AUDITORÍA INFORMÁTICA

Mg. Ing. Jack Daniel Cáceres Meza, CSO

ISO/IEC 27001LA | ISO/IEC 27002

proyectos_tic@jagi.pe

Auditoría - Diapositivas V1.0

© COPYRIGHT 2016 JAGI S.A.C. Todos los derechos reservados. Vigente desde Febrero/2018
Este material es propiedad de JAGI S.A.C., a menos que se indique lo contrario. Está prohibida su reproducción total o parcial. Pág. 1
Revisemos, analicemos, evaluemos, resumamos, aprendamos

• http://www.iaiperu.org/index.php?option=com_remository&Itemid=78&func=download&id=120&chk=b90fe6d9b29afd993de244861a115dd5&no_html=1
• http://www.iaiperu.org/index.php?option=com_remository&Itemid=78&func=download&id=117&chk=8cdc260354c7b373d1a5b718f3f842f5&no_html=1
• http://www.iaiperu.org/index.php?option=com_remository&Itemid=78&func=download&id=116&chk=cf5155af577b09e3e4231f76d98d37ab&no_html=1
• http://www.iaiperu.org/index.php?option=com_remository&Itemid=78&func=download&id=121&chk=e6a526322ff5f10e1c62fac659d83ee7&no_html=1
• http://www.iaiperu.org/index.php?option=com_remository&Itemid=78&func=download&id=119&chk=5022e00b668db2e5bbe2e87c20ff4460&no_html=1
• http://sisbib.unmsm.edu.pe/bibvirtualdata/publicaciones/indata/Vol6_n1/pdf/auditoria.pdf
• https://e-archivo.uc3m.es/bitstream/handle/10016/22997/PFC_Jorge_Barrio_Ibanez_2014.pdf?sequence=1&isAllowed=y
• https://s3.amazonaws.com/academia.edu.documents/37981815/Auditoria_a_Primaria_Nueva_Creacion.pdf?AWSAccessKeyId=AKIAIWOWYYGZ2Y53UL3A&Expires=1536
906877&Signature=C9vxKcfeHhWKsYpnrLiuyMtjSGk%3D&response-content-
disposition=attachment%3B%20filename%3Dejemplo_de_una_auditoria_informatica_y_d.pdf
• https://www.impulsotecnologico.com/auditoria-informatica-checklist-informes-auditores-informaticos/
• https://dialnet.unirioja.es/descarga/articulo/248257.pdf

Auditoría - Diapositivas V1.0

© COPYRIGHT 2016 JAGI S.A.C. Todos los derechos reservados. Vigente desde Febrero/2018
Este material es propiedad de JAGI S.A.C., a menos que se indique lo contrario. Está prohibida su reproducción total o parcial. Pág. 2
Toda evaluación debe ser objetiva, no
subjetiva
Evaluar el grado de cumplimiento de políticas controles y procedimientos correspondientes al
uso de recursos de informática

Auditoría - Diapositivas V1.0

© COPYRIGHT 2016 JAGI S.A.C. Todos los derechos reservados. Vigente desde Febrero/2018
Este material es propiedad de JAGI S.A.C., a menos que se indique lo contrario. Está prohibida su reproducción total o parcial. Pág. 3
 CASOS

Auditoría - Diapositivas V1.0

© COPYRIGHT 2016 JAGI S.A.C. Todos los derechos reservados. Vigente desde Febrero/2018
Este material es propiedad de JAGI S.A.C., a menos que se indique lo contrario. Está prohibida su reproducción total o parcial. Pág. 4
Caso 1

En una “Empresa de Telefonía Celular” se llevó a cabo la “Auditoría de una Etapa de Implantación”, la cual es utilizada por el Director del
proyecto para evaluar el desarrollo del mismo. Un equipo de 20 programadores se ocupa de llevar a cabo la prueba de los sistemas en
desarrollo. Cada programador se ocupa, entre otras cosas, de probar aplicaciones y de emitir un informe en base a los resultados obtenidos
de la prueba. En caso de encontrar fallas, el programador informará en qué sistema existen los inconvenientes. El Analista funcional decidirá
quién resuelve las fallas encontradas. La aprobación final de una aplicación se registra en un documento.

Los resultados de una No todos las componentes cumplen las especificaciones funcionales llevadas a cabo
inspección previa
Los resultados de las pruebas no son los correctos
muestran que:
No existe un documento de conformidad de los usuarios hacia el equipo de desarrollo respecto de lo realizado hasta el
momento

La BD no cuenta con todos los objetos necesarios para la prueba de los sistemas

Como auditor, usted debe asegurar la confiabilidad de los resultados. ¿Qué evidencia necesitaría para determinar si los resultados de la
inspección son confiables, en cada caso?
Auditoría - Diapositivas V1.0
© COPYRIGHT 2016 JAGI S.A.C. Todos los derechos reservados. Vigente desde Febrero/2018
Este material es propiedad de JAGI S.A.C., a menos que se indique lo contrario. Está prohibida su reproducción total o parcial. Pág. 5
Caso 2

En un “Laboratorio de Medicamentos” se llevó a cabo la “Auditoría de la Documentación”, la cual es utilizada por

el área de Sistemas para controlar el cumplimiento del desarrollo de los sistemas.

Una auditoría realizada En las distintas etapas de desarrollo, la documentación está incompleta

previamente muestra lo Ciertos datos de los documentos no se corresponden con la realidad, es decir que la documentación no fue actualizada
siguiente:
No se especifica quién llevó a cabo la documentación

No existe un lugar o acceso directo en el que cualquier persona autorizada pueda acceder a la documentación de un
sistema determinado

No hay un formato determinado de documentación para cada etapa de desarrollo

Como auditor interno designado, ¿cuáles serían sus recomendaciones para cada punto observado?

Auditoría - Diapositivas V1.0

© COPYRIGHT 2016 JAGI S.A.C. Todos los derechos reservados. Vigente desde Febrero/2018
Este material es propiedad de JAGI S.A.C., a menos que se indique lo contrario. Está prohibida su reproducción total o parcial. Pág. 6
Caso 3

En una “Empresa Automotriz” se llevó a cabo la “Auditoría de una BPR”, la cual es utilizada por el área de Sistemas y por la
Alta Dirección para controlar el cumplimiento de este tipo de proyecto. La empresa cuenta con equipos mainframes, los
cuales serán reemplazados por servers que estarán distribuidos según las distintas áreas de la empresa. Se realizará un
nuevo planteo de todas las aplicaciones existentes.

Como resultado de la Determinados procesos de negocio de la empresa no fueron cambiados en un 100%

auditoría que acaba de
finalizar, usted observa El personal, en su totalidad, no estaba capacitado para llevar a cabo este cambio tecnológico
lo siguiente:
Sería necesario re-definir los roles y responsabilidades de todas las personas que intervienen en el proyecto

El auditor líder le ha solicitado sustentar sus conclusiones. ¿Cuál es la secuencia y el contenido de los papeles de trabajo que ha
empleado durante el desarrollo de la auditoría?

Auditoría - Diapositivas V1.0

© COPYRIGHT 2016 JAGI S.A.C. Todos los derechos reservados. Vigente desde Febrero/2018
Este material es propiedad de JAGI S.A.C., a menos que se indique lo contrario. Está prohibida su reproducción total o parcial. Pág. 7
Caso 4

En una “Empresa siderúrgica” se llevará a cabo la “Auditoría de Calidad de Software”, la cual será utilizada por el equipo del
proyecto para evaluar el software existente en la empresa. Un equipo de 12 profesionales de sistemas utilizará el modelo
ISO/IEC 25000 SQuaRE (System and Software Quality Requirements and Evaluation) para llevar a cabo la auditoría. Se
auditará la aplicación correspondiente al “Proceso de Elaboración del Acero”.

Se evaluarán los Funcionalidad (aptitud, precisión, interoperatividad, conformidad y seguridad)

siguientes aspectos: Fiabilidad (madurez, tolerante a fallos y capacidad de recuperación)

Usabilidad (comprensibilidad, facilidad de aprendizaje y operatividad)

Eficiencia (respecto al tiempo y respecto a los recursos)

Mantenibilidad (facilidad de análisis, facilidad de cambio, estabilidad y facilidad de prueba)

Portabilidad (adaptabilidad, facilidad de instalación, conformidad y capacidad de reemplazo)

Prepare un conjunto de papeles de trabajo tal que le permita de manera justificada identificar y luego registrar con el máximo detalle posible
toda la información correspondiente a cada aspecto sujeto de evaluación.
Auditoría - Diapositivas V1.0
© COPYRIGHT 2016 JAGI S.A.C. Todos los derechos reservados. Vigente desde Febrero/2018
Este material es propiedad de JAGI S.A.C., a menos que se indique lo contrario. Está prohibida su reproducción total o parcial. Pág. 8
Caso 5

Ha habido muchos casos de implementaciones fallidas de software de planificación de recursos empresariales (ERP). La
empresa que lo contrata desea que audite el estado de la implementación del ERP que ha adquirido hace dos años.

Los aspectos concretos Continuidad del negocio utilizando esta herramienta

que deberá evaluar son
Madurez de los procesos antes y después de la implementación
los siguientes:
Nivel de implementación alcanzado

Grado de utilización a la fecha

Aspectos de utilidad (qué hace) y garantía (cómo lo entrega) de los servicios que se basan en esta herramienta

Prepare el plan de trabajo completo con el cual plantea realizar esta auditoría.

Auditoría - Diapositivas V1.0

© COPYRIGHT 2016 JAGI S.A.C. Todos los derechos reservados. Vigente desde Febrero/2018
Este material es propiedad de JAGI S.A.C., a menos que se indique lo contrario. Está prohibida su reproducción total o parcial. Pág. 9
 Gracias por su atención y participación

“Quienes no conocen su “Tengo claro que la

historia están condenados vida es 10% de lo que
a repetirla” nos pasa y 90% de
MARCO TULIO CICERÓN cómo reaccionamos”
CHARLES SWINDOLL

Mg. Ing. Jack Daniel Cáceres Meza, CSO

ISO/IEC 27001LA | ISO/IEC 27002
proyectos_tic@jagi.pe
http://jagi.pe
Auditoría - Diapositivas V1.0
© COPYRIGHT 2016 JAGI S.A.C. Todos los derechos reservados. Vigente desde Febrero/2018
Este material es propiedad de JAGI S.A.C., a menos que se indique lo contrario. Está prohibida su reproducción total o parcial. Pág. 10