AUDITORIA TI

Mtra. Victoria Ramirez Alvarez 1

 DEFINICIÓN DE AUDITORIA

• Actividad para determinar, por medio de la investigación, la

adecuación de procedimientos establecidos, instrucciones,
especificaciones, codificaciones y estándares u otros requisitos, la
adhesión a los mismos y eficiencia de su implementación. (ANSI).

• Objetivos son:
➢ Proteger activos e integridad de datos.

➢Gestionar eficacia y eficiencia.

Mtra. Victoria Ramirez Alvarez

 TIPOS DE AUDITORIA POR LUGAR DE
ORIGEN

Auditoría Interna

• Realiza un diagnóstico de las actividades, operaciones y

funciones administrativas de una empresa.

• Auditor pertenece a la organización, por lo que el informe es

más valioso, consume recursos propios de la organización,
apoya a los líderes en la evaluación y toma decisiones.

• La desventaja es la veracidad, alcance y confiabilidad son

limitados.

Mtra. Victoria Ramirez Alvarez

 TIPOS DE AUDITORIA POR LUGAR DE
ORIGEN

Auditoría Externa

• Realiza un diagnóstico de las actividades, operaciones y funciones

administrativas de una empresa por un auditor externo.

• Se aplica principalmente al área financiera, contable y fiscal.

• Para su implementación se utilizan herramientas y técnicas

aprobadas por otras empresas o con características similares.

• Evaluación, alcance y resultado son limitados por que auditor no

conoce la empresa.

Mtra. Victoria Ramirez Alvarez

 TIPOS DE AUDITORIA POR ÁREA DE
APLICACIÓN
Auditoría
Financiera
• Comprueba que los estados financieros cumplan con los principios contables de
un periodo fiscal.

• Área informática revisa:

▪ Autorización: Operaciones se ejecutan de acuerdo a las especificaciones administrativas.

▪ Procesamiento y transacción: Preparación de estados financieros bajo criterios aplicable a

estados de financieros. Transacciones registrados en un periodo contable.

▪ Salvaguarda física.

▪ Verificación y autorización herramienta para auxiliar en proceso y protección de los activos

de la organización.

Mtra. Victoria Ramirez Alvarez

 TIPOS DE AUDITORIA POR ÁREA DE
APLICACIÓN

Auditoría
Administrativa
• Evalúa la planeación y control de los procedimientos de operación, métodos y
técnicas de trabajo establecidas en la organización, incluye: políticas, normas,
reglamentos.

• El área de informática en una auditoria administrativa evalúa:

o Evaluar objetivos, metas, políticas y procedimientos.

o Organización.

o Estructura orgánica

o Funciones y niveles de autoridad y responsabilidad

Mtra. Victoria Ramirez Alvarez

 TIPOS DE AUDITORIA POR ÁREA DE
APLICACIÓN

Auditoría
Operacional

• Revisa eficiencia, eficacia y correcto desarrollo de las

operaciones e una organización de acuerdo a normas,
políticas, lineamientos y capacitación.

Mtra. Victoria Ramirez Alvarez

 TIPOS DE AUDITORIA POR ÁREA DE
APLICACIÓN

Auditoría Integral

• Evalúa el correcto desarrollo de las funciones

administrativas como relación de trabajo, comunicaciones.

Mtra. Victoria Ramirez Alvarez

 TIPOS DE AUDITORIA POR ÁREA DE
APLICACIÓN

Auditoría
Gubernamental

• Evalúa método y procedimientos de presupuestos

públicos, programas, normas políticas y lineamientos de
las áreas y unidades administrativas.

Mtra. Victoria Ramirez Alvarez

 TIPOS DE AUDITORIA POR ÁREA DE
APLICACIÓN
Auditoría
Informática
• Evalúa el uso adecuado de los sistemas para ingresar a datos, procesamiento de
información, actividades y operaciones de los empleados y usuarios de la organización.

• Sus técnicas son:

➢ Pruebas integrales.

➢ Simulación.

➢ Revisión de accesos.

➢ Operaciones en paralelo

➢ Evaluación de sistema con datos de prueba.

➢ Registros y revisión de transacciones del personal.

Mtra. Victoria Ramirez Alvarez

CONTROL INTERNO

Mtra. Victoria Ramirez Alvarez 11

 CONTROL INTERNO

• Evalúa eficiencia, eficacia, razonabilidad, oportunidad,

confiabilidad de la seguridad de los bienes de una organización.

• Organizacionalmente evalúa estructura, funciones, nivel de

autoridad, métodos y procedimientos de las actividades.

Mtra. Victoria Ramirez Alvarez

 CONTROL INTERNO

• Gómez Morfin lo define como: “El plan organizacional de

métodos y procedimientos que forma coordinada se adopta en
el negocio para la protección de activos, obtención de
información correcta y oportuna, promoción de la eficiencia de
operación, adhesión a las políticas prescritas por la dirección.”

Mtra. Victoria Ramirez Alvarez

 CARACTERÍSTICAS DEL CONTROL
INTERNO

Oportuno • Presentación oportuna de los resultados de su aplicación

• Presentación en unidades medibles (numérica) de los

Cuantificable resultados

Calificable • Evaluar el cumplimiento de calidad de los resultados

Confiable • Señalar resultados sin desviaciones, ni errores.

Estándares y normas de • Compara resultados con normas y estándares previamente

evaluación establecidos

Mtra. Victoria Ramirez Alvarez

 TIPOS DE CONTROL INTERNO

• Software de seguridad impida

Preventivo accesos no autorizados aun sistema

• Registro de intentos acceso no

Detectivos autorizados y actividad diaria

• Recuperación de un archivo de una

Correctivos copia de seguridad.

Mtra. Victoria Ramirez Alvarez

 CONTROL INTERNO Y AUDITORÍA

• Vigilancia de sobre el control de versiones de software.

• Control de calidad, eficiencia y mantenimiento de software y servicio informático.

• Seguridad informática: Usuarios responsables, bases de datos, información

clasificada.

• Control de redes de comunicación.

• Licencias

• Asesorar sobre riesgo informático

Mtra. Victoria Ramirez Alvarez

 IMPPLEMENTACIÓN DEL CONTROL
INFORMÁTICO

Administración de
Gestión del cambio
• Políticas, pautas y sistemas • Integridad del sistema,
normas como base de confidencialidad,
su diseño • Control sobre las disponibilidad • Pruebas,
actividades y procedimientos de
funcionamiento del migración
sistema que incluye
redes de comunicación
Gestión de sistema
Seguridad
de información

Mtra. Victoria Ramirez Alvarez

 CONTROL INTERNO DE LA AUDITORIA
INFORMÁTICA

GENERAL ORGANIZATIVO

GENERAL ORGANIZATIVO

• Políticas
• Plan estratégico de Información.- Lo diseña la Dirección
• Estándares.- Regula adquisición de
de la empresa, se define el proceso y uso de las
recursos, diseño, desarrollo, modificación y
tecnologías de información.
explotación de sistemas.
• Plan informático.- Determina los caminos para cubrir las
• Procedimientos.- Describe
necesidades informáticas de la empresa.
responsabilidades del área de informática.
• Plan general de seguridad.- Garantiza confidencialidad,
• Asegurar que la Dirección revise informes
integridad y disponibilidad de la información.
de control y excepciones que ocurran.
• Plan de emergencias ante desastres.- Disponibilidad de
los sistemas ante eventos.

Mtra. Victoria Ramirez Alvarez

 CONTROL INTERNO DE LA AUDITORIA
INFORMÁTICA
CONTROL DE DESARROLLO, ADQUISICIÓN
Y MANTENIMIENTO DE SISTEMAS DE
INFORMACIÓN

• Metodología de ciclo de vida.- CONTROL DE EXPLOTACIÓN

Y MANTENIMIENTO DE
✓ Dirección publicar normativa de uso del ciclo de vida y SISTEMA DE INFORMACIÓN
su revisión.

✓ Definir responsabilidades las distintas áreas de ▪ Planificación y gestión de recursos

informática que participan en un proyecto. ▪ Control para usar computadoras:
✓ Especificación de requerimientos nuevos deben ser Calendario de carga de trabajo,
definidas por el usuario . programación de personal, mantenimiento

✓ Establece estudio de viabilidad tecnológica. preventivo, gestión de problemas y

✓ Procedimiento para la definición y documentación de cambios, procedimiento para seleccionar

requerimientos software, seguridad lógica y física

✓ Explotación y mantenimiento

Mtra. Victoria Ramirez Alvarez

 CONTROL INTERNO DE LA AUDITORIA
INFORMÁTICA

CONTROL DE CIERTAS
CONTROL EN APLICACIONES
TECNOLOGÍAS

▪ Debe garantizar entrada, actualización, validez y ▪ Control de gestión de base de datos

mantenimiento completo. ▪ Redes
▪ Computadoras personales

Mtra. Victoria Ramirez Alvarez

 CONTROL INTERNO DE LA AUDITORIA
INFORMÁTICA

CONTROL DE CIERTAS TECNOLOGÍAS

▪ Control de gestión de base de datos

▪ Redes
▪ Computadoras personales

Mtra. Victoria Ramirez Alvarez

 FUNCIONES DEL AUDITOR

• El auditor es responsable de informar a la Dirección de la

organización fiabilidad y controles implantados.

• Las principales funciones son:

✓ Participa en revisiones durante y después del diseño, implantación,
explotación de aplicaciones, fases de cambio.

✓Revisar y juzgar controles implementados en los sistema de información.

✓Revisar y juzgar eficiencia, utilidad, fiabilidad y seguridad de los equipos

Mtra. Victoria Ramirez Alvarez

METODOLOGIA DE
AUDITORIA
INFORMÁTICA

Mtra. Victoria Ramirez Alvarez 23

FACTORES DE INTERVENCIÓN EN
AUDITORIA

Define de forma clara y precisa que debe existir y

Normas cumplir en la organización

Organización Funciones y metodologías específicas que deben

cumplir sus integrantes

Metodología Propagación de forma ordenada y eficaz

Objetivos de control Objetivos a cumplir en le proceso de negocio

Procedimientos operacionales documentados en

Procedimientos de control forma ordenada

Hardware, software que controla el riesgo

Tecnologías de seguridad informático

Permite definir uno o varios procedimientos de

Herramientas control

Mtra. Victoria Ramirez Alvarez

 METODOLOGÍA DE AUDITORIA

Origen/ Vista Preliminar
Elaborar planes,
Determinar puntos a
Establecer objetivos presupuestos y
evaluar
programas

Identificar y seleccionar,
Identificar desviaciones Asignar recursos de herramientas, métodos,
Aplicar auditoria
a discusión auditoria técnicas y
procedimientos

Elaborar borrador de Presentar informe de

desviaciones auditoria

Mtra. Victoria Ramirez Alvarez

 METODOLOGÍA DE AUDITORIA

• Para auditar sistemas:

• Análisis de Riesgos evalúa los riesgos.

• Auditoria Informática evalúa el nivel de exposición por falta de

controles.

Mtra. Victoria Ramirez Alvarez

PLAN AUDITOR INFORMÁTICO

FUNCIONES

• Ubica el área de informática en el organigrama

PROCEDIMIENTOS

• Procedimiento de entrega, discusión de

debilidades, informe preliminar, cierre y
redacción de informe final

TIPO DE AUDITORÍA

SISTEMA DE EVALUACIÓN

Mtra. Victoria Ramirez Alvarez

 METODOLOGÍA DE AUDITORIA

• En análisis de riesgos existen dos tipos:

Descripción Metodología Cuantitativa Metodología Cualitativa
Genera un listado de Se basa en métodos
riesgos que se pueden estadísticos y lógica
Concepto comparar entre sí porque borrosa.
contiene valores
numéricos.
Facilita la comparación Plan de trabajo flexible y
entre vulnerabilidades. reactivo.
Ventajas
Proporciona una cifra Identifica eventos.
justificante contra medida
Estimación de probabilidad Depende de la habilidad y
inexistentes calidad del personal a
Desventajas cargo
Difícil de mantener o Puede existir riesgos
modificar
Mtra. Victoria Ramirez Alvarez
 METODOLOGÍA DE AUDITORIA

• Pasos de la metodología de auditoría Análisis de riesgo

Crear informes

Simulaciones

Identificar
contramedidas
Calcular e y costos
impacto
Identificar
riesgo
Cuestionario

Mtra. Victoria Ramirez Alvarez

 BIBLIOGRFÍA

Patianni, Velthius, M. Auditoria de tecnologías de información y sistemas

de información. Alfa Omega

Fernández, Martínez, A. (2018). Gobierno de Tecnologías de

información. Editorial Universidad del Cauca
Echenique, García, J, A. Auditoría informática. McGrawHill

Mtra. Victoria Ramirez Alvarez 30