Grupo #05

Sustentantes
1. Yokayra Andreina Vizcaíno 14- mism-1-051
2. Cesar Ismael Tavarez Selmo 15-sist-1-015

Tema
INTRODUCCION A LA AUDITORIA DE
SISTEMAS
Prof.
José Luis Meran Hernández
  Concepto de auditoria:
La actividad de auditar consiste en realizar un examen de los procesos y de la actividad
económica de una organización para confirmar si se ajustan a lo fijado por las leyes o los
buenos criterios. Por lo general, el término se refiere a la auditoría contable, que consiste en
examinar las cuentas de una entidad.

 Concepto de Informática:
Conjunto de conocimientos técnicos que se ocupan del tratamiento automático de la
información por medio de computadoras.

 Tipos de auditoría:
Auditoria fiscal.
Auditoria contable ( de estados financieros )
Auditoria interna.
Auditoria externa.
Auditoria operacional.
Auditoria administrativa.
Auditoria integral.
Auditoria gubernamental.

 El concepto de Auditoría Informática: se podría definir como: el

conjunto de procedimientos y técnicas para evaluar y controlar un sistema

informático con el fin de constatar si sus actividades son correctas conforme a las
normativas generales prefijadas en la organización, así como con el cumplimiento
estricto de la ley al efecto.

 La auditoría Informática: es un proceso llevado a cabo por profesionales

especialmente capacitados para el efecto, y que consiste en recoger, agrupar y
evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo
empresarial, mantiene la integridad de los datos ya que esta lleva a cabo eficazmente
los fines de la organización, utiliza eficientemente los recursos, cumple con las leyes y
regulaciones establecidas.
  Auditoria de base de datos: Es el proceso que permite medir, asegurar,
demostrar, monitorear y registrar los accesos a la información almacenada en las
bases de datos incluyendo la capacidad de determinar:
– Quién accede a los datos.
– Cuándo se accedió a los datos.
– Desde qué tipo de dispositivo/aplicación.
– Desde que ubicación en la Red.
– Cuál fue la sentencia SQL ejecutada.
– Cuál fue el efecto del acceso a la base de datos.

 Auditoría de Aplicaciones

Es la revisión que se dirige a evaluar los métodos y procedimientos de uso de

aplicaciones o sistemas de información en una entidad, con el propósito de determinar si
su diseño y aplicación son correctos y comprobar el sistema de procesamiento de
información como parte de la evaluación de control interno; con el fin de identificar
aspectos susceptibles para mejorar o eliminarse. Las aplicaciones o sistemas de
información son uno de los productos finales que genera la infraestructura de la
Tecnología Informática en las organizaciones y por ende son el aspecto de mayor
visibilidad desde la perspectiva de negocio. La importancia de una auditoría de
aplicaciones radica en el control, eficiencia y eficacia de los sistemas informáticos.

En el terreno de una aplicación informática, el control interno se materializa

fundamentalmente en controles de dos tipos:

Controles manuales: a realizar normalmente por parte de personal del área usuaria.
Controles automáticos: Incorporados a los programas de la aplicación.

Controles que, según su finalidad, se suelen clasificar en:

Controles preventivos: Tratan de ayudar a evitar la producción de errores a base de
exigir el ajuste de los datos.

Controles detectivos: Tratan de descubrir a posteriores errores que no haya sido

posible evitar.

Controles correctivos: Tratan de asegurar que se subsanen todos los errores

identificados mediantes controles detectivos.

 Auditoria desarrollo: La función de Desarrollo es una evolución del

llamado Análisis y Programación de Sistemas y Aplicaciones. A su vez, engloba muchas

áreas, tantas como sectores tenga una empresa y deseen ser informatizados.

El desarrollo de un software debe estar sometido a un exhaustivo control de cada una de sus
fases, ya que en caso contrario, además del habitual disparo de los costes, podría producirse
una total insatisfacción del usuario si finalmente no cumple las funcionalidades necesarias así
como la ergonomía de los interfaces de la misma. Además, la auditoría deberá comprobar la
seguridad del software desarrollado al objeto de garantizar que el resultado de su ejecución
sea exactamente el previsto, y que no interfiere con el resto de aplicaciones de la empresa.
  Auditoria ofimática: Se entiende por ofimática como el sistema

informatizado que genera, procesa, almacena, recupera, comunica y presenta datos

relacionados con el funcionamiento de la oficina. Nace en la pasada década y sus
primeras aplicaciones se desarrollaron sobre los computadores. Su evolución ha
condicionado el desarrollo de los sistemas ofimáticos actuales.

 Auditoria de redes: son una serie de mecanismo mediante los cuales se

prueba una red informática, evaluando su desempeño y seguridad, logrando una

utilización más eficiente y segura de la información.

 Auditoria de aplicación: Una de las funciones de la Auditoria de Sistemas

es realizar una revisión a las aplicaciones que se encuentran en funcionamiento en la

empresa, pues son estas las que están expuestas a riesgos por mal manejo de las
mismas, errores y omisiones involuntarios o intencionados y fallas en cualquier
elemento que interviene en el proceso informática: software, hardware y transmisión
de datos.

El objetivo de la auditoria a aplicaciones en funcionamiento, es evaluar la efectividad de los

controles existentes y sugerir nuevos controles, de tal forma que se pueda minimizar los
riesgos y fortalecer el control de dichas aplicaciones.

 Auditoria de mantenimiento: Cuando la dirección de una empresa o el

responsable del departamento se plantea si la gestión que se hace del mantenimiento

es la adecuada, la respuesta puede ser SI, NO o REGULAR. Claro está que cualquiera
de las tres respuestas es insatisfactoria, porque entre cada una de ellas hay muchos
puntos intermedios de respuesta, y porque no informa sobre qué cosas habría que
cambiar para que la gestión del departamento pudiera considerarse excelente. La
mejor solución cuando quiere conocerse si la gestión que se realiza es la mejor
posible suele ser realizar una auditoría de de gestión de mantenimiento, comparando
la situación actual con un departamento modélico, ideal, y determinar qué cosas
separan la realidad de ese modelo.

 Auditoria de calidad: Una aditoría de calidad es una evaluación en la que se

comprueba que los procesos que se llevan a cabo dentro de una empresa, ya sean
productivos, servicios, etc, están conforme a los objetivos del Sistema de Gestión de
 Calidad (SGC). Las auditorias de calidad aportan a la empresa confianza en el manual
de calidad con el que se trabaja.

Es de mencionar que las auditorias son merecedoras del reconcomiendo de, en este caso, la
Organización Internacional de Normalización (ISO). Es por ello que este proceso se centra
como uno de los requisitos indispensables a la hora de optar la certificación de la norma ISO
9001.

 Auditoria de seguridad: Una Auditoría de Seguridad Informática, por

definición, es el estudio que comprende el análisis y gestión de los sistemas

informáticos de una empresa, llevado a cabo por profesionales para identificar,
enumerar y posteriormente describir las diversas vulnerabilidades que pudieran
presentarse en el funcionamiento rutinario de los Servidores, Puestos de Trabajo,
Seguridad en el Acceso Remoto y Redes del parque informático de dicha empresa.

 Responsabilidades de los Auditores y Regulaciones: La

responsabilidad primaria de prevención y detección de fraudes y errores es de los

encargados de la gestión y dirección de la entidad. Las responsabilidades respectivas
de los encargados de la gestión y dirección pueden variar, según la entidad, así como
de país a país. Debido al descuido de los encargados de su gestión, la dirección, ,debe
establecer el tono adecuado, crear y mantener una cultura de honradez y una ética
elevada, así como establecer controles adecuados que prevengan y detecten los
fraudes y errores dentro de la entidad.

Es responsabilidad de los encargados de gestionar la entidad el asegurarse, mediante la

supervisión de la dirección, de la integridad de los sistemas de contabilidad y de información
financiera de la entidad, así como que estén implantados sistemas de control adecuados, que
incluyan los dirigidos a controlar el riesgo, el control financiero y el cumplimiento de la ley.

 Código Deontológico de la Función de Auditoria: CÓDIGO

DEONTOLÓGICO Es un conjunto de preceptos que establecen los derechos exigibles a

aquellos profesionales que ejerciten una determinada actividad. Incidir en sus
comportamientos profesionales estimulando que estos se ajusten a determinados
principios morales que deben servirles de guía.
  Criterios a seguir para la composición del equipo auditor
Fases de la Auditoria:
Antes de comenzar el proceso, se realiza un análisis general de la organización que será
auditada. De esa manera, el equipo de auditoría puede tener una mejor comprensión de cómo
funcionan los procesos y cuáles son los objetivos de la entidad.

En este punto deben tenerse en cuenta los siguientes aspectos:

Marco jurídico: este es el contexto legal que regula a la empresa, su actuación y la forma en la
que se asocia con otras organizaciones.

Regulación interna: aquí se incluye la información que ha generado la propia entidad como
mecanismo de autorregulación. Por ejemplo, los reglamentos, los acuerdos, las actas de junta
directiva, resoluciones, etc.

Estructura organizacional: son todos los elementos que ayudan a alinear todos los niveles de la
organización, como ideas rectoras, misión, principios, valores, objetivos, metas, procesos,
métodos, tecnología, finanzas, etc.

 Elaboración del Plan de Auditoria: La importancia de saber cómo

preparar y ejecutar un Plan de Auditoría Interna de Calidad según ISO 9001 ayuda a las
organizaciones a poder llevar a cabo diversos objetivos y tareas planificadas a través
del Sistema de Gestión de Calidad (SGC).

Un Plan de Auditoría es elaborado por el responsable o líder de la realización de las auditorías.

Dicha elaboración es consensuada de acuerdo con el auditado y establece una guía de los
horarios y de las necesidades existentes de coordinación entre todas las partes que
intervienen.

Todo Plan de Auditoría tiene una serie de características que condicionan cómo se conforma
dicho Plan: el tipo de auditoría, el alcance y la complejidad.
La naturaleza del Plan es dinámica, lo cual significa que no se trata de un documento estático e
inamovible, sino que debe evolucionar acorde a las necesidades y el contexto que una
organización esté experimentando.

Antes de empezar la ejecución del Plan, todas las partes que intervienen deben conocer el
documento y deben de ser avisados de cualquier cambio que se quiera realizar, ya que se debe
llegar a un acuerdo por todas las partes para poder producirse el mismo.

 El Plan de Auditoría está compuesto por los siguientes

elementos:

Objetivos de la auditoría.
Documentos y criterios de referencia.
Alcance.
Lugares donde se realizan la auditoría.
Fechas, hora y duración de actividades.
Responsabilidades y funciones de los miembros del equipo auditor.
Recursos que se emplean.
Identificación del representante auditado.
Cualquier tipo de preparativo adicional necesario.
Otra documentación de trabajo para la auditoría: listas de verificación, planes de
muestreo y formularios de recogida de información.

 Tipos de muestreo a aplicar durante el proceso de

auditoría:
Muestreo aleatorio – la selección de los ítems de la muestra no contempla condiciones
predeterminadas y cada ítem de la población tiene la misma probabilidad de ser seleccionado
para la muestra.

Muestreo por unidades monetarias – utilizado para identificar errores monetarios en los
“sumas y saldos” de una cuenta de balance.

Muestreo estratificado – utilizado para separar la población entera en subgrupos;

habitualmente se selecciona para la revisión de una muestra aleatoria de cada subgrupo.
Muestreo por atributos – utilizado para determinar las características de una población.

Muestreo variable – utilizado para determinar el impacto económico de algunas características

de una población.

Muestreo basado en juicio– basado en el juicio profesional del auditor para centrarse y
confirmar la existencia de una condición que se intuye razonablemente.

Muestreo por descubrimiento – utilizado cuando la evidencia de un solo error o condición es

motivo de mayor escrutinio o investigación.

 Aplicación de criterios comunes para categorizar los

hallazgos como observaciones o no conformidades:
Un hallazgo de auditoría es el resultado de la evaluación de la evidencia de la auditoría
recopilada frente a los criterios de auditoría.

La verificación del cumplimiento real de la norma y del sistema, nos obliga a buscar evidencias
objetivas. Estas evidencias deben ser evaluadas siguiendo los criterios de auditoría
previamente definidos, para obtener los hallazgos.

Estos se pueden categorizar de la siguiente manera:

No conformidad: incumplimiento de un requisito, que puede ser de la propia norma o del

Sistema de Gestión de la Calidad de la organización, o delos requisitos del cliente.

Este tipo de desviación afecta a la conformidad del producto o servicio y deben ser resueltas
de manera inmediata.

Desviación: son incumplimientos como los anteriores pero que no afectan a la calidad del
producto o servicio. Se trata de fallos no sistemáticos.

Observación: se trata de un hallazgo que no incumple ningún requisito de la norma, o del que
no se tiene una evidencia objetiva

 Guía para la Elaboración del Informe de Auditoria.

1. Prepare una tapa
El trabajo del auditor debe causar buena impresión, por eso, comenzar con una tapa de calidad
es fundamental. Ella será el primer punto de contacto de la alta dirección con los resultados de
la auditoría, por eso es importante que presente informaciones como:

Título del informe

Nombre del auditor responsable
Fecha de conclusión de la auditoría
Nombre de la empresa o unidad de negocio auditada.
Template informe auditoría interna

2. Elabore una introducción

En esta sección, el auditor debe suministrar una visión general con informaciones sobre el área
y procesos auditados, qué normas están dando soporte para la realización del trabajo (Ej.: ISO
9001, ISO 14001), además de informar al lector sobre cualquier historial que pueda precisar
saber antes de leer el informe completo. Así, cualquier persona que lea el informe, podrá
entender las razones que llevaron a ser realizada la auditoría.

3. Elabore un resumen ejecutivo

El resumen ejecutivo debe presentar las conclusiones de los trabajos realizados de forma
compacta. Debe ser estructurado de la siguiente forma:

Una breve descripción de lo que fue auditado, objetivos, alcance y fecha de inicio y conclusión.

Presentar las conclusiones del auditor.

Ejemplo: Informar que el principal objetivo de la auditoría era evaluar los procesos de la
organización, para identificar el nivel de adherencia/gaps con relación a la nueva legislación. Al
final, puede informar que una de las principales conclusiones es de que la empresa precisa
adecuar las instalaciones.

4. Presente la Terminología utilizada

La próxima sección deberá presentar los términos utilizados en la elaboración del informe,
para que todos puedan comprender las informaciones presentadas.

Ejemplo: Si hubiere referencias a la ISO, es importante esclarecer que se trata de la

Organización Internacional para Estandarización.
 5. Presente el Plan de Auditoría
El plan de auditoría debe presentar al auditor líder y sus calificaciones, así como los demás
auditores que componen el equipo. Esta sección también debe describir cuáles fueron los
documentos evaluados y quiénes fueron las personas entrevistadas.

El auditor debe describir cuáles fueron las etapas seguidas en el transcurso de la auditoría (una
herramienta para mapeo de procesos puede ayudar), y cuáles son los criterios utilizados para
seleccionar los documentos evaluados y las personas entrevistadas.

6. Describa los hechos constatados

Cuando algo esté en desacuerdo con los estándares establecidos, el auditor debe tomar nota,
describiendo los hechos y las evidencias constatadas.

7. Presente las recomendaciones

Finalmente, el auditor debe concluir el informe con una sección de “Recomendaciones” de
mejora para la organización. En esta etapa, él debe considerar los siguientes aspectos:

 Ser positivo: Él debe concentrarse en lo que está sucediendo en el momento y en cómo los
aspectos positivos de la empresa pueden ser aplicados en las áreas o procesos ineficaces.
 Ser específico: El auditor debe ser muy claro y específico sobre qué aspectos no están en
conformidad con los estándares establecidos, y qué acciones deben ser implementadas para
garantizar la conformidad. Él debe dejar claro quién precisa actuar.
 Ser sucinto: El auditor debe ser breve en las recomendaciones e incluir sólo las informaciones y
detalles realmente necesarios.

 Principios generales de protección de datos de carácter

personal:
Los principios generales de la protección de datos de carácter personal, no sólo son meros
fundamentos por los que se ha de regir la elaboración, interpretación y aplicación de la
normativa sobre protección de datos, sino que se trata de un conjunto de reglas que
determinan cómo recoger, tratar y ceder los datos.

En caso de encontrarnos con lagunas o vacíos legales, nos hemos de inspirar en éstos, para
que el tratamiento de los datos sea conforme a la normativa.
En definitiva, son deberes y obligaciones a los que están sujetos los tratamientos de datos de
carácter personal.

 Leyes y Normas Internaciones (NAGAS).

Las normas de auditoría generalmente aceptadas (NAGA) son Los principios fundamentales de
auditoría a los que deben enmarcarse su desempeño los auditores durante el proceso de la
auditoria.

El cumplimiento de estas normas garantiza la calidad del trabajo profesional del auditor.

CLASIFICACIÓN DE LAS NAGAS En la actualidad las NAGAS, vigentes son 10, las mismas que
constituyen los (10) diez mandamientos para el auditor y son:

Normas Generales o Personales

1. Entrenamiento y capacidad profesional
2. Independencia
3. Cuidado o esmero profesional.

Normas de Ejecución del Trabajo

4. Planeamiento y Supervisión
5. Estudio y Evaluación del Control Interno
6. Evidencia Suficiente y Competente Normas de Preparación del Informe
7. Aplicación de los Principios de Contabilidad Generalmente Aceptados.
8. Consistencia
9. Revelación Suficiente
10.Opinión del Auditor

 DEFINICIÓN DE LAS NORMAS Estas normas por su carácter general se

aplican a todo el proceso del examen y se relacionan básicamente con la conducta

funcional del auditor como persona humana y regula los requisitos y aptitudes que
debe reunir para actuar como Auditor.