Auditoria informatica 2012

AUDITOR: RUBEN DARIO DIAZ H. 1
AUDITORIA INFORMATICA

1. INTRODUCCION
• Los avances tecnológicos en informática, telemática y
videomática, permean cada vez más las organizaciones.
• El ejercicio del control fiscal tiene su basamento en el análisis,
evaluación y verificación de información producida por las
Entidades Sujetas de Control.
• Ejercer el control fiscal en un mundo convulsionado y
cambiante es un gran reto.
• Auditar la información de este tipo es complejo y no cabe
auditarla con procedimientos convencionales de control.

2. ASPECTOS GENERALES DE AUDITORIA INFORMATICA
• Las tareas del Auditor Informático deben estar asociadas a la
rentabilidad ( optimizar tiempo vrs. calidad ).
• Toda organización posee flujos de información formalizados
(normas, procedimientos, etc.) y flujos de información no
formalizados.
• Un sistema computarizado es un subconjunto del flujo de
información formalizado.
• Los niveles de estructura en una empresa son : Gerencial,
Ejecutivo y Operacional.

• Se estima que sólo se detectan un 10% de los fraudes.
• Ante los problemas surgidos de informatización en una
organización, el Auditor Informático debe dar soluciones :
• Minimizar riesgos.
• Hacerlos menos probables.
• Disminuir el impacto sobre la empresa.
• La Auditaría Informática es la base de la pirámide informática de
una organización.

AUDITORIA INFORMATICA
PLAN ESTRATÉGICO
DE SISTEMAS
ESTRATEGIA
INFORMÁTICA
NECESIDA.
INFORMACION
.
EST.
CORP.

• El ámbito de actuación de la Auditoría Informática sería a :
• La función de Planificación.
• La construcción o desarrollo de sistemas.
• La organización y la administración.
• El entorno operativo.
• La seguridad.
• La Gestión.
• El procesamiento electrónico de los datos.

• Problemas asociados a la Planificación :
• Aplicaciones inconexas.
• Información redundante.
• Parque computarizado caótico.
• Rumbo indeterminado del Departamento.
• Desconexión del Departamento con la realidad de la
empresa.
• Objetivos inexistentes.

• Problemas asociados a la Construcción de Sistemas :
• Construcción de sistemas inadecuados.
• Sistemas ineficaces.
• Sistemas inseguros.
• Sistemas de difícil mantenimiento.
• Sistemas que no satisfacen a los usuarios.
• Sistemas no confiables.
• Sistemas no confidenciales.

• Problemas asociados a la Organización y Administración :
• Políticas y objetivos.
• Políticas de personal.
• Normas y procedimientos.
• Control de calidad.
• Relaciones con los usuarios y proveedores.
• Estructura organizacional y funcional.
• Dotación de recursos.

• Problemas asociados al Entorno Operativo :
• Políticas, normas y procedimientos.
• Programación y ejecución.
• Infraestructura locativa.
• Infraestructura eléctrica.
• Infraestructura de Hardware y software.
• Infraestructura de comunicaciones.
• Infraestructura de respaldo de datos.

• Problemas asociados a la Seguridad :
• Acceso físico.
• Acceso lógico.
• Protección del hardware y el software.
• Mantenimiento del hardware y el software.
• Transmisión de datos.
• Políticas de backup.
• Planes de recuperación.

• Problemas asociados a la Gestión :
• Costos excesivos y desequilibrados.
• Plazos excesivos.
• Incapacidad de cumplir objetivos.
• Utilización poco eficaz de los recursos.
• Estándares de productividad.
• Concordancia con los objetivos corporativos.

• Problemas asociados al Procesamiento Electrónico de los Datos :
• Entrada de datos.
• Salida de datos.
• Procesamiento de datos.
• Aplicativos de sistemas.
• Bases de datos.
• Procesamiento distribuido.

4. METODOLOGÍA DE LA AUDITORIA INFORMATICA
• Definición de Objetivos y Ambito.
• Realización de un Estudio Inicial.
• Determinación de Perfiles.
• Elaboración de Planes.
• Elaboración de Programas.
• Realización de Actividades.
• Elaboración del Informe Final.
• Formulación de Recomendaciones.

5. REGLAS BASICAS DE REALIZACION DE UNA AUDITORIA
INFORMATICA
• Fomentar la cooperación de los elementos auditados.
• Contar con el apoyo de la dirección.
• Cuidar aspectos protocolarios.
• Realizar una presentación.
• Solicitar con antelación la información precisa.
• No adelantar resultados parciales.
• Comentar resultados con interesados antes que niveles superiores.
• No emitir juicios que no estén sólidamente basados.
• El auditor observa, juzga y recomienda. Es imparcial.

6. SOFTWARE PARA AUDITORIA INFORMATICA
• El objetivo fundamental del software para Auditaría Informática
es el de verificar los registros y archivos del computador.
• Las Funciones serían de :
• Interpretar las especificaciones de Auditoría.
• Escoger e imprimir registros que cumplan criterios .
• Resumir datos de archivos.
• Calcular valores.
• Ordenar archivos según requerimientos de análisis.
• Escoger muestras aleatorias.

COMO IDENTIFICAR
O CONOCER A LA
ENTIDAD SUJETA
DE CONTROL ?

AMBIENTE
ORGANIZACIONAL
• Estructura Organizacional.
• Políticas Corporativas.
• Plan Estratégico Corporativo.
• Manual de Funciones.
• Manual de Procesos.
• Presupuesto.
• Indicadores de Gestión.
• Descomposición Funcional.

AMBIENTE DE
CONTROL INTERNO
• Estructura de la Auditaría Interna.
• Funciones de control.
• Plan Anual de Revisión.
• Plan de Contingencias.
• Políticas de Control.
• Valoración de Riesgos.
• Normatividad de Control.
• Evaluaciones anteriores.

AMBIENTE
INFORMATICO
• Estructura Area de Sistemas.
• Funciones Area de Sistemas.
• Plan Estratégico de Sistemas.
• Plan de Contingencias.
• Inventario de Software y Hardware.
• Políticas de Operación.
• Metodologías de Desarrollo.
• Políticas de Seguridad.
• Políticas de Backup y Recuperación.

COMO DEFINIR EL
AMBITO Y ALCANCE ?
• Analizar la información.
• Identificar el Ambiente de Control.
• Definir el Escenario de Riesgo.
• Definir las Actividades Sujetas de Control.

IDENTIFICACIÓN DE
LOS POR QUÉ
OCURREN LOS
PROBLEMAS DE
ORDEN INFORMÁTICO
Y COMPUTACIONAL EN
UNA ORGANIZACIÓN ?

ALGUNA VEZ USTED SE
HA PREGUNTADO ...

1. POR QUÉ SISTEMAS
NO HA
AUTOMATIZADO
MI
PROCESO ?

• La planeación del área de sistemas debe hacerse
de acuerdo con políticas definidas por la
organización.
• La organización debe monitorear la calidad de los
productos y servicios ofrecidos por los recursos
PED.
• Debe existir un Comité de Sistemas que promueva
y apruebe las políticas y planes PED como de
relación con los usuarios.
• El recurso humano del área de sistemas debe ser
idóneo y sus funciones estar sujetas a lo definido en
la estructura organizacional.
• Deben existir criterios que permitan medir el
desempeño de los funcionarios del área de
sistemas.

• Escenario de Riesgo : ORGANIZACIÓN
Está relacionado con aquellos controles
que implanta la entidad para garantizar
la mejor administración y operación del
área de sistemas e informática, con el
fin de que sus servicios se presten de la
manera que la organización lo requiera,
para efectos de competitividad y óptima
gestión y acorde al plan estratégico
corporativo.

• Escenario de Riesgo : ORGANIZACIÓN
• Actividades Sujetas de Control
• Políticas/Objetivos
• Planeación Corporativa
• Estructura Organizacional/Funcional
• Recurso Humano
• Relación con Usuarios
• Control de Calidad

2. POR QUÉ LA INFORMACIÓN
NUNCA ESTA
ACTUALIZADA?

• Los recursos PED deben ser operados de manera que
proteja la información almacenada y debe proveer control
sobre su acceso y modificación.
• El sistema de información debe proveer información
oportuna.
• Debe incluirse en el plan de trabajo, el mantenimiento
periódico de los equipos.
• El sistema de información debe garantizar la integralidad
con el resto de sistemas de la organización.
• Debe existir un registro exacto del desempeño de todos y
cada uno de los trabajos procesados en el centro de
cómputo.
• La información suministrada por el sistema debe ser
confiable.
• Debe existir una adecuada segregación de funciones.

• Escenario de Riesgo : OPERACION
Está relacionado con aquellos controles y
procedimientos que garantizan que los equipos,
medios magnéticos y software sean
correctamente utilizados y, proporcionen
efectividad y continuidad en el PED, seguridad a
registros y restricciones en el acceso de
personal no autorizado.

• Escenario de Riesgo : OPERACION
• Políticas, Normas y Procedimientos
• Planeación
• Programación
• Ejecución

3. POR QUÉ LOS
SISTEMAS
NO SATISFACEN
MIS
NECESIDADES ?

• Las aplicaciones deben desarrollarse de acuerdo con las
políticas corporativas de la organización.
• Se deben emplear metodologías adecuadas de desarrollo de
sistemas.
• Los usuarios se deben involucrar en los proyectos de
desarrollo con responsabilidades asignadas.
• Se debe utilizar una metodología de control de proyectos.
• Las aplicaciones deben estar documentadas.
• La naturaleza general y el alcance de cada proyecto de
sistemas debe ser claramente establecido y documentado.
• Deben prepararse y documentarse el estudio tecnológico de
factibilidad del proyecto.
• El desarrollo de las aplicaciones debe obedecer a criterios
de priorización, costos, duración y tamaño.

• Escenario de Riesgo : DESARROLLO
procedimientos que garantizan el desarrollo
efectivo de sistemas o aplicativos de
información, conforme a los tipos de desarrollo
de ciclo de vida, desarrollo por prototipado,
desarrollo mediante software comercial,
desarrollo por outsourcing o desarrollo por
usuario final.

• Escenario de Riesgo : DESARROLLO
• Políticas de Desarrollo
• Estudio de Factibilidad
• Preparación del Proyecto
• Análisis del Sistema
• Diseño del Sistema
• Construcción del Sistema
• Documentación
• Metodología Duración y Tamaño
• Metodología para Priorizar
• Metodología Costo/Beneficio
• Participación Usuarios
• Control Administrativo del Proyecto
• Metodología Definición de Sistemas
• Instalación y Postinstalación

4. POR QUÉ LAS CONSTANTES
FALLAS EN LOS
EQUIPOS ?

• Los elementos, equipos e instalaciones deben hacer del sitio
de trabajo un lugar cómodo, agradable, funcional y adecuado
para las tareas inherentes a la gestión informática.
• Las instalaciones del fluido eléctrico deben ofrecer un buen
servicio eléctrico uniforme y permanente.
• Los equipos de cómputo, periféricos y dispositivos
necesarios para el PED deben ser adecuados y necesarios.
• Los dispositivos electrónicos, interfaces, conexiones y
cableados indispensables para transmitir y recibir
información, interna como externa, deben ser de alta
tecnología.
• El conjunto de programas de computador y aplicativos de
usuario final se debe aprovechar al máximo por la
infraestructura de hardware y de comunicaciones como para
el desarrollo de sistemas.
• Se debe contar con software para realizar, almacenar y
recuperar las copias de respaldo de datos.
• Se debe contar con recursos logísticos para brindar apoyo a

• Escenario de Riesgo : INFRAESTRUCTURA
procedimientos que protegen el conjunto de
instalaciones, equipos, insumos, dispositivos,
redes, periféricos, programas y recursos en
general de tecnología informática, con que
cuenta el ente auditado para desarrollar,
implementar y operar sus sistemas de
información.

• Escenario de Riesgo : INFRAESTRUCTURA
• Infraestructura Locativa
• Infraestructura Eléctrica
• Infraestructura de Hardware
• Infraestructura de Software
• Infraestructura de Comunicaciones
• Infraestructura para Respaldo de Datos
• Infraestructura de Soporte

5. POR QUÉ SE
PIERDE
LA INFORMACIÓN ?

• Deben asignarse responsabilidades sobre el control de acceso y
seguridad física en el área PED.
• El acceso a bases de datos y terminales debe ser controlado, a
partir de políticas de Password.
• Deben existir protecciones contra eventos como incendios e
inundaciones de acuerdo con estándares de seguridad aceptados.
• Los archivos de cómputo deben protegerse contra accidentes,
destrucción y utilización por personal no autorizado o de intrusos.
• Deben existir planes de recuperación en caso de presentarse una
contingencia.
• Se deben definir políticas unificadas de backup y los
responsables de ejecutarlas diariamente.
• Debe existir un programa periódico de mantenimiento preventivo
del hardware y el software.
• Se debe proteger la información de la empresa del acceso desde
Internet.
• Deben existir procedimientos establecidos para verificar la
integridad de la información transmitida.

• Escenario de Riesgo : SEGURIDAD
Está relacionado con aquellos controles,
procedimientos y medidas efectivas que
protegen al personal, a los equipos, a los
programas y a los datos de las amenazas que
rodean el ambiente informático de una
organización.

• Escenario de Riesgo : SEGURIDAD
• Acceso Físico
• Acceso Lógico
• Protección de Equipos
• Protección de Software
• Mantenimiento de Hardware y Software
• Seguridad en la Transmisión de Datos
• Planes de Recuperación
• Políticas de Backup
• Pólizas de Seguro
• Seguridad en las Bases de Datos

SISTEMAS DE
INFORMACIÓN
OPERACIÓN ORGANIZACIÓN
SEGURIDAD
INFRAESTRUCTURA DESARROLLO
AMBIENTE DE
CONTROL
GENERAL

6. POR QUÉ PERSONAL
NO AUTORIZADO
TIENE ACCESO A
LOS SISTEMAS DE
INFORMACIÓN ?

• El usuario debe tener procedimientos establecidos para preparar los
datos e ingresarlos.
• La información sometida a procesamiento debe ser autorizada,
preparada e integrada y transmitida adecuadamente.
• Los documentos fuente y formas en blanco, deben custodiarse por
personas no involucradas en su generación.
• Los documentos fuente deben retenerse por un tiempo determinado,
para poder en algún caso, reconstruir la información.
• Los datos de entrada a procesar deben ser validados.
• Los procedimientos para el manejo de errores deben facilitar la
reentrada y operación precisa de los datos corregidos.
• Los documentos fuente deben ser diseñados de forma tal que
minimicen los errores y omisiones.
• Debe existir un control de los documentos negociables.
• Deben existir procedimientos que faciliten la privacidad al ingreso de
datos.

• Escenario de Riesgo : ENTRADA
Está relacionado con aquellos procedimientos
implantados por la entidad y que validan de
alguna forma los datos de entrada a los
diferentes sistemas o aplicativos, buscando con
ello un alto grado de depuración que evite
grandes cargas de trabajo posteriores
relacionadas con la corrección de datos
erróneos y su reentrada.

• Escenario de Riesgo : ENTRADA
• Autorización
• Origen del Documento Fuente
• Manejo del Error en el Documento Fuente
• Retención del Documento Fuente
• Entrada de Datos
• Validación de Datos de Transacciones
• Manejo del Error en la Entrada de Transacciones
• Control de Documentos Negociables
• Privacidad

9. ES LA
INFORMACIÓN
UNA TRAMPA
PARA LA
ORGANIZACIÓN ?

• Se debe normalizar el control de acceso a las bases de datos.
• La información relacionada con la base de datos se debe controlar
en su flujo y al uso que se le pueda dar.
• Se deben salvaguardar de un fraude o desfalco los activos de la
base de datos del uso no autorizado o del retiro por personal tanto
de confianza como de extraños a la organización.
• Se debe garantizar la privacidad de los datos de la base de datos.
• Se debe normalizar procedimientos de recuperación ante la
destrucción accidental o intencional de la base de datos.
• Se deben implementar controles para el manejo de errores
después de que han ingresado a la base de datos.
• Los datos deben ser rastreados a través de todas las funciones de
la base de datos.
• Se debe garantizar programas que faciliten la interfaz con la base
de datos, sistema operativo, programas de telecomunicaciones y de
aplicaciones.

• Escenario de Riesgo : BASES DE DATOS
Está relacionado con aquellos controles
implantados por la entidad para su
administración, manejo de errores, acceso,
programas interfaz, etc., debido a que éstas son
colecciones estructuradas de datos
relacionados entre sí y que son compartidas por
un buen número de usuarios.

• Escenario de Riesgo : BASES DE DATOS
• Control de Acceso
• Políticas de la Información
• Fraude y Desfalco
• Privacidad
• Interrupciones y Desastres
• Manejo de Errores en Transacciones
• Pistas de Auditoría
• Balanceo y Conciliación de Salidas
• Interfaz de programas

3. CONCEPTOS FUNDAMENTALES
• Cuáles son las amenazas más comunes en el entorno
informático de una organización :
• Contingencias naturales
• Intrusos
• Aplicaciones mal diseñadas
• Accidentes
• Contravenciones a la Ley
• Fallas en el hardware y software
• Errores de usuarios
• Problemas de telecomunicaciones

• Antes de la automatización de los datos, éstos se mantenían
y aseguraban como registros en papel, dispersos en
negocios o unidades organizacionales por separado.
• Hoy en día, los sistemas de información concentran los
datos en archivos de computadora que pueden ser
accesados más fácilmente por mucha gente y grupos fuera
de la institución.
• Por lo tanto, los datos automatizados pueden ser más
susceptibles de destrucción, fraude, error y mal uso.
4. VULNERABILIDAD

• En 1992 un estudio encargado por Stratus Computer Inc. y
realizado por la empresa de investigaciones de Nueva York
Find/SVP, encuestó a 450 ejecutivos de SI seleccionados de las 1000
empresas de la revista FORTUNE, encontró algunos de los
siguientes resultados :
• Las caídas no planeadas del sistema ocurren nueve veces por año
en promedio.
• Los sistemas permanecen caídos un promedio de cuatro horas.
• Los efectos más negativos son la insatisfacción del cliente y
pérdidas de productividad.
4. VULNERABILIDAD

• Las distorsiones en los sistemas de cómputo cuestan a las
empresas 4.000 millones de dólares al año.
• La pérdida de productividad en los trabajadores es del orden
de 37 millones de horas.
• Mientras más tiempo permanezcan los sistemas de cómputo
“caídos”, más serias serán las consecuencias para la empresa.
• Sólo unos cuantos días de pérdida de capacidad de cómputo
originan un quebranto total de la funcionalidad del negocio.
4. VULNERABILIDAD

Los sistemas computarizados son vulnerables por las siguientes
razones:
• Un sistema de información complejo no puede ser duplicado a
mano.
• Los procedimientos computarizados parecen ser invisibles y no son
bien entendidos o auditados.
• En general no quedan huellas visibles de cambios en los sistemas
computarizados y, también son complejos.
• Se tiene menor inspección manual.
• La información es más fácil de recopilar, pero más difícil de
controlar.
4. VULNERABILIDAD

• El desarrollo y operación de los sistemas automatizados
requiere de conocimiento experto, que no puede ser
comunicado fácilmente a los usuarios finales.
• Los sistemas están abiertos al abuso de miembros del
personal altamente capacitados técnicamente que no estén
bien integrados a la institución.
• Los empleados pueden hacer copias no autorizadas de
archivos de datos con fines ilegales.
• El efecto de un desastre en un sistema computarizado puede
ser mayor que en uno manual.
4. VULNERABILIDAD

• Los datos en los sistemas de cómputo pasan por más pasos
de procesamiento que en los sistemas manuales.
• En cada uno de las funciones de origen de los datos, registro,
transmisión, procesamiento, almacenamiento, recuperación y
distribución, requiere de un conjunto independiente de
controles físicos, administrativos y técnicos.
• Los sistemas de información en línea son aún más difíciles de
controlar.
4. VULNERABILIDAD

4. VULNERABILIDAD
Radiación
Radiación
Intercepción
Distorsión
interferencia
Radiación Radiación
Radiación
Intercepción
Distorsión
interferencia
Consolas
remotas
Usuario :
modificar
Acceso :
Errores de programación
Hardware :
Conexiones inadecuadas
Centro de
intercambio Procesador
Canal de
comunicación
Programador :
Incapacitar medidas
Revelar medidas
Mantenimiento :
Incapacitar dispositivos
Uso programas indep.
Operador :
Reemplaza supervisor
Revela medidas
Hardware :
Falla circuitos protección
Contribuye fallas software
Archivos :
Robo, copiado,
Acceso no
autorizado
Software :
Falla disposit. protección
Control acceso

4. VULNERABILIDAD
• La vulnerabilidad creciente de los datos automatizados ha
creado preocupaciones especiales para los desarrolladores y
usuarios de los sistemas de información.
• Entre las preocupaciones se incluyen :
• Desastres
• Seguridad
• Error administrativo

4. VULNERABILIDAD
Preparación datos
Transmisión
Conversión
Entrada datos línea
Completar formas
Otro tipo acceso
Validación
Procesamiento
Salida
Transmisión
Distribución

Auditoria informatica 2012

Más contenido relacionado

La actualidad más candente

Similar a Auditoria informatica 2012

Más de Leonsita19

Auditoria informatica 2012