Universidad Autónoma de Chiriquí

Facultad de Administración de
Empresas y
Contabilidad

Licenciatura en Contabilidad
Escuela de Contabilidad

Auditoría de con Software de Auditoría

CON440
Profesor:
Lucio Montilla

Preguntas de desarrollo
Realizado por:
Dariela Cortez 4-282-857
Darineth Espinoza 04-806-0428

EDDANUVBIA VILLARREAL 4 -743-215

II Semestre académico
Año
2023
 INTRODUCCION

La auditoría de dirección y la auditoría de seguridad son dos procesos

fundamentales en la gestión de una organización, ya que se enfocan en evaluar y
mejorar aspectos cruciales para el éxito y la continuidad de la misma. A
continuación, se presenta una breve introducción a ambas auditorías:

Auditoría de Dirección:

La auditoría de dirección es un proceso sistemático y objetivo que tiene como

objetivo evaluar la eficacia de la alta dirección de una organización en la toma de
decisiones, la planificación estratégica y la dirección general de la empresa. Su
objetivo principal es asegurarse de que la dirección de la organización esté
alineada con los objetivos y metas estratégicas de la empresa, y que se estén
tomando las medidas adecuadas para alcanzarlos.

En esta auditoría, se revisan aspectos como la definición y comunicación de la

visión, misión y valores de la organización, la planificación estratégica, la
asignación de recursos, la toma de decisiones y el liderazgo. Se busca identificar
áreas de mejora y proponer recomendaciones para optimizar la gestión de la alta
dirección y, en última instancia, el rendimiento global de la empresa.

Auditoría de Seguridad:

La auditoría de seguridad, por otro lado, se enfoca en evaluar la efectividad de las

medidas de seguridad implementadas en una organización para proteger sus
activos, datos, sistemas y recursos contra posibles amenazas y riesgos de
seguridad. Estas amenazas pueden incluir cibera taques, intrusiones físicas,
desastres naturales y otros eventos que puedan poner en peligro la integridad y
confidencialidad de la información.
AUDITORIA DE LA DIRECCION

1. Alcance de la Auditoria
El alcance de una auditoría de dirección se refiere a la extensión y los
límites de la revisión y evaluación que se llevará a cabo sobre la dirección
de una organización o entidad. La auditoría de dirección tiene como objetivo
evaluar la efectividad, eficiencia y legalidad de las decisiones y acciones
tomadas por la alta dirección de una organización.

● Organización y calificación de la dirección de Informática

En este aspecto, la auditoría de dirección podría evaluar la estructura organizativa
de la entidad, incluyendo la asignación de roles y responsabilidades, la
capacitación y calificación del personal, y la adecuación de los recursos humanos
para alcanzar los objetivos de la organización.● Plan Estratégico de Sistemas de
Información.
● Análisis de puestos
Se refiere a la revisión de la descripción de puestos y la asignación de
responsabilidades a los empleados. La auditoría podría evaluar si los análisis de
puestos son precisos, si hay una clara asignación de roles y si se están
cumpliendo adecuadamente.
● Planes y Procedimientos
Se refiere a la revisión de los planes estratégicos y operativos de la organización,
así como a los procedimientos y políticas establecidos para guiar las operaciones.
La auditoría podría evaluar si estos planes y procedimientos son adecuados, se
siguen de manera efectiva y se ajustan a las mejores prácticas.
● Normativa
La auditoría podría revisar el cumplimiento de la organización con las normativas y
regulaciones relevantes, tanto internas como externas. Esto podría incluir leyes
locales, normas de la industria, estándares de calidad, entre otros.
● Gestión Económica.
La gestión económica en el contexto de una auditoría de dirección se refiere a la
evaluación y control de los recursos financieros utilizados en la realización de la
auditoría misma. Esto implica una administración adecuada de los costos
asociados con la auditoría de dirección, así como la gestión de los honorarios de
los auditores y otros gastos relacionados.
Aquí hay algunas consideraciones clave relacionadas con la gestión económica de
una auditoría de dirección:
Presupuesto de Auditoría: Antes de llevar a cabo la auditoría de dirección, se debe
establecer un presupuesto que contemple los costos estimados de la auditoría.
Esto incluye los honorarios de los auditores, los gastos de viaje y alojamiento, la
adquisición de herramientas o tecnologías específicas necesarias para la
auditoría, entre otros.
Control de Gastos: Durante el proceso de auditoría, es importante monitorear y
controlar los gastos para asegurarse de que se mantengan dentro de los límites
presupuestados. Esto implica una gestión efectiva de los costos operativos y una
revisión constante para evitar desviaciones significativas.
Planificación Eficiente: Una planificación eficiente de la auditoría puede contribuir a
la gestión económica al reducir el tiempo y los recursos necesarios para llevar a
cabo la auditoría. Esto implica definir claramente los objetivos, alcance y métodos
de la auditoría, lo que puede ayudar a optimizar los recursos.
Selección de Recursos: La gestión económica también incluye la selección de los
recursos humanos y técnicos adecuados para llevar a cabo la auditoría. Esto
implica asignar auditores con las habilidades y la experiencia requerida y
asegurarse de que cuenten con las herramientas y tecnologías necesarias para
realizar el trabajo de manera eficiente.
Evaluación de Costo-Beneficio: Durante la auditoría, se debe evaluar
continuamente el costo-beneficio de las actividades realizadas. Esto implica
determinar si los recursos invertidos están generando valor al identificar riesgos,
deficiencias o mejoras significativas en la dirección de la organización.
Informe de Resultados y Recomendaciones: Al finalizar la auditoría, se debe
presentar un informe que incluya recomendaciones específicas para abordar los
problemas identificados. Estas recomendaciones deben tener en cuenta aspectos
económicos, como el costo estimado de implementar las mejoras propuestas.
Cumplimiento Normativo: La gestión económica de la auditoría también implica
asegurarse de que la auditoría cumpla con todas las regulaciones y estándares
aplicables en cuanto a la contabilidad, la ética y la independencia de los auditores.
2. Objetivos de la Auditoria.
● Realizar un informe de Auditoria con el objeto de verificar la adecuación de las
medidas aplicadas a las amenazas definidas, así como el cumplimiento de los
requisitos exigidos.
● Se obtendrá:
○ Informe de Auditoria detectando riesgos y deficiencias en la Dirección de
Informática.
El informe de auditoría que identifica riesgos y deficiencias en la Dirección de
Informática debe ser un documento detallado que presente los hallazgos y
conclusiones obtenidos durante la auditoría. A continuación, se proporciona una
estructura sugerida para este informe..
○ Plan de recomendaciones a aplicar en función de la normativa
Propuesta de medidas correctivas y acciones a tomar para abordar los riesgos y
deficiencias identificados.
Priorización de las recomendaciones en función de la gravedad de los hallazgos

Encuesta (aplicar formato tabular

Pregunta Respuesta

1. ¿La dirección de los servicios de información desarrollan

regularmente planes a corto, medio y largo plazo que apoyen el
logro de la misión y las metas generales de la organización? SI

2. ¿Dispone su institución de un plan Estratégico de Tecnología

de Información? SI

3. ¿Durante el proceso de planificación, se presta adecuada

atención al plan estratégico de la empresa? SI

4. ¿Las tareas y actividades en el plan tienen la correspondiente

y adecuada asignación de recursos? SI

5. ¿Existe un comité de informática? SI

6. ¿Existen estándares de funcionamiento y procedimientos que

gobiernen la actividad del área de Informática por un lado y sus
relaciones con los departamentos usuarios por otro? SI

7. ¿Existen estándares de funcionamiento y procedimientos y

descripciones de puestos de trabajo adecuados y actualizados? SI

8. ¿Los estándares y procedimientos existentes promueven una

filosofía adecuada de control? SI

9. ¿Las descripciones de los puestos de trabajo reflejan las

actividades realizadas en la práctica? SI

10. ¿La selección de personal se basa en criterios objetivos y

tiene en cuenta la formación, experiencia y niveles de
responsabilidad? SI

11. ¿El rendimiento de cada empleado se evalúa regularmente

en base a estándares establecidos? SI

12. ¿Existen procesos para determinar las necesidades de

formación de los empleados en base a su experiencia? SI

13. ¿Existen controles que tienden a asegurar que el cambio de

puesto de trabajo y la finalización de los contratos laborales no
afectan a los controles internos y a la seguridad informática? SI

14. ¿Existe un presupuesto económico? ¿y hay un proceso para

elaborarlo? SI

15. ¿Existen procedimientos para la adquisición de bienes y

servicios? SI
16. ¿Existe un plan operativo anual? SI

17. ¿Existe un sistema de reparto de costes informáticos y que

este sea justo? SI

18. ¿Cuentan con pólizas de seguros? SI

19. ¿Existen procedimientos para vigilar y determinar

SI
permanentemente la legislación aplicable?

Análisis de la Encuesta:
Estas respuestas indican que la gestión de TI se lleva a cabo siguiendo buenas prácticas y
en línea con los objetivos estratégicos de la organización.
La encuesta está diseñada para evaluar varios aspectos relacionados con la
gestión de la Dirección de Informática en una organización. Algunos de los temas
clave que se abordan incluyen la planificación estratégica, la asignación de
recursos, la existencia de estándares y procedimientos, la gestión de personal, la
presupuestario, la adquisición de bienes y servicios, y la conformidad normativa.
La evaluación de las respuestas proporcionadas a estas preguntas permitirá
identificar áreas de fortaleza y posibles deficiencias en la gestión de la Dirección
de Informática. Esto a su vez facilitará la elaboración de Informática. Esto a su vez
facilitará la elaboración de recomendaciones y un plan de acción para mejorar la
eficiencia y efectividad de la dirección en cuanto a la tecnología de la información.
Además, ayudará a garantizar que la dirección de TI esté alineada con los
objetivos estratégicos de la organización y cumpla con las mejores prácticas y
regulaciones aplicables. Recomendaciones y un plan de acción para mejorar la
eficiencia y efectividad de la dirección en cuanto a la tecnología de Listado de
verificación (No aplicable)
Un listado de verificación (checklist) es una herramienta útil para realizar
auditorías de dirección de manera organizada y asegurarse de que se revisen
todos los aspectos relevantes.
Ejemplo:

Listado de Verificación de Auditoría de Dirección

1. Planificación y Estrategia

Revisar el plan estratégico de la organización.

Evaluar la alineación de la dirección con los objetivos estratégicos.

Analizar la planificación a corto, medio y largo plazo.

2. Estructura Organizativa

Evaluar la estructura organizativa de la dirección.

Revisar la asignación de roles y responsabilidades.

Identificar la existencia de comités de dirección.

3. Políticas y Procedimientos

Evaluar la existencia de políticas y procedimientos documentados.

Comprobar la actualización y cumplimiento de dichas políticas.

Identificar políticas específicas de gestión de riesgos.

4. Gestión de Riesgos

Evaluar la identificación y evaluación de riesgos.

Verificar la implementación de estrategias de mitigación de riesgos.

Analizar los planes de continuidad y recuperación ante desastres.

5. Cumplimiento Normativo

Revisar el cumplimiento de regulaciones y normativas.

Comprobar la existencia de sistemas de control interno.

Evaluar el seguimiento de auditorías y revisiones.

6. Recursos Humanos
 Evaluar la gestión de recursos humanos.

Revisar la formación y desarrollo del personal.

Analizar las prácticas de evaluación del desempeño.

7. Presupuesto y Finanzas

Examinar el presupuesto de la dirección.

Evaluar el proceso de elaboración del presupuesto.

Comprobar la asignación de recursos financieros.

8. Tecnología y Sistemas

Evaluar la infraestructura tecnológica y sistemas utilizados.

Revisar la seguridad de la información y protección de datos.

Analizar el nivel de innovación tecnológica.

9. Comunicación y Relaciones

Evaluar la comunicación interna y externa de la dirección.

Analizar la gestión de relaciones con partes interesadas.

Verificar la transparencia en la comunicación.

10. Ética y Responsabilidad Social

Comprobar la promoción de valores éticos y responsabilidad social.

Evaluar la gestión de riesgos reputaciones.

Identificar programas de responsabilidad social corporativa.

11. Resultados y Desempeño

Evaluar el desempeño financiero y operativo.

Revisar los indicadores clave de rendimiento.

 Comprobar la mejora continua y resultados alcanzados.
12. Plan de Acción y Recomendaciones

Desarrollar un plan de acción basado en hallazgos.

Establecer recomendaciones para mejoras.

13. Documentación de Auditoría

Mantener documentación detallada de la auditoría.

Incluir evidencia de respuestas "No aplicable."

6. Informe de auditoria
1. Objetivos
● Determinación de la utilidad de políticas, planes y procedimientos, así como su
nivel de
Cumplimiento.
Hallazgo
Durante la auditoría, se encontró que las políticas y procedimientos relacionados
con la gestión de proyectos de tecnología de la información no están siendo
plenamente utilizados ni cumplidos por el personal del departamento de
informática. A pesar de que existen políticas bien definidas para la planificación y
ejecución de proyectos, se observa que las prácticas actuales difieren en gran
medida de las políticas establecidas.

Impacto:
Esta falta de cumplimiento de las políticas ha llevado a una falta de consistencia
en la gestión de proyectos, lo que a su vez ha resultado en retrasos en la entrega,
un uso ineficiente de recursos y una falta de seguimiento adecuado de los
proyectos.
● Examinar el proceso de planificación de sistemas de información y evaluar
si cumplen los objetivos de los mismos.
Se Identificó el resumen del hallazgo.
● Verificar si el comité de Informática existe y cumple su papel
adecuadamente.
Se observó el hallazgo
● Revisar el emplazamiento del departamento de Informática y evaluar su
dependencia frente a otros.
Se contactó el resumen del hallazgo.
● Evaluar la existencia de estándares de funcionamiento, procedimientos y
descripciones de
puestos de trabajo adecuados y actualizados.
Se determinó el hallazgo.
● Evaluar las características de la comunicación entre la Dirección de
Informática y el
personal del Departamento.
Se verifico el hallazgo.
● Verificar la existencia de un sistema de reparto de costes informáticos y
que este sea justo.
Se comprobó el hallazgo.
2. Alcance de la auditoria (ejemplo)
Ejemplo Recursos Humanos
Políticas y Procedimientos de RRHH:
Revisar y evaluar las políticas y procedimientos de recursos humanos
implementados en la organización, incluyendo la contratación, la gestión del
desempeño, la capacitación y el desarrollo, y la terminación de empleados.
Selección de Personal:
Evaluar los procesos de selección de personal, incluyendo la revisión de perfiles
de trabajo, la publicación de vacantes, la entrevista y selección de candidatos, y la
verificación de referencias.
Gestión del Desempeño:
Examinar los sistemas y procesos utilizados para evaluar y gestionar el
desempeño de los empleados, incluyendo la definición de metas, la
retroalimentación, las revisiones de desempeño y los planes de desarrollo.
Desarrollo de Empleados:
Analizar los programas de desarrollo de empleados, incluyendo la formación, la
educación continua y las oportunidades de crecimiento profesional.
Relaciones Laborales:
Evaluar la gestión de las relaciones laborales, incluyendo la comunicación con los
empleados, la resolución de conflictos y la implementación de políticas de igualdad
y diversidad.
Cumplimiento Normativo:
Verificar el cumplimiento de las leyes laborales y regulaciones aplicables en
relación con la gestión de recursos humanos, así como la documentación de
políticas y registros necesarios.
Exclusiones del Alcance:
Esta auditoría no incluye la revisión de los aspectos financieros o contables
relacionados con la nómina y los beneficios de los empleados.
No se evaluarán otros departamentos o áreas funcionales fuera del alcance de
recursos humanos.
Criterios de Evaluación:
Los criterios de evaluación estarán basados en las mejores prácticas de recursos
humanos, regulaciones laborales aplicables y las políticas y procedimientos
internos de la organización.
Metodología de Auditoría:
La auditoría se llevará a cabo mediante la revisión documental, entrevistas con el
personal de recursos humanos y empleados, y la recopilación de evidencia
relevante.
Fecha de Inicio y Duración:
La auditoría de recursos humanos está programada para comenzar el [Fecha de
Inicio] y se estima que tendrá una duración

3. Programación de fechas
PLANEAMIENTO
Fecha de Inicio: 01/10/2023
Fecha de Finalización: 15/10/2023
Durante esta fase, se llevará a cabo la planificación detallada de la auditoría, que
incluye la definición de objetivos, el alcance, la metodología, la selección de
equipo de auditoría y la recopilación de documentación relevante.
EJECUCION
Fecha de Inicio: 20/10/2023
Fecha de Finalización: 20/11/2023
En esta fase, se realizarán las actividades de auditoría planificadas, incluyendo
entrevistas, revisión de registros, pruebas y evaluación de cumplimiento. El equipo
de auditoría llevará a cabo las auditorías en el terreno y recopilará evidencia.

INFORME:
Fecha de Inicio: 25/11/2023
Fecha de Finalización: 10/12/2023
En esta fase, se preparará el informe de auditoría que incluirá los hallazgos,
conclusiones y recomendaciones. El informe será revisado y aprobado antes de
ser entregado a la dirección de la organización auditada.
Cierre:
Fecha de Inicio: 15/12/2023
Fecha de Finalización: 31/12/2023
Durante esta etapa, se llevará a cabo la revisión final, la aprobación y la entrega
del informe de auditoría a la dirección de la organización auditada. Se discutirán y
acordarán acciones correctivas si es necesario.
Seguimiento:
Fecha de Inicio: 01/01/2024
Fecha de Finalización: 31/12/2024
A lo largo de este período, se realizará un seguimiento continuo de la
implementación de las recomendaciones y acciones correctivas derivadas de la
auditoría para garantizar que se aborden adecuadamente los hallazgos
identificados.

4. Hallazgos Potenciales. (Ejemplo)

Cumplimiento Normativo Insuficiente:
La revisión inicial de la documentación sugiere que la organización puede no estar
cumpliendo plenamente con ciertas regulaciones y requisitos legales relevantes.
Se requiere una evaluación más detallada para confirmar el alcance de las
posibles deficiencias en el cumplimiento normativo.
Inconsistencia en la Comunicación Interna:
Durante las entrevistas con el personal, se ha observado una falta de coherencia
en la comunicación interna entre la dirección de informática y otros
departamentos. Esto podría afectar la eficacia de la gestión de proyectos y la
alineación con los objetivos estratégicos.
Dependencia de Recursos Clave:
Se ha identificado que ciertos proyectos y operaciones clave dependen en gran
medida de un pequeño número de empleados con conocimientos especializados.
Esta dependencia podría representar un riesgo para la continuidad del negocio si
esos empleados dejan la organización.
Efectividad del Comité de Informática:
La evaluación inicial del comité de informática sugiere que su papel y funciones
pueden no estar claramente definidos. Se necesita una revisión detallada para
determinar si el comité opera eficazmente y cumple con su mandato.
Necesidad de Actualización de Políticas:
La revisión de políticas y procedimientos existentes ha revelado que algunas de
estas políticas no se han actualizado en varios años y pueden no reflejar
adecuadamente las necesidades actuales de la organización. Se recomienda una
revisión y actualización.
Equidad en el Reparto de Costes:
Existe una preocupación inicial acerca de si el sistema de reparto de costes
informáticos dentro de la organización es verdaderamente equitativo y justo. Este
hallazgo requiere un análisis adicional para determinar si se están distribuyendo
los costos de manera adecuada.
Oportunidades de Mejora en Planificación de Sistemas:
La evaluación inicial de los procesos de planificación de sistemas de información
ha identificado posibles oportunidades de mejora en términos de alineación con
los objetivos estratégicos y la gestión de riesgos.
Conclusiones: (ejemplo)
Cumplimiento Normativo:
Se ha identificado que la organización presenta ciertas deficiencias en el
cumplimiento de regulaciones y requisitos legales. Estas deficiencias pueden
exponer a la organización a riesgos legales y sanciones. Se recomienda tomar
medidas inmediatas para abordar estas deficiencias y garantizar el cumplimiento
normativo adecuado.
Comunicación Interna:
La auditoría ha revelado una falta de coherencia en la comunicación interna entre
la dirección de informática y otros departamentos. Esta falta de alineación puede
afectar la eficacia de la gestión de proyectos y la consecución de los objetivos
estratégicos de la organización. Se recomienda mejorar la comunicación y la
colaboración interdepartamental.
Dependencia de Recursos Clave:
Se ha confirmado que la organización depende en exceso de un pequeño número
de empleados con conocimientos especializados. Esta dependencia representa un
riesgo significativo para la continuidad del negocio. Se sugiere implementar un
plan de mitigación de riesgos que incluya la transferencia de conocimientos y la
formación de personal adicional.
Comité de Informática:
La revisión detallada del comité de informática ha revelado que su mandato y
funciones no están claramente definidos, lo que ha llevado a una falta de claridad
en sus actividades. Se recomienda reestructurar el comité, estableciendo roles y
responsabilidades claras y garantizando que cumpla su función de manera
efectiva.
Políticas y Procedimientos:
Se ha determinado que algunas políticas y procedimientos internos no se han
actualizado en años y no reflejan las necesidades actuales de la organización. Se
aconseja una revisión y actualización exhaustiva de estas políticas para garantizar
su relevancia y eficacia.
Reparto de Costes Informáticos:
El sistema de reparto de costes informáticos se considera inequitativo según la
evaluación realizada. Esto podría llevar a tensiones y disputas entre
departamentos. Se insta a revisar y ajustar el sistema de reparto de costes para
garantizar la equidad y la transparencia.
Planificación de Sistemas:
Se han identificado oportunidades de mejora en el proceso de planificación de
sistemas de información. Estas mejoras pueden contribuir a una mejor alineación
con los objetivos estratégicos y una gestión más efectiva de los proyectos de TI.
Recomendaciones (ejemplo)
Cumplimiento Normativo:
Recomendamos establecer un equipo dedicado de cumplimiento normativo que
supervise de manera proactiva los requisitos legales y regulaciones relevantes.
Este equipo debe estar encargado de garantizar que la organización cumple
plenamente con todas las obligaciones legales y normativas aplicables.
Comunicación Interna:
Sugerimos implementar un programa de mejora de la comunicación interna que
incluya la creación de grupos de trabajo interdepartamentales y la celebración
regular de reuniones para garantizar la alineación de objetivos y proyectos entre la
dirección de informática y otros departamentos.
Dependencia de Recursos Clave:
Recomendamos desarrollar un plan de contingencia para reducir la dependencia
de recursos clave. Esto debe incluir la documentación detallada de procesos
críticos, la formación de personal adicional y la identificación de posibles
sucesores para los empleados con conocimientos especializados.
Comité de Informática:
Se recomienda revisar la estructura y las funciones del comité de informática. Esto
debe incluir la definición de roles y responsabilidades claras, la programación
regular de reuniones y la implementación de un sistema de seguimiento de
acciones para garantizar que el comité cumpla efectivamente su función.
Políticas y Procedimientos:
Sugerimos llevar a cabo una revisión exhaustiva de todas las políticas y
procedimientos internos relacionados con la gestión de recursos humanos,
actualizándolos según sea necesario para reflejar las prácticas actuales y las
necesidades de la organización.
Reparto de Costes Informáticos:
Recomendamos llevar a cabo una revisión completa del sistema de reparto de
costes informáticos para garantizar la equidad y la transparencia. Esto debe incluir
la participación de representantes de todos los departamentos involucrados y la
implementación de un sistema más justo y equitativo.
Planificación de Sistemas:
Se aconseja mejorar el proceso de planificación de sistemas de información,
asegurando una alineación más estrecha con los objetivos estratégicos de la
organización y la gestión efectiva de proyectos de TI. Esto debe incluir una
revisión de las metodologías de planificación y ejecución de proyectos.

Identificación y Firma Del Auditor

Nombre del Auditor Principal: [Nombre del auditor principal]
Título: [Título o cargo del auditor principal]
Firma del Auditor Principal: [Firma del auditor principal]
Fecha de la Auditoría: [Fecha de finalización de la auditoría]
En esta sección, el nombre del auditor principal, su título y su firma son esenciales
para identificar claramente quién lideró la auditoría y es responsable de sus
resultados.
Además del auditor principal, también puede ser necesario incluir las firmas de
otros miembros del equipo de auditoría, especialmente si han contribuido
significativamente al proceso de auditoría.
Es importante que la firma del auditor principal se encuentre al final del informe,
junto con la fecha de finalización de la auditoría, para indicar la finalización del
proceso y la autenticidad del informe.
La identificación y firma del auditor proporcionan transparencia y responsabilidad,
lo que garantiza que el informe de auditoría sea confiable y creíble para las partes
interesadas.

<Apellidos y nombres, cargo, correo electrónico>

Apellidos y Nombres del Auditor Principal: [Nombre completo del auditor principal]
Cargo del Auditor Principal: [Cargo o posición del auditor principal]
Correo Electrónico del Auditor Principal: [Dirección de correo electrónico del
auditor principal]
Esta información proporciona a las partes interesadas una manera de contactar al
auditor principal en caso de preguntas o aclaraciones adicionales relacionadas con
la auditoría. También ayuda a establecer la credibilidad y la responsabilidad del
auditor principal en el proceso de auditoría.
AUDITORIA DE LA SEGURIDAD
1. Alcance de la Auditoria
El objetivo principal de esta auditoría de seguridad es evaluar y mejorar la postura
de seguridad de la red de la organización XYZ para garantizar la protección de la
confidencialidad, integridad y disponibilidad de los datos y sistemas críticos
● Organización y calificación del personal
Evaluación de la estructura organizativa relacionada con la seguridad de la
información, incluyendo la asignación de roles y responsabilidades.
Revisión de las calificaciones y la capacitación del personal en temas de
seguridad de la información.
Verificación de la existencia de procedimientos para la gestión de personal y
acceso a sistemas críticos.

● Planes y procedimientos
Revisión de políticas y procedimientos de seguridad de la información para
asegurarse de que estén alineados con las mejores prácticas y las necesidades de
la organización.
Evaluación de la existencia y efectividad de planes de continuidad del negocio y
recuperación de desastres.

● Sistemas técnicos de detección y comunicación

Evaluación de sistemas de seguridad técnica, como firewalls, sistemas de
detección de intrusiones (IDS) y sistemas de prevención de intrusiones (IPS).
Revisión de la capacidad de comunicación segura, incluyendo el cifrado de datos y
la seguridad de las comunicaciones internas y externas.

● Análisis de puestos.
Revisión de las descripciones de puestos de trabajo relacionados con la seguridad
de la información para asegurarse de que reflejen las responsabilidades y
competencias necesarias.
Evaluación de la asignación de responsabilidades y autoridades relacionadas con
la seguridad.
● Mantenimiento
Verificación del mantenimiento adecuado de sistemas y aplicaciones críticas para
la seguridad.
Evaluación de las prácticas de parcheo y actualización de software para mantener
la seguridad.

● Normativa
Revisión de la normativa y regulaciones aplicables en el contexto de la seguridad
de la información.
Evaluación de la conformidad con normativas específicas, como GDPR, HIPAA o
ISO 27001.
2. Objetivos
● Un informe de Auditoria con el objeto de verificar la adecuación de las medidas
aplicadas a las amenazas definidas, así como el cumplimiento de los requisitos
exigidos.
Este objetivo se centra en evaluar si las medidas de seguridad implementadas por
la organización son adecuadas para hacer frente a las amenazas identificadas.
Además, se busca verificar si se cumplen los requisitos legales y normativos
relacionados con la seguridad.
● Verificación de la aplicabilidad de las normas y referencias legales
○ Manuales aplicables al caso: Aquí se busca confirmar si la organización sigue
los procedimientos y directrices establecidos en sus manuales internos
relacionados con la seguridad.
○ Normativa aplicable al caso: Se evalúa si la organización cumple con las leyes y
regulaciones específicas que se aplican a su industria o sector.
● Se obtendrán los siguientes resultados
○ Informe de Auditoria detectando riesgos y deficiencias en el Sistema de
Seguridad.
El resultado principal de la auditoría es la identificación de riesgos y deficiencias
en el sistema de seguridad de la organización. Esto puede incluir vulnerabilidades,
prácticas inseguras, o falta de cumplimiento de políticas y procedimientos.
○ Plan de recomendaciones a aplicar en función de:
■ Riesgos: Se elaborará un plan de recomendaciones para abordar los riesgos
identificados. Esto podría incluir medidas para mitigar o eliminar los riesgos.
■ Normativa a cumplir: Si se encontraron incumplimientos normativos, el plan de
recomendaciones deberá incluir acciones específicas para cumplir con las
normativas pertinentes.
■ Costes estimados de las recomendaciones: Se proporcionará una estimación de
los costos asociados a la implementación de las recomendaciones. Esto ayudará a
la dirección a tomar decisiones informadas sobre la asignación de recursos.

3. Encuesta
SEGURIDAD LOGICA
N° Pregunta Respuesta
1 ¿Existen medidas, controles, procedimientos, SI
normas y estándares de seguridad?
2 ¿Existe un documento donde esté especificada la SI
relación de las funciones y obligaciones del
personal?
3 ¿Existen procedimientos de notificación y gestión SI
de incidencias?
4 ¿Existen procedimientos de realización de copias SI
de seguridad y de recuperación de datos?
5 ¿Existe una relación del personal autorizado a SI
conceder, alterar o anular el acceso sobre datos y
recursos?
6 ¿Existe una relación de controles periódicos a SI
realizar para verificar el cumplimiento del
Documento de Seguridad?
7 ¿Existen medidas a adoptar cuando un soporte SI
vaya a ser desechado o reutilizado?
8 ¿Existe una relación del personal autorizado a SI
acceder a los locales donde se encuentren
ubicados los sistemas que tratan datos
personales?
9 ¿Existe una relación de personal autorizado a SI
acceder a los soportes de datos?
10 ¿Existe un período máximo de vida de las SI
contraseñas?
11 ¿Existe una relación de usuarios autorizados a SI
acceder a los sistemas y que incluye los tipos de
acceso permitidos?
12 ¿Los derechos de acceso concedidos a los SI
usuarios son los necesarios y suficientes para el
ejercicio de las funciones que tienen
encomendadas, las cuales a su vez se encuentran
o deben estar documentadas en el Documento de
Seguridad?
13 ¿Hay dadas de alta en el sistema cuentas de NO
usuario genéricas, es decir, utilizadas por más de
una persona, no permitiendo por tanto la
identificación de la persona física que las ha
utilizado?
14 ¿En la práctica las personas que tienen SI
atribuciones y privilegios dentro del sistema para
conceder derechos de acceso son las autorizadas
e incluidas en el Documento de Seguridad?
15 ¿El sistema de autenticación de usuarios guarda SI
las contraseñas encriptadas?
16 ¿En el sistema están habilitadas para todas las SI
cuentas de usuario las opciones que permiten
establecer: ● Un número máximo de intentos de
conexión.
● Un período máximo de vigencia para la
contraseña, coincidente con el establecido en el
Documento de Seguridad?
17 ¿Existen procedimientos de asignación y SI
distribución de contraseñas?
SEGURIDAD FISICA

N° Pregunta Respue
sta
1 ¿Existen procedimientos para la realización de las copias SI
de seguridad?
2 ¿Existen procedimientos que aseguran que, de todos los SI
ficheros con datos de carácter personal, se realiza copia
al menos una vez cada semana?
3 ¿Hay procedimientos que aseguran la realización de SI
copias de todos aquellos ficheros que han
experimentado algún cambio en su contenido?
4 ¿Existen controles para la detección de incidencias en la SI
realización de las pruebas?
5 ¿Existen controles sobre el acceso físico a las copias de SI
seguridad?
6 ¿Sólo las personas con acceso autorizado en el SI
documento de seguridad tienen acceso a los soportes
que contienen las copias de seguridad?
7 ¿Las copias de seguridad de ficheros de nivel alto SI
incluyen los ficheros cifrados, si estas copias se
transportan fuera de las instalaciones?
8 ¿Las copias de seguridad de los ficheros de nivel alto se SI
almacenan en lugar diferente al de los equipos que las
procesan?
9 ¿Existe un inventario de los soportes existentes? SI
10 ¿Dicho inventario incluye las copias de seguridad? SI
11 ¿Las copias de seguridad, o cualquier otro soporte, se SI
almacenan fuera de la instalación?
12 ¿Existen procedimientos de actualización de dicho SI
inventario?
13 ¿Existen procedimientos de etiquetado e identificación SI
del contenido de los soportes?
14 ¿Existen procedimientos en relación con la salida de SI
soportes fuera de su almacenamiento habitual?
15 ¿Se evalúan los estándares de distribución y envío de SI
estos soportes?
16 ¿Se obtiene una relación de los ficheros que se envían SI
fuera de la empresa, en la que se especifique el tipo de
soporte, la forma de envío, el estamento que realiza el
envío y el destinatario?
17 ¿Se comprueba que todos los soportes incluidos en esa SI
relación se encuentran también en el inventario de
soportes mencionado anteriormente?
18 ¿Se obtiene una copia del Registro de Entrada y Salida SI
de Soportes y se comprueba que en él se incluyen:
● Los soportes incluidos en la relación del punto anterior
(y viceversa) ● Los desplazamientos de soportes al
almacenamiento exterior (si existiera)
19 ¿Se verifica que el Registro de Entrada y Salida refleja la SI
información requerida por el Reglamento:
a) Fecha y hora b) Emisor/Receptor c) No de soportes d)
Tipo de información contenida en el soporte. e) Forma de
envío f) Persona física responsable de la
recepción/entrega
20 ¿Se analizan los procedimientos de actualización del SI
Registro de Entrada y Salida en relación con el
movimiento de soportes?
21 ¿Existen controles para detectar la existencia de SI
soportes recibidos/enviados que no se inscriben en el
Registro de Entrada/Salida?
22 ¿Se comprueba, en el caso de que el Inventario de SI
Soportes y/o el Registro de Entrada/Salida estén
informatizados, que se realizan copias de seguridad de
ellos, al menos, una vez a la semana?
23 ¿Se realiza una relación de soportes enviados fuera de SI
la empresa con la relación de ficheros de nivel alto?
24 ¿Se verifica que todos los soportes que contienen SI
ficheros con datos de nivel Alto van cifrados?
 25 ¿Se comprueba la existencia, como parte del Documento SI
de Seguridad, de una relación de usuarios con acceso
autorizado a la sala?
26 ¿Se verifica que la inclusión del personal en la relación SI
anterior es coherente con las funciones que tienen
encomendadas?
27 ¿Se comprueba que la relación es “lógica” (¿personal de SI
limpieza? ¿Vigilantes de seguridad?).
28 ¿Existen políticas de la instalación en relación con los SI
accesos ocasionales a la sala’
29 ¿Se determina qué personas tienen llaves de acceso, SI
tarjetas, etc. de acceso a la sala?
30 ¿Se comprueba que están activados los parámetros de SI
activación del Registro para todos los ficheros de Nivel
Alto?
31 ¿Se analizan los procedimientos de descarga a cinta de SI
este Registro de Accesos y el período de retención de
este soporte?
32 ¿Existen procedimientos de realización de copias de SI
seguridad del Registro de Accesos y el período de
retención de las copias?
33 ¿Se verifica la asignación de privilegios que permitan SI
activar/desactivar el Registro de Accesos para uno o más
ficheros?
34 ¿Se comprueba que el Registro de Accesos se SI
encuentra bajo el control directo del Responsable de
Seguridad pertinente?

Análisis de la encuesta
El análisis de la encuesta de seguridad lógica implica revisar las respuestas y
comentarios proporcionados para cada pregunta con el objetivo de evaluar la
situación actual de la seguridad en la organización. Aquí tienes un análisis inicial
de algunas de las preguntas clave.
6. Informe de auditoria
1. Objetivos
En esta sección, se describen detalladamente los objetivos específicos de la
auditoría de seguridad. Los objetivos típicos podrían incluir:
Evaluar la efectividad de las políticas y procedimientos de seguridad existentes.
Identificar y analizar las vulnerabilidades en la infraestructura de seguridad.
Evaluar el cumplimiento con las regulaciones y estándares de seguridad
aplicables.
Analizar la preparación de la organización para responder a incidentes de
seguridad.

● Hacer un estudio cuidadoso de los riesgos potenciales a los que está sometida
el área de
Informática.
En el informe de auditoría de seguridad, cuando se aborda el objetivo de "hacer un
estudio cuidadoso de los riesgos potenciales a los que está sometida el área de
informática", es importante proporcionar un análisis detallado de los riesgos que
pueden afectar a la seguridad de los sistemas y datos informáticos de la
organización.
● Revisar tanto la seguridad física del Centro de Proceso de Datos en su sentido
más amplio, como la seguridad lógica de datos, procesos y funciones informáticas
más Importantes de aquél.
Cuando se realiza una auditoría de seguridad que incluye tanto la seguridad física
del Centro de Proceso de Datos (CPD) como la seguridad lógica de datos,
procesos y funciones informáticas, es importante evaluar ambos aspectos de
manera detallada.
2. Alcance de la auditoria
Nuestra auditoria, comprende el periodo 2006 y se ha realizado especialmente al
área de
Informática de acuerdo a las normas y demás disposiciones aplicable al efecto.
El alcance de la auditoría debe ser claro y específico para que los lectores del
informe comprendan qué áreas y períodos se han evaluado y bajo qué normas y
disposiciones se ha llevado a cabo la auditoría. Esto ayuda a establecer una base
sólida para los hallazgos y las conclusiones posteriores del informe de auditoría.
3. Programación de fechas
Planeamiento de la Auditoría
Fecha de Inicio de Planeamiento: 15 de enero de 2023
Fecha de Finalización de Planeamiento: 30 de enero de 2023
III.2. Ejecución de la Auditoría
Fecha de Inicio de la Auditoría: 5 de febrero de 2023
Fecha de Finalización de la Auditoría: 20 de febrero de 2023
INFORME
En un informe completo, se detallarían los hallazgos, conclusiones y
recomendaciones específicas basadas en las actividades de auditoría realizadas
durante el periodo indicado.
1. Hallazgos Potenciales

● No existe documentaciones técnicas del sistema integrado de la empresa y

tampoco existe un control o registro formal de las modificaciones efectuadas.
● No se cuenta con un Software que permita la seguridad de las librerías de los
programas y la restricción y/o control del acceso de los mismos.
● Las modificaciones a los programas son solicitadas generalmente sin notas
internas, en
Donde se describen los cambios o modificaciones que se requieren.
● Falta de planes y Programas Informáticos.
● Poca identificación del personal con la institución
● Inestabilidad laboral del personal
● No existe programas de capacitación y actualización al personal
En esta sección, se presentan los hallazgos identificados durante la auditoría de
seguridad en el área de informática:
.1. Falta de Documentación Técnica del Sistema Integrado
No existe documentación técnica del sistema integrado de la empresa. La falta de
documentación puede dificultar la comprensión y el mantenimiento del sistema, lo
que aumenta el riesgo de errores y problemas de seguridad.
2. Ausencia de Control y Registro de Modificaciones
No se lleva un control o registro formal de las modificaciones realizadas en el
sistema. La falta de seguimiento de las modificaciones puede dar lugar a cambios
no autorizados y potencialmente riesgosos en los sistemas.
.3. Falta de Software de Seguridad para Librerías de Programas
No se cuenta con un software que permita la seguridad de las librerías de
programas y la restricción o control del acceso a los mismos. Esto podría exponer
los programas a riesgos de manipulación no autorizada.
.4. Modificaciones a Programas sin Notas Internas
Las modificaciones a los programas se solicitan generalmente sin notas internas
que describan los cambios o modificaciones requeridos. Esto dificulta el
seguimiento y la comprensión de las actualizaciones realizadas.
.5. Falta de Planes y Programas Informáticos
La organización carece de planes y programas informáticos definidos. La ausencia
de una estrategia clara en el ámbito informático puede conducir a una gestión
ineficiente y a la falta de alineación con los objetivos del negocio.
6. Poca Identificación del Personal con la Institución
Se observa una baja identificación del personal con la institución. La falta de
compromiso y sentido de pertenencia del personal puede influir negativamente en
la seguridad y el desempeño de la organización.
7. Inestabilidad Laboral del Personal
Se identifica inestabilidad laboral del personal. La rotación frecuente de empleados
puede afectar la continuidad de los proyectos y la gestión de conocimientos.
.8. Ausencia de Programas de Capacitación y Actualización al Personal
No existen programas de capacitación y actualización para el personal. La falta de
formación puede limitar la habilidad del personal para mantenerse al día con las
mejores prácticas de seguridad y tecnología.
Estos hallazgos potenciales deben ser detallados en el informe de auditoría de
seguridad para que la organización pueda tomar medidas correctivas y mejorar su
postura de seguridad informática y gestión de recursos humanos. Además, en el
informe completo, se proporcionarán recomendaciones específicas para abordar
estos hallazgos.
5. Conclusiones:
● El área de Informática presenta deficiencias sobre todo en el debido
cumplimiento de sus funciones y por la falta de ellos.

6. Recomendaciones
● Elaborar toda la documentación técnica correspondiente a los sistemas
implementados y establecer normas y procedimientos para los desarrollos y su
actualización.
● Evaluar e implementar un software que permita mantener el resguardo de
acceso de los archivos de programas y aún de los programadores.
● Implementar y conservar todas las documentaciones de prueba de los sistemas,
como así también las modificaciones y aprobaciones de programas realizadas por
los usuarios.
● El coste de la seguridad debe considerarse como un coste más entre todos los
que son necesarios para desempeñar la actividad que es el objeto de la existencia
de la entidad, sea ésta la obtención de un beneficio o la prestación de un servicio
público.
● El coste de la seguridad, como el coste de la calidad, son los costes de
funciones imprescindibles para desarrollar la actividad adecuadamente. Y por
"adecuadamente" debe entenderse no sólo un nivel de calidad y precio que haga
competitivo el servicio o producto suministrado, sino también un grado de garantía
de que dichos productos o servicios van a seguir llegando a los usuarios en
cualquier circunstancia.

7. Identificación y firma Del Auditor

<Apellidos y nombres, cargo, correo electrónico>
Identificación y Firma del Auditor
El proceso de auditoría de seguridad fue realizado por el siguiente auditor:
**Nombre del Auditor:** [Nombre completo del auditor]
**Cargo:** [Cargo del auditor]
**Correo Electrónico:** [Dirección de correo electrónico del auditor]
Firma del Auditor: