UNIVERSIDAD BICENTENARIA DE ARAGUA

VICERRECTORADO ACADÉMICO
FALCUTAD DE INGENIERIA DE SISTEMAS
SAN JOAQUÍN. VENEZUELA

Riesgos de la Auditoria de Sistemas

Bachiller: Andrés Sánchez

C.I: 28.045.699
Sección: 1

Junio, 2021
 Introducción

Los profundos cambios que ocurren hoy, su complejidad y la velocidad con los que
se dan, son las raíces de la incertidumbre y el riesgo que las organizaciones
confrontan. Las fusiones, la competencia global y los avances tecnológicos, las
desregulaciones, y las nuevas regulaciones, el incremento en la demanda de los
consumidores y de los habitantes, la responsabilidad social y ambiental de las
organizaciones así como, la transparencia generan un ambiente operativo, cada
día más riesgoso y complicado, surgiendo en adición nuevos retos con los cuales
lidiar, resultado de los problemas que se presentan en las organizaciones que
operan al margen de la ley o de conductas éticas.

La administración de riesgos en un marco amplio implica que las estrategias,

procesos, personas, tecnología y conocimiento están alineados para manejar toda
la incertidumbre que una organización enfrenta
 Riesgos de la auditoria de sistemas

Como auditor se debe recolectar toda la información general, que permita así
mismo definir un juicio global objetivo siempre amparadas en pruebas o hechos
demostrables. Dar como resultado un informe claro, conciso y a la vez preciso
depende del análisis y experiencia del auditor, frente a diferentes entornos a
evaluar, dependiendo de las debilidades y fortalezas encontradas en dicha
empresa auditada. La recolección de información, el análisis, la aplicación de
diferentes normas de acuerdo al tipo de auditoria, los hallazgos encontrados y
pruebas que avalen estos resultados son indispensables en la realización de una
auditoria. Para llegar al resultado hay que seguir una serie de pasos que permiten
tener claridad y orden de la auditoria a aplicar.

El método de trabajo del auditor pasa por las siguientes etapas:

1. Alcance y objetivos de la auditoria informática.

2. Estudio inicial del entorno auditable.
3. Determinación de los recursos necesarios para realizar la auditoria.
4. Elaboración del plan y de los programas de trabajo.
5. Actividades propiamente dichas de la auditoria.
6. Confección y redacción del informe final.
7. Redacción de la carta de introducción o carta de presentación del informe
final.

Objetivos de control de la metodología de auditoría

Existen diversas metodologías de Auditorias Informáticas y todas dependen de lo

que se pretenda revisar o analizar, pero como estándar analizaremos las cuatro
fases básicas de un proceso de revisión:
Estudio preliminar: Incluye definir el grupo de trabajo, el programa de auditoria,
efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar
un cuestionario para la obtención de información para evaluar preliminarmente el
control interno, solicitud de plan de actividades, Manuales de política, reglamentos,
Entrevistas con los principales funcionarios de la Organización y de la
Departamento de Informática.

Revisión y evaluación de controles y seguridades: Consiste de la revisión de los

diagramas de flujo de procesos, realización de pruebas de cumplimiento de las
seguridades, revisión de aplicaciones de las áreas críticas, revisión de procesos
históricos (backups), revisión de documentación y archivos, entre otras
actividades.

Examen detallado de áreas críticas: Con las fases anteriores el auditor descubre

las áreas críticas y sobre ellas hace un estudio y análisis profundo en los que
definirá concretamente su grupo de trabajo y la distribución de carga del mismo,
establecerá los motivos, objetivos, alcance y recursos que usará, definirá la
metodología de trabajo, la duración de la auditoria, presentará el plan de trabajo y
analizará detalladamente cada problema encontrado con todo lo anteriormente
analizado.

Comunicación de resultados: Se elaborará el borrador del informe a ser discutido

con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual se
presentará esquemáticamente en forma de matriz, cuadros o redacción simple y
concisa que destaque los problemas encontrados, los efectos y las
recomendaciones de la Auditoria.

El informe debe contener lo siguiente: 

 Motivos de la auditoria

 Objetivos

 Alcance
  Estructura Orgánico-Funcional del área Informática

 Configuración del Hardware y Software instalado

 Control Interno

 Resultados de la Auditoria

Documentación y evidencias de la auditoría

Evidencia y documentación dentro de la auditoría presentan un contraste, en el

caso de la evidencia; es toda aquella información que se obtiene para poder
elaborar un informe basado en las conclusiones que arrojan dicha información.

En ese mismo sentido, para obtener evidencias se utilizan ciertas técnicas como la
inspección, la observación, e interrogatorios.

Mientras que la documentación, le permite al auditor fundamentar todo lo

importante evidenciado para dar apoyo a su opinión y a informe que generará, es
decir, todo el material que le sirva de apoyo a lo que dictamine. Estos documentos
pueden ser datos almacenados en papeles, película, medios electrónicos y otros
medios. Estos, tienen como función auxiliar la planeación, el desempeño, la
supervisión, la revisión, que registrarán la evidencia para que dicha información en
cualquier momento dado pueda ser consultada.
Fallas y debilidades del sistema computacional

Mediantes este cuadro se va a meciona algunas debilidades del sistema computacional, las
cuales son:

Debilidades Riesgo Impacto

Poco crecimiento del área de sistemas,
poca implantación de sistemas que
Bajo presupuesto dirigido al
impulsen al área a ser un área de servicios ALTO
área
y a establecer controles para una mejor
administración de la información
Mala distribución de No se pueden aprovechar al 100% las
MEDIO
personal capacidades del personal
Poco tiempo de creación (3 No se le da la importancia necesaria
BAJO
años) pensando que es un área sin experiencia
Las actividades no se realizan de acuerdo a
No hay procesos ALTO
estándares
El personal realiza actividades que no
Mala rotación de personal MEDIO
conoce
Poca comunicación con los Los usuarios no ven resultados por parte del
MEDIO
usuarios finales área de sistemas como un área de servicios
Los sud-departamentos no Mala administración de las tecnologías,
ALTO
trabajan en conjunto mala identificación de problemas
Pocas posibilidades de
No se pueden aprovechar al 100% las
crecimiento personal MEDIO
capacidades del personal
(influyentismo).
No cuentan con las
No pueden anticiparse a los posibles
herramientas (software)
problemas, perdida de información, caída ALTO
necesarias para la buena
de sistemas.
administración del área.

Técnicas y herramientas necesarias para identificar los riesgos

Al aplicar su conocimiento y experiencia el auditor, podrá conocer los datos de la
empresa u organización a ser auditada, que pudieran nesecitar una mayor
atención.

Las técnicas procedimientos están estrechamente relacionados, si las técnicas

no son elegidas adecuadamente, la auditoría no alcanzará las normas
aceptadas de ejecución, por lo cual las técnicas así como los procedimientos de
auditoría tienen una gran importancia para el auditor.

Según el IMCP en su libro Normas y procedimientos de auditoría las técnicas

se clasifican generalmente con base en la acción que se va a efectuar, estas
acciones pueden ser oculares, verbales, por escrito, por revisión del contenido
de documentos y por examen físico.

Siguiendo esta clasificación las técnicas de auditoría se agrupan

específicamente de la siguiente manera:
 Estudio General

 Análisis

 Inspección

 Confirmación

 Investigación

 Declaración

 Certificación

 Observación

 Cálculo

Conclusión
Es importante en toda organización contar con una herramienta, que garantice la
correcta evaluación de los riesgos a los cuales están sometidos los procesos y
actividades de una entidad y por medio de procedimientos de control se pueda
evaluar el desempeño de la misma.

Los servicios de Auditoría comprenden la evaluación objetiva de las evidencias,

efectuada por los auditores, para proporcionar una conclusión independiente que
permita calificar el cumplimiento de las políticas, reglamentaciones, normas,
disposiciones jurídicas u otros requerimientos legales; respecto a un sistema,
proceso, subproceso, actividad, tarea u otro asunto de la organización a la cual
pertenecen.
 Bibliografía

altp1972, (2018), GSITIC, Auditoría Informática. Objetivos, alcance y metodología.

Técnicas y herramientas. Normas y estándares,
https://gsitic.wordpress.com/2018/01/25/bii11-auditoria-informatica-objetivos-
alcance-y-metodologia-tecnicas-y-herramientas-normas-y-estandares/

Auditoria en Informática CUN,

https://sites.google.com/site/auditoriaeninformaticacun/pla
neacion

https://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-
legislativo/ch02s04.html

https://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-
legislativo/ch03s03.html