Auditoría de Sistemas

Ing. Oswaldo Daniel Casazola Cruz CIP 95831

La Auditoria de Sistemas es el conjunto de técnicas que permiten detectar deficiencias en las organizaciones y en los sistemas que se desarrollan u operan en ellas, incluyendo los servicios externos de computación, que permitan efectuar acciones preventivas y correctivas para eliminar las fallas y carencias que se detecten.
Ing. Oswaldo Daniel Casazola Cruz CIP 95831

¿Cómo lo hace?
• Se verifica la existencia y aplicación de todas las normas y procedimientos requeridos para minimizar las posibles causas de riesgos tanto en las instalaciones y equipos, como en los programas computacionales y los datos, en todo el ámbito del Sistema: usuarios, instalaciones, equipos. • Las Instituciones efectúan Auditorias de Sistemas, con la finalidad de asegurar la eficiencia de las organizaciones de informática, así como la confiabilidad y seguridad de sus sistemas.

Ing. Oswaldo Daniel Casazola Cruz CIP 95831

y La Calidad del Sistema producido. Oswaldo Daniel Casazola Cruz CIP 95831 . óptima operatividad del mismo permita una Ing.OB J • E • T I • V• O S • ASPECTOS A CONTROLAR El Proyecto de Desarrollo de Sistemas esté enmarcado dentro del Plan General de Sistemas El Cronograma del Proyecto sea realista y el Sistema esté operativo en forma oportuna. de acuerdo a las necesidades de la Institución. Se aplique la Metodología de Desarrollo de Sistemas Exista un control permanente de la consistencia confiabilidad de los Sistemas Informáticos.

ASPECTOS A CONTROLAR • La tecnología utilizada sea la más adecuada a los fines del sistema y permita una vida útil satisfactoria para la inversión realizada. Oswaldo Daniel Casazola Cruz CIP 95831 . • Los Costos. sean los planificados y exista un retorno de la inversión • Se hayan logrado los beneficios esperados Ing. tanto del desarrollo como de su operación y mantenimiento.

INSTRUMENTOS DE CONTROL • Documentación de las Sub-etapas del Desarrollo e Implantación de Sistemas. Ing. • Reuniones de Revisión Técnica. • Benchmark o pruebas del sistema. Oswaldo Daniel Casazola Cruz CIP 95831 . • Formularios de Control.

Planeamiento y diseño de las pruebas de control • Deben considerar estas pruebas naturaleza y extensión de las pruebas auditoria. • Finalmente el Diseño de las pruebas auditoria Ing. • De acuerdo a esto diseñar el Plan de pruebas a ejecutar. Oswaldo Daniel Casazola Cruz CIP 95831 la de las de .

Ejecución y Evaluación de los resultados de las pruebas • Una vez. • El informe preliminar debe ser opinado y recibirse los comentarios del caso para recién emitir el informe final Ing. ejecutadas las pruebas se deberán evaluar los resultados de las mismas y determinar en qué módulos el Sistema no es confiable y controles que no posee. Oswaldo Daniel Casazola Cruz CIP 95831 . que deban ser imprescindibles • Producto de la revisión del Sistema se deberán preparar el Informe de Auditoria y Control del Sistema.

como el área de sistemas que desarrolló o administra la operación del Sistema. Ing. efectuar el control de las acciones tomadas y las observaciones superadas. Opinión y Seguimiento del Informe de Auditoria • Tanto el área usuaria. de tal forma de asegurar que se están aceptando las observaciones indicadas. a través de un Registro de Seguimiento. Oswaldo Daniel Casazola Cruz CIP 95831 . se deber.Revisión. debe tener la oportunidad de revisar y opinar sobre el informe preliminar. • Siendo el objetivo de este trabajo que se mejore el sistema y se superen sus deficiencias para beneficio de la Institución.

infraestructuras tecnológicas. de forma que éste alcance con el menor coste posible los objetivos. Verificar el cumplimiento de las normas y estándares vigentes en la organización (leyes de firma electrónica. información tributaria. de propiedad intelectual del software. Supervisar el control interno ejercido sobre los sistemas de información conducente a la protección de los activos de información de información de la organización: recursos humanos.). etc.FUNCIONES FUNCIONES DE LA AUDITORÍA DE SI (1) 1) 2) Velar por la eficacia y eficiencia del sistema informático. sistemas y aplicaciones. 3) Ing. locales e instalaciones. Oswaldo Daniel Casazola Cruz CIP 95831 10 . de protección de datos de carácter personal.

FUNCIONES FUNCIONES DE LA AUDITORÍA DE SI (2) 4) Verificar la calidad de los sistemas de información de la organización y proponer mejoras de los mismos. Comprobar e impulsar la seguridad de los sistemas de información. 5) Ing. coherentes con el proyecto de calidad adoptado por la organización (cumplimiento de normas de calidad o modelo de excelencia en gestión). Oswaldo Daniel Casazola Cruz CIP 95831 11 .

Oswaldo Daniel Casazola Cruz CIP 95831 12 . 7) Analizar la gestión de los riesgos asociados a los sistemas de información. es decir las propiedades que la información debe tener para optimizar su utilización por la organización. o que conduzcan a que los riesgos sean mitigados. proponiendo la adopción de medidas que mejoren el sistema de análisis y gestión de los riesgos informáticos. Ing.FUNCIONES 6) Comprobar el cumplimiento de los requerimientos de negocio de la información. eliminados. compartidos o aceptados por la organización.

Efectividad del sistema Ing. La operatividad del sistema. El procedimiento del sistema. Sistema de Respaldo. Oswaldo Daniel Casazola Cruz CIP 95831 . Controles del sistema. Seguridad del sistema. Integridad de los datos. Auditabilidad del sistema.ASPECTOS A REVISAR • • • • • • • • • • La documentación del sistema. Validez de los resultados.

Oswaldo Daniel Casazola Cruz CIP 95831 .CONTROLES DEL SISTEMA • • • • • • Generación del Dato Ingreso del Dato La Transmisión del Dato El Procesamiento del Dato Actualización de Archivos Emisión de Reportes y Consultas Ing.

para efectos de determinar la confiabilidad de la información.INTEGRIDAD DE LOS DATOS • Adicionalmente a los controles anteriormente mencionados. Dentro de este aspecto están las circularizaciones de comprobación de la información del computador con las áreas o personas involucradas. • Debe asimismo. establecerse procedimientos de comparación de la información producida por el sistema contra otras informaciones disponibles. para fines de asegurar la integridad de los datos en cuanto a su completitud y confiabilidad. Oswaldo Daniel Casazola Cruz CIP 95831 . el sistema debe poseer programas que rastreen los archivos y determinen incongruencias y falta de cuadre de la información. Ing. en forma externa.

equipos de reemplazo de energía eléctrica. UPS. con pozo de línea a tierra. Seguridad contra virus y hackers. Ing. Oswaldo Daniel Casazola Cruz CIP 95831 . estabilizadores. y extintores contra incendio. • Seguridades Físicas:Los ambientes donde se procesan los sistemas deben contar con un suministro de energía eléctrica de calidad. donde deben existir para cada área y para cada funcionario • Seguridad del sistema:Acceso y Seguridad a los Programas.SEGURIDAD DEL SISTEMA • Seguridad en el acceso a la información: un esquema global de seguridad de acceso a la información.

Para recuperación en caso de fallas o caídas. Equipo de capacidad similar de respaldo Instalador del Sistema o Backup del Sistema. • • • • Ing. Para ser llevado a otra instalación en caso de necesitarlo. • Backup de la Base de Datos por lo menos del turno anterior. Tape-backup.SISTEMA DE RESPALDO Sistema tolerante a fallas. Oswaldo Daniel Casazola Cruz CIP 95831 .

Contar con reporteadores de base de datos para producir reportes de cruce de información.AUDITABILIDAD DEL SISTEMA Todo Sistema debe tener la capacidad de poder ser auditado. Oswaldo Daniel Casazola Cruz CIP 95831 . Disponer de una biblioteca de pruebas. Disponer de Log del Sistema. Contar con reportes de auditoria del sistema. para lo cual debe reunir una serie de características que lo permitan : – – – – – Contar con la documentación completa. Ing.

Oswaldo Daniel Casazola Cruz CIP 95831 . Ing. por lo que se deber. por ser su razón de ser. es que sea efectivo en conseguir los objetivos y beneficios esperados. • Evaluar en forma independiente en qué magnitud los beneficios han sido conseguidos y cuáles son las razones o limitaciones que impiden que éstos se logren.EFECTIVIDAD DEL SISTEMA • Uno de los aspectos más importante del sistema. • Efectuar visitas a los usuarios e indagar sobre su opinión respecto a : su satisfacción de los resultados del sistema y el grado de confiabilidad que le dan al sistema.

Examina la lógica del programa.MODALIDADES DE PRUEBAS • Pruebas de Rutas :También es conocida como prueba de código. Se tratan a los programas como si fueran cajas negras. Oswaldo Daniel Casazola Cruz CIP 95831 . se examina el sistema bajo diferentes situaciones. bajo casos de pruebas preparados para dicho fin. Ing. Que ejecute lo que indican las especificaciones. • Pruebas de Especificación :En ésta. sólo siendo de interés de que si se cumplen siempre las especificaciones. el sistema no falla. para lo cual se desarrollan casos de prueba que fuercen a probar la ejecución de todas las instrucciones de cada módulo o ruta de un programa.

PRUEBAS ESPECIALES DE SISTEMA • • • • • • Prueba Prueba Prueba Prueba Prueba Prueba de de de de de de carga máxima. procedimientos. Oswaldo Daniel Casazola Cruz CIP 95831 . recuperación. tiempo de ejecución. almacenamiento. recursos humanos Ing.

Oswaldo Daniel Casazola Cruz CIP 95831 .El Control Interno al Servicio de Informática debe contemplar • • • • • La Organización. Los Procedimientos Generales. Seguridad Ing. Recursos Humanos. Metodologías Utilizadas.

Soporte a equipos. Soporte Técnico. Ing. Oswaldo Daniel Casazola Cruz CIP 95831 . Control de Sistemas. Mantenimiento de Sistemas. Operación de Sistemas.EVALUACION Y CONTROL DE LA ORGANIZACION • Las funciones que deben existir son : – – – – – – Desarrollo de Sistemas.

Implantación de Sistemas. Operación de Sistemas. Diseño de Sistemas. Programación de Sistemas. Ing.PROCEDIMIENTOS Las normas que deberían disponer son : – Norma – Norma – Norma – Norma – Norma – Norma – Norma de de de de de de de Análisis de Sistemas. Control de Sistemas. Oswaldo Daniel Casazola Cruz CIP 95831 . Mantenimiento de Sistemas.

Oswaldo Daniel Casazola Cruz CIP 95831 . – Procedimiento General de Seguridad. – Procedimientos de Administración de Bibliotecas de Software Ing. – Procedimiento General de Respaldo de la Información. – Procedimientos ante Contingencias.PROCEDIMIENTOS • Los procedimientos que debieran estar disponibles son : – Procedimientos de Operación de todos los Sistemas.

Ing. donde el Área de Informática de la Institución deberá efectuar permanentemente la tarea de fiscalización de los Servicios Externos de Computación. • En estos casos también deben aplicarse los mismos controles y verificaciones indicados en la presente norma. la implantación y la operación de uno o varios sistemas a Servicios Externos de Computación.DE LOS SERVICIOS EXTERNOS DE COMPUTACION • Dependiendo de la política de la Institución puede ser encargado el desarrollo. Oswaldo Daniel Casazola Cruz CIP 95831 .

aplicando para cada caso la parte correspondiente de las normas y controles establecidos Ing. Oswaldo Daniel Casazola Cruz CIP 95831 .DE LOS SERVICIOS EXTERNOS DE COMPUTACION • Los Servicios Externos de Computación deben ser controlados en base a la función SubContratada.

deberán reflejar sus opiniones al Consejo de Dirección. a través del informe de auditoria. Si. • En la mayoría de las empresas existe la obligación de mantener en todo momento registros contables adecuados y el auditor tendrá que informar si no fuera así. Oswaldo Daniel Casazola Cruz CIP 95831 .RESPONSABILIDAD DEL AUDITOR • A los auditores que realizan auditorias reglamentarias no se les exige considerar la vulnerabilidad de la empresa ante la pérdida de sus instalaciones de proceso de datos. durante el curso de auditoria. Ing. los auditores tuvieran razones para pensar que las disposiciones de seguridad de la empresa y los planes de emergencia no fueran adecuados.

• Recomendará todas las acciones necesarias de protección encaminadas a reducir el riesgo de que se produzca una interrupción. estudiará la cobertura de seguros de la empresa. Ing. Oswaldo Daniel Casazola Cruz CIP 95831 . • Considerará las maneras de aumentar la seguridad para reducir los riesgos. en caso de que se produzca.El Auditor realiza análisis de seguridad informática y de planificación de emergencia • Examinará sistemáticamente todos los riesgos que intervengan y acotarán las pérdidas probables en cada caso. • Cuando corresponda.

Ing. Oswaldo Daniel Casazola Cruz CIP 95831 . Aunque el cometido de los auditores externos no exige normalmente la búsqueda específica de fraudes. • En la mayoría de ellas. • El cometido y responsabilidad de los auditores internos vienen definidos por la dirección de la empresa a la que pertenecen.RESPONSABILIDAD DEL AUDITOR RESPECTO AL FRAUDE • La responsabilidad del auditor externo para detectar irregularidades o fraude se establece en las normas y estándares de auditoria. la auditoria deberá planificarse de forma que existan unas expectativas razonables de detectar irregularidades materiales o fraude. se considera que la detección del fraude forma parte del cometido de los auditores internos.

Oswaldo Daniel Casazola Cruz CIP 95831 . las empresas constructoras. o compras. • Por razones similares. ventas. En ellos es donde es más fácil convertir transacciones fraudulentas en dinero y sacarlo de la empresa.SISTEMAS Y EMPRESAS QUE CORREN MAS RIESGOS DE FRAUDE • Evidentemente el artículo que resulta más atractivo robar es el dinero o algo de valor. están más expuestas a fraudes que las demás Ing. los sistemas que pueden estar más expuestos a fraude son los que tratan pagos. como los de nómina. bancos y compañías de seguros. Por lo tanto.

por ejemplo. • Pasar dos veces las mismas transacciones utilizando los sistemas normal y "urgente" o de "respaldo" y explotar la debilidad de los controles Ing. Oswaldo Daniel Casazola Cruz CIP 95831 . crear registros falsos de empleado en la nómina para que el defraudador reciba más salarios.FRAUDE INFORMATICO • Notas de gastos incorrectas • Recibos de salarios incorrectos • Notas de abono a clientes con los que el defraudador está en connivencia • Descuentos favorables a clientes que estén en connivencia con el defraudador • Creación de cuentas ficticias a beneficio del defraudador.

• Presenta problemas especiales. dentro de esta categoría es la manipulación no autorizada de los programas. porque los programas pueden modificarse de forma que produzcan una salida que desoriente totalmente al personal de control o a los auditores.FRAUDE PERPETRADO POR PERSONAL INFORMATICO • El tipo de fraude más frecuente. Ing. Oswaldo Daniel Casazola Cruz CIP 95831 .

Oswaldo Daniel Casazola Cruz CIP 95831 .DETECCION Y PREVENCION DE PERDIDAS Y FRAUDE • Los procedimientos de control interno siguientes no tienen ninguna sustitución posible: – División de funciones. – Control sobre el proceso de los datos rechazados. – Control de acceso a los terminales. – Control sobre las modificaciones de los programas. para evitar que una persona procese todos los aspectos de las transacciones. – Nivel de supervisión adecuado. Ing.

• Hacer periódicamente reconciliaciones bancarias. ejercer un control manual sobre los ficheros importantes que se utilizan en procesos mecanizados y que se mantienen en los departamentos usuarios. por personas de nivel y experiencia suficiente de la empresa. para identificar rápidamente la discrepancias. inventarios. Oswaldo Daniel Casazola Cruz CIP 95831 . Ing.. etc. • Revisión periódica de controles e investigación rápida de las diferencias que aparecen.DETECCION Y PREVENCION DE PERDIDAS Y FRAUDE • Siempre que se pueda.

Ing. o con la policía. • El auditor deberá asegurar también que los originales de los documentos que pudieran utilizarse como prueba están custodiados y a salvo y que ninguna persona que sea sospechosa de fraude tenga acceso a ellos. el auditor deberá avisar a la alta dirección para que se pongan en contacto con su asesor jurídico. Oswaldo Daniel Casazola Cruz CIP 95831 .ASPECTOS LEGALES DEL FRAUDE INFORMATICO. • Si sospechase de fraude. sin levantar las sospechas del personal o los clientes que estuviesen involucrados.

– La eficiencia del departamento de proceso de datos. – La competencia técnica del equipo de auditoria. – El respeto que tenga el departamento de proceso de datos hacia el grupo de auditoria. en la que se incluyen más factores de protección y seguridad. Oswaldo Daniel Casazola Cruz CIP 95831 . los auditores tendrán que tener en cuenta lo siguiente: – Las bases de referencia del grupo de auditoria. puede considerarse a distintos niveles Ing. – El apoyo que la dirección presta a los auditores.AUDITORIAS DE EFICIENCIA • Cuando se hable de eficiencia. – A que nivel informan los auditores.

ISBN: 9701503546. Alfa Omega. Ed. Auditoría Informática: Un enfoque Práctico. Ing. Oswaldo Daniel Casazola Cruz CIP 95831 .Bibliografia • PIATTINI Mario y DEL PESO Emilio. 2° Edición. 2002. México.