ndice

AUDITORIA DE SISTEMAS

INTRODUCCIN --------------------------------------------------------------------------------------------- 1 DEFINICIN--------------------------------------------------------------------------------------------------- 2 OBJETIVOS ESPECFICOS DE LA AUDITORIA DE SISTEMAS ------------------------------- 3 FASES BSICAS DE UN PROCESO DE REVISIN DE UNA AUDITORIA: ----------------- 4 ESTUDIO PRELIMINAR ----------------------------------------------------------------------------------- 4 REVISIN Y EVALUACIN DE CONTROLES Y SEGURIDADES ----------------------------- 4 EXAMEN DETALLADO DE REAS CRITICAS ----------------------------------------------------- 4 COMUNICACIN DE RESULTADOS ------------------------------------------------------------------ 5 DESARROLLO DEL PROGRAMA DE AUDITORA. ------------------------------------------------ 5 TEMA DE AUDITORA: ------------------------------------------------------------------------------------- 5 OBJETIVOS DE AUDITORA: ---------------------------------------------------------------------------- 5 ALCANCES DE AUDITORA: ---------------------------------------------------------------------------- 5 PLANIFICACIN PREVIA: -------------------------------------------------------------------------------- 6 PROCEDIMIENTOS DE AUDITORA PARA: --------------------------------------------------------- 6 TCNICAS DE RECOPILACIN DE EVIDENCIAS. ----------------------------------------------- 7 JUSTIFICATIVOS PARA EFECTUAR UNA AUDITORA DE SISTEMAS --------------------- 7 PRINCIPALES REAS DE LA AUDITORIA DE SISTEMAS. ------------------------------------- 8 PERFIL DEL AUDITOR DE SISTEMAS ---------------------------------------------------------------- 8 FUNCIONES DE LA AUDITORIA DE SISTEMAS ----------------------------------------------- 9 MAPA CONCEPTUAL ------------------------------------ ERROR! BOOKMARK NOT DEFINED. CUESTIONARIO ------------------------------------------- ERROR! BOOKMARK NOT DEFINED. BIBLIOGRAFA ---------------------------------------------------------------------------------------------- 10

Contendido

AUDITORIA DE SISTEMAS

Introduccin A finales del siglo XX, los Sistemas Informticos se han constituido en las herramientas ms poderosas para materializar, uno de los conceptos ms vitales y necesarios para cualquier organizacin empresarial, los Sistemas de Informacin de la empresa. La informtica hoy, est subsumida en la gestin integral de la empresa, y por eso las normas y estndares propiamente informticos deben estar, por lo tanto,

sometidos a los generales de la misma. En consecuencia, las organizaciones informticas forman parte de lo que se ha denominado el management o gestin de la empresa. Cabe aclarar que la informtica no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por si misma. Por ende, debido a su importancia en el funcionamiento de una empresa existe la Auditoria Informtica. El trmino de Auditoria se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluacin cuyo nico fin es detectar errores y sealar fallas. A causa de esto, se ha tomado la frase Tiene Auditoria como sinnimo de que, en dicha entidad, antes de realizarse la auditoria, ya se haban detectado fallas. El concepto de auditoria mucho ms que esto. Es un examen crtico que se realiza con el fin de evaluar la eficacia y eficiencia de una seccin, un organismo, una entidad, etc. Asimismo, se encarga de llevar a cabo la evaluacin de normas, controles, tcnicas y procedimientos que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la informacin que se procesa a travs de los sistemas de informacin. La auditora de sistemas es una rama especializada de la auditora que promueve y aplica conceptos de auditora en el rea de sistemas de informacin. La auditoria en informtica es la revisin y la evaluacin de los controles, sistemas, procedimientos de informtica; de los equipos de cmputo, su
1

Contendido

utilizacin, eficiencia y seguridad, de la organizacin que participan en el procesamiento de la informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones

Definicin La auditora de los sistemas de informacin se define como cualquier auditora que abarca la revisin y evaluacin de todos los aspectos (o de cualquier porcin de ellos) de los sistemas automticos de procesamiento de la informacin, incluidos los procedimientos no automticos relacionados con ellos y las interfaces correspondientes. El objetivo final que tiene el auditor de sistemas es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnologa informtica con el fin de lograr mayor eficiencia operacional y administrativa La auditora es un examen crtico y sistemtico que se realiza una persona o grupo de personas independientes del sistema hacer auditado. Aunque hay tipos de auditora interna y externa. La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Informacin salvaguarda, para mantener la integridad de los datos, para llevar a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos utilizados dentro de la institucin. Auditoria consiste principalmente en que estudiar los mecanismos de control

estn implantados en una empresa u organizacin, determina si los son adecuados y cumplen determinados objetivos o estrategias,

mismos

estableciendo los cambios que se deberan realizar para la consecucin de los mismos. Por otra parte, la Auditora de Sistemas tambin es: La verificacin de controles en el procesamiento de la informacin, desarrollo de sistemas e instalacin con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia.
2

Contendido

La actividad dirigida a verificar y juzgar informacin. El examen y evaluacin de los procesos del Area de Procesamiento automtico de Datos (PAD) y de la utilizacin de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economa de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas. El proceso de recoleccin y evaluacin de evidencia para determinar si un sistema automatizado:

Objetivos especficos de la auditoria de sistemas 1. Participacin en el desarrollo de nuevos sistemas: evaluacin de controles cumplimiento de la metodologa.

2. Evaluacin de la seguridad en el rea informtica. 3. Evaluacin de suficiencia en los planes de contingencia. respaldos, preveer qu va a pasar si se presentan fallas.

4. Opinin de la utilizacin de los recursos informticos. resguardo y proteccin de activos.

5. Control de modificacin a las aplicaciones existentes. fraudes control a las modificaciones de los programas.

6. Participacin en la negociacin de contratos con los proveedores. 7. Revisin de la utilizacin del sistema operativo y los programas utilitarios. control sobre la utilizacin de los sistemas operativos programas utilitarios.

8. Auditora de la base de datos. estructura sobre la cual se desarrollan las aplicaciones.

9. Auditora de la red de teleprocesos. 10. Desarrollo de software de auditora.

Contendido

Es el objetivo final de una auditora de sistemas bien implementada, desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del rea de procesamiento de datos

Las cuatro fases bsicas de un proceso de revisin de una auditoria:

Estudio preliminar Revisin y evaluacin de controles y seguridades Examen detallado de reas criticas Comunicacin de resultados

Estudio preliminar Incluye definir el grupo de trabajo, el programa de auditora, efectuar visitas a la unidad informtica para conocer detalles de la misma, elaborar un

cuestionario para la obtencin

de informacin para evaluar preliminarmente el

control interno, solicitud de plan de actividades, Manuales de polticas, reglamentos, Entrevistas con los principales funcionarios del PAD.

Revisin y evaluacin de controles y seguridades Consiste de la revisin de los diagramas de flujo de procesos, realizacin de pruebas de cumplimiento de las seguridades, revisin de reas criticas, Revisin de procesos histricos aplicaciones de las Revisin de

(backups),

documentacin y archivos, entre otras actividades.

Examen detallado de reas criticas Con las fases anteriores el auditor descubre las reas criticas y sobre ellas hace un estudio y anlisis profundo en los que definir concretamente su grupo de trabajo y la distribucin de carga del mismo, establecer los motivos, objetivos,
4

Contendido

alcance Recursos que usar, definir la metodologa de trabajo, la duracin de la auditora, Presentar el plan de trabajo y analizar detalladamente cada problema encontrado con todo lo anteriormente analizado.

Comunicacin de resultados Se elaborar el borrador del informe a ser discutido con los ejecutivos de la

empresa hasta llegar al informe definitivo, el cual se presentar esquemticamente en forma de matriz, cuadros o redaccin simple y concisa que destaque los problemas encontrados, los efectos y las recomendaciones de la Auditora. El informe debe contener lo siguiente: Motivos de la Auditora Objetivos Alcance Estructura Orgnico-Funcional del rea Informtica Configuracin del Hardware y Software instalado Control Interno Resultados de la Auditora

Desarrollo del programa de auditora. Un programa de auditora es un conjunto documentado de procedimientos diseados para alcanzar los objetivos de auditora planificados. El esquema tpico de un programa de auditora incluye lo siguiente:

Tema de auditora: Donde se identifica el rea a ser auditada. Objetivos de Auditora: Donde se indica el propsito del trabajo de auditora a realizar. Alcances de auditora: Aqu se identifica los sistemas especficos o unidades de organizacin que determinado.
5

se han de incluir en la revisin en un perodo de tiempo

Contendido

Planificacin previa: Donde se identifica los recursos y destrezas que se necesitan para realizar el trabajo as como las fuentes de informacin para

pruebas o revisin y lugares fsicos o instalaciones donde se va auditar.

Procedimientos de auditora para: Recopilacin de datos. Identificacin de lista de personas a entrevistar. Identificacin y seleccin del enfoque del trabajo Identificacin y obtencin de polticas, normas y directivas. Desarrollo de herramientas y metodologa para probar y verificar los controles existentes. Procedimientos para evaluar los resultados de las pruebas y revisiones. Procedimientos de comunicacin con la gerencia. Procedimientos de seguimiento.

El programa de auditora se convierte tambin en una gua para documentar los diversos pasos de auditora y para sealar la ubicacin del material de evidencia. Generalmente tiene la siguiente estructura:

Los procedimientos involucran pruebas de cumplimiento o pruebas sustantivas, las de cumplimiento se acuerdo a las hacen para verificar que los controles funcionan de

polticas y procedimientos si los controles

establecidos y las por las

pruebas o

sustantivas

verifican

establecidos

polticas

procedimientos son eficaces.

Contendido

Tcnicas de recopilacin de evidencias. La recopilacin de material de evidencia es un paso clave en el proceso de la auditora, el auditor de sistemas debe tener conocimiento de cmo puede

recopilar la evidencia examinada. Algunas formas son las siguientes: Revisin de las estructuras organizacionales de sistemas de informacin. Revisin de documentos que inician el desarrollo del sistema, especificaciones de diseo funcional, historia de cambios a programas, manuales de usuario,

especificaciones de bases de datos, arquitectura de archivos de datos, listados de programas, etc.; estos no necesariamente se encontrarn en documentos, sino en medios magnticos para lo cual el auditor deber conocer las formas recopilarlos mediante el uso del computador. Entrevistas con el personal apropiado, las cuales deben tener una naturaleza de descubrimiento no de acusatoria. Observacin de operaciones y actuacin de empleados, esta es una tcnica importante para varios tipos de revisiones, para esto se debe documentar con el suficiente grado de detalle como para presentarlo como evidencia de auditora. Auto documentacin, es decir el auditor puede preparar narrativas en base a su observacin, flujo gramas, cuestionarios de entrevistas realizados. Aplicacin de tcnicas de muestreo para saber cuando aplicar un tipo adecuado de pruebas (de cumplimiento o sustantivas) por muestras. Utilizacin de tcnicas de auditora asistida por computador CAAT, consiste en el uso de software genrico, especializado o utilitario. de

Justificativos para efectuar una Auditora de Sistemas Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos) Desconocimiento en el nivel directivo de la situacin informtica de la empresa Falta total o parcial de seguridades lgicas y fisicas que garanticen la integridad del personal, equipos e informacin. Descubrimiento de fraudes efectuados con el computador Falta de una planificacin informtica
7

Contendido

Organizacin que no funciona correctamente, falta de polticas, objetivos, normas, metodologa, asignacin de tareas y adecuada administracin del Recurso Humano Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados Falta de documentacin o documentacin incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en produccin.

Principales reas de la Auditoria de Sistemas. * Auditora de la Explotacin * Auditora del Desarrollo de proyectos o aplicaciones. * Auditora de Informtica de Sistemas. * Auditora de Comunicaciones y Redes .* Auditora de Seguridad.

Perfil del auditor de sistemas Para poder desempear adecuadamente la funcin de auditora de sistemas, el auditor debe ser un profesional integro, poseedor de excelentes capacidades acadmicas, ticas y morales, tener conocimiento suficiente y experiencia en aspectos informticos a nivel de hardware, software, comunicaciones, en anlisis, diseo, puesta en marcha y mantenimiento de sistemas de informacin. Esta formacin es necesaria y asi lo contempla la Gua Internacional de Auditora N 15. Auditora en un ambiente PED. Prrafos 4 y 5 que dice: Prrafo 4."Cuando se audita en un ambiente PED, el auditor debe tener conocimiento suficiente sobre hardware, software y sistemas de procesamiento en computador, para planear el trabajo y entender como afecta al PED, el estudio y evaluacin del control interno y la aplicacin de los procedimientos de auditora, incluyendo tcnicas de auditoria con ayuda del computador".

Contendido

Prrafo 5."E1 auditor debe tambin tener conocimiento suficiente de PED para implementar los procedimientos de auditora en funcin del enfoque de auditoria que en particular se adopte".

Funciones de la auditoria de sistemas La Auditoria de Sistemas debe realizar las siguientes funciones bsicas: a) Revisar la organizacin administrativa, realizar la evaluacin administrativa del departamento Sistemas. b) Revisar los sistemas informativos en explotacin y en diseo, y realizar la evaluacin de los sistemas y procedimientos , y de la eficiencia que se tiene en el uso de la informacin. Auditoria de los Sistemas Informativos en Explotacin. c) Revisar la actividad que realizan las reas de procesamiento de datos, para realizar la evaluacin del proceso de datos; Auditora a las reas de procesos de Datos. d) Analizar los sistemas informticos que estn en procesos de diseo, para de procesos electrnicos: Auditoria de la Administracin de

garantizar su correccin

Contendido

Bibliografa http://ebookbrowse.com/metodologia-de-una-auditoria-de-sistemas http://programas.ecci.ucr.ac.cr/2009/1/PF3332-12009.pdf http://www.sindicom.gva.es/premi/files/auditoria%20sistemas%20inf_ok.pdf http://vbarreto.ve.tripod.com/keys/audi/audi01.html http://vbarreto.ve.tripod.com/keys/audi/audi01.html

10