AUDITORIA Y CONTROL DE SISTEMAS DE INFORMACION

EXAMEN DE MESA EXAMINADORA

AUDITORIA DE SISTEMAS

AUDITORIA INFORMÁTICA

Conjunto de procedimientos y técnicas para evaluar y controlar, total o parcialmente, un sistema

informático, con el fin de proteger sus activos y recursos, verificar si sus actividades se desarrollan
eficientemente y de acuerdo con la normativa informática y general existentes en cada empresa y
para conseguir la eficacia exigida en el marco de la organización correspondiente. En si la auditoría
informática tiene 2 tipos las cuales son:
AUDITORIA INTERNA: Es aquella que se hace desde dentro de la empresa; sin contratar a
personas ajenas, en el cual los empleados realizan esta auditoría trabajan ya sea para la empresa
que fueron contratados o simplemente algún afiliado a esta.
AUDITORIA EXTERNA: Como su nombre lo dice es aquella en la cual la empresa contrata a
personas de afuera para que haga la auditoría en su empresa.

LA FUNCIÓN DE LA AUDITORIA EN LA ORGANIZACIÓN

Áreas De La Planificación De La Auditoría

Las empresas acuden a las auditorias cuando existen algunos síntomas bien perceptibles de
debilidad. Estos síntomas pueden agruparse en algunas clases:
 Síntomas De Descoordinación Y Desorganización
 No coinciden los objetivos de la informática de la compañía
 Los estándares de productividad se desvían sencillamente de los promedios
habituales.
 Síntomas De Mala Imagen O Insatisfacción De Los Usuarios
 No se atienden a las peticiones de cambio de los usuarios
 No se reparan las averías de HARDWARE ni se resuelven problemas en plazos
razonables
 No se cumplen los plazos de entregas de resultados
 Síntomas De Debilidades Económico – Financiero
 Incremento desmesurado de costos
 Necesidad de justificación de inversiones informáticas
 Desviaciones presupuestarias significativas
 Costos y plazos nuevos para proyectos
 Síntomas De Inseguridad (Evaluación Del Nivel De Riesgo)
 Seguridad lógica
 Seguridad física
 Confidencialidad. - Los datos son de propiedad de la organización que nos genera,
los datos de personal son especialmente confidenciales.
 Continuidad del servicio.
TIPOS Y CLASES DE AUDITORIA

a) Auditoria Informática de Explotación: La explotación informática se ocupa de producir

resultados informáticos de todo tipo: listados impresos, archivos magnéticos para otros
informáticos, ordenes automatizadas para lanzar o modificar procesos industriales, etc.
b) Auditoria Informática de Sistemas: Se ocupa de analizar la actividad que se conoce como
técnica de sistemas, en todos sus factores.
c) Auditoria Informática de Comunicaciones: Este tipo de auditoria deberá inquirir o actuar
sobre los índices de utilización de las líneas contratadas con información sobre tiempos de
uso y de no uso, deberá conocer la topología de la red de comunicaciones, ya sea la actual
o la desactualizada.
d) Auditoria Informática de Desarrollo de Proyectos: La función de desarrollo es una
evaluación del llamado Análisis de programación y sistemas
e) Auditoria Informática de Seguridad: Se debe tener presente la cantidad de información
almacenada en el computador, la cual en muchos casos puede ser confidencial

Para cada uno de los tipos de auditoria se pueden especificar áreas específicas en las cuales
siempre se debe realizar una auditoria informática, así tenemos: área interna, área de dirección,
área de nivel de usuario y área de seguridad.

 Área interna: cuando se realiza cualquier tipo de auditoria en el área interna se debe
tener presente que solamente se debe auditar al departamento o área en mención sin
fijarse en sus correlaciones con otros departamentos.
 Área de dirección: Se refiere a realizar la auditoria en cualquier tipo a nivel gerencial o de
dirección ya sea el departamento o de los departamentos con sus respectivos Inter-
relaciones
 Área de usuario: Se refiere a realizar la auditoria a nivel de usuario con todas las Inter-
relaciones que el usuario tenga dentro del departamento o fuera con otros
departamentos.
 Área de seguridad: Cualquiera sea el tipo de auditoria que está realizando siempre debe
fijarse en el área de seguridad la cual constituye pilar fundamental para aprobar o
reprobar una auditoria.

SISTEMAS DE INFORMACIÓN

Un sistema de información (también encontrado como SI) es el grupo de elementos que están
destinados e interrelacionados para tratar y gestionar los datos y la información, organizarlos y
posteriormente darles un uso útil dentro de la organización, ya sea que fueron creados para atacar
una necesidad de la empresa o simplemente para cumplir con una meta u objetivo.

TENDENCIAS QUE AFECTAN A LOS SISTEMAS DE INFORMACIÓN

 Actualizaciones: Se refiere a que los sistemas de información de cualquier empresa, debe

ser revisado periódicamente; no con una frecuencia continua, sino más bien espaciada, se
recomienda las revisiones bi–anuales
  Reestructuración Organizacional: Una reestructuración organizacional con cualquier
empresa, implica cambios siempre en vista a buscar un mejor funcionamiento, evitar la
burocracia, agilitar trámites o procesos
 Revisión y Valorización del escalafón: La revisión y la revalorización del escalafón se
espera que afecte a favor de los sistemas de información de las empresas, si el efecto es
contrario el auditor informático deberá emitir un informe del empleado a los empleados
 Cambios en el flujo de Información: Se refiere al cambio de flujo de datos exclusivamente
en el área informática, esto afecta directamente en sistema informático y por tanto al
sistema de información.

BASE CONCEPTUAL

En base al sistema de información el auditor informático realizará su estudio y análisis siguiendo

cualquier metodología de trabajo, pero sin desviarse de la base conceptual del sistema de
información de la empresa auditada.

Conceptualmente los Sistemas de Información, tienen sus bases en algunos aspectos de

importancia dentro de cualquier empresa: Así, por ejemplo:

 Aspectos económicos
Se deben considerar los recursos de la empresa, las crisis, el control, etc.

 Aspectos tecnológicos
Se refiere al equipo físico dentro de la empresa, se debe considerar el incremento, los
cambios, ya sea de software o hardware
 Aspectos sociales
Se refiere a mejoras orientadas hacia los empleados de la empresa, así, por ejemplo,
cursos, capacitación, etc.
 Aspecto político legal
Se refiere a las normas y leyes vigentes para las empresas, tanto internas como externas,
se debe cuidar, el aspecto legal, especialmente en el Software
 Aspecto Administrativo
Se refiere a la relación a nivel de gerencias, mayor confianza en la toma de posiciones,
decisiones o fortunas, siempre a favor de las empresas

PROCESO DE IMPLEMENTACION

Para implementar un sistema de información se puede seguir varios pasos, o metodologías o

inclusive se lo puede hacer empíricamente. En la implementación se considera siempre la
implementación del software.

Así por ejemplo se podrían seguir los siguientes pasos:

a) Recopilación y análisis de datos

b) Selección de datos idóneos a ingresarse o utilizarse
c) Ingreso y manipulación de datos
d) Procesamiento
e) Análisis de resultados
TOMA DE DECISIONES Y EL SISTEMA DE INFORMACION ADMINISTRATIVA

La planeación exige buscar y seleccionar, entre diversas alternativas, los cursos de acciones
necesarios para alcanzar un objetivo. La planeación puede ser útil y debe comenzar sólo cuando
los objetivos hayan sido escogidos correctamente. No puede efectuarse el plan maestro a menos
que los objetivos globales estén bien detallados y se conozcan bien.

Un Sistema de Información es un conjunto de elementos o componentes interrelacionados para

recolectar (entrada), manipular (proceso) y diseminar (salida) datos e información y para proveer
un mecanismo de realimentación en pro del cumplimiento de un objetivo.

MODELO GENERAL DE SISTEMAS

Se trata de un diagrama gráfico acompañado de una narrativa que representa a todas las
organizaciones de manera general, empleando un marco de referencia de sistemas.

El sistema físico: el sistema físico de la compañía transforma recursos de entrada en recursos de

salida. Los recursos de entrada provienen del entorno de la compañía, ocurre una transformación
y se devuelven recursos de salida al mismo entono.

Flujo de materiales: los materiales de entrada se reciben de los proveedores de materias primas,
piezas y componentes ensamblados. Estos materiales se conservan en un área de almacenamiento
hasta que se requieren para el proceso de transformación. Luego, pasan a la actividad de
manufactura. Al término de transformación, los materiales, que ahora están en su forma acabada,
se colocan en un área de almacenamiento hasta ser entregados a los clientes.

Flujo de personal: las entradas de personal se originan en el entorno. Los prospectos de

empleados llegan de la comunidad global y tal vez de los sindicatos laborales y los competidores.

Flujos de máquinas: las máquinas se obtienen de proveedores y por lo regular permanecen en la

compañía durante largos periodos de tres a vente años aproximadamente.

Flujo de dinero: el dinero se obtiene primordialmente de los dueños, que proporcionan capital de
inversión y de los clientes de la compañía que proporcionan ingresos por ventas, otras fuentes
incluyen en las instituciones financieras que otorgan préstamos y pana intereses por inversiones y
el gobierno que proporción dinero en forma de préstamos y subvenciones así, el flujo de dinero
conecta a la compañía con sus instituciones financieras.

USO DE LOS SISTEMAS DE INFORMACION EN LAS AREAS FUNCIONALES DE LA EMPRESA

Los sistemas de información dentro de la organización ayudan a la unificación de las

comunicaciones entre áreas funcionales, y nutrirles de los datos necesarios para que puedan
efectuar sus actividades y cumplir sus objetivos. Los sistemas se caracterizan por los elementos
que los componen (físicos, virtuales, y teóricos).
La información es un elemento fundamental para el desarrollo empresarial, la información debe
ser completa, confiable y oportuna. La gestión de la información debe garantizar la obtención de la
información relevante, mediante la utilización de los medios adecuados, con el objetivo de tomar
decisiones eficientes y efectuar actividades productivas. La información pasa por un ciclo de vida:
generación, obtención, procesamiento, almacenamiento, búsqueda, recuperación, acceso,
análisis, utilización, eliminación.

QUE ES LA AUDITORIA EN SISTEMAS INFORMATICOS

JUSTIFICACION

Con el paso de los años la informática ha ido abarcando cada día más las distintas áreas en las
cuales nos movemos a diario, por ello podemos decir con seguridad que en la actualidad toda
empresa ya sea pública o privada o en su mayoría que maneja gran cantidad de información
cuenta con sistemas de información, lo cual las lleva a ser sometidas a un control estricto de
evaluación de eficiencia y eficacia el cual les permita garantizar que los sistemas de información
que dicha empresa posee funcionen de una manera adecuada y correcta.

En este caso la Auditoria informática, siendo un área especializada de la auditoría general,

propone evaluar y examinar, de una manera independiente, el sistema de control interno
informático que la empresa maneje, esto con el objetivo de emitir una validez y la confiabilidad de
la información que es generada por el sistema auditado

OBJETIVOS

General:

Desarrollar auditoria de sistemas en la empresa Grupo Flores para encontrar problemas,

proporcionar soluciones y minimizar existencia de riesgos en uso de la tecnología de información.

Específicos:

 Conocer los procesos y funcionamiento de Grupo Flores para la realización de la auditoria

en sistemas.
 Establecer instrumentos para la adquisición de información necesaria y así verificar
posibles fallas y problemas
 Presentar los resultados finales con las diferentes alternativas de solución sobre los
problemas identificados.

AUDITORIA DE SISTEMAS

Es la revisión que se dirige a evaluar los métodos y procedimientos de uso en una entidad, con el
propósito de determinar si su diseño y aplicación son correctos; y comprobar el sistema de
procesamiento de Información como parte de la evaluación de control interno; así como para
identificar aspectos susceptibles de mejorarse o eliminarse.

NORMAS
Las normas de auditoría son los requisitos mínimos de calidad relativos a la personalidad del
auditor, al trabajo que desempeña ya la información que rinde como resultado de este trabajo.

Las normas de auditoría se clasifican en:

 Normas personales: son cualidades que el auditor debe tener para ejercer sin dolo una
auditoría, basados en sus conocimientos profesionales, así como en un entrenamiento
técnico, que le permita ser imparcial a la hora de dar sus sugerencias.
 Normas de ejecución del trabajo: son la planificación de los métodos y procedimientos,
tanto como papeles de trabajo a aplicar dentro de la auditoría.
 Normas de información: son el resultado que el auditor debe entregar a los interesados
para que se den cuenta de su trabajo, también es conocido como informe o dictamen.

PROCESO DE LA AUDITORIA DE TECNOLOGIA DE INFORMACION

Una auditoría informática empresarial, a grandes rasgos, consta de cuatro fases:

 Estudio inicial
 Fase de ejecución de la auditoría
 Informe de la auditoría
 Fase de control

En la fase inicial se hace un estudio de situación para conocer la organización, su infraestructura,

procesos, etc., y se determina el alcance de la auditoría, que aspectos se quieren mejorar en la
empresa, que herramientas se van a utilizar, etc.

Durante la fase de ejecución se realiza la auditoría en sí, con el plan de trabajo previamente
elaborado, y es donde se estudia a fondo el funcionamiento del área de la empresa determinada
en la fase previa y las posibles mejoras que se pueden aplicar para optimizar el rendimiento

El auditor, una vez finalizada la auditoría, elaborará un informe con todas las recomendaciones y
posibles mejoras detectadas, con soluciones concretas, costes asociados y previsiones de las
mejoras de rendimiento.

Finalmente, como parte de la auditoría a la empresa, se debería llevar un control de la

implantación de las soluciones recogidas en el informe.

TECNICAS DE AUDITORIA DE TECNOLOGIA DE INFORMACION

Se define a las técnicas de auditoría como “los métodos prácticos de investigación y prueba que
utiliza el auditor para obtener la evidencia necesaria que fundamente sus opiniones y
conclusiones, su empleo se basa en su criterio o juicio, según las circunstancias”.
Al aplicar su conocimiento y experiencia el auditor, podrá conocer los datos de la empresa u
organización a ser auditada, que pudieran necesitar una mayor atención.
Siguiendo esta clasificación las técnicas de auditoría se agrupan específicamente de la siguiente
manera:
 Estudio General
 Análisis
 Inspección
  Confirmación
 Investigación
 Declaración
 Certificación
 Observación
 Cálculo

INDICADORES DE GESTION

Se conoce como indicador de gestión a aquel dato que refleja cuáles fueron las consecuencias de
acciones tomadas en el pasado en el marco de una organización. La idea es que estos indicadores
sienten las bases para acciones a tomar en el presente y en el futuro. Lo que permite un indicador
de gestión es determinar si un proyecto o una organización están siendo exitosos o si están
cumpliendo con los objetivos.

Están ligados a la misión, visión, objetivos estratégicos y metas trazadas. Proveerán información
útil y confiable para la toma de decisiones.

PAPELES DE TRABAJO

Constituyen el soporte del trabajo del auditor realizando las etapas de planeamiento y ejecución
de la auditoria, para fundamentar los hallazgos, opiniones, conclusiones y recomendaciones que
se presenten en el informe final.

AUDITORIA DE SISTEMAS

INTRODUCCION

A finales del siglo XX, los Sistemas Informáticos se han constituido en las herramientas más
poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier
organización empresarial, los Sistemas de Información de la empresa.

La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y
estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la
misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha
denominado el "management" o gestión de la empresa. Cabe aclarar que la Informática no
gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por
ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditoría
Informática.

CONCEPTO DE AUDITORIA DE SISTEMAS

Es la revisión que se dirige a evaluar los métodos y procedimientos de uso en una entidad, con el
propósito de determinar si su diseño y aplicación son correctos; y comprobar el sistema de
procesamiento de Información como parte de la evaluación de control interno; así como para
identificar aspectos susceptibles de mejorarse o eliminarse.

OBJETIVOS GENERALES
  Verificar toda la información que posee la empresa, ya sea que se encuentre en medios
físicos como papeles, documentos o carpetas, en medios electrónicos como bases de
datos de las computadoras e inclusive en la mente de los colaboradores.
 Los medios que hacen que la información esté disponible para los colaboradores que la
requieran para la toma de decisiones.
 Auditar a los colaboradores encargados del manejo de la información para lograr llegar a
las metas planteadas.
 La forma en que se utiliza la información dentro de la organización.
 Las herramientas y procesos que se usan para poder usar la información.

ALCANCE DE TRABAJO

 La auditoría abarcará solamente el área de tecnología e informática de la empresa

 Se examinará detalladamente los registros ingresados al sistema, brindando mayor
integridad, confidencialidad y confiabilidad de la información.
 Se comprobará si la empresa posee un sistema para la comprobación y reparación de
errores y si este los enmendada de manera eficiente

RESPONSABILIDAD Y FUNCIONES

Responsabilidades:

 Planificar las actividades de auditoria

 Consensuar un cronograma en el auditado o cliente
 Solicitar y analizar documentación, con objeto de emitir una opinión
 Análisis de datos a través de herramientas
 Trabajo de campo, entrevistas y revisiones

Funciones:

 Análisis de la administración de los riesgos de la información y de la seguridad implícita

 Análisis de la administración de los sistemas de información, desde un enfoque de riesgo
de seguridad, administración y efectividad de la administración
 Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de
aplicaciones

TIPOS DE AUDITORIA DE SISTEMAS

 Auditoria informática de explotación: se ocupa de producir resultados informáticos de

todo tipo: listados impresos, ficheros soportados magnéticamente
 Auditoria informática de desarrollo de proyectos: revisión del proceso completo de
desarrollo de proyectos por parte de la empresa auditada
 Auditoria informática de comunicaciones y redes: revisión de la topología de red y
determinación de posibles mejoras, análisis de caudales y grados de utilización
 Auditoria Informática de Sistemas: Se ocupa de analizar la actividad que se conoce como
técnica de sistemas, en todos sus factores.
  Auditoria Informática de Seguridad: Se debe tener presente la cantidad de información
almacenada en el computador, la cual en muchos casos puede ser confidencial, ya sea
para los individuos, las empresas o las instituciones, lo que significa que se debe cuidar del
mal uso de esta información, de los robos, los fraudes, sabotajes y sobre todo de la
destrucción parcial o total.

HERRAMIENTAS Y TECNICAS

 Cuestionarios: conjunto de preguntas a la que el sujeto puede responder oralmente o por

escrito, cuyo fin es poner en evidencia determinados aspectos
 Entrevistas: es una de las actividades personales más importante del auditor, éste recoge
más información y mejor matizada
 Checklist: son formatos creados para realizar actividades repetitivas, controlar el
cumplimiento de una lista de requisitos o recolectar datos ordenadamente y de forma
sistemática
 Trazas y/o huellas: se utilizan para comprobar la ejecución de las validaciones de datos
previstas
 Inventario: consiste en hacer recuento físico de lo que se está auditando
 Observación: a través de diferentes técnicas y métodos de observación permite recolectar
directamente la información necesaria sobre el comportamiento del sistema

CONTROLES

 Controles preventivos: son aquellos que reducen la frecuencia con que ocurren las causas
del riesgo, permitiendo cierto margen de violaciones
 Controles detectivos: son aquellos que no evitan que ocurran las causas del riesgo, sino
que los detecta luego de ocurridos. Son los más importantes para el auditor
 Controles correctivos: aseguran tomar acciones para revertir un evento no deseado

PARTICIPACION DEL AUDITOR EN EL DISEÑO DE LOS SISTEMAS INFORMATICOS

La participación del auditor en los diseños de sistemas se refiere a asesorar sobre la

implementación de controles para prevenir la ocurrencia de riesgos.

Cuando se diseñan los nuevos sistemas de información es el mejor momento para establecer los
controles de dichos sistemas. El papel del auditor debe ser de asesor y no de crítico, de
colaborador y no de ordenar, además se deben crear las pistas de auditoria para facilitar el
ejercicio o la práctica de la misma.

AUDITORIA DE SISTEMAS DE LATINOAMERICA

METODOLOGIA DE UNA AUDITORIA DE SISTEMAS

El primer paso para realizar una auditoría de sistemas es la planeación de cómo se va a ejecutar la
auditoria, donde se debe identificar de forma clara las razones por las que se va a realizar la
auditoria, la determinación del objetivo de la misma, el diseño de métodos, técnicas y
procedimientos necesarios para llevarla a cabo y para la solicitud de documentos que servirán de
apoyo para la ejecución, terminando con la elaboración de la documentación de los planes,
programas y presupuestos para llevarla a cabo.

 Identificar el origen de la auditoria: en esta se debe determinar por qué surge la

necesidad o inquietud de realizar una auditoría.
 Visita Preliminar al Área informática: consiste en realizar una visita preliminar al área de
informática que será auditada, luego de conocer el origen de la petición de realizar la
auditoria y antes de iniciarla formalmente
 Establecer los Objetivos de la Auditoria: Los objetivos de la planeación de la auditoria
son: objetivo general y objetivos específicos
 Determinar los Puntos que serán evaluados: Una vez determinados los objetivos de la
auditoria se debe relacionar los aspectos que serán evaluados, y para esto se debe
considerar aspectos específicos del área informática y de los sistemas computacionales
 Elaborar Planes, programas y Presupuestos para Realizar la auditoria: se debe elaborar
los documentos formales para el desarrollo de la auditoria
 Identificar y seleccionar los Métodos, herramientas, Instrumentos y Procedimientos
necesarios para la Auditoria: En este se determina la documentación y medios necesarios
para llevar a cabo la revisión y evaluación en la empresa
 Asignar los Recursos y Sistemas computacionales para la auditoria: Finalmente se debe
asignar los recursos que serán utilizados para realizar la auditoria.

PROGRAMAS DE AUDITORIA DE SISTEMAS

 ManagePC: es un programa para hacer inventarios de todos los aspectos de las maquinas
que pertenecen a un mismo dominio
 WinAudit: es para conocer exactamente qué programas tienes instalado en tu PC y los
componentes de hardware
 IInventory: permite realizar audiciones o inventarios de los programas y el hardware
instalado en una red de ordenadores
 PCS Inventario: crea un inventario del hardware y del software instalado
 Planning Advisor: ayuda a automatizar el proceso de planeación de la auditoria
 Cobit Advisor: permite la definición del personal de trabajo en una auditoria
 Audicontrol: desarrollada para evaluar riesgos, diseñar y documentar controles en
ambientes automatizados
 ACL (Audit Command/Control Language): es un software para análisis y extracción de
datos más usado en la actualidad