Estimados ALUMNOS este es el contenido de la SEMANA 03 (14-09-2015) del curso.

Para la siguiente clase (semana 04 21-09-2015) elaborar una PRESENTACIN de

estos Temas como mximo en 6 diapositivas que expresen el contenido de TODO
EL TEMA.
(Para la Elaboracin de las diapositivas se deber de tomar en cuenta las ideas
principales de cada uno de los temas y subtemas, as como el hecho de colocar
imgenes relativas al contenido)

Llevar impreso en UNA SOLA HOJA (a colores) la Presentacin.

RAL HCTOR LPEZ SOLANO

Profesor del curso de Auditora Informtica.

====================================================================
AUDITORIA INFORMTICA - AULA 119
TERCERA SEMANA:

Planes del auditor informtico.

Funciones de control.
Herramientas de control.
Planeamiento de la revisin.
Controles de entrada, procesamiento y salida de datos.
Controles de documentacin.
Controles sobre programas.
Controles de copias de seguridad.

====================================================================

3.4 EL PLAN AUDITOR INFORMATICO

Es el esquema metodolgico ms importante del auditor informtico. En este
documento se debe describir todo sobre esta funcin y el trabajo que realiza en
la entidad. Debe estar en sintona con el plan auditor del resto de los auditores
de la entidad.
Las Partes de un plan auditor informtico deben ser al menos los siguientes.

Funciones. Ubicacin de la figura en el organigrama de la empresa.

Debe existir una clara segregacin de funciones con la informtica y de
control interno informtico y este debe ser auditado as mismo. Deben

describirse las funciones de forma precisa, y la organizacin interna del

departamento, con todos los recursos.
Procedimientos para las distintas tareas de las auditorias. Entre ellos
estn el procedimiento de apertura, el de entrega y discusin de
debilidades, entrega de informe preliminar, cierre de auditoria redaccin
de informe final, etc.
Tipos de auditoras que realiza. Metodologas y cuestionarios de las
mismas. Ejemplo: Revisin de la aplicacin de facturacin, revisin de
la LOPD, revisin de seguridad fsica, revisin de control interno, etc.
Existen tres tipos de auditoras segn su alcance, la full o completa de
una rea (ejemplo: control interno, informtica), limitada a un aspecto
(ejemplo: una aplicacin, la seguridad lgica, el software de base, etc.),
la Corrective Action Review (CAR) que es la comprobacin de acciones
correctivas de auditoras anteriores.
Sistema de evaluacin y los distintos aspectos que evala.
Independientemente de que exista un plan de acciones en el informe
final, debe hacerse el esfuerzo de definir varios aspectos a evaluar
cmo nivel de gestin econmica, gestin de recursos humanos,
cumplimiento de normas, etc. Y realizar una evaluacin global de
resumen para toda la auditoria. Esta evaluacin en nuestro pas suele
hacerse niveles que son Bien, Regular, o Mal Significado la visin de
grado de gravedad. Esta evaluacin final nos servir para definir la
fecha de repeticin de la misma auditoria en el futuro segn el nivel de
exposicin que se le haya dado a este tipo de auditoria en cuestin.
Nivel de exposicin. Como ejemplo podemos ver la figura 3.8 El Nivel de
exposicin es en este casi un nmero de uno al diez definido
subjetivamente y que me permite en base a la evaluacin final de la
ltima auditora realizada sobre ese tema definir la fecha de la
repeticin de la misma auditoria. Este nmero no conviene confundirlo
con ninguno de los parmetros utilizados en el anlisis de riesgos que
nivel de exposicin significa la suma de factores como impacto, peso el
nivel de un rea auditada porque est muy bien y no merece la pena
revisarla tan a menudos. Lista de distribucin de informes.
Seguimiento de las acciones correctoras.
Plan quincenal. Todas las reas a auditar deben corresponderse con
cuestionarios metodolgicos y deben repartirse en cuatro o cinco aos
de trabajo. Esta planificacin adems de la repeticiones y aadido de las
auditorias no programadas que se estimen oportunas debern
componer anualmente el pan de trabajo anual.
Plan de trabajo anual. deben estimarse tiempos de manera racional y
componer un calendario que una vez terminado me dar un resultado de
horas de trabajo previstas y por tanto los recursos que se necesitaran.

Debemos hacer notar que es interesante tener una herramienta

programada con metodologa abierta que permita confeccionar los
cuestionarios de las distintas auditorias y fcilmente cubrir los hitos y
fases de los programas de trabajo una vez definida la metodologa
completa. Esto se puede hacer sin dificultad con cualquier herramienta
potente que existe en la actualidad

3.5.4 Control Interno Informtico.

Herramientas de control.

Sus

mtodos

procedimientos.

Las

Hoy en da, la tendencia generalizada es contemplar, al lado de la figura del

auditor informtico, la de control interno informtico. Tal es el caso de la
organizacin internacional I.S.A.C.A. (Information Systems Audit and Control
Association Asociacin para la auditora y control de los sistemas de
informacin), creadora de la norma COBIT (tema de estudio de este informe) y
que, con anterioridad, se llam The EDP Auditors Association INC. , incluyendo
en la actualidad las funciones de control informtico adems de las de auditora.
Pese a su similitud, podramos decir que existen claras diferencias entre las
funciones del control informtico y las de la auditora informtica:

El rea informtica monta los procesos informticos seguros.

El control interno monta los controles.

La auditora informtica evala el grado de control.

Las funciones bsicas del control interno informtico son las siguientes:
Administracin de la seguridad lgica.
Funciones de control dual con otros departamentos.
Funcin normativa y del cumplimiento del marco jurdico.
Responsable del desarrollo y actualizacin del Plan de Contingencias, Manuales
de procedimientos, etc.
Dictar normas de seguridad informtica.
Definir los procedimientos de control.

 Control del Entorno de Desarrollo.

Controles de soportes magnticos segn la clasificacin de la informacin.
Controles de soportes fsicos.
Control de informacin comprometida o sensible.
Control de calidad del software.
Control de calidad del servicio informtico.
Control de costes.
Responsable de los departamentos de recursos humanos y tcnico.
Control y manejo de claves de cifrado.
Vigilancia del cumplimiento de las normas y controles.
Control de cambios y versiones.
Control de paso de aplicaciones a explotacin.
Control de medidas de seguridad fsica o corporativa en la informtica.
Responsable de datos personales.
Todas estas funciones son un poco ambiciosas para desarrollarlas desde el
instante inicial de la implantacin de esta figura, pero no debemos perder el
objetivo de que el control informtico es el componente de la actuacin segura
entre los usuarios, la informtica y el control interno, todos ellos auditados por la
auditora informtica.
Para obtener el entramado de contramedidas o controles compuesto por los
factores que veamos en la Figura 3, debemos ir abordando proyectos usando
distintas metodologas, tal como se observa en la Figura 6, que irn conformando
y mejorando el nmero de controles.

Las Herramientas de Control

En la ltima fase de la pirmide (Figura 3), nos encontramos las herramientas de
control. En la tecnologa de la seguridad informtica que se ve envuelta en los
controles, existe tecnologa hardware (como los cifradores) y software. Las
herramientas de control son elementos software que por sus caractersticas
funcionales permiten vertebrar un control de una manera ms actual y ms
automatizada. Como se vi antes, el control se define en todo un proceso
metodolgico, y en un punto del mismo se analiza si existe una herramienta que
automatice o mejore el control para ms tarde definirlo con la herramienta incluida,
y al final documentar los procedimientos de las distintas reas involucradas para
que estas los cumplan y sean auditados. Es decir, comprar una herramienta sin
ms y ver qu podemos hacer con ella es un error profesional grave que no
conduce a nada, comparable a trabajar sin mtodo e improvisando en cualquier
disciplina informtica.

Las herramientas de control (software) ms comunes son:

Seguridad lgica del sistema.
Seguridad lgica complementaria al sistema (desarrollado a medida).
Seguridad lgica para entornos distribuidos.
Control de acceso fsico. Control de presencia.
Control de copias.
Gestin de copias.
Gestin de soportes magnticos.
Gestin y control de impresin y envo de listados por red.
Control de proyectos.
Control y gestin de incidencias.
Control de cambios.
Todas estas herramientas estn inmersas en controles nacidos de unos objetivos
de control y que regularn la actuacin de las distintas reas involucradas.

Son muchas, pus, las metodologas que se pueden encontrar en el mundo de la

auditora informtica y control interno. Como resumen, se podra decir que la
metodologa es el fruto del nivel profesional de cada uno y de su visin de cmo
conseguir un mejor resultado en el nivel de control de cada entidad, aunque el
nivel de control resultante debe ser similar.
Pero en realidad, todas ellas son herramientas de trabajo mejores o peores que
ayudan a conseguir mejores resultados, ya que las nicas herramientas
verdaderas de la auditora y el control informtico son la actitud y aptitud, junto
con una postura vigilante y una formacin continuada.

PLANEAMIENTO DE LA REVISIN
PROGRAMA DE LA REVISION
1.
Identificar el rea a revisar (por ejemplo a partir del calendario de
revisiones), notificar al responsable del rea y prepararse utilizando papeles de
trabajo de auditoras anteriores
2.

Identificar las informaciones necesarias para a auditoria y para las pruebas.

3.
Obtener informaciones generales sobre el sistema operacional. En esta
etapa, se definen los objetivos y el alcance de la auditoria, y se identifican los
usuarios especficos ue estaran afectados por la auditoria (plan de entrevistas); el
auditor aprende en que consiste el entorno a revisar, y explica porque se hace la
auditoria.
4.
Obtener una compresin detallada de la aplicacin/sistema. Aqu, se pasan
entrevistas con los usuarios y el personal implicando en el sistema a revisar; se
examina la documentacin de usuarios, de desarrollo, de operacin, se identifican
los aspectos ms importantes del sistema (entrada, tratamiento salida de datos), la
periodicidad de procesos, los programas fuentes, caractersticas y estructuras de
ficheros de dato, y pista de auditoria.
5.
Identificar los puntos de control crticas en el sistema operacional. Utilizando
organigramas de flujo de informaciones, identificar los puntos de control crticos en
entrevistas con los usuarios y el personal operacional, y con el apoyo de la
documentacin sobre el sistema. El auditor tiene que identificarlos peligros y los
riesgos que podran surgir en cada punto. Los puntos de control crticos son
aquellos puntos donde el riesgo es ms grave, son necesarios controles en los
puntos de interface entre procedimientos manuales y automticos.
6.

Diseo y elaboracin de los procedimientos de la auditoria.

7.
La ejecucin de pruebas e los puntos crticos de control.se podra incluir la
determinacin delas necesidades de herramientas informticas d ayuda a la
auditoria informtica. Una revisin de cumplimiento de los procedimientos se hace
para verificarse buen seguimiento de estndares y procedimientos formales, del
proceso descrito por los organigramas de flujos. As se verificar los controles
internos del cumplimiento de a) planes, polticas, procedimientos, estndares, b) la
tica del trabajo de la organizacin, c) requerimientos legales, d) principios
generales de contabilidad y e) prcticas generales de informtica.
Se hacen revisiones sustantivas y pruebas, como resultado de la revisin del
cumplimiento de procedimientos. Si las conclusiones de la revisin de
cumplimentacin eran generalmente de positivas, se podran limitar las revisiones
sustantivas. Dentro d este punto del programa de la revisin podramos analizar si
existen ls siguientes controles.
8.
Evaluacin de la revisin y/o resultados de prueba. En esta etapa se
identifican y se evalan los puntos fuertes y dbiles de los procedimientos y
prcticas de control interno en relacin con su adecuacin, eficiencia y efectividad.
Cuando se identifique una debilidad, se determinara su causa.
Se elaboran las conclusiones asadas sobre la evidencia; lo que deber ser
suficiente, relevante, fiable, disponible, comprobable y til.
9.

Preparacin del informe. Recomendaciones.

CONTROLES

Revisar procedimientos escritos para iniciar, autorizar, recoger, preparar y

aprobar y aprobar los datos de entrada, en la forma de un manual de usuario.
Verificar que los usuarios entienden y siguen estos procedimientos.

Que se de la formacin del uso del terminal necesaria a ls usuarios.

Revisar ls documentos fuente u otros documentos para determinar si son

numerados. Tambin revisar cdigos de identificacin de transacciones y otros
campos de uso frecuentes, para determinar si son codificados previamente para
minimizar errores en los procesos de preparacin, entrada y conversin de datos.

Cuando sea necesario, verificar que todos los datos de entrada en un

sistema pasan por validacin y registro antes de su tratamiento.

Determinar si los usuarios preparan totales de control de los datos de

entrada por terminales. Comprobar la existencia de una reconciliacin de los
totales de entrada como totales de salidas.

Comprobar existencia y seguimiento de calendarios de datos y distribucin

de informes (listados).

Determinar si el archivo y retencin de documentos fuentes y otros

formularios de entrada es lgica y accesible, y que cumple las normas y
requerimientos legales.

Revisar los procedimientos de correccin de errores.

Comprobar la existencia de periodos para documentos fuentes y soportes

magnticos

CONTROLES DE SALIDA DE DATOS:

Determinar si los usuarios Comparan totales de control de los datos de

entrada con totales control de datos de salida.

Determinar si control de datos revisa los informes de salida(listados)

Para detectar errores evidentes tales como: campos de datos que faltan, valores
no razonables o formatos incorrectos.


Verificar que se hace una identificacin adecuada sobre los informes, por
ejemplo nombre y
nmero de informe, fecha de salida, nombre de
rea/departamento, pgina y totales y control si son necesarios.

Comparar la lista de distribucin de informes con los usuarios que los

reciben en realidad. Hay personas que reciben el informe que no deberan
recibirlo?

Verificar que los informes que pasan de aplicabilidad se destruyen, y que no

pasan simplemente a la basura, sin seguridad de destruccin.

Revisar la justificacin de informes, que existen una peticin escrita para

cada uno y que se utilizan realmente y que est autorizada la peticin.

Verificar La Existencia de periodos de retencin de informes y su

suficiencia.

Revisar los procedimientos de correccin de los datos de salida.

Controles de Documentacin

Verificar que dentro de las actividades de desarrollo mantenimiento de

aplicaciones se producen documentacin de sistemas, programas, operaciones y
funciones y procedimientos de usuario.

Existencia de una persona especifica encargada de la documentacin y que

mantiene de un archivo de documentos ya distribuidos y a que personas.

Comprobar que los jefes de rea de informen de faltas de documentacin

adecuada para sus empleados.

Destruccin de toda la documentacin de antiguos sistemas

Que no se aceptan nuevas aplicaciones por los usuarios sin una

documentacin completa.

Actualizacin de la documentacin al mismo tiempo que los cambios y

modificaciones en los sistemas.

La existencia de documentacin de sistemas, de programas de operacin y

de usuario para cada aplicacin ya implantada.

CONTROLES DE BACKUP T REARRANQUE


Existencia de procedimientos de backup y rearranque documentados y
comprobados para cada aplicacin en uso actualmente.

Procedimientos escritos para la transferencia de materiales y documentos

de backup entre el C.P.D principal y el sitio del backup (centro alternativo).
Mantenimiento de un inventario de estos materiales.

Existencia de un plan de contingencia.

Identificacin de aplicaciones del plan de contingencia y backup para

determinar su adecuacin y actualizacin.

Pruebas de aplicaciones crticas en el entorno de backup, con los

materiales del plan de contingencia (soportes magnticos, documentacin,
personal, etc)

Determinacin de cada aplicacin que se revisa si es un sistema crtico y

debera incluirse en el plan de contingencia.

Grabacin de todas las transacciones ejecutadas por el teleproceso, cada

da; para facilitar la reconstruccin de ficheros actualizados durante el da en caso
de fallo del sistema.

Existencia de procesos manuales para sistemas crticos en el uso del caso

fallo de contingencia.

Actualizacin del plan de contingencia cuando es necesario; pruebas

anuales.

Controles sobre programas de auditoria

Distribucin de polticas y procedimientos escritos a auditores y responsable

de reas sobre la adquision, desarrollo y uso de software de auditoria.

Uso de software de auditoria nicamente por persona autorizadas.

Participacin del auditor en la adquisicin, diseo, desarrollo e implantacin

de software de auditoria desarrollo internamente

Formacin apropiada para los auditores que manejan software de auditoria.

Participacin por el auditor en todas las modificaciones y adaptaciones del

software de auditoria, que sea de fuera o propio. Actualizacin de la
documentacin de software.

Verificacin de que los programas de utilidad se utilizan correctamente

(cuando no se puede utilizar el software de auditoria).

Revisin de tablas de contraseas de personas que han causado baja.

Controles de las satisfaccin de los usuarios

Disponibilidad de polticas procedimientos sobre el acceso y uso de la

informacin.

Resultados fiables, completos,

aplicaciones(integridad de datos)

puntuales

exactos

de

las

Utilidad de la informacin de salida de la aplicacin en la toma de decisin

por los usuarios.

Comprensin por los usuarios de los informes e informaciones de salida de

las aplicaciones.

Satisfaccin de los usuarios con la informacin que produce la aplicacin.

Revisin de los controles de recepcin, archivo, proteccin y acceso de

datos guardados sobre todo tipo de soporte.

Participacin activa de los usuarios en la elaboracin de requerimiento de

usuarios, especificaciones de diseo de programas y revisin de resultados de
pruebas.

Controles por el usuario en la transferencia de informaciones por

intercambio de documentos.

Resolucin fcil de problemas, errores, irregularidades y omisiones por

buenos contactos entre usuarios y las personas del C.P.D.

Revisiones regulares de procesos que podran mejorarse por

automatizacin de aspectos particulares o reforzamientos de procesos manuales.