Presentacion - Tema 2 - Introduccion A La Auditoria de Sistemas de Informacion

Bloque II
EL PROCESO Y LOS ELEMENTOS DE LA AUDITORA DE SSII
Tema 2
Introduccin a la Auditora de
Sistemas de Informacin
Jos F Vlez Serrano

Francisco Nava
Bloque II El proceso y los elementos de Auditora de los SSII
Tema 1 Introduccin a la auditora de SSII
1/41
ndice
ndice
Breve historia de la auditora de SSII
Razones para auditar y controlar los SSII
Definicin de la Auditora de Sistemas de Informacin
Efectos del PED sobre los controles internos
Efectos del PED sobre la Auditora
Fundamentos de la Auditora de SSII
Referencias
2/41
Breve historia de la auditora de SSII
Auditora alrededor del ordenador. Auditora

convencional con un elemento extico. El ordenador como
caja negra.
Auditora del ordenador. Se adaptaron los criterios al
centro de proceso de datos.
Auditora a travs del ordenador. Se comienza a
estudiar el tratamiento de la informacin en las
aplicaciones.
Auditora con el ordenador. El auditor comienza a usar
el ordenador para conseguir pruebas y evidencias.
Auditora operativa de proceso de datos. Basada en al
auditora operativa estudia la eficacia y la eficiencia del
tratamiento automtico de los datos.
3/41

Las principales razones son:
Toma de decisiones incorrectas
Coste de los errores
Control del uso de la tecnologa
Consecuencias de las prdidas de datos
Valor del hardware, del software y del personal
Privacidad de los datos personales
Fraude informtico

4/41

Toma de decisiones incorrectas
Los datos inexactos pueden acarrear prdidas econmicas o
perdida del control de los procesos.
Factores a tener en cuenta:
Los datos utilizados para las decisiones a corto plazo

deben gozar de alta exactitud.
Los datos utilizados para las decisiones a largo plazo tiene
un margen de error mayor.
Se debe evaluar el grado de precisin de los datos que se
manejan en relacin a las decisiones que sustentan.
5/41

Coste de los errores
Los errores tienen coste econmico
Errores inasumibles en funciones crticas: monitoreo de

pacientes, pagos de intereses, direccin de barcos, diseo
de satlites...
Errores que reducen la credibilidad de la empresa: errores
en informes, errores en plazos de entrega...
Operar segn normas, pruebas y revisiones evitan errores

6/41

Control del uso de la tecnologa
La responsabilidad no puede desaparecer
En que casos debe utilizarse y en que casos debe

prohibirse el uso de tecnologa: control areo, conduccin
de vehculos, operaciones mdicas...
Quin es responsable cuando un sistema falla: los
sistemas, las compaas que los usan, las compaas que
los proporcionan, las personas que los desarrollan...
La normativa y los contratos deben explicar estos puntos
7/41

Consecuencias de las prdidas de datos
Los datos son un recurso crtico para las operaciones de una
organizacin
Prdida de histrico (pasado)
Prdida de los planes a corto plazo (presente)
Operaciones deterioradas (presente)
Prdida de planes estratgicos (futuro)
Prdida de imagen respecto a terceros
Prdida de confianza en los sistemas
Respaldos adecuados y controles de los mismos

8/41

Valor del Hardware, del software y del personal
La organizacin no puede detenerse
El alto nivel de cualificacin del personal informtico lo hacen

un recurso muy valioso.
Tras la destruccin o corrupcin del software la organizacin
quizs no pueda continuar sus operaciones.
El fallo del hardware tambin puede detener el funcionamiento
de una organizacin.
Prever las bajas, tener personal preparado por duplicado,

tener sistemas duplicados, copias de seguridad...
9/41

Privacidad
El tratamiento informtico de datos personales erosiona la
privacidad de las personas
Enfoque fuerte: La informtica no debe permitir que los

datos personales puedan ser integrados, procesados y
recuperados rpidamente.
Enfoque dbil: Los datos solo deben usarse para el
propsito para el que fueron recogidos. Y siempre pueden
eliminarse bajo peticin.
Probar la imposibilidad del acceso a los datos privados
10/41

Fraude
Incidentes relacionados con la informtica en el que un
causante gana y una vctima pierde
El control del fraude puede ser difcil debido a temas

legales (privacidad, jurisdiccin...)
Solo las personas pueden ser defraudadas.
Proteccin de los activos, uso de protocolos estndar,
conocer la legislacin aplicable

11/41

La Auditora de SSII es el proceso de:
recoger y evaluar las evidencias

para dar una opinin sobre:
la salvaguarda de los activos,
la integridad de los datos,
la eficacia
y la eficiencia
en la consecucin de los objetivos de la organizacin

12/41
La Auditora de Sistemas de Informacin ayuda a

las organizaciones a conseguir esos objetivos

13/41

La salvaguarda de los activos
Los activos son:
El hardware, y la documentacin del sistema, que

puede ser daado fsicamente.
El software y los ficheros de datos, que pueden ser
robados o espiados.
El personal y los suministros.
Todo debe estar protegido por un sistema de control
interno
14/41

La integridad de los datos
El valor de un dato depende de su contribucin a la
reduccin de incertidumbre y su valor debe incrementarse
por cada usuario del dato.
Aspectos:
Exactitud (Accurazy), precisin de los datos.

Completitud (Completeness), datos encontrados respecto
al total.
Fiabilidad (reliability), vlida, sin errores, y representativa.
La integridad tiene un coste, y los beneficios deben
superar el coste de los procedimientos de control que se
establezcan
15/41

La eficacia
Un sistema eficaz es el que consigue sus objetivos
Aspectos:
La auditora de eficacia se realiza cuando el sistema ya

lleva tiempo funcionando, para saber si cumple las
necesidades de los usuarios.
Cuando un sistema es difcil de construir, se puede
realizar una auditora del diseo, para averiguar si el
resultado responder a las necesidades.
El auditor necesita conocer las caractersticas de los usuarios

y su marco de toma de decisiones, para saber si el sistema
las facilita
16/41

La eficiencia
Un sistema eficiente es el que minimiza los recursos para
conseguir sus objetivos
Aspectos:
Los recursos siempre son escasos para la demanda: Tiempo,

mquinas, comunicaciones, personas
No se puede evaluar aisladamente debido a sus dependencias con
otros sistemas (sistemas lentos que penalizan, lneas de
comunicacin, personas...). .
La eficiencia es clave cuando el sistema informtico tiene poca
capacidad. Hay que decidir si ampliar la capacidad de los sistemas
informticos o mejorar el software.
La auditora detecta problemas de capacidad y los relaciona con cuellos

de botella o con aplicaciones ineficientes.
17/41

En un sistema de Proceso Electrnico de Datos (PED) el
sistema de control interno sigue teniendo los mismos
componentes que en uno clsico:
Segregacin de funciones
Delegacin de responsabilidad y autoridad
Competencia del personal
Sistema de autorizaciones
Documentacin y registros adecuados
Control fsico sobre activos y registros
Adecuada supervisin de la gestin
Verificacin independiente de las operaciones
Comparacin peridica de los registros con los activos

18/41

Segregacin de funciones
Previene y detecta errores e irregularidades.
La segregacin clsica no es vlida:
En un sistema manual distintas personas deben: Iniciar las transacciones,

registrar las transacciones, custodiar activos...
Un mismo programa puede: Reconciliar una factura de un proveedor contra
el documento recibido e imprimir un taln por la cantidad adeudada al
proveedor (funciones incompatibles en un sistema manual).
En sistemas informatizados se deben verificar la segregacin de:
La capacidad de ejecutar el programa en el entorno de produccin
La capacidad de modificar el programa
En entornos con miniordenadores y PCs la segregacin de estas

funciones puede ser difcil de conseguir. Deben existir: contraseas,
permisos de escritura, registro de cambios.
19/41

Delegacin de la responsabilidad y de la autoridad
La especificacin clara de la responsabilidad y de la autoridad es
un control esencial
Aspectos a considerar:
En un sistema informatizado, puede ser difcil de conseguir una

especificacin no ambigua pues algunos recursos se comparten
entre distintos usuarios.
Por ejemplo, si varios usuarios acceden a los mismos datos y se viola la

integridad de los datos puede ser difcil determinar la responsabilidad de:
La corrupcin de los datos
Responsable de identificar y corregir el error.
Se debe comprobar la existencia de traza adecuada en cada caso y la

imposibilidad de suplantacin y eliminacin de rastro
20/41

Personal competente y de confianza
La existencia de personal competente y de confianza es cada
vez ms importante
Como la tecnologa informtica es cada vez ms compleja se

necesita personal muy cualificado para: desarrollar, mantener y
operar los sistemas informticos.
Un pequeo nmero de personas asumen la responsabilidad
de la integridad de los datos.
La alta rotacin del personal hace difcil evaluar su adecuada
cualificacin.
Se puede verificar la posibilidad de ausencias, la existencia de
cuellos de botellas...
21/41

Sistema de autorizaciones
Los programas cumplen el sistema de autorizaciones
Normalmente la direccin da dos tipos de autorizacin para ejecutar las

transacciones:
Generales establecen polticas a seguir (una lista fija de precios para el personal
de ventas)
Especficas aplican a transacciones especficas (las compras de valor muy
elevado deben ser aprobadas por el comit de direccin)
Cambia la forma de evaluar el seguimiento de las autorizaciones:
En un sistema manual se examinan el trabajo de los empleados.

En un sistema informtico, el procedimiento de autorizacin suele estar imbuido
en un programa, por lo que se debe verificar adems la veracidad del
programa.
Verificar que los programas cumplen el sistema de autorizaciones

22/41

Documentacin y registros adecuados
El sistema debe registrar todos los eventos y se debe poder
acceder a esos registros
En un sistema manual hay un soporte documental para permitir un

rastreo de auditora, mientras que en un sistema informtico puede
no haber soporte documental para iniciar, ejecutar y registrar
algunas transacciones.
Por ejemplo si los datos se introducen directamente en el sistema, o si

las ordenes de compras se producen automticamente cuando el
inventario es muy bajo.
La segregacin (ejecucin / modificacin) debe funcionar para

impedir problemas de control.
Se debe revisar las existencia y el acceso a los registros de los sistemas

23/41

Control fsico sobre activos y registros
Control crtico en sistemas manuales e informticos
Los sistemas informatizados tienden a concentrar sus activos y

Registros, por lo que se incrementa la prdida que puede suceder
debido a un fraude informtico o a un desastre.
Por ejemplo un incendio que destruya archivos sin respaldo

puede impedir que se continen las operaciones.
El auditor debe verificar la existencia de sistemas contingencias y sus

controles

24/41

Adecuada supervisin de la gestin
Se deben implementar controles de supervisin en el sistema
informtico que compensen los controles que antes se hacan por
observacin y consulta.
Antes, en un sistema manual los supervisores y los subordinados

suelen estar cerca.
Ahora, los SSII permite que los empleados estn cerca de sus
clientes y lejos de los supervisores.
El auditor debe verificar los controles de supervisin existentes
(informes, registros...)

25/41

Verificacin independiente de las operaciones
La verificacin de las operaciones es innecesaria
Antes, en un sistema manual se realizan pruebas independientes ya

que los empleados pueden: olvidar los procedimientos, cometer
errores...
Ahora, el sistema siempre seguir los procedimientos (si el cdigo
del programa est autorizado, es exacto y completo).
El nfasis cambia a asegurar la veracidad del programa, evaluando los

controles establecidos para el desarrollo y mantenimiento

26/41

Comparacin peridica de los registros
contabilizados con los activos
Peridicamente, hay que comparar los datos y los activos que los
datos pretenden representar
En un sistema manual personal independiente prepara los datos

para realizar la comparacin.
En un sistema informtico esta preparacin la realiza un programa.
Si se realizan modificaciones no autorizadas a los programas o a los
ficheros, se podra no descubrir una irregularidad.
El control cambia a asegurar la veracidad de los programas

27/41

Los auditores han de ser competentes e independientes
para evaluar la correspondencia entre las actividades de
una organizacin y los estndares o criterios establecidos.
El PED ha impactado en las dos funciones bsicas de la
auditora:
La recogida de las evidencias
La evaluacin de las evidencias

28/41

Cambios en la recogida de las evidencias
La recogida de
evidencia es ms
compleja en un sistema
informtico. Los
auditores tienen que
evaluar un conjunto
de controles
tecnolgicos variado y
complejo no existente
en un sistema manual.

29/41

Cambios en la recogida de las evidencias (2)
Entender los controles

tecnolgicos no es
fcil. La rpida
evolucin hardware y
el software implica
una continua
evolucin de los
controles asociados.

30/41

Cambios en la recogida de las evidencias (3)
Todo esto hace ms

difcil recoger la
evidencia de forma
manual, por lo que
los auditores
necesitan sistemas
PED para poder
recoger la evidencia.
Por ello existe
software general de
auditora.

31/41

Cambios en la evaluacin de las evidencias
Es ms difcil evaluar las consecuencias de las fortalezas y
debilidades de los controles en la fiabilidad global del
sistema.
El auditor debe:
Entender cuando un control est funcionando bien o mal

Rastrear las consecuencias de la debilidad o la fortaleza del
control a travs del sistema.
En un entorno compartido, puede ser una tarea difcil. Por ejemplo,

una transaccin de entrada de datos puede actualizar mltiples
datos utilizados por mltiples usuarios de distintas localizaciones.
32/41

Cambios en la evaluacin de las evidencias (2)
Si al evaluar las evidencias se descubren errores, hay que tener
en cuenta que as consecuencias de los errores en un sistema
informtico suelen ser ms graves que en uno manual.
Los errores se generan a alta

velocidad
El coste de corregir un error y/o

volver a ejecutar un programa
puede ser muy alto.
Los errores en los programas

suelen requerir rediseo y
reimplementacin.
El auditor debe verificar que existen controles que aseguren
sistemas de alta calidad
33/41

Cambios en la evaluacin de las evidencias (3)
La localizacin de errores cambia debido a que:
Los errores en los sistema manual suceden de una forma

estocstica. Por ejemplo, un administrativo comete
aleatoriamente un error al introducir un precio de un artculo.
En un sistema informtico tienden a presentarse de una forma
determinista. Un programa errneo siempre producir el
mismo error.

34/41

La auditora de los SSII no es una simple extensin de la
auditora tradicional.
La necesidad de una funcin de Auditora de SSII emana
de dos direcciones:
Los ordenadores han impactado en la habilidad de los

auditores para dar una prueba clara
La alta direccin y la de SSII consideran que estos son
recursos valiosos que deben ser controlados

35/41

Auditora tradicional
Gestin de SSII
Auditora de los SSII
Ciencias del
comportamiento
Ciencias de la
computacin

36/41

Auditora tradicional
La auditora tradicional aporta un importante bagaje de

conocimiento y experiencia de tcnicas de control interno.
Los trabajos administrativos, que soportan al sistema informtico,

(como las actividades de preparacin de datos) deben estar
sujetas a principios de control interno.
Muchos controles de los sistemas manuales se han exportado

a sistemas informticos (como los totales de control).
La auditora tradicional resalta la importancia crtica que tienen
La evidencia objetiva y verificable
La evaluacin independiente de los sistemas.
Su aporte ms importante es la filosofa del control.

37/41

Gestin de SSII
La rama de la gestin de los SSII ha realizado

numerosos aportes que impactan en la
Auditora informtica como los relativos a:
La direccin de proyectos (Cascada, Scrum, XP...)

Desarrollar e implementar SSII (Warnier, E/R,
Objetos, UML...)
Creacin de estndares.
Generacin de documentacin.

38/41

Una de las razones para el fracaso de un Sistema Informtico
es la ignorancia de los problemas del comportamiento de
las personas involucradas en su desarrollo e implementacin.
Adems, se debe considerar el impacto de todo Sistema
informtico en:
El cumplimiento de las tareas (sistema tcnico)
La calidad de vida en el trabajo (sistema social)
La psicologa, la sociologa o la ciencia de la gerencia

contribuyen a entender los problemas de las personas
dentro de las organizaciones
Ciencias del
comportamiento
39/41

Los objetivos de los controles tambin se han visto
influenciados por los avances realizados en las ciencias
de la computacin
Organizacin de la informacin
Desarrollo de software sin errores
Transmisin de informacin segura
Pruebas automticas
Los auditores de SSII deben tener un alto nivel de informtica

para entender los sistemas.
Ciencias de la
computacin
40/41
Referencias utilizadas
Apuntes de Auditora Informtica, Francisco Javier Nava

Garca.
SpieceWorks.
Wikipedia

41/41

Presentacion - Tema 2 - Introduccion A La Auditoria de Sistemas de Informacion

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Presentacion - Tema 2 - Introduccion A La Auditoria de Sistemas de Informacion

Uploaded by

Copyright:

Available Formats

Bloque II

EL PROCESO Y LOS ELEMENTOS DE LA AUDITORA DE SSII

Jos F Vlez Serrano

Breve historia de la auditora de SSII

Razones para auditar y controlar los SSII

Definicin de la Auditora de Sistemas de Informacin

Efectos del PED sobre los controles internos

Efectos del PED sobre la Auditora

Fundamentos de la Auditora de SSII

Breve historia de la auditora de SSII

Auditora alrededor del ordenador. Auditora

Razones para auditar y controlar los SSII

Toma de decisiones incorrectas

Coste de los errores

Control del uso de la tecnologa

Consecuencias de las prdidas de datos

Valor del hardware, del software y del personal

Privacidad de los datos personales

Bloque II El proceso y los elementos de Auditora de los SSII

Razones para auditar y controlar los SSII

Los datos utilizados para las decisiones a corto plazo

Razones para auditar y controlar los SSII

Errores inasumibles en funciones crticas: monitoreo de

Operar segn normas, pruebas y revisiones evitan errores

Razones para auditar y controlar los SSII

En que casos debe utilizarse y en que casos debe

Razones para auditar y controlar los SSII

Prdida de histrico (pasado)

Prdida de los planes a corto plazo (presente)

Operaciones deterioradas (presente)

Prdida de planes estratgicos (futuro)

Prdida de imagen respecto a terceros

Prdida de confianza en los sistemas

Respaldos adecuados y controles de los mismos

Razones para auditar y controlar los SSII

Factores a tener en cuenta:

El alto nivel de cualificacin del personal informtico lo hacen

Prever las bajas, tener personal preparado por duplicado,

Razones para auditar y controlar los SSII

Factores a tener en cuenta:

Enfoque fuerte: La informtica no debe permitir que los

Razones para auditar y controlar los SSII

Factores a tener en cuenta:

El control del fraude puede ser difcil debido a temas

Bloque II El proceso y los elementos de Auditora de los SSII

Definicin de la Auditora de Sistemas de Informacin

recoger y evaluar las evidencias

la salvaguarda de los activos,

la integridad de los datos,

en la consecucin de los objetivos de la organizacin

Bloque II El proceso y los elementos de Auditora de los SSII

Definicin de la Auditora de Sistemas de Informacin

La Auditora de Sistemas de Informacin ayuda a

Bloque II El proceso y los elementos de Auditora de los SSII

Definicin de la Auditora de Sistemas de Informacin

El hardware, y la documentacin del sistema, que

Definicin de la Auditora de Sistemas de Informacin

Exactitud (Accurazy), precisin de los datos.

Definicin de la Auditora de Sistemas de Informacin

La auditora de eficacia se realiza cuando el sistema ya

El auditor necesita conocer las caractersticas de los usuarios

Definicin de la Auditora de Sistemas de Informacin

Los recursos siempre son escasos para la demanda: Tiempo,