2017 07 272017050unidad - I

UNIDAD I: PROCESOS DE
AUDITORÍA DE SISTEMAS
Profesor: Pablo Valdivia P.
INTRODUCCIÓN
ARCHIVO
EXTERNO
ARCHIVOS
INTERNOS
ARCHIVO 1
Proceso 1
ARCHIVO 2
ARCHIVO 3
Infraestructura/Servidores
OBJETIVOS DE LA UNIDAD
Al término de la unidad estarán en condiciones de:

• Identificar la importancia de la auditoría de las
tecnologías de gestionar información.
• Definir auditoría de sistemas.
• Identificar los riesgos tecnológicos a los que está
expuesta la organización.
• Identificar el control interno informático.
ÍNDICE
• IMPORTANCIA DE LA AUDITORÍA DE
SISTEMAS.
• RIESGOS TECNOLÓGICOS.
• CONTROL INTERNO.
• Objetivos de Control.
• Actividad Control Interno.
• AUDITORÍA DE SISTEMAS.
• Definición de Auditoría.
• Estándares de Auditoría.
• Aspectos de la Planificación Auditoría.
• Pruebas de Auditoría.
• Riesgos de Auditoría.
• TIPOS DE AUDITORÍA DE SISTEMAS.
IMPORTANCIA DE AUDITORÍA DE SISTEMAS
• Crecimiento explosivo de las operaciones en las

empresas.
• Automatización de los procesos operativos y contables.
• Alta competitividad de los mercados.
• La globalización.
• Internet.
• El crecimiento de las transacciones electrónicas.
• Las regulaciones normativas (Circular SVS 1869 y
Capítulo 1-13 SBIF).
IMPORTANCIA DE AUDITORÍA DE SISTEMAS
• Separación de la gestión de la Sociedad de su propiedad.

• Banca móvil.
• Importancia de gestionar la información.
• Aumento del riesgo del auditor financiero y/u operativo:
S(e) = R(c)*R(d)
- R(c): Riesgo de control (no contar con controles).
- R(d): Riesgo de detección (no detectar vulnerabilidades).
- S(e): Riesgo del auditor.
ÍNDICE
SISTEMAS.
RIESGO TECNOLÓGICO
• Riesgo Tecnológico es el potencial que una determinada

amenaza tecnológica pueda explotar las
vulnerabilidades de un activo y causar pérdidas o
daños a la empresa, es decir:
RT=Impacto x Probabilidad(amenaza)
• Ejemplos de Activos Tecnológicos:
• Información.
• Hardware.
• Software.
• Bienes y servicios.
• Imagen.
• Reputación.
RIESGO TECNOLÓGICO
• Ejemplos de Activos Tecnológicos:

• Documentos.
• Personas.
• Amenaza: Hecho probable que puede producir un daño
provocado por un evento natural (terremoto, ciclón,
temporales, etc) u originado por la actividad humana
(antrópico:incendios, atentados y/o fraudes).
• Ejemplos de amenazas tecnológicas:
• Errores.
• Fallas de hardware.
• Fallas de Software.
RIESGO TECNOLÓGICO
• Daños intencionales.
• Fraude.
• Robo.
• Pérdida de operatividad.
• Daños a las personas.
• Vulnerabilidad: Puntos débiles del software, sistemas
y/o infraestructura que permiten que un atacante
comprometa la integridad, disponibilidad o
confidencialidad del mismo.
RIESGO TECNOLÓGICO
• Algunas de las vulnerabilidades más severas,

denominadas vulnerabilidades de seguridad, permiten que
los atacantes ejecuten código arbitrario en un sistema
comprometido.
RIESGO TECNOLÓGICO
• Ejemplos de vulnerabilidades tecnológicas:

-Falta o desactualización de procedimientos.
-Deficiente configuración de parámetros de los sistemas.
-Inadecuada segregación funcional.
-Falta de controles en los procesos.
-Falta de control de acceso a las aplicaciones.
-Falta de registros de acceso a las instalaciones.
-Falta de políticas de respaldo.
-Falta de infraestructura de contingencia.
RIESGO TECNOLÓGICO
• En síntesis, la definición de Riesgo Tecnológico contiene

los conceptos potencial (probabilidad) que una
determinada amenaza tecnológica pueda explotar las
vulnerabilidades de un activo y causar pérdidas o daños a
la empresa (impacto).
Alto
I Exposición/Riesgo
M Inaceptables
P Medio
A
C
T Exposición/Riesgo
O Aceptables
Bajo
Bajo Medio Alto
Probabilidad de ocurrencia
ÍNDICE
SISTEMAS.
OBJETIVOS DE CONTROL
• Los objetivos de control, son declaraciones de un

resultado deseado al implementar actividades de control
interno asociado al ámbito de sistemas. Por ejemplo:
• Integridad de los datos (Autorización, Totalidad y
Exactitud).
• Disponibilidad de los sistemas.
• Confidencialidad de la información.
• Salvaguarda de los activos.
• Registro de actividad.
• Efectividad y eficiencia de los sistemas.
• Cumplimiento normativo.
• Confiabilidad del proceso.
• Para asegurar la integridad de los datos, se debe

garantizar que:
• La información es una imagen fiel de la realidad (A.1).
• Fiabilidad o confiabilidad de la fuente (A.2).
• Completitud e integridad del flujo (A.3).
• Conciliar los sistemas transaccionales y financieros (A.4).
A.3
A.1
A.2
A.4
• Para cumplir con el objetivo de disponibilidad de los

sistemas, se debe:
• Definir procedimientos de contingencia que permitan la
recuperación de la operatividad ante cualquier falla o
siniestro.
• Contar con la infraestructura técnica necesaria y
suficiente.
• Contar con herramientas para monitorear la
operatividad de la infraestructura y medición de los
niveles de servicio.
• Para cumplir con el objetivo de confidencialidad de la

información, se debe constatar que:
• Únicamente usuarios autorizados acceden a los
sistemas de información.
• Los sistemas previenen la modificación no autorizada
de la información.
• El acceso a los sistemas exige identificación y
autenticación de usuarios.
• Procedimientos de validación de accesos y privilegios
de los usuarios.
• Para cumplir con el objetivo de salvaguarda de los

activos, se debe velar que la información de los sistemas
automatizados esté protegida y actualizada.
• Para cumplir con el adecuado registro de actividad, los
sistemas de información deben disponer de los siguientes
mecanismos:
• Control de eventos: Trazabilidad de eventos críticos en
el sistema.
• Pistas de auditoría: Detectar modificaciones (quién,
cuándo y desde).
• Revisión: Procedimientos de análisis de la información
recogida.
• La efectividad se cumple cuando los sistemas entregan

información relevante, oportuna, consistente y utilizable.
• La eficiencia de los sistemas se cumple cuando la
información es generada optimizando el uso de recursos.
• Para el objetivo de cumplimiento, se debe validar que
los sistemas incluyan los estipulado en las leyes,
reglamentos y acuerdos, tanto internos como externos.
• Para cumplir con el objetivo de confiabilidad, los
sistemas deben entregan información apropiada para la
toma de decisiones.
EJERCICIO 1
La falta de monitoreo de la infraestructura tecnológica de

una empresa, es una vulnerabilidad que afecta el objetivo
de control de:
a)Eficiencia.
b)Integridad.
c)Disponibilidad.
d)Confidencialidad.
ÍNDICE
SISTEMAS.
ACTIVIDAD DE CONTROL INTERNO
• Definición: Políticas, prácticas y estructuras

organizacionales designadas para proporcionar una
razonable seguridad de que los objetivos del negocio
serán alcanzados y que los eventos indeseables serán
prevenidos, detectados y/o corregidos.
• Para su correcta evaluación, se deben:
• Identificar los riesgos del negocio.
• Conocer los controles que mitigan estos riesgos.
• Priorizar los riesgos y señalar los controles que los
mitigan.
• Seleccionar los controles más eficientes para mitigar
los riesgos que no estén suficientemente cubiertos.
Es decir, el nivel de riesgo que la gerencia esta
dispuesta a aceptar, y los métodos de reducción.
Ejemplo matriz de riesgo tecnológico:
• El control interno tiene como objetivo velar por la

mitigación del riesgo. Por ello, y a modo de ejemplo, se
deben implementar las siguientes actividades:
• La custodia de los activos.
• El cumplimiento de las políticas corporativas y
requerimientos regulatorios.
• La autorización de las transacción.
• La exactitud y completitud de las transacciones que se
procesan.
• La fiabilidad del proceso.
• La eficiencia de la operación.
• Adicionalmente, las unidades de negocio definen

procedimientos generales de control, que se aplican a
todas las áreas de una organización.
• Incluyen políticas, y prácticas establecidas para la gestión,
de manera de proporcionar una seguridad razonable de
que los objetivos específicos serán logrados.
• Cada procedimiento de control general, se puede
convertir en un procedimiento de control de Sistemas de
Información (SI).
• Los procedimientos de control de SI están categorizados

en las siguientes áreas:
• Organización y gestión.
• Seguridad de acceso a redes, datos y programas.
• Desarrollo de sistemas.
• Operaciones y procesamiento de datos.
• Apoyo técnico.
• Aseguramiento de la calidad para el procesamiento de
datos.
• Cumplimiento normativo.
• Aunque se implementen controles de SI, no se pueden

mitigar en un 100% los riesgos, manteniéndose un
Riesgo Residual (RR) o de Exposición, es decir:
RR = Riesgo - Control
• Esquemáticamente:
AMENAZAS
VULNERABILIDADES
LOGRO DE OBJETIVOS DE LA EMPRESA

AMENAZAS
VULNERABILIDADES
CONTROL INTERNO
LOGRO DE OBJETIVOS DE LA EMPRESA

• Para mitigar o minimizar el riesgo tecnológico las

empresas deben definir controles, los que se clasifican
en:
• Preventivos: Permiten detectar problemas antes de
que aparezcan, es decir evitan que ocurran errores,
omisiones o actos maliciosos. A modo de ejemplo:
• Segregación de funciones.
• Mensajes de error de cintas.
• Validación de consistencia.
• Cualificación del personal.
• Control de acceso.
• Uso de software de encriptación.
• Detectivos: Permiten revelar e informar la ocurrencia

de un error, omisión o acto fraudulento. Ejemplos:
• Verificación de cálculos.
• Auditoría Interna.
• Totales de comprobación.
• Validación entrada de datos.
• Reportes de rendimiento.
• Revisión de logs.
• Correctivos: Permiten minimizar el impacto de una

amenaza, remediar problemas descubiertos por
controles detectivos, identificar las causas de un
problema, corregir errores y modificar los sistemas de
procesamiento para minimizar ocurrencias futuras del
problema. Ejemplos:
• Plan de contingencias.
• Procedimiento de respaldos.
• Reversas de operaciones.
• Reejecución de procesos.
• Compensatorios: Definidos para mitigar la falta de
controles automáticos.
ÍNDICE
SISTEMAS.
DEFINICIÓN DE AUDITORÍA
• La auditoría de sistemas o de riesgo tecnológico, es el

proceso de recoger, agrupar y evaluar evidencias para
determinar si un sistema o proceso informatizado:
• Salvaguarda los activos.
• Mantiene un adecuado control de acceso a la
información.
• Mantiene la integridad de los datos.
• Cuenta con mecanismos para asegurar la
disponibilidad de sus funcionalidades.
• Lleva a cabo eficazmente los objetivos de la
organización.
• Utiliza eficientemente los recursos.

• Cumple con los lineamientos regulatorios.
• El ámbito de acción de una auditoría de Riesgo
Tecnológico, es la:
• Evaluación de la gestión informática.
• Evaluación del desarrollo y mantención de sistemas.
• Evaluación infraestructura tecnológica.
• Evaluación de la Seguridad Informática.
• Evaluación de la cobertura funcional de las
aplicaciones.
• Auditoría se define también como la actividad
consistente en la emisión de una opinión profesional
sobre si el objeto en análisis presenta adecuadamente la
realidad que pretende reflejar y/o cumple las
condiciones que le han sido prescritas.
• La opinión profesional se fundamenta y justifica por
medio de unos procedimientos específicos tendientes a
proporcionar una seguridad razonable de lo que se
afirma.
• El concepto de alcance de la auditoría, es de vital
importancia, ya que permite definir la profundidad y
magnitud que tendrán los objetivos de la auditoría.
• Con el alcance, se pretende garantizar que se toman en
consideración todos los aspectos, áreas, operaciones, y
circunstancias que sean significativas.
ÍNDICE
SISTEMAS.
ESTÁNDARES DE AUDITORÍA
•1001: Estatuto de la función de auditoría.

•1002: Independencia organizacional.
•1003: Independencia profesional.
•1004: Expectativa razonable (asignación, poder concluir,
entendimiento de las obligaciones y responsabilidades
respecto de la entrega de información).
•1005: Debido cuidado profesional.
•1006: Competencia (conocimiento y capacitación).
•1007: Afirmaciones (auditables, suficientes, validas y
relevantes).
•1204: Materialidad (en la falta de controles, efecto
acumulativo de debilidades menores).
•1205: Evidencia (suficientes y apropiadas).
ÍNDICE
SISTEMAS.
PLANIFICACIÓN AUDITORÍA
• El informe es el producto final de la auditoría de SI, se

utiliza para informar las conclusiones, observaciones
y recomendaciones al Directorio de la empresa, por ello
debe:
• Identificar la entidad auditada.
• Declarar los objetivos y el alcance.
• Incorporar conclusiones, un resumen y una opinión
(favorable,desfavorable, con salvedades o denegada).
• Conciso.
• Redactado en un lenguaje corriente, evitando
terminología técnica.
• Debe ser fluido.
• Debe ser objetivo.
• El reporte de observaciones y recomendaciones, puede

tener la siguiente forma:
• Situación.
• Riesgos o Debilidades.
• Recomendación.
• Comentarios de la Unidad.
• La auditoría no será efectiva si habiendo concluido con

un buen informe, no se efectúa un seguimiento para
verificar si se han tomado las acciones correctivas
comprometidas por la gerencia auditada.
• Los procedimientos de seguimiento dependerá de cada
empresa y del nivel de importancia relativa de la
recomendación.
• Para definir el plan anual de auditoría, se debe:
Utilidades año
anterior
Nivel de automatiza-
ción de los procesos
Definición universo Requerimiento Definición plan anual

auditable Normativo De auditoría
Última evaluación
Planificación del
Trabajo de Auditoría
Complejidad
Plataforma
Tecnológica
• Para realizar un trabajo de auditoría, se debe:

PLANIFICAR LA AUDITORÍA EVALUAR Y ANALIZAR LAS
EVIDENCIAS.
IDENTIFICAR EL RIEGO INHERENTE

IDENTIFCAR LOS CONTROLES INTERNOS
GENERACIÓN DE :
-BORRADOR DE RECOMENDACIONES
-BORRADOR DE INFORMES
REALIZAR PRUEBAS DE CUMPLIMIENTO
DETERMINAR LA FIABILIDAD, NATURA- GENERACIÓN DE RECOMENDACIONES,

LEZA, ALCANCE Y PLAZO DE LAS PRUE- RATING E INFORME
BAS SUSTANTIVAS.
SEGUIMIENTO DE
REALIZAR PRUEBAS SUSTANTIVAS RECOMENDACIONES
-DE SALDOS Y TRANSACCIONES.
-REVISIÓN ANALÍTICA.
ÍNDICE
SISTEMAS.
PRUEBAS DE AUDITORÍA
• Realización de pruebas de auditoría: Una vez

elaborada la planificación e identificados los controles
claves, el auditor deberá probarlos a través de pruebas
sustantivas o de cumplimiento.
• Pruebas de cumplimiento: Recopilar evidencia para
probar el cumplimiento de las políticas y procedimientos
de control.
• Pruebas Sustantivas: Recopila evidencia para evaluar
la integridad de las transacciones y la consistencia y
exactitud de los registros financieros.
• Nota: Si el resultado de las pruebas de cumplimientos
sobre los procedimientos de control interno son
satisfactorios , entonces se podría justificar minimizar la
realización de pruebas sustantivas.
• El resultado de las pruebas debe permitir reunir

evidencias que cumplan con las siguientes aspectos:
-Son suficientes y competentes.
-Son relevantes.
-Son independientes del proveedor.
-El informante es cualificado.
-Son fiables.
-Son objetivas.
-Son adecuadas.
• Recopilada la evidencia, se debe evaluar dicha
información a fin de desarrollar una opinión de la
auditoría, para ello debe utilizar el rating.
• El auditor debe tener en cuenta las fortalezas y

debilidades para desarrollar opiniones y
recomendaciones de auditoría. En este contexto, debe
tener especial atención en la existencia de controles
compensatorios y la materialidad de los hallazgos.
• Todas las evidencias, pruebas, y entrevistas realizadas
deben estar adecuadamente documentadas (papeles
de trabajo).
• La documentación, además de soportar las conclusiones,
sirve de base de conocimientos para el área de
auditoría de sistemas.
ÍNDICE
SISTEMAS.
RIESGOS DE AUDITORÍA
• Es el riesgo que la información pueda contener errores

importantes que puedan no ser detectados por auditoría.
Está influenciado por:
•Riesgo inherente: Se relaciona con la exposición del
proceso sin considerar los controles establecidos.
•Riesgo de control: Posibilidad que exista un error
material que no sea evitado ni detectado oportunamente
por el sistema de controles internos (por ej: revisiones
de logs).
•Riesgo de detección: Probabilidad que hayan ocurrido
eventos materiales que no sean detectadas por el
auditor.
•Riesgo de auditor: La probabilidad que los informes
contengan errores materiales no detectados por
auditoría.
EJERCICIO 2
Mantener desactualizado el plan de contingencia

tecnológico es:
a)Una amenaza.
b)Una vulnerabilidad.
c)Un control correctivo.
d)Una falla de las pruebas sustantivas.
EJERCICIO 3
Un auditor externo está planificando una auditoría

tecnológica basada en riesgos, para ello primero debe:
a)Realizar un análisis de los riesgos inherentes.
b)Realizar un levantamiento de los controles internos.
c)Planificar las pruebas de cumplimiento.
d)Planificar las pruebas sustantivas.
EJERCICIO 4
La unidad de auditoría de una compañía de seguros ha

detectado la falta de controles en el proceso de ingreso del
pago de primas por concepto de seguros de vida, esta
debilidad conlleva a un riesgo que está MÁS asociada el
objetivo de control:
a) Disponibilidad
b) Integridad
c) Confidencialidad
d) Efectividad
ÍNDICE
SISTEMAS.
TIPOS DE AUDUTORÍA DE SISTEMAS
Las auditorías de Sistemas se aplican a las funciones

llevadas a cabo por el área de Desarrollo y Tecnología, y a
los elementos tecnológicos que soportan las aplicaciones y
procesos de negocio. En este sentido, se pueden aplicar los
siguientes enfoques de auditoría:
•Generales: Revisión completa de los controles generales
aplicados por el departamento de Sistemas de Información
de una Sociedad para mitigar los riesgos tecnológicos.
Principalmente, se aplica a empresas a las que nunca se
ha revisado el nivel y eficiencia de las medidas de control
interno.
• Auditoría de la Dirección: Revisar las actividades

asociadas a la planificación, organización, coordinación
y control de los recursos tecnológicos (humanos,
hardware y software).
• Auditoría de la explotación: Revisar los controles
sobre las actividades que se necesitan ejecutar para
actualizar la información de los sistemas. Éstas deben
contener controles que permitan mostrar una imagen
fiel, se cumpla con la legislación, se prevengan los
eventos no deseados y la confidencialidad.
• Auditoría del Desarrollo: Revisar la existencia y
aplicación de procedimientos de control adecuados que
permitan garantizar que el desarrollo de sistemas de
información se ha llevado a cabo según los principios
metodológicos.
• Auditoría del Mantenimiento: Revisar la existencia y

aplicación de procedimientos de control adecuados
sobre las acciones de mantenibilidad de los sistemas
(análisis de impacto, documentación técnica y del
cambio, certificación usuaria, etc.).
• Auditoría de Bases de Datos: Revisar las
actividades asociadas al control y gestión de la
información y cambios sobre las bases de datos que
soportan las aplicaciones (documentos fuentes,
diseño, seguridad, pistas de auditoría y el sistema de
gestión).
• Auditoría de la Calidad: Evaluar como los procesos
y productos, están alineados con las directrices
definidas por el área de cumplimiento de la Calidad
del Software.
• Auditoría de Seguridad: Validar los procedimientos

de control y resguardo sobre accesos no autorizados,
la revelación de información, y la gestión y control de
los fallos e incidencias.
• Auditorías de la Seguridad Física: Validar los
mecanismos que garantizan la integridad de los
activos humanos, lógicos y materiales de un CPD.
• Auditorías de Ofimática: Revisar la gestión, control y
seguridad de los distintos componentes que soporta
la actividad de los usuarios (Planillas de control,
procesadores de texto, agendas y bases de datos,
correo electrónico, etc.).
• Auditorías de Aplicaciones: Evaluar los controles de

las aplicaciones que soportan los procesos de negocio,
para mitigar los riesgos tecnológicos que les atañen. Se
realizan a un conjunto de aplicaciones que aportan un
servicio relevante a la entidad.
• Auditorías de Canales: Evaluar el nivel de control
aplicado sobre los canales de comercialización
alternativos al tradicional (Internet, Banca Electrónica,
Banca Telefónica, etc.), para mitigar los riesgos
tecnológicos que les afecten.
• Auditorías Conjuntas: Trabajos de colaboración con
otras áreas de la Unidad de Auditoría para la extracción y
análisis de información; para simular cálculos de las
aplicaciones; y verificar la efectividad de los controles de
las aplicaciones.
Unidad I

2017 07 272017050unidad - I

Cargado por

Copyright:

Formatos disponibles

2017 07 272017050unidad - I

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

2017 07 272017050unidad - I

Cargado por

Copyright:

Formatos disponibles

UNIDAD I: PROCESOS DE

Al término de la unidad estarán en condiciones de:

• Crecimiento explosivo de las operaciones en las

• Separación de la gestión de la Sociedad de su propiedad.

• Riesgo Tecnológico es el potencial que una determinada

• Ejemplos de Activos Tecnológicos:

• Algunas de las vulnerabilidades más severas,

• Ejemplos de vulnerabilidades tecnológicas:

• En síntesis, la definición de Riesgo Tecnológico contiene

• Los objetivos de control, son declaraciones de un

• Para asegurar la integridad de los datos, se debe

• Para cumplir con el objetivo de disponibilidad de los

• Para cumplir con el objetivo de confidencialidad de la

• Para cumplir con el objetivo de salvaguarda de los

• La efectividad se cumple cuando los sistemas entregan

La falta de monitoreo de la infraestructura tecnológica de

• Definición: Políticas, prácticas y estructuras

• El control interno tiene como objetivo velar por la

• Adicionalmente, las unidades de negocio definen

• Los procedimientos de control de SI están categorizados

• Aunque se implementen controles de SI, no se pueden

LOGRO DE OBJETIVOS DE LA EMPRESA

LOGRO DE OBJETIVOS DE LA EMPRESA

• Para mitigar o minimizar el riesgo tecnológico las

• Detectivos: Permiten revelar e informar la ocurrencia

• Correctivos: Permiten minimizar el impacto de una

• La auditoría de sistemas o de riesgo tecnológico, es el

• Utiliza eficientemente los recursos.

•1001: Estatuto de la función de auditoría.

• El informe es el producto final de la auditoría de SI, se

• El reporte de observaciones y recomendaciones, puede

• La auditoría no será efectiva si habiendo concluido con

• Para definir el plan anual de auditoría, se debe:

Definición universo Requerimiento Definición plan anual

• Para realizar un trabajo de auditoría, se debe:

IDENTIFICAR EL RIEGO INHERENTE

DETERMINAR LA FIABILIDAD, NATURA- GENERACIÓN DE RECOMENDACIONES,

• Realización de pruebas de auditoría: Una vez

• El resultado de las pruebas debe permitir reunir

• El auditor debe tener en cuenta las fortalezas y

• Es el riesgo que la información pueda contener errores

Mantener desactualizado el plan de contingencia

Un auditor externo está planificando una auditoría

La unidad de auditoría de una compañía de seguros ha

Las auditorías de Sistemas se aplican a las funciones

• Auditoría de la Dirección: Revisar las actividades

• Auditoría del Mantenimiento: Revisar la existencia y

• Auditoría de Seguridad: Validar los procedimientos

• Auditorías de Aplicaciones: Evaluar los controles de

También podría gustarte