ESCUELA DE ADMINISTRACIN Y NEGOCIOS CARRERA DE AUDITORA

AUDITORA DE SISTEMAS DE INFORMACIN

PPT 08

TCNICAS PARA AUDITORA DE SISTEMAS COMPUTACIONALES

OBJETIVOS DE APRENDIZAJE
Al final de esta sesin , ustedes podrn:

Conocer y aplicar tcnicas de auditora para auditar ambientes computacionales

Conocer las herramientas CAAT Conocer y aplicar los Check List en auditora

Conocer el Enfoque Analtico para auditar un ambiente computacional

TEMARIO

1. INTRODUCCIN
2. PROGRAMAS CAAT 3. LISTAS DE CONTROL DE AUDITORA 4. ENFOQUE ANALTICO

INTRODUCCIN
TODA ACCIN DE AUDITORA SIGUE CIERTOS PASOS ESPECFICOS, MEDIANTE LOS CUALES SE VA DESARROLLANDO EL TRABAJO EN S. TALES FASES O ETAPAS SON TOTALMENTE VLIDAS CUANDO LA AUDITORA SE DESARROLLA EN UN AMBIENTE EN EL CUAL EST PRESENTE EL PROCESAMIENTO ELECTRNICO DE DATOS. ESTOS PASOS SON, BSICAMENTE LOS QUE SE ANALIZARN A CONTINUACIN.

TCNICAS DE AUDITORA

( Computer Assisted Auditing Techniques ) DEFINICIN Programas de computacin orientados a apoyar la realizacin de pruebas sustantivas y que, adems, facilitan al auditor el acceso directo a la informacin almacenada en los registros del computador. VENTAJAS Permiten organizar la informacin en el formato ms adecuado para la auditora. Permiten obtener un producto pre-analizado ( Ej.: Chequeo indicando las diferencias ). Se dirige al objetivo deseado. Los datos se examinan con mayor rapidez. Se pueden llegar a detectar las desviaciones en forma automtica.
6

TCNICAS DE AUDITORA
TIPOS DE CAAT 1. PAQUETES DE SOFTWARE DE AUDITORA Diseados para la realizacin de procedimientos de auditora

2. PROGRAMAS UTILITARIOS Programas desarrollados para realizar funciones de carcter rutinario como: - Seleccin o reordenamiento de registros de datos - Mezcla de diferentes archivos de datos - Copia de contenido de archivos - Copia de actividad de procesos
3. PROGRAMAS PARA EVALUACIN INTERACTIVA Anlisis de transacciones en lnea

TCNICAS DE AUDITORA
APLICACIONES DE CAAT 1. 2. 3. INFORMES DE EXCEPCIN SELECCIN DE MUESTRAS DE AUDITORA PRUEBAS DE CLCULOS REALIZADAS POR SISTEMAS

4.
5. 6. 7.

PRUEBAS DE IMPUTACIN
ARCHIVOS DE CONTROL DE TOTALES COMPARACIN DE DATOS GENERADOS EN ARCHIVOS DISTINTOS RESUMEN Y ORDENAMIENTO DE INFORMACIN

TCNICAS DE AUDITORA

( CHECKLIST ) DEFINICIN Herramienta de evaluacin orientada a la revisin de ciclos operacionales tpicos. Para cada ciclo operativo se tiene definido o predeterminado, tanto las transacciones como los procedimientos de control asociado al ciclo. ESTRUCTURA Un CHECKLIST tpico considera la siguiente estructura:
PREGUNTA SI NO SI NO OBSERVACIN

El control se est ejecutando, esto implica, hacer pruebas de

cumplimiento Ausencia de control, se debe tener claro el riesgo que ello conlleva

TCNICAS DE AUDITORA
METODOLOGA DE UN CHECKLIST 1. DESCRIPCIN DE LA INSTALACIN CENTRAL - Cuestionario de descripcin del Centro de Computacin - Cuestionario de gestin, administracin y planificacin - Cuestionario de polticas de informtica 2. REVISAR POLTICAS DE CONTRATACIN Y ADMINISTRACIN DEL PERSONAL DE INFORMTICA, PROCEDIMIENTOS Y OPERACIN DE LAS APLICACIONES - Cuestionario de aspectos del personal - Cuestionario sobre operaciones del centro computacional - Cuestionario sobre administracin de la seguridad del centro comp. - Cuestionario de la seguridad fsica - Cuestionario de respaldo del Centro de Computacin - Cuestionario de recuperacin de catstrofes

10

TCNICAS DE AUDITORA
METODOLOGA DE UN CHECKLIST (Continuacin)

3. INVESTIGAR ASPECTOS ORGANIZATIVOS Y DE PROCEDIMIENTOS DEL CENTRO DE COMPUTACIN Y SU RELACIN CON OTRAS REAS DE SU DEPENDENCIA - Cuestionario sobre puesta en servicio de las aplicaciones - Cuestionario de programacin de sistemas - Cuestionario de control de medios magnticos - Cuestionario de mantencin de equipos y la red conectada al centro de computacin

11

TCNICAS DE AUDITORA

DEFINICIN Metodologa orientada a determinar el grado de exposicin al riesgo, que tiene cualquier actividad que se desarrolle en un ambiente computacional y la capacidad de control asociada a ste. METODOLOGA La metodologa indicada considera la ejecucin de las siguientes fases: 1. 2. 3. 4. Definir ambiente Identificar objetivos de control y riesgos Identificar y comprobar controles Evaluar el grado de exposicin

12

TCNICAS DE AUDITORA
1. DEFINICIN DE AMBIENTE A. Consiste en la composicin de ELEMENTOS y ACTIVIDADES que conforman el objetivo a evaluar.

B. Basado en lo anterior, confeccionar un Modelo o Diagrama de Acceso. ELEMENTOS

Son los componentes pasivos del ambiente a revisar que pueden ser lgicos o fsicos. Los elementos y su seguridad son el objeto principal de la revisin. Por ejemplo: Programas Procedimientos Formularios Actividades personales Accesos

13

TCNICAS DE AUDITORA
ACTIVIDADES Son los componentes dinmicos del ambiente a revisar. Por ejemplo: Ejecucin de Programas Ejecucin de Procedimientos Llenado de Formularios Control de Actividades personales Ingreso a ambientes controlados

DIAGRAMA DE ACCESO

Es una representacin grfica de la forma en que los elementos ser relacionan con las actividades.

14

TCNICAS DE AUDITORA
2. IDENTIFICACIN DE LOS OBJETIVOS DE CONTROL Y RIESGOS A. En esta etapa se determina el Modelo de los Objetivos de Control, que debern ser cotejados con los existentes en el ambiente analizado. B. Dado que el tema de seguridad se basa en una premisa negativa, es necesario convertir estos objetivos de control en riesgos. C. Los objetivos de control de las actividades se plantea en trminos de cmo deben ser ejecutadas, cuales personas pueden ejecutarlas y en qu oportunidad y bajo cules circunstancias. D. Los objetivos de control de los elementos se plantean en trminos de cuales actividades pueden accesarlos y la necesidad de estar disponibles para ser accesados cuando corresponda.

Ejemplo:
Objetivo = Las transacciones de actualizacin de saldos de cuentas corrientes, debern ser ejecutadas exclusivamente por cajeros automticos. Riesgo = Lo mencionado en el objetivo lo lleve a cabo una persona no autorizada.
15

TCNICAS DE AUDITORA
3. IDENTIFICAR Y COMPROBAR CONTROLES A. En esta fase el objetivo es identificar los controles existentes y comprobar su aplicacin en la prctica, independientemente de la calidad del control propiamente tal. B. Esta etapa se efecta en base a los resultados obtenidos en la primera fase (Definir ambiente), por lo tanto, esta actividad debe realizarse independiente de la etapa anterior (Identificar objetivos de control y riesgos). C. Para la identificacin de los controles, es preciso efectuar una revisin acuciosa de los elementos y actividades dentro del alcance del proyecto. Para esto se cuenta con fuentes de informacin que ayudarn a identificar los controles:
Organigrama Procedimientos Flujogramas Normas polticas Observacin directa

Una vez identificados los controles existentes, es importantes la aplicacin de dichos controles en la prctica
16

TCNICAS DE AUDITORA
4. EVALUAR GRADO DE EXPOSICIN PASO 1: Esta etapa consiste en parear los riesgos con los controles identificados que de alguna manera, contribuyen a mitigarlos. Este proceso se realiza a travs del llenado de una matriz. PASO 2: Evaluar cada riesgo en forma estructurada, para lo cual se deben analizar slo los controles que se consideraron como mitigadores de cada riesgo.

PASO 3: El paso siguiente es aplicar un algoritmo de valuacin de riesgocontrol. Como resultado de la aplicacin del algoritmo de evaluacin de riesgos, es posible identificar los riesgos que representan una mayor exposicin para la empresa.
EL PRODUCTO FINAL DE ESTE ESFUERZO DEBER SER UNA DESCRIPCIN DETALLADA DE LOS ESCENARIOS IDENTIFICADOS, Y LAS RECOMENDACIONES RESPECTO DE LA FORMA EN QUE PUEDEN SER CONTROLADOS.
17

TCNICAS DE AUDITORA

EL PRODUCTO FINAL DE ESTE ESFUERZO DEBER SER UNA DESCRIPCIN DETALLADA DE LOS ESCENARIOS IDENTIFICADOS, Y LAS RECOMENDACIONES RESPECTO DE LA FORMA EN QUE PUEDEN SER CONTROLADOS. POR LO TANTO, SE PODR CONCLUIR RESPECTO DE:

El grado general de exposicin al riesgo en relacin a las

intenciones de la Gerencia. Los riesgos especficos que estn adecuadamente controlados y, recomendaciones de cmo reducir la exposicin. Los escenarios de prdida, basados en combinaciones de riesgos y recomendaciones de cmo evitar su ejecucin

18