Auditoria

Conceptualización

La Gestión Tecnológica, deberá propender por la adecuada

generación, selección, adquisición, transferencia y asimilación
de la tecnología, de tal forma que la relación costo/beneficio
sea favorable, mejore la estructura de costos y contribuya a
elevar los índices de competitividad.

En la empresa la gestión tecnológica se encarga de administrar el ciclo de la tecnología, la cual se obtiene de

fuentes internas o externas y se llevan buscando la integración de cada una de las Unidades de Negocio
buscando la convergencia tecnológica y la calidad en los flujos de información para lograr una toma de
decisiones basada en información de calidad.

Estrategia + Conocimiento de Negocio + Tecnología + Capital Humano +

Valor Agregado Servicio
GESTIÓN TECNOLÓGICA
PERSPECTIVA FINANCIERA
¿Qué esperan los Análisis de las estrategias de
accionistas? crecimiento, rentabilidad y riesgo.

PERSPECTIVA DEL CLIENTE

¿Cómo nos ven producto de la Gestión
organizacional para crear
nuestros clientes?
valor y diferenciación a
nuestros clientes,
PERSPECTIVA PROCESOS INTERNOS
Perspectiva Las prioridades estratégicas de los
distintos procesos del negocio que
de los Procesos crean satisfacción para el cliente y los
accionistas

PERSPECTIVA DE CRECIMIENTO Y APRENDIZAJE

“
¿Cómo podemos mejorar los Forma de crear un clima que soporte
el cambio. La innovación y el
RRHH y las crecimiento organizacional. Con una
buena comunicación y recurso
tecnologías de información humano.
para crear valor?
 AUMENTAR
AUMENTARLA LA
GENERACIÓN
GENERACIÓNDE DE
VALOR
VALORDEDELA
LA
ORGANIZACION
INSTITUCIÓN

AUMENTAR LOS DISMINUIR

DISMINUIR COSTOS
COSTOS AUMENTAR LA
PERSPECTIVA INGRESOS YY GASTOS
GASTOS POR
POR RENTABILIDAD
FINANCIERA CLIENTE
CLIENTE DE LOS ACTIVOS

MEJORAR
MEJORAR
PERSPECTIVA AUMENTAR LA PERCEPCION
PERCEPCION YY ACREDITAR AUMENTAR
AUMENTAR LALA
PARTICIPACION ASOCIACIONES
ASOCIACIONES PROGRAMAS A SATISFACCION
SATISFACCION DEL
DEL
CLIENTES EN EL MERCADO POSITIVAS
POSITIVAS DE
DE LA
LA NIVEL TECNICO CLIENTE
CLIENTE
MARCA
MARCA

PERSPECTIVA PROCESOS DESARROLLO DE MEJORAR

MEJORAR LALA
FORTALECER EL
FODELIZAR AL NUEVOS ATENCIÓN
ATENCIÓN YY
INTERNOS CLIENTE PRODUCTOS Y SERVICIO
SERVICIOAL
AL
PROCESO DE
INVESTIGACIÓN
SERVICIOS CLIENTE
CLIENTE

OBTENER
TENER
REGISTROS
ESTUDIANTES CONOCER EL
CALIFICADOS DE
CON PERFIL DE MRECADO
NUEVOS
EMPRESARIO
PROGRAMAS
PERSPECTIVA
APRENDIZAJE Y
CRECIMIENTO ASEGURAR EL
DISMINUIR LA MEJORAR EL CLIMA CUMPLIMIENTO
ROTACIÓN DEL ORGANIZACIONAL DEL PERFIL
PERSONAL LABORAL
OPTIMIZAR
OPTIMIZAR EL
EL USO
USO
OPTIMIZAR LA
DE
DE LAS
LAS
COMUNICACIÓN
COMUNICACIÓN HERRAMIENTAS
HERRAMIENTAS
ORGANIZACIONAL
INSTITUCIONAL TECNOLOGIAS
TECNOLOGIAS
 Cualquier tecnología puede
afectar la estructura de la
industria o la diferenciación de la
organización o la posición de
costos y por lo tanto su ventaja
competitiva. Porter
 Objetivos de TI
Comprensión Objetivos empresariales
¿Cómo puede TI ayudar a alcanzar
de la ¿Qué queremos hacer?
los objetivos?
estrategia Plan de estrategia empresarial
empresarial ¿Cuál es el futuro de la empresa?

Identificación Visión de TI
de la visión de ¿En qué tipo de organización nos vamos a convertir en los próximos tres a cinco años?
TI

Definición de
los objetivos
estratégicos Iniciativa estratégica en TI
de TI ¿Qué importantes iniciativas nos llevaran a donde queremos llegar?

Rendimientos financieros
Análisis de la Esfuerzos internos
¿Cuáles son los costes/beneficios?
cartera de Cartera de actividades de ¿Qué hacemos?
Evaluación de riesgos
objetivos de TI Esfuerzos externos
¿Cuáles son los riesgos del proyecto?
¿Qué vamos a contratar en el exterior?
TI Requisitos de recursos
¿Qué habilidades son necesarias y que carencias padecemos? Análisis de los plazos del proyecto

Preparación Hoja de ruta

del Plan ¿Cuáles son los plazos del
Plan estratégico de TI
estratégico proyecto y las relaciones de
de TI interdependencia?
??????????????????
 ¿Qué es Gobierno de TI?
El Gobierno de TI consiste en un completo marco de estructuras, procesos y mecanismos relacionales. Las estructuras implican la existencia
de funciones de responsabilidad, como los ejecutivos y responsables de las cuentas de TI, así como diversos comités de TI. Los procesos se
refieren a la monitorización y a la toma de decisiones estratégicas de TI. Los mecanismos relacionales incluyen las alianzas y la participación
de la empresa/organización de TI, el diálogo en la estrategia y el aprendizaje compartido. (Jan van Bon, 2010)
Se
áre entie
rec a de nde p
reg ursos TI en or Go
ula c
tori de la oord bierno
os, for inac
ope ma ión TI, el
• r m
ativ ás con conj
u o un
os e l
o d ficien a alta nto de m
r co
Alin
• eam el n te e dir
ego n r ecc accio f in i
e de ue las
Est ien
t o cio esp ión nes
ruc Est . (T ues par qu
ed
e pu tizar q acer las ras, la
• tura r a CP ta a a m e re
Ge s té g , 20
ner o r ic o o a
14) requi viliza liza e I  s
e T garan
g
tisf lab os
• aci ani . s itos r su l
Pro ón z ativ
o d s a pa
cas e ciert
s
ern l para
de
na
c e a s
• sos Val
o
o b i ud e p o
El g o forma  TI ay les. En mite qu vitar
Ge de r
s tió Go
• nd ber
c n a r e
mar siones e omerci erno pe cosas o
Ge el r nan
s tió ies za
• nd go de
Ge el r TI
r c i
inve sidades de gob r ciertas
s tió end
• nd imi
Val e re ent
a
nece structur an hace
or a cur o
gre s os
gad
e d
infra rios pue
o
.
usua o hagan
l
que
 Principios de gobernanza de TI

• El principio de riesgo: las medidas y los controles deben adaptarse a

los niveles de riesgo.
• El principio de relevancia: las necesidades de la empresa determinan
el nivel y estilo de gobierno a planificar.
• El principio de comportamiento: la solución de gobierno dicta el
comportamiento de la empresa.
• El principio de implementación: la solución de gobernanza debe
implementarse gradualmente.
• El principio de automatización: la tecnología hace que la solución de
gobernanza sea estimulante y discreta.
 Las diferencias entre gobernanza y gestión de TI
Los dos se distinguen por diferentes públicos y realidades, pero comparten un objetivo común extremadamente importante .

Gobernanza TI
• Proporciona estrategias para el éxito empresarial
• Proporciona orientación .
• Centrado en prioridades y políticas
• Generalmente proporcionado por un comité directivo o de gobierno compuesto por varias
partes interesadas de la empresa y representantes del departamento de TI.
• Su misión es evaluar y mitigar el riesgo de incumplimiento mediante controles y
normativas.
• Este comité suele asociar técnicos y colaboradores sin atribuciones técnicas.
 Las diferencias entre gobernanza y gestión de TI
Los dos se distinguen por diferentes públicos y realidades, pero comparten un objetivo común extremadamente importante .

Gestión
• Se enfoca en acciones, decisiones, implementaciones y procesos diarios.
• Asegura el mantenimiento de los objetivos de la empresa y los distintos departamentos
• Generalmente proporcionado por expertos en tecnología responsables de implementar
sistemas y aplicaciones de TI y de dar soporte a los usuarios.
• Su prioridad y misión: brindar servicios de TI consistentes y óptimos
• Suelen tener formación en tecnología y gestión
• El gobierno de TI es una parte crítica del gobierno corporativo, que es
necesaria para garantizar que las inversiones en TI generen retornos y
limiten los riesgos asociados con el uso de TI.
• Tener un marco de gobierno de TI sólido para supervisar las
operaciones de TI permite a las empresas obtener una fuerte ventaja
competitiva.
• Independientemente de la madurez de su gobierno de TI actual,
podemos ayudarlo a tomar las medidas necesarias para fortalecerlo.
 La configuración de un marco de gobierno de TI puede ayudar al:

La configuración de un marco de gobierno de TI puede ayudar al:

• Alinear la TI con los objetivos comerciales.
• Gestionar el retorno de la inversión en TI.
• Limitar los riesgos de TI.
• Creación de un plan estratégico de TI.
• Medición de desempeño.
• Integrar la TI en la cultura de la organización.
• Optimización de las operaciones de TI.
 a l le r
T

t
Cobi

Itil
f
Toga
rno Ti
ie
Gob
La Auditoria

La auditoria es la parte administrativa que representa el control de las

medidas establecidas. El término auditoria, en su acepción más
amplia, significa verificar que la información financiera, administrativa
y operacional que se genera es confiable, veraz y oportuna.

El término auditoría, en su acepción más amplia, significa verificar que

la información financiera, administrativa y operacional que se genera
es confiable, veraz y oportuna. Es revisar que los hechos, fenómenos y
operaciones se den en la forma en que fueron planteados, que las
políticas y procedimientos establecidos se han observado y respetado.
Es evaluar la forma en que se administra y opera para aprovechar al
máximo los recursos.
 Al auditor informático también se lo conoce como auditor de
Funciones del sistemas o auditor de TI. Entre sus principales funciones dentro de
Auditor una organización figuran:

•Ejecutar un análisis de la situación actual.

•Hacer estudios que permitan obtener toda la información necesaria para
el análisis a través de herramientas y síntesis de conclusiones.
•Elaborar un cronograma de auditorías dentro de la empresa y a clientes.
•Evaluar la información de manera rigurosa para evitar desvíos de datos
que involucren los sistemas y procesos.
•Diseñar soluciones y estrategias para la mejora de los sistemas o
corrección de errores.
•Controlar y verificar los sistemas informáticos internos.
•Analizar los riesgos del entorno informático, sistemas operativos, redes y
telecomunicaciones.
•Entrevistar y hacer trabajo de campo dentro de la empresa.
•Presentar informes con los resultados de cada auditoría que se realiza.
 La Auditoria Sistemas Informátic
La auditoría de los Sistemas de Información es aquella que contempla el estudio, revisión y
valoración de Todos los elementos (o parte de ellos) de los sistemas automáticos de
procesamiento de la información, incluyendo operaciones no automáticas relacionadas con
ellos y su interfaz correspondiente. Existe un requerimiento de promulgación y desarrollo de
Normas Generales para este tipo de auditoría ya que tiene una naturaleza especializada y
requiere de habilidades específicas por parte del auditor.

Una adecuada planificación de la auditoría informática debe seguir una serie de gestiones
previas permitiendo dimensionar el volumen y particularidades del área dentro de la
institución a auditar, los tipos de sistemas, disposición y equipos. Estaciones de trabajo,
redes de comunicaciones o servidores son revisados exhaustivamente para posteriormente
puntualizar las fragilidades presentes en dichos elementos permitiendo saber la realidad de
sus activos de información en cuanto a resguardo, control y medidas de seguridad.

La planificación se realiza desde el punto de vista de dos objetivos: Evaluación de los

sistemas y procedimientos y Evaluación de los equipos de cómputo. En principio se debe
obtener información general sobre la función de informática a evaluar y su organización, para
lo cual se debe investigar preliminarmente y realizar algunas entrevistas. La presentación de
un programa de trabajo deberá observar todos estos aspectos, el cual incluye costos, recurso
humano necesario, documentos a solicitar o formular.
Estudio y Evaluacion
Estudio y Evaluacion
Estudio y Evaluacion
Estudio y Evaluacion
 La Auditoria Sistemas Informáticos
•En el área de administración se recopila la siguiente información importante: objetivos a corto y largo plazo, recursos
materiales y técnicos, documentos sobre equipos instalados y por instalar (numero, localización y características),
contratos de compra y garantía de los equipos, ubicación de los equipos.

•En el área de sistemas: descripción de los sistemas y programas instalados y que estén por instalarse que sean
utilizados para almacenamiento de información, fechas de instalación, características técnicas de los equipos (como
capacidad de almacenamiento, velocidad, tipo de procesador, etc.).

•El personal participante debe estar debidamente calificado, tener un amplio sentido de moralidad y eficiencia al cual
deberá compensarse justamente por su trabajo. El equipo auditor deberá ser conformado por personal del área a
auditarse para que colabore con la información requerida. Por otro lado, el equipo auditor deberá apoyarse en personal
que cumpla con alguna de las siguientes características: técnico en informática, experiencia en informática, operación y
análisis de sistemas y/o conocimientos de sistemas operativos. Podría también ser necesaria la participación de personal
con conocimientos específicos de bases de datos, sistemas de redes, etc.
 Investigación preliminar
En la investigación preliminar se deberán tomar en cuenta la información de todas las áreas
basándose en los siguientes puntos:
• En el área de administración se recopila la siguiente información importante: objetivos a corto y
largo plazo, recursos materiales y técnicos, documentos sobre equipos instalados y por instalar
(numero, localización y características), contratos de compra y garantía de los equipos,
ubicación de los equipos.
• En el área de sistemas: descripción de los sistemas y programas instalados y que estén por
instalarse que sean utilizados para almacenamiento de información, fechas de instalación,
características técnicas de los equipos (como capacidad de almacenamiento, velocidad, tipo de
procesador, etc.).
• El personal participante debe estar debidamente calificado, tener un amplio sentido de
moralidad y eficiencia al cual deberá compensarse justamente por su trabajo. El equipo auditor
deberá ser conformado por personal del área a auditarse para que colabore con la información
requerida.
• Por otro lado, el equipo auditor deberá apoyarse en personal que cumpla con alguna de las
siguientes características: técnico en informática, experiencia en informática, operación y
análisis de sistemas y/o conocimientos de sistemas operativos. Podría también ser necesaria la
participación de personal con conocimientos específicos de bases de datos, sistemas de redes,
etc.
 Tipos de Auditoria
Existen dos tipos principales de auditoria:

•Auditoria interna
•Auditoria externa

La auditoria interna es realizada con recursos materiales y personas que pertenecen a

la empresa auditada. Los empleados que realizan esta tarea son remunerados
económicamente. La auditoria interna existe por expresa decisión de la empresa, o
sea, que puede optar por su disolución en cualquier momento.

La auditoria externa es realizada por personas afines a la empresa auditada; es

siempre remunerada. Se presupone una mayor objetividad que en la auditoria interna,
debido al mayor distanciamiento entre auditores y auditados.
En la auditoria externa, el auditor no tiene relación con la empresa, ya que la relación
con la empresa puede influir en la emisión del juicio sobre la evaluación de las áreas
de la empresa.

Ambas auditorias son compatibles y recomendables. Su cometido es complementario

nunca excluyente.
FUNCIONES BASICAS DE UN SISTEMA DE INFORMACION
 Las cualidades y requisitos que debe poseer un auditor
son las siguientes:

•Formación (buen profesional, conocimientos completos)

•Experiencia
•Independencia (actitud mental - actuar libremente con respecto a su juicio profesional)
•Objetividad (actitud imparcial - no dejarse influenciar)
•Madurez
•Integridad (rectitud intachable, honestidad)
•Capacidad de análisis y síntesis
•Responsabilidad Interés
•Perfil específico según:
• nivel del puesto
• entorno de trabajo
• áreas a auditar
•Puesta al día de los conocimientos.
 Aplicación de la auditoria
El campo de acción de la auditoria informática es:

•La evaluación administrativa del área de informática. esto comprende la

evaluación de:
• Los objetivos del departamento, dirección o gerencia.
• Metas, planes, políticas y procedimientos de procesos electrónicos
estándares.
• Organización del área y su estructura orgánica.
• Funciones y niveles de autoridad y responsabilidad del área de
procesos electrónicos.
• Integración de los recursos materiales y técnicos.
• Dirección.
• Costos y controles presupuestales.
• Controles administrativos del área de procesos electrónicos.
 Aplicación de la auditoria
•La evaluación de los sistemas y procedimientos, y de la eficiencia que se tiene en el uso de la
información, lo cual comprende:
• Evaluación del análisis de los sistemas y sus diferentes etapas.
• Evaluación del diseño lógico del sistema.
• Evaluación del desarrollo físico del sistema.
• Facilidades para la elaboración de los sistemas.
• Control de proyectos.
• Control de sistemas y programación.
• Instructivos y documentación.
• Formas de implantación.
• Seguridad física y lógica de los sistemas.
• Confidencialidad de los sistemas.
• Controles de mantenimiento y forma de respaldo de los sistemas.
• Utilización de los sistemas.
• Prevención de factores que puedan causar contingencias; seguros y recuperación en
caso de desastre.
• Productividad.
• Derechos de autor y secretos industriales.
Los principales objetivos de la auditoria informática son los
siguientes:

•Salvaguardar los activos. Se refiere a la protección del hardware,

software y recursos humanos.

•Integridad de datos. Los datos deben mantener consistencia y no

duplicarse.

•Efectividad de sistemas. Los sistemas deben cumplir con los objetivos

de la organización.

•Eficiencia de sistemas. Que se cumplan los objetivos con los menores

recursos.

•Seguridad y confidencialidad.
ENFOQUE
Los principales objetivos de la auditoria informática son los
siguientes:
Los principales objetivos de la planeación de la auditoria informática
son los siguientes:

La planeación de la Auditoria de Sistemas debe

entenderse como la proyección del trabajo de
auditoria, definiendo su norte e indicando las pautas
a seguir para lograr su desarrollo, por lo tanto debe
responder a los siguientes interrogantes:

• Que se debe hacer?.

• Que aspectos se van a auditar?.
• Cuando se debe hacer?.
• Como se va a realizar?,
• Que recursos demandara?,
• De que recursos se dispone?,

cuestionamientos que de ser respondidos adecuada y

oportunamente, conducen a la optimización de
recursos, evitando la improvisación y desfases en la
estimación.
 Plan de Auditoria

Las fallas en los Sistemas de Información han causado grandes trastornos

en la organización y provocado conflictos entre individuos, secciones y/o
departamentos. Cuando un sistema de información computarizado
presenta inconsistencias o no tiene buena acogida por parte de los
usuarios, provoca que se vuelva difícil desarrollar nuevos sistemas en el
futuro, ocasionando para la empresa u organización, la perdida de los
beneficios que un sistema de información bien estructurado, diseñado y
operado, trae consigo.
 Técnicas e instrumentos de Auditoria
EVALUACIÓN
Consiste en analizar mediante pruebas de calidad y cumplimiento de funciones,
actividades y procedimientos que se realizan en una organización o área.

Las evaluaciones se utilizan para valorar registros, planes, presupuestos,

programas, controles y otros aspectos que afectan la administración y control de
una organización o las áreas que la integran.

La evaluación se aplica para investigar algún hecho, comprobar alguna cosa,

verificar la forma de realizar un proceso, evaluar la aplicación de técnicas, métodos
o procedimientos de trabajo, verificar el resultado de una transacción, comprobar la
operación correcta de un sistema de software entre otros muchos aspectos
 Técnicas e instrumentos de Auditoria
Inspección
La inspección permite evaluar la eficiencia y
eficacia del sistema, en cuanto a operación y
procesamiento de datos para reducir los riesgos y
unificar el trabajo hasta finalizarlo. La inspección
se realiza a cualquiera de las actividades,
operaciones y componentes que rodean los
sistemas.
 g í a
o l o
o d
et
M
COMPONENTES
La auditoría de los sistemas de
información se define como cualquier
auditoría que abarca la revisión y
evaluación de todos los aspectos (o de
cualquier porción de ellos) de los
sistemas automáticos de procesamiento
de la información, incluidos los
procedimientos no automáticos
relacionados con ellos y las interfaces
correspondientes.

Permite tener una comprensión general

del funcionamiento y características del
sistema, antes de que éste sea sometido
a evaluaciones de usabilidad.
 Métricas
Métrica: según el IEEE define la métrica como una
medida cuantitativa del grado en que un sistema,
componente o proceso posee un atributo dado.
El uso de las métricas, estas nos permiten entender un
proceso técnico que se está aplicando en la entidad, a
través de ellas podemos medir dicho proceso y su
producto para saber cómo mejorar su calidad.
La medición de los procesos es necesario para obtener
un resultado de calidad que pueda llegar al ciudadano.
a) Métrica indirecta: en esta se centran en
la calidad, complejidad, fiabilidad,
eficiencia, funcionalidad, facilidad de
mantenimiento, etc.
b) Métrica directa: respecto a esta se
engloba en velocidad de ejecución,
defectos encontrados en una cantidad de
tiempo, costo, tamaño de memoria usada,
número de líneas de código, etc
.
 Métricas
Las métricas software se puede definir como “La
aplicación continua de mediciones basadas en técnicas
para el proceso de desarrollo del software y sus productos
y servicios para suministrar información relevante a
tiempo, así el administrador junto con el empleo de estas
técnicas mejorará el proceso y sus productos”. Dichas
métricas de software proveen la necesaria información
para la toma de decisiones técnicas.

Las métricas sirven para realizar una medición de los

sistemas de información, con el tiempo ayudan a mejorar
el diseño y el análisis, mejorando con ello los procesos y
resultados de los mismos.
Puntos clave de las métricas:
 No pueden ser ambiguas
 Deben tener estadísticas
 Deben automatizar la recolección de los datos
MÉTRICAS DE SEGURIDAD

Son las mediciones de los procesos que determinan que tan bien se cumplen los
procesos de seguridad en la entidad, si los procesos cumplen con los requisitos
definidos por las políticas de seguridad y las normas técnicas seguidas por la entidad.
Estas evalúan el grado de riesgo de daño que pueden recibir objetos, recursos y
personas. Contempla salud y seguridad tanto del usuario como de los afectados por
dicho uso, al igual que consecuencias económicas o físicas no intencionadas.
Las métricas de seguridad se utilizan por:

 Gestión de seguridad de la información en la entidad.

 Proporcionar información para la gestión de informes.
 Indicar el cumplimiento de la legislación, reglamentación y las normas.
 Apoyo a las actividades de gestión de riesgos.
CARACTERÍSTICAS Y BENEFICIOS DE LAS MÉTRICAS DE
SEGURIDAD
 Tienen que ser fáciles de obtener.
 Expresadas en porcentajes o números en escala.
 Necesarias con el fin de realizar tomas de decisiones.
 Tienen que ser detalladas explicando cada cosa que sea necesario.
 Encontrar posibles problemas que surgirán a corto plazo.
 Saber los puntos débiles de nuestra entidad.
 Conocer los riesgos que podemos obtener.
 ESTRATEGICO
• En el nivel más alto conocido como nivel estratégico encontraremos tres grupos los
cuales son:
•  Cumplimiento: se centrará en llevar a cabo los estándares de la seguridad
informática, realizar auditorías así como las pruebas de cumplimiento.
•  Administración de riesgos: la cual consiste en identificación de los activos de la
entidad a proteger, realizar ejercicios de análisis de controles y riesgos, realización
de planes de seguimiento y actualización, creación de pruebas respecto a
vulnerabilidades así como la creación de mapas de controles y riesgos.
•  Objetivos de Negocio: este grupo se centrará en las relaciones con los usuarios
o grupos de interés por parte de la entidad, la agilidad y responsabilidad ante
incidentes que ocurran, el significado de la seguridad respecto a los procesos de la
entidad y de las expectativas de la dirección en relación a la confianza de los
sistemas.
 TACTICO
En este nivel conocido como nivel táctico encontraremos otros tres grupos los
cuales son:

 Servicios: el cual ser encarga del control de cambios, copias de respaldo,

posibles recuperaciones ante fallos, el aseguramiento de equipos y la
administración de parches.

 Aplicaciones: su responsabilidad es la siguiente, desde revisar el código

fuente, defectos identificados en el software, pruebas de vulnerabilidad en
software, vulnerabilidades identificadas y utilización de funciones no
documentadas.

 Perímetro: este último se encarga de la efectividad de la seguridad que va

desde la efectividad del Antispam, antivirus, firewall, así como la efectividad del
monitoreo 24*7.
 OPERATIVO

Integridad: cuya función consiste en eliminar, borrar o manipular datos,

como protegerse ante virus informáticos.

 Disponibilidad: se encarga de la negación del servicio, inundación de

paquetes, suplantación de datos o IP, eliminar, borrar y manipular datos.

 Confidencialidad: este último debe estar preparado para encargarse

desde contraseñas débiles, suplantación de IP o datos, accesos no
autorizados por terceras personas, configuración por defecto que puede
poner en peligro si no tiene la configuración deseada, monitoreo no
autorizado.
 Técnicas e instrumentos de Auditoria
Confirmacion
El aspecto más importante en la auditoria es la
confirmación de los hechos y la certificación de los datos
que se obtienen en la revisión, ya que el resultado final
de la auditoria es la emisión de un dictamen donde el
auditor expone sus opiniones, este informe es aceptado
siempre y cuando los datos sean veraces y confiables.
No se puede dar un dictamen en base a suposiciones o
emitir juicios que no sean comprobables.
 Técnicas e instrumentos de Auditoria
Confirmación
El aspecto más importante en la auditoria es la
confirmación de los hechos y la certificación de los
datos que se obtienen en la revisión, ya que el
resultado final de la auditoria es la emisión de un
dictamen donde el auditor expone sus opiniones,
este informe es aceptado siempre y cuando los
datos sean veraces y confiables. No se puede dar un
dictamen en base a suposiciones o emitir juicios que
no sean comprobables.
 Técnicas e instrumentos de Auditoria
Comparación

Otra de las técnicas utilizadas en la auditoria es la

comparación de los datos obtenidos en un área o en toda la
organización y cotejando esa información con los datos
similares o iguales de otra organización con características
semejantes. En la auditoria de sistemas de software, se
realiza la comparación de los resultados obtenidos con el
sistema y los resultados con el procesamiento manual, el
objetivo de dicha comparación es comprobar si los
resultados son iguales, o determinar las posibles
desviaciones y errores entre ellos.
 Técnicas e instrumentos de Auditoria
• Revisión Documental

Otra de las herramientas utilizadas en la auditoria es la revisión de

documentos que soportan los registros de operaciones y actividades de
una organización. Aquí se analiza el registro de actividades y operaciones
plasmadas en documentos y archivos formales, con el fin de que el auditor
sepa cómo fueron registradas las operaciones, resultados y otros aspectos
inherentes al desarrollo de las funciones y actividades normales de la
organización.

En esta evaluación se revisan manuales, instructivos, procedimientos,

funciones y actividades. El registro de resultados, estadísticas, la
interpretación de acuerdos, memorandos, normas, políticas y todos los
aspectos formales que se asientan por escrito para el cumplimiento de las
funciones y actividades en la administración de las organizaciones.
 Técnicas e instrumentos de Auditoria
• Matriz de Evaluación
Es uno de los documentos de mayor utilidad para recopilar
información relacionada con la actividad, operación o función
que se realiza en el área informática, así como también se
puede observar anticipadamente su cumplimiento;
La escala de valoración puede ir desde la mínima con puntaje
1 (baja, deficiente) hasta la valoración máxima de 5
(superior, muy bueno, excelente).
Cada una de estas valoraciones deberá tener asociado la
descripción del criterio por el cual se da ese valor. Esta matriz
permite realizar la valoración del cumplimiento de una función
específica de la administración del centro de cómputo, en la
verificación de actividades de cualquier función del área de
informática, del sistema software, del desarrollo de proyectos
software, del servicio a los usuarios del sistema o cualquier
otra actividad del área de informática en la organización.
 Técnicas e instrumentos de Auditoria
Matriz FODA
Este es un método de análisis y diagnóstico
usado para la evaluación de un centro de
cómputo, que permite la evaluación del
desempeño de los sistemas de software, aquí
se evalúan los factores internos y externos,
para que el auditor pueda conocer el
cumplimiento de la misión y objetivo general
del área de informática de la organización.
Informe de Auditoria
La resultante del proceso de auditoria se ve reflejada en los informes de auditoria, por eso es
indispensable que su confección se lleve a cabo de manera objetiva, pulcra y oportuna, para que brinde
toda la credibilidad y sea ampliamente acogida por el ente auditado.

Es el resultado final debidamente documentado que se

obtiene al concluir el ejercicio de auditoria, donde los
responsables deben exponer claramente el tipo de
examen practicado, su alcance, asi como el grado de
compromiso y responsabilidad asumido.

El informe de auditoria debe contener las conclusiones y

recomendaciones de los hallazgos mas relevante
encontrados durante el ejercicio de la auditoria y debe
especificar si el trabajo se realizo de acuerdo con las
normas de auditoria generalmente aceptadas, declarando
independencia, integridad y objetividad en su opinion.
 Informe de Auditoria.
El informe de auditoria debe ser cuidadosa y profesionalmente
confeccionado de tal manera que exprese con claridad lo necesario para
que sea bien acogido, logrando mantener lo bueno y mejorando de manera
oportuna lo que se requiera, para que tanto el ente auditado como el
auditor queden plenamente satisfechos con la calidad del trabajo realizado
y mantengan un ambiente de acercamiento, cordialidad, participación y
amplia comunicación.

Es importante considerar que la información obtenida durante el

desarrollo del trabajo de auditoria es confidencial, por lo tanto no debe ser
dada a conocer a extraños; es así como lo contempla la Guía Internacional
de Auditoria N° 3. Principios básicos que rigen una auditoria, párrafo N°
6 , que dice: "El auditor debe respetar la confidencialidad de la
infamación que obtenga en el curso de su trabajo y no debe revelar tal
información a terceros sin que cuente con autorización especifica, a
menos que hayan una obligación legal o profesional para ello"..
 OBJETIVOS DE LOS INFORMES DE LA
AUDITORIA DE SISTEMAS

Como objetivos de los informes de auditoría, se pueden

destacar los siguientes:
• 1. Comunicar los resultados del examen de auditoría a
los entes auditados, para que se implementen
• los cambios que impliquen mayor trascendencia.
• 2. Apoyar la toma de decisiones, sirviendo como
documento de respaldo.
• 3. Apoyar el análisis de las causas y efectos de los
hallazgos de la auditoría.
• 4. Retroalimentar la infonnación recopilada, para
optimizar las labores productivas.
• 5. Servir de referencia para futuras auditorías
RECOMENDACIONES APLICABLES A LOS INFORMES DE AUDITORIA DE
SISTEMAS

Los informes de auditoría de sistemas deben estar bien presentados:

utilizar párrafos cortos y relacionados con el tema de fondo, los comentarios
deben estar estructurados, sin tachaduras o enmendaduras, de excelente
redacción, los verbos allí conjugados deben estar en tiempo presente, la
tenninología empleada debe ser sencilla, directa, concisa y lo más importante, que
sea comprensible y convincente al lector de la importancia de los hallazgos y de la
razonabilidad y conveniencia de acatar las recomendaciones.

Por último, debe estar firmado y fechado por la persona responsable del informe.

Antes de emitir el informe final a los directivos de la empresa o institución, es

aconsejable darlo a
conocer al responsable directo de la aplicación, para efectos de éste estudio sería
al administrador de la aplicación, con el propósito de analizar los resultados de los
exámenes y brindar todas las explicaciones y pruebas pertinentes, garantizando
así la aceptabilidad del infonne.
Desarrollo del programa de auditoria
Un programa de auditoria es un conjunto documentado de procedimientos diseñ ados para alcanzar
los objetivos de auditoria planificados. El esquema típico de un programa de auditoria incluye lo
siguiente:
 Tema de auditoria: Donde se identifica el á rea a ser auditada.
 Objetivo de auditoria: Donde se indica el propó sito del trabajo de auditoria a realizar.
 Alcances de auditoria: Aquí se identifica los sistemas específicos o unidades de organizació n que
se han de incluir en la revisió n en un periodo de tiempo determinado.
 Planificación previa: Donde se identifica los recursos y destrezas que se necesitan para realizar el
trabajo así como las fuentes de informació n para pruebas o revisió n y lugares físicos o
instalaciones donde se va auditar.
Procedimientos de auditoria para:
o Recopilación de datos
o Identificación de lista de personas a entrevistar
o Identificación y selección del enfoque del trabajo
o Identificación y obtención de políticas, normas y directivas.
o Desarrollo de herramientas y metodología para probar y verificar los controles
existentes.
o Procedimientos para evaluar los resultados de las pruebas y revisiones.
o Procedimientos de comunicación con la gerencia.
o Procedimientos de seguimiento.

El programa de auditoria se convierte también en una guía para documentar los diversos
pasos de auditoria y para señalar la ubicación del material de evidencia. Generalmente tiene
la siguiente estructura: