AUDITORIA DE SISTEMAS

AUDITORIA EN INFORMATICA

I. ANTECEDENTES

 La Informtica se enfoc hacia la sistematizacion

de las reas del negocio. (Sistemas de
Informacin).
La informtica cubri todos los niveles de una
empresa o institucin.
La funcin del auditor no es ser un policia.
Se orienta a ser un punto de control, confianza y
un facilitador de soluciones.
Orientacin del auditor: Conducir a la empresa a
la bsqueda permanente de la salud ptima de los
recursos de informtica y de todos aquellos
elementos que se relacionen con ella.

Un poco de actualidad
Todas las actividades de la sociedad buscan
apoyarse en la tecnologa informtica.
Tendencia a obtener una solucin integrada y
actualizada.
El control y seguridad de los recursos de
informtica es una necesidad creciente.
=> Evaluar, formal y peridicamente, la funcin de
informtica integrada al proceso de negocios.

 Las entidades deben contar con controles,

polticas y procedimientos que aseguren a la
alta direccin que los recursos humanos,
materiales y financieros estan adecuadamente
orientados a la rentabilidad y competitividad
del negocio.
La improductividad, mal servicio y carencia de
soluciones totales de la funcin informtica,
fueron, son y seguiran siendo mal de muchas
organizaciones.

Problemas:
Debilidades en la planeacin del negocio (informtica)
Resultados negativos (imporductividad, duplicidad de
funciones, etc) de los SI(Desarrollo, Mto. Operacin).
Falta de actualizacin de personal informtico.
Capacitacin deficiente de los usuarios de los SI
Nulo involucramiento de los usuarios en el desarrollo e
implantaciones de soluciones informticas.
Administracin deficiente de los proyectos( Falta de un
proceso de anlisis costo/beneficio, metodologas de
planeacion y desarrollo no estandarizadas, poco uso de
tcnicas formales, falta proceso formal de planeacin)
Involucramiento mnimo de la alta direccin

Importancia de la auditoria en la
informtica
La tcnologia informtica es una
herramienta que brinda rentabilidad y
ventaja competitiva; pero puede originar
costos y desventajas si no es bien llevada.
Cmo saber si se est administrando y
dirigiendo de manera correcta la funcin
informtica?
Es necesario auditar o evaluar la funcin de
informtica? quines lo haran?.

II. Terminologa de la
auditoria en informtica

2.1 Informtica
Campo que se encarga del estudio y aplicacin prctica de la
tecnologa, mtodos, tcnicas y herramientas relacionados con las
computadoras y el manejo de la informacin por medios electrnicos.
Se divide en grandes ramas o se integra a otros elementos tecnolgicos y
administrativos para fortalecer las empresas.
Sistemas de informacin
Redes locales
Bases de datos
Planeacin informtica
Desarrollo de sistemas
Soporte a usuarios
Investigacin de nuevas tecnologas

 SI: Conjunto de mdulos computacionales o manuales organizados e

interrelacionados de manera formal para la administracin y uso eficiente de
todos los recursos de un rea especifica de la empresa. Pueden orientarse al
apoyo de:
Niveles operativos.
Niveles estratgicos.
Niveles tcticos.
SIE: Proporcionan a la alta direccin una serie de parmetros y acciones
encaminadas a la toma de decisiones que apoyarn en el seguimiento de la
rentabilidad y competitividad respecto de la competencia.
Metodologa: Conjunto de etapas estructuradas de manera que brinden a los
interesados los parmetros de accin en el desarrollo de sus proyectos,
siguientes: Plan general y detallado, tareas y acciones, tiempos, aseguramiento
de calidad, involucrados, etapas, revisiones, responsables, recursos, etc.

 Tcnicas: Procedimientos y pasos ordenados que se usan en el desarrollo de un

proyectos con el propsito de finalizar las etapas definidos en el procesos
metodolgico

Anlisis estructurado
Diseo estructurado
Anlisis costo beneficio
Grficas de Pert
Grficas de Gantt.

Herramientas: Elementos fsicos utilizados para llevar a cabo las acciones y

pasos definidos en la tcnica.
Herramientas de productividad: Optimizan el tiempo de los recursos en el
desarrollo de un proyecto, y se encaminan a proporcionar resultados de alta
calidad.

2.2 Auditoria

Proceso formal y necesario para las empresas con el fin de asegurar que todos
sus activos sean protegidos en forma adecuada.
Conjunto de tareas realizadas por un especialista para la evaluacin o revisin
de polticas y procedimientos relacionados con las siguientes reas:
Administrativas, Financieras, Operativas, Informtica, Crdito, Fiscales (por
disposicin gubernamental)
Tareas:
Estudiar y actualizar permanentemente las reas susceptibles de revisin
Apegarse a la tareas que desempeen las normas, polticas,
procedimientos y tcnicas de auditoria establecidas por los organismos
aceptados a nivel internacional.
Evaluacin y verificacin de las reas requeridas por la alta direccin o
responsables directos del negocio.
Elaboracin del informe (debilidades y recomendaciones).

2.3 Auditoria en informtica

Proceso formal ejecutado por especialistas del rea de auditoria y de
informtica; se orienta a la verificacin y aseguramiento de que las polticas y
procedimientos establecidos para el manejo y uso adecuado de la tecnologa de
informtica se lleven a cabo de una manera oportuna y eficiente.
Actividades ejecutadas por profesionales del rea de informtica y auditoria
encaminadas a evaluar el grado de cumplimiento de polticas controles y
procedimientos correspondientes al uso de recursos de informtica por el personal
de la empresa.
Acciones que realiza el personal especializado en las reas para el
aseguramiento continuo de que todos los recursos de informtica operen en un
ambiente de seguridad y control eficientes.
Proceso metodolgico que tiene el propsito de evaluar todos los recursos
relacionados con la funcin de informtica para garantizar al negocio que este
conjunto opera con criterios de integracin y desempeo de niveles altamente
satisfactorios para que apoyen la productividad y rentabilidad de la organizacin.

III. La Auditora en
informtica y su entorno
1. El entorno en la Informtica.
2. Objetivos del auditor en informtica al
estudiar el entorno y su impacto en el
negocio.
3. Garantizar el apoyo directo a la estrategia
del negocio.

III. La Auditora en informtica y

su entorno
Las actividades de una organizacin afectan sectores
especficos de la sociedad; asimismo, los hechos y
actividades externas al negocio tienen un grado de
impacto en el mismo.
Tales hechos factores externos pueden ser:
Econmicos
Polticos
Culturales
Tecnolgicos
Sociales
Otros.

Los negocios definen estrategias de planeacin

con las que afrontar los factores externos, para
minimizar su impacto negativo o sacar ventaja
estratgica de los mismos.
La Auditora en informtica siendo un proceso
bsico de evaluacin y control en el uso de los
recursos tecnolgicos para el logro de las
estrategias; debe contemplar el entendimiento del
entorno del negocio como parte de sus
actividades primarias.

Tabla 3.1 Entorno

Factor Externo

Acciones de la
empresa

Responsabilidad del
auditor informtica

Comentarios

Adecuacin al uso de Es poltica de la

nuevos mercados (e- empresa la expansin
commerce)
y adaptacin de los
procedimientos y
recursos al uso de
nuevos mercados

Verificar que los

sistemas de
informacin
contemplen esta
disposicin de
manera formal y
oportuna

Emana como una

necesidad, dentro de
la globalizacin

Auge en el uso de la
tecnologa de
comunicaciones va
satlite

Constatar que exista

un proyecto de costobeneficio para
adquirir permisos de
gobierno, as como la
tecnologa que se
requiera para su
implantacin

Con esta accin se

obtiene una ventaja
competitiva. Permite
una integracin ms
eficiente entre las
entidades del
negocio.

Se define como
estratgico que exista
una red satelital entre
empresas y entidades
de la organizacin
por este medio

El entorno en la informtica (I)

La funcin de informtica debe estructurar
sus servicios y proyectos con base en los
requerimientos especficos del negocio
(estrategias del negocio) , apoyndose en el
uso de tecnologa de vanguardia y sus
nuevas tendencias (TICs).

El entorno en la informtica (II)

El auditor en informtica deber verificar la
existencia de un anlisis costo-beneficio en cada
proyecto de inversin orientado a la adquisicin de
nueva tecnologa o estndares para su uso.
Mantendr un proceso de seguimiento de los
recursos de tecnologa, metodologas, tcnicas,
procedimientos y polticas de informtica que
aseguren calidad y productividad en esta rea.

El entorno en la informtica (III)

Las TICs estn en cambio continuo, desarrollando
soluciones ms eficientes; por lo que cualquier
rea que tenga como objetivo operar o evaluar,
estar dispuesta a ejecutar las acciones pertinentes
que aseguren su entendimiento y aprovechamiento
para brindar a la organizacin resultados de alta
calidad y la confianza de que la informacin
seguir cumpliendo los requisitos de control
esperados: exactitud, totalidad, autorizacin,
actualizacin, etc.

En el entorno de la informtica se han desarrollado:

Mejores equipos de cmputo.
Lenguajes de programacin y paquetes de Sw ms
flexibles y dinmicos.
Innovaciones tecnolgicas en telecomunicaciones.
Metodologas, tcnicas y herramientas para la
administracin de la funcin informtica y la
planeacin y desarrollo de sistemas.
Integracin de especialidades profesionales en
asociaciones reconocidas formalmente.

Concepto

Hardware
Mainframes
Minicomputadoras
Microcomputadoras
porttiles
Impresoras
Dispositivos de
almacenamiento
Telecomunicaciones
- datos
- voz
-

Caractersticas

Impacto en el proceso de
auditoria en informtica

Permiten alimentar
procesar, generar,
transmitir y almacenar los
datos de los SI
(estratgicos, tcticos y
operativos del negocio)
El Hw sufre cambios de
manera dinmica; sus
caractersticas de
desempeo y perfomance
han mejorado :
-Almacenamiento
-Procesamiento
-Portabilidad
-Escalabilidad
-Conectividad
-Otros

Utilizacin de los equipos

de computo para consulta,
captura, proceso y generacin de reportes a fin de
evaluar y diagnosticar la
situacin de los sistemas.
Evaluacin de SI y otros
aspectos a travs de
accesos remotos y en lnea.
Auditar cada tarea en el
lugar de los hechos,
Registrar y monitorear
gran cantidad de
actividades inherentes al
uso de computadoras y
equipo de comunicaciones.

Concepto

Caractersticas

Son los elementos lgicos

Por este medio se ha
Ofimtica
(Procesadores de
logrado la sistematizacin
palabras, Hojas de computacional de los
clculo, Graficado- procesos de negocio.
res,Diagramadores En un nivel ms
Especializado
especializado, se ha logrado
Auditora
la sistematizacin de
actividades de desarrollo de
Seguridad
sistemas a travs de las
Desempeo
computadoras y en gran
CASE
medida la planeacin de
Mtodo
sistemas.

Software

Tcnicas
Herramientas

Impacto en el proceso de auditoria

en informtica

El apoyo que brindo al auditor

el personal de informtica, fue
programar rutinas de control y
evaluacin de procesos en los
sistemas computacionales o para
generar reprocesos y respaldos
de la informacin por auditar.
El auditor en informtica se
perfila como el individuo que
domina ambos campos, es el
enlace ideal para la evaluacin
de SI, y el uso eficiente de todos
los recursos, servicios y
productos de informtica en el
negocio.

Una organizacin, tambin esta afectada por otros

factores del entorno.
Por lo que se hace imprescindible que la funcin de
auditora en informtica se mantenga actualizada y
enterada del entorno que rodea a los negocios. Es
necesario documentarse mediante:
- Acceso a BD nacionales e internacionales
- conferencias
- lecturas de boletines, peridicos o revistas especializadas
- incorporacin a asociaciones o colegios especializados,
- contacto permanente con proveedores lderes de productos y
servicios de la tecnologa informtica
- anlisis permanente de los procesos bsicos de negocio y de
sus competidores clave.

Hay que considerar elementos formales para aplicar oportunamente

el cambio organizacional, cultural y tecnolgico, que conlleve
facilitar el reposicionamiento y la competitividad del negocio:
Planeacin estratgica
Evaluacin permanente de los procesos y flujos de datos.
Investigacin de mercado.
Estudio y asimilacin del aspecto social, cultural, poltico,
econmico y tecnolgico del entorno.
Compromiso de todos los niveles de la empresa con la calidad y
satisfaccin del cliente.
Orientar los recursos a los procesos fundamentales del negocio.
Ver el recurso humano como la pieza clave de la organizacin.

Objetivo del auditor en informtica al

estudiar el entorno y su impacto en el
negocio
Evaluar y dar seguimiento oportuno al conjunto de
proyectos de auditoria en informtica que sern
ejecutados en un plazo determinado con el fin de
apoyar las estrategias del negocio, considerando
los factores externos e internos que se relacionan
con la organizacin.
Cada uno de los proyectos deber estar enmarcado
en los lmites definidos para la funcin de AI,
enfocndose al control, seguridad y auditoria en
contacto con la tecnologa informtica.

Garantizar el apoyo directo a las

estrategias del negocio
La Auditoria en informtica se enfoca en evitar la
interrupcin de las operaciones del negocio, al mismo
tiempo busca salvaguardar los activos relacionados de
manera natural con el campo de accin de la informtica.
Los auditores en informtica dirigirn la participacin
directa del personal y usuarios involucrados durante la
auditora.
Cada proyecto de la auditora se orienta al cumpli-miento
de normas, procedimientos y estndares, tanto de
auditora como de informtica, comnmente aceptados.

Garantizar el apoyo directo a las

estrategias del negocio (ii)
El responsable de la funcin de auditora en informtica
(externo o interno) que revise las diferentes reas de
informtica, ha de coordinar con el responsable de la
auditora tradicional (operativa, administrativa,
financiera, etc.), la alta direccin (director o gerente
general) y con el responsable de informtica, mediante
reuniones formales y peridicas, con objeto de lograr
objetivos comunes para el bien del negocio.

IV. ORGANIZACION
1. Estrategias y cursos de accin para la
implantacin formal de la funcin de auditoria
en informtica.
2. Estructura organizacional y funciones de la
auditoria en informtica.
3. Administracin de la funcin de auditoria en
informtica.
4. Elementos de la administracin de la funcin.
5. Hacia una auditora informtica eficiente.

4.1 Estrategias y cursos de accin para la implantacin formal de la funcin de auditoria en informtica
Estrategias
1.Formalizar la AI en la organizacin, a travs de :
*Cursos de Accin justificados
*Documentos de justificacin a Alta Direccin
*Difusin de la AI en las reas relacionadas
*Desarrollo del proceso de AI
2. Auditoria Permanente para garantizar a la Alta Direccin:
*Seguridad, Polticas y procedimientos de los recursos de
informtica, eficientes y confiables.
*Apoyo a los objetivos del negocio.
*Verificacin del uso de la Tecnologa en el negocio.
*Proceso de Evaluacin y justificacin de los pys informa
*Elaboracin y desarrollo de un proceso de planeacin
informtica, orientado al plan de negocio.
*Uso de Metodologas, Tcnicas, Herramientas.
*Personal: ambiente de Profesionalismo y productividad

 Cursos de Accin
1.Alta Direccin,usuarios y personal: conciencia de la necesidad de AI, para
el uso eficiente de los recursos.
2.Formalizar un procedimiento que divulgue los planes, objetivos, beneficios
y reas de oportunidad que representa la AI.
3.Compromiso del personal y usuarios con el proyecto de AI.
4.Planeacin y desarrollo del proceso de AI, previa aprobacin.
5.Proceso de Planeacin: Proyectos: Prioridades: Calidad/eficiencia
*Justificar expectativas: involucrar reas
*Planear detalladamente: responsables directos
*Responsable AI: Presentacin ejecutiva
*Reunin formal: Jefes de rea, exponer:
a) Antecedentes
b) Justificacin
c) Objetivos y alcances
d) Etapas
e) Productos Terminados
f) Fechas de Revisin formales e informales
g) Funciones y responsabilidades
h) Costes-Beneficios

5. Coordinar reuniones con los responsables e involucrados.

6. Ejecutar de manera formal y oportuna cada py.
7. Informes ejecutivos y detallados a la alta direccin.
8. Los involucrados deben reconocer la importancia de su aporte.
9. Investigar, analizar, actualizar y formalizar la metodologa de
AI: considerar requerimientos, procedimientos y estndares.
10. Capacitar permanentemente al personal de AI.
11. Adaptarse a los estndares nacionales e internacionales.
12. Orientar los esfuerzos al objetivo del negocio.

4.2. Estructura Organizacional y funciones

de la Auditoria en informtica

Ubicacin jerrquica de la funcin

1.
2.
3.
4.

Alta Direccin debe entender que la auditoria es independiente

jerrquicamente: control y seguridad.
Apoyo y participacin de todas las reas
La AI se establece en un nivel Estratgico, nunca Operativo.
AI Externa: Seguimiento, coordinacin y apoyo alta direccin.

Tipos de estructuras donde se ubica la AI

1. En el alto nivel Organizacional
2. Se subordina jerrquicamente a una direccin (admin/informat)
3. Objetivo de la Alta Direccin: Asegurar el desempeo oportuno
y eficiente de las actividades de AI, con:
Independencia funcional, Libertad de accin, Facultad para la
toma de decisiones, Negociacin, Involucramiento.

Caractersticas y consideraciones que

pueden darse al estructurar formalmente
la funcin de AI (i)
Nivel

Caractersticas

Ventajas

Desventajas

Estratgico
(Equipo de
Apoyo de la
Direccin)

Independencia
funcional
Proceso
Estratgico
Compromiso con
alta direccin
En Instituciones
y empresas
financieras ,
crdito, etc.
Personal con
visin del negocio

Comunicacin
formal y
permanente
Apoyo y
soporte de Alta
Direccin
Objetividad
Formalizacin
de polticas,
controles y
procedimientos

Seguimiento de
alta direccin:
Complejo
No se acepta AI
No existen
especialistas
(experiencia,
tcnicas y
habilidades)

Caractersticas y consideraciones que pueden

darse al estructurar formalmente la funcin de
AI (ii)
Nivel

Caractersticas

Nivel Tctico No hay

independencia
(gerencias,
funcionales con
jefaturas)
otras direcciones
Est en diversos
sectores de la
comunidad
Se limita al estilo
del trabajo del
nivel superior

Ventajas

Desventajas

Funcin
indispensable
para Alta
direccin
(polticas y procedimientos)
Contacto con
los que toman
decisiones
Impulso para
formalizacin

Dbil
compromiso de
la alta direccin
Menor % de
empresas
considera
importante
funcin a este
nivel
No especialistas

Estructura Organizacional
Ubicacin de la Auditoria en informtica:
rea de Auditoria/rea de Informtica
Funciones de la Auditoria en Informtica
1.Funciones Mnimas:
*Evaluacin y verificacin de los controles y procedimientos
relacionados con la funcin informtica.
*Validacin de controles y procedimientos utilizados (evaluacin,
verificacin e implantacin oportuna.
*Utilizacin de los recursos de informtica de acuerdo a las polticas de
la organizacin.
*Desarrollar la AI conforme a normas y polticas estandarizadas.
*Evaluar y justificar las reas de riesgo de la funcin de informtica.
*Elaborar un plan de AI
*Aprobacin y difusin del plan de AI: compromiso involucrados
*Administrar o ejecutar los proyecto del plan de AI

Probables escenarios de la funcin de auditoria en informtica

rea
supeditada

Consideraciones de la
funcin

Ventajas

Desventajas

Direccin o
Gerencia de
auditoria

Independiente de la
funcin informtica
Integracin de los
controles y polticas de
informtica al resto

Objetividad en el
desempeo
Planeacin y
desarrollo conjunto
Control y seguim.

No aceptacin de la
evaluacin
Puede desconocer el
alcance y misin del
rea informtica.

Direccin o
Gerencia de
informtica

Dependencia funcional
con el Director
Director: Negociador /
impulsador de la AI

Se facilita apoyo
Conocim.proyecto
Concientizacin
polticas y control

Incertidumbre por
los problemas de la
funcin informt.
Enfoque limitante.

Personal de
Apoyo de la
Direccin
General

Funcin estratgica
Apoyo Alta direcc.
Responsable: visin neg Compromiso
Compromiso,valor agre formal de las reas
Justifica perfil AI

Alta direcc autoriza

y da seguimiento al
desempeo informt.
Orientan los
proyectos Informt.

Funcin de
AI Externa

Coordina A. Direccin
Amplia experiencia
Evaluar su desempeo

Fugas de informac.
> costo y tiempo
Soluc. no adecuadas
Comprom. Formal

Tcnicas y estand.
Nivel profesional+
Independen/tica
Exige resultados

4.3 Administracin de la Funcin de

Auditoria en informtica

Garantizar que los recursos involucrados obedezcan los

principios bsicos de un proceso administrativo, como: la
planeacin, el personal , el control y el seguimiento del
desempeo.
Objetivos principales de la administracin de AI:
1. Cubrir y proteger los riesgos informticos
2. Asegurar los recursos sean orientados al logro de objetivos
3. Asegurar la formulacin, elaboracin, difusin y
cumplimiento de las polticas, funciones y procedimientos
4. Asegurar resultados esperados por el negocio
5. Para el xito: Elaborar y formalizar planes, organizar la
funcin, dirigir, revisar y evaluar el desempeo.

Conocimiento o Habilidades requeridas para

la administracin y desarrollo de la Auditoria
en informtica
Concepto

Responsable de
Auditoria

Supervisor de
Auditoria

Auditor

Planeac. de sist.

Alto

Alto

Bueno

Desarro.de sist.

Mnimo

Alto

Alto

Alto

Alto

Regular

Bueno

Alto

Alto

Regular

Bueno

Alto

1.Conceptual

Regular

Alto

Alto

2.Computacional

Mnimo

Alto

Alto

Metodologa

Tcnicas
Anlisis
1.Organizacional
2.Sistemas
3.Computacional
Diseo

Costo/Beneficio

Alto

Alto

Alto

Mnimo

Bueno

Alto

1.Ejecutiva

Alto

Alto

Bueno

2.Detallada

Mnimo

Bueno

Alto

Entrevista

Alto

Alto

Alto

Bueno

Alto

Bueno

Alto

Alto

Alto

1.Comunicaciones

Regular

Bueno

Alto

2.CASE

Regular

Bueno

Alto

3.EDI

Regular

Bueno

Alto

4.Multimedia

Regular

Bueno

Alto

5.Otros

Regular

Bueno

Alto

1.Creatividad

Bueno

Bueno

Bueno

2.Abstraccin

Alto

Bueno

Bueno

3.Responsabilidad

Alto

Alto

Alto

Mod. Datos y Procesam.

Documentacin

Cuestionarios
Otras Tcnicas
Controles , polticas y
estndares

reas de Especializac.

Habilidades o virtudes

4.4 Elementos de la administracin de la

funcin

Planificacin
1.
2.
3.
4.

Desarrollar una matriz de la planeacin de AI para

determinar las reas que sern evaluadas.
Tener informacin de los sistemas, equipos, Sw, planes de
informtica y de auditoria, actuales.
Coordinar los planes con Gerencia de Auditoria interna
Componentes de xito de la Planeacin:
*Juntas formales de discusin de planes peridicas.
*Seguimiento de deficiencias y debilidades
*Reportes de Auditoria y aseguramiento de calidad
*Capacitacin conjunta
*Metodologa, tcnicas y herramientas comunes.

Personal
1. Polticas de seleccin y reclutamiento
2. Preparacin suficiente y confiable Informtica/Auditora
3. Personal con experiencia, educacin, adaptabilidad,
entendimiento, determinacin y diligencia.
4. Establecer el nmero de auditores y horas de auditora
Control
1. Supervisin oportuna garantiza un producto consistente
2. Ayuda en el desarrollo y control de los presupuestos
3. Es un proceso continuo, desde la planeacin hasta el
informe final
4. Verificacin con los estndares y procedimientos.
Reportes de desempeo
1. Herramientas muy importantes para evaluar:

Productividad y calidad de los proyectos

Resultados
Avances de los proyectos
reas susceptibles de control y seguimiento individual y de
grupo.

4.5 Hacia una Auditoria en Informtica

Eficiente
Clave:
Conocimiento, habilidades y capacidades profesionales
y personales del auditor informtico.
Conocer tericamente normas, polticas y estndares de
auditora/informtica, no son garanta de seguridad y
confianza
Experiencia: Prctica, Disciplina, Orden y Objetividad
Facultades apropiadas de: anlisis objetivo, habilidades
de comunicacin y modelacin conceptual, observacin
y capacidad para tomar decisiones.

V. PLANEACIN
1.
2.
3.
4.

Proceso de planeacin del negocio.

Proceso de planeacin en informtica.
Proceso de planeacin de la auditora.
Proceso de planeacin de la auditora en
informtica.