Universidad de los Lagos
AUDITORÍA INFORMÁTICA
Miguel Ángel Barahona M.
Ingeniero Informático, UTFSM
Magíster en Tecnología y Gestión, UC
PMP Certificado
Evaluaciones

NF = (S1 + S2 + S3) / 3



S1, 25 de Septiembre
S2, 30 de Octubre
S3, 4 de Diciembre
Introducción

Historia






Se piensa que el origen de la escritura surge como respuesta a la
necesidad de auditar
En el 1800 se extiende la auditoría en Reino Unido y Norteamérica
En 1950 la informática se convierte en una herramienta importante
en labores de auditoría.
Primeros casos de fraude en los años 60’s.
Surge la “Auditoría del Computador”.
Cambios en el tiempo.




De Sociedad Industrial a Sociedad de la Información.
Empresas deben adaptarse rápidamente para sobrevivir.
La COMPETENCIA GLOBAL ha llegado. Las empresas deben
orientarse a operaciones cada vez más competitivas, por lo que
deben aprovechar todos los avances tecnológicos.
I+T son los activos más importantes para muchas organizaciones.
Auditoría

Conceptos

“La auditoría, toda y cualquier auditoría, es la
actividad consistente en la emisión de una opinión
profesional sobre si el objeto sometido a análisis
presenta adecuadamente la realidad que pretende
reflejar y/o cumple las condiciones que le han sido
prescritas”. Auditoría Informática, Piattini y Del
Peso.
Clases de Auditoría

El Objeto sometido a estudio, y la finalidad
con que se realiza el estudio definen el tipo
de auditoría. Entre las cuales se encuetran:
Clase
Objeto
Finalidad
Financiera
Cuentas Anuales
Presentar la realidad
Informática
Aplicaciones, recursos
informáticos, planes de
contingencia, etc.
Operatividad eficiente y
consistente con las normas
establecidas
Gestión
Dirección
Eficacia, eficiencia,
economía.
Cumplimiento
Normas o políticas
establecidas
Las operaciones se adecuan
a las normas.
PROCEDIMIENTOS





La opinión profesional, esencial en la auditoría, se fundamenta y
justifica por medio de procedimientos específicos que nos
permitirán entregar una seguridad razonable de lo que se afirma.
Cada una de las clases de auditoría posee sus propios
procedimientos para alcanzar su fin.
La amplitud y profundidad de los procedimientos que se apliquen
definirán el alcance de la auditoría.
La evidencia obtenida debe recogerse adecuadamente, ya que
servirá de evidencia y soporte del trabajo efectuado.
La introducción de las TI’s en los sistemas de información, afecta
a los auditores de forma dual:


Cambia el soporte objeto de su actividad
La utilización de tecnología para la ejecución de sus procedimientos.
Consultoría

La consultoría consiste en dar asesoramiento
o consejo de carácter especializado sobre lo
que se ha de hacer o como llevar
adecuadamente una actividad para obtener
los fines deseados. Lo anterior en base a un
examen o análisis.
 La auditoría verifica a posteriormente si estas
condiciones se cumplen y los resultados
pretendidos se obtienen realmente.
Control Interno y Auditoría Informática





En el pasado el control interno estaba limitado a los controles
contables internos.
El control interno en muchas empresas no incluía actividades
operativas claves para la detección de riesgos potenciales en la
organización.
Hoy en día, ante la rapidez de los cambios (fusiones, alianzas
estratégicas, respuestas a la competencia, etc.) las
organizaciones están tomando conciencia de que para evitar
fallos significativos se deben evaluar y reestructurar sus sistemas
de control interno.
Se debe actuar con proactividad.
El auditor ha dejado de centrarse en la evaluación y la
comprobación de resultados de procesos, desplazando su
atención en la evaluación de riesgos de riesgos y en la
comprobación de controles.
Las Funciones de Control Interno y Auditoría
Informática

Control Interno Informático






Suele ser un staff del Área de Informática.
El control interno informático controla diariamente que todas las actividades
de los sistemas de información sean realizadas cumpliendo los
procedimientos, estándares y normas fijadas por la organización.
La misión del control interno informático es asegurarse de que las medidas
que se obtienen de los mecanismos implantados sean correctas y válidas.
Debe asesorar sobre el conocimiento de las normas.
Colaborar y apoyar el trabajo del equipo de auditoría.
Realizar en los diferentes sistemas y entornos informáticos las siguientes
acciones:






Controles sobre la producción diaria
Controles sobre la calidad y eficiencia del desarrollo y mantención de software
Controles en las redes de comunicaciones
Controles sobre el software base
La seguridad informática (usuarios, normas de seguridad, control de información
clasificada)
Licencias y relaciones contractuales con terceros
Las Funciones de Control Interno y Auditoría
Informática



La auditoría informática es el proceso de recoger, agrupar, y
evaluar evidencias para determinar si un sistema informatizado
salvaguarda los activos, mantiene la integridad de los datos,
cumple con los fines de la organización y utiliza eficientemente
los recursos.
El auditor evalúa y comprueba en determinados momentos del
tiempo los controles y procedimientos informáticos.
Se pueden establecer tres grupos de funciones a realizar por el
auditor informático:



Participar en el ciclo de desarrollo de software.
Revisar y juzgar los controles implantados en los sistemas
informáticos para validar el cumplimientos de las normas y políticas
de la organización.
Revisar y juzgar los niveles de eficacia, utilidad, fiabilidad y
seguridad de los equipos e información.
Control Interno y Auditoría: Campos Análogos.
Control Interno Informático
Conocimientos
especializados en TI
Verificación de cumplimientos internos
Similitudes
Diferencias
Auditor Informático
Análisis
de los controles en el
Análisis
de un momento
día a día
determinado
Informa al Gte. de Informática
Informa al Gte. Gral.
Personal Interno
Personal Interno y/o
El alcance de sus funciones esta Externo
restringido al área de informática
Cubre toda la
organización
Definición y Tipos de Controles Internos


Se puede definir como control interno a cualquier actividad o
acción realizada manual o automáticamente para prevenir y
corregir errores o irregularidades que puedan afectar al
funcionamiento de un sistema para conseguir sus objetivos.
Los objetivos de los controles informáticos se clasifican en:



Controles preventivos: para tratar de evitar algún hecho no deseado.
Por ejemplo, un software de seguridad que impida los accesos no
autorizados al sistema.
Controles detectivos: Cuando fallan los preventivos trata de conocer
cuanto antes el evento. Por ejemplo, registro de intento de acceso
no autorizado.
Controles correctivos: facilitan la vuelta atrás cuando se han
producido incidentes. Por ejemplo, la recuperación de un BD a partir
de copias de seguridad.
Implantación de Controles Internos Informáticos


Los controles se pueden implantar en diferentes
niveles
Es necesario que conozcamos la configuración
tecnológica de la empresa para saber donde implantar
los controles, como también poder identificar riesgos.
 Entorno de red: topología, HW de comunicaciones,
etc.
 Configuración de Servidores y Pc’s: SO, SW, HW.
 Entorno de Aplicaciones
 Productos y herramientas
 Seguridad
1.Controles Generales Organizativos


Políticas: Deberán servir de base para la planificación, control y
evaluación de las actividades del departamento de informática.
Planificación:





Plan Estratégico: Realizado por la alta dirección, en donde se
definen los procesos corporativos y se considera el uso de diversas
tecnologías de información, a si como las amenazas y oportunidades
de su uso o ausencia.
Plan Informático: Realizado por el área de informática, el cual debe
cubrir las necesidades estratégicas de la compañía.
Plan de Seguridad: Que garantice confidencialidad, integridad y
disponibilidad de la información.
Plan de emergencia ante desastres: Que garantice la disponibilidad
de los sistemas ante eventos.
Estándares: que regulen la adquisición de recursos,el diseño,
desarrollo, modificación y explotación de sistemas.
1.Controles Generales Organizativos





Procedimientos: que describan la forma y las
responsabilidades de ejecución.
Organizar al departamento de informática en un nivel
suficientemente alto en la estructura organizativa.
Definiciones claras de las funciones y
responsabilidades de cada integrante de la
organización.
Políticas de personal: selección, plan de formación,
plan de vacaciones, evaluación y promoción.
Asegurar que existe una política de clasificación de la
información, y las restricciones a los usuarios.
2.Controles de desarrollo, adquisición y mantenimientos
de sistemas de información

Metodología de Ciclo de Vida del Desarrollo de Sistemas: Su
correcto empleo nos debería llevar a alcanzar los objetivos
definidos para el sistema. Algunos controles que deben existir en
la metodología son:




La alta dirección debe publicar una normativa sobre el uso de
metodología de ciclo de vida en el desarrollo de sistemas.
La metodología debe establecer los papeles y responsabilidades de
las distintas áreas del depto. de informática.
Las especificaciones del nuevo sistema deben quedar definidas por
los usuarios (stackeholders), y quedar escritas y aprobadas antes
que comience el proyecto.
Debe establecerse un estudio tecnológico de viabilidad en el cual se
formulen formas alternativas de alcanzar los objetivos del proyecto,
acompañadas de análisis coste-beneficio.
2.Controles de desarrollo, adquisición y mantenimientos
de sistemas de información








Cuando se seleccione una alternativa debe realizarse un plan
director del proyecto, con una metodología de control de
costos.
Procedimientos para la definición y documentación de
especificaciones
Plan de validación, verificación y pruebas.
Estándares de prueba de programas o sistemas
Prueba de aceptación funcional final
Los procedimientos de adquisición de software deberán
seguir las políticas de adquicicón de la organización.
La contratación de servicios externos deberá ser justificada.
Deberán prepararse manuales de operación, usuario y
mantenimiento como parte de todo proyecto.
2.Controles de desarrollo, adquisición y mantenimientos
de sistemas de información

Explotación y mantenimiento: El establecimiento de
controles asegurará que los datos se tratan
correctamente y que la mantención de los sistemas
deberá efectuarse con las autorizaciones necesarias.
3. Controles de explotación de sistemas de
información

Planificación y Gestión de Recursos.




Controles para usar de manera efectiva los recursos en
computadores.







Presupuesto
Adquisición de Equipos
Gestión de la Capacidad de Equipos
Calendario de carga de trabajo
Programación de personal
Mantenimiento preventivo
Gestión de problemas y cambios
Procedimientos de facturación de usuarios
Procedimientos de selección del software, instalación,
mantención, de seguridad y control de cambios.
Seguridad física y lógica.
4. Controles en Aplicaciones



Control de entrada de datos: Conversión, validación y
corrección de datos.
Control de manipulación de datos
Controles de salidas de datos
5. Controles específicos de ciertas tecnologías

Controles en Sistemas de Gestión de Base de Datos
(SGBD)



Controles en computación distribuida y redes




Controles sobre el acceso a los datos y concurrencia
Recuperación de la BD en caso de fallos
Procedimientos de cifrado de información sensible que viaja
en la red.
Detectar la correcta o mala recepción de mensajes.
Revisar contratos de mantención.
Controles sobre computadores personales


Controles de acceso a las redes
Procedimientos de control de software licenciado
Conclusión


Es necesario revisar frecuentemente los controles
internos para asegurarnos que el proceso funciona
según lo previsto.
Lo anterior es muy importante, ya que a medida que
cambian los factores internos o externos, los controles
que antes eran adecuados, ahora no lo son.
Descargar

AGENDA