando, en que orden, etc.
Analizar la participación
Usuario
Auditoria interna (área)
Comparar lo entregado como documento
y lo que el sistema realmente hace

34. Evaluación del desarrollo del sistema
Se auditan
Programas
Diseño de programas
Lenguaje utilizado
Interconexión entre programas
Red
Características del hardware utilizado

35. La administración de proyectos
 Tiene como finalidad el control del avance de lo
sistemas en una organización
 Requiere de líder de proyectos
 Debe confeccionarse un plan y su seguimiento
respectivo
Actividades/Recursos
Metas
Tiempos/prioridades
Costos
Personal involucrado/Gestión de desempeño

36. Control de Diseño de sistemas y
programas
 Acorde a las especificaciones funcionales
desde:
Análisis
Ambigüedades
Omisiones
Diseño
Errores
Debilidades
Omisiones
Programación
Claridad
Modularidad
Verificación

37. Instructivos de operación
Diagramas
Flujo
E/S
Diseño de formularios
Mensajes de errores
Parámetros
Formulas

38. Pruebas
Modulares
De sistema
De aceptación
Paralelas

39. CONTROLES
 De datos
Fuente
Volumen
Frecuencia
Acceso
Cifras de control
 De operación
Calidad e integridad de la documentación para el
proceso en una computadora
Procedimientos e instructivos formales de operación
Estandarización y cumplimiento de los procedimientos

40. CONTROLES
 De salida
 De medios de almacenamiento masivo
Acceso a los medios
Documentación de los soportes
Copias de seguridad
…ver cuestionarios en apunte
 De Mantenimiento
Total : Correctivo y preventivo
Por demanda in situ
En banco

41. Orden en un CPD
Reglas
Orden
Cuidado
Lugares físicos de almacenamiento de medios
Funcionalidad de muebles
….ver cuestionario apunte

42. Evaluación de la configuración del CPD
Evaluar posibles cambios de hardware
Modificación de equipos
Reducir costos o tiempos de proceso
Utilización de periféricos