Documentos de Académico
Documentos de Profesional
Documentos de Cultura
MATERIA:
AUDITORIA DE SISTEMAS
CATEDRATICO:
LICDO. EDGARDO ENRIQUE CASTILLO.
TEMA:
PLANEACION DE AUDITORIA DE SISTEMAS INFORMATICOS
PRESENTADO POR:
JUDITH ESTER ALVAREZ PINEDA.
ROXANA JANETH CACERES ALTUVE.
VIDAL OVED CRUZ MULATILLO.
DANILO ERNESTO HERRERA SINTIGO.
LESBIA SORAIDA SANCHEZ OSORIO.
2 Objetivos.. 4
4 Gestin Administrativa 5
5 Gestin Informtica. 5
7 Planeacin detallada. 7
10 Programa de auditora 23
13 Cronograma de actividades. 31
15 Referencias de auditora.. 33
16 Marcas de auditora. 34
17 Metodologa y procedimientos 35
18 Mtodos de prueba.. 36
19 Situaciones alternas. 37
N.R.C. : 7916 - 0
TELEFONO : 2443-1888
OBJETIVOS
OBJETIVOS GENERALES
OBJETIVOS ESPECIFICOS
Identificar las reas crticas, con respecto a la seguridad del equipo del rea de informtica.
Esta fase constituye el inicio de la planeacin, aunque sea preparada con anterioridad; sus resultados
son los que generan la verdadera orientacin de las subsiguientes fases del proceso, sin ser excluyentes,
se deben considerar los siguientes aspectos:
GESTION ADMINISTRATIVA:
1- Conocer y analizar las operaciones a las cuales se dedica el negocio y la forma en que est
estructurado tanto desde del punto de vista organizacional y administrativo, as como el
organigrama, nmero y distribucin de empleados, sistema interno de autorizaciones, firmas,
formularios utilizados, secuencia de operaciones y otros aspectos similares que se realizan con la
AUDITORIA DE SISTEMAS
AUDITORIA PET - ESUCOMEX
utilizacin del sistema informtico.
2- Verificar si se ha diseado un manual de organizacin y funciones a ser aplicado a los y por los
usuarios del rea de informtica.
3- Verificar si las contrataciones del personal del rea de informtica se han realizado con base a los
criterios establecidos en el manual de funciones y cumplen el perfil del puesto.
4- Verificar si la administracin provee oportunamente los recursos necesarios para la adquisicin del
software actualizado para la proteccin de los sistemas informticos.
7- Verificar que las instalaciones donde labora el personal del rea de informtica estn adecuadas a
las necesidades y no representen peligro para los empleados.
GESTION INFORMATICA:
a) Interna: conocer los procesos que se realizan dentro de la empresa para los cuales es utilizado
el equipo informtico.
Se verificar si se lleva un control de las operaciones realizadas y si queda un registro de los
usuarios del rea de informtica y los horarios en los cuales, han utilizado el equipo del centro.
Tambin se solicitar informacin correspondiente a si se ha realizado en otras ocasiones
auditoras al sistema informtico.
b) Externa: Conocimiento e identificacin de los usuarios del rea de informtica, as como de los
proveedores de materiales y accesorios y otros clientes.
2) Conocimiento de las instalaciones fsicas del negocio, materiales, mobiliario, inmuebles, equipos,
inventarios y otros que tienen relacin al rea de informtica y la ubicacin de sucursales, en caso de
que tambin utilicen dicho sistema.
3) Verificar si los programas utilizados dentro de la entidad han sido diseados especficamente para la
empresa y hasta que punto estos programas son operativos y satisfacen las necesidades de la entidad.
4) Naturaleza y tratamiento de las operaciones realizadas por medio de los sistemas informticos.
5) Cualquier otro punto de conocimiento general, que contribuya a orientar adecuadamente la auditoria
AUDITORIA DE SISTEMAS
AUDITORIA PET - ESUCOMEX
de sistemas informticos.
7) Verificar por medio de pruebas si los sistemas funcionan correctamente, para ello ser necesario
contratar a un perito programador, para que efectue las pruebas correspondientes.
9) Verificar quienes estn autorizados para realizar modificaciones a los sistemas informticos y quien
autoriza cada una de estas modificaciones.
10) En el caso de que haya alguien de nivel superior que autorice los cambios y modificaciones a los
sistemas informticos, verificar si existe algn documento escrito por medio del cual se autoricen dichas
modificaciones o si las ordenes se efectuan solamente de manera verbal.
11) En el caso de que exista el registo de las solicitudes de cambios mencionados en el punto anterior,
realizar pruebas en el sistema para verificar que se hayan realizado correctamente y que respondan a la
solicitud de la gerencia o de quien lo haya autorizado.
12) Verificar quien es el responsable de autorizar los niveles de jerarqua y niveles de acceso a utilizar
dentro del sistema y si existe algn registro escrito por medio del cual se hayan emitido dichas
autorizaciones.
13) Verificar si en la entidad se han establecido polticas con respecto a la creacin de respaldos de la
informacin ms importante, cuyo dao pudiera afectar el funcionamiento general de la entidad en el
caso de darse situaciones anmalas dentro del sistema informtico.
14) Verificar si existen procedimientos y polticas en cuanto a la seguridad y proteccin del personal
que trabaja como usuario de los sistemas informticos de la entidad.
15) Verificar si las claves no permiten el acceso de los usuarios a niveles superiores, a los cuales no
deberan acceder.
A) DESCRIPTIVO
La documentacin utilizada durante la auditora, ser en primer lugar de tipo descriptiva o sea basada
en la narracin verbal de los procedimientos, la cuales son conocidas como cdulas narrativas.
B) CUESTIONARIO
PLANEACION DETALLADA
Cuyo lema se basa en la individualizacin tcnica de los procedimientos a ejecutar as como las
consideraciones y los objetivos a corto plazo que se espera producir en cada uno; comprende los
siguientes apartados:
1) Objetivos: Al obtener una clara comprensin del negocio, se fijan las metas tanto a corto plazo
como la general que se espera alcanzar al ejecutar la auditora; se establece el eje sobre el cual
deben girar todos los procedimientos y fases de que consta para llevarse a cabo de forma
eficaz y efectiva.
2) Rubros a Examinar: Consiste en descomponer las partes integrantes del Sistema Informtico,
en secciones manejables, facilitando con ello el anlisis integral y exhaustivo, con el propsito
de obtener resultados correctos y claros en cada uno de sus niveles operativos del sistema
informtico.
d. Cuarta descomposicin: Esta ltima se refiere al examen propio de cada una de las
reas especficas, con el fin de asegurar el buen funcionamiento de cada uno de los
componentes del sistema informtico, estos casos requerirn su validacin.
4) Generacin de detalles peridicos: Algunas reas sern analizadas por perodos, con el fin de
verificar su desarrollo a travs del tiempo, en cambio, habr otros que por su naturaleza, se
pueden analizar en un momento fijo y que pueden generalizarse a diversos perodos, para ello,
en el caso de que se encuentre situaciones en las cuales sea necesaria la actuacin inmediata,
se generarn reportes intermedios hacia la gerencia, con el fin de que sean buscados los
AUDITORIA DE SISTEMAS
AUDITORIA PET - ESUCOMEX
correctivos correspondientes de manera inmediata.
7) Riesgos: Toda auditora se encuentra impregnada por la posibilidad de que los aspectos a
evaluar contengan errores o irregularidades de importancia no detectados, cuyo conocimiento
haga cambiar la opinin sobre ellos. (entindase como error, la ocurrencia u omisin de datos
originados en circunstancias no voluntarias por parte de los encargados del funcionamiento de
los sistemas informticos; y las irregularidades, son las circunstancias voluntarias por parte
del mismo). Estos riesgos se clasifican de la siguiente manera:
9) Planilla de decisiones peliminares: En este documento, luego de obtener los resultados del
cuestionario de control interno, se establecer el tipo de riesgo (alto, medio o bajo) que tiene
cada una de las operaciones que se realizan a travs de los sistemas informticos, y con base
AUDITORIA DE SISTEMAS
AUDITORIA PET - ESUCOMEX
en ellos se podr establecer la profundidad con la que se examinarn cada uno de los rubros
que componen dicha rea.
10) Elaboracin del programa de auditora: Con posterioridad al conocimiento general del negocio
y a la evaluacin del control interno adoptado, se dejar constancia documental de los pasos a
seguir en las diferentes reas involucradas, las tareas programadas, quedan plasmadas en una
gua de procedimientos, cuya mayor especificacin, facilita su ejecucin y comprobacin de la
misma. Dentro de ellos se hace mencin a los pasos, enfoques, oportunidades, volmenes de
muestra, y cualquier otra circunstancia que detalle el trabajo a efectuar. Es importante
mencionar que este no se caracterizar por su naturaleza inflexible, por encontrarse sujeto a
ampliaciones o reducciones necesarias, originadas en conclusiones parciales, nuevos eventos o
diversas situaciones que pudiesen desviar los objetivos propios de la investigacin.
12) Anlisis y validacin de los documentos anexados que soportan las adquisiciones de bienes y
servicios a utilizarse por los diversos usuarios del sistema informtico.
13) Conocimiento sobre controles de inventarios o la ausencia de los mismos con respecto a los
bienes del rea de informtica.
14) Verificacin documental y fsica de las adquisiciones de bienes del rea de informtica.
15) Elaboracin de cdulas narrativas por los procedimientos alternos efectuados cuya
documentacin no se refiere a papeles de clculo, anexos proporcionados por el contribuyente
o por terceros.
17) Rendimiento de informes parciales o previos, ante la deteccin de errores cuyo impacto sea
relevante, con firma y fecha de recibidos, como constancia de divulgacin oportuna.
18) Adicin de notas oportunas sobre la atencin u omisin de las observaciones a que se refiere
el apartado anterior.
19) Preparacin del informe final de auditora, con copia para los encargados del sistema de
informtico del negocio.
PREGUNTAS SI NO N/A
INSTALACIONES ELECTRICAS
Nombre:___________________________________________________________
Cargo:_____________________________________________________________
AUDITORIA DE SISTEMAS
AUDITORIA PET - ESUCOMEX
EVALUACION DE RIESGOS
INHERENT DETECCI PROCEDIMIENTOS SEGN ALCANCE DE LOS
RUBRO AREA FACTORES DE RIESGO E CONTROL N FACTORES DE RIESGO PROCEDIMIENTOS
HARDWAR COMPUTADO
E RES Que haya extravo.
Revisar que el hardware que se Se revisar el 100% de los bienes
encuentra inventariado como inventariados como parte del
adqusiciones de la entidad, se encuentre hardware.
en el lugar correspondiente.
RUBRO AREA FACTORES DE RIESGO EVALUACION DE RIESGOS PROCEDIMIENTO SEGN ALCANCE DE LOS
FACTORES DE RIESGO PROCEDIMIENTOS
INHERENTE CONTROL DETECCIN
AUDITORIA DE SISTEMAS
AUDITORIA PET - ESUCOMEX
SOFTWAR SOFTWARE Que exista software comprado por Revisar los documentos que Se confirmar que el
E DE USO la entidad. muestran el inventario del 100% de las licencias,
GENERAL software de la entidad y se encuentren en poder
verificar que las licencias estn de la persona
bajo la custodia de una persona responsable.
con la autoridad para
resguardarlos.
SOFTWARE Que exista software diseado por Revisar los documentos que Se confirmar que el
DE USO los empleados del rea de muestran el inventario del 100% de los softwares
ESPECIFICO informtica de la entidad. software diseado por los diseados por los
encargados del rea de empleados de la entidad,
informtica y verificar que el se encuentren en poder
software est bajo la custodia de la persona
de una persona con la autoridad responsable.
para resguardarlos.
Que el software haya sido utilizado Se verificar si hay algn Solamente se harn las
para beneficios personales por procedimiento de control preguntas pertinentes y
algn usuario o se le haya sacado institucional que impida que las un da se verificar si a
copias piratas del mismo para fines personas lleven artculos de la la salida el vigilante
particulares. entidad a sus casas. revisa los artculos que
los empleados llevan en
sus bolsos.
Que el software diseado por la Revisar las condiciones del La verificacin se har
entidad est resguardado en un lugar en que se encuentra por una sola vez y con la
lugar libre de humedad o de mucho resguardado el software autorizacin de una
calor para evitar que se deteriore y persona de la alta
se convierta en inservible. gerencia.
Que los usuarios del sistema Se verificar si los empleados Se verificar en por lo
informtico de la entidad, estn de la entidad utilicen el menos 5 computadores si
utilizando los recursos de la misma software y hardware para los existen archivos basura o
para sus usos personales, o abusen fines establecidos por la entidad que no sean de uso de la
del uso del internet. y siguiendo las polticas de la entidad.
misma.
INSTALAC RED Que los tomas elctricos no estn Verificar que los tomas a los Se aplicar al 100% de
IONES ELCTRICA debidamente polarizados. cuales se encuentra conectado los tomas.
ELCTRIC el equipo informtico estn
AS debidamente polarizados con el
fin de evitar sobrecargas
elctricas.
RIESGOS
AUDITORIA DE SISTEMAS
AUDITORIA PET - ESUCOMEX
RUBRO AREA FACTORES DE RIESGO DETECCIN PROCEDIMIENTOS ALCANCE DE LOS
INHERENTE CONTROL SEGN FACTORES DE PROCEDIMIENTOS
RIESGO
SEGURID SEGURIDAD Que los componentes de los Verificar que los equipos no Se efectuar al 100% de
AD FISICA DE sistemas informticos estn estn ubicados muy cerca de los computadores.
LOS ubicados en oficinas que no espacios hmedos o que el calor
SISTEMAS cumplen con las condiciones sea mucho.
INFORMATI mnimas ambientales.
COS
SEGURIDAD Que por la ubicacin de los Se verificar que la ubicacin Se revisar el 100% de
DEL equipos del rea de informtica, los de las mquinas no est tan los equipos.
PERSONAL empleados vayan a padecer de cercana a las personas y que
enfermedades, como un efecto tengan sus respectivos
colateral de su uso. protectores de pantalla para
minimizar el dao a los ojos.
RIESGOS
RUBRO AREA FACTORES DE RIESGO DETECCIN PROCEDIMIENTOS ALCANCE DE LOS
INHERENTE CONTROL SEGN FACTORES DE PROCEDIMIENTOS
RIESGO
AUDITORIA DE SISTEMAS
AUDITORIA PET - ESUCOMEX
SEGURID SEGURIDAD Que en caso de un siniestro, se Verificar si la empresa tiene Se consultar con la
AD DE LA pierda toda la informacin de la fuera de su local un rea o local gerencia.
INFORMACI empresa y se destruyan las bases de seguridad para archivar
ON Y LAS de datos. discos y otros documentos de
BASES DE respaldo.
DATOS
SEGURIDAD Que empleados o usuarios puedan Se verificar que tan seguro es Se har en una sola
EN EL accesar a espacios del sistema para el sistema solicitando al ocasin y trtando de
ACCESO Y los cuales no cuenten con la programador que intente violar accesar a un archivo
USO DEL respectiva autorizacin o no hayan la seguridad del sistema, claro utilizado por usuarios de
SOFTWARE recibido los password o claves de est que con la debida nivel inferior.
acceso para ello. autorizacin y presencia de un
administrador o representante
de la administracin.
Al finalizar se dejar constancia
por escrito del proceso
desarrollado.
RIESGOS
RUBRO AREA FACTORES DE RIESGO DETECCIN PROCEDIMIENTOS ALCANCE DE LOS
INHERENTE CONTROL SEGN FACTORES DE PROCEDIMIENTOS
RIESGO
AUDITORIA DE SISTEMAS
AUDITORIA PET - ESUCOMEX
SEGURID SEGURIDAD Que el equipo est mal conectado y Se verificar que los equipos Se aplicar al 100% de
AD EN LA en algn momento pueda estn correctamente conectados los equipos.
OPERACIN originarse en l un corto circuito u y que sean funcionales.
DEL otro siniestro.
HARDWARE
SEGURIDAD Que el internet se est utilizando Se verificar si las mquinas se Se harn los
EN LAS para fines personales de los encuentran en red, si todas procedimientos a un 5%
TELECOMU usuarios. tienen acceso a internet y si se de las mquinas.
NICACIONE puede monitorear en algn
S momento lo que estn haciendo
los usuarios
PROGRAMA DE AUDITORIA
AUDITORIA DE SISTEMAS
AUDITORIA PET - ESUCOMEX
AUDITORIA DE SISTEMAS.
NOMBRE DEL CLIENTE:
NOMBRE COMERCIAL:
ACTIVIDAD PRINCIPAL:
PERIODO AUDITADO:
COMPUTADORES:
1. Realizar cdulas narrativas en las cuales se exprese si el inventario de los hardwares que
adquiri la entidad, se encuentre en el lugar correspondiente.
2. Plasmar en cdulas narrativas si los diversos componentes del hardware, estn siendo
aprovechados al mximo y si se estn utilizando como corresponde.
PERIFERICOS:
1. Efectuar cdulas narrativas en las que se constate si se han efectuado los registros de
los perifricos comprados y agregados a cada uno de los computadores y el lugar en
que deben estar y verificar que estn donde corresponden.
PROCEDIMIENTO FOLIO
HECHO REF.
POR PTS
SOFTWARE:
3. Efectuar cdulas narrativas en las que se exprese si las condiciones del lugar en que se
encuentra resguardado el software es el adecuado.
4. Plasmar en cdulas narrativas si se contratar con un perito, para que realice las
pruebas al software, con el propsito de verificar si est funcionando correctamente y si
su instalacin cumple con las condiciones de la empresa fabricante.
1. Efectuar cdulas narrativas que expresen si los documentos que muestran el inventario
del software diseado por los encargados del rea de informtica y verificar que el
software est bajo la custodia de una persona con la autoridad para resguardarlos.
AUDITORIA DE SISTEMAS
AUDITORIA PET - ESUCOMEX
4. Expresar en cdulas narrativas si se contratar con un perito, para que realice las
pruebas al software, con el propsito de verificar si est funcionando correctamente y si
su utilidad responde a las necesidades especficas de la institucin.
PERSONAL:
1. Efectuar cdulas narrativas que expresen si los empleados del rea de informtica se
sienten satisfechos con el trato dentro de la entidad y su grado de lealtad a la misma.
2. Plasmar en cdulas narrativas si los empleados del rea de informtica llevan bienes de
la sociedad a sus casas.
3. Realizar cdulas narrativas sobre los registros que la empresa tiene sobre las
respectivas capacitaciones recibidas por los empleados del rea de informtica
1. Efectuar cdulas narrativas que expresen si los usuarios han recibido el adiestramiento
necesario en el uso del software y si al inicio recibieron la induccin correspondiente.
INSTALACIONES ELCTRICAS:
RED ELCTRICA:
1. Efectuar cdulas narrativas sobre si los tomas a los cuales se encuentra conectado el
equipo informtico estn debidamente polarizados con el fin de evitar sobrecargas
elctricas.
SEGURIDAD:
1. Realizar cedulas narrativas acerca de los equipos que estn ubicados muy cerca de
lugares hmedos para tomar las debidas precauciones, y que el calor sea mucho.
1. Efectuar una cedula narrativa con la verificacin si la empresa tiene fuera de su local un
rea o local de seguridad para archivar discos y otros documentos de respaldo para su
determinacin.
1. Realizar una cedula narrativa con respecto a la verificacin de que tan seguro es el
sistema solicitando al programador que intente violar la seguridad del sistema, claro
est que con la debida autorizacin y presencia de un administrador o representante de
la administracin. Para poder concluir la revisin y llevar acaba la culminacin de ello.
1. Efectuar una cedula narrativa sobre si los equipos estn correctamente conectados y
que sean funcionales.
AUDITORIA DE SISTEMAS
AUDITORIA PET - ESUCOMEX
1. Plasmar en una cedula narrativa si las mquinas se encuentran en red, si todas tienen
acceso a internet y si se puede monitorear en algn momento lo que estn haciendo los
usuarios.
REPRESENTANTE LEGAL.
AUDITORIA DE SISTEMAS
AUDITORIA PET - ESUCOMEX
HUMANOS
Auditor
Auditores auxiliares
Programador analista
Especialista en redes informticas
MATERIALES
Folders
Papel Bond
Combustibles
Lapiceros
Computadoras
TIEMPO
Se espera realizar la auditora al sistema conformado de 40 computadoras conectadas en red en un
tiempo probable de 10 das.
FINANCIEROS
VALOR
VALOR POR VALOR
TOTAL
HORA TOTAL
No. RECURSO RUBRO
HUMANOS
CRONOGRAMA DE ACTIVIDADES
DIA DIA DIA DIA DIA DIA DIA DIA DIA DIA
No. ACTIVIDAD O TAREA
1 2 3 4 5 6 7 8 9 10
1 Realizacin de Visita preliminar
2 Elaboracin de Plan de Auditora
3 Elaboracin de Cuestionario de Control interno
4 Visita para contestar el cuestionario de control interno
5 Anlisis del cuestionario y elaboracin de Planilla de Decisiones Preliminares
6 Ejecucin de las actividades presentadas en el Programa de Auditora
7 Revisin de sistema de redes
8 Revisin de la funcionalidad de los sistemas por el Programador
9 Revisin de funcionalidad del sistema elctrico por el electricista
10 Presentacin del informe de Auditora
AUDITORIA DE SISTEMAS
AUDITORIA PET - ESUCOMEX
REFERENCIAS DE AUDITORA
AUDITORIA DE SISTEMAS
AUDITORIA PET - ESUCOMEX
A Computadores
B Perifricos
G Red elctrica
MARCAS DE AUDITORA
AUDITORIA DE SISTEMAS
AUDITORIA PET - ESUCOMEX
Obtenido de la Gerencia
Obtenido de otros documentos
Obtenido de terceros
Obtenido de empleados del rea de informtica
Cotejado con el inventario
Verificado por el auditor
METODOLOGA Y PROCEDIMIENTOS
1. El Primer da, el Auditor Senior y los Auditores Junior de la sociedad, visitarn al cliente,
en el lugar donde se realizar la auditora, para identificar la magnitud de los
procedimientos a desarrollar y tener un acercamiento con los funcionarios y empleados de
AUDITORIA DE SISTEMAS
AUDITORIA PET - ESUCOMEX
la empresa.
6. El noveno y dcimo da, se analizarn los datos, y se elaborar el informe de auditora que
ser presentado a la administracin de HILOSA S.A. DE C.V.
MTODOS DE PRUEBA
Se solicitar a los auditores junior que desarrollen los procedimientos expresados en el plan de
auditora.
En ellos se verificar que los peritos contratados para las diferentes reas pongan a prueba los
sistemas de la organizacin, insertando claves falsas, para ver como reacciona el sistema.
A continuacin se solicitar que un empleado autorizado de un nivel inferior, inserte su clave y
luego el experto en infortica tratar de accesar a documentos que solo se deberan ver por
AUDITORIA DE SISTEMAS
AUDITORIA PET - ESUCOMEX
funcionarios de nivel superior.
Por lo tanto lo que se verificar es la seguridad que ofrezca el sistema.
Se harn pruebas, por otro lado en lo concerniente a las instalaciones elctricas, con el fin de
verificar que estn en buen estado y se tratar de provocar fallas al sistema elctrico, para verificar
su vulnerabilidad.
En cuanto a las redes, se tratar desde una mquina, accesar a otras que no se debiera tener
acceso con el fin de verificar su vulnerabilidad.
SITUACIONES ALTERNAS
En el caso de que todos los equipos estn constantemente ocupados, se buscar la forma de que
se autorice, con la presencia de un funcionario o empleado de confianza, que algunos
procedimientos se puedan realizar fuera de la jornada laboral, con el propsito de no entorpecer
las labores cotidianas.
En el caso de no haber vigilante, que pueda revisar los bienes de los empleados, se verificar si
existe alguna forma alterna de asegurar que los empleados no retiren los bienes de la empresa.
AUDITORIA DE SISTEMAS
AUDITORIA PET - ESUCOMEX
En el caso de que al momento de la auditora no se encuentren los funcionarios que nos hayan
contratado, se les pedir que nombren a una persona, de preferencia del rea de informtica para
que, d fe del trabajo que se est realizando y se mantenga la transparencia.
Las laptop de nuestra empresa, sern asignadas a los dos auditores, senior de nuestra empresa
para que puedan en ellas realizar los respectivos procedimientos de auditora y la anotacin de los
aspectos importantes, as como el registro de la evidencia en su orden. Tambin servir para el
anlisis de los resultados y la elaboracin del informe de auditora.
El combustible ser para el vehculo propiedad de la firma de auditora al cual se le echarn $ 5.00
de combustible por da. Cantidad que alcanza para el movimiento.
La papelera ser utilizada para la elaboracin y resguardo de los papeles de trabajo y estarn en
manos del auditor senior Judith Ester Alvarez Pineda, quien ser responsable de su custodia.