UNIVERSIDAD NACIONAL DE LOJA

Facultad de la Energía, las Industrias y los Recursos Naturales no Renovables

Ingeniería en Sistemas
La palabra auditoria viene del latín auditorius y de esta
proviene auditor, que tiene la virtud de oír y revisar cuentas,
pero debe estar encaminado a un objetivo específico que es el
de evaluar la eficiencia y eficacia con que se está operando
para que, por medio del señalamiento de cursos alternativos
de acción, se tomen decisiones que permitan corregir los
errores, en caso de que existan, o bien mejorar la forma de
actuación
AUDITORÍA INFORMÁTICA
La Auditoría en informática se refiere a
la revisión práctica que se realiza sobre
los recursos informáticos con que cuenta
una entidad con el fin de emitir un
informe o dictamen sobre la situación en
que se desarrollan y se utilizan esos
recursos. (José Jesús Aguirre Bautista)
 AUDITORÍA DE SISTEMAS
La auditoria de sistemas es la revisión y la
evaluación de los controles, sistemas,
procedimientos de informática; de los equipos
de cómputo, su utilización, eficiencia y
seguridad, de la organización que participan
en el procesamiento de la información, a fin
de que por medio del señalamiento de cursos
alternativos se logre una utilización más
eficiente y segura de la información que
servirá para una adecuada toma de
decisiones.
FUNDAMENTOS DE LA AUDITORÍA INFORMÁTICA
Auditoría es un término que puede hacer referencia a tres
cosas diferentes pero conectadas entre sí:
Puede referirse al trabajo que realiza un auditor, a
la tarea de estudiar la economía de una empresa, o a la
oficina donde se realizan estas tareas (donde trabaja el
auditor).
La actividad de auditar consiste en realizar un examen de
los procesos y de la actividad económica de una
organización para confirmar si se ajustan a lo fijado por las
leyes o los buenos criterios.
La función de auditoría Informática debe generar, como todas las
áreas del negocio, un plan de proyectos que justifique su trabajo
durante cierto tiempo; cada uno de esos proyectos tendrán que
contemplar un análisis costo/beneficio y la estructura de los
mismos con un enfoque metodológico, con el fin de que esta
función se evalúe según su desempeño, con parámetros tangibles
y mensurables.
 ALTA DIRECCIÓN:
 Seguimiento a proyectos relacionados con tecnología informática.
FUNCIÓN

 Verificación y aseguramiento del cumplimiento de políticas inherente

a la tecnología informática

AUDITORÍA:
 Apoyo en la definición, implantación y seguimiento de políticas,
controles y procedimientos de auditoría financiera, operativa, fiscal,
etc., relacionada directa o indirectamente con la tecnología
informática (SI, equipos de cómputo, comunicaciones, etc.)
 AUDITORÍA:
 Planes de capacitación en el uso y entendimiento de software de
auditoría, herramientas de productividad(hojas de cálculo,
procesadores de palabra, graficadores, etc.)
 Informática: Apoyo en la definición, implantación y seguimiento de
políticas, controles, procedimientos y estándares en informática.
 FUNDAMENTOS:
La auditoria en informática deberá comprender no sólo la evaluación de
los equipos de cómputo, de un sistema o procedimiento específico, sino que
además habrá de evaluar los sistemas de información en general desde
sus entradas, procedimientos, controles, archivos, seguridad y obtención de
información.
La auditoria en informática es de vital importancia para el buen
desempeño de los sistemas de información, ya que proporciona los
controles necesarios para que los sistemas sean confiables y con un buen
nivel de seguridad. Además debe evaluar todo (informática, organización
de centros de información)
 OBJETIVOS GENERALES DE UNA AUDITORIA DE SISTEMAS
• Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados
por el PAD
• Incrementar la satisfacción de los usuarios de los sistemas computarizados
• Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de
seguridades y controles.
• Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos
propuestos.
• Seguridad de personal, datos, hardware, software e instalaciones
• Apoyo de función informática a las metas y objetivos de la organización
• Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático
• Minimizar existencias de riesgos en el uso de Tecnología de información
• Decisiones de inversión y gastos innecesarios
• Capacitación y educación sobre controles en los Sistemas de Información
 IMPORTANCIA
El propósito de la Auditoría
Informática está en verificar que los
recursos, es decir, información,
energía, dinero, equipo, personal,
programas de cómputo y materiales
son adecuadamente coordinados y
vigilados por la gerencia o por quien
ellos designen.
 TIPOS DE AUDITORÍA
La Auditoría Interna es la La Auditoría Externa es realizada
realizada con recursos materiales y por personas afines a la empresa
personas que pertenecen a la auditada; es siempre remunerada.
empresa auditada. Los empleados Se presupone una mayor
que realizan esta tarea son objetividad que en la Auditoría
Interna, debido al mayor
remunerados económicamente. La
distanciamiento entre auditores y
auditoría interna existe por auditados.
expresa decisión de la Empresa, o
sea, que puede optar por su
disolución en cualquier momento.
ALCANCE DE LA AUDITORÍA
El alcance ha de definir con precisión el entorno y los límites en que
va a desarrollarse la auditoría informática, se complementa con los
objetivos de ésta.
El alcance ha de figurar expresamente en el Informe Final, de modo
que quede perfectamente determinado no solamente hasta que
puntos se ha llegado, sino cuales materias fronterizas han sido
omitidas.
Ejemplo: Se someterán los registros grabados a un control de
integridad exhaustivo.
Se comprobará que los controles de validación de errores son
adecuados y suficientes.
La indefinición de los alcances de la auditoría compromete el éxito
de la misma.
 CLASES DE AUDITORÍA
Dentro de las áreas generales, se
establecen las siguientes divisiones de
Auditoría Informática:
De Explotación, de Sistemas, de
Comunicaciones y de Desarrollo de
Proyectos.
Estas son las Áreas Especificas de la
Auditoría Informática más importantes.
Cada Área Especifica puede ser auditada desde los siguientes criterios generales:
 Desde su propio funcionamiento interno.
 Desde el apoyo que recibe de la Dirección y, en sentido ascendente, del grado
de cumplimiento de las directrices de ésta.
 Desde la perspectiva de los usuarios, destinatarios reales de la informática.
 Desde el punto de vista de la seguridad que ofrece la Informática en general o
la rama auditada.
 FASES DE LA AUDITORIA.
Las normas de la auditoría interna comprenden:
Las actividades auditadas y la objetividad de los auditores internos.
El alcance del trabajo de auditoría interna en el área de informática.
El departamento de auditoría interna deberá asignar a cada auditoría a aquellas
personas que en su conjunto posean los conocimientos, la experiencia y la disciplina
necesarios para conducir apropiadamente la auditoría.
El departamento de auditoría interna deberá asegurarse:
Que las auditorías sean supervisadas en forma apropiada. La supervisión es un
proceso continuo que comienza con la planeación y termina con el trabajo de
auditoría.
Que los informes de auditoría sean precisos, objetivos, claros, concisos, constructivos y
oportunos.
Que se cumplan los objetivos de la auditoría.
Que la auditoría sea debidamente documentada y que se conserve la
evidencia apropiada de la supervisión.
Que los auditores cumplan con las normas profesionales de conducta.
Que los auditores en informática posean los conocimientos,
experiencias y disciplinas esenciales para realizar sus auditorías.
Para hacer una adecuada
planeación de la auditoría en
informática hay que seguir una
serie de pasos previos que
permitirán dimensionar el
tamaño y características del
área dentro del organismo a
auditar, sus sistemas,
organización y equipo.
PLANEACIÓN.
El trabajo de auditoría deberá incluir:
La planeación de la auditoría
El examen y la evaluación de la información
La comunicación de los resultados y el seguimiento
 REVISIÓN PRELIMINAR.
El principal objetivo de la revisión preliminar es revisar el
área informática para obtener información sobre cómo
llevar a cabo la auditoria; se puede hacer a través de
entrevistas, observación, y verificación de documentación.
Al finalizarla, el auditor puede proceder de tres formas:
1. No seguir con la auditoria: Por ejemplo, si el auditor
no tuviera capacidad técnica para realizar la auditoria y
necesitara ayuda del propio auditado
2. Pasar a hacer una revisión
detallada: para realizar la revisión
minuciosa de los controles internos,
esperando poder confiar en ellos, y
reducir las consecuencias

3. Seguir directamente a obtener

evidencias suficientes para tomar una
decisión final sobre si puede ocurrir
perdidas. Si no se confía en los
controles internos, puede ser menos
costoso realizar directamente los Test
de Apoyo.
 REVISIÓN DETALLADA.
Realizar una revisión detallada de los controles internos de los
sistemas con la esperanza de que se deposite la confianza en los
controles de los sistemas y de que una serie de pruebas
sustantivas puedan reducir las consecuencias.

Los objetivos de la fase detallada son los de obtener la

información necesaria para que el auditor tenga un profundo
entendimiento de los controles usados dentro del área de
informática.
En la fase de evaluación detallada es importante para el auditor
identificar las causas de las pérdidas existentes dentro de la
instalación y los controles para reducir las pérdidas y los efectos
causados por éstas.

Al terminar la revisión detallada el auditor debe evaluar en qué

momento los controles establecidos reduce las pérdidas esperadas
a un nivel aceptable.

Los métodos de obtención de información al momento de la

evaluación detallada son los mismos usados en la investigación
preliminar, y lo único que difiere es la profundidad con se obtiene
la información y se evalúa.
 EXAMEN Y EVALUACIÓN DE LA INFORMACIÓN.
Los auditores internos deberán obtener, analizar, interpretar y documentar
la información para apoyar los resultados de la auditoría. El proceso de
examen y evaluación de la información es el siguiente:
Se debe obtener la información de todos los asuntos relacionados con
los objetivos y alcances del auditor. La información relevante apoya los
hallazgos y recomendaciones de auditoría y es consistente con los
objetivos de ésta. La información útil ayuda a la organización a lograr
sus metas.
El proceso de recabar, analizar, interpretar y documentar la información
deberá supervisarse para proporcionar una seguridad razonable de
que la objetividad del auditor se mantuvo y que las metas de auditoría
se cumplieron.
Los documentos de trabajo de la auditoría deberán ser preparados por
los auditores y revisados por la gerencia de auditoría. Estos documentos
deberán registrar la información obtenida y el análisis realizado,
y deben apoyar las bases de los hallazgos de auditoría y las
recomendaciones que se harán.

Los auditores deberán reportar los resultados del trabajo de auditoría:

El auditor deberá discutir las conclusiones y recomendaciones en los
niveles apropiados de la administración antes de emitir su informe final.
Los informes deberán ser objetivos, claros, concisos, constructivos y
oportunos. Los informes presentarán el propósito, alcance y resultados de
la auditoría y, cuando se considere apropiado, contendrán la opinión del
auditor.
PRUEBAS DE CONSENTIMIENTO

El auditor deberá registrar toda la

información obtenida para respaldar
las conclusiones y los resultados del
compromiso, Para así controlar el
acceso a los registros y tener una
confiabilidad de ella.
 PRUEBAS DE CONTROLES DE USUARIOS.
En algunos casos el auditor puede decidir el no confiaren los controles internos dentro
de las instalaciones informáticas, porque el usuario ejerce controles que compensan
cualquier debilidad dentro de los controles de informática. Estas pruebas que
compensan las deficiencias de los controles internos se pueden realizar mediante
cuestionarios, entrevistas, visitas y evaluaciones hechas directamente con los usuarios.
 PRUEBAS SUSTANTIVAS.
El objetivo de la fase de pruebas sustantivas es obtener evidencia suficiente que permita al
auditor emitir su juicio en las conclusiones acerca de cuándo pueden ocurrir pérdidas
materiales durante el procesamiento de la información.
El auditor externo expresará este juicio en forma de opinión sobre cuándo puede existir un
proceso equivocado o falta de control de la información. Se pueden identificar ocho
diferentes pruebas sustantivas:
Pruebas para identificar errores en el procesamiento o de falta de seguridad o confidencialidad.
Pruebas para asegurar la calidad de los datos.
Pruebas para identificar la inconsistencia de los datos.
Pruebas para comparar con los datos o contadores físicos.
Confirmación de datos con fuentes externas.
Pruebas para confirmar la adecuada comunicación.
Pruebas para determinar falta de seguridad.
Pruebas para determinar problemas de legalidad.
 AUDITORÍA OPERACIONAL
Ésta se trata de la evaluación total o parcial de los
procedimientos de un negocio. Pero, ¿con qué fin? Con el
objetivo de auxiliar a la dirección a eliminar las deficiencias
gracias a unas determinadas medidas correctoras.
En definitiva, a través de la auditoría operativa, lo que se
pretende es evaluar y valorar el cómo se están llevando a
cabo las actividades dentro del entramado interno de una
empresa, de si los recursos se emplean de manera adecuada y,
de este modo, concluir si las políticas y procedimientos que se
desarrollan son o no aceptables.
 OBJETIVOS DE LA AUDITORÍA OPERATIVA
Analizar aspectos administrativos, gerenciales y operativos sobre los que se realizarán las
modificaciones oportunas con tal de mejorar la operativa empresarial.
Identificar qué áreas deben reducir costes y dar apoyo a los procesos con mayores necesidades.

VENTAJAS Y DESVENTAJAS DE LA AUDITORÍA OPERACIONAL

• La empresa obtiene una opinión objetiva y realista. Esto tendrá efectos importantes en el control de
inventarios a corto/medio plazo: incremento de la producción, rapidez en ventas (plan de ventas),
reducción de costes, etc.
• Ahorro de dinero a largo plazo. Se trata de una gran inversión, pero con grandes resultados positivos
visibles a lo largo del tiempo
 VENTAJAS Y DESVENTAJAS DE LA AUDITORÍA OPERACIONAL

• Es un proceso que cuesta dinero, por lo que muchas empresas se muestran reacias o,
simplemente, no se lo pueden permitir.
• Se requiere de un periodo de tiempo relativamente largo para completarse, puesto
que se trata de un análisis y examen exhaustivo de la operativa de la empresa con el
que detectar mejoras productivas.
• Dificultad a la hora de encontrar las deficiencias importantes.
 AUDITORÍA FISCAL
La auditoría fiscal es una técnica mediante la cual
se verifican y analizan los hechos vinculados a los
actos de carácter tributario. Es un método que se
emplea para inspeccionar tanto a empresas como
a particulares, es decir, a todos aquellos sujetos
que son contribuyentes y tienen obligaciones
tributarias de cara a la Administración Pública o al
Estado.
 OBJETIVOS DE LA AUDITORÍA FISCAL
• Evaluar que las cuentas estén correctamente clasificadas en el
balance de situación, entre el activo y el pasivo.
• Controlar que, en caso de que haya reclamaciones levantas por
la Administración Pública no resueltas a la fecha de cierre, se
encuentren correctamente contabilizadas.
• Evaluar que los procedimientos se hayan realizado de acuerdo a
la buena fe, asegurando que se ha cumplido con la normativa
legal establecido.
 AUDITORÍA FINANCIERA
La auditoría financiera, también conocida
como auditoría contable, se trata de un
método por el que se examina y analiza la
información que una empresa tiene reflejada
en los estados de sus cuentas. Dicha auditoría
podrá ser realizada por un auditor interno o
externo a la empresa.
OBJETIVO
El objetivo de la auditoría contable, es el
de determinar si los estados de cuentas y
los registros que en ellos hagan las
empresas o entidades corporativas,
cumplen o no con la normativa contable
vigente, sin ocultar vicio ni mala fe alguna,
ni escondiendo o camuflando algún estado
(pensemos en quiebras, falta de solvencia
y liquidez, etc.).
AUDITORÍA FISCAL VS. AUDITORÍA FINANCIERA
La auditoría fiscal es un proceso independiente, mientras que la
auditoría financiera es impulsada desde la propia empresa.
La auditoría fiscal es un examen objetivo del cumplimiento de las
obligaciones fiscales; la auditoría financiera se centra más en el
cumplimiento de las cuentas.
La auditoría fiscal se focaliza en los resultados contables; la auditoría
financiera en el patrimonio y finanzas de la empresa.
 AUDITORÍA INTEGRAL
La auditoría integral es el proceso
de obtener y evaluar objetivamente
información financiera de una
empresa, su estructura interna, si
cumple o no con la normativa y
leyes aplicables y si logra sus
objetivos por los medios
adecuados.
La auditoría integral consiste en:
Determinar si los estados financieros de
la empresa se adecuan a los principios
de contabilidad generalmente
aceptados.
Determinar si la empresa ha cumplido
o no sus reglamentos y estatutos.
Evaluar la estructura de control interno.
Evaluar el grado de eficiencia a la
hora de conseguir los objetivos
empresariales.
 AUDITORÍA FORENSE
La auditoría forense es una técnica que Este tipo de auditoría lleva consigo un amplio
tiene como objetivo la investigación y complejo equipo de profesionales, entre los
que podemos encontrar: auditores,
criminalística, integrada en el ámbito informáticos, abogados, contadores,
de la contabilidad, conocimientos grafotécnicos, etc. Éste equipo será variable y
jurídico-procesales y enfocada hacia se compondrá en función del tipo de empresa
habilidades en finanzas y de negocio. auditada, su actividad, dimensiones,
empleados, tipo de operaciones y demás
La auditoría forense, tras su elementos importantes a tener en cuenta.
investigación y análisis, manifestará una Por ejemplo, si la empresa a la que se va a
serie de opiniones e información cierta realizar la auditoría forense pertenece al
y objetiva, que servirá como prueba de sector medioambiental, será preciso llevar a
cara a procedimientos judiciales. profesionales forestales
Dicha Auditoría no se limita únicamente a casos de
corrupción administrativa, pudiendo aplicarse a
actividades relacionadas con investigaciones sobre:
• Crímenes fiscales.
• Crimen corporativo y fraude.
• Lavado de dinero y terrorismo.
• Discrepancias entre socios o accionistas.
• Siniestros asegurados.
 OBJETIVOS
• Identificar casos de fraude.
• Prevenir y reducir los casos de fraude a través de la implementación de
recomendaciones y asesoramiento, a través de acciones de control
interno en la empresa.
• Participar en el diseño y creación de programas de prevención de
fraude.
• Evaluación de sistemas de control interno.
• Investigación y recopilación de evidencias que se pondrán en manos de
la autoridad judicial.
 AUDITORÍA
GUBERNAMENTAL
Es el medio a través del cual se
verifica y controla la gestión
pública. Se analiza su actividad y
economía, que éstas trabajen en
torno a la eficiencia y la
transparencia, actuando siempre
acorde a las disposiciones legales
pertinentes y aplicables al caso
concreto.
CARACTERÍSTICAS
Realiza evaluaciones, estudios, revisiones e
investigaciones de la actividad pública.
Es una auditoría objetiva, realizada y
dirigida por un auditor imparcial.
Evalúa las operaciones que se han llevado a
cabo (es un análisis a posteriori). Asimismo,
compara con las normas de rendimiento, de
calidad o con disposiciones y principios
generalmente aceptados.
La auditoría gubernamental concluye con un
informe verbal y otro escrito.
 OBJETIVOS

• Promover mejoras y reformas constructivas, en base a criterios críticos y

objetivos.
• Determinar e informar la normativa y programas legales autorizados.
• Averiguar si los recursos humanos, materiales y económicos se emplean de
forma eficiente.
• Comunicar al resto de organismos y entidades sobre todo aquello que se
haya descubierto y sea significativo para ellos.
 AUDITORÍA DE SISTEMAS
La auditoría de sistemas supone la revisión y evaluación de los controles y sistemas de
informática, así como su utilización, eficiencia y seguridad en la empresa, la cual procesa la
información
AUDITORÍA DE SOFTWARE
Se basa en auditar todos los
sistemas software que la
empresa posee. Esto significa
realizar un control de todos los
componentes de la empresa y
ver cuál es la situación actual en
referencia a las novedades y la
legalidad de los programas
utilizados.
Los objetivos que persigue la auditoría de
software son:
Análisis del software y hardware de la empresa
Conocer el rendimiento de la inversión
tecnológica realizada
Realizar un inventario de los activos software
de la empresa
Relación entre el software y el hardware de la
empresa para comprobar la legalidad de las
licencias
 AUDITORÍA INFORMÁTICA
DE EXPLOTACIÓN
Revisión de todos los procesos encargados de
producir resultados, entre ellos la captura de la
información, los sistemas hardware de
explotación, los recursos humanos de explotación
y otros.
 OBJETIVOS
 Controlar los manuales de instrucciones
y procedimientos de explotación.
 Controlar los inicios de los procesos y
otra documentación de funcionamiento.
 Revisar la agenda de trabajo.
 Verificar la continuidad del proceso.
 Comprobar que en ningún caso los operadores
acceden a documentación de programas que no
sea la exclusiva para su explotación.
 Revisar que existen procedimientos que impidan
que puedan correrse versiones de programas no
activos.
 Realizar controles sobre la explotación remota.
 AUDITORÍA DE LA
GESTIÓN:
Referido a la contratación de bienes y
servicios, documentación de
programas, etc.
OBJETIVOS:
Determinar lo adecuado de la organización de
la entidad
Verificar la existencia de objetivos y planes
los coherentes y realistas
Vigilar la existencia de políticas adecuadas y el
cumplimiento de las mismas
Comprobar la confiabilidad de la información y
de los controles establecidos
Verificar la existencia de métodos o
procedimientos adecuados de operación y la
eficiencia de los mismos
Comprobar la utilización adecuada de los
recursos.
 AUDITORÍA INFORMÁTICA DE COMUNICACIONES

Revisión de la topología de Red y determinación de posibles

mejoras, análisis de caudales y grados de utilización.

El auditor de comunicaciones deberá inquirir sobre los índices

de utilización de las líneas contratadas con información
abundante sobre tiempos de desuso.

Deberá proveerse de la topología de la red de

comunicaciones, actualizada, ya que la des-actualización de
esta documentación significaría una grave debilidad
La inexistencia de datos sobre la cuantas líneas existen,
cómo son y donde están instaladas, supondría que se
bordea la Inoperatividad Informática. Sin embargo, las
debilidades más frecuentes o importantes se encuentran
en las disfunciones organizativas.

La contratación e instalación de líneas va asociada a la

instalación de los puestos de trabajo correspondientes
(Pantallas, Servidores de Redes Locales, Computadoras
con tarjetas de Comunicaciones, impresoras, etc.), todas
estas actividades deben estar muy coordinadas y a ser
posible, dependientes de una sola organización.
AUDITORÍA INFORMÁTICA DE DESARROLLO

Revisión del proceso completo de desarrollo de

proyectos por parte de la empresa auditada. El
análisis se basa en cuatro aspectos
fundamentales: revisión de las metodologías
utilizadas, control interno de las aplicaciones,
satisfacción de los usuarios y control de procesos y
ejecuciones de programas críticos.
AUDITORÍA INFORMÁTICA DE SEGURIDAD

Abarca los conceptos de seguridad física y

seguridad lógica. La seguridad física se refiere a la
protección del hardware y de los soportes de datos,
así como a la de los edificios e instalaciones que los
albergan, contemplando las situaciones de incendios,
sabotajes, robos, catástrofes naturales, etc.
 PROCEDIMIENTOS Y TÉCNICAS DE AUDITORIA
El proceso de auditoria exige que el auditor de sistemas reúna evidencia, evalúe
fortalezas y debilidades de los controles existentes basado en la evidencia recopilada,
y que prepare un informe de auditoria que presente esos temas en forma objetiva a la
gerencia.
 PLANIFICACIÓN DE LA AUDITORIA
Una planificación adecuada es el primer paso
necesario para realizar auditorias de sistema eficaces.
El auditor de sistemas debe comprender el ambiente
del negocio en el que se ha de realizar la auditoria,
así como los riesgos del negocio y control asociado. A
continuación se mencionan algunas de las áreas que
deben ser cubierta durante la planificación de la
auditoria:
 A) COMPRENSIÓN DEL NEGOCIO Y DE SU AMBIENTE
Al planificar una auditoria, el auditor informático debe tener una comprensión
de suficiente del ambiente total que se revisa.
Los pasos que puede llevar a cabo un auditor informático para obtener una
comprensión del negocio son:
 Recorrer las instalaciones del ente.
 Lectura de material sobre antecedentes que incluyan publicaciones sobre esa
industria, memorias e informes financieros.
 Entrevistas a gerentes claves para comprender los temas comerciales
esenciales.
 Estudio de los informes sobre normas o reglamentos.
 Revisión de planes estratégicos a largo plazo.
 Revisión de informes de auditorias anteriores.
 B) RIESGO Y MATERIALIDAD DE AUDITORIA.
Se pueden definir los riesgos de auditoria como aquellos riesgos de que la
información pueda tener errores materiales o que el auditor de sistemas no pueda
detectar un error que ha ocurrido.
*

Riesgo Inherente: Cuando un error material no se pueda evitar que

suceda porque no existen controles compensatorios relacionados que se
puedan establecer.
Riesgo de Control: Cuando un error material no puede ser evitado o
detectado en forma oportuna por el sistema de control interno.
Riesgo de Detección: Es el riesgo de que el auditor realice pruebas
exitosas a partir de un procedimiento inadecuado. El auditor puede
llegar a la conclusión de que no existen errores materiales cuando en
realidad los hay.
 C) TÉCNICAS DE EVALUACIÓN DE RIESGOS.
Al determinar que áreas funcionales o temas de auditoria deben auditarse, el auditor de sistemas
puede enfrentarse ante una gran variedad de temas candidatos a la auditoria, el auditor
informático debe evaluar esos riesgos y determinar cuales de esas áreas de alto riesgo debe ser
auditada.
 Permitir que la gerencia asigne recursos necesarios para la auditoria.
 Garantizar que se ha obtenido la información pertinente de todos los niveles gerenciales, y
garantiza que las actividades de la función de auditoria se dirigen correctamente a las áreas
de alto riesgo y constituyen un valor agregado para la gerencia.
 Constituir la base para la organización de la auditoria a fin de administrar eficazmente el
departamento.
 Proveer un resumen que describa como el tema individual de auditoria se relaciona con la
organización global de la empresa así como los planes del negocio.
D) OBJETIVOS DE CONTROLES Y OBJETIVOS DE
AUDITORIA.
El objetivo de un control es anular un riesgo siguiendo alguna
metodología, el objetivo de auditoria es verificar la existencia de
estos controles y que estén funcionando de manera eficaz,
respetando las políticas de la empresa y los objetivos de la
empresa.
E) PROCEDIMIENTOS DE AUDITORIA.
Algunos ejemplos de procedimientos de auditoria son:
 Revisión de la documentación de sistemas e identificación de los
controles existentes.
 Entrevistas con los especialistas técnicos a fin de conocer las técnicas y
controles aplicados.
 Utilización de software de manejo de base de datos para examinar
el contenido de los archivos de datos.
 Técnicas de diagramas de flujo para documentar aplicaciones
automatizadas.
 METODOLOGÍA
Secuencia de pasos lógicos y ordenados de proceder para llegar a un resultado

INTRODUCCIÓN
Alcance y objetivos de la Auditoria Informática.
Estudio inicial del entorno auditable.
Determinación de los recursos necesarios para realizar la Auditoría.
Elaboración del plan y los Programas de trabajo.
Actividades de la Auditoría.
Confección y redacción del Informe Final.
Redacción de la carta de Introducción o Carta de Presentación del
Informe final.
Llevar a cabo una auditoría de sistemas computacionales requiere
una serie ordenada de:
Acciones y procedimientos específicos, los cuales deberán ser diseñados
previamente de manera: secuencial, cronológica y ordenada,

de acuerdo a:
Las etapas, eventos y actividades que se requieran para su ejecución
ETAPAS DE LA METODOLOGÍA
ALCANCE OBJETIVOS

El Auditor debe tener en cuenta:

Organigrama.
Departamentos.
Relaciones jerárquicas y funcionales entre
órganos de Organización.
Flujos de Información.
Número de puestos de trabajo.
Número de personas por puesto de trabajo.
REVISIÓN Y EVALUACIÓN DE CONTROLES Y SEGURIDADES:

Consiste de la revisión de los diagramas de flujo

de procesos, realización de pruebas de
cumplimiento de las seguridades, revisión de
aplicaciones de las áreas críticas, revisión de
procesos históricos (backups), revisión de
documentación y archivos, entre otras
actividades.
EXAMEN DETALLADO DE ÁREAS CRÍTICAS:

Con las fases anteriores el auditor descubre las áreas críticas y sobre
ellas hace un estudio y análisis profundo en los que definirá
concretamente su grupo de trabajo y la distribución de carga del
mismo, establecerá los motivos, objetivos, alcance y recursos que usará,
definirá la metodología de trabajo, la duración de la auditoria,
presentará el plan de trabajo y analizará detalladamente cada
problema encontrado con todo lo anteriormente analizado.
DEFINICIONES BÁSICAS
Método: “modo prescrito para ejecutar una tarea o
trabajo determinado, por el cual se pretende
alcanzar un objetivo establecido.

 Metodología: “estudio de los métodos que se siguen en una

investigación, un conocimiento o una interpretación.
DEFINICIONES BÁSICAS
Planeación: es el proceso de Misiones globales
decidir de antemano qué se Resultados
hará y de qué manera se hará. Objetivos Espec.
Politicas, Prog, Proced

 Plan: es un instrumento diseñado

para alcanzar determinados
objetivos, donde se definen espacio,
tiempo y medios utilizables para su
Acciones
Tiempo Medios alcance
(futuro) (recursos)
DEFINICIONES BÁSICAS
Programa: conjunto estructurado de diversas
actividades al cual se le asignan recursos humanos,
materiales y financieros, indicando la secuencia
cronológica y los tiempos de duración de dichos
pasos

Presupuesto: “estimación programada en forma sistemática de los

ingresos y egresos que maneja un organismo en un período determinado;
puede considerarse como un plan de acción en términos monetarios y cuyo
ejercicio abarca generalmente un año de actividad”
DEFINICIONES BÁSICAS
METODOLOGÍA PARA REALIZAR AUDITORÍA DE
SISTEMAS COMPUTACIONALES
1. Estudio Preliminar
o Toma de contacto

6. Redacción
del informe 2. Planeación
final

5. Presentación 3. Ejecución de
de Conclusione la Auditoría
4. Sintesis
y
Diagnósti
co
 FASE 1. TOMA DE CONTACTO
Conocer la organización objeto de Auditoría
Cantidad de empleados, tipo de información que maneja la
organización, contexto donde la empresa está funcionando, …
Información de la empresa y de su centro de datos
(departamento de informática)
FASE 2. PLANEACIÓN
• Identificar el origen de la auditoría
1.

• Realizar visita preliminar al área que será evaluada

2.

• Establecer objetivos de la auditoría

3.

• Determinar los puntos que serán evaluados en la auditoría

4.

• Elaborar planes, programas y presupuestos para realizar la auditoría

5.

• Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la

6. auditoría

• Asignar recursos y sistemas computacionales para la auditoría

7.
2.1 IDENTIFICAR EL ORIGEN DE LA AUDITORÍA
Por solicitud expresa de procedencia interna
Por solicitud expresa de procedencia externa
Como consecuencia de emergencias y condiciones especiales
Por riesgos y contingencias informáticas
Como resultados de los planes de contingencia
Por resultados obtenidos de otras auditorías
Como parte del programa integral de auditoría
2.2 REALIZAR VISITA PRELIMINAR AL ÁREA QUE
SERÁ EVALUADA
Visita preliminar de arranque:
 ¿Cómo se encuentran distribuidos los sistemas en el área?
 ¿Cuántos, cuáles, cómo y de qué tipo son los equipos que están instalados en el centro de sistemas?
 ¿Cuáles son las principales características físicas de los sistemas que serán auditados?
 ¿Cómo reacciona el personal ante la visita del auditor?
 ¿Qué limitaciones se observan para realizar la auditoría?
2.2 REALIZAR VISITA PRELIMINAR AL ÁREA QUE
SERÁ EVALUADA
Establecer los objetivos de la auditoría:
 Objetivo general
 Objetivos particulares
 Objetivos específicos
2.2 REALIZAR VISITA PRELIMINAR AL ÁREA QUE
SERÁ EVALUADA
Determinar los puntos que serán evaluados en la auditoría
 Evaluación de las funciones y actividades del personal en el área de sistemas
 Evaluación de las áreas y unidades administrativas del centro de computo
 Evaluación de la seguridad de los SI
 Evaluación de la información, documentación y registros de los sistemas
 Evaluación del hardware
 Evaluación del software
 Evaluación de la información y bases de datos
2.2 REALIZAR VISITA PRELIMINAR AL ÁREA QUE
SERÁ EVALUADA
Elaborar planes, programas y presupuestos que serán utilizados:
 Elaborar el documento formal de los planes de trabajo para la auditoría
 Elaborar los programas de actividades para realizar la auditoría
 Elaborar los presupuestos para la auditoría
2.2 REALIZAR VISITA PRELIMINAR AL ÁREA QUE
SERÁ EVALUADA
Identificar y seleccionar los métodos, herramientas, instrumentos y
procedimientos necesarios para la auditoría
 Establecer la guía de ponderación de los puntos que serán evaluados
 Elaborar la guía de la auditoría
 Elaborar los documentos necesarios para la auditoría (encuestas, cuestionarios, entrevistas)
 Determinar herramientas, métodos y procedimientos para la auditoría
2.2 REALIZAR VISITA PRELIMINAR AL ÁREA QUE
SERÁ EVALUADA
Asignar recursos y sistemas computacionales para la auditoría
 Recursos Humanos
 Recursos informáticos y tecnológicos
 Recursos materiales y de consumo
 Otros recursos necesarios (viaticos, pasajes,…)
FASE 3. EJECUCIÓN DE LA AUDITORÍA

Realizar las acciones programadas para

la auditoría
Aplicar los instrumentos y Aplicar los recursos y actividades Recopilar la documentación y
herramientas para la auditoría conforme a los planes y programas evidencias de la auditoría
FASE 4. SÍNTESIS Y DIAGNÓSTICO
Identificar y elaborar los documentos de desviaciones

Integrar los papeles de trabajo Integrar los documetos y

de la auditoría pruebas en papeles de trabajo

 Evidencias
◦ Puntos débiles del sistema
◦ Puntos fuertes
◦ Riesgos Eventuales
◦ Posibles oportunidades
◦ Posibles soluciones y mejoras
FASE 5. PRESENTACIÓN DE CONCLUSIONES
Elaborar los documentos y presentarlos a discusión

Elaborar el borrador de las desviaciones

 FASE 6. REDACCIÓN DEL INFORME FINAL
Carta de presentación del informe
Resumen del informe
Elaborar el dictamen final
Presentación del informe de auditoría
CONFECCIÓN Y REDACCIÓN DEL INFORME FINAL
Estructura del informe final:
 El informe comienza con la fecha de comienzo de la auditoría y la fecha
de redacción del mismo.
Se incluyen los nombres del equipo auditor y los nombres de
todas las personas entrevistadas, con indicación del
departamento, responsabilidad y puesto de trabajo que ostente.
Definición de objetivos y alcance de la auditoría.
CONFECCIÓN Y REDACCIÓN DEL INFORME FINAL
Cuerpo expositivo:
• Cuando se trate de una revisión periódica, en la que
a. Situación actual. se analiza no solamente una situación sino además
su evolución en el tiempo, se expondrá la situación
prevista y la situación real.

• Se tratarán de hallar parámetros que permitan

b. Tendencias establecer tendencias futuras.

• Se establecen los puntos débiles y amenazas encontradas

c. Puntos débiles y amenazas. durante la auditoría

d. Recomendaciones y planes de • Constituyen junto con la exposición de puntos débiles,

acción. el verdadero objetivo de la auditoría informática.

• e. Redacción posterior de la Carta de Introducción o

Carta de Presentación Presentación.
 MODELO CONCEPTUAL DE LA
EXPOSICIÓN DEL INFORME FINAL
El informe debe incluir solamente hechos importantes.
El Informe debe consolidar los hechos que se describen en el mismo.
El término de "hechos consolidados" adquiere un especial significado de verificación objetiva y de
estar documentalmente probados y soportados. La consolidación de los hechos debe satisfacer, al
menos los siguientes criterios:
 El hecho debe poder ser sometido a cambios.
 Las ventajas del cambio deben superar los inconvenientes derivados de
 mantener la situación.
 No deben existir alternativas viables que superen al cambio propuesto.
 La recomendación del auditor sobre el hecho debe mantener o mejorar las normas y estándares
existentes en la instalación.
 La aparición de un hecho en un informe de auditoría implica necesariamente la existencia de una
debilidad que ha de ser corregida.
 MODELO CONCEPTUAL DE LA EXPOSICIÓN DEL
INFORME FINAL
•-Ha de ser relevante para el auditor y pera el cliente.
•- Ha de ser exacto, y además convincente.
1 – Hecho encontrado. •- No deben existir hechos repetidos.

•- Las consecuencias deben redactarse de modo que sean directamente

2 – Consecuencias del deducibles del hecho.

hecho
Flujo del hecho
o debilidad: •- Se redactará las influencias directas que el hecho pueda tener sobre
3 – Repercusión del otros aspectos informáticos u otros ámbitos de la empresa.

hecho

•- No deben redactarse conclusiones más que en los casos en que la

exposición haya sido muy extensa o compleja.
4 – Conclusión del hecho

•- Deberá entenderse por sí sola, por simple lectura.

•- Deberá estar suficientemente soportada en el propio texto.
5 – Recomendación del •- Deberá ser concreta y exacta en el tiempo, para que pueda ser
auditor informático verificada su implementación.
•- La recomendación se redactará de forma que vaya dirigida
expresamente a la persona o personas que puedan implementarl
 CARTA DE INTRODUCCIÓN O PRESENTACIÓN DEL
INFORME FINAL
La carta de introducción tiene especial importancia porque en ella ha de resumirse la
auditoría realizada. Se destina exclusivamente al responsable máximo de la
empresa, o a la persona concreta que encargo o contrato la auditoría.
La carta de introducción poseerá los siguientes atributos:
· Tendrá como máximo 4 folios.
· Incluirá fecha, naturaleza, objetivos y alcance.
· Cuantificará la importancia de las áreas analizadas.
· Proporcionará una conclusión general, concretando las áreas de gran debilidad.
· Presentará las debilidades en orden de importancia y gravedad.
· En la carta de Introducción no se escribirán nunca recomendaciones.
ÁREAS DE AUDITORÍA
Las áreas a Auditar son:
A toda entidad
A un Departamento
A un Área
A una Función
A una Subfunción
Y se pueden aplicar los siguientes tipos de Auditoría
Auditoría al ciclo de vida del desarrollo de Software
Auditoría a un Sistema en Operación
Auditoría a Controles Generales (Gestión)
Auditoría a la Administración de la Función Informática
Auditoría a Microcomputadoras Aisladas
Auditoría a Redes
ESTÁNDARES DE SEGURIDAD DE LA
INFORMACIÓN

ISO/IEC 27000-series
COBIT
ITIL
 ISO/IEC 27000-SERIES
La serie de normas ISO/IEC 27000 son estándares de seguridad publicados
por la Organización Internacional para la Estandarización (ISO) y la Comisión
Electrotécnica Internacional (IEC).
La serie contiene las mejores prácticas recomendadas en Seguridad de la
información para desarrollar, implementar y mantener especificaciones para
los Sistemas de Gestión de la Seguridad de la Información (SGSI).
 COBIT
Objetivos de Control para la información y Tecnologías relacionadas (COBIT,
en inglés: Control Objectives for Information and related Technology)
Es un conjunto de mejores prácticas para el manejo de información creado por
la Asociación para la Auditoria y Control de Sistemas de Información, (ISACA,
en inglés: Information Systems Audit and Control Association), y el Instituto de
Administración de las Tecnologías de la Información (ITGI, en inglés: IT
Governance Institute) en 1992.
 ITIL

La Information Technology Infrastructure Library ("Biblioteca de Infraestructura

de Tecnologías de Información"), frecuentemente abreviada ITIL.
Es un marco de trabajo de las mejores prácticas destinadas a facilitar la
entrega de servicios de tecnologías de la información (TI) de alta calidad. ITIL
resume un extenso conjunto de procedimientos de gestión ideados para
ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones
de TI
 BIBLIOGRAFÍA
 https://sites.google.com/site/auditoriajcll/4-planeacion-de-la-auditoria-informatica/1-fases-
de-la-auditoria
 http://auditorinformatico.blogspot.com/2012/11/v-behaviorurldefaultvmlo.html
 http://auditordesistemas.blogspot.com/2011/11/cobit-objetivos-de-control-para-la.html
 http://auditoriagrupo5cesmag.blogspot.com/2010/08/revision-preliminar-el-principal.html
 https://es.slideshare.net/efraintoribioreyes/revisin-preliminar-y-revisin-detallada
 https://prezi.com/ggyex6ok6y7l/metodologia-de-auditoria-informatica/
 https://es.slideshare.net/Natafont/auditoria-de-sistemas-7312580