AUDITORIA DE SISTEMA

Prof. Esp. Esther Cecilia López Rivas

Participante:
Sm3 Mendoza Takacs Erik Chisthian
Sm3 Luis Enrrique Artahona
Sm3 Jose Ali Padilla
Sm3 Freddy Quintero
 MISIÓN DE LA AUDITORIA
• La auditoría  tiene como misión controlar una entidad o empresa,
identificando puntos de mejora y riesgos. De este modo, las empresas
se autoevalúan con el objetivo de tomar mejores decisiones en base
a las conclusiones que el auditor ofrece mediante el informe de
auditoría interno.
• Uno de los objetivos más importantes de este tipo de auditoría es la
de detectar y reducir los riesgos existentes o potenciales de la
empresa o institución, siendo altamente aconsejable en
organizaciones de ciertos sectores.
• Además, en ciertos sectores, existen leyes por las cuales se regula
la actividad interna de las empresas que operan en el mismo,
siendo legislaciones altamente complejas y a las que hay que adaptar
el funcionamiento interno de manera precisa.
• A la hora de auditar internamente una empresa o institución,
obviamente, cobra especial relevancia el tamaño de la misma. Por eso
nuestros auditores cuentan con formación y experiencia del más alto
nivel en organizaciones con estructuras complejas y de alcance
internacional, para poder cubrir todas las áreas y acciones que se deban
llevar a cabo en cualquier tipo de empresa.
• Asimismo, a la hora de realizar una auditoría interna cobra especial
importancia la independencia y objetividad con la que cuente el auditor,
siendo Legalnet una firma que exige y aporta todos los medios
necesarios para que esta necesidad sea una base sobre la que trabajar.
• Para ello, la empresa que desee realizar este tipo de procedimiento,
deberá dar total acceso a la documentación de la empresa, además de a
los procesos y a los empleados, para que nuestros expertos puedan
ofrecer un resultado final transparente y fiel a la realidad. Por ello,
debido al alto grado de apertura que ha de realizar la compañía con
nuestros expertos, Legalnet ofrece la máxima confidencialidad y
confianza.
 ESTÁNDARES Y LINEAMIENTOS DE LA AUDITORÍA DE SISTEMAS

Definen los requerimientos obligatorios para la auditoría de

sistemas y la generación de informes. Una auditoría se
realiza con base a un patrón o conjunto de directrices o
buenas prácticas sugeridas. Existen estándares orientados a
servir como base para auditorías de informática. Uno de
ellos es COBIT (Objetivos de Control de la Tecnologías de la
Información), dentro de los objetivos definidos como
parámetro, se encuentra el «Garantizar la Seguridad de los
Sistemas». Adicional a este estándar podemos encontrar el
estándar ISO 27002, el cual se conforma como un código
internacional de buenas prácticas de seguridad de la
información,
 NORMAS GENERALES DE LA AUDITORÍA DE
SISTEMAS
• Los objetivos de estas normas son los de informar a los auditores del nivel mínimo
de rendimiento  aceptable para satisfacer las responsabilidades profesionales
establecidas en el Código de Ética  y de informar a la gerencia y a otras partes
interesadas de las expectativas de la profesión con respecto al trabajo de aquellos
que la ejercen.
• Título de auditoría: Responsabilidad, autoridad y rendimiento de cuentas  La
responsabilidad, la autoridad y el rendimiento de cuentas abarcados por la función
de auditoría  de los sistemas de información se documentarán de la manera
apropiada en un título de auditoría  o carta de contratación.
•             Independencia: profesional  En todas las cuestiones relacionadas con la
auditoría, el auditor de sistemas de información deberá  ser independiente de la
organización auditada tanto en actitud como en apariencia.
• La función de auditoría de los sistemas de información deberá ser lo
suficientemente independiente del área que se está auditando para permitir
completar de manera objetiva la auditoría.
• Ética y normas profesionales: Código de Ética Profesional El auditor de sistemas de
información deberá acatar el Código de Ética Profesional de la Asociación de
Auditoría y Control de Sistemas de Información.
•  Idoneidad: Habilidades y conocimientos El auditor de sistemas de información debe
ser técnicamente idóneo, y tener las habilidades y los conocimientos necesarios para
realizar el trabajo como auditor.
• Planificación: Planificación de la auditoría  El auditor de sistemas de información
deberá planificar el trabajo de auditoría de los sistemas de  información para satisfacer
los objetivos de la auditoría y para cumplir con las normas aplicables de auditoría
profesional.
• Ejecución del trabajo de auditoría: Supervisión  El personal de auditoría de los
sistemas de información debe recibir la supervisión apropiada para  proporcionar la
garantía de que se cumpla con los objetivos de la auditoría y que se satisfagan las 
normas aplicables de auditoría profesional.
• Informes: Contenido y formato de los informes En el momento de completar el
trabajo de auditoría, el auditor de sistemas de información deberá proporcionar un
informe, de formato apropiado, a los destinatarios en cuestión. El informe de auditoría
deberá enunciar el alcance, los objetivos, el período de cobertura y la naturaleza y 
amplitud del trabajo de auditoría realizado.
•    Actividades de seguimiento: Seguimiento El auditor de sistemas de información
deberá solicitar y evaluar la información apropiada con respecto a hallazgos,
conclusiones y recomendaciones relevantes anteriores para determinar si se han
implementado las acciones apropiadas de manera oportuna
 ANÁLISIS DE RIESGOS
• El proceso de análisis de riesgo genera habitualmente un
documento al cual se le conoce como matriz de riesgo. En este
documento se muestran los elementos identificados, la manera
en que se relacionan y los cálculos realizados. Este análisis de
riesgo es indispensable para lograr una correcta administración
del riesgo. La administración del riesgo hace referencia a la
gestión de los recursos de la organización. Existen diferentes tipos
de riesgos como el riesgo residual y riesgo total así como también
el tratamiento del riesgo, evaluación del riesgo y gestión del
riesgo entre otras. La fórmula para determinar el riesgo total es:

RT (Riesgo Total) = Probabilidad x Impacto Promedio

• A partir de esta fórmula determinaremos su tratamiento y después de
aplicar los controles podremos obtener el riesgo residual.
• Como se describe en el BS ISO/IEC 27001:2005, la evaluación del riesgo
incluye las siguientes actividades y acciones:
• Identificación de los activos.
• Identificación de los requisitos legales y de negocio que son relevantes
para la identificación de los activos.
• Valoración de los activos identificados, teniendo en cuenta los
requisitos legales y de negocio identificados anteriormente, y el
impacto de una pérdida de confidencialidad, integridad y
disponibilidad.
• Identificación de las amenazas y vulnerabilidades importantes para los
activos identificados.
• Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir.
• Cálculo del riesgo.
• Evaluación de los riesgos frente a una escala de riesgo preestablecidos.
• Después de efectuar el análisis debemos determinar las
acciones a tomar respecto a los riesgos residuales que se
identificaron. Las acciones pueden ser:
• Controlar el riesgo.- Fortalecer los controles existentes y/o
agregar nuevos controles.
• Eliminar el riesgo.- Eliminar el activo relacionado y con ello
se elimina el riesgo.
• Compartir el riesgo.- Mediante acuerdos contractuales parte
del riesgo se traspasa a un tercero.
• Aceptar el riesgo.- Se determina que el nivel de exposición es
adecuado y por lo tanto se acepta.
 CONTROL
Control. Es un mecanismo de seguridad de prevención y
corrección empleado para disminuir las vulnerabilidades
Este proceso administración de riesgo es un proceso
continuo dado que es necesario evaluar periódicamente si
los riesgos encontrados y si estos tienen una afectación, hay
que hacer cálculo en las diferentes etapas del riesgo. La
mecánica que se ve inversa el mayor número de las
organizaciones hoy en día es en el esfuerzo del día a día. Es
por eso realizar análisis de riesgo del proyecto referido al
proyecto y el impacto futuro en la estructura de riesgo de la
organización. AA
 METODOLOGÍA DE UNA AUDITORIA
INFORMÁTICA
• Como auditor se debe recolectar toda la información general, que
permita así mismo definir un juicio global objetivo siempre
amparadas en pruebas o hechos demostrables. Dar como
resultado un informe claro, conciso y a la vez preciso depende del
análisis y experiencia del auditor, frente a diferentes entornos a
evaluar, dependiendo de las debilidades y fortalezas encontradas
en dicha empresa auditada. La recolección de información, el
análisis, la aplicación de diferentes normas de acuerdo al tipo de
auditoria, los hallazgos encontrados y pruebas que avalen estos
resultados son indispensables en la realización de una auditoria.
Para llegar al resultado hay que seguir una serie de pasos que
permiten tener claridad y orden de la auditoria a aplicar
 EL MÉTODO DE TRABAJO DEL AUDITOR PASA POR LAS SIGUIENTES
ETAPAS:

• Alcance y objetivos de la auditoria informática.

• Estudio inicial del entorno auditable.
• Determinación de los recursos necesarios para
realizar la auditoria.
• Elaboración del plan y de los programas de trabajo.
• Actividades propiamente dichas de la auditoria.
• Confección y redacción del informe final.
• Redacción de la carta de introducción o carta de
presentación del informe final.
 BIBLIOGRAFIA
• https://legalnet.es/auditoria/auditoria-interna/#:~:text=La%20auditor%C3%ADa%20interna%20tiene%20c
omo,el%20informe%20de%20auditor%C3%ADa%20interno
.
• https://es.wikipedia.org/wiki/An%C3%A1lisis_de_riesgo_inform%C3%A1tico#:~:
text=El%20an%C3%A1lisis%20de%20riesgos%20inform%C3%A1ticos,adecuados%20para%20aceptar%2C%
20disminuir%2C%20transferir
• https://gsitic.wordpress.com/2018/01/25/bii11-auditoria-informatica-objetivos-alcance-y-metodologia-tec
nicas-y-herramientas-normas-y-estandares/#:~:text=La%20auditoria%20inform%C3%A1tica%20es%20el,y
%20utiliza%20eficientemente%20los%20recursos
.