FUNDAMENTOS DE AUDITORÍA DE

SISTEMAS

MSc. LIC. CLAUDIA YAÑIQUEZ

AUDITORIA
DE SISTEMAS
Definición de auditoria.....
• puede referirse al
Auditoría es un trabajo que realiza
término que un auditor,
puede hacer • a la tarea de
referencia a tres estudiar la
economía de una
cosas diferentes empresa,
pero • o a la oficina donde
conectadas se realizan estas
tareas (donde
entre sí: trabaja el auditor).
La actividad de auditar consiste en realizar
un examen de los procesos y de la
actividad económica de una organización
para confirmar si se ajustan a lo fijado por
las leyes o los buenos criterios.

Por lo general, el término se refiere a la

auditoría contable, que consiste en
examinar las cuentas de una entidad.
Puede decirse que la auditoría es un tipo de examen o evaluación que
se lleva a cabo siguiendo una cierta metodología.

Lo habitual es que el auditor no pertenezca a la entidad auditada.

Existen grandes firmas dedicadas a las auditorías contables,

como PricewaterhouseCoopers, Deloitte, KPMG y Ernst & Young.
 La auditoría intenta también
brindar pautas que ayuden a
los miembros de una
empresa a desarrollar
adecuadamente sus
actividades,

evaluándolos,
recomendándoles
determinadas cosas y
revisando detenidamente la
labor que cada uno cumple
dentro de la organización.
 de toda la entidad es
En una empresa, la fundamental para poder
Dicha labor es la
evaluación en lo que discernir si se han
correspondiente a las
respecta al desempeño alcanzado los objetivos
auditorías.
organizacional que se deseaban.
 DEFINICIÓN DE AUDITORIA
INFORMÁTICA

correspondiente al uso de a fin de que se logre una

Es la evaluación y
los recursos de informática utilización más eficiente y
verificación de las políticas,
por el personal de la segura de la información que
controles, procedimientos y
empresa (usuarios, servirá para una adecuada
la seguridad en general,
informática, alta dirección), toma de decisiones.
Según José A. Echenique, la auditoría en informática

Es la revisión y evaluación de los controles,

sistemas, procedimientos de informática; de los
equipos de cómputo, su utilización, eficiencia y
seguridad, de la organización que participa en el
procesamiento de la información,
a fin de que por medio del señalamiento de
cursos alternativos se logre una utilización
más eficiente y segura de la información que
servirá para una adecuada toma de
decisiones.
La auditoría en informática deberá comprender

No sólo la evaluación de los equipos de cómputo o de un

sistemas o procedimiento especifico, sino que además
habrá de evaluar los sistemas de información en general
desde sus entradas, procedimientos, controles archivos,
seguridad y obtención de información.
Ello debe incluir los equipos de computo como la
herramienta que permite obtener la información adecuada
y la organización especifica que hará posible el uso de los
equipos de cómputo.
Según Mario Piattini Velthuis,

La auditoría informática es “el proceso de

recoger, agrupar y evaluar evidencias para
determinar si un sistema informatizado
salvaguarda los activos,
Según Mario Piattini Velthuis,

Mantiene la integridad de los datos, lleva a

cabo eficazmente los fines de la organización y
utiliza eficientemente los recursos”.
 AUDITORÍA DE SISTEMAS
Desde el punto de vista administrativo, cuando se habla de
auditoría sistemas se refiere a los SISTEMAS DE
INFORMACIÓN utilizados en las empresas públicas o
privadas, mas no al computador como tal, que en sí es una
herramienta de los sistemas de información. Se debe tener
presente que la administración es un sistema abierto y por
tanto cambiante en sus conceptos, técnicas y que está
influenciada por lo que acontece en su alrededor.
La auditoría de los sistemas de información

Se define como cualquier auditoría que abarca la

revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas
automáticos de procesamiento de la información,

incluidos los procedimientos no automáticos relacionados con ellos y las interfaces

correspondientes;

también se puede decir que es el examen y evaluación de los procesos del área de
Procesamiento Electrónico de Datos (PED)

y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia,
efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y
recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas”.
 Auditor

Su trabajo implica analizar

La persona encargada de
realizar dicha evaluación
recibe el nombre
de auditor.
detenidamente las acciones
de la empresa y los
documentos donde las
mismas han sido registradas
y determinar si las medidas
que se han tomado en los
diferentes casos son
adecuadas y han
beneficiado a la compañía.
 Auditoria Interna

Una • Un análisis detallado del sistema de

información de la empresa, para el mismo
auditoría se utilizan una serie de técnicas y métodos
específicos.
interna, por • Los informes los realiza un profesional que
su parte, se tiene vínculos laborales con la compañía y
los mismos circulan de forma interna sin
trata de: tener validez legal fuera de la compañía.
 Auditoria Externa

• consiste en un examen detallado sobre el

Una sistema de información;
• es realizado por un auditor que no se

auditoría encuentre vinculado con la compañía.

• Su objetivo primordial es averiguar la
integridad y autenticidad de las acciones y
externa expedientes que se encuentran dentro del
sistema de información de la organización.
Objetivos de una auditoría de sistemas
Asegurar una mayor integridad, confidencialidad y
confiabilidad de la información.

Seguridad del personal, los datos, el hardware, el

software y las instalaciones.

Minimizar existencias de riesgos en el uso de Tecnología de

información

Conocer la situación actual del área informática para

lograr los objetivos.
Objetivos de una auditoría de sistemas
Apoyo de función informática a las metas y
objetivos de la organización.

Seguridad, utilidad, confianza, privacidad y

disponibilidad en el ambiente informático.

Incrementar la satisfacción de los usuarios

de los sistemas de información.
Objetivos de una auditoría de sistemas
Capacitación y educación sobre controles en
los Sistemas de Información.

Buscar una mejor relación costo-beneficio

de los sistemas de informacion .

Decisiones de inversión y gastos

innecesarios.
 Tipos de Auditorias
Áreas Generales

Interna

Dirección

Usuario

Seguridad
 Tipos de Auditorias
Áreas Específicas

Explotación

Desarrollo

Sistemas

Comunicaciones

Seguridad
 POR EJEMPLO

• AUDITORIA EN: – Seguridad física

–Sistemas – Explotación
–Redes de – Desarrollo
comunicación – Aplicaciones
– Mantenimiento
–Base de datos
– Centro de procesamiento
–Seguridad lógica de datos
 AUDITORIA DE DESARROLLO DE
APLICACIONES
Revisión y evaluación de
• las metodologías utilizadas
• Control Interno de las Aplicaciones: se deberán revisar las mismas fases que
presuntamente han debido seguir el área correspondiente de Desarrollo:
Estudio de Vialidad de la Aplicación.
Definición Lógica de la Aplicación.
Desarrollo Técnico de la Aplicación.
Diseño de Programas.
Métodos de Pruebas.
Documentación.
Equipo de Programación.
 AUDITORIA DE DESARROLLO DE
APLICACIONES
• Satisfacción de usuarios: Una Aplicación técnicamente
eficiente y bien desarrollada, deberá considerarse
fracasada si no sirve a los intereses del usuario que la
solicitó
• Control de Procesos y Ejecuciones de Programas Críticos:
El auditor no debe descartar la posibilidad de que se esté
ejecutando un módulo que no se corresponde con el
programa fuente que desarrolló, codificó y probó el área
de Desarrollo de Aplicaciones.
AUDITORIA EN REDES DE COMUNICACIÓN
• Revisión y Evaluación de Redes de Comunicaciones deberá inquirir sobre
los índices de utilización de las líneas contratadas con información
abundante sobre tiempos de desuso.
• Deberá evaluar la topología de la Red de Comunicaciones, asi como
documentación. Y revisar aspectos que puedan generar vulnerabilidad
como: La inexistencia de datos sobre la cuantas líneas existen, cómo son
y donde están instaladas, supondría que se bordea la Inoperatividad
Informática. Sin embargo, las debilidades más frecuentes o importantes
se encuentran en las disfunciones organizativas. La contratación e
instalación de líneas va asociada a la instalación de los Puestos de Trabajo
correspondientes (Pantallas, Servidores de Redes Locales, Computadoras
con tarjetas de Comunicaciones, impresoras, etc.). Todas estas
actividades deben estar muy coordinadas y a ser posible, dependientes
de una sola organización.
 Auditoria de seguridad
• La auditoria de seguridad informática abarca
la seguridad física y seguridad lógica.
 Auditoria en seguridad física
• La seguridad física se refiere a la evaluación
de la protección del Hardware y de los
soportes de datos, así como a la de los
edificios e instalaciones que los albergan.
Contempla las situaciones de incendios,
sabotajes, robos, catástrofes naturales, etc.
 Auditoria en seguridad logica
• Se refiere a la evaluación seguridad de uso
del software, a la protección de los datos,
procesos y programas, así como la del
ordenado y autorizado acceso de los usuarios
a la información.
 Auditoria de sistemas de información
• la auditoria de los sistemas de información es
definida como cualquier auditoria que abarque la
revisión y evaluación de todos los aspectos de
los sistemas automáticos de procesamiento de
la información, incluyendo los procedimientos no
automáticos relacionados con ellos y las interfaces
correspondientes.
 Auditoria en Bases de Datos
• Es el proceso de evaluación que permite medir,
asegurar, demostrar, monitorear y registrar los
accesos a la información almacenada en las bases
de datos incluyendo la capacidad de determinar
Quién accede a los datos.
 Fin de unidad

AUDITORIA
DE SISTEMAS