UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE INGENIERA INDUSTRIAL

CARRERA EN INGENIERA EN TELEMTICA

AUDITORA EN TECNOLOGAS DE LA INFORMACIN

TEMA:
PLANEACIN ESTRATGICA DE LA AUDITORA EN INFORMTICA

INTEGRANTES:
MENDOZA CEDEO MIGUEL
MERA CHRREZ LEUVEN
RIOFRIO MIGUEL
VALERO OLVERA VIDAL

9NO SEMESTRE

PERIODO LECTIVO
2015 - 2016

AUDITORA EN INFORMTICA
La auditora en informtica es la revisin y la evaluacin de los controles, sistemas,
procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y
seguridad, de la organizacin que participan en el procesamiento de la informacin, a fin de
que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y
segura de la informacin que servir para una adecuada toma de decisiones.
La auditora en informtica deber comprender no solo la evaluacin de los equipos de
cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar los
sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos,
seguridad y obtencin de informacin.
La auditora en informtica es de vital importancia para el buen desempeo de los sistemas de
informacin, ya que proporciona los controles necesarios para que los sistemas sean
confiables y con un buen nivel de seguridad. Adems debe evaluar todo (informtica,
organizacin de centros de informacin, hardware y software).

Planificacin de la auditora Informtica

Como todo proyecto implantado dentro de una organizacin, el proyecto de auditora

informtica debe iniciar con una fase de planeacin en la cual participen todas las reas de la
organizacin para identificar los recursos necesarios que permitirn llevar a cabo este
proyecto, como son, objetivos que se pretenden alcanzar con el proyecto, anlisis
costo/beneficio, personal humano que intervendr en el proyecto, marco de referencia de
Auditora Informtica que se va a utilizar, basndose en varios objetivos fundamentales que
son:

Evaluacin de los sistemas y procedimientos.

Evaluacin de los equipos de cmputo

Evaluacin del proceso de datos

PROCESO DETALLADO DE LA PLANEACIN DE AUDITORA INFORMTICA

Este proceso de planeacin depende en gran medida del diagnstico previo que haga el
auditor de informtica de la situacin que guarda en ese momento cada una de las reas o
servicios de la funcin de informtica. As como tambin es de suma relevancia el considerar
las necesidades o prioridades que tenga la alta direccin de auditar o evaluar un rea
especfica de informtica.
Lo cual se resume en obtener un conocimiento inicial de la organizacin a evaluar, con
especial nfasis en sus procesos informticos basados en evaluaciones administrativas

realizadas a los procesos electrnicos, sistemas y procedimientos, equipos de cmputo,

seguridad y confidencialidad de la informacin, y aspectos legales de los sistemas y la
informacin. Cada proyecto de auditora en informtica respalda los objetivos y
requerimientos de tres entidades del negocio en alto o bajo grado:

1. Alta direccin
1. Seguimiento a proyectos relacionados con tecnologa informtica.
2. Verificacin y aseguramiento del cumplimiento de polticas tecnologa
informtica.
3. Otros aspectos de inters para la alta direccin.
2. Auditoria
1. Apoyo en la definicin, implantacin y seguimiento de polticas, controles y
procedimientos de auditoria, relacionadas directa o indirectamente con la
tecnologa de informtica (sistemas de informacin, equipos de cmputo,
comunicaciones, etc.).
2. Planes de capacitacin en el uso y entendimiento de software de auditora,
herramientas de productividad (hojas electrnicas, procesadores de palabras,
graficadores, diagramadores, etc.), base de datos (consulta de informacin, por
ejemplo), equipos de cmputo (micros, terminales, porttiles, etc.); otros de
inters para los auditores.
3. Otros de inters para el desarrollo eficiente de los auditores cuando evalen
reas del negocio que se apoyan en informtica.
3. Informtica
1. Apoyo en la definicin, implantacin y seguimiento de polticas, controles,
procedimientos y estndares relativos a la organizacin y administracin de
informtica, el proceso de planeacin, la evaluacin y adquisicin de nueva
tecnologa, la evaluacin y adquisicin de servicios, el desarrollo e
implantacin de soluciones (EDI, CASE, base de datos, telecomunicaciones,
sistemas estratgicos, multimedia, etc.) y otros de inters para informtica.

Objetivos de la Planificacin de una auditoria

El proceso de planeacin de la auditoria tiene como objetivo fundamentar el establecimiento
y definicin de diferentes tpicos nombrados a continuacin:

Metodologa a ser usada

Polticas y reglas a seguir

Metas u objetivos de la auditoria

Programas de trabajo de auditoria

Personal que intervendr en el proyecto

Presupuesto financiero

Las fechas y la manera como se presentarn los informes de las actividades de

cumplimiento del proyecto, basados en la realidad de la organizacin evaluada.

Importancia de la Planeacin
De la adecuada Planeacin y Supervisin el auditor podr obtener los resultados satisfactorios
que le sirvan de base para sustentar su opinin manifestada en su dictamen. Por esto una de
las Normas de Auditora le obliga a que su trabajo deba ser tcnicamente planeado y ejercerse
una supervisin apropiada sobre los asistentes si estos participan en el examen, como una
garanta de calidad hacia los usuarios. La Planeacin de la Auditora permite establecer la
extensin y el alcance de las pruebas a utilizar y la supervisin sobre el recurso humano que
le colaborar durante el desarrollo del trabajo.

Personal Participante
Una de las partes ms importantes dentro de la planeacin de la auditora en informtica es el
personal que deber participar y sus caractersticas. Uno de los esquemas generalmente
aceptados para tener un adecuado control es que el personal que intervengan est
debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimizacin de
recursos (eficiencia) y se le retribuya o compense justamente por su trabajo.

Con estas bases se debe considerar las caractersticas de conocimientos, prctica profesional
y capacitacin que debe tener el personal que intervendr en la auditora. En primer lugar se
debe pensar que hay personal asignado por la organizacin, con el suficiente nivel para poder
coordinar el desarrollo de la auditora, proporcionar toda la informacin que se solicite y
programar las reuniones y entrevistas requeridas. ste es un punto muy importante ya que, de
no tener el apoyo de la alta direccin, ni contar con un grupo multidisciplinario en el cual
estn presentes una o varias personas del rea a auditar, sera casi imposible obtener
informacin en el momento y con las caractersticas deseadas.

Tambin se debe contar con personas asignadas por los usuarios para que en el momento que
se solicite informacin o bien se efecte alguna entrevista de comprobacin de hiptesis, nos
proporcionen aquello que se est solicitando, y complementen el grupo multidisciplinario, ya
que se debe analizar no slo el punto de vista de la direccin de informtica, sino tambin el
del usuario del sistema. Para completar el grupo, como colaboradores directos en la
realizacin de la auditora se deben tener personas con las siguientes caractersticas:

Tcnico en informtica.

Experiencia en el rea de informtica.

Experiencia en operacin y anlisis de sistemas.

Conocimientos de los sistemas ms importantes.

En caso de sistemas complejos se deber contar con personal con conocimientos y

experiencia en reas especficas como base de datos, redes.

Lo anterior no significa que una sola persona tenga los conocimientos y experiencias
sealadas, pero si deben intervenir una o varias personas con las caractersticas apuntadas.

METODOLOGA DE TRABAJO DE AUDITORA INFORMTICA

El mtodo de trabajo del auditor pasa por las siguientes etapas:

Alcance y Objetivos de la Auditora Informtica.

Estudio inicial del entorno auditable.
Determinacin de los recursos necesarios para realizar la auditora.
Elaboracin del plan y de los Programas de Trabajo.
Actividades propiamente dichas de la auditora.
Confeccin y redaccin del Informe Final.
Redaccin de la Carta de Introduccin

Documentos Resultantes de la planificacin de la Auditora Informtica

Dentro del proceso de planificacin de la Auditora Informtica se debe incluir y documentar
por lo menos los siguientes aspectos:

Se debe definir los objetivos y el alcance del trabajo.

El relevamiento de informacin de las actividades a auditarse en la que se apoyar el

anlisis.

Los recursos que se necesitarn para llevar a cabo el proyecto de auditora.

Los canales de comunicacin necesarios entre los involucrados en el proyecto de

auditora.

El procedimiento apropiado a utilizarse para realizar una inspeccin fsica que

permita la obtencin del conocimiento de la manera como se ejecutan las actividades
y controles a auditar, as como de las reas crticas en las que se debe poner mayor
nfasis al realizar la auditora.

La declaracin por escrito del programa de auditora.

Determinar los responsables de analizar los resultados de la auditora, los plazos de

tiempo en los que se deber llevar a cabo el proyecto de auditora y la forma en la que
se presentarn los resultados de la misma.

La aprobacin del plan de trabajo de auditora.

Consideraciones para la planificacin de una auditoria informtica

Diagnstico de la situacin actual de los sistemas de informacin en operacin

Debilidades que pueden motivar la auditora de un sistema de informacin

Clasificacin de riesgos que representa el uso de hardware y software en la

organizacin

Evaluacin del nivel de riesgo que representa el uso inadecuado de los productos y
servicios por el personal de informtica y usuarios dentro de la organizacin

Otros aspectos: Telecomunicaciones, EDI (intercambio electrnico de datos),

automatizacin de procesos

Clasificacin de los riesgos segn criterios establecidos por la funcin de auditora

informtica

Elaboracin de una matriz de riesgos que muestre las reas de la funcin de

informtica susceptibles de una revisin por parte de auditora en el siguiente periodo

Elaboracin de un plan consolidado de proyectos

Revisin de la matriz de riesgos y del pronstico de proyectos de auditora en

informtica con la gerencia o direccin a la que reporta directamente la funcin de
informtica

Presentacin del plan de proyectos de la funcin de auditora en informtica a la alta

direccin

Realizacin de cada uno de los proyectos de acuerdo con el plan de auditora en

informtica

Integracin y formalizacin de equipos de trabajo

Aprobacin formal de la alta direccin del informe final de la auditora en informtica

realizada

Resumen del proceso general de planificacin de la auditoria informtica

1. Identificar el origen de la auditora

2. Realizar una visita preliminar al rea que ser evaluada
3. Establecer los objetivos de la auditora
4. Determinar los puntos que sern evaluados en la auditora
5. Elaborar planes, programas y presupuestos para realizar la auditora
6. Identificar y seleccionar los mtodos, herramientas, instrumentos y procedimientos
necesarios para la auditora
7. Asignar los recursos y sistemas computacionales para la auditora
8. Redactar documentos y acuerdos.

CASOS POSIBLES EN EL PROCESO DE PLANEACIN EN AUDITORA

INFORMTICA
En el caso de no se tiene y no se necesita, se debe evaluar la causa por la que no es necesaria.
En el caso de no se tiene pero es necesaria, se debe recomendar que se elabore de acuerdo
con las necesidades y con el uso que se le va a dar.
En el caso de que se tenga la informacin pero no se utilice, se debe analizar por qu no se
usa.
En caso de que se tenga la informacin, se debe analizar si se usa, si est actualizada, si es la
adecuada y si est completa, el xito del anlisis crtico depende de las consideraciones
siguientes:

Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la informacin

sin fundamento)

Investigar las causas, no los efectos.

Atender razones, no excusas.

No confiar en la memoria, preguntar constantemente.

Criticar objetivamente y a fondo todos los informes y los datos recabados.

DEBILIDADES QUE PUEDEN MOTIVAR A QUE SE LLEVE A CABO LA

AUDITORA A UN SISTEMA DE INFORMACIN:
1.- Que el Sistema no haya sido liberado formalmente, lo que puede traer como consecuencia el
desconocimiento real por parte de los usuarios y del personal de Auditora de las debilidades y
fortalezas del Sistema.

2.- Que el sistema nunca haya sido auditado, esto sugiere la alternativa de auditarlo de manera
inmediata, sobre todo, si es un sistema crtico para Alta Direccin (Un
Sistema de Cheques en un banco, un Sistema de Ventas en una empresa comercial o un
Sistema de Manufactura en una empresa de giro Industrial); en caso de no ser un Sistema crtico
para el negocio, programar una revisin al mismo en los proyectos intermedios o finales de
Auditora de Informtica..
Clasificar el nivel de riesgo que representa el uso Hardware y Software dentro de la
organizacin.
Lo que se desea determinar en este punto es que los Sistemas de Informacin Computarizados y
datos sean procesados en un ambiente tecnolgico confiable, seguro y eficiente. Aqu se pueden
auditar aquellos equipos o paquetes de software que dan soporte a los Sistemas crticos del
negocio, o se podr auditar de manera peridica el mantenimiento.
Evaluar as mismo la capacidad de los equipos, cantidad de unidades (Discos, Cintas, Terminales,
etc.), los Tipos (Micros, Redes, Minis, Mainframes), Distribucin fsica de los mismos, reportes
de Desempeo de los mismos son datos que pueden ayudar a determinar la secuencia y grado de
intensidad con que se auditar el Hardware.
El uso y propsito de los paquetes de software, la existencia de procedimientos y polticas en la
evaluacin y adquisicin de Software, as como la estandarizacin de paquetes, apoyan al auditor
en la programacin de los proyectos de Auditora.
Otros aspectos a clasificar:
Administracin del Centro de Cmputo,
Organizacin de
Informtica,
Servicios y Productos (Externos o Internos) de Informtica,
Telecomunicaciones,
EDI (Intercambio Electrnico de Datos por sus siglas en Ingles),
Automatizacin de Procesos, CASE, etc.
Estos deben ser evaluados en base a estndares comnmente aceptados a nivel nacional e
internacional y en base a la proyeccin de uso que piensa darle el negocio en el corto, mediano y
largo plazo. Adems deben considerarse los comentarios y/o asesoras de personal especializado
en esta rea, siendo gente externa o de la misma Funcin de Informtica de la empresa que se est
evaluando.
Clasificacin de los riesgos en base a criterios establecidos por la Funcin de Auditora de
Informtica, tales como:
- Cumplimiento de Estndares comnmente aceptados a nivel nacional e internacional
- Cumplimiento formal de Polticas y Procedimientos
- Grado de Satisfaccin de la Alta Direccin y del Personal Usuario.
El Auditor deber utilizar todos los parmetros de medicin y evaluacin posibles, sin caer en un
anlisis detallado, ya que aqu solo se trata de detectar la problemtica principal de cada una de
las reas.
Si este proceso mostrar anomalas de considerable importancia, en alguno de sus elementos
evaluados, se deben tomar acciones inmediatas orientadas a minimizar o eliminar la anomala.

Consideraciones a tomar en cuenta al hacer el Diagnostico de la Situacin Actual para la

obtencin la Matriz de Riesgos:
Es importante sealar que el Auditor de Informtica, debe conocer de manera suficientemente
aceptable los aspectos relativos a Auditora e Informtica que debe tener cada una de las reas de
Informtica, lo anterior es un requisito indispensable, ya que ser en base a su experiencia y
dominio de la Auditora de Informtica en lo que har un Diagnstico objetivo y contundente.
Elaborar una matriz de Riesgos que muestre las reas de la Funcin de Informtica, que
sern susceptibles de una revisin por parte de Auditora en el siguiente periodo.
Dicha matriz muestra resultados en un orden descendente. Esto implica que el rea que muestre el
valor ms alto es la entidad con mayor riesgo, por lo tanto deber ser la primera en evaluarse por
parte de Auditora y as sucesivamente hasta conocer las reas de menor riesgo.
Elaborar un plan consolidado de Proyectos que tenga al menos la siguiente informacin:
- Fechas de Inicio y Terminacin de cada Auditora
- Etapas de cada Auditora
- Tareas Principales de Cada Etapa
- Equipo de Trabajo (Auditores), Representante de Informtica y
Representante de las reas Usuarias
- Requerimientos (Recursos, Apoyo de la Direccin,
Capacitacin, Material de Auditora en Informtica.
Revisar con la Gerencia o Direccin a la que reporta directamente la Funcin de
Auditora Informtica, la Matriz de Riesgos y el Pronstico de Proyectos de Auditora de
Informtica.
Debe ser llevada a cabo de manera oportuna y formal con el fin de que se d el visto bueno o se
lleven a cabo las adaptaciones o mejoras que se consideren pertinentes, antes de presentarlo a la
Alta Direccin de la Organizacin.
Elaborar formalmente el plan, cubriendo al menos los siguientes aspectos:
- rea a Auditar - Prioridad - Fechas de Inicio y Trmino
- Involucrados - Responsables
- Fechas de Revisin formales e Informales
- Otros de Inters particular del Auditor de Informtica en el momento de efectuar esta tarea
Presentar a la Alta Direccin el Plan de Proyectos de la Funcin de Auditora en
Informtica. Lo anterior es con los siguientes propsitos:
- Que conozcan antes de que inicie el ao fiscal los proyectos de Auditora en Informtica
- Verificar que las reas que ellos consideran crticas para el buen funcionamiento del negocio,
hayan sido contempladas en el Plan de Auditora de Informtica y en la Matriz de
Riesgos, para su debida reorganizacin antes de que sea autorizado.
Llevar a cabo cada uno de los proyectos de acuerdo al Plan de Auditora en
Informtica.
Ejecutar actividades de Seguimiento y Revisin formal a cada uno de los proyectos

Integrar y formalizar equipos de trabajo formados por:

a) Gerentes de las reas Usuarias a Evaluar
b) Gerente de la Funcin de Informtica
c) Lder del Proyecto de la Funcin de Auditora en Informtica
d) Otros que sean necesarios

Obtener la aprobacin formal de la Alta Direccin del Informe Final de la Auditora de

Informtica Realizada

Aplicar este proceso de Planeacin de Auditora de Informtica de manera permanente.

Los Auditores Informticos en este proceso de Planificacin, inicialmente deben tener la

visin de mejoras continuas para la organizacin; teniendo en cuenta lo siguiente
puntos:
- La alta sistematizacin de las organizaciones
- Nuevas tecnologas
- Automatizacin de los controles
- Integracin de la informacin
- Importancia de la informacin para la toma de decisiones
Por lo tanto, una adecuada planificacin de una auditoria (Identificacin de objetivos,
recursos, diseo de procedimientos de auditora, ejecucin y los informes correspondientes)
da como resultado un ptimo programa de auditora, donde se evidencia la eficacia y
efectividad de la planificacin realizada.

CONCLUSIONES

La auditora informtica de sistemas como todos los tipos de auditora busca optimizar los
procesos que se llevan a cabo en una organizacin, mediante la evaluacin de normas,
controles, tcnicas y procedimientos que se tienen establecidos en una empresa para lograr
confiabilidad, oportunidad, seguridad y confidencialidad de la informacin, orientados
primordialmente al aseguramiento de la calidad y control de los diferentes elementos que se
encuentran relacionados con los recursos de informtica, considerando las necesidades o
prioridades que tenga la alta direccin de auditar o evaluar un rea especfica de informtica.

REFERENCIAS BIBLIOGRFICAS

http://es.slideshare.net/jose6829/planeacin-de-la-auditora-en-informtica?related=1
https://www.google.com.ec/url?
sa=t&rct=j&q=&esrc=s&source=web&cd=2&cad=rja&uact=8&ved=0ahUKEwjxxdjf5M3J
AhXJ5CYKHd-rAsIQFgggMAE&url=http%3A%2F%2Ffcasua.contad.unam.mx%2Fapuntes
%2Finteriores%2Fdocs
%2F98%2F8%2Faudi_infor.pdf&usg=AFQjCNGOA3NAsfMDUNOF4W3oi8j20j1gg&sig2=2cMxV5gC1t1j7BI8wqycGw

www.contraloria.gob.ec/documentos/normatividad/MGAG-Cap-V.pdf
cdigital.dgb.uanl.mx/te/1020073604/1020073604.PDF