REPBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DE LA DEFENSA
UNIVERSIDAD NACIONAL EXPERIMENTAL POLITECNICA
DE LA FUERZA ARMADA NACIONAL
NCLEO BARINAS

Auditora de
Sistemas

Barinas, Agosto 2016

Auditora de Sistemas

Sistemas

Conjunto ordenado, lgico y secuencial de normas y

procedimientos que persiguen un fin determinado.

Auditora

Es un examen crtico que se realiza con el fin de

evaluar la eficacia y eficiencia de una seccin, un
organismo, una entidad, y otros.
El trmino de auditora tambin se utiliza en tecnologa al momento de evaluar
y revisar la infraestructura tecnolgica de la empresa.

Auditora de Sistemas

Auditora de Sistemas
Es la parte de la auditoria interna que se encarga de llevar a cabo la
evaluacin de normas, controles, tcnicas y procedimientos que se tienen
establecidos
en
una
empresa
para
lograr
CONFIABILIDAD,
OPORTUNIDAD, SEGURIDAD Y CONFIDENCIALIDAD de la informacin
que se procesa a travs de los computadores.

Auditora de Informtica

Es un proceso llevado a cabo por profesionales especialmente

capacitados para el efecto, y que consiste en recoger, agrupar y
evaluar evidencias para determinar si elsistema de informacin
salvaguarda el activo empresarial, mantiene la integridad de los
datos, lleva a cabo eficazmente los fines de la organizacin, utiliza
eficientemente los recursos, y cumple con las leyes y regulaciones
establecidas

Auditora de Sistemas

Auditoria de sistemas e informtica?

Cul es la diferencia entre una auditoria informtica y una auditoria de

sistemas?
Auditora de Sistemas:
Un verdadero anlisis exhaustivo y concreta evaluacin de los procesos del Area
de Procesamiento automtico de Datos (PAD) y de la debida utilizacin de los
recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia,
efectividad y economa de los sistemas computarizados en una empresa, para as
generar bienestar
propio y presentar conclusiones y recomendaciones
encaminadas a corregir aspectos que con estos procedimientos se puedan
mejorar.
Auditora Informtica:
La auditora informtica no es ms que el proceso que conlleva recoger, agrupar y
evaluar evidencias para determinar si un Sistema de Informacin realmente
salvaguarda el activo empresarial, en su defecto mantenga la integridad de los
datos, lleve a cabo eficazmente los fines de la organizacin y que de esta manera
se utilicen eficientemente los recursos..

Auditora de Sistemas

Tipos de Auditoria?

Financiera, Sistema, Fiscal, Administrativa, entre otras.

Internas o Externas?
La auditora interna se lleva a cabo con personas pertenecientes a la misma
plantilla, mientras que la externa exige, como condicin esencial a la misma y
de su credibilidad, que los profesionales que la realizan no formen parte de la
empresa auditada, es decir que sean totalmente independientes de ella y de
sus cuadros directivos.
Los trabajos de auditora externa se desarrolla de acuerdo con normas y
procedimientos internacionalmente homologados que no suelen ser
substancialmente alterados ni modificados, mientras que los procedimientos
de auditora interna son mucho ms flexibles y dependen, en cada caso, de la
empresa, sus dirigentes y de los propios responsables de auditora interna.
Para qu efectuar una Auditora
Para lograr determinar las fallas que ocasionen retrasos en las operaciones de la
empresa, as como vulnerabilidades y oportunidades de mejora en sus sistemas,
ya que prdidas de tiempo y dinero se ven constantemente relacionadas con
inconvenientes relacionados intrnsecamente con los sistemas.

Auditora de Sistemas

Normas

Confiabilidad

Funciones

Oportunidad

Sistema de Informacin

Auditora de Sistemas

Seguridad

Procedimientos

Confidencialidad

Hardware

Eficiencia

Software

Toma de Decisiones

Talento Humano

Recomendaciones

Asesoria

Auditora de Sistemas

Objetivos de la Auditora de Sistemas

Evaluar polticas de orden administrativo
Evaluar polticas de orden tcnico
Evaluar polticas sobre seguridad fsica y lgica
Evaluar polticas sobre recursos informticos
Asesorar y recomendar a la gerencia y directivas

Auditora de Sistemas

Objetivos Especficos de la Auditora de Sistemas

Buscar una mejor relacin costo-beneficio de los sistemas
automticos o computarizados diseados e implantados.
Incrementar la satisfaccin de los usuarios de los sistemas
computarizados.
Asegurar una mayor integridad, confidencialidad y confiabilidad
de la informacin mediante la recomendacin de seguridades y
controles.
Conocer la situacin actual del rea informtica y las actividades
y esfuerzos necesarios para lograr los objetivos propuestos.
Seguridad de personal, datos, hardware, software e instalaciones.
Apoyo de funcin informtica a las metas y objetivos de la
organizacin.

Auditora de Sistemas

Justificacin de la Auditora de Sistemas

Irregularidades
Limitada Concepcin
Avance tecnolgico
Incipiente desarrollo
Reducida Participacin
Normativa y legislacin
Crecimiento de las empresas
Escasa y desactualizada documentacin
Limitado alcance de los planes de contingencia

Auditora de Sistemas

Planeacin de la Auditora

Es la proyeccin donde se define el norte y sus pautas a

seguir para lograr el desarrollo de la auditoria.

Entrevista Personal
Fuentes de la
Informacin

Observacin
Encuesta
Muestreo

Auditora de Sistemas

Planeacin de la Auditora

En el caso de la auditora en informtica,

la planeacin es fundamental, pues habr
que hacerla desde el punto de vista de los
dos objetivos:
Evaluacin
procedimientos.

de

los

sistemas

Evaluacin de los equipos de cmputo.

Para hacer una planeacin eficaz, lo primero que se requiere es
obtener informacin general sobre la organizacin y sobre la funcin
de informtica a evaluar. Para ello es preciso hacer una investigacin
preliminar y algunas entrevistas previas, con base en esto planear el
programa de trabajo, el cual deber incluir tiempo, costo, personal
necesario y documentos auxiliares a solicitar o formular durante el
desarrollo de la misma.

Auditora de Sistemas

Objetivo de la Planeacin de la Auditora de Sistemas

Respaldo Empresarial

Controlar actividades

Suministrar informacin
consistente actualizada y
permanente

Identificacin de
Requerimientos

Objetivos de la Planeacin
de la Auditoria de Sistemas

Evitar duplicidad en
esfuerzos

Minimizar costos
Evitar Improvisacin

Optimizar recursos

Auditora de Sistemas

Perfil del Auditor

Es un profesional dedicado al anlisis de sistemas de informacin
que est especializado en alguna de las ramas de la auditora
informtica, que tiene conocimientos generales de los mbitos en los
que sta se mueve, adems de contar con conocimientos
empresariales generales.
El auditor puede actuar como consultor con su auditado, dndole
ideas de cmo enfocar la construccin de los elementos de control y
administracin que le sean propios. Adems, puede actuar como
consejero con la organizacin en la que est desarrollando su labor.
Un entorno informtico bien controlado puede ser ineficiente si no
es consistente con los objetivos de la organizacin

Auditora de Sistemas

Caractersticas del Auditor

El auditor debe tener un criterio muy claro y objetivo acerca de sus
funciones y de su participacin como componente de la organizacin
Debe caracterizarlo su independencia mental y organizacional de
modo que su trabajo no este influenciado por caractersticas de
respetabilidad o intereses particulares provocados por su nivel de
educacin y de experiencia o por un esquema organizativo defectuoso
Debe tener el soporte humano necesario (en calidad y cantidad) de
modo que su trabajo no se vea ilimitado por la carencia de recursos
suficientes
El auditor debe evaluar los planes y proyecciones de la
sistematizacin de datos, de acuerdo con los proyectos de la entidad
y a su vez evaluar la organizacin del rea de sistemas, la distribucin
de funciones y los procedimientos de trabajo y supervisin

Auditora de Sistemas

Metodologa de una auditora de sistemas

Existen algunas metodologas de Auditorias de Sistemas y todas
dependen de lo que se pretenda revisar o analizar, pero como estndar
analizaremos las cuatro fases bsicas de un proceso de revisin:
Estudio preliminar
Incluye definir el grupo
de trabajo, el programa
de auditora, efectuar
visitas a la unidad
informtica
para
conocer detalles de la
misma,
elaborar
un
cuestionario para la
obtencin
de
informacin
para
evaluar
preliminarmente
el
control
interno,
solicitud de plan de
actividades, Manuales
de
polticas,
reglamentos,
Entrevistas con los
principales funcionarios

Revisin y evaluacin
de
controles
y
seguridades
Consiste de la revisin
de los diagramas de
flujo
de
procesos,
realizacin de pruebas
de cumplimiento de las
seguridades,
revisin
de aplicaciones de las
reas criticas, Revisin
de procesos histricos
(backups), Revisin de
documentacin
y
archivos, entre otras
actividades.

Examen detallado de
reas criticas
Con
las
fases
anteriores el auditor
descubre
las
reas
criticas y sobre ellas
hace un estudio y
anlisis profundo en los
que
definir
concretamente
su
grupo de trabajo y la
distribucin de carga
del mismo, establecer
los motivos, objetivos,
y alcance

Examen detallado de
reas criticas
Con
las
fases
anteriores el auditor
descubre
las
reas
criticas y sobre ellas
hace un estudio y
anlisis profundo en los
que
definir
concretamente
su
grupo de trabajo y la
distribucin de carga
del mismo, establecer
los motivos, objetivos,
y alcance

Auditora de Sistemas

Procedimientos y Tcnicas de Auditoria.

Planificacin de la Auditora
Una planificacin adecuada es el primer paso necesario para realizar
auditorias de sistema eficaces. El auditor de sistemas debe
comprender el ambiente del negocio en el que se ha de realizar la
auditora as como los riesgos del negocio y control asociado.
Comprensin del negocio
y de su ambiente

Riesgo y materialidad
de auditora

Planificacin

Tcnicas de evaluacin
de Riesgos

Objetivos de controles y
objetivos de auditora

Procedimientos de
auditora

Auditora de Sistemas

Al planificar una auditora, el auditor de sistemas debe tener una

comprensin de suficiente del ambiente total que se revisa. Debe
incluir una comprensin general de las diversas prcticas comerciales y
funciones relacionadas con el tema de la auditora, as como los tipos
de sistemas que se utilizan. El auditor de sistemas tambin debe
comprender el ambiente normativo en el que opera el negocio.

Auditora de Sistemas

Riesgo inherente: Cuando un error material no se puede evitar que

suceda por que no existen controles compensatorios relacionados que
se puedan establecer.
Riesgo de Control: Cuando un error material no puede ser evitado o
detectado en forma oportuna por el sistema de control interno.
Riesgo de deteccin: Es el riesgo de que el auditor realice pruebas
exitosas a partir de un procedimiento inadecuado.

Auditora de Sistemas

Existen cuatro motivos por los que se utiliza la evaluacin de riesgos,

estos son:
Permitir que la gerencia asigne recursos necesarios para la auditora.
Garantizar que se ha obtenido la informacin pertinente de todos los
niveles gerenciales, y garantiza que las actividades de la funcin de
auditora se dirigen correctamente a las reas de alto riesgo y
constituyen un valor agregado para la gerencia.
Constituir la base para la organizacin de la auditora a fin de
administrar eficazmente el departamento.
Proveer un resumen que describa como el tema individual de auditora
se relaciona con la organizacin global de la empresa as como los
planes del negocio

Auditora de Sistemas

El objetivo de un control es anular un riesgo siguiendo alguna

metodologa, el objetivo de auditora es verificar la existencia de
estos controles y que estn funcionando de manera eficaz, respetando
las polticas de la empresa y los objetivos de la empresa

Auditora de Sistemas

Revisin de la documentacin de sistemas e identificacin de los

controles existentes.
Entrevistas con los especialistas tcnicos a fin de conocer las tcnicas
y controles aplicados. Utilizacin de software de manejo de base de
datos para examinar el contenido de los archivos de datos.
Tcnicas de diagramas de flujo para documentar aplicaciones
automatizadas

Auditora de Sistemas

Procedimientos y Tcnicas de Auditoria.

Desarrollo del programa de auditora.
Un programa de auditora es un conjunto documentado de
procedimientos diseados para alcanzar los objetivos de auditora
planificados. El esquema tpico de un programa de auditora incluye lo
siguiente:
Tema de Auditora
Objetivos de Auditora
Alcances de Auditora
Planificacin Previa

Auditora de Sistemas

Procedimientos y Tcnicas de Auditoria.

Asignacin de Recursos de auditora
Tcnicas de recopilacin de evidencias
Evaluacin de fortalezas y debilidades de auditora
Informe de auditora

Auditora de Sistemas

Responsabilidad del Auditor

El auditor es responsable del informe que emite ante su cliente, la
empresa auditada, y ante el conjunto de usuarios de la informacin de
la misma. La amplitud de su responsabilidad se deriva del hecho de
tener unmandato social, consistente en emitir su opinin sobre los
procesos empresa.

Auditora de Sistemas

Responsabilidad del Auditor

Verificacin del control interno tanto
aplicaciones como de los SI, perifricos, etc.

de

las

Anlisis de la administracin de Sistemas de Informacin, desde un

punto de vista de riesgo de seguridad, administracin y efectividad
de la administracin
Anlisis de la integridad, fiabilidad y certeza de la informacin a
travs del anlisis de aplicaciones
Auditora del riesgo operativo de los circuitos de informacin
Anlisis de la administracin de los riesgos de la informacin y de la
seguridad implcita

Auditora de Sistemas

Responsabilidad del Auditor

Verificacin del nivel de continuidad de las operaciones

Anlisis del Estado del Arte tecnolgico de la instalacin revisada y

las consecuencias empresariales que un desfase tecnolgico puede
acarrear
Diagnstico del grado de cobertura que dan las aplicaciones a las
necesidades estratgicas y operativas de informacin de la empresa
Tambin el auditor informtico es responsable de establecer los
objetivos de control que reduzcan o eliminen la exposicin al riesgo
de control interno.

Auditora de Sistemas

Principios ticos del auditor informtico

Principio de beneficio del auditado

El auditor deber conseguir la mxima

eficiencia y rentabilidad de los medios
informticos de la empresa auditada
El auditor deber evitar estar
ligado a determinados intereses

Auditora de Sistemas

Principios ticos del auditor informtico

Principio de calidad

El auditor deber prestar servicios

con los medios a su alcance
Libertad de utilizacin de los
mismos y condiciones tcnicas
adecuadas

Auditora de Sistemas

Principios ticos del auditor informtico

Principio de comportamiento profesional
Exige al auditor una seguridad en sus
conocimientos tcnicos y una clara
percepcin de sus carencias (acudiendo a
expertos si necesario) dejando constancia
de esa circunstancia y reflejando en forma
diferenciada,
en
sus
informes
y
dictmenes, las opiniones y conclusiones
propias y las emitidas por los mismo
Debe guardar un escrupuloso respeto
por la poltica de la empresa que audita

Auditora de Sistemas

Principios ticos del auditor informtico

Principio de confianza

El auditor deber facilitar e

incrementar la confianza del auditado en
base a una actuacin de transparencia en
su actividad profesional

Auditora de Sistemas

Principios ticos del auditor informtico

Principio de integridad moral
Obliga al auditor a ser honesto, leal y
diligente en el desempeo de su misin, a
ajustarse a las normas morales, de justicia
y probidad, y a evitar participar en actos
de corrupcin personal o a terceras
personas.
Principio de legalidad
El auditor deber evitar utilizar sus
conocimientos para facilitar, a los
auditados o a terceras personas, la
contravencin de la legalidad vigente

Auditora de Sistemas

Principios ticos del auditor informtico

Principio de secreto profesional
La confidencia y la confianza son
caractersticas
esenciales
de
las
relaciones entre el auditor y el auditado, e
imponen al primero la obligacin de
guardar en secreto los hechos e
informaciones que conozca en el ejercicio
de su actividad profesional
Principio de servicio pblico
Incitar al auditor a hacer lo que est en su
mano y sin perjuicio de los intereses de su
cliente, para evitar daos sociales como los
que pueden producirse en los casos en que,
durante la ejecucin de la auditora,
descubra elementos de software dainos
(virus) que puedan propagarse a otros
sistemas informticos diferentes al auditado

Auditora de Sistemas

Principios ticos del auditor informtico

Principio de secreto profesional
La confidencia y la confianza son
caractersticas
esenciales
de
las
relaciones entre el auditor y el auditado, e
imponen al primero la obligacin de
guardar en secreto los hechos e
informaciones que conozca en el ejercicio
de su actividad profesional
Principio de servicio pblico
Incitar al auditor a hacer lo que est en su
mano y sin perjuicio de los intereses de su
cliente, para evitar daos sociales como los
que pueden producirse en los casos en que,
durante la ejecucin de la auditora,
descubra elementos de software dainos
(virus) que puedan propagarse a otros
sistemas informticos diferentes al auditado

Auditora de Sistemas

El control
Es el conjunto de normas, tcnicas, acciones y procedimientos que
interrelacionados e interactuando entre si con los sistemas y
subsistemas organizacionales y administrativos, permite evaluar,
comparar y corregir aquellas actividades que se desarrollan en las
organizaciones, garantizando la ejecucin de los objetivos y el logro de
las metas institucionales

Auditora de Sistemas

Caractersticas del Sistema de Control

El control debe ser ejecutado

frecuentemente
para
que
permita
identificar las desviaciones a tiempo y
poder
tomar
acciones
correctivas
oportunamente
Debe ser econmico, es decir, los
beneficios que arroje deben ser
superiores a los costos de implantacin y
mantenimiento del sistema
El control se debe fundamentar en
datos verdicos para evitar apreciaciones
subjetivas
El control debe ser en lo posible,
sencillo, comprensible y adaptativo, no
debe entorpecer el desarrollo normal de
la empresa

Auditora de Sistemas

Clasificacin de los Controles

Control Interno
Es aquel proceso que se ejerce internamente en las organizaciones y es
impulsado por las directivas, administradores y dems personal que esta
vinculado a ella, el cual posee la suficiente tica y moral, as como
formacin acadmica, que amerite credibilidad a sus hallazgos y
conclusiones teniendo como propsito lograr el cumplimiento de los
objetivos institucionales

Definir polticas mtodos

y procedimientos

Establecer Acciones

Mejora Continua

Crear mecanismos
de prevencin, control
y evaluacin

Auditora de Sistemas

Clasificacin de los Controles

Control Externo
Es aquel ejercido por personal ajeno a la organizacin y su propsito es
establecer en que medida los resultados alcanzados por las entidades o
personas sujetas al control, satisfacen las metas y objetivos trazados
en las polticas, planes, programas y propsitos fijados por la
administracin

Auditora de Sistemas

El Control en los Sistemas de Informacin

El control en los sistemas pretende que los datos sean un fiel reflejo de
la realidad, que sean exactos, oportunos, suficiente que durante su
procesamiento no se vean afectados por perdida, omisin o redundancia,
que proporcione la informacin necesaria y que sea de utilidad para
futuros procesos y consultas

Auditora de Sistemas

Clasificacin de Controles en los Sistemas de Informacin

Generales: ejercidos sobre las actividades y
recursos comprendidos en el desarrollo de los
Sistemas de Informacin e implica procesos de
planeacin, definicin clara y precisa de metas y
objetivos institucionales

CONTROLES EN LOS
SISTEMAS DE
INFORMACIN

Operativos:
diseados,
desarrollados
e
implementados
para
sistemas
especficos
buscando garantizar con ellos que todas las
operaciones sean autorizadas, registradas y
procesadas
Tcnicos: Tiene que ver con la tecnologa de la
informacin como son los controles de operacin
de hardware, seguridad sobre los sistemas de
informacin, integracin, reporte de fallas,
control de usuarios, restriccin de accesos entre
otros .

Auditora de Sistemas

Clasificacin de Controles en los Sistemas de Informacin

CONTROLES EN
LOS SISTEMAS
DE
INFORMACIN

Generales

Preventivos: son aquellos controles

que estn involucrados dentro de los
procesos y tienen como propsito
evitar la ocurrencia y frecuencia de
desviaciones

Operativos

Detectivos: son aquellos que se

activan una vez se registra la
ocurrencia de la desviacin y tiene
como propsito avisar a las personas
involucradas en el proceso

Tcnicos

Correctivos: son aquellos que tienen

como
propsito
ayudar
en
la
correccin de aquellos errores o
desviaciones detectadas