Auditoria de Sistemas

Informáticos
Conceptos generales de Auditoria de Sistemas
¿Qué opinas?
 LOGRO DE APRENDIZAJE DE LA SESIÓN

Al final de la sesión, el estudiante reconoce los conceptos generales, las

características de la Auditoria de Sistemas Informáticos y como se aplican
en las organizaciones empresariales.
 Recordemos la sesión anterior

¿Cuáles son los retos de la gestión de TI?

En la modalidad virtual participamos a través del chat, para ello usamos la opción “Levantar la mano”.
 Actividad en Canvas

Elaborar un cuadro comparativo entre sistema de información y sistema

informático, considere 4 aspectos a comparar.

“La tecnología por sí sola no basta. También tenemos que poner el corazón” – Jane Goodall
 ¿ Qué es la Auditoría de Sistemas Informáticos?
Es un proceso llevado a cabo por profesionales especialmente capacitados, que consiste en recoger,
agrupar y evaluar evidencias para determinar si un sistema de información :
 Salvaguarda el activo empresarial.
 Mantiene la integridad de los datos.
 Lleva a cabo eficazmente los fines de la organización.
 Utiliza eficientemente los recursos.
 Cumple con las leyes y regulaciones establecidos.
 Permite detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una
organización.
 Determinan que información es critica para el cumplimiento de su misión y objetivos, identificando
necesidades, duplicidad, costos, valor y barreras que obstaculizan flujos de información eficientes.
 ¿ Qué es la Auditoría de Sistemas o Informática ?

Es un examen que se realiza con carácter objetivo, crítico, sistemático y selectivo con el fin de
evaluar la eficacia y eficiencia del uso adecuado de los recursos informáticos, de la gestión
informática y si éstas han brindado el soporte adecuado a los objetivos y metas del negocio.
Importancia de la auditoria informática

El desarrollo de una auditoria informática es importante debido a que permite identificar :

Fortalezas, debilidades y riesgos en :
 La gestión de proyectos.
 Funcionalidades de los sistemas de información.
 Configuración de la plataforma informática.
 Calidad en los servicios prestados y demás aspectos incluidos en el ámbito del uso y aplicación de las
tics en la entidad.

Para brindar recomendaciones y propuestas para el mejoramiento de los procesos de la entidad, dando así
soluciones integrales y un apoyo para el logro de los objetivos de la entidad.
 Características
OBJETIVA: Requiere independencia mental del auditor. Se basa en lo concreto y no subjetividades.

CRITICA: Requiere pruebas evidenciales. Se cuestiona.

SISTEMÁTICA: Se basa en normas, métodos, procedimientos y técnicas de

Auditoría de Sistemas.

POSTERIOR: A las actividades, operaciones y decisiones tomadas por la entidad.

SELECTIVA: A través de muestras, en razón de las limitaciones de tiempo. El auditor debe

evaluar solo partes muy definidas.
 Objetivos
 Verificar si los riesgos del negocio y de tecnología de la información han sido identificados y gestionados
apropiadamente.
 Salvaguardar los activos en términos de protección de hardware, software y recursos humanos.
 Verificar control interno.
 Control de la función informática
 Verificar que las aplicaciones proporcionen información oportuna, exacta, necesaria y suficiente.
 Revisar las medidas de seguridad, integridad de la información, procedimientos de operación,
infraestructura de sistemas, procedimientos de mantenimiento, proceso de desarrollo de sistemas, software
y hardware.
 Revisar y evaluar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e información.
 Análisis de la eficiencia de los sistemas informáticos y el estado del arte tecnológico de las instalaciones.
 Análisis de la gestión de los riesgos de la información y de la seguridad implícita.
 Diagnosticar el grado de cobertura de las aplicaciones a las necesidades estratégicas y operativas de la
información de la organización
 Verificación del cumplimiento de la normatividad de las empresas.
 Verificar la protección de activos e integridad de los datos y nivel de continuidad de las operaciones.
 Revisión de la eficaz gestión de los recursos materiales y humanos informáticos.
 Justificación del Desarrollo de la Auditoria
de Sistemas
 Incremento del presupuesto asignado al Área de Sistemas
 Desconocimiento de la Alta Dirección de la situación informática de la empresa
 Falta total o parcial de seguridades lógicas y físicas que garanticen razonablemente un soporte adecuado a los
objetivos del negocio
 Descubrimientos de delitos informáticos efectuados con los recursos informáticos
 Falta de una planificación informática
 Que el Área de Sistemas no funciona correctamente, debido a falta de políticas, objetivos, normas, metodología,
estándares, delegación de autoridad, asignación de tareas y adecuada administración del recurso humano
 Descontento general de las áreas Usuarias con el apoyo y soporte informático que brinda el Área de Sistemas
 Carencia de documentación de los sistemas de información
 Evaluación y resultados de la tercerización (outsourcing)
 Inversiones realizadas sin la obtención de resultados favorables.
Conversemos un poco sobre los nuevos
términos o conceptos aprendidos el día de hoy

En la modalidad virtual participamos a través del chat, para ello usamos la opción “Levantar la mano”
 Gestión de la Función de Auditoria
La función de auditoria debe ser gestionada de manera que asegure
que las actividades realizadas por el equipo de auditoria cumplan los
objetivos de dicha función.

El rol de auditoria de sistemas debe establecerse en un estatuto de

auditoria aprobado por la alta gerencia y el comité de auditoria si
existe uno.

(*) Un estatuto es un documento formal que debe describir la

autoridad, alcance y la responsabilidad del departamento de auditoria
de sistemas.
Departamento de Auditoria de Sistemas

La auditoria de sistemas puede formar parte de la Auditoria

Interna.
Funcionar como un grupo independiente o estar dentro de la
auditoria financiera y operacional.
En todo caso debe contar con independencia y reportarse a un
comité de auditoria o al nivel mas alto de la gerencia.
Controles Internos
Están constituidos por políticas, procedimientos, prácticas y
estructuras organizacionales implementados para reducir los riesgos
de la organización. Pueden ser manuales u automáticos, se clasifican
en :

Preventivos:
Evitan que ocurra un error, omisión o actos maliciosos, ejemplo:
El control de acceso al centro de datos.

Detectivos:
Detectan e informan la ocurrencia de un error.
Por ejemplo: La revisión de los registros de eventos
Log.
Controles Internos
Correctivos:
Corrigen errores que surgen de un problema:
Los procedimientos de respaldo o procedimientos de backup.
Conversemos un poco sobre los nuevos
términos o conceptos aprendidos el día de hoy

En la modalidad virtual participamos a través del chat, para ello usamos la opción “Levantar la mano”
 Actividad en Canvas

 Proponer 5 controles preventivos

 Proponer 5 controles correctivos
 Proponer 5 controles Detectivos

Exponer los controles internos.

“La tecnología por sí sola no basta. También tenemos que poner el corazón” – Jane Goodall
 Responsabilidades del Auditor

El auditor durante el desarrollo de la auditoria adquiere responsabilidades, tanto en el ejercicio de la

auditoria como en la planificación y ejecución de la misma.
Al aceptar la auditoria debe definir sus objetivos y alcance, y planificar y evaluar los siguientes aspectos
trabajando bajo unos principios éticos.

 Realización de un estudio inicial o diagnostico organizacional.

 Determinación de perfiles de equipos de trabajo.
 Elaboración de planes de evaluación.
 Elaboración de programas de control interno.
 Diseños de los cuestionarios de control interno.
 Definición del riesgo computacional.
 Aplicación de pruebas de auditoria.
 Contar con el apoyo de la Dirección.
 Solicitar con antelación la información necesaria.
Responsabilidades del Auditor
 Análisis de datos con software de auditoria.
 Elaboración del informe final
 Formulación de conclusiones y recomendaciones.
 Realización de auditoria de seguimiento.

Estas responsabilidades están contempladas en los diferentes aspectos de la auditoria informática, que
permiten establecer el ámbito de actuación del auditor.
 Los aspectos funcionales se enfocan en la adecuación de los sistemas en función de las necesidades
reales y la evaluación del rendimiento y fiabilidad de los mismos.
 Los aspectos económicos relacionados con la informática le permitirán al auditor conocer sobre los
presupuestos del servicio informático o los costos del desarrollo del plan de sistemas.
 Los aspectos técnicos los envuelven los equipos, periféricos, procedimientos de captura de datos, redes,
comunicaciones entre otros.
 Los aspectos de dirección contemplan las indicaciones hacia los planes informáticos, en cuanto a su
adecuación y seguimiento.
Responsabilidades del Auditor
 Los aspectos de seguridad se relacionan con la confidencialidad de los datos, seguridad de acceso,
protección de las instalaciones, y demás factores que garanticen la seguridad de los sistemas
informáticos.
Campos de acción del auditor
 Evaluación administrativa del área informática.
 Objetivos del departamento, dirección o gerencia
 Metas, planes, políticas y procedimientos de procesos electrónicos estándares.
 Organización del área y su estructura orgánica.
 Funciones y niveles de seguridad y responsabilidad de procesos electrónicos.
 Integración de los recursos materiales y técnicos.
 Dirección y controles administrativos del área de procesos electrónicos.
 Costos y controles presupuestales.
 Campos de acción del auditor
 Evaluación de los sistemas y procedimientos, y de la eficacia que se tiene en el uso de la información
Evaluación de la eficiencia y eficacia con la que se trabaja.
 Evaluación del análisis de los sistemas y sus diferentes etapas.
 Evaluación del diseño lógico del sistema.
 Evaluación del desarrollo físico del sistema.
 Facilidades para la elaboración de los sistemas.
 Control de proyectos.
 Control de sistemas y programación.
 Instructivos y documentación.
 Formas de implantación.
 Seguridad física y lógica de los sistemas.
 Confidencialidad de los sistemas.
 Control de mantenimiento y forma de respaldo de los sistemas.
 Utilización de los sistemas.
 Prevención de factores que puedan causar contingencias, seguros y recuperación en caso de desastres.
 Productividad
 Derechos de autor y secretos industriales.
Campos de acción del auditor
 Evaluación del proceso de datos, de los sistemas y equipos de computo (software, hardware,
redes, bases de datos y comunicaciones)
 Control de los datos fuente y manejo de cifras de control.
 Control de operación.
 Control de salida.
 Control de asignación de trabajo.
 Control de medios de almacenamiento masivos.
 Control de otros elementos de cómputo.
 Control de medios de comunicación.
 Orden en el centro de computo.
Campos de acción del auditor
 Seguridad y confidencialidad de la información.
 Seguridad física y lógica
 Confidencialidad
 Respaldos
 Seguridad del personal.
 Seguros
 Seguridad en la utilización de los equipos.
 Plan de contingencia y procedimiento de respaldo para casos de desastre.
 Restauración de equipos y de sistemas.
Campos de acción del auditor
 Aspectos legales de los sistemas de información.
 Cumplimiento de las normas y leyes pertinentes.
Departamento de Informática
Debe llevar a cabo un control interno informático, que permita controlas las actividades diarias de los
sistemas de información y verificar si estas cumplen a cabalidad con los procedimientos, estándares y
normas pertinentes tanto dentro de la empresa, como las establecidas nacional e internacionalmente.

El trabajo realizado en control interno informático colabora y apoya el trabajo de la auditoria informática.
Perfil del auditor
Para el desarrollo de una auditoria informática exitosa, el auditor debe ser:

 Profesional con un alto grado de conocimiento en informática y suficiente experiencia en el área.

 Habilidad para comunicarse efectivamente y dar un trato adecuado a las personas.
 Debe ser independiente de las actividades que audita, asegurando un trabajo objetivo y profesional.
 Al momento que esta aceptando realizar la auditoria, esta aceptando la responsabilidad de actuar a favor
del interés publico. Esta aceptando la responsabilidad de actuar a favor del interés publico. Acogiéndose
a los requisitos establecidos en el código de ética para profesionales.
Principios Éticos
 Integridad, el auditor debe ser sincero y honesto en todas las relaciones profesionales y de negocios.
 Objetividad, el auditor no debe permitir que favoritismos o conflictos de interés influyan en sus juicios
profesionales.
 Competencia profesional y debido cuidado, el auditor debe mantener sus habilidades y
conocimientos profesionales en el nivel apropiado y actualizados, para prestar un servicio de calidad y
competente de acuerdo a las legislaciones y leyes vigentes.
 Confidencialidad, el auditor debe respetar la confidencialidad de la información obtenida como
resultado de su trabajo y no debe revelar a terceros, que no cuentan con autorización.
 Conducta profesional, el auditor debe cumplir con los reglamentos y las leyes relevantes, asi como
rechazar cualquier acción que desacredite la profesión.
Conversemos un poco sobre los nuevos
términos o conceptos aprendidos el día de hoy

En la modalidad virtual participamos a través del chat, para ello usamos la opción “Levantar la mano”
Conclusiones

Participación de los alumnos