Sistemas de Información para la Gestión Gestión de TI

Unidad 7: CONTROL DE LA GESTION DE

TECNOLOGIAS DE INFORMACIÓN

U.N.Sa. – Facultad de Cs.Económicas

Unidad 7: CONTROL DE LA GESTION DE TECNOLOGIAS DE INFORMACIÓN

Control de los Sistemas de Información: Las funciones de control y auditoria en entornos informáticos. Sistema de control interno inf
Herramientas para auditoría de SI. Principales áreas de la auditoría: Del outsourcing, de la seguridad física, de la dirección inform
Informe de control de sistemas de información

Objetivos específicos:
Evaluar los principios básicos que fundamentan la función de la Auditoria de Tecnología de Información

Conocer la evolución y las características particulares de la realización de las Auditorias de Tecnologías de la información.

Evaluar el control interno de la organización y, en base en su examen, proporcionar recomendaciones orientadas a fortalecer la

1
 Bibliografía Básica:
Sistemas de información para la gestión empresaria - Procedimientos, seguridad y auditoría / Lardent, Alberto R.. - Bue
Seguridad y auditoría informática : Cap. 25. Auditoría del desarrollo de sistemas - 26. Auditoría de sistemas de aplicació
Técnicas de auditoría y evaluación - 28. Técnicas de auditoría asistidas por computadoras.

Auditoría de Tecnologías y Sistemas de Información, Mario G. Piattini, Emilio del Peso, Mar del Peso, Abril 2008, Editori

Material actualizado al momento del dictado de Information Systems Audit and Control Association (ISACA) que es actu

Normas de BCRA, CNV, FACPCE aplicables como sensores de auditorías de TIC especificas según el Ente.

Control de los Sistemas de Información Control Interno

Conjunto de métodos coordinados y medidas adoptadas dentro de una organización con el f

Salvaguardar activos,

Asegurar la confiabilidad y corrección de los datos contables y extracontables

Promover la eficacia y eficiencia de las operaciones

Promover la adhesión a las políticas vigentes

2
 Control de los Sistemas de Información

El Control Interno se instrumenta a partir de:

Funciones Preventivas
Políticas Gerenciales
Misiones y Funciones
Esquemas de organización
Normas y procedimientos
Políticas de personal
Etc.

Funciones de Control/Verificación
La función de línea, en todos sus niveles (control operativo)
La función staff (auditoría)

Control de los Sistemas de Información

dependiente del sistema controlado, que en forma sistemática y organizada debe:

condición controlada, con respecto a las pautas, normas o elementos utilizados para medirla. Es decir comparar el o

ontrata la auditoría, que jerárquicamente debe estar por encima del sistema auditado.

3
 Control de los Sistemas de Información
Concepto Moderno de Auditoría
a mejorar procesos del negocio

stablecidos y se ajustan a criterios de integridad, eficiencia, seguridad, efectividad y legalidad.

Control de los Sistemas de Información Componentes de un Sistema de Control

RT7 CECyT (reemplazada por RT 37)

Característica o Condición Controlada

Sistema Operante
Sensor

Grupo Activante Grupo de Control

4
 Control de los Sistemas de Información
Sensor
Unidad de medida, el estándar o la norma con la cual voy a medir o comparar el sistema de información.

erta envergadura suelen generar su propio conjunto de normas de funcionamiento materializadas en manuales de procedimientos, cursogra- mas, flujogramas, organigramas

del CECyT: Pautas para el Examen de Estados Contables en un Contexto Computadorizado

a del CECyt: Auditoría en Ambientes Computadorizados.

nco Central de la República Argentina

ra Sistemas Computadorizados y Tecnología de Información de la SIGEN (Sindicatura Gral.de la Nación)

ol para la información y la tecnología

r la I.S.A.C.A. Asociación de Auditoría y Control de Sistemas de Información.

Control de los Sistemas de Información

Sensor
Criterio del Auditor:

do.

r es la falta de objetividad, ya que es la opinión del auditor sobre lo que debería ser, y por lo general suele ser muy discutida, salvo casos de observaciones muy evidentes, o

5
 Control de los Sistemas de Información

o de Auditoría
o de la actividad del ente o sistema, su naturaleza, estructura, actividad, magnitud, etc.
or el auditor como para poder eliminarlo.
an de un sistema de control deficiente, incapaz de evitar o detectar fallas o irregularidades en forma oportuna.
or el auditor como para poder eliminarlo, pero sus recomendaciones deben contribuir a reducirlo.

ultan de un deficiente planeamiento y/o ejecución de la auditoría, sea tanto en la evaluación y categorización de los riesgos, como en la selección y/o aplic
uditor.

Etapas para el Desarrollo de la Auditoría

PLANIFICACION

Etapas clave

Conocimiento del negocio

Evaluar Riesgos
Controles gerenciales
Controles Físicos y Lógicos

Estrategia de Auditoría

6
 Principales Areas de Actividad de la A.S.I. Objeto de la Auditoría de Sist.de Info
El ámbito de la ASI se refiere al entorno informático entendiéndose por tal a todo lo que conforma:

Auditoría de la dirección (Plan Estratégico de Sistemas)

Auditoría del desarrollo (gestión de proyecto) / Adquisición

Auditoría del Hardware, Software, Comunicaciones, B.de Datos

Auditoría Seguridad (Seguridad Física, Seguridad Lógica, Evaluación de Riesgos, Plan de Contingencias)

Auditoría de la explotación y Mantenimiento (Utilización de sistemas, puesta en marcha, cambios de program

Principales Areas de Actividad de la A.S.I. Funciones de la A.S.I.

Evaluación y verificación de controles y procedimientos relacionados con la función de informática
Verificación del uso eficiente de los SI.
Desarrollo de las actividades del área de auditoría informática de acuerdo a estándares normativos.
Evaluación de las áreas de riesgo y en consecuencia planificación de las tareas del área.
Realizar el monitoreo permanente de las actividades del área.
Realizar el monitoreo de la seguridad.
Monitoreo de la aplicación de procedimientos.
Realizar una adecuada información y seguimiento de las observaciones realizadas.

7
 Principales Areas de Actividad de la A.S.I.

Auditoría del Plan Estratégico de Sistemas

Objetivo de Control Riesgos Asociados Verificaciones a Realizar

El Plan de sistemas  Los sistemas no responden a  Existencia de un plan formalizado
contempla las las necesidades de la y aprobado por el nivel máximo de
necesidades organización. la organización.
organizaciones y el  Inflexibilidad de los sistemas  Verificación de la
crecimiento del negocio y ante nuevos requerimientos actualización periódica del
se encuentra organizacionales. plan.
adecuadamente aprobado  Desvinculación entre los  Revisión de la documentación del
por la dirección y es distintos sistemas. directorio (actas de reuniones,
periódicamente revisado  Comportamiento desordenado instrucciones de la dirección,
ante cambios en la y errático en el desarrollo y existencia de un responsable de
planificación de la adquisición de aplicaciones. la formulación, etc.
organización.  Desconocimiento de la existencia  Los cambios de los proyectos
o alcance del plan por parte de las impactan en el plan de
distintas áreas organizacionales. sistemas.
 La asignación de recursos no es
la adecuada dado la dimensión
del proyecto.

Principales Areas de Actividad de la A.S.I.

Auditoría del Impacto sobre el Negocio

Objetivo de Control Riesgos Asociados Verificaciones a Realizar

El proyecto se encuentra dentro Los sistemas no responden a las necesidades El plan estratégico de sistemas es coordinado
del marco del plan de negocios del negocio. con el plan de negocios.
de la empresa.

Las especificaciones establecidas La habilidades propias del negocio no se En la documentación de los requerimientos se
contemplan los factores encuentran apoyadas por los nuevos sistemas. identifican las habilidades principales que
esenciales del negocio. distinguen a la empresa.

El sistema tiene la capacidad de El sistema se muestra inflexible ante nuevos Se ha previsto que el o los sistemas sean
adaptarse a nuevas reglas del cambios. parametrizables y flexibles para adaptarse a
negocio. los cambios.

Se ha medido adecuadamente el El negocio se ve seriamente cuestionado ante Se ha previsto el alcance e impacto del
impacto del proyecto en el el fracaso del proyecto de sistemas. proyecto como así también las consecuencias
negocio del fracaso del mismo.

8
 Principales Areas de Actividad de la A.S.I.

Auditoría del Desarrollo, Compra o Implementación de SI

Adquisición de Software: Actividades a Auditar

Revisión Proceso selección

Revisión del requerimiento
Revisión de la especificación

Revisión de pruebas
Revisión Proceso de customización Revisión de la Entrega
e instalación

Principales Areas de Actividad de la A.S.I.

Auditoría del Desarrollo, Compra o Implementación de SI

Ejemplo de Plan para Revisión de Requerimientos

Objetivo de Control Riesgos Asociados Verificaciones a Realizar

Se han establecido en  El sistema no contempla todas las  Existe un documento adonde se
forma clara todos los necesidades de los sectores establecen cuales son los usuarios
requerimientos de todos los usuarios. que representan a cada sector.
usuarios.  Algunos aspectos funcionales no  Existe un documento donde se
se encuentran soportados. establece como se realizará el contacto
 Las necesidades de información de con los áreas usuarias.
los niveles directivos no se  Se ha analizado el sistema actual y
encuentran totalmente cubiertas. se han identificado las fortalezas y
 El sistema no contempla aspectos debilidades del mismo.
de control interno.  Existe un documento donde se
 El sistema no contempla aspectos establecen los requerimientos
legales o normativos propios de funcionales de control, legales y
la actividad de la organización. de información.
 Dicho documento fue aceptado por
las áreas intervinientes.

9
 Principales Areas de Actividad de la A.S.I.

Auditoría del Desarrollo, Compra o Implementación de SI

Ejemplo de Plan para Revisión de la Instalación

Objetivo de Control Riesgos Asociados Verificaciones a Realizar

La instalación del Hardaware  Existen demoras en la  Se ha establecido un plan de
necesario se cumplimentó en implementación debido a que el instalación del hardware acorde
tiempo y forma. hardaware no está disponible con
en tiempo y forma establecidos. los tiempos establecidos para el
proyecto.
La instalación de software de  Existe demoras en la instalación  Se ha establecido un plan de
base se cumplimento en debido a que no se ha realizado la instalación del software de base y
tiempo y forma instalación del software de base o se
el mismo está mal instalado. han contemplado los requerimientos
establecidos por el proveedor.
Todos los parámetros de  Existen parámetros no definidos  Los parámetros han sido
funcionamiento se que provocan el mal funcionamiento adecuadamente establecidos y los
encuentran adecuadamente del sistema. usuarios participan en su
definidos.  La definición de los parámetros definición.
no es la adecuada y provoca el  Se ha realizado la capacitación
malfuncionamiento del sistema. suficiente para la adecuada
definición
de los parámetros.

Principales Areas de Actividad de la A.S.I.

Auditoría del Procesamiento de la Información

Aspecto Riesgo Problemas

Segregación Personas no autorizadas pueden tener acceso  Inadecuada separación de funciones dentro
de Funciones a funciones de procesamiento de del Dpto.de Sistemas
transacciones, permitiéndoles leer, ingresar,  Inadecuada ubicación del área de
modificar o eliminar datos o ingresar Seguridad Informática
transacciones no autorizadas para su  Inadecuado esquema de seguridad
procesamiento. lógica- perfiles de usuarios
 Problemas con la puesta en funcionamiento
de nuevas versiones
Ingreso de Los datos ingresados pueden ser  Falta de controles de edición y validación
Datos imprecisos, incompletos o ingresados más (tipos de campos, campos faltantes, límites y
de una vez validación)
 Inadecuada codificación
 Falta de controles por lotes
Ítems Los datos rechazados y las partidas  Inexistencia de aviso de rechazo
rechazados o en suspenso pueden ser no  Identificación inadecuada de datos rechazados
en suspenso identificadas, analizadas y corregidas  Inexistencia de reportes de excepción
 Falta de seguimiento de datos rechazados
Procesamiento Las transacciones ingresadas para su  Duplicación del procesamiento
procesamiento pueden perderse o ser  Falta de controles operativos
procesadas incorrectamente  Falta de informes de problemas de proceso
 Problemas de reenganche de procesos
 Problemas de administración de procesos
(secuencia)

10
 Principales Areas de Actividad de la A.S.I.

Auditoría del Plan de Continuidad del Negocio

Aspectos a Auditar
Plan de Contingencia
Integridad (completo)
Divulgación
Actualización Plan de Recuperación

Informe de Control de Sistemas de Información

Objetivos del Informe

Objetivo Propósito Medios

Informar Brindar Clara y comprensible
conocimientos identificación de dificultades y
oportunos y oportunidades de mejora
apropiados

Persuadir Lograr aceptación y Real y persuasivo respaldo de

respaldo de las las conclusiones y evidencia de
acciones su importancia

Obtener Originar Cursos de Propósitos claros , prácticos y

Resultados Acción constructivos para realizar los
cambios necesarios

11
Informe de Auditorías de Sistemas de Información Estructura del Informe

Introducción Se indica: Objetivo, Alcance y Posición de la auditoría

frente al objeto auditado
Se indica: Evidencias y hallazgos claves obtenidos
Resultados durante la revisión, que sean significativos y que sirvan de
base para las conclusiones
Se expone: el diagnóstico en función de los resultados
Conclusiones obtenidos.
Ordenar: problema y causalidad (causa-efecto)
Incluir siempre opinión del personal auditado.
Recomenda- Cursos de acción que se estimen pertinentes.
ciones Importante: participación del personal auditado
Anexos Incluir: El detalle que respalda los hallazgos y explica el
método empleado.

Informe de Control de Sistemas de Información

Pautas para desarrollar el Informe de Auditoría

Aspecto (Qué) Característica (Cómo)

Directo Título Informativo
Priorizar lo importante
Oraciones concluyentes sin enunciaciones elípticas
Preciso Seleccionar y presentar los temas de mayor importancia
Acompañar resúmenes de documentación respaldatoria
Realizar una redacción precisa
Persuasivo Llevar convencimiento con la información que se expone
Desarrollar las consecuencias de las situaciones descriptas
Prudente y Propender a una razonable interpretación de los hechos y exponer las causas no
Constructivo los síntomas
Presentar una visión del conjunto balanceando lo positivo y lo negativo
Trasuntar confianza en el auditado para solucionar el o los problemas
Oportuno Para lograr la pronta solución de los problemas
Anticipar informes en casos de gravedad
Expuesto Resúmenes para los niveles superiores
conforme al Exposición que potencie la interpretación (relaciones %, tablas, gráficos)
destinatario Atractivos (presentación, distinta tipografía para resaltar temas)

Orientado a Recomendaciones prácticas, factibles y específicas

Resultados Descripción de los cursos de acción a tomar

12
 Herramientas para Auditoría de TI

s (Técnicas de Auditoria asistidas por computador)

conjunto de técnicas y herramientas

as para el desarrollo de auditoria de sistemas informáticos
n de mejorar la eficiencia, alcance y confiabilidad de los análisis.

ionan suficiente evidencia para sustentar observaciones y recomendaciones, lo que obliga a desarrollar destrezas especiales en el uso de estas técnicas,
s conocimientos informáticos
miento en el uso adecuado de herramientas informáticas y analíticas
a en la realización de los análisis

r de lado técnicas tradicionales de auditoria como inspección, observación, confirmación, revisión, entre otros.

Herramientas para Auditoría de TI

Proceso de Auditoría de la Información

Si los controles computadorizados son débiles o no existen, los auditores necesitan realizar mas pruebas sustantivas.

Las pruebas sustantivas son pruebas de detalle de transacciones y balanceo de cargas

Las pruebas de cumplimiento son realizadas para asegurar que los controles están establecidos y trabajan correctamente.

Esto puede implicar el uso de las TAAC’s

13
 Herramientas para Auditoría de TI

Ventajas de las TAAC’s

Incrementan o amplían el alcance de la investigación y permiten realizar pruebas que no pueden efectuarse manualmente

Incrementan el alcance y calidad de los muestreos, verificando un gran número de elementos

Elevan la calidad y fiabilidad de las verificaciones a realizar

Reducen el periodo de las pruebas y procedimientos de muestreo a un menor costo

Garantizan el menor número de interrupciones posibles a la entidad auditada

Disminución considerable del riesgo de no-detección de los problemas

Herramientas para Auditoría de TI

ware

itoria

eneralizados diseñados para desempeñar funciones de procesamiento de datos que incluyen leer bases de datos, seleccionar información, realizar cálcu
datos e imprimir informes en un formato especificado por el auditor.

rol de secuencias, búsqueda de registros, detección de duplicaciones, selección de datos, revisión de operaciones lógicas y muestreo, algunos de ellos s

14
 Herramientas para Auditoría de TI

medida

peñar tareas de auditoria en circunstancias especificas.

or, por la entidad, o por un programador externo contratado por el auditor. Por ejemplo programas que permitan generar check-list adaptados a las car

Herramientas para Auditoría de TI

os de Software

programas de utilería

usados por la organización auditada para desempeñar funciones comunes de procesamiento de datos, como clasificación, creación e impresión de arch
mplo planillas de calculo, procesadores de texto, etc.

nas de auditoria en programas de aplicación

ulos especiales de recolección de información incluidos en la aplicación y diseñados con fines específicos.
ata de módulos que permiten obtener pistas de auditorías en muchos casos generados a través de triggers programados en las propias bases de datos

15
 Herramientas para Auditoría de TI

inistración del sistema

ductividad sofisticadas que son típicamente parte de los sistemas operativos sofisticados, por ejemplo software para recuperación de datos o software p

ogramas de utilería estas herramientas no son específicamente diseñadas para usos de auditoria.

a gran variedad de este tipo de herramientas como por ejemplo los que permiten controlar las versiones de un sistema.

Ejemplo Software para Auditoría TI

16
 Ejemplo Software para Auditoría TI

Ejemplo Software para Auditoría TI

17