UNIVERSIDAD TECNOLÓGICA DE PANAMÁ

CENTRO REGIONAL DE CHIRIQUÍ

FACULTAD DE INGENIERÍA DE SISTEMAS
COMPUTACIONALES

FUNDAMENTOS DE SI

FACILITADORA
ING. YURAISMA MORENO
TEMA NO.8: METODOLOGÍA PARA REALIZAR AUDITORÍAS DE TIC
 INTRODUCCIÓN

Debido al potencial crecimiento tecnológico experimentado en las últimas décadas, a la rápida expansión de la red en
prácticamente la totalidad de los negocios y al aumento de amenazas de seguridad, la vigilancia de los sistemas
informáticos empleados resulta indispensable. Por otro lado, existe cada vez una mayor adaptación por parte de
empresas a estándares de TI comunes.
La Auditoría Informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y
que consiste en recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el
activo empresarial, mantiene la integridad de los datos ya que esta lleva a cabo eficazmente los fines de la
organización, utiliza eficientemente los recursos, cumple con las leyes y regulaciones establecidas.
Las auditorías de TIC permiten detectar de forma sistemática el uso de los recursos y los flujos de información
dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos,
identificando necesidades, falsedades, costes, valor y barreras, que obstaculizan flujos de información eficientes.
 OBJETIVOS DE
APRENDIZAJE

▪ Definir una metodología para la

ejecución de la Auditoría de Tecnologías
de Información y Comunicación.

▪ Estudiar el concepto, importancia y

estructura de los papeles de trabajo del
auditor.
 DEFINICIÓN DE AUDITORÍA DE GESTIÓN
DE TIC

 La Auditoría de Gestión a las Tecnologías de Información y

Comunicaciones, consiste en el examen de carácter objetivo
(independiente), crítico (evidencia), sistemático (normas) y selectivo
(muestral) de las políticas, normas, funciones, actividades, procesos e
informes de una entidad, con el fin de emitir una opinión profesional
(imparcial) con respecto a: eficiencia en el uso de los recursos
informáticos, validez y oportunidad de la información, efectividad de los
controles establecidos y la optimización de los recursos tecnológicos.
 DEFINICIÓN DE AUDITORÍA DE GESTIÓN
DE TIC

 Este enfoque es totalmente compatible con las prácticas y controles

contenidos en COBIT, ITIL, ISO, COSO, NIST, entre otros, que hacen
referencia a las pistas de auditoría en los sistemas informáticos,
controles de acceso a los sistemas, bases de datos, áreas de Tecnología
de la Información y Comunicaciones (TIC´s), área de servidores,
codificación de la información, prevención de virus, fraudes, seguridad del
usuario final, detección y mitigación de intrusos, entre otros.
 Éstos estándares no proporcionan un criterio legal aplicable si no han
sido adoptados por la entidad, pero sí procedimientos de auditoría para
examinar la gestión tecnológica en las diferentes organizaciones.
Sujeto de la auditoría Identificar el área que será
auditada.

Objeto de la auditoría Identificar el propósito de la

auditoría.
Por ejemplo: cambios en el código
fuente se dan en ambiente
controlado; seguridad física.

Alcance de la auditoría Identificar los sistemas

específicos, la función o unidad de
la organización incluida en la
revisión.
Por ejemplo: cambios en los
sistemas, se puede limitar la
revisión de un solo sistema en
producción; seguridad física del
centro de cómputo.
 ETAPAS QUE COMPONEN LA
METODOLOGÍA

Fase III: Dictamen y

Fase I: Planificación Fase II: Ejecución de
comunicación de los
de la auditoría la auditoría
resultados
FASE I: PLANEACIÓN DE LA AUDITORÍA

Plan de auditoría Comprensión de la Definición del

preliminar organización, procesos programa y alcance de
de negocio y sistemas la auditoría
 FASE II: EJECUCIÓN DE LA AUDITORÍA

Evaluación del Evaluación del

Diseño de las Ejecución de las
control interno resultado de las
pruebas de auditoría pruebas de auditoría
pruebas de auditoría
 FASE III: DICTAMEN FINAL Y
COMUNICACIÓN DE LOS RESULTADOS

Elaboración del informe con Seguimiento a las

los resultados de la auditoría observaciones de la auditoría
ACTIVIDADES Y ENTREGABLES POR ETAPA
ACTIVIDADES Y ENTREGABLES POR ETAPA
ACTIVIDADES Y ENTREGABLES POR ETAPA
FASE I
OBJETIVOS DE LA
AUDITORÍA

 El objetivo general que es el fin global

de lo que se pretende alcanzar con
el desarrollo de la auditoría
informática y de sistemas, en él se
plantean todos los aspectos que se
pretende evaluar.
 Los objetivos específicos que son los
fines individuales que se pretenden
para el logro del objetivo general,
donde se señala específicamente los
sistemas, componentes o elementos
concretos que deben ser evaluados.
 ASIGNACIÓN DE RECURSOS, PRESUPUESTOS Y ESTIMACIÓN DEL
TIEMPO REQUERIDO PARA EFECTUAR LA AUDITORÍA
 Con base en la complejidad técnica de los procesos de negocio y sistema de información sujetos a auditoría y en
el volumen de trabajo estimado para satisfacer los objetivos propuestos, es necesario definir las competencias
necesarias del equipo de auditoría y estimar las necesidades de tiempo que se requerirán. Suponga que se
presupuestan 480 horas para todo el trabajo, las que podrían ser asignadas así: 15% para labores de supervisión,
20% para el auditor a cargo y el restante 65% para los auditores in situ.
COMPRENSIÓN DE LOS PROCESOS DE NEGOCIO Y
SISTEMAS DE INFORMACIÓN QUE LOS SOPORTAN

 Esta etapa tiene como objetivos conocer y comprender el ambiente de

organización, tecnológico y operativo de los procesos de negocio y los sistemas
de información que los soportan.
 Implica para el auditor, realizar un levantamiento de la información detallada a
través de entrevistas con las personas apropiadas, de observación de la forma
como se ejecutan las operaciones y de la comprensión de la lógica del negocio,
los flujos de información, el rol de las personas y dependencias que intervienen
en el manejo de las operaciones y otros aspectos que el auditor considere
importantes.
 Cuando se realiza por primera vez la auditoría en un servicio, la información
relevante obtenida en esta etapa se organiza en un documento conocido como
archivo permanente o expediente continuo de auditoría. Si el archivo ya existe, es
necesario su revisión y actualización con los cambios efectuados desde la última
auditoría. Este documento contiene información sobre los objetivos y procesos
que soportan los sistemas de información y sobre los recursos de tecnología
utilizados (instalaciones de procesamiento, infraestructura, personal, contratos,
etc.) y la importancia relativa de las cifras que se procesan y otros datos de
interés.
IDENTIFICAR Y SELECCIONAR LOS
MÉTODOS, HERRAMIENTAS,
INSTRUMENTOS Y
PROCEDIMIENTOS NECESARIOS

 Establecer la guía de
ponderación de cada uno de
los puntos que se debe evaluar.
 Elaborar una guía de la
auditoría, elaborar el
documento formal de la guía
de auditoría, determinar las
herramientas, métodos y
procedimientos para la
auditoría de sistemas.
 Diseñar los sistemas,
programas y métodos de
pruebas para la auditoría.
LEVANTAMIENTO DE LA INFORMACIÓN BÁSICA Y DETALLADA

 De los procesos de negocio

 Estructura organizacional
 Estructura de las áreas propietarias de la información de los procesos de negocio
 Clientes interno y externos
 Dependencias de la organización
 Tareas o actividades que realiza cada dependencia
 Terceros que intervienen en el manejo de la información
 Cuantificación de las cifras de operaciones que manejan los procesos de negocio (promedio durante un año)
 Políticas y procedimientos establecidos en la organización relacionados con los procesos de negocio
 Normas legales e institucionales que rigen el funcionamiento del servicio
 Información sobre fraudes y otros antecedentes en las operaciones del servicio y otros
LEVANTAMIENTO DE LA INFORMACIÓN BÁSICA Y DETALLADA

 De las tecnologías de información que soportan los procesos de negocio

 Funciones y operaciones del negocio que ejecutan los sistemas
 Modelo entidad/relación de las bases de datos de los sistemas
 Diccionario de datos de los modelos entidad/relación
 Inventario de documentos fuentes y otros medios de entrada de datos
 Personas claves que dan soporte técnico a la operación y mantención de los sistemas para cada dependencia.
 Terceros que prestan servicios de tecnologías de información para los procesos de negocio.
 Inventario de informes que producen los sistemas y destinatarios de los mismos
 Interfaces entre sistemas (información que reciben o proporcionan a otros sistemas)
 Manuales existentes con la documentación técnica y del usuario
 Plataforma en la que funcionan los sistemas de información (sistema operativo, software de desarrollo y motor de base de datos
utilizados)
 Si el sistema de información fue adquirido; datos del proveedor, año de adquisición, versión en producción, cantidad de usuarios con
licencia, poseen programas fuentes y contrato de mantención)
 Si el sistema de información fue desarrollado internamente (tipo de lenguaje utilizado, archivos fuentes y ejecutables, fecha de ingreso
a producción, versión actual en producción) y otros
LEVANTAMIENTO DE LA INFORMACIÓN BÁSICA Y DETALLADA

 De las tecnologías de información que soportan los procesos de negocio

 Funciones y operaciones del negocio que ejecutan los sistemas
 Modelo entidad/relación de las bases de datos de los sistemas
 Diccionario de datos de los modelos entidad/relación
 Inventario de documentos fuentes y otros medios de entrada de datos
 Personas claves que dan soporte técnico a la operación y mantención de los sistemas para cada dependencia.
 Terceros que prestan servicios de tecnologías de información para los procesos de negocio.
 Inventario de informes que producen los sistemas y destinatarios de los mismos
 Interfaces entre sistemas (información que reciben o proporcionan a otros sistemas)
 Manuales existentes con la documentación técnica y del usuario
 Plataforma en la que funcionan los sistemas de información (sistema operativo, software de desarrollo y motor de base de datos utilizados)
 Si el sistema de información fue adquirido; datos del proveedor, año de adquisición, versión en producción, cantidad de usuarios con licencia,
poseen programas fuentes y contrato de mantención)
 Si el sistema de información fue desarrollado internamente (tipo de lenguaje utilizado, archivos fuentes y ejecutables, fecha de ingreso a
producción, versión actual en producción).
ESTRUCTURA Y ORGANIZACIÓN DE LOS ARCHIVOS DE TRABAJO
Archivo permanente
 Es el archivo con los antecedentes que reflejan el
estado de organización y funcionamiento de los
procesos y sistemas auditados en una entidad. Este
archivo contiene información de la organización que
es poco cambiante y, por consiguiente, tiene validez
continua a través del tiempo. Generalmente, se
elabora completamente en la primera auditoría y en
las demás se reemplazan unos documentos por
otros actualizados (visión, misión, organigrama y
otros)
Archivo de hojas de trabajo o transitorios
 Es el archivo con las hojas de trabajo que contienen
las evidencias del desarrollo de cada una de las
etapas de la auditoría. Los documentos de este
archivo tienen validez por una sola vez, es decir, para
cada auditoría realizada a las aplicaciones que están
en proceso de evaluación. Por consiguiente, cada vez
que se efectúe una auditoría se debe elaborar un
nuevo archivo con la información recopilada.
FASE II
EJECUCIÓN
 Se debe obtener evidencia suficiente, confiable y pertinente para alcanzar los objetivos de auditoría.
 Los hallazgos y conclusiones de la auditoría deberán ser soportados mediante un apropiado análisis
e interpretación de dicha evidencia.
 El proceso de auditoría deberá documentarse, describiendo las labores de auditoría realizadas y la
evidencia de auditoría que respalda los hallazgos y conclusiones del auditor de SI.
FASE III
 DICTAMEN FINAL
 Elaboración del informe preliminar de
las situaciones que se han detectado.
 Elaboración del dictamen final y la
presentación del informe de
auditoría.
 Junto con la detección de las
oportunidades de mejoramiento se
debe realizar el análisis de los papeles
de trabajo y la elaboración del
borrador de las oportunidades
detectadas, para ser discutidas con
los auditados, después se hacen las
modificaciones necesarias y
posteriormente el informe final de las
situaciones detectadas.
PAPELES DE TRABAJO DEL AUDITOR
OBJETIVOS

 Proporcionar la información básica y

fundamental necesaria para facilitar la
planeación, organización y desarrollo
de todas las etapas del proceso de
auditoría.

 Respaldar la opinión del auditor

permitiendo realizar un examen de
supervisión y proporcionando los
informes suficientes y necesarios que
serán incluidos en el informe de
auditoría, además, sirve como
evidencia en caso de presentarse
alguna demanda.
OBJETIVOS

 Permitir establecer un registro histórico disponible permanentemente

en caso que se presente algún requerimiento.
 Permitir demostrar si el trabajo del auditor fue debidamente planeado,
determinando su eficiencia y eficacia.
 Registrar evidencia de las pruebas realizadas.
 Servir como punto de referencia para posteriores auditorías.
 Servir de puente entre el informe de auditoría y las áreas auditadas.
ESTRUCTURA

 Nombre empresa auditada Nombre papel de trabajo

 Periodo auditado
 Nombre de personas que aprueba, supervisan y ejecutan el trabajo
 Fecha de terminación de cada papel
 Identificación de la fuente de información y documentación comprobatoria según el caso
 Método de verificación empleado
 Alcance de los procedimientos
 Conclusión
 Recomendaciones