Professional Documents
Culture Documents
_________________________________________________________________________
Pamplona
Universidad de
Auditoria de
Sistemas
_________________________________________________________________________
UNIVERSIDAD DE PAMPLONA-Facultad de Estudios a Distancia
Auditoria de Sistemas
_________________________________________________________________________
Tabla de Contenido
Presentacin
Introduccin
Horizontes
UNIDAD 1: Auditoria de Sistemas y el Auditor de Sistemas de
Informacin Contable
Descripcin Temtica
Horizontes
Ncleos Temticos y Problemticos
Proceso de Informacin.
1.1 SITUACIN ACTUAL DE LA AUDITORIA DE SISTEMAS PARA LA
INFORMACIN CONTABLE
1.1.1 Definiciones
1.2 EL IMPACTO DE LA TECNOLOGA DE INFORMACION EN LA
AUDITORIA FINANCIERA
1.2.1 Tendencias Actuales de la Tecnologa de la Informacin
y sus Implicaciones en la Auditoria Financiera
1.2.2 Efecto de la Globalizacin de los Mercados
1.2.3 Respuesta a las Presiones Competitivas
1.2.4 Cambio en el Funcionamiento de las Empresas
1.2.5 Reduccin de Costos
1.2.6 Disponibilidad de Acceso a la Informacin
1.2.7 Medio Ambiente Regulador
1.2.8 Integracin de los Sistemas de Informacin Contables
1.2.9 Avances Tecnolgicos
1.3 CAMPO DE ACCIN DE LA AUDITORIA DE SISTEMAS DE
INFORMACIN
1.4 UBICACIN TIPICA DE LA AUDITORIA DE SISTEMAS
1.5 TECNICAS DE AUDITORIA DE SISTEMAS DE INFORMACIN
1.5.1 Tcnicas Manuales
1.5.2 Tcnicas Automatizadas
1.5.3 Tcnicas para Verificar Transacciones
1.5.4 Tcnicas para Analizar Programas
1.5.5 Auditoria Alrededor del Computador vs. a Travs del
Computador.
1.6 OBJETIVOS DEL CONTROL EN LA AUDITORIA DE SISTEMAS DE
INFORMACION CONTABLE
1.6.1 Entorno de Auditoria y Control
1.6.2 Objetivos de Autorizacin
_________________________________________________________________________
UNIVERSIDAD DE PAMPLONA-Facultad de Estudios a Distancia
Auditoria de Sistemas
_________________________________________________________________________
Auditoria de Sistemas
_________________________________________________________________________
de
UNIDAD 3:
Identificacin y Evaluacin de Riesgos Potenciales y
Definicin del Alcance de la Auditoria
Descripcin Temtica
Horizontes
Ncleos Temticos y Problemticos
Proceso de Informacin
3.1 RIESGOS
3.1.1 Fraude / Robo
3.1.2 Prdida de Negocios y Credibilidad Pblica
3.1.3 Sanciones Legales
3.1.4 Decisiones Errneas
3.1.5 Dao y Destruccin de Activos
3.1.6 Desventaja Competitiva
3.2 CAUSAS DE RIESGOS
3.3 MATRIZ DE RIESGOS VS. PROCESOS CON LA UBICACIN DE
LAS CAUSAS DE RIESGOS
3.4 MATRIZ DE RIESGOS VS. DEPENDENCIAS (REAS) CON LA
_________________________________________________________________________
UNIVERSIDAD DE PAMPLONA-Facultad de Estudios a Distancia
Auditoria de Sistemas
_________________________________________________________________________
CON
LA
Auditoria de Sistemas
_________________________________________________________________________
_________________________________________________________________________
UNIVERSIDAD DE PAMPLONA-Facultad de Estudios a Distancia
Auditoria de Sistemas
Presentacin
La educacin superior se ha convertido hoy da en prioridad para el
gobierno Nacional y para las universidades pblicas, brindando
oportunidades de superacin y desarrollo personal y social, sin que la
poblacin tenga que abandonar su regin para merecer de este servicio
educativo; prueba de ello es el espritu de las actuales polticas
educativas que se refleja en el proyecto de decreto Estndares de
Calidad en Programas Acadmicos de Educacin Superior a Distancia de
la Presidencia de la Repblica, el cual define: Que la Educacin
Superior a Distancia es aquella que se caracteriza por disear ambientes
de aprendizaje en los cuales se hace uso de mediaciones pedaggicas
que permiten crear una ruptura espacio temporal en las relaciones
inmediatas entre la institucin de Educacin Superior y el estudiante, el
profesor y el estudiante, y los estudiantes entre s.
La Educacin Superior a Distancia ofrece esta cobertura y oportunidad
educativa ya que su modelo est pensado para satisfacer las
necesidades de toda nuestra poblacin, en especial de los sectores
menos favorecidos y para quienes las oportunidades se ven disminuidas
por su situacin econmica y social, con actividades flexibles acordes a
las posibilidades de los estudiantes.
La Universidad de Pamplona gestora de la educacin y promotora de
llevar servicios con calidad a las diferentes regiones, y el Centro de
Educacin Virtual y a Distancia de la Universidad de Pamplona,
presentan los siguientes materiales de apoyo con los contenidos
esperados para cada programa y les saluda como parte integral de
nuestra comunidad universitaria e invita a su participacin activa para
trabajar en equipo en pro del aseguramiento de la calidad de la
educacin superior y el fortalecimiento permanente de nuestra
Universidad, para contribuir colectivamente a la construccin del pas
que queremos; apuntando siempre hacia el cumplimiento de nuestra
visin y misin como reza en el nuevo Estatuto Orgnico:
Misin: Formar profesionales integrales que sean agentes generadores
de cambios, promotores de la paz, la dignidad humana y el desarrollo
nacional.
Auditoria de Sistemas
Auditoria de Sistemas
Introduccin
Aunque la nueva generacin de sistemas de informacin contables,
proporciona bastantes beneficios a las organizaciones, la complejidad y
sofisticacin de estos sistemas proporciona nuevos retos a los auditores.
Quizs, el mayor reto para este colectivo est en mantenerse
actualizado y comprender los ltimos avances tecnolgicos en que se
apoyan las aplicaciones (sistemas de administracin de bases de datos,
redes, provisiones de seguridad, hardware y sistemas operativos).
Para auditar eficientemente los sistemas de informacin contables de las
empresas, sin importar el tamao ya que en la PYME es el sector donde
ms esta creciendo el uso de tecnologa informtica, los auditores tienen
que entender los riesgos inherentes de su aplicacin.
Como el avance en la tecnologa informtica y los sistemas de
informacin de los negocios es imparable, los auditores tienen que
mantener siempre un nivel creciente en el conocimiento de estos
sistemas. Para ayudar a las organizaciones a garantizar el control y la
auditabilidad de los sistemas de aplicacin, los auditores deben estar
involucrados en su diseo, desarrollo e implementacin. Los sistemas
que se desarrollen de una manera estructurada y organizada con
controles construidos en su diseo, son los sistemas que ms eficaz y
eficientemente apoyan los objetivos de la organizacin.
El objetivo es analizar el impacto tecnolgico en la auditoria de sistemas
de informacin contable, la formacin, y habilidades que debe poseer el
profesional de la contabilidad y la auditoria para desempear su papel
en la empresa actual, una propuesta metodolgica ordenada eficaz y
fcil de aplicar para auditar la seguridad de los sistemas de informacin
contables y su entorno en una PYME, analizar y comparar algunos de los
principales estndares y regulaciones en materia de auditoria y control
de sistemas de informacin de aceptacin a nivel internacional.
Auditoria de Sistemas
Horizontes
Costos Bsicos
Horizontes
Auditoria de Sistemas
Proceso de Informacin
1.1
1.1.1 Definiciones
Auditoria de Sistemas de Informacin
Es la revisin y evaluacin de los controles, sistemas y procedimientos
de informtica; de los equipos de cmputo, su utilizacin, eficiencia y
seguridad, de la organizacin que participa en el procesamiento de la
informacin, a fin de que por medio del sealamiento de cursos
alternativos se logre una utilizacin ms eficiente y segura de la
informacin, de los equipos, del recurso humano, se mejoren los
procesos y se logre de manera integrada una organizacin gil,
dinmica, controlada y segura.
Este tipo de auditoria comprende la evaluacin de todos los aspectos de
los sistemas automatizados de procesamiento de informacin,
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia
Auditoria de Sistemas
Auditoria de Sistemas
Auditoria de Sistemas
Auditoria de Sistemas
10
Auditoria de Sistemas
11
Auditoria de Sistemas
12
Auditoria de Sistemas
13
Auditoria de Sistemas
14
Auditoria de Sistemas
15
Auditoria de Sistemas
16
Revisin analtica:
estudiar razones y tendencias financieras
significativas as como investigar fluctuaciones y partidas poco
usuales.
Operacin paralela:
consiste en procesar los datos reales con
duplicados de los programas que estn bajo el control total del
Auditoria de Sistemas
17
auditor. Debe utilizar otro programa para que le compare los archivos
porque los volmenes de informacin son altos.
Paquetes de auditoria:
conjunto de programas que tienen la
capacidad de procesar archivos, controlados por parmetros de
entrada definidos por el auditor.
Auditoria de Sistemas
18
Traceo: indica por donde pas el programa. Cada vez que se ejecuta
una instruccin me imprime o muestra en pantalla el valor de las
variables. Puede activarse para todo el programa o para parte del
programa y para las variables.
Diagramas de flujo:
consisten en una secuencia lgica de un
proceso, que permiten visualizar las etapas de un procedimiento
dentro de un programa.
a Travs del
Auditoria de Sistemas
19
Auditoria de Sistemas
1.6
20
Las
consideraciones
de
costo/beneficio
son
extremadamente
importantes en la implementacin de controles que reducen el riesgo.
Todos
los
controles,
independientemente de la clasificacin
(preventivos, detectivos, correctivos, etc.) estn diseados para mitigar
los riesgos y para permitir el logro de tres objetivos principales:
Auditoria de Sistemas
21
Clasificacin
de
Auditoria de Sistemas
22
Auditoria de Sistemas
23
Auditoria de Sistemas
24
Auditoria de Sistemas
25
Informacin
Auditoria de Sistemas
26
Auditoria de Sistemas
27
Auditoria de Sistemas
1.11
28
Conocimiento
automticas.
del
alcance
del
uso
de
aplicaciones
contables
Auditoria de Sistemas
29
Qu es auditoria de sistemas?
Auditoria de Sistemas
30
Solucin de Problemas
Auditoria de Sistemas
31
Autoevaluacin
Repaso Significativo
Auditoria de Sistemas
32
Bibliografa Sugerida
Page, J.; Hooper, P. Accounting and Information Systems, Prantice Hall.
E.E.U.U. (1996).
Piattini, M.; del Peso, E. Auditoria Informtica un enfoque practico, RAMA, Espaa. (1998).
Snchez Toms, A. Sistemas Expertos en Contabilidad, Tcnica Contable,
n 514. (1991).
Serrano, C. L. Fabra y E. Lobera. Planificacin de Sistemas de
Informacin en la Empresa: El Intercambio Electrnico de Datos (EDI)
SCIRE: Representacin y Organizacin del Conocimiento, 1997, Vol. 2.
(1997).
Teodoro, J. "Intercambio electrnico de datos (EDI)", Ministerio de Obras
Pblicas, Transportes y Medio Ambiente, 1994.
The Institute of Internal Auditors Research Foundation's.
Auditability and Control, E.E.U.U. (1994).
SAC Systems
Costos Bsicos
33
Horizontes
Definicin
Marco De Referencia Para El Control
Controles Sobre Desarrollo, Adquisicin Y Mantenimiento De Los
Sistemas De Informacin Contables
Revisin De Tcnicas De Fraude Informtico
Auditoria de Sistemas
34
Proceso de Informacin
2.1
DEFINICIN
Auditoria de Sistemas
35
Auditoria de Sistemas
36
CONTROLES
SOBRE
DESARROLLO,
MANTENIMIENTO DE LOS SISTEMAS
CONTABLES
ADQUISICIN
Y
DE INFORMACIN
Auditoria de Sistemas
37
Factibilidad Tcnica
Se cuenta con la tecnologa para hacer lo que se propone, el equipo
propuesto tiene la capacidad tcnica para manejar el nuevo sistema o el
cambio, hay garanta tcnica para lograr exactitud, facilidad de acceso,
controles, seguridades, el sistema propuesto provee respuesta adecuada
para consulta sin importar nmero de sitios o de usuarios.
Factibilidad Econmica
Costos del desarrollo, costos de equipos y programas, costos de no
cambiar nada, beneficios en reduccin de costos.
Factibilidad Operacional
Hay suficiente soporte de la gerencia y de los usuarios, los
procedimientos actuales son aceptables para el buen usuario, los
usuarios han sido involucrados en la planificacin y desarrollo del
proyecto, el sistema propuesto puede causar prdida de controles,
dificultad en el acceso a la informacin, disminucin en el rendimiento
de los empleados, va a afectar al cliente de una forma no deseada, va el
sistema a trabajar cuando se desarrolle e instale, va a cumplir con los
procedimientos operacionales de la organizacin. Finalmente, si el
proyecto cumple con estos tres requisitos, es factible realizarlo.
En cuanto a la planificacin, en el departamento de sistemas deben
elaborarse planes a corto, mediano y largo plazo, que sean compatibles
con los planes maestros de la organizacin. Deben adems conformarse
los comits de sistemas donde participen el cuerpo directivo de la
empresa, el personal de sistemas y los usuarios.
El auditor de sistemas dialogar con los integrantes de dicho comit
para identificar y discutir estrategias de acuerdo con los objetivos del
departamento de sistemas y de la organizacin en general. Entrevistar
a los usuarios para concretar si las estrategias se cumplen, en fin,
determinar cuan eficiente y efectivo es dicho plan.
En cuanto a la metodologa para desarrollar proyectos de sistemas debe
estar escrita y contar con parmetros establecidos para estructurar y
controlar el proceso de desarrollo de los sistemas de informacin en la
empresa.
El auditor de sistemas estar en capacidad de evaluar si cada fase de la
metodologa establecida tiene un producto final cuantificable antes de
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia
Auditoria de Sistemas
38
Entradas
Salidas
Archivos
Auditoria de Sistemas
39
Documentos fuente
Mecanismos de control
Seguridades importantes
Pistas de auditoria
Estructuracin de entradas:
Estructuracin de salidas:
Auditoria de Sistemas
40
Auditoria de Sistemas
41
Revisin del log del sistema para analizar los tiempos de reproceso
causados por mal funcionamiento y los accesos ilegales u otras
violaciones.
Auditoria de Sistemas
42
Log de secuencia:
normalmente el usuario identifica las
transacciones mediante un nmero de secuencia y tambin mantiene
un Log interno de los nmeros de secuencia que sirve para
asegurarse de que los datos estn completos y sirven como pista de
auditoria.
Auditoria de Sistemas
43
Log de espera para los mensajes: todos los mensajes que esperan
transmisin se colocan en un log de espera antes de ser incluidos en
la cola de transmisin, a medida que se transmiten y se reciben los
mensajes, el terminal receptor responde que el mensaje se ha
recibido correctamente.
Auditoria de Sistemas
44
Manuales tcnicos:
para determinar porque fallas tcnicas no
funcionan los programas.
Manuales administrativos:
para identificar la secuencia de los
procedimientos administrativos y el personal responsable.
Ejecucin en paralelo.
Auditoria de Sistemas
45
Auditoria de Sistemas
46
Auditoria de Sistemas
47
Auditoria de Sistemas
48
Auditoria de Sistemas
49
Auditoria de Sistemas
50
Auditoria de Sistemas
51
Auditoria de Sistemas
52
Que es un Virus?
Solucin de Problemas
Auditoria de Sistemas
53
Autoevaluacin
Repaso Significativo
Bibliografa Sugerida
Leitch, R.A.; Davis, K.R.
Hall. EE.UU. 1995.
Auditoria de Sistemas
54
Costos Bsicos
55
UNIDAD 3: Identificacin y
Evaluacin de Riesgos Potenciales
Crticos y Definicin del Alcance de
la Auditoria
Descripcin Temtica
Para aplicar un enfoque de auditoria orientada al riesgo es necesario
determinar cules son los riesgos crticos a los que estn expuestos los
servicios o negocios que se soportan en el Sistema de Informacin o
Proyecto que se est auditando.
Se debe valorar o estimar los riesgos inherentes a las operaciones de
negocios y servicios de la empresa, significa medir la exposicin de esta
a los riesgos potenciales que podran presentarse de acuerdo con las
caractersticas del entorno en el que se desarrolla.
El nivel de criticidad (impacto) de los riesgos puede ser: A Alto, M
Medio, B Bajo. En la actualidad se utilizan metodologas como el
Mtodo Delphy y el Mtodo de Cuestionarios.
Horizontes
las
las
criticos
Auditoria de Sistemas
56
Riesgos.
Causas de Riesgos
Proceso de Informacin
3.1
RIESGOS
Auditoria de Sistemas
57
Malintencionada.
Auditoria de Sistemas
58
del
Fraude / Robo
Perdida de Dinero
Sanciones Legales
Decisiones errneas
Dao y destruccin de
G
activos
O Desventaja Competitiva
S Perdida del Negocio
CAUSA RIESGO:
CR001. Alteracin de Estado de la Solicitud de Rechazada (REC) a
Aprobada (APR).
CR002. Creacin de Crditos o Cuentas cuyo estado de solicitud sea
diferente a Aprobado.
CR006. Error en digitacin de datos
R
I
E
S
DEPENDENCIAS
Divisin de Crdito
CR001
Fraude / Robo
Perdida de Dinero
Sanciones Legales
Decisiones errneas
Dao y destruccin de
G
activos
O Desventaja Competitiva
S Perdida del Negocio
CAUSA RIESGO:
CR001. Alteracin de Estado de la Solicitud de Rechazada
Aprobada (APR).
R
I
E
S
(REC) a
Auditoria de Sistemas
59
CON
LA
DEPENDENCIAS
Divisin de Crdito
CR001
Oficinas
CR001
P Registro de Solicitudes
R Registro de Datos Bsicos
Creacin
del CR002
O
Crdito/Cuenta
C Desembolsos
CR006
E Liquidaciones
S Generacin de Informes
O Cobranza
S Actualizacin Parmetros
CAUSA RIESGO:
CR001. Alteracin de Estado de la Solicitud de Rechazada (REC) a
Aprobada (APR).
CR002. Creacin de Crditos o Cuentas cuyo estado de solicitud sea
diferente a Aprobado.
CR006. Error en digitacin de datos
Solucin de Problemas
Auditoria de Sistemas
60
Fraude / Robo
Prdida de Negocios y Credibilidad Pblica
Sanciones Legales
Decisiones errneas
Dao y dest Desventaja
Competitiva ruccin de activos
Auditoria de Sistemas
61
Autoevaluacin
Repaso Significativo
Bibliografa Sugerida
El consejo superior de informtica del ministerio de administraciones
pblicas de Espaa. MARGERIT, Metodologa de anlisis y gestin de
riesgos de los sistemas de informacin, MAP, Espaa.
Fernndez, F. Procedimientos de auditoria en los sistemas de EDI,
Revista Tcnica. Instituto de Auditores Censores Jurados de Cuentas de
Espaa. 1998.
Fitzgerald, J. Framework system imformation, Limusa, Mxico. 1990.
FORTUNA, J.M.; BUSTO, B. y SASTRE, J.M. Los Sistemas Expertos:
fundamentos y aplicaciones a la Contabilidad, Partida Doble n17. 1991.
GALN, L. Informtica y Auditoria para las Ciencias Empresariales,
Colombia. 1996.
IFAC.
Auditoria de Sistemas
62
Auditoria de Sistemas
63
Horizontes
reas de Control.
Ejemplos de Controles.
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia
Auditoria de Sistemas
64
Proceso de Informacin
4.1
Auditoria de Sistemas
65
Auditoria de Sistemas
66
complicaciones graves.
Auditoria de Sistemas
67
EJEMPLOS DE CONTROLES
Auditoria de Sistemas
68
C
O
N
T
R
O
L
E
S
CCA001
CCA002
CRC003
CVA004
CCS005
CTCC01
CTC007
CSFC02
CSU009
CR001
X
X
CR002
CR003
CAUSAS DE RIESGO
CR004 CR005
CR006
CR007
X
CR008
X
X
X
X
X
X
X
CR001
CR001-CR002-CR006
Administracin del
Crdito
CR001
CR006
CR001-CR002
T Rastros de Auditoria (RA)
Planes de Contingencia y Recuperacin CR003
R
de Desastres (RC)
Validaciones de Integridad de datos y
O
auditabilidad de la BD (IN)
Auditoria de Sistemas
69
Solucin de Problemas
Auditoria de Sistemas
70
Autoevaluacin
Repaso Significativo
Bibliografa Sugerida
AICPA. The American Institute of Certified Public Accountants. SAS 78
Consideration of the Internal Control Structure in a Financial Statement
Audit., EE.UU. 1995.
Audisis ltda Metodologa de Auditoria de los centros de cmputo, Vol. 1,
Santa fe de Bogot. 1992.
COLBERT, J. BOWEN, P. A compararison of internal control:
SAC, COSO and SAS 78), 1998. Pgina WEB (www.isaca.org).
COOPERS
&
LYBRAND.
Control
Interno,
Auditoria
(COBIT,
Seguridad
Auditoria de Sistemas
71
Auditoria de Sistemas
72
Planeacin de la Auditoria.
Cuestionarios de Control.
Auditoria de Sistemas
73
Proceso de Informacin
5.1
PLANEACIN DE LA AUDITORIA
Investigacin Preliminar:
5.2
(Dpto)
de
Auditoria de Sistemas
74
Cantidad
PLANEACIN DE LA AUDITORIA
CENTRO DE COMPUTO___________________________________
OBJETIVO GENERAL DEL TRABAJO A REALIZAR__________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
ALCANCE DEL TRABAJO A REALIZAR (reas de Revisin)
1.
2.
3.
4.
5.
6.
7.
8.
Planeacin
Organizacin
Backup y Recuperacin
Seguridad
Produccin
Plan de Contingencias
Desarrollo de Sistemas
Eficiencia
()
()
()
()
()
()
()
()
Auditoria de Sistemas
75
Contrato de arrendamiento.
Obtenga
(elabore) un inventario de los equipos de computacin
indicando su localizacin.
CANTIDAD
MARCA
______
______
______
______
Auditoria de Sistemas
76
Versin
Otros paquetes de software ambiental instalados:
-
Software
Software
Software
Software
______
Indquelos
Aplicaciones en desarrollo:
Nombre de la aplicacin Fecha de Terminacin
___________________ __________________
Total Presupuestado
Ao Fiscal corriente
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia
Auditoria de Sistemas
77
Ultimo ao Fiscal
Costos de Arrendamiento
CPU'S
Otros equipos
CPU'S
Los dems
COSTO
__________________
Conversin de Datos
Otros servicios (especificar)
Espacio fsico
Servicios (especificar)
De planta
Temporales (a destajo)
UPS'S
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia
Auditoria de Sistemas
78
Cantidad
Caractersticas
5.3
EMPRESA_________________CENTRO DE
PROCESAMIENTO__________________
1. NOMBRE DE LA APLICACIN_________________________________________
2. MODO DE PROCESAMIENTO
Batch________Batch/On line________On line/Tiempo Real
3. FUNCIONES QUE SATISFACE
_________________________________________________________________________
_________________________________________________________________________
_______________________________________________________
4 CRITICIDAD DE LA APLICACIN
4.1
Por Tiempo
Muerto
Efecto
A __ M
__ B
Un da
Una semana
Impacto
Auditoria de Sistemas
79
Un mes
Indefinido
3
SUBTOTAL __________
___________
6. FECHA DE DILIGENCIAMIENTO______________
5.4 FORMATO PARA DETERMINAR LA IMPORTANCIA
CENTRO DE PROCESAMIENTO DE DATOS
EMPRESA
DEL
__________________________________
CENTRO DE PROCESAMIENTO___________________________________
APLICACIONES
________________
EFECTO DEL
TIEMPO MUERTO
EFECTO DE LA
DIVULGACIN
PUNTAJE
__________
_______
________________
__________
_______
________________
__________
_______
________________
__________
_______
________________
__________
_______
________________
__________
_______
____TOTALES_____
__________
_______
Auditoria de Sistemas
80
Significado de C
Entre 90 y 100%, la criticidad es ALTA. Entre 80 y 89% la criticidad es
MEDIA. Menos del 80% la criticidad es BAJA.
5.5
CUESTIONARIOS DE CONTROL
Controles
Auditoria de Sistemas
81
una
estructura
organizacional
del
Controles
Auditoria de Sistemas
82
Auditoria de Sistemas
83
magnticos
sean
Auditoria de Sistemas
84
Controles
Objetivos de Auditoria:
Auditoria de Sistemas
85
Auditoria de Sistemas
86
Conductos de ventilacin?
activan
el
interruptor
de
Localmente?
En el puesto del guardia de seguridad?
En la estacin central de alarmas de incendio?
En la estacin (Departamento) de bomberos?
Objetivo de Auditoria:
Revisar las medidas para prevenir y reducir los daos causados por el
agua.
Procedimientos de Control:
Auditoria de Sistemas
87
Las tuberas de agua y de vapor que pasan por arriba, estn fuera
de la sala del computador, con excepcin de los surtidores de
emergencia?
Se ofrece un drenaje adecuado debajo de los pisos falsos y en otras
reas del centro de computacin?
Hay un drenaje adecuado en el piso de encima, para evitar que se
filtre el agua por el techo?
Se proporciona un drenaje adecuado en las reas adyacentes al
centro de computacin?
Todas las unidades elctricas estn en cajas colocadas debajo de los
pisos falsos y desconectados de las planchas de dicho suelo para
evitar daos por agua?
Las puertas y ventanas exteriores estn hechas a prueba de agua?
Se tiene proteccin contra agua de lluvia acumulada o contra goteras
en el tejado y en las torres de enfriamiento que estn sobre el
tejado?
Sistema de Aire Acondicionado (Temperatura, Filtracin y Humedad)
Objetivo de Auditoria:
Procedimientos de Auditoria:
Auditoria de Sistemas
88
Objetivo de Auditoria:
Procedimientos de Control:
Objetivo de Auditoria:
Auditoria de Sistemas
89
Objetivos de Auditoria:
Procedimientos de Auditoria:
controles
para
los
visitantes
del
centro
de
Auditoria de Sistemas
90
Las puertas las cerraduras, los pasadores de cierre, las bisagras, los
marcos y otros mecanismos del edificio, estn construidos de tal
modo que se disminuya la probabilidad de ingresos no autorizados?
Si el acceso al centro de computacin se controla elctrica o
electrnicamente, hay bateras cerca y disponibles para casos de
interrupciones del sistema de energa primario?
Hay adecuados controles sobre la remocin de materiales del rea
de procesamiento de datos? Los reportes sensitivos se desmenuzan
(Hacen trizas)?
El sistema hace uso de: Guardias, Tarjetas, Badger (escarapelas de
color codificado), Circuito cerrado de televisin, Puntos de entrada
limitados, Monitoreo central, Dispositivos de deteccin, Alarmas,
Sistema de intercomunicacin (intercom), Puertas tramman (entrada
de doble puerta), puertas de salida nicamente en emergencia de
incendio, Las terminales estn localizadas en reas seguras para
prevenir el acceso a las mismas por usuarios no autorizados?
Las terminales incluyen dispositivos de cierre
prevenir uso no autorizado?
(locking)
para
(criptoboxes)
Auditoria de Sistemas
91
Categora o usuario?
A todos los empleados o visitantes al centro de computador o a otras
reas sensitivas se les exige identificacin positiva en forma de
escarapelas (badges) o carnets con la foto del individuo, nombre,
posicin y departamento?
Estn previstos procedimientos para
recuperacin de escarapelas y carnets?
controlar
la
emisin
del
computador
son
Aseo y Mantenimiento
Objetivos de Auditoria:
Auditoria de Sistemas
92
Procedimientos de Control:
Objetivos de Auditoria:
Procedimientos de Auditoria:
Objetivos de Auditoria:
Auditoria de Sistemas
93
Procedimientos de Control:
adiestramiento
cruzado
de
de
materias
Auditoria de Sistemas
94
Verificar que los techos estn a aprueba de agua de manera que esta
no fluya a los pisos.
Verificar que slo haya una puerta de entrada y de salida que sea
usada por el personal de operacin del centro de cmputo. Todas las
puertas deben de estar provista de aberturas, para poder romperlas
en caso de emergencia.
Comprobar que las cortinas, tapetes, muebles, piso falso, falso techo,
filtros de aire acondicionado, materiales aislantes elctricos y
acsticos, etc., estn hechos de materiales no combustibles o bien
est tratado con materiales retardantes de fuego.
Auditoria de Sistemas
95
Auditoria de Sistemas
96
Auditoria de Sistemas
97
Asegurar todas las ventajas, porque no slo puede ser tirado a travs
de ellas algo de afuera sino tambin algo de adentro, tal como un
disco o una cinta.
Objetivos de Control:
errores
accidentales
ocurridos
durante
el
Auditoria de Sistemas
98
Para todas las acciones que se requieran de parte del operador del
computador debern de emitirse manuales de operacin.
de
de
el
los
Auditoria de Sistemas
99
Auditoria de Sistemas
100
Auditoria de Sistemas
101
Objetivos de Control
Incendios
Inundaciones
Averas de los equipos auxiliares
Acciones malintencionadas
Robo de informacin
Relaciones laborales
Auditoria de Sistemas
102
Procedimientos de Respaldo
Objetivos de Auditoria:
Procedimientos de Auditoria
Instalacin de respaldo:
hay computadores de respaldo
disponibles?, el computador est ubicado (dentro del centro de
computador? dentro del mismo edificio? en una ubicacin apartada
del edificio del centro de cmputo principal?
Si se tiene acceso a otro computador que no es de la Empresa: existe
y est vigente un acuerdo contractual, se hacen pruebas peridicas,
las medidas de seguridad en la instalacin de respaldo son
suficientes, la instalacin de respaldo ha sido aprobada por el
personal de seguridad, en las instalacin de respaldo existe
capacidad suficiente para procesar las aplicaciones crticas.
Se ha desarrollado un plan de implantacin del respaldo? este se
revisa y prueba con regularidad?
La empresa vendedora de servicios de PED almacena repuestos
localmente?
Existe un programa regular de mantenimiento preventivo?
Datos, Archivos y Software
Auditoria de Sistemas
103
de
una ubicacin a
software
se
generan
Seguros
Objetivos de Auditoria:
Procedimientos de Auditoria:
Auditoria de Sistemas
104
Controles
Se debern de elaborar planes a largo plazo como una gua para los
subsecuentes diseos de sistemas.
en
prctica,
Auditoria de Sistemas
105
Controles
Deber ser
computador.
supervisada
con
eficiencia
las
operaciones
del
Auditoria de Sistemas
106
5.6
elabore
PRUEBA No.______
1 OBJETIVOS DE LA PRUEBA
3 TIPO DE PRUEBA
CUMPLIMIENTO_________SUSTANTIVA___________DOBLE
FINALIDAD________
4 PROCEDIMIENTO A EMPLEAR
Auditoria de Sistemas
107
Ref. PT
PRUEBA No.______
1 HALLAZGO
___________________________________________________________________
___________________________________________________________________
2 CAUSAS
___________________________________________________________________
___________________________________________________________________
3 SITUACIN DE RIESGO QUE GENERA
4 ESTANDAR DE COMPARACIN
___________________________________________________________________
5 CONCLUSIONES DE AUDITORIA
___________________________________________________________________
6 RECOMENDACIONES DE AUDITORIA
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia
Auditoria de Sistemas
108
_________________________________________________________________________
_____________________________________________________________
DISCUTIDO CON_____________________________________________________
FECHA_________________
5.7
RIESG
O
DESTRUCCIN
FRAUDE /
ROBO
ERRORES
HUMANOS
DIVULGACIN
NO
AUTORIZADA
FALLAS
DE
HARDWARE
RECURSOS
EQUIPOS
DE PED
INSTALAC.
DE PED
ARCHIVOS
DE DATOS
SOFTWARE
Auditoria de Sistemas
109
DOCUMENT
ACIN
5.8 EJEMPLO
CONTROLES
RIESGOS
EXISTENTES
MATRIZ
PROBABILIDAD
DE
OCURRENCIA
DE
EVALUACIN
CAUSAS
O
AMENAZAS
CONTROLES
EXISTENTES
DE
RIESGOS
EFECTIVIDA
D
1.
2.
3.
4.
RECOMENDAC
ION
5.
6.
Auditoria de Sistemas
110
5.9
Etapas
Investigacin preliminar
Emitir informes
reas de Revisin
Salidas de la Actualizacin
Auditoria de Sistemas
111
Backup y recuperacin.
Auditabilidad de la aplicacin.
PLANEACIN DE LA AUDITORIA
APLICACIN________________________________________
OBJETIVO
GENERAL
DEL
TRABAJO
A
REALIZAR_________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
ALCANCE DEL TRABAJO A REALIZAR (reas de Revisin)
1.
2.
3.
4.
5.
6.
7.
8.
9.
(
(
(
(
(
(
(
(
(
)
)
)
)
)
)
)
)
)
Auditoria de Sistemas
10.
11. ( )
12. ( )
13. ( )
112
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
____________________________________________________________
Auditoria de Sistemas
113
Procesos
Periodicidad
___________________________________ __________________
___________________________________ __________________
___________________________________ __________________
___________________________________ __________________
___________________________________ __________________
___________________________________ __________________
___________________________________ __________________
MEDIA
5
IMPACTO
3
________
Una semana
________
Un mes
________
Ms de 30 das
Total Criticidad
BAJA
________
_________
para
Transacciones
___________________________________
___________________________________
_____________________________
_____________________________
___________________________________
___________________________________
_____________________________
Auditoria de Sistemas
114
_____________________________
___________________________________
___________________________________
_____________________________
_____________________________
P/T
________________
Dependencia
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
Auditoria de Sistemas
115
Departamento (dependencia)
_______________________________
_______________________________
_____________________________
_____________________________
_______________________________
_______________________________
_____________________________
_____________________________
P/T ___________________
___________________________________
_____________________________
_____________________________
_______________________________
_______________________________
__________________________________
__________________________________
Auditoria de Sistemas
116
____________________________
____________________________
____________________________
____________________________
____________________________
____________________________
____________________________
____________________________
________________________________________________________________
_______________________________________________________________
_______________________________________________________________
Menos de 15.
( )
Entre 16 y 30.
( )
Ms de 30.
P/T
__________________
Contenido
___________________________
____
_____________________________
___________________________
_____
_____________________________
___________________________
_____
_____________________________
________________________________
_____________________________
Auditoria de Sistemas
________________________________
117
_____________________________
Elabore una lista de los campos de los archivos que son calculados
por el sistema e investigue las frmulas y algoritmos utilizados por la
aplicacin para obtenerlos.
REF A P/T _____________________
Estructura y Tecnologa
( )
( )
Auditoria de Sistemas
( )
Batch
( )
( )
118
Diaria
( )
( )
Sitios de procesamiento:
( )
( )
__________________________________
( )
_____________
( )
( )
( )
( )
( )
( )
( )
Usuarios y Consultores
Auditoria de Sistemas
( )
119
( )
Se aplic consistentemente
( )
Se aplic parcialmente
( )
Si el software se compr-
( )
( )
Bueno
( )
Regular
( )
Malo
( )
El vendedor
( )
Personal de la Empresa
( )
Telfonos ________________________________
( )
Ciudad __________________
( )
Alto Nivel
( )
( )
Bajo nivel.
Documentacin de la Aplicacin.
Del sistema
( )
Auditoria de Sistemas
( )
( )
No existe
De Programas
( )
( )
( )
No existe
De Operaciones
( )
( )
( )
No existe
Del Usuario
( )
( )
( )
No existe
120
CPU:
Marca ___________Modelo _________
Memoria RAM __________
Cantidad______
Terminales locales
Terminales remotas
Modems
Encripores
Lneas de Comunicacin de datos:
Pblicas
Privadas
Cantidad.
__________________
__________________
__________________
__________________
__________________
__________________
Auditoria de Sistemas
Descripcin
Sistema Operacional
__________________
Software de Comunicaciones
__________________
Software de Seguridad
__________________
Software de Librerias
__________________
Software de Baes de Datos
__________________
Otro (s)
________________ __
121
Nombre
Versin
________________
________________
________________
________________
________________
_______________
( )
( )
( )
( )
( )
( )
Buena
Pasable
Deficiente
( )
Ninguna
Auditoria de Sistemas
( )
( )
122
( )
( )
( )
( )
( )
( )
Alta
Media
Baja
( )
( )
( )
En proceso de reemplazo.
No se reemplazar antes de dos aos
No se tiene previsto reemplazarla
( )
( )
( )
Ms de dos aos
Entre dos y cuatro aos
Ms de cuatro aos
( )
( )
( )
Significativa
Moderada
No significativa
( )
( )
( )
Ninguna
Una o ms por Auditores Financieros
Una o ms por Auditores Financieros y de Sistemas
Auditoria de Sistemas
( )
( )
( )
Ninguna
En todo el proceso de mantenimiento
En las pruebas de aceptacin
( )
( )
( )
Ninguna
En todo el proceso de desarrollo / adquisicin
En la instalacin
( )
( )
( )
( )
( )
( )
123
Auditabilidad de la Aplicacin:
( )
( )
EMPRESA ______________________________________________________
APLICACIN ____________________________________________________
Elaborado por _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
Fecha _ _ _ _ _ _ _ _ _
Auditoria de Sistemas
( ) Significativa
( ) Moderada
( ) No significativa
_________
124
Valor de
Riesgo
5
4
Peso del
Criterio
X
X
3
Puntaje
Criticidad
(Impacto)
de los errores de procesamiento en la
estabilidad financiera del negocio.
Valor de Peso del
Puntaje
Riesgo
Criterio
( ) Significativa
5
X
( ) Moderada
4
X
( ) No significativa
3
X
_________
( ) Entre 1 y 3
( ) Entre 4 y 10
( ) Ms de diez
Valor de
Riesgo
3
4
5
Peso del
Criterio
X
X
X
Puntaje
_________
Puntaje
_________
Puntaje
_________
Auditoria de Sistemas
125
Valor de
Riesgo
( ) Ninguna
( ) Entre 1 y 3
( ) Ms de 3
3
4
Peso del
Criterio
0
X
X
X
Puntaje
_________
( ) Menos de 3
( ) Entre 3 y 5
( ) Ms de 5
Valor de
Riesgo
3
4
5
Peso del
Criterio
X
X
X
Puntaje
_________
Estructura y Tecnologa
3
4
5
Criterio
X
X
X
_________
Valor de
Peso del
Puntaje
Riesgo
Criterio
( ) Batch
3
X
( ) Entrada on line y actualizacin en batch
4
X
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia
Auditoria de Sistemas
126
X
________
Peso del
Puntaje
Criterio
X
X
X
_________
Sitios de Procesamiento
(
(
(
(
(
(
Auditoria de Sistemas
127
Si el software se compr
( ) Bueno
( ) Regular
( ) Malo
( ) El vendedor
( ) Personal de la Empresa
( ) Los dos anteriores
Valor de
Riesgo
3
4
5
Valor de
Riesgo
3
5
4
Peso del
Puntaje
Criterio
X
X
X
_________
Valor de
Riesgo
3
4
5
Peso del
Puntaje
Criterio
X
X
X
_________
( ) Alto nivel
( ) Combinacin de alto y bajo nivel
( ) Bajo nivel
Documentacin de la Aplicacin
Del Sistema:
Valor de
Riesgo
Peso del
Criterio
3
4
Puntaje
X
X
X
_________
Auditoria de Sistemas
128
De programas:
Valor de
Riesgo
Peso del
Puntaje
Criterio
3
X
4
X
X
_________
De operaciones:
Valor de
Riesgo
( ) Disponible, adecuada y actualizada
3
( ) Disponible pero inadecuada y obsoleta
4
( ) No existe
5
Peso del
Criterio
Puntaje
X
X
X
________
Del usuario:
Valor de
Riesgo
Peso del
Puntaje
Criterio
3
X
4
X
X
________
________
Peso del
Puntaje
Criterio
3
X
4
X
X
_________
( ) Buena
( ) Pasable
( ) Deficiente
Valor de
Riesgo
3
4
5
Peso del
Criterio
X
X
X
Puntaje
Auditoria de Sistemas
129
_________
( ) Ninguna
( ) nicamente solicita cambios
( ) Solicita y aprueba los cambios
Peso del
Puntaje
Criterio
3
X
4
X
X
_____________
_
( ) En proceso de reemplazo
( ) No se reemplazar antes de dos aos
( ) No se tiene previsto reemplazarla
Valor de
Riesgo
3
Peso del
Criterio
X
4
5
Puntaje
X
X
Auditoria de Sistemas
( ) Alta
( ) Media
( ) Baja
(
(
(
Valor de
Riesgo
5
4
Peso del
Criterio
X
X
3
Puntaje
X
_____________
( ) Significativa
( ) Moderada
( ) No significativa
130
Valor de
Riesgo
5
4
3
Peso del
Criterio
Puntaje
X
X
X
_____________
Auditoria de Sistemas
131
_________
( ) Ninguna
( ) En todo el proceso de mantenimiento
( ) En las pruebas de aceptacin
Peso del
Puntaje
Criterio
5
X
3
X
X
__________
___________
Auditoria de Sistemas
132
5.
IDENTIFICACIN DE CONTROLES EXISTENTES
APLICACIN _____________________________________________
TRANSACCIN ___________________________________________
CONTROLES EXISTENTES
1.
2.
3.
4.
5.
Auditoria de Sistemas
133
RIESGOS
EXISTENTE
S
PROBABILIDA
D
DE
OCURRENCIA
CAUSAS
O
AMENAZA
S
CONTROLE
S
EXISTENTE
S
EFECTIVIDA
D
1.
2.
3.
4.
RECOMENDACI
N
5.
6.
Auditoria de Sistemas
134
REF.
Auditoria de Sistemas
135
4. ESTNDAR DE COMPARACIN
___________________________________________________________________
___________________________________________________________________
5. CONCLUSIONES DE AUDITORIA
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia
Auditoria de Sistemas
136
___________________________________________________________________
___________________________________________________________________
6. RECOMENDACIONES DE AUDITORIA
___________________________________________________________________
___________________________________________________________________
DISCUTIDO CON _____________
FECHA__________
NECESIDADES DE INFORMACIN
Unidad orgnica _____________________________________________________
Localidad ___________________________________________________________
Entrevistado ________________________________________________________
Entrevistador _______________________________________________________
Descripcin de la Informacin
___________________________________________________________________
Propsito (gerencial, operacin, externa)
___________________________________________________________________
Funcin soportada
___________________________________________________________________
Frecuencias
A solicitud....................
Diaria.........................
Semanal........................
Mensual........................
Trimestral.....................
Semestral......................
Anual..........................
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia
Auditoria de Sistemas
137
Otros..........................
Auditoria de Sistemas
138
Solucin de Problemas
Auditoria de Sistemas
139
Operacin y procesamiento.
rea de desarrollo del sistema:
asegura una aplicacin sea
convertida al comportamiento solamente si se va a producir mayores
beneficios que cualquier otra alternativa. El desarrollo de sistema y
porgrama efectivos.
rea de eficiencia: determina el grado de satisfacin de los usuarios
del sistema. Si los controles existentes en las diferentes reas son
suficientes.
Autoevaluacin
generalmente
Repaso Significativo
Bibliografa Sugerida
Auditoria de Sistemas
140
Auditoria de Sistemas
141
BIBLIOGRAFIA GENERAL
AICPA. The American Institute of Certified Public Accountants. SAS 78
Consideration of the Internal Control Structure in a Financial Statement
Audit., EE.UU. 1995.
Audisis Ltda.. Metodologa de Auditoria de los centros de cmputo, Vol.
1, Santa Fe de Bogot. 1992.
COLBERT, J.; Bowen, P. A compararison of internal control: (COBIT, SAC,
COSO and SAS 78), 1998. Pgina WEB (www.isaca.org).
COOPERS & LYBRAND.
Control Interno,
Informtica. Vol. 5, Expansin, Madrid. 1996.
Auditoria
CORNELLA, A.
Informacin digital para la empresa.
Barcelona. 1996.
Seguridad
Marcombo,
Auditoria de Sistemas
142
Normas
Auditoria de Sistemas
143