Unidad 2: Metodologa para

realizar auditora de
Sistemas Computacionales
Ing. Elizabeth Guerrero

Introduccin

Llevar a cabo una auditora de sistemas

computacionales requiere una serie
ordenada de:
acciones y procedimientos especficos, los cuales
debern ser diseados previamente de manera:
secuencial,
cronolgica y
ordenada,

de acuerdo a:
Las etapas, eventos y actividades que se requieran
para su ejecucin

Introduccin
La metodologa es necesaria para que un
equipo de profesionales alcance un
resultado homogneo tal como si lo hiciera
uno slo.
Por ello, resulta habitual el uso de
metodologas en las empresas
auditoras/consultoras profesionales
(desarrolladas por los ms expertos) para
conseguirresultados similares
(homogneos) en equipos de trabajo
diferentes (heterogneos).

Definiciones Bsicas

Mtodo: modo prescrito

para ejecutar una tarea o
trabajo determinado, por el
cual se pretende alcanzar un
objetivo establecido.
Metodologa: estudio de los mtodos que
se siguen en una investigacin, un
conocimiento o una interpretacin.

Definiciones Bsicas

Planeacin: es el
proceso de decidir
de antemano qu
se har y de qu
manera se har.

Misiones
globales
Resultados
Objetivos Espec.
Politicas, Prog, Proced

Acciones

Tiempo
(futuro)

Medios
(recursos)

Plan: es un instrumento
diseado para alcanzar
determinados objetivos,
donde se definen espacio,
tiempo y medios
utilizables para su alcance

Definiciones Bsicas

Programa: conjunto
estructurado de diversas
actividades al cual se le
asignan recursos humanos,
materiales y financieros,
indicando la secuencia
cronolgica y los tiempos de
duracin de dichos pasos

Presupuesto: estimacin programada en forma sistemtica de los

ingresos y egresos que maneja un organismo en un perodo
determinado; puede considerarse como un plan de accin en
trminos monetarios y cuyo ejercicio abarca generalmente un ao de
actividad

Definiciones Bsicas

Metodologa para realizar auditora

de sistemas computacionales
1.
1. Estudio
Estudio
Preliminar
Preliminar o
o
Toma
Toma de
de
contacto
contacto

6.
6.
Redaccin
Redaccin
del
del informe
informe
final
final

2.
2.
Planeacin
Planeacin

5.
5.
Presentaci
Presentaci
n
n de
de
Conclusione
Conclusione

3.
3. Ejecucin
Ejecucin
de
de la
la
Auditora
Auditora

4.
Sintesis
4. Sintesis
y
y
Diagnstic
Diagnstic
o
o

Fase 1. Toma de contacto

Conocer la organizacin objeto de Auditora

Cantidad de empleados, tipo de informacin que
maneja la organizacin, contexto donde la
empresa est funcionando,
Informacin de la empresa y de su centro de
datos (departamento de informtica)

7.
Asignar recursos y sistemas computacionales para la auditora
Identificar y seleccionar los mtodos, herramientas, instrumentos
y procedimientos necesarios para la auditora
Elaborar planes, programas y presupuestos para realizar la
auditora
Determinar los puntos que sern evaluados en la auditora

Establecer objetivos de la auditora

Realizar visita preliminar al rea que ser evaluada

Identificar el origen de la auditora

6.

5.

4.

3.

2.

1.

Fase 2. Planeacin

2.1 Identificar el origen de la

auditora
Por solicitud expresa de procedencia interna
Por solicitud expresa de procedencia
externa
Como consecuencia de emergencias y
condiciones especiales
Por riesgos y contingencias informticas
Como resultados de los planes de
contingencia
Por resultados obtenidos de otras auditoras
Como parte del programa integral de
auditora

2.2 Realizar visita preliminar al

rea que ser evaluada

Visita preliminar de arranque:

Cmo se encuentran distribuidos los sistemas en
el rea?
Cuntos, cules, cmo y de qu tipo son los
equipos que estn instalados en el centro de
sistemas?
Cules son las principales caractersticas fsicas
de los sistemas que sern auditados?
Cmo reacciona el personal ante la visita del
auditor?
Qu limitaciones se observan para realizar la
auditora?

2.2 Realizar visita preliminar al

rea que ser evaluada

Establecer los objetivos de la

auditora:
Objetivo general
Objetivos particulares
Objetivos especficos

2.2 Realizar visita preliminar al

rea que ser evaluada

Determinar los puntos que sern

evaluados en la auditora
Evaluacin de las funciones y actividades del
personal en el rea de sistemas
Evaluacin de las reas y unidades administrativas
del centro de computo
Evaluacin de la seguridad de los SI
Evaluacin de la informacin, documentacin y
registros de los sistemas
Evaluacin del hardware
Evaluacin del software
Evaluacin de la informacin y bases de datos

2.2 Realizar visita preliminar al

rea que ser evaluada

Elaborar planes, programas y

presupuestos que sern utilizados:
Elaborar el documento formal de los planes de
trabajo para la auditora
Elaborar los programas de actividades para
realizar la auditora
Elaborar los presupuestos para la auditora

2.2 Realizar visita preliminar al

rea que ser evaluada

Identificar y seleccionar los mtodos,

herramientas, instrumentos y
procedimientos necesarios para la
auditora
Establecer la gua de ponderacin de los puntos
que sern evaluados
Elaborar la gua de la auditora
Elaborar los documentos necesarios para la
auditora (encuestas, cuestionarios, entrevistas)
Determinar herramientas, mtodos y
procedimientos para la auditora

2.2 Realizar visita preliminar al

rea que ser evaluada

Asignar recursos y sistemas

computacionales para la auditora

Recursos Humanos
Recursos informticos y tecnolgicos
Recursos materiales y de consumo
Otros recursos necesarios (viaticos, pasajes,)

Fase 3. Ejecucin de la
Auditora
Realizar las acciones programadas para la
auditora
Aplicar los instrumentos y
herramientas para la
auditora

Aplicar los recursos y

actividades conforme a los
planes y programas

Recopilar la documentacin
y evidencias de la auditora

Fase 4. Sntesis y
diagnstico
Identificar y elaborar los documentos de
desviaciones
Integrar los papeles de trabajo de
la auditora

Integrar los documetos y pruebas

en papeles de trabajo

Evidencias

Puntos dbiles del sistema

Puntos fuertes
Riesgos Eventuales
Posibles oportunidades
Posibles soluciones y mejoras

Fase 5. Presentacin de
conclusiones
Elaborar los documentos y presentarlos a
discusin

Elaborar el borrador de las

desviaciones

Fase 6. Redaccin del informe

final
Carta de presentacin del informe
Resumen del informe
Elaborar el dictamen final
Presentacin del informe de auditora

Confeccin y redaccin del

Informe Final

Estructura del informe final:

El informe comienza con la fecha de comienzo de
la auditora y la fecha de redaccin del mismo.

Se incluyen los nombres del equipo auditor

y los nombres de todas las personas
entrevistadas, con indicacin del
departamento, responsabilidad y puesto de
trabajo que ostente.
Definicin de objetivos y alcance de la
auditora.

Confeccin y redaccin del

Informe Final

Cuerpo expositivo:
a. Situacin actual.

b. Tendencias

c. Puntos dbiles y amenazas.

Cuando se trate de una revisin peridica, en la

que se analiza no solamente una situacin sino
adems su evolucin en el tiempo, se expondr
la situacin prevista y la situacin real.
Se tratarn de hallar parmetros que permitan
establecer tendencias futuras.
Se establecen los puntos dbiles y
amenazas encontradas durante la auditora

d. Recomendaciones y planes de Constituyen junto con la exposicin de puntos

dbiles, el verdadero objetivo de la auditora
accin.
informtica.
Carta de Presentacin

e. Redaccin posterior de la Carta de Introduccin

o Presentacin.

Modelo conceptual de la
exposicin del informe final

El informe debe incluir solamente hechos importantes.

El Informe debe consolidar los hechos que se describen en el
mismo.
El trmino de "hechos consolidados" adquiere un especial
significado de verificacin objetiva y de estar documentalmente
probados y soportados. La consolidacin de los hechos debe
satisfacer, al menos los siguientes criterios:
El hecho debe poder ser sometido a cambios.
Las ventajas del cambio deben superar los inconvenientes
derivados de
mantener la situacin.
No deben existir alternativas viables que superen al cambio
propuesto.
La recomendacin del auditor sobre el hecho debe mantener o
mejorar las normas y estndares existentes en la instalacin.
La aparicin de un hecho en un informe de auditora implica
necesariamente la existencia de una debilidad que ha de ser
corregida.

Modelo conceptual de la exposicin del

informe final
Ha de ser relevante para el auditor y pera el cliente.
- Ha de ser exacto, y adems convincente.
- No deben existir hechos repetidos.
-

1 Hecho encontrado.

- Las consecuencias deben redactarse de modo que

sean directamente deducibles del hecho.

2 Consecuencias del
hecho

Flujo del
hecho o
debilidad:

- Se redactar las influencias directas que el hecho

pueda tener sobre otros aspectos informticos u otros
mbitos de la empresa.

3 Repercusin del
hecho

4 Conclusin del hecho

5 Recomendacin del
auditor informtico

- No deben redactarse conclusiones ms que en los

casos en que la exposicin haya sido muy extensa o
compleja.

- Deber entenderse por s sola, por simple lectura.

- Deber estar suficientemente soportada en el propio texto.
- Deber ser concreta y exacta en el tiempo, para que pueda ser verificada
su implementacin.
- La recomendacin se redactar de forma que vaya dirigida expresamente a
la persona o personas que puedan implementarl

Carta de introduccin o
presentacin del informe final
La carta de introduccin tiene especial importancia porque en
ella ha de resumirse la auditora realizada. Se destina
exclusivamente al responsable mximo de la empresa, o a la
persona concreta que encargo o contrato la auditora.
La carta de introduccin poseer los siguientes atributos:
Tendr como mximo 4 folios.
Incluir fecha, naturaleza, objetivos y alcance.
Cuantificar la importancia de las reas analizadas.
Proporcionar una conclusin general, concretando las reas
de gran debilidad.
Presentar las debilidades en orden de importancia y
gravedad.
En la carta de Introduccin no se escribirn nunca
recomendaciones.