Bloque II – El proceso y los elementos de Auditoría de los SSII Tema 1 – Introducción a la auditoría de SSII 1/41 Bloque II EL PROCESO Y LOS ELEMENTOS DE LA AUDITORÍA DE SSII Tema 2 Introducción a la Auditoría de Sistemas de Información José F Vélez Serrano Francisco Nava
41
Embed
Presentacion - Tema 2 - Introduccion a La Auditoria de Sistemas de Informacion
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Bloque II – El proceso y los elementos de Auditoría de los SSII
Tema 1 – Introducción a la auditoría de SSII
1/41
Bloque II
EL PROCESO Y LOS ELEMENTOS DE LA AUDITORÍA DE SSII
Tema 2
Introducción a la Auditoría de Sistemas de Información
Bloque II – El proceso y los elementos de Auditoría de los SSII
Tema 1 – Introducción a la auditoría de SSII
3/41
Breve historia de la auditoría de SSII
● Auditoría alrededor del ordenador. Auditoría convencional con un elemento exótico. El ordenador como caja negra.
● Auditoría del ordenador. Se adaptaron los criterios al centro de proceso de datos.
● Auditoría a través del ordenador. Se comienza a estudiar el tratamiento de la información en las aplicaciones.
● Auditoría con el ordenador. El auditor comienza a usar el ordenador para conseguir pruebas y evidencias.
● Auditoría operativa de proceso de datos. Basada en al auditoría operativa estudia la eficacia y la eficiencia del tratamiento automático de los datos.
Bloque II – El proceso y los elementos de Auditoría de los SSII
Tema 1 – Introducción a la auditoría de SSII
7/41
Razones para auditar y controlar los SSII
Control del uso de la tecnología
La responsabilidad no puede desaparecer
Factores a tener en cuenta:
● En que casos debe utilizarse y en que casos debe prohibirse el uso de tecnología: control aéreo, conducción de vehículos, operaciones médicas...
● Quién es responsable cuando un sistema falla: los sistemas, las compañías que los usan, las compañías que los proporcionan, las personas que los desarrollan...
La normativa y los contratos deben explicar estos puntos
Bloque II – El proceso y los elementos de Auditoría de los SSII
Tema 1 – Introducción a la auditoría de SSII
17/41
La eficiencia
Un sistema eficiente es el que minimiza los recursos para conseguir sus objetivos
Aspectos:
● Los recursos siempre son escasos para la demanda: Tiempo, máquinas, comunicaciones, personas
● No se puede evaluar aisladamente debido a sus dependencias con otros sistemas (sistemas lentos que penalizan, líneas de comunicación, personas...). .
● La eficiencia es clave cuando el sistema informático tiene poca capacidad. Hay que decidir si ampliar la capacidad de los sistemas informáticos o mejorar el software.
La auditoría detecta problemas de capacidad y los relaciona con cuellos de botella o con aplicaciones ineficientes.
Definición de la Auditoría de Sistemas de Información
Bloque II – El proceso y los elementos de Auditoría de los SSII
Tema 1 – Introducción a la auditoría de SSII
19/41
Segregación de funciones
Previene y detecta errores e irregularidades.
La segregación clásica no es válida:
● En un sistema manual distintas personas deben: Iniciar las transacciones, registrar las transacciones, custodiar activos...
● Un mismo programa puede: Reconciliar una factura de un proveedor contra el documento recibido e imprimir un talón por la cantidad adeudada al proveedor (funciones incompatibles en un sistema manual).
En sistemas informatizados se deben verificar la segregación de:
● La capacidad de ejecutar el programa en el entorno de producción
● La capacidad de modificar el programa
En entornos con miniordenadores y PCs la segregación de estas funciones puede ser difícil de conseguir. Deben existir: contraseñas, permisos de escritura, registro de cambios.
Bloque II – El proceso y los elementos de Auditoría de los SSII
Tema 1 – Introducción a la auditoría de SSII
20/41
Delegación de la responsabilidad y de la autoridad
La especificación clara de la responsabilidad y de la autoridad es un control esencial
Aspectos a considerar:
● En un sistema informatizado, puede ser difícil de conseguir una especificación no ambigua pues algunos recursos se comparten entre distintos usuarios.
Por ejemplo, si varios usuarios acceden a los mismos datos y se viola la integridad de los datos puede ser difícil determinar la responsabilidad de:
● La corrupción de los datos
● Responsable de identificar y corregir el error.
Se debe comprobar la existencia de traza adecuada en cada caso y la imposibilidad de suplantación y eliminación de rastro
Bloque II – El proceso y los elementos de Auditoría de los SSII
Tema 1 – Introducción a la auditoría de SSII
21/41
Personal competente y de confianza
La existencia de personal competente y de confianza es cada vez más importante
Aspectos a considerar:
● Como la tecnología informática es cada vez más compleja se necesita personal muy cualificado para: desarrollar, mantener y operar los sistemas informáticos.
● Un pequeño número de personas asumen la responsabilidad de la integridad de los datos.
● La alta rotación del personal hace difícil evaluar su adecuada cualificación.
Se puede verificar la posibilidad de ausencias, la existencia de cuellos de botellas...
Bloque II – El proceso y los elementos de Auditoría de los SSII
Tema 1 – Introducción a la auditoría de SSII
22/41
Sistema de autorizaciones
Los programas cumplen el sistema de autorizaciones
Aspectos a considerar:
● Normalmente la dirección da dos tipos de autorización para ejecutar las transacciones:
● Generales establecen políticas a seguir (una lista fija de precios para el personal de ventas)
● Específicas aplican a transacciones específicas (las compras de valor muy elevado deben ser aprobadas por el comité de dirección)
● Cambia la forma de evaluar el seguimiento de las autorizaciones:
● En un sistema manual se examinan el trabajo de los empleados.
● En un sistema informático, el procedimiento de autorización suele estar imbuido en un programa, por lo que se debe verificar además la veracidad del programa.
Verificar que los programas cumplen el sistema de autorizaciones
Bloque II – El proceso y los elementos de Auditoría de los SSII
Tema 1 – Introducción a la auditoría de SSII
23/41
Documentación y registros adecuados
El sistema debe registrar todos los eventos y se debe poder acceder a esos registros
Aspectos a considerar:
● En un sistema manual hay un soporte documental para permitir un rastreo de auditoría, mientras que en un sistema informático puede no haber soporte documental para iniciar, ejecutar y registrar algunas transacciones.
● Por ejemplo si los datos se introducen directamente en el sistema, o si las ordenes de compras se producen automáticamente cuando el inventario es muy bajo.
● La segregación (ejecución / modificación) debe funcionar para impedir problemas de control.
Se debe revisar las existencia y el acceso a los registros de los sistemas
Bloque II – El proceso y los elementos de Auditoría de los SSII
Tema 1 – Introducción a la auditoría de SSII
24/41
Control físico sobre activos y registros
Control crítico en sistemas manuales e informáticos
Aspectos a considerar:
● Los sistemas informatizados tienden a concentrar sus activos y Registros, por lo que se incrementa la pérdida que puede suceder debido a un fraude informático o a un desastre.
● Por ejemplo un incendio que destruya archivos sin respaldo puede impedir que se continúen las operaciones.
El auditor debe verificar la existencia de sistemas contingencias y sus controles
Bloque II – El proceso y los elementos de Auditoría de los SSII
Tema 1 – Introducción a la auditoría de SSII
27/41
Comparación periódica de los registros contabilizados con los activos
Periódicamente, hay que comparar los datos y los activos que los datos pretenden representar
Aspectos a considerar:
● En un sistema manual personal independiente prepara los datos para realizar la comparación.
● En un sistema informático esta preparación la realiza un programa. Si se realizan modificaciones no autorizadas a los programas o a los ficheros, se podría no descubrir una irregularidad.
El control cambia a asegurar la veracidad de los programas
Bloque II – El proceso y los elementos de Auditoría de los SSII
Tema 1 – Introducción a la auditoría de SSII
28/41
Los auditores han de ser competentes e independientes para evaluar la correspondencia entre las actividades de una organización y los estándares o criterios establecidos.
El PED ha impactado en las dos funciones básicas de la auditoría:
Bloque II – El proceso y los elementos de Auditoría de los SSII
Tema 1 – Introducción a la auditoría de SSII
29/41
Cambios en la recogida de las evidencias
Efectos del PED sobre la Auditoría
● La recogida de evidencia es más compleja en un sistema informático. Los auditores tienen que evaluar un conjunto de controles tecnológicos variado y complejo no existente en un sistema manual.
Bloque II – El proceso y los elementos de Auditoría de los SSII
Tema 1 – Introducción a la auditoría de SSII
30/41
Cambios en la recogida de las evidencias (2)
Efectos del PED sobre la Auditoría
● Entender los controles tecnológicos no es fácil. La rápida evolución hardware y el software implica una continua evolución de los controles asociados.
Bloque II – El proceso y los elementos de Auditoría de los SSII
Tema 1 – Introducción a la auditoría de SSII
31/41
Cambios en la recogida de las evidencias (3)
Efectos del PED sobre la Auditoría
● Todo esto hace más difícil recoger la evidencia de forma manual, por lo que los auditores necesitan sistemas PED para poder recoger la evidencia. Por ello existe software general de auditoría.
Bloque II – El proceso y los elementos de Auditoría de los SSII
Tema 1 – Introducción a la auditoría de SSII
33/41
Cambios en la evaluación de las evidencias (2)
Si al evaluar las evidencias se descubren errores, hay que tener en cuenta que as consecuencias de los errores en un sistema informático suelen ser más graves que en uno manual.
El auditor debe verificar que existen controles que aseguren sistemas de alta calidad
Efectos del PED sobre la Auditoría
● Los errores se generan a alta velocidad
● El coste de corregir un error y/o volver a ejecutar un programa puede ser muy alto.
● Los errores en los programas suelen requerir rediseño y reimplementación.
Bloque II – El proceso y los elementos de Auditoría de los SSII
Tema 1 – Introducción a la auditoría de SSII
34/41
Cambios en la evaluación de las evidencias (3)
La localización de errores cambia debido a que:
● Los errores en los sistema manual suceden de una forma estocástica. Por ejemplo, un administrativo comete aleatoriamente un error al introducir un precio de un artículo.
● En un sistema informático tienden a presentarse de una forma determinista. Un programa erróneo siempre producirá el mismo error.
Bloque II – El proceso y los elementos de Auditoría de los SSII
Tema 1 – Introducción a la auditoría de SSII
37/41
Fundamentos de la Auditoría de SSII
Auditoría tradicional
● La auditoría tradicional aporta un importante bagaje de conocimiento y experiencia de técnicas de control interno.
● Los trabajos administrativos, que soportan al sistema informático, (como las actividades de preparación de datos) deben estar sujetas a principios de control interno.
● Muchos controles de los sistemas manuales se han exportado a sistemas informáticos (como los totales de control).
● La auditoría tradicional resalta la importancia crítica que tienen
● La evidencia objetiva y verificable
● La evaluación independiente de los sistemas.
● Su aporte más importante es la filosofía del control.
Bloque II – El proceso y los elementos de Auditoría de los SSII
Tema 1 – Introducción a la auditoría de SSII
38/41
Fundamentos de la Auditoría de SSII
Gestión de SSII
● La rama de la gestión de los SSII ha realizado numerosos aportes que impactan en la Auditoría informática como los relativos a:● La dirección de proyectos (Cascada, Scrum, XP...)● Desarrollar e implementar SSII (Warnier, E/R,
Objetos, UML...)● Creación de estándares.● Generación de documentación.
Bloque II – El proceso y los elementos de Auditoría de los SSII
Tema 1 – Introducción a la auditoría de SSII
39/41
Fundamentos de la Auditoría de SSII
Ciencias del comportamiento
Una de las razones para el fracaso de un Sistema Informático es la ignorancia de los problemas del comportamiento de las personas involucradas en su desarrollo e implementación.
Además, se debe considerar el impacto de todo Sistema informático en:
● El cumplimiento de las tareas (sistema técnico)
● La calidad de vida en el trabajo (sistema social)
La psicología, la sociología o la ciencia de la gerencia contribuyen a entender los problemas de las personas dentro de las organizaciones