Auditoria de Sistemas de

Información
Sesiones 1 y 2:
Contextualización de la Auditoría de los
Sistemas de Información

Docente: Yván Díaz

ydiaz@nbs.edu.pe
Presentación
Reflexiones…
Estamos en momentos de cambio en un mundo complejo. Ya no nos
sirve el estudiar una sola materia, todas están interrelacionadas.

No concebimos un abogado sin conocimientos de tecnología y

management, ni un economista o empresario sin conocimiento legales
y de sistemas de información, ni un ingeniero informático o de
telecomunicación sin conocimientos de privacidad, de legislación ni de
gestión empresarial.
Presentación
Reflexiones…
Es imprescindible el conocimiento de las normas y su aplicación a fin
de poder garantizar su respeto y cumplimiento y evitar la producción de
resultados no deseados, así como para tomar conciencia de la
traducción jurídica de los actos realizados u omitidos y de sus
consecuencias.

Las organizaciones necesitan disponer de un número creciente de

profesionales cualificados en la identificación y evaluación de los
riesgos de los SI y en el diseño y evaluación independiente de los
controles necesarios para asegurar la eficacia, eficiencia, legalidad y
seguridad de los sistemas.
Objetivos
• Comprender la importancia de la Auditoria
de sistemas en el análisis de la eficiencia de
los Sistemas Informáticos, así como la
verificación del cumplimiento de la
Normativa en este ámbito y la revisión de
una eficaz gestión de los recursos
informáticos y de la información.

• Conocer herramientas para realizar un

diagnóstico general del problema auditado.
Contenidos
• Definiciones
• Objetivos de la auditoria a los SI
• Síntomas para auditar (clasificación)
• Tipos de auditorías
• Normas de Seguridad de la Información
• Matriz DGSI
• El proceso de la auditoria a los SI
(general)
Definiciones
Concepto Etimológico

La palabra auditoria viene del

latín auditorius y de esta
proviene auditor, que tiene la
virtud de oír y revisar.
Definiciones
Auditoría

Es una disciplina expresada en conceptos,

normas, técnicas, procedimientos y
metodologías, que tiene como objetivo
examinar y evaluar determinada realidad,
para emitir una opinión sobre un aspecto o la
totalidad del objeto estudiado.
Definiciones
Auditoría de Sistemas (1)
Es la revisión y evaluación de los controles, sistemas,
procedimientos de informática; de los equipos de
computo, su utilización, eficiencia y seguridad, de la
organización que participan en el procesamiento de la
información, a fin que por medio del señalamiento de
cursos alternativos se logre una utilización más
eficiente y segura de la información que servirá para
una adecuada toma de decisiones.
Definiciones
Auditoría de Sistemas (2)

Es el proceso de recoger, agrupar y evaluar

evidencias para determinar si un sistema
informatizado salvaguarda los activos,
mantiene la integridad de los datos, lleva a
cabo eficazmente los fines de la
organización y utiliza eficientemente los
recursos.
Definiciones
Riesgo

Son errores o irregularidades

que pueden causar daños a los
EEFF de una organización.
Definiciones
Riesgo de Auditoría

Es la posibilidad de que se
omita un informe inadecuado,
por no haberse detectado
errores o irregularidades
significativas a través del
proceso de auditoria.
Definiciones
Controles

Es una serie de normas,

técnicas y procedimientos, a
través de las cuales se mide y
corrige el desempeño de una
actividad para asegurar la
consecución de los resultados
esperados.
Definiciones
Sistemas de Información
Seguridad de la
Información

Seguridad
Sistemas de la Información Sistemas de Informática
Informática

Vulnerab. Organiz., Operac., Físicos Vulnerab. y Amen. TIC

• Ausencia de normas y políticas • Virus
• Control insuficiente de cambios • Spam – Phising
• Actitud y compromiso personal • Contraseñas
• Errores, actos deliberados personal • Ataques a SO
• Información verbal o en papel, etc. • Internet, e-mail, etc.
Contenidos
• Definiciones
• Objetivos de la auditoria a los SI
• Síntomas para auditar (clasificación)
• Tipos de auditorías
• Normas de Seguridad de la Información
• Matriz DGSI
• El proceso de la auditoria a los SI
(general)
Objetivos
de la Auditoría a los SI (generales)
• Asegurar una mayor integridad, confidencialidad y confiabilidad de la
información.

• Seguridad del personal, los datos, el hardware, el

software y las instalaciones.

• Minimizar existencias de riesgos en el uso de TI.

• Conocer la situación actual del área informática para

lograr los objetivos.
Objetivos
de la Auditoría a los SI (generales)
• Apoyo de función informática a las metas y objetivos de la organización.

• Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente

informático.

• Incrementar la satisfacción de los usuarios de los

sistemas informáticos.

• Capacitación y educación sobre controles en los

Sistemas de Información.
Objetivos
de la Auditoría a los SI (generales)
• Buscar una mejor relación C/B de los sistemas automáticos.

• Decisiones de inversión y gastos innecesarios.

Contenidos
• Definiciones
• Objetivos de la auditoria a los SI
• Síntomas para auditar (clasificación)
• Tipos de auditorías
• Normas de Seguridad de la Información
• Matriz DGSI
• El proceso de la auditoria a los SI
(general)
Síntomas
Las empresas acuden a las auditorias externas cuando existen síntomas bien
perceptibles de debilidad. Estos síntomas pueden agruparse en clases:

PRINCIPALES SINTOMAS

Inseguridad:
Mala imagen e Debilidades
Descoordinación y Evaluación de Nivel de
insatisfacción de los económica-
desorganización Riesgos (S. física, S.
usuarios financiera
lógica, confidencialidad
Síntomas
Las empresas acuden a las auditorias externas cuando existen síntomas bien
perceptibles de debilidad. Estos síntomas pueden agruparse en clases:

PRINCIPALES SINTOMAS
 No coinciden los objetivos de la informática de la compañía con los
de la propia compañía.
Descoordinación y
desorganización
 Los estándares de productividad se desvían sensiblemente de los
promedios conseguidos habitualmente.
Síntomas
Las empresas acuden a las auditorias externas cuando existen síntomas bien
perceptibles de debilidad. Estos síntomas pueden agruparse en clases:

PRINCIPALES SINTOMAS
 No se atienden las peticiones de cambios de
Mala imagen e los usuarios. Ejemplos: cambios de software
insatisfacción de los en los terminales de usuario, variación de
usuarios los ficheros que deben ponerse diariamente
a su disposición, cambio de sistemas de
control de asistencia, etc.
Síntomas
Las empresas acuden a las auditorias externas cuando existen síntomas bien
perceptibles de debilidad. Estos síntomas pueden agruparse en clases:

PRINCIPALES SINTOMAS
 No se reparan las averías de hardware ni
Mala imagen e se resuelven incidencias en plazos
insatisfacción de los razonables. El usuario percibe que está
usuarios abandonado y desatendido
permanentemente.
Síntomas
Las empresas acuden a las auditorias externas cuando existen síntomas bien
perceptibles de debilidad. Estos síntomas pueden agruparse en clases:

PRINCIPALES SINTOMAS
 No se cumplen en todos los casos los plazos
Mala imagen e de entrega de resultados periódicos.
insatisfacción de los Pequeñas desviaciones pueden causar
usuarios importantes desajustes en la actividad del
usuario, en especial en los resultados de
aplicaciones críticas y sensibles.
Síntomas
Las empresas acuden a las auditorias externas cuando existen síntomas bien
perceptibles de debilidad. Estos síntomas pueden agruparse en clases:

PRINCIPALES SINTOMAS
 Incremento
Desviacionesdesmesurado
presupuestarias
de costes.
significativas.
Debilidades
 Necesidad de justificación de inversiones económica-
 informáticas
Costes y plazos
(la de
empresa
nuevosnoproyectos
está financiera
absolutamente
(deben auditarseconvencida
simultáneamente
de tal a
necesidad
Desarrollo ydedecide
Proyectos
contrastar
y al órgano
opiniones).
que
realizó la petición).
Síntomas
Las empresas acuden a las auditorias externas cuando existen síntomas bien
perceptibles de debilidad. Estos síntomas pueden agruparse en clases:

PRINCIPALES SINTOMAS
 Los datos son propiedad inicialmente de la organización que los
genera. Los datos de personal son especialmente confidenciales. Inseguridad:
Evaluación de Nivel de
Riesgos (S. física, S.
 Centro de Proceso de Datos fuera de control. Si tal situación
lógica, confidencialidad
llegara a percibirse, sería prácticamente inútil la auditoria. Esa es
la razón por la cual, en este caso, el síntoma debe ser sustituido
por el mínimo indicio.
Síntomas
Las empresas acuden a las auditorias externas cuando existen síntomas bien
perceptibles de debilidad. Estos síntomas pueden agruparse en clases:

PRINCIPALES SINTOMAS

Inseguridad:
Mala imagen e Debilidades
Descoordinación y Evaluación de Nivel de
insatisfacción de los económica-
desorganización Riesgos (S. física, S.
usuarios financiera
lógica, confidencialidad
Síntomas
CAUSA = SINTOMAS
Debilidades E/F

Descoordinación y
desorganización

PROBLEMA QUE
CAUSA A LA
ORGANIZACIÓN

Imagen e
insatisfacción
Nivel de
Riesgo

ELABORACIÓN: Basado en diagrama de Ishikawa

Síntomas
Interpretación
 Ordenar los síntomas (causas) que podrían originar un
efecto.

 Presentar y organizar teorías, con los

síntomas que se han observado.

 Proponer soluciones al problema identificado

(solución al efecto)

 Lograr conocimiento del un problema complejo.

Síntomas
Preguntas del Caso
1. Cuales son los causas que originan el problema.

2. Exponga el problema que se obtuvo como

resultado (el efecto)

3. Presente posibles soluciones y/o teorías que

den solución al problema que afronta Jahesa.

4. Como empresa consultora, ¿Cual ha sido el

conocimiento adquirido?
Síntomas
Informe HG&C
Análisis
Se ha podido identificar que existe carencia en el equipo de comunicación, ya que de 100
equipos, solo 70 están en funcionamiento, siendo incluso este no correcto del todo.
La reparación de estos 30 equipos está siendo rebasada por la operatividad y la escases del
personal de mantenimiento es insuficiente para llevar a cabo esta tarea.

Propuesta
Se lleven a cabo las siguientes acciones, según la Filosofía de Kaizen:
1. Contratación de Outsourcing de técnicos de reparación de equipo de cómputo.
2. Implementar un sistema de Intranet.
3. Implementar diseño de redes para comunicación externa.
Síntomas
Informe HG&C
Propuesta
Se lleven a cabo las siguientes acciones, según la Filosofía de Kaizen:
4. Programación de mantenimiento preventivo
5. Capacitación del personal existente para resolver daños menores
6. Diseño de parámetros de desempeño
7. Evaluación de desempeño del personal de mantenimiento
8. Estandarizar los procesos de mantenimiento
9. Verificar que se cumplan con los programas de mantenimiento de los equipos.

De esta manera podría resolver el obstáculo de la mala comunicación y así colaborar a la

consecución de metas del área de producción, siempre que se siga un programa de seguimiento y
control de lo antes mencionado.
Contenidos
• Definiciones
• Objetivos de la auditoria a los SI
• Síntomas para auditar (clasificación)
• Tipos de auditorías
• Normas de Seguridad de la Información
• Matriz DGSI
• El proceso de la auditoria a los SI
(general)
Tipos de Auditoría
Administrativa

Calidad Social

Auditoria
Operacional Fiscal

Financiera Sistemas
Tipos de Auditoría
Financiera
Es un proceso cuyo resultado final es la emisión de
un informe, en el que el auditor da a conocer su
opinión sobre la situación financiera de la empresa,
este proceso solo es posible llevarlo a cabo a través
de un elemento llamado evidencia de auditoria, ya
que el auditor hace su trabajo posterior a las
operaciones de la empresa.

Se evalúa y comprueba:
• Veracidad de EEFF.
• Preparación de informes de acuerdo a principios
contables.
Tipos de Auditoría
Operacional
Es el examen posterior, profesional, objetivo y
sistemático de la totalidad o parte de las operaciones
o actividades de una entidad, proyecto, programa,
inversión o contrato en particular, sus unidades
integrantes u operacionales específicas.

Su propósito es determinar los grados de efectividad,

economía y eficiencia alcanzados por la organización
y formular recomendaciones para mejorar las
operaciones evaluadas. Relacionada básicamente con
los objetivos de eficacia, eficiencia y economía.
Tipos de Auditoría
Operacional
Es el examen posterior, profesional, objetivo y
sistemático de la totalidad o parte de las operaciones
o actividades de una entidad, proyecto, programa,
inversión o contrato en particular, sus unidades
integrantes u operacionales específicas.

Se evalúa y comprueba:
• Evalúa la eficiencia y la eficacia.
• Estado de la actividad economía del negocio.
• Los métodos y procedimientos que rigen un proceso de
una empresa.
Tipos de Auditoría
Sistemas
Se ocupa de analizar la actividad que se conoce como
técnica de sistemas en todas sus facetas. Hoy, la
importancia creciente de las telecomunicaciones ha
propiciado que las comunicaciones, líneas y redes de las
instalaciones informáticas, se auditen por separado,
aunque formen parte del entorno general de sistemas.
Su finalidad es el examen y análisis de los
procedimientos administrativos y de los sistemas de
control interno de la compañía auditada.
Se evalúa y comprueba:
• La función informática en su conjunto.
Tipos de Auditoría
Fiscal
La auditoría fiscal es el proceso sistemático de
obtener y evaluar objetivamente la evidencia acerca
de las afirmaciones y hechos relacionados con actos
y acontecimientos de carácter tributario, a fin de
evaluar tales declaraciones a la luz de los criterios
establecidos y comunicar el resultado a las partes
interesadas; ello implica verificar la razonabilidad con
que la entidad ha registrado la contabilización de las
operaciones resultantes de sus relaciones con
SUNAT.
Tipos de Auditoría
Fiscal
Observa y analiza el grado de adecuación con Principios
y Normas Contables Generalmente Aceptados, debiendo
para ello investigar si las declaraciones fiscales se han
realizado razonablemente con arreglo a las normas
fiscales de aplicación.

Se evalúa y comprueba:
• El cumplimiento de las leyes fiscales.
Tipos de Auditoría
Administrativa
Revisa y evalúa si los métodos, sistemas y procedimientos que se
siguen en todas las fases del proceso administrativo aseguran el
cumplimiento con políticas, planes, programas, leyes y
reglamentaciones que puedan tener un impacto significativo en
operación de los reportes y asegurar que la
organización los este cumpliendo y respetando.

Se evalúa y comprueba:
• Logros de los objetivos de la Administración.
• Desempeño de funciones administrativas.
Tipos de Auditoría
Calidad
La Auditoría de Calidad es una herramienta de gestión
empleada para verificar y evaluar las actividades
relacionadas con la calidad en el seno de una organización. La
empresas tienen la necesidad de demostrar su
responsabilidad con el Sistema de Gestión se Calidad
implantado (SGC) y la práctica asociada de Auditoria de
Calidad se ha tornado como una forma de satisfacer esta
necesidad. La intención de estos sistemas es la de ayudar a
una organización a establecer y mejorar sus políticas,
objetivos, estándares y otros requerimientos de calidad.
Se evalúa y comprueba:
• Métodos y mediciones. Controles de los bienes y servicios.
Tipos de Auditoría
Social
La auditoría social es un proceso que permite a una
organización evaluar su eficacia social y su
comportamiento ético en relación a sus objetivos, de
manera que pueda mejorar sus resultados sociales y
solidarios y dar cuenta de ellos a todas las personas
comprometidas por su actividad.

Se evalúa y comprueba:
• La contribución a la sociedad así como la participación en
actividades socialmente orientadas .
Tipos de Auditoría
Según la relación de Dependencia del Auditor
Auditoría Interna:

• Es una función de evaluación interna, ejercida por

personal perteneciente a los cuadros de la empresa.

• Actúa como un servicio independiente de la línea

jerárquica corriente, por lo que depende
directamente de la Dirección de la organización.

• La auditoría interna mide y evalúa la confiabilidad y

eficacia del sistema de control interno de la entidad
con miras a lograr su mejoramiento.
Tipos de Auditoría
Según la relación de Dependencia del Auditor
Auditoría Externa:

• Es una función de evaluación externa, ejecutada por

un ente externo e independiente de la línea
jerárquica establecida.

• Actúa controlando algún aspecto particular de las

operaciones o procedimientos establecidos en la
organización.
Tipos de Auditoría
Campos de acción del Auditor
La evaluación administrativa del departamento de procesos
electrónicos.

La evaluación de los sistemas y procedimientos y la

eficiencia que se tiene en el uso de la información

La evaluación del proceso de datos y de los equipos de

cómputo.

Para logra los puntos antes señalados necesita: Evaluación

administrativa del departamento de informática.
Contenidos
• Definiciones
• Objetivos de la auditoria a los SI
• Síntomas para auditar (clasificación)
• Tipos de auditorías
• Normas de Seguridad de la Información
• Matriz DGSI
• El proceso de la auditoria a los SI
(general)
Normas de Seguridad
Básicas
• Nuevo enfoque que corresponde a los conceptos del
Gobierno Corporativo (Corporate Governance), es decir,
cómo dirigir, administrar o controlar adecuadamente una
empresa.

• Los antecedentes se encuentran en la OECD (Organización

para la Corporación y Desarrollo Económico) que
estableció las Responsabilidades del Directorio de una
empresa como Principios Básicos de un Corporate
Governance.

• El gobierno de una organización es una función del

directorio y la gestión de la gerencia ejecutiva.
Normas de Seguridad
Básicas
• En este contexto, el concepto de seguridad de la información paso de técnico a la
de gestión institucional bajo normas universales, estableciendo que
la seguridad es parte de los negocios (Gobierno Corporativo).

• Esto incorpora Guías de Seguridad de la OCDE, tales como

Concientización y Valuación de Riesgos.
o Concientización: personas, grupos.
o Valuación de riesgos: amenazas y vulnerabilidades de carácter
tecnológico, físico y humano.

• Por tanto, se establecen 4 tipos de riesgos:

o Riesgo de sistemas TI..
o Riesgos organizacionales.
o Riesgos operacionales.
o Riesgos de carácter físico.
Normas de Seguridad
ISO
Norma ISO 27001
Es una guía de recomendaciones de buenas prácticas para la
gestión de seguridad de la información.

Norma ISO 27002

Especifica los requisitos para establecer un plan de seguridad
constituido por un Sistema de Gestión de Seguridad de la
Información (SGSI), dentro del contexto de los riesgos totales de
negocios de una empresa.
Contenidos
• Definiciones
• Objetivos de la auditoria a los SI
• Síntomas para auditar (clasificación)
• Tipos de auditorías
• Normas de Seguridad de la Información
• Matriz DGSI
• El proceso de la auditoria a los SI
(general)
Matriz DGSI
• Ofrece un panorama general del estado de los
sistemas de información al interior de una
organización, así como del uso de sus
recursos, seguridad y beneficios que ofrecen
un conjunto de factores alineados
perfectamente a los objetivos de la auditoría
de los SI y a la integridad y seguridad de la
información de la organización.

• No es determinante. Es subjetiva.

• Índice de importancias.
Matriz DGSI
Procedimiento
• Identificar áreas a auditar.
• Establecer factores a observar. (se
recomienda: no menos de 7 ni más de 12)
• Ponderar y establecer escala.
• Llenar matriz con valores (Likert)
• Totalizar escalas (columnas)
• Ponderar totales
σ 𝑇𝑜𝑡𝑎𝑙𝑒𝑠
𝐸𝐺𝑃𝑆𝐼 =
𝑛 𝐹𝑎𝑐𝑡𝑜𝑟𝑒𝑠
Matriz DGSI
Procedimiento
• Asignar orden de importancia por factores.
• Analizar Escalas de mayor a menor. (nivel de
compromiso sobre el total de factores)
• Analizar Ponderación Total
• Analizar Índices de Importancia
• Conclusiones
• Recomendaciones
Matriz DGSI
Matriz DGSI
Preguntas del Caso
1. Prepare un Resumen Ejecutivo (debe exponer una
breve descripción de la empresa y el diagnóstico
general de la situación actual del sistema auditado)

2. Elabore la Matriz DGSI.

3. Conclusiones (análisis de resultados obtenido del

DGSI auditado)

4. Recomendaciones
Matriz DGSI
Informe JP
Existen evidentes falencias en la no existencia de un comité y plan informático; falta de organización y
administración del área; falencias en la seguridad física y lógica; no existe auditoria de sistemas; falta de
respaldo a las operaciones; accesos de los usuarios; plan de contingencias; y entorno de desarrollo y
mantenimiento de las aplicaciones. El detalle de las deficiencias encontradas, como así también las
sugerencias de solución se encuentran especificadas en los anexos adjuntos. La aprobación y puesta en
práctica de estas sugerencias ayudarán a la empresa a brindar un servicio más eficiente a todos sus
clientes.

Agradecemos la colaboración prestada durante nuestra visita por todo el personal de la Cooperativa y
quedamos a vuestra disposición para cualquier aclaración y/o ampliación de la presente que estime
necesaria.

Atentamente.
Jhon Parthnert
Matriz DGSI
Preguntas del Caso
1. Elabore la Matriz DGSI.

2. Exponga su diagnóstico general sobre la actual situación de la

performance de los SI de la empresa analizada. Termine con sus
conclusiones y recomendaciones.

3. ¿Es correcta la apreciación de JP en relación a la situación de la Coop.

Valle de Tambo?, Justifique.

http://www.sbs.gob.pe/noticia/detallenoticia/idnoticia/1404
Contenidos
• Definiciones
• Objetivos de la auditoria a los SI
• Síntomas para auditar (clasificación)
• Tipos de auditorías
• Normas de Seguridad de la Información
• Matriz DGSI
• El proceso de la auditoria a los SI
(general)
El Proceso de Auditoria
Genérico

Finalización
Ejecución

Planificación
El Proceso de Auditoria
Fin General

El interés principal el auditor no radica en verificar las transacciones,

Auditor Usuario
operaciones, tipos de equipos adquiridos o estados de los mismos, ni
software o SI, sino en los EEFF en su conjunto. La auditoria no
comienza con el examen de las transacciones o documentos
individuales, comienza centrándose en el tipo de negocio de la
empresa, en su organización, en la forma en que funcionan sus áreas
importantes, de que manera son dirigidas, controladas y registradas
sus transacciones y se PROTEGE LA INFORMACIÓN.
Objetivos
• Comprender la importancia de la Auditoria
de sistemas en el análisis de la eficiencia de
los Sistemas Informáticos, así como la
verificación del cumplimiento de la
Normativa en este ámbito y la revisión de
una eficaz gestión de los recursos
informáticos y de la información.

• Conocer herramientas para realizar un

diagnóstico general del problema auditado.
Auditoria de Sistemas de
Información
Sesiones 1 y 2:
Contextualización de la Auditoría de los
Sistemas de Información

Docente: Yván Díaz

ydiaz@nbs.edu.pe