AUDITORIA DE SISTEMAS

COMPUTACIONALES
Concepto de Auditoría:

Revisión metódica, periódica e intelectual de los registros,

tareas y resultados de la empresa, con lo cual se busca medir
y diagnosticar el comportamiento global en el desarrollo de
sus actividades y operaciones.

Medir Cumplimiento
Vigilancia y Opinión
eficiencia de objetivos
evaluación independiente
y eficacia
Otra Definición:

Es un examen crítico que se realiza con el fin de evaluar la

eficacia y eficiencia de una sección, un organismo, una
entidad, etc.
La palabra auditoría proviene del latín auditorius, y de esta
proviene la palabra auditor, que se refiere a todo aquel que
tiene la virtud de oír.
La auditoría puede definirse como un proceso sistemático por
el cual un equipo o una persona competente e independiente
obtiene y evalúa objetivamente la evidencia respecto a las
afirmaciones acerca de un proceso con el fin de formarse una
opinión sobre el particular e informar sobre el grado de
cumplimiento.
La auditoría de SI puede definirse como cualquier auditoría
que abarca la revisión y evaluación (parcial o total) de los
sistemas automatizados de procesamientos de información,
procesos relacionados no automatizados y las interfaces entre
ellos.
La evidencia:

Es cualquier información usada por el auditor de SI para

determinar si la entidad o los datos que están siendo
auditados cumplen con los criterios u objetivos establecidos, y
soportan que las conclusiones del auditor se basen en
evidencia suficiente, relevante y competente.
La evidencia del auditoría puede incluir observaciones del
auditor de SI, notas de las entrevistas, material extractado de
la correspondencia y documentación interna, o los contratos
con socios externos o los resultados de los procedimientos de
prueba de auditoría.
Antecedentes de la auditoría

Expansión del comercio

 Trueque.
 Registro de operaciones a través de escribas.
 Evaluación de la veracidad y confiabilidad de los registros.
El descubrimiento de América (1492)
Ley de Empresas del Reino Unido de Inglaterra (siglo XIX)
Revolución Industrial (actividades fabriles y mercantiles)
Todas las disciplinas de
Contaduría pública quehacer humano
Objetivos de la Auditoría
Los principales objetivos que constituyen a la auditoría
Informática son:

 El control de la función informática.

 El análisis de la eficiencia de los Sistemas Informáticos
que comporta.
 La verificación del cumplimiento de la Normativa general
de la empresa en este ámbito.
 La revisión de la eficaz gestión de los recursos
materiales y humanos informáticos
Alcance de la Auditoría Informática:

El alcance ha de definir con precisión el entorno y los límites

en que va a desarrollarse la auditoría informática, se
complementa con los objetivos de ésta. El alcance ha de
figurar expresamente en el Informe Final, de modo que quede
perfectamente determinado no solamente hasta que puntos
se ha llegado, sino cuales materias fronterizas han sido
omitidas. La indefinición de los alcances de la auditoría
compromete el éxito de la misma.
Síntomas de Necesidad de una Auditoría
Informática:

Las empresas acuden a las auditorías externas cuando existen

síntomas bien perceptibles de debilidad. Estos síntomas
pueden agruparse en clases:

 Síntomas de descoordinación y desorganización:

No coinciden los objetivos de la Informática de la
Compañía y de la propia Compañía.
Los estándares de productividad se desvían sensiblemente
de los promedios conseguidos habitualmente.
 Síntomas de mala imagen e insatisfacción de los usuarios:
No se atienden las peticiones de cambios de los usuarios.
No se reparan las averías de Hardware ni se resuelven
incidencias en plazos razonables. El usuario percibe que
está abandonado y desatendido permanentemente.

No se cumplen en todos los casos los plazos de entrega

de resultados periódicos. Pequeñas desviaciones
pueden causar importantes desajustes en la actividad
del usuario, en especial en los resultados de Aplicaciones
críticas y sensibles.
 Síntomas de debilidades económico-financiero:

Incremento desmesurado de costes.

Necesidad de justificación de Inversiones Informáticas
(la empresa no está absolutamente convencida de tal
necesidad y decide contrastar opiniones).

Desviaciones Presupuestarias significativas.

Costes y plazos de nuevos proyectos (deben auditarse
simultáneamente a Desarrollo de Proyectos y al órgano
que realizó la petición).
 Síntomas de Inseguridad: Evaluación de nivel de riesgos:

Seguridad Lógica
Seguridad Física
Confidencialidad
Continuidad del Servicio. Es un concepto aún más
importante que la Seguridad. Establece las estrategias de
continuidad entre fallos mediante Planes de Contingencia
Clasificación de los Tipos de Auditorías
Por su lugar de aplicación Por su área de aplicación
• Auditoría externa  Auditoría administrativa
• Auditoría interna  Auditoría operacional
 Auditoría integral
 Auditoría gubernamental
Especializadas en áreas específicas  Auditoría de sistemas
• Auditoría al área médica
• Auditoría al desarrollo de obras y construcciones Auditoría de sistemas computacionales
• Auditoría fiscal • Auditoría informática
• Auditoría laboral • Auditoría con la computadora
• Auditoría de proyectos de inversión • Auditoría sin la computadora
• Auditoría a la caja chica o mayor • Auditoría a la gestión informática
• Auditoría al manejo de mercancías • Auditoría al sistema de cómputo
• Auditoría ambiental • Auditoría alrededor de las computadora
• Auditoría de sistemas • Auditoría de la seguridad de los sistemas comp.
• Auditoría a los sistemas de redes
• Auditoría integral a los centros de cómputos
• Auditoría ISO-9000 a los sistemas computacionales
• Auditoría outsourcing
• Auditoría ergonómica de sistemas computacionales
Auditoría Externa

Es aquella auditoría que se realiza con personal totalmente ajeno a la empresa

auditada, con libertad absoluta de actuación y libre de cualquier de cualquier
injerencia por parte de la institución donde se practica; por lo tanto, sus objetivos
son los siguientes:
 Realizar una evaluación de manera independiente, con el fin de emitir un
dictamen externo sobre la razonabilidad de sus actividades, operaciones y
resultados.
 Hacer una revisión independiente, sobre el aspecto contable y las finanzas de las
área de una empresa, emitiendo un dictamen autónomo.
 Evaluar el cumplimiento de los planes, programas, políticas, normas y
lineamientos que regulan las funciones de una institución, así como evaluar, las
actividades de sus áreas y unidades administrativas, utilizando un enfoque ajeno a
la institución.
Auditoría Externa
Ventajas:
 Al no tener dependencia de la empresa, el
trabajo de los auditores es totalmente
independiente.
 En su realización , estas auditoría pueden
estar apoyadas por una mayor experiencia
por parte de los auditores externos,
debido a que utilizan técnicas y
herramientas que ya fueron probadas en
otras empresas.
 Los dictámenes de estas auditorías
pueden ser validos para las autoridades
impositivas, y con ello pueden satisfacer
requisitos de carácter legal siempre que
sean realizadas por auditores de prestigio
que tengan el reconocimiento público.
Desventajas:
• El auditor conoce poco la empresa, por lo
que su evaluación puede estar limitada a
la información que pueda recopilar.
• Dependen en absoluto de la cooperación
que el auditor pueda obtener departe del
auditado.
• Muchas auditorías de este tipo se derivan
de imposiciones fiscales y legales que
pueden llegar a crear ambientes hostiles
para los auditores que la realizan.
• En algunos casos es costosa para la
empresa, por el tiempo y trabajo adicional
que representa.
Auditoría Interna

Esta auditoria se lleva a cabo con el personal que labora en la empresa y depende
estructuralmente de algún directivo, por lo que es de suma importancia que se
establezcan y respeten los objetivos que se citan a continuación:
 Realizar una evaluación independiente dentro de la institución donde se trabaja,
contando con mayor entendimiento de sus actividades y operaciones, con el fin de
ayudar a evaluar la actuación de la gestión administrativa.
 Hacer una revisión interna del área contable, de las finanzas y del control interno
del área de una empresa, a fin de evaluar su funcionamiento desde un punto de
vista interno.
 Evaluar internamente el cumplimiento de los planes, programas, políticas, normas
y lineamientos que regulan la actuación de cada uno de los integrantes de una
institución, así como de sus áreas administrativas.
Auditoría Interna
Ventajas:
• El auditor pertenece a la empresa, casi
siempre conoce integralmente sus
actividades, operaciones y áreas; por
tanto su revisión puede ser más profunda
y con mayor conocimiento.
• El informe que rinde el auditor,
independientemente del resultado, es
sólo de carácter interno y por tanto no
sale de la empresa.
• Esta auditoria sólo consume recursos
internos, por lo que no representa gasto
adicional para la empresa.
• Permite detectar problemas y
desviaciones a tiempo.
Desventajas:
• Su veracidad, alcance y confiabilidad
pueden ser limitados, debido a que puede
haber injerencia por parte de las
autoridades sobre la forma de evaluar y
emitir opiniones.
• En ocasiones la opinión del auditor tal vez
no era absoluta, debido a que, al laborar
en la misma empresa donde realiza la
auditoría, se pueden presentar presiones,
compromisos y ciertos intereses al realizar
la evaluación.
• Se pueden presentar vicios de trabajo con
relativa frecuencia, ya sea en la forma de
utilizar las técnicas y herramientas para
aplicar la auditoría, como en la forma de
evaluar y emitir su informe sobre la
misma.
Metodología de Auditoría

Una metodología de auditoría es un conjunto de

procedimientos documentados de auditoría diseñados para
alcanzar los objetivos de auditoría planeados. Sus componentes
son una declaración del alcance, una declaración de los
objetivos de la auditoría y una declaración de los programas de
auditoría.
La metodología de auditoría debería ser establecida y aprobada
por la gerencia de auditoría para lograr consistencia en el
enfoque de auditoria. Esta metodología debería ser formalizada
y comunicada a todo el personal de auditoría.
Fases de Auditoría

 Sujeto de la auditoría
 Objetivo de la auditoría
 Alcance de la auditoría
 Planeación de la auditoría
 Procedimientos de auditoría/pasos para la recopilación de datos.
 Evaluación de pruebas y revisión de resultados.
 Procedimientos de comunicación con la gerencia.
 Elaboración del informe de auditoría.
Marco Esquemático de la Auditoría de Sistemas
Computacionales
Evaluación a:
Hardware
• Plataforma de hardware.
• Tarjeta madre.
• Procesadores.
• Dispositivos periféricos.
• Arquitectura del sistema.
• Instalaciones eléctricas, de datos y de telecomunicaciones.
• Innovación tecnológica de hardware y periféricos.

Software
• Plataforma del software.
• Sistema operativo.
• Lenguajes y programas de desarrollo.
• Programas, paquetería de aplicación y base de datos.
• Utilería , bibliotecas y aplicaciones.
• Software de telecomunicación..
Gestión informática
• Actividades administrativas del área de sistemas.
• Operación del sistema de cómputos.
• Planeación y control de actividades.
• Presupuesto y gastos de los recursos informáticos.
• gestión de la actividad informática.
• Capacitación y desarrollo del personal informático.
• Administración de estándares de operación, programación y desarrollo.

Información.
• Administración, seguridad y control de la información.
• Salvaguarda, protección y custodia de la información.
• Cumplimiento de las características de la información .

Especializadas
• Outsourcing.
• Helpdesk.
• Ergonomía en sistemas computacionales.
• ISO-90000
• Internet/intranet.
• Sistemas multimedia
Base de datos.
• Administración de bases de datos.
• Diseño de bases de datos.

Seguridad
• Seguridad del área de sistemas.
• Seguridad física.
• Seguridad lógica.
• Seguridad de las instalaciones eléctricas, de datos y de telecomunicaciones.
• Seguridad de la información, redes y bases de datos.
• Seguridad del personal informático..

Redes de cómputos
• Plataformas de configuración de las redes.
• Protocolos de comunicaciones,
• Sistemas operativos y software.
• Administración de las redes de cómputos,
• Administración de la seguridad de las redes.
• Administración de la base de datos de las redes.
 Métodos, Técnicas, Herramientas y
Procedimientos de Auditoría
Instrumentos de recopilación de datos aplicables en la auditoría de sistemas:
• Entrevistas.
• Cuestionario.
• Encuestas.
• Observación.
• inventarios.
• Muestreo.
• Experimentación.
Principios y Valores del Auditor

• Honestidad
• Integridad
• Cumplimiento
• Lealtad
• Imparcialidad
• Respeto a los demás
• Ciudadano responsable
• Búsqueda de la excelencia
• Responsabilidad
• Confiabilidad
• Veracidad
Norma para todos los auditores

Normas permanentes de carácter profesional:

Emitir una opinión responsable y profesional respaldada en evidencias comprobadas.
Mantener una disciplina profesional.
Guardar el secreto profesional.
Tener independencia mental.
Contar con responsabilidad profesional.
Capacitación y adiestramiento permanentes.
Hacer una planeación de la auditoría y de los programas de evaluación.
Hacer la presentación de un dictamen por escrito, así como la aclaración de diferencia.
Normas de carácter social:
• Acatar las normas y obligaciones de carácter social.
• Respetar a las autoridades, leyes, normas y reglamentos.
• Evitar y prevenir sobornos, componendas y dádivas.
• Ser leal con los auditados.
• Contar con una opinión profesional y defenderla.
• Emitir un dictamen con firma profesional.
• Contar con apoyo didáctico y normativo vigente.

Normas de comportamiento ético-moral:

• Ser incorruptible e insobornable.
• Ser imparcial en los juicios que emite como auditor.
• Contar con un juicio sereno, ético y moral.
• Acatar y hacer cumplir las normas morales y éticas.