Auditoría de Aplicaciones en

Operación
Área de Administración y Negocios
 Auditoría de un Sistema en Operación
■ Enfoque de la Revisión
– Auditoría de la funcionalidad del Sistema
– Auditoría del Control de Acceso a la Información
– Auditoría de la Plataforma Tecnológica
 Sistemas en Operación

■ DIAGRAMA DEL DISEÑO FÍSICO

Ventas Archivo Contabilidad

Maestro
CxC

Factura
Archivo
Maestro
Ventas

Al Comprador
Pedido Por
Informe Diario Mayor Fecha
Facturación General

Proceso
Proceso Al Cliente
Pedido
Diario
Nota 2
Facturas Nota 5
Embarques Estado de
Nota 4 Archivo
Proceso Cuentas
Volante Diario

despacho Archivo
Facturas
Mensual M/G
Pedidos

Nota 3
Listado Listado
Procesamiento Antigüedad CxC
Entr.Cantidad CxX
Embarcada embarque
Nota 6
Notas Sist.
Archivo
EYE
Remisión E/E
Archivo
Maestro
CxC

Mercancía Embarcada Por

a Cliente Fecha
Auditoría de la Funcionalidad del Sistema

■ Auditoría de los Procesos

– Alrededor del Computador

AUDITORÍA
COMPUTADOR

GENERACIÓN DE LOS ALMACENAMIENTO Y

DATOS RECUPERACIÓN DE
DATOS

ENTRADA/ VALIDACIÓN DE COMUNICACIÓN DE

DATOS LOS DATOS
PROGRAMA O SISTEMA INFORMES DE SALIDA
A PROBAR
Auditoría de la Funcionalidad del Sistema

■ Auditoría de los Procesos

– A través del Computador

AUDITORÍA COMPUTADOR

GENERACIÓN DE LOS ALMACENAMIENTO Y

DATOS RECUPERACIÓN DE DATOS

ENTRADA/ VALIDACIÓN DE COMUNICACIÓN DE

DATOS LOS DATOS PROGRAMA O SISTEMA INFORMES DE SALIDA
A PROBAR
Auditoría de la Funcionalidad del Sistema

■ Auditoría de los Procesos

– A través del Computador

AUDITORÍA
PRG02

PRG01 FILE01
FILE02

FILE03
LIS01
PRG04 PRG03

LIS02
FILE04
Auditoría del Control de Acceso a la Información

■ Sistemas Operativos
– Servidores
– Software de Manejo de Redes
■ “Motores” de Base de Datos
■ Protección de Mensajes
– Encriptación, Firewalls, Firma Electrónica
■ Protección de Aplicaciones
– Claves para activación de procesos
Auditoría del Control de Acceso a la Información
OFICINAS CENTRALES SANTIAGO

SUCURSALES REGIONES
HOST 1 HOST 2
HOST 3
R R

LAN LAN
Terminales LAN LAN

LAN
Red
Estaciones
Conmutada
Remotas

OTRAS EMPRESAS
- Distribuidores
- Bancos
- Proveedores,
- ...
 Auditoría de la Plataforma Tecnológica del
Sistema
■ Respaldo de Equipos
– Servidores Centrales
– Servidores de Redes LAN
– Equipos de Comunicación
– PCs, Impresoras
 Auditoría de la Plataforma Tecnológica del
Sistema
■ Respaldo de Software
– Sistemas Operativos
– Software de base de Datos
– Software de Aplicaciones
■ Respaldo de Información
– Respaldos Internos a la Instalación
– Respaldos Externos
 Auditoría de la Plataforma Tecnológica del
Sistema
■ Plan de Manejo de Contingencias y Recuperación de Desastres
– Procedimientos de emergencia y de recuperación del Usuario
– Procedimientos de emergencia y de recuperación de la operación de Sistemas
 Auditoría de Sistema en Operación
■ Metodología de Revisión
– Investigación de la Aplicación
– Evaluación de Riesgos
– Evaluación de Controles
– Prueba de Controles
– Verificación Integridad de Datos
– Análisis de hechos detectados
– Confección del Informe de Auditoría
1. INVESTIGACIÓN DE LA APLICACIÓN

– DEFINICIÓN OBJETIVOS DEL TRABAJO DE AUDITORÍA

– INVESTIGACIÓN DE LAS CARACTERÍSTICAS DE LA APLICACIÓN

■ 1.1. ASIGNACIÓN DE LA AUDITORÍA

■ ASIGNACIÓN DE LA AUDITORÍA
■ EVALUACIÓN DE LOS RESULTADOS
■ REUNIÓN DE EXPLICACIÓN

■ 1.2. REVISIÓN DE ANTECEDENTES DE LA APLICACIÓN

■ MISIÓN DEL ÁREA QUE MANEJA LA APLICACIÓN
■ REUNIÓN DE TRABAJO INICIAL
■ RECOLECCIÓN DE DOCUMENTACIÓN
1. INVESTIGACIÓN DE LA APLICACIÓN
(CONTINUACIÓN)

■ 1.3. IDENTIFICACIÓN DE LAS EVIDENCIAS

■ FLUJOGRAMA DEL SISTEMA COMPUTACIONAL
■ DICCIONARIO DE DATOS
■ DESCRIPCIÓN NARRATIVA DEL SISTEMA
■ MANUALES DEL USUARIO
■ ENTRADAS/SALIDAS DEL SISTEMA
■ ARCHIVOS/BASES DE DATOS DEL SISTEMA
■ MODELO DE DATOS
■ RECOLECCIÓN DE OPINIONES
– USUARIO DEL SISTEMA
– ENCARGADOS DE LA OPERACIÓN COMPUTACIONAL
1. INVESTIGACIÓN DE LA APLICACIÓN
(CONTINUACIÓN)

■ 1.4. DESARROLLO DEL DIAGRAMA DE FLUJO DE DATOS

■ PUNTOS DE CONTROL EN EL FLUJO DE DATOS
■ CONFIRMACIÓN DE LA VALIDEZ DEL DIAGRAMA DE FLUJO
2. IDENTIFICACIÓN DE LOS RIESGOS DE
LA APLICACIÓN
■ Evaluación de Riesgos
– Riesgos de Funcionalidad
– Riesgos de Seguridad
– Riesgos de la Plataforma Tecnológica
 2. IDENTIFICACIÓN DE LOS RIESGOS DE LA
APLICACIÓN

■ Evaluación de Riesgos

EVALUACIÓN = DAÑO X PROBABILIDAD

DE RIESGO ESPERADO DE OCURRENCIA

$2.000.000 = $10.000.000 X 0,2 (veces por año)

■ Jerarquización y selección de riesgos principales
 2. IDENTIFICACIÓN DE LOS RIESGOS DE LA
APLICACIÓN

■ 2.1. REGISTRO DE LOS RIESGOS DE LA APLICACIÓN

■ IDENTIFICACIÓN DE LAS VULNERABILIDADES DE LA APLICACIÓN
■ DETERMINACIÓN DE RECURSOS DE AUDITORÍA NECESARIOS
■ ÁREAS DE RIESGOS
– RIESGOS ESTRUCTURALES
– RIESGOS TECNOLÓGICOS
– RIESGOS DE TAMAÑO
 2. IDENTIFICACIÓN DE LOS RIESGOS DE LA
APLICACIÓN

■ 2.2. DETERMINACIÓN DE RIESGOS DE LA APLICACIÓN

■ TÉCNICA DE BOMBARDEO DE IDEAS
– FORMACIÓN DEL GRUPO DE TRABAJO
– RECOLECCIÓN DE ANTECEDENTES
– REUNIONES DE TRABAJO Y DOCUMENTACIÓN DE RIESGOS
■ 2.3. JERARQUIZACIÓN DE LOS RIESGOS DE LA APLICACIÓN
■ DESCRIPCIÓN DEL EVENTO DESFAVORABLE
■ CÁLCULO DE LA FRECUENCIA Y LA PÉRDIDA ESPERADA
■ OBTENCIÓN DE LA PÉRDIDA ANUAL ESPERADA
 2. IDENTIFICACIÓN DE LOS
RIESGOS DE LA APLICACIÓN
(CONTINUACIÓN)

■ 2.4. DEFINICIÓN DE OBJETIVOS DE AUDITORÍA

■ DETERMINACIÓN DE MEDIDAS DE CUMPLIMIENTO
■ FORMALIZACIÓN ESCRITA DE LOS OBJETIVOS A LOGRAR

■ 2.5. DESARROLLO DEL PLAN DE AUDITORÍA

■ SECUENCIA EN EL LOGRO DE OBJETIVOS
■ PERSONAL REQUERIDO
■ PLAZOS
■ METODOLOGÍA DE TRABAJO
 Metodología de Revisión de
■
Sistema
Evaluación de Controles
en Operación
– Controles sobre las Personas
■ Confección de Matriz : Personas v/s Funciones
■ Análisis de la separación de labores incompatibles
– Controles sobre las Transacciones
■ Cuestionarios sobre controles del sistema
– Determinación vulnerabilidades del Sistema
 Metodología de Revisión de
Sistema en Operación
PUNTOS DE RIESGO EN EL SISTEMA

GENERACIÓN DE LOS ALMACENAMIENTO Y

DATOS RECUPERACIÓN DE
DATOS

ENTRADA/ VALIDACIÓN DE COMUNICACIÓN DE

DATOS LOS DATOS
PROGRAMA O SISTEMA INFORMES DE SALIDA
A PROBAR
Metodología de Revisión de Sistema en
Operación

APLICACIÓN DE CUESTIONARIOS POR PUNTO CRÍTICO

CAPITULO AUDITORIA DE NORMAS Y PROCEDIMIENTOS GENERALES DE INFORMATICA

TEMA DEFINICIONES PRELIMINARES
CUESTIONARIO RECOLECCION DE INFORMACION
No. MATERIA NO SI COMENTARIOS
1. Organización y Administración
1.1 ¿Separación de deberes dentro de Informática?
1.2 ¿Existe separación de Informática de otras Unidades de la
Organización?
1.3 ¿Definición de funciones y responsabilidades internas?
1.4 ¿Asignación de recursos humanos y materiales en la
organización?

2. Planificación y control de recursos

2.1 ¿Planificación de recursos para servicios, equipos, software
y personal?
2.2 ¿Variación entre los resultados planeados y los obtenidos
realmente?

3. Controles del Medio Ambiente y seguridad física.

3.1 ¿Existen elementos de protección y seguridad física?
3.2 ¿Se han instalado controles de acceso y dispositivos de
monitoreo?
3.3 Existen controles de temperatura y humedad en la sala de
equipos?
3.4 Existe respaldo para la energía y el aire acondicionado?
3.5 Existe respaldo del software?
3.6 Existe respaldo del hardware?
3. EVALUACIÓN DEL CONTROL INTERNO
– CONTROL SOBRE LAS PERSONAS. SEGREGACIÓN DE LABORES
– CONTROL SOBRE LAS TRANSACCIONES

■ 3.1. DOCUMENTAR LA SEGREGACIÓN DE LABORES

■ IDENTIFICACIÓN DE LAS FUNCIONES DE LA APLICACIÓN
■ IDENTIFICACIÓN DEL PERSONAL RESPONSABLE POR ELLAS
■ MATRIZ DE CONFLICTOS
 3. EVALUACIÓN DEL CONTROL INTERNO

■ 3.2. REVISIÓN DEL CONTROL

■ CUESTIONARIOS SOBRE CONTROLES
– ENTRADA DE DATOS
– PROCESAMIENTO
– EMISIÓN DE INFORMES
■ DOCUMENTACIÓN RESPALDATORIA
3. EVALUACIÓN DEL CONTROL INTERNO
(CONTINUACIÓN)

■ 3.3. DESARROLLO DE DIAGRAMAS DE CONTROL

■ DIAGRAMA DE CONTROL DE FLUJO DE DATOS
■ DIAGRAMA DE CONTROL DE FLUJO DE TRANSACCIONES
– GENERACIÓN DE LOS DATOS
– ENTRADA DE DATOS
– PROCESO
– ALMACENAMIENTO
– SALIDAS
 3. EVALUACIÓN DEL CONTROL
INTERNO (CONTINUACIÓN )

■ 3.4. IDENTIFICAR Y DEFINIR LAS VULNERABILIDADES

■ VULNERABILIDADES DE RESPONSABILIDAD
■ VULNERABILIDADES EN EL PROCESO DE TRANSACCIONES
■ SELECCIÓN DE LAS VULNERABILIDADES A SER PROBADAS
 Metodología de Revisión de
Sistema en Operación
■ Prueba de Controles
– Confirmación de la existencia y efectividad de los controles
– Técnicas de Prueba
■ Datos de Prueba
■ Caso Base, etc.
– Simulación Paralela
■ Prueba Integrada
 4. PRUEBA DEL CONTROL
INTERNO
– VULNERABILIDAD SIN CONTROL
– VULNERABILIDAD CON CONTROLES DÉBILES

■ 4.1. CREACIÓN DEL PLAN DE PRUEBA DE CONTROL

■ PRUEBA ESTÁTICA
– EVALUACIÓN DEL PROCEDIMIENTO O PROGRAMA
■ PRUEBA DINÁMICA
– EJECUCIÓN DEL CONTROL/EXAMEN DE LOS RESULTADOS
 4. PRUEBA DEL CONTROL INTERNO

■ 4.2. DISEÑO DE LAS PRUEBAS DE CONTROL

■ PRUEBA ESTÁTICA
–
PROGRAMA DE TRABAJO
■ PRUEBA DINÁMICA
– CREACIÓN DE CONDICIONES DE PRUEBA
■ 4.3. EJECUCIÓN DE LAS PRUEBAS DE CONTROL
■ PREPARACIÓN DE TRANSACCIONES DE PRUEBA
■ VERIFICACIÓN DEL FUNCIONAMIENTO DE LOS CONTROLES
 4. PRUEBA DEL CONTROL INTERNO
(CONTINUACIÓN)

■ 4.4. EVALUACIÓN DE LA EFECTIVIDAD DEL CONTROL

■ COMPARACIÓN DE LOS RESULTADOS OBTENIDOS CON LOS
ESPERADOS
■ VALIDEZ DE LA PRUEBA
■ CONFIRMACIÓN DE LA CORRECCIÓN DE LOS RESULTADOS
ESPERADOS
■ ASIGNACIÓN DE LA CALIFICACIÓN DEL CONTROL
 Auditoría de la Funcionalidad del Sistema
■ Verificación de la Integridad de la Información
– Herramientas CAATs
■ Búsqueda de operaciones erróneas o anormales
– Aplicación de Inteligencia a la Información
■ Búsqueda de situaciones anormales a través de la relación entre la información almacenada.
 Auditoría de la Funcionalidad
del Sistema
Verificación de la Integridad de la
Información

GENERACIÓN DE ALMACENAMIENTO Y
LOS DATOS RECUPERACIÓN DE
DATOS

ENTRADA/ VALIDACIÓN DE COMUNICACIÓN DE

DATOS LOS DATOS
PROGRAMA O SISTEMA INFORMES DE SALIDA
A PROBAR
5. PRUEBA DE LA INTEGRIDAD DE LOS
DATOS
– DETERMINACIÓN DE LA MAGNITUD DE LAS VULNERABILIDADES
POTENCIALES DEL SISTEMA
– EVALUACIÓN DEL FUNCIONAMIENTO DE LOS CONTROLES
– ANÁLISIS DE LAS TRANSACCIONES PARA IDENTIFICAR LAS
CONDICIONES DE PROBLEMAS POTENCIALES
5. PRUEBA DE LA INTEGRIDAD DE LOS
DATOS
■ 5.1. INVESTIGACIÓN DE ARCHIVOS DE DATOS
■ CARACTERÍSTICAS DE LA FORMA Y CONTENIDO DE LOS
ARCHIVOS DE DATOS
– ESTRUCTURA
– FORMATO DE LOS REGISTROS
– TAMAÑO, No. DE REGISTROS Y ESPACIO DEL ARCHIVO
– DISTRIBUCIÓN DE LOS DATOS
– ANÁLISIS DEL VALOR MONETARIO
 5. PRUEBA DE LA INTEGRIDAD DE
LOS DATOS (CONTINUACIÓN)
■ 5.2. PLAN DE PRUEBA DE DATOS
– IDENTIFICACIÓN Y DESCRIPCIÓN DE LOS DATOS DE PRUEBA
– DESARROLLO DEL PLAN

■ 5.3. DESARROLLO DE LAS HERRAMIENTAS DE PRUEBA

■ DEFINICIÓN DE DATOS Y PROCESOS A UTILIZAR, INFORMES.
■ USO DE PAQUETES O PROGRAMAS UTILITARIOS
 5. PRUEBA DE LA INTEGRIDAD DE
LOS DATOS (CONTINUACIÓN)
■ 5.4. VERIFICACIÓN DE LA INTEGRIDAD DEL ARCHIVO
– “EL ARCHIVO CUYA INTEGRIDAD NO PUEDE SER VERIFICADA, NO
SIRVE COMO FUNDAMENTO DE CONCLUSIONES”.
■ MÉTODOS DE VERIFICACIÓN
– PRUEBA DE CAMPOS CLAVES
– PRUEBA DE COMPLETITUD
– PRUEBA CONTABLE SIMPLE
 5. PRUEBA DE LA INTEGRIDAD DE
LOS DATOS (CONTINUACIÓN)
■ 5.5. EVALUACIÓN DE VALIDEZ DEL PROCESO DE PRUEBA
■ VERIFICACIÓN DE SU FUNCIONAMIENTO

■ 5.6. PRUEBA DE DATOS

■ RECOLECCIÓN DE LOS DATOS NECESARIOS
■ VERIFICACIÓN DE LA EJECUCIÓN DEL PROGRAMA
■ CONTROL DE MODIFICACIONES AL PROGRAMA DE PRUEBA O A LOS
DATOS SOBRE LOS CUALES SE APLICA

■ 5.7. REVISIÓN DE LOS RESULTADOS DE LA PRUEBA DE DATOS

■ FORMATO DE LOS INFORMES EMITIDOS
■ CONTENIDO RELEVANTE DE LOS INFORMES
 Metodología de Revisión de Sistema en
Operación
■ Análisis de hechos detectados
– Pautas de análisis
■ Como
■ Donde
■ Cuando
■ Por que
– Reunión de confirmación
6. ANÁLISIS DE LOS RESULTADOS DE
LA AUDITORÍA

■6.1. DOCUMENTACIÓN DE LOS HECHOS

■ SITUACIONES QUE PRESENTAN DISCREPANCIA FRENTE A
NORMAS O REGLAMENTOS DE LA EMPRESA.
■ SELECCIÓN DE LOS HECHOS MAS IMPORTANTES
6. ANÁLISIS DE LOS RESULTADOS DE
LA AUDITORÍA

■ 6.2. ANÁLISIS DE LOS HECHOS

■ PROCESO:
– CONSULTAR UNA PREGUNTA REAL
– COMPARAR PREGUNTA REAL CON PREGUNTA ANALÍTICA
– ANALIZAR LA RESPUESTA A ESTAS PREGUNTAS
■ ANALISIS 1. EL EVENTO DESCUBIERTO
– QUÉ SE HIZO?
– POR QUÉ ESO?
– ANÁLISIS
 6. ANÁLISIS DE LOS RESULTADOS
DE LA AUDITORÍA CONTINUACIÓN)
■ ANÁLISIS 2. UBICACIÓN DEL EVENTO
– DONDE FUÉ HECHO?
– POR QUE ALLI?
– ANÁLISIS
■ ANÁLISIS 3. OPORTUNIDAD DEL EVENTO
– CUANDO FUE HECHO?
– POR QUE ENTONCES?
– ANÁLISIS
■ ANÁLISIS 4. RESPONSABILIDAD POR EL EVENTO
– QUIÉN LO HIZO?
– POR QUE ESA PERSONA?
– ANÁLISIS
6. ANÁLISIS DE LOS RESULTADOS
DE LA AUDITORÍA CONTINUACIÓN)

■ ANÁLISIS 5. PROCESO QUE PRODUJO EL EVENTO

– COMO FUE HECHO?
– POR QUE EN ESA FORMA?
– ANÁLISIS
■ ANÁLISIS 6. RAZON POR LA CUAL SE PRODUJO EL EVENTO
– POR QUE SE GENERÓ EL HECHO?
– POR QUE SE PERMITIÓ?
– ANÁLISIS
 6. ANÁLISIS DE LOS RESULTADOS DE LA
AUDITORÍA CONTINUACIÓN)
■ 6.3. DESARROLLO DE RECOMENDACIONES
■ CORRECCIÓN DE LOS PROBLEMAS DETECTADOS
■ RELACIÓN DIRECTA ENTRE LAS RECOMENDACIONES Y LOS
PROBLEMAS QUE SE PRETENDE SOLUCIONAR
■ JERARQUIZACIÓN DE LAS RECOMENDACIONES
 6. ANÁLISIS DE LOS RESULTADOS
DE LA AUDITORÍA CONTINUACIÓN)
■ 6.4. DOCUMENTACIÓN DE LAS RECOMENDACIONES
■ FUNDAMENTO DE LAS RECOMENDACIONES
■ FACTORES A CONSIDERAR EN LAS RECOMENDACIONES
– FACTIBILIDAD DE IMPLEMENTACIÓN EN LA APLICACIÓN AUDITADA
– SU IMPACTO EN OTRAS APLICACIONES
– DISPONIBILIDAD DE LA TECNOLOGÍA REQUERIDA
– EFECTO EN LOS ARCHIVOS DE LA APLICACIÓN
– EFECTO EN LOS USUARIOS
 Metodología de Revisión de
■
Sistema
Confección del Informe de Auditoría
en Operación
– Informe de Ventas
– Selección de los Hechos detectados más Importantes
– Uso de lenguaje de acuerdo al destinatario
– Distribución y SEGUIMIENTO DE LAS RECOMENDACIONES.
 7. REVISIÓN E INFORME DE LOS HECHOS
DETECTADOS
– “ELVALOR DE UNA AUDITORÍA ES CALIFICADO POR LA
ACEPTACIÓN QUE TIENE EL INFORME DE AUDITORÍA POR EL
AUDITADO Y POR LA GERENCIA”.
– “EL INFORME FINAL DEBE MOTIVAR LA ADOPCIÓN DE LAS
ACCIONES NECESARIAS POR EL AUDITADO”.

■ 7.1. CREACIÓN DEL INFORME DE AUDITORÍA

■ COMPRENSIÓN DE LOS OBJETIVOS DEL INFORME

■ INCLUIR NO MÁS DE TRES OBJETIVOS Y TRES ACCIONES
■ A MAYOR CANTIDAD DE ITEMS, SELECCIONAR LOS MÁS
IMPORTANTES
 7. REVISIÓN E INFORME DE LOS
HECHOS DETECTADOS (CONTINUACIÓN)

■ 7.2. REVISIÓN DE LA RAZONABILIDAD DEL INFORME

■ VERIFICACIÓN DE LOS PAPELES DE TRABAJO QUE SOPORTAN
LOS HECHOS DETECTADOS Y LAS RECOMENDACIONES
■ MATERIAS QUE DEBE CONOCER LA GERENCIA DE AUDITORÍA:
– COMPRENSIÓN DE LA TERMINOLOGÍA COMPUTACIONAL
– COMPRENSIÓN DE LOS PRINCIPIOS Y CONCEPTOS D.P.
– COMPRESIÓN DE LA ESTRUCTURA, OPERACIÓN Y CONTROLES
DE LOS SISTEMAS
 7. REVISIÓN E INFORME DE LOS HECHOS
DETECTADOS (CONTINUACIÓN)

■ 7.3. REVISIÓN DE LA LEGIBILIDAD DEL INFORME

■ DEBE MOTIVAR EL CAMBIO DE CONDUCTAS
■ DOCUMENTO DE VENTAS
■ REVISIÓN BAJO EL ENFOQUE DEL AUDITADO
7. REVISIÓN E INFORME DE LOS HECHOS
DETECTADOS (CONTINUACIÓN)

■ 7.4. PREPARACIÓN Y DISTRIBUCIÓN DEL INFORME

■ ASEGURAR LA IMPLEMENTACIÓN DE LAS RECOMENDACIONES
■ PROCEDIMIENTO A SEGUIR:
– CONFERENCIA DE TÉRMINO
– DISTRIBUCIÓN DEL INFORME Y SU SEGUIMIENTO
 7. REVISIÓN E INFORME DE LOS
HECHOS DETECTADOS (CONTINUACIÓN)

■ RESUMEN
■ REGISTRO DE RESULTADOS DE LA AUDITORÍA
– HECHOS DETECTADOS EN LA AUDITORÍA
– SISTEMA AUDITADO
– RECOMENDACIONES DE AUDITORÍA
– FUNDAMENTOS DE CADA RECOMENDACIÓN
■ INFORME ANUAL RESUMEN DE LOS RESULTADOS DE LAS
AUDITORÍA EFECTUADAS EN EL PERIODO