Unidad 1.

Introduccin

Auditora de Sistemas
 AUDITORIA
CONCEPTO:
La palabra auditoria viene del latn
auditorius y de esta proviene auditor, que
tiene la virtud de or y revisar

Auditoria: Es una disciplina expresada

en conceptos, normas, tcnicas,
procedimientos y metodologas, que
tiene como objetivo examinar y evaluar
determinada realidad, para emitir una
opinin sobre un aspecto o la totalidad
del objeto estudiado.
AUDITORIA DE SISTEMAS
CONCEPTO:

Es la revisin y evaluacin de los

controles, sistemas, procedimientos de
informtica; de los equipos de computo,
su utilizacin, eficiencia y seguridad, de
la organizacin que participan en el
procesamiento de la informacin, a fin
que por medio del sealamiento de
cursos alternativos se logre una
utilizacin mas eficiente y segura de la
informacin que servir para una
adecuada toma de decisiones.
AUDITORIA DE SISTEMAS

CONCEPTO:

Es el proceso de recoger, agrupar y

evaluar evidencias para determinar si un
sistema informatizado salvaguarda los
activos, mantiene la integridad de los
datos, lleva a cabo eficazmente los fines
de la organizacin y utiliza
eficientemente los recursos
 AUDITORIA DE SISTEMAS
Objetivos generales de la Auditoria de
sistemas informticos:

Asegurar una mayor integridad, confidencialidad y

confiabilidad de la informacin.

Seguridad del personal, los datos, el hardware, el

software y las instalaciones.
Minimizar existencias de riesgos en el uso de
Tecnologa de informacin
Conocer la situacin actual del rea informtica
para lograr los objetivos.
OBJETIVOS
Apoyo de funcin informtica a las metas y
objetivos de la organizacin.

Seguridad, utilidad, confianza, privacidad y

disponibilidad en el ambiente informtico.
Incrementar la satisfaccin de los usuarios de los
sistemas informticos.

Capacitacin y educacin sobre controles en los

Sistemas de Informacin.

Buscar una mejor relacin costo-beneficio de

los sistemas automticos.
Decisiones de inversin y gastos innecesarios.
SNTOMAS DE NECESIDAD DE
UNA AUDITORIA INFORMTICA:

Las empresas acuden a las

auditorias externas cuando
existen sntomas bien
perceptibles de debilidad.
Estos sntomas pueden
agruparse en clases:
Sntomas de descoordinacin y
desorganizacin:

No coinciden los objetivos de la Informtica

de la Compaa y de la propia Compaa.

Los estndares de productividad se desvan

sensiblemente de los promedios conseguidos
habitualmente.
Sntomas de mala imagen e insatisfaccin
de los usuarios:

-No se atienden las peticiones de cambios

de los usuarios. Ejemplos: cambios de
Software en los terminales de usuario,
variacin de los ficheros que deben
ponerse diariamente a su disposicin, etc.
- No se reparan las averas de Hardware
ni se resuelven incidencias en plazos
razonables. El usuario percibe que est
abandonado y desatendido
permanentemente.
- No se cumplen en todos los casos los
plazos de entrega de resultados
peridicos. Pequeas desviaciones
pueden causar importantes desajustes en
la actividad del usuario, en especial en los
resultados de Aplicaciones crticas y
sensibles.
Sntomas de debilidades econmico-
financiero:

- Incremento desmesurado de costes.

- Necesidad de justificacin de Inversiones
Informticas (la empresa no est
absolutamente convencida de tal necesidad y
decide contrastar opiniones).
- Desviaciones Presupuestarias significativas.
- Costes y plazos de nuevos proyectos (deben
auditarse simultneamente a Desarrollo de
Proyectos y al rgano que realiz la peticin).
Sntomas de Inseguridad: Evaluacin de
nivel de riesgos

- Seguridad Lgica
- Seguridad Fsica
- Confidencialidad

Los datos son propiedad inicialmente de la

organizacin que los genera. Los datos de
personal son especialmente confidenciales

Centro de Proceso de Datos fuera de

control. Si tal situacin llegara a percibirse,
sera prcticamente intil la auditoria. Esa
es la razn por la cual, en este caso, el
sntoma debe ser sustituido por el mnimo
indicio.
 RIESGO

Son errores o irregularidades que

pueden causar daos a los estados
financieros de una organizacin.
 RIESGO DE AUDITORIA
Es la posibilidad de que se omita un
informe inadecuado, por no haberse
detectado errores o irregularidades
significativas a travs del proceso de
auditoria.
 CONTROLES

Es una serie de normas, tcnicas y

procedimientos, a travs de las
cuales se mide y corrige el
desempeo de una actividad para
asegurar la consecucin de los
resultados esperados.
 TIPOS DE AUDITORIA
Entre los principales enfoques de
Auditora tenemos los siguientes:
Financiera:
Veracidad de estados financieros.
Preparacin de informes de acuerdo a principios contables.

Es un proceso cuyo resultado final es la emisin de un informe, en

el que el auditor da a conocer su opinin sobre la situacin
financiera de la empresa, este proceso solo es posible llevarlo a
cabo a travs de un elemento llamado evidencia de auditoria, ya
que el auditor hace su trabajo posterior a las operaciones de la
empresa.
Operacional
Evala la eficiencia
Eficacia.
Economa.
De los mtodos y procedimientos que rigen un proceso de una
empresa.

Es el examen posterior, profesional, objetivo y sistemtico de la totalidad o

parte de las operaciones o actividades de una entidad, proyecto, programa,
inversin o contrato en particular, sus unidades integrantes u operacionales
especficas.

Su propsito es determinar los grados de efectividad, economa y eficiencia

alcanzados por la organizacin y formular recomendaciones para mejorar las
operaciones evaluadas. Relacionada bsicamente con los objetivos de
eficacia, eficiencia y economa.
Sistemas
Se preocupa de la funcin informtica.

Se ocupa de analizar la actividad que se conoce como

tcnica de sistemas en todas sus facetas. Hoy, la importancia
creciente de las telecomunicaciones ha propiciado que las
comunicaciones. Lneas y redes de las instalaciones
informticas, se auditen por separado, aunque formen parte
del entorno general de sistemas.
Su finalidad es el examen y anlisis de los procedimientos
administrativos y de los sistemas de control interno de la
compaa auditada.
Fiscal
Se dedica a observar el cumplimiento de las leyes fiscales.

La auditora fiscal es el proceso sistemtico de obtener y

evaluar objetivamente la evidencia acerca de las afirmaciones
y hechos relacionados con actos y acontecimientos de
carcter tributario, a fin de evaluar tales declaraciones a la
luz de los criterios establecidos y comunicar el resultado a las
partes interesadas; ello implica verificar la razonabilidad con
que la entidad ha registrado la contabilizacin de las
operaciones resultantes de sus relaciones con la hacienda
pblica, su grado de adecuacin con Principios y Normas
Contables Generalmente Aceptados, debiendo para ello
investigar si las declaraciones fiscales se han realizado
razonablemente con arreglo a las normas fiscales de
aplicacin.
Administrativa
Logros de los objetivos de la Administracin.
Desempeo de funciones administrativas.

Es el revisar y evaluar si los mtodos, sistemas y

procedimientos que se siguen en todas las fases del
proceso administrativo aseguran el cumplimiento con
polticas, planes, programas, leyes y reglamentaciones
que puedan tener un impacto significativo en operacin
de los reportes y asegurar que la organizacin los este
cumpliendo y respetando.
Calidad
Mtodos
Mediciones.
Controles de los bienes y servicios.
La auditora de calidad es una herramienta de gestin
empleada para verificar y evaluar las actividades
relacionadas con la calidad en el seno de una organizacin.
Organizaciones de todo tipo pueden tener la necesidad de
demostrar su responsabilidad con el sistema de gestin de
calidad implantado (SGC) y la prctica asociada de
Auditoria de calidad se ha tornado como una forma de
satisfacer esta necesidad. La intencin de estos sistemas es la
de ayudar a una organizacin a establecer y mejorar sus
polticas, objetivos, estndares y otros requerimientos de
calidad.
Social
Revisa la contribucin a la sociedad as como la
participacin en actividades socialmente orientadas

La auditora social es un proceso que permite a una

organizacin evaluar su eficacia social y su
comportamiento tico en relacin a sus objetivos, de
manera que pueda mejorar sus resultados sociales y
solidarios y dar cuenta de ellos a todas las personas
comprometidas por su actividad
 CAMPO DE ACCIN DEL AUDITOR
INFORMATICO:

La evaluacin administrativa del departamento de procesos

electrnicos

La evaluacin de los sistemas y procedimientos y la

eficiencia que se tiene en el uso de la informacin

La evaluacin del proceso de datos y de los equipos de

cmputo

Para logra los puntos antes sealados necesita: Evaluacin

administrativa del departamento de informtica
 PROCESO GENERAL DE
AUDITORIA
El inters principal no radica en las transacciones
y saldos individuales sino en los estados
financieros en su conjunto. La auditoria no
comienza con el examen de las transacciones o
documentos individuales, comienza centrndose
en el tipo de negocio de la empresa, en su
organizacin, en la forma en que funcionan sus
reas importantes, de que manera son dirigidas,
controladas y registradas sus transacciones.
ETAPAS DEL PROCESO DE
AUDITORIA

PLANIFICACIN

EJECUCIN

FINALIZACIN
 Metodologa de
auditora informtica
Alcance y objetivos
Estudio inicial del entorno auditable
Determinacin de los recursos
Elaborar plan y programa de trabajo
Actividades de auditora
Informe final
Carta de presentacin del informe
 Herramientas para
Auditora informtica
Cuestionarios
Entrevistas
Check list (de rango y binario)
Trazas
Software de interrogacin
Consideraciones para el
xito del anlisis crtico
Estudiar hechos y no opiniones (no se
toman en cuenta los rumores ni la
informacin sin fundamento)
Investigar las causas, no los efectos.
Atender razones, no excusas.
No confiar en la memoria, preguntar
constantemente.
Criticar objetivamente y a fondo todos los
informes y los datos recabados.
 Investigacin
preliminar
No tiene y se necesita.
No se tiene y no se necesita.
Se tiene la informacin pero:
No se usa.
Es incompleta.
No est actualizada.
No es la adecuada.
Se usa, est actualizada, es la adecuada
y est completa
 Informe
Despus de realizar los pasos
anteriores y de acuerdo a los
resultados obtenidos, el auditor
realizar un informe resultante con
observaciones y/o aclaraciones para
llevar a cabo dentro de las reas
involucradas para el mejor
funcionamiento del sistema.
 Auditoria de Datos
La auditora de datos habilita a una
organizacin la identificacin de quien
crea, modifica, elimina y accede los
datos, cuando y como son accedidos.
O bien, la estructura de los datos.
La sola existencia de auditora de
datos tiene un efecto disuasivo en los
intrusos de los datos.
Auditoria de datos: una
forma de vida
Su presencia debe ser parte integral
de las operaciones de los servicios
informticos en una organizacin en el
da a da.
 Auditora de datos:
Mejores prcticas
Responsabilidad segregada
El equipo responsable de auditar un sistema debe ser
distinto a aquel que lo administra y lo utiliza
Mantener el Sistema de Auditora de Datos
Independiente
Nada ni nadie debe ser capaz de alterar un log de
auditora
Hacerla Escalable, Ampliable y Eficiente
La plataforma de auditora de datos debe acomodarse
al crecimiento y la adicin de nuevas fuentes de datos
 Hacerla Flexible
Los requerimientos de auditora cambiarn;
asegrese que se pueda responder rpida y
fcilmente a esos cambios desplegando un
marco de auditora flexible
Gestin Centralizada
Una plataforma de auditora de datos debe
ser capaz de auditar mltiples bases de datos
en mltiples servidores fsicos
 Asegurar la Plataforma de auditora de
Datos
La plataforma de auditora por si misma no
debe tener puertas traseras de acceso a
sus propios datos ni permitir el acceso por
dichas puertas traseras a los datos de
cualquiera de las bases de datos que
monitorea.
Identificacin de los Datos
Se debe establecer y mantener un inventario
de todos los datos, incluyendo aquellos
provenientes de fuentes externas
 Anlisis de los Datos
Determine los roles, vulnerabilidades y
responsabilidades relativas a todos los datos.
Hacerla Completa
La poltica de auditora de datos necesita
abarcar todos los datos dentro de una
organizacin, incluyendo todos los datos de
aplicacin, los datos de comunicaciones
incluyendo los registros de correos
electrnicos y mensajes instantneos,
registros de transacciones y toda la
informacin que pasa hacia o alrededor de
 Habilitacin de Reportes y Anlisis
Establecimiento de Patrones de Uso
Normal
Establecimiento de una Poltica de
Documentacin y Revisin
La auditora de datos implementada
directamente para satisfacer mandatos de
reguladores debe referirse directamente a los
elementos de las regulaciones que satisface:
(Sarbanes-Oxley, HIPAA, GLBA, etc.).
 Monitorear, Alertar, Reportar
Dependiendo del riesgo, se deben atar los eventos o
datos anormales a los sistemas de alerta y, en algunos
casos disparar alarmas en tiempo real.
Incrementar y Complementar la Seguridad
La auditora de datos incrementa y complementa los
niveles de la seguridad de los sistemas de IT
Respaldo y Archivo
Los LOG de Auditora, por si mismas, deben ser
respaldadas y lo ideal, almacenadas en una sitio
remoto
 Crear Procedimientos para la Operacin
y para la Recuperacin ante Desastres
Es necesario crear polticas y procedimientos
que gobiernen cmo se accede a las pistas
de auditora y cmo se recuperan los datos
perdidos
Todas las operaciones de recuperacin
tambin deben ser auditadas.
 Conclusin
El acceso no autorizado o cambios
desconocidos a los datos de una organizacin
pueden debilitar o arruinar una empresa.
El robo, error, prdida, corrupcin o fraude de
los datos puede costarle a una compaa su
reputacin, sus ganancias, o ambos.
La auditora de datos no solamente protege los
datos de una organizacin, sino que asegura la
responsabilidad, la recuperacin y la longevidad
de los sistemas que dependen de los datos.