8/9/2016

AuditoriadeSistema

Ms Siguienteblog

Crearunblog Acceder

Auditoria de Sistema
BIENVENIDOS

INTEGRANTES

domingo, 29 de mayo de 2011

FerminJoselin,

UNIDAD N 4 ESTANDARES DE
DOCUMENTACION DE AUDITORIA

Joselin Fermin Correo: joselinfermin@gmail.com

Telefono:04124103640; 04124484050
Ver todo mi perfil

Yoleixis Diaz

Correo: yole_0@hotmail.com. telefono:

04124038412

Elcy Chavez

Metodologapararealizarauditorasdesistemas
computacionales
Sepuedendesarrollarunaseriedeactividadesytcnicasque
nospuedenayudararealizarlaauditoriadeinformacin:

correo:norelcy_16@hotmail.com

Yorley Gonzalez

Correo:yorleyg_ing@hotmail.com. Telefono:
04161577828

Inventariofsico.

Es el proceso de identificacin y categorizacin de los

recursos de informacin de una forma sistemtica. De esta
forma, se proporciona una fotografa de lo que la
organizacinposeeentrminosderecursosdeinformacin
enunmomentodeterminado.
Masificacin de la informacin (Infomap). Constituye una
formagrficaderepresentarlosrecursosdeinformacinque
hay en la organizacin y las interrelaciones entre stos. El
mapa de recursos indica hasta qu punto los recursos de
informacin son bsicos, de qu modo se encuentran
posicionados (geogrficamente, departamentalmente, desde
un punto de vista tcnico), cmo interactan, quin los
utiliza,quineselresponsable,etc.
http://auditoriadesistemajoselin.blogspot.com/

1/18

8/9/2016

AuditoriadeSistema

Anlisisdelasnecesidadesdeinformacin.
Tienecomofinalidadprincipaldeterminarquinformacin
requieren los empleados y la direccin de la organizacin
paradesarrollarsuspapelesyalcanzarlosobjetivos.
Grficos de procesos y flujos de trabajo. Los grficos de
procesos junto con los flujos de trabajo pueden constituir
una buena herramienta de trabajo en el mbito de las
auditoriasdelainformacin.
Procesosdecontrolyverificacin.
En una auditoria de la informacin, se deben establecer
tambin los procesos de control y verificacin. El resultado
de estos procesos puede consistir en un informe o, incluso,
un certificado que confirme que todo es correcto o que
incluyarecomendacionesdemejora.Hayquetenerpresente
que el mapa de recursos de informacin, o mapa
documental, puede constituir uno de los principales
resultadosdelprocesodelaauditoriadeinformacin.Enel
caso del mapa documental, ste detalla qu documentos se
encuentran dentro de la organizacin, a qu tipo de
funciones se encuentran vinculados y dan respuesta, quin
tiene la responsabilidad y el acceso a esos documentos, en
qusoporteestndisponibles,dndeycmoseencuentran
accesiblesyqurelacinoniveldeintegracintienenconel
resto de los sistemas de informacin de la organizacin.
Tambin se establece la localizacin de todos los
documentos dentro de los estndares y los procedimientos
de la organizacin, as como su valor para el conocimiento
corporativo

Papelesdetrabajoparalaauditoradesistemas
computaciones
A lo largo de todo el trabajo de auditora, el auditor debe
guardarlaspruebasevidentesdelorealizado,nosolocomo
recordatorio fundado de su actuacin con las necesarias
matizaciones para emitir el informe, sino como medio de
demostrar,encualquiermomento,laamplitudylaevidencia
de los hechos, y poder expresar los procedimientos de
auditorautilizados,ascomolainterpretacindadaencada
casoaloshechos,conlasconclusionesobtenidas.
Estas pruebas, deben ser conservadas en lugar protegido,
http://auditoriadesistemajoselin.blogspot.com/

2/18

8/9/2016

AuditoriadeSistema

donde no puedan ser inspeccionadas por terceros ajenos al

auditor o equipo de auditores. No debern destruirse antes
de que haya transcurrido el tiempo que establecen las
obligacionesderivadasdelasleyesydelasnecesidadesdela
prctica profesional. Su destruccin o prdida, as como la
difusin no autorizada, acarreara responsabilidad para el
auditor.
Estructura de contenidos. Cuando hablamos de papeles de
trabajo, nos estamos refiriendo al conjunto de documentos
preparados por un auditor, que le permite disponer de una
informacin y de pruebas efectuadas durante su actuacin
profesional en la empresa, as como las decisiones tomadas
paraformarsuopinin.
Sumisinesayudarenlaplanificacinylaejecucindela
auditora,ayudarenlasupervisinyrevisindelamismay
suministrar evidencia del trabajo llevado a cabo para
respaldarlaopinindelauditor.
Handeserdetalladosycompletoslospapalesdetrabajoy
deben estar diseados para presentar la informacin
requeridadeformaclarayplenadesignificado.Estosdeben
elaborarseenelmomentoenqueserealizaeltrabajoyson
propiedad del auditor, quien debe adoptar las medidas
oportunas para garantizar su custodia sin peligro y su
confidencialidad.
Encuantoalosobjetivosdelospapelesdetrabajopodemos
indicarlossiguientes:
Servircomoevidenciadeltrabajorealizadoydesoportede
lasconclusionesdelmismo.
Presentarinformesalaspartesinteresadas.
Facilitarlosmediosparaorganizar,controlar,administrar
ysupervisareltrabajoejecutadoenlasoficinasdelcliente.
Facilitar la continuidad del trabajo en el caso de que un
rea deba ser terminada por persona distinta de la que la
inici.
Facilitarlalaborderevisionesposterioresyservirparala
informacinyevaluacinpersonal.
Tiposdepapelesdetrabajo.
En funcin de la fuente de la que procedan los papeles de
trabajo,stossepodrnclasificarentresgrupos:
a) Preparados por la entidad auditada. Se trata de toda
aquella documentacin que la empresa pone al servicio
del auditor para que pueda llevar a cabo su trabajo:
estados financieros, memoria, escritura, contratos,
acuerdos.
b)Confirmacionesdeterceros.Unapartedeltrabajode
auditora consiste en la verificacin de los saldos que
aparecenenelbalancedesituacinaauditar.
c) Preparados por el auditor. Este ltimo grupo estar
formado por toda la documentacin elaborada por el
propio auditor a lo largo del trabajo a desarrollar:
cuestionariosyprogramas,descripciones,detallesdelos
diferentes captulos de los estados financieros, cuentas,
transacciones, Sistemas de archivo. Un complemento
necesarioalospapelesdetrabajoloconstituyeelarchivo
http://auditoriadesistemajoselin.blogspot.com/

3/18

8/9/2016

AuditoriadeSistema

de trabajo. En l deben figurar recopilados todos los

documentos utilizados en la actuacin profesional, as
como cuantas informaciones se consideren de inters,
tantoparaelpresentecomoparaelfuturo.
Se pueden distinguir dos tipos de archivos: expediente de
ejercicioypermanente.
El contenido de este archivo se refiere a documentos y
papeles de trabajo cuya vigencia se limita al perodo de
realizacindelaauditora.
a) Archivo general Agrupa toda informacin referente a la
organizacin de la auditora, al mismo tiempo recoger la
documentacin en la que se han ido reflejando los
principalesproblemasquesehanplanteadoenlaejecucin
delaauditoraylasconclusionesalasqueahaidollegando
el auditor. De esta forma, podramos destacar como
apartados importantes de la seccin general del expediente
delejercicio:
Estadosfinancierosaauditar
Procesodeplanificacinyprogramasdeauditora
Informesobreelsistemadecontrolinternocontable
Indicacindequinrealizlosprocedimientosdeauditora
ycundofueronrealizados
Constancia de que el trabajo realizado por colaboradores
hasidosupervisadoyrevisado
Puntosdeinforme
Correspondencia con el cliente y resumen de las
conversacionesmantenidas
Hechosposteriores
Terminacindelaauditora
b)Archivoporreasdetrabajo
Informesdeauditoria
Objetivos
Destacar la importancia que tiene el saber presentar
profesionalmente
los
informes
de
auditora
computacionales.Elauditortienequesermuycuidadosoal
plasmarenlibro, documento oescrito porque es como dar
unsellopersonal.Procedimientosparaelaborarelinforme.
En el informe de auditora, tambin llamado dictamen, se
reportan las situaciones encontradas durante la evaluacin,
pero se deben incluir las causas que originan esas
situaciones y las posibles sugerencias para solucionar los
problemas encontrados. Los procedimientos para elaborar
dichoinformesecomponedelossiguientespasos.
1.Aplicarinstrumentosderecopilacin
2.Registrarelformatodesituacionesencontrada.
3.Comentarlassituacionesencontradaconlosauditados.
4.Analizar,depurarycorregirlasdesviacionesencontradas.
5. Presentar informe y dictamen final a los directivos de la
empresa.
6.Comentarlassituacionesencontradaconlosauditados.

http://auditoriadesistemajoselin.blogspot.com/

4/18

8/9/2016

AuditoriadeSistema

Una vez identificada las siguientes situaciones encontrada,

es responsabilidad del encargado de la auditoria comentar
cada una de esas desviaciones con el personal responsable
delaoperacinosistemadeinformacinofuncinauditada.
Adems,comentarloconlosauditadosestopermitepreparar
lasposiblessolucionesparaesasdesviaciones.
Encontrar causas de las desviaciones con los auditados.
Tambinserecomiendaencontrardemaneramsfidedigna
y confiable las causas que generan cada una de las
desviaciones, a fin de reportarla en el informe lo ms
apegado posible a la realidad. Es necesario tener pendiente
que al conocer las desviaciones que se le imputan, el
auditado tratara de defenderse, sealando las causas que
generaron cada una de las desviaciones encontradas, as
directamente al escuchar la voz del auditado el auditor
puedecomprobaroratificarlascausasquehabaplanteado.
No obstante, como es natural, en las reuniones muchos de
los auditados trataran de evadir o justificar su
responsabilidad en las desviaciones e incluso, en algunos
casos extremos, pueden hasta negar la existencia o
conocimientodelasituacinqueseleimputa.
Elaboracin del informe final y el dictamen del
auditor:Eneseinformeelauditorsolodebeincluirloms
relevante de la evaluacin, incluyendo su opinin. En este
informe es que denota la importancia de su actividad al
sealar en qu situacin estaba la empresa o departamento
antes de la evaluacin por los auditores. El informe es algo
prctico y corto, cabe aclarar que la razn de plasmar este
informe en tan poco espacio es que los directivos de una
empresa, por lo general, tienen poco conocimiento del el
lenguajequesemanejaenlossistemacomputacionales.
Caractersticas fundamentales: Se pueden identificar
dos caractersticas fundamentales en los informes de
auditoraenlossistemascomputacionalesloscualessiempre
se refieren al contenido del informe y la forma de
presentarlo.Dichascaractersticassonlasiguiente:
Caractersticasdefondo:Serefierealcuidadoquedebe
tener el auditor de sistema al revisar que el contenido total
del dictamen de auditora sea acorde con lo que realmente
tienequesealaracercadelarevisinafectada,refirindose
exclusivamentealcontenidodelinforme.Paraestotieneque
tener en cuenta diversos aspectos los como que el
documento sea veraz, confiable, oportuno, objetivo, claro,
completo y que el lector de dicho dictamen o resumen sea
puedaentenderconfacilidaddichoinforme.
Caractersticas de forma: Estas caractersticas se
refieren a la manera en que el auditor debe presentar el
informe en cuanto al estilo de redaccin, el contenido en
partes,apartados,apndices,tipoytamaodelashojasyel
tipodeletratambinenlorelativoenlaformadeutilizarla
redaccin, ortografa, sintaxis, gramtica y dems
componentes del lenguaje y todo lo relacionado con la
presentacindeldocumento.
http://auditoriadesistemajoselin.blogspot.com/

5/18

8/9/2016

AuditoriadeSistema

Caractersticas de la presentacin del informe.

Otras de las caractersticas ms importantes de un informe
de auditora de sistemas computacionales son los atributos
quedebentenerlaredaccinylapresentacindelinforme
para lograr mejores resultados en la elaboracin del citado
informe,elauditordebetomarencuentalascaractersticas
que proponemos a continuacin: Claridad, efectividad,
Confiabilidad, positividad, Propiedad, sintaxis, Concisin,
Sencillez,Asertividad,Exactitud,FamiliaridadyVeracidad.
Tcnicas de evaluacin aplicables en una auditoria de
sistemascomputacionales
Enlaauditoriadesistemascomputacionalesseutilizanuna
serie de herramientas tradicionales de auditora, as como
tcnicas de valoracin que permite hacer una evaluacin
ms eficiente de los sistemas computacionales. Como
profesionalespecializadoenlarama,elauditordesistemas
computacionales utilizas estas tcnicas pues le ayudan a
examinaryevaluarcorrectamentelosdiferentesaspectosdel
ambiente de sistemas en el que realiza su trabajo. Estas
tcnicas,mtodos,procedimientosoherramientasson:
Examen:Consisteenanalizaryponerapruebalacalidady
elcumplimientodelasfunciones,actividadesyoperaciones
queserealizancotidianamenteenunaempresa,esutilizado
paraevaluarlosregistros,planes,presupuestos,programas,
controles y todo lo dems aspectos que afectan la
administracinycontroldeunaempresaodelasreasque
la integran. En la auditoria de sistemas computacionales
podemos entender el examen como: El anlisis, prueba o
demostracin al que se somete algn fenmeno o hecho
relacionado con la gestin administrativa de un centro de
cmputo,desuscomponentesodelaoperacindelsistema
procesados de informacin, con el propsito de evaluar el
cumplimiento de sus funciones, actividades y operaciones,
as como el cumplimiento del procesamiento de datos y la
emisindeinformacin que serequiere en la empresa o en
lasreasquelaintegren.
Inspeccin:Lainspeccinensistemascomputacionaleses
Sinnimodesupervisin,yaquetratadeexaminarlaforma
enquesedesarrollanlasactividadesdeunreadesistemas
computacionales,afindeevaluaryemitiruninformesobre
el desarrollo normal de sus funciones y operaciones
tambin tiene como propsito monitorear el desarrollo
cotidiano de las funciones, actividades y operaciones
normales de las empresa, para evaluar y si es necesario,
corregir su desarrollo beneficio. Esta herramienta es
aplicada de acuerdo con las caractersticas especficas de
cada centro de cmputo o de cada sistema computacional,
un ejemplo de los posibles aspectos del ambiente de
sistemas computacionales donde puede ser aplicada es: La
inspeccin de los sistemas de seguridad y proteccin de las
instalaciones,equipo,personalydelospropiossistemasde
procesamiento, con el propsito de dictaminar sobre su
eficienciayconfiabilidad.
http://auditoriadesistemajoselin.blogspot.com/

6/18

8/9/2016

AuditoriadeSistema

Confirmacin:Esunodelosaspectosfundamentalespara
la credibilidad de una auditoria es la confirmacin de los
hechos y la certificacin de los datos obtenidos durante la
revisin ya que el resultado final de una auditoria es la
emisin de un dictamen en el que el auditor vierte sus
opiniones, la caracterstica fundamental de una auditoria,
cualquiera que sea su tipo, es la autenticidad con la que el
auditoremitesusopiniones,seanafavoroencontra.Enlos
sistemas computacionales su fin es confirmar la
oportunidad,veracidaddelosgastosdenominadelpersonal
delaempresa,comparandolosresultadosdeunaquincena
con los clculos manuales de esa misma quincena, validar
lasdesviacionesencontradasenlosprocesamientos,revisar
las licencias de software instalados en los sistemas
computacionales y confirmar la confiabilidad de las
protecciones , contraseas y dems medidas de seguridad
establecidasparaelaccesoalainformacinyalossistemas
delaempresa.
Comparacin: Esta debe ser aplicada de acuerdo a las
necesidadesycaractersticasespecficasdelreadesistemas
o del propio sistemas que va a ser auditado. Con la
comparacin de informacin se pueden encontrar las
similitudes y diferencias entre ambas reas o empresa, con
lo cual se pueden hacer conjeturas y deducciones sobre las
desviaciones encontradas. En la auditoria de sistemas
computacionales,lacomparacindelosdatosenelsistemas
computacionalesquevaaserelevadoconlosdatosdealgn
sistemas similar o igual para avalar y comprobar que los
procesamientosseansimilaresoigualesyquelosresultados
sean confiables, verdicos, oportunos y que satisfagan las
necesidades de procesamiento del rea de cmputo de la
empresa.
Revisin documental: Es la forma ms importante de
evaluar a las empresas adems no solo sirve para
aplicacionesenunaauditoriatradicional,sinotambincomo
un importante apoyo en los diferentes tipo de auditora de
sistemas computacionales claro esta adoptndola a las
caractersticas especificas de evaluacin de los sistemas
computacionales.Larevisindocumentalavalalosregistros
de operaciones y actividades de una empresa,
principalmente en aquellos casos donde la evaluacin est
enfocadaalosaspectosfinancieros,registrosdelosactivosy
a cualquier otro aspecto contable y administrativo de la
empresa. Esta tcnica se aplica verificando el registro
correcto de datos en documentos formales de la empresa,
con mucha frecuencia la emisin de sus resultados
financieros. En los sistemas computacionales es utilizada
para evaluar el desarrollo de las operaciones y
funcionamiento del sistema, revisar el uso y registro
adecuado de los documentos del software, verificar la
existencia y actualizacin de registros formales para la
administracinycontroldeoperacindelsistema.

http://auditoriadesistemajoselin.blogspot.com/

7/18

8/9/2016

AuditoriadeSistema

Acta testimonial: Es un documento de carcter formal,

que por su representatividad, importancia y posibles
alcances de carcter legal y jurdico es uno de los
documentos vitales. La importancia de este radica en que
con su uso se pueden evidenciar pruebas fehacientes,
circunstanciales, probatorias para comprobar desviaciones
enelreaauditadayesutilizadaparatestimoniarlosrobos,
desapariciones o cualquier aspecto relacionado con la
desaparicin de algn bien de la empresa, para fincar
responsabilidades por deficiencia en las actividades de la
empresa aunque puede ser levantada en cualquier otra
incidenciadelasactividadescotidianadeunaempresa.
Matriz de evaluacin: Es uno de los documentos de
recopilacin ms verstiles y de mayor utilidad para el
auditordesistemascomputacionales,debidoaqueatravs
de esta es posible recopilar una gran cantidad de
informacin relacionada con las actividades realizadas en
esta rea de informtica, esta herramienta consiste en una
matrizdeseiscolumnasdelascualeslaprimeracorresponde
aladescripcin,ylasotrascincoauncriteriodeevaluacin
descendente o ascendente (Exc., Bueno, Suf., Reg.,
Deficiente).
Matriz dofa: es un acrnimo de Debilidades,
Oportunidades, Fortalezas y amenazas de la empresa, las
cualessonanalizadascadaunaporseparadoencuantoasu
presenciainternayalainfluenciaquelaempresarecibedel
exterior. El fundamento para la aplicacin de la matriz
DOFAenunaauditoriadesistemascomputacionales,esque
mediante la misma se pueden estudiar las influencias que
afectan el comportamiento del rea de sistemas
computacionales de una empresa, tanto las quien recibe de
su ambiente interior como exterior, ya sean de la propia
empresaodesusproveedores,desarrolladoresodelentrono
dondeesteestablecida.
Tcnicasespecialesdeauditoradesistemas
computacionales
Diagramasdelcrculodeevaluacin.Herramientadeapoyo
para la evaluacin de los sistemas computacionales. Para
valorarvisualmente:Elcomportamientodelossistemasque
estn siendo auditados. Su cumplimiento Sus limitaciones.
Durante las diferentes etapas: Estudio Preliminar, Anlisis
del Sistema, Diseo Conceptual, Diseo Detallado,
Programacin, Pruebas, Implantacin. Diagramas del
crculo de evaluacin. Que Podemos Evaluar Con Esta
Herramienta? Seguridad en el rea de sistemas
computacionales. Evaluacin administrativa del rea de
sistemas.
Evaluacin de los sistemas computacionales
Seguridad en el rea de sistemas computacionales:
Acceso fsico al rea de sistemas. Acceso, uso,
mantenimiento y resguardo de las bases de datos. Del
personal informtico. De las instalaciones del rea de
http://auditoriadesistemajoselin.blogspot.com/

8/18

8/9/2016

AuditoriadeSistema

sistemas. Plan de contingencias. Seguridad lgica del

sistema.
EvaluacinadministrativadelreadesistemasDela
misin, visin, objetivos, estrategias, planes, programas,
estructuradelaorganizacin,perfildepuestos.
Evaluacin de la documentacin de sistemas, de la
seguridad y la proteccin de los archivos informticos,
instalaciones.
Evaluacin de la capacitacin, adiestramiento y
promocindelpersonal.
Evaluacin del desarrollo de proyectos
informticos,
estandarizacin
de
metodologas,
programas, equipos, sistemas, mobiliario. Lista de
verificacin (o lista de chequeo).Instrumento que contiene
criterios o indicadores a partir de los cuales se miden y
evalan las caractersticas del objeto, comprobando si
cumpleconlosatributosestablecidos.Lalistadeverificacin
seutilizabsicamenteenlaprcticadelainvestigacinque
formapartedelprocesodeevaluacin.
Anlisisdeladiagramacindesistemas.Anlisisdela
diagramacin de sistemas. Unas de las principales
herramientas para el anlisis y diseo de los sistemas
computacionales. El analista puede representar: Los flujos
de informacin., actividades, operaciones, procesos y otros
aspectos que intervienen en el desarrollo de los propios
sistemas El programador puede visualizar el panorama
especficodelsistema,paraelaborardemaneramsprecisa
la codificacin de instrucciones para el programa. Anlisis
de la diagramacin de sistemas. El auditor puede utilizar
esta herramienta para el diseo de sistemas de diferentes
formas en una auditoria de sistemas, de acuerdo con su
experiencia, conocimientos y habilidades, mismas que debe
canalizar en los siguientes sentidos: Solicitar los diagramas
del sistema. Analizar el diagrama del sistema. Elaborar un
diagrama del sistema. Verificar la documentacin de los
sistemasatravsdesusdiagramas.
Propuestadepuntosquesedebenevaluarenunaauditora
desistemascomputacionales
Eneldesarrollodesistemassedebeemplearlamisma
metodologaqueutilizanlos
diseadoresdesistemasoelequipodetrabajoasignado.
Mientrasqueelobjetivo
primariodelauditoresevaluarlasuficienciadeloscontroles
internos,elobjetivo
deldiseadordesistemasessatisfacerlasnecesidadesdelos
usuariosambosdeberan
compartireldeseodeverqueselogranlosobjetivosdecada
uno.

Participacindelauditor
http://auditoriadesistemajoselin.blogspot.com/

9/18

8/9/2016

AuditoriadeSistema

Ancuandoelauditorestinteresadoentodoslosaspectos
delnuevosistema,debe
velarporqueseestablezcantodosloscontrolesdeaplicacin.
Suprincipalfuncin
es asegurar que los sistemas, recientemente implantados
incluyancaractersticas
de control slidas y confiables. En trminos generales es
ayudaraprevenirque
se implanten sistemas de aplicacin que tengan riesgos
importantes.
Elauditorparticipaenelprocesodedesarrollodesistemas
revisandoladocumentacin
generada como producto final de ciertas actividades de
desarrollodesistemas.
En estas actividades su inters se concentrar
primordialmenteeneldesarrollo
e implantacin de controles de aplicacin adecuados. El
auditor necesita reconocer que su participacin durante el
desarrollodelossistemaspuedeamenazarsuindependencia
y deber tomar medidas para evitar esta prdida. Estas
medidasincluyen:
*Permanecerorganizacionalmenteindependientedelgrupo
desistema.Estosignifica
queelauditornoesunmiembroenpropiedaddelgrupode
desarrollodesistema
y no le quita la direccin del proyecto al gerente del grupo
delproyecto.
* Redactar los informes independientemente del grupo del
proyecto.Lasopiniones
del auditor, sus recomendaciones y sus evaluaciones no
deberanincluirseenlos
informesdestatusdelproyectopuestoqueelemisordelos
informes(usualmente
el gerente del grupo del proyecto) tiene autoridad editorial
paramodificarlas
declaracionesdelauditor.
*Investigarindependientementedelgrupodelproyecto.El
grupodelproyectopuede
estarrestringidoaciertoscontactosyciertaautoridad,pero
elauditortiene
libre acceso a la informacin y al personal de la
organizacin.
Programadetrabajo
1.Establecerelplaneamientopreliminardeltrabajode
auditora:Enesteprimer
paso se obtiene un conocimiento inicial de las
actividadesdelsistemayevaluarlas
en relacin con los objetivos de auditora, a fin de
determinarelalcancepreliminar.
2. Participacin del Auditor en el Desarrollo de
Sistemas: Determinar el grado de participacin del
auditorencadafasedelciclodevidadelsistema,una
vez
que ha sido identificado. Los auditores de sistema
http://auditoriadesistemajoselin.blogspot.com/

10/18

8/9/2016

AuditoriadeSistema

necesitanparticiparenelproceso
dedesarrollodelossistemasparagarantizarquelos
nuevossistemasdeinformacin
diseen las medidas adecuadas de auditora y de
control. Los dos tipos de autorizacin donde se
involucra el auditor son: El auditor debe tener un
grado de participacin mediante un acuerdo y
revisindelasfases.
3. Acuerdo:Eselacuerdoformalconelcontenidodel
productotangible.Encasode
desacuerdo, la persona responsable de evaluar el
productotangiblepreparaunmemorandoindicando
su posicin y los items que requieren solucin y lo
envaoremitealsiguientenivelsuperiorgerencial.
4. Revisin: Los productos tangibles son presentados
para informacin solamente pueden hacerse
comentariosperoellosnosondecisivos.
5.RevisindeProductosFinales:Acordaryrevisarlas
actividadesyelproducto
finaldecadafasedelciclodevidadeldesarrollodel
sistema.Elauditordebe
revisar que las firmas de aprobacin para todos los
productostangiblesestnplasmadasenelcontrolde
aceptacin de etapas. As mismo el auditor debe
preparar los papeles de trabajo con el propsito de
evidenciar y documentar los resultados de la
investigacindelproyectoyquesirvancomomaterial
dereferenciaparaesfuerzosfuturos.
6. Identificar las fuentes de informacin para las
revisionesy/opruebasdeauditora:
Este paso incluye la identificacin de las fuentes de
informacinqueserequieren
en los procesos de prueba y revisin. Las fuentes de
informacinproveenlosmedios
para la revisin y documentacin de las actividades
deauditorayverificacin
decontroles.

Publicado por FerminJoselin, en 14:26

No hay comentarios:

Enlaces a esta entrada

Recomendar esto en Google

UNEDAD N3 PROCESO DE AUDITORIA

PROCESODEAUDITORIA

http://auditoriadesistemajoselin.blogspot.com/

11/18

8/9/2016

AuditoriadeSistema

En este punto se describen la regulacin de las mejores prcticas de

AuditoraenInformticacomoadministrarlosriesgosentecnologa
Informtica, la auditora en base a los organismos nacionales e
internacionales.

InstituteofSystemAuditandAssociation,ISACA
La Information Systems Audit and Control Association Asociacin
deAuditorayControldeSistemasdeInformacinISACA,comenz
en 1967. En 1969, el grupo se formaliz, incorporndose bajo el
nombre de EDP Auditors Association Asociacin de Auditores de
ProcesamientoElectrnicodeDatos.En1976laasociacinformuna
fundacindeeducacinparallevaracaboproyectosdeinvestigacin
degranescalaparaexpandirlosconocimientosyelvalordelcampo
degobernacinycontroldeTI.
Actualmente, los miembros de ISACA ms de 28.000 en todo el
mundo se caracterizan por su diversidad ya que estn presentes en
ms de 100 pases y cubren una variedad de puestos profesionales
relacionados con TI, como son los Auditores de SI, Consultores,
Educadores, Profesionales de Seguridad de SI, Reguladores,
Directores Ejecutivos de Informacin y Auditores Internos, por
mencionarsloalgunos.
En las tres dcadas transcurridas desde su creacin, ISACA se ha
convertidoenunaorganizacinglobalqueestablecelaspautaspara
los profesionales de gobernacin, control, seguridad y auditora de
informacin.
Su certificacin Certified Information Systems Auditor Auditor
Certificado de Sistemas de Informacin CISA, es reconocida en
formaglobalyhasidoobtenidapormsde30.000profesionales.Su
nueva certificacin Certified Information Security Manager Gerente
Certificado de Seguridad de Informacin CISM, se concentra
exclusivamente en el sector de gerencia de seguridad de la
informacin.Publicaunperidicotcnicolderenelcampodecontrol
delainformacin,elInformationSystemsControlJournalPeridico
de Control de Sistemas de Informacin. Organiza una serie de
conferenciasinternacionalesqueseconcentranentpicostcnicosy
administrativospertinentesalasprofesionesdegobernacindeTIy
aseguracin, control, seguridad de SI. Juntos,ISACA y
suITGovernanceInstituteInstitutodeGobernacindeTIasociado
lideran la comunidad de control de tecnologa de la informacin y
sirven a sus practicantes brindando los elementos que necesitan los
profesionalesdeTIenunentornomundialencambiopermanente
Las empresas pblicas y privadas estn valorando cada da ms la
crecienteimportanciaquerepresentamantenersistemasinformticos
seguros, confiables y confidenciales, que eviten o prevengan la
ocurrenciadeerroresuoperacionesilegalesapartirdedebilidadesen
lossistemasdecontrol.

CertifiedInformationSecurityAuditor,CISA
La Asociacin de Auditora y Control de Sistemas de Informacin
(ISACA) provee una Certificacin en Auditor en Sistemas de
Informacin (CISA), por medio de un examen anual que realiza el
Institutoaloscandidatos,elcualcubreelconocimientodeactividades
requeridasparalafuncindeAuditoraenTI,paralocualpresentaun
Manual de Informacin Tcnica para la preparacin de los
candidatos.

http://auditoriadesistemajoselin.blogspot.com/

12/18

8/9/2016

AuditoriadeSistema

La certificacin de CISA (Certified Information Systems Auditor) es

otorgadaporla(ISACA),desde1978yesconsideradaenlaactualidad
como un reconocimiento de que se cuenta con los conocimientos
tericos y prcticos necesarios para desempearse como Auditor de
Sistemas siguiendo los estndares y directrices definidos para una
mejorpreparacin.
La designacin de CISA, se considera hoy en da, una ventaja
competitivayresultadebeneficionosoloparalasorganizacionesque
debencumplirconrequerimientosdecertificacinprofesionaldesus
colaboradores, sino para las personas que buscan un desarrollo
profesional y la obtencin de certificaciones que ofrecen
oportunidadesanivelinternacional.

CertifiedInformationSecurityManager,CISM
TambinISACAproveelaCertificacinparalaAdministracindela
Seguridad de la Informacin del cual intenta garantizar que existan
administradores de seguridad de TI que tengan los conocimientos
necesariosparareducirelriesgoyprotegeralaorganizacin.
La certificacin CISM est diseada para dar la certeza de que los
individuos certificados tengan los conocimientos para ofrecer una
eficazadministracinyconsultoradeseguridad.
Est orientada a profesionales que administran la seguridad de la
informacin en una organizacin y tienen el conocimiento y la
experiencia para montar, implementar y dirigir una estructura de
seguridad para administrar el riesgo con eficacia y tienen la
responsabilidad de entender la relacin entre las necesidades
comercialesylaseguridaddeTI.
Para obtener esta certificacin, los profesionales deben aprobar el
examen,adherirseauncdigoticoypresentarpruebasverificadasde
que tienen una experiencia laboral de cinco aos en seguridad de la
informacin.
Segn la ISACA, menciona los principales objetivos de esta
certificacincomoacontinuacinsemencionan:

Desarrollarmodelosderiesgosquemidanmejorlosriesgosde
seguridadylospotencialesimpactossobreelnegocio.
Aumentar la calidad de la gestin ejecutiva de las nuevas
amenazas y las ya existentes, a travs de la convergencia
entrelaorganizacinylasmedidasdeseguridad
Impulsar la unificacin del enlace entre la seguridad de las
organizaciones y los organismos gubernamentales y
legislativos, informndoles de las mejores prcticas en
seguridad.
Continuardefiniendolacualificacin,certificacinyformacin
de los Directores de Seguridad Chief Security Officer
(CSO)/Chief Information Security Officer (CISO) y otros
puestos.

InstitutoMexicanodeAuditoresInternos,IMAI
El Instituto Mexicano de Auditores Internos, A.C. (IMAI) fue
constituido en 1984, est dedicado a la capacitacin e investigacin
endeAuditoraInternayControl.
A travs del IMAI los profesionales de la auditora interna
permanecenactualizadosparacumplirconlasresponsabilidadesque
tienenasucargoendiferentessectoresdelaindustria,elcomercioy
losservicios,tantoenelsectorpblicocomoprivadoysocial.
De acuerdo al IMAI su misin es promover el mejoramiento
constante de la Prctica Profesional de la Auditora Interna, para
fortalecerelprestigiodeestaprofesinydequieneslapractican.
http://auditoriadesistemajoselin.blogspot.com/

13/18

8/9/2016

AuditoriadeSistema

ElobjetivoprincipaldelInstitutoeslasuperacinprofesionaldesus
miembros,mediantelosiguiente:
ElmejoramientodelaprcticaProfesionaldelaAuditoraInterna.
Desarrollar y mantener la unin y cooperacin efectiva entre los
profesionalesdelaAuditoraInterna.
Promoverladifusindelasnormasdeactuacinprofesionalatravs
delascualeslosauditoresinternospuedanmediryregularsupropio
desempeoylasorganizacionespuedanesperarserviciosdecalidad.
EstablecerymantenerelprestigiodelaAuditoraInternaatravsde
la investigacin y la divulgacin de conocimientos tcnicos de
enfoques conceptuales relativos al ejercicio profesional de esta
disciplinaymateriasafines.
Establecerymantenervnculosconotrosorganismosprofesionaleso
docentes y entidades pblicas o privadas, para identificacin y
desarrollodeaspectosquepermitanelevarlacalidaddelaprcticade
la Auditora Interna y el Control en general, dentro de las
organizaciones.

InstituteofInternalAuditors,IIA
Publicado por FerminJoselin, en 14:15

No hay comentarios:

Enlaces a esta entrada

Recomendar esto en Google

UNIDAD N 2 METODOS DE AUDITORIA

PapelDelAuditorInformtico.
Siseentiendequelaauditoriainformticacomprendelastareasdeevaluar,
analizar los procesos informticos, el papel de auditor debe estar
encaminado hacia la bsqueda de problemas existentes dentro de los
sistemas utilizados, y a la vez proponer soluciones para estos problemas.
AdemsqueelauditorInformticodebeestarcapacitadoenlossiguientes
aspectos:
Debervercundosepuedeconseguirlamximaeficaciayrentabilidadde
los medios informticos de la empresa auditada, estando obligado a
presentar recomendaciones acerca del reforzamiento del sistema y del
estudiodelassolucionesmsidneas,segnlosproblemasdetectadosen
elsistemainformtico,siempreycuandolassolucionesqueseadoptenno
violenlaleynilosprincipiosticos.
Una vez estudiado el sistema informtico a auditar, el auditor deber
establecer los requisitos mnimos, aconsejables y ptimos para su
adecuacin con la finalidad de que cumpla para lo que fue diseado,
determinando en cada clase su adaptabilidad, su fiabilidad, limitaciones,
posiblesmejoras,costos.
El auditor deber lgicamente abstenerse de recomendar actuaciones
innecesariamente onerosas, daina, o que genere riesgo in justificativo
para el auditado e igualmente de proponer modificaciones carentes de
basescientficasinsuficientementeprobadasodeimprevisiblefuturo.
El auditor al igual que otros profesionales (Ej. Mdicos, abogados,
educadores,etc.)puedenincidirenlatomadedecisionesenlamayorade
susclientesconunelevadogradodeautonoma,dadoladificultadprctica
delosmismos,deconstatarsucapacidadprofesionalyendesequilibriode
desconocimientostcnicosexistenteentrealauditorylosauditados(Puede
pesargravemente).
Elauditordeberprestarsusserviciosdeacuerdoalasposibilidadesdela
ciencia y a los medios a su alcance con absoluta libertad, respecto a la
utilizacin de dichos medios y en unas condiciones tcnicas adecuadas
paraelidneocumplimientodesulabor.Enloscasosenqueprecariedad
delosmediospuestosasudisposicin,impidanodificultenseriamentela
realizacindelaauditoriadebernegarserealizarhastaqueselegarantice
unmnimodecondicionestcnicasquenocomprometanlacalidaddesus
serviciosodictmenes.
Cuando durante la ejecucin de la auditoria, el auditor considere
conveniente recabar informe de otros ms calificados, sobre un aspecto o
incidencia que superase su capacidad profesional para analizarlo en
http://auditoriadesistemajoselin.blogspot.com/

14/18

8/9/2016

AuditoriadeSistema

idneas condiciones deber remitir el mismo a un especialista en la

materiaorecabarsudictamenparareforzarlacalidadyviabilidadglobal
de la auditoria. El auditor debe actuar con cierto grado de humildad
evitando dar la impresin de estar al corriente de una informacin
privilegiada sobre nuevas tecnologas a fin de actuar en de previsiones
rectas y un porcentaje de riesgo debidamente fundamentado. El auditor
tantoensusrelacionesconelauditadocomoconterceraspersonasdeber
en todo momento, deber actuar conforme a las normas implcitas o
explcitasdedignidaddelaprofesinydecorreccineneltratopersonal.
(Queentodomomento,comocuandoestamosenelbar,cafetera,ofiesta
porquelosauditorestienenlaresponsabilidad).Elauditordeberfacilitar
e incrementar la confianza de auditado en base a una actuacin de
transparencia, en su actividad profesional sin alardes cientfico tcnico,
que, por su incomprensin, pueden restar credibilidad a los resultados
obtenidosyalasdirectricesaconsejadas.
TiposdeAuditoriaInformtica.

AuditoriaInformticaDeExplotacin:Laexplotacininformticaseocupa
de producir resultados, tales como listados, archivos soportados
magnticamente, rdenes automatizadas, modificacin de procesos, etc.
Para realizar la explotacin informtica se dispone de datos, las cuales
sufrenunatransformacinysesometenacontrolesdeintegridadycalidad.
(Integridad nos sirve a nosotros la calidad es que sirven los datos, pero
puedenquenosirvanestosdosjuntosrealizanunainformacinbuena).
Auditoria Informtica De Desarrollo De Proyectos O Aplicaciones: La
funcin de desarrollo es una evaluacin del llamado Anlisis de
programacinysistemas.Asporejemplounaaplicacinpodratenerlas
siguientesfases:
Prerrequisitosdelusuarioydelentorno
Anlisisfuncional
Diseo
Anlisisorgnico(preprogramacinyprogramacin)
Pruebas
Explotacin
Todasestasfasesdebenestarsometidasaunexigentecontrolinterno,delo
contrario, pueden producirse insatisfaccin del cliente, insatisfaccin del
usuario, altos costos, etc. Por lo tanto la auditoria deber comprobar la
seguridad de los programas, en el sentido de garantizar que el servicio
ejecutadoporlamquina,losresultadosseanexactamentelosprevistosy
no otros (El nivel organizativo es medio por los usuarios, se da cuenta el
administradorEj.Lacontabilidaddebeestarcuadrada).
AuditoriaInformticaDeSistemas:Seocupadeanalizarlaactividadquese
conoce como tcnica de sistemas, en todos sus factores. La importancia
crecientedelastelecomunicacionesopropiciadequelascomunicaciones,
lneas y redes de las instalaciones informticas se auditen por separado,
aunque formen parte del entorno general del sistema (Ej. De auditar el
cableadoestructurado,anchodebandadeunaredLAN).
Auditoria Informtica De Comunicacin Y Redes: Este tipo de auditora
deber inquirir o actuar sobre los ndices de utilizacin de las lneas
contratadas con informacin sobre tiempos de uso y de no uso, deber
conocer la topologa de la red de comunicaciones, ya sea la actual o la
desactualizada. Deber conocer cuantas lneas existen, como son, donde
estn instaladas, y sobre ellas hacer una suposicin de inoperatividad
informtica. Todas estas actividades deben estar coordinadas y
dependientes de una sola organizacin (Debemos conocer los tipos de
mapas actuales y anteriores, como son las lneas, el ancho de banda,
suponerquetodaslaslneasestnmal,lasuposicinmalaconfirmarlo).

http://auditoriadesistemajoselin.blogspot.com/

15/18

8/9/2016

AuditoriadeSistema

AuditoriaDeLaSeguridadInformtica:Sedebetenerpresentelacantidad
de informacin almacenada en el computador, la cual en muchos casos
puede ser confidencial, ya sea para los individuos, las empresas o las
instituciones, lo que significa que se debe cuidar del mal uso de esta
informacin, de los robos, los fraudes, sabotajes y sobre todo de la
destruccin parcial o total. En la actualidad se debe tambin cuidar la
informacin de los virus informticos, los cuales permanecen ocultos y
daansistemticamentelosdatos.
CamposdeAccindelaAuditoriaInformtica.

Sucampodeaccinser:
a)Evaluacinadministrativadelreadeinformtica.
1.Losobjetivosdelrea
2.Metas,planes,polticasyprocedimientosdeprocesos
electrnicosestndar.
3.Organizacindelreaysuestructuraorgnica.
4.Funciones,nivelesdeautoridadyresponsabilidaddel
readesistemas.
5.Integracindelosrecursosmaterialesytcnicos
6.Costosycontrolespresupuestales
7.Controlesadministrativosdelrea
b)Evaluacindelossistemas,procedimientos,ydelaeficienciaquesetiene
enelusodelainformacin.
1.Anlisisdelossistemasysusdiferentesetapas.
2.Evaluacindeldiseolgicodelsistema.
3.Evaluacindeldesarrollofsicodelsistema
4.Controldeproyectos
5.Controldesistemasyprogramacin
6.Instructivosydocumentacin
7.Formasdeimplantacin
8.Seguridadlgicayfsicadelossistemasysusdatos.
9.Confidencialidaddelossistemas
10. Controles de mantenimiento y forma de respaldo de
lossistemas.
11.Utilizacindelossistemas.
c)Evaluacindelprocesodedatosydelosequiposdeprocesamiento.
1.Controlesdelosdatosfuentesymanejodecifrasde
control
2.Controldeoperacin
3.Controldesalida
4.Controldeasignacindetrabajos
5.Controldeasignacindemediosdealmacenamiento
masivos
6.Controldeotroselementosdecmputo
7.OrdenenelCentrodeProcesamiento.

8.Seguridadfsicaylgica.
9.Respaldos.

PlaneacindelaAuditoriaInformtica.
La definicin de los objetivos perseguidos en la auditoria
informtica debe preceder a la eleccin de los medios y de las
acciones,sisepretendeevitarelpredominiodeestosltimos.
Para lograr un buena planeacin es conveniente primero obtener
informacin general sobre la organizacin y sobre la funcin
http://auditoriadesistemajoselin.blogspot.com/

16/18

8/9/2016

AuditoriadeSistema

informtica a evaluar. Para ello es preciso una investigacin

preliminar y algunas entrevistas previas, para establecer un
programadetrabajoenelqueseincluireltiempo,costo,personal
necesario y documentos auxiliares a solicitar o formular durante el
desarrollodelaAI.

InvestigacinPreliminar

Se debe recopilar informacin para obtener una visin general del

reaaauditarpormediodeobservaciones,entrevistaspreliminares
y solicitudes de documentos. La finalidad es definir el objetivo y
alcance del estudio, as como el programa detallado de la
investigacin.
La planeacin de la auditora debe sealar en forma detallada el
alcanceydireccinesperadosydebecomprenderunplandetrabajo
paraque,encasodequeexistancambiosocondicionesinesperadas
queocasionenmodificacionesalplangeneral,seanjustificadaspor
escrito.
Sedebehacerunainvestigacinpreliminarsolicitandoyrevisando
lainformacindecadaunadelasreasdelaorganizacin.
Parapoderanalizarydimensionarlaestructuraporauditarsedebe
solicitar:
1AnivelOrganizacinTotal:
a)Objetivosacortoylargoplazo
b)ManualdelaOrganizacin
c)AntecedentesohistoriadelOrganismo
d)Polticasgenerales
2Anivelreainformtica:
a)Objetivosacortoylargoplazo
Publicado por FerminJoselin, en 13:35

No hay comentarios:

Enlaces a esta entrada

Recomendar esto en Google

sbado, 28 de mayo de 2011

UNIDAD N1 ELEMENTOS DE LA AUDITORIA DE

SISTEMAS
ELEMENTOSDELAAUDITORIADESISTEMAS
DelitosInformticos
Concepto:
El delito informtico implica actividades criminales que en
unprimermomentolospaseshantratadodeencuadraren
figurar tpicas de carcter tradicional, tales como robos o
hurto, fraudes, falsificaciones, perjuicios, estafa, sabotaje,
etctera. Sin embargo, debe destacarse que el uso de las
tcnicasinformticashacreadonuevasposibilidadesdeluso
indebidodelascomputadorasloquehapropiciadoasuvez
lanecesidadderegulacinporpartedelderecho.
Las personas que cometen los "Delitos Informticos" son aquellas que
poseenciertascaractersticasquenopresentaneldenominadorcomnde
los delincuentes, esto es, los sujetos activos tienen habilidades para el
manejo de los sistemas informticos y generalmente por su situacin
http://auditoriadesistemajoselin.blogspot.com/

17/18

8/9/2016

AuditoriadeSistema

laboralseencuentranenlugaresestratgicosdondesemanejainformacin
de carcter sensible, o bien son hbiles en el uso de los sistemas
informatizados, an cuando, en muchos de los casos, no desarrollen
actividadeslaboralesquefacilitenlacomisindeestetipodedelitos.Conel
tiemposehapodidocomprobarquelosautoresdelosdelitosinformticos
sonmuydiversosyqueloquelosdiferenciaentreseslanaturalezadelos
delitos cometidos. De esta forma, la persona que "ingresa" en un sistema
informticosinintencionesdelictivasesmuydiferentedelempleadodeuna
institucinfinancieraquedesvafondosdelascuentasdesusclientes.

CaractersticasdelosDelitosInformticos:
1.Sonconductascriminalesdecuelloblanco,entantoqueun
determinadonmerodepersonasconciertosconocimientos
(tcnicosespecializados)puedellegaracometerlos.
2.Sonaccionesocupacionales,yaquemuchasvecessellevana
cabocuandoelsujetoesttrabajando.
3. Son acciones de oportunidad, ya que se aprovecha una
accin creada o altamente intensificada en el mundo de
funciones y organizaciones del sistema tecnolgico y
econmico.
4. Provocanseriasprdidaseconmicas,yaquecasisiempre
producenbeneficiosdemsdecincocifrasaaquellosque
lasrealizan.
Publicado por FerminJoselin, en 16:14

No hay comentarios:

Enlaces a esta entrada

Recomendar esto en Google

Pgina principal

Entradas antiguas

Suscribirse a: Entradas (Atom)

Plantilla Travel. Con la tecnologa de Blogger.

http://auditoriadesistemajoselin.blogspot.com/

18/18