You are on page 1of 7

Auditoria de Sistemas –IS-547 Ingeniería de Sistemas

AUDITORÍA DE SISTEMAS E INFORMATICA

SEM 7

PLANIFICACION DE LA AUDITORIA Para realizar una planificación de auditoría, el auditor de SI debe: 1. Lograr un entendimiento del propósito, objetivos, procesos y tecnología del negocio, así como los requerimientos de procesamiento como disponibilidad, integridad y seguridad y los requerimientos de la arquitectura de la información. 2. Realizar un análisis de riesgo 3. Llevar a cabo una revisión del Control Interno 4. Establecer el alcance y objetivo de la auditoría 5. Desarrollar un enfoque de auditoría o estrategia de auditoría 6. Asignar recursos para auditar y los requerimientos logísticos. LEYES Y REGULACIONES Requerimientos reguladores • Constitución • Organización • Responsabilidades • Correlación con las funciones de la auditoría financiera, operativa y de TI NORMAS Y DIRECTRICES DE ISACA PARA LA AUDITORÍA DE SI • Normas de ISACA para la Auditoría de SI • Directrices de ISACA para la Auditoría de SI • Código de Ética Profesional de ISACA OBJETIVOS DE LAS NORMAS DE AUDITORÍA DE ISACA PARA SI • Informar a la Gerencia y a las partes interesadas, acerca de las expectativas de la profesión respecto al desempeño de quienes participan en esta actividad • Informar a los Auditores de Sistemas de Información cuál es el mínimo nivel de desempeño aceptable, requerido para cumplir las responsabilidades profesionales fijadas en el Código de Ética Profesional de ISACA. Estándares 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. aplicables a la Auditoria de Sistemas Estatuto de Auditoría Independencia Ética Profesional y Estándares Competencia Planificación Realización del Trabajo de Auditoría Informe Seguimiento de las Actividades Irregularidades y Actos Ilegales Gobierno de TI Empleo de evaluación de riesgo en planificación de auditoría

Definición de auditoría Proceso sistemático por el cual una persona independiente y competente, de manera objetiva obtiene y evalúa evidencia respecto a las aseveraciones sobre una entidad, o un evento de tipo económico, con el propósito de formarse una opinión e informar acerca del grado hasta el cual la aseveración se aproxima a un determinado conjunto de normas. Normas, Metodologías , Legislaciones aplicables Entre los distintos organismos relacionados comercial y/o institucionalmente con los temas de Seguridad de la Información podemos encontrar: • Information System an Audit Control Association- ISACA: • British Estándar Institute: BS

1

del sistema a fin de proveer información relevante Definición de la auditoría de SI La auditoría de SI es el proceso de recopilar y evaluar evidencia. proveen información relevante y confiable logran las metas organizacionales.Auditoria de Sistemas –IS-547 Ingeniería de Sistemas • • • International Standards Organization : Normas ISO Departamento de Defensa de USA: Orange Book /Common Criteria Sarbanes Oxley Act. Enfoque basado en el riesgo • Énfasis en el conocimiento del negocio y de la tecnología • Centrado en evaluar la eficacia de la “combinación” de los controles 2 . Por ejemplo: Si las versiones fuente y objeto son las mismas Pruebas Sustantivas Evalúa la integridad de las transacciones individuales de datos. de manera oportuna. mantienen la integridad de los datos y de los sistemas. a fin de minimizar los riesgos del negocio. para determinar si los sistemas de información y los recursos relacionados. si están definidos los resultados de estas pruebas permiten al auditor extender a pruebas sustantivas. y cuentan con controles internos vigentes que brindan una seguridad razonable de que se cumplirán los objetivos operativos y de control. HIPAA Act Clasificación de las auditorías: Financieras: Determinar la corrección del estatus o registros financieros Operativas: Evaluar la estructura de control interno de un proceso o área determinada Integradas: Auditoria Financiera + Auditoría Operativa (Pruebas de cumplimiento y pruebas sustantivas Administrativas: Eficiencia de la productividad operativa Sistemas de Información: Aquella que salvaguarda adecuadamente los activos para mantener la integridad de datos. cualesquier eventos indeseables. o detectará y corregirá. por ejemplo: Pruebas de Caja Blanca Metodología / Estrategia de Auditoría • Declaración del alcance • Declaración de los objetivos de la auditoría • Declaración del programa de trabajo Fases típicas de la auditoría • Objetivos de control • Objetivos de auditoría • Diferencia entre los objetivos de control y los objetivos de auditoría o Saber que controles están funcionado. para evaluarlo y ayudar al auditor de SI a decidir si realiza pruebas de cumplimiento o pruebas sustantivas. Revisión cuantitativa. y Asegurar el cumplimiento de requisitos legales Como es que un control funcionar o Como es que un control debe funcionar para minimizar el riesgo y que las cosas se hagan según indique la norma Riesgo de auditoría y materialidad Se aplica un enfoque de auditoría basado en el riesgo. adecuadamente protegen los activos. utilizan eficientemente los recursos. Procedimientos generales de auditoría • Conocimiento del área / tema de la auditoría • Evaluación del riesgo y plan general de la auditoría • Planeamiento detallado de la auditoría • Revisión preliminar del área / tema de la auditoría Pruebas de Cumplimiento Comprobar que los controles funcionen. y que se evitará.

Concluir la Auditoria GESTION ADMINISTRATIVA: 1. 3. Lograr entender el control interno • Ambiente de control • Procedimientos de control • Control del riesgo 3. También se solicitará información correspondiente a si se ha realizado en otras ocasiones auditorías al sistema informático. 3 . 7. la cual puede ser: a) Interna: conocer los procesos que se realizan dentro de la empresa para los cuales es utilizado el equipo informático. 6.Verificar que las instalaciones donde labora el personal del área de informática estén adecuadas a las necesidades y no representen peligro para los empleados. sistema interno de autorizaciones. así como de los proveedores de materiales y accesorios y otros clientes. así como el organigrama. firmas. Efectuar Pruebas de Cumplimiento • Comprobar las políticas y procedimientos • Comprobar segregación de funciones 4.Verificar si se ha diseñado un manual de organización y funciones a ser aplicado a los y por los usuarios del área de informática. 4. b) Externa: Conocimiento e identificación de los usuarios del área de informática.Auditoria de Sistemas –IS-547 Ingeniería de Sistemas • • Asocia la evaluación del riesgo con las pruebas orientadas a los objetivos de control Enfoca la entidad desde una perspectiva gerencial 1. Efectuar Pruebas Sustantivas • Procedimientos analíticos 5. 2.Conocer y analizar las operaciones a las cuales se dedica el negocio y la forma en que está estructurado tanto desde del punto de vista organizacional y administrativo. formularios utilizados.Verificar si la administración promueve la capacitación y adiestramiento constante del personal del área de informática. número y distribución de empleados.Verificar si la administración provee oportunamente los recursos necesarios para la adquisición del software actualizado para la protección de los sistemas informáticos.Verificar si la administración ha establecido políticas claras con respecto a la adjudicación de claves de acceso a las bases de datos. GESTION INFORMATICA: 1) Examinar la información preliminar correspondiente al área de informática. Reunir información y Planificar • Conocimiento del negocio • Información del año anterior • Leyes Regulatorias • Riesgos inherentes 2. 5.Verificar si las contrataciones del personal del área de informática se han realizado con base a los criterios establecidos en el manual de funciones y cumplen el perfil del puesto. secuencia de operaciones y otros aspectos similares que se realizan con la utilización del sistema informático. han utilizado el equipo del centro. Se verificará si se lleva un control de las operaciones realizadas y si queda un registro de los usuarios del área de informática y los horarios en los cuales.

para que efectue las pruebas correspondientes. 7) Verificar por medio de pruebas si los sistemas funcionan correctamente. materiales. para ello será necesario contratar a un perito programador. 13) Verificar si en la entidad se han establecido políticas con respecto a la creación de respaldos de la información más importante. cuyo daño pudiera afectar el funcionamiento general de la entidad en el caso de darse situaciones anómalas dentro del sistema informático. inventarios y otros que tienen relación al área de informática y la ubicación de sucursales. 4) Naturaleza y tratamiento de las operaciones realizadas por medio de los sistemas informáticos. 8) Verificar si el software tiene las licencias correspondientes. que contribuya a orientar adecuadamente la auditoria de sistemas informáticos. 14) Verificar si existen procedimientos y políticas en cuanto a la seguridad y protección del personal que trabaja como usuario de los sistemas informáticos de la entidad. a fin de que en el momento en que se vuelvan obsoletos se puedan dar de baja. 6) Verificar si todo el equipo o hardware se encuentra debidamente inventariado y se ha elaborado la respectiva tarjeta de depreciación del mismo. en caso de que también utilicen dicho sistema. 4 . 3) Verificar si los programas utilizados dentro de la entidad han sido diseñados específicamente para la empresa y hasta que punto estos programas son operativos y satisfacen las necesidades de la entidad. la cuales son conocidas como cédulas narrativas. inmuebles. realizar pruebas en el sistema para verificar que se hayan realizado correctamente y que respondan a la solicitud de la gerencia o de quien lo haya autorizado. será en primer lugar de tipo descriptiva o sea basada en la narración verbal de los procedimientos. 11) En el caso de que exista el registro de las solicitudes de cambios mencionados en el punto anterior. 12) Verificar quien es el responsable de autorizar los niveles de jerarquía y niveles de acceso a utilizar dentro del sistema y si existe algún registro escrito por medio del cual se hayan emitido dichas autorizaciones. verificar si existe algún documento escrito por medio del cual se autoricen dichas modificaciones o si las ordenes se efectuan solamente de manera verbal. 9) Verificar quienes están autorizados para realizar modificaciones a los sistemas informáticos y quien autoriza cada una de estas modificaciones. 10) En el caso de que haya alguien de nivel superior que autorice los cambios y modificaciones a los sistemas informáticos.Auditoria de Sistemas –IS-547 Ingeniería de Sistemas 2) Conocimiento de las instalaciones físicas del negocio. METODOS APLICABLES PARA SU DOCUMENTACION: A) DESCRIPTIVO La documentación utilizada durante la auditoría. 15) Verificar si las claves no permiten el acceso de los usuarios a niveles superiores. 5) Cualquier otro punto de conocimiento general. a los cuales no deberían acceder. mobiliario. equipos.

b. se establece el eje sobre el cual deben girar todos los procedimientos y fases de que consta para llevarse a cabo de forma eficaz y efectiva. 2) d. por lo cual se debe validar el funcionamiento de ellos mediante un examen operativo y el respectivo cumplimiento de las políticas institucionales en cuanto a su uso y aplicación. en secciones manejables. se pueden analizar en un momento fijo y que pueden generalizarse a diversos períodos. seguridad del personal. facilitando con ello el análisis integral y exhaustivo. para establecer si se les está dando el uso adecuado y si se está obteniendo los máximos resultados de la aplicación de dichos sistemas. personal del área de informática. habrá otros que por su naturaleza. personal. con el propósito de obtener resultados correctos y claros en cada uno de sus niveles operativos del sistema informático. en cambio. seguridad lógica del sistema. a. software de uso general. con el fin de verificar su desarrollo a través del tiempo. Primera descomposición: Hardware. son descompuestas en sus subdivisiones más significativas. red eléctrica. PLANEACION DETALLADA Cuyo lema se basa en la individualización técnica de los procedimientos a ejecutar así como las consideraciones y los objetivos a corto plazo que se espera producir en cada uno. con el fin de que sean buscados los correctivos correspondientes de manera inmediata.Auditoria de Sistemas –IS-547 Ingeniería de Sistemas B) CUESTIONARIO En segundo lugar. con el fin de asegurar el buen funcionamiento de cada uno de los componentes del sistema informático. instalaciones eléctricas. seguridad en el acceso y uso del software. Tercera descomposición: Las áreas de mayor riesgo. seguridad en las telecomunicaciones. Generación de detalles periódicos: Algunas áreas serán analizadas por períodos. c. software de uso específico. se generarán reportes intermedios hacia la gerencia. 3) Comparaciones: Se establecerán comparaciones sobre el actual funcionamiento de los sistemas informáticos y las especificaciones de sobre como deberían funcionar. seguridad. estos casos requerirán su validación. los procedimientos se documentarán a través de la preelaboración de preguntas. Examen documental: se consolida como la base de la auditoría y el enlace entre la investigación y la emisión de una opinión e informe. usuarios del sistema informático. se fijan las metas tanto a corto plazo como la general que se espera alcanzar al ejecutar la auditoría. comprende los siguientes apartados: 1) Objetivos: Al obtener una clara comprensión del negocio. Cuarta descomposición: Esta última se refiere al examen propio de cada una de las áreas específicas. en el caso de que se encuentre situaciones en las cuales sea necesaria la actuación inmediata. contestadas personalmente por los líderes de la empresa o por el personal encargado de los sistemas informáticos y por algunos usuarios dentro de la empresa que tenga relación con el mismo. seguridad en la operación del hardware. seguridad de la información y las bases de datos. Segunda descomposición o detalle: Computadores. seguridad física de los sistemas informáticos.. para ello. Rubros a Examinar: Consiste en descomponer las partes integrantes del Sistema Informático. periféricos. software. la inspección de los 5 4) 5) .

se diseñará un cuestionario de control interno. y con base en ellos se podrá establecer la profundidad con la que se examinarán cada uno de los rubros que componen dicha área. Dichos datos servirán en su conjunto para la realización de la correspondiente planilla de decisiones preliminares y el programa de auditoría. con en propósito de conocer las actividades a las cuales se dedica la institución. facilita su ejecución y comprobación de la misma. y se conoce como la mayor o menor capacidad de efectividad de los procedimientos de la misma para descubrir errores o irregularidades que en condiciones normales deberían ser visualizadas. enfoques. Riesgo Inherente: Asociado con la generación de estimaciones sobre la existencia de hechos. cuyo conocimiento haga cambiar la opinión sobre ellos. cuando por la naturaleza de las mismas exista un documento que ampare las operaciones. de los mismos sistemas informáticos y otros. la capacidad de generar opiniones similares a la suya. Dentro de ellos se hace mención a los pasos. medio o bajo) que tiene cada una de las operaciones que se realizan a través de los sistemas informáticos. luego de obtener los resultados del cuestionario de control interno.Auditoria de Sistemas –IS-547 Ingeniería de Sistemas documentos anexos a cada operación del sistema informático. se deben analizar y señalar aquellos conceptos cuyo impacto de su inclusión. las tareas programadas. entre los usuarios de los sistemas informáticos. por encontrarse sujeto a ampliaciones o reducciones necesarias. cuya mayor especificación. 6) Margen de Importancia: Dentro de este apartado. son las circunstancias voluntarias por parte del mismo). con el fin de detectar posibles fallas y con base en ello. originadas en conclusiones parciales. oportunidades. 6 . c. naturaleza de los sistemas de control de información. y pueden ser identificados como “eventos presuntos”. Es importante mencionar que este no se caracterizará por su naturaleza inflexible. quienes las efectúan. se establecerá el tipo de riesgo (alto. y se define como la posibilidad de que el control interno no detecte o evite oportunamente errores o irregularidades de importancia. la ocurrencia u omisión de datos originados en circunstancias no voluntarias por parte de los encargados del funcionamiento de los sistemas informáticos. Ello requiere de parte del auditor. volúmenes de muestra. (entiéndase como error. Riesgo de Detección: Vinculado directamente con la función de auditoría. b. quedan plasmadas en una guía de procedimientos. Riesgos: Toda auditoría se encuentra impregnada por la posibilidad de que los aspectos a evaluar contengan errores o irregularidades de importancia no detectados. exclusión o revelación textual pueda modificar la opinión sobre ellas. detectar la clase de riesgo que presenten cada una de las operaciones y procedimientos. en que momento se realizan los procesos y por quienes se realizan. en el cual se harán en su mayoría preguntas cerradas. 7) 8) Elaboración de cuestionario de control interno: Para conocer el funcionamiento del departamento de informática dentro de la entidad. Riesgo de Control: Este se disminuye a medida que se eleva la confianza en los métodos de control interno adoptados. lo anterior es de criterio potencial por parte del auditor. 9) 10) Elaboración del programa de auditoría: Con posterioridad al conocimiento general del negocio y a la evaluación del control interno adoptado. Planilla de decisiones preliminares: En este documento. nuevos eventos o diversas situaciones que pudiesen desviar los objetivos propios de la investigación. y cualquier otra circunstancia que detalle el trabajo a efectuar. se dejará constancia documental de los pasos a seguir en las diferentes áreas involucradas. Estos riesgos se clasifican de la siguiente manera: a. su análisis parte de la naturaleza del negocio. y las irregularidades.

Auditoria de Sistemas –IS-547 Ingeniería de Sistemas 11) Verificación de generalidades concernientes a los documentos emitidos. Ejm: Se espera realizar la auditoría al sistema conformado de 40 computadoras conectadas en red en un tiempo probable de 10 días. 14) Verificación documental y física de las adquisiciones de bienes del área de informática. ante la detección de errores cuyo impacto sea relevante. ampliar o sugerir sobre la forma de operar y aspectos que de manera inmediata sea necesario corregir. 19) Preparación del informe final de auditoría. 18) Adición de notas oportunas sobre la atención u omisión de las observaciones a que se refiere el apartado anterior. RECURSOS A UTILIZAR EN LA AUDITORIA HUMANOS Auditor Auditores auxiliares Programador analista Especialista en redes informáticas MATERIALES Folders Papel Bond Combustibles Lapiceros Computadoras TIEMPO Estimar el tiempo según la naturaleza y de acorde a lo que se va a auditar. Nota: Toda la metodología y procedimientos detallados. como constancia de divulgación oportuna. 15) Elaboración de cédulas narrativas por los procedimientos alternos efectuados cuya documentación no se refiere a papeles de cálculo. 12) Análisis y validación de los documentos anexados que soportan las adquisiciones de bienes y servicios a utilizarse por los diversos usuarios del sistema informático. 16) Documentación adecuada de hallazgos. 17) Rendimiento de informes parciales o previos. anexos proporcionados por el contribuyente o por terceros. a efectos de discutir. 13) Conocimiento sobre controles de inventarios o la ausencia de los mismos con respecto a los bienes del área de informática. con copia para los encargados del sistema de informático del negocio. 7 . no inhiben de sostener reuniones periódicas o eventuales con la administración. con firma y fecha de recibidos. asimismo cualquier consulta o requerimiento se efectuará de forma escrita como constancia de realizado.