contador

Maestría en Auditoría
Auditoría de Sistemas de Información
Sesión #4
Alejandro Magdits, Ernst & Young

Julio 2011

1. Sistemas de información

04/06/2010

© Alejandro Magdits: “Auditoría de Sistemas de Información”

2

Componentes de los sistemas de información

04/06/2010

© Alejandro Magdits: “Auditoría de Sistemas de Información”

3

Control sobre los sistemas deinformación

04/06/2010

© Alejandro Magdits: “Auditoría de Sistemas de Información”

4

Red de sistemas de información
• Las redes de datos facilitan la interconexión de los usuarios con las
aplicaciones y entre aplicaciones.
• El acceso a la red es controlado a través de la definición de usuarios y
contraseñas únicas para cada persona.

04/06/2010

© Alejandro Magdits: “Auditoría deSistemas de Información”

5

2. Administración y control de cambios

04/06/2010

© Alejandro Magdits: “Auditoría de Sistemas de Información”

6

COSO y el control de cambios

04/06/2010

© Alejandro Magdits: “Auditoría de Sistemas de Información”

7

Control de cambios a programas

04/06/2010

© Alejandro Magdits: “Auditoría de Sistemas de Información”

8Auditoría de controles de cambios a programas
Categoría
Cambios a
programas

ITGC
MC.1 – Los Cambios son autorizados
MC.2 - Los Cambios son probados

Procedimiento de
Prueba
•Revisión del procedimiento de
cambios a programa
•Migración de datos

MC.3 - Los Cambios son aprobados
MC.4 - Los Cambios son monitoreados

•Revisión del Monitoreo de
cambios a programas

MC.5 – Existe unaadecuada segregación

•Revisión de segregación de
funciones en cambios a
programas.
•Revisión de interfaces

de funciones en el ambiente de cambios a
programas

04/06/2010

© Alejandro Magdits: “Auditoría de Sistemas de Información”

9

Tipos de cambios a programas
Cambios

Descripción

Cambios a programas
regulares

Nuevas funcionalidades sobre un sistema previamenteimplementado.
Cambios hechos en situaciones de emergencia con un
Cambios de emergencia
procedimiento alterno
Cambios sobre la configuración general de parámetros de
Cambios a parámetros
los diferentes componentes de TI – bases de datos,
sistemas operativos y aplicaciones
Cambios de software del
Bases de datos, sistemas operativos y otro software del
sistema
sistema (parches y actualizaciones).Cambios por Implementación Cambios que son realizados debido a la adquisición de un
o compra de un nuevo sistema nuevo sistema.

04/06/2010

© Alejandro Magdits: “Auditoría de Sistemas de Información”

10

Medición del control de cambios
• Síntomas de un pobre control de cambios
–
–
–
–
–

04/06/2010

Cambios no autorizados
Trabajo no planeado
Cambios problemáticos o noexistosos
Alto número de cambios de emergencia
Demora en la implementación de sistemas

© Alejandro Magdits: “Auditoría de Sistemas de Información”

11

Variables que influencian la gestión de cambios
• Las conductas en la organización determinan el éxito de la gestión
– Responsabilidad definida
– Disciplina en la aplicación de los procedimientos
– Monitoreo periódico de la efectividad delos controles

04/06/2010

© Alejandro Magdits: “Auditoría de Sistemas de Información”

12

Madurez de la gestión de cambios

04/06/2010

© Alejandro Magdits: “Auditoría de Sistemas de Información”

13

3. Administración y control de acceso

04/06/2010

© Alejandro Magdits: “Auditoría de Sistemas de Información”

14

Red de datos

04/06/2010

© Alejandro Magdits:“Auditoría de Sistemas de Información”

15

Componentes del control de acceso
• Control de la identidad y el control del acceso
– Procedimiento y controles para la provisión, administración y cumplimiento

04/06/2010

© Alejandro Magdits: “Auditoría de Sistemas de Información”

16

Control operativo soportado por sistemas

04/06/2010

© Alejandro Magdits: “Auditoría de Sistemas...