You are on page 1of 38

Auditora de Sistemas

Ing. Oswaldo Daniel Casazola Cruz CIP 95831

La Auditoria de Sistemas es el conjunto de tcnicas que permiten detectar deficiencias en las organizaciones y en los sistemas que se desarrollan u operan en ellas, incluyendo los servicios externos de computacin, que permitan efectuar acciones preventivas y correctivas para eliminar las fallas y carencias que se detecten.
Ing. Oswaldo Daniel Casazola Cruz CIP 95831

Cmo lo hace?
Se verifica la existencia y aplicacin de todas las normas y procedimientos requeridos para minimizar las posibles causas de riesgos tanto en las instalaciones y equipos, como en los programas computacionales y los datos, en todo el mbito del Sistema: usuarios, instalaciones, equipos. Las Instituciones efectan Auditorias de Sistemas, con la finalidad de asegurar la eficiencia de las organizaciones de informtica, as como la confiabilidad y seguridad de sus sistemas.

Ing. Oswaldo Daniel Casazola Cruz CIP 95831

OB J E T I V O S

ASPECTOS A CONTROLAR
El Proyecto de Desarrollo de Sistemas est enmarcado dentro del Plan General de Sistemas

El Cronograma del Proyecto sea realista y el Sistema est operativo en forma oportuna, de acuerdo a las necesidades de la Institucin.
Se aplique la Metodologa de Desarrollo de Sistemas Exista un control permanente de la consistencia confiabilidad de los Sistemas Informticos. y

La Calidad del Sistema producido, ptima operatividad del mismo

permita una

Ing. Oswaldo Daniel Casazola Cruz CIP 95831

ASPECTOS A CONTROLAR
La tecnologa utilizada sea la ms adecuada a los fines del sistema y permita una vida til satisfactoria para la inversin realizada. Los Costos, tanto del desarrollo como de su operacin y mantenimiento, sean los planificados y exista un retorno de la inversin
Se hayan logrado los beneficios esperados

Ing. Oswaldo Daniel Casazola Cruz CIP 95831

INSTRUMENTOS DE CONTROL
Documentacin de las Sub-etapas del Desarrollo e Implantacin de Sistemas. Reuniones de Revisin Tcnica. Benchmark o pruebas del sistema. Formularios de Control.

Ing. Oswaldo Daniel Casazola Cruz CIP 95831

Planeamiento y diseo de las pruebas de control


Deben considerar estas pruebas naturaleza y extensin de las pruebas auditoria. De acuerdo a esto disear el Plan de pruebas a ejecutar. Finalmente el Diseo de las pruebas auditoria
Ing. Oswaldo Daniel Casazola Cruz CIP 95831

la de

las
de

Ejecucin y Evaluacin de los resultados de las pruebas


Una vez, ejecutadas las pruebas se debern evaluar los resultados de las mismas y determinar en qu mdulos el Sistema no es confiable y controles que no posee, que deban ser imprescindibles Producto de la revisin del Sistema se debern preparar el Informe de Auditoria y Control del Sistema. El informe preliminar debe ser opinado y recibirse los comentarios del caso para recin emitir el informe final

Ing. Oswaldo Daniel Casazola Cruz CIP 95831

Revisin, Opinin y Seguimiento del Informe de Auditoria


Tanto el rea usuaria, como el rea de sistemas que desarroll o administra la operacin del Sistema, debe tener la oportunidad de revisar y opinar sobre el informe preliminar, de tal forma de asegurar que se estn aceptando las observaciones indicadas. Siendo el objetivo de este trabajo que se mejore el sistema y se superen sus deficiencias para beneficio de la Institucin, se deber, a travs de un Registro de Seguimiento, efectuar el control de las acciones tomadas y las observaciones superadas.
Ing. Oswaldo Daniel Casazola Cruz CIP 95831

FUNCIONES FUNCIONES DE LA AUDITORA DE SI (1)

1) 2)

Velar por la eficacia y eficiencia del sistema informtico, de forma que ste alcance con el menor coste posible los objetivos. Verificar el cumplimiento de las normas y estndares vigentes en la organizacin (leyes de firma electrnica, de proteccin de datos de carcter personal, de propiedad intelectual del software, etc.).
Supervisar el control interno ejercido sobre los sistemas de informacin conducente a la proteccin de los activos de informacin de informacin de la organizacin: recursos humanos, locales e instalaciones, infraestructuras tecnolgicas, sistemas y aplicaciones, informacin tributaria.

3)

Ing. Oswaldo Daniel Casazola Cruz CIP 95831

10

FUNCIONES FUNCIONES DE LA AUDITORA DE SI (2)

4)

Verificar la calidad de los sistemas de informacin de la organizacin y proponer mejoras de los mismos, coherentes con el proyecto de calidad adoptado por la organizacin (cumplimiento de normas de calidad o modelo de excelencia en gestin). Comprobar e impulsar la seguridad de los sistemas de informacin.

5)

Ing. Oswaldo Daniel Casazola Cruz CIP 95831

11

FUNCIONES

6)

Comprobar el cumplimiento de los requerimientos de negocio de la informacin, es decir las propiedades que la informacin debe tener para optimizar su utilizacin por la organizacin.

7)

Analizar la gestin de los riesgos asociados a los sistemas de informacin, proponiendo la adopcin de medidas que mejoren el sistema de anlisis y gestin de los riesgos informticos, o que conduzcan a que los riesgos sean mitigados, eliminados, compartidos o aceptados por la organizacin.

Ing. Oswaldo Daniel Casazola Cruz CIP 95831

12

ASPECTOS A REVISAR
La documentacin del sistema. El procedimiento del sistema. La operatividad del sistema. Controles del sistema. Integridad de los datos. Validez de los resultados. Seguridad del sistema. Sistema de Respaldo. Auditabilidad del sistema. Efectividad del sistema

Ing. Oswaldo Daniel Casazola Cruz CIP 95831

CONTROLES DEL SISTEMA


Generacin del Dato Ingreso del Dato La Transmisin del Dato El Procesamiento del Dato Actualizacin de Archivos Emisin de Reportes y Consultas

Ing. Oswaldo Daniel Casazola Cruz CIP 95831

INTEGRIDAD DE LOS DATOS


Adicionalmente a los controles anteriormente mencionados, para fines de asegurar la integridad de los datos en cuanto a su completitud y confiabilidad, el sistema debe poseer programas que rastreen los archivos y determinen incongruencias y falta de cuadre de la informacin. Debe asimismo, en forma externa, establecerse procedimientos de comparacin de la informacin producida por el sistema contra otras informaciones disponibles, para efectos de determinar la confiabilidad de la informacin. Dentro de este aspecto estn las circularizaciones de comprobacin de la informacin del computador con las reas o personas involucradas.
Ing. Oswaldo Daniel Casazola Cruz CIP 95831

SEGURIDAD DEL SISTEMA


Seguridad en el acceso a la informacin: un esquema global de seguridad de acceso a la informacin, donde deben existir para cada rea y para cada funcionario Seguridad del sistema:Acceso y Seguridad a los Programas. Seguridad contra virus y hackers. Seguridades Fsicas:Los ambientes donde se procesan los sistemas deben contar con un suministro de energa elctrica de calidad, con pozo de lnea a tierra, estabilizadores, UPS, equipos de reemplazo de energa elctrica, y extintores contra incendio.

Ing. Oswaldo Daniel Casazola Cruz CIP 95831

SISTEMA DE RESPALDO
Sistema tolerante a fallas. Tape-backup. Equipo de capacidad similar de respaldo Instalador del Sistema o Backup del Sistema. Para ser llevado a otra instalacin en caso de necesitarlo. Backup de la Base de Datos por lo menos del turno anterior. Para recuperacin en caso de fallas o cadas.

Ing. Oswaldo Daniel Casazola Cruz CIP 95831

AUDITABILIDAD DEL SISTEMA


Todo Sistema debe tener la capacidad de poder ser auditado, para lo cual debe reunir una serie de caractersticas que lo permitan :
Contar con la documentacin completa. Disponer de una biblioteca de pruebas. Disponer de Log del Sistema. Contar con reportes de auditoria del sistema. Contar con reporteadores de base de datos para producir reportes de cruce de informacin.

Ing. Oswaldo Daniel Casazola Cruz CIP 95831

EFECTIVIDAD DEL SISTEMA


Uno de los aspectos ms importante del sistema, por ser su razn de ser, es que sea efectivo en conseguir los objetivos y beneficios esperados, por lo que se deber.
Efectuar visitas a los usuarios e indagar sobre su opinin respecto a : su satisfaccin de los resultados del sistema y el grado de confiabilidad que le dan al sistema. Evaluar en forma independiente en qu magnitud los beneficios han sido conseguidos y cules son las razones o limitaciones que impiden que stos se logren.

Ing. Oswaldo Daniel Casazola Cruz CIP 95831

MODALIDADES DE PRUEBAS
Pruebas de Rutas :Tambin es conocida como prueba de cdigo. Examina la lgica del programa, para lo cual se desarrollan casos de prueba que fuercen a probar la ejecucin de todas las instrucciones de cada mdulo o ruta de un programa. Pruebas de Especificacin :En sta, se examina el sistema bajo diferentes situaciones. Que ejecute lo que indican las especificaciones, bajo casos de pruebas preparados para dicho fin. Se tratan a los programas como si fueran cajas negras, slo siendo de inters de que si se cumplen siempre las especificaciones, el sistema no falla.
Ing. Oswaldo Daniel Casazola Cruz CIP 95831

PRUEBAS ESPECIALES DE SISTEMA


Prueba Prueba Prueba Prueba Prueba Prueba de de de de de de carga mxima. almacenamiento. tiempo de ejecucin. recuperacin. procedimientos. recursos humanos

Ing. Oswaldo Daniel Casazola Cruz CIP 95831

El Control Interno al Servicio de Informtica debe contemplar


La Organizacin. Los Procedimientos Generales. Metodologas Utilizadas. Recursos Humanos. Seguridad

Ing. Oswaldo Daniel Casazola Cruz CIP 95831

EVALUACION Y CONTROL DE LA ORGANIZACION


Las funciones que deben existir son :
Desarrollo de Sistemas. Operacin de Sistemas. Mantenimiento de Sistemas. Soporte Tcnico. Soporte a equipos. Control de Sistemas.

Ing. Oswaldo Daniel Casazola Cruz CIP 95831

PROCEDIMIENTOS
Las normas que deberan disponer son :
Norma Norma Norma Norma Norma Norma Norma de de de de de de de Anlisis de Sistemas. Diseo de Sistemas. Programacin de Sistemas. Implantacin de Sistemas. Operacin de Sistemas. Mantenimiento de Sistemas. Control de Sistemas.
Ing. Oswaldo Daniel Casazola Cruz CIP 95831

PROCEDIMIENTOS
Los procedimientos que debieran estar disponibles son : Procedimientos de Operacin de todos los Sistemas. Procedimiento General de Seguridad. Procedimiento General de Respaldo de la Informacin. Procedimientos ante Contingencias. Procedimientos de Administracin de Bibliotecas de Software
Ing. Oswaldo Daniel Casazola Cruz CIP 95831

DE LOS SERVICIOS EXTERNOS DE COMPUTACION


Dependiendo de la poltica de la Institucin puede ser encargado el desarrollo, la implantacin y la operacin de uno o varios sistemas a Servicios Externos de Computacin. En estos casos tambin deben aplicarse los mismos controles y verificaciones indicados en la presente norma, donde el rea de Informtica de la Institucin deber efectuar permanentemente la tarea de fiscalizacin de los Servicios Externos de Computacin.
Ing. Oswaldo Daniel Casazola Cruz CIP 95831

DE LOS SERVICIOS EXTERNOS DE COMPUTACION


Los Servicios Externos de Computacin deben ser controlados en base a la funcin SubContratada, aplicando para cada caso la parte correspondiente de las normas y controles establecidos

Ing. Oswaldo Daniel Casazola Cruz CIP 95831

RESPONSABILIDAD DEL AUDITOR


A los auditores que realizan auditorias reglamentarias no se les exige considerar la vulnerabilidad de la empresa ante la prdida de sus instalaciones de proceso de datos. En la mayora de las empresas existe la obligacin de mantener en todo momento registros contables adecuados y el auditor tendr que informar si no fuera as. Si, durante el curso de auditoria, los auditores tuvieran razones para pensar que las disposiciones de seguridad de la empresa y los planes de emergencia no fueran adecuados, debern reflejar sus opiniones al Consejo de Direccin, a travs del informe de auditoria.
Ing. Oswaldo Daniel Casazola Cruz CIP 95831

El Auditor realiza anlisis de seguridad informtica y de planificacin de emergencia


Examinar sistemticamente todos los riesgos que intervengan y acotarn las prdidas probables en cada caso. Considerar las maneras de aumentar la seguridad para reducir los riesgos. Recomendar todas las acciones necesarias de proteccin encaminadas a reducir el riesgo de que se produzca una interrupcin, en caso de que se produzca. Cuando corresponda, estudiar la cobertura de seguros de la empresa.

Ing. Oswaldo Daniel Casazola Cruz CIP 95831

RESPONSABILIDAD DEL AUDITOR RESPECTO AL FRAUDE


La responsabilidad del auditor externo para detectar irregularidades o fraude se establece en las normas y estndares de auditoria. Aunque el cometido de los auditores externos no exige normalmente la bsqueda especfica de fraudes, la auditoria deber planificarse de forma que existan unas expectativas razonables de detectar irregularidades materiales o fraude. El cometido y responsabilidad de los auditores internos vienen definidos por la direccin de la empresa a la que pertenecen. En la mayora de ellas, se considera que la deteccin del fraude forma parte del cometido de los auditores internos.
Ing. Oswaldo Daniel Casazola Cruz CIP 95831

SISTEMAS Y EMPRESAS QUE CORREN MAS RIESGOS DE FRAUDE


Evidentemente el artculo que resulta ms atractivo robar es el dinero o algo de valor. Por lo tanto, los sistemas que pueden estar ms expuestos a fraude son los que tratan pagos, como los de nmina, ventas, o compras. En ellos es donde es ms fcil convertir transacciones fraudulentas en dinero y sacarlo de la empresa. Por razones similares, las empresas constructoras, bancos y compaas de seguros, estn ms expuestas a fraudes que las dems
Ing. Oswaldo Daniel Casazola Cruz CIP 95831

FRAUDE INFORMATICO
Notas de gastos incorrectas Recibos de salarios incorrectos Notas de abono a clientes con los que el defraudador est en connivencia Descuentos favorables a clientes que estn en connivencia con el defraudador Creacin de cuentas ficticias a beneficio del defraudador; por ejemplo, crear registros falsos de empleado en la nmina para que el defraudador reciba ms salarios. Pasar dos veces las mismas transacciones utilizando los sistemas normal y "urgente" o de "respaldo" y explotar la debilidad de los controles
Ing. Oswaldo Daniel Casazola Cruz CIP 95831

FRAUDE PERPETRADO POR PERSONAL INFORMATICO


El tipo de fraude ms frecuente, dentro de esta categora es la manipulacin no autorizada de los programas. Presenta problemas especiales, porque los programas pueden modificarse de forma que produzcan una salida que desoriente totalmente al personal de control o a los auditores.

Ing. Oswaldo Daniel Casazola Cruz CIP 95831

DETECCION Y PREVENCION DE PERDIDAS Y FRAUDE


Los procedimientos de control interno siguientes no tienen ninguna sustitucin posible:
Divisin de funciones, para evitar que una persona procese todos los aspectos de las transacciones. Nivel de supervisin adecuado. Control de acceso a los terminales. Control sobre el proceso de los datos rechazados. Control sobre las modificaciones de los programas.

Ing. Oswaldo Daniel Casazola Cruz CIP 95831

DETECCION Y PREVENCION DE PERDIDAS Y FRAUDE


Siempre que se pueda, ejercer un control manual sobre los ficheros importantes que se utilizan en procesos mecanizados y que se mantienen en los departamentos usuarios. Hacer peridicamente reconciliaciones bancarias, inventarios, etc., para identificar rpidamente la discrepancias. Revisin peridica de controles e investigacin rpida de las diferencias que aparecen, por personas de nivel y experiencia suficiente de la empresa.
Ing. Oswaldo Daniel Casazola Cruz CIP 95831

ASPECTOS LEGALES DEL FRAUDE INFORMATICO.


Si sospechase de fraude, el auditor deber avisar a la alta direccin para que se pongan en contacto con su asesor jurdico, o con la polica, sin levantar las sospechas del personal o los clientes que estuviesen involucrados. El auditor deber asegurar tambin que los originales de los documentos que pudieran utilizarse como prueba estn custodiados y a salvo y que ninguna persona que sea sospechosa de fraude tenga acceso a ellos.
Ing. Oswaldo Daniel Casazola Cruz CIP 95831

AUDITORIAS DE EFICIENCIA
Cuando se hable de eficiencia, los auditores tendrn que tener en cuenta lo siguiente: Las bases de referencia del grupo de auditoria. A que nivel informan los auditores. El apoyo que la direccin presta a los auditores. El respeto que tenga el departamento de proceso de datos hacia el grupo de auditoria. La competencia tcnica del equipo de auditoria. La eficiencia del departamento de proceso de datos, en la que se incluyen ms factores de proteccin y seguridad, puede considerarse a distintos niveles
Ing. Oswaldo Daniel Casazola Cruz CIP 95831

Bibliografia
PIATTINI Mario y DEL PESO Emilio. Auditora Informtica: Un enfoque Prctico. 2 Edicin. Ed. Alfa Omega. Mxico. 2002. ISBN: 9701503546.

Ing. Oswaldo Daniel Casazola Cruz CIP 95831