Universidad Nacional

Federico Villareal

CURSO
AUDITORIA DE SISTEMAS
Facilitador: Lic. Jorge Serrano

Email: jserranoc2909@speedy.com.pe

1
Universidad Nacional
Federico Villareal

Objetivos
 Proporcionar a los participantes los
fundamentos necesarios para comprender
el proceso de la Auditoría de Sistemas.

 Dotarles de los conocimientos necesarios

para su ejecución, entendiendo las
interrelaciones y escenarios asociados a
las TI

2
Universidad Nacional
Federico Villareal

CONTENIDO
1. Proceso de Auditoria de Sistemas
2. Administración de Riesgos
3. Controles Generales
4. Controles de aplicación
5. Gestión de la seguridad de información
6. Gestión de la continuidad de negocios
7. Monitoreo

3
Universidad Nacional
Federico Villareal

CONTENIDO
1. Proceso de Auditoria de Sistemas
2. Administración de Riesgos
3. Controles Generales
4. Controles de aplicación
5. Gestión de la seguridad de información
6. Gestión de la continuidad de negocios
7. Monitoreo

4
Universidad Nacional Auditoría de Sistemas
Federico Villareal

MODELO ORGANIZACIONAL

Objetivos

Planeamiento Dirección

Atención al
Logística Producción Venta
Cliente

Finanzas

Recursos Humanos

Auditoria

Sistemas

5
Universidad Nacional Auditoría de Sistemas
Federico Villareal Auditoria Intena

AUDITORIA INTERNA

Definición General

 Es una evaluación independiente y objetiva.

 Una actividad de consultoría diseñada para agregar valor y mejorar

las operaciones de la organización.

 Ayuda a la organización en el cumplimiento de sus objetivos al

incorporar un enfoque sistemático y disciplinado para evaluar la
efectividad de la gestión del riesgo, el control y el proceso de
gobernabilidad corporativa.

6
Universidad Nacional Auditoría de Sistemas
Federico Villareal Auditoria Intena

TIPOS DE AUDITORIA

• AUDITORIA FINANCIERA

• AUDITORIA OPERACIONAL

• AUDITORIA ADMINISTRATIVA

• AUDITORIA INTEGRAL

• AUDITORIA DE CALIDAD

• AUDITORIA DE SISTEMAS

7
Universidad Nacional Auditoría de Sistemas
Federico Villareal Auditoria Intena

AUDITORIA FINANCIERA

 Es aquella que emite un dictamen u opinión profesional en

relación con los estados financieros de una unidad económica
en una fecha determinada y sobre el resultado de las operaciones
y los cambios en la posición financiera cubiertos por el examen la
condición indispensable que esta opinión sea expresada por un
Contador Público debidamente autorizado para tal fin.

8
Universidad Nacional Auditoría de Sistemas
Federico Villareal Auditoria Intena

AUDITORIA OPERACIONAL
 Es una evaluación objetiva, constructiva, sistemática y
profesional de las actividades relativas al proceso de
gestión de una organización, con el fin de determinar el grado
de eficiencia, eficacia, efectividad, economía, equidad,
excelencia y valoración de costos ambientales, con que son
manejados los recursos; la adecuación y fiabilidad de los
sistemas de información y control, de manera que cumpla con
las políticas establecidas para alcanzar sus objetivos.

9
Universidad Nacional Auditoría de Sistemas
Federico Villareal Auditoria Intena

AUDITORIA ADMINISTRATIVA

• Proporciona un panorama administrativo general de la

empresa que se audita, señalando el grado de efectividad con
que opera cada una de las funciones (compras, ventas,
personal, etc.) que la integran.

10
Universidad Nacional Auditoría de Sistemas
Federico Villareal Auditoria Intena

AUDITORIA INTEGRAL

• Implica la ejecución de un trabajo con el alcance o

enfoque por analogía de las auditorias financiera, de
control interno y de gestión.

11
Universidad Nacional Auditoría de Sistemas
Federico Villareal Auditoria Intena

AUDITORIA DE CALIDAD

• Analiza el cumplimiento de los estánsdares definidos de

calidad dentro de un proceso u organización

12
Universidad Nacional Auditoría de Sistemas
Federico Villareal Auditoria Intena

AUDITORIA DE SISTEMAS

Es el proceso de recoger, agrupar y evaluar evidencias para determinar:

• Si un Sistema de Información salvaguarda el activo empresarial

• Si se mantiene la integridad de los datos.

• Se llevan a cabo eficazmente los fines de la organización.

• Si se utiliza eficientemente los recursos informáticos.

13
 Universidad Nacional Auditoría de Sistemas
Federico Villareal

SISTEMAS
Sistemas de Información: “…el análisis, diseño, selección e
implantación de diversas soluciones informáticas que
resuelvan los problemas o mejoren los procesos de
cualquier organización, con el fin de alcanzar las metas
operativas y estratégicas de organización.”

Ingeniería de Software: “…mejora del proceso software y

por el uso adecuado de técnicas, herramientas y métodos
para desarrollar productos software de mediana y gran
Sistemas
Sistemas de
de
Información
Información complejidad, alcanzando niveles de calidad y productividad
como los exigidos a nivel internacional.”

Tecnologías de Información: “…selección, instalación,

Procesos
Procesos Infraestructura
Infraestructura operación y seguridad de la infraestructura tecnológica que
requieren las organizaciones tanto a nivel de hardware
(equipos), de software (de base) y de las comunicaciones.

Colegio de Ingenieros del Perú

14
Universidad Nacional Auditoría de Sistemas
Federico Villareal Gobierno Corporativo

GOBIERNO CORPORATIVO

 Patrón de comportamiento sistemático del consejo de

accionistas, administradores y personal de una
organización, que se encuentra concentrados en el logro
de resultados financieros sustentables.

 Este comportamiento debe estar dirigido hacia el logro

de los cuatro principales activos:

– Infraestructura
– Clientes y Terceros (Stakeholders)
– Personal Interno
– Procesos y creación de valor.

15
Universidad Nacional Auditoría de Sistemas
Federico Villareal Gobierno Corporativo

GOBIERNO CORPORATIVO

16
Universidad Nacional Auditoría de Sistemas
Federico Villareal Gobierno de TI

GOBIERNO DE TI

“El Gobierno de TI es responsabilidad tanto del Directorio

como de la Gerencia. Forma parte del Gobierno Corporativo
y consiste en el liderazgo, las estructuras organizacionales y
los procesos para asegurar que TI mantenga y amplíe los
objetivos y estrategias de la empresa”

IT Governance Institute

17
Universidad Nacional Auditoría de Sistemas
Federico Villareal Gobierno de TI

¿ Como Funciona ?

Proporcionar
Dirección

Estab. Objetivos Actividades de TI

• TI alineado con el • Aumentar
negocio Automatización
• TI habilita el negocio y
produce máximos
beneficios
Comparar • Reducir costos

• Recurso de TI empleados
responsablemente • Manejar Riesgos
• Manejo adecuado de
riesgos relacionados con
TI

Medir
desempeño

18
Universidad Nacional Auditoría de Sistemas
Federico Villareal Gobierno de TI

 Alineamiento estratégico
 Valor de TI
 Administración de riesgos
 Administración de recursos
 Medición de desempeño

19
Universidad Nacional Auditoría de Sistemas
Federico Villareal Gobierno de TI

ALINEAMIENTO ESTRATEGICO

 La inversión en TI debe estar en armonía con los objetivos estratégicos

(propósito, estrategias, metas)
 La estrategia de TI debe sustentar la estrategia de la empresa
 Asegurar que TI brinde servicios según la estrategia
 La estrategia de TI debe mantener la empresa, transformarla o crear
una infraestructura que permita al negocio crecer y crear nuevos
terrenos, abrir nuevos mercados, aumento de ingresos, mejorar la
satisfacción del consumidor, asegurar la retención de cliente

20
Universidad Nacional Auditoría de Sistemas
Federico Villareal Gobierno de TI

VALOR DE TI

 Entregar a tiempo, dentro del presupuesto y con los beneficios prometidos

 En términos del negocio, esto se traduce en: ventaja competitiva, tiempo

transcurrido para cumplir con el pedido / servicio, satisfacción del cliente,
tiempo de espera del cliente, la utilidad y productividad del empleado. Varios
de estos elementos son subjetivos o difíciles de medir.

 Mientras más alto sea el nivel de valoración, más se diluirá el valor, es decir,
menor será la influencia que el manejo de TI pueda ejercer.

21
Universidad Nacional Auditoría de Sistemas
Federico Villareal Gobierno de TI

ADMINISTRACION DE RIESGOS

 Asegurar el manejo transparente sobre el significado de los riesgos en la

organización

 Establecer políticas de riesgos claras

 El sistema de control interno para manejar los riesgos puede ser redituable

 La Administración de los riesgos esta inherente en la gestión de las

operaciones de la empresa

22
Universidad Nacional Auditoría de Sistemas
Federico Villareal Gobierno de TI

MEDICION DEL DESEMPEÑO

 Demostrar el valor de TI
 Definir medidas para medir la efectividad de TI
 Comunicar y motivar el desempeño de TI en área importantes a solicitud
de los interesados
 Establecer un mecanismo de reporte de la gestión de TI

23
Universidad Nacional Auditoría de Sistemas
Federico Villareal Gobierno de TI

ADMINISTRACION DE RECURSOS

 Optimizar la inversión

 Gestión de los recursos críticos: aplicaciones, información, infraestructura,

personal

 Optimizar el conocimiento y la infraestructura

24
Universidad Nacional Auditoría de Sistemas
Federico Villareal

GOBIERNO DE TI / GOBIERNO CORPORATIVO

¿ Como Interactúan ?
Valor de los Dirige
accionistas

Conduce

Recursos
Utiliza
Estrategia • Conocimiento
• Información Procesos
• Capacidad Mide

Confirmación
o Cambio
Reporte

Resultados
Mejora

25
Universidad Nacional Auditoría de Sistemas
Federico Villareal

CONCEPTOS

 Marco de Trabajo (framework)

– Un conjunto estandarizado de conceptos, prácticas y criterios
para enfocar un tipo de problemática particular, que sirve como
referencia para enfrentar y resolver nuevos problemas de índole
similar.

 Mejores Prácticas
– “La forma aceptada de hacer algo que funcione”
– “Conocimiento de expertos, las experiencias exitosas de
quienes lo han hecho antes, y además lo han documentado”

 Estándares
– Sirve como tipo o patrón de referencia
– Norma aceptada o aprobada

26
Universidad Nacional Auditoría de Sistemas
Federico Villareal

NECESIDAD DE UN MARCO DE CONTROL PARA EL

GOBIERNO DE TI

¿Por qué?

La alta dirección necesita saber si con la información administrada en la

empresa es posible que:

 Garantice el logro de sus objetivos

 Tenga suficiente flexibilidad para aprender y adaptarse

 Cuente con un manejo juicioso de los riesgos que enfrenta

27
Universidad Nacional Auditoría de Sistemas
Federico Villareal

Las empresas exitosas entienden los riesgos y aprovechan los beneficios de

TI, y encuentran maneras para:

 Alinear la estrategia de TI con la estrategia del negocio

 Lograr que toda la estrategia de TI, así como las metas fluyan de forma
gradual a toda la empresa

 Proporcionar estructuras organizacionales que faciliten la implementación de

estrategias y metas

 Crear relaciones constructivas y comunicaciones efectivas entre el negocio y

TI, y con socios externos

 Medir el desempeño de TI

28
Universidad Nacional Auditoría de Sistemas
Federico Villareal

Las mejores prácticas de TI se han vuelto significativas debido a un número

de factores:

 Directores de negocio y Consejos Directivos que demandan un mayor

retorno de la inversión en TI, es decir, que TI genere lo que el negocio
necesita para mejorar el valor de los interesados (stakeholders)

 Preocupación por el creciente nivel de gasto en TI

 La necesidad de satisfacer requerimientos regulatorios para controles de

TI en áreas como privacidad y reportes financieros (por ejemplo,
Sarbanes-Oxley Act, Basel II) y en sectores específicos como el
financiero, farmacéutico y de atención a la salud

 La selección de proveedores de servicio y el manejo de la Tercerización

(Outsourcing) y de Adquisición de servicios

29
Universidad Nacional Auditoría de Sistemas
Federico Villareal

 Riesgos crecientemente complejos de la TI como la seguridad de redes

 Iniciativas de gobierno de TI que incluyen la adopción de marcos de

referencia de control y de mejores prácticas para ayudar a monitorear y
mejorar las actividades críticas de TI, aumentar el valor del negocio y
reducir los riesgos de éste

 La necesidad de optimizar costos siguiendo, siempre que sea posible, un

enfoque estandarizado en lugar de enfoques desarrollados especialmente

 La madurez creciente y la consecuente aceptación de marcos de trabajo

respetados tales como COBIT, ITIL, ISO 17799, ISO 9001, CMM y
PRINCE2

 La necesidad de las empresas de valorar su desempeño en comparación

con estándares generalmente aceptados y con respecto a su competencia
(Benchmarking)

30
Universidad Nacional Auditoría de Sistemas
Federico Villareal MODELOS

31
Universidad Nacional Auditoría de Sistemas
Federico Villareal MODELOS

32
Universidad Nacional Auditoría de Sistemas
Federico Villareal COBIT

COBIT

33
Universidad Nacional Auditoría de Sistemas
Federico Villareal COBIT

MARCO DE CONTROL INTERNO - COBIT

 En el ámbito de la Auditoria y Control de Tecnología de Información, existe

(desde 1969) una organización denominada Information Systems Audit and
Control Association – ISACA, con sede en Illinois, USA y con
representación en casi todo el mundo, que tiene por finalidad –entre
otros- la formulación y difusión de estándares para el ejercicio del
Gobierno de Tecnologías de Información.

 Uno de esos estándares corresponde al marco COBIT (Control Objectives

Information and related Technologies) desarrollado en 1996 y que tiene por
finalidad proveer de criterios basados en las “mejores practicas” para
un adecuado Gobierno de la Tecnología de Información (TI) a auditores
de sistemas, gerentes de sistemas, administradores de seguridad y alta
dirección en general.

 Estos resultados requieren un marco de control de TI que esté alineado

con el Committee of Sponsoring Organisations of the Treadway
Commission (COSO) Internal Control—Integrated Framework, que es el
marco de control ampliamente aceptado para el Gobierno Corporativo y
Administración de Riesgos.
34
Universidad Nacional Auditoría de Sistemas
Federico Villareal COBIT

 COBIT se aplica a los sistemas de información de toda la empresa,

incluyendo las computadoras personales, mini computadoras y
ambientes distribuidos.

 Esta basado en la filosofía de que los recursos de TI necesitan ser

administrados por un conjunto de procesos naturalmente agrupados para
proveer la información pertinente y confiable que requiere una
organización para lograr sus objetivos.

 La estructura de COBIT se define a partir de una premisa simple y

pragmática:

"Los recursos de las Tecnologías de la Información (TI) se han de

gestionar mediante un conjunto de procesos agrupados de forma natural
para que proporcionen la información que la empresa necesita para
alcanzar sus objetivos".

35
Universidad Nacional Auditoría de Sistemas
Federico Villareal COBIT

MARCO DE CONTROL INTERNO - COBIT

COBIT - (Control Objectives Information and related Technologies)

 COBIT se divide en tres niveles:

Dominios
Procesos
Actividades

Las tres dimensiones conceptúales de COBIT

 Dominios: Agrupación natural de procesos, normalmente corresponden a un

dominio o una responsabilidad organizacional.

 Procesos: Conjuntos o series de actividades unidas con delimitación o cortes

de control.

 Actividades: Acciones requeridas para lograr un resultado medible.

 Se definen 34 objetivos de control generales, uno para cada uno de los

procesos de las TI. Estos procesos están agrupados en cuatro grandes
dominios que se detallan a continuación junto con sus procesos y una
descripción general de las actividades de cada uno:
36
Universidad Nacional Auditoría de Sistemas
Federico Villareal COBIT

CARACTERÍSTICAS PRINCIPALES COBIT

ORIENTADO A
ENFOCADO AL NEGOCIO
PROCESOS

BASADO EN CONTROLES IMPULSADO POR

INDICADORES

37
Universidad Nacional
Federico Villareal

38
Universidad Nacional Auditoría de Sistemas
Federico Villareal COBIT

El IT Governance Institute (el propietario) diseñó y

creó esta publicación titulada COBIT® 4.1, en primer
lugar como un recurso educacional para los
directores ejecutivos de información, para la dirección
general, y para los profesionales de administración y
control de TI. El propietario no garantiza que el uso
de alguna parte del Trabajo asegure un resultado
exitoso. No se debe considerar que el Trabajo
incluya alguna información, procedimientos o pruebas
propias o exclusivas de otra información,
procedimientos y pruebas que estén dirigidas a
obtener los mismos resultados de modo razonable. Al
determinar la propiedad de cualquier información,
procedimiento o prueba específica, los directores
ejecutivos de información, la dirección general, la
gerencia de TI y los profesionales de control,
deben aplicar su propio juicio profesional a las
circunstancias específicas que surjan de los
sistemas específicos o del entorno de tecnología
de información.

39
Universidad Nacional Auditoría de Sistemas
Federico Villareal COBIT

COBIT

40
Universidad Nacional Auditoría de Sistemas
Federico Villareal ITIL

ITIL

41
Universidad Nacional Auditoría de Sistemas
Federico Villareal ITIL

• ¿Que es ITIL?
“Alinea la tecnología con el negocio por medio
de una Gestión del Servicio TI basada en
procesos”

I Information
T Technology
I Infrastructure
L Library

42
Universidad Nacional Auditoría de Sistemas
Federico Villareal ITIL

CARACTERÍSTICAS

 Basado en mejores prácticas

 Propone terminología estándar
 Independencia de procesos
 Define las prácticas para la implantación de la Gestión de Servicios en la
empresa
 Prioridades para la implantación de Procesos
 Procesos críticos para la Gestión de Servicios
 Es independiente de fabricantes y tecnologías
 Define ¿Qué hacer? Y ¿Qué no hacer?
 Define la alineación entre negocio y tecnología
 Mejora la cultura de servicio y previsión de la empresa.
 Proporciona marco de referencia
 Estándar mundial para la Gestión de Servicios
 No es una metodología, son Normas y reglas

43
Universidad Nacional Auditoría de Sistemas
Federico Villareal ITIL

44
Universidad Nacional Auditoría de Sistemas
Federico Villareal Proceso
PROCESO DE LA AUDITORIA DE SISTEMAS
PLANEAMIENTO EJECUCIÓN / HALLAZGOS INFORMES

I II III IV
V VI
Análisis Análisis Evaluación Evaluación
Reporte Seguimiento
Estratégico De Procesos De Riesgos De Controles

Entendimiento Entendimiento Identificación Evaluación del Elaboración del Seguimiento del

del negocio de los procesos de riesgos de diseño y Informe de Plan de Acción
a Auditar los procesos a efectividad de Auditoria del Auditado
auditar los controles
Entendimiento mitigantes Revisión de Elaboración de
de objetivos y observaciones Informe de
estrategias del Evaluación de y hallazgos con Seguimiento
Identificación
negocio los riesgos el Auditado
de los factores
identificados
críticos de éxito Revisión de
Identificación
e indicadores Elaboración del Informe de
Identificación de
de claves de Plan de Acción Seguimiento
de Riesgos Calificación de Observaciones
desempeño del Auditado con el Auditado
Estratégicos los Riesgos y/o hallazgos de
identificados Auditoria
Emisión de Emisión de
Identificación Informe de Informe de
de procesos a Auditoria Seguimiento
Auditar Identificación revisado revisado
de los sistemas Identificación
Identificación
de información de los controles
de Elaboración de Elaboración de
Elaboración del relacionados a mitigantes
oportunidades Informe para Informes para
Plan de los procesos de mejora en el Comité de Comité de
Auditoria proceso Auditoria Auditoria

Entregables Entregables Entregables Entregables Entregables Entregables

Matriz de Documento de Matriz de Matriz de Informe de

Riesgo análisis de Riesgos y Riesgos y Auditoria
Informes de
Estratégico procesos Controles Controles
Informe de Seguimiento
(Evaluación de (Evaluación de
Plan de Comité de
los Riesgos) los Riesgos)
Auditoria Auditoria
45