AUDITORIA DE SISTEMAS

CONTABLES

DOCENTE: MG CPCC JUAN CAJO

SIGUAS

Contenido
Conceptos Bsicos de Auditora
Informtica
Justificacin
Objetivos
Ejemplos

Primero: Que es la auditora?

Es la revisin independiente que
realiza un auditor profesional,
aplicando tcnicas, mtodos y
procedimientos especializados, a fin
de evaluar el cumplimiento de
funciones, actividades, tareas y
procedimientos de una organizacin,
as como dictaminar sobre el
resultado de dicha evaluacin.
Muoz (2002,34)

Administracin de la
Configuracin de
Bases de Datos

Justificacin

Recursos
TICs

Fuente: Rodrguez (2006)

La productividad de cualquier organizacin depende del funcionamiento

ininterrumpido de los sistemas TIC, transformando a todo el entorno en
un proceso crtico adicional

Evidencias
1

El crecimiento del acceso a Internet y de usuarios conectados

incrementa la posibilidad de concrecin de amenazas informticas.

Crecimiento de la informacin disponible de empresas y sus

empleados en redes sociales Ingeniera Social.

Mensajes de e-mail que contienen attachments que explotan

vulnerabilidades en las aplicaciones instaladas por los usuarios.

Robo de credenciales o captura ilegal de datos.

Acceso a redes empresariales a travs de cdigos maliciosos

diseados para obtener informacin sensitiva.

En el 2009 los sectores financiero, proveedores de servicios TIC,

comercios, seguros, comunidad de Internet, empresas de
telecomunicaciones y el gobierno han sido los ms vulnerables ante
las amenazas informticas.

En el 2009 Symantec identific 240 millones de programas maliciosos,

un aumento del 100% con respecto al 2008.

Fuente: Symantec (2010).

Evidencias
8

En el 2015 hubo 286 millones de nuevas ciberamenazas.

Junto con las redes sociales otra rea de peligro en el espacio mvil
(Smartphones).

10

Ciberguerras? A lo largo de 2009, diferentes gobiernos de todo el

mundo, como Estados Unidos, UK o Espaa, han mostrado la
preocupacin que tienen ante ataques que puedan afectar a la
economa del pas o incluso a otras reas, tales como las
denominadas infraestructuras crticas. Tambin este ao 2015 vimos
un ataque lanzado a diferentes pginas web de Estados Unidos y
Corea del Sur.
Previsin de tendencias
www.cxo-community.com

11

de

amenazas

informticas

para

2010

Fuente:

Cuidar a las empresas en esos momentos no es labor fcil. Los

ataques son incesantes (al menos 10,000 amenazas circulan en la red
cada minuto), y cada ao causan prdidas por ms de 650,000
millones de dlares, dice el grupo Crime-Research.org.
El cibercrimen acecha a las empresas. Fuente. www.cnnexpansion.com

Fuente: Symantec (2010) e ITESPRESSO.ES (2010)..

Fuente: Rodrguez (2006)

Factores que propician la Auditora

Informtica
Leyes gubernamentales.
Polticas internas de la empresa.
Necesidad de controlar el uso de equipos
computacionales.
Altos costos debido a errores.
Prdida de informacin y de capacidades
de procesamiento de datos, aumentando as la
posibilidad
de
toma
de
decisiones
incorrectas.
Valor del hardware, software y personal.
Necesidad de mantener la privacidad y
confidencialidad de las transacciones de la
organizacin.

Objetivos generales de la Auditora en

Informtica

Asegurar la integridad, confidencialidad

y confiabilidad de la informacin.
Minimizar existencias de riesgos en el
uso de Tecnologa de informacin
Conocer la situacin actual del rea
informtica para lograr los objetivos.
Seguridad,
utilidad,
confianza,
privacidad y disponibilidad en el
ambiente informtico, as como tambin
seguridad del personal, los datos, el
hardware, el software y las instalaciones.

Auditoria de Sistemas de Barcelona (2004)

Objetivos generales de la Auditora en

Informtica
Incrementar la satisfaccin de los
usuarios de los sistemas informticos.
Capacitacin y educacin sobre
controles en los Sistemas de
Informacin.
Buscar una mejor relacin costobeneficio de los sistemas automticos y
tomar decisiones en cuanto a
inversiones para la tecnologa de
informacin.

Riesgo Informtico
La Organizacin Internacional de
Normalizacin (ISO) define riesgo
tecnolgico (Guas para la
Gestin de la Seguridad) como:
La probabilidad de que una
amenaza se materialice de
acuerdo al nivel de vulnerabilidad
existente de un activo, generando
un impacto especfico, el cual
puede estar representado por
prdidas y daos.
SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico. Ctedra de Introduccin a la
Computacin. Facultad de Ciencias Econmicas y Administracin. Universidad de la Repblica de Uruguay. Fuente:
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf

Amenaza
Acciones
que
pueden
ocasionar
consecuencias
negativas
en
la
plataforma informtica disponible: fallas,
ingresos no autorizados a las reas de
computo, virus, uso inadecuado de
activos
informticos,
desastres
ambientales (terremotos, inundaciones),
incendios, accesos ilegales a los
sistemas, fallas elctricas.
Pueden ser de tipo lgico o fsico.

SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo

Informtico. Ctedra de Introduccin a la Computacin. Facultad de Ciencias
Econmicas y Administracin. Universidad de la Repblica de Uruguay. Fuente:
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf

Vulnerabilidad
Condiciones inherentes a los
activos o presentes en su entorno
que facilitan que las amenazas
se materialicen.
Se manifiestan como debilidades o
carencias: falta de conocimiento
del
usuario,
tecnologa
inadecuada,
fallas
en
la
transmisin,
inexistencia
de
antivirus, entre otros.

SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo

Informtico. Ctedra de Introduccin a la Computacin. Facultad de Ciencias
Econmicas y Administracin. Universidad de la Repblica de Uruguay. Fuente:
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf

Impacto
Consecuencias
de
la
ocurrencia de las distintas
amenazas: financieras o no
financieras.
Perdida de dinero, deterioro
de la imagen de la empresa,
reduccin de eficiencia, fallas
operativas a corto o largo
plazo, prdida de vidas
humanas, etc.

SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo

Informtico. Ctedra de Introduccin a la Computacin. Facultad de Ciencias
Econmicas y Administracin. Universidad de la Repblica de Uruguay. Fuente:
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf

Administracin de Riesgos
Luego de efectuar el anlisis de riesgo-impacto, el
ciclo de administracin de riesgo finaliza con la
determinacin de las acciones a seguir respecto:
Controlar el riesgo fortaleciendo los controles
existentes o agregar nuevos controles.
Eliminar el riesgo.
Compartir el riesgo mediante acuerdos
contractuales traspasando el riesgo a un tercero
(Ejemplo: seguro, outsourcing de informtica).
Aceptar el riesgo, determinando el nivel de
exposicin.
SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico. Ctedra de Introduccin a la Computacin.
Facultad de Ciencias Econmicas y Administracin. Universidad de la Repblica de Uruguay.
Fuente:
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf

Y...Qu es el control interno?

Es un proceso, mediante el cual la
administracin, los directivos y/o la alta
gerencia
le
proporcionan
a
sus
actividades, un grado razonable de
confianza, que le garantice la consecucin
de sus objetivos, tomando en cuenta: la
eficacia y eficiencia de las operaciones,
fiabilidad de la informacin financiera y
cumplimiento de las leyes y normas
aplicables, con la finalidad de dotar a la
organizacin
medidas
preventivas,
deteccin y correccin de errores, fallos y
fraudes o sabotajes

CONTROL INTERNO. DEFINICIN Y TIPOS

Cualquier actividad o accin realizada

manual
y/o
automticamente
para
prevenir, corregir errores o irregularidades
que puedan afectar el funcionamiento de
un sistema para conseguir sus objetivos.

La tipologa tradicional de los controles informticos es:

Bajo Nivel de
Vulnerabilidad?
Dao a los
equipos, datos
o informacin
Concrecin
de la
Amenaza
Agente Amenazante
Hacker
Cracker
Espionaje Industrial
Criminales Profesionales
Usuarios
(Daos intencionales o no)
Objetivos: Desafo,
ganancia financiera/poltica,
dao
Causa Fsica (Natural o no)

Confidencialidad
Integridad
Disponibilidad
Prdida de
Dinero
Clientes
Imagen de la Empresa

Tratar de
deevitar
evitarel
el
Tratar
Cuandofallan
fallanlos
los
Cuando
hecho
hecho para
preventivos
Disuasivos

preventivos para
tratarde
deconocer
conocer
tratar
cuantoantes
antesel
el
cuanto
evento
evento

Preventivos
Amenaza o
Riesgo

PlataformaInformtica
Informtica
Plataforma

Vueltaaala
la
Vuelta
normalidadcuando
cuando
normalidad
sehan
hanproducido
producido Detectivo
se
incidencias
incidencias

Operatividad

Tmin
Correctivo

Normas de Auditora Informtica

disponibles Gua
Guade
deauditoria
auditoriadel
del

sistemade
degestin
gestinde
de
sistema
seguridadde
delalainformacin
informacin
seguridad
COSO (Committee of Sponsoring
parasu
suproteccin.
proteccin.
para
Organizations of the Treadway

Commission, EEUU 1992).

ITIL (Information Technology
Infrastructure Library, Inglaterra 1990).
ISO/IEC 17799:2000 (International
Organization for
Standardization/International
Electrotechnical Commission, Inglaterra
2000).
Modelode
deevaluacin
evaluacindel
del
Modelo
Marco
referencial
queevala
evala

COBIT
(Control
Objectives
for que
Marco
referencial
control
interno
en
los
control interno en los el proceso de gestin de los
procesoTechnology
de gestin de
Information
and elRelated
IT,los
sistemas,
funciones,
sistemas,
funciones,
Serviciosde
detecnologa
tecnologade
de
procesos
actividades
enServicios
EEUU
1998). en
procesos
ooactividades
informacin y de la
formantegra.
ntegra.
forma

informacin y de la
infraestructuratecnologa.
tecnologa.
infraestructura

Referencia Bibliogrfica
IT GOVERNANCE
INSTITUTE. 2006. COBIT
4.0. Fuente: www.isaca.org
Information Systems Audit and Control Association
Fundada en 1969, ISACA patrocina conferencias
internacionales, publica la revista ISACA Journal y
desarrolla estndares internacionales en control y auditoria
de sistemas de informacin. Tambin administra la respetada
certificacin a nivel mundial como Auditor de Sistemas de
Informacin.

Marco de Trabajo de Control COBIT

Para que la TI tenga xito en satisfacer los requerimientos
del negocio, la direccin debe implantar un sistema de
control interno o un marco de trabajo.
El marco de trabajo de control COBIT contribuye a estas
necesidades de la siguiente manera:
Estableciendo un vnculo con los requerimientos del
negocio.
Organizando las actividades de TI en un modelo de
procesos generalmente aceptado.
Identificando los principales recursos de TI utilizados.
Definiendo los objetivos de control gerencial a ser
considerados.

NEGOCIO
Los
Objetivos
de
Control
COBIT
Herramientas
para
ayudar
a brindan
asignar
Requerimientos
Informacin
buenas
prcticas a medir
travs de
marco de
responsabilidades,
el un
desempeo,
trabajo
dominios
y procesos,
ydirectrices
presenta
TICS
Vs.Las
PROCESOS
llevar a de
cabo
benchmarks
()
las
actividades
en respuestas
una estructura
manejabledey
ayudan
a brindar
a preguntas
lgica.
RepresentanQu
el consenso
de podemos
expertos.
la administracin:
tan lejos
Enfocadas
en el
control
y menos
llegar parafuertemente
controlar la
TI?,
y el
costo
Medidos
en
la ejecucin.
AyudanCules
a optimizar
justifica
el beneficio?
son las
los
por
inversiones
facilitadas
por la TI, asegurarn
indicadores de
un buen desempeo?
Cules
Auditados
la
entrega
del
servicio
y
brindarn
una
son las prcticas administrativas clave
a
a travs
medida
cual otros?
juzgar cuando
cosas
aplicar? contra
Qu la
hacen
Cmo las
medimos
de
no
vayan bien (IT
y comparamos?
(IT Governance
Governance Instituye,
Institute,
Ejecutados a
2006).
travs de
Indicadores
de
Desempeo

Indicadores
Meta

Modelo de Madurez

Metas de
Actividades

Controlados
por

Objetivos de
Control

Directrices
de
Auditora

Prcticas de
Control

Traduccin

Implementacin

Las mejores prcticas de TI se han vuelto

significativas debido a un nmero de factores :
Directores de negocio y consejos directivos que demandan un
mayor retorno de la inversin en TI.
Preocupacin por el creciente nivel de gasto en TI.
La necesidad de satisfacer requerimientos regulatorios
para controles de TI en reas como privacidad y reportes
financieros y en sectores especficos como el financiero,
farmacutico y de atencin a la salud.

Las mejores prcticas de TI se han vuelto

significativas debido a un nmero de factores:
La seleccin de proveedores de servicio y el manejo de
Outsourcing y de Adquisicin de servicios
Riesgos crecientemente complejos de la TI como la
seguridad de redes
Iniciativas de gobierno de TI que incluyen la adopcin de
marcos de referencia de control y de mejores prcticas
para ayudar a monitorear y mejorar las actividades crticas
de TI, aumentar el valor del negocio y reducir los riesgos de
ste.

Las mejores prcticas de TI se han

vuelto significativas debido a un
nmero de factores:
La necesidad de optimizar costos siguiendo,
siempre que sea posible, un enfoque
estandarizado
en
lugar
de
enfoques
desarrollados especialmente.
La madurez creciente y la consecuente
aceptacin de marcos de trabajo respetados
tales como COBIT, ITIL, ISO 17799, ISO 9001,
entre otros.
La necesidad de las empresas de valorar su
desempeo en comparacin con estndares
generalmente aceptados y con respecto a su
competencia (Benchmarking)

Para gobernar efectivamente TI, es importante

determinar las actividades y los riesgos que
requieren ser administrados. DOMINIO 1
PLANEAR Y ORGANIZAR
Estrategias
y
tcticas.
Identificar la manera en que TI
pueda contribuir de la mejor
manera al logro de los objetivos
del negocio.
La visin estratgica requiere ser
planeada,
comunicada
y
administrada.
Implementar
una
estructura
organizacional y una estructura
tecnolgica apropiada.

Para gobernar efectivamente TI, es

importante determinar las actividades
y los riesgos que requieren ser
administrados.
PLANEAR Y ORGANIZAR
Cubre los siguientes cuestionamientos tpicos
de la gerencia: Estn alineadas las
estrategias de TI y del negocio?
La empresa est alcanzando un uso ptimo
de sus recursos?
Entienden todas las personas dentro de la
organizacin los objetivos de TI?
Se entienden y administran los riesgos de TI?
Es apropiada la calidad de los sistemas de TI
para las necesidades del negocio?

Para gobernar efectivamente TI, es

importante determinar las actividades
y los riesgos que requieren ser
administrados. DOMINIO 2
ADQUIRIR E IMPLEMENTAR
Para llevar a cabo la estrategia de TI, las soluciones de TI
necesitan la implementacin e integracin en los
procesos del negocio.

Para gobernar efectivamente TI, es

importante determinar las actividades
y los riesgos que requieren ser
administrados.
ADQUIRIR E IMPLEMENTAR
Adems para garantizar que las soluciones
sigan cubre los siguientes cuestionamientos de
la gerencia:
Los nuevos proyectos generan soluciones
que satisfagan las necesidades?
Los nuevos proyectos son entregados a
tiempo y dentro del presupuesto?
Trabajarn adecuadamente los nuevos
sistemas una vez sean implementados?
Los cambios afectarn
actuales del negocio?

las

operaciones

Para gobernar efectivamente TI, es

importante determinar las actividades
y los riesgos que requieren ser
administrados. DOMINIO 3
ENTREGAR Y DAR SOPORTE
Este dominio cubre la entrega en s de los servicios
requeridos, lo que incluye la prestacin del servicio, la
administracin de la seguridad y de la continuidad, el
soporte del servicio a los usuarios, la administracin de los
datos y de las instalaciones operacionales.

Para gobernar efectivamente TI, es

importante determinar las actividades
y los riesgos que requieren ser
administrados. DOMINIO 3
ENTREGAR Y DAR SOPORTE
Aclara las siguientes preguntas de la
gerencia: Se estn entregando los
servicios de TI de acuerdo con las
prioridades del negocio? Estn
optimizados los costos de TI? Es
capaz la fuerza de trabajo de utilizar los
sistemas de TI de manera productiva y
segura? Estn implantadas de forma
adecuada la confidencialidad, la
integridad y la disponibilidad?

Para gobernar efectivamente TI, es

importante determinar las actividades
y los riesgos que requieren ser
administrados. DOMINIO 4
MONITOREAR Y EVALUAR
Todos los procesos de TI deben
evaluarse de forma regular en el
tiempo en cuanto a su calidad y
cumplimiento de los requerimientos
de control.
Este dominio abarca la administracin
del desempeo, el monitoreo del
control
interno,
el
cumplimiento
regulatorio y la aplicacin del gobierno.

Para gobernar efectivamente TI, es

importante determinar las actividades
y los riesgos que requieren ser
administrados.
MONITOREAR Y EVALUAR
Abarca las siguientes preguntas de la
gerencia: Se mide el desempeo de TI
para detectar los problemas antes de que
sea demasiado tarde? La Gerencia
garantiza que los controles internos son
efectivos y eficientes? Puede vincularse
el desempeo de lo que TI ha realizado
con las metas del negocio? Se miden
y reportan los riesgos, el control, el
cumplimiento y el desempeo?

Ejemplo: Supongamos la siguiente situacin

AI1 Identificar soluciones automatizadas

AI1.1 Definicin y mantenimiento de los requerimientos tcnicos y
funcionales del negocio.
Identificar, dar prioridades, especificar y acordar los requerimientos de negocio
funcionales y tcnicos.
Definir los criterios de aceptacin de los requerimientos. Estas iniciativas deben
incluir todos los cambios requeridos dada la naturaleza del negocio, de los
procesos, de las aptitudes y habilidades del personal, su estructura
organizacional y la tecnologa de apoyo.
Establecer procesos para garantizar y administrar la integridad, exactitud y
la validez de los requerimientos del negocio, como base para el control de la
adquisicin y el desarrollo continuo de sistemas.

AI1.2 Reporte de anlisis de riesgos

Identificar, documentar y analizar los riesgos asociados con los procesos del
negocio como parte de los procesos organizacionales para el desarrollo de los
requerimientos. Los riesgos incluyen las amenazas a la integridad, seguridad,
disponibilidad y privacidad de los datos, as como el cumplimiento de las
leyes y reglamentos.

AI1.3 Estudio de factibilidad y formulacin de cursos de accin

alternativos
Desarrollar un estudio de factibilidad que examine la posibilidad de implantar
los requerimientos.

AI1.4 Requerimientos, decisin de factibilidad y aprobacin.

El patrocinador del negocio aprueba y autoriza los requisitos de negocio, tanto
funcionales como tcnicos, y los reportes del estudio de factibilidad en las etapas
clave predeterminadas. Cada autorizacin va despus de la terminacin de las
revisiones de calidad.

Modelo de Madurez
Escala de medicin creciente a partir de 0 (No existente) hasta 5
(Optimizado) para la evaluacin de los procesos a partir de los objetivos
de control (IT Governance Institute, 2006).

Estado Actual de la empresa

0 No se aplican procesos administrativos en lo absoluto

1 Los procesos son ad-hoc y desorganizados

Promedio de la Industria

2 Los procesos siguen un patrn regular

3 Los procesos se documentan y se comunican

Objetivo de la empresa

4 Los procesos se monitorean y se miden

5 Las buenas prcticas se siguen y se automatizan

Norma COBIT
COBIT es la fusin entre prcticas de
informtica (ITIL, ISO/IEC 17799) y prcticas
de control (COSO), las cuales plantean tres
tipos de requerimientos de negocio para la
informacin:
De calidad (calidad, costo y entrega de
servicio).
Fiduciarios (efectividad y eficiencia de
operaciones, confiabilidad de la informacin y
cumplimiento de las leyes y regulaciones).
De Seguridad (confidencialidad, integridad y
disponibilidad).

Terminologa COBIT
Efectividad: Se refiere a que la informacin
relevante sea pertinente para el proceso del
negocio, as como la entrega oportuna sea
correcta, consistente y de manera utilizable ante
terceros, para poder cumplir con parte del
requerimiento fiduciario.
Eficiencia: Siguiendo los requerimientos del
negocio de la informacin, en cuanto a calidadcosto, la eficiencia viene dada a travs de la
utilizacin ptima (ms productiva y econmica)
de recursos.

Terminologa COBIT
Confidencialidad: Se refiere a la proteccin de
informacin sensible contra divulgacin no
autorizada. Cumple con el principio de calidad.
Integridad: Para el requerimiento de seguridad,
la integridad es la precisin y suficiencia de la
informacin, as como a su validez de acuerdo
con los valores y expectativas del negocio.
Disponibilidad: Se trata de la oportunidad de
entrega de la informacin cuando sta sea
requerida por el proceso de negocio ahora y en
el futuro. Tambin se refiere a la salvaguarda de
los recursos necesarios y capacidades
asociadas.

Terminologa COBIT
Cumplimiento: Se refiere al cumplimiento de
aquellas leyes, regulaciones y acuerdos
contractuales a los que el proceso de negocios
est sujeto, por ejemplo, criterios de negocio
impuestos externamente.
Confiabilidad de la informacin: Es la
provisin de informacin apropiada para la
administracin con el fin de operar la entidad y
para ejercer sus responsabilidades de reportes
financieros y de cumplimiento.