Auditoria de Tecnologia de Informacion

AUDITORIA DE
TECNOLOGIA DE
INFORMACION IT-
Lic. MA Sergio Arrturo Sosa Rivas -USAC-
TENDENCIAS
ACTUALES DE LA
TECNOLOGIA
AUMENTO DE LA INFLUENCIA DE
CANALES DIGITALES
Construir un entorno de nube es un paso obligado
para las instituciones y pases conscientes de las
necesidades de los 'nativos digitales, en un mundo
que cada da se vuelve mas virtual en todos los
campos inclusive el rea contable.
NUEVO ROL DOCENTE DE FACILITADOR
-MUSEOS VIRTUALES
-PELICULAS
-CLASES
-CURSOS
-NATURALEZA
-MENSAJES
-CHATS
-REDES SOCIALES
-DINERO, CONTABILIDAD
ETC.
TENDENCIAS SEGURIDAD - RESCATE
Entre sueos escuchas el despertador de tu celular, abres los
ojos y lo apagas desde tu smartwatch. Tu Smart TV te recibe
encendida, con las noticias a todo volumen. Miras la
temperatura y te das cuenta de que es una helada
maana invernal. Tu auto, como todas las noches, te espera
estacionado en la puerta de tu hogar, y sabes que si no lo
enciendes para calentar el motor va a ser difcil que
arranque. Para ahorrar tiempo, tomas tu smartphone, abres
la aplicacin de tu automvil y te propones encenderlo
desde la comodidad de tu cocina, pero hay un problema:
el coche no enciende.
Lo intentas varias veces y hasta reinicias la app, pero
aparece una notificacin en tu pantalla: Tu auto est
inutilizado. Si quieres volver a encenderlo, deposita 0,5
bitcoins en esta cuenta.
Ahora vuelve del sueo y dinos, crees que esta situacin es
posible? Acaso la Internet de las Cosas puede ser
vulnerable a ataques o amenazas como el ransomware?
Los investigadores de ESET nos hemos hecho estas preguntas
y algunas ms, y te presentamos nuestras ideas en el reporte
Una mirada al panorama de
ciberseguridad en 2017
Si 2016 fue el ao del ransomware, 2017

probablemente sea el ao del
jackware, segn sugiere Stephen
Cobb. Podra ser el ao en que esta
despiadada amenaza se traslade a
otras plataformas ms all de
computadoras y smartphones,
intentando tomar el control de
dispositivos cuyo objetivo principal no
sea el procesamiento de datos ni la
comunicacin digital, como por
ejemplo los automviles conectados
en el ejemplo que plantebamos
arriba. (PEDIR RECATE TOMAR
DISPOSITIVOS)
Jackware: When connected cars meet ransomware
BY STEPHEN COBB POSTED 20 JUL 2016 - 02:30PM
RANSOMWARE
What is jackware?
I define jackware as malicious software that

seeks to take control of a device, the primary
purpose of which is not data processing or
digital communications. A car would be such
a device. A lot of cars today do perform a lot
of data processing and communicating, but
their primary purpose is to get you from A to
B. So think of jackware as a specialized form
of ransomware. With regular ransomware,
such as Locky and CryptoLocker, the
malicious code encrypts documents on your
computer and demands a ransom to unlock
them. The goal of jackware is to lock up a
car or other device until you pay up.
Ahora que se termina el primer semestre, es el momento perfecto
para anticipar lo que puede ocurrir en 2017 partiendo de lo que nos
ha dejado 2016.
Ms atencin a la ciberseguridad Puesto que en 2016 ha habido un
montn de hackeos masivos y que todo el mundo ha tenido en
cuenta, no solo los expertos en seguridad, es evidente que la
ciberseguridad va a ser un tema trascendental para 2017 que
estar en boca de todos y que determinar una parte de la
estrategia empresarial de varios gigantes tecnolgicas. No hay que
plantearse este asunto, sin embargo, como algo que depende de
las grandes empresas y que est fuera del usuario medio. Activar las
medidas aadidas de seguridad en telfonos mviles, como la
verificacin en dos pasos para WhatsApp o Facebook Messenger,
es algo que depende de cada usuario. Conocer mejor nuestros
La 'guerra' de los drones Aunque ya llevan aos
comercializndose a nivel de usuario para grabar vdeos o
simplemente para los fans de los vehculos por radiocontrol,
ahora los drones van a emplearse para un montn de cosas
ms, si es que los organismos que regulan su uso en espacios
pblicos estn de acuerdo con ello. Amazon es la principal
interesada en que las normativas les favorezcan, pues
quieren lanzar servicios de reparto mediante drones: no hay
un humano al que pagar, son ms rpidos y no van a
equivocarse de direccin, en teora. Otras empresas
tambin estn mirando cmo usar los drones para sus
repartos. Dominos quiere repartir pizzas por el aire, sin ir ms
Inteligencia artificial hasta en la sopa Google, Apple,
Facebook, Samsung... Todas estn desarrollando lo que, de
momento, se denominan 'asistentes' personales para
ayudarnos en tareas cotidianas y en el uso de nuestros
mviles. En realidad, lo que hay detrs son inteligencias
artificiales con un potencial inmenso. Ya hemos visto
experimentos de todo tipo, desde imgenes que mejoran su
resolucin y aspecto gracias a la interpretacin que hacen
las IAs hasta msica compuesta con un poquito de ayuda
humana por dichas mquinas. En 2017, veremos cmo los
asistentes personales no solo mejoran en los telfonos
Mviles que se doblan? Mucha gente da por hecho que
los telfonos no volvern a ser pequeos porque
necesitamos cada vez pantallas ms grandes, de entre 5 y 6
pulgadas en algunos casos. Es posible que, si Samsung y
Apple lanzan los telfonos plegables que tienen
patentados, esto no sea del todo cierto. Si volvemos a
utilizar telfonos que se doblan por la mitad y que tienen
pantallas preparadas para resistir ese cambio de forma, es
muy probable que tengamos pantallas inmensas, de ms
de 6 pulgadas incluso, en el cuerpo de un telfono de 3 o 4
pulgadas. Eso, o tendremos telfonos del mismo tamao,
pero con pantallas dignas de un tablet, que tambin es
posible. Lo que est claro es que en 2017 veremos cmo las
Las convertibles se comen a los porttiles Nos encanta el
Surface Pro 4 de Microsoft y pensamos que es el futuro de
los ordenadores porttiles: es potente, tiene una pantalla
tctil y se puede usar como tablet y como ordenador,
dependiendo de si se le pone el teclado o no. Su hermano
mayor, el Surface Book, es similar, aunque no ha llegado a
todos los paises. Y no es el nico convertible que se ha
propuesto acabar con los porttiles de toda la vida: Lenovo
tiene algunos modelos interesantsimos y Asus est
consiguiendo cosas muy interesantes. Por su parte, Apple y
Samsung estn haciendo que sus tablets tambin puedan
usarse casi como ordenadores. Y si 2017 fuera el punto de
inflexin en el que los porttiles dejaran de ser realmente
necesarios para trabajar fuera de la oficina? Los
Las redes sociales tendrn que cambiar Facebook y Twitter han
tenido un mal ao: la primera ms en cuestiones de imagen y la
segunda, en todos los sentidos posibles. Entre las acusaciones de
haber jugado un papel involuntario, pero trascendental, en las
Elecciones de EEUU; de no actuar contra el acoso y de publicar
noticias falsas a punta de pala. Esta situacin podra repetirse en 2017
si las nuevas reinas del mambo, esto es, Instagram y Snapchat, no
estn atentas de cmo adaptarse a los tiempos, que cambian a una
velocidad imposible para todo el mundo: lo que antes estaba de
moda, puede que pronto no lo est. En 2016, imitar a Snapchat ha
sido la moda, pero en 2017 puede ser cualquier otra cosa que
todava est por venir. Y aunque la cada de estos grandes nombres
no sera inmediata, todos sabemos lo rpido que se puede
abandonar una red social si no se toman las decisiones adecuadas
en el momento adecuado. MySpace, Tuenti o Vine son ejemplos muy
dolorosos de ello. Cmo tendrn que cambiar, pues, las redes
La realidad virtual: o se asienta o muere
Pese a que HTC Vive, Oculus Rift y PlayStation VR se han lanzado en 2016,
parece que la tecnologa de realidad virtual no termina de asentarse. Pese a
que Samsung ya haba conseguido popularilizarla un mnimo entre dispositivos
mviles y pese a la apuesta de otras grandes compaas, como Google con
Daydream, parece que tendremos que esperar a 2017 para ver qu ocurre en
este panorama. Hay varios problemas que impiden que la RV se popularice a
mayor velocidad, como el precio de los dispositivos o lo caros que son los
ordenadores o componentes que permiten jugar con fluidez a los videojuegos
adaptados al formato.
A su vez, no se ha encontrado un uso real a la tecnologa ms all de algunos
experimentos visuales y los ya mencionados videojuegos. Cmo se plantean
el cine, la televisin u otras plataformas este tipo de tecnologa? Est por
ver.
Por ltimo, es de esperar una mejora de la tecnologa (mayor resolucin, mayor
tasa de imgenes por segundo, etc.), pero tambin un abaratamiento sin que
eso signifique una peor imagen.
IMPACTO SOCIO-ECONMICO
DEFINICIONES
GENERALES

QU ES LA AUDITORIA DE TECNOLOGIA DE
INFORMACIN (A.T.I.)?
DEFINICIN:
La Auditoria de TECNOLOGIAS DE INFORMACION (T.I.), como se le conoce actualmente, (Auditoria
informtica o Auditoria de sistemas en nuestro medio), se ha consolidado en el mundo entero como cuerpo de
conocimientos cierto y consistente, respondiendo a la acelerada evolucin de la tecnologa informtica de los
ltimos 10 aos. En algunos pases altamente desarrollados es catalogada como una actividad de apoyo vital
para el mantenimiento de la infraestructura crtica de una nacin, tanto en el sector pblico como privado, en
la medida en que la Informacin es considerada un activo tan o ms importante que cualquier otro en una
organizacin. Existe pues, un cuerpo de conocimientos, normas, tcnicas y buenas prcticas dedicadas a la
evaluacin y aseguramiento de la calidad, seguridad, razonabilidad, y disponibilidad de la Informacin tratada
y almacenada a travs del computador y equipos afines, as como de la eficiencia, eficacia y economa con que
la administracin de un ente estn manejando dicha Informacin y todos los recursos fsicos y humanos
asociados para su adquisicin, captura, procesamiento, transmisin, distribucin, uso y almacenamiento. Todo
lo anterior con el objetivo de emitir una opinin o juicio, para lo cual se aplican tcnicas de auditora de general
aceptacin y conocimiento tcnico especfico.

ROL DE LA AUDITORIA EN LA EMPRESA:
El auditor de sistemas debe jugar un rol proactivo a travs de todas las etapas del proceso de sistematizacin
del negocio. Adicionalmente debe apoyar a la Auditoria Financiera en su proceso de obtencin de evidencia y
validacin de procedimientos de control a travs del uso de C.A.A.T. (computer audit assisted technologies)
y del computador.
Los servicios de Auditora de Tecnologa de Informacin se encuentran orientados al mercado pro-activo y
preventivo, brindndole a nuestros clientes evaluaciones de sus controles, que sirvan para el fortalecimiento
de su seguridad e infraestructura tecnolgica.

OBJETIVOS ESPECIFICOS:
La informacin y la tecnologa es el activo ms valioso de nuevo milenio.

La informacin puede constituirse en una ventaja competitiva de la empresa frente a
terceros. Su uso inadecuado puede convertirse en la peor amenaza
La informacin es la memoria y el conocimiento de la empresa. Base de su desarrollo y
adaptacin futura
Todo lo que la rodea (la informacin) y la soporta, debe estar adecuadamente asegurado y
controlado. Hablamos de equipos, personas y programas de computador
Es necesario determinar si los recursos informticos estn siendo utilizados de la manera
ms efectiva, eficiente y econmica.
Es de vital importancia evaluar si los sistemas de negocios que posee la empresa tienen
involucrados los CONTROLES suficientes que garanticen una informacin libre de
errores, fraudes, alteracin o falta de disponibilidad. Es decir, que dicha informacin est
realmente segura y protegida del acceso no autorizado, dao intencional o destruccin por
parte de terceros o personal de la empresa
Se hace necesario mantener servicios de monitoreo de nuevas tecnologas, de forma que
estas se adquieran y utilicen en beneficio de los objetivos de la empresa, generando ventajas
competitivas y beneficios tangibles frente a terceros.
Solo la experiencia continuada, real, exitosa, el conocimiento acumulado de muchos aos
en proyectos de sistematizacin de todo tipo y el uso de estndares y metodologas de
reconocido valor tcnico, garantizan que la tecnologa Informtica, y la informacin en si
misma, estn siendo adecuadamente utilizadas y aseguradas.
NORMAS UTILIZABLES

Normas Internacionales de Auditora, NIA
Emitidas por el International Federation of Accountans (IFAC) a travs del International

Auditing and Assurance Standars Boards (IAASB). Son los requisitos mnimos de calidad
relativos a la personalidad del auditor, al trabajo que desempea y a la informacin que
rinde como resultado de dicho trabajo.
Estructura general de las normas internacionales de auditoria

Normas donde se mencionan los expertos para las revisiones.

CONTROL INTERNO Y
RIESGO

CONTROL INTERNO - DEFINICIN-
El Control Interno conforme COSO es un proceso integrado a los

procesos, y no un conjunto de pesados mecanismos burocrticos
aadidos a los mismos, efectuado por el consejo de la
administracin, la direccin y el resto del personal de una entidad,
diseado con el objeto de proporcionar una garanta razonable
para el logro de objetivos incluidos en las siguientes categoras:
Eficacia y eficiencia de las operaciones (salvaguarda de activos).

Confiabilidad de la informacin financiera.
Cumplimiento de las leyes, reglamentos y polticas.
Cumplimiento de los planes estrategicos
REQUISITOS QUE DEBEN CUMPLIR LOS
CONTROLES:
1. Deben reflejar la naturaleza y necesidades de la empresa
2. Deben reportar prontamente las desviaciones
3. Deben ser futuristas
4. Deben sealar excepciones
5. Deben ser objetivos
6. Deben ser flexibles
7. Deben ser econmicos
8. Deben ser comprensibles
9. Deben conducir a la accin correctiva.

DEFINICIN DEL CONTROL INTERNO
Para Qu? En qu
Nivel?
Control Proporcionar Eficacia y eficiencia de
un grado las operaciones
Interno de seguridad
Qu? razonable Confiabilidad de la
Proceso efectuado en cuanto Informacin Financiera
por la Direccin, a la
la alta Gerencia consecucin Cumplimiento de las
y el resto del de los Objetivos Leyes y normas
personal establecidas
Cumplimiento de
planes estratgicos
ASPECTOS A CONSIDERAR
Es un proceso:
No es un hecho aislado, es un conjunto de actividades realizadas de forma continua
Resulta efectivo cuando est integrado en la estructura y cultura de la entidad
Aplicado al definir la estrategia:
VISIN Y
MISIN
OBJETIVOS
ESTRATGICOS
OBJETIVOS DE
NEGOCIO
OBJETIVOS DIVISIONES
PROCESOS
RIESGOS
ASPECTOS IMPLCITOS EN LA DEFINICIN
DE CONTROL INTERNO
CI ES UN PROCESO CI LO LLEVAN A
CABO LAS PERSONAS
CONTROL
INTERNO
CI FACILITA LA
CONSECUCIN DE OBJETIVOS
CI SLO PUEDE APORTAR UN GRADO

RAZONABLE DE SEGURIDAD
RIESGOS QUE AMENAZAN LA
INFORMACION
EXTERNOS
Naturales (Temblor, Incendio, Inundacin, Tormenta)
Humanos (Robo, Sabotaje, Motines sociales, Fraude)
Materiales (Desperfectos en el equipo, Fallas de energa)

AMBIENTE DEBIL DE CONTROL
PROPICIO PARA EL FRAUDE:
Poca o ninguna restriccin fsica en el acceso al equipo
Carencia de un Depto. de auditora interna
Control absoluto sobre las actividades desarrolladas por IT
Falta de documentacin sobre los sistemas y programas
en produccin.
Errores corregidos mediante solicitudes verbales
Cambios en lnea a los datos contenidos en el sistema
Poco o ningn control sobre el uso de reportes
elaborados
Uso del IT en horario nocturno, sin ninguna supervisin
sobre las funciones que se realizan.

CLASIFICACION DE
CONTROLES IT

CLASIFICACION DE LOS
CONTROLES POR SU NATURALEZA
GENERALES (VARIOS SISTEMAS)
MANUALES (USO DE HUMANWARE)
AUTOMATICOS (INCORPORADOS)
POR SU EFECTO: POR SU ESTADO:

DISUASIVOS RECOMENDADOS
DE EVIDENCIA DESCARTADOS
PREVENTIVOS * IMPLANTADOS
DETECTIVOS * * Controles de Aplicaciones
CORRECTIVOS * que se ampliarn
RECUPERATIVOS

CONTROLES PREVENTIVOS
Son aquellos que reducen la frecuencia con que ocurren

las causas de error.
Caractersticas:
Reducen la frecuencia de errores
Previenen operaciones no autorizadas
Son sutilmente incorporados en los procesos
Son los de mas bajo costo.

Autorizacin:
La iniciacin de una transaccin o la ejecucin de un
proceso se limita a los individuos autorizados para ello.

Custodia Segura:
A los activos de informacin se les aplican medidas de
seguridad similares a las de los activos tangibles, tales
como efectivo, valores negociables, etc.

Formas pre numeradas:
En las formas individuales se pre imprimen nmeros
consecutivos a fin de permitir la deteccin posterior de su
prdida o mala colocacin.

Formas preimpresas:
Los elementos fijos de informacin se anotan por
anticipado en las formas y, en algunos casos, en un
formato que permite el procesamiento directo por el
computador, a fin de prevenir errores en la anotacin de
datos repetitivos.

Documento de retorno:
Es un documento producido por el computador, con el
objeto de que vuelva a entrar al sistema.

Endoso:
Marcar una forma o un documento a fin de dirigir o
restringir su uso posterior en el procesamiento.

Cancelacin:
Marcar o identificar los documentos de las transacciones a fin de
prevenir su uso posterior una vez que han cumplido su funcin.

Contraseas:
La autorizacin para permitir el acceso a informacin o
procesos, por medio de una seal o clave conocida
nicamente por los individuos autorizados para ello.

Confiabilidad del personal:
Puede confiarse en que el personal que efecta el
procesamiento maneja los datos en forma adecuada y
consistente.

Entrenamiento:
Se proporcionan instrucciones explcitas al personal y se
verifica que las hayan comprendido, antes de
asignrseles nuevas tareas.

Competencia del personal:
Las personas asignadas a funciones de procesamiento o
de supervisin dentro de los sistemas de informacin,
poseen el conocimiento tcnico necesario para llevar a
cabo sus funciones.

Mecanizacin:
El utilizar medios electrnicos para procesar la
informacin, proporciona consistencia al procesamiento.

Segregacin de funciones:
La responsabilidad de la custodia, control del manejo y el
procesamiento de la informacin, se encuentran
separadas.

CONTROLES DETECTIVOS
Estos no impiden que ocurra una causa de error, sino que

acciona la alarma despus de que haya ocurrido.
Pueden impedir la continuidad de un proceso
No impiden que ocurra un error, pero dan la alarma
despus que haya ocurrido
Requieren de ciertos gastos operativos moderados.

Documento de envo:
Es el medio para comunicar las cifras control a travs del
movimiento fsico de la informacin, particularmente de
la fuente al punto de procesamiento o entre puntos de
procesamiento.

Nmeros consecutivos de lote:
Los lotes de documentos de transacciones se numeran en
forma consecutiva y se controlan.

Cifras de control de cantidades:
Son totales de valores homogneos para un grupo de
transacciones o registros, generalmente en valores
monetarios o cantidades.

Cifras de control de numero de documentos:
Consiste en que se efecta un conteo del nmero de
documentos individuales y este total es el que se
controla.

Cifras de control sin significado monetario:
Es un total no significativo, pero til, obtenido de la
sumatoria de informacin numrica no monetaria.

Totales de lote:
Es cualquier tipo de cifra control o conteo que se aplica a
un numero especifico de documentos de
transacciones o a los documentos de las transacciones
que se reciben en un periodo de tiempo especifico.

Verificacin de rebasamiento:
Es una verificacin de lmite que se basa en la capacidad
de un rea de la memoria o de un archivo para
aceptar informacin.

Verificacin de formato:
Determinacin de que los datos se registran en la forma
establecida en el formato de informacin que se
estipula en el programa de aplicacin, ya sea en forma
numrica o alfanumrica.

Verificacin de integridad:
Consiste en comprobar que se hayan anotado datos en
aquellos campos que no pueden procesarse si se dejan
en blanco.

Dgito Verificador:
Es un dgito, generalmente el ultimo de un campo de
identificacin, que es una funcin matemtica de
todos los dems dgitos en el campo. La validez
de todo el campo se comprueba al calcular, con
base en los dems dgitos del campo, el digito
verificador y compararlo con el consignado en el
campo.

Ejemplo: Nmero de Afiliacin al IGSS, es un Cdigo
Base 10.
No. Afilic. al IGSS = 1 7 2 0 9 7 7 7- 6
x
Multiplicar x 1 y 2 = 1 2 1 2 1 2 1 2
(Excepto Dgito Verif.)
= 1 14 2 0 9 14 7 14
Se suman =
1+1+4+2+0+9+1+4+7+1+4
Total = 34
Siguiente Decena = 40
Comprobacin = 40 (-) 34 = 6 = D.V

Razonabilidad:
Pruebas que se aplican a varios campos de informacin
mediante la comparacin con otra informacin
disponible en los registros de transacciones o los
maestros, a efecto de establecer su razonabilidad.

Verificacin de limite:
Pruebas de los campos de importes especficos, contra limites
inferiores o superiores de aceptabilidad estipulados.
Cuando se verifican ambos limites, la prueba suele
denominarse verificacin de rango.

Verificacin de validez:
Los caracteres en un campo codificado son cotejados contra un
conjunto aceptable de valores en una tabla, o examinados
con respecto a un patrn definido de formato, utilizando la
lgica y la aritmtica.

Fechas:
Registrar fechas de calendario para efectos de comparaciones
posteriores o de pruebas relativas a la expiracin de
documentos.

Verificacin de la digitacin:
La entrada redundante de datos por medio de un teclado, a
fin de verificar la exactitud de una entrada anterior. Las
diferencias entre los datos previamente registrados y los
datos accesados en la verificacin originan una seal
mecnica.

Aprobacin:
Consiste en la aceptacin de una transaccin para que sea
procesada, despus de que se ha iniciado.

Totales de corrida a corrida:
Consiste en el uso de las cifras de control de salida que
resultan de un proceso, como cifras de control para un
procesamiento posterior. Las cifras control se utilizan
como enlaces en una cadena para unir un proceso con
otro en una secuencia de procesos.

Igualizacin/comparacin:
Es una prueba para determinar la igualdad entre los valores
de dos conjuntos equivalentes de partidas o entre un
conjunto de partidas y una cifra control. Cualquier
diferencia indica un error.

Clasificacin por antigedad:
Consiste en la identificacin de partidas sin o con poco
movimiento, de acuerdo con su fecha, generalmente la fecha de
la transaccin. Esta clasificacin segrega las partidas de acuerdo
con varios lmites de fechas.

Cuenta de partidas pendientes de procesarse:
Cotejar las partidas del flujo del procesamiento en una aplicacin con otras
desarrolladas en forma independiente, a fin de identificar partidas no
procesadas o diferencias en las mismas.

Cotejo:
Cotejar las partidas del flujo del procesamiento en una aplicacin con otras
desarrolladas en forma independiente, a fin de identificar partidas no
procesadas o diferencias en las mismas.

Auditoria peridica:
Consiste en la verificacin de un archivo o de una fase de procesamiento, con el
objeto de detectar problemas y fomentar el cumplimiento de los procedimientos
establecidos.

Etiquetas:
Consiste en la identificacin externa o interna de los lotes de transacciones o de los
archivos de acuerdo con su fuente, aplicacin, fechas u otras caractersticas de
identificacin.

CONTROLES CORRECTIVOS
Ayudan a la investigacin y correccin de las causas de los errores
que hayan sido detectados.
La accin correctiva es siempre necesaria.
Son casi siempre muy costosos.

Reportes de discrepancias o inconsistencias
No es ms que un listado de las partidas que han violado algn control
detectivo y que, consecuentemente, requieren investigacin posterior.

Rastro de auditoria:
Pista de auditoria o pista de las transacciones, consiste en la disponibilidad
de un medio manual o legible por computador que permita rastrear el
estado y el contenido del registro de una transaccin individual, hacia
atrs o hacia delante, entre salida, procesamiento y fuente.

Los principios generales aplicables al diseo de rastros adecuados para
auditoria, son los siguientes:
Para todas las operaciones que afectan los estados financieros debe
haber un medio de establecer la cuenta a la cual son transcritas las
operaciones.
Por todas las cuentas reflejadas en los estados financieros debe haber
un medio para comprobar el importe de las cifras del total, hacia los
elementos de las operaciones individuales.
Por todas las operaciones y cuentas que originan un nmero importante
de consultas deben existir medidas para proporcionar los registros
necesarios para contestar las consultas en forma regular.
Por todas las operaciones y cuentas que tpicamente no son objeto de
consultas, debe haber un medio de comprobacin, aun cuando no se
establezcan medidas para contestar consultas en forma regular.

Estadsticas de errores y su fuente:
Consiste en llevar control estadstico de la informacin relativa a los diversos tipos de
errores que se dieron en el proceso y cual fue el origen de los mismos. Esta
informacin se utiliza para determinar los procedimientos que debern aplicarse a
efecto de reducir la cantidad de errores.

Correccin automatizada de errores:
Se refiere a que el propio computador realiza un proceso para corregir cierto tipo
de errores de transacciones o de registros que violan un control detectivo; as, si
por error se pago una factura que exceda al valor de la orden de compra
correspondiente, el computador produce automticamente una nota de cargo
al proveedor, por la diferencia.

Respaldo y recuperacin:
Consiste en que deben conservarse los archivos maestros y las transacciones del da
anterior, a efecto de tener la posibilidad de volver a crear nuevos archivos maestros
actualizados, en caso se destruyera el archivo maestro del da.
BACK-UPS
Reinclusin en el proceso:
Se refiere a que las transacciones cuyos errores detectados, fueron corregidos, deben
reincluirse en el proceso como si fueran datos de entrada nuevos, debiendo en
consecuencia, pasar a travs de todos los controles detectivos que se aplican sobre las
transacciones normales.

METODOLOGIA DE
AUDITORIA DE
TECNOLOGIAS DE
INFORMACION -IT-
Diagrama de Flujo de la auditora de tecnologas de
informacin

METODOLOGIA PARA REALIZAR AUDITORIAS DE SISTEMAS COMPUTACIONALES
ORIGEN DE LA AUDITORIA VISITA PRELIMINAR
ESTABLECER OBJETIVOS
DETERMINAR PUNTOS A
EVALUAR
Fuente: Muoz Razo
ELABORAR PLANES, PRESUPUESTOS Y PROGRAMAS
IDENTIFICAR Y SELECCIONAR HERRAMIENTAS, METODOS

TECNICAS Y PROCEDIMIENTOS
ASIGNAR LOS RECURSOS DE AUDITORIA Y SISTEMAS
APLICAR AUDITORIA
IDENTIFICAR DESVIACIONES Y ELABORAR BORRADOR DEL INFORME
PRESENTAR DESVIACIONES A DISCUSION
ELABORAR BORRADOR FINAL DE DESVIACIONES
Lic. MA Sergio Arrturo Sosa Rivas -USAC- PRESENTAR EL INFORME DE AUDITORIA

METODOLOGIA PARA REALIZAR AUDITORIAS DE
SISTEMAS COMPUTACIONALES
Llevar a cabo una auditora de sistemas computacionales requiere

una serie ordenada de acciones y procedimientos especficos, los
cuales debern ser diseados previamente de manera secuencial,
cronolgica y ordenada, de acuerdo a las etapas, eventos y
actividades que se requieran para su ejecucin, mismos que sern
establecidos conforme a las necesidades especiales de la institucin.

1ERA. ETAPA PLANEACION DE LA AUDITORIA DE TECNOLOGIA DE
INFORMACIN
Identificar el origen de la Auditora.
Realizar una visita preliminar al rea que ser evaluada.
Establecer los objetivos de la Auditora.
Determinar los puntos que sern evaluados en la Auditora.
Elaborar planes, programas y presupuestos para realizar la
Auditora.
Identificar y seleccionar los mtodos, procedimientos,
instrumentos y herramientas necesarios para la Auditora.
Asignar los recursos y sistemas computacionales para la
Auditora.

1RA. ETAPA
PLANEACIN DE LA AUDITORA DE SISTEMAS
COMPUTACIONALES
IDENTIFICAR EL ORIGEN DE LA AUDITORIA
El primer paso formal para iniciar la

planeacin de una auditora en el rea de
sistemas es identificar el origen de la misma,
con el objetivo de saber por que surge la
necesidad de realizar una auditora.

1. POSIBLES CAUSAS QUE DAN ORIGEN A UNA
AUDITORIA EN SISTEMAS
Por solicitud expresa de procedencia Interna

Por solicitud expresa de procedencia Externa
Como consecuencia de emergencias y condiciones especiales
Por riesgos y contingencias informticas
Como resultado de los planes de contingencia
Por resultados obtenidos de otras auditorias
Como parte del programa integral de auditoria
2. REALIZAR UNA VISITA PRELIMINAR
Aspectos que se deben contemplar en una visita preliminar:

Visita preliminar de arranque
Contacto inicial con funcionarios y empleados del rea.
Identificar preliminar de la problemtica de sistemas.
Prever los objetivos iniciales de la auditoria.
Calcular los recursos y personas necesarias para la
auditora.

3. DE ACUERDO A SU AMBIENTE DE APLICACIN, LOS OBJETIVOS DE
LA AUDITORA DE SISTEMAS SE PUEDEN COMPLEMENTAR AS:
OBJETIVO GENERAL:
Es el fin global o integral que se pretende alcanzar con el desarrollo de la auditora.
OBJETIVOS PARTICULARES:
Son los fines individuales que se pretenden alcanzar con el desarrollo de la auditora.
OBJETIVOS ESPECFICOS DE LA AUDITORA DE SISTEMAS COMPUTACIONALES:
Es determinar en forma detallada, los fines que se pretenden alcanzar con la auditora de sistemas, sealando
concretamente las reas a evaluar y, especficamente, los sistemas, componentes o elementos concretos que
deben ser evaluados.
Ejemplo: Evaluar la gestin administrativa del rea de informtica.

4. DETERMINAR LOS PUNTOS QUE SERAN EVALUADOS EN LA AUDITORIA
Los puntos que ser evaluados, se determinarn de acuerdo al origen de
la auditoria y los objetivos que se pretenden alcanzar .
a. Evaluacin de las funciones y actividades del personal del rea de

sistemas
b. Evaluacin de las reas y unidades administrativas del centro de
cmputo.
c. Evaluacin de la seguridad de los sistemas de informacin.
d. Evaluacin de la informacin, documentacin y registros de los
sistemas.
e. Evaluacin de los sistemas, equipos, instalaciones y componentes.

4.2 ELEGIR LOS TIPOS DE AUDITORIA QUE SERAN UTILIZADOS
Despus de determinar los puntos a evaluar, es necesario que se
determine los tipos de auditoria o sea las herramientas, instrumentos y
los mtodos de evaluacin que se utilizar para dictaminar acerca del
funcionamiento del rea de sistemas
4.3 DETERMINAR LOS RECURSOS QUE SERAN UTILIZADOS EN LA

AUDITORIA
A. PERSONAL PARA LA AUDITORIA DE SISTEMAS.
B. PERSONAL DEL REA QUE SER EVALUADA.
C. APOYO DE LOS SITEMAS Y EQUIPOS TCNICOS E INFORMTICOS

5. ELABORAR PLANES, PRESUPUESTOS Y
PROGRAMAS
ndice de Contenido: Es conveniente que en estos documentos siempre se incluya una

seccin en donde se sealen todos los puntos en que se dividi el plan de auditora.
Definicin de Objetivos: Es la definicin formal, por escrito, de los objetivos que se

pretenden alcanzar con la auditoria.
Delimitacin y estrategia para el desarrollo de auditoria: Contiene las estrategias para

las diferentes partes de auditoria de sistemas.
Planes de auditoria: En ellos se detalla cada una de las acciones para la evaluacin,
estos se presentan da acuerdo a las preferencias y necesidades especificas de
auditoria de la empresa.

CONTENIDO DE LOS PLANES PARA REALIZAR LA
AUDITORIA
Este documento debe contener detalladamente las fases, etapas, actividades, recursos y tiempo
para realizar la auditoria.
Es evidente que el auditor determinara su contenido mnimo con base a sus conocimientos y
experiencias, cuando menos debe de considerar los siguientes aspectos.
Definir los Objetivos finales de la Auditoria.
Establecer Estrategias para realizar la auditoria.
Disear las etapas, eventos y tareas en que se dividir la auditoria.
Calcular la duracin de las tareas y eventos para satisfacer los objetivos de la auditoria.
Distribuir los recursos que sern utilizados en las diferentes etapas, actividades y tareas de la
auditoria.
Confeccionar los planes concretos para la auditora.
Elaborar el documento formal de los programas de auditoria (a travs de un cronograma de
actividades).
Definir las etapas y eventos que se llevaran a cabo.
Definir las actividades y tareas.
Elaborar los programas de actividades para realizar la auditoria.

6. IDENTIFICAR Y SELECCIONAR LOS METODOS,
HERRAMIENTAS, INSTRUMENTOS Y PROCEDIMIENTOS
NECESARIOS PARA LA AUDITORIA.
Elaborar los documentos necesarios para la auditoria

Determinar herramientas, mtodos y procedimientos para la
auditoria de sistemas
Disear los sistemas, programas y mtodos de pruebas para
la auditoria.

7. ASIGNAR LOS RECURSOS Y SISTEMAS
COMPUTACIONALES PARA LA AUDITORIA
7.1 Asignar los recursos humanos para la realizacin de la

auditoria
7.2 Asignar los recursos informticos y tecnolgicos para la
realizacin de la auditoria
7.3 Asignar los recursos materiales y de consumo para la
realizacin de la auditoria.
7.4 Asignar los dems recursos para la realizacin de la auditoria.

2. ETAPA: EJECUCIN DE LA AUDITORIA DE
Realizar las acciones programadas para la auditoria
Aplicar los Asignar los recursos y Recopilar la

actividades conforme documentacin
instrumentos y y
herramientas a los planes y
Evidencia s de la
para la auditoria programas auditoria
Identificar y elaborar los documentos de desviaciones
Integrar el Integrar los

legajo de documentos
Elaborar los papeles de y pruebas en
Documentos y trabajo de la papeles de
presentarlos a auditoria trabajo.
discusin

Elaborar el borrador de desviaciones
2. ETAPA: EJECUCIN DE LA AUDITORIA DE
CONTINUACIN..
Realizar las acciones programadas para la auditoria

Aplicar los instrumentos y herramientas para la auditoria
Identificar y elaborar los documentos de desviaciones
encontradas
Elaborar el dictamen preliminar y presentarlo a discusin
Integrar el legajo de papeles de trabajo:

3. ETAPA: DICTAMEN DE LA AUDITORIA
DE SISTEMAS COMPUTACIONALES
La informacin, y elaborar un informe de

situaciones detectadas
Elaborar el Dictamen final
Presentar el Informe de Auditoria

CASO PRCTICO SOBRE
LA PLANEACIN DE
UNA AUDITORIA EN
SISTEMAS

FECHA HOJA
26 3 2014 1 de 29
Auditoria de Sistemas
Empresa: JULIANA Perodo: 01 al 16 de enero de 2014
Auditor: Juan Piln rea Auditada: Tecnologa de Informacin.

PRIMERA ETAPA
El da 1 de enero de 2014, como origen de

procedencia interna, la Junta Directiva de la
Empresa Juliana, S. A., solicita a la firma de
Auditores Externos Estudiantes y Asociados
para que realice una Auditoria de tecnologa
de informacin, orientada hacia la
organizacin y los seguros mantenimientos y
fianzas relacionadas con IT.
VISITA PRELIMINAR
El da 11 de enero, el socio Juan Piln

encargado de la auditoria, realiza una visita
preliminar a la empresa Juliana, S.A. con el
propsito de tener contacto con los
funcionarios, empleados y usuarios del rea de
sistemas, definiendo los objetivos de la misma y
determinando algunos problemas iniciales en
cuanto a su ubicacin y organizacin.
OBJETIVO
Evaluar la organizacin, utilizacin y

aprovechamiento del equipo, las
instalaciones y mobiliarios de IT, as
como del uso de sus recursos tcnicos y
materiales para el procesamiento de la
informacin y evaluacin de seguros y
similares.
PUNTOS A EVALUAR
La seguridad fsica del hardware y del

personal del rea de sistemas.
El aprovechamiento del hardware y
software.
Las funciones y actividades del
personal del rea de sistemas.

PROGRAMA DE AUDITORIA
Actividades a Realizar
Organigrama
Evacuacin de la organizacin del Centro
Evaluacin de los lenguajes, programas y
dems software utilizados en la empresa.
Evaluar el control para evitar el robo de
informacin.
Evaluar los Manuales de operacin y
procedimientos del sistema.
CONTINUACIN
Evaluar el control de acceso al

sistema as como la restriccin del
acceso a personas no autorizadas
al centro de cmputo.
Evaluar el nivel de prevencin de
virus y proteccin de programas
piratas.
CONTINUACIN
Evaluar la organizacin del

departamento de sistemas.
Evaluar la capacitacin del personal de
sistemas y de los usuarios.
Determinar la actualizacin peridica
respecto a cambios en tecnologa
informtica.

CONTINUACIN
Evaluar los seguros y contratos.

Evaluar el mantenimiento y fianzas.
Revisin del inventario del software,
licencias y componentes internos y externos.

RECURSOS
La auditoria ser realizada por 1 encargado y

dos auxiliares.
El tiempo estimado para la realizacin del
trabajo de campo son 3 semanas y 2 para la
emisin del informe.
Los honorarios que se cobrarn ascendern a
Q.50,000 ms IVA.

INSTRUMENTOS Y HERRAMIENTAS NECESARIOS
Cuestionarios
Entrevistas
Observacin
Conteo fsico (Inventario)
Inspeccin
Confirmacin
Comparacin
SEGUNDA ETAPA
Ejecucin de la auditoria
El trabajo de campo fue realizado del 8

al 28 de febrero.
El dictamen preliminar fue realizado
del 2 al 5 de marzo y presentado para
su discusin el 8 de ese mismo mes.
TERCERA ETAPA
Luego de la discusin del informe, se le

hicieron las modificaciones necesarias.
El 17 de marzo, se present el informe
definitivo a la junta directiva de la
Empresa Juliana, S. A.

INFORME DE CONTROL INTERNO AL 30/06/2014
PUNTO 1
1. TEMA INSTALACIONES
2. HALLAZGO / OBSERVACION
El departamento de IT se encuentra en el Stano de la empresa
3. RIESGO
Existe riesgo de Robo, de dao al equipo por humedad y mala utilizacin del Costo/Beneficio
4. RECOMENDACIN
Implementar control Preventivo
Trasladar el departamento de IT a un punto intermedio de la empresa.
5. ACCIONES
Se trasladara segn planos presentados.
6. FECHA
En el 2016
PUNTO2
1. TEMA REPORTES O DCUMENTOS
2. HALLAZGO / OBSERVACION
Se localizan reportes en las impresoras sin conocer su fuente
3. RIESGO
Existe riesgo de Robo, de perdida de reportes, perdidas de consumibles
4. RECOMENDACIN
Implementar Control Detectivo Cifra control de nmero de documentos.
Implementar Control Preventivo Endoso de documentos
Implementar Control Detectivo impresin por usuario
Implementar Control Disuasivo cartel Quien deje reportes impresos ser sancionado
5. ACCIONES
Se imprimir correlativo y se verificara para emisin de documentos importantes.
Lic. MA Se
Sergiosellara
Arrturo Sosa Rivas -USAC-
el reporte al emitirse para orientar su traslado.
6. FECHA
En septiembre 2015
OTROS PUNTOS
POSIBLES CONTROLES SEGN PUNTO
-CONTROL DETECTIVO INVENTARIOS
-CONTROL PREVENTIVO CONTRASEAS
-CONTROL RECUPERATIVO BACK-UPS O RESPALDO
-CONTROL DETECTIVO ETIQUETAS
-CONTROL DETECTIVO DIGITO DE VERIFICACION
-CONTROL CORRECTIVO LISTADO DE ERRORES E INCONSISTENCIAS
-CONTROL PREVENTIVO FORMAS PRE-IMPRESAS
-CONTROL DETECTIVO ANALISIS DE ANTIGEDAD DE SALDOS


Auditoria de Tecnologia de Informacion

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Auditoria de Tecnologia de Informacion

Încărcat de

Drepturi de autor:

Formate disponibile

AUDITORIA DE

NUEVO ROL DOCENTE DE FACILITADOR

Si 2016 fue el ao del ransomware, 2017

I define jackware as malicious software that

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

La Auditoria de TECNOLOGIAS DE INFORMACION (T.I.), como se le conoce actualmente, (Auditoria

conocimientos cierto y consistente, respondiendo a la acelerada evolucin de la tecnologa informtica de los

evaluacin y aseguramiento de la calidad, seguridad, razonabilidad, y disponibilidad de la Informacin tratada

aceptacin y conocimiento tcnico especfico.

Los servicios de Auditora de Tecnologa de Informacin se encuentran orientados al mercado pro-activo y

de su seguridad e infraestructura tecnolgica.

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

La informacin y la tecnologa es el activo ms valioso de nuevo milenio.

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Emitidas por el International Federation of Accountans (IFAC) a travs del International

Estructura general de las normas internacionales de auditoria

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

El Control Interno conforme COSO es un proceso integrado a los

Eficacia y eficiencia de las operaciones (salvaguarda de activos).

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

CI SLO PUEDE APORTAR UN GRADO

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

POR SU EFECTO: POR SU ESTADO:

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Son aquellos que reducen la frecuencia con que ocurren

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Estos no impiden que ocurra una causa de error, sino que

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-

Lic. MA Sergio Arrturo Sosa Rivas -USAC-