AUDITORIA_DE_SISTEMAS (1)

8/15/2019 AUDITORIA_DE_SISTEMAS (1)

1/149

Auditoria de Sistemas _________________________________________________________________________

PamplonaFacultad de Estudios a DistanciaProgramas de Educación a Distancia

Para una Sociedad Inteligente eInterconectada

Alvaro González JovesRector

María Eugenia Velasco EspitiaDecana Facultad de Estudios a Distancia

_________________________________________________________________________ UNIVERSIDAD DE PAMPLONA-Facultad de Estudios a Distancia

Universidad de

Auditoria deSistemas


2/149


Tala de !ontenido

Presentaci"nIntroducci"n#ori$ontes

UNIDAD %& Auditoria de Sistemas ' el Auditor de Sistemas deIn(ormaci"n !ontaleDescri)ci"n Tem*tica#ori$ontesN+cleos Tem*ticos ' Prolem*ticosProceso de In(ormaci"n,%,% SITUA!IN A!TUAL DE LA AUDITORIA DE SISTEMAS PARA LA

INFORMA!IN !ONTA.LE%,%,% De/niciones%,0 EL IMPA!TO DE LA TE!NOLO12A DE INFORMA!ION EN LA

AUDITORIA FINAN!IERA%,0,% Tendencias Actuales de la Tecnolo34a de la In(ormaci"n

' sus Im)licaciones en la Auditoria Financiera%,0,0 E(ecto de la 1loali$aci"n de los Mercados%,0,5 Res)uesta a las Presiones !om)etiti6as%,0,7 !amio en el Funcionamiento de las Em)resas%,0,8 Reducci"n de !ostos%,0,9 Dis)oniilidad de Acceso a la In(ormaci"n

%,0,: Medio Amiente Re3ulador%,0,; Inte3raci"n de los Sistemas de In(ormaci"n !ontales%,0,< A6ances Tecnol"3icos

%,5 !AMPO DE A!!IN DE LA AUDITORIA DE SISTEMAS DEINFORMA!IN

%,7 U.I!A!IN TIPI!A DE LA AUDITORIA DE SISTEMAS%,8 TE!NI!AS DE AUDITORIA DE SISTEMAS DE INFORMA!IN

%,8,% T=cnicas Manuales%,8,0 T=cnicas Automati$adas%,8,5 T=cnicas )ara Veri/car Transacciones%,8,7 T=cnicas )ara Anali$ar Pro3ramas

%,8,8 Auditoria Alrededor del !om)utador 6s, a Tra6=s del!om)utador,%,9 O.>ETIVOS DEL !ONTROL EN LA AUDITORIA DE SISTEMAS DE

INFORMA!ION !ONTA.LE%,9,% Entorno de Auditoria ' !ontrol%,9,0 O?eti6os de Autori$aci"n



3/149


%,9,5 O?eti6os del Procesamiento ' !lasi/caci"n de Transacciones Financieras

%,9,7 O?eti6os de Sal6a3uarda F4sica%,9,8 O?eti6os de Veri/caci"n ' E6aluaci"n

%,: .ASES PARA LA AUDITORIA DE SISTEMAS DE INFORMA!ION,%,; REPER!U!IN DEL ENTORNO INTERNA!IONAL EN LASAUDITORIAS DE SISTEMAS DE INFORMA!ION !ONTA.LES

%,< !OMPETEN!IAS PRIN!IPALES DEL AUDITOR DE SISTEMAS DEINFORMA!IN%,


4/149


0,5,8 Desarrollo e Im)lantaci"n del Sistema0,5,9 O)eraci"n ' Mantenimiento del Sistema0,5,: Post-im)lantaci"n de un Nue6o Sistema deIn(ormaci"n

0,7 REVISIN DE T!NI!AS DE FRAUDE INFORMTI!O0,7,% Mani)ulaci"n de Transacciones0,7,0 T=cnica de Salami0,7,5 T=cnica del !aallo de Tro'a0,7,7 .oma L"3ica0,7,8 >ue3o de la Pi$$a0,7,9 In3enier4a Social0,7,: Tram)as- Puerta0,7,; Su)er$a)in30,7,< E6asi6a astuta0,7,% Recolecci"n de .asura

0,7,%% Ir a !uestas )ara Otener Acceso no Autori$ado0,7,%0 Puertas Ele6adi$as0,7,%5 T=cnica de Taladro0,7,%7 Interce)ci"n de L4neas de !omunicaci"n0,7,%8 Los Virus

Proceso de !om)rensi"n ' An*lisisSoluci"n de ProlemasS4ntesis !reati6a ' Ar3umentati6aAutoe6aluaci"nRe)aso Si3ni/cati6o.ilio3ra(4a Su3erida

UNIDAD 5& Identi/caci"n ' E6aluaci"n de Ries3os Potenciales 'De/nici"n del Alcance de la AuditoriaDescri)ci"n Tem*tica#ori$ontesN+cleos Tem*ticos ' Prolem*ticosProceso de In(ormaci"n5,% RIES1OS

5,%,% Fraude G Roo5,%,0 P=rdida de Ne3ocios ' !rediilidad P+lica5,%,5 Sanciones Le3ales

5,%,7 Decisiones Err"neas5,%,8 Da@o ' Destrucci"n de Acti6os5,%,9 Des6enta?a !om)etiti6a

5,0 !AUSAS DE RIES1OS5,5 MATRIH DE RIES1OS VS, PRO!ESOS !ON LA U.I!A!IN DE

LAS !AUSAS DE RIES1OS5,7 MATRIH DE RIES1OS VS, DEPENDEN!IAS REASJ !ON LA



5/149


U.I!A!IN DE LAS !AUSAS DE RIES1OS5,8 MATRIH DE PRO!ESOS VS, DEPENDEN!IAS !ON LA

U.I!A!IN DE LAS !AUSAS DE RIES1OSProceso de !om)rensi"n ' An*lisis

Soluci"n de ProlemasS4ntesis !reati6a ' Ar3umentati6aAutoe6aluaci"nRe)aso Si3ni/cati6o.ilio3ra(4a Su3erida

UNIDAD 7& E6aluaci"n del Sistema de !ontrol Interno In(orm*ticoDescri)ci"n Tem*tica#ori$ontesN+cleos Tem*ticos ' Prolem*ticosProceso de In(ormaci"n

7,% REAS DE !ONTROL PRO!ESOSJ7,%,% Ori3en ' Pre)aracion de Datos7,%,0 Entrada de Datos7,%,5 Procesamiento ' Actuali$acion de In(ormaci"n7,%,7 Salida de Datos7,%,8 !ontrol de Acceso7,%,9 !amio al So(tKare7,%,: Res)aldos ' Planes de !ontin3encia7,%,; Terminales ' !omunicaci"n de Datos7,%,< Documentaci"n7,%,% Utili$acion ' !ontrol de Resultados ' Satis(accion del

Usuario7,%,%% Se3uridad Fisica ' !ontroles en las Instalaciones,7,0 E>EMPLOS DE !ONTROLESProceso de !om)rensi"n ' An*lisisSoluci"n de ProlemasS4ntesis !reati6a ' Ar3umentati6aAutoe6aluaci"nRe)aso Si3ni/cati6o.ilio3ra(4a Su3erida

UNIDAD 8& Pa)eles de Traa?o del !entro de !om)uto A)licaci"n

Pr*cticaJDescri)ci"n Tem*tica#ori$ontesN+cleos Tem*ticos ' Prolem*ticosProceso de In(ormaci"n8,% PLANEA!IN DE LA AUDITORIA8,0 1UIA PARA ELA.ORAR EL AR!#IVO PERMANENTE



6/149


8,0,% Or3ani$aci"n del De)artamento de Sistemas,8,0,0 #ardKare ' So(tKare de !om)utador8,0,5 !ostos Anuales del De)artamento de Sistemas8,0,7 Otros Datos e Inter=s

8,5 FORMATO PARA DETERMINAR LA IMPORTAN!IA DE LASAPLI!A!IONES DE !OMPUTADOR8,7 FORMATO PARA DETERMINAR LA IMPORTAN!IA DEL !ENTRO

DE PRO!ESAMIENTO DE DATOS8,8 !UESTIONARIOS DE !ONTROL

8,8,% rea de Planeaci"n8,8,0 rea de Or3ani$aci"n8,8,5 rea de .acu) ' Recu)eraci"n8,8,7 rea de Se3uridad8,8,8 rea de Producci"n8,8,9 Plan de !ontin3encias

8,8,: rea de Desarrollo de Sistemas8,8,; rea de E/ciencia8,9 AUDITORIA DE !ONTROLES 1ENERALES AL !ENTRO DE

PRO!ESAMIENTO DE DATOS8,: PRO.A.ILIDAD DE LAS AMENAHAS8,; E>EMPLO MATRIH DE EVALUA!IN DE RIES1OS !ONTROLES8,< AUDITORIA DE LAS APLI!A!IONES EN FUN!IONAMIENTO8,% 1U2A PARA ELA.ORAR EL AR!#IVO PERMANENTE DE LA

APLI!A!IN8,%,% O?eti6osB Alcance ' Tama@o de la A)licaci"n

Proceso de !om)rensi"n ' An*lisis

Soluci"n de ProlemasS4ntesis !reati6a ' Ar3umentati6aAutoe6aluaci"nRe)aso Si3ni/cati6o.ilio3ra(4a Su3erida

.I.LIO1RAF2A 1ENERAL



7/149

Auditoria de Sistemas

Presentaci"n

La educaci"n su)erior se a con6ertido o' d4a en )rioridad )ara el3oierno Nacional ' )ara las uni6ersidades )+licasB rindandoo)ortunidades de su)eraci"n ' desarrollo )ersonal ' socialB sin ue la)olaci"n ten3a ue aandonar su re3i"n )ara merecer de este ser6icioeducati6o )ruea de ello es el es)4ritu de las actuales )ol4ticaseducati6as ue se ree?a en el )ro'ecto de decreto Est*ndares de!alidad en Pro3ramas Acad=micos de Educaci"n Su)erior a Distancia dela Presidencia de la Re)+licaB el cual de/ne& QCue la Educaci"nSu)erior a Distancia es auella ue se caracteri$a )or dise@ar amientes

de a)rendi$a?e en los cuales se ace uso de mediaciones )eda3"3icasue )ermiten crear una ru)tura es)acio tem)oral en las relacionesinmediatas entre la instituci"n de Educaci"n Su)erior ' el estudianteB el)ro(esor ' el estudianteB ' los estudiantes entre s4,

La Educaci"n Su)erior a Distancia o(rece esta coertura ' o)ortunidadeducati6a 'a ue su modelo est* )ensado )ara satis(acer lasnecesidades de toda nuestra )olaci"nB en es)ecial de los sectoresmenos (a6orecidos ' )ara uienes las o)ortunidades se 6en disminuidas)or su situaci"n econ"mica ' socialB con acti6idades eiles acordes alas )osiilidades de los estudiantes,

La Uni6ersidad de Pam)lona 3estora de la educaci"n ' )romotora delle6ar ser6icios con calidad a las di(erentes re3ionesB ' el !entro deEducaci"n Virtual ' a Distancia de la Uni6ersidad de Pam)lonaB)resentan los si3uientes materiales de a)o'o con los contenidoses)erados )ara cada )ro3rama ' les saluda como )arte inte3ral denuestra comunidad uni6ersitaria e in6ita a su )artici)aci"n acti6a )aratraa?ar en eui)o en )ro del ase3uramiento de la calidad de laeducaci"n su)erior ' el (ortalecimiento )ermanente de nuestraUni6ersidadB )ara contriuir colecti6amente a la construcci"n del )a4sue ueremos a)untando siem)re acia el cum)limiento de nuestra

6isi"n ' misi"n como re$a en el nue6o Estatuto Or3*nico&

Misi"n& Formar )ro(esionales inte3rales ue sean a3entes 3eneradoresde camiosB )romotores de la )a$B la di3nidad umana ' el desarrollonacional,

UNIVERSIDAD DE PAMPLONA Facultad de Estudios a Distancia

%


8/149


Visi"n& La Uni6ersidad de Pam)lona al /nali$ar la )rimera d=cada delsi3lo IB deer* ser el )rimer centro de Educaci"n Su)erior del Oriente!olomiano,

UNIVERSIDAD DE PAMPLONA Facultad de Estudios a Distancia

0


9/149


Introducci"nAunue la nue6a 3eneraci"n de sistemas de in(ormaci"n contalesB)ro)orciona astantes ene/cios a las or3ani$acionesB la com)le?idad 'so/sticaci"n de estos sistemas )ro)orciona nue6os retos a los auditores,Cui$*sB el ma'or reto )ara este colecti6o est* en mantenerseactuali$ado ' com)render los +ltimos a6ances tecnol"3icos en ue sea)o'an las a)licaciones sistemas de administraci"n de ases de datosBredesB )ro6isiones de se3uridadB ardKare ' sistemas o)erati6osJ,

Para auditar e/cientemente los sistemas de in(ormaci"n contales de lasem)resasB sin im)ortar el tama@o 'a ue en la PME es el sector dondem*s esta creciendo el uso de tecnolo34a in(orm*ticaB los auditores tienenue entender los ries3os inerentes de su a)licaci"n,

!omo el a6ance en la tecnolo34a in(orm*tica ' los sistemas dein(ormaci"n de los ne3ocios es im)araleB los auditores tienen uemantener siem)re un ni6el creciente en el conocimiento de estossistemas, Para a'udar a las or3ani$aciones a 3aranti$ar el control ' laauditailidad de los sistemas de a)licaci"nB los auditores deen estarin6olucrados en su dise@oB desarrollo e im)lementaci"n, Los sistemas

ue se desarrollen de una manera estructurada ' or3ani$ada concontroles construidos en su dise@oB son los sistemas ue m*s e/ca$ 'e/cientemente a)o'an los o?eti6os de la or3ani$aci"n,

El o?eti6o es anali$ar el im)acto tecnol"3ico en la auditoria de sistemasde in(ormaci"n contaleB la (ormaci"nB ' ailidades ue dee )oseer el)ro(esional de la contailidad ' la auditoria )ara desem)e@ar su )a)elen la em)resa actualB una )ro)uesta metodol"3ica ordenada e/ca$ '(*cil de a)licar )ara auditar la se3uridad de los sistemas de in(ormaci"ncontales ' su entorno en una PMEB anali$ar ' com)arar al3unos de los)rinci)ales est*ndares ' re3ulaciones en materia de auditoria ' control

de sistemas de in(ormaci"n de ace)taci"n a ni6el internacional,

UNIVERSIDAD DE PAMPLONA !entro de Educaci"n Virtual ' a Distancia

5


10/149


#ori$ontes• Mantener actuali$ado ' com)render los +ltimos a6ances tecnol"3icos

en ue se a)o'an las a)licaciones sistemas de administraci"n deases de datosB redesB )ro6isiones de se3uridadB ardKare ' sistemaso)erati6os,

• Auditar e/cientemente los sistemas de in(ormaci"n contales de lasem)resasB sin im)ortar el tama@oB 'a ue en la PME es el sectordonde m*s esta creciendo el uso de tecnolo34a in(orm*tica,

• A'udar a las or3ani$aciones a 3aranti$ar el control ' la auditailidadde los sistemas de a)licaci"n,

• Estructurar ' or3ani$ar los controles construidos en su dise@oB siendolos sistemas m*s e/caces ' e/cientes los ue a)o'an los o?eti6os dela or3ani$aci"n,


7


11/149

!ostos .*sicos

UNIDAD %& Auditoria de Sistemas 'el Auditor de Sistemas deIn(ormaci"n !ontale

Descri)ci"n Tem*tica

En un )rinci)ioB el inter=s del auditor en la a)licaci"n comercial de lossistemas (ue m4nimoB 'a ue el ori3en del com)utador comoerramienta (ue cient4/ca ' el =n(asis del contador era comercial sinemar3oB se a)licaa en los terrenos contale ' /nanciero donde eraindis)ensale )ara )re)arar cuadros ' talas,

A )artir de %


12/149


!"cleos #emáticos $ Pro%lemáticos

• Situaci"n Actual de la Auditoria de Sistemas )ara la In(ormaci"n!ontale,

• El im)acto de la tecnolo34a de in(ormaci"n en la auditoria /nanciera,

• !am)o de acci"n de la auditoria de sistemas de in(ormaci"n,

• Uicaci"n t4)ica de la auditoria de sistemas,

• T=cnicas de auditoria de sistemas de in(ormaci"n,

• O?eti6os del control en la auditoria sistemas de in(ormaci"ncontale,

• .ases )ara la auditoria de sistemas de in(ormaci"n

• Re)ercusi"n del entorno internacional en las auditorias de sistemasde in(ormaci"n contales,

• !om)etencias )rinci)ales del auditor de sistemas de in(ormaci"n,

• Formaci"n del auditor de sistemas de in(ormaci"n contale,

• Res)onsailidades del auditor,

Proceso de In&ormaci'n

()( SI#*A+I,! A+#*A- DE -A A*DI#./IA DE SIS#EMAS PA/A-A I!F./MA+I,! +.!#A0-E

()()( De1niciones

Auditoria de Sistemas de Información

Es la re6isi"n ' e6aluaci"n de los controlesB sistemas ' )rocedimientosde in(orm*tica de los eui)os de c"m)utoB su utili$aci"nB e/ciencia 'se3uridadB de la or3ani$aci"n ue )artici)a en el )rocesamiento de lain(ormaci"nB a /n de ue )or medio del se@alamiento de cursos

alternati6os se lo3re una utili$aci"n m*s e/ciente ' se3ura de lain(ormaci"nB de los eui)osB del recurso umanoB se me?oren los)rocesos ' se lo3re de manera inte3rada una or3ani$aci"n *3ilBdin*micaB controlada ' se3ura,

Este ti)o de auditoria com)rende la e6aluaci"n de todos los as)ectos delos sistemas automati$ados de )rocesamiento de in(ormaci"nB


9


13/149


inclu'endo los )rocesos no automati$ados relacionados ' las inter(acesentre ellos

Auditoria de SistemasEs la e6aluaci"n del amiente de )rocesamiento electr"nico de datos)ara )resentar alternati6as de soluciones a la em)resa moderna ')romue6e la automati$aci"n en las di(erentes modalidades de lasauditorias

Auditoria Informática

La auditoria es la acti6idad encaminada a reali$ar el eamen met"dicode una situaci"n em)resarial relati6a a un )roductoB )roceso u

or3ani$aci"nB en materia de calidadB reali$ado en coo)eraci"n con losusuarios ' encaminado a 6eri/car la concordancia de la realidad con lo)reestalecido ' la adecuaci"n al o?eto uscado, Teniendo como el)roceso de reco3erB a3ru)ar ' e6aluar e6idencias )ara determinar si unsistema in(ormati$ado sal6a3uarda los acti6osB mantiene la inte3ridad delos datosB lle6a a cao e/ca$mente los /nes de la or3ani$aci"n ' utili$ae/ca$mente los recursos,

Auditoria de Calidad

Es reali$ar todas las auditorias descritas asta el momento con un

con6encimiento total de ue las acti6idades )ro(esionales del auditorson de calidad siem)re,

Auditoria de Sistemas con Enfoque Operacional

Es la e6aluaci"n del control interno in(orm*tico )ara o)timi$ar el recursoor3ani$acional,

Auditoria de Procesos

Re6isa ' e6al+a la e/cacia ' e/ciencia del sistema de control de un

)roceso ' asesora a la 3erencia de manera inde)endiente en elestalecimiento ' me?oramiento del sistema de control )ara ue el)roceso alcance los resultados es)erados, La 3erencia reciein(ormaci"n sore d"nde a' deilidades de controlB sus causas ' ele(ecto en los costos del )roceso o en el )roducto,


:


14/149


La tendencia actual es el controlB entonces em)e$aremos a alar decontrol in(orm*tico o de sistemasB control /nancieroB control o)eracionalBcontrol internoB control eternoB control amientalB control de 3esti"nBcontrol /scalB control 3loalB control internacional ' control de calidad,

Nuestra )ro(esi"n dee dar un 6uelco total )ara )restar asesor4asdin*micas ue (aciliten a la administraci"n la im)lementaci"n del control' no la +sueda del cul)ale del (raudeB de la ine/ciencia o el listadode errores ' (allas,()2 E- IMPA+#. DE -A #E+!.-.G3A DE I!F./MA+I,! E! -A

A*DI#./IA FI!A!+IE/A

Los a6ances ' el uso de modernas tecnolo34as )ara el )rocesamiento dela in(ormaci"n ' las telecomunicaciones se 6en ree?ados en las me?orasue reali$an la ma'or4a de las or3ani$aciones como la automati$aci"n de)rocesosB la eliminaci"n de es)acios (4sicosB o)eraciones 6irtuales e

inte3raci"n de los di(erentes sistemas de in(ormaci"n de las em)resas,Este im)acto a tra4do como consecuencia el aumento de los ries3os )orla de)endencia de las em)resas de sus sistemasB incremento dr*sticosen )rocesamiento electr"nico de datosB mi3raci"n de controles alamiente ),e,d,B menos 6isiilidad de las )istas de auditoriaBse3re3aci"n de (unciones omre mauina ' nue6as (unciones 'recursos a auditar,

Tal como lo indica FB Fern*nde$ %


15/149


()2)( #endencias Actuales de la #ecnología de la In&ormaci'n $sus Implicaciones en la Auditoria Financiera

El amiente de los ne3ocios se a 6isto inuenciado )or 6arias

tendencias si3ni/cati6as, Por e?em)lo la tendencia acia la 3loali$aci"nde la em)resaB el aumento de la com)etencia en todos los se3mentos demercadoB ' el 3rado de re3ulaci"n im)uestos emitidas )or las a3encias3uernamentales, !omo res)uesta de las or3ani$aciones a estas ' otras)resionesB la demanda de sistemas de in(ormaci"n a)o'" el camio enlas em)resas, Esta demanda se rea/rma con la inuencia de losa6ances tecnol"3icos sore las e)ectati6as ' necesidades de losusuarios del sistemaB como )or e?em)loB la dis)oniilidad de unidades dealmacenamiento como !D-ROMB D,V,D,B etc,B la mi3raci"n de lossistemas asados inteli3entes de los laoratorios acia las (uncionesnormales de los ne3ocios ' los a6ances en la tecnolo34a de redes,

()2)2E&ecto de la Glo%alizaci'n de los Mercados

#o' en d4a ' en un (uturoB ser*n solicitados sistemas de tareases)ec4/cas )ara satis(acer los reuerimientos de usuarios a ni6elmundialB tami=n como )ro6eer a las em)resas de una ca)acidad de)rocesamiento continuo e inde/nido, La necesidad de inter(aces )arausuarios de di(erentes idiomasB traslado de (ondos en tiem)o real ' elcum)limiento con una 6ariedad de reuisitos de re3ulaci"n de cada )a4sser*n el resultado de la demanda 3enerada )or la 3loali$aci"n,

Esta clase de reuerimientos en los sistemas se traducir* en una ma'orcom)le?idad de los sistemas 'B )or ende en un ma'or im)acto sore laauditoria de los mismos, La 3loali$aci"n de las em)resas 3enerar* unincremento en el uso de la tecnolo34a de redesB ?unto con los ries3osinerentes, Adem*s del incremento de la com)le?idad de los sistemas ')lata(ormas de )rocesamientoB el auditor lle3ar* a (amiliari$arse con lasdi(erentes tendencias resultantes de los as)ectos multinacionales de laor3ani$aci"n,

()2)4/espuesta a las Presiones +ompetitivas

Deido al aumento de las )resiones com)etiti6asB la or3ani$aci"n deer*ser m*s eile ' de esta (orma res)onder a los camios del mercado,I3ualmente eistir* una demanda de los sistemas de in(ormaci"n, Paracum)lir con estas necesidadesB el dise@o de los sistemas deer* aarcaruna am)lia 6ariedad de escenarios de los ne3ociosB dando comoresultado un sistema estale ue (uncionar* en di(erentes amientescomerciales, Alternati6amente el uso de las metodolo34as de desarrollo



16/149


de los sistemas ue (acilitan una im)lementaci"n r*)ida de los camiosBser*n necesarios )ara ailitar (unciones en los sistemas de in(ormaci"nue )ermitan dar res)uesta a los continuos camios en el amientecomercial,

En cualuier casoB la (recuencia de los camios en los sistemasnecesitar* una ma'or atenci"n )or )arte de los auditores con el /n dease3urar un desem)e@o satis(actorio,

()2)5+am%io en el Funcionamiento de las Empresas

La descentrali$aci"n de las em)resas si3ue e?erciendo un im)acto sorela aruitectura de los sistemas de in(ormaci"n contale de las em)resas,Las redes de *rea localB la conei"n de los microcom)utadoresB ' la(uncionalidad de los microcom)utadores continuar*n ?u3ando un )a)el

im)ortanteB )articularmente en las or3ani$aciones o estructurasdescentrali$adas como res)uesta a las )resiones del mercado,I3ualmente las or3ani$aciones est*n ree6aluando la (orma de mane?arsus em)resas con el )ro)"sito de readecuar las (uncionesB reducir losni6eles de so)orte ' automati$ar las laores de ma'or demanda,

El auditor deer4a asumir un )a)el mas acti6o en este )roceso )aracrear nue6os controles ' com)render las im)licaciones de la auditoriasore los nue6os )rocesos, Por e?em)loB mucas or3ani$aciones ancamiado sus )rocesos de )a3os desde ue se remite el )a3o astacuando se a reciido la mercanc4a, El uso de la tecnolo34a de los

com)utadores a (acilitado el camio en los )rocesos ' como resultadose a 6isto una reducci"n en el )ersonal ue mane?a el )roceso de )a3o,Al mismo tiem)o las laores de m*s intensidadB como las "rdenes decom)rasB el recio de in(ormes o la (acturaci"n an sido reem)la$adas)or rutinas de muestreo o in(orme de o?eciones ue suministran lase3uridad de un (uncionamiento e/ciente en los )rocesos dedesemolso,

()2)6/educci'n de +ostos

!omo resultado directo del aumento de la com)etenciaB las

or3ani$aciones est*n en(rentando una )resi"n adicional en el control delos costos )or medio de di(erentes m=todos como la reestructuraci"nor3ani$acional ' el DoKnsi$in3, Estas )resiones an conducido a dosdemandas en el sistema de in(ormaci"n de la em)resa& incremento en lanecesidad de ue los sistemas e?ecuten (unciones ue anteriormente sean mane?ado en (orma manual ' la )artici)aci"n de los sistemas dein(ormaci"n en el es(uer$o )or reducir costos, !omo resultadoB el


%


17/149


6endedor de so(tKare es utili$ado con m*s (recuencia )ara el suministrode soluciones r*)idas,

La tendencia acia las soluciones de so(tKare inu'e tanto en el tiem)o

como en la naturale$a de la auditoria sore los )rocesos de desarrollo,La re6isi"n de los controles en la )os-im)lementaci"n de los sistemascom)rados a distriuidoresB )ueden ser menos (actiles ue en lossistemas desarrollados en la misma em)resa, En el caso de los)auetes com)rados a los distriuidores el c"di3o (uente no estar*dis)onile )ara la re6isi"n del auditor, Adem*sB el incremento en el usode los )auetes com)rados ocasiona un camio en las acti6idades deinstalaci"n ' mantenimientoB la cual es lle6ada a cao (uera de laor3ani$aci"n,

Mucos de los )auetes com)rados a distriuidores )resentan

condicionesB normalmente accesiles )or medio de )ro3ramas decon/3uraci"n con men+sB ue )ermiten adecuar el sistema )arasatis(acer las necesidades del cliente, La (acilidad con la cual estasacti6idades se )ueden e?ecutarB a eco ue los usuarios asuman m*sres)onsailidad,Otra tendencia tecnol"3ica ue tiene incidencia en la reducci"n de loscostos es la rein3enier4a de so(tKare, Esta t=cnica utili$a laserramientas de in3enier4a de so(tKare asistida )or com)utador !ASEJB' )artiendo de un sistema 'a eistente desarrollan un modelo de)roceso, El modelo )uede ser modi/cado )ara ree?ar las condicionesactuales del ne3ocio ' )uede ser )rocesado a tra6=s de la erramienta

de desarrollo de a)licaciones )ara )roducir un sistema actuali$ado,

La madure$ de la tecnolo34a de rein3enier4a de so(tKare tiene di(erentesim)licaciones si3ni/cati6as )ara la auditoria, Adem*s de )ro6eer unmedio )ara actuali$ar los sistemas eistentes en (orma r*)idaB larein3enier4a de so(tKare )uede camiar tami=n los (actoresecon"micos in6olucrados en la actuali$aci"n ' correcci"n de loscontroles de/cientes en los actuales sistemas, I3ualmente esta t=cnica)uede )ro6eer un m=todo de costo-e(ecti6o )ara ue los auditores(ormulen un modelo de )roceso )ara los sistemas anti3uosB donde ladocumentaci"n del sistema eistente )uede estar desactuali$ado o

incom)leto,

()2)7Disponi%ilidad de Acceso a la In&ormaci'n

!omo el costo del medio de almacenamiento a disminuidoB la cantidadde datos almacenados electr"nicamente )or la em)resaB a aumentadosi3ni/cati6amente,


%%


18/149


La relati6a (acilidad del acceso en medios ma3n=ticos (rente a los datosen )a)el a )ermitido mane?ar el acceso a ase de datos ist"ricosmuco m*s com)rensilesB lo ue a'uda a la toma de decisiones,

Deido a la 3loali$aci"n de las or3ani$aciones ' sus mercadosB secontinuar* incrementada la cantidad de datos reueridos )ara el mane?oe(ecti6o de los ne3ocios, Estos (actores 6uel6en a colocar a un ni6el altoel =n(asis sore los )ro3ramas de mane?o e(ecti6o de los datos,

Desde la )ers)ecti6a del auditorB no s"lo ser*n reueridos los controles)ara ase3urar ue los datos necesarios )ara el mane?oB est=ndis)oniles cuando sean )edidos ' sean )recisosB )ero ar* tami=n lanecesidad de 3aranti$ar ue los datos sean destruidos cuando no seande utilidad, La destrucci"n o)ortuna de los datos elimina el eceso decosto )or la retenci"n de datos ' limita el ries3o ue tiene la

or3ani$aci"n desde un )unto de 6ista de liti3ios,Otro as)ecto en el incremento de la dis)oniilidad de in(ormaci"nresulta de los camios /los"/cos en la relaci"n ue )uede aer entre eltraa?o ' la administraci"n en mucas or3ani$aciones, Una 6e$ se acaracteri$ado como ad6ersa la relaci"nB esta es reem)la$ada )or unamiente de coo)eraci"n ' com)a@erismo, Este mo6imiento tieneresultado en un medio amiente aiertoB estamos alando decom)artir datos del ne3ocio entre los )artici)antes, Desde la)ers)ecti6a del auditorB esto )uede a(ectarB deido a diseminaci"nindiscriminada de los datos del ne3ocioB como consecuencia la

6aloraci"n del ries3o ' los controles de acceso se en(ocar*n m*s sorela sensiilidad de la in(ormaci"n ' la im)ortancia de la con/dencialidad,

()2)8Medio Am%iente /egulador

Los reuerimientos de las di(erentes a3encias 3uernamentales colocanei3encias adicionales sore los sistemas de in(ormaci"n, Deido a uelas re3ulaciones 3uernamentales camian ' las or3ani$acionescomien$an a de)ender m*s de los datos almacenados en mediosma3n=ticos como so)orte de con(ormidad con las re3ulacionesB lasa)licaciones deer*n ser modi/cadas o )er(eccionadas )ara satis(acer la

demanda,

Adicionalmente las im)licaciones de las deilidades del control encuanto ace re(erencia a la retenci"n de los datos de la or3ani$aci"n 'las )ol4ticas de se3uridad ser*n m*s si3ni/cati6as, Por e?em)loB si losmedios ma3n=ticos son utili$ados )ara almacenar datos ei3idos )or laadministraci"n de im)uestosB se )odr4a incurrir en sanciones /nancieras


%0


19/149


20/149


)ersonalesB estaciones de traa?o orstationJB minicom)utadoresBsu)ercom)utadores main(ramesJB redes institucionales orientadasacia las necesidades del usuario /nal, Aunue el )rocesamientocoo)erati6o tiene un ma'or im)acto en todos los as)ectos del

com)utador ' el so(tKareB este es m*s 3rande en los )ro3ramasa)licati6os, !asi todas las cate3or4as de a)licaciones se 6er*n a(ectadas)or los reuerimientos estructurales ' o)ortunidades (uncionales de los)rocesamientos coo)erati6os,

()4 +AMP. DE A++I,! DE -A A*DI#./IA DE SIS#EMAS DEI!F./MA+I,!

La auditoria dee com)render una re6isi"n de todas las )ol4ticas ')rocedimientos de se3uridadB adem*s de las )rueas de estos

)rocedimientosB )ara determinar si se est*n cum)liendo ' si satis(acenlas normas del 3oiernoB de la industria ' de la or3ani$aci"n en las *reasde e6aluaci"n de los centros de c"m)uto ' tecnolo34as relacionadasBe6aluaci"n de los )rocedimientos es)ec4/cosB e6aluaci"n de los sistemasde in(ormaci"nB entradasB )rocedimientosB controlesB arci6osB se3uridad' otenci"n de in(ormaci"nB ' so)orte a otras *reas (uncionales deauditoria,

La auditoria de sistemas de in(ormaci"n consiste en e?ecutar un eameninde)endiente ' o?eti6o de la Se3uridad del entornoB )ara determinar silas medidas de se3uridad estalecidas son ra$onales ' su/cientes )ara

)rote3er los recursos in(orm*ticos de la Em)resa contra da@osintencionales ' no intencionales,

Es indis)ensale ue la auditoria sea reali$ada )or )ersonas ue noest=n relacionadas con el De)artamento de SistemasB )ara )ermitir uelos resultados sean im)arciales, Por esta ra$"nB los auditores sonres)onsales de e6aluar ' no de estalecer la se3uridad,

()5 *0I+A+I,! #IPI+A DE -A A*DI#./IA DE SIS#EMAS

La me?or uicaci"n de la (unci"n de auditoria de sistemas en unaem)resa es la di6isi"n de Auditoria InternaB )orue se traa?a de maneram*s inde)endiente,

Al3unos o)inan ue si de)ende de la 1erencia de Sistemas el u?o dein(ormaci"n ' las comunicaciones 6an a ser me?oresB )ero se )ierde encierto 3radoB esa inde)endencia de criterio ue es (undamental )ara el


%7


21/149


auditor, Se comenta adem*s ue es me?or de)ender directamente de la3erencia 3eneral )orue )ermite ado)tar acciones correcti6as m*sr*)idas ' e6itar distorsiones en el contenido de las recomendaciones,De todas maneras el auditor de sistemas dee traa?ar con el 3erente de

sistemasB con el 3erente administrati6o ' con el auditor interno 3eneralB)ara conocer las *reas sore las cuales 6a a desarrollar sus (unciones 'acer ue sus su3erencias lle3uen a (eli$ t=rmino en un )er4odo detiem)o m*s corto,

Adem*s es astante +til ' adecuado ue la 3erencia de sistemas (orme)arte de todo el )roceso administrati6o donde se coordinan lasacti6idadesB los es(uer$osB se distriu'en las res)onsailidadesB )ara uese 6ean los resultados de manera inte3ral en todo el contetoor3ani$acional em)resarial de acuerdo con los o?eti6os ' )ol4ticas)laneadas )or la 3erencia 3eneral, Finalmente la (unci"n de auditoria de

sistemas tami=n )uede ser desarrollada en las em)resas a ni6el de untraa?o de consultor4a,

()6 #;+!I+AS DE A*DI#./IA DE SIS#EMAS DE I!F./MA+I,!

Las normas internacionales de auditoria emitidas )or IFA! en la NIA %8 '%9 contem)lan ue en el e?ercicio de la auditoria /nanciera en em)resasde cualuier tama@oB cuando estas lle6an sus re3istros contales enamientes com)utacionalesB la a)licaci"n de )rocedimientos deauditoria reuerir* de t=cnicas adicionales a las tradicionales, Los

)ro(esionales de la contailidad ' la auditoria deer*n 6alerse de estast=cnicasB )ara ue su traa?o si3a siendo e/ciente ' no cai3a en laosolescencia,

!ada 6e$B los 6ol+menes de in(ormaci"n )ara re6isar o e6aluar ser*nm*s 3randesB )retender reali$ar la laor solo con t=cnicas manuales nosdemandar* muco tiem)o ' los resultados se 6er*n mu' tarde, En losmomentos actuales el !ontaleauditor ue no utilice el com)utador)ara a)licar estas t=cnicas uedar* (uera del mercado,

()6)(#


22/149


23/149


auditor, Dee utili$ar otro )ro3rama )ara ue le com)are los arci6os)orue los 6ol+menes de in(ormaci"n son altos,

• An*lisis de listado de com)ilaci"n= el auditor estudia ' anali$a las

instrucciones de los di(erentes )ro3ramas de la a)licaci"n,

()6)4#


24/149


• Traceo& indica )or donde )as" el )ro3rama, !ada 6e$ ue se e?ecutauna instrucci"n me im)rime o muestra en )antalla el 6alor de las6ariales, Puede acti6arse )ara todo el )ro3rama o )ara )arte del)ro3rama ' )ara las 6ariales,

• Ma)eo& indica caracter4sticas de los )ro3ramas tales como el tama@odel )ro3rama en 'tesB locali$aci"n en la memoria ' la (eca de la+ltima modi/caci"n,

• Dia3ramas de u?o& consisten en una secuencia l"3ica de un)rocesoB ue )ermiten 6isuali$ar las eta)as de un )rocedimientodentro de un )ro3rama,

• !om)araci"n de c"di3o& com)araci"n de c"di3o de los )ro3ramas en)oder de auditoria con el c"di3o (uente de los )ro3ramas en

)roducci"n ' con el c"di3o o?eto de )roducci"n,

• Re6isi"n manual de la l"3ica del )ro3rama& se si3ue )aso a )asocada una de las instrucciones del )ro3ramaB 6eri/cando los di(erentes6alores ue toman las 6ariales del )ro3rama, El auditor deeconocer el len3ua?e de )ro3ramaci"n ' dominar la manera deentender la l"3ica de un )ro3rama,

• >o accountin3 so(tKare& el in(orme de la contailidad del sistema esun utilitario del so(tKare del sistema ue )ro6ee los medios )ara

acumular ' re3istrar la in(ormaci"n necesaria )ara (acturar a losusuarios ' )ara e6aluar la econom4a del uso de los sistemas decom)utador,

()6)6Auditoria Alrededor del +omputador vs) a #rav


25/149


com)licadosB esta alternati6a no es )osile, La entrada del susistemaeaminado es (recuentemente la salida de otros susistemasB ' estasalida es la entrada a otros susistemas, De esta (ormaB no es )osiletratar cualuier susistema aisladamenteB ' la auditoria dee ser a

tra6=s del com)utador,Auditoria a tra6=s del com)utador si3ni/ca ue el com)utador se auditaa s4 mismo, Deido a ue los datos ' la )ista de auditoria son en (ormaelectr"nicaB no )ueden ser le4dos " eaminados directamente )or elauditorB ' dee acerlo el com)utador )or si mismo, El eamenconsistir* en )rueas de cum)limiento de los controles internosadecuados ' )rueas sustanti6as de los alances contales /nales,

Des)u=s de una re6isi"n )reliminar del sistemaB el auditor dee aduirire6idencia relacionada con la e(ecti6idad del control interno,

Esta e6idencia es usualmente aduirida mediante la oser6aci"nBre6isi"n de los documentosB )istas de transacciones ' cuestionarios decontrol interno, Usando esta e6idenciaB el auditor dee decidir si )uedeo no contar con los controles internos )ara detectar errores, Si el auditor)uede contar con ellosB entonces a' una re6isi"n detallada de loscontroles 3enerales ' controles de a)licaci"n, Los controles 3eneralesse a)lican a todo el sistemaB mientras ue los controles de a)licaci"ns"lo se a)lican a una a)licaci"n )articularB como cuentas )or corar,

Los controles de a)licaci"n son lue3o a3ru)ados en controles de

entradaB controles de )rocesamiento ' controles de salida, Las )rueasde cum)limiento inclu'en el uso de una )ruea de escritorioB una )rueainte3rada de (acilidadesB )ista del )ro3ramaB una re6isi"n de la l"3icadel )ro3ramaB com)araci"n del )ro3ramaB simulaci"n )aralelaBim)lantaci"n de m"dulos de auditoria ' datos contales de traa?o,

Las )rueas sustanti6as eaminar*n los alances contalesdirectamenteB usualmente con so(tKare inde)endiente a?o el control delauditor llamado so(tKare de auditoria 3enerali$ado,

#a' una relaci"n entre )rueas de cum)limiento ' )rueas sustanti6as,

La ma'or es la con/an$a ue se )ueda tomar sore el control interno delsistema )ara detectar erroresB la menor es la necesidad )ara anali$ar losalances directamente,


%


26/149


()7 .0JE#IV.S DE- +.!#/.- E! -A A*DI#./IA DE SIS#EMASDE I!F./MA+I,! +.!#A0-E

()7)(Entorno de Auditoria $ +ontrol

Ase3urar ue un adecuado entorno de auditoria ' control sea em)leadodentro de la or3ani$aci"nB es res)onsailidad de la administraci"nB uiendetermina los )ar*metros )ara toda la or3ani$aci"nB inclu'endo los delsistema de control interno ue mane?en los ries3os asociados con el usode tecnolo34a de in(ormaci"n, El sistema de control interno inclu'e los)rocesosB (uncionesB acti6idadesB susistemasB )rocedimientos ' laor3ani$aci"n de recursos umanos ue )ro)orcionen se3uridadra$onale )ara lo3rar las metas ' o?eti6os de la or3ani$aci"n '3aranticen ue los ries3os sean reducidos a un ni6el ace)tale,

Los elementos cla6e en el sistema de control interno inclu'en el entornode controlB los sistemas manuales ' automati$ados ' los )rocedimientosde control, Estos elementos se )ueden descriir de la si3uiente manera&

• Un uen entorno de control )ro)orciona las ases )ara la o)eraci"nde los sistemas ' controlesB as4 mismoB contriu'e a su con/ailidad,

• Los sistemas manuales ' automati$ados a(ectan a la (orma como lain(ormaci"n es )rocesadaB almacenadaB in(ormada o trans(erida,

• Los )rocedimientos de control re(erentes a sistemas de in(ormaci"nBinclu'en controles 3enerales ' de a)licaci"n es)ec4/ca,

Las consideraciones de costoGene/cio son etremadamenteim)ortantes en la im)lementaci"n de controles ue reducen el ries3o, Todos los controlesB inde)endientemente de la clasi/caci"n)re6enti6osB detecti6osB correcti6osB etc,J est*n dise@ados )ara miti3arlos ries3os ' )ara )ermitir el lo3ro de tres o?eti6os )rinci)ales&

• Inte3ridad en la in(ormaci"nB encaminada a a)o'ar el )roceso detoma de decisiones,

• Se3uridad ' )rotecci"n del ardKareB so(tKare e in(ormaci"n del

sistema de in(ormaci"n de la or3ani$aci"n,• !um)limiento con los )rocedimientos ' dis)osiciones internas '

eternas,

Los adelantos en la tecnolo34a de in(ormaci"n ' la de)endencia de lasor3ani$aciones en sus sistemas de in(ormaci"nB contin+an


0


27/149


)ro)orcionando retos si3ni/cati6os tanto a la administraci"n como a losauditores, Para traa?ar e(ecti6amenteB todos los auditores reuierenaumentar sus ailidades en sistemas de in(ormaci"n ' tecnolo34a,ActualmenteB los de)artamentos de auditoria interna est*n asumiendo

estos retos a tra6=s de lo si3uiente&• La inte3raci"n de la auditoria interna con las ailidades de los

sistemas de in(ormaci"n,

• En(ocar al )ersonalB esto inclu'e )edir )restados es)ecialistas desdeor3ani$aciones (uncionales ' turnos de ser6icio en la secci"n deauditoria,

• A?ustar ' a/rmar el entrenamiento,

Los o?eti6os 3enerales del control interno en sistemas son laautori$aci"nB )rocesamiento ' clasi/caci"n de transaccionesBsal6a3uarda (4sicaB 6eri/caci"n ' e6aluaci"n

()7)2 .%>etivos de Autorizaci'n

Todas las o)eraciones deen reali$arse de acuerdo con autori$aciones3enerales o es)ec4/cas de la administraci"n, Las autori$aciones deenestar de acuerdo con criterios estalecidos )or el ni6el a)ro)iado de laadministraci"n, Las transacciones autori$adas deen uedar enarci6os adecuados ' )rocesarse o)ortunamente,

()7)4 .%>etivos del Procesamiento $ +lasi1caci'n de#ransacciones Financieras

Todas las o)eraciones deen re3istrarse )ara )ermitir la )re)araci"n delos estados /nancieros en con(ormidad con los )rinci)ios de contailidad3eneralmente ace)tados, Adem*s deen mantenerse arci6os con losdatos corres)ondientes a los acti6os su?etos a custodia,

Las transacciones deen clasi/carse en (orma tal ue )ermitan la)re)araci"n de los estados /nancierosB de acuerdo con los )rinci)ios de

contailidad 3eneralmente ace)tadosB las transacciones deen uedarre3istradas en el )er4odo a ue corres)onden ' si a(ectan 6arios ciclosdeen uedar es)eci/cadas a ue ciclos corres)onden,

()7)5 .%>etivos de Salvaguarda Física


0%


28/149


• El acceso a los acti6os& eui)os e in(ormaci"n ue s"lo dee)ermitirse de acuerdo con autori$aciones de la administraci"n,

()7)6 .%>etivos de Veri1caci'n $ Evaluaci'n

Los datos re3istrados relati6os a los acti6os su?etos a custodia deencom)ararse con los acti6os eistentes a inter6alos ra$onales ' tomarlas medidas a)ro)iadas res)ecto a las di(erencias ue eistan,I3ualmente dee suceder con los saldos de los estados /nancieros,

()8 0ASES PA/A -A A*DI#./IA DE SIS#EMAS DE I!F./MA+I,!

Al estudiar un amiente com)utari$ado el auditor dee tener en cuentados as)ectos&

• Eaminar el marco de control&

− El marco de control or3ani$acional ' estrat=3ico,− Practicas de control ' 3erencia de la acti6idad P,E,D,

• Identi/caci"n de las a)licaciones cla6e desde el )unto de 6ista deauditoria ' asi3naci"n de controles&

− !ontroles sore entradas ' salidas EGSJ,

− !ontroles de )roceso,

− Funcionalidad del ciclo de )roceso de auditoria,

− Mane?o de los errores detectados en el )roceso,

Se dee recordar ue aunue al auditor se le ei3e considerar el entornoE,D,P, desde dos )untos de 6ista& el del marco de control 3eneral ' el delas a)licaciones /nancieras, El alcance del estudio en cualuier *reade)ende de los controles en ue con(4e el auditor,

Sea ue el auditor mire los controles 3enerales o los de las a)licacionesBeste tiene ue considerar tres ni6eles de estudio&

• Reco3er in(ormaci"n sore la manera de o)erar el sistema de E,D,P,

• Acumular e6idencia )ara demostrar como o)era el sistema E,D,P,

• Acumular e6idencia en cuanto a ra$onailidad ' correcci"n de losre3istros sea el sistema com)utari$ado o no,


00


29/149


Es decirB al auditor se le ei3e acer una e6aluaci"n )reliminar delentorno E,D,P, como )arte del )roceso de auditoria desde el )unto de6ista del control 3eneral ' de las a)licaciones,

A )artir del estudio )reliminar el auditor determina al alcance delan*lisis en detalle ' las )rueas de cum)limiento )rocedimentalnecesariasB con ase en la etensi"n de la auditoria ' el 3rado decon/an$a dados al control,

()9 /EPE/+*+I,! DE- E!#./!. I!#E/!A+I.!A- E! -ASA*DI#./IAS DE SIS#EMAS DE I!F./MA+I.! +.!#A0-ES

En las auditorias de sistemas de in(ormaci"n ue se reali$an en

di(erentes )a4sesB el auditor dee considerar unos ries3os ue )lantea elentorno )or sus caracter4sticasB ue )uede lle6ar a ue las di(erencias nosean solo normas ' re3ulaciones de los sistemas de in(ormaci"ncontale ' de los est*ndares de control de sistemas, No ostante laauditoria de sistemas de in(ormaci"nB a ni6el internacional )or )arte losauditores es una )ractica ue se 6iene dando cada 6e$ mas a menudoBdeido a ue las em)resas im)ortan ' e)ortan tecnolo34a in(orm*tica)ara la o)eraci"n de sus ne3ocios en di(erentes )artes del mundo, aue esto les )ermite estar en conocimiento de la in(ormaci"n en tiem)orealB (uncionar o)eracionalmente ' tomar decisiones, Sin emar3o estoconlle6a ue el auditor de sistemas de in(ormaci"n incremente los

controles sore los sistemas locales ' remotosB )ara otener se3uridadde la inte3ridad de estos,

La di6ersidad de entornos en los di(erentes )a4sesB en cuanto a lossistemas contales se 6en a(ectadas )or di(erentes (actores como elsistema le3al ' /scalB (actores )ol4ticosB (actores econ"micos ' (actoressocioculturales, Vi=ndose ree?ados estos en ries3os como la se3uridadde orden )+lico en di(erentes )a4sesB los di(erentes camios demonedaB sindicatos laoralesB la calidad ' tecnolo34a de los ser6icios)+licos de las comunicaciones ' el trans)orteB el desarrollo tecnol"3icode un )a4s ' otros ries3os ue )uedan lle6ar a considerar una 6enta?a o

des6enta?a )ara el ne3ocio ' )or ende )ara la auditoria,

(): +.MPE#E!+IAS P/I!+IPA-ES DE- A*DI#./ DE SIS#EMASDE I!F./MA+I,!


05


30/149


():)( Intervenci'n en el Dise?o de Sistemas

La )artici)aci"n del auditor en los dise@os de sistemas se re/ere aasesorar sore la im)lementaci"n de controles )ara )re6enir la

ocurrencia de ries3os, !uando se dise@an los nue6os sistemas dein(ormaci"n es el me?or momento )ara estalecer los controles dedicos sistemas, El )a)el del auditor dee ser de asesor ' no de cr4ticoBde colaorador ' no de ordenadorB adem*s se deen crear las )istas deauditoria )ara (acilitar el e?ercicio o la )r*ctica de la misma)osteriormente,

():)2 Auditoria de Aplicaciones

La )artici)aci"n en las auditorias de las a)licaciones se re/ere a e6aluarlos controles de las a)licaciones en (uncionamiento, !uando la Auditoria

Interna de Sistemas no est* estalecida en la em)resa contratan a una)ersona natural o ?ur4dica )ara ue a tra6=s de un )roceso metodol"3icorealice su traa?oB determine los )untos cr4ticosB las *reas reales deries3oB lle6e a cao las )rueas de cum)limiento ' sustanti6as del caso' d= sus su3erencias ' recomendaciones,

():)4 /evisi'n de la Integridad de la In&ormaci'n

E6aluar ue la in(ormaci"n sea com)letaB eactaB autori$adaBconsistenteB ' rele6ante, Es im)ortante 6eri/car si los )rocedimientosde control interno ' las )istas administrati6asB de )roceso ' de auditoria

ase3uran el control administrati6o ' la e6idencia de auditoria de ue lain(ormaci"n cum)le con los reuisitos anotados,

():)5 /evisi'n del Mantenimiento a Sistemas $ Programas

Los sistemas necesitan mantenerseB la in(ormaci"n almacenada endiscos duros durante el )roceso necesita a?arse a cintasB cartucos uotros )eri(=ricos de almacenamientoB las co)ias de se3uridad deene(ectuarse o)ortunamenteB no dee )ermitirse suir in(ormaci"n determinales al disco duro del ser6idor en 3eneral estos son al3unos delos as)ectos del mantenimiento al sistema,

Particularmente cuando se reali$a un camio a un )ro3ramaB seconstitu'e en un momento astante 6ulnerale )ara cometer (raudeB elconocimiento del len3ua?e de )ro3ramaci"n es astante +tilB adem*sue el conteo de las instrucciones ' la 6eri/caci"n del listado decom)ilaci"n anterior ' el nue6oB el )rocedimiento de controlar la


07


31/149


e?ecuci"n de un camio a un )ro3rama dee incluir autori$aci"nBdocumentaci"nB (ecasB ?usti/caci"nB co)ias ' )rueas,

():)6 /evisi'n de Procedimientos Generales de .peraci'n

Es mu' t4)ico del auditor de sistemas eternoB 6eri/car todos los)rocedimientos de )roducci"n de todas las a)licacionesB e6aluando los)untos de control de cada )rocedimiento,():)7 /evisi'n del Sistema .peracional

Para lo3rarlo a' ue tener un conocimiento del (uncionamiento delsistema o)eracional desde su con/3uraci"n inicialB sus usosB sus)rocesosB sus se3uridades ' los usuarios, Este cam)o (orma )arte de laauditoria de sistemas es)eciali$ada,

():)8 /evisi'n AdministrativaSu o?eti6o es e6aluar la 3esti"n del administrador no el administradorBes astante di(4cil lo3rarloB )ero es im)ortante in6olucrar los conce)tosde e/cienciaB e/cacia ' costos 6s, ene/cios,

():)9 Administraci'n de Sistemas de In&ormaci'nEspecializados para Auditores de Sistemas

Son mu' +tiles )orue )ermiten en )oco tiem)o 3enerar muestrasBacer com)araciones ' en 3eneral otener listados ue ser6ir*n de ase

)ara los an*lisis )or )arte de los auditores de sistemas de los casosece)cionales o anormales,

()(@ F./MA+I,! DE- A*DI#./ DE SIS#EMAS DE I!F./MA+I,!+.!#A0-E

La Federaci"n Internacional de !ontales IFA!J en su 1u4aInternacional de Formaci"n No < de ?ulio de %


32/149


etran?ero& se les anima )ara ue intercamien in(ormaci"n con otrosor3anismos u "r3anos miemros e instituciones ' )ara ase3urarse deue los desarrollos o inno6acionesB 3eneralmenteB sean conocidos ' conello se e6ite la du)licidad de es(uer$os en el cam)o de la (ormaci"n,

La utili$aci"n de com)utadores ' a6ances en tecnolo34a de in(ormaci"nest*n camiando continuamente las t=cnicas de acumularB mani)ular 'di6ul3ar datos contales estos a6ances an modi/cado(undamentalmente los m=todos tradicionales del tratamiento de datoscontales en Auditoria los a6ances en los sistemas de )roceso de datosue se an distriuido an conducido a la descentrali$aci"n de la (unci"nde automati$aci"n de los usuarios /nales ' el a?o coste delmicroordenador a )ermitido ue or3ani$aciones )eue@as )uedanme?orar sus sistemas de in(ormaci"n,

El uso intensi6o de TI ei3e ue los auditores se (amiliaricen con susa)licaciones )or tantoB es 6ital ue se entrenen )ara reconocerBcom)render ' e6aluar el im)acto de la TI en un entorno contale ' deauditoria en los ue o)eran,

El uso de com)utadores ' la dis)oniilidad de di6ersos )auetes de)ro3ramas o(rece nue6as o)ortunidades )ara los auditores /nancierosles ca)acita )ara suministrar ser6icios di6ersi/cados a clientes 'em)resariosB ' )ara e)lorar ' usar las ases de datos a e(ectos deresol6er toda clase de )rolemas& los com)utadores re)resentan unaerramienta 6alorale )ara solucionar )rolemas en el *mito de la

contailidad /nancieraB la Auditoria ' la )lani/caci"n /scal,

Los estudiantes de Auditoria )ueden aduirir )arte de sus conocimientos' ailidades en la tecnolo34a de la in(ormaci"n antes de comen$ar su(ormaci"n )ro(esional )or e?em)loB a tra6=s del estudio en su )ro)iacasaB de una (ormaci"n )re - )ro(esionalB o e)eriencia de traa?o, Eluso de com)utadores en )ro3ramas de (ormaci"n le a'udar* adesarrollar a+n m*s sus actuales conocimientos ' e)eriencia,

La Federaci"n recomienda ue los auditores oten3an el conocimientonecesario de la TI a tra6=s de un sistema de dos com)onentes& el

)rimer com)onente inclu'e cursos *sicos diri3idosB ien como unreuisito )re6io al )ro3rama de (ormaci"n contale ' (ormalB o como los)rimeros cursos del )ro3rama el se3undo com)onente trata de la TIcomo un elemento esencial inte3rado dentro del curriculum normal del)ro3rama de (ormaci"n contale )or e?em)loB un curso en )roceso dedatos sore Auditoria ue es o(recido como )arte de los cursos normalesde Auditoria,


09


33/149


Las a)licaciones de sistemas in(orm*ticos de ordenadores )uedeninte3rarse dentro de mucas materiasB )or e?em)loB los sistemascontales com)utari$ados )ueden ser )arte del )ro3rama de

contailidad normalB ' a los estudiantes se les )uede )edir una)re)araci"n en el dise@o de sistemas contales )ara curir distintasnecesidades de la direcci"n ' contailidadB ' )ara )re)arar los estados/nancieros ' consolidadosB mediante el uso de )ro3ramas in(orm*ticos oso(tKare,

La )re6isi"n ' an*lisis de sensiilidadB asados en )ro3ramasB )uedenincor)orarse como )arte de un curso sore estados /nancierosB)resu)uestos o control )resu)uestario,El in(orme !O.IT %


34/149


()(( /ESP.!SA0I-IDADES DE- A*DI#./

El est*ndar de auditoria SASJ No,5 QRe6isi"n Preliminar de los!ontroles !ontales en el Sistema Electr"nico )or )arte del AuditorBestalece ue es res)onsailidad del auditor determinar si su clienteutili$a el PED,B )ara el )roceso de su in(ormaci"n contale si es as4Bdeer* considerar los e(ectos de este en el control interno ' estudiar lasa)licaciones del sistema )ara estalecer la (unci"n indi6idual de losmismos, Lo anterior se tiene ue lo3rar dentro del conteto 3eneral delan*lisis ' e6aluaci"n del control interno,

El inter=s del auditor en el control interno )ermanece i3ual 'a sea en unamiente manual o com)utari$ado, Sin emar3o en sistemas

com)utari$ados se reuieren controles adicionales deido a lae)osici"n de estos a ries3os o deilidadesB lo ue ace necesario ue elauditor entienda com)letamente la estructura del sistema de control aestalecerse cuando PED, Es cla6e en el sistema de in(ormaci"n delcliente,

El inter=s del auditor en conocer los ti)os de control en el entorno PEDB 'en el sistema 3eneral de control internoB consiste en determinar loscontroles en ue )uede con/ar ' el alcance de estos a /n de estalecero )oner un l4mite a la auditoria ' con es)ecial re(erencia al monto de las)rueas necesarias, !omo resultado de lo ue el )ronunciamiento No,5

se re/ere a la (ase )reliminar de la re6isi"n del auditorB este deer*otener&

• Un conocimiento de u?o de transacciones tanto de la )arte manualcomo de la )arte autom*tica del sistema contale,

• !onocimiento del alcance del uso de a)licaciones contalesautom*ticas,

• !onocimiento de la estructura (undamental del control contale,

A )artir de ello el auditor )odr* determinar los controles autom*ticos 'no autom*ticos en ue )uede con/ar en el )roceso de auditoria )ara)oder e6aluarlos ' )roarlos,

Adem*s de las res)onsailidades *sicas descritas en el SAS el auditortiene un 3ran inter=s en el entorno PED, Del clienteB 'a ue lasem)resas acen cada 6e$ mas uso de los com)utadores aci=ndose


0;


35/149


dico recurso m*s im)ortante tanto a ni6el /nanciero como o)eracional,En este as)ectoB el auditor deer* interesarse en el im)acto de estos enlos estados /nancieros desde el )unto de 6ista in6ersi"n ' de lasconsecuencias ue trae la interru)ci"n del ser6icio en las o)eraciones

corrientes de la em)resa, Este as)ecto es adicional a lasres)onsailidades de e6aluaci"n del control internoB )ero se deen teneren cuenta al dise@ar )ro3ramas de traa?o ' as4 )oder cum)lir con losreuerimientos de cada clienteB 'a ue eisten *reas ue ei3en unama'or atenci"n ' conocimiento,

El auditor de sistemas de in(ormaci"n dee tener en cuenta ue lama'or res)onsailidad )or el control no es de =lB sino de laadministraci"n&

• Cue los controles )re6ienenB detectan ' corri3en el ries3o,

• El com)utador camia la naturale$a del control,

• Los )rolemas 'Go )=rdidas crean la conciencia del control,

• En )rocesamiento se reuieren controles me?orados,

• La auditoria es un control administrati6o esencial,

• Los auditores deen )artici)ar en el desarrollo de sistemas,

• Los auditores deen 6eri/car los controles antes ' des)u=s de lainstalaci"n de un sistema,

Proceso de +omprensi'n $ Análisis

!on ase a lo estudiado asta el momento res)onder los si3uientesinterro3antes&

• WCu= es auditoria de sistemasX

• W!u*l es el )rinci)io de auditoria de sistemasX

• WCu= im)acto )roducen las tecnolo34as de in(ormaci"n en la auditoria

/nancieraX• Identi/car las di(erentes t=cnicas de auditoria de sistemas de

in(ormaci"n,

• Descriir los di(erentes o?eti6os de la auditoria de sistemas dein(ormaci"n contale,


0


36/149


• WCue )a)el desem)e@a el auditor de sistemas en la 3esti"nem)resarialX

• W!omo demostrar4a usted ue la utili$aci"n del com)utador es unmedio )ara la minimi$aci"n de costos en la reali$aci"n de unaauditoria /nancieraX

Soluci'n de Pro%lemas

• Identi/car !ontadores P+licos ue a'an desarrollado dentro de sue?ercicio )ro(esionalB auditorias a)o'adas )or com)utador ' reali$aruna entre6ista acerca de los temas )rinci)ales tratados en estaunidad ' relacionados con el conce)toB (asesB im)ortancia 'le3islaci"n de la auditoria de sistemas,

• !on ase en la in(ormaci"n )resentada en esta unidadB en di*lo3oscon !ontadores P+licos en e?ercicio ' en la le3islaci"n 6i3enteBreali$ar un re6e ensa'o acerca de la situaci"n actual de la auditoriade sistemas ' su desarrollo en el medio,

Síntesis +reativa $ Argumentativa

Los )rocesos es)ec4/cos de auditoriaB ue se )ueden (acilitar a tra6=s dela a)licaci"n de tecnolo34a son la direcci"nB )lani/caci"nB administraci"ne in(ormes de las auditorias, Para sustentar sus o)iniones 'recomendaciones los contales tienen ue )lanear cuidadosamente sutraa?oB or3ani$ar ' documentar la e6idencia de sus alla$3osB en unentorno ue esta camiando continuamente,

Los sistemas de in(ormaci"n de las em)resas se )ueden resumir ensistemas de a)licaci"n centralB comunes en la ma'or4a deor3ani$aciones como contailidadB n"minaB dem*s sistemas /nancieros' sistemas es)ec4/cos )ara la industria como son& trans(erenciaelectr"nica de (ondosB )rocesamiento de reclamaciones de se3urosBinte3raci"n de la com)utaci"n al sector industrialB sistemas de ser6icioal cliente en em)resas de ser6icio )+lico ' )lani/caci"n de mercadeo)ara comerciantes,

AunueB cada sistema est* su?eto a su )ro)io ' +nico con?unto deries3os a' ries3os ue son comunes a todos los sistemas de ne3ocioscomo el acceso no autori$ado a (unciones de )rocesamiento o a


5


37/149


in(ormaci"nB )=rdida de inte3ridad 'Go eactitud de la in(ormaci"n einterru)ciones en el )rocesamiento, Las consecuencias de estos ries3os)ueden lle6ar a errores en la administraci"n o en los in(ormes/nancierosB costos ecesi6osB )=rdida de 6enta?a com)etiti6aB )=rdida o

destrucci"n de 6aloresB sanciones le3ales ' la o)ortunidad )ara lae?ecuci"n de acti6idades incorrectas,

Los controles )ara miti3ar estos ries3os com)renden el control deacceso al so(tKare )or e?em)loB so(tKare de control de accesoBcaracter4sticas distinti6as del sistema de administraci"n de la ase dedatosB etc,JB controles de se3uridad (4sicos )ara restrin3ir el acceso a)ersonas no autori$adasB controles sore la eactitud e inte3ridad de lain(ormaci"nB transacciones reca$adas ' adem*s )endientesB)rocesamiento com)leto ' eacto dentro del )er4odo de contailidad)ro)iamente dico,

• !on ase en este contenidoB reali$ar un cuadro sin")tico,

Autoevaluaci'n

• WCue es auditoria de sistemasX• Enunciar ' e)licar los di(erentes amientes en ue se desen6uel6en

las auditorias a)o'adas )or com)utador,

•

W!ual es el )ro)"sito de la Auditoria de sistemasX• Enunciar ' e)licar las eta)as )rinci)ales en la reali$aci"n de una

auditoria de sistemas,• W!ual es su o)ini"n acerca de la situaci"n actual en el desarrollo de

las Auditorias a)o'adas )or com)utadorX

/epaso Signi1cativo

• Dise@ar un ma)a conce)tual ue conten3a la de/nici"nB (unci"n ' elalcance de la auditoria de sistemas,

• Dise@ar un dia3rama ue ree?e la estructura de la reali$aci"n de unaauditoria de sistemas ' su (uncionalidad en la 3esti"n em)resarial,


5%


38/149


• Elaorar un 3losario de t=rminos ue considere m*s rele6antes en elamiente del *rea de auditoria de sistemas,

0i%liogra&ía SugeridaPa3eB >, #oo)erB P, Accountin3 and In(ormation S'stemsB Prantice #all,E,E,U,U, %


39/149

!ostos .*sicos

UNIDAD 0& !ontrol ' Ries3o delSistema de In(ormaci"n !ontale

Descri)ci"n Tem*tica

Una adecuada estructura de control es necesaria )ara ase3urar losrecursos de los sistemas de in(ormaci"n contales ' los datos ue sonusados o )roducidos )or el sistema, Las 3randes or3ani$acionesB conmillones de clientes ' transaccionesB no )ueden continuar sus

o)eraciones sin sistemas ue (uncionen )ro)iamente, Lasor3ani$aciones )eue@as como las PMES )odr4an al menos su(rir)=rdidas de )roducti6idad si3ni/cati6as,

orizontes

• !ontrolar el ries3o del sistema de in(ormaci"n contale,

• Ase3urar los recursos de los sistemas de in(ormaci"n contales,

• Descriir ue di(erencia eiste entre ries3o ' control

• Identi/car ue ti)os de ries3os ue se )ueden )resentar en unde)artamento de sistemas

• Enunciar e identi/car los ti)os de controles )ara minimi$ar los ries3osm*s comunes en un de)artamento de sistemas,

!"cleos #emáticos $ Pro%lemáticos

• De/nici"n• Marco De Re(erencia Para El !ontrol• !ontroles Sore DesarrolloB Aduisici"n Mantenimiento De Los

Sistemas De In(ormaci"n !ontales• Re6isi"n De T=cnicas De Fraude In(orm*tico


55


40/149


Proceso de In&ormaci'n

2)( DEFI!I+I,!

El in(orme !OSO %


41/149


2)2)2 Gerencia versus +ontrol

Las res)onsailidades de la 3erencia en cuanto al )rocesamiento dedatos consiste en&

• Autori$aci"n de camios ' adiciones,• Re6isi"n de costos de )ost-instalaci"n ' e(ecti6idad de los )ro'ectos

de sistemas,

• Re6isi"n de la or3ani$aci"nB controles ' )racticas de a (unci"n)roceso de datos,

• E6aluaci"n del desem)e@o,

!on res)onsailidad de la 3erencia se uiere decirB ue los 3randescamios dentro de la di6isi"nB de)artamento o centro de com)uto 'sistemas de in(ormaci"n se deen a)roar )or esta con ase en la)resentaci"n de una )ro)uesta ue dee ser e6aluada en t=rminos decostos ' ene/cios ue se deri6en de el, La com)ra de un sistemanue6o o me?orado es com)arale a la am)liaci"n de una )lanta o(aricaB la cual tiene ue ser estudiada en detalle antes de com)rometer3randes desemolsos, tami=n como el sistema a(ecta el )roceso dedatos de toda la or3ani$aci"nB la 3erencia dee entender toda laacti6idad de camio )ara )oder autori$arlo ' estalecer los controlesadecuados,

El eco de ei3ir la a)roaci"n 3erencial (uer$a al de)artamento o3erencia de sistemas de in(ormaci"n a )lanear ' )re)arar )ro)uestas decamio,

La 3erencia tiene la res)onsailidad de em)lear )ersonal com)etenteBcon el entrenamiento adecuado en sistemas e in(ormaci"n, Lasu)er6isi"n ' el control diarioB es res)onsailidad de la direcci"n delcentro de c"m)uto de manera ue una or3ani$aci"n con controles ')rocedimientos )ores indican deilidad en el mane?o de este,

En este sentido A, L")e$ %


42/149


• !osto de las acti6idades de )roceso com)arado contra el )lan,

• Frecuencia ' duraci"n de las demoras en cum)limiento de los)ro3ramas,

•

Tasas de detecci"n de errores en los distintos )untos de control,La (unci"n de )rocesamiento de datos deiera ser or3ani$ada 'mane?ada usando m=todos de )roada e/ciencia en otras *reas de laentidad, Dee eistir un )lan de or3ani$aci"n ' una clara asi3naci"n deres)onsailidades,

2)4 +.!#/.-ES S.0/E DESA//.--. ADB*ISI+I,! C MA!#E!IMIE!#. DE -.S SIS#EMAS DE I!F./MA+I,!+.!#A0-ES

2)4)(Investigaci'n Preliminar $ Análisis de In&ormaci'n

La )artici)aci"n del auditor de sistemas en el desarrollo de )ro'ectos desistemas es la manera m*s e(ecti6a ' )re6enti6a de asesorar conesuemas de control,

La 3ran ma'or4a de )ersonas emos sentido la necesidad de resol6ernuestros )rolemas de in(ormaci"n a tra6=s de sistemas de in(ormaci"nue se ada)ten a las condiciones ' caracter4sticas es)ec4/cas de nuestraem)resa ' no al contrario ue mis )rocedimientos se amolden alsistemaB sin descartar los camios en los )rocedimientosB ue usuena3ili$ar las o)eraciones sur3e entonces la necesidad de elaorar 'desarrollar nuestro )ro)io )ro'ecto de sistemas, En )rimer lu3ar se)arte de 6arios ti)os de necesidades&

• Reuerimientos de in(ormaci"n )ara los usuarios ue constitu'en unnue6o sistema de in(ormaci"n,

• Necesidad de resol6er un )rolema a tra6=s de una soluci"nsistemati$ada si es (actile,

• Necesidad de un camio en el sistema de in(ormaci"n actual,

• Im)lementaci"n de un camio de )ro3ramas o de eui)o )or e(ectosde introducci"n de nue6as tecnolo34as,

Una 6e$ conceida la anterior situaci"nB a' ue de/nirla claramente 'concretarla )ara )oder canali$ar m*s (*cilmente las )osiles soluciones,Se )asa )osteriormente a reali$ar los estudios de (actiilidad t=cnicaBecon"mica ' o)eracional,


59


43/149


Factibilidad Técnica

Se cuenta con la tecnolo34a )ara acer lo ue se )ro)oneB el eui)o

)ro)uesto tiene la ca)acidad t=cnica )ara mane?ar el nue6o sistema o elcamioB a' 3arant4a t=cnica )ara lo3rar eactitudB (acilidad de accesoBcontrolesB se3uridadesB el sistema )ro)uesto )ro6ee res)uesta adecuada)ara consulta sin im)ortar n+mero de sitios o de usuarios,Factibilidad Económica

!ostos del desarrolloB costos de eui)os ' )ro3ramasB costos de nocamiar nadaB ene/cios en reducci"n de costos,

Factibilidad Operacional

#a' su/ciente so)orte de la 3erencia ' de los usuariosB los)rocedimientos actuales son ace)tales )ara el uen usuarioB losusuarios an sido in6olucrados en la )lani/caci"n ' desarrollo del)ro'ectoB el sistema )ro)uesto )uede causar )=rdida de controlesBdi/cultad en el acceso a la in(ormaci"nB disminuci"n en el rendimientode los em)leadosB 6a a a(ectar al cliente de una (orma no deseadaB 6a elsistema a traa?ar cuando se desarrolle e instaleB 6a a cum)lir con los)rocedimientos o)eracionales de la or3ani$aci"n, FinalmenteB si el)ro'ecto cum)le con estos tres reuisitosB es (actile reali$arlo,

En cuanto a la )lani/caci"nB en el de)artamento de sistemas deen

elaorarse )lanes a cortoB mediano ' lar3o )la$oB ue sean com)atilescon los )lanes maestros de la or3ani$aci"n, Deen adem*s con(ormarselos comit=s de sistemas donde )artici)en el cuer)o directi6o de laem)resaB el )ersonal de sistemas ' los usuarios,

El auditor de sistemas dialo3ar* con los inte3rantes de dico comit=)ara identi/car ' discutir estrate3ias de acuerdo con los o?eti6os delde)artamento de sistemas ' de la or3ani$aci"n en 3eneral, Entre6istar*a los usuarios )ara concretar si las estrate3ias se cum)lenB en /nBdeterminar* cuan e/ciente ' e(ecti6o es dico )lan,

En cuanto a la metodolo34a )ara desarrollar )ro'ectos de sistemas deeestar escrita ' contar con )ar*metros estalecidos )ara estructurar 'controlar el )roceso de desarrollo de los sistemas de in(ormaci"n en laem)resa,

El auditor de sistemas estar* en ca)acidad de e6aluar si cada (ase de lametodolo34a estalecida tiene un )roducto /nal cuanti/cale antes de


5:


44/149


45/149


• Reuerimientos (4sicos ' l"3icos de los )rocesos

Deer* )or consi3uiente es)eci/car&

• Documentos (uente• Mecanismos de control• Se3uridades im)ortantes• Pistas de auditoria

Si3uiendo un orden did*ctico ue )ermita la me?or com)rensi"n deltemaB )artiendo de lo 3eneral ' 3loal asta lle3ar a lo )articular 'es)ec4/coB es recomendale la elaoraci"n de la Tala Visual del!ontenido del )ro'ectoB ue )ermite locali$ar ' em)e$ar a aterri$ar lases)eci/caciones de la eta)a de dise@o,

Es im)ortante no descuidar el eco de ue los )roductos /nalescum)lan con las es)eci/caciones reueridas,

• Estructuraci"n de entradas&

− Edici"n ' 6alidaci"n de reuerimientos,

− Se3uridad ' medidas de )rotecci"n a los datos,

− De/nici"n de ti)os de transacciones ' re3las de autori$aci"n,

− Procedimiento de estalecimiento de totales de control,

− De/niciones ' contenidos de los documentos de entrada a)roados)or el usuario,

• Estructuraci"n de salidas&

− !ontenido ' (ormato del in(orme

− Autori$aci"n de usuarios )ara rece)cionar in(ormes

− Per4odos de retenci"n )ara arci6os

− 1arant4a de ue los in(ormes son com)letosB eactos ' con datosreales

• Estructura de los arci6os& la de/nici"n de los arci6os cure la )arte(4sicaB l"3icaB la relaci"n de las estructuras de datosB las de)endencias


5


46/149


de los datosB los reuerimientos de almacenamiento de los datos ' la)rotecci"n )ara 3aranti$ar la )ri6acidad,

Partici)aci"n del administrador de la ase de datos en el

estalecimiento escrito de (ormatos de arci6oB de/nici"n decontenidos ' )er4odos de retenci"n de los arci6osB )artici)aci"n delos de)artamentos usuarios en la a)roaci"n de la in(ormaci"nanterior,

• Reuerimientos (4sicos ' l"3icos de los )rocesos&

− De/nici"n de reuerimientos de los )rocesos )ara 3aranti$areactitudB 6alidaci"nB duraci"n ' eiilidad en cada )aso,

− Determinar si los usuarios /nales an a)roado los )asos de los

)rocesos,

• Es)eci/caciones de los )ro3ramas&

− Deen ser clarasB consistentes ' com)letas,

− Re6isar la ra$onailidad de la l"3ica del )ro3rama a tra6=s de lana6e3aci"n )or el u?o de datos )ara 6alorar lo rele6ante ' el an*lisisde las talas de decisi"n,

− Pre)araci"n de los datos,

− Los dise@os an sido a)roados )or la administraci"n de losde)artamentos usuarios,

Los documentos constan de es)acios eactos de anotaci"nB)renumeraci"nB autori$aci"n de la transacci"n inde)endiente deldili3enciamiento del documento ' de la ca)tura, Al di3itarlos emitenmensa?es de error en la )antalla )ara )romo6er eactitud ' reducirerrores ' loueo,

2)4)4 Dise?o de +ontroles $ Seguridades

Mecanismos ue 3aranticen la inte3ridad de los datos co)iados ')rocesadosB ' )rotecciones a los recursos de los sistemas&

• Dise@o de controles adecuados en los )untos cr4ticos al interior delsistema,

• An*lisis del costo - ene/cio de los controles,


7


47/149


• Di(erencia entre control )re6enti6o ' detecti6o,

• Si el control correcti6o se lle6o a caoB cu*ndo ' d"nde (ue a)ro)iado,

• !ontroles ue redu$can o eliminen ries3os asociados con la o)eraci"n

del sistema,• Es)eci/caciones de los controles 4nte3ros ' acceso con el su/ciente

detalle )ara (acilitar la )ruea,

2)4)5 Dise?o de Pistas de Auditoria

Pista de auditoria es el camino de los datosB )ro3ramasB )rocesos outilitarios desde su ori3en asta los resultados /nales, El auditor desistemas conocer* las )ol4ticas administrati6as de control de la em)resa' con ase en ellas re6isar* todo ti)o de arci6o de lo3, I3ualmente

/?ar* )autas )ara estalecer su/ciente 3rado de con/dencialidad soreestos arci6os )ara ase3urar la inte3ridad ' lo adecuado de las )istasincluidas en las es)eci/caciones del dise@o manteniendo un lo3s ueconten3a&

• Dia3n"stico de cada )rolema ' un m=todo de aislar la )ersona delcom)onente del so(tKareB ' del recurso (4sico ue causa el mal(uncionamiento,

• Desarrollar re)ortes estad4sticos de esos lo3s e iniciar accionesa)ro)iadas correcti6as,

• Determinar si cada car3ue inicial del sistema ueda re3istrado en elarci6o de lo3s,

• Mantener lo3s de las terminales,

• Determinar si una 6iolaci"n a la )rotecci"n de la se3uridad causainstant*neamente un aorto del traa?o o transacci"n ' u= mensa?ea)arece en la consola,

• Re3istro en el lo3 de la (alla el=ctrica,

• Re6isi"n del lo3 del sistema )ara anali$ar los tiem)os de re)rocesocausados )or mal (uncionamiento ' los accesos ile3ales u otras6iolaciones,

Eisten unos arci6os denominados lo3 donde de manera )articularuedan re3istrados todos los accesos ue los di(erentes usuarios de lossistemas de in(ormaci"n acen a los eui)os de com)utaci"n ' )or


7%


48/149


su)uesto a los )ro3ramas de todo ti)oB o)eracionalB de comunicacionesBde ases de datosB a)licati6os,

En estos lo3s se re3istran las acti6idades de las o)eraciones desde el

momento de entrada inicialB correcci"n de inconsistencias asta laso)eraciones de consolaB donde uedan re3istradas todas las acti6idadesue se reali$an en el centro de c"m)uto, En las comunicacionesB lasentradas desde las terminalesB la transmisi"n ' rece)ci"n de losmensa?es ' en las ases de datosB las entradas iniciales de re3istrosB lase?ecuciones de las a)licacionesB las modi/caciones a los datosB los)rocesos de reinicio ' recu)eraci"n ' el uso de utilitarios,

Los arci6os de Lo3 constitu'en una e6idencia ma3n=tica res)ecto a lasacti6idades com)utacionales reali$adas )or los usuarios del centro dec"m)uto,

!uando nos asi3nen un )assKord o una cla6e secreta utilic=moslo conres)onsailidadB e6itemos ue )ersonas ami3as o com)a@eros detraa?o cono$can nuestra cla6e,

• Lo3 del sistema& todas las transacciones ' mensa?es ue in3resen alsistema a)licati6o se conser6an en arci6os inde)endientes, Estosarci6os identi/can de cada transacci"nB la (ecaB la oraBidenti/caci"n del terminal de ori3enB el c"di3o de se3uridad delde)artamento usuarioB el )assKord indi6idualB el arci6o utili$adoB laacti6idad desarrollada,

• Lo3 de secuencia& normalmente el usuario identi/ca lastransacciones mediante un n+mero de secuencia ' tami=n mantieneun Lo3 interno de los n+meros de secuencia ue sir6e )araase3urarse de ue los datos est*n com)letos ' sir6en como )ista deauditoria,

• Lo3 de errores& son un elemento 6alioso como )ista de auditoria 'como instrumento )ara monitorear los errores en el )roceso decorrecci"n ' de realimentaci"n al sistema

• Lo3 de o)eraciones no )ro3ramadas& todas las inter6enciones delo)erador ue no est=n )ro3ramadas deer*n uedar re3istradas 'contener el ti)o de transacci"nB la (ecaB la ora ' la acci"n tomada,

• Lo3 de la consola del o)erador& es o)ortuno eaminar la co)ia dello3 de la consola )ara determinar el n+mero de interru)ciones del


70


49/149


o)erador del com)utador durante la e?ecuci"n de los )rocesos ')ro3ramas,

• Lo3 de los re3istros de )rolemas de so(tKare& dee eistir un lo3

donde se re3istren los )rolemas del so(tKare ue conten3a eldia3n"stico de cada )rolema ' ue de al3una (orma se )ueda aislarel com)onente del so(tKare o el dis)ositi6o ue lo 3ener" de la)ersona, Deen desarrollarse re)ortes estad4sticos de los lo3s )ara)oder anali$ar las tendencias es)eciales e iniciar las accionescorrecti6as,

• Lo3 de control del sistema de comunicaci"n& )ermite re6isar)eri"dicamente los comandos de la terminal del su)er6isor de la red,Entre los comandos eaminados deen incluirse los utili$ados )araailitar o inailitar l4neas 'Go terminales,

• Lo3 de es)era )ara los mensa?es& todos los mensa?es ue es)erantransmisi"n se colocan en un lo3 de es)era antes de ser incluidos enla cola de transmisi"nB a medida ue se transmiten ' se recien losmensa?esB el terminal rece)tor res)onde ue el mensa?e se areciido correctamente,

• Lo3 de mensa?es de entrada ' salida& en un dis)ositi6o de re3istroma3n=tico se lle6a un lo3 de todos los mensa?es de entrada ' desalida )ara (acilitar la recu)eraci"n o reinicio del sistema ' el rastreode los mensa?es,

• Lo3 de la terminal& )ara e(ecto del re3istro deer*n asi3narse c"di3os)ara la identi/caci"n de terminalesB de manera ue sean transmitidosdesde las terminales al com)utador central )ara ser 6eri/cadas ' uelas terminales )uedan (uncionar en el sistema de red,

• Lo3 de la ase de datos& el administrador de la ase de datos deeser el res)onsale del desarrollo ' su)er6isi"n de las estad4sticas 'otros re)ortes tales como los lo3s del sistema ' otros dis)ositi6os omedios de salida con res)ecto al acceso inicial a los re3istros)ermanentesB modi/caci"n a la ase de datosB e?ecuci"n de los

)ro3ramas de la ase de datosB modi/caci"n de los re3istros delsistemaB de los )rocedimientos de reinicio ' reconstrucci"nB talas dese3uridadB ' otras estad4sticas )ro6istas )or el sistema administrati6ode la ase de datosB as4 como los utilitarios,

2)4)6Desarrollo e Implantaci'n del Sistema


75


50/149


La documentaci"n de los )ro'ectos se mane?a a tra6=s de los manualesdel usuarioB de )ro3ramasB de sistemasB de o)eraciones 'administrati6os,

•

Manuales del usuario& )ara e)licarle claramente ' en )alarascomunes como mane?ar la a)licaci"n ' los datos,

• Manuales del )ro3rama& contenido de documentos (uenteB dise@o dearci6osB in(ormesB dia3ramas de l"3icaB datos de )rueaB listados decom)ilaci"n,

• Manuales de o)eraci"n& )rocedimientos de e?ecuci"n de/nidos )arareali$ar las o)eraciones de )roducci"n )or )arte de los o)eradores,

• Manuales t=cnicos& )ara determinar )orue (allas t=cnicas no(uncionan los )ro3ramas,

• Manuales administrati6os& )ara identi/car la secuencia de los)rocedimientos administrati6os ' el )ersonal res)onsale,

• Eistencia de est*ndares )ara )roar los )ro3ramas,

• E?ecuci"n en )aralelo,

2)4)7.peraci'n $ Mantenimiento del Sistema

Dee eistir la documentaci"n su/ciente ' actuali$ada sore el mane?ode las o)eraciones del sistema )ara a3ili$ar la )roducci"n de lain(ormaci"nB controlar ' e6itar ue se a)ro6ecen las circunstancias de

(alta de )rocedimientos de control )ara cometer (raudes,

Dee acerse un an*lisis de los costos de )roducci"n )ara determinar sisu monto estaa dentro de los l4mites )re6istos,

En cuanto al mantenimientoB es decirB al camio de un )ro3rama )ornecesidades de in(ormaci"n del usuario o cualuier otra causaBre3lamentaci"n le3alB contaleB inno6adoraB es im)ortante /?ar)rocedimientos de control claro ' con anterioridad al camio )ues dicomomento es susce)tile de incluir rutinas no autori$adas en los)ro3ramas con intenciones de cometer (raude,

2)4)8Postimplantaci'n de un nuevo sistema de in&ormaci'n

Des)u=s de la im)lantaci"n de un nue6o sistemaB dee 6eri/carse siest* satis(aciendo las necesidades del usuario /?adas en losreuerimientos de in(ormaci"n a)roados inicialmente, I3ualmente una


77


51/149


re6isi"n del cum)limiento de los o?eti6os /?ados )ara dico sistema dein(ormaci"n ' de la calidad de la in(ormaci"n,

Finalmente es +til e(ectuar una con(rontaci"n entre los costos ' los

ene/cios estimados ' los costos ' ene/cios reales )ara determinar silos des(ases son ra$onales ' est*n dentro de los l4mites de toleranciaestalecidos,

2)5 /EVISI,! DE #;+!I+AS DE F/A*DE I!F./M#I+.

Las t=cnicas de (raude o delitos in(orm*ticos se )ueden e)licar comolas acciones u omisiones ue las )ersonas reali$an )ara a(ectar a las)ersonas ' or3ani$aciones o )roducen ene/cios no ?usti/cados, Estosdelitos son contra la intimidadB el )atrimonioB la in(ormaci"n ' la

(alsedad de documentos,2)5)(Manipulaci'n de #ransacciones

La mani)ulaci"n de transacciones a sido el m=todo m*s utili$ado )aracometer (raudesB en amientes com)utari$ados, El mecanismo )araconcretar este ti)o de (raude sist=mico o in(orm*ticoB consiste encamiar los datos antes o durante la entrada al com)utador, Puede sere?ecutado )or cualuier )ersona ue ten3a acceso a crearB re3istrarBtrans)onerB codi/carB eaminarB com)roar o con6ertir los datos ueentran al com)utador, Por e?em)loB alterar los documentos (uente '

modi/car el contenido en alto relie6e de las tar?etas de cr=dito entreotros,

2)5)2#


52/149


2)5)4#


53/149


(raudulentas cuando es autori$ada una modi/caci"n al )ro3rama, EstoesB ue se e?ecutan las modi/caciones autori$adas se a)ro6eca lao)ortunidad )ara a3re3ar instrucciones (raudulentas,

2)5)6 Juego de la PizzaEl ?ue3o de la )i$$a es un m=todo relati6amente (*cil )ara lo3rar elacceso no autori$ado a los !entros de PEDB as4 est=n adecuadamentecontrolados, !onsiste en ue un indi6iduo se ace )asar )or la )ersonaue entre3a la )i$$a ' en esa (orma se 3aranti$a la entrada a lasinstalaciones de PED durante ' des)u=s de las oras de traa?o,

2)5)7 Ingeniería Social

Esta t=cnica consiste en )lanear la (ormaB de aordar a uienes )ueden

)ro)orcionar in(ormaci"n 6aliosa o (acilitar de al3una manera lacomisi"n de ecos il4citos, Se recurre lue3oB a ar3umentosconmo6edores 'Go soornar a las )ersonas )ara alcan$ar los o?eti6osdeseados,

Esta t=cnica comina art4sticamente las caracter4sticas del )etulante 'del ?actancioso )ara conse3uir el eco (raudulento, Adem*sBnormalmenteB usan un estilo de actuaci"n im)ortanteB 6estido ele3anteBamena$as sutiles ' )orciones aisladas de in(ormaci"n cla6e de laor3ani$aci"n )ara inuir en otra )ersona,

2)5)8#rampas Puerta

Las tram)as )uerta son de/ciencia del sistema o)eracionalB desde laseta)as de dise@o ori3inal a3u?eros del sistema o)eracionalJ, Lose)ertos )ro3ramadores del sistema )ueden a)ro6ecar las deilidadesdel sistema o)eracional )ara insertar instrucciones no autori$adasB endico sistemaB con el o?eto de con/3urar (raudes in(orm*ticos, Lassalidas del sistema o)eracional )ermiten el control a )ro3ramas escritosB)or el usuarioB lo cual (acilita la o)eracionali$aci"n de (raudesB ennumerosas o)ciones,

2)5)9Superzaping

El su)er$a)in3 deri6a su nomre de su)er$a)B un )ro3rama utilitario deI.M de un alto ries3o )or sus ca)acidades, Permite entrar al sistemaBadicionarB modi/car 'Go eliminar re3istros de arci6osB datos de re3istroso a3re3ar caracteres dentro de un arci6o maestro ' salir sin de?ar rastro


7:


54/149


55/149


El )i33'acin3 (4sico consiste en se3uir a un usuario autori$adoB dentrode un *rea de acceso controladaB )rote3ida )or )uertas cerradaselectr"nicamente, El )i33'acin3 electr"nico consiste en usar unaterminal ue esta 'a acti6ada o usar una terminal secreta conectada a

una l4nea acti6ada )ara accesar la in(ormaci"n del sistemaBcom)rometiendo el r=3imen de se3uridad, La imitaci"nB sea (4sica oelectr"nica im)lica la otenci"n de )assKordB c"di3os secretos ' lasu)lantaci"n de )ersonas autori$adas )ara entrar al *rea decom)utaci"n,

2)5)(2 Puertas Elevadizas

Esta t=cnica consiste en la autori$aci"n de datosB sin la deidaautori$aci"nB mediante rutinas in6olucradas en el )ro3rama o en losdis)ositi6os de ardKare,

M=todos so/sticados de esca)e de datos )ueden ser e?ercidos enamientes de alta se3uridad ' alto ries3o, Por e?em)loB la in(ormaci"nroada es decodi/cada de modo ue )ersonal del centro de PEDB no)uede descurir ue esta )asando,

Dica in(ormaci"n )uede ser re)ortada )or medio de radios transmisoresen miniatura .U1SJ colocados secretamente en la !PU de mucoscom)utadores como sucedi" en la 3uerra de Vietnam, Estos .U1S(ueron ca)aces de transmitir el contenido de los com)utadores arece)tores remotosB concret*ndose de esta manera el esca)e de datos a

tra6=s del conce)to de )uertas ele6adi$as,

El )ersonal del PED )uede construir )uertas ele6adi$as en los )ro3ramaso en los dis)ositi6os de ardKare )ara (acilitar la salida de datos ' laentrada de los mismos sin ser detectados, Los reali$adores del (raudeno necesariamente deen estar )resentes en el momento de lae?ecuci"n del mismo,

2)5)(4 #


56/149


2)5)(5 Intercepci'n de -íneas de +omunicaci'n

Esta t=cnica de (raude in(orm*tico consiste en estalecer una

comunicaci"n secreta tele("nica o tele3r*/ca )ara interce)tar mensa?es,NormalmenteB las coneiones acti6as o )asi6as se instalan en loscircuitos de comunicaci"n de datosB entre terminales ' concentradoresBterminales ' com)utadores, De otra )arteB la interce)ci"n decomunicaciones )or micro - ondas ' 64a sat=lite es tami=nt=cnicamente )osile,

El com)utador a(ectar* todos los ne3ocios )oderosamente ' )or lotantoB todos los contales deen (amiliari$arse con =l, Los contales de)eue@os ne3ocios deen conocer m*s acerca del com)utador ue loscontales de 3randes ne3ociosB dado ue ellos no tienen un sta\ de

)rocesamiento de datos se)arados, El im)acto del com)utador sore lacontailidad ' la auditoria comen$" duramente ' su uso ser* un)orcenta?e mu' si3ni/cati6o a /nales de la d=cada de los no6enta,

El com)utador tiene el )otencial )ara lierarlos de la tarea )esada 'aurridaB e)andir ori$ontesB lierar el es)4ritu creati6o ' e)andirnuestra ca)acidad )roducti6a, Deemos a)ro6ecar esta o)ortunidad,

2)5)(6 -os Virus

Los 6irus son )ro3ramas il4citos de com)utador o c"di3os da@inos ue

atacan o Zin(ectanZ a otros )ro3ramas ' sistemas, Una 6e$ ue un)ro3rama a sido in(ectadoB este )odr4a ser instruido )ara reali$ar(unciones no autori$adas antes de etenderse a otros sistemas, Lainteracci"n entre usuariosB (4sicamente o sore una redB )odr4a etenderel c"di3o malicioso, Los s4ntomas de un ataue de 6irus inclu'en lossi3uientes&

• Reducci"n si3ni/cante de la (unci"n del sistema

• P=rdidas o camios ine)licales de los datos

• !onteo de datos (uera de alance

• A)arici"n de 3r*/cas o mensa?es no (amiliares

• !amio de los tama@os ' (ecas de arci6os

• Acti6aci"n de dis)ositi6os ue no son reueridos )or el )ro3rama

Los 6irus )odr4an ser introducidos de las si3uientes maneras&


8


57/149


• !ar3ue de so(tKare del dominio )+lico ' ?ue3os de taleroselectr"nicos o )or 64a de 3ru)os com)ar

Documents

AUDITORIA_DE_SISTEMAS (1)