AUDITORÍA DE

SISTEMAS

UNIDAD 1: Conceptos básicos

 CONCEPTO DE AUDITORÍA

• La palabra auditoria viene del latín auditorius y de esta proviene auditor, que
tiene la virtud de oír y revisar.

Según la ISO 19011:2002

Proceso sistemático, independiente y documentado para obtener evidencias de la
auditoría y evaluarlas de manera objetiva con el fin de determinar el grado de
cumplimiento de los criterios de auditoría.
 ¿QUE ES LA AUDITORÍA DE SISTEMAS ?

Es el examen objetivo, crítico, sistemático, posterior y selectivo que se hace a la

administración informática de una organización, con el fin de emitir una opinión acerca de:

• La eficiencia en la adquisición y utilización de los recursos informáticos.

• La confiabilidad, la integridad, la seguridad y oportunidad de información.
• La efectividad de los controles en los sistemas de información.
 ¿QUE ES LA AUDITORÍA DE SISTEMAS ?

La auditoria de sistemas se centra en determinar los riesgos que son relevantes

para los activos de información, y en la evaluación de los controles a fin de
reducir o mitigar estos riesgos. Mediante la implementación de controles, el
efecto de los riesgos se pueden minimizar, pero no puede eliminar por completo
todos los riesgos.

El objetivo es evaluar la capacidad de la organización para proteger sus activos de

información y debidamente prescindir de la información a personas autorizadas.
 PRINCIPALES RAZONES PARA AUDITAR Y
CONTROLAR LOS SISTEMAS DE INFORMACIÓN

• Toma de decisiones incorrectas.

• Reducir el costo de los errores.
• Control del uso de las TIC.
• Consecuencias de las pérdidas de datos.
• Valor del hardware, del software y del personal.
• Privacidad de los datos personales.
• Fraude informático.
 PRINCIPALES AREAS DE ACTIVIDAD DE LA A.S.

• Auditoría de la dirección (Plan Estratégico de Sistemas).

• Auditoría del desarrollo (Gestión de proyecto).
• Auditoría de la Adquisición.
• Auditoría Seguridad (Seguridad Física, Seguridad Lógica, Evaluación de Riesgos,
Plan de Contingencias).
• Auditoría de la explotación y Mantenimiento (Utilización de sistemas, puesta en
marcha, cambios de programas).
 PRINCIPALES FUNCIONES DE LA A.S.
• Evaluación y verificación de controles y procedimientos relacionados con la función de
informática.
• Verificación del uso eficiente de los SI.
• Desarrollo de las actividades del área de auditoría informática de acuerdo a
estándares normativos.
• Evaluación de las áreas de riesgo y en consecuencia planificación de las tareas del
área.
• Realizar el monitoreo permanente de las actividades del área.
• Realizar el monitoreo de la seguridad.
• Monitoreo de la aplicación de procedimientos.
• Realizar una adecuada información y seguimiento de las observaciones realizadas.
 CLASIFICACIÓN DE LOS TIPOS DE AUDITORÍA

 Interna
1. Auditorías por su lugar de Origen  Externa

 Financiera  Administrativa
2. Auditorías por su  Operacional  Integral
Área de Aplicación  Gubernamental  De Sistemas
 CLASIFICACIÓN DE LOS TIPOS DE AUDITORÍA

3. Auditorías de Sistemas Computacionales

 Audit. Informática  Audit. con la Computadora

 Audit. sin la computadora
 Audit. alrededor de la computadora
 Audit. de Seguridad de Sist Computac.  Audit. a los Sistemas de Redes

 Audit. ISO 9000 a los Sist. Computac.  Audit. Integral a los Centros de Cómputo

 Audit. Outsourcing
 AUDITORÍAS POR SU LUGAR DE ORIGEN

Auditoría Externa

Es la revisión que lleva a cabo una persona u organismo independiente de la empresa y tiene por
objeto evaluar el desempeño en las actividades, operaciones y funciones que se ejecutan, además
de determinar si los datos de la empresa se ajustan a los resultados financieros reales.
El objetivo final es contar con un dictamen Externo e Imparcial sobre las actividades de toda la
empresa, que permitan diagnosticar la actuación administrativa, operacional y funcional de
empleados y funcionarios de la empresa.
 AUDITORÍAS POR SU LUGAR DE ORIGEN

Auditoría Interna

Es la evaluación que lleva a cabo una persona o grupo que labora en la empresa y tiene por objeto
evaluar de forma interna el desempeño de las actividades, operaciones y funciones que se ejecutan,
además de determinar si los datos de la empresa se ajustan a los resultados financieros reales.
El objetivo final es contar con un dictamen Interno sobre las actividades de toda la empresa, que
permitan diagnosticar la actuación administrativa, operacional y funcional de empleados y
funcionarios de las áreas que se auditan.
 AUDITORÍA EXTERNA

Ventajas
Trabajo libre de cualquier
intervención interna
Utilizan técnicas y Puede desarrollarse en ambientes
herramientas probadas en
otras empresas (experiencia)
 Dictámenes que tienen
carácter vinculante.
Desventajas
Desconocimiento de la empresa
Dependencia de cooperación del
Auditado
Evaluación, alcances y resultados
limitado a información recopilada
hostiles (impuestas)
Aumento de costos de tiempo y
trabajo adicional para la empresa
 AUDITORÍA INTERNA

Ventajas Desventajas

 Puede limitar la veracidad,

Conoce las actividades, alcance y confiabilidad por
operaciones y áreas, revisión intervención interna de
profunda e informes valiosos. autoridades
No afecta los costos por ser un
recurso interno Pueden existir presiones internas,
Informes de carácter interno, compromisos o intereses
directo a las autoridades y ayuda a
la toma de decisión
Permite detectar problemas y
desviaciones a tiempo
 AUDITORÍAS POR SU ÁREA DE APLICACIÓN

Auditoría Financiera (Contable)

Es la revisión que lleva a cabo un Contador para verificar que la información

cuantificable contenida en los estados financieros se presentan de acuerdo a los
principios de contabilidad generalmente aceptados, para avalar la posición financiera y
económica de la Organización.
 AUDITORÍAS POR SU ÁREA DE APLICACIÓN

Auditoría Informática

Es la revisión técnica, especializada y exhaustiva que se realiza a los sistemas

Informáticos, software, información, redes, instalaciones, comunicaciones, mobiliario,
seguridad y todo el entorno computacional, a fin de analizar, evaluar, verificar y
recomendar asuntos relativos a la planificación, control, eficacia, seguridad y
adecuación del servicio informático en la empresa.
 AUDITORÍAS POR SU ÁREA DE APLICACIÓN

Auditoría Administrativa

Es la revisión que lleva a cabo un Licenciado en Administración para evaluar que la

actividad administrativa de las áreas de empresa están cumpliendo con los
procedimientos operativos, métodos, técnicas de trabajo, normas, políticas y
reglamentos establecidos que regulan sus operaciones y el uso de sus recursos.
 SÍNTOMAS DE NECESIDAD DE AUDITORÍA INTERNA

Síntomas de descoordinación y desorganización

• No hay visión clara y conjunta de los objetivos de la Informática de la empresa.
• Los estándares de productividad se desvían sensiblemente de los promedios
conseguidos habitualmente.

Síntomas de mala imagen e insatisfacción de los usuarios

• No se atienden las peticiones de cambios de los usuarios.
• No se reparan las averías de Hardware ni se resuelven incidencias en plazos
razonables.
• No se cumplen en todos los casos los plazos de entrega acordados.
 SÍNTOMAS DE NECESIDAD
DE AUDITORÍA INTERNA

Síntomas de debilidades económico-financiero

• Incremento desmesurado de costos.
• Necesidad de justificación de Inversiones Informáticas (la empresa no está
absolutamente convencida de tal necesidad y decide contrastar opiniones).
• Desviaciones Presupuestarias significativas.
• Determinación de Costos y plazos de desarrollo de nuevos proyectos.
 SÍNTOMAS DE NECESIDAD
DE AUDITORÍA INTERNA

Síntomas de Inseguridad: Evaluación de nivel de riesgos

• Seguridad Lógica
• Seguridad Física
• Confidencialidad de los datos
• Continuidad del Servicio: Estrategias de continuidad entre fallos mediante Planes de contingencia
totales y locales.
• Centro de Proceso de Datos fuera de control.
EL CICLO DE VIDA DE LA AUDITORÍA

PLANEACIÓN

EJECUCIÓN

INFORME
 PREPARACIÓN DE LA AUDITORÍA

• Conocer puntos relevantes de auditorías anteriores (internas y externas) y

documentación relevante.
• Establecimiento de métodos y técnicas de trabajo.
• Preparación de los documentos de trabajo.
• El auditor-líder representará oficialmente al equipo auditor junto al auditado.
ALCANCE
 ¿PREOCUPARSE POR AUDITAR SI?

Auditor Auditor de SI

Estados Financieros Firewalls Seguridad

Virus
Regulaciones Hackers Controles de TI
Control Interno Firma digital
VPNs

Administración de Riesgos de TI
riesgos

Gobierno Corporativo Gobierno de TI

 Gracias
Jessica Lorena Díaz
Facultad de Ingeniería
Ingeniería Industrial
2016