UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS

FACULTAD DE CIENCIAS CONTABLES

Curso: Auditoría del Sistema de Información

Metodología de la Auditoría de TI
 Contenido
1. Definición de los entornos a auditar.
2. Fases de la metodología.
3. Normas de auditoría a aplicar.
4. Evaluación del control interno y control informático de la
empresa.
5. Evaluación de los sistemas informáticos.
6. Evaluación de las políticas de seguridad de la información.
7. Aplicación de auditoría asistida por computadora (IDEA, ACL).
8. Casos de aplicación y exposición.

2
 1. Definición de los entornos a
auditar
• Es el espacio de injerencia y disponibilidad donde se
tendrá la auditoría de TI.
• Etapa de reconocimiento de los recursos y
disponibilidad que serán utilizado en la auditoría de
TI.
• Es el proceso por el cual es llevado la auditoría por
un profesional experto en la materia, lo cual
permitirá recoger, organizar y evaluar las evidencias
encontradas.

3
 2. Fases de la metodología
• Identifica el alcance de la auditoría de TI.
Alcance y
Objetivos
• Identifica los objetivos de la auditoría de TI.

• Revisa su entorno en la fase inicial de la auditoría.

Entorno

• Precisar todos los recursos necesarios para la auditoría: Tiempo – RRHH –

Recursos Costo.

• Elaboración del Plan de Trabajo

Plan

• Realizar las actividades de la auditoría de TI

Actividades

Informe
• Se elabora el informa a las partes interesadas
Final

4
 3. Normas de auditoría a aplicar
AUDITORÍA AUDITORÍA AUDITORÍA AUDITORIA
ADMINISTRATIVA OPERACIONAL CONTABLE INFORMÁTICA
(NAGAS) (desempeño) (NIC, NIIF) (COBIT, ISO, ITIL)
(NAO)
Técnica de Control Técnica de Control Técnica de Control Técnica de Control
NATURALEZA Administrativo Administrativo Administrativo Administrativo
PROPÓSITO/ Evaluar y mejorar la Promover la eficiencia en Dictamen a los Estados Evaluar los recursos
OBJETIVO administración las operaciones Financieros Informáticos
La eficiencia y
La eficiencia de las Todas las actividades
ALCANCE productividad de el El sistema contable
operaciones informáticas
proceso productivo
La ciencia Administrativa La ciencia Administrativa y Principios de
Normatividad
FUNDAMENTO y la normatividad de la la normatividad de la contabilidad y normas
institucional y legal
empresa empresa de auditoría
Apoyado en Técnicas y Técnicas y Técnicas y
METODOLOGÍA Métodos procedimientos procedimientos procedimientos
Científicos predeterminadas predeterminadas predeterminados
A la empresa y
A las funciones A los estados A todas las áreas
APLICACIÓN sus funciones
de la empresa financieros de la empresa
básicas
PROYECCIÓN Hacia el futuro Hacia el futuro Hacia el pasado Hacia el futuro
INFORME Amplio Amplio Preciso Amplio y Preciso
5
 Auditoría de Sistemas
La auditoría de sistemas es el examen efectuado a los sistemas computacionales, módulos
integrados, así mismo verificar los programas fuentes; con el fin de salvaguardar la
información e informar a la Junta Directiva o Gerencia general según sea el caso.

Para esto se puede utilizar las normas ISO:

ISO/IEC 27000
ISO/IEC 27001 -Norma que especifica los requisitos para la implantación del SGSI.
ISO/IEC 27002 -Es código de buenas prácticas para la gestión de seguridad de la información.
ISO/IEC 27003 - son directrices para la implementación de un SGSI.
ISO/IEC 27004 - son métricas para la gestión de seguridad de la información.
ISO/IEC 27005 - trata la gestión de riesgos en seguridad de la información.
ISO/IEC 27006:2007 -Esta norma especifica requisitos específicos para la certificación de SGSI
ISO/IEC 27007 - Es una guía para auditar al SGSI.
ISO/IEC 27799:2008 - Es una guía para implementar ISO/IEC 27002 en la industria de la salud.
ISO/IEC 27035:2011 - Seguridad de la información - Técnicas de Seguridad - Gestión de
Incidentes de Seguridad.

6
Estándares para la Auditoría de
Sistemas

7
 COBIT
Es una herramienta que proporciona a las organizaciones, un panorama
general de los riesgos que en ella existen, además de controlar las Tecnologías
de la Información de una manera más eficiente y eficaz; así como aspectos
técnicos que facilitaran las tareas de cada uno de los involucrados.
Buscar, desarrollar, publicar y promover un autoritario y actualizado conjunto
internacional de objetivos de control de tecnologías de la información,
generalmente aceptadas, para el uso diario por parte de gestores de negocio y
auditores.

Características
Orientado al negocio.
Alineado con estándares y regulaciones "de facto".
Basado en una revisión crítica y analítica de las tareas y actividades en TI.
Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA).

8
 ISO

Es una organización no gubernamental establecida en

1947, la misión de la ISO es promover el desarrollo de la
estandarización y las actividades con ella relacionada
Guía para el cuerpo de conocimientos de administración
de proyectos, desarrollado por el comité de estándares
del instituto de administración de proyectos.

9
 coso
Es un documento que contiene las principales directivas
para la implantación, gestión y control de un sistema de
Control Interno, debido a la gran aceptación de la que
ha gozado, el Informe COSO se ha convertido en el
estándar de referencia en todo lo que concierne al
Control Interno.
El Control Interno informe (coso) es una norma dentro
en una empresa esta basado en un proceso integrado a
los procesos, y no un conjunto de pesados mecanismos
burocráticos añadidos a los mismos, efectuado por el
consejo de la administración, la dirección y el resto del
personal de una entidad, diseñado con el objeto de
proporcionar una garantía razonable para el logro de
objetivos. 10
 coso
Características:
Objetivos de información financiera..
Objetivos de cumplimiento-
Controles internos efectivos proporcionan una
garantía razonable de que los objetivos de
información financiera y de cumplimiento serán
logrados
En relación con los objetivos de operación, la
situación difiere debido a que existen eventos
fuera del control de la Empresa.
11
 ITIL

Esta metodología es la aproximación más globalmente

aceptada para la gestión de servicios de Tecnologías de
Información en todo el mundo, ya que es una
recopilación de las mejores prácticas tanto del sector
público como del sector privado.
Como norma propone el establecimiento de estándares
que nos ayuden en el control, operación y
administración de los recursos (ya sean propios o de los
clientes.

12
 ITIL
Características
Mejora la comunicación con los clientes y usuarios
finales a través de los diversos puntos de contacto
acordados.
Los servicios se detallan en lenguaje del cliente y con
más detalles.
Se maneja mejor la calidad y los costos de los servicios.
La entrega de servicios se enfoca mas al cliente,
mejorando con ello la calidad de los mismos y relación
entre el cliente y el departamento de IT.
Una mayor flexibilidad y adaptabilidad de los servicios.
13
 ISACA

Es una organización dedicado a desarrollar estándares

internacionales de auditoría y control de sistemas de información
que ayudan a sus miembros a garantizar la confianza y el valor de
los sistemas de información además certifica los avances y
habilidades de los conocimientos de Tecnologías de la
Información a través de la mundialmente respetada Certified
Information Systems Auditor.

14
 ADACSI

ES una asociación de auditoría y control de sistemas de

información, que tiene como propósito, avanzar en la generación
de estándares globalmente aplicables que satisfagan esta
necesidad. El desarrollo y distribución de estándares es la piedra
angular de la contribución profesional que realiza ISACA a la
comunidad de auditores.

15
 Evaluación del control interno y
control informático de la empresa

16
 4. Evaluación del control interno y
control informático de la empresa
COSO – COBIT
Es muy frecuente que la implantación de los sistemas se
retrase y se llegue a suceder que una persona lleva
trabajando varios años dentro de un sistema o bien que
se presenten irregularidades en las que los
programadores se ponen a realizar actividades ajenas a
la dirección de informática.
Para poder controlar el avance de los sistemas, ya que
ésta es una actividad de difícil evaluación, se
recomienda que se utilice la técnica de administración
por proyectos para su adecuado control.
17
 4. Evaluación del control interno y
control informático de la empresa

COSO – COBIT
Para tener una buena administración por proyectos se requiere
que el analista o el programador y su jefe inmediato elaboren un
plan de trabajo en el cual se especifiquen actividades, metas,
personal participante y tiempos.
Este plan debe ser revisado periódicamente (semanal, mensual,
etc.) para evaluar el avance respecto a lo programado.
La estructura estándar de la planeación de proyectos deberá
incluir la facilidad de asignar fechas predefinidas de terminación
de cada tarea. Dentro de estas fechas debe estar el calendario de
reuniones de revisión, las cuales tendrán diferentes niveles de
detalle.

18
 5. Evaluación de los sistemas
informáticos
ISO: 20000 – 27000
Evaluar:
• Problema
• Análisis
• Diseño
• Codificación
• Prueba
• Implementación
• Mantenimiento
19
 6. Evaluación de las políticas de
seguridad de la información

ISO 27 000
ISO/IEC 27000 es un conjunto de estándares desarrollados -o en
fase de desarrollo- por ISO (International Organization for
Standardizatíon) e IEC (International Electrotechnícal
Commission), que proporcionan un marco de gestión de la
seguridad de la información utilizable por cualquier tipo de
organización, pública o privada, grande o pequeña.
En este apartado se resumen las distintas normas que componen
la serie ISO 27000 y se indica cómo puede una organización
implantar un sistema de gestión de seguridad de la información
(SGSI) basado en ISO 27001.
20
 7. Aplicación de auditoría asistida
por computadora (ACL)
ACL (Lenguaje de Comandos de Auditoria) es un
software para análisis y extracción de datos más usado
en la actualidad.

Con ACL los auditores y profesionales de los negocios

pueden transformar grandes cantidades de datos
electrónicos en un conocimiento comercial de valor. Es
un software, poderoso y fácil de usar, le permite
convertir datos en información significativa, lo cual le
ayuda a alcanzar sus objetivos de negocios y agregar
valor a su organización.

21
 7. Aplicación de auditoría asistida
por computadora (ACL)
Con ACL se podrá realizar la revisión de datos con una
cobertura del 100% de los datos, esto significa que se
pueden hacer auditorías para toda una población
entera, y no para pequeñas muestras.

El impacto de ACL se ve en los siguientes aspectos: los

ciclos de auditoría más cortos; las investigaciones más
detalladas; una confianza completa en sus resultados;
un ahorro significativo en sus recursos; un rol mayor de
la auditoría en el negocio.

22
 7. Aplicación de auditoría asistida
por computadora (ACL)
Características generales:
• Permite importar archivos de diferentes fuentes o formatos
(archivos planos y de base de datos específicas).
• Los datos importados no son modificados asegurando la
integridad e incrementando el nivel de confianza de los datos
trabajados
• Generación de pistas de auditoria (Quien, Como, Cuando,
Donde)
• Posibilidad de escribir Scripts/Macros que automaticen
procedimientos de revisión rutinaria en auditorias recurrentes.
• Incrementa la cobertura de revisión al 100% de datos a analizar

23
7. Aplicación de auditoría asistida
por computadora (ACL)

24
 7. Aplicación de auditoría asistida
por computadora (IDEA)
IDEA es una poderosa herramienta para Análisis, Extracción y
Auditoría de Datos, que provee funcionalidades para aplicar
numerosas “buenas y mejores prácticas de Auditoría Asistida con
Computador, universalmente aceptadas para Auditorias Basadas
en Datos o Transacciones”.
Es fácil de utilizar (amigable), con funciones especialmente
diseñadas para verificar la calidad e integridad de la información
de bases de datos y archivos de computador, analizar y clasificar
los datos aplicando criterios de acuerdo con las reglas del
negocio, automatizar técnicas de auditoría asistidas con el
computador (CAATs), generación de reportes y gráficos, exportar
archivos y enviar correos electrónicos desde el software IDEA.

25
 7. Aplicación de auditoría asistida
por computadora (IDEA)
IDEA provee funcionalidades para importar datos de archivos de
computador de diferentes formatos (texto, ODBC, Excel, PDF,
reportes AS400, SAP) e ilimitado número de registros, generar
estadísticas de campos numéricos, fecha y hora.
Realiza operaciones aritméticas, comprobar cálculos, utilizar
funciones pre-construidas de análisis financiero y manejo de
campos, extraer y agrupar registros según criterios especificados
por el auditor.
Identificar registros repetidos y omisiones de secuencia de
registros, comparar, unir y agregar archivos, utilizar cinco tipos de
muestreo estadístico, identificar operaciones sospechosas de
fraude y lavado de activos.

26
Auditoría Basada en Datos

27
8. Casos de aplicación y exposición

RECOMENDACIONES TECNICAS PARA LA SEGURIDAD E

INTEGRIDAD DE LA INFORMACION QUE SE PROCESA EN LA
ADMINISTRACION PUBLICA

EXPOSICIONES DE ESTUDIANTES

28