Auditoria Sistemas Clase 2018-2019 (Autoguardado)

Auditor
 “Del latín. Auditor, oris s. m 1. Persona capacitada para realizar

auditorías en empresas u otras instituciones. Pertenece a un
colegio oficial [...] 3. Auditor de guerra. Funcionario miembro del
cuerpo jurídico del ejército que informa en los tribunales militares
sobre la interpretación o aplicación de las leyes. 4. [...] auditor de la
Rota. Ca- da uno de los doce miembros del tribunal romano de la
Rota.”6
 “F. Auditeur; It. uditore; In., C. P. uditor; A.; Zahöurer[....]

Del latín uditor; el que oye, del verbo audire. Oír. Anteriormente,
oyente.”7
Auditoría:
 “[...] Supervisión de las cuentas de una empresa, hecha por

decisión de un tribunal o a instancias de particular.”8
 “[...] Revisión a la economía de una empresa [...]”9
 “[...] Revisión de cuentas [...]”10
 “1. Profesión de auditor. 2. Despacho o tribunal del auditor. 3.

Revisión de cuentas, examen y evaluación de la situación
financiera y administrativa de una institución o empresa,
realizados por especialistas ajenos a la misma.”11
 “[...] Empleo, cargo de auditor. Tribunal o despacho de auditor.”

Contabilidad vs. Auditoría
 La Auditoría y la Contabilidad tienen diferencias y

similitudes, aunque muchos contadores utilizan los dos
términos indistintamente. Las dos palabras implican
procesos separados, que una empresa debe realizar para
preparar y supervisar sus datos financieros, y garantizar que
la información financiera presentada a los usuarios, sea
confiable, integra y objetiva. La contabilidad proporciona
información financiera para los usuarios de dicha
información (Internos o externos), y la auditoría garantiza y
asegura que dicha información es confiable y que ha sido
preparada de acuerdo con las normas y reglamentos
establecidos.

Contabilidad
 El principal objetivo de la contabilidad es proporcionar la
información financiera de una empresa o entidad, la cual
debe ser clara, completa y fiable sobre sus actividades
económicas, y la situación de sus activos y pasivos. Estas
informaciones se presentan en forma de informes
financieros, como el balance general, estado de resultados,
estado de cambios en el patrimonio neto (también llamado
estado patrimonio neto), y el estado de flujos de efectivo.
 Los usuarios internos de los informes contables son
gerentes, propietarios y empleados. Los usuarios externos
de los informes contables son los inversionistas, acreedores
y el gobierno.

Contabilidad en el caso de la teneduría de libro, implica el
manejo de las transacciones financieras diarias de una
empresa. Esto incluye funciones muy diversas que van
desde los registros de las entradas de los ingresos, como
también los pagos salientes. Algunas de las funciones
incluyen las cuentas por cobrar, conciliación bancaria,
Preparación de los estados financieros, cuenta por pagar,
tesorería, entre otras

Auditoría
 La auditoría es el proceso de examinar los estados
financieros y los registros subyacentes de la empresa con el
fin de emitir una opinión sobre si los estados financieros
están presentados razonablemente y han cumplido con las
normas contables (NIC/NIIF). Por lo general, las auditorías
financieras se realizan a petición de una empresa para
garantizarle la integralidad y objetividad de la información a
los diferentes usuarios (es decir, internos y externos). El
principal objetivo de una auditoría es llevar a cabo la
evaluación a fondo de los registros financieros de una
empresa y proporcionar los informes con recomendaciones
de mejora sobre la base de esa evaluación.
 El proceso de auditoría es un examen en profundidad de
cada transacción financiera realizado por un contador o
firma de contabilidad, cumpliendo las normas de auditoría (
NIAS/NAGAS), y abarca el total de las cuentas contable al
cierre de año. Tras la finalización de la auditoría
independiente, el auditor culmina con la emisión de un
documento, denominado dictamen, en el cual se expresa su
opinión acerca del cumplimiento de la información
financiera que evalúa con las normas de contabilidad
aplicables a la misma, si éstos son razonablemente
presentados o no”.
A continuación algunos
tipos de auditorías:
 Auditoría Financiera: es el examen que realiza el auditor
para ofrecer el máximo nivel de seguridad de que los
estados financieros se ajustan las normas de contabilidad
(NIC/NIIF).
 Auditoría de Cumplimiento: es la auditoría que averigua si

la empresa ha cumplido con algunos criterios establecidos
en las leyes y regulaciones.
 Auditoría Operacional: es el análisis de un departamento o

de otra unidad de negocios o empresa gubernamental para
medir la eficacia y la eficacia y la eficiencia de sus
operaciones.
 Auditoria Forense: es una especialidad dentro de la

contabilidad con el objetivo de investigar y prevenir posibles
fraudes y otros actos ilegales.
Diferencias y Similitudes
 Hay varias diferencias entre la contabilidad y la auditoría.
Una diferencia importante es que la auditoría comprueba el
proceso de contabilidad para determinar su validez y
razonabilidad, y si esta se realiza de acuerdo a las normas
contables establecida. Otra diferencia es: que la contabilidad
es un proceso diario, mientras que una auditoría se suelen
realizar anualmente o trimestralmente. Otra diferencia es
que la contabilidad es compilada por los empleados de la
empresa, mientras que una auditoría se realizar por un
auditor o firma independiente, sin vínculos financieros con
la empresa, aunque en muchas empresas existe el
departamento de auditoría interna, pero la función de estos
auditores es verificar los cumplimientos del control interno
y las políticas de la empresa.
 Entre las similitudes entre de la contabilidad y la auditoría,
podemos decir que requiere un conocimiento profundo de
los procedimientos y normas de contabilidad, y se realiza
por profesionales de la contabilidad. Un auditor general,
será un contador que tenga conocimientos sobre los
procedimientos y normas de auditoría. Otra similitud:
ambos procesos tienen por objeto garantizar que los
registros de la empresa reflejen con exactitud su situación
financiera.
 Muchos expertos en la materia están de acuerdo, en que
auditor debe tener más conocimiento que el contador, ya
que el mismo debe conocer las normas contables
(NIC/NIIF), como también las normas de auditorías
(NAGAS/NIAS), y en muchos casos debe también tener
conocimiento sobre las leyes, normas y regulaciones
establecidas por las diferentes autoridades.
 Principios de Auditoría
Autor: O.Ray Whittington. Kurt Pany
 NAGAS y NIAS
 Contabilidad ( Undécima edición)
 Irwin- McGraw-Hill
CIVILES por delitos e infracciones debidos a
negligencia, impericia, abuso de confianza o dolo, tanto
en los resultados encontrados como en la realización de
la auditoría misma
 En el dictamen de auditoría, el auditor puede establecer las posibles
infracciones, delitos y transgresiones que llegara a detectar por parte de
ejecutivos o empleados en perjuicio de los bienes de la empresa o de
terceros. Por esta razón, las observaciones que reporte siempre deben
estar perfectamente asentadas y formalmente comprobadas, ya que puede
darse el caso de que tenga que presentar dichas observaciones como
evidencias de los hechos reportados. Incluso se pueden aprovechar los
resultados de este documento para corroborar la comisión y existencia de
algún ilícito.
 Por otro lado, y derivado del resultado de la emisión del informe, también
se pueden fundamentar acusaciones en contra del auditor que realizó la
auditoría, ya sean por supuestas o verdaderas acciones de negligencia
profesional, impericia en el desempeño de las actividades encomendadas,
abuso de confianza, actuación con dolo o cualquier otra infracción que el
auditor cometa en detrimento de la institución a la que está auditando
PENALES por delitos de fraude, robo, abuso de
confianza, encubrimiento, revelación del secreto y
responsabilidad profesionales por parte
del auditado y del propio auditor
 La afectación a los bienes patrimoniales de una empresa puede ser alguno
de los resultados de un dictamen de auditoría, debido a que con la
aplicación de exámenes y métodos de revisión a los resultados, las
operaciones y actividades de dicha empresa, se pueden evidenciar
deficiencias en el manejo de los bienes institucionales, lo cual sería delito
penal en caso de que sean voluntarias, o negligencias en caso de ser
involuntarias; este caso puede tener como consecuencia responsabilidad
civil, pero también puede convertirse en penal.
 Por eso el dictamen del auditor es tan importante, ya que con él se
pueden evidenciar delitos de carácter penal, tales como fraudes a los
bienes de la institución, robos en todos los sentidos, abuso de confianza,
encubrimiento de acciones fraudulentas, revelación de secretos
profesionales y otros delitos de similar afectación patrimonial, los cuales
son cometidos tanto por el personal auditado como por el propio auditor
al no reportarlos.
LABORALES Por las faltas detectadas al
reglamento interno de la institución
 Además de que las situaciones determinadas por el auditor
pudieran ser consideradas como delitos de tipo penal, fiscal,
civil o judicial, según los resultados de su evaluación a las
actividades y operaciones que se realizan en la empresa,
también se pueden determinar otro tipo de deficiencias, no
tan graves, pero que pueden provocar algunas infracciones
que afectan a la Ley
Criterios y responsabilidades del auditor en
la presentación de resultados a terceros
 Accionistas e inversionistas de la empresa auditada
 Funcionarios, empleados y trabajadores de la empresa

auditada
 Acreedores y proveedores de la empresa auditada
 Autoridades, municipales, estatales

Normas permanentes de carácter
profesional
 Emitir una opinión responsable y profesional respaldada en evidencias
comprobadas
 Mantener una disciplina profesional
 Guardar el secreto profesional
 Tener independencia mental
 Contar con responsabilidad profesional
 Capacitación y adiestramiento permanentes
 Hacer una planeación de la auditoría y de los programas de evaluación
 Hacer la presentación del dictamen por escrito, así como la aclaración de

diferencias
Clasificación de los tipos de
auditorías
 Auditorías por su lugar de aplicación
 • Auditoría externa
 Es la revisión independiente* que realiza un profesional de la

auditoría, con total libertad de criterio y sin ninguna
influencia, con el propósito de evaluar el desempeño de las
actividades, operaciones y funciones que se realizan en la empresa
que lo contrata, así como de la razonabilidad en la emisión de sus
resultados financieros. La relación de trabajo del auditor es
ajena a la institución donde se aplicará la auditoría y esto le
permite emitir un dictamen libre e independiente.
Ventajas
 Al no tener ninguna dependencia de la empresa, el trabajo de estos
auditores es total- mente independiente y libre de cualquier
injerencia por parte de las autoridades de la empresa auditada.
 Estas auditorías tienen gran aceptación en las empresas para

certificar registros contables, impuestos y resultados financieros.
Además, sus dictámenes pueden ser vá- lidos para las autoridades
impositivas, y con ello pueden satisfacer requisitos de carác- ter
legal, siempre que sean realizadas por auditores de prestigio que
tengan el reconocimiento público.
Desventajas
 La principal desventaja es que, como el auditor conoce poco la
empresa, su evaluación puede estar limitada a la información que
pueda recopilar.
 Dependen en absoluto de la cooperación que el auditor pueda

obtener de parte de los auditados.
 Su evaluación, alcances y resultados pueden ser muy limitados.
 Muchas auditorías de este tipo se derivan de imposiciones fiscales

y legales que pueden llegar a crear ambientes hostiles para los
auditores que las realizan.
 En algunos casos son sumamente costosas para la empresa, no sólo

en el aspecto numerario, sino por el tiempo y trabajo adicional que
representan.
• Auditoría interna
 Es la revisión que realiza un profesional de la auditoría, cuya
relación de trabajo es directa y subordinada a la institución
donde se aplicará la misma, con el propósito de evaluar en forma
interna el desempeño y cumplimiento de las actividades,
operaciones y funciones que se desarrollan en la empresa y sus
áreas administrativas, así como evaluar la razonabilidad en la
emisión de sus resultados financieros. El objetivo final es contar
con un dictamen interno sobre las actividades de toda la
empresa, que permita diagnosticar la actuación administrativa,
operacional y funcional de empleados y funcionarios de las áreas
que se auditan.
Ventajas
 Debido a que el auditor pertenece a la empresa, casi siempre conoce integralmente
sus actividades, operaciones y áreas; por lo tanto, su revisión puede ser más
profunda
 y con un mayor conocimiento de las actividades, funciones y problemas de la

institu- ción. Por esta razón, el contenido de su informe es mucho más valioso.
 El informe que rinde el auditor, independientemente del resultado, es sólo de

carácter interno y por lo tanto no sale de la empresa, ya que únicamente le sirve a
las autoridades de la institución.
 Esta auditoría consume sólo recursos internos, por lo tanto no representa

ninguna erogación adicional para la empresa en la cual se realiza.
 Es de gran utilidad para la buena marcha de la empresa, ya que permite detectar

problemas y desviaciones a tiempo.
 Puede llevarse un programa concreto de evaluación en apoyo a las autoridades de

la empresa, lo cual ayudará a sus dirigentes en la evaluación y la toma de
decisiones.
Desventajas
 Su veracidad, alcance y confiabilidad pueden ser limitados, debido
a que puede haber cierta injerencia por parte de las autoridades de
la institución sobre la forma de evaluar y emitir el informe.
 En ocasiones la opinión del auditor tal vez no sea absoluta, debido

a que, al labo- rar en la misma empresa donde realiza la auditoría,
se pueden presentar presiones, compromisos y ciertos intereses al
realizar la evaluación.
 Se pueden presentar vicios de trabajo del auditor con relativa

frecuencia, ya sea en las formas de utilizar las técnicas y
herramientas para aplicar la auditoría, como en la forma de evaluar
y emitir su informe sobre la misma.
Auditorías por su área de
aplicación
 Auditoría financiera
 Auditoría administrativa
 Auditoría operacional
 Auditoría integral
 Auditoría gubernamental
 Auditoría de sistemas
Auditoría financiera
(contable)
 Es la revisión sistemática, explorativa y crítica que realiza un
profesional de la contabilidad a los libros y documentos
contables, a los controles y registros de las operaciones
financieras y a la emisión de los estados financieros de una
empresa, con el fin de evaluar y opinar sobre la razonabilidad,
veracidad, confiabilidad y oportunidad en la emisión de los
resultados financieros obtenidos durante un periodo específico o
un ejercicio fiscal. El propósito final es emitir un dictamen
contable sobre la correcta presentación de los resultados finan-
cieros a los accionistas, clientes, autoridades fiscales y terceros
interesados, en relación con las utilidades, pago de impuestos
y situación financiera y econó- mica de la institución.
Auditoría administrativa
 Es la revisión sistemática y exhaustiva que se realiza a la
actividad administritiva de una empresa, en cuanto a su
organización, las relaciones entre sus integrantes y el
cumplimiento de las funciones y actividades que regulan sus
operaciones. Su propósito es evaluar tanto el desempeño
administrativo de las áreas de la empresa, como la
planeación y control de los procedimientos de operación, y
los métodos y técnicas de trabajo establecidos en la institución,
incluyendo la observancia de las normas, políticas y reglamentos
que regulan el uso de todos sus recursos.
Auditoría operacional
 Es la revisión exhaustiva, sistemática y específica que se realiza a
las actividades de una empresa, con el fin de evaluar su
existencia, suficiencia, eficacia, eficiencia y el correcto
desarrollo de sus operaciones, cualesquiera que éstas sean,
tanto en el establecimiento y cumplimiento de los métodos,
tecnicas y procedimientos de trabajo necesarios para el desarrollo
de sus operaciones, en coordinación con los recursos disponibles,
como en las normas, políticas, lineamientos y capacitación que
regulan el buen funcionamiento de la empresa.
Auditoría integral
 Es la revisión exhaustiva, sistemática y global que realiza un
equipo multidisciplinario de profesionales a todas las
actividades y operaciones de una empresa, con el propósito
de evaluar, de manera integral, el correcto desarrollo de las
funciones en todas sus áreas administrativas, cualesquiera que
éstas sean, así como de evaluar sus resultados conjuntos y
relaciones de trabajo, comunicaciones y procedimientos
interrelacionados que regulan la realización de las actividades
compartidas para alcanzar el objetivo institucional; dicha revisión
se lleva a cabo también a las normas, políticas y lineamientos sobre
el uso de todos los recursos de la empresa.
Auditoría gubernamental
 Es la revisión exhaustiva, sistemática y concreta que se realiza a
todas las actividades y operaciones de una entidad
gubernamental, cualquiera que sea la naturaleza de las
dependencias y entidades de la Administración Pública. Esta
revisión se ejecuta con el fin de evaluar el correcto desarrollo de las
funciones de todas las áreas y unidades administrativas de
dichas entidades, así como los métodos y procedimientos
que regulan las actividades necesarias para cumplir con los
objetivos gubernamentales, estatales o municipales; también
se lleva a cabo en la aplicación y cumplimiento de
presupuestos públicos, programas, normas, políticas y
lineamientos que regulan la participación de los recursos de la
entidad en la prestación de servicios a la sociedad.
Auditoría informática
 Es la revisión técnica, especializada y exhaustiva que se realiza a
los sistemas computacionales, software e información utilizados
en una empresa, sean individuales, compartidos y/o de redes, así
como a sus instalaciones, telecomunicaciones, mobiliario, equipos
periféricos y demás componentes. Dicha revisión se realiza de
igual manera a la gestión informática, el aprovechamiento de sus
recursos, las medidas de seguridad y los bienes de consumo
necesarios para el funcionamiento del centro de cómputo. El
propósito fundamental es evaluar el uso adecuado de los sistemas
para el correcto ingreso de los datos, el procesamiento adecuado
de la información y la emisión oportuna de sus resultados en la
institución, incluyendo la evaluación en el cumplimiento de las
funciones, actividades y operaciones de funcionarios, empleados
y usuarios involucrados con los servicios que proporcionan los
sistemas computacionales a la empresa.
Auditorías especializadas
en áreas específicas
 Auditoría al área médica(evaluación médico-sanitaria)
 Auditoría al desarrollo de obras y construcciones (evaluación

de ingeniería)
 Auditoría fiscal
 Auditoría laboral
 Auditoría de proyectos de inversión
 Auditoría a la caja chica o caja mayor(arqueos)
 Auditoría al manejo de mercancías(inventarios)
 Auditoría ambiental
 Auditoría de sistemas
Unidad 1
1 Conocerá el concepto de Auditoría informática
2 Estudiará los diversos tipos de auditoría y su relación con la auditoría informática
3 Comprenderá los objetivos generales de auditoria de sistemas
4 Sabrá los justificativos para efectuar una auditoría de sistemas
5 Conocerá los ISO 9001:2008, ISO26000:2010, ISO 31000:2009 e ISO 19011:2011

Contenido
 Conceptos Básicos de Auditoría Informática
 Justificación
 Objetivos
 Ejemplos
Concepto de Informática
 Es el tratamiento racional, automático y adecuado de la
información, por medio del computador, para lo cual se
diseñan y desarrollan estructuras y aplicaciones especiales
buscando seguridad e integridad. En el contexto de la
informática la información constituye un recurso de
gran valor y se busca mantenerla y utilizarla de la mejor
manera.
Conceptos de Auditoria
 Es la revisión independiente de alguna o algunas
actividades, funciones especificas, resultados u operaciones
de una entidad administrativa, realizada por un profesional
de la auditoria, con el propósito de evaluar su correcta
realización y, con base a dicho análisis, poder emitir una
opinión sobre la razonabilidad de los Estados Financieros y
el cumplimiento de sus obligaciones.
Primero: ¿Que es la
auditoría?
Es la revisión independiente que
realiza un auditor profesional,
aplicando técnicas, métodos y
procedimientos especializados, a fin
de evaluar el cumplimiento de
funciones, actividades, tareas y
procedimientos de una organización,
así como dictaminar sobre el
resultado de dicha evaluación.
Muñoz (2002,34)
Administración de la
Configuración de
Bases de Datos
Justificación
Aumento de la
vulnerabilidad
Automatización
Beneficios para
de los procesos y
alcanzar los
prestación de
objetivos
servicios
Recursos
TIC´s
Información
Aumento de la
como recurso
productividad
estratégico
Magnitud de
los costos e
inversiones
TIC
Fuente: Rodríguez (2006)

“La productividad de cualquier organización depende del funcionamiento
ininterrumpido de los sistemas TIC, transformando a todo el entorno en un
proceso crítico adicional” (Rodríguez, 2006:3).
Evidencias
1 El crecimiento del acceso a Internet y de usuarios conectados
incrementa la posibilidad de concreción de amenazas informáticas.
2 Crecimiento de la información disponible de empresas y sus
empleados en redes sociales Ingeniería Social.
3 Mensajes de e-mail que contienen attachments que explotan
vulnerabilidades en las aplicaciones instaladas por los usuarios.
4 Robo de credenciales o captura ilegal de datos.
5 Acceso a redes empresariales a través de códigos maliciosos
diseñados para obtener información sensitiva.
6 En el 2009 los sectores financiero, proveedores de servicios TIC,
comercios, seguros, comunidad de Internet, empresas de
telecomunicaciones y el gobierno han sido los más vulnerables ante
las amenazas informáticas.
7 En el 2009 Symantec identificó 240 millones de programas maliciosos,
un aumento del 100% con respecto al 2008.
Fuente: Symantec (2010).

Evidencias
8 En el 2010 hubo 286 millones de nuevas ciberamenazas.
9 Junto con las redes sociales otra área de peligro en el espacio móvil
(Smartphones).
10 ¿Ciberguerras? A lo largo de 2009, diferentes gobiernos de todo el
mundo, como Estados Unidos, UK o España, han mostrado la
preocupación que tienen ante ataques que puedan afectar a la
economía del país o incluso a otras áreas, tales como las
denominadas infraestructuras críticas. También este año 2009 vimos
un ataque lanzado a diferentes páginas web de Estados Unidos y
Corea del Sur.
Previsión de tendencias de amenazas informáticas para 2010 Fuente: www.cxo-
community.com
11 Cuidar a las empresas en esos momentos no es labor fácil. Los
ataques son incesantes (al menos 10,000 amenazas circulan en la red
cada minuto), y cada año causan pérdidas por más de 650,000
millones de dólares, dice el grupo Crime-Research.org.
El cibercrimen acecha a las empresas. Fuente. www.cnnexpansion.com
Fuente: Symantec (2010) e ITESPRESSO.ES (2010)..

Se requiere contar con una efectiva administración de
los RIESGOS asociados con las TIC
Rol Básico de la Función de Auditoría Informática
Supervisión de los CONTROLES

IMPLEMENTADOS y determinación de su eficiencia
Fuente: Rodríguez (2006)

Objetivos generales de la Auditoría en
Informática
 Asegurar la integridad, confidencialidad
y confiabilidad de la información.
 Minimizar existencias de riesgos en el

uso de Tecnología de información
 Conocer la situación actual del área

informática para lograr los objetivos.
 Seguridad, utilidad, confianza,

privacidad y disponibilidad en el
ambiente informático, así como también
seguridad del personal, los datos, el
hardware, el software y las instalaciones.
Objetivos generales de la Auditoría en
Informática
 Incrementar la satisfacción de los
usuarios de los sistemas informáticos.
 Capacitación y educación sobre

controles en los Sistemas de
Información.
 Buscar una mejor relación costo-

beneficio de los sistemas automáticos y
tomar decisiones en cuanto a
inversiones para la tecnología de
información.
Riesgo Informático
La Organización Internacional de
Normalización (ISO) define riesgo
tecnológico (Guías para la
Gestión de la Seguridad) como:
La probabilidad de que una
amenaza se materialice de
acuerdo al nivel de vulnerabilidad
existente de un activo, generando
un impacto específico, el cual
puede estar representado por
pérdidas y daños.
SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo Informático. Cátedra de Introducción a la
Computación. Facultad de Ciencias Económicas y Administración. Universidad de la República de Uruguay. Fuente:
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Amenaza
Acciones que pueden ocasionar
consecuencias negativas en la
plataforma informática disponible: fallas,
ingresos no autorizados a las áreas de
computo, virus, uso inadecuado de
activos informáticos, desastres
ambientales (terremotos, inundaciones),
incendios, accesos ilegales a los
sistemas, fallas eléctricas.
Pueden ser de tipo lógico o físico.
SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo

Informático. Cátedra de Introducción a la Computación. Facultad de Ciencias
Económicas y Administración. Universidad de la República de Uruguay. Fuente:
Vulnerabilidad
Condiciones inherentes a los
activos o presentes en su entorno
que facilitan que las amenazas
se materialicen.
Se manifiestan como debilidades o
carencias: falta de conocimiento
del usuario, tecnología
inadecuada, fallas en la
transmisión, inexistencia de
antivirus, entre otros.

Impacto
Consecuencias de la
ocurrencia de las distintas
amenazas: financieras o no
financieras.
Perdida de dinero, deterioro
de la imagen de la empresa,
reducción de eficiencia, fallas
operativas a corto o largo
plazo, pérdida de vidas
humanas, etc.

Administración de Riesgos
Luego de efectuar el análisis de riesgo-impacto, el
ciclo de administración de riesgo finaliza con la
determinación de las acciones a seguir respecto:
•Controlar el riesgo fortaleciendo los controles
existentes o agregar nuevos controles.
•Eliminar el riesgo.
•Compartir el riesgo mediante acuerdos
contractuales traspasando el riesgo a un tercero
(Ejemplo: seguro, outsourcing de informática).
•Aceptar el riesgo, determinando el nivel de
exposición.
SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo Informático. Cátedra de Introducción a la Computación.
Facultad de Ciencias Económicas y Administración. Universidad de la República de Uruguay. Fuente:
Y...¿Qué es el control
interno?
Es un proceso, mediante el cual la
administración, los directivos y/o la alta
gerencia le proporcionan a sus
actividades, un grado razonable de
confianza, que le garantice la consecución
de sus objetivos, tomando en cuenta: la
eficacia y eficiencia de las operaciones,
fiabilidad de la información financiera y
cumplimiento de las leyes y normas
aplicables, con la finalidad de dotar a la
organización medidas preventivas,
detección y corrección de errores, fallos y
fraudes o sabotajes
Controles internos para la
seguridad del área de sistemas
 Seguridad física
 Es todo lo relacionado con la seguridad y salvaguarda de los bienes

tangibles de los sistemas computacionales de la empresa, tales
como el hardware, periféricos y equipos asociados, las instalaciones
eléctricas, las instalaciones de comunicación y de datos, las
construcciones, el mobiliario y equipo de oficina, así como la
protección a los accesos al centro de sistematización. En sí, es to-
do lo relacionado con la seguridad, la prevención de riegos y
protección de los recursos físicos informáticos de la empresa.
 Seguridad lógica
 Es todo lo relacionado con la seguridad de los bienes intangibles de

los centros informáticos, tales como software (aplicaciones,
sistemas operativos y lenguajes), así como lo relacionado con los
métodos y procedimientos de operación, los niveles de acceso a los
sistemas y programas institucionales, el uso de contraseñas , los
privilegios y restricciones de los usuarios, la protección de los ar-
chivos e información de la empresa y las medidas y programas para
prevenir y erradicar cualquier virus informático. En sí, es todo lo
relacionado con las medidas de seguridad, protección y forma de
acceso a los archivos e información del sistema.

 Seguridad de las bases de datos
 Es la protección específica de la información que se maneja en las

áreas de sistemas de la empresa, ya sea a través de las medidas de
seguridad y control que limiten el acceso y uso de esa información,
o mediante sus respaldos periódicos con el fin de mantener su
confidencialidad y prevenir las alteraciones, descuidos, robos y
otros actos delictivos que afecten su manejo.
 Seguridad en la operación
 Se refiere a la seguridad en la operación de los sistemas

computacionales, en cuanto a su acceso y aprovechamiento por
parte del personal informático y de los usuarios, al acceso a la
información y bases de datos, a la forma de archivar y utilizar la
información y los programas institucionales, a la forma de pro-
teger la operación de los equipos, los archivos y programas, así
como las instalaciones, mobiliario, etcétera.
 Seguridad del personal de informática
 Se refiere a la seguridad y protección de los operadores, analistas,

programadores y demás personal que está en contacto directo con
el sistema, así como a la seguridad de los beneficiarios de la
información.
 Seguridad de las telecomunicaciones
 Es todo lo relacionado con la seguridad y protección de los niveles

de acceso, privilegios, recepción y envío de información por medio
del sistema de cómputo, protocolos, software, equipos e
instalaciones que permiten la comunicación y transmisión de la
información en la empresa, etcétera.
 Seguridad en las redes
 Es todo lo relacionado con la seguridad y control de contingencias

para la protección adecuada de los sistemas de redes de cómputo,
en cuanto a la salvaguarda de información y datos de las redes, la
seguridad en el acceso a los sistemas computacionales, a la
información y a los programas del sistema, así como la protección
de accesos físicos, del mobiliario, del equipo y de los usuarios de los
sistemas. Incluyendo el respaldo de información y los privilegios de
accesos a sistemas, información y programas.
 Prevención de contingencias y riesgos
 Son todas las acciones tendientes a prevenir y controlar los riesgos

y posibles contingencias que se presenten en las áreas de
sistematización, las cuales van desde prevenir accidentes en los
equipos, en la información y en los programas, hasta la instalación
de extintores, rutas de evacuación, resguardos y medidas pre-
ventivas de riesgos internos y externos, así como la elaboración de
programas preventivos y simulaciones para prevenir contingencias
y riesgos informáticos.
Controles para prevenir y evitar las
amenazas, riesgos y contingencias en las
áreas de sistematización
 Control de accesos físicos del personal al área de cómputo
 Control de accesos al sistema, a las bases de datos, a los programas y a la

información
 Uso de niveles de privilegios para acceso, de palabras clave y de control de

usuarios
 Monitoreo de accesos de usuarios, información y programas de uso
 Existencia de manuales e instructivos, así como difusión y vigilancia del

cumplimiento de los reglamentos del sistema
 Identificación de los riesgos y amenazas para el sistema, con el fin de adoptar las
medidas preventivas necesarias
 Elaboración de planes de contingencia, simulacros y bitácoras de seguimiento

Controles para la seguridad
física del área de sistemas
 Inventario del hardware, mobiliario y equipo
 Resguardo del equipo de cómputo
 Bitácoras de mantenimientos y correcciones
 Controles de acceso del personal al área de sistemas
 Control del mantenimiento a instalaciones y construcciones
 Seguros y fianzas para el personal, equipos y sistemas
 Contratos de actualización, asesoría y mantenimiento del

hardware
lógica de los sistemas
 Control para el acceso al sistema, a los programas y a la
información
 Establecimiento de niveles de acceso
 Dígitos verificadores y cifras de control
 Palabras clave de accesos
 Controles para el seguimiento de las secuencias y rutinas lógicas

del sistema
de las bases de datos
 Programas de protección para impedir el uso inadecuado y la
alteración de datos de uso exclusivo
 Respaldos periódicos de información
 Planes y programas para prevenir contingencias y recuperar

información
 Control de accesos a las bases de datos
 Rutinas de monitoreo y evaluación de operaciones relacionadas con

las bases de datos
Controles para la seguridad en la
operación de los sistemas computacionales
 Controles para los procedimientos de operación
 Controles para el procesamiento de información
 Controles para la emisión de resultados
 Controles específicos para la operación de la computadora
 Controles para el almacenamiento de información
 Controles para el mantenimiento del sistema

Controles para la seguridad del
personal de informática
 Controles administrativos de personal
 Seguros y fianzas para el personal de sistemas
 Planes y programas de capacitación

Control de accesos físicos del
personal al área de computo
 Es el establecimiento de las medidas tendientes a controlar
el acceso de las personas que tengan que entrar al centro de
cómputo; dichas medidas van desde registros en bitácoras o
libretas, uso de gafetes y credenciales magnéticas, hasta la
vigilancia estre- cha de visitantes, áreas y pasillos por medio
de circuito cerrado, así como la revisión física del personal
que entra y sale de área de sistemas.
Control de accesos al sistema a las bases de
datos a los programas y a la información
 Es el control que se establece en el sistema en forma
administrativa; esto significa que, por medio de
procedimientos, claves y niveles de acceso, se permite el uso
del sistema, de sus archivos y de su información a los
usuarios y al personal autorizado; dichos procedimientos
van desde el registro de los usuarios y la asignación de equi-
pos y terminales, hasta el establecimiento de privilegios,
límites y monitoreo de uso de sistemas, programas e
información. En todos los casos de acuerdo con el nivel del
usuario, a su importancia para el sistema y a las políticas de
la empresa y del área de sistemas.
Uso de niveles de privilegio para acceso
palabras clave y control de usuarios
 Es igual que el punto anterior, sólo que es exclusivo para los
sistemas de información; aquí se manejan, mediante un
software especial, las limitaciones y los privilegios de los
usuarios en el uso del sistema, ya sea al no permitir el acceso
a ciertos archivos y programas, o con el uso de contraseñas
con las cuales se pueda ingresar al sistema
Monitoreo de accesos de usuarios
información y programas de uso
 Es el monitoreo que realiza el administrador del sistema (ver
cómo se está trabajando en el sistema, sin que lo note el usuario)
con el propósito de verificar el uso del sistema, del
software, de los archivos y de la información que está
permitida al usuario. Se incluye el reporte de auditoría
(listado de actividades y archivos utilizados por jornada y
usuario), la intervención y limitación en las actividades del
usuario.
 Existencia de manuales e instructivos así como difusión
y vigilancia del cumplimiento de los reglamentos del
sistema
 Es el seguimiento de los diferentes manuales e instructivos,

a fin de controlar el uso de los sistemas, programas y
archivos, así como el cumplimiento del reglamento de uso
del centro de sistematización por parte de su personal y de
sus usuarios.
Identificación de los riesgos y amenazas para el
sistema con el fin de adoptar las medidas
preventivas necesarias
 Es la identificación de los posibles riesgos y contingencias
que se pueden presentar en el área de sistematización; estas
contingencias pueden tener un origen humano: descuidos,
negligencia, mal uso de la información, sabotajes, robos, piratería,
etcétera, o un origen natural: terremotos, incendios,
inundaciones, etcétera. Estos riesgos deben ser contemplados
dentro de estudios y programas preventivos elaborados por
las propias áreas de sistematización.
Elaboración de planes de contingencia
simulacros y bitácoras de seguimiento
 Es el control de las contingencias y riesgos que se pueden
presentar en el área de sistemas; estas contingencias se
pueden evitar, controlar o remediar a través de planes y
programas preventivos específicos, en los cuales se
presenten las actividades a realizar antes, durante y después
de alguna contingencia. En estos planes se incluyen los
simulacros de contingencias, los reportes de actuaciones y
las bitácoras de seguimiento de las actividades y eventos
que se presentan en el área de sistemas.
física del área de sistemas
 Con este tipo de controles se busca salvaguardar los activos
tangibles de la empresa, en este caso específico, es la
sistematización para la protección y custodia de los equi-
pos de cómputo, periféricos, mobiliario y equipo asignado a
esa área, así como la protección y seguridad del personal, de
los usuarios y el demás personal involucrado en el centro de
cómputo.
 Es de suma importancia destacar que el establecimiento de

este subelemento del control interno informático ayudará
enormemente a salvaguardar los activos informáticos
tangibles del área de sistemas, con los cuales se realizan sus
actividades y el cumplimiento de sus tareas.
Inventario del hardware
mobiliario y equipo
 Es el registro de carácter contable que se hace de todos los
activos de los sistemas; en dicho registro se anotan las
características, la configuración, el tipo de procesado- res, la
velocidad, los componentes, las especificaciones y demás
elementos que com- ponen el hardware de cada uno de los
sistemas computacionales. También se registran los costos,
las depreciaciones, las actualizaciones, los cambios y otros
movimientos del sistema, así como el mobiliario, los equipos
y demás activos similares del área de sistemas
Resguardo del equipo de
computo
 Es la asignación documental del equipo de cómputo, de sus
periféricos, mobiliario y demás componentes que se hace al
personal o a los usuarios del área de sistematización; por
medio de estos documentos se les responsabiliza de la
salvaguarda y buen uso del equipo que tienen asignado; la
intención es contar con un documento de control sobre este
tipo de activos y mantenerlo vigente, así como
responsabilizar al usuario del uso adecuado y la protección
de estos activos.
Bitácoras de mantenimientos y
correcciones
 Es el registro pormenorizado y cronológico del
mantenimiento preventivo y las repara- ciones del
hardware, periféricos y equipos asociados del sistema
computacional, así como de sus instalaciones y mobiliario;
estas bitácoras se utilizan con el propósito de evaluar el uso,
aprovechamiento e incidencias de cada uno de los sistemas
asignados al centro de cómputo. Además, con estas
bitácoras, una por cada sistema, se obtienen estadísticas
útiles para valorar su utilidad en la empresa.
Controles de acceso del
personal al área de sistemas
 Son las medidas establecidas en las empresas con el
propósito de limitar y controlar el ingreso del personal y
usuarios al área de sistemas, para evitar contingencias y
riesgos físicos a los equipos de dicha área.
Control del mantenimiento a
instalaciones y construcciones
 Es el control que establece el administrador de la empresa, a
fin de salvaguardar y mantener en buen estado las
instalaciones del sistema, ya sean eléctricas, las
comunicaciones vía telefónica, satelital, módem u otros
medios similares, así como las conexiones del sistema
computacional, sean individuales, redes internas, externas,
entre otras.
 Es también el control para el mantenimiento de las

construcciones del área de sistemas, incluyendo la
iluminación, el medio ambiente, el clima artificial para la
comodidad de los usuarios, etcétera.
Seguros y fianzas para el
personal equipos y sistemas
 Son las medidas preventivas para garantizar la reposición
de los activos informáticos de la empresa en caso de ocurrir
alguna contingencia. Estas medidas se establecen para
asegurar la vigencia de las pólizas de los activos
informáticos asegurados, así como sus coberturas.
 Igual ocurre al afianzar la participación del personal y

usuarios del área de siste- matización de la empresa, ya sea
para salvaguardar su fidelidad, o para protegerse de su
ausencia por cualquier motivo.
Contratos de actualización asesoría
y mantenimiento del hardware
 Es el convenio que se realiza con los proveedores,
distribuidores de equipos y demás personas involucradas en
el buen funcionamiento del hardware, periféricos,
mobiliario y equipo del área de sistemas. Incluyendo la
asesoría, actualización de sistemas, los avances tecnológicos
y demás aspectos que permiten el uso óptimo del sistema.
lógica de los sistemas
 Así como es necesario establecer controles para salvaguardar los
bienes físicos del sistema computacional de la empresa, también es
necesario establecer controles y medidas preventivas y correctivas
para salvaguardar sus bienes lógicos. Con ello se pretende un
buen uso del software, de los programas, de los sistemas
operativos, del procesamiento de información, de los accesos al
sistema, de la información, etcétera.
 Cabe aclarar que estos controles se deben establecer de acuerdo

con el tipo de sistemas de la empresa, al tamaño y configuración
de su equipo, a la forma de procesamiento de su información y a
sus características concretas y procedimientos de operación, así
como de acuerdo con los lenguajes de programación, paqueterías,
programas y aplicaciones concretas que se realizan con el sistema
computacional.
Control para el acceso al sistema a
los programas y a la información
 Es la implementación de las medidas de seguridad y de los
controles necesarios para delimitar el nivel de acceso de los
usuarios y personal al área de sistemas, estableciendo los
privilegios, modos de entrada, forma de uso del sistema y
otras características, para el control de los usuarios. Estas
pueden ser desde la limitación de procedimientos de acceso,
pasando por el establecimiento de claves de acceso
(password) hasta limitar el uso de programas e información.
Establecimiento de niveles
de acceso
 Es la definición, mediante la programación y las paqueterías
específicas de control lógi- co, de los límites de acceso de los
usuarios a los programas institucionales, paqueterías y
herramientas de desarrollo, de acuerdo con la importancia
del software e información que pueden manejar.
 Dígitos verificadores y cifras de control

 Es el establecimiento de operaciones aritméticas, controles
sumarizados y dígitos de verificación matemática de los datos
que se capturan y se procesan en el sistema, con el propósito
de mantener la confiabilidad de estos últimos.
Palabras clave de acceso
 Es el control que se establece por medio de palabras clave (contraseñas)
para el acceso y uso de los programas y archivos de información. Estas
claves son establecidas por el administrador del sistema y por el propio
usuario.
 Controles para el seguimiento de las secuencias y rutinas lógicas del

sistema
 Este tipo de controles son más especializados para los administradores y
operadores del sistema, y se establecen para controlar las rutinas de
procesamiento y las secuencias lógicas del sistema operativo, de los lenguajes
de programación y de las paqueterías especializadas que permiten el manejo
de los sistemas.
 Los anteriores son algunos de los posibles controles que se pueden establecer
para salvaguardar la seguridad lógica del sistema. Debemos aclarar que
estos controles se deben establecer de acuerdo con las características del
sistema computacional y a las necesidades de protección del área de
sistematización de la empresa.
de las bases de datos
 El activo más importante de cualquier empresa es la información
que se captura, que se procesa y que se emite en las bases de datos
de los sistemas; por lo tanto, es el bien que más se debe proteger.
 El control interno informático ayuda a proteger las bases de datos

de la empresa, por medio de controles especiales y medidas
preventivas y correctivas. Con las restricciones de acceso al
sistema se pueden evitar posibles alteraciones, uso fraudulento,
piratería, destrucción y sabotaje de la información de la empresa.
Estos controles pueden ser establecidos por el área administrativa
para vigilar el acceso de los usuarios al sistema, así como para
proteger la información a través de respaldos periódicos y
recuperación de datos en caso de pérdidas, deterioros y de
cualquier mal uso que se haga de ellos.
 Los siguientes son algunos de los controles que se pueden

establecer para la seguridad de las bases de datos de la empresa.
Programas de protección para impedir el
uso inadecuado y la alteración de datos de
uso exclusivo
 Los controles establecidos por medio de programación, ya
sean derivados del sistema operativo, de lenguajes y
paqueterías o de programas de desarrollo y aplicación, ayu-
dan a proteger la información contenida en los archivos del
sistema, ya que sólo el usuario autorizado tiene acceso a ella.
También ayudan a proteger dicha información de posibles
alteraciones, sean involuntarias o dolosas.
Respaldos periódicos de
información
 Es la implementación de los planes y programas de respaldo
(backups) de la información de las bases de datos, de la
información de cada usuario, la de las diferentes áreas o de
toda la institución, según sea el caso; estos programas de
respaldo se realizan en forma periódica y programada y se
pueden copiar en cintas, disquetes, o en discos ópticos, de
acuerdo con las necesidades de la empresa y a la
configuración de sus sistemas, así como a su forma de
gestión informática.
Controles específicos para la
operación de la computadora
 Son todas las medidas internas (las del área de sistemas) y
externas (las de la empresa, proveedores o distribuidores
de equipo) que regulan la operación normal del sistema de
cómputo; estas medidas se establecen en función a las
características del hardware, software, periféricos y demás
componentes asociados del sistema, y se tienen que adoptar
para su buen funcionamiento y para la protección de las
operaciones que se realizan en el mismo.
Controles para el
almacenamiento de
información
 Son las medidas de seguridad y protección, internas y
externas, que se adoptan en el área de sistemas para el
almacenamiento de la información contenida en las bases de
datos, así como de los programas, lenguajes, y paqueterías
que se utilizan para la ope- ración normal de dicha área. Un
ejemplo de estas medidas son los archivos periódicos de
respaldo, los cuales pueden estar en cintas, disquetes, discos
ópticos o en cualquier otro medio de grabación de datos.
Controles para el
mantenimiento del sistema
 Es el establecimiento de los reportes de fallas, bitácoras de
mantenimiento preventivo y correctivo y de estadísticas que
permiten valorar las incidencias sobre el funcionamiento de los
sistemas de información, de sus periféricos y demás equipos
asociados, a fin de valorar el aprovechamiento en su uso y la
repercusión de las fallas que se puedan presentar. Es también el
establecimiento de las acciones preventivas para evitar
descomposturas, tanto del hardware como del software, en los
sistemas.
 Los anteriores sólo son algunos de los muchos controles de

operaciones que se pueden establecer a fin de salvaguardar al
sistema de los imprevistos que pueden suceder durante su
operación. Dichos controles deben ser establecidos de acuerdo con
las necesidades de información de la empresa, a las características
de sus equipos, a la configuración de éstos, a su tamaño, a la forma
de procesamiento de información y a muchos otros factores.
del personal de informática
 El activo más valioso de las empresas es el personal que labora en
ellas, debido a que es el que realiza todas las funciones y
actividades, desde la dirección hasta la operación de sus áreas y
equipos; evidentemente, en el área de sistemas de una empresa, el
personal informático y los usuarios del sistema también
conforman el activo más importan-
 Por esa razón, es indispensable el establecimiento de los controles

internos informáticos en los centros de cómputo a fin de ayudar a
proteger y salvaguardar la seguridad de este valioso activo del
área de sistematización y de la empresa; con dichos controles se
logra un mejor funcionamiento de estas áreas, una mejor
operación del sistema y un mejor desarrollo de los nuevos
proyectos que ayudan al procesamiento de información de la
empresa.
 Respecto al control de estos recursos informáticos existen muchas

Controles administrativos
de personal
 Es el establecimiento de los controles y de todos los demás
aspectos normativos, administrativos y disciplinarios de la
empresa para el manejo del personal, así como de sus
sueldos y prestaciones, derechos y obligaciones, entrada,
salida y cumplimiento de las jornadas de trabajo de dicho
personal.
 Seguros y fianzas para el personal de sistemas

 Es el establecimiento de las medidas preventivas para
asegurar la vida y la salud de los trabajadores y usuarios del
área de sistemas de una empresa, con los cuales se prote- gen
tanto a los trabajadores como a los valores de la empresa.
También se refieren a las medidas que adoptan las empresas
para asegurar la fidelidad de sus trabajadores, en cuanto a su
actuación, a la protección de los activos de la empresa y al
cumplimento de sus funciones y actividades.
CONTROL INTERNO. DEFINICIÓN Y TIPOS
Cualquier actividad o acción realizada

manual y/o automáticamente para
prevenir, corregir errores o irregularidades
que puedan afectar el funcionamiento de
un sistema para conseguir sus objetivos.
La tipología tradicional de los controles informáticos es:

¿Bajo Nivel de
Vulnerabilidad?
Daño a los
equipos, datos
o información
Concreción
de la
Amenaza
Agente Amenazante
Hacker
Cracker
Espionaje Industrial
Criminales Profesionales
Usuarios
Confidencialidad
(Daños intencionales o no)
Integridad
Objetivos: Desafío, Disponibilidad
ganancia financiera/política,
daño Pérdida de
•Dinero
Causa Física (Natural o no)
•Clientes
•Imagen de la Empresa
Tratar de evitar el
Cuando fallan los
hecho
preventivos para
tratar de conocer
Disuasivos Preventivos cuanto antes el
evento
Amenaza o
Riesgo
Plataforma Informática Operatividad
Vuelta a la Tmin
normalidad cuando
se han producido Detectivo Correctivo
incidencias
Normas de Auditoría Informática
disponibles Guía de auditoria del
sistema de gestión de
 COSO (Committee of Sponsoring
seguridad de la información
Organizations of the Treadway
para su protección.
Commission, EEUU 1992).
 ITIL (Information Technology

Infrastructure Library, Inglaterra 1990).
 ISO/IEC 17799:2000 (International

Organization for
Standardization/International
Electrotechnical Commission, Inglaterra
Modelo de evaluación del
2000). Marco referencial que evalúa
control interno en los
el proceso de gestión de los
sistemas,
 funciones, procesos
COBIT (Control Objectives for
Servicios de tecnología de
o actividades en forma
Information and Related Technology
información y de la IT,
íntegra.
EEUU 1998). infraestructura tecnología.
Referencia Bibliográfica
IT GOVERNANCE
INSTITUTE. 2006. COBIT
4.0. Fuente: www.isaca.org
Information Systems Audit and Control Association

Fundada en 1969, ISACA patrocina conferencias
internacionales, publica la revista “ISACA Journal” y
desarrolla estándares internacionales en control y auditoria
de sistemas de información. También administra la respetada
certificación a nivel mundial como Auditor de Sistemas de
Información.
Clasificacion de los tipos de
Auditoria
Auditoria de Sistemas
Por su lugar de ubicacion Por su Area de aplicacion
Computacionales
•Auditorias Externas •Auditoria Informática
• Auditoria Financiera
•Auditorias Internas •Auditoria con la Computadora
• Auditoria Administrativa
•Auditoria sin la computadora
• Auditoria Operacional •Auditoria a la gestión informática
• Auditoria Integral •Auditoria al sistema de computo
• Auditoria Gubernamental •Auditoria alrededor de la
• Auditoria de computadora
•Auditoria de la seguridad de
Sistemas sistemas computacionales

•Auditoria a los sistemas de redes
•Auditoria integral a los sistemas de
computo
•Auditoria ISO-9000 a los sistemas
computacionales
•Auditoria outsoursing
•Auditoria ergonómica de sistemas
computacionales
Concepto de Auditoria
Informática
Es la Revisión técnica, especializada y exhaustiva que se realiza a

los sistemas computacionales, software e información utilizados en
una empresa, sean individuales, compartidos y/o redes, así como a
sus instalaciones, telecomunicaciones, mobiliario, equipos
periféricos, y demás componentes.
evaluar el uso adecuado de los sistemas para el correcto ingreso de
datos,
el procesamiento adecuado de la información y la emisión oportuna
de sus resultados en la institución, incluyendo la evaluación en el
cumplimiento de las funciones, actividades y operaciones de
funcionarios, empleados y usuarios involucrados con los servicios
que proporcionan los sistemas computacionales a la empresa
Auditoria con la
computadora
Es la auditoria que se realiza con el apoyo de los equipos de cómputos y sus

programas para evaluar cualquier tipo de actividades y operaciones no
necesariamente Computarizadas, pero si susceptibles de ser automatizadas;
dicha auditoria se realizara también a las actividades del centro de sistemas y a
sus componentes.
La principal característica de este tipo de auditoria es que, sea en un caso o en

otro caso, o en ambos, se aprovecha la computadora y sus programas para la
evaluación de las actividades a realizar, de acuerdo a las necesidades concretas
del auditor, utilizando en cada caso las herramientas especiales del sistema y
las tradicionales de la propia auditoria.
Auditoria sin la
computadora
Es la auditoria cuyos métodos, técnicas y procedimientos están orientados
únicamente a la evaluación tradicional del comportamiento y valides de la
transacciones económicas, administrativas y operacionales de un área de
computo, y en si de todos los aspectos que afectan a las actividades que se
utilizan sistemas informáticos, pero dicha evaluación se realiza sin el uso de
sistemas computacionales.
Es también la evaluación tanto la estructura de organización, funciones y

actividades de funcionarios de personal de un centro de cómputo, así como a
los perfiles de sus puestos,
Como el de los reportes, informes y bitácoras de los sistemas, de la existencia y

aplicación de planes, programas y presupuestos en dichos centro así como del
uso aprovechamientos informáticos para la realización de actividades,
operaciones y tareas. Así mismo en la evaluación de los sistemas de actividad y
prevención de contingencia de la adquisición y el uso hardware, software y
personal informático, y en si en todo lo relacionado con el centro de cómputo,
pero sin el uso directos computacionales.
Auditoria de la gestión
Informatica
 Es la auditoria cuya aplicación se enfoca exclusivamente a las revisiones
de las funciones y actividades de tipo administrativo que se realizaran
dentro de un centro de cómputo, tales como la planeación, organización,
dirección de dicho centro. Esta auditoria se realizara también con el fin
de verificar el cumplimiento de las funciones asignadas a los
funcionarios, empleados y usuarios de las tareas de sistematización, así
como para revisar y evaluar las evaluaciones de sistemas.
 El uso y protección de los sistemas de procesamiento, los programas y la

información.
 Se aplica también para verificar el correcto desarrollo, instalación,

mantenimiento y explotación de los sistemas de computo así como sus
equipos e instalaciones.
 Todo esto se lleva a cabo con el propósito de dictaminar sobre la

adecuada gestión administrativa de los sistemas computacionales de una
empresa y del propio centro informático.
Auditoria al Sistema de
computo
 Es la auditoria técnica y especializada que se enfoca
únicamente a la evaluación del funcionamiento y usos
correctos del equipo de computo, su hardware, software y
periféricos asociados. Esta auditoria también se realiza a la
composición y arquitectura de las partes físicas y demás
componentes del hardware, incluyendo equipos asociados,
instalaciones y comunicaciones internas o externas, se
incluye también la operación del sistema
Auditoria alrededor de la
computadora
 Es la revisión específica que se realiza a todo lo que está
alrededor de un equipo, como son sus sistemas, actividades
y funcionamiento. Haciendo una evaluación de sus
métodos y procedimientos de acceso y procesamiento de
datos, la emisión y almacenamiento de datos, las actividades
de planeación y presupuestario del equipo del centro de
cómputo, los aspectos operacionales y financieros, la gestión
administrativa de accesos al sistema, la atención a sus
usuarios y el desarrollo de nuevos sistemas, las
comunicaciones internas y externas, y en sí , a todos aquellos
aspectos que contribuyan al buen funcionamiento de una
área de sistematización.
AUDITORIA DE
SEGURIDAD DE SISTEMAS
 Es la revisión exhaustiva, técnica y especializada que se realiza a
todo lo relacionado con la seguridad de un sistema de cómputo,
sus áreas y personal así como a las actividades, funciones y
acciones preventivas y correctivas que contribuyan a salvaguardar
la seguridad de sus equipos computacionales las bases de datos,
redes, instalaciones y usuarios de los sistemas.
 Es también la revisión de los planes de contingencia y medida de

protección para la información, los usuarios y los propios sistemas
computacionales, en si para todos aquellos aspectos que
contribuyen a la protección y salvaguardar en el buen
funcionamiento del área de sistematización, sistemas de redes o
computadoras personales, incluyendo la prevención y
erradicación de los virus informáticos.
AUDITORIA A LOS
SISTEMAS DE REDES
 Es la revisión exhaustiva, específica y especializada que se
realiza a los sistemas de redes de una empresa considerando
en la evaluación los tipos de redes, arquitectura, topología,
su protocolo de información las conexiones, accesos,
privilegios, administración y demás aspectos que repercuten
en su instalación, administración, funcionamiento y
aprovechamiento.
 Es también la revisión del software institucional de los
recursos informáticos e información de las operaciones,
actividades y funciones que permiten compartir las bases de
datos, instalaciones, software y hardware de un sistema de
red.
Auditoria integral a los
sistemas de computo
 Es la revisión exhaustiva, sistemática y global que se realiza
por medio de un equipo multidisciplinario de auditores, de
todas las actividades y operaciones de un centro de
sistematización, a fin de evaluar, en forma integral, el uso
adecuado de sus sistemas de cómputo, equipos periféricos y
de apoyo para el procesamiento de información de la
empresa, así como la red de servicios de una empresa y el
desarrollo correcto de las funciones de sus áreas, personal y
usuarios.
Auditoria ISO-9000
 Es la revisión exhaustiva, sistemática y especializada que
realizan únicamente los auditores especializados y
certificados en las normas y procedimientos ISO-9000,
aplicando exclusivamente los lineamientos, procedimientos
e instrumentos establecidos por esta asociación. El propósito
fundamental de esta revisión es evaluar, dictaminar y
certificar que la calidad de los sistemas computacionales de
una empresa se apegue a los requerimientos del ISO-9000
Auditoría outsourcing
 Es la revisión exhaustiva, sistemática y especializada que se
realiza para evaluar la calidad en el servicio de asesoría o
procesamiento externo de información que proporciona una
empresa a otra. Esto se lleva a cabo con el fin de revisar la
confiabilidad, oportunidad, suficiencia y asesoría por parte
de los prestadores de servicios de procesamiento de datos,
así como el cumplimiento de las funciones y actividades que
tienen encomendados los prestadores de servicios, usuarios
y el personal en general. Dicha revisión se realiza también
en los equipos y sistemas
Auditoría ergonómica de
sistemas computacionales
 Es la revisión técnica, específica y especializada que se
realiza para evaluar la calidad, eficiencia y utilidad del
entorno hombre-máquina-medio ambiente que rodea el uso
de sistemas computacionales en una empresa. Esta revisión
se realiza también con el propósito de evaluar la correcta
adquisición y uso del mobiliario, equipo y sistemas, a fin de
proporcionar el bienestar, confort y comodidad que
requieren los usuarios de los sistemas de cómputo de la
empresa, así como evaluar la detección de los posibles
problemas y sus repercusiones, y la determinación de las
soluciones relacionadas con la salud física y bienestar de los
usuarios de los sistemas de la empresa.
Marco de Trabajo de Control COBIT
Para que la TI tenga éxito en satisfacer los requerimientos
del negocio, la dirección debe implantar un sistema de
control interno o un marco de trabajo.
El marco de trabajo de control COBIT contribuye a estas
necesidades de la siguiente manera:
•Estableciendo un vínculo con los requerimientos del
negocio.
•Organizando las actividades de TI en un modelo de
procesos generalmente aceptado.
•Identificando los principales recursos de TI utilizados.
•Definiendo los objetivos de control gerencial a ser
considerados.
NEGOCIO
Los Objetivos
Herramientas depara
Control
Requerimientos COBIT®
ayudar a brindan
asignar
Información
buenas prácticas amedir
responsabilidades, travésel de un marco
desempeño, de trabajo
llevar a cabo
de dominios(…)y Las TIC´S
procesos, Vs. PROCESOS
y presenta
benchmarks directrices ayudan las a
actividades en una estructura
brindar respuestas a preguntas manejable
de la y
Controlados
lógica. Representan
administración: ¿Qué eltan consenso de expertos.
lejos podemos llegar por
Enfocadas fuertemente
para controlar la TI?, yen¿el
Medidos el costo
control y menos
justifica el
en la ejecución.
beneficio? por Ayudan
¿Cuáles a optimizar
son los indicadores de las un
inversiones
buen desempeño?facilitadas por la son
¿Cuáles TI, asegurarán
las Auditados
prácticas la Objetivos de
entrega del servicio
administrativas clave ay brindarán
aplicar? ¿Quéuna amedida
hacen
través Control
contra
otros? la¿Cómo
cual juzgar cuandoy lascomparamos?
medimos cosas no vayan (IT
de
bien (IT Governance
Governance Institute,Instituye,
2006).
Ejecutados2006).
a
través de
Indicadores
de Indicadores Metas de Directrices Prácticas de
Desempeño Meta Actividades de Control
Auditoría
Modelo de Madurez
Traducción Implementación
Las mejores prácticas de TI se han vuelto
significativas debido a un número de factores:
•Directores de negocio y consejos directivos que demandan un

mayor retorno de la inversión en TI.
•Preocupación por el creciente nivel de gasto en TI.
•La necesidad de satisfacer requerimientos regulatorios
para controles de TI en áreas como privacidad y reportes
financieros y en sectores específicos como el financiero,
farmacéutico y de atención a la salud.
Las mejores prácticas de TI se han vuelto
significativas debido a un número de factores:
•La selección de proveedores de servicio y el manejo de
Outsourcing y de Adquisición de servicios
•Riesgos crecientemente complejos de la TI como la
seguridad de redes
•Iniciativas de gobierno de TI que incluyen la adopción de
marcos de referencia de control y de mejores prácticas
para ayudar a monitorear y mejorar las actividades críticas
de TI, aumentar el valor del negocio y reducir los riesgos de
éste.
Las mejores prácticas de TI se han
vuelto significativas debido a un
número de factores:
•La necesidad de optimizar costos siguiendo,
siempre que sea posible, un enfoque
estandarizado en lugar de enfoques
desarrollados especialmente.
•La madurez creciente y la consecuente
aceptación de marcos de trabajo respetados
tales como COBIT, ITIL, ISO 17799, ISO 9001,
entre otros.
•La necesidad de las empresas de valorar su
desempeño en comparación con estándares
generalmente aceptados y con respecto a su
competencia (Benchmarking)
Para gobernar efectivamente TI, es importante
determinar las actividades y los riesgos que
requieren ser administrados. DOMINIO 1
PLANEAR Y ORGANIZAR
Estrategias y tácticas.
Identificar la manera en que TI
pueda contribuir de la mejor
manera al logro de los objetivos
del negocio.
La visión estratégica requiere ser
planeada, comunicada y
administrada.
Implementar una estructura
organizacional y una estructura
tecnológica apropiada.
Para gobernar efectivamente TI, es
importante determinar las actividades
y los riesgos que requieren ser
administrados.
PLANEAR Y ORGANIZAR
Cubre los siguientes cuestionamientos típicos de
la gerencia: ¿Están alineadas las estrategias
de TI y del negocio?
¿La empresa está alcanzando un uso óptimo
de sus recursos?
¿Entienden todas las personas dentro de la
organización los objetivos de TI?
¿Se entienden y administran los riesgos de TI?
¿Es apropiada la calidad de los sistemas de TI
para las necesidades del negocio?
administrados. DOMINIO 2
ADQUIRIR E IMPLEMENTAR
Para llevar a cabo la estrategia de TI, las soluciones de TI
necesitan la implementación e integración en los
procesos del negocio.
administrados.
ADQUIRIR E IMPLEMENTAR
Además para garantizar que las soluciones
sigan cubre los siguientes cuestionamientos de
la gerencia:
¿Los nuevos proyectos generan soluciones
que satisfagan las necesidades?
¿Los nuevos proyectos son entregados a
tiempo y dentro del presupuesto?
¿Trabajarán adecuadamente los nuevos
sistemas una vez sean implementados?
¿Los cambios afectarán las operaciones
actuales del negocio?
ENTREGAR Y DAR SOPORTE
Este dominio cubre la entrega en sí de los servicios
requeridos, lo que incluye la prestación del servicio, la
administración de la seguridad y de la continuidad, el
soporte del servicio a los usuarios, la administración de los
datos y de las instalaciones operacionales.
ENTREGAR Y DAR SOPORTE
Aclara las siguientes preguntas de la
gerencia: •¿Se están entregando los
servicios de TI de acuerdo con las
prioridades del negocio? •¿Están
optimizados los costos de TI? •¿Es
capaz la fuerza de trabajo de utilizar los
sistemas de TI de manera productiva y
segura? •¿Están implantadas de forma
adecuada la confidencialidad, la
integridad y la disponibilidad?
MONITOREAR Y EVALUAR
Todos los procesos de TI deben
evaluarse de forma regular en el
tiempo en cuanto a su calidad y
cumplimiento de los requerimientos
de control.
Este dominio abarca la administración
del desempeño, el monitoreo del
control interno, el cumplimiento
regulatorio y la aplicación del gobierno.
administrados.
MONITOREAR Y EVALUAR
Abarca las siguientes preguntas de la
gerencia: •¿Se mide el desempeño de TI
para detectar los problemas antes de que
sea demasiado tarde? •¿La Gerencia
garantiza que los controles internos son
efectivos y eficientes? •¿Puede vincularse
el desempeño de lo que TI ha realizado
con las metas del negocio? •¿Se miden
y reportan los riesgos, el control, el
cumplimiento y el desempeño?
Ejemplo: Supongamos la siguiente situación…
Evaluación del
Procedimientos cumplimiento de los
objetivos de control basados Objetivos de
de Selección del
Software en la Norma COBIT Control
¿DOMINIO?
Establecimiento
inadecuado de los
(PO) Planear y (AI1) Identificar
requerimientos Organizar soluciones automatizadas
funcionales
(ME) Monitorear (AI2) Adquirir y mantener

Se detectan fallas en
la puesta en marcha y Evaluar software
del sistema
automatizado
(ES) Entregar y (AI3) Adquirir y mantener

Debido a las fallas
dar soporte infraestructura TIC
los usuarios se
resisten a utilizar el
sistema
(AI) Adquirir e (AI4) Facilitar operación y
Implementar uso
AI1 Identificar soluciones automatizadas
AI1.1 Definición y mantenimiento de los requerimientos técnicos y

funcionales del negocio.
•Identificar, dar prioridades, especificar y acordar los requerimientos de negocio

funcionales y técnicos.
•Definir los criterios de aceptación de los requerimientos. Estas iniciativas deben

incluir todos los cambios requeridos dada la naturaleza del negocio, de los
procesos, de las aptitudes y habilidades del personal, su estructura
organizacional y la tecnología de apoyo.
•Establecer procesos para garantizar y administrar la integridad, exactitud y

la validez de los requerimientos del negocio, como base para el control de la
adquisición y el desarrollo continuo de sistemas.
AI1.2 Reporte de análisis de riesgos
Identificar, documentar y analizar los riesgos asociados con los procesos del
negocio como parte de los procesos organizacionales para el desarrollo de los
requerimientos. Los riesgos incluyen las amenazas a la integridad, seguridad,
disponibilidad y privacidad de los datos, así como el cumplimiento de las
leyes y reglamentos.
AI1.3 Estudio de factibilidad y formulación de cursos de acción

alternativos
Desarrollar un estudio de factibilidad que examine la posibilidad de implantar
los requerimientos.
AI1.4 Requerimientos, decisión de factibilidad y aprobación.

El patrocinador del negocio aprueba y autoriza los requisitos de negocio, tanto
funcionales como técnicos, y los reportes del estudio de factibilidad en las etapas
clave predeterminadas. Cada autorización va después de la terminación de las
revisiones de calidad.
Modelo de Madurez
Escala de medición creciente a partir de 0 (No existente) hasta 5
(Optimizado) para la evaluación de los procesos a partir de los objetivos
de control (IT Governance Institute, 2006).
No Existente Inicial Repetible Definido Administrado Optimizado
•0 •1 •2 •3 •4 •5
0 No se aplican procesos administrativos en lo absoluto

Estado Actual de la empresa
1 Los procesos son ad-hoc y desorganizados
Promedio de la Industria 2 Los procesos siguen un patrón regular
3 Los procesos se documentan y se comunican

Objetivo de la empresa 4 Los procesos se monitorean y se miden
5 Las buenas prácticas se siguen y se automatizan

Norma COBIT
COBIT es la fusión entre prácticas de
informática (ITIL, ISO/IEC 17799) y prácticas
de control (COSO), las cuales plantean tres
tipos de requerimientos de negocio para la
información:
•De calidad (calidad, costo y entrega de
servicio).
•Fiduciarios (efectividad y eficiencia de
operaciones, confiabilidad de la información y
cumplimiento de las leyes y regulaciones).
•De Seguridad (confidencialidad, integridad y
disponibilidad).
Terminología COBIT
Efectividad: Se refiere a que la información
relevante sea pertinente para el proceso del
negocio, así como la entrega oportuna sea
correcta, consistente y de manera utilizable ante
terceros, para poder cumplir con parte del
requerimiento fiduciario.
Eficiencia: Siguiendo los requerimientos del
negocio de la información, en cuanto a calidad-
costo, la eficiencia viene dada a través de la
utilización óptima (más productiva y económica)
de recursos.
Terminología COBIT
Confidencialidad: Se refiere a la protección de
información sensible contra divulgación no
autorizada. Cumple con el principio de calidad.
Integridad: Para el requerimiento de seguridad,
la integridad es la precisión y suficiencia de la
información, así como a su validez de acuerdo
con los valores y expectativas del negocio.
Disponibilidad: Se trata de la oportunidad de
entrega de la información cuando ésta sea
requerida por el proceso de negocio ahora y en
el futuro. También se refiere a la salvaguarda de
los recursos necesarios y capacidades
asociadas.
Terminología COBIT
Cumplimiento: Se refiere al cumplimiento de
aquellas leyes, regulaciones y acuerdos
contractuales a los que el proceso de negocios
está sujeto, por ejemplo, criterios de negocio
impuestos externamente.
Confiabilidad de la información: Es la
provisión de información apropiada para la
administración con el fin de operar la entidad y
para ejercer sus responsabilidades de reportes
financieros y de cumplimiento.
Bibliografía Referencial
•AUDITORIA DE SISTEMAS DE BARCELONA CONSULTORES (2004).
Auditoria de Sistemas. Home page URL: http://www.auditoriasistemas.com
(Consulta: Noviembre 2006).
•ECHENIQUE GARCÍA, JOSÉ (2001). Auditoría en Informática. 2da Edición.
McGraw Hill. México.
•INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (1998).
COBIT, marco referencial, objetivos de control para la información y
tecnología afines. 2da Edición.
•MUÑOZ RAZO, CARLOS. 2002. Auditoría en Sistemas Computacionales.
Pearson-Prentice Hall. México.
•RODRÍGUEZ R., FERNANDO (2006). Auditoría Informática en la
Administración: un reto para los profesionales TIC. Tecnimap. Comunicación
No. 043. España.
•PIATTINI, MARIO Y EMILIO DEL PESO (1998). Auditoría en Informática. Un
enfoque práctico. Editorial RAMA. España.
•RUIZ GONZÁLEZ, FRANCISCO (1999). Planificación y Gestión de Sistemas
de Información. 2da. Edición. COBIT-Universidad de Castilla. España.
•SYMANTEC ENTERPRISE SECURITY (2010). Symantec Internet Security
Threat Report. Trends for 2009. Vol XV. USA. Fuente: www.symantec.com
•VEGA, JAIME (2003). Auditoría de sistemas. Sección 9. Capítulo 53.
Enciclopedia de Auditoría. Editorial Océano Centrum. España.
Trabajo en Grupo #1
 HERRAMIENTAS PARA DISMINUIR LAS AMENAZAS
ALOS SISTEMAS DE INFORMACIÓN
AUTOMATIZADOS Y A LA INFORMACIÓN Antivirus
 Antispammer
 Antispyware
 Firewall
 Sistemas de claves de acceso
 Software para el control y bloqueo de dispositivos
extraíbles
 Encriptación de la información
 Certificados electrónicos
 Firmas digitales
 T okens
 Capacitación personal
Planeación en Auditoria
Informática
FASES DE LA AUDITORÍA
La auditoría en informática es el proceso de recolección y
evaluación de evidencias para determinar cuándo son
salvaguardados los activos de los sistemas
computarizados, de que manera se mantiene la
integridad de los datos y como se logran los objetivos
de la organización eficazmente y se usan los recursos
consumidos eficientemente.
La auditoría interna tiene el objetivo de apoyar a los miembros

de la organización en el desempeño de sus
responsabilidades.
Los auditores internos son responsables de proporcionar

información acerca de la adecuación y efectividad del
sistema de control interno de la organización y de la calidad
de la gestión
El auditor interno debe ser independiente de las actividades que

audita.
Las normas de auditoría interna comprenden:

 Las actividades auditadas y la objetividad de los auditores
internos.
 El conocimiento técnico, la capacidad y el cuidado

profesional de los auditores internos con los que deben
ejercer su función.
 El alcance del trabajo de auditoría interna en el área de
informática.
 El desarrollo de las responsabilidades asignadas a los
auditores internos responsables de la auditoría a
informática
Los auditores deben ser independiente y con un buen criterio
para no tomar decisiones subjetivas.
La objetividad es una actitud de independencia mental que los

auditores internos deben mantener al realizar las auditorias.
El departamento de auditoría interna deberá asignar a cada
auditoría a aquellas personas que en su conjunto posean los
conocimientos, la experiencia y la disciplina necesarios para
conducir apropiadamente la auditoría.
El departamento de auditoría interna deberá asegurarse:
 Que las auditorias sean supervisadas en forma apropiada.

La supervisión es un proceso continuo que comienza con la
planeación y termina con el trabajo de auditoría.
 Que los informes de auditoría sean precisos, objetivos,
claros, concisos, constructivos y oportunos.
 Que se cumplan los objetivos de la auditoría.
 Que la auditoría sea debidamente documentada y que

se conserve la evidencia apropiada de la supervisión.
 Que los auditores cumplan con las normas profesionales de
conducta.
 Que los auditores en informática posean los conocimientos,

experiencias y disciplinas esenciales para realizar sus
auditorias.
Cada auditor interno requiere de ciertos conocimientos y
experiencias:
 Se requiere pericia en la aplicación de las normas,

procedimientos y técnicas de auditoría interna para el
desarrollo de las revisiones.
 Tener la habilidad para aplicar conocimiento a posibles
situaciones que se presenten, reconocer las desviaciones
significativas y poder llevar a cabo las investigaciones
necesarias para alcanzar soluciones razonables.
Los auditores deberán evaluar si el empleo de los recursos
se realiza de forma económica y eficiente.
La administración es responsable de establecer los

estándares de operación para medir la eficiencia y
economía en el uso de los recursos.
Los auditores internos son responsables de determinar si:
 Los estándares para medir la economía y la eficiencia

en el uso de los recursos son los adecuados.
 Los estándares de operación establecidos han sido

entendidos y se cumplen.
 Las desviaciones a los estándares de operación se

identifican, analizan y se comunican a los responsables
para que se tomen las medidas correctivas.
 Se toman las medidas correctivas.

Las auditorias relacionadas con el uso económico y eficiente de
los recursos deberán i9dentificar situaciones tales como:
 Subutilización de instalaciones.
 Trabajo no productivos.
 Procedimientos que no justifican su costo.
 Exceso o insuficiencia de personal.
 Uso indebido de las instalaciones.

PLANEACIÓN DE LA AUDITORÍA EN
INFORMÁTICA
El trabajo de auditoría deberá incluir la planeación de la

auditoría, el examen y la evaluación de la información, la
comunicación de los resultados y el seguimiento.
INFORMÁTICA
La planeación deberá ser documentada e incluirá:

 El establecimiento de los objetivos y el alcance del trabajo.
 La obtención de información de apoyo sobre las actividades
que se auditarán.
INFORMÁTICA
 La determinación de los recursos necesarios para

realizar la auditoría.
 La determinación de los recursos necesarios para

realizar la auditoría.
 El establecimiento de la comunicación necesaria con

todos los que estarán involucrados en la auditoría.
INFORMÁTICA
 La realización, en la forma más apropiada, de una

inspección física para familiarizarse con las actividades
y controles a auditar, así como identificación de las
áreas en las que se deberá hacer énfasis al realizar la
auditoría y promover comentarios y la promoción de
los auditados.
INFORMÁTICA
 La preparación por escrito del programa de auditoría.

 La determinación de cómo, cuándo y a quién se le
comunicarán los resultados de la auditoría.
 La obtención de la aprobación del plan de trabajo de la
auditoría.
INFORMÁTICA
En el caso de la auditoría en informática, la planeación es

fundamental, pues habrá que hacerla desde el punto de
vista de varios objetivos:
 Evaluación administrativa del área de procesos

electrónicos.
 Evaluación de los sistemas y procedimientos.

INFORMÁTICA
 Evaluación de los equipos de cómputo.
 Evaluación del proceso de datos, de los sistemas y de los

equipos de cómputo (software, hardware, redes, bases de
datos, comunicaciones).
INFORMÁTICA
 Seguridad y confidencialidad de la información.
 Aspectos legales de los sistemas y de la información.

INFORMÁTICA
El proceso de planeación comprende el establecer:
 Metas.
 Programas de trabajo de auditoría.
 Planes de contratación de personal y presupuesto
financiero.
 Informes de actividades.
REVISIÓN PRELIMINAR
El primer paso en el desarrollo de la auditoría, después de la

planeación, es la revisión preliminar del área de informática.
El objetivo de la revisión preliminar es el de obtener la

información necesaria para que el auditor pueda tomar la
decisión de cómo proceder en la auditoría.
Al terminar la revisión preliminar el auditor puede

proceder en uno de los tres caminos siguientes:
1. Diseño de la auditoría. Puede haber problemas debido

a la falta de competencia técnica para realizar la
auditoría.
2. Realizar una revisión detallada de los controles

internos de los sistemas con la esperanza de que se
deposite la confianza en los controles de los
sistemas y de que una serie de pruebas sustantivas
puedan reducir las consecuencias.
3. Decidir el no confiar en los controles

internos del sistemas.
La RP significa la recolección de evidencias por medio

de: (1) entrevistas con el personal de la instalación,
(2) la observación de las actividades en la
instalación y (3) la revisión de la documentación
preliminar.
Las evidencias se pueden recolectar por medio de:
 Cuestionarios iniciales
 Entrevistas
 Documentación narrativa
Debemos considerar que ésta será solo una información inicial

que nos permitirá elaborar el plan de trabajo, la cual se
profundizará en el desarrollo de la auditoría.
REVISIÓN DETALLADA
Los objetivos de la fase detallada son los de obtener la

información necesaria para que el auditor tenga un
profundo entendimiento de los controles usados dentro del
área de informática.
REVISIÓN DETALLADA
En la fase de evaluación detallada es importante para el auditor

identificar las causas de las pérdidas existentes dentro de la
instalación y los controles para reducir las pérdidas y los
efectos causados por éstas.
EXAMEN Y EVALUACIÓN DE LA
INFORMACIÓN
Los auditores deberán obtener, analizar, interpretar y

documentar la información para apoyar los resultados de la
auditoría.
INFORMACIÓN
El proceso de examen y evaluación de la información es el

siguiente:
 Se deben obtener la información de todos los asuntos

relacionados con los objetivos y alcances de la
auditoría.
INFORMACIÓN
 La información deberá ser suficiente, competente, relevante

y útil para que proporcione bases sólidas en relación con los
hallazgos y recomendaciones de la auditoría.
INFORMACIÓN
 Los procedimientos de auditoría, incluyendo el

empleo de las técnicas de pruebas selectivas y el
muestreo estadístico, deberán ser elegidos con
anterioridad, cuando esto sea posible, y ampliarse o
modificarse cuando las circunstancias lo requieran.
INFORMACIÓN
 El proceso de recabar, analizar, interpretar y

documentar la información deberá supervisarse para
proporcionar una seguridad razonable de que la
objetividad del auditor se mantuvo y que las metas de
auditoría se cumplieron.
INFORMACIÓN
 Los documentos de trabajo de la auditoría, deberán

sewr preparados por los auditores y revisados por la
gerencia de auditoría. Estos documentos deberán
registrar la información obtenida y el análisis
realizado, y deben apoyar las bases de los hallazgos de
auditoría y las recomendaciones que se harán.
INFORMACIÓN
El auditor deberá discutir las conclusiones y recomendaciones

en los niveles apropiados de la administración antes de
emitir su informe final.
La opinión de los auditados respecto a este informe se los puede
incluir como anexos.
INFORMACIÓN
El director de auditoría en informática deberá establecer

un programa para seleccionar y desarrollar los
recursos, el cual debe contemplar:
 Descripciones de los puestos de cada nivel de
auditoría en informática.
 Selección de los individuos calificados y competentes.
INFORMACIÓN
 Entrenamiento y oportunidad de capacitación

profesional continua para todos y cada uno de los
auditores.
 Evaluación del trabajo de cada uno de los auditores

por lo menos una vez al año.
 Asesoría a los auditores en lo referente a su trabajo y a

su desarrollo profesional.
INFORMACIÓN
La supervisión del trabajo de los auditores en informática

deberá llevarse a cabo continuamente para asegurarse de
que está trabajando de acuerdo con las normas, políticas y
programas de auditoría en informática.
PRUEBAS DE CONSENTIMIENTO
El objetivo de la fase de prueba de consentimiento es el de

determinar si los controles internos operan como
fueron diseñados para operar. El auditor debe
determinar si los controles declarados en realidad
existen y si realmente trabajan confiablemente.
PRUEBAS DE CONTROLES DEL
USUARIO
En algunos casos el auditor puede decidir el no confiar en

los controles internos dentro de las instalaciones
informáticas, porque el usuario ejerce controles que
compensan cualquier debilidad dentro de los controles
internos de informática.
PRUEBAS DE CONTROLES DEL
USUARIO
Estas pruebas que compensan las deficiencias de los controles

internos se pueden realizar mediante cuestionarios,
entrevistas, vistas y evaluación hechas directamente con los
usuarios.
PRUEBAS SUSTANTIVAS
El objetivo de la fase de pruebas sustantivas es obtener

evidencia suficiente que permita al auditor emitir su
juicio en las conclusiones acerca de cuándo pueden
ocurrir pérdidas materiales durante el procesamiento
de la información.
PRUEBAS SUSTANTIVAS
Se pueden identificar ocho diferentes pruebas sustantivas:
 Pruebas para identificar errores en el procesamiento o

de falta de seguridad o confidencialidad.
 Pruebas para asegurar la calidad de los datos.

PRUEBAS SUSTANTIVAS
 Pruebas para identificar la inconsistencia de los datos.
 Pruebas para comparar con los datos o contadores

físicos.
 Confirmación de datos con fuentes externas

PRUEBAS SUSTANTIVAS
 Pruebas para confirmar la adecuada

comunicación.
 Pruebas para determinar falta de seguridad.
 Pruebas para determinar problemas de legalidad.

PRUEBAS SUSTANTIVAS
El auditor debe participar en tres estados del sistema:
 Durante la fase del diseño del sistema.

 Durante la fase de operación.
 Durante la fase posterior a la auditoría.
PRUEBAS SUSTANTIVAS
El que el auditor participe en el diseño del sistemas pueda

afectar a la independencia del mismo, existen formas
en las cuales se puede eliminar esto:
 Aumentando los conocimientos en informática del

auditor.
PRUEBAS SUSTANTIVAS
 Asignar diferentes auditores a la fase de diseño, al

trabajo de auditoría y al posterior a la auditoría.
 Crear una sección de auditoría en informática dentro
del departamento de auditoría interna, especializado
en auditoría en informática.
 Obtener mayor soporte de la alta gerencia.
PRUEBAS SUSTANTIVAS
Realizar una auditoría en informática es un trabajo

complejo. Para ello, para lograr los objetivos, el auditor
necesita dividir los sistemas en una serie de
subsistemas, identificando los componentes que
realizan las actividades básicas de cada subsistema.
PRUEBAS SUSTANTIVAS
Evaluar la confianza de cada componente, y la de los

subsistemas, y en forma agregada evaluar cada subsistema
hasta llegara a una evaluación global sobre la confianza
total del sistema.
PRUEBAS SUSTANTIVAS
“La suma de los óptimos parciales de los subsistemas no es igual al

óptimo del sistema, pero nos da una buena aproximación.”
PRUEBAS SUSTANTIVAS
Invesigación Investigación Prueba los Pruebas Conclusión

Preliminar detallada controles sustantivas
críticos
EVALUACIÓN DE LOS SISTEMAS DE
ACUERDO AL RIESGO
Una de las formas de evaluar la importancia que puede

tener para la organización de un determinado sistema,
es considerar el riesgo que implica el que no sea
utilizado adecuadamente, la pérdida de la información
o bien el que sea usado por personal ajeno a la
organización
ACUERDO AL RIESGO
Algunos sistemas de aplicaciones son de más alto riesgo

que otros debido a que:
 Son susceptibles a diferentes tipos de pérdida

económica.
Ejemplo: Fraudes y desfalcos entre los cuales están los

sistemas financieros
ACUERDO AL RIESGO
Las fallas pueden impactar grandemente a la organización.
Ejemplo: Una falla en el procesamiento de la nómina puede

tener como consecuencia una huelga.
Papeles de trabajo
 Son la herramienta y soporte en la planeación, organización y coordinación del examen de
auditoría, y a su vez brindan respaldo a la opinión del auditor. Estos se preparan de acuerdo al
criterio, experiencia y preferencia del auditor y se organizan teniendo en cuenta su uso y
contenido. Según José Dagoberto Pinilla[1] Define los papeles de trabajo así: “comprende el
conjunto de cédulas preparadas por el auditor y/o personal colaborador, con motivo del
desarrollo del programa de auditoría para obtener evidencia comprobatoria suficiente y
competente, que sirva como base objetiva para emitir una opinión independiente sobre el
objeto auditado”.
 Los papeles de trabajo son registros que mantiene el auditor de los procedimientos aplicados,
pruebas desarrolladas, información obtenida y conclusiones pertinentes a que se llegó en el
trabajo. Algunos ejemplos de papeles de trabajo son los programas de auditoría, los análisis,
los memorandos, las cartas de confirmación y declaración, resúmenes de documentos de la
compañía y cédulas o comentarios preparados u obtenidos por el auditor. Los papeles de
trabajo también pueden obtener la forma de información almacenada en cintas, películas u
otros medios.
Caso para análisis:
 El día anterior al cierre del mes, se presentó una incidencia en la
División de Informática: Uno de los equipos de comunicación E1,
instalado por el proveedor de acceso a internet, falló en forma
inesperada, por lo que se perdió la conectividad de los clientes al sitio
Web de la empresa, durante 4 horas, hasta que se pudo obtener el
soporte del mismo. Al revisar el equipo, se encontró que los
componentes electrónicos se dañaron por la falla del fusible de un UPS
que había sido reportado como dañado 15 días antes. Al revisar en
bodega, se tenía existencia de dicho fusible. Al consultar al personal
técnico, informaron que por tratarse de equipos externos, no tenían
autorización para acceder o manipular el mismo, por lo que se
limitaron a reportarlo. Adicionalmente, por norma de la empresa, si un
equipo no está registrado en el inventario, no puede comprársele
ningún tipo de repuesto o aplicarle servicio. Se le solicita:
 Explique 3 implicaciones de tener equipo ajeno a la empresa en la

misma.
 Los técnicos que analizaron el equipo, procedieron adecuadamente?

Por Qué?
REQUISITOS
 Nombre de la empresa a que se refieran
 Fecha de realización
 Título o descripción breve de su contenido
 Nombre del evaluador
 Fuentes o documentos objeto de evaluación
de los datos
 Descripción del contendido
 Resultados obtenidos o conclusiones
DEBEN CONTENER:
 Hoja de identificación.
 Índice de contenido de los papeles de trabajo.
 Dictamen preliminar (borrador)
 Resumen de desviaciones encontradas (Las más

importantes).
 Situaciones encontradas (situaciones, causas y soluciones)
 Programa de trabajo de auditoria.
 Guía de la auditoria.
 Inventarios: Hardware, software, periféricos,

instalaciones, mobiliario, según sea aplicable.
NO DEBEN CONTENER:
 NO SER COPIA DE LA CONTABILIDAD DE LA EMPRESA
 NO SER LA COPIA DE LOS ESTADOS FINANCIEROS
 NO SER COPIA DE LA AUDITORIA DEL AÑO PASADO

CLASIFICACIÓN
 Por su uso  Por su Contenido
 Continuo  Hojas de trabajo
 Temporal  Cédulas Sumarias
 Relaciones de Cuentas
 Cédulas de detalle o
analítica
Manejo de los papeles de
Trabajo
 Marcas
 Índices
 Asientos de Ajustes
 Reclasificación
Consideraciones
 Control
 Confidencialidad
 Propiedad
Procesamientos Electrónico
de Datos
 Conocimiento
 Utilización
 Apoyo
 Complejidad
CEDULA DE ANÁLISIS DE NOMBRE DE LA EMPRESA
Fecha de Realización Hora de Inicio Nombre del Evaluador
Area Evaluada:
Documento Evaluado: ¥
DOCUMENTO QUE SE ANALIZAN:

Nombre :
Objetivo:
Lugar de aplicación:
Responsable del Documento:
Responsable de Realización:
DESCRIPCIÓN DEL CONTENIDO:

 Accesos a Internet
 Rutas de acceso (Niveles de restricción)
 Claves de acceso (procedimientos de alta, bajas, reportes)
 Software de seguridad
RESULTADO DEL ANÁLISIS:

Instrumentos de recopilación de Información aplicables en
la A.S.
 Cuestionarios.
 Preguntas abiertas.
 Preguntas cerradas.
 Preguntas dicotómicas.
 Preguntas tricotómicas.
 De opción múltiple
 De opción de rangos o grupos.
 Gradación (Preguntas de grados opuestos)
 Preguntas testigo.
 Preguntas Matriz.
la A.S.
 Entrevistas
 Ciclo de la entrevista de auditoría.
 Tipos de entrevistas para una auditoria.

 Entrevistas libres.
 Entrevistas dirigidas.
 Entrevistas de exploración.
 Entrevistas de comprobación.
 Entrevistas de información.
 Entrevistas Informales.
 Tipos de preguntas para en trevistas.

 Abiertas.
 Cerradas.
 Sondeo
 Cierre
la A.S.
 Formas de realizar las entrevistas.
 Entrevistas tipo embudo. De lo general a lo concreto.
 Entrevistas tipo pirámide. De lo Cerrado a lo General.
 Entrevistas tipo diamante.
 Entrevistas tipo reloj de arena.
 Formas de recopilar la información en las entrevistas.

 Entrevistas grabadas.
 Tomar notas
 Captar lo esencial sin notas.
 Otras formas ( De segunda mano, ocultas, disfrazadas)
la A.S.
 Ventajas de los cuestionarios.
 Facilitan la recopilación de la información y no

necesitan muchas explicaciones ni una gran preparación
para aplicarlos.
 Permiten rápida tabulación e interpretación de los

datos, con la confiabilidad requerida.
 Evitan la dispersión de la información, al centrarse en

preguntas de elección forzosa.
 Rápidos de aplicar, recopilan mucha información en

poco tiempo.
 Fácil de capturar, concentrar y obtener información útil

usando la computador.
la A.S.
 Desventajas de los cuestionarios.
 Falta de profundidad de las respuestas.
 Se necesita buena elección del universo y las muestras

utilizadas.
 Puede provocar la obtención de datos equivocados si se

formulan mal las preguntas.
 La Interpretación y el análisis puede ser muy simple, si

no se recopilan todos los puntos requeridos.
 Limitan la participación del auditado, si éste puede

evadir preguntas importantes.
 Hace impersonal la participación del personal auditado.

CEDULA DE ANALISIS DE SEGURIDAD
LÓGICA
CEDULA DE ANALISIS DE SEGURIDAD
FISICA
CEDULA DE ANALISIS DEL
PERSONAL
CEDULA DE ENTREVISTA
GUIA DE LA ENTREVISTA
 Aspectos generales para todas las entrevistas
 Persona evaluada
 Nombre de puesto
 Puesto del jefe inmediato
 Puesto a los que reporta
 Puestos de las personas que reportan al entrevistado
 Número de personas
 Descripción de actividades diarias del puesto
 Actividades Periódicas
 Actividades Eventuales
 ¿Con qué manuales cuenta para el desempeño de su puesto?
 ¿Cuáles políticas se tienen establecidas para el puesto?
 Señale alguna laguna en cuanto a su organización, puesto, o procesos que
realice:
 ¿Considera que tiene cargas en su trabajo?
 ¿Cómo las maneja o controla?
 ¿Con que frecuencia recibe capacitación y de que tipo?
 ¿Cómo considera el ambiente de trabajo?
 Específicos para seguridad lógica
 ¿Hay controles establecidos para el seguimiento de los procedimientos que realiza?
 ¿Quién los define?
 ¿Están en funcionamiento?
 ¿Se actualizan?
 ¿Qué tipo de controles existen en su área?
 ¿Es necesario modificarlos para que funcionen mejor?
 ¿Hacen falta mas controles en su área?
 ¿Con qué frecuencia hay desviaciones?
 ¿Si existen desviaciones, se informan a los niveles?
 ¿Se toman las acciones correctivas si existen desviaciones?
 ¿Se revisan periódicamente los elementos del control interno?
 ¿La empresa cuenta con un manual general de sistemas y procedimientos?
 ¿Se actualizan periódicamente los manuales?
 ¿Existen sistemas y procedimientos formales y documentados para el control de su área por

aplicaciones?
 Específicos para seguridad física
 ¿Existe algún procedimiento para autorización de ingreso de personas
externas (de otra área o empresas)?
 ¿Formas de autenticación que validan el ingreso?
 ¿Quiénes autorizan el ingreso al centro de cómputo?
 ¿Quiénes solicitan el ingreso?
 ¿Con cuanto tiempo de anticipación se solicita el ingreso de externos
(de área o empresas) al centro?
 ¿Se tiene algún formulario para la dicha solicitud?
 ¿Si no existe formulario de qué manera se hace la solicitud?
 ¿Qué datos se necesitan para la autorización del ingreso?
 ¿Existe una bitácora de registro de los visitantes?
 ¿Hay algún procedimiento de revisión de bitácoras?
 ¿De ser afirmativo quienes lo revisan?
 ¿Hay procedimiento que constata la salida del visitante?
 ¿Existe algún procedimiento para autorización de ingreso de equipo
al centro de cómputo?
 Describa el procedimiento brevemente?
 ¿Existe algún procedimiento para autorización de egreso de equipo?
 ¿Describa el procedimiento brevemente?
 De el personal
 ¿Existen políticas para contratación de familiares dentro del
centro de cómputo?
 ¿Cuál es el nivel de escolaridad mínima requerida para
contratación?
 ¿Cualidades requeridas del personal a contratar?
 ¿Existe un procedimiento definido para el requerimiento de
personal?
 ¿Si la respuesta es si descríbalo brevemente?
 ¿Se realizan evaluaciones de desempeño?
 ¿Con qué periodicidad?
 ¿Quién las realiza?
 ¿Criterios relevantes de la evaluación?
Aplicación
Aplicación
Aplicación
Aplicación
INTRODUCCIÓN
La descentralización de los equipos de
cómputo y la centralización de la información.
Auditoría a los procesos que involucran

tecnología de información.
El Informe de Auditoría es el producto final y

el exponente de calidad del trabajo de auditoría.
En el informe de auditoría solamente se deben

PROCEDIMIENTO PARA ELABORAR
EL INFORME DE AUDITORIA DE SISTEMAS
Aplicar instrumentos de recopilación 1
Registrar las desviaciones halladas durante la

2
revisión en el formato de situaciones encontradas
Comentar las situaciones encontradas

con los auditados 3
Encontrar las causas de las desviaciones 4

y sus posibles soluciones con los auditados
Analizar, depurar y corregir las

desviaciones encontradas 5
Jerarquizar las desviaciones encontradas

6 más relevantes situaciones relevantes
Comentar situaciones relevantes con los directivos

confirmando las causas y soluciones 7
Concentrar, depurar y elaborar el
8 informe final y el dictamen del auditor
Presentación del informe y dictamen 9

final a los directivos de la empresa
CARACTERÍSTICAS DEL INFORME DE
AUDITORIA DE SISTEMAS
 Características de fondo
 Características de forma
Características de la presentación
del informe
 Claridad  Oportunidad
 Confiabilidad  Precisión
 Propiedad  Exactitud
 Concisión  Imparcialidad
 Sencillez  Objetividad
 Acertividad  Congruencia
 Ilación  Familiaridad
 Tono y fuerza  Veracidad
 Sintaxis  Efectividad
Estructura del informe de auditoria
de sistemas computacionales
Oficio de Presentación
Introducción
Dictamen de la Auditoria
Situaciones Encontradas
Situaciones Relevantes
Anexos
Confirmaciones en Papeles de Trabajo

APLICACION
APLICACION
DICTAMEN
SITUACIONES ENCONTRADAS
SITUACIONES RELEVANTES
CONCLUSIONES
El auditor informático ha de velar por la correcta
utilización de los recursos de T.I.
Para la realización de una auditoría informática eficaz,

se debe entender a la empresa en su más amplio sentido.
Para poder evaluar un sistema de cómputo hay que

conocerlo desde el inicio hasta el final.
El párrafo de opinión debe de mostrar claramente el

juicio final del auditor.
RECOMENDACIONES
Contar en todo momento, con el apoyo de la gerencia o el alto
mando.
El párrafo introductorio debe contener un amplio resumen de

la auditoría, y un enfoque a las personas responsables en la
organización.
El informe de auditoría solamente debe contener hechos

importantes.
Los hechos encontrados por el auditor implican la existencia

COBIT (Objetivos de Control para la información y
Tecnologías relacionadas)
 Las mejores prácticas en auditoria recomiendan Cobit como la herramienta estándar para tecnologías de
información más utilizada en la ejecución de auditorías; a continuación se explica detalladamente algunos
conceptos manejados por ésta y los dominios, procesos y actividades que lo conforman
 Efectividad. Se refiere a que la información relevante sea pertinente para el proceso del negocio, así como
a que su entrega sea oportuna, correcta, consistente y de manera utilizable.
 Eficiencia. Se refiere a la provisión de información a través de la utilización óptima (más productiva y

económica) de recursos.
 Confidencialidad. Se refiere a la protección de información sensible contra divulgación no autorizada.
 Integridad. Se refiere a la precisión y suficiencia de la información, así como a su validez de acuerdo con los
valores y expectativas del negocio.
 Disponibilidad. Se refiere a la disponibilidad de la información cuando ésta es requerida por el proceso de

negocio ahora y en el futuro. También se refiere a la salvaguarda de los recursos necesarios y capacidades
asociadas.
 Cumplimiento. Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el
proceso de negocios está sujeto, por ejemplo, criterios de negocio impuestos externamente.
 Confiabilidad de la información. Se refiere a la provisión de información apropiada para la administración con

el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento.
 Datos. Los elementos de datos en su más amplio sentido, (por ejemplo, externos e internos), estructurados y no
estructurados, gráficos, sonido, etc.
Niveles de Cobit:
 La estructura del estándar Cobit se divide en dominios que
son agrupaciones de procesos que corresponden a una
responsabilidad personal, procesos que son una serie de
actividades unidas con delimitación o cortes de control y
objetivos de control o actividades requeridas para lograr un
resultado medible.
Organigrama COBIT
Dominios
Adquirir e Entregar y dar Monitorear y Planificar y

implementar soporte Evaluar Organizar
Planificar y Adquirir e Entregar y Monitorear y
Organizar implementar dar Soporte Evaluar
PO1 Definir un AI1 Identificar DS1 Definir y ME1 Monitorear y

Plan Estratégico de soluciones administrar los Evaluar el
TI automatizadas niveles de servicio Desempeño de TI
PO2 Definir la AI2 Adquirir y DS2 Administrar ME2 Monitorear y

Arquitectura de la Mantener Software los Servicios de Evaluar el Control
Información Aplicativo Terceros Interno
AI3 Adquirir y ME3 Garantizar el

PO3 Determinar la DS3 Administrar el
Mantener Cumplimiento con
Dirección Desempeño y la
Infraestructura Requerimientos
Tecnológica Capacidad
Tecnológica Externos
PO4 Definir los

DS4 Garantizar la
Procesos, AI4 Facilitar la ME4 Proporcionar
Continuidad del
Organización y Operación y el Uso Gobierno de TI
Servicio
Relaciones de TI
DS5 Garantizar la
PO5 Administrar la AI5 Adquirir
Seguridad de los
Inversión en TI Recursos de TI
Sistemas
PO6 Comunicar las

Aspiraciones y la AI6 Administrar DS6 Identificar y
Dirección de la Cambios Asignar Costos
Gerencia
AI7 Instalar y
PO7 Administrar DS7 Educar y
Acreditar
Recursos Humanos Entrenar a los
Soluciones y
de TI Usuarios
Cambios
DS8 Administrar la
PO8 Administrar la
Mesa de Servicio y
Calidad
los Incidentes
PO9 Evaluar y
DS9 Administrar la
Administrar los
Configuración
Riesgos de TI
DS10
PO10 Administrar
Administración de
Proyectos
Problemas
DS11
Administración de
Datos
DS12
Administración del
Ambiente Físico
DS13
Administración de
Operaciones
Se definen 34 objetivos de control generales, uno
para cada uno de los procesos de las TI.
 Dominio: Planificación y Organización
 Cubre la estrategia y las tácticas, se refiere a la identificación

de la forma en que la tecnología información puede
contribuir de la mejor manera al logro de los objetivos de la
organización. La consecución de la visión estratégica debe
ser planeada, comunicada y administrada desde diferentes
perspectivas y debe establecerse una organización y una
infraestructura tecnológica apropiadas.
 PO1 Definición de un plan Estratégico: El objetivo es lograr un balance óptimo entre las oportunidades de tecnología de información y los requerimientos de TI de
negocio, para asegurar sus logros futuros.
 PO2 Definición de la arquitectura de Información: El objetivo es satisfacer los requerimientos de la organización, en cuanto al manejo y gestión de los sistemas de
información, a través de la creación y mantenimiento de un modelo de información de la organización
 PO3 Determinación de la dirección tecnológica: El objetivo es aprovechar al máximo de la tecnología disponible o tecnología emergente, satisfaciendo los
requerimientos de la organización, a través de la creación y mantenimiento de un plan de infraestructura tecnológica.
 PO4 Definición de la organización y de las relaciones de TI: El objetivo es la prestación de servicios de TI, por medio de una organización conveniente en número y
habilidades, con tareas y responsabilidades definidas y comunicadas.
 PO5 Manejo de la inversión: El objetivo es la satisfacción de los requerimientos de la organización, asegurando el financiamiento y el control de desembolsos de
recursos financieros.
 PO6 Comunicación de la dirección y aspiraciones de la gerencia: El objetivo es asegurar el conocimiento y comprensión de los usuarios sobre las aspiraciones de la
gerencia, a través de políticas establecidas y transmitidas a la comunidad de usuarios, necesitándose para esto estándares para traducir las opciones estratégicas en
reglas de usuario prácticas y utilizables.
 PO7 Administración de recursos humanos: El objetivo es maximizar las contribuciones del personal a los procesos de TI, satisfaciendo así los requerimientos de
negocio, a través de técnicas sólidas para administración de personal.
 PO8 Asegurar el cumplimiento con los requerimientos Externos: El objetivo es cumplir con obligaciones legales, regulatorias y contractuales, para ello se realiza una
identificación y análisis de los requerimientos externos en cuanto a su impacto en TI, llevando a cabo las medidas apropiadas para cumplir con ellos.
 PO9 Evaluación de riesgos: El objetivo es asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisión de servicios de TI, mediante la
participación de la propia organización en la identificación de riesgos de TI y en el análisis de impacto, tomando medidas económicas para mitigar los riesgos
 PO10 Administración de proyectos: El objetivo es establecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto de inversión, para ello se
realiza una identificación y priorización de los proyectos en línea con el plan operacional por parte de la misma organización. Además, la organización deberá adoptar y
aplicar sólidas técnicas de administración de proyectos para cada proyecto emprendido
 PO11 Administración de calidad: El objetivo es satisfacer los requerimientos del cliente. Mediante una planeación, implementación y mantenimiento de estándares y
sistemas de administración de calidad por parte de la organización.
Dominio: Adquisición e
implementación
 Para llevar a cabo la estrategia de TI, las soluciones de Ti
deben ser identificadas, desarrolladas o adquiridas, así
como implementadas e integradas dentro del proceso del
negocio. Además, este dominio cubre los cambios y el
mantenimiento realizados a sistemas existentes.
 AI1 Identificación de Soluciones Automatizadas: El objetivo es asegurar el mejor enfoque para cumplir con
los requerimientos del usuario, mediante un análisis claro de las oportunidades alternativas comparadas
contra los requerimientos de los usuarios.
 AI2 Adquisición y mantenimiento del software aplicativo: El objetivo es proporcionar funciones

automatizadas que soporten efectivamente la organización mediante declaraciones específicas sobre
requerimientos funcionales y operacionales y una implementación estructurada con entregables claros.
 AI3 Adquisición y mantenimiento de la infraestructura tecnológica: El objetivo es proporcionar las

plataformas apropiadas para soportar aplicaciones de negocios mediante la realización de una evaluación del
desempeño del hardware y software, la provisión de mantenimiento preventivo de hardware y la instalación,
seguridad y control del software del sistema.
 AI4 Desarrollo y mantenimiento de procedimientos: El objetivo es asegurar el uso apropiado de las

aplicaciones y de las soluciones tecnológicas establecidas, mediante la realización de un enfoque estructurado
del desarrollo de manuales de procedimientos de operaciones para usuarios, requerimientos de servicio y
material de entrenamiento.
 AI5 Instalación y aceptación de los sistemas: El objetivo es verificar y confirmar que la solución sea adecuada
para el propósito deseado mediante la realización de una migración de instalación, conversión y plan de
aceptaciones adecuadamente formalizadas.
 AI6 Administración de los cambios: El objetivo es minimizar la probabilidad de interrupciones, alteraciones

no autorizadas y errores, mediante un sistema de administración que permita el análisis, implementación y
seguimiento de todos los cambios requeridos y llevados a cabo a la infraestructura de TI actual.
Dominio: Servicios y
soporte
 En este dominio se hace referencia a la entrega de los
servicios requeridos, que abarca desde las operaciones
tradicionales hasta el entrenamiento, pasando por seguridad
y aspectos de continuidad. Con el fin de proveer servicios,
deberán establecerse los procesos de soporte necesarios. Este
dominio incluye el procesamiento de los datos por sistemas
de aplicación, frecuentemente clasificados como controles de
aplicación.
 DS1 Definición de niveles de servicio: El objetivo es establecer una comprensión común del nivel
de servicio requerido, mediante el establecimiento de convenios de niveles de servicio que
formalicen los criterios de desempeño contra los cuales se medirá la cantidad y la calidad del
servicio.
 DS2 Administración de servicios prestados por terceros: El objetivo es asegurar que las tareas y
responsabilidades de las terceras partes estén claramente definidas, que cumplan y continúen
satisfaciendo los requerimientos, mediante el establecimiento de medidas de control dirigidas a la
revisión y monitoreo de contratos y procedimientos existentes, en cuanto a su efectividad y
suficiencia, con respecto a las políticas de la organización.
 DS3 Administración de desempeño y capacidad: El objetivo es asegurar que la capacidad

adecuada está disponible y que se esté haciendo el mejor uso de ella para alcanzar el desempeño
deseado, realizando controles de manejo de capacidad y desempeño que recopilen datos y
reporten acerca del manejo de cargas de trabajo, tamaño de aplicaciones, manejo y demanda de
recursos.
 DS4 Asegurar el Servicio Continuo: El objetivo es mantener el servicio disponible de acuerdo con
los requerimientos y continuar su provisión en caso de interrupciones, mediante un plan de
continuidad probado y funcional, que esté alineado con el plan de continuidad del negocio y
relacionado con los requerimientos de negocio.
 DS5 Garantizar la seguridad de sistemas: El objetivo es salvaguardar la información contra uso

no autorizados, divulgación, modificación, daño o pérdida, realizando controles de acceso lógico
que aseguren que el acceso a sistemas, datos y programas está restringido a usuarios autorizados.
 DS6 Educación y entrenamiento de usuarios: El objetivo es asegurar que los usuarios estén
haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y responsabilidades
involucrados realizando un plan completo de entrenamiento y desarrollo.
 DS7 Identificación y asignación de costos: El objetivo es asegurar un conocimiento correcto
atribuido a los servicios de TI realizando un sistema de contabilidad de costos asegure que éstos
sean registrados, calculados y asignados a los niveles de detalle requeridos.
 DS8 Apoyo y asistencia a los clientes de TI: El objetivo es asegurar que cualquier problema
experimentado por los usuarios sea atendido apropiadamente realizando una mesa de ayuda
que proporcione soporte y asesoría de primera línea.
 DS9 Administración de la configuración: El objetivo es dar cuenta de todos los componentes de

TI, prevenir alteraciones no autorizadas, verificar la existencia física y proporcionar una base
para el sano manejo de cambios realizando controles que identifiquen y registren todos los
activos de TI así como su localización física y un programa regular de verificación que confirme
su existencia.
 DS10 Administración de Problemas: El objetivo es asegurar que los problemas e incidentes

sean resueltos y que sus causas sean investigadas para prevenir que vuelvan a suceder
implementando un sistema de manejo de problemas que registre y haga seguimiento a todos
los incidentes.
 DS11 Administración de Datos: El objetivo es asegurar que los datos permanezcan completos,
precisos y válidos durante su entrada, actualización, salida y almacenamiento, a través de una
combinación efectiva de controles generales y de aplicación sobre las operaciones de TI.
Dominio: Monitoreo
 Todos los procesos de una organización necesitan ser
evaluados regularmente a través del tiempo para verificar
su calidad y suficiencia en cuanto a los requerimientos de
control, integridad y confidencialidad.
 M1 Monitoreo del Proceso: El objetivo es asegurar el logro de los objetivos establecidos para
los procesos de TI. Lo cual se logra definiendo por parte de la gerencia reportes e indicadores
de desempeño gerenciales y la implementación de sistemas de soporte así como la atención
regular a los reportes emitidos.
 M2 Evaluar lo adecuado del Control Interno: El objetivo es asegurar el logro de los objetivos
de control interno establecidos para los procesos de TI.
 M3 Obtención de Aseguramiento Independiente: El objetivo es incrementar los niveles de

confianza entre la organización, clientes y proveedores externos. Este proceso se lleva a cabo a
intervalos regulares de tiempo.
 M4 Proveer Auditoria Independiente: El objetivo es incrementar los niveles de confianza y

beneficiarse de recomendaciones basadas en mejores prácticas de su implementación, lo que se
logra con el uso de auditorías independientes desarrolladas a intervalos regulares de tiempo.
METODOLOGÍA PARA REALIZAR AUDITORÍA
Etapa de Planeación de la Auditoria
 El primer paso para realizar una auditoría de sistemas es la planeación de cómo se va a
ejecutar la auditoria, donde se debe identificar de forma clara las razones por las que se
va a realizar la auditoria, la determinación del objetivo de la misma, el diseño de
métodos, técnicas y procedimientos necesarios para llevarla a cabo y para la solicitud de
documentos que servirán de apoyo para la ejecución, terminando con la elaboración de
la documentación de los planes, programas y presupuestos para llevarla a cabo.
1) Origen de la auditoría
2) Visita preliminar
3) Establecer objetivos
4) Determinar los puntos que deben ser evaluados
5) Elaborar planes, presupuestos y programas
6) Seleccionar las herramientas, técnicas, metodos y procedimientos
que serán utilizados en la auditoría
7) Asignar los recursos y sistemas para la auditoría
8) Aplicar la auditoría
9) Identificar desviaciones y elaborar borrador de informe
10) Presentar desviaciones a discusión
11) Elaborar borrador final de desviaciones
12) Presentar el informe de auditoría
1a etapa: Planeación de la auditoría de
sistemas computacionales
 P.1 Identificar el origen de la auditoría
 P.2 Realizar una visita preliminar al área que será evaluada
 P.3 Establecer los objetivos de la auditoría
 P.4 Determinar los puntos que serán evaluados en la auditoría
 P.5 Elaborar planes, programas y presupuestos para realizar la

auditoría
 P.6 Identificar y seleccionar los métodos, herramientas,

instrumentos y procedimientos necesarios para la auditoría
 P.7 Asignar los recursos y sistemas computacionales para la

auditoría
2a etapa: Ejecución de la
auditoría de sistemas
computacionales
 E.1 Realizar las acciones programadas para la auditoría

E.2 Aplicar los instrumentos y herramientas para la auditoría

E.3 Identificar y elaborar los documentos de desviaciones
encontradas
 E.4 Elaborar el dictamen preliminar y presentarlo a discusión

E.5 Integrar el legajo de papeles de trabajo de la auditoría
3a etapa: Dictamen de la auditoría
de sistemas computacionales
 D.1 Analizar la información y elaborar un informe de situaciones
detectadas
 D.2 Elaborar el dictamen final
 D.3 Presentar el informe de auditoría

Tabla 1:
Etapas
proceso
de
autoría
de
sistemas
PLAN DE AUDITORIA O MEMORANDO DE PLANEACIÓN
 Una vez se haya seleccionado la empresa, el área o sistema a evaluar lo

primero que se debe hacer es determinar el obejtivo que se pretende en la
auditoría.
 En general quien contrata el proceso de auditoría es que que define cuál es el

objetivo de la auditoría, pero cuando se trata de seleccionar el objetivo
primero se hace un reconocimiento de la empresa, el área o sistema mediante
visitas de campo para determinar cuales son las vulnerabilidades, amenazas y
riesgos a que se enfrenta la organización.
 El objetivo se definirá teniendo en cuenta el área o sistema donde se presentan

mayores dificultades, ya sea por la probabilidad de ocurrencia de los riesgos o
por el impacto que estos pueden causar de llegar a concretarse el riesgo.
INDICACIONES PARA ELABORAR EL
PLAN DE AUDITORIA
 El objetivo general de la Auditoria
 Una vez definido el objetivo de la auditoría, se desglosa los ítems que

serán evaluados (hardware, software, redes, sistemas de información,
bases de datos, seguridad física, seguridad lógica, otros)
 De cada uno de ellos se debe definir el alcance donde se especifica que

aspectos se tendrán en cuanta en cada ítem evaluado.
 Una vez está definido el objetivo general, para alcanzarlo se definen

los objetivos específicos teniendo en cuenta la metodología de la
auditoría que se descompone en tres o cuatro fases dependiendo si
es una auditoría interna o es una auditoría externa, para cada fase
será necesario definir un objetivo específico que permita cumplirlo.
Como se puede mirar en el cuadro anterior las fases de la auditoría en
general son las siguientes: conocer el sistema, planear la auditoría,
ejecutar la auditoría, y la fase de resultados, para cada fase se define
un objetivo específico.
 Por ejemplo, si la fuente de la auditoría es el gerente, el informará que aspectos quiere que sean auditados
y la intencionalidad de llevar a cabo el proceso, una vez conocidos los aspectos que se desea sean
auditados, se procede a realizar visitas al sitio "in situ" a el área o sistema para hacer la observación y
entrevistas con el administrador del área informática, los empleados de dicha área, los sistemas de
información y usuarios para detectar posibles vulnerabilidades y amenazas que puedan ocasionar riesgos
potenciales.
 Si las vulnerabilidades y amenazas se presentan en las redes, conectividad y el servicio de internet y

en la infraestructura tecnológica de hardware, el objetivo podría ser: Realizar la auditoría a la red de
datos y la infraetructura de hardware que soportan los sistemas de información en la empresa "xxxxxx"
de la ciudad de "xxxxxx”
 De acuerdo a este objetivo se definen los objetivos específicos teniendo en cuanta las etapas de la
auditoría, por ejemplo:
 Objetivo 1: Conocer las redes de datos y la infraestructura tecnológica que soportan los sistemas de
información con el fin de analizar los riesgos que puedan presentarse en la funcionalidad de los
sistemas de información y servicios que se prestan mediante visitas a la empresa y entrevistas con
empleados y usuarios.
 Objetivo 2: Elaborar el plan de auditoría, y programa de auditoría teniendo en cuenta los estándares
que serán aplicados para hacer el diseño de los instrumentos de recolección y plan de pruebas que
serán aplicados en el proceso de auditoría con el fin de obtener una información confiable para
realizar el dictamen.
 Objetivo 3: Aplicar los instrumentos de recolección de información y pruebas que se han diseñado
para determinar los riesgos existentes en la red de datos y la infraestructura tecnológica de acuerdo a
las vulnerabilidades y amenazas que se han evidenciado preliminarmente con el fin de hacer la
valoración de los riesgos que permitan medir la probabilidad de ocurrencia y el impacto que causa en
la organización.
 Objetivo 4: De acuerdo a los hallazgos comprobados mediante pruebas, elaborar el dictamen de la

auditoría de acuerdo al nivel de madurez en los procesos evaluados, determinar el tratamiento de los
riesgos y definir posibles soluciones que serán recomendadas en el informe final para se entrega a
quien originó la auditoría
 Una vez definidos los objetivos de la auditoría, para cada ítem se
menciona los aspectos más relevantes que serán evaluados en cada
uno de ellos. Por ejemplo, los alcances serían
De la red de datos se evaluará los siguientes aspectos:
 - El inventario hardware de redes
 - La obsolescencia del hardware y cableado estructurado
 - El cumplimiento de la norma de cableado estructurado
 - La seguridad en la red de datos
Del servicio de internet se evaluará:
 - El contrato con la empresa que presta el servicio de internet
 - La seguridad que brinda el operador para el servicio de
internet
 - La seguridad de la red inalámbrica wifi
 - La monitorización de la red por parte del administrador
 Acontinuación se presenta un ejemplo con el primer
objetivo formulado:
 Metodología para Objetivo 1: Conocer las redes de datos
que soportan la infraestructura tecnológica con el fin de
analizar algunos de los riesgos que puedan presentarse
realizando visitas a la empresa y entrevistas con los
usuarios.
 - Solicitar la documentación de los planos de la red
 - Solicitar el inventario del hardware de las redes
 - Realizar una entrevista inicial con el encargado de
administrar la red
 Realizar pruebas de seguridad en las redes para
determinar las vulnerabilidades
 - Conocer los problemas más frecuentes en la red
por parte de los usuario
 Posteriormente se hace una relación de los recursos que uno necesita para desarrollar la
auditoría, en este caso los recursos se dividen en talento humano que serán los
integrantes del equipo auditor, los recursos físicos que son el sitio o empresa donde se
llevará a cabo la auditoría, los recursos tecnológicos (el hardware, cámaras, grabadoras
digitales, memorias, celulares y el software que se necesite para pruebas) y los recursos
económicos que se presentan en una tabla de presupuesto.
 Recursos humanos: Nombres y apellidos del grupo audi
 Recursos físicos: La auditoría se llevará a cabo en el área informática de la empresa

xxxxx.
 Recursos tecnológicos: grabadora digital para entrevistas, cámara fotográfica para

pruebas que servirán de evidencia, computador portátil, software para pruebas de
auditoría sobre escaneo y tráfico en la red
 Recursos económicos:
 Ítem Cantidad subtotal
 Computador 2 2.000.000
 Cámara digital 1 400.000
 Grabadora digital 1 120.000
 Otros
 Total 0000000000
PLAN DE A.I
Antecedentes: En las Aulas de informática de una Institución educativa se realiza anualmente un plan de seguimiento a todos los
procesos técnicos y académicos de la institución, esto debido a que las instituciones requieren la acreditación de calidad en el
manejo de sus procesos y para ello se hace necesario realizar auditorías internas permanentes y de tipo externo periódicamente
para lograrlo.
Uno de los recursos tecnológicos disponibles en las instituciones educativas es el de la red de datos que opera en las diferentes
sedes y que generalmente se encuentra certificada bajo la normas de la IEEE\EIA\TIA, las cuales se deben cumplir estrictamente.
Objetivos
· Objetivo general: Realizar la revisión y verificación del cumplimiento de normas mediante una auditoría a la infraestructura
física de la red de datos en una de las instituciones educativas.
· Objetivos específicos:
· Planificar la auditoría que permita identificar las condiciones actuales de la red de datos de la institución educativa.
· Aplicar los procesos de auditoría teniendo en cuenta el modelo estándar de auditoría COBIT como herramienta de apoyo en el
proceso inspección de la red de datos de la institución educativa.
· Identificar las soluciones para la construcción de los planes de mejoramiento a la red de la institución educativa de acuerdo a los
resultados obtenidos en la etapa de aplicación del modelo de auditoría.

PAI
Alcance y delimitación: La presente auditoria pretende identificar las condiciones actuales del hardware, la red de datos y eléctrica
de la institución educativa, con el fin de verificar el cumplimiento de normas y la prestación del servicio de internet para optimizar el
uso de los recursos existentes para mejorar el servicio a los usuarios.
 Los puntos a evaluar serán los siguientes
 De las instalaciones físicas se evaluará:
 · Instalaciones eléctricas
 · Instalación cableado de la red de datos
 · Sistemas de protección eléctricos
 . Seguridad de acceso físico a las instalaciones
 De equipos o hardware se evaluará:
 · Inventarios de hardware de redes y equipos
 · Mantenimiento preventivo y correctivo de equipos y redes
 . Hojas de vida de los equipos de cómputo y redes
 · Los programas de mantenimiento de los equipos de computo y redes
 · Revisión de informes de mantenimiento
 . Personal encargado de mantenimiento
 . Obsolescencia de la tecnología
 Metodología: Para el cumplimiento de los objetivos planteados en la auditoría, se realizaran las siguientes
actividades:
 1. Investigación preliminar: visitas a la institución para determinar el estado actual de la organización,

entrevistas con administradores y usuarios de las redes para determinar posibles fallas, entrevistas con
administrador y usuarios para determinar la opinión frente al hardware existente y obsolecencia de equipos.
 2. Recolectar información: Diseño de formatos de entrevistas, diseño de formatos para listas de chequeo, diseño
de formatos para cuestionarios, diseño del plan de pruebas, selección del estándar a aplicar, elaboración del
programa de auditoría, distribución de actividades para los integrantes del grupo de trabajo.
 3. Aplicación de instrumentos: Aplicar entrevistas al adminsitrador y usuarios, aplicar listas de chequeo para
verificar controles, aplicar cuestionarios para descubrir nuevos riesgos y conformar los que han sido
detectados anteriormente.
 4. Ejecucción de las pruebas: ejecutar las pruebas para determinar la obsolecencia del hardware, ejecutar
pruebas sobre la red, ejecutar pruebas para comprobar la correspondencia de los inventarios con la realidad.
 5. Realizar el proceso de análisis y evaluación de riesgos: elaborar el cuadro de vulnerabilidades y amenzas a

que se ven enfrentados, determinar los riesgos a que se ven expuestos, hacer la evaluación de riesgos, elaborar
el mapa o matriz de riesgos.
 6. Tratamiento de riesgos: determinar el tratamiento de los riesgos de acuerdo a la matriz de riesgos, proponer
controles de acuerdo a la norma de buenas práctica aplicada, definir las posibles soluciones
 7. Dictamen de la auditoría: Determinar el grado de madurez de la empresa en el manejo de cada uno de los
procesos evaluados, medir el grado de madurez de acuerdo a los hallazgos detectados en cada proceso.
 8. Informe final de auditoría: elaboración del borredor del informe técnico de auditoría para confrontarlo con
los auditados, elaboración del informe técnico final, elaboración del informe ejecutivo, organización de papeles
de trabajo para su entrega.
Ítem Valor
Útiles y Papelería $ 20.000.oo
Equipos de Oficina como calculadoras. $ 80.000.oo
Medios de almacenamiento magnético como: 1 caja de CD, 1 caja Diskettes. $ 20.000.oo
Gastos generales: Cafetería, imprevistos, transporte, etc. $300.000.oo
Pago de Honorarios (1 millon mensual x c/au) $4.000.000
Total presupuesto $4.420.000
Cronograma
Mes 1 Mes 2 Mes 3

Actividad
1 2 3 4 1 2 3 4 1 2 3 4
Estudio Preliminar
Planificar la auditoría
Determinación de
Áreas Críticas de
Auditoria
Elaboración de
Programa de Auditoria
Aplicar el modelo de
auditoria
Evaluación de Riesgos
Ejecución de Pruebas y
Obtención de
Evidencias
Construir los planes de Elaboración de Informe

mejoramiento
Sustentación de
Informe
PROGRAMA DE AUDITORIA –
COBIT
 Para este caso se usará el estándar CobIT de donde se

tomará los procesos y objetivos de control relacionados
directamente con el objetivo general y alcances que fueron
determinados en el plan de auditoría
✔
PAPELES DE TRABAJO - DISEÑO DE FORMATOS PARA
AUDITORÍA
DISEÑO DE FORMATOS PARA AUDITORÍA DE SISTEMAS
Para la planeación del proceso de auditoría es necesario el diseño de los formatos

para el proceso de recolección de información y la presentación de los resultados
de la auditoría, estos documentos denominados papeles de trabajo finalmente son
organizados por cada proceso evaluado y al final se presenta el dictamen y el
informe final de resultados.
A continuación se presentará algunos de los formatos que se usan en el proceso

de auditoría
FORMATO DE DEFINICION DE FUENTES DE CONOCIMIENTO
Los formatos de fuentes de conocimiento son usados para especificar quienes

tiene la información o que documentos la poseen y las pruebas de análisis o
ejecución que deberán practicarse en cada proceso que sea evaluado.
FORMATO DE ENTREVISTA
 Las entrevistas son una fuente de información importante

dentro de la auditoría, en ellas se refleja la opinión de los
auditados acerca del tema tratado y en muchas ocasiones las
grabaciones son la fuente de evidencia que soporta la
auditoría. la entrevista puede aplicarse al inicio de la
auditoría para conocer los aspectos generales y durante el
proceso de auditoría con la intención de conocer en
profundidad el tema evaluado. La entrevista generalmente
se aplica solo al personal clave (administrador del sistema,
usuarios de mayor experiencia, administrador del área
informática, otros).
FORMATO DE CUESTIONARIO
 El formato del cuestionario tiene dos objetivos, en primer lugar la

confirmación de los riesgos ya detectados anteriormente y en segurndo lugar
descubrir nuevos riesgos que aún no se haya detectado. El cuestionario se
aplica solamente al personal clave que posee la información para responderlo,
por eso es necesario identificar las personas que puedan dar respuesta a los
interrogantes planteados en el cuestionario. Las preguntas en el cuestionario
son de dos tipos, el primer tipo son las preguntas sobre la existencia de
controles o riesgos, y el sugundo tipo son las de completitud que tienen por
objetivo saber si se esta aplicando completamente los controles o de manera
parcial.
 Al responder cada una de las preguntas no solamente se debe marcar la

respuesta de SI o NO con una XX sino que se debe dar un valor cuantitativo
en una escala de 1 a 5, donde el valor más bajo 1,2,3 son valores de la poca
importancia de la existencia de controles y 4, 5 que son los valores más altos
en la escala significan que tienen mayor importancia para el auditor. Mediante
estas calificaciones se trata de medir el grado del riesgo a que se ve expuesto el
proceso que esta siendo evaluado.
 Este cuestionario cuantitativo está conformado por los siguientes ítems:
 PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el proceso se vea afectado por las
acciones de las cuales se está indagando, entre mas alto el porcentaje mayor probabilidad de riesgo tiene el
proceso de salir perjudicado.
 El cálculo de este porcentaje se hace de la siguiente forma:
 Porcentaje de riesgo parcial = (Total SI * 100) / Total
 Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial
 Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno el valor mínimo considerado
de poca importancia y cinco el máximo considerado de mucha importancia.
 Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente categorización:
 1% - 30% = Riesgo Bajo
 31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto

CUESTIONA
RIO PARA
HARDWARE
FORMATO DE HALLAZGOS
 Una vez los riesgos han sido conformados mediante pruebas

y evidencias, estos riesgos paran a denominarse hallazgos.
Los formatos de los hallazgos son de suma importancia en la
auditoría ya que llevan la información de todo el proceso
realizado y una descripción de como se esta presentando el
riesgo y sus consecuencias para la medición o valoración de
los riesgos en el proceso de evaluación de riesgos que se
lleva a cabo posteriormente. Además en el formato de
hallazgos se puede encontrar la información de las
recomendaciones para determinar los posibles controles
para mitigarlos.
CHEQKLIST
 la listas de chequeo tiene como objetivo fundamental la verificación de la
existencia de controles en cada uno de los procesos evaluados, para la
construcción de las preguntas de la lista de chequeo es necesario conocer los
objetivos de control en cada proceso, en esos objetivos de control están
descritos los controles en cada proceso de acuerdo al estándar aplicado en la
auditoría.
 Las listas de chequeo en general se usarán también para verificar el

cumplimiento de una norma estándar que se debe evaluar en la auditoría, por
ejemplo el cumplimiento de normas RETIE de instalaciones eléctricas o el
cumplimiento de normas de cableado estructurado TIA/EIA, o cualquier otro
estándar.
 Para el caso del estándar CobIT 4.1, la estructura de la norma se divide en 4

dominios, 32 procesos y 334 objetivos de control, donde cada dominio se
divide en procesos y en cada proceso existen varios objetivos de control. En
cada objetivo de control están descritos los controles generales que debería
existir, por lo tanto las preguntas de la lsita de chequeo deben ser solamente
de existencia de esos controles en el proceso evaluado.
 Las respuestas a esas preguntas de la lista de chequeo para cada proceso

deben responderse marcando solemente la respuesta SI o NO o N/A
(SI/NO/NA) o cumple totalemente, cumple parcialmente o no cumple
(CT/CP/NC).
ANÁLISIS Y EVALUACIÓN DE RIESGOS
 Para este proceso tan importante dentro de la auditoría es
necesario que ya se haya identificado inicialmente las
vulnerabilidades y amenazas existentes en cada uno de los
procesos evaluados, y que se hay definido los riesgos
existentes a causa de esas debilidades.
 Una vez se identifican los riesgos se procede a hacer un
análisis y evaluación de los mismos, en el análisis hay que
determinar como se esta presentando el riesgo, las causas
posibles que lo originan, en que procesos se presentan y
quien es el personal involucrado en cada uno de ellos.
 Una vez analizados los riesgos se procede a hacer la
evaluación teniendo en cuenta los criterios de frecuencia con
que se presenta el riesgo en el tiempo (probabilidad) y el
impacto que ellos pueden causar de llegar a concretarse
(impacto). Para cada uno de estos criterios existen unas
escalas de valoración de tipo cualitativo que pueden tener
una lectura cuantitativa para poder determinar la
probabilidad e impacto de estos riesgos.
 VULNERABILIDADES:
 1. No existencia de inventario de hardware y redes
 2. No se hace mantenimiento preventivo solo se hace mantenimiento correctivo
 3. Irregularidad en el servicio de internet por la ubicación de la empresa
 4. Obsolescencia de tecnología de hardware de servidores, equipos y redes
 5. Obsolescencia en el cableado estructurado
 AMENAZA:
 1. Poca seguridad en el acceso físico al hardware
 2. Equipos de cómputo que no soportan sistemas operativos
 3. Existe peligro en la continuidad de los servicios en línea
 4. No hay sistemas de vigilancia y monitoreo dentro de la empresa
 5. No existe sistema de protección en caídas de energía para protección de equipos
 6. No existen sistemas contra incendios
 7. Posibles fallos en la conectividad de la red de datos e internet

 RIESGOS:
 1. No existe restricciones para el acceso a personal externo a los equipos de cómputo
 2. Equipos con bajo rendimiento para las operaciones que se deben desarrollar
 3. Daño en los equipos por caídas en el fluido eléctrico
 4. Insatisfacción por parte de los usuarios respecto al servicios internet
 5. No se han levantado hojas de vida de los equipos existentes
 6. La señal de los operadores de internet presenta fallas por la ubicación de la empresa
 7. Se presentan problemas de conexión en la intranet y a internet
 8. Se han presentado hurtos y robo de partes de los equipos de cómputo
 9. No existen controles y responsables de los equipos de cómputo

MATRIZ DE PROBABILIDAD DE IMPACTO
Matriz de Riesgos
PLAN DE PRUEBAS
 El plan de pruebas debe prepararse y ejecutarse con
anticipación para poder hacer la solicitudes de permiso al
área informática o al administrador del sistema que será
evaluado. Las pruebas deben llevarse a cabo en el tiempo
que demore la auditoría y habrá algunas pruebas que
requieran más tiempo, por lo tanto esas pruebas quedarán
dentro de las recomendaciones para que sean ejecutadas
posterior a la auditoría.
 Cada uno de los auditores debe planear las pruebas para

cada uno de los procesos de acuerdo a los aspectos que se
requiera evaluar, por lo tanto es responsabilidad del auditor
determinar las pruebas que sirvan para soportar el dictamen
de la auditoría en cada uno de los procesos.
GUÍA DE PRUEBA P1. GUÍA DE PRUEBA P2
Aulas de informática Institución Educativa R/PT: Aulas de informática Institución Educativa R/PT:
C2
C1 Guía de Pruebas P2
Guía de Pruebas P1 Dominio Adquisición e Implementación
Proceso AI3: Adquirir y mantener la arquitectura
Dominio Adquisición e Implementación tecnológica
Proceso AI3: Adquirir y mantener la Objetivo de Mantenimiento Preventivo para Hardware
arquitectura tecnológica Control
Riesgos R15, R16, R18, R19
Objetivo de Evaluación de Hardware Asociados
Control N Evidencia Descripción
o
Riesgos R15, R16, R18, R19 1 No se La Institución educativa no tiene
Asociados programan programados jornadas de mantenimiento
N Evidencia Descripción mantenimie estas están sujetas a las programaciones
ntos a nivel nacional
o 2 No se La Institución educativa solamente da de
1 No hay En las aulas de informática no se sugieren baja equipos no funcionales, pero no
cambios de hace solicitudes de cambio de nuevos
bitácoras lleva un registro de mantenimiento y equipos o equipos ya que el nuevo hardware está
de de cambios de hardware solicitudes supeditado a los envíos que realiza la
de nuevos sede central
mantenimi equipos
ento
GUÍA DE PRUEBA P3.
Aulas de informática Institución R/PT: GUÍA DE PRUEBA P4.
Educativa C3
Aulas de informática Institución R/PT:
Guía de Pruebas P3 Educativa C4
Dominio Entrega de Servicios y Guía de Pruebas P4
Soportes Dominio Entrega de Servicios
Proceso DS12: Administración de y Soportes
Instalaciones Proceso Protección contra
Factores
Objetivo de Escolta de Visitantes Ambientales
Control Objetivo de Control Controles
Riesgos R20,R21,R2 Ambientales
Asociados Riesgos Asociados R17
No Evidencia Descripción No Evidencia Descripción
1 Img-02: Solo una de las
1 Img-01: Aula No hay una buena Ventilación salas de informática
de informática identificación de las aulas tiene ventilación, la
1 de informática de la cual presenta ruido
Institución educativa alto en su
funcionamiento y
2 Img-04: Área No existen identificación de balanceo
no Restringida áreas restringidas dentro de
las salas de informática
3 Img-05: No No existen ningún tipo de
existen ningún detectores de humo,
tipo de temperatura dentro de las
detectores aulas de informática
4 Img-06: No Las señalización para
hay salidas de emergencia no
señalización están instaladas o no
existen
5 Img-11: Los interruptores de
Interruptores emergencia no están
de debidamente identificados
Emergencia 1
6 Img-12: Los interruptores de
Interruptores emergencia no están
de debidamente identificados
Emergencia 2
GUÍA DE PRUEBA P5.
Aulas de informática Institución Educativa R/PT: C5
Guía de Pruebas P5
Dominio Entrega de Servicios y Soportes
Proceso DS12: Administración de Instalaciones
Objetivo de Control Suministro Ininterrumpido de Energía
Riesgos Asociados R1,R2,R3,R4,R5,R6
No Evidencia Descripción
1 Img-08: Existen cables en el suelo que estorban a los usuarios

Instalaciones
Eléctricas 1
2 Img-09: Existen en el techo de las salas cables sueltos sin marcar

Instalaciones
Eléctricas 2
3 Img-10: Existen conexiones de 220 voltios sin sellar junto a las fuentes
Instalaciones reguladas
Eléctricas 3
GUÍA DE PRUEBA P6
Aulas de informática Institución Educativa R/PT:
C6
Guía de Pruebas P6
Objetivo de Seguridad Física

Control
Riesgos R12, R13
Asociados
No Evidencia Descripción
1 Cables de red de datos aéreos sin protección

Img-17:
Canales
Redundantes
1
2 Img-19: Canaletas plásticas sin protección
Canales
Redundantes
3
3 Img-20: Existen cables de red de datos sin protección, sin
Estándar de gabinetes y sin normas apropiadas
cableado
GUÍAS DE HALLAZGOS
Teniendo en cuenta la aplicación de los instrumentos para recolección de información, los objetivos
planteados con anterioridad y los riesgos definidos en la Matriz se obtienen las siguientes tablas de
hallazgos para cada uno de ellos.
GUÍA DE HALLAZGOS GUÍA DE HALLAZGOS H2.
H1. Aulas de informática Institución Educativa R/PT: P2
Aulas de informática Institución Educativa R/PT:
P1
Hallazgos de la Auditoría H2
Dominio Adquisición e Implementación
Dominio Adquisición e Implementación Proceso AI3: Adquirir y mantener la arquitectura tecnológica
Proceso AI3 Adquirir y mantener la arquitectura
tecnológica Objetivo de Control Mantenimiento Preventivo para Hardware
Objetivo de Evaluación de Hardware
Control Riesgos Asociados R15, R16, R18, R19
Riesgos R15, R16, R18, R19 Descripción

Asociados La Institución Educativa tiene programadas jornadas de mantenimiento, estas están sujetas
Descripción a las programaciones que realiza el rector al inicio del año escolar, La Administración solo
En las aulas de informática no se lleva un registro de mantenimiento da de baja equipos no funcionales, pero no hace solicitudes de cambio de nuevos equipos
y de cambios de hardware, además no existe personal de ya que el nuevo hardware está supeditado a los recursos de inversión y proyectos
presentados a nivel local y nacional.
mantenimiento dedicado a este proceso, el mantenimiento está
sujeto a las directrices de la rectoría de acuerdo al presupuesto y el
inventario no se actualiza periódicamente cuando se han realizado
cambios
Recomendación
El Encargado de la administración de las aulas de informática debe programar los
Recomendación mantenimientos y cambios por lo menos dos veces al año, las actualizaciones de cambio o
El Encargado de la administración debe sugerir calendarización de repotenciación de equipos se deben presupuestar para las vigencias futuras.
inventarios y mantenimientos de hardware
Causa
Causa
La falta de recursos económicos y la falta de planeación por parte del El rector y el Encargado de la administración de las aulas de informática deben realizar
encargado de la administración de las aulas de informática en la planes de actualización de equipos y de mantenimiento preventivo, asignando los recursos
institución. económicos necesarios para vigencias futuras.
Nivel del Riesgo

Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en medio En cuanto a la probabilidad de ocurrencia está clasificado en medio, en cuanto al impacto
alto, en cuanto al impacto es moderado es moderado
GUÍA DE HALLAZGOS H3 GUÍA DE HALLAZGOS H4
Aulas de informática Institución Educativa R/PT: P4 Aulas de informática Institución Educativa R/PT: P3
Hallazgos de la Auditoría H4 Dominio Entrega de Servicios y Soportes
Dominio Entrega de Servicios y Soportes Proceso DS12: Administración de Instalaciones
Proceso Protección contra Factores Ambientales Objetivo de Control Escolta de Visitantes
Riesgos Asociados R20,R21,R2

Objetivo de Controles Ambientales
Control Descripción
Las instalaciones de las aulas de informática y la oficina del administrador de las
Riesgos R17 aulas no son las adecuadas en cuanto a espacios, no hay una buena visibilidad de
Asociados la identificación de las aulas de informática, No existen identificación de áreas
restringidas en la oficina del administrador, No existen ningún tipo de detectores
Descripción de humo, temperatura dentro de las aulas de informática, Las señalización para
Solo una de las seis aulas de informática tiene sistemas de ventilación, la salidas de emergencia no están instaladas o no existen, la iluminación solo cuenta
cual presenta ruido alto en su funcionamiento y balanceo. con ventanales grandes e iluminación artificial insuficiente, Los interruptores de
emergencia no están debidamente identificados
Recomendación
El Administrador de las aulas de informática debe realizar mantenimiento
al ventilador del aula y gestionar recursos para adquirir los sistemas de
ventilación para las aulas restantes Recomendación
El Administrador de las aulas de informática debe realizar identificación adecuada
de las aulas, debe solicitar los recursos económicos para la adecuación y el
Causa mejoramiento de las aulas y de su propia oficina
El Administrador de las aulas de informática no realiza adecuaciones Causa
locativas dentro de las funciones que le fueron asignadas La rectoría no ha asignado recursos propios para la operación y buen
funcionamiento de la tecnología de las aulas de informática.
Nivel del Riesgo Nivel del Riesgo

En cuanto a la probabilidad de ocurrencia está clasificado en medio, en En cuanto a la probabilidad de ocurrencia está clasificado en alto, en cuanto al
cuanto al impacto es leve impacto es catastrófico
Aulas de informática Institución Educativa R/PT: P5 Aulas de informática Institución Educativa R/PT: P6
Proceso DS12: Administración de Instalaciones Dominio Entrega de Servicios y Soportes
Objetivo de Control Suministro Ininterrumpido de Energía
Objetivo de Seguridad Física
Riesgos Asociados R1,R2,R3,R4,R5,R6 Control
Descripción
Riesgos R12, R13
Existen cables de energía en el suelo que pueden ocasionar daños en las instalaciones
Asociados
eléctricas afectando a uno o más equipos, Existen en el techo de las aulas cables Descripción
sueltos sin marcar, Existen conexiones de 220 voltios sin sellar junto a las tomas
reguladas, la UPS solo está disponible para el servidor, los equipos de la administración
Muchos cables de eléctricos y de red sobre el piso que obstaculizan el
y una de las salas de informática. paso a los usuarios, Existen puntos eléctricos de 220 voltios juntos a
tomas de 110 voltios sin identificación adecuada, Cables de electricidad
sueltos sin identificación, Canaletas plásticas sin protección, Cables de
red de datos aéreos sin protección
Recomendación
El Administrador de las aulas de informática debe realizar adecuaciones de instalaciones
eléctricas de acuerdo a las normas vigentes, y hacer la desinstalación de las tomas de Recomendación
corriente con voltaje de 220 voltios AC para disminuir el riesgo de falla ocasionado por
los usuarios. El Administrador de las aulas de informática debe realizar adecuar de
manera correcta de acuerdo a las normas el tendido de red datos, cubrir,
desinstalar las conexiones que generen riesgo a los usuarios
Causa
El Administrador de las aulas de informática no realiza adecuaciones locativas dentro de Causa
las funciones que le fueron asignadas El Administrador de las aulas de informática no realiza adecuaciones
locativas
Nivel del Riesgo
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en alto, en cuanto al impacto
es catastrófico En cuanto a la probabilidad de ocurrencia está clasificado en medio, en
cuanto al impacto es leve
RESULTADOS DE LA AUDITORIA
 DICTAMEN DE LA AUDITORIA
 Para elaborar el dictamen de la auditoría, el auditor debe

tener en cuenta los hallazgos encontrados en el proceso
evaluado y los controles existentes. El dictamen es el
concepto del auditor sobre el nivel de madurez en el que se
encuentra el proceso evaluado respecto de la norma. La
escala de medición se encuentra en la norma CobIT 4.1, los
valores son de tipo cuantitaivo, pero se convierten a
cualitativos para explicar el porque de esa valoración
DICTAMEN DE LA AUDITORÍA
 A continuación se presentan los resultados definitivos de la auditoria y las recomendaciones de mejoramiento por cada proceso
COBIT auditado, una vez revisadas las observaciones y aclaraciones hechas por la empresa al grupo auditor:[1]
 PROCESO COBIT: PO4: DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DEL SISTEMA DE INFORMACIÓN DE LA
EMPRESA.
 Objetivo de la Auditoria: Conceptuar sobre organización y relaciones entre el personal, los recursos de hardware y software, los
documentos soporte, el centro de cómputo con el fin de establecer el grado de eficiencia de los procesos que ejecutan en el sistema.
 Dictamen:Se califica un nivel de madurez 3 DEFINIDO, por cuanto los procesos, organización y relaciones del área evaluada están
contenidos en un manual de procesos y los recursos de hardware y software son adecuados. Sin embargo, este manual no se ha
actualizado con respecto a la evolución que ha tenido el Sistema, lo que hace que no sea posible medirlo y redefinirlo. En procesos
clave de administración del sistema se observa excesiva dependencia en la capacidad y conocimiento que empleados clave tienen del
sistema.
 Hallazgos que soportan el Dictamen:
 El manual de procesos y perfiles no se ha actualizado de acuerdo a los módulos del sistema, acorde con la estructura de cargos de la
empresa lo que dificulta ejecutar planes de contingencia y capacitación cruzada, en caso de necesidad de reemplazar o rotar personal
clave en las operaciones y administración del sistema.
 Se encontró que la empresa contratista del sistema ejecuta labores de captura de la información, operación directa sobre tablas de la
base de datos. Igualmente, realiza labores de auditoría y también administra el sistema operativo, la aplicación y la base de datos. Se
considera un nivel de acceso amplio que dificulta establecer controles por parte de la empresa.
 Se encontró que el funcionario encargado del módulo de auditoría, realiza solamente el control de usuarios con niveles de seguridad
inmediatamente inferiores a él, pero nadie realiza auditoria a las entradas de los súper usuarios del sistema.
 Recomendaciones:
 Diseñar Bitácora de procesos y perfiles de acuerdo al manual

actualizado de funciones y procedimientos del Área Comercial.
 Documentar los procesos de consulta, lecturas y facturación

realizados por fuera del software, para que sean integrados al
software. Implementar registro de solicitudes de modificaciones y
diseño de soluciones y actualizaciones.
 Documentar y diferenciar en forma precisa los procesos, políticas

administrativas y procedimientos de la administración de riesgos,
la seguridad de la información, la propiedad de datos y del
sistema. Esto es, separar completamente en diferentes
responsables los procesos de captura de lecturas, correcciones
masivas sobre las tablas de la base de datos, administración de la
base de datos, auditoria.
 Asignar funciones de auditoría a uno de los funcionarios que esté

en capacidad de registrar los movimientos realizados por los
súper usuarios del sistema, pudiendo el mismo realizar auditorías
y ejerciendo controles adecuados sobre la seguridad del servidor e
 PROCESO COBIT: P09: EVALUAR Y ADMINISTRAR LOS RIESGOS DEL SIC
 Objetivo de la Auditoria: Medir los riesgos, su probabilidad e impacto sobre el aplicativo, personal, recursos,
procesos, soportes
 Dictamen:Se estableció un nivel de madurez 2 REPETIBLE por cuanto se hacen análisis y evaluación al
Sistema, pero no son permanentes, ni se ha documentado suficientemente. Además, falta capacitación del
personal encargado. La detección de riesgos y el establecimiento de controles se hacen, en gran parte, por
iniciativa propia de los empleados, y no en un procedimiento regular de auditoría.
 Hallazgos que soportan el Dictamen:
 Aunque existe documentación sobre auditorias anteriores y análisis y evaluación de riesgos sobre el sistema,
no se ha destinado personal para establecer un plan de controles sobre el mismo, lo que impide prevenir
posibles fraudes, inconsistencias o pérdidas de información y económicas. Los riesgos tampoco se han
clasificado por niveles de criticidad, no se han establecido riesgos residuales.
 No se encontró una política claramente documentada para el manejo de riesgos que presentan nivel de
criticidad medio o moderada en el sistema, tales como: infección por virus, plan para enfrentar contingencias
en el sistema, plan para detectar y corregir debilidades o huecos en las operaciones, y errores de digitación de
datos por parte de los usuarios, generación de pistas de administración y auditoria de datos, actividades de
supervisión para detectar el nivel de confianza en los controles automatizados, difusión y adopción de las
políticas de seguridad en el procesamiento de datos, revisión metodológica del sistema para proponer mejoras
al diseño inadecuado o cuestionable de algunos módulos, corrección de las deficiencias u obsolescencias de los
mecanismos de control interno del sistema, determinación de especificaciones técnicas inapropiadas, detección
de deficiencias en el entrenamiento de los funcionarios que ejecutan los procesos, determinación de estándares
de control de calidad de la información de la base de datos, análisis de cumplimiento de la validación de las
reglas del negocio en el sistema, Cumplimiento normativo y de las políticas internas en el proceso del área
comercial a cargo del sistema.
 Recomendaciones:
 · Implementar el software de administración de riesgos y establecimiento de controles al

sistema en general, como parte de la Función del SGSI.
 · Capacitar al personal encargado de auditar el sistema, sobre la identificación de riesgos,

medición e implementación de controles, enfocada en la seguridad de acceso e integridad de la
base de datos.
 · Implementar un estándar como metodología para el análisis y la evaluación de riesgos

informáticos, que permita que este proceso se lleve a cabo de manera adecuada se debe tener
en cuenta que los estándares son apropiados a ciertos tipos de evaluación, algunos de ellos son:
MAGERIT, ISO 27005, OCTAVE que nos brindan los estándares y las escalas de evaluación.
 · Retomar las recomendaciones que han realizado en las auditorias anteriores para realizar el
análisis, evaluación y gestión de los riesgos encontrados; establecer un sistema de control
adecuado al sistema de información y trabajar en la documentación del proceso.
 [1] El nivel de Madurez emitido en el dictamen se clasificará en los siguientes niveles:
 0-NO EXISTENTE: No se aplican procesos administrativos en lo absoluto
 1-INICIAL: Los procesos son espontáneos y desorganizados. No se ha implementado procesos estándar para el procesamiento de información.
 2-REPETIBLE: Los procesos siguen un patrón regular o estándar; pero no se ha documentado suficientemente. Falta capacitación del personal encargado. La eficiencia
y eficacia depende en gran parte del conocimiento y profesionalismo de los empleados y contratistas.
 3-DEFINIDO: Los procesos están estandarizados, se documentan, se comunican y se capacita al personal encargado; pero no se miden o se hacen mediciones parciales
de las metas.
 4-ADMINISTRADO: Los procesos están estandarizados, se documentan, se comunican, se capacita al personal, se monitorean y se miden: Se utiliza métricas de
rendimiento, se establecen metas de mejoramiento.
 5-OPTIMIZADO: Las buenas prácticas se siguen y se automatizan. Los controles son permanentes y se utiliza software para implementarlos.

Auditoria Sistemas Clase 2018-2019 (Autoguardado)

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Auditoria Sistemas Clase 2018-2019 (Autoguardado)

Încărcat de

Drepturi de autor:

Formate disponibile

Auditor

 “Del latín. Auditor, oris s. m 1. Persona capacitada para realizar

 “F. Auditeur; It. uditore; In., C. P. uditor; A.; Zahöurer[....]

 “[...] Supervisión de las cuentas de una empresa, hecha por

 “[...] Revisión a la economía de una empresa [...]”9

 “[...] Revisión de cuentas [...]”10

 “1. Profesión de auditor. 2. Despacho o tribunal del auditor. 3.

 “[...] Empleo, cargo de auditor. Tribunal o despacho de auditor.”

 La Auditoría y la Contabilidad tienen diferencias y

 Auditoría de Cumplimiento: es la auditoría que averigua si

 Auditoría Operacional: es el análisis de un departamento o

 Auditoria Forense: es una especialidad dentro de la

 Funcionarios, empleados y trabajadores de la empresa

 Acreedores y proveedores de la empresa auditada

 Autoridades, municipales, estatales

 Mantener una disciplina profesional

 Guardar el secreto profesional

 Tener independencia mental

 Contar con responsabilidad profesional

 Capacitación y adiestramiento permanentes

 Hacer una planeación de la auditoría y de los programas de evaluación

 Hacer la presentación del dictamen por escrito, así como la aclaración de

 Es la revisión independiente* que realiza un profesional de la

 Estas auditorías tienen gran aceptación en las empresas para

 Dependen en absoluto de la cooperación que el auditor pueda

 Su evaluación, alcances y resultados pueden ser muy limitados.

 Muchas auditorías de este tipo se derivan de imposiciones fiscales

 En algunos casos son sumamente costosas para la empresa, no sólo

 y con un mayor conocimiento de las actividades, funciones y problemas de la

 El informe que rinde el auditor, independientemente del resultado, es sólo de

 Esta auditoría consume sólo recursos internos, por lo tanto no representa

 Es de gran utilidad para la buena marcha de la empresa, ya que permite detectar

 Puede llevarse un programa concreto de evaluación en apoyo a las autoridades de

 En ocasiones la opinión del auditor tal vez no sea absoluta, debido

 Se pueden presentar vicios de trabajo del auditor con relativa

 Auditoría al desarrollo de obras y construcciones (evaluación

 Auditoría de proyectos de inversión

 Auditoría a la caja chica o caja mayor(arqueos)

 Auditoría al manejo de mercancías(inventarios)

2 Estudiará los diversos tipos de auditoría y su relación con la auditoría informática

3 Comprenderá los objetivos generales de auditoria de sistemas

4 Sabrá los justificativos para efectuar una auditoría de sistemas

5 Conocerá los ISO 9001:2008, ISO26000:2010, ISO 31000:2009 e ISO 19011:2011

Fuente: Rodríguez (2006)

Fuente: Symantec (2010).

El cibercrimen acecha a las empresas. Fuente. www.cnnexpansion.com

Fuente: Symantec (2010) e ITESPRESSO.ES (2010)..

Rol Básico de la Función de Auditoría Informática

Supervisión de los CONTROLES

Fuente: Rodríguez (2006)

 Minimizar existencias de riesgos en el

 Conocer la situación actual del área

 Seguridad, utilidad, confianza,

 Capacitación y educación sobre

 Buscar una mejor relación costo-

SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo

SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo

SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo

 Es todo lo relacionado con la seguridad y salvaguarda de los bienes

 Es todo lo relacionado con la seguridad de los bienes intangibles de

 Es la protección específica de la información que se maneja en las

 Se refiere a la seguridad en la operación de los sistemas

 Se refiere a la seguridad y protección de los operadores, analistas,