Ing.

Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

Sobre derecho de autor

Los autores tienen formas de ser ms explcitos en sus derechos para que no
queden dudas al quien quiera efectuar una copia. Aunque no es requisito hacer
nada en un documento para decir que tiene derechos de autor, se recomienda
que sea explcito incluyendo la (c) (la letra c en un circulo) o la palabra
"Copyright" o ambas, el ao (normalmente el de creacin o publicacin) y el
nombre del dueo de los derechos. Aunque no es crtico el lugar donde coloque
el aviso, hgalo visible a quien lo est buscando.

TEMATICA
SESIN-1
- Introduccin de la Auditoria de Sistemas
- Entorno y reas de Aplicacin
SESIN-2
- Tipos y Clases de Auditoria
- Ubicacin dentro de la estructura organizacional.
SESIN- 3
- Metodologa para el desarrollo e implantacin de la auditoria en informtica
- Proceso de Planeacin de la auditoria
- Tcnicas y Herramientas de auditoria
SESIN- 4
- Papel y responsabilidades del Auditor de Sistemas
- Relaciones entre el Auditor y el Personal de Proceso de Datos
- Conocimientos tcnicos requeridos
SESIN- 5
- Auditoria en un centro de tecnologa de informacin.
o Gestin, Normas, Polticas, Procedimientos
o Plan de contingencia
o Plan de seguridad
SESIN- 6
- Auditoria en un centro de tecnologa de informacin
o Gestin del Hardware
o Plan de contingencia
o Plan de seguridad
SESIN- 7
- Sustentacin de trabajos

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

SESIN- 8
Evaluacin
SESIN- 9
- Auditoria en un centro de tecnologa de informacin
o Gestin del Software
o Plan de contingencia
o Plan de seguridad
SESIN- 10
- Auditoria a Proyectos computacionales: Controles, estndares, otros
SESIN- 11
- Auditorias a las aplicaciones (Procesos administrativos, financieros sistematizados)

SESIN- 12
-

Soporte a la auditoria financiera

Software de Auditoria

SESIN- 13
- Planes de contingencia preventiva y correctiva
- Caso estudio
- Aspectos Legales
SESIN- 14 y 15
- Sustentacin de trabajo final
SESIN- 16
Evaluacin final

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

CONTENIDO TEMATICO
SESIN-1
1.1 Introduccin de la Auditoria de Sistemas
Los departamentos de Sistemas e Informtica y Proceso de Datos realizan muchas de las
funciones de control que estn incorporadas en los sistemas automatizados.
Lo ms importante para los auditores es la bondad del proceso, la exactitud de los datos
grabados, la adecuacin de los procedimientos de control y el cumplimiento del aspecto
tcnico y legal en la gestin. Por lo tanto el auditor de sistemas debe tener los conocimientos
necesarios para llevar a cabo la evaluacin de la gestin realizado en un determinado centro
de tecnologa de informacin (Proyectos, Aplicativos, seguridad, calidad, etc).

ADMINISTRATIVA

SISTEMAS

FINANCIERA

OTROS ...

AREAS DONDE SE HACE GESTION

<<El sistema informtico constituye una parte fundamental del sistema administrativo y
financiero general de la empresa>>
1.2 Entorno y reas de Aplicacin
La aplicacin de auditoria se da en todas las reas de la organizacin con los especialistas
que corresponda. En los ltimos aos con el desarrollo vertiginoso de la tecnologa de
informacin, se est dando nfasis la auditoria de sistemas aplicada al rea de sistemas e
informtica, para lo cual los auditores deben ser necesariamente especialistas en el rea. A
diferencia de otras pocas en la cual un contador estaba involucrado en la auditoria de
sistemas, hoy en da esta labor es manejada por el ingeniero de sistemas o informtico,
debido a que la informtica en las organizaciones involucra conocimientos especializados en
la gestin, cuyos riesgos no pueden ser percibidos por un profesional de otra especialidad. El
profesional en sistemas adems apoya a la auditoria financiera en el anlisis de datos de las
aplicaciones automatizadas, convirtindose en este caso en un soporte fundamental.
<<La auditoria es otra forma de asegurar la calidad de la informacin que contiene el
sistema. Con una definicin amplia, la auditoria implica contar con un experto que no se
encuentre involucrado con la operacin del sistema, para examinar la informacin, con el fin
de identificar el problema >>

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

<< Es un proceso formal que se orienta a la verificacin y aseguramiento de que Las

polticas y procedimientos establecidos para el manejo y uso adecuado de las tecnologas de
informacin en la empresa se lleven a cabo en forma oportuna y eficiente >>
Las reas de aplicacin para la Auditoria de Sistemas, estn dirigidas a aquellas actividades
cuya gestin u operacin involucran de una u otra manera el manejo de la informacin. Para
aquellas actividades en la que se aprecia a la informacin involucrado a la Tecnologa de
informacin podemos distinguir lo siguiente:
Auditoria a los centros de tecnologa de informacin
Auditoria especializada a los proyectos de sistemas informticos u otros
Auditoria de Aplicaciones
Auditoria especializada a la seguridad de la informacin
Apoyo y soporte a la auditoria de los sistemas financieros

SESIN-2
2.1 Tipos y Clases de Auditoria

TIPOS DE AUDITORIA

Auditoria de Gestin
Auditoria Financiera
Auditoria (examen) Especial

AUDITORIA DE SISTEMAS ???

CLASES DE AUDITORIA

A. INTERNA

A. EXTERNA

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

Los tipos de Auditoria reconocidas legalmente en el Per son:

Auditoria de Gestin, Auditoria Financiera y Auditoria Especial

La auditoria puede ser:

INTERNA, cuando las actividades de control son realizadas por el personal especializado que
opera a travs de una Oficina de Control Interno (O.C.I), cuya dependencia funcional vara
entre el sector pblico y privado. En las entidades del sector pblico (Per); el Jefe de esta
oficina depende de la Contralora General de la Repblica. En el caso de las empresas
privadas toda el rea de control dependen de la misma empresa.
EXTERNA, cuando las actividades son realizadas por el personal especializado, cuya
organizacin no dependen de la empresa auditada.
Tanto en la auditoria Interna como Externa participa el ingeniero de sistemas, ya sea si se
trata de realizar una auditoria de sistemas como soporte a la auditoria financiera,
mediante el anlisis de datos de las aplicaciones automatizadas.
Debe hacerse auditoria externa, al menos una vez al ao; sea como parte del programa anual
de auditoria o en casos especiales; cuando algo fuera de lo ordinario esta ocurriendo, que
llegara a involucrar a los empleados de la compaa tal como la sospecha de fraude en
materia de computacin o de peculado.
2.2 Ubicacin de la Auditoria de Sistemas en la estructura organizacional
G.G
O.C.I

G.T.I

G.A

G.F

Otras

El auditor de Sistemas pertenece, a la Oficina de Control Interno o su equivalente, quienes

constituyen la Auditoria interna.
Para los casos de auditoria externa, se cuenta con todas las especialidades requeridas para la
auditoria.

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

SESIN- 3
3.1 Metodologa para el desarrollo e implantacin de la auditoria en informtica

Preliminar
(diagnostico)
- Negocio
- Informtica

Justificacin
- reas a auditar
- Plan propuesto

Revisin informal

Adecuacin
- Mtodo
- Tcnicas
- Herramient.

Formalizacin
- Aprobacin
- Arranque

Revisin formal

Desarrollo
- Entrevistas
- Observaciones
Recomendaciones
- Informes

Aprobacin formal

Implantacin
- Acciones correctivas y
preventivas
- Seguimiento

El modelo representa un a estrategia para implantar un proceso metodolgico de auditoria en

informtica (Bib. Auditoria en informtica, Enrique Hernndez Hernndez, pag. 72)
Productos finales a obtenerse en cada etapa:
Etapa preliminar: un diagnostico de negocio o de informtica
Etapa Justificacin: Una matriz de riesgos, plan de auditoria en informtica
Etapa Adecuacin: Un plan y metodologa de acuerdo con el cliente
Etapa Formalizacin: Un plan aprobado, programa de auditoria, compromiso ejecutivo
Etapa Desarrollo: Auditar reas seleccionadas, informe de auditoria en informtica
Etapa Implantacin: Recomendaciones

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

Metodologas para el desarrollo de la Auditoria de Sistemas:

<< Algunas metodologa de auditoria sugieren como Tipos de preguntas que el auditor debe
tener presente, las Preguntas abiertas: libertad de respuesta al entrevistado, y las Preguntas
cerradas: cuando las respuestas son presentadas como alternativas. Lo que se aplica en la
realidad es una mixtura de ambas.>>
Una vez que la entrevista ha concluido, el entrevistador debe redactar un informe que
enumere los principales puntos planteados, as como las opiniones de las que se trato. Es
de suma importancia documentar la informacin una vez que esta ha concluido utilizando
el formato que corresponda en forma adecuada y que cumpla con lo establecido por ley.
<<Los auditores internos estudian los controles utilizados por el sistema informtico para
asegurar que este realice lo que supuestamente debe hacer. Tambin examina la operacin de
los controles de seguridad. Aunque trabajan dentro de la misma organizacin, los auditores
internos no reportan a la gente responsable del sistema que auditan. El trabajo de los
auditores externos, con frecuencia es de mayor profundidad que el de los auditores
internos>>.

3.2 Proceso de Planeacin de la Auditoria

ACTIVIDAD

RESPONSABLE
EJECUCIN

RESPONSABLE
SEGUIMIENTO

COMENTARIOS

Determinacin
De las reas por
Auditar

Supervisor de
auditoria en
informtica

Gerente de
auditoria en
informtica

Se efecta una
evaluacin del
rea de informtica
Con el fin de detectar
reas de riesgo.

Elaboracin del
Plan de auditoria
En informtica

Supervisor de
auditoria en
informtica

Gerente de
auditoria en
informtica

Los alcances y fechas

en que se auditan las
reas depende dela
Alta direccin.

Presentacin del
Plan a la alta
Direccin

Gerente de
auditoria en
informtica

Alta direccin
de la empresa

Se efecta con la
autorizacin de la
alta direccin.

Ejecucin del
Plan de auditoria
En informtica

Supervisor de
auditoria en
informtica

Gerente de
auditoria en
informtica

Puede efectuarse
como auditoria
interna o externa.

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

3.3 tcnicas y herramientas de Auditoria

Tcnicas
El desarrollo exitoso de la auditoria en sistemas depende de un conjunto de factores
interrelacionados.

Dominio de los conceptos tcnicos y administrativos relacionados con la gestin informtica.

Habilidades inherentes a la auditoria en informtica

Entendimiento de los aspectos legales asociados a la gestin que se audita

Informacin de buenas prcticas

en
ta
do
?

CONSIDERACIONES PARA EVALUAR UNA

ACTIVIDAD AUDITABLE

pl
em

01

I
m

EVALUACION DE UNA ACTIVIDAD EN TIC

Actividades a controlar Cmo evaluar?
Herramientas?
(Ejemplo)
Evaluar los accesos a la
- Verificar si varios - Observacin
red
usuarios utilizan la - Pruebas
misma clave
manuales
- Probar
accesos - Documentacin
permitidos con claves
procedimientos
falsas
- Fecha de caducidad
de clave, etc

Ninguna . Debilidad

?
ad
lid
a
C

?
iste
x
E

No tiene . Debilidad

No existe . Debilidad

Comentario
Debe existir
procedimiento de
accesos.
No se debe
permitir acceso
no autorizados

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

Herramientas
Las herramientas necesarias para auditar las reas seleccionadas en el proceso de planeacin de la
auditoria en sistemas lo encontramos en:
o
Software adecuados para la evaluacin de datos
o
Un enfoque metodolgico
o
Tcnicas de documentacin adecuada
o
Instrumentos legales asociado a la actividad auditada (normas, leyes, directivas, etc)
o
Otros
En la medida que el auditor tenga la formacin profesional, la experiencia y conocimiento del
rubro que se audita, los resultados sern exitosos.

SESIN- 4
4.1 Papel y responsabilidades del Auditor de Sistemas
La auditoria de sistemas puede llevarse a cabo como parte integrante de la auditoria
general o en forma independiente a ella. El auditor de sistemas o informtico es responsable
de dirigir y controlar la accin de la auditoria sobre todas las actividades de informacin
asociadas con tecnologa informtica; manteniendo la debida objetividad e independencia, as
mismo emitir los informes finales. Podemos citar algunos de ellos:
Organizacin: Un anlisis de la gestin y controles operativos que realiza el
departamento informtico. Contempla la gestin de todas las reas tcnicas: Redes,
proyectos informticos, aplicaciones y seguridad de datos, etc.
Proyecto informtico: Una evaluacin especializada, que implica una revisin de todas
las fases del proyecto, as mismo los riesgos involucrados y la orientacin de la calidad
del producto final.
Datos: Un anlisis de la seguridad de los datos para las aplicaciones en funcionamiento.
Responsabilidad del Auditor
Deben emitir recomendacin sobre las debilidades o daos ocultos encontrados en las
actividades de informacin asociadas con tecnologa informtica que se audita. Si durante la
ejecucin de Auditoria, los Auditores perciben debilidades en la gestin dichas actividades,
deber reflejar sus opiniones a travs del informe de Auditoria. Si el profesional no esta
debidamente preparado para identificar las debilidades cometidas entonces corre el riesgo
de ser asociado al delito de colusin u ocultamiento de informacin.

Tareas principales de la auditoria:

Estudiar y actualizar permanentemente las reas susceptibles de revisin.
Apegarse a las tareas que desempean las normas, polticas, procedimientos y tcnicas de
auditoria establecidos por los organismos generalmente aceptados a nivel nacional e
internacional.

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

10

Evaluacin y verificacin de las reas tcnicas requeridas por la alta direccin o

responsables directos de la organizacin.
Elaboracin del informe de auditoria (Si la auditoria es para el sector pblico, el informe
se basa en la estructura del NAGU 4.40. Si la auditoria es para el sector privado, el
informe es propio de cada entidad. En ambos casos debe reflejarse las debilidades y
recomendaciones bajo sus propias estructuras).
Otras
Problemas durante la entrevista:
Percibir que el auto estima del entrevistado de encuentra amenazada.
Reacciones emotivas a temas conflictivos.
Mal entendido respecto a la sucesin de los acontecimientos.
Equvocos al inferir sobre lo observado.
Olvido de hechos importantes.
Mentir para ocultar hechos importantes.
Preparacin de la Documentacin
Una vez que la entrevista ha concluido, el entrevistador debe redactar un informe que
enumere los principales puntos planteados, as como las opiniones de las que se trato. Es
de suma importancia documentar la informacin una vez que esta ha concluido utilizando
el formato que corresponda en forma adecuada y que cumpla con lo establecido por ley.
<< Algunas metodologa de auditoria sugieren como Tipos de preguntas que el auditor debe
tener presente, las Preguntas abiertas: libertad de respuesta al entrevistado, y las Preguntas
cerradas: cuando las respuestas son presentadas como alternativas. Lo que se aplica en la
realidad es una mixtura de ambas.>>
4.2 Relaciones entre el Auditor y el Personal de Proceso de Datos
Los auditores de sistemas deben tener un conocimiento general del entorno informtico:
Gestin tecnolgica (Polticas, control, proyectos informticos, metodologa, entre otros). De
tal manera que puedan hablar en el mismo idioma con el equipo tcnico del rea de
sistemas.
Normalmente la presencia del Auditor, puede resultar incmodo en el personal que maneja
los procesos informticos, siendo necesario mucha cautela de los especialistas para superar
este inconveniente.

11

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

R
UE
EQ

S
TO
EN
I
IM

PERSONAL
DEL
AREA
AUDITADA

DI

Document.

EQUIPO DE
AUDITORIA

RE
CT

IVA
S

EJECUTIVOS
DE LA
ORGANIZAC.

ALCANCES

Requer.

Alcances

1 Normas y polticas de la empresa

2 Alcances del estudio de Auditoria
3 Interactan en el estudio de auditoria
4 Informe final de auditoria, correctivos
5 Canalizan los correctivos

Para los casos de que el auditor de Sistemas participe como Soporte a la Auditoria de los
Sistemas Financieros, la relacin generalmente es la siguiente:

ER
QU
E
R

PERSONAL
DEL
AREA
AUDITADA

S
TO
EN
I
IM

DI

Document.

AUDITORIA FINANCIERA
Sistema

Financiera

ALCANCES

RE
CT

IVA
S

EJECUTIVOS
DE LA
ORGANIZAC.
Alcances

Uno de los requerimientos frecuentemente solicitados a los auditores financieros es la

Estratificacin de datos.
Estratificar la demanda de alumnos que usan el laboratorio, por ciclo, usar rangos de 3.
Ciclo
Alumnos
<0
<4
<8

3]
7]
ms

30
100
70
--------

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

12

200
4.4 Conocimientos tcnicos requeridos
El ambiente de un rea auditada para una organizacin cualquiera, esta asociado con muchas
variables tcnicas; como por ejemplo, procesos del negocios que requieren el uso de
tecnolgico, personal especializado en informtica, software base, software aplicativo,
proyectos, hardware, comunicaciones, etc los cuales influirn en el cumplimiento de los
objetivos institucionales, entre otros.
Estas variables exigen del Auditor de sistemas o informtico amplia experiencia en el tema a
examinar, objetividad, honestidad, reserva de la informacin recibida, transparencia,
autonoma, independencia con el rea auditada, con la finalidad mostrar todas las debilidades
que pongan en riesgo prdidas en la institucin, las cuales deben ser objetivas, completas y
exactas.
Por ello, en la actualidad se habla de la auditoria a medida con el propsito de hacer ms
eficiente, eficaz y econmico el trabajo del auditor frente a los retos de complejidad de las
organizaciones, de los avances vertiginosos de la informtica, del volumen de operaciones,
etc. Para el caso que la auditoria informtica requiera anlisis de Bases de datos, existen
muchos software con el cual se pueden evaluar dicha informacin, por lo que su eleccin
depende del auditor.
SESIN- 5
Controles:
ORGANIZACION

PROCESO

CONTROL

A: Se definen los alcances de la auditoria

B: Se definen las actividades de control: Documentos de gestin, normas, directivas,
procedimientos, etc. requeridos en A.
C: Se hace una evaluacin de las debilidades encontrados por cada actividad sealado en
B.
D: Resultados de la evaluacin incluyendo la recomendacin respectiva.

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

13

5.1 Auditoria a un centro de tecnologa de informacin: Aspecto de Recursos Humanos,

organizacin, procedimientos, etc.
Se trata de asegurar una adecuada gestin del responsable del rea tcnica: Control interno,
separacin de funciones, seguridad y fiabilidad del sistema, apoyo a la continuidad de
negocios, etc. Se analizar las debilidades de gestin, de tal manera que permita hacerse los
correctivos necesarios para contribuir a lograr los objetivos de la Institucin.
Controles:
Podemos sealar para este caso, algunos aspectos bsicos del control como:

La existencias de documentos, su contenido e implementacin, relacionados con la

actividad auditada (procedimientos, directivas, manuales tcnicos, etc)

Debida segregacin de funciones en el rea

Metodologas o uso de buenas prcticas sobre aspectos tcnicos del rea

Medidas para mantener la calidad de los productos tecnolgicos

Medidas adoptadas para la seguridad de la informacin

Transparencia en la gestin

Cumplimiento de disposiciones

Contribucin al desempeo de la organizacin

Orientados a lograr:
Que el control interno sea adecuadamente diseado
Niveles de autorizacin adecuadas y a quien corresponda
Estndares que cubran los objetivos
Seguridad y proteccin de datos plenamente garantizados
Las rotaciones de personal no debe generar vacos de control.
Etc.

5.2 Plan de contingencia

Orientado a establecer los respectivos planes de contingencia preventiva y correctiva que
requiera el rea, previo estudio de los procesos crticos en cada rea asociados a esta
actividad.
Ejm:
Contingencia preventiva: El manejo de contratos de MANTENIMIENTO PREVENTIVO de
equipos, frente a posibles daos naturales. Es preventiva porque permite evitar que el dao
ocurra.

Contingencia correctiva: El manejo de contratos de MANTENIMIENTO CORRECTIVO de

equipos, que permita hacer frente a posibles daos ocasionados a los equipos. Es correctiva
porque permite disminuir los daos iniciados u ocasionados.
5.3 Plan de seguridad
Orientado a establecer las medidas adecuadas que permitan garantizar la continuidad del
negocio de la institucin, asociados con la aplicacin de la tecnologa de la informacin o con
el manejo de los sistemas de informacin.

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

14

SESIN- 6
6.1 Auditoria en un centro de tecnologa de informacin: Recursos de Hardware
Controles:
Podemos sealar para este caso, algunos aspectos bsicos del control como:

La existencias de documentos, su contenido e implementacin, relacionados con el

buen manejo de la actividad (procedimientos, inventarios, manuales tcnicos, etc)

Metodologas o uso de buenas prcticas sobre aspectos tcnicos del rea

Medidas para mantener la calidad de los productos tecnolgicos

Evaluacin de desempeo

Medidas adoptadas para la seguridad de la informacin

Transparencia en la gestin

Estndares de trabajo

Etc.
6.2 Plan de contingencia
Orientado a establecer los respectivos planes de contingencia preventivo y correctivo que
requiera el rea, previo estudio de las reas o actividades ms importantes asociados a esta
actividad.
Ejm:
Contingencia preventiva: El uso de un UPS para proteger la red del sistema, frente a cadas de
tensin. Es preventiva porque permite evitar que el dao ocurra.
Contingencia correctiva: El uso de un EXTINGUIDOR para proteger la instalacin de los
equipos de la institucin, en caso de incendios. Es correctiva porque permite disminuir los
daos iniciados u ocasionados.
6.3 Plan de seguridad
Orientado a establecer las medidas adecuadas que permitan garantizar la continuidad de las
actividades en la empresa. Ejemplo, prever un ambiente adecuado para el funcionamiento de
los equipos.
Nota:
Ver anexo : Auditoria del Hardware
(Bib. Auditoria en informtica, Enrique Hernndez Hernndez, pag. 267)

SESIN- 7
Sustentacin de trabajo

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

15

SESIN- 8
Evaluacin

SESIN- 9
9.1 Auditoria en un centro de tecnologa de informacin: Recursos de Software
Controles:
Podemos sealar para este caso, algunos aspectos bsicos del control como:

La existencias de documentos, su contenido e implementacin, relacionados con el

buen manejo de la actividad (procedimientos, directivas, manuales tcnicos, etc)

Metodologas o uso de buenas prcticas sobre aspectos tcnicos del rea

Medidas para mantener la calidad de los productos tecnolgicos

Evaluacin de desempeo

Medidas adoptadas para el control de la informacin

Seguridad de los Programas
Se debe comprobar aspectos como:
Existen copias de seguridad de los programas
Existe un control de la manipulacin de programas
El almacenamiento de los programas fuentes, objetos y otros obedecen a las normas y
procedimientos establecidos.
9.2 Plan de contingencia
Orientado a establecer los respectivos planes de contingencia preventivo y correctivo que
requiera el rea, previo estudio de las reas o actividades ms importantes asociados a esta
actividad.
Ejm:
Contingencia preventiva: El uso de un ANTIVIRUS EN LINEA instalado en el sistema de
red, frente a archivos infectados del virus. Es preventiva porque permite evitar que el dao
ocurra.
Contingencia correctiva: El uso de un ANTIVIRUS NO EN LINEA que permita desinfectar
los archivos atacados por el virus. Es correctiva porque permite disminuir los daos iniciados
u ocasionados.
9.3 Plan de seguridad
Orientado a establecer las medidas adecuadas que permitan garantizar la continuidad de los
procesos sistematizados de la empresa. Ejemplo disponer del funcionamiento de software con
licencias.
Nota:
Ver anexo: Auditoria del Software
(Bib. Auditoria en informtica, Enrique Hernndez Hernndez, pag. 277)

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

16

SESIN- 10
10.1 Auditoria a Proyectos computacionales: Controles, estndares, otros.
Controles:
En el caso de la auditoria de sistemas debemos controlar aspectos como:

La existencias de documentos, su contenido e implementacin, relacionados con el

buen manejo de la actividad (procedimientos, directivas, manuales tcnicos, etc)

Debida segregacin de funciones en el proyecto

Metodologas o uso de buenas prcticas sobre aspectos tcnicos del rea

Medidas adoptadas para mantener la calidad de los productos tecnolgicos

Evaluacin de desempeo

Medidas adoptadas para el control de la informacin

Transparencia en la gestin
Estndares
Los estndares en los sistemas aplicativos se elaboran segn los criterios de cada
organizacin, sin embargo todos ellos tienen como objetivo lograr mantener una uniformidad
de criterios operativos y de documentacin que permita facilitar la gestin del usuario. El
Auditor debe comprobar si estos estndares son adecuados, fiables y practicables.
Debe evaluarse la estructura organizativa y las distintas reas de responsabilidad, incluyendo
descripciones de puestos de trabajo de tal manera que permita al auditor conocer como
funciona la unidad.
Auditoria de la Propuesta de automatizacin
Al inicio del proyecto debe tenerse en cuenta:
Si existen los controles de gestin adecuados en las etapas del desarrollo?

El equipo de direccin posee autoridad suficiente, para supervisar el proyecto?

Se han programado adecuadamente los tiempos de cada fase?
Existen bases adecuadas, que determinen los alcances con claridad?
Los estndares y procedimientos estn claramente especificados?

Las propuestas para los sistemas grandes son complejas y difciles de evaluar, siendo
necesario adoptar un enfoque sistemtico en la siguiente secuencia:
Identificacin de los objetivos
Identificacin de los procesos a desarrollar (alcances del sistema)
Entregables
Seguridad y continuidad de los sistemas
Etc.

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

17

Aspectos crticos del Proyecto

Esta orientado a la evaluacin de los mtodos y procedimientos usados para el procesamiento
de datos. No existe un momento oportuno para llevar a cabo la auditoria de Proyectos de
sistemas, este puede hacerse durante el desarrollo (en cualquier ciclo de vida de un sistema)
con la finalidad de lograr una calidad, consistencia y dinamismo del sistema.
La auditoria busca lo siguiente:
Si se ha planificado correctamente, cumpliendo las necesidades de los usuarios
Si el control de proyectos es adecuado
Si los controles de requerimientos son adecuados como los solicita el usuario
Si las pruebas y verificaciones son adecuadas
Si los manuales son suficientes
Si cuentan con los estndares necesarios
Si se han previsto planes para la implantacin

Cmo se establecen las bases o alcances del estudio?

Cmo se preparan los plazos de desarrollo?
Cmo se maneja la fase de desarrollo vs. la fase de produccin?
Los controles establecidos son los ms adecuados?
Los controles de pruebas funcionales son adecuados?
Existen pistas de auditora en los diseos?

La auditoria de desarrollo se lleva a cabo bsicamente sobre cada fase del ciclo de desarrollo
del sistema.
Los procesos o ciclos para la auditoria pueden clasificarse en:
a) Operativos
Control de datos, segn las mnimas necesidades de control, deben especificar las pistas
de auditora, integridad de datos, etc.
Registro de procedimientos con normas y pautas para todos los sistemas.
Los procedimientos y controles de seguridad de SW y HW, las autorizaciones para el
acceso de datos, etc.
Evaluacin general de las necesidades que hay que satisfacer.
b) Implantacin
Los estndares de desarrollo afectan a las etapas de anlisis y diseo del sistema, los
estndares de implantacin deben apoyarse en procedimientos y documentacin adecuada.
Pruebas y verificacin de datos. Niveles de responsabilidad, etc.
Debe contener recomendaciones de normas y procedimientos de control
Mantenimiento Pos implantacin.
Es necesario que el sistema este adecuadamente integrado para iniciar el proceso de pruebas,
la cual debe verificar la integridad de datos en todos los procesos. Debe contemplarse lo
siguiente:
Una evaluacin con todo tipo de datos que permita simular el ciclo completo de operacin
del sistema.
Recolectar y preparar los posibles resultados que debera arrojar el sistema.

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

18

El auditor debe verificar los datos de prueba y la simulacin completa.

c) Documentacin
La documentacin representa un espejo del esquema funcional del sistema, incluyendo los
estndares, etc.
Auditoria de la Documentacin
Normalmente la documentacin del desarrollo de un sistema se va elaborando en forma
paralela al desarrollo de esta, sin embargo se considera completa; cuando esta contemple
todos los ajustes realizados; por lo que siempre se concluye despus que el sistema haya
pasado la fase de pruebas. Se debe verificar los estndares utilizados y que concuerden con el
sistema en funcionamiento.
Anlisis de los manuales del Usuario
Se deben preparar los manuales orientado a los usuarios que usaran el sistema, entre los
manuales ms importantes tenemos: Manual del sistema, de usuario y de operacin.
SESIN- 11
11.1 Auditoria a las Aplicaciones: Calidad del producto implementado
Controles:
En el caso de la auditoria de sistemas debemos controlar aspectos como:

La existencias de documentos, su contenido e implementacin, relacionados con el

buen manejo de la actividad (procedimientos, directivas, manuales tcnicos, etc)

Medidas para mantener la calidad de los productos tecnolgicos

Evaluacin de desempeo

Medidas adoptadas para el control de la informacin

Evaluacin de la funcionalidad

Seguridad de acceso a los datos

Los estndares de desarrollo programacin, adems de sus controles
Se establecen procedimientos que permitan incorporar programas modificados a las
aplicaciones en prueba.
Se encuentre separado el rea de desarrollo y el operativo?
Entre otros.

Cmo se llevan a cabo los correctivos?

Los manuales estn actualizados?
Se han establecido planes de contingencia adecuados?

Plan de contingencia
Orientado a establecer la seguridad de informacin, previo estudio de los procesos ms
importantes asociados a esta actividad.
NOTA: Ver anexo: Auditoria Durante el ciclo de desarrollo e implantacin de sistemas de
informacin
(Bib. Auditoria en informtica, Enrique Hernndez Hernndez, pag. 211)

19

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

Impacto de los Sistemas Mecanizados

Una de las ventajas ms importantes que tienen los sistemas integrados en una organizacin,
es la realizacin automtica de muchas actividades del proceso: Actualiza stock, actualiza
estados, actualiza precios, actualiza indicadores de accin para un usuario, etc. Si el control
del sistema es eficiente, la aplicacin automatizada puede ser mucho ms eficiente que un
trabajo manual; de lo contrario existe la probabilidad de riesgos econmicos muy altos.
REQUERIMIENTOS

PROCESO
FUNCIONAL

Document.
funcional

RESULTADO

PROCESO
AUTOMATIZ.

ACCESO
USUARIO

Ba se d e
da to s

Document.
automatiz.

Flujograma, tablas de decisin y especificaciones de Sistema.

Es importante que se refleje a travs de un flujograma de procedimientos el flujo de accin
tomado sobre los procesos ms importantes.
En el presente ejemplo se muestra el flujo de integracin entre las ventas y la cta.cte. de
clientes:

INICIO
Lee
Pend-cobr.
Lee
Fact-cobr.

Existe ?

S
Selecciona
registro
Lee
Fact-cobr.
actualiza
Lee
Cta-Cte
Clientes y
actualiza

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

SESIN- 12
12.1 Soporte a la auditoria financiera

@ STATISTICS ON UNCST TO SCREEN NUMBER 5

Field : UNCST
Number
Total
Average
Positive : 149
2,642.35
17.73
Zeros :
0
Negative :
3
-16.88
-5.63
Totals : 152
2,625.47
17.27
Abs Value:
2,659.23
Range :
388.07
Highest : 381.20 173.80 155.80 137.80 87.40
Lowest : -6.87 -6.80 -3.21 0.01 0.03

20

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

21

12.2 Software de Actualidad usados en la Auditoria de Sistemas para evaluar DATOS

Actualmente una de las herramientas de Software ms usado en el ambiente de la auditoria de
Sistemas es el ACL (Lenguaje de comandos de auditoria), el cual permite realizar clculos
matemticos y financieros que facilitan el anlisis de datos de los sistemas automatizados.
Existen otros softwares como el Focus Group, etc.
Hardware bsico requerido
El hardware que se requiera depende del software a ser instalado:
Si se tiene un ACL para Mainframe, el requerimiento de disco es mayor que si se instala un
ACL para PC.
Control de los datos
El objetivo es garantizar que sean exactos, que sean los que corresponda y que estn
completos.
Normalmente las empresas llevan a cabo este control a travs del rea de auditoria interna o
externa de sistemas o en el rea de produccin a travs de los Analistas Funcionales.

SESIN- 13
13.1 Polticas de seguridad de datos
La implantacin de procedimientos de seguridad, reduce los riesgos pero no los elimina
totalmente. La organizacin debe contar con un plan de emergencia (medidas de
contingencia) prctico y documentado que pueda responder ante cualquier riesgo que se
presente. Una de las medidas que toda empresa debe tener presente es el Seguro contra
riesgo, cuya cobertura debe ser la ms amplia posible.
Los datos constituyen uno de los recursos ms importantes que existe en una organizacin,
por lo tanto se debe verificar que:
Existan estndares, procedimientos y polticas de Backup definidos.
Existen controles adecuados para evitar la manipulacin de los datos
Los almacenamientos de datos estn codificados para su identificacin
Etc.
NOTA: ver anexo de Auditoria de seguridad
(Bib. Auditoria en informtica, Enrique Hernndez Hernndez, pag. 285)

22

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

13.2 Aspectos legales

El auditor debe actuar con prudencia y cautela de tal manera de no levantar sospechas de los
implicados en el caso, para luego comunicar a quien corresponda, la presencia del asesor
jurdico o de la polica es importante. Los documentos que forman parte de la evidencia
deben estar custodiados.
Actualmente la disposicin legal sobre fraude informtico es escasa e imprecisa.
Lo que los abogados y la polica tratarn de ahondar en las evidencias y pruebas para evaluar
si procede la acusacin
La auditoria en nuestro pas esta normada por:
Contralora general de la Repblica, cuyos informes estn estipulados en el NAGU
La Superintendencia de Banca y Seguros, para el sector Financiero.
Existen otras normas como el NAGA (Normas de auditoria generalmente aceptadas) y el
NIA (Normas de auditoria internacional)

Interno

Externo

Buenas Practicas

PUBLICO
Las disposiciones que se
emitan al interior de la
Institucin:
Resoluciones
internas, Directivas internas,
procedimientos, etc
- NAGU, estructura 4.40
NCI 500 (1-8)
NCI 320
Decreto Supremo
circular SBS G-105-2002
(Financiero)
ISO 17799
DS N 013-2003-PCM
(Legalidad del SW)
D.L N 822 (Derecho de
autor)
Otros
INFORME COSO
COBIT, PM Book
otros

SESIN- 14, 15
Sustentacin de los trabajos
SESIN- 16
Evaluacin final

PRIVADO
Las disposiciones que se emitan al
interior de la Empresa:
Directivas, procedimientos,
disposiciones, memorndum,
Manual de funciones, etc
circular SBS G-105-2002
(Financiero)
DS N 013-2003-PCM (Legalidad
del SW)
D.L N 822 (Derecho de autor)

INFORME COSO
COBIT, PM Book
Otros