Auditoría de Sistemas

AUDITORÍA DE SISTEMAS

UNIDAD 2

1
 Auditoría de Sistemas

Unidad 2. Objetivos generales de la auditoría de sistemas

En esta unidad y como complemento de lo visto en la unidad 1, se hace particular

señalar los objetivos que se pretende alcanzar con una auditoría.

• Realizar una revisión independiente de las actividades, áreas o funciones

especiales de una institución, a fin de emitir un dictamen profesional sobre la
razonabilidad de sus operaciones y resultados.
• Hacer una revisión especializada, desde un punto de vista profesional y
autónomo, del aspecto contable, financiero y operacional de las áreas de una
empresa.
• Evaluar el cumplimiento de los planes, programas, políticas, normas y
lineamientos que regulan la actuación de los empleados y funcionarios de una
institución, así como evaluar las actividades que se desarrollan en sus áreas y
unidades administrativas.
• Dictaminar de manera profesional e independiente sobre los resultados
obtenidos por una empresa y sus áreas, así como sobre el desarrollo de sus
funciones y el cumplimiento de sus objetivos y operaciones.

Cabe aclarar que los objetivos antes enunciados son de carácter general; sin
embargo, pueden adecuarse al tipo de auditoría que se pretenda realizar, siendo
indispensable que antes de iniciar la evaluación de algún área, primero se
establezcan de manera precisa los objetivos que se pretende cubrir con esa
auditoría, a fin de contar con su existencia, difusión y cumplimiento.

Debido a la importancia que tiene el objetivo en cada tipo de auditoría, nosotros

tomaremos como base fundamental los siguientes, no quita que, con las nuevas
tecnologías imperantes, aparezcan situaciones a resolver de manera tal que
tengamos que proponer nuevos objetivos a plantearnos.

Clase 4

2.1. Marco esquemático

Evaluación a:

Hardware

• Plataforma de hardware.
• Tarjeta madre.
• Procesadores.
• Dispositivos periféricos.
• Arquitectura del sistema.

2
 Auditoría de Sistemas

• Instalaciones eléctricas, de datos y de telecomunicaciones.

• Innovaciones tecnológicas de hardware y periféricos.

Software

• Plataforma del software.

• Sistemas operativos.
• Lenguajes y programas de desarrollo.
• Programas, paqueterías de aplicación y bases de datos.
• Bibliotecas y aplicaciones.
• Software de telecomunicación.
• Juegos y otros tipos de software.

Se presenta planillas proforma (ya diseñadas) como una manera de atender todo el
parque informático que la organización tiene, no hay algo preciso, salvo en las
certificaciones que veremos más adelante, esto es una visión general de cómo
encarar las primeras acciones de auditoría, conocer con que datos estamos
trabajando. Luego vendrán los informes preliminares y finales de la auditoría en sí,
como forma de discernir sus aplicaciones y funcionamiento.

Como se aprecia a continuación son planillas de la empresa Microsoft que se

utilizaban en los primeros comienzos de auditoría, a medida que esta importancia
fue destacándose, se impuso como una forma ordenada y precisa de contar con los
bienes informáticos respectivos.

En un principio nace como un sistema de inventarios para lo cual se realiza su

ubicación y los datos particulares de hard y soft, luego a medida que se produce el
crecimiento pleno de la actividad, la auditoría como función esperada, responde a
la importancia del control de los sistemas a evaluar.

Ahora, cual es la idea, presentarle las primeras planillas de relevamiento del material
informático inherente a hardware y software, es decir, comenzar a adentrarnos a la
asignatura.

2.2. Ejemplo de relevamiento de datos en Auditoría de Hardware y Software

(caso testigo)

Se presenta a continuación un ejemplo de reportes de auditoría de hardware y

software de la empresa Microsoft.

3
 Auditoría de Sistemas

Reporte de Auditoría de Hardware y Software

Sección 1. Ubicación y Perfil del Contacto

Fecha: Hora:
Departamento/Unidad de Negocio/División
Nombre del Contacto:
Teléfono del empleado:
Identificación de la compañía:
Hardware de auditoría usado para la captura de datos:
Software de auditoría usado para la captura de datos:

Sección 2. Perfil de la PC, Estación de trabajo o Hardware del Server

Fabricante: CD:
Número de Serie: Número de serie monitor:
Modelo: Número de inventario del monitor:
Número de Inventario: Número de serie del teclado:
Tipo de Computadora: Otros:
Tamaño del disco duro:
Tipo de Procesador:
RAM:

4
 Auditoría de Sistemas

Sección 3: Perfil de Sistema Operativo y Software de Aplicación de la PC,

Estación de trabajo, o Server:

Nombre del software:

Versión:
Serie:
Tamaño:
Fecha de instalación:

Instrucciones para la muestra del Reporte de Auditoría de Software

El Reporte de Auditoría de Hardware y Software de Microsoft es una plantilla

diseñada para usar con cada PC, estación de trabajo y server visitada como parte
de la auditoría de software.

Capture los datos relevantes de cada PC, estación de trabajo y server usando las
herramientas de Auditoría.

(Sección 1) Ubicación y perfil del contacto: Fecha: Hora:________

Ingrese el nombre específico del Departamento, Unidad de Negocio o División de la

organización donde se lleva a cabo la auditoría: por ejemplo, División Ventas,
Departamento de Finanzas o Unidad de Negocios de Operaciones. Estos datos
deberían ser consistentes en todo el Reporte de Auditoría de Software.

Ingrese la ubicación del sitio: por ejemplo, Oracle, Quinto Piso, Ala amarilla.

Ingrese el Nombre del Contacto: por ejemplo, Juan Pérez. Esta debería ser la
persona responsable del uso diario de la PC, estación de trabajo o server que está
siendo auditado.

Ingrese el número de la extensión telefónica del Nombre del Contacto que figura
más arriba.

Ingrese la identificación de la compañía para dicho Nombre del Contacto: por

ejemplo, el número de legajo o de tarjeta de acceso. Cualquiera sea la identificación
que elija, debería ser consistente en todo el Reporte de Auditoría.

Ingrese el nombre de la herramienta de auditoría de software que se use para

5
 Auditoría de Sistemas

capturar los datos de cada PC, estación de trabajo o server que está siendo
auditado.

(Sección 2) Perfil de la PC, estación de trabajo o server:

Ingrese la Marca de la PC, Estación de Trabajo o Server: por ejemplo, Compaq,

Lenovo.

Ingrese el Número de Serie de la PC, Estación de Trabajo que está siendo auditada:
por ejemplo, 9319HDL6281 (normalmente ubicada en la parte de atrás de la PC,
Estación de Trabajo o Server, cerca de los tomacorrientes).

Ingrese el nombre del Modelo de PC, Estación de Trabajo o Server que está siendo
auditado: por ejemplo, Compaq.

Ingrese el Número de Inventario de la PC, Estación de Trabajo o Server que está

siendo auditado: por ejemplo, 05933 (si la PC, Estación de trabajo ha sido
identificada debería tener una etiqueta visible con el nombre de la empresa impreso
con el número de inventario. Si aún no ha identificado su hardware, le sugerimos
que aproveche esta oportunidad para comenzar a hacerlo).

Ingrese el tipo de PC, Estación de trabajo o server que está siendo auditado: por
ejemplo: Portable

Ingrese el tamaño del disco duro de la PC, Estación de Trabajo o Server que está
siendo auditado: por ejemplo, 2 Tera.

Ingrese el tipo de procesador de la PC, Estación de Trabajo, o Server que está

siendo auditado, por ejemplo, Core i7

Ingrese la memoria disponible de la PC, Estación de Trabajo, o Server que está

siendo auditado, por ejemplo: RAM DDR4 de 128 GB

Ingrese el tamaño de RAM de la PC, Estación de Trabajo o Server que está siendo
auditado, por ejemplo: 128 GB de RAM.

Ingrese el tipo de diskettera que tiene instalada la PC, Estación de Trabajo o Server
que está siendo auditado, por ejemplo: Flexidrivemv

Ingrese el Número de Inventario del Monitor para el monitor que es parte del
hardware de la PC, Estación de Trabajo o Server que está siendo auditado: por
ejemplo, Número 02721 (si el monitor ha sido inventariado, debería estar en una
etiqueta visible con el nombre impreso de la compañía).

6
 Auditoría de Sistemas

Ingrese el Número de Serie del Monitor de la configuración de hardware de la PC,

Estación de Trabajo, o Server que está siendo auditado, por ejemplo: Número de
serie OYT 01411 (normalmente está atrás del monitor, cerca de la fuente de
alimentación).

Ingrese el Número de Inventario del Teclado de la configuración de hardware de la

PC, Estación de Trabajo o Server que está siendo auditado: por ejemplo, Número
de inventario 02722 (si el teclado ha sido inventariado debería tener una etiqueta
visible con el nombre de la compañía impreso).

Ingrese el Número de Serie del Teclado de la configuración de hardware de la PC,

Estación de Trabajo o Server que está siendo auditado: por ejemplo, Teclado
número OYT 457311 (normalmente está en la parte de abajo del teclado).

(Sección 3) Perfil del sistema operativo y software de aplicación de la PC,

Estación de Trabajo o Server:

Como parte de la captura de datos para todas las PCs, Estaciones de Trabajo o
Servers en cada Departamento, Unidad de Negocios o División de la organización,
se deberá volcar la siguiente información en el Reporte de Auditoría de Software:

Ingresar el Nombre del Producto de Software y el Nombre del Editor del Software,
por ejemplo, Word, Microsoft.

Ingresar el Número de Versión del Producto de Software, por ejemplo, Windows

2016

Ingresar el Número de Serie del Producto de Software, por ejemplo 001-330-

0000000.

Ingresar el Nombre del Archivo que identifica ese Producto de Software por ejemplo
WINWORD.EXE

Ingresar los datos de instalación, por ejemplo, el sello que identifica la Auditoría de
Software.

Otros.

Como se aprecia en estas planillas, es el relevamiento de nuestro “parque”

informático, para designar a las áreas involucradas, al menos tenemos una idea de
cómo se trabaja en una empresa de la envergadura de Microsoft, ahora bien, la idea
es que tengan un panorama o visión de lo que hay que auditar.

7
 Auditoría de Sistemas

Seguimos con las áreas involucradas en auditoría.

Gestión informática

• Actividad administrativa del área de sistemas.

• Operación del sistema de cómputo.
• Planeación y control de actividades.
• Presupuestos y gastos de los recursos informáticos.
• Gestión de la actividad informática.
• Capacitación y desarrollo del personal informático.
• Administración de estándares de operación, programación y
desarrollo.

Información

• Administración, seguridad y control de la información.

• Salvaguarda, protección y custodia de la información.
• Cumplimiento de las características de la información.

Diseño de sistemas

• Metodologías de desarrollo de sistemas.

• Estándares de programación y desarrollo Documentación de
sistemas.
• Documentación de sistemas.

Bases de datos

• Administración de bases de datos.

• Diseño de bases de datos.
• Metodologías para el diseño y programación de bases de datos.
• Seguridad, salvaguarda y protección de las bases de datos.

8
 Auditoría de Sistemas

Seguridad

• Seguridad del área de sistemas.

• Seguridad física.
• Seguridad lógica.
• Seguridad de las instalaciones eléctricas, de datos y de
telecomunicaciones.
• Seguridad de la información, redes y bases de datos Administración y
control de las bases de datos.
• Seguridad del personal informático.

Redes

• Plataformas y configuración de las redes.

• Protocolos de comunicaciones.
• Sistemas operativos y software.
• Administración de las redes de cómputo.
• Administración de la seguridad de las redes.
• Administración de las bases de datos de las redes.

Especializadas

• Outsourcing.
• Helpdesk.
• Ergonomía en sistemas informáticas.
• ISO-9000.
• Internet/intranet.
• Sistemas multimedia.