MAESTRIA EN

INFORMATICA FORENSE,
SEGURIDAD DE LA INFORMACION Y
AUDITORIA INFORMATICA

Procesos de Auditoria de
Sistemas
CAPITULO 1
JUAN CARLOS LEA PLAZA LOPEZ, MBA, CGEIT.

BIBLIOGRAFIA
Reingeniera de la Auditoria Informtica Gustavo
Adolfo Sols Montes, Ed. Trillas, 2002.
Auditoria Informtica (Un enfoque prctico) 2da.
Edicin Mario Piattini Emilio del Peso, Ed.
Alfaomega Ra-Ma, 2008
Manual de ISACA, Examen CISA-2008 a 2012
Manual de ISACA, CISM / CGEIT-2008 a 2012

OBJETIVOS DEL CAPITULO

Misin y Planificacin de la Auditora.
Estndares y guas para la Auditora de Sistemas.
Procesos en la ejecucin de una Auditora de Sistemas.
Aplicacin de Software en una Auditora de Sistemas.

Auditora de Sistemas.

INTRODUCCION
NATURALEZA ECLECTICA
Eclctico, en un sentido amplio, significa:

La interaccin de distintas ciencias o reas de

conocimiento en la resolucin de un problema que
resulta demasiado complejo para una de ellas
actuando en forma aislada
Esto precisamente ocurre con la Auditora en TIs lo
que hace una disciplina o especialidad muy compleja,
para ser desempeada por un solo individuo.
Normalmente se debe realizar este trabajo un
conjunto multidisciplinario, veamos cuales disciplinas
y por que..

INTRODUCCION
SISTEMAS DE INFORMACION
A manera de introduccin, se debe considerar que
es impensable que exista un Auditor de Sistemas de
Informacin, Auditor Informtico o Auditor de TICs
que no tenga conocimientos sobre: Ciclo de vida de
los Sistemas de Informacin, Tcnicas de
Desarrollo, anlisis y programacin, Software,
Hardware, Teora de redes y telecomunicacin,
empleo de herramientas CASE, Administracin de
Seguridad, etc., puesto que su funcin ser
verificar o determinar si otras personas desarrollan
en forma adecuada actividades que utilizan este
conjunto de conocimientos y ms an, emitir
recomendaciones que permitan mejorar dichas
actividades.

INTRODUCCION
CASO DE EJEMPLO (1):
Una empresa se encuentra en proceso de
desarrollo de un Sistema de Informacin que
resultar Estratgico para su competitividad
en el Mercado. El Sistema no ha sido
concluido an, pero el Directorio desea
conocer el estado actual del Proyecto y poder
identificar (si existiera) cualquier situacin
que pudiera poner en riesgo el logro exitoso
del Proyecto.
Se le pide al Auditor de TI realizar una
evaluacin del Proyecto.

INTRODUCCION
PROCESAMIENTO ELECTRONICO DE DATOS
Se entiende que hoy, todo SI estar automatizado por lo que se precisa del uso de equipos.
Por lo que el Auditor Informtico o Auditor de
TICs debe conocer sobre: Sistemas
Operativos, DBMS, Base de Datos, perifericos,
Unidades de Almacenamiento,. etc.,

Este conocimiento es imprescindible puesto

que la Informacin o Archivos y todos los
procedimientos estarn automatizados y la
labor de analizarlos y evaluarlos requerir de
un buen nivel de conocimientos al respecto.

INTRODUCCION
CASO DE EJEMPLO (2):
Una empresa desea remplazar su Parque Computacional, as
como su tipo de Procesamiento, esto debido a que el
resultado de una Consultora as lo recomend. La Empresa
encomienda este proceso de seleccin al CIO de la Empresa,
como corresponde.
No obstante y debido a la magnitud de la inversin y a la
trascendencia de esta adquisicin, la Direccin desea obtener
una confirmacin de que el proceso de seleccin del nuevo
equipo representa la mejor alternativa tecnolgica para la
Empresa y que la relacin costo-beneficio es la ms
favorable.
Se le pide al Auditor de TI realizar una evaluacin del
Proyecto.

INTRODUCCION
TELECOMUNICACIONES
Esta rea requiere de un alto nivel tcnico para su
evaluacin. Hoy se tiene un avance considerable en
el uso de telecomunicaciones relacionados con los SI
y aumenta da a da.
Los conceptos tales como: Internet, e-mail, e-commerce,
Voz sobre IP, ERP, CRM, Videoconferencias, transcriptores
automticos, Intranet, etc.

Se han convertido en elementos cotidianos en toda

organizacin y en la vida de los Usuarios
(empleados), por lo que el conocimiento en este
tema de Telecomunicaciones es de gran inters para
un Auditor en TI.

INTRODUCCION
CASO DE EJEMPLO (3):
Una empresa decidi abrir Sucursales en distintas
ciudades del Pas, para lo cual adquiri un Paquete de
Software y nuevo equipamiento para realizar
transacciones en Lnea (on line) con todas sus
Sucursales, todo esto condicionando a que no desea
perder la integridad, confidencialidad y disponibilidad
de los datos.
La Direccin de TI ha recomendado la implantacin
de una Red WAN, el Directorio desea asegurarse que
el Proyecto tenga el xito esperado.
Se le pide al Auditor de TI realice la supervisin ms
adecuada y participe desde el inicio en el Proyecto.

INTRODUCCION
TEORIA GENERAL DE SISTEMAS
Los aspectos relacionados con SI se han visto
influenciados por la TGS, esto por que se espera la
interaccin de varios procesos en un solo Sistema,
esto conlleva a conocimientos como: Sistemas
Integrados, desarrollo de ERP (Enterprise Resource
Planning), Sinergia de Sistemas, DSS (Decision System
Support), Cuadro de Mando Integral (BSC) Balanced Scord
Card, etc.

Estos conceptos son de aplicacin en las Empresas y

su conocimiento y utilizacin ayudan a comprender
mejor el funcionamiento de la organizacin y sus
debilidades y as identificar problemticas y
fundamentar recomendaciones.
Estos conocimientos para el Auditor en su labor de
Asesor coadyuvar significativamente al logro de sus
objetivos de trabajo.

INTRODUCCION
CASO DE EJEMPLO (4):
Una empresa acaba de concluir un trabajo de
Reingeniera el cual recomend la integracin de
varios Sistemas de Informacin y la coordinacin de
diferentes reas de la Empresa. Sin embargo, no se
han obtenido los resultados previstos y la Direccin de
la Empresa sospecha que existen problemas de
integracin, no solo tecnolgica, sino de los grupos de
trabajo.

La Direccin pide al Auditor de TI realice la evaluacin

de la situacin actual, identifique la problemtica y
pueda emitir recomendaciones adecuadas para la
implantacin recomendada.

INTRODUCCION
CIENCIAS DEL COMPORTAMIENTO HUMANO
No se puede obviar que finalmente son seres humanos los
que asumirn el papel de USUARIOS o PROVEEDORES de
informacin de todo Sistema, el elemento humano se ha
convertido en el componente ms importante en la
implantacin de los SI, por esto se debe conocer por ejemplo:
El mayor xito y fracaso de los SI est en la Implantacin; Conceptos de
Ingeniera Social; Controles de autenticacin; Controles en
procedimientos del Help Desk, etc.

Estos conceptos son tan importantes puesto que est

demostrado que la mayora de los fracasos en Proyectos de
SI se deben a los Recursos Humanos.
Esto recomienda que el Auditor tenga un adecuado
conocimiento sobre el comportamiento humano, para estar en
la posibilidad de evaluar los componentes de la administracin del cambio (change management) en cualquier Proyecto
de TI.

INTRODUCCION
CASO DE EJEMPLO (5):
Una empresa se encuentra en la fase final de la
Implantacin de un Sistema importante del
Departamento de compras. El equipo de consultores,
responsables del Proyecto, ha identificado la
existencia de nichos de poder en el departamento
de adquisiciones y teme que se presente una gran
resistencia a la Implantacin del Nuevo Sistema.
La Direccin le ha solicitado al Auditor de TI realizar
una evaluacin del Proyecto, para determinar si se
han incluido los elementos necesarios para una
adecuada administracin del cambio.

INTRODUCCION
FINANZAS Y CONTABILIDAD
No se debe olvidar que la Auditora en TI
(originalmente auditora de PED) tuvo su origen en la
auditora de sistemas contables y financieros; Debido
a la incorporacin de Tecnologa de informacin en
su procesamiento se habla hoy de AI.
Por esto el conocimiento en: Sistemas Contables;
Normas de Contabilidad y Finanzas, Costos,, etc.

prcticamente son indispensables para un

profesional en Auditora Informtica que desee
revisar o comprender Sistemas financieros o
contables.

INTRODUCCION
CASO DE EJEMPLO (6):
Una empresa ha contratado los servicios de una importante
firma local de Auditores externos, para practicar una Auditora
a sus estados financieros. Dicha Empresa cuenta con un
Sistema de Contabilidad automatizado, en el que se concentran
las transacciones de otros Sistemas Operacionales.
Se considera que la integracin de esta cifras es una de las
principales areas de riesgo en la Auditora, por lo que..
se solicita a la firma de Auditora esterna la asignacin
especfica de un Auditor en TI para que analice el Sistema y
determine si la contabilizacin de transacciones se realiza en
forma oportuna, ntegra y de acuerdo con los principios de
contabilidad generalmente aceptados.

INTRODUCCION
AUDITORIA
Finalmente y como un elemento que integra y
da sentido a todos los dems componentes
del conocimiento, se encuentran los conceptos
sobre Auditora, su proceso, normatividad,
tcnicas, compromisos, etc, etc.. Sern como
la columna vertebral del cuerpo eclctico de
conocimientos, dando forma y orden a todos
los elementos necesarios para llevar a cabo
las funciones de Auditora en TI con niveles
mnimos de calidad.

Misin y Planificacin
de la Auditoria

Misin y Planificacin de la Auditoria

Organizacin de la Funcin de
Auditora de SI

Administracin de los Recursos de

Auditoria de SI
Planificacin de la Auditora

Leyes y regulaciones

Misin y Planificacin de la Auditoria

Organizacin de la Funcin de
Auditoria de SI
Estatutos de Auditoria

Autoridades
Responsabilidades
Objetivos

Misin y Planificacin de la Auditoria

Administracin de Recursos de
Auditoria de SI
Recursos Humanos (Auditores de SI)

Tecnologa

Misin y Planificacin de la Auditoria

Planificacin de la Auditoria de SI
Una planificacin adecuada es el primer
paso necesario para la ejecucin de
auditorias de TI efectivas

Necesidad de comprender el ambiente

general del negocio as como los riesgos de
negocio y de control asociados

Misin y Planificacin de la Auditoria

Planificacin de la Auditora
de SI
Evaluar riesgos operacionales y
de control e identificar objetivos
de control durante la
planificacin de la auditora

Misin y Planificacin de la Auditoria

Para realizar una planificacin de auditora, el
auditor de SI debe:
1. Comprender la misin, los objetivos y los
procesos del negocio, los requerimientos de
informacin y de procesamiento tales como
la disponibilidad, la integridad y la
seguridad adems de los requerimientos de
la arquitectura de la informacin. En
trminos generales, los procesos y la
tecnologa.

Misin y Planificacin de la Auditoria

2. Identificar contenidos especficos como
polticas, estndares, procedimientos y
estructura de la Organizacin
3. Realizar un anlisis de riesgos.
4. Conducir una revisin de control interno.
5. Definir el alcance de la auditora y el (los)
objetivo(s) de la auditora.
6. Desarrollar el enfoque o la estrategia de
auditora.
7. Asignar recursos para la auditora y
encarar la logstica del trabajo.

Misin y Planificacin de la Auditoria

Leyes y regulaciones
Requerimientos regulatorios

Establecimiento
Organizacin
Responsabilidades
Correlacin con las funciones de
auditora financiera, operacional y
de TI

Misin y Planificacin de la Auditoria

Leyes y regulaciones
Pasos para determinar el cumplimiento
de requerimientos externos:
Identificar requerimientos externos
Documentar leyes y regulaciones
pertinentes
Determinar si la gerencia y la funcin
de SI han considerado los
requerimientos externos pertinentes

Misin y Planificacin de la Auditoria

Revisar documentos internos del

departamento de SI que muestren
adherencia a las leyes aplicables

Determinar la adherencia a
procedimientos establecidos

Misin y Planificacin de la Auditoria

EJERCICIO
Una empresa PYME, en expansin, tiene
planificado su crecimiento tecnolgico y para
asegurarse del adecuado control del uso de la
tecnologa ha decidido implementar su
departamento de Auditora de Sistemas.
Explique
cmo
lo
organizara,
cmo
administrara sus recursos, qu realizara en la
planificacin de auditora y cmo le afectaran
las leyes.

Estndares y Guas
para la Auditoria
de SI

Estndares y Guas para la Auditoria de SI

Organizaciones que definen estndares
para Auditoria

AICPA American Institute of Certified

Public Accountants

IIA The Institute of Internal Auditors

ISACA Information Systems Audit and
Control Association

Estndares y Guas para la Auditoria de SI

Organizaciones que definen
estndares para Auditoria

CICA Canadian Institute of

Chartered Accountants

IFAC International Federation of

Accountants

ISSA Information System Security

Association

Estndares y Guas para la Auditoria de SI

Organizaciones que definen estndares para
Auditoria

SIM Society for Information Management

AITP Association of Information Technology

Professionals

IFIP International Federation for

Information Processing

Estndares y Guas para la Auditoria de SI

Organizaciones que definen
estndares para Auditoria

ACM Association for Computing

Machinery

ICAA The Institute of Charteres

Accountants in Australia

NIST National Institute of Standards

and Technology

Estndares y Guas para la Auditoria de SI

Organizaciones que definen

estndares para Auditoria
GAO General Accounting Office
INTOSAI International Organization
of Supreme Audit Institutions

Estndares y Guas para la Auditora de SI

Pronunciamientos y Estndares

AICPA:
SAS 3 1974 Los Efectos de EDP en el

Estudio y Evaluacin del Auditor sobre el

Control Interno

SAS 48 1984 Los Efectos del

Procesamiento Computacional sobre el

Examen de los Estados Financieros

SAS 55 1988 Consideracin de la

Estructura de Control Interno en un

Estado Financiero

Estndares y Guas para la Auditoria de SI

Pronunciamientos y Estndares

AICPA:

SAS 78 1990 Enmiendas al SAS 55

SAS 82 1996 Consideracin de Fraude en
los Estados Financieros

SAS 94 2001 El Efecto de la Tecnologa de

Informacin en las consideraciones del
Auditor hacia el Control Interno en una
Auditoria de Estados Financieros

SAS 99 2002 Consideracin de Fraude en

un Estado Financiero

Estndares y Guas para la Auditoria de SI

Pronunciamientos y Estndares
IIA:

Estndares para la Prctica

Profesional de Auditoria Interna

Estatutos de Estndares de Auditoria

Interna

Estndares y Guas para la Auditoria de SI

Pronunciamientos y Estndares

ISACA:

1975 Objetivos de Control EDP

1984 Objetivos de Control EDP Actualizacin

1996 Objetivos de Control para la

Tecnologas de Informacin y
Relacionadas COBIT

Estndares y Guas para la Auditora de SI

Pronunciamientos y Estndares

CSOTC Commitee of Sponsoring

Organizacions of the Treadway
Commision:
Control Interno Marco Integral
Reporte COSO

Sarbanes - Oxley

Estndares y Guas para la Auditora de SI

Estndares de ISACA

Cdigo de tica Profesional de ISACA

El cdigo de tica profesional de ISACA

provee una gua de conducta
profesional y personal para los
miembros de la Asociacin y/o
poseedores de las certificaciones
CISA,CISM, CGEIT y CRISC

Estndares y Guas para la Auditora de SI

Estructura de los estndares de

Auditora de SI de ISACA:

Estndares (Definen requisitos obliga-

Guas (Directrices que sirven de guas

Procedimientos (Ofrecen ejemplos de

torios para la A.I. y el reporte de S.I)

para aplicar los estndares de la A.I.)

cmo se deben seguir los procesos para una

A. de SI)

Estndares y Guas para la Auditora de SI

Estndares y guas de ISACA para

la Auditora de Sistemas

Estatutos de Auditora

Independencia

tica y estndares Profesionales

Competencia Profesional

Planeacin
Ejecucin del trabajo de auditora.
Informe
Actividades de Seguimiento..etc..etc

Estndares y Guas para la Auditora de SI

Estatutos de auditora

Responsabilidad, autoridad y sujecin a

rendicin de cuentas.

Independencia
Independencia profesional
Relacin organizacional

Estndares y Guas para la Auditora de SI

tica profesional y Estndares

Cdigo de tica profesional

Debido cuidado profesional

Competencia
Habilidades y conocimiento
Educacin profesional contnua

Estndares y Guas para la Auditora de SI

Planificacin
Planificacin de Auditora

Ejecucin del trabajo de auditora

Supervisin
Evidencia

Estndares y Guas para la Auditora de SI

Reportes

Contenido y forma del reporte

Actividades de Seguimiento
Revisar conclusiones y recomendaciones
anteriores
Revisar hallazgos previos relevantes

Determinar si acciones apropiadas han

sido implementadas oportunamente

Estndares y Guas para la Auditora de SI

Utilizacin de las Guas.

Considerar las guas en la determinacin de

cmo implementar los estndares

Hacer uso del juicio profesional al aplicar

estas guas

Ser capaz de justificar cualquier desviacin

Estndares y Guas para la Auditora de SI

Utilizacin de los Procedimientos.

Ejemplos provistos para los procedimientos

desarrollados por el Consejo de Estndares
de ISACA.

El auditor de SI debe aplicar su propio juicio

profesional a las circunstancias especficas.

CONTROLES

Controles
Definicin de control interno
Es un proceso establecido por la Junta
Directiva, la alta gerencia y todos los
niveles de personal para proveer una
seguridad razonable de que los objetivos de
la organizacin sern alcanzados. El control
es el medio por el cual se alcanzan los
objetivos de control.
Dos aspectos claves a encararse por el
control: qu es lo que se debera lograr y qu es
lo que se debera evitar.

Controles

Clasificacin de los controles

Preventivos

De deteccin

Correctivos

Controles
Objetivos de Control de los Sistemas de Informacin
Los objetivos de control en un ambiente de SI permanecen invariables en relacin a los de un ambiente
manual. Sin embargo, las caractersticas de los
controles pueden ser diferentes.
Los objetivos de control interno, por lo tanto
necesitan, ser dirigidos en una manera especfica a
los procesos relacionados con SI.

Controles
Objetivos de Control de los Sistemas de

Informacin

Proteccin de activos.

Asegurar la completitud/integridad de los Sistemas Operativos

generales, incluyendo la Adm. de redes y operaciones.

Asegurar integridad de los ambientes sensitivos y crticos de los

Sistemas de Aplicaciones. (Ctrl. ingresos, integridad de
transacciones, confiabilidad de procesos automticos, integridad
de BD.

Asegurar la eficiencia y efectividad de toda operacin.

Cumplir con los requerimientos de los Usuarios.

Desarrollos de planes de continuidad del negocio.

Desarrollo de un plan de manejo/administracin y respuesta a

incidentes.

Controles

Objetivos de Control de los Sistemas de Informacin

COBIT (Objetivos de Control para la informacin y Tecnologas

relacionadas)
COBIT 4.1 es un marco de en TI y estndares de buenas
prcticas que define 34 objetivos de control de alto nivel, que
representan los procesos de TI.
Esta herramienta COBIT 4.1 agrupa todos los objetivos de
control en 4 dominios:

Planificacin y Organizacin
Adquisicin e Implementacin
Operacin y Soporte
Monitoreo

Controles

Procedimientos de control de SI
Cada procedimiento de control general,
podr ser traducido en un procedimiento
especfico de SI.
Los procedimientos de control incluyen
polticas y prcticas establecidas por la
gerencia para proveer seguridad razonable de que los objetivos especficos
sern alcanzados.

Controles
Procedimientos de control de SI

Controles Generales de SI

Tambin llamados Controles Pervasivos

dirigidos a los controles del Ambiente
Computacional y de Sistemas Operativos

Controles de Aplicacin

Dirigidos a las aplicaciones

computacionales tales como Contabilidad,
Planillas, RMP planificacin de materia
prima, etc

Controles
Procedimientos de Control de SI
Ejemplos de Controles Generales I

Estrategia y direccin
Gerencia y organizacin general
Acceso a datos y programas
Desarrollo de sistemas y control de cambios
Operaciones de procesamiento de datos
Programacin de sistemas y funciones de
soporte tcnico

Controles
Procedimientos de Control de SI
Ejemplos de Controles Generales II
Procedimientos de aseguramiento de
calidad del procesamiento de datos
Controles de acceso fsico
Planificacin de continuidad del negocio
/ Recuperacin de desastres
Redes y comunicaciones
Administracin de bases de datos

Controles
Procedimientos de control de SI
Ejemplos de Controles de Aplicacin

Los procesos de las aplicaciones satisfacen

las necesidades Corporativas y de los
Usuarios
Acceso a las funciones de las aplicaciones
Ediciones y Validaciones (entrada)
Nivel de autorizacin
Exactitud de los procesos de las funciones
Oportunidad del Procesamiento
Reportes
Pistas de auditora
Etc