AUDITORIA INFORMATICA

MG. ING. GILMER MATOS VILA

 AUDITORIA
CONCEPTO:

La palabra auditoria viene del latín

auditorius y de esta proviene auditor, que
tiene la virtud de oír y revisar

Auditoria: Es una disciplina expresada en

conceptos, normas, técnicas,
procedimientos y metodologías, que tiene
como objetivo examinar y evaluar
determinada realidad, para emitir una
opinión sobre un aspecto o la totalidad del
objeto estudiado.
 AUDITORIA DE SISTEMAS

CONCEPTO:

Es la revisión y evaluación de los

controles, sistemas, procedimientos de
informática; de los equipos de computo,
su utilización, eficiencia y seguridad, de
la organización que participan en el
procesamiento de la información, a fin
que por medio del señalamiento de
cursos alternativos se logre una
utilización mas eficiente y segura de la
información que servirá para una
adecuada toma de decisiones.
 AUDITORIA DE SISTEMAS

CONCEPTO:

ES EL PROCESO DE RECOGER, AGRUPAR Y

EVALUAR EVIDENCIAS PARA DETERMINAR SI UN
SISTEMA INFORMATIZADO SALVAGUARDA LOS
ACTIVOS, MANTIENE LA INTEGRIDAD DE LOS
DATOS, LLEVA A CABO EFICAZMENTE LOS FINES
DE LA ORGANIZACIÓN Y UTILIZA EFICIENTEMENTE
LOS RECURSOS
 AUDITORIA DE SISTEMAS
Objetivos generales de la Auditoria de
sistemas informáticos:

 Asegurar una mayor integridad, confidencialidad y

confiabilidad de la información.

Seguridad del personal, los datos, el hardware, el

software y las instalaciones.
Minimizar existencias de riesgos en el uso de
Tecnología de información
Conocer la situación actual del área informática
para lograr los objetivos.
 OBJETIVOS

Apoyo de función informática a las metas y

objetivos de la organización.

Seguridad, utilidad, confianza, privacidad y

disponibilidad en el ambiente informático.
Incrementar la satisfacción de los usuarios de los
sistemas informáticos.

Capacitación y educación sobre controles en los

Sistemas de Información.

Buscar una mejor relación costo-beneficio de

los sistemas automáticos.
 Decisiones de inversión y gastos innecesarios.
 PORQUÉ REALIZAR UNA AI?
• 1) Aumento en el presupuesto del Dpto de informática.
• 2) Desconocimiento de la situación informática.
• 3) Niveles de inseguridades lógicas y físicas.
• 4) Sospecha de fraudes informáticos.
• 5) Falta de una planificación informática
• 6) Organización que no funciona correctamente, falta de
políticas, objetivos, normas, metodología, asignación de tareas
y adecuada administración del Recurso Humano
• 7) Descontento general de los usuarios por incumplimiento de
plazos y mala calidad de los resultados
• 8) Falta de documentación o documentación incompleta de
sistemas que revela la dificultad de efectuar el mantenimiento
de los sistemas en producción
 SÍNTOMAS DE NECESIDAD DE
UNA AUDITORIA INFORMÁTICA:

LAS EMPRESAS ACUDEN A LAS

AUDITORIAS EXTERNAS CUANDO
EXISTEN SÍNTOMAS BIEN
PERCEPTIBLES DE DEBILIDAD.
ESTOS SÍNTOMAS PUEDEN
AGRUPARSE EN CLASES:
Síntomas de descoordinación y
desorganización:

NO COINCIDEN LOS OBJETIVOS DE LA

INFORMÁTICA DE LA COMPAÑÍA Y DE
LA PROPIA COMPAÑÍA.

LOS ESTÁNDARES DE PRODUCTIVIDAD

SE DESVÍAN SENSIBLEMENTE DE LOS
PROMEDIOS CONSEGUIDOS
HABITUALMENTE.
SÍNTOMAS DE MALA IMAGEN E INSATISFACCIÓN
DE LOS USUARIOS:

-NO SE ATIENDEN LAS PETICIONES DE CAMBIOS DE

LOS USUARIOS. EJEMPLOS: CAMBIOS DE
SOFTWARE EN LOS TERMINALES DE USUARIO,
VARIACIÓN DE LOS FICHEROS QUE DEBEN
PONERSE DIARIAMENTE A SU DISPOSICIÓN, ETC.
- NO SE REPARAN LAS AVERÍAS DE HARDWARE NI
SE RESUELVEN INCIDENCIAS EN PLAZOS
RAZONABLES. EL USUARIO PERCIBE QUE ESTÁ
ABANDONADO Y DESATENDIDO
PERMANENTEMENTE.
- NO SE CUMPLEN EN TODOS LOS CASOS LOS
PLAZOS DE ENTREGA DE RESULTADOS
PERIÓDICOS. PEQUEÑAS DESVIACIONES PUEDEN
CAUSAR IMPORTANTES DESAJUSTES EN LA
ACTIVIDAD DEL USUARIO, EN ESPECIAL EN LOS
RESULTADOS DE APLICACIONES CRÍTICAS Y
SENSIBLES.
SÍNTOMAS DE DEBILIDADES
ECONÓMICO-FINANCIERO:

- INCREMENTO DESMESURADO DE COSTES.

- NECESIDAD DE JUSTIFICACIÓN DE INVERSIONES
INFORMÁTICAS (LA EMPRESA NO ESTÁ
ABSOLUTAMENTE CONVENCIDA DE TAL NECESIDAD
Y DECIDE CONTRASTAR OPINIONES).
- DESVIACIONES PRESUPUESTARIAS
SIGNIFICATIVAS.
- COSTES Y PLAZOS DE NUEVOS PROYECTOS
(DEBEN AUDITARSE SIMULTÁNEAMENTE A
DESARROLLO DE PROYECTOS Y AL ÓRGANO QUE
REALIZÓ LA PETICIÓN).
SÍNTOMAS DE INSEGURIDAD: EVALUACIÓN DE NIVEL
DE RIESGOS

- SEGURIDAD LÓGICA
- SEGURIDAD FÍSICA
- CONFIDENCIALIDAD

LOS DATOS SON PROPIEDAD INICIALMENTE DE LA

ORGANIZACIÓN QUE LOS GENERA. LOS DATOS DE
PERSONAL SON ESPECIALMENTE CONFIDENCIALES

CENTRO DE PROCESO DE DATOS FUERA DE CONTROL.

SI TAL SITUACIÓN LLEGARA A PERCIBIRSE, SERÍA
PRÁCTICAMENTE INÚTIL LA AUDITORIA. ESA ES LA
RAZÓN POR LA CUAL, EN ESTE CASO, EL SÍNTOMA
DEBE SER SUSTITUIDO POR EL MÍNIMO INDICIO.
 RIESGO

Son errores o irregularidades que pueden

causar daños a los estados financieros de una
organización.
RIESGO DE AUDITORIA

Es la posibilidad de que se omita un

informe inadecuado, por no haberse
detectado errores o irregularidades
significativas a través del proceso de
auditoria.
 CONTROLES

Es una serie de normas, técnicas y

procedimientos, a través de las
cuales se mide y corrige el
desempeño de una actividad para
asegurar la consecución de los
resultados esperados.
 CLASIFICACIÓN DE LOS CONTROLES
• Preventivos. Reducen la frecuencia con que ocurren las causas
del riesgo, permitiendo cierto margen de violaciones. ("No
fumar“, Sistemas de claves de acceso).
• Detectivos. Detectan los hechos después de ocurridos. .
Evalúan la eficiencia de los controles preventivos. (Archivos y
procesos que sirven como pistas de auditoria, Procedimientos
de validación)
• Correctivos. Ayudan a la investigación y corrección de las
causas del riesgo. Porqué ocurrió? Porqué no se detectó? Qué
medidas debo tomar?
CONTROLES FÍSICOS (1)

• Autenticidad. Permiten verificar la identidad:

Passwords, Firmas digitales
• Exactitud. Aseguran la coherencia de los datos
Validación de campos, Validación de excesos
• Totalidad. Evitan la omisión de registros así como
garantizan la conclusión de un proceso de envío:
Conteo de registros, Cifras de control
• Redundancia. Evitan la duplicidad de datos:
Cancelación de lotes, Verificación de secuencias
 CONTROLES FÍSICOS (2)
• Privacidad: Aseguran la protección de los datos:
Compactación, Encriptación
• Existencia. Aseguran la disponibilidad de los datos:
Bitácora de estados, Mantenimiento de activos,
Protección de Activos, Destrucción o corrupción de
información o del hardware, Extintores
• Efectividad. Aseguran el logro de los objetivos:
Encuestas de satisfacción, Medición de niveles de
servicio,
• Eficiencia. Aseguran el uso óptimo de los recursos:
Programas monitores,,Análisis costo-beneficio
 CONTROLES AUTOMÁTICOS O
LÓGICOS
• Periodicidad de cambio de claves de acceso
• Combinación de alfanuméricos en claves de acceso
• Verificación de datos de entrada.
• Conteo de registros.
• Totales de Control.
• Verificación de límites.
• Verificación de secuencias.
• Dígito autoverificador.
 CONTROLES ADMINISTRATIVOS EN
INFORMÁTICA

• Controles de Preinstalación
• Controles de Organización y Planificación
• Controles de Sistemas en Desarrollo y Producción
• Controles de Procesamiento
• Controles de Operación
• Controles de uso de Microcomputadores
CONTROLES DE PREINSTALACIÓN(1)
• Hacen referencia a procesos y actividades previas a la
adquisición e instalación de un equipo de computación y
obviamente a la automatización de los sistemas existentes.
• Objetivos:
• * Garantizar que el hardware y software se adquieran
siempre y cuando tengan la seguridad de que los sistemas
computarizados proporcionaran mayores beneficios que
cualquier otra alternativa.
• * Garantizar la selección adecuada de equipos y sistemas
de computación
• * Asegurar la elaboración de un plan de actividades
previo a la instalación
•
 ACCIONES A SEGUIR
• Elaboración de un informe técnico que se justifique la
adquisición del equipo, software y servicios de
computación, incluyendo un estudio costo-beneficio.
• Formación de un comité que coordine y se responsabilice
de todo el proceso de adquisición e instalación
• Elaborar un plan de instalación de equipo y software
(fechas, actividades, responsables) el mismo que debe
contar con la aprobación de los proveedores del equipo.
• Elaborar un instructivo con procedimientos a seguir para la
selección y adquisición de equipos, programas y servicios
computacionales. Este proceso debe enmarcarse en normas
y disposiciones legales.
• Efectuar las acciones necesarias para una mayor
participación de proveedores.
• Asegurar respaldo de mantenimiento y asistencia técnica.
CONTROLES DE ORGANIZACIÓN Y
PLANIFICACIÓN(1)
• Se refiere a la definición clara de funciones, línea de
autoridad y responsabilidad de las diferentes unidades
del área informática, en labores tales como: Diseño del
sistema, Programación, Operación del sistema, Control
de calidad.
• Se debe evitar que una misma persona tenga el control
de toda una operación. Es importante la utilización
óptima de recursos mediante la preparación de planes
a ser evaluados continuamente
 ACCIONES A SEGUIR
• La unidad informática debe estar al mas alto nivel de la
pirámide administrativa.
• Deben existir mecanismos necesarios a fin de asegurar que
los programadores y analistas no tengan acceso a la
operación del computador y los operadores a su vez no
conozcan la documentación de programas y sistemas.
• Debe existir una unidad de control de calidad.
• El manejo y custodia de dispositivos y archivos magnéticos
deben estar expresamente definidos por escrito.
• Debe formularse el "Plan Maestro de Informática“ (PESI)
• Debe existir una participación efectiva de directivos, usuarios
en la planificación y evaluación del cumplimiento del plan.
• Las instrucciones deben impartirse por escrito.
CONTROLES DE SISTEMA EN
DESARROLLO Y PRODUCCIÓN(1)
• Se debe justificar que los sistemas han sido la mejor opción
para la empresa, bajo una relación costo-beneficio que
proporcionen oportuna y efectiva información, que los
sistemas se han desarrollado bajo un proceso planificado y
se encuentren debidamente documentados.
ACCIONES A SEGUIR

• Equipo de trabajo: usuarios, personal de auditoría

interna/control, especialistas.
• El desarrollo, diseño y mantenimiento de sistemas
obedece a un plan estratégico.
• Documentación de fases con actas de
conclusión/recepción.
• Prueba de programas.
• Documentación de sistemas: informes, diagramas,
objetivos de los programas, fuentes, formatos de
entrada/salida.
• Procesos de contingencia.
CONTROLES DE PROCESAMIENTO(1)
• Los controles de procesamiento se refieren al ciclo
que sigue la información desde la entrada hasta la
salida de la información, lo que conlleva al
establecimiento de una serie de seguridades para:
– Asegurar que todos los datos sean procesados
– Garantizar la exactitud de los datos procesados
– Garantizar que se grabe un archivo para uso de la
gerencia y con fines de auditoria
– Asegurar que los resultados sean entregados a los
usuarios en forma oportuna y en las mejores
condiciones.
ACCIONES A SEGUIR

• Preparación y validación de datos de entrada previo

procesamiento debe ser realizada en forma automática:
clave, dígito autoverificador, totales de lotes, etc.
• Procesos de corrección de errores.
• Estandarización de formularios, fuente para agilitar la
captura de datos y minimizar errores.
• Los procesos interactivos deben garantizar una adecuada
interrelación entre usuario y sistema.
• Planificar el mantenimiento del hardware y software,
tomando todas las seguridades para garantizar la
integridad de la información y el buen servicio a usuarios.
CONTROLES DE OPERACIÓN

• Abarcan el ambiente de la operación del equipo y

dispositivos de almacenamiento, la operación de terminales
y equipos de comunicación.
• Los controles tienen como fin:
– Prevenir o detectar errores accidentales que puedan
ocurrir en el Centro de Cómputo durante un proceso
– Evitar o detectar el manejo de datos con fines
fraudulentos por parte de funcionarios del PAD
– Garantizar la integridad de los recursos informáticos.
– Asegurar la utilización adecuada de equipos acorde a
planes y objetivos, Recursos Informáticos
ACCIONES A SEGUIR(1)
• El acceso al centro de computo solo personal autorizado.
• Ingreso a equipos con claves
• Políticas de seguridad, privacidad y protección de los
recursos informáticos frente a: incendio, vandalismo, robo y
uso indebido, intentos de violación y como responder ante
esos eventos.
• Llevar una bitácora de todos los procesos realizados,
dejando constancia de suspensiones o cancelaciones.
• Procesos de recuperación o restauración de información.
• Todas las actividades del Centro de Computo deben
normarse mediante manuales, instructivos, normas,
reglamentos, etc.
ACCIONES A SEGUIR(2)
• El proveedor de hardware y software deberá proporcionar lo
siguiente:
– Manual de operación de equipos
– Manual de lenguaje de programación
– Manual de utilitarios disponibles
– Manual de Sistemas operativos
Las instalaciones deben contar con sistema de alarma por presencia de
fuego, humo, asi como extintores de incendio, conexiones eléctricas
seguras, entre otras.
Instalar equipos que protejan la información y los dispositivos en caso de
variación de voltaje como: reguladores de voltaje, supresores pico,
UPS, generadores de energía.
Contratar pólizas de seguros para proteger la información, equipos,
personal y todo riesgo que se produzca por casos fortuitos o mala
operación.
CONTROLES EN EL USO DEL
MICROCOMPUTADOR
• Es la tarea mas difícil pues son equipos vulnerables, de
fácil acceso, de fácil explotación pero los controles que se
implanten ayudaran a garantizar la integridad y
confidencialidad de la información.
ACCIONES A SEGUIR
• Adquisición de equipos de protección: supresores de pico, reguladores
de voltaje y UPS
• Vencida la garantía de mantenimiento del proveedor se debe
contratar mantenimiento preventivo y correctivo.
• Establecer procedimientos para obtención de backups de paquetes y
de archivos de datos.
• Revisión periódica y sorpresiva del contenido del disco para verificar
la instalación de aplicaciones no relacionadas a la gestión de la
empresa.
• Mantener programas y procedimientos de detección e inmunización de
virus en copias no autorizadas o datos procesados en otros equipos.
• Propender a la estandarización del Sistema Operativo, software
utilizado como procesadores de palabras, hojas electrónicas,
manejadores de base de datos y mantener actualizadas las versiones y
la capacitación sobre modificaciones incluidas.
 TIPOS DE AUDITORIA
Entre los principales enfoques de Auditoría tenemos los
siguientes:

Financiera:
Veracidad de estados financieros, prácticas y principios contables.
Preparación de informes de acuerdo a principios contables.

Es un proceso cuyo resultado final es la emisión de un informe, en

el que el auditor da a conocer su opinión sobre la situación
financiera de la empresa, este proceso solo es posible llevar a cabo
a través de un elemento llamado evidencia de auditoria, ya que el
auditor hace su trabajo posterior a las operaciones de la empresa.
 TIPOS DE AUDITORIA
Administrativa
Logros de los objetivos de la Administración.
Desempeño de funciones administrativas.

Es el revisar y evaluar si los métodos, sistemas y

procedimientos que se siguen en todas las fases del
proceso administrativo aseguran el cumplimiento
con políticas, planes, programas, leyes y
reglamentaciones que puedan tener un impacto
significativo en operación de los reportes y asegurar
que la organización los este cumpliendo y
respetando.
TIPOS DE AUDITORIA
Calidad
Métodos
Mediciones.
Controles de los bienes y servicios.
La auditoría de calidad es una herramienta de gestión
empleada para verificar y evaluar las actividades
relacionadas con la calidad en el seno de una organización.
Organizaciones de todo tipo pueden tener la necesidad de
demostrar su responsabilidad con el sistema de gestión de
calidad implantado (SGC) y la práctica asociada de
Auditoria de calidad se ha tornado como una forma de
satisfacer esta necesidad. La intención de estos sistemas es la
de ayudar a una organización a establecer y mejorar sus
políticas, objetivos, estándares y otros requerimientos de
calidad.
TIPOS DE AUDITORIA

Operacional
Evalúa la eficiencia
Eficacia.
Economía.
De los métodos y procedimientos que rigen un proceso de una
empresa.

Es el examen posterior, profesional, objetivo y sistemático de la

totalidad o parte de las operaciones o actividades de una entidad,
proyecto, programa, inversión o contrato en particular, sus unidades
integrantes u operacionales específicas.

Su propósito es determinar los grados de efectividad, economía y

eficiencia alcanzados por la organización y formular recomendaciones
para mejorar las operaciones evaluadas. Relacionada básicamente con
los objetivos de eficacia, eficiencia y economía.
 TIPOS DE AUDITORIA

Sistemas
Se preocupa de la función informática.

Se ocupa de analizar la actividad que se conoce como

técnica de sistemas en todas sus facetas. Hoy, la importancia
creciente de las telecomunicaciones ha propiciado que las
comunicaciones. Líneas y redes de las instalaciones
informáticas, se auditen por separado, aunque formen parte
del entorno general de sistemas.
Su finalidad es el examen y análisis de los procedimientos
administrativos y de los sistemas de control interno de la
compañía auditada.
 AUDITORIA DE LA OPERACION
INFORMATICA

• La Operación Informática se ocupa de producir

resultados informáticos de todo tipo: reportes,
bases de datos, procesamiento de documento,
etc.
– Control de entrada de datos
– Planificación y Recepción de Aplicaciones
– Centro de Control y Seguimiento de Trabajos
– Operadores de Centros de Cómputos
– Centro de Control de Red y Centro de Diagnosis
 AUDITORIA DE DESARROLLO DE
PROYECTOS
• Ciclo de vida de los sistemas
• Se utiliza metodología de desarrollo de Proyectos
informáticos.
• Exigente control interno de todas las fases antes
nombradas.
• Seguridad de los programas, Hacen la función prevista
AUDITORIA INFORMATICA DE
SISTEMAS

• Analiza la "Técnica de Sistemas" en todas sus facetas.

• Sistemas Operativos.
• Sistemas multimediales.
• Software de Teleproceso.
• Administración de Base de Datos.
• Investigación y Desarrollo.
• Algunas áreas por su naturaleza se independizan.
AUDITORIA INFORMATICA DE
COMUNICACIONES Y REDES
• Redes LAN, MAN, WAN
• Las Comunicaciones son el Soporte Físico-Lógico de
la Informática en Tiempo Real.
• Topología de la Red de Comunicaciones,
• Nùmero de líneas, cómo son y dónde están
instaladas.
• Tipo de terminales, carga de la red, etc.
 AUDITORIA DE LA SEGURIDAD
INFORMATICA

• Seguridad física y seguridad lógica.

• La Seguridad física se refiere a la protección del
Hardware y de los soportes de datos, así como los
edificios e instalaciones que los albergan.
• La seguridad lógica se refiere a la seguridad de
uso del software, a la protección de los datos,
procesos y programas, así como la del ordenado y
autorizado acceso de los usuarios a la información.
• Elaboración de "Matrices de Riesgo“.
 CAMPO DE ACCIÓN DEL AUDITOR
INFORMATICO:

La evaluación administrativa del departamento de

procesos electrónicos

La evaluación de los sistemas y procedimientos y la

eficiencia que se tiene en el uso de la información

La evaluación del proceso de datos y de los equipos

de cómputo

Para lograr los puntos antes señalados necesita:

Evaluación administrativa del departamento de
informática
 PROCESO GENERAL DE
AUDITORIA
El interés principal no radica en las transacciones
y saldos individuales sino en los estados
financieros en su conjunto. La auditoria no
comienza con el examen de las transacciones o
documentos individuales, comienza centrándose
en el tipo de negocio de la empresa, en su
organización, en la forma en que funcionan sus
áreas importantes, de que manera son dirigidas,
controladas y registradas sus transacciones.
ETAPAS DEL PROCESO DE AUDITORIA

PLANIFICACIÓN

EJECUCIÓN

FINALIZACIÓN