República Bolivariana de Venezuela

Ministerio del Poder Popular para la Defensa

Universidad Experimental de las Fuerza Armadas (UNEFA)
Sede Guacara

Informe
Unidad 1,2 y 3
(Auditoria de sistemas)

Profesor: Luis Solano Alumno: Jeykel Infante

Período: 2-2021 CI: 27.927.489
Ingeniería de Sistema
Auditoria de sistemas
8vo Semestre

Martes, 23 de noviembre de 2021

 UNIDAD 1 Elementos de la auditoria de sistemas

Los Sistemas Informáticos se han constituido en las herramientas más poderosas

para materializar uno de los conceptos más vitales y necesarios para cualquier
organización empresarial, los Sistemas de Información de la empresa.
La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso
las normas y estándares propiamente informáticos deben estar, por lo tanto,
sometidos a los generales de la misma. En consecuencia, las organizaciones
informáticas forman parte de lo que se ha denominado la gestión de la empresa.
Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la
toma de decisiones, pero no decide por sí misma. Por ende, debido a su
importancia en el funcionamiento de una empresa, existe la auditoria Informática.
El término de Auditoria se ha empleado incorrectamente con frecuencia ya que se
ha considerado como una evaluación cuyo único fin es detectar errores y señalar
fallas. A causa de esto, se ha tomado la frase "Tiene Auditoria" como sinónimo de
que, en dicha entidad, antes de realizarse la auditoria, ya se habían detectado
fallas.

El concepto de auditoria es mucho más que esto.

La palabra auditoria proviene del latín auditorius, y de esta proviene la palabra
auditor, que se refiere a todo aquel que tiene la virtud de oír.
Por otra parte, también se define como: Revisor de Cuentas colegiado. En un
principio esta definición carece de la explicación del objetivo fundamental que
persigue todo auditor: evaluar la eficiencia y eficacia.
"La auditoría no es una actividad meramente mecánica que implique la aplicación
de ciertos procedimientos cuyos resultados, una vez llevado a cabo son de
carácter indudable", de esta manera es definido el termino auditor según las
Normas de auditoría del Instituto mexicano de contadores.

La auditoría es un examen, que no implica la preexistencia de fallas en la entidad

auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una
sección o de un organismo.
Auditoría de Sistemas
Es la revisión que se dirige a evaluar los métodos y procedimientos de uso en una
entidad, con el propósito de determinar si su diseño y aplicación son correctos; y
comprobar el sistema de procesamiento de Información como parte de la
evaluación de control interno; así como para identificar aspectos susceptibles de
mejorarse o eliminarse.
 Usar tu correo electrónico o mensajería instantánea.
 Compartir hardware como impresoras y escáner, entre otros.
 Compartir softwares y aplicaciones.
 Almacenar información en dispositivos de almacenamiento remoto.
 Emplear las tecnologías de la información.

 La Auditoría de Sistemas es la verificación de controles en el

procesamiento de la Información, desarrollo de sistemas e instalaciones.
 Actividad dirigida a verificar y juzgar la información.
 Examen y evaluación de los Procesos del área de Procesamiento
automático de datos y de la utilización de los recursos que en ello
intervienen.
 Es la verificación en la eficiencia del uso de los Recursos informáticos.

El avance de la informática, los sistemas, las telecomunicaciones, y otras

aplicaciones de tecnología, han permitido a la sociedad moderna a través de entes
públicos y privados desarrollarse rápidamente, en todos los ámbitos y sentidos, en
especial hará énfasis en el desarrollo de los negocios, el cual esta íntimamente
relacionado con la tecnología de información, y a su permitido la evolución en la
forma de llevar los procesos.
Dicha tecnología, ha permitido que los sistemas informáticos estén sometidos al
control correspondiente. La importancia de llevar un control de esta herramienta se
puede deducir de varios aspectos. He aquí algunos:
Las computadoras y los centros de proceso de datos se convirtieron en blancos
apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo
(delitos informáticos y otros).
Las computadoras creadas para procesar y difundir resultados o información
elaborada pueden producir resultados o información errónea si dichos datos son, a
su vez, erróneos. Este concepto obvio es a veces olvidado por las mismas
empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de
entrada a sus sistemas informáticos, con la posibilidad de que se provoque un
efecto cascado y afecte a aplicaciones independientes.
Un sistema informático mal diseñado puede convertirse en una herramienta muy
peligrosa para la empresa: como las maquinas obedecen ciegamente a las
órdenes recibidas y la modelización de la empresa está determinada por las
computadoras que materializan los sistemas de información, la gestión y la
organización de la empresa no puede depender de un software y hardware mal
diseñados.
El desarrollo de este informe será enfocado a un Centro de Comunicaciones, el
cual se divide en dos ambientes, el área de navegación (internet) y el área de
telefonía,
La auditoría de sistemas, permite mostrar las debilidades y las fortalezas de esta
empresa, con respecto a los controles que se estén empleando, a los sistemas y
procedimientos de la informática, los equipos de cómputo que se emplean, su
utilización, eficiencia y seguridad. Para ello se realiza una inspección
pormenorizada de los sistemas de información, desde sus entradas,
procedimientos, comunicación, controles, archivos, seguridad, personal y
obtención de la información, cabe recalcar que, la auditoria inicia su actividad
cuando los sistemas están operativos y el principal objetivo es el de mantener tal
como está la situación para comenzar el levantamiento de información.
Posteriormente la auditoria generara un informe, para que las debilidades que son
detectadas, sean corregidas y se establecen nuevos métodos de prevención con
el fin de mejorar los procesos, aumentar la confiabilidad en los sistemas y reducir
los riesgos.

Conceptos básicos.
Concepto de Sistemas: Conjunto ordenado, lógico y secuencial de normas y
procedimientos que persiguen un fin determinado. • Podemos hablar por ejemplo
de Sistema: Contable, Planeación, Capitalista, Operación, Educativo, Financiero,
de Información, Administrativo.
Auditoría es un examen crítico que se realiza con el fin de evaluar la eficacia y
eficiencia de una sección, un organismo, una entidad, etc. Es la acción de verificar
que un determinado hecho o circunstancia ocurra de acuerdo a lo planeado, pero
si se habla de la auditoría en una organización, se refiere a las pruebas que se
realizan a la información financiera, operacional o administrativa con base en el
cumplimiento de las obligaciones jurídicas o fiscales, así como de las políticas y
lineamientos establecidos por la propia entidad de acuerdo a la manera en que
opera y se administra.
Objetivos generales
 Determinar las posibles vulnerabilidades del sistema y plataforma
tecnológicas utilizadas en el centro de comunicaciones, con el fin de hacer
las recomendaciones que dieran lugar.
 Incrementar la satisfacción de los usuarios de los sistemas computarizados.
 Asegurar una mayor integridad, confidencialidad y confiabilidad de la
información mediante la recomendación de seguridades y controles.
 Conocer la situación actual del área de navegación y del área de telefonía
del Centro de Comunicaciones, así como también, las actividades que se
desarrollan y los esfuerzos que se realizan para lograr los objetivos
propuestos en dicha empresa.
 Reducir riesgos y aumentar los controles.
 Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente
informático.
 Capacitación y educación sobre controles en los sistemas de información.

Auditoría Interna y Auditoría Externa

La auditoría interna es la realizada con recursos materiales y personas que
pertenecen a la empresa auditada. Los empleados que realizan esta tarea son
remunerados económicamente. La auditoría interna existe por expresa decisión de
la Empresa, o sea, que puede optar por su disolución en cualquier momento.
Por otro lado, la auditoría externa es realizada por personas afines a la empresa
auditada; es siempre remunerada. Se presupone una mayor objetividad que en la
Auditoria Interna, debido al mayor distanciamiento entre auditores y auditados.
La auditoría informática interna cuenta con algunas ventajas adicionales muy
importantes respecto de la auditoría externa, las cuales no son tan perceptibles
como en las auditorias convencionales. La auditoría interna tiene la ventaja de que
puede actuar periódicamente realizando Revisiones globales, como parte de su
Plan Anual y de su actividad normal. Los auditados conocen estos planes y se
habitúan a las Auditorias, especialmente cuando las consecuencias de las
Recomendaciones habidas benefician su trabajo.
En una empresa, los responsables de Informática escuchan, orientan e informan
sobre las posibilidades técnicas y los costes de tal Sistema. Con voz, pero a
menudo sin voto, Informática trata de satisfacer lo más adecuadamente posible
aquellas necesidades. La empresa necesita controlar su Informática y ésta
necesita que su propia gestión esté sometida a los mismos Procedimientos y
estándares que el resto de aquella. La conjunción de ambas necesidades cristaliza
en la figura del auditor interno informático.
En cuanto a empresas se refiere, solamente las más grandes pueden poseer una
auditoria propia y permanente, mientras que el resto acuden a las auditorías
externas. Puede ser que algún profesional informático sea trasladado desde su
puesto de trabajo a la auditoría interna de la empresa cuando ésta existe.
Finalmente, la propia Informática requiere de su propio grupo de control interno,
con implantación física en su estructura, puesto que si se ubicase dentro de la
estructura Informática ya no sería independiente. Hoy, ya existen varias
organizaciones informáticas dentro de la misma empresa, y con diverso grado de
autonomía, que son coordinadas por órganos corporativos de Sistemas de
Información de las Empresas
Una empresa o institución que posee auditoría interna puede y debe en ocasiones
contratar servicios de auditoría externa. Las razones para hacerlo suelen ser:
Necesidad de auditar una materia de gran especialización, para la cual los
servicios propios no están suficientemente capacitados.
Contrastar algún Informe interno con el que resulte del externo, en aquellos
supuestos de emisión interna de graves recomendaciones que chocan con la
opinión generalizada de la propia empresa.
Servir como mecanismo protector de posibles auditorias informáticas externas
decretadas por la misma empresa.
Aunque la auditoría interna sea independiente del Departamento de Sistemas,
sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen
auditorías externas como para tener una visión desde afuera de la empresa.
La auditoría informática, tanto externa como interna, debe ser una actividad exenta
de cualquier contenido o matiz "político" ajeno a la propia estrategia y política
general de la empresa. La función auditora puede actuar de oficio, por iniciativa
del propio órgano, o a instancias de parte, esto es, por encargo de la dirección o
cliente.
 UNIDAD 2 Métodos de auditoria

Metodología de una auditoria de apoyo

Metodologías de auditoría informática
Las metodologías son necesarias para desarrollar cualquier proyecto que nos
propongamos de manera ordenada y eficaz. La auditoría informática solo identifica
el nivel de “exposición” por la falta de controles mientras el análisis de riesgos
facilita la evaluación de los riesgos y recomienda acciones en base al costo-
beneficio de la misma. Todas las metodologías existentes en seguridad de
sistemas van encaminadas a establecer y mejorar un entramado de
contramedidas
que garanticen que la productividad de que las amenazas se materialicen en
hechos sea lo más baja posible o al menos quede reducida de una forma
razonable en costo-beneficio.
Todas las metodologías existentes desarrolladas y utilizadas en la auditoría y el
control informático, se puede agrupar en dos grandes familias:
Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la
realización del trabajo, están diseñadas para producir una lista de riesgos que
pueden compararse entre sí con facilidad por tener asignados unos valores
numéricos.
Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un
proceso de trabajo, para seleccionar en base a la experiencia acumulada. Puede
excluir riesgos significativos desconocidos (depende de la capacidad del
profesional).

Ventajas:
 Enfoca lo amplio que se desee.
 Plan de trabajo flexible y reactivo.
 Se concentra en la identificación de eventos.
Desventajas
 Depende fuertemente de la habilidad y calidad del personal involucrado.
 Identificación de eventos reales más claros al no tener que aplicar
probabilidades complejas de calcular.
 Dependencia profesional.

Metodologías en auditoría informática.

Las metodologías de auditoria informática son de tipo cualitativo/subjetivo. Se
puede decir que son subjetivas por excelencia. Están basadas en profesionales de
gran nivel de experiencia y formación, capaces de dictar recomendaciones
técnicas, operativas y jurídicas, que exigen en gran profesionalidad y formación
continua. Solo existen dos tipos de metodologías para la auditoria informática:
Controles Generales: Son el producto estándar de los auditores profesionales. El
objetivo aquí es dar una opinión sobre la fiabilidad de los datos del computador
para la auditoria financiera, es resultado es escueto y forma parte del informe de
auditoría, en donde se hacen notar las vulnerabilidades encontradas.
Metodologías de los auditores internos: Están formuladas por recomendaciones de
plan de trabajo y de todo el proceso que se debe seguir. También se define el
objetivo de la misma, que habrá que describirlo en el memorando de apertura al
auditado. De la misma forma se describe en forma de cuestionarios genéricos, con
una orientación de los controles a revisar. El auditor interno debe crear sus
metodologías necesarias para auditar los distintos aspectos o áreas en el plan
auditor.

Actividades de aplicación
Entrada: Son los ingresos del sistema. Constituyen la fuerza de arranque que
suministra al sistema sus necesidades operativas. Pueden ser recursos
materiales, recursos humanos o información. Las entradas pueden clasificarse de
la siguiente manera.
Proceso: es lo que transforma una entrada en salida. Como tal puede ser una
máquina, un individuo, una computadora, un producto químico, una tarea realizada
por un miembro de la organización, etc.

Salidas: son los resultados que se obtienen de procesar las entradas. Las mismas
son el resultado del funcionamiento del sistema o, el propósito para el cual existe
el sistema. Las salidas de un sistema se convierten en la entrada de otro sistema,
que la procesara para convertirla en otra salida, repitiéndose este ciclo
indefinidamente.

La captura de datos (Data Capture) es la recopilación manual o automatizada de

datos; por ejemplo, mediante la medición o el recuento. A continuación, los datos
obtenidos están disponibles en formato analógico o digital y se puede proceder a
su procesamiento y análisis. Para la captura de datos, se suelen utilizar
dispositivos o sistemas que pueden escanear códigos de barras o
transpondedores.

Un registro informático es un tipo o conjunto de datos almacenados en un sistema.

Para la informática, existen distintos tipos de registros, pero en todos los casos
hay una referencia al concepto de almacenar datos o información sobre el estado,
procesos o uso de la computadora.

La codificación es un proceso mediante el cual se asignan claves numéricas a las

respuestas de preguntas abiertas de un cuestionario.
Este proceso se encuentra integrado a una etapa de procesamiento integral de la
información, que incluye la captura, validación y explotación de la información.

Un programa de transcripción es un programa informático que ayuda o realiza la

conversión de la voz humana en texto.
El significado primario del término "software de transcripción" ha cambiado con el
tiempo, con la introducción de nuevas tecnologías, como el reconocimiento natural
del habla y el lenguaje.

Control es el proceso de verificar el desempeño de distintas áreas o funciones de

una organización. Usualmente implica una comparación entre un rendimiento
esperado y un rendimiento observado, para verificar si se están cumpliendo los
objetivos de forma eficiente y eficaz. El control permite tomar acciones correctivas
cuando sea necesario.

El control interno es un proceso realizado por una organización para proporcionar

un grado de seguridad razonable respecto al logro de sus objetivos: i) eficacia y
eficiencia de las operaciones, y ii) fiabilidad de la información financiera y
cumplimiento de las leyes y normas aplicables.

Se ejerce desde fuera del proceso en consideración, por ejemplo, las auditorias
tradicionales (financiera, legal, de gestión, física, entre otras). su propósito es
asegurar la cohesión organizacional en el dominio donde tal proceso se realiza
con respecto a parámetros acordados previamente. Este tipo de control suele ser
esporádico, pero regular.

los “Controles de aplicación” son aquellos controles que son aplicables para un
determinado proceso de negocio o aplicación, entre ellos podemos encontrar la
edición de registros, segregación de funciones, totales de control, logs de
transacciones y reportes de errores.

La administración tiene algunos elementos intangibles, pero si un trabajador está

realizando correctamente sus actividades es importante no considerarlo como una
cuestión intangible. Si los controles son intangibles las personalidades tanto del
administrador o del trabajador pueden ser de influencia en las reflexiones del
desempeño de cada uno y consecuentemente hacerlos menos precisos. Un
control efectivo requiere acciones objetivos, precisos y correctos por ejemplo
McDonald es muy exigente al aplicar y establecer sus estándares de calidad en
sus restaurantes.

Las auditorias no fueron diseñadas para ejercer el control, si no para velar que sea
realizado por quienes tienen la responsabilidad de ejercerlo en razón a su
competencia y en relación con sus funciones.
Así mismo el control no es una oficina o dependencia; son todos los elementos
que hacen parte de la organización donde cada uno de ellos desempeña un
componente de control y son los dueños de los procesos quienes garantizan su
autocontrol, autogestión y auto regulación.
Para efectos de este trabajo, sólo presentamos los más utilizados en las
organizaciones.

Sistemas de información
Medios que proporcionan información a los administradores para conocer el
funcionamiento de todas las actividades y cargos de la organización.
Reportes e informes
Varían de una organización a otra; los más comunes son:
Reportes de información.
Informes de control (utilizados en forma continua para el control de operaciones
diarias).
Formas
Documentos impresos utilizados para el registro de actividades relativas a cada
departamento. Facilitan la transmisión de información.
Redes
Son una de las herramientas más importantes en la administración, ya que pueden
aplicarse a todo tipo de empresa, sin importar su tamaño ni actividad.
Métodos más comunes utilizados por las redes:
A. PERT. Se basa en la utilización de tres tiempos para el desarrollo de una
actividad: pesimista, optimista y muy probable.
B. CPM. Sólo emplea una estimación de tiempo.
Investigación de operaciones
Este modelo refleja variables y restricciones en distintas situaciones, así como en
las repercusiones sobre los objetivos y metas. Su objetivo principal es optimizar
todos los recursos a través de la utilización del método científico.
Gráficas de Gantt.
Se basan en el uso de gráficas de barras para indicar los tiempos estimados y
reales, y llevar a cabo una o varias tareas.

UNIDAD 3. Proceso de auditoría

Amenaza: Una persona o cosa vista como posible fuente de peligro o catástrofe
(inundación, incendio, robo de datos, sabotaje, agujeros publicados, etc.)
Vulnerabilidad: La situación creada, por la falta de uno o varios controles, con los
que la amenaza pudiera acaecer y así afectar al entorno informático (falta de
control de acceso logico, de versiones, inexistencia de un control de soporte
magnético, etc.).
Riesgo: La probabilidad de que una amenaza llegue a acaecer por una
vulnerabilidad (los datos estadísticos de cada evento de una base de datos de
incidentes).
Exposición o Impacto: La evaluación del efecto del riesgo. (es frecuente evaluar el
impacto en términos económicos, aunque no siempre lo es, como vidas humanas,
imágenes de la empresa, honor, etc.).

Determinación del área a auditar.

Planificar el área a Auditar es fundamental, pues habrá que hacerla desde el punto
de vista de los dos objetivos:
 Evaluación de los sistemas y procedimientos.
 Evaluación de los equipos de cómputo.
Para analizar y dimensionar la estructura por auditar se debe solicitar:
A nivel del área de informática. Objetivos a corto y largo plazo.
Recursos materiales y técnicos. Solicitar documentos sobre los equipos, número
de ellos, localización y características:
 Estudios de viabilidad.
 Número de equipos, localización y las características (de los equipos
instalados y por instalar y programados)
 Fechas de instalación de los equipos y planes de instalación.
 Contratos vigentes de compra, renta y servicio de mantenimiento.
 Contratos de seguros.
 Convenios que se tienen con otras instalaciones.
 Configuración de los equipos y capacidades actuales y máximas.
 Planes de expansión.
 Ubicación general de los equipos.
 Políticas de operación.
 Políticas de uso de los equipos.

SISTEMAS
 Descripción general de los sistemas instalados y de los que estén por
instalarse que contengan volúmenes de
 información.
 Manual de formas.
 Manual de procedimientos de los sistemas.
 Descripción genérica.
 Diagramas de entrada, archivos, salida.
 Salidas.
 Fecha de instalación de los sistemas.
 Proyecto de instalación de nuevos sistemas
Riesgos y contingencias más comunes.

Los riesgos informáticos

Se refieren a la incertidumbre existente por la posible realización de un suceso
relacionado con las amenazas de daños con respecto a los bienes o servicios
informáticos como lo son los equipos periféricos, instalaciones de programas,
archivos de información, datos confidenciales, entre otros.

Clasificación de los riesgos informáticos

Los servicios de Auditoría comprenden la evaluación objetiva de las evidencias,
efectuada por los auditores, para proporcionar una conclusión independiente que
permita calificar el cumplimiento de las políticas, reglamentaciones, normas,
disposiciones jurídicas u otros requerimientos legales; respecto a un sistema,
proceso, subproceso, actividad, tarea u otro asunto de la organización a la cual
pertenecen.

El riesgo siempre implica:

Incertidumbre: el acontecimiento que caracteriza al riesgo puede o no puede
ocurrir.
Pérdida potencial: si el riesgo se convierte en una realidad, ocurrirán
consecuencias no deseadas o pérdidas. Para cuantificar el nivel de incertidumbre
y el grado de pérdidas asociado con cada riesgo se consideran diferentes
categorías de riesgos:
Riesgos del proyecto: Afectan a la planificación temporal, al coste y calidad del
proyecto. Identifican problemas potenciales de presupuesto, calendario, personal,
recursos, cliente, etc.
Riesgos técnicos: Amenazan la calidad y la planificación temporal del software
(producto) que hay que producir. Identifican posibles problemas de incertidumbre
técnica, ambigüedad en la especificación, diseño, implementación, obsolescencia
técnica o tecnología puntera, interfaz, verificación y mantenimiento.

Riesgos del negocio: Amenazan la viabilidad del software. Los principales riesgos
de negocio son:
Riesgo de mercado: producto demasiado bueno.
Riesgo estratégico: producto que no encaja
Riesgo de ventas: producto poco vendible
Riesgo de presupuesto: producto fuera de presupuesto

Se puede hacer otra categorización de los riesgos en función de su facilidad

detección:
Riesgos conocidos: son aquellos que se pueden predecir después de una
evaluación del plan del proyecto, del entorno técnico y otras fuentes de
información fiables.
Riesgos predecibles: se extrapolan de la experiencia de proyectos anteriores.
Riesgos impredecibles: pueden ocurrir, pero es extremadamente difícil
identificarlos por adelantado.

Matriz de riesgos informáticos y métricas utilizadas:

Todo el proceso está apoyado en una aplicación informática que se alimenta de la
información que remiten las entidades y la que introducen los inspectores
derivados de sus trabajos de supervisión.
El análisis de riesgos informáticos es un proceso que comprende la identificación
de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran
expuestos, así como su probabilidad de ocurrencia y el impacto de las mismas, a
fin de determinar los controles adecuados para aceptar, disminuir, transferir o
evitar la ocurrencia del riesgo.
El proceso de análisis de riesgo genera habitualmente un documento al cual se le
conoce como matriz de riesgo. En este documento se muestran los elementos
identificados, la manera en que se relacionan y los cálculos realizados.
Este análisis de riesgo es indispensable para lograr una correcta administración
del riesgo. La administración del riesgo hace referencia a la gestión de los
recursos de la organización. Existen diferentes tipos de riesgos como el riesgo
residual y riesgo total, así como también el tratamiento del riesgo, evaluación del
riesgo y gestión del riesgo entre otras.
Después de efectuar el análisis debemos determinar las acciones a tomar
respecto a los riesgos residuales que se identificaron. Las acciones pueden ser:
Controlar el riesgo: Fortalecer los controles existentes y/o agregar nuevos
controles.
Eliminar el riesgo: Eliminar el activo relacionado y con ello se elimina el riesgo.
Compartir el riesgo: Mediante acuerdos contractuales parte del riesgo se traspasa
a un tercero.
Aceptar el riesgo: Se determina que el nivel de exposición es adecuado y por lo
tanto se acepta.

Los riesgos informáticos “más significativos’” dado su impacto negativo en la

operación y la productividad de la empresa son:

 Riesgo de acceso o seguridad

 Riesgo de disponibilidad
 Riesgo de infraestructura
 Riesgo de integridad
 Riesgo de proyectos de TI
 Riesgo de inversión o costo

Así mimos dicho impacto se evidencia principalmente en:

 Pérdida de rentabilidad del negocio
 Pérdidas financieras
 Falta de capacidad para alcanzar los objetivos de negocio
 Pérdida de reputación
 Desventaja competitiva
 Problemas con los reguladores Que es un plan de contingencia
Se entiende por plan de contingencia los procedimientos alternativos al orden
normal de una empresa, cuyo fin es permitir el normal funcionamiento de esta, aun
cuando alguna de sus funciones se viese dañada por un accidente interno o
externo.
Un plan de contingencia es un tipo de plan preventivo, predictivo y reactivo.
Presenta una estructura estratégica y operativa que ayudara a controlar una
situación de emergencia y a minimizar sus consecuencias negativas
Un plan de contingencia incluye cuatro etapas básicas que son:

1. Evaluación.
2. Planificación.
3. Pruebas de viabilidad.
4. Ejecución.

Las tres primeras hacen referencia al componente preventivo y la última a la

ejecución del plan una vez ocurrido el siniestro.

Ejemplo de un plan de contingencia

El borrado accidental o a propósito de archivos de datos o programas de
explotación es un problema que todas las instalaciones informáticas han tenido
más de una vez, y es siempre costoso el recuperar datos de respaldos o re
ingresar aquellas transacciones o datos que no se alcanzaron a respaldar.

Las soluciones preventivas más comunes son las siguientes:

Separación lógica y física, si es posible, de los datos y programas de explotación
de aquellos datos y programas usados en desarrollo y mantención de sistemas.
Sistema de protección de los datos y programas de explotación de manera que
nadie pueda dañarlos, los sistemas operativos profesionales más comunes tienen
formas de proteger directorios de datos y programas de manera tal que su borrado
accidental o a propósito sea casi imposible.

Actividades de mitigación
Las actividades de mitigación apuntan siempre hacía que la contingencia una vez
ocurrida, produzca el menor daño posible en las actividades informáticas de la
empresa o que le daño producido por la ocurrencia de la contingencia tenga un
impacto mínimo. Como las actividades de prevención, estas actividades son de
suma importancia, pero de mayor costo

Planificación de la auditoría.
Una planificación adecuada es el primer paso necesario para realizar auditorías de
sistema eficaces. El auditor de sistemas debe comprender el ambiente del negocio
en el que se ha de realizar la auditoria, así como los riesgos del negocio y control
asociado.

Comprensión del negocio y de su ambiente.

Al planificar una auditoria, el auditor de sistemas debe tener una comprensión de
suficiente del ambiente total que se revisa. Debe incluir una comprensión general
de las diversas prácticas comerciales y funciones relacionadas con el tema de la
auditoria, así como los tipos de sistemas que se utilizan.

Riesgo y materialidad de auditoría.

Se puede definir los riesgos de auditoria como aquellos riesgos de que la
información pueda tener errores materiales o que el auditor de sistemas no pueda
detectar un error que ha ocurrido.
Los riesgos en auditoria pueden clasificarse de la siguiente manera:

Riesgo inherente: Cuando un error material no se puede evitar que suceda por
que no existen controles compensatorios relacionados que se puedan establecer.

Riesgo de Control: Cuando un error material no puede ser evitado o detectado en

forma oportuna por el sistema de control interno.

Riesgo de detección: Es el riesgo de que el auditor realice pruebas exitosas a

partir de un procedimiento inadecuado.

En una auditoria de sistemas de información, la definición de riesgos materiales

depende del tamaño o importancia del ente auditado, así como de otros factores.

El auditor de sistemas debe tener una cabal comprensión de estos riesgos de

auditoria al planificar.
Una auditoria tal vez no detecte cada uno de los potenciales errores en un
universo. Pero, si el tamaño de la muestra es lo suficientemente grande, o se
utiliza procedimientos estadísticos adecuados se llega a minimizar la probabilidad
del riesgo de detección.

Técnicas de evaluación de riesgos.

Existen cuatro motivos por los que se utiliza la evaluación de riesgos, estos son:

Permitir que la gerencia asigne recursos necesarios para la auditoria.

Garantizar que se ha obtenido la información pertinente de todos los niveles
gerenciales, y garantiza que las actividades de la función de auditoria se dirigen
correctamente a las áreas de alto riesgo y constituyen un valor agregado para la
gerencia.
Constituir la base para la organización de la auditoria a fin de administrar
eficazmente el departamento.
Proveer un resumen que describa como el tema individual de auditoria se
relaciona con la organización global de la empresa así como los planes del
negocio.

Objetivos de controles y objetivos de auditoria.

El objetivo de un control es anular un riesgo siguiendo alguna metodología, el
objetivo de auditoria es verificar la existencia de estos controles y que estén
funcionando de manera eficaz, respetando las políticas de la empresa y los
objetivos de la empresa.

Procedimientos de auditoría.

Algunos ejemplos de procedimientos de auditoria son:

Revisión de la documentación de sistemas e identificación de los controles
existentes.
Entrevistas con los especialistas técnicos a fin de conocer las técnicas y controles
aplicados.
Utilización de software de manejo de base de datos para examinar el contenido de
los archivos de datos.
Técnicas de diagramas de flujo para documentar aplicaciones automatizadas.

Evaluación de fortalezas y debilidades de auditoría.

Luego de desarrollar el programa de auditoría y recopilar evidencia de auditoría, el

siguiente paso es evaluar la información recopilada con la finalidad de desarrollar
una opinión. Para esto generalmente se utiliza una matriz de control con la que se
evaluará el nivel de los controles identificados,

La Matriz muestra las áreas en que los controles no existen o son débiles,
obviamente el auditor debe tener el suficiente criterio para juzgar cuando no lo hay
si es necesario el control.
En esta parte de evaluación de debilidades y fortalezas también se debe elegir o
determinar la materialidad de las observaciones o hallazgos de auditoría. El
auditor de sistemas debe juzgar cuáles observaciones son materiales a diversos
niveles de la gerencia y se debe informar de acuerdo a ello.

Seguimiento de las observaciones de auditoría.

El trabajo de auditoría es un proceso continuo, se debe entender que no serviría
de nada el trabajo de auditoría si no se comprueba que las acciones correctivas
tomadas por la gerencia, se están realizando, para esto se debe tener un
programa de seguimiento, la oportunidad de seguimiento dependerá del carácter
crítico de las observaciones de auditoría.

El nivel de revisión de seguimiento del auditor de sistemas dependerá de

diversos factores, en algunos casos el auditor de sistemas tal vez solo necesite
inquirir sobre la situación actual, en otros casos tendrá que hacer una revisión más
técnica del sistema.

La Organización de un centro de red.

Esta forma organizativa denominada "organización en red" consiste en la alianza a
largo plazo de clientes y proveedores para la ejecución de tareas que, desde la
estructura integrada, acostumbraban a estar bajo el control de una misma
organización. Las auditorías de redes son una forma de proteger los recursos,
principalmente la información de la empresa, de amenazas cada vez más
complejas y dinámicas.