La información de la empresa se ha convertido en un Activo Real de la misma, como

sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones
informáticas, materia de la que se ocupa la Auditoria de Inversión Informática.
Los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe
la existencia de la Auditoría de Seguridad Informática.
Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna
forma su función: se está en el campo de la Auditoría de Organización Informática.
Auditoria de sistemas. - “Es la revisión técnica, especializada y exhaustiva que se
realiza a los sistemas computacionales, software e información utilizados en una
empresa, sean individuales, compartidos y/o de redes, así como a sus instalaciones,
telecomunicaciones, mobiliario, equipos periféricos y demás componentes.”
El propósito fundamental es evaluar el uso adecuado de los sistemas para el correcto
ingreso de los datos, el procesamiento adecuado de la información y la emisión
oportuna de sus resultados en la institución.
Este propósito incluye la evaluación en el cumplimiento de las funciones de
funcionarios, empleados y usuarios involucrados con los servicios que proporcionan los
sistemas computacionales a la empresa.
Instrumentos de recopilación de datos aplicables en la auditoría de sistemas:
Entrevistas, Encuestas, Observación, Inventarios, Muestreo y Experimentación
Técnicas de evaluación aplicables en la auditoría de sistemas:
Examen – Matriz, Inspección, Confirmación, Comparación y Revisión documental
Técnicas especiales para la auditoría de sistemas computacionales:
Guías de evaluación, Ponderación, Simulación, Diagrama del círculo de sistemas,
Diagramas de sistemas, Matriz de evaluación, Seguimiento de programación

Objetivos de la Auditoria
1. Realizar una evaluación con personal multidisciplinario y capacitado en el área
de sistemas, con el fin de emitir un dictamen independiente sobre la
razonabilidad de las operaciones del sistema y la gestión administrativa del área
de informática.
2. Hacer una evaluación sobre el uso de los recursos financieros en las áreas del
centro de información, así como del aprovechamiento del sistema
computacional, sus equipos periféricos e instalaciones.
3. Evaluar el uso y aprovechamiento de los equipos de cómputo, sus periféricos,
las instalaciones y mobiliario del centro de cómputo, así como el uso de sus re-
cursos técnicos y materiales para el procesamiento y evaluación de información.
 4. Evaluar el aprovechamiento de los sistemas de procesamiento, sus sistemas
operativos, los lenguajes, programas y paqueterías de aplicación y desarrollo, así
como el desarrollo e instalación de nuevos sistemas.
5. Evaluar el cumplimiento de planes, programas, estándares, políticas, normas y
lineamientos que regulan las funciones y actividades de las áreas y de los
sistemas de procesamiento de información, así como de su personal y de los
usuarios del centro de información.
6. Realizar la evaluación de las áreas, actividades y funciones de una empresa,
contando con el apoyo de los sistemas computacionales, de los programas
especiales para auditoría y de la paquetería que sirve de soporte para el
desarrollo de auditorías por medio de la computadora.

Alcance de la Auditoria
El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse
la auditoria informática
El alcance ha de figurar expresamente en el Informe Final, de modo que quede
perfectamente determinado hasta que puntos se ha llegado y cuales materias fronterizas
han sido omitidas.
Tipos de Auditoria
Auditorías por su lugar de aplicación: Auditoría interna y externa
Auditorías por su área de aplicación: Auditoría financiera, administrativa,
operacional, integral, gubernamental, Auditoría de sistemas.
Auditoría de sistemas computacionales: Auditoría a la gestión informática, Auditoría al
sistema de cómputo, Auditoría de la seguridad de sistemas computacionales, Auditoría a
los sistemas de redes, Auditoría integral a los centros de cómputo,Auditoría a la base de
datos.
Auditoria Interna
Realizar una evaluación independiente dentro de la institución donde se trabaja,
contando con un mayor entendimiento de sus actividades y operaciones.
Evaluar internamente el cumplimiento de los planes, programas, políticas, normas y
lineamientos que regulan la actuación de cada uno de los integrantes de una institución
Auditoria externa
La auditoría externa es aquella que se realiza con personal totalmente ajeno a la empresa
auditada, con libertad absoluta de actuación.
Realiza una evaluación, de manera independiente, con el fin emitir un dictamen externo
sobre la razonabilidad de sus actividades, operaciones y resultados.
Evalúa el cumplimiento de los planes, programas, políticas, normas y lineamientos que
regulan las funciones de una institución.

Áreas de evaluación de la auditoria

1. Área de Seguridad Física y Lógica
2. Área de Planificación
3. Área de la Organización y Gestión de Centro de Procesamiento de Datos
4. Área de explotación
5. Área del entorno Hardware/Software

Seguridad Física: adecuación de instalaciones

Seguridad Lógica: salvaguarda de acreditación de usuarios, secreto de archivos y
transacciones

Área de planificación
- Conocer y evaluar los planes del CPD y su nivel de integración con la empresa
- Revisión de planes informáticos y desarrollo de software
- Evaluar el nivel de participación y compromiso de directivos en la elaboración
de los planes

Área de la organización
- Analizar que el responsable del Centro de Procesamiento de Datos organiza, dirige y
controla los recursos del mismo.

Área de la explotación
- Examinar los procedimientos seguidos en el Centro de Procesamiento de Datos en su
operatividad diaria.

Área del hardware y software

Garantizar un eficiente funcionamiento y utilidad del ordenador garantizando su
continuidad en el tiempo.
El objetivo final de una auditoría de sistemas bien implementada es desarrollar software
capaz de estar ejerciendo un control continuo de las operaciones del área de
procesamiento de datos para la emisión oportuna de información.

Proceso de auditoría de sistemas

• TOMA DE CONTACTO: momento en que la organización se da cuenta de su
necesidad de auditoría y procede a llamar al auditor.
• PLANIFICACIÓN DE LA OPERACIÓN: determina los objetivos, las fechas,
ámbitos de estudios y posibles problemas, inventario de puntos a estudiar,
• DESARROLLO DE LA AUDITORÍA: Su objetivo es buscar evidencias que
puedan conducir a conclusiones certeras en el diagnóstico.
• SÍNTESIS Y DIAGNÓSTICO:
• “FODA” Fortalezas y Oportunidades
• Debilidades y Amenaza
• PRESENTACIÓN DE INFORME DE AUDITORÍA
• Presentar informe a partir del formato establecido, con las conclusiones
de su evaluación.
• REDACCIÓN DEL PLAN MEJORA
• Incluir: Motivo de las fallas, corrección inmediata, acciones de mejora y
fechas de cumplimiento

Perfil de un auditor de SI
• Conocimientos técnicos de informática.
• Conocimientos de auditoría, psicología, redacción de informes, dirección, etc.
• Cualidades personales: atención, equilibrio emocional, intuición profesional,
dinamismo, capacidad de escuchar, objetivo, etc.
• Punto de vista imparcial que le permita obrar objetiva y justamente.
• El Auditor no sólo debe ser independiente, sino también guardar las apariencias.
• El Auditor y la dirección deben evaluar continuamente la independencia.
(interno)
• El trabajo e informe del Auditor deben representar grandes responsabilidades
profesionales, lo que ejemplifica la integridad y la objetividad.
PLANIFICACIÓN DE LA AUDITORÍA
Identificar el Alcance de la Actuación
 Que se quiere comprobar
 Que se pretende demostrar
 Que se va a informar
Obtención de Información Preliminar
 Actividad llevada a cabo por el área a auditar
 Esquema de control interno (políticas, normas, etc.)
 Estándares de referencia
 Informes anteriores
 Familiarizarse con el entorno tecnológico a auditar
Conocimiento del Plan de Auditoría
• Socialización del Plan de Auditoria
• Preparación del área a auditar
• Evaluación previa a la Auditoria
Metodología de la Auditoría
 Una metodología de auditoría es un conjunto de procedimientos documentados
de auditoría, diseñados para alcanzar los objetivos de la auditoría.
 La metodología de la auditoría debe ser aprobada por la gerencia de auditoría, y
debe ser comunicada a todo el personal de auditoría.
Fases de Auditoría Descripción

Sujeto de la auditoría Identificar el área que será auditada

Objetivo de la auditoría Identificar el propósito de la auditoría. Por ejemplo, un

objetivo podría ser que los cambios al código fuente de los
programas se realicen en un ambiente bien definido y
controlado.

Alcance de la auditoría Identificar los sistemas específicos, la función o la unidad

de la organización a ser incluida en la revisión. Por
ejemplo, en el ejemplo de los cambios a un programa, la
declaración de alcance podría limitar la revisión a un solo
sistema de aplicación.

Planeación de auditoría • Identificar las habilidades y recursos técnicos que se

necesitan.
• Identificar las fuentes de información, tales como
organigramas funcionales, políticas, estándares,
procedimientos y documentos de trabajo de auditorías
previas.
• Identificar la ubicación o las instalaciones que serán
auditadas.

Procedimientos de • Identificar y seleccionar el método de auditoría para

auditoría y pasos para verificar y probar los controles.
la recopilación de datos • Identificar una lista de personas a entrevistar
• Identificar y obtener políticas, estándares, y directrices
de los departamentos para su revisión.
• Desarrollar herramientas y metodologías de auditoría
para verificar y comprobar los controles.

Procedimientos para Específica de la organización

evaluar la prueba o
revisar los resultados

Procedimientos de Específica de la organización

comunicación con la
gerencia
Elaboración del • Identificar los procedimientos de la revisión de
informe de auditoría seguimiento
• Identificar los procedimientos para evaluar/probar la
eficiencia y efectividad operativa.
• Identificar los procedimientos para probar los controles.
• Revisar y evaluar la corrección de los documentos, las
políticas y los procedimientos.

 Proceso de recolección y evaluación de evidencia para determinar si los SI y

los recursos relacionados:
• salvaguardan adecuadamente los activos,
• mantienen la integridad de los datos y del sistema,
• proveen información relevante y confiable,
• alcanzan efectivamente los objetivos organizacionales,
• consumen los recursos eficientemente, y
• cuentan con controles internos que provean una seguridad
razonable de que los objetivos operacionales y de control serán
satisfechos y de que los eventos no deseados serán prevenidos o
detectados y corregidos de manera oportuna

CRITERIO DE EVIDENCIA SI - NO

Los Sistemas salvaguardan adecuadamente los activos,

Los recursos técnicos mantienen la integridad de los datos y del sistema

Los sistemas proveen información relevante y confiable

Los sistemas alcanzan efectivamente los objetivos organizacionales

Los sistemas consumen los recursos eficientemente

Los sistemas cuentan con controles internos que provean una seguridad
razonable de que los objetivos operacionales y de control serán satisfechos.
 Los sistemas cuentan con controles de que los eventos no deseados serán
prevenidos o detectados y corregidos de manera oportuna

 Procedimientos generales de auditoría

 Entendimiento del área u objeto a auditar
 Valoración de riesgos y plan general de auditoría
 Planeación detallada de la auditoría
 Revisión preliminar del área u objeto a auditar
 Evaluación del área u objeto a auditar
 Pruebas de cumplimiento
 Pruebas sustantivas
 Reporte (comunicación de resultados)
 Seguimiento
 Fases Típicas de una Auditoría
Identificar
 El área a auditar
 El propósito de la auditoría
 Los sistemas específicos, funciones o unidades de la organización a ser
incluidas en la revisión.
 Las habilidades técnicas y recursos necesarios
 Las fuentes de información para pruebas o revisión tales como diagramas
de flujo funcionales, políticas, estándares, procedimientos y papeles de
trabajo de auditorías anteriores.
 Ubicación de las instalaciones a auditar.
 Selección del enfoque de auditoría para verificar y probar los controles
 Lista de personas a entrevistar
 Obtener políticas departamentales, estándares y guías para revisión
 Procedimientos para revisiones de seguimiento
 Procedimientos para evaluar/probar la eficiencia y efectividad
operacional
  Procedimientos para probar controles
 Fases Típicas de una Auditoría
Desarrollar
 Herramientas y metodología de auditoría para probar y verificar el
control
 Procedimientos para evaluar los resultados de las pruebas o revisiones
 Procedimientos de comunicación con la gerencia
Revisar y evaluar la solidez de los documentos, políticas y procedimientos

 Evidencia
 Es un requerimiento que las conclusiones del auditor deben basarse en
evidencia suficiente y competente
• Independencia del proveedor de la evidencia
• Calificación de la persona que provee la información o
evidencia
• Objetividad de la evidencia
• Oportunidad de la evidencia
 Técnicas para obtener evidencia:
 Revisar las estructuras organizacionales de SI
 Revisar las políticas, procedimientos y estándares de SI
 Revisar documentación de SI
 Entrevistar al personal apropiado
 Observar el desempeño de los procesos y de los empleados
• Funciones Reales
• Procesos/Procedimientos Reales
• Concientización sobre Seguridad
 Muestreo
 Enfoques generales de muestreo en auditoría:
• Muestreo estadístico:
 Es un enfoque objetivo para determinar el tamaño y los
criterios de selección de la muestra. Usa las leyes de las
probabilidades para: calcular el tamaño de la muestra,
 seleccionar los objetos de la muestra, y evaluar los
resultados de la muestra y hacer inferencias.
 Para que una muestra sea estadística, cada elemento de la
población debe tener igual probabilidad de ser
seleccionado.
• Muestreo no-estadístico
 El método de muestreo, el número de elementos que serán
examinados en una población (tamaño de una muestra), y
cuales elementos seleccionar son determinados en base al
juicio del auditor.
 Tanto el muestreo estadístico como el no-estadístico exigen que el auditor utilice
su propio juicio al definir características del muestreo, y por lo tanto sufren del
riesgo de que el auditor llegue a una conclusión errónea a partir de la muestra
(riesgo de muestreo).
 Pasos claves en la selección de la muestra
 Determinar los objetivos de la prueba
 Definir la población a ser muestreada
 Determinar el método de muestreo
 Calcular el tamaño de la muestra
 Seleccionar la muestra
 Evaluar la muestra desde una perspectiva de auditoría.
 Técnicas de auditoría asistidas por computador
 Las herramientas CAAT (Computer Assisted Audit Tools and
Techniques ) son muy importantes para los auditores de SI en la
recolección independiente de información
 Utilización de técnicas CAAT
 Generador de datos de prueba: para preparar un lote de prueba para
verificar la lógica de los programas de aplicación
 Sistemas expertos: aplicaciones desarrolladas a fin de contener una base
de conocimiento experto y lógica provista por expertos en determinado
campo
 Paquetes de biblioteca de software: para verificar la integridad y
corrección de cambios a programas
 Utilización de técnicas CAAT
• Instalaciones de prueba integradas: consiste en crear entidades
en un sistema de aplicación y procesar datos de prueba o
 producción sobre la entidad a fin de verificar la exactitud de
procesamiento.
• Instantánea: consiste en tomar fotografías de una transacción a
medida que recorre el sistema computadorizado
• Archivo de revisión de auditoría de control del sistema:
consiste en integrar módulos de auditoría en un sistema de
aplicación para realizar un monitoreo continuo de las
transacciones del sistema.
• Software especializado de auditoría: para que el auditor realice
diversa tareas tales como muestreo y comparaciones.
 Ventajas de las técnicas CAAT:
 Reducen el nivel de riesgo de auditoría
 Mayor independiencia respecto del auditado
 Cobertura más amplia y coherente de la auditoría
 Mayor disponibilidad de información
 Mejor identificación de excepciones
 Mayor flexibilidad de tiempos de ejecución
 Mayores oportunidades de cuantificar las debilidades de control interno
 Mejor muestreo
 Ahorro de tiempo con el transcurso del tiempo
 El auditor debe sopesar los costos y beneficios de las técnicas CAAT. Ha de
tener en cuenta:
 Facilidad de utilización
 Requisitos de capacitación
 Compliejidad de codificación y mantenimiento
 Flexibilidad de uso
 Requisitos de instalación
 Eficiencia de procesamiento
 Esfuerzo que se requiere para llevar al información fuente al CAAT para
su auditoría
 Evaluación de fortalezas y debilidades de auditoría
 Luego de desarrollar un programa de auditoría y recopilar la evidencia de
auditoría, el siguiente paso es evaluar la información recopilada a fin de
desarrollar una opinión de auditoría.
  Lo anterior le exige al auditor de sistemas que tenga en cuenta una serie
de fortalezas y debilidades y que luego desarrolle opiniones y
recomendaciones de auditoría.
 Evaluación de requerimientos de control
 El auditor debe evaluar los resultados de la evidencia recopilada para el
cumplimiento de los requerimientos de control.
 A menudo se utiliza una matriz de control para evaluar el nivel correcto
de controles. Sobre el eje vertical se colocan los tipos conocidos de
errores que pueden presentarse en el área y en el eje horizontal los
controles conocidos para detectar o corregir errores.
 Utilizando un método de ranking se llena la matriz con las medidas
correctas.
 Una vez completada, la matriz muestra las áreas en las que los controles
son débiles o inexistentes.
 Matriz de Evaluación de requerimientos de control
 SISTEMA: __________________________
 AREA/OPCIÓN: _________________________

<Control <Control 2> <Control 3> <Control 4> <Control 5>

1>

<Desc. Error
1>

<Desc. Error
2>

<Desc. Error
3>

<Desc. Error
4>

<Desc. Error
5>

<Desc. Error
6>
EJEMPLO:
SISTEMA: Sistema Integrado Académico
AREA/OPCIÓN: Mantenimiento de Notas

ERRORES / Validación TRACE Pruebas de Verificación

Datos Consistencia de
entrada Datos Existencias
CONTROLES

Duplicidad 7
Estudiante

Generación 8
incorrecta de
promedio

Inexistencia de 7 7 8 8
Usuarios

Seguridad de 8 8
Datos
Tipos de Metodologías
En la actualidad existen tres tipos de metodologías de auditoría informática:
1. R.O.A. (RISK ORIENTED APPROACH- Enfoque Orientado a Riesgos),
diseñada por Arthur Andersen.
2. CHECKLIST o customaries.
3. AUDITORIA DE PRODUCTOS (por ejemplo, Red Local Windows NT;
sistemas de Gestión de base de Datos DB2; paquete de seguridad RACF, etc.).

R.O.A
• Enfoque Orientado a RIESGO
• Esta evaluación de riesgos se desarrolla sobre determinadas áreas de
aplicación y bajo técnicas de cuestionarios adaptados a cada entorno
especifico; deberá tenerse en cuenta que determinados controles se
repetirían en diversas áreas de riesgo.
• FASES DE LA EVALUACIÓN

Riesgo en la continuidad del proceso

•
Son aquellos riesgos de situaciones que pudieran afectar a la realización o
ejecución del trabajo informático o incluso que pudieran llegar a paralizarlo, y
por ende, llegar a perjudicar gravemente a la empresa o incluso también a
paralizarla.
•
Riesgos en la eficacia del servicio informático
•
Entenderemos como eficacia del servicio la realización oportuna de los
trabajos encomendados. Así pues, los riesgos en la eficacia serán aquellos
que alteren dicha realización o que afecten a la exactitud de los resultados
ofrecidos por el servicio informático en un tiempo determinado.
• Riesgo en la eficiencia del servicio informático

Entenderemos como eficiencia del servicio la mejor forma de realizar los procesos
o trabajos, ya sea a nivel económico o técnico, pretendiendo con el análisis de
estos riesgos mejorar la calidad de servicio.
• Riesgos económicos directos
•
En cuanto a estos riesgos se analizarán aquellas posibilidades de desembolsos
 directos inadecuados, gastos varios que no deberían producirse, e incluso
aquellos gastos derivados de acciones ilegales con o sin consentimiento de la
empresa que pudieran transgredir la normativa de la empresa o las leyes
vigentes.
• Riesgos de la seguridad lógica
•
Todos aquellos que posibiliten accesos no autorizados a la información
estructurada mediante técnicas informáticas o de otro tipos.
•
Riesgos de la seguridad física
•
Comprenderán todos aquellos que actúen sobre el deterioro o resguardo de
elementos de obtención de la información de una forma meramente física.

MATRIZ DE EVALUACIÓN DE RIESGOS

CATEGORÍA: Continuidad en el proceso SI OBSERVACIÓN

METODOLOGIA CHECKLIST
El auditor revisa o audita los controles con la ayuda de una lista de control (checklist)
que consta de una serie de preguntas o cuestiones a verificar.
La evaluación consiste en identificar la existencia de los controles establecidos.
Las listas de control suelen utilizarse por los auditores, algunas por auditores con
menor experiencia, como una guía de referencia, para asegurar que se han
revisado todos los controles
En nuestro caso particular se ha dividido la lista de control en los siguientes apartados:
Conocimiento del sistema:
• Inventario
• Software
• Planes de contingencia
• Seguridad

CONOCIMIENTO DEL SISTEMA: INVENTARIO SI NO N/A

¿Hay un inventario en la compañía de Sistemas, Hardware y

Datos?

¿Ha hecho revisar el inventario por un especialista (auditor,

consultor, experto en informática...) externo a la empresa?

¿Se sabe quiénes son los propietarios de los elementos del

inventario?

¿Se sabe quiénes son los usuarios de los elementos del

inventario?

¿Existe un criterio para valorar cuáles son los elementos críticos

del inventario?

¿Se distingue en ese criterio entre: Riesgos para el negocio,

riesgos para el servicio prestado a los clientes y riesgo de
parálisis de la gestión de la Compañía?

¿Han validado ese criterio los jefes de Gestión de la Empresa y

los jefes de Informática?

¿Se ha realizado, por lo tanto, un ranking de los elementos más

críticos del inventario?

¿Al comenzar las pruebas y actualizaciones, se sigue el orden

del ranking?

CONOCIMIENTO DEL SISTEMA: SOFTWARE SI NO N/A

¿Ha tenido en cuenta las distintas versiones de los elementos

Software?
¿Es posible modificar y mejorar el código fuente de sus programas a
medida?

¿Está disponible el código fuente?

¿Se han hecho estudios coste/beneficio sobre si cambiar los sistemas

del departamento o mejorarlos?

¿ Se han hecho estudios que revelan cuál es la manera más sencilla y

menos costosa de cambiar y mejorar el sistema?

¿Ha identificado qué códigos fuente son propiedad de otras

entidades?

¿Existe un contrato de utilización con los propietarios?

¿Va a exigirles a los propietarios de dichos códigos un informe de

progresos?

¿Tiene asesoramiento legal para asegurarse de que dichos contratos

son correctos y puede exigir compensaciones económicas en caso de
incumplimiento?

¿Ha verificado en general los productos adquiridos

recientemente?(contratos de utilización, códigos fuente,...)

¿Su suministrador de software sigue el negocio?

CONOCIMIENTO DEL SISTEMA: PLANES DE

SI NO N/A
CONTINGENCIA

¿El personal de la organización sabe que tiene soporte si ocurren

problemas?

¿Existen planes de contingencia y continuidad que garanticen el

buen funcionamiento del Repositorio o Diccionario de Datos?
¿En el plan se identifican todos los riesgos y sus posibles
alternativas?

TÉCNICAS DE AUDITORIA
Las técnicas de auditoría se refieren a los métodos comúnmente usados por el
auditor para recolectar evidencia.

TECNICAS DE AUDITORIA PARA RECOLECCION DE

EVIDENCIA

ENTREVISTAS

MUESTREOS

REVISION DE DOCUMENTACION

CUESTIONARIOS

OBSERVACION FISICA

PROCEDIMIENTOS DE AUDITORIA
Los procedimientos de auditoría son el conjunto de técnicas aplicadas por el auditor
en forma secuencial; desarrolladas para:
1. Comprender la actividad o el área objeto del examen;
2. Recopilar la evidencia de auditoría;
3. Respaldar una observación o hallazgo;
4. Confirmar o discutir un hallazgo, observación o recomendación con la
administración.
Informacion • Se hará un recorrido por el área para observar su organización.
del área a
auditar.

Recopilació
• Se utilizará la técnica de Checklist para obtener los datos.
n de Datos.

Soporte de
• Se tomarán fotografías como respaldo de las evidencias encontradas.
evidencias.

Discusiones
de • Mediante un proceso en línea los auditores comunicarán los hallazgos.
hallazgos.

Recomenda
ciones • Se emitirán recomendaciones por escrito a la Dirección
.

INFORME FINAL
• El informe comienza con la fecha de comienzo de la auditoría y la fecha de
redacción del mismo. Se incluyen los nombres del equipo auditor y los
nombres de todas las personas entrevistadas, con indicación de la
jefatura, responsabilidad y puesto de trabajo que ostente.
• Definición de objetivos y alcance de la auditoría.
• Enumeración de temas considerados: Antes de tratarlos con profundidad,
se enumerarán lo más exhaustivamente posible todos los temas objeto de la
auditoría.
Para cada tema, se seguirá el siguiente orden a saber:
a) Situación actual. Cuando se trate de una revisión periódica, en la que se analiza
no solamente una situación sino además su evolu-ción en el tiempo, se
expondrá la situación prevista y la situación real.
b) Tendencias. Se tratarán de hallar parámetros que permitan esta-blecer
tendencias futuras.
c) Puntos débiles y amenazas.
d) Recomendaciones y planes de acción. Constituyen junto con la
exposición de puntos débiles, el verdadero objetivo de la
auditoría informática.
e) Redacción posterior de la Carta de Introducción o
presentación.
• Conclusiones y opiniones
– El informe de auditoría debe incluir una sección con la opinión respecto
de las observaciones de auditoría.
– Puede exponerse como que los controles o procedimientos examinados
son adecuados o no.
– El resto del informe de auditoría debe respaldar esa conclusión, y la
evidencia global recopilada durante la auditoría debe brindar un nivel
mayor de respaldo.
• Existen cuatro tipo de informes:
– Informe sin salvedades: implica una auditoría limpia en la que no se
hallan problemas materiales o declaraciones erróneas. Esta opinión
normalmente dice que los estados contables de la organización auditada
están de acuerdo con principios de contabilidad generalmente aceptados.
– Informe con salvedades: los auditores externos utilizan un informe con
salvedades para indicar que la información contable de la organización
auditada cumple con las normas de auditoría generalmente aceptadas,
salvo que por una excepción de condiciones o situaciones mencionadas
expresamente. Estas excepciones no tienen que tener una importancia
que afecte materialmente la situación patrimonial de la organización
– Opinión adversa; los auditores externos emiten una opinión adversa
cuando consideran que los estados contables de la organización auditada
están mal expuestos o significativamente no cumplen con los principios
contables generalmente aceptados.
– Renuncia de opinión: se emite tal tipo de informe cuando los auditores
externos consideran que la situación financiera de la organización
auditada es muy precaria y puede conllevar con la disolución de la
misma.
• Entrevista de finalización o salida
– La entrevista de finalización que se lleva a cabo al final de la auditoría, le
brinda al auditor los medios para discutir los hallazgos y
recomendaciones con la gerencia.
– Durante esta entrevista, puede asegurarse que los hechos que se
presentan en el informe son correctos, asegurarse de que las
recomendaciones son realistas y efectivas en términos de costos, y de no
ser así, buscar alternativas a través de la negociación con el área
auditada, y tratar de obtener fechas de implementación para las
recomendaciones sobre las que se ha llegado a un acuerdo.
• Técnicas de exposición
 – A menudo se le solicita al auditor de sistemas que exponga los resultados
de las tareas de auditoría a diversos niveles gerenciales. Las técnicas de
exposición incluyen:
• Resumen ejecutivo: es un informe de fácil lectura,
gramaticalmente correcto y breve que presenta los hallazgos a la
gerencia en forma comprensible. Los anexos pueden ser de
naturaleza técnica ya que la gerencia operativa necesitará los
detalles para corregir las situaciones informadas
• Presentaciones visuales: pueden incluir transparencias,
diapositivas o gráficos
• 2.30 Seguridad de la información. Preservación de la confidencialidad,
integridad y disponibilidad de la información
• 2.13 Confidencialidad. Propiedad de que la información no este disponible o no
sea divulgada a personas, entidades o procesos no autorizados.
• 2.36 Integridad. La propiedad de proteger la precisión y lo completo de los
activos.
• 2.10 Disponibilidad. Propiedad de estar disponible y utilizable en el momento
que sea requerido por una entidad autorizada.
RIESGO
2.61 Riesgo. efecto de incertidumbre sobre los objetivos.
2.62 Aceptación del riesgo. decisión de aceptar un riesgo.
2.63 Análisis del riesgo. Proceso para comprender la naturaleza del riesgo y determinar
el nivel del riesgo
2.39 Nivel de Riesgo. magnitud de un riesgo(2.61) expresado de una combinación de
consecuencias(2.15) y sus probabilidades(2.4)
Que trabajamos en la seguridad
• Amenazas.
Vulnerabilidades
Estructura de la norma 27000 – 27001
1. Alcance
2. Referencias normativas
3. Términos y definiciones
4. Sistema de gestión de la seguridad de la información.
5. Responsabilidad de la dirección.
6. Auditorias internas SGSI.
 7. Revisión del SGSI por la dirección.
8. Mejora continua.
Correspondencia entre ISO 9001:2008, ISO 14001:2004 y esta norma.

Nivel I Nivel 1 manual de seguridad

Nivel II Nivel 2 procedimientos

Nivel III Nivel 3 Instrucciones de trabajo

Nivel 4 Registros
Nivel IV