Professional Documents
Culture Documents
TEMA
AUDITORIA DE SISTEMAS
CATEDRTICO
CTEDRA
: FUNDAMENTOS DE AUITORIA.
INTEGRANTE
CICLO
:VII
HVCA - 2014
A nuestros padres
incondicional.
por
su
apoyo
INDICE
INTRODUCCIN............................................................................................... 6
SISTEMA......................................................................................................... 7
DEFINICIONES DE SISTEMA...........................................................................7
OBJETIVO DE LOS SISTEMAS.........................................................................8
IMPORTANCIA DE LOS SISTEMAS...................................................................8
CLASES DE SISTEMAS................................................................................... 9
CARACTERSTICA DE LOS ENFOQUES DE SISTEMAS.....................................10
DISEO......................................................................................................... 11
DEFINICIONES DE DISEO...........................................................................11
OBJETIVOS DEL DISEO.............................................................................. 11
IMPORTANCIA DEL DISEO..........................................................................12
TIPOS DE DISEO........................................................................................ 12
CARACTERSTICAS DE LOS DISEOS............................................................13
AUDITORIA.................................................................................................... 14
GENERALIDADES........................................................................................ 14
AUDITORA DE SISTEMAS............................................................................... 16
CARACTERSTICAS DE LA AUDITORIA DE SISTEMAS.....................................16
TIPOS DE AUDITORIA DE SISTEMAS.............................................................19
OBJETIVOS GENERALES DE UNA AUDITORA DE SISTEMAS...........................22
METODOLOGA DE UNA AUDITORA DE SISTEMAS........................................23
PLANEACIN DE LA AUDITORA EN INFORMTICA..........................................25
EVALUACIN DE SISTEMAS............................................................................25
EVALUACIN DEL DESARROLLO DEL SISTEMA...............................................26
PAPEL DE LA AUDITORIA DE SISTEMAS...........................................................28
LA AUDITORIA INTERNA, AUDITORIA EXTERNA Y AUDITORIA INFORMATICA.. .29
ALCANCE DE LA AUDITORIA INFORMATICA.................................................31
ESTNDARES PARA REALIZAR LA AUDITORA.............................................32
CONTROLES.................................................................................................. 37
LOS PROCEDIMIENTOS DE AUDITORA PARA CONTROLAR LAS APLICACIONES DE
DATOS DE PRUEBA PUEDEN INCLUIR:.............................................................38
LOS PROCEDIMIENTOS DE AUDITORA PARA CONTROLAR EL USO DE UN
SOFTWARE DE AYUDA PARA LA AUDITORA PUEDEN INCLUIR:.........................39
5
CASO PRCTICO............................................................................................ 41
CONCLUSIN................................................................................................. 42
Bibliografa...................................................................................................... 43
INTRODUCCIN
El avance de la informtica, los sistemas, las telecomunicaciones, y otras aplicaciones
de tecnologa, han permitido a la sociedad moderna a travs de entes pblicos y
privados desarrollarse rpidamente, en todos los mbitos y sentidos, en especial har
nfasis en el desarrollo de los negocios, el cual est ntimamente relacionado con la
tecnologa de informacin, y a su permitido la evolucin en la forma de llevar los
procesos.
La auditora de sistemas, permite mostrar las debilidades y las fortalezas de esta
empresa, con respecto a los controles que se estn empleando, a los sistemas y
procedimientos de la informtica, los equipos de cmputo que se emplean, su
utilizacin, eficiencia y seguridad. Para ello se realiza una inspeccin pormenorizada de
los sistemas de informacin, desde sus entradas, procedimientos, comunicacin,
controles, archivos, seguridad, personal y obtencin de la informacin, cabe recalcar
que, la auditoria inicia su actividad cuando los sistemas estn operativos y el principal
objetivo es el de mantener tal como est la situacin para comenzar el levantamiento de
informacin. Posteriormente la auditoria generara un informe, para que las debilidades
que son detectadas, sean corregidas y se establecen nuevos mtodos de prevencin con
el fin de mejorar los procesos, aumentar la confiabilidad en los sistemas y reducir los
riesgos.
SISTEMA
El conocimiento sobre las organizaciones y la administracin es muy reciente y falta
mucho por explorar, es por ello que es importante continuar el desarrollo de una
investigacin sistemtica y abundante en sus diversas reas, a fin de que se puedan
establecer relaciones causales entre las diferentes variables que afectan el
comportamiento organizativo, ocasionando cambios sustanciales en aos recientes.1
Sin embargo, surgi un enfoque que puede servir como base para lograr la
convergencia, el enfoque de sistemas, que facilita la unificacin de muchos campos del
conocimiento. Dicho enfoque ha sido usado por las ciencias fsicas, biolgicas, sociales
y otras, como marco de referencia para la integracin de la teora organizacional
moderna.
DEFINICIONES DE SISTEMA
empresas.2
Un modelo de naturaleza general, esto es, una representacin conceptual de
Los sistemas abiertos no pueden vivir aislados. Los sistemas cerrados, cumplen con
el segundo principio de la termodinmica que dice que una cierta cantidad llamada
entropa, tiende a aumentar al mximo.
Existe una tendencia general de los eventos en la naturaleza fsica en direccin a un
estado de mximo desorden. Los sistemas abiertos evitan el aumento de la entropa y
pueden desarrollarse en direccin a un estado de creciente orden y organizacin
(entropa negativa). Los sistemas abiertos restauran su propia energa y reparan
prdidas en su propia organizacin5
CARACTERSTICA DE LOS ENFOQUES DE SISTEMAS
El enfoque de sistemas es una metodologa de diseo caracterizada por:
Definir el problema en relacin a los sistemas sper ordinales o sistemas a los cuales
pertenece el sistema en cuestin y est relacionada mediante aspectos comunes en los
objetivos.
Los objetivos del sistema generalmente no se pasan en el contexto de subsistemas, sino
que deben realizarse en relacin a sistemas mayores o al sistema total.
DISEO
DEFINICIONES DE DISEO.
El diseo consiste en implementar todos los requisitos explcitos contenidos en el
modelo de anlisis y debe acumular todos los requisitos implcitos que desea el cliente.
Debe ser una gua que puedan leer y entender los usuarios.6
El diseo en una empresa es el proceso que estudia su situacin con la finalidad de
observar cmo trabaja y decidir si es necesario realizar una mejora.
Es el plan o estrategia concebida para responder a las preguntas de investigacin.
7 Mara de los Angeles Goxens, Biblioteca Prctica de Contabilidad, Editorial Ocano, 1991
13
a) pre- experimental,
b) experimentos verdaderos
c) cuasi experimental
variables independientes
Diseo no Experimental, es la que se realiza sin manipular deliberadamente
variables, es decir, se trata de la investigacin donde no hacemos variar
intencionalmente las variables independientes. Lo que hacemos en la
investigacin no experimental es observar el fenmeno tal y como se da en un
contexto natural, para despus analizarlos.8
AUDITORIA.
La auditora ha sido, en el mundo, una prctica cada vez ms extendida y de
importancia creciente en los ms diversos aspectos de la vida social y empresarial. En
su rango amplio de manifestaciones, su utilidad no tiene cuestionamientos. Se acude a
ella como alternativa de solucin para los ms diversos problemas, especialmente
aquellos donde hay conflictos de inters.
Como prctica, es tan antigua como la unidad misma y tan diversa como lo son las
distintas civilizaciones; y ha ido, evolucionando al mismo tiempo que la humanidad se
ha transformado.9
GENERALIDADES.
A finales del siglo XX, los sistemas informticos se constituyeron en las herramientas
ms poderosas para materializar uno de los conceptos ms vitales y necesarios para
cualquier organizacin empresarial, los Sistemas de Informacin de la Empresa.
La Informtica hoy, esta subsumida en la gestin integral de la empresa, y por eso las
normas y estndares propiamente informticos deben estar, por lo tanto, sometidos a los
generales de la misma. En consecuencia las organizaciones informticas forman parte
9 Ludwig Von Bertalanffy, Teora General de Sistemas, Tercera Edicin 1981
15
AUDITORA DE SISTEMAS.
18
Pequeas
desviaciones
pueden
causar
importantes
20
22
informtico
Minimizar existencias de riesgos en el uso de Tecnologa de informacin
Decisiones de inversin y gastos innecesarios
Capacitacin y educacin sobre controles en los Sistemas de Informacin
Justificativos para efectuar una Auditora de Sistemas
Aumento considerable e injustificado del presupuesto del PAD (Departamento
de Procesamiento de Datos)
Desconocimiento en el nivel directivo de la situacin informtica de la empresa
Falta total o parcial de seguridades lgicas y fsicas que garanticen la integridad
del personal, equipos e informacin.
Descubrimiento de fraudes efectuados con el computador
Falta de una planificacin informtica
Organizacin que no funciona correctamente, falta de polticas, objetivos,
normas, metodologa, asignacin de tareas y adecuada administracin del
Recurso Humano
Descontento general de los usuarios por incumplimiento de plazos y mala
calidad de los resultados
Falta de documentacin o documentacin incompleta de sistemas que revela la
dificultad de efectuar el mantenimiento de los sistemas en produccin
Con las fases anteriores el auditor descubre las reas crticas y sobre ellas hace
un estudio y anlisis profundo en los que definir concretamente su grupo de
trabajo y la distribucin de carga del mismo, establecer los motivos, objetivos,
alcance Recursos que usara, definir la metodologa de trabajo, la duracin de
14 Celis Domingo, Auditoria Integral una respuesta efectiva de lucha contra el fraude y
contra la corrupcin en los Gobiernos Regionales, 2012, Mxico.
24
15Celis Domingo, Auditoria Integral una respuesta efectiva de lucha contra el fraude y
contra la corrupcin en los Gobiernos Regionales, 2012, Mxico.
25
Para hacer una planeacin eficaz, lo primero que se requiere es obtener informacin
general sobre la organizacin y sobre la funcin de informtica a evaluar. Para ello es
preciso hacer una investigacin preliminar y algunas entrevistas previas, con base en
esto planear el programa de trabajo, el cual deber incluir tiempo, costo, personal
necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la
misma.
EVALUACIN DE SISTEMAS
La elaboracin de sistemas debe ser evaluada con mucho detalle, para lo cual se debe
revisar si existen realmente sistemas entrelazados como un todo o bien si existen
programas aislados. Otro de los factores a evaluar es si existe un plan estratgico para la
elaboracin de los sistemas o si se estn elaborados sin el adecuado sealamiento de
prioridades y de objetivos.
niveles).
Modulares (facilidad para ser expandidos o reducidos).
Jerrquicos (por niveles funcionales).
Seguros (que slo las personas autorizadas tengan acceso).
nicos (que no duplique informacin).
BASE CONCEPTUAL
En base al sistema de informacin el auditor informtico realizar su estudio y anlisis
siguiendo cualquier metodologa de trabajo, pero sin desviarse de la base conceptual del
sistema de informacin de la empresa auditada.
16 Rozas Flores A. E., artculo disponible en: http://atenea.unicauca.edu.co/~gcuellar/nuevavision.htm
[consulta 05-06-2010)
27
Si por cualquier circunstancia el auditor informtico percibe y por lo menos tiene la idea
de que tom parmetros de que no estn presentes en el sistema de informacin
necesariamente deber volver a empezar (Por ejemplo en el rea de redes abarca
muchas otras facetas que un auditor no podra conocerlas por lo que se necesita ayuda
externa para realizar una buena Auditora)17
Conceptualmente los Sistemas de Informacin, tienen sus bases en algunos aspectos de
importancia dentro de cualquier empresa: As por ejemplo:
Aspectos econmicos
Aspectos tecnolgicos
Aspectos sociales
Se refiere a las normas y leyes vigentes para las empresas, tanto internas como
externas, se debe cuidar, el aspecto legal, especialmente en el Software
Aspecto Administrativo
Puede ser que algn profesional Informtico sea trasladado desde su puesto de trabajo a
la Auditora Interna de la empresa cuando est existe. Finalmente la propia Informtica
requiere de su propio grupo de Control interno, con la implantacin fsica en su
estructura, puesto que si se ubicase dentro de la estructura Informtica ya no sera
independiente.
Una empresa que posee Auditora Interna puede y debe en ocasiones contratar servicios
de Auditora externa, Las razones para hacerlo suelen ser:
Necesidad de auditar una materia de gran especializacin. ( No hay capacidad
Interna)
Contratar algn informe interno. (Recomendaciones internas que chocan con la
opinin generalizada de la propia empresa.
Servir como mecanismo protector de posibles auditoras externas decretadas por
la misma empresa.
Aunque la A.I. sea independiente del Departamento de Sistemas, sigue siendo la
misma empresa, por lo tanto, es necesario que se le realicen Auditor
La Auditora Informtica, tanto Externa como Interna, debe ser una actividad exenta de
cualquier contenido o Matiz Poltico ajeno a la propia estrategia y poltica general de
la empresa. La funcin auditora puede actuar de oficio, por iniciativa del propio rgano,
o a instancias de parte, esto es, por encargo de la direccin o cliente.
ALCANCE DE LA AUDITORIA INFORMATICA.
El alcance de la Auditora expresa los lmites de la misma. Debe existir un acuerdo muy
preciso entre auditores y clientes sobre las funciones, las materias, y las organizaciones
a auditar.
31
A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar
las excepciones del alcance de la Auditora, es decir cuales materias, funciones u
organizaciones no van a ser auditadas.
Tanto los alcances como las excepciones deben figurar al comienzo del informe final.
Las personas que realizan la Auditora han de conocer con mayor exactitud posible los
objetivos a los que su tarea debe llegar. Debe conocer los deseos y pretensiones del
cliente de forma que las metas fijadas puedan ser cumplidas.
EL alcance a definir con precisin el entorno y los lmites en que va a desarrollar la
Auditora Informtica, se complementa con los objetivos de esta. El alcance ha de
figurar expresamente en el informe final, de modo que quede perfectamente
determinado no solamente hasta que puntos se ha llegado, sino cuales materias
fronterizas han sido omitidas. Ej. Se sometern los registros grabados a un control de
integridad exhaustivo?, Se comprobara que los controles de validacin de errores son
adecuados y suficientes?, La indefinicin de los alcances de la Auditora compromete el
xito de la misma.
ESTNDARES PARA REALIZAR LA AUDITORA
de auditores.
ISACA: Formado por 95.000 auditores en todo el mundo, en ms de 160 pases
donde presta sus servicios.
32
33
Tcnico en informtica.
Experiencia en el rea de informtica.
Experiencia en operacin y anlisis de sistemas.
Conocimientos de los sistemas ms importantes.
34
36
CONTROLES
Conjunto de disposiciones metdicas, cuyo fin es vigilar las funciones y actitudes de las
empresas y para ello permite verificar si todo se realiza conforme a los programas
adoptados, rdenes impartidas y principios admitidos.
CLASIFICACIN GENERAL DE LOS CONTROLES
CONTROLES PREVENTIVOS
Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo,
permitiendo cierto margen de violaciones.
CONTROLES DETECTIVOS
Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego
de ocurridos. Son los ms importantes para el auditor. En cierta forma sirven para
evaluar la eficiencia de los controles preventivos.
CONTROLES CORRECTIVOS
Ayudan a la investigacin y correccin de las causas del riesgo. La correccin adecuada
puede resultar difcil e ineficiente, siendo necesaria la implantacin de controles
defectivos sobre los controles correctivos, debido a que la correccin de errores es en si
una actividad altamente propensa a errores.
La mxima autoridad del rea de Informtica de una empresa o institucin debe
implantar los siguientes controles que se agruparan de la siguiente forma:
1.- Controles de Preinstalacin
37
de prueba.
Poner a prueba si los programas usados para procesar los datos de prueba fueron
38
herramientas.
Verificar la disponibilidad de recurso con habilidad en el uso y control de las
herramientas seleccionadas.
Confirmar lo adecuado del conjunto de herramientas para el objetivo de
auditora, por ejemplo, puede ser necesario el uso de sistemas especficos para
cada industria en el diseo de programas de auditora para ciclos nicos de
negocios.
Documentacin
Objetivos de la TCA.
Consideracin de la TCA especfica que se va a usar.
Controles que se van a ejecutar.
Personal, tiempo y costo.
(b) Ejecucin
Preparacin de la TCA y procedimientos de prueba v controles.
Detalles de las pruebas realizadas por la TCA.
39
(d) Otros
40
CASO PRCTICO
A continuacin se presenta una poltica en Informtica establecida como propuesta a fin
de ilustrar el trabajo realizado de una auditora de sistemas enfocada en los controles de
Organizacin y planificacin.
Esta poltica fue creada con la finalidad de que satisfaga a un grupo de empresas
jurdicamente establecidas con una estructura departamental del rea de Sistemas
integrada por: Direccin, Subdireccin, Jefes Departamentales del rea de Sistemas en
cada una de las empresas que pertenecen al grupo.
As mismo los Departamentos que la componen son: Departamento de Desarrollo de
Sistemas y Produccin, Departamento de Soporte Tcnico y Departamento de Redes/
Comunicaciones, Departamento de Desarrollo de Proyectos.
Para el efecto se ha creado una Administracin de Sistemas que efecta reuniones
peridicas a fin de regular y normar el funcionamiento del rea de Sistemas y un Comit
en el que participan personal del rea de Sistemas y personal administrativo.
41
CONCLUSIN
La auditora en informtica es la revisin y la evaluacin de los controles, sistemas,
procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y
seguridad, de la organizacin que participan en el procesamiento de la informacin, a
fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin
ms eficiente y segura de la informacin que servir para una adecuada toma de
decisiones.
La auditora en informtica deber comprender no slo la evaluacin de los equipos de
cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar
los sistemas de informacin en general desde sus entradas, procedimientos, controles,
archivos, seguridad y obtencin de informacin.
La auditora en informtica es de vital importancia para el buen desempeo de los
sistemas de informacin, ya que proporciona los controles necesarios para que los
sistemas sean confiables y con un buen nivel de seguridad. Adems debe evaluar todo
(informtica, organizacin de centros de informacin, hardware y software).
42
Bibliografa
E, R. F. (s.f.). : http://atenea.unicauca.edu.co/~gcuellar/.
E, R. F. (s.f.). http://atenea.unicauca.edu.co/~gcuellar/.
43
44