Instituto Universitario de Gerencia y Tecnología

IUGT- Caracas

DISEÑO DE METODOLOGIA PARA REALIZAR UNA

TRABAJO:
AUDITORIA DE SISTEMAS DE INFORMACION
ALUMNO: ILLICH ALEXANDER RADA CANELÓN
MATERIA: AUDITORIA DE SISTEMAS
CURSO: INFORMATICA
FECHA: 27/07/2019
A finales del siglo XX, los Sistemas Informáticos se han convertido en las herramientas
más poderosas para materializar uno de los conceptos más vitales y necesarios para
cualquier organización empresarial, los Sistemas de Información de la empresa.

La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las
normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a
los generales de la misma. En consecuencia, las organizaciones informáticas forman
parte de lo que se ha denominado gestión de la empresa. Cabe aclarar que la Informática
no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por
sí misma. Por ende, debido a su importancia en el funcionamiento de una empresa,
existe la Auditoría Informática.

El problema general que se evidencia en las distintas metodologías planteadas por

diversos autores y en las normas, es la aplicación de una metodología práctica en los
procesos de auditoría informática, de sistemas y aplicados a la seguridad informática y
de la información, que ha llevado a que cada auditor plantee una metodología propia y
un estándar específico sin importar los objetivos que se pretenda alcanzar en la
auditoría. Por eso, se ha planteado la siguiente pregunta: ¿la metodología propuesta
para llevar a cabo la auditoría informática y de sistemas, logrará describir las
actividades prácticas en cada fase del proceso de auditoría? La metodología está
enfocada a describir cada una de las fases o etapas de desarrollo del proceso de
auditoría, donde se incluye los conceptos de auditoría y aplicación de las técnicas e
instrumentos de recolección de información, la metodología y el proceso de análisis de
riesgos, el diseño y organización de los papeles de trabajo, el documento del plan de
auditoría, el programa de auditoría, los formatos de resultados que surgen en cada etapa
y la presentación de los resultados finales de la auditoría hasta llegar al informe final.

Auditoría en informática es “la Revisión y evaluación de los controles, sistemas,

procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y
seguridad, de la organización que participa en el procesamiento de la información, a fin
de que por medio del señalamiento de cursos alternativos se logre una utilización más
eficiente y segura de la información que servirá para una adecuada toma de decisiones”.
Se deduce que la auditoría informática es la revisión, evaluación, verificación y
confirmación de la existencia de políticas, controles, procedimientos y la seguridad en
general, correspondiente al uso de los recursos informáticos por parte del personal de
una organización con el fin de lograr el uso eficiente, eficaz, efectivo y seguro de la
información que sirva para una adecuada toma de decisiones.
“Cualquier auditoría que abarca la revisión y evaluación de todos los aspectos de los
sistemas automáticos de procesamiento de la información, incluidos los no automáticos
relacionados con ellos y las interfaces correspondientes; también se puede decir que es
el examen y evaluación de la utilización de los recursos que en ellos intervienen, para
llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas
computarizados en una empresa y presentar conclusiones y recomendaciones
encaminadas a corregir las deficiencias existentes y mejorarlas”. De acuerdo con lo
anterior, la auditoría de sistema puede aplicarse al área de informática, a los sistemas de
información informáticos o alguno de ellos específicamente que sea el que presenta
mayores dificultades
Existen algunas metodologías de Auditorías de Sistemas y todas dependen de lo que se
pretenda revisar o analizar, pero como estándar analizaremos las cuatro fases básicas
de un proceso de revisión:
• Estudio preliminar
• Revisión y evaluación de controles y seguridades
• Examen detallado de áreas criticas
• Comunicación de resultados
Estudio preliminar.- Incluye definir el grupo de trabajo, el programa de auditoría,
efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar un
cuestionario para la obtención de información para evaluar preliminarmente el control
interno, solicitud de plan de actividades, Manuales de políticas, reglamentos.
Dentro de los métodos para la recolección de datos están:
.- Entrevista
.-Encuesta
.- Cuestionario
.-Observación
.- Muestreo
.-Inventarios
.-Experimento
Revisión y evaluación de controles y seguridades.- Consiste de la revisión de los
diagramas de flujo de procesos, realización de pruebas de cumplimiento de las
seguridades, revisión de aplicaciones de las áreas criticas, Revisión de procesos
históricos (backups), Revisión de documentación y archivos, entre otras actividades.
Examen detallado de áreas criticas.- Con las fases anteriores el auditor descubre las
áreas criticas y sobre ellas hace un estudio y análisis profundo en los que definirá
concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los
motivos, objetivos, alcance Recursos que usará, definirá la metodología de trabajo, la
duración de la auditoría, Presentará el plan de trabajo y analizará detalladamente cada
problema encontrado con todo lo anteriormente analizado.
El examen provee de una clasificación e interpretación de hechos, diagnóstico de
problemas, así como los elementos para evaluar y racionalizar los efectos de un cambio.
El procedimiento de examen consta de los siguientes pasos:
Conocer el hecho que se analiza
Describir ese hecho
Descomponerlo para percibir todos sus hechos y detalles.
Revisarlo críticamente para comprender mejor cada elemento
 Ordenar cada elemento de acuerdo con el criterio de clasificación, seleccionado,
haciendo comparaciones y buscando analogías y discrepancias.
Definir las relaciones que operan entre cada elemento considerado individualmente y
en conjunto.
Identificar y explicar su comportamiento con el fin de entender las causas que lo
originaron y el camino para su atención.
Un enfoque muy eficaz para consolidar el examen consiste en adoptar una actitud
interrogativa y formular de manera sistemática seis cuestionamientos:
-¿Que trabajo se hace? Naturaleza o tipo de labores que realizan.
-¿Porque se hace? propósitos que se pretende alcanzar.
-¿Quién lo hace? Personal que interviene.
-¿Cómo se hace? Métodos y técnicas que se aplican.
-¿Con que se hace? Equipos e instrumentos que se utilizan
-¿Cuándo se hace? Estacionalidad, secuencia y tiempos requeridos.

Comunicación de resultados.- Se elaborará el borrador del informe a ser discutido con

los ejecutivos de la empresa hasta llegar al informe definitivo, el cual se presentará
esquemáticamente en forma de matriz, cuadros o redacción simple y concisa que
destaque los problemas encontrados, los efectos y las recomendaciones de la Auditoría.

El informe debe contener lo siguiente:

• Motivos de la Auditoría
• Objetivos
• Alcance
• Estructura Orgánico-Funcional del área Informática
• Configuración del Hardware y Software instalado
• Control Interno
• Resultados de la Auditoría
FASES O ETAPAS ACTIVIDADES A DESARROLLAR

1. Realizar visitas a la empresa u organización.

2. Realizar observaciones de cada uno de los procesos que se lleva a cabo.

3. Establecer los recursos de TI involucrados en el manejo de la información.

Fase de 4. Determinar las entradas y salidas de la información.

Conocimiento 5. Revisar la documentación existente.

6. Identificar las vulnerabilidades y amenazas a que está expuesta la organización.

7. Identificar los riesgos iniciales.

8. Hacer el análisis y evaluación de riesgos preliminar.

1. Identificar el origen de la auditoría.

2. Determinar el estándar que será aplicado para la auditoría.

3. Elaborar plan de auditoría: establecer los objetivos, alcances, metodología, recursos y

Fase de Planeación cronograma de actividades de la auditoría.

de la Auditoría 4. Elaborar el programa de auditoría: grupo auditor, definir responsabilidades y actividades

a desarrollar.

5. Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos

necesarios para la auditoría.

6. Diseñar los papeles de trabajo: entrevistas, listas de chequeo, cuestionarios, otros.

7. Elaborar el plan de pruebas de análisis y ejecución.

1. Realizar las acciones programadas para la auditoría.

2. Aplicar los instrumentos diseñados para la auditoría.

Fase de Ejecución 3. Aplicar las pruebas diseñadas.

de la Auditoría 4. Aplicar el proceso de análisis y evaluación de riesgos aplicando una metodología.

5. Elaborar la matriz de riesgos.

6. Identificar los controles definidos para cada dominio y proceso.

7. Elaborar los formatos de hallazgos: identificar proceso, describir riesgos, identificar las

causas, identificar los recursos afectados, identificar posibles soluciones en el contexto.

1. Definir tratamiento de los riesgos.

2. Determinar los controles y tipos de control: preventivos, detectivos, correctivos,

recuperación.

Fase de Resultados 3. Elaborar el Dictamen de la auditoría para cada dominio y procesos evaluado.

de la Auditoría 8. Elaborar el informe preliminar y presentarlo a discusión.

9. Elaborar el informe final de auditoría.

4. Integrar el legajo de papeles de trabajo de la auditoría.

5. Presentar el informe final de Auditoría y documentación.

Referencias bibliograficas:
https://www.mindmeister.com/es/1052753254/metodolog-a-para-realizar-auditor-as
-de-sistemas-computacionalesç
http://auditordesistemas.blogspot.com/2011/11/metodologia-para-realizar-auditoria.
html

“Metodología de la Investigación"
Autores: Roberto Hernández Sampieri, Carlos Fernández Collado y Pilar Baptista Lucio
Editoria MCGRAW-HILL