Auditoria 3

Arianna Amundaray
Mariangela Astudillo
Generalidades
antecedentes
definicin, objetivo, alcance, etapas,
clasificacin
similitudes y diferencias entre esta y la auditoria financiera
Metodologa
Procesos de la auditoria de sistemas, rastros de la auditoria, o huella de la

auditoria de sistemas, papeles de trabajo, muestreo, otras tcnicas
Deteccin de fraudes
Seguridad y calidad de la informacin
Perfil del auditor (es) y recursos
el control interno y la auditoria de sistemas
Conclusiones de la auditoria
el informe
Campos de aplicacin
ejemplos
Estndares de Auditora Informtica y de Seguridad
Una auditora se realiza con base a un patrn o conjunto de directrices o

buenas prcticas sugeridas. Existen estndares orientados a servir como base
para auditoras de informtica. Uno de ellos es COBIT (Objetivos de Control de
la Tecnologas de la Informacin), dentro de los objetivos definidos como
parmetro, se encuentra el "Garantizar la Seguridad de los Sistemas". Adicional
a este estndar podemos encontrar el estndar ISO 27002, el cual se conforma
como un cdigo internacional de buenas prcticas de seguridad de la
informacin, este puede constituirse como una directriz de auditora
apoyndose de otros estndares de seguridad de la informacin que definen
los requisitos de auditora y sistemas de gestin de seguridad, como lo es el
estndar ISO 27001.
Objetivos de Control para Informacin y Tecnologas Relacionadas (COBIT, en
ingls: Control Objectives for Information and related Technology) es una gua
de mejores prcticas presentada como framework, dirigida al control y
supervisin de tecnologa de la informacin (TI). Mantenida por ISACA (en
ingls: Information Systems Audit and Control Association) y el IT GI (en ingls:
IT Governance Institute), tiene una serie de recursos que pueden servir de
modelo de referencia para la gestin de TI, incluyendo un resumen ejecutivo,
un framework, objetivos de control, mapas de auditora, herramientas para su
implementacin y principalmente, una gua de tcnicas de gestin.
ISO/IEC 27002 (anteriormente denominada ISO 17799) es un estndar para la

seguridad de la informacin publicado por la Organizacin Internacional de
Normalizacin y la Comisin Electrotcnica Internacional. La versin ms
reciente es la ISO/IEC 27002:2013.
ISO/IEC 27001 es un estndar para la seguridad de la informacin (Information

technology - Security techniques - Information security management systems -
Requirements) aprobado y publicado como estndar internacional en octubre
de 2005 por International Organization for Standardization y por la comisin
International Electrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar, mantener y

mejorar un sistema de gestin de la seguridad de la informacin (SGSI) segn
el conocido como Ciclo de Deming: PDCA - acrnimo de Plan, Do, Check, Act
(Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prcticas
descritas en ISO/IEC 27002, anteriormente conocida como ISO/IEC 17799, con
orgenes en la norma BS 7799-2:2002, desarrollada por la entidad de
normalizacin britnica, la British Standards Institution (BSI).
El auditor informtico
El auditor informtico ha de velar por la correcta utilizacin de los amplios

recursos que la empresa pone en juego para disponer de un eficiente y eficaz
sistema de Informacin.
Caractersticas del auditor informtico
1) Se deben poseer una mezcla de conocimientos de auditora financiera y de

informtica en general. En el rea informtica, se debe tener conocimientos
bsicos de: Desarrollo de SI, Sistemas operativos, Telecomunicaciones,
Administracin de Bases de Datos, Redes locales, Seguridad fsica,
Administracin de Datos, Automatizacin de oficinas (ofimtica), Comercio
electrnico, de datos, etc.
2) Especializacin en funcin de la importancia econmica que tienen distintos
componentes financieros dentro del entorno empresarial.
3) Debe conocer tcnicas de administracin de empresas y de cambio, ya que

las recomendaciones y soluciones que aporte deben estar alineadas a los
objetivos de la empresa y a los recursos que se poseen.
4) Debe tener un enfoque de Calidad Total, lo cual har que sus conclusiones y
trabajo sean reconocidos como un elemento valioso dentro de la empresa y
que los resultados sean aceptados en su totalidad.
Responsabilidades del auditor informtico
1. Verificacin del control interno tanto de las aplicaciones como de los SI,
perifricos, etc.
2. Anlisis de la administracin de Sistemas de Informacin, desde un punto

de vista de riesgo de seguridad, administracin y efectividad de la
administracin.
3. Anlisis de la integridad, fiabilidad y certeza de la informacin a travs

del anlisis de aplicaciones.
4. Auditora del riesgo operativo de los circuitos de informacin
5. Anlisis de la administracin de los riesgos de la informacin y de la

seguridad implcita.
6. Verificacin del nivel de continuidad de las operaciones.
7. Anlisis del Estado del Arte tecnolgico de la instalacin revisada y las

consecuencias empresariales que un desfase tecnolgico puede acarrear.
8. Diagnstico del grado de cobertura que dan las aplicaciones a las

necesidades estratgicas y operativas de informacin de la empresa
9. Tambin el auditor informtico es responsable de establecer los objetivos

de control que reduzcan o eliminen la exposicin al riesgo de control interno.
4. INTRODUCCION.- Tradicionalmente en materia de control interno se

adoptaba un enfoque bastante restringido limitado a los controles
contables internos. Durante el ltimo decenio la prensa ha informado sobre
escndalos relacionados con errores en el otorgamiento de crditos con
garanta de inmuebles inexistentes o sobrevalorados, la manipulacin de
informacin financiera, operaciones burstiles realizadas con informacin
privilegiada y otros fallos de los controles que han afectado a las empresas de
diferentes sectores. Por ellos hay cambios en las empresas que comprometen
los controles internos existentes: La reestructuracin de los procesos
empresariales (BPR Bussines Process Re-engineering). La gestin de la
calidad total (TQM-Total Quality Management). El redimensionamiento por
reduccin y/o aumento del tamao hasta el nivel correcto. La contratacin
externa (outsourcing). La descentralizacin. El mundo en general est
cambiando y somete a las empresas a la accin de muchas fuerzas externas
tales como la creciente necesidad de acceder a los mercados mundiales la
consolidacin industrial, la intensificacin de la competencia y las nuevas
tecnologas. Tendencias externas que influyen en las empresas: La
globalizacin.
5. La diversificacin de actividades. La eliminacin de ramas de negocio

no rentable o antiguas. La introduccin de nuevos productos como respuesta
a la competencia. Las fusiones y la formacin de alianzas estratgicas
Ante la rapidez de los cambios los directivos toman conciencia que para evitar
fallos de control significativos deben reevaluar y reestructurar sus sistemas de
controles internos. Deben evaluar de manera PROACTIVA antes de que surjan
los problemas, tomando medidas audaces para su tranquilidad, as como para
garantizar al consejo de administracin, accionistas, comits y pblico, que los
controles internos de la empresa estn adecuadamente diseados para hacer
frente a los retos del futuro y asegurar la integridad en el momento actual. Un
centro de informtica de una empresa suele tener una importancia crucial por
soportar los sistemas de informacin del negocio, por el volumen de recursos y
presupuestos que maneja, etc. Por lo tanto aumenta las necesidades de control
y auditora, surgiendo en las organizaciones, como medidas organizativas, las
figuras de: ControlInternoyAuditoria Informtica La auditora ha cambiado
notablemente en los ltimos aos con el enorme impacto que ha venido
obrando las tcnicas informticas en la forma de procesar la informacin para
la gerencia. La necesidad de adquirir y mantener conocimientos actualizados
de los sistemas informticos devuelve cada vez ms acuciante. Los auditores
informticos aportan conocimientos especializados, as como su familiaridad
con la tecnologa informtica. Se siguen tratando las mismas cuestiones de
control de auditora, pero los especialistas en auditora informtica de sistemas
basados en ordenadores prestan ayuda valiosa a la organizacin y a los otros
auditores en todo lo relativo a los controles sobre dichos temas.
6. En muchas organizaciones el auditor ha dejado de centrarse en la evaluacin

y la comprobacin de resultados de procesos, desplazando su atencin a la
evaluacin de riesgos y comprobacin de controles. Muchos de los controles se
incorporan en programas de sistemas o se realizan por parte de la funcin
informtica de la organizacin, representado por el control interno informtico.
El enfoque centrado en controles normalmente exige conocimientos
informticos a nivel de la tecnologa utilizada en el rea o la organizacin que
se examina.
7. FuncionesdeControlInternoy AuditoraInformtica. Control Interno
Informtico C.I.I., controla diariamente que todas las actividades de sistemas
de informacin sean realizadas cumpliendo los procedimientos, estndares y
normas fijados por la Direccin de la Organizacin y/o Direccin de Informtica,
as como los requerimientos legales. La misin de C.I.I. es asegurarse de que
las medidas que se obtienen de los mecanismos implantados por cada
responsable sean correctas y vlidas. La funcin se le asigna a una unidad
orgnica perteneciente al staff de la Gerencia de Informtica y debe estar
dotada de las personas y medios materiales requeridos para el cumplimiento
de su misin. En los tratados de auditora se le denomina CONTROL INTERNO
INFORMATICO (CII), definicin que a nuestro concepto debe ser reemplazado
por el ttulo de ADMINISTRACION DE LA SEGURIDAD Y CONTROL DE SISTEMAS
(ASYCS), en concordancia a los criterios y conceptos actualizados de las
funciones especializadas de control y administracin de riesgos.
PrincipalesObjetivos.- Controlar que todas las actividades se realicen
cumpliendo los procedimientos y normas fijados, evaluar su bondad y
asegurarse del cumplimiento de las normas legales. Asesorar sobre el
conocimiento de las normas. Colaborar y apoyar el trabajo de Auditoria
Informtica, as como de las auditoras externas. Definir, implantar y
ejecutar mecanismos y controles para comprobar el logro de los grados
adecuados del servicio informtico.
8. PrincipalesFunciones.- Realizar en los diferentes sistemas (centrales,

departamentales, redes locales, Peces, etc.) y entornos informticos
(produccin, desarrollo o pruebas) el control de las diferentes actividades
operativas sobre: Cumplimiento de diferentes procedimientos, normas y
controles dictados. Ejemplo. Control de cambios y versiones de software.
Controles sobre la produccin diaria. Controles sobre la calidad y eficiencia
del desarrollo y mantenimiento del software y del servicio informtico.
Controles en las redes de comunicaciones. Controles sobre el software de
base. Controles en los sistemas microinformticos. La seguridad
informtica: Usuarios, responsables y perfiles de uso de archivos y bases de
datos. Normas de seguridad. Control de informacin clasificada. Control
dual de la seguridad informtica. Licencias. Contratos con terceros.
Asesorar y transmitir cultura sobre el riesgo informtico.
ElAuditorInformtico(AI)
9. Evala y comprueba en determinados momentos del tiempo, los controles y

procedimientos informticos ms complejos, desarrollando y aplicando tcnicas
mecaniza das de auditora, incluyendo el uso de software. En muchos casos ya
no es posible verificar manualmente los procedimientos informatizados que
resumen, calculan y clasifican datos, por lo que deber emplear software de
auditora y otras tcnicas asistidas por ordenador. Es responsable de revisar e
informar a la Direccin de la Empresa, sobre el diseo y funcionamiento de los
controles implantados y sobre la fiabilidad de la informacin suministrada.
FuncionesPrincipales.- Se pueden establecer tres grupos de funciones
principales: Participar en las revisiones durante y despus del diseo,
realizacin, implantacin y explotacin de aplicaciones informticas, as como
en las fases anlogas de realizacin de cambios importantes. Revisar y
juzgar controles implantados en los sistemas informticos para verificar su
adecuacin a las rdenes e instrucciones de la Direccin, requisitos legales,
proteccin de confidencialidad y cobertura ante errores y fraudes. Revisar y
juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e
informacin. ControlInternoyAuditora InformticaCamposAnlogos.-
10. La evolucin de ambas funciones ha sido espectacular en la ltima dcada.

Muchos de los funcionarios de controles internos informticos, fueron
auditores. Han recibido formacin en seguridad informtica tras su paso por la
formacin en auditora. Hay una similitud de los objetivos profesionales de
control y auditora, campos anlogos que propician una transicin natural.
DASYCS AI:
11. SistemadeControl Informtico DefinicinyTiposdeControles Internos.- Se

puede definir el control interno como cualquier actividad o accin realizada
manual y/o automticamente para prevenir, corregir errores o irregularidades
que puedan afectar al funcionamiento de un sistema para conseguir sus
objetivos. Los controles cuando se diseen, desarrollen e implanten han de ser
al menos, completos, simples, fiable, revisables, adecuados y rentables. Los
controles internos que se utilizan en el entorno informtico continan
evolucionando hoy en da a medida que los sistemas informticos se vuelven
complejos. Los progresos que se producen en la tecnologa de soportes fsicos
y de software han modificado de manera significativa los procedimientos que
se empleaban tradicionalmente para controlar los procesos de aplicaciones y
para gestionar los sistemas de informacin. Clasificacin.- Controles
Preventivos.- Para tratar de evitar el hecho, como un software de seguridad
que impida los accesos no autorizados al sistema.
12. Controles de Deteccin.- Cuando fallan los preventivos, para tratar de

conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso
no autorizados, el registro de la actividad diaria para detectar errores u
omisiones, etc. Controles Correctivos.- Facilitan la vuelta a la normalidad
cuando se han producido incidencias. Por ejemplo, la recuperacin de un
fichero daado a partir de las copias de seguridad.
Relacinexistenteentrelosmtodos decontrol,losobjetivosdecontroly
losobjetivosdeauditora. A medida que los sistemas se han vuelto ms
complejos, los controles informticos han evolucionado hasta convertirse en
procesos integrados en los que se atenan las diferencias entre las categoras
tradicionales de controles informticos. Por ejemplo, en los actuales sistemas
informticos puede resultar difcil ver la diferencia entre seguridad de los
programas, de los datos y objetivos de control del software del sistema, porque
el mismo grupo de mtodos de control satisface casi totalmente los tres
objetivos de control. La relacin entre los mtodos de control y los objetivos de
control puede demostrarse en el siguiente. Ejemplo, en el que un mismo
conjunto de mtodos de control se utiliza para satisfacer objetivos de control
tanto de mantenimiento como de seguridad de programas: Objetivo de Control
de Mantenimiento: Asegurar que las modificaciones de los procedimientos
programados estn adecuadamente diseadas, probadas, aprobadas e
implantadas. Objetivo de Control de Seguridad de Programas: Garantizar que
no se puedan efectuar cambios no autorizados en los procedimientos
programados.
13. ImplantacindeunSistema deControlInterno Informtico CriterioBsico.- Los

controles pueden implantarse a varios niveles. La evaluacin de controles de
tecnologa de la Informacin exige analizar diversos elementos
interdependientes. Por ello es importante conocer bien la configuracin del
sistema, para poder identificar los elementos, productos, herramientas que
existen para saber donde pueden implantarse los controles, as como para
identificar los posibles riesgos. ConocerlaConfiguracindel Sistema Para llegar
a conocer la configuracin del sistema es necesario documentar los detalles de
la red, as como los distintos niveles de control y elementos relacionados:
Entorno de Red.- esquema de la red, descripcin de la configuracin de
hardware de comunicaciones, descripcin del software que se utiliza como
acceso a las telecomunicaciones, control de red, situacin general de los
14. ordenadores de entornos de base que soportan las aplicaciones crticas y

consideraciones relativas a la seguridad de la red. Configuracin del
Ordenador Base.- Configuracin del soporte fsico, entorno del sistema
operativo, software con particiones, entornos (pruebas y real), bibliotecas de
programas y conjunto datos. Entorno de Aplicaciones.- Procesos de
transacciones, sistemas de gestin de base de datos y entornos de procesos
distribuidos. Productos y Herramientas.- Software para desarrollo de
programas, software de gestin de bibliotecas y para operaciones automticas.
Seguridad del Ordenador Base.- Identificar y verificar usuarios, control de
acceso, registro e informacin, integridad del sistema, controles de
supervisin, etc. Paralaimplantacindeunsistema
decontrolinternoinformticodebe definirse Gestin de sistemas de
Informacin.- Poltica, pautas y normas tcnicas que sirvan para el diseo y la
implantacin de los sistemas de informacin y de los controles
correspondiente. Administracin de Sistemas.- Controles sobre la actividad
de los centros de datos y otras funciones de apoyo al sistema, incluyendo la
administracin de las redes. Seguridad.- Incluye las tres clases de controles
fundamentales implantados en el software del sistema, integridad del sistema,
confidencialidad (control de acceso) y disponibilidad.
15. Gestin de Cambio.- Separacin de las pruebas y la produccin a nivel
de software y controles de procedimientos para la migracin de programas
software aprobados y probados. Respaldoparalaimplantacindeuna
polticayculturadeseguridad Direccin de Negocio o Direccin de Sistemas
de Informacin (S.I).- Define la poltica y/o directrices para los sistemas de
informacin en base a las exigencias del negocio, que podrn ser internas o
externas. Direccin de Informtica.- Ha de definir las normas de
funcionamiento del entorno informtico y de cada una de las funciones de
informtica mediante la creacin y publicacin de procedimientos, estndares,
metodologa y normas, aplicables a todas las reas de informtica as como a
los usuarios, que establezcan el marco de funcionamiento. Control Interno
Informtico.- Ha de definir los diferentes controles peridicos a realizar en cada
una de las funciones informticas, de acuerdo al nivel de riesgo de cada una de
ellas, y ser diseados conforme a los objetivos de negocio y dentro del marco
legal aplicable. Estos se plasmarn en los oportunos procedimientos de control
interno y podrn ser preventivos o de deteccin. Peridicamente realizar la
revisin de controles establecidos de Control Interno Informtico informando
las desviaciones a la Direccin de Informtica y sugiriendo cuantos cambios
crea convenientes en los controles, as como
16. trasmitir constantemente a toda la organizacin de Informtica la cultura

y polticas de riesgo informtico. Auditor interno/externo Informtico.- Ha de
revisar los diferentes controles internos definidos en cada una de las funciones
informticas y el cumplimiento de normativa interna y externa, de acuerdo al
nivel de riesgo, conforme a os objetivos definidos por la Direccin de Negocio y
la Direccin de Informtica. Informar a la Alta Direccin de los hechos
observados y al detectarse deficiencias o ausencias de controles recomendarn
acciones que minimicen los riesgos que puedan originarse. La creacin de un
sistema de control informtico es una responsabilidad de la Gerencia y un
punto destacable de la poltica en el entorno informtico.
ControlInternoyAuditora
17. ControlesInternosparaSistemasde Informacin Agrupados por secciones

funcionales y que seran los que control interno informtico y auditora
informtica deberan verificar para determinar su cumplimiento y validez
controles de desarrollo, adquisicin y mantenimiento de sistemas de
informacin. Para que permitan alcanzar la eficacia del sistema, economa y
eficiencia, integridad de los datos, proteccin de los recursos y cumplimiento
con las leyes y regulaciones. Metodologa del ciclo de vida del desarrollo de
sistemas. Principales controles: La Alta Direccin debe publicar una normativa
sobre el uso de metodologa de ciclo de vida de desarrollo de sistemas y
revisar sta peridicamente. La metodologa debe establecer los papeles y
responsabilidades de las distintas reas del Departamento de Informtica y de
los Usuarios, as como la composicin y responsabilidades del equipo del
proyecto.
18. Las especificaciones del nuevo sistema deben ser definidas por los usuarios
y quedar escritas y aprobadas antes e que comience el proceso de desarrollo.
Debe establecerse un estudio tecnolgico de viabilidad en el cual se formulen
formas alternativas de alcanzar los objetivos acompaadas de un anlisis
costo- beneficio de cada alternativa. Cuando se seleccione una alternativa
debe formularse el plan director del proyecto. En dicho plan deber existir una
metodologa de control de costos. ControlesenlaMetodologa
deDesarrollodeSistemas Procedimientos para la definicin y documentacin
de especificaciones de: diseo, de entrada, de salida, de ficheros, de procesos,
de programas, de controles de seguridad, de pistas de auditora, etc. Plan de
validacin, verificacin y pruebas. Estndares de prueba de programas, de
pruebas de sistemas. Plan de conversin: prueba de aceptacin final. Los
procedimientos de adquisicin de software debern seguir las polticas de
adquisicin de la organizacin y dichos productos debern ser probados y
revisados antes de pagar por ellos y ponerlos en uso. La contratacin de
outsourcing debe estar justificada mediante una peticin escrita de un director
del proyecto. Debern prepararse manuales de operacin y mantenimiento
como parte de todo proyecto de desarrollo o modificacin de sistemas de
informacin, as como manuales de usuario. ExplotacinyMantenimiento.-
19. El establecimiento de controles asegurar que los datos se traten de

forma congruente y exacta y que el contenido de sistemas slo ser
modificado mediante autorizacin adecuada. Algunos controles que deben
implantarse: Procedimiento de control de explotacin. Sistema de
contabilidad para asignar usuarios de costos asociados con la explotacin de
un sistema de informacin. Procedimientos para realizar un seguimiento y
control de los cambios de un sistema de informacin.
ControlesdeExplotacindeSistemas deInformacin Planificacin y Gestin de
recurso: definir el presupuesto operativo del Departamento, Plan de
adquisicin de equipos y gestin de la capacidad de los equipos. Controles
para usar de manera efectiva los recursos en ordenadores: Calendario de
carga de trabajo. Programacin de personal. Mantenimiento preventivo
del material. Gestin de problemas y cambios. Procedimientos de
facturacin a usuarios. Sistemas de gestin de la biblioteca de soportes.
Procedimientos de seleccin del software del sistema, de instalacin, de
mantenimiento, de seguridad y control de cambios.
20. Seguridad Fsicay Lgica Definir un grupo de seguridad de la informacin,

siendo una de sus funciones la administracin y gestin del software de
seguridad, revisar peridicamente los informes de violaciones y actividad de
seguridad para identificar y resolver incidentes. Controles fsicos para asegurar
que el acceso a las instalaciones del Dpto. de Informtica quede restringido a
las personas autorizadas. Control de V isitas: personas externas a la
organizacin. Instalacin de medidas de proteccin contra el fuego. Formacin
y concientizacin en procedimientos de seguridad y evacuacin del edificio.
Control de acceso restringido a los ordenadores. Normas que regulen el acceso
a los recursos informticos. Existencia de un plan de contingencias para el
respaldo de recursos de ordenador crticos y para la recuperacin de los
servicios del Dpto. Informtico despus de una interrupcin imprevista de los
mismos. ControlesdeAplicaciones Cada aplicacin debe llevar controles
incorporados para garantizar la entrada, actualizacin, validez y
mantenimiento completos y exactos de los datos.
21. Aspectos ms importantes en el control de datos: Control de entrada

de datos: procedimientos de conversin y de entrada, validacin y correccin
de datos. Control de tratamientos de datos para asegurar que no se dan de
alta, modifican o borran datos no autorizados para garantizar la integridad de
los mismos mediante procesos no autorizados. Controles de salidas de
datos: sobre el cuadre y reconciliacin de salidas, procedimientos de
distribucin de salidas, de gestin de errores en las salidas, etc.
ControlesEspecficosdeCiertas Tecnologas Controles en sistemas de Gestin de
Base de datos. Sobre el software de gestin de BD para prever el acceso a la
estructuracin de y el control sobre los datos compartidos, deber instalarse y
mantenerse de modo tal que asegure la integridad del software, las bases de
datos y las instrucciones de control que definen el entorno. Que estn
definidas las responsabilidades sobre la planificacin, organizacin, dotacin y
control de los activos de datos, es decir, un administrador de datos. Que
existen procedimientos para la descripcin y los cambios de datos as como
para el mantenimiento del diccionario de datos. Sobre el acceso de datos y
la concurrencia. Para minimizar fallos, recuperar el entorno de las bases de
datos hasta el punto de la cada y minimizar el tiempo necesario para la
recuperacin Controles para asegurar la integridad de los datos: programas
de utilidad para comprobar los enlaces fsicos <<punteros>> asociados a los
datos, registros de control para mantener los balances transitorios de
transacciones para su posterior cuadre con totales generados por el usuario o
por otros sistemas.
22. ControlesEspecficosdeCiertas Tecnologas Planes adecuados de

implantacin, conversin y pruebas de aceptacin para la red. Existencia de
un grupo de control de red. Controles para asegurar la compatibilidad de
conjunto de datos entre aplicaciones cuando la red es distribuida.
Procedimientos que definan las medidas y controles de seguridad a ser
usados en la red de informtica en conexin con la distribucin del contenido
de bases de datos entre los departamentos que usan la red. Que se
identifiquen todos los conjuntos de datos sensibles de la red y que se han
determinado las especificaciones para su seguridad. Existencia de inventario
de todos los activos de la red. Existencia de mantenimiento preventivo de
todos los activos. Que existen controles que verifican que todos los mensajes
de salida se validan de forma rutinaria para asegurar que contienen
direcciones de destino vlidas. Controles de seguridad lgica: control de
acceso a la red, establecimiento de perfiles de usuario. Procedimientos de
cifrado de informacin sensible que se transmite a travs de la red.
Procedimientos de cifrado de informacin sensible que se transmite a travs
de la red. Procedimientos automticos para resolver cierres del sistema.
Monitorizacin para medir la eficiencia de la red. Disear el trazado fsico y
las medidas de seguridad de las lneas de comunicacin local dentro de la
organizacin. Detectar la correcta o mala recepcin de mensajes.
Identificar los mensajes por una clave individual de usuario, por terminal y
por el nmero de secuencia del mensaje.
23. Revisar los contratos de mantenimiento y el tiempo medio de servicio

acordados con el proveedor. Determinar si el equipo
multiplexor/concentrador/procesador frontal remoto tiene lgica redundante y
poder de respaldo con realimentacin automtica para casos de fallas.
Asegurarse de que haya procedimientos de recuperacin y reinicio.
Asegurarse de que existan pistas de auditora que puedan usarse en la
reconstruccin de los archivos de datos y de las transacciones de los diversos
terminales. Debe existir la capacidad de rastrear los datos entre el terminal y
el usuario. Considerar circuitos de conmutacin que usen rutas alternativas
para diferentes paquetes de informacin provenientes del mismo mensaje;
esto ofrece una forma de seguridad en caso alguien intercepte los mensajes.
FuncinControlenlosSistemas Funcin control esparcida en la empresa.
Consecuencia del desarrollo empresarial. Especializacin de sus reas con
infraestructura tecnolgica. Decisiones basadas en informacin confiable,
adecuado en tiempo y forma. Administracin de empresas apoyada en
tecnologa. Persona encargadas de control: cmo hacer para obtener
efectividad en sus funciones, si no participan en el desarrollo de los sistemas.
Tendencia se invierte con activa participacin de la funcin de control en el
desarrollo, implementacin y seguimiento de los sistemas de informtica.
Procesos de los sistemas de informacin
Un sistema de informacin, se puede definir como un conjunto de

elementos interrelacionados (entre los que se pueden considerar los
distintos medios tcnicos, las personas y los procedimientos), cuyo
cometido es capturar datos, almacenarlos y transformarlos de manera
adecuada y distribuir la informacin obtenida mediante este proceso.
Su propsito es apoyar y mejorar las operaciones cotidianas de la

organizacin, as como satisfacer las necesidades de informacin, para la
resolucin de problemas y la toma de decisiones, por parte de los
directivos de la organizacin. Por lo tanto, se trata de un sistema que tiene
entradas (datos) y salidas (informacin), procesos de transformacin de
las entradas en salidas y mecanismos de retroalimentacin.
La captura de datos puede ser manual o automatizada y, en general, es

conveniente realizarla en el momento en que se produce el hecho al que
est asociado.
En la etapa de proceso, se transforman los datos de entrada del sistema

en informacin til, mediante una serie de operaciones de clculo,
agregacin, comparacin, filtrado, presentacin, etc. Estas operaciones,
generalmente son realizadas con la ayuda de sistemas informticos.
La informacin til se plasma en una serie de documentos, informes y

grficos, para ser distribuida a las personas adecuadas dentro de la
organizacin. Esta informacin, as como los datos de partida, se
almacenan generalmente, en un soporte informtico para poder ser
reutilizados en cualquier momento.
La retroalimentacin (feedback) de la informacin obtenida en todo este

proceso, se puede utilizar para realizar ajustes y detectar posibles errores en la
captura de los datos y/o en su transformacin.
3.2.4
Clasificacin de los
istemas de
nformacin
Por lo general, las clasificaciones ms extendidas de los sistemas de
informacin suelen agrupar stos en funcin de su propsito. De una
forma muy global
, puede considerarse que existen dos propsitos bsicos
para los sistemas:
Soporte a las actividades operativas:
Q
ue da lugar a sistemas de
informacin para actividades ms estructuradas (aplicaciones contables,
ventas, adquisiciones y, en general, lo que
se denomina gestin
empresarial o tambin sistemas que permiten el manejo de
informacin menos estructurada: aplicaciones ofimticas, programas
tcnicos para funciones de ingeniera, etc.
Soporte a las decisiones y el control de gestin:
ue puede
prop
orcionarse desde las propias aplicaciones de gestin empresarial
(mediante salidas de informacin existentes) o a travs de aplicaciones
especficas.
Los sistemas de soporte a las actividades operativas, surgen para
automatizar actividades operacionales i
ntensivas en el manejo de datos.
Concretamente, se centran en reas como administracin (contabilidad y
facturacin) y gestin de personal, extendindose a otras actividades
como la venta, la compra o la produccin. Estos permiten recoger los
16
datos bsicos
en las operaciones y se les denomina sistema de
procesamiento transaccional.
Actualmente, estos sistemas forman parte de lo que normalmente las

organizaciones denominan como su Sistema de Gestin Empresarial o
ERP (
Enterprise Resources Planning
).
Los
sistemas de informacin para la toma de decisiones, permiten sacar
provecho a los datos recogidos por los sistemas transaccionales, siendo
capaces de proporcionar informacin para la gestin. Estos sistemas,
permiten generar informes para los directivos de
la organizacin, con el
propsito de mejorar el control de gestin de las distintas reas
funcionales. De este modo, se consigue agilizar el proceso de toma de
decisiones, al proporcionar la informacin necesaria de forma rpida,
precisa y fiable.
En los
sistemas de informacin de control de gestin, los informes pueden
ser generados de forma peridica, bajo demanda, en el momento en

que
se produzca una situacin excepcional (posibilitando este ltimo caso el
control por excepcin) y en ellos se comparan,
para cada rea funcional o
centro de responsabilidad, los objetivos previstos con los resultados
obtenidos, fruto de las distintas operaciones realizadas.
La direccin de una organizacin, adems, requiere sistemas capaces de
soportar decisiones de carc
ter menos estructurado, con frecuencia el
directivo necesitar herramientas para diagnosticar un problema (anlisis)

y para elegir la mejor alternativa (simulacin, planificacin, etc.). Este tipo
de herramientas se les denomina sistemas de inteligencia d
e negocios.
Los sistemas de soporte a la direccin son los que asisten a los directivos
de las organizaciones en todos los aspectos de un proceso de toma de
decisiones: generacin de alternativas, anlisis de ellas, simulacin de
resultados que se obtend
ran con cada una de ellas, etc. Se puede afirmar
que estos sistemas van un paso ms all que los sistemas de informacin
17
tradicionales.
Por ltimo, los sistemas de informacin para ejecutivos, combinan buena
parte de las caractersticas de los sistemas a
nteriores, para servir de
ayuda a los directivos en el proceso de toma de decisin y seguimiento de
acciones.
3.3
OBI
4.1
.1
D
efinicin
COBIT es un acrnimo formado por las siglas derivadas de
ontrol
Ob
jetives for
nformation and Related
echno
logy
(Objetivos de Control
para la Informacin y Tecnologas Relacionadas).
Este conjunto de objetivos representa el producto de un proyecto de
investigacin desarrollado por la
Information System Audit and Control
Fundation
(ISACF) que fue publicado inic
ialmente en el ao de 1996.
Como su nombre lo indica, COBIT es un conjunto de objetivos de control
aplicables a un ambiente de tecnologas de informacin que lograron
definirse gracias a un trabajo de investigacin y bsqueda de consenso
entre la normativ
idad de distintos cuerpos colegiados, estndares tcnicos,
cdigos de conducta, prcticas y requerimientos de la industria y
requerimientos emergentes para industrias especficas (desde la banca

hasta la manufactura). Este extenso trabajo de investigacin
realizado por
equipos de expertos de Amrica, Europa y Oceana, dio como resultado un
grupo estructurado de objetivos de control que al ser compatibles con las
principales normas a nivel internacional, cuenta con una aceptacin
implcita como un estndar g
lobal en trminos de control interno en
tecnologas de informacin.
REAS DE APLICACIN DE LA AUDITORIA INFORMTICA
Algunos campos de aplicacin de la informtica son las siguientes:
Investigacin cientfica y humanstica: Se usan la las computadoras para la

resolucin de de clculos matemticos, recuentos numricos, etc. Algunas de
estas operaciones:
Resolucin de ecuaciones.
Anlisis de datos de medidas experimentales, encuestas etc.
Anlisis automticos de textos.
Aplicaciones tcnicas: Usa la computadora para facilitar diseos de

ingeniera y de productos comerciales, trazado de planos, etc. Algunas de estas
operaciones:
Anlisis y diseo de circuitos de computadora.
Clculo de estructuras en obras de ingeniera.
Minera.
Cartografa.
Documentacin e informacin: Es uno de los campos ms importantes para

la utilizacin de computadoras. Estas se usan para el almacenamiento de
grandes cantidades de datos y la recuperacin controlada de los mismos en
bases de datos. Ejemplos de este campo de aplicacin son:
Documentacin cientfica y tcnica.
Archivos automatizados de bibliotecas.
Bases de datos jurdicas.
Gestin administrativa: Automatiza las funciones de gestin tpicas de una

empresa. Existen programas que realizan las siguientes actividades:
Contabilidad.
Facturacin.
Control de existencias.
Nminas.
Inteligencia artificial: Las computadoras se programan de forma que emulen

el comportamiento de la mente humana. Los programas responden como
previsiblemente lo hara una persona inteligente. Aplicaciones como:
Reconocimiento del lenguaje natural.
Programas de juego complejos (ajedrez).
Instrumentacin y control: Instrumentacin electrnica, electromedicina,

robots industriales, entre otos.
OTRAS APLICACIONES
Otros campos de aplicacin no vistos anteriormente: video-juegos, aplicaciones

en el arte, procesamiento de imgenes.
LA AUDITORA A TRAVS DEL COMPUTADOR (EJEMPLO)
Auditora operacional: es la que se encarga de promover la eficiencia en las

operaciones, adems de evaluar la calidad de las operaciones.
La Auditora Operacional es una actividad que conlleva como propsito

fundamental el prstamo de un mejor servicio a la administracin
proporcionndole comentarios y recomendaciones que tiendan a mejorar la
eficiencia de las operaciones de una entidad.
An cuando la costumbre ha asignado el nombre de Auditora Operacional, en

el ejercicio de su prctica el auditor operacional no nicamente debe revisar la
operacin en s habr de extenderse a la funcin de esa operacin.
Ejemplo:
Si se revisa la operacin de facturacin, esta se inicia, en el departamento de

embarques y concluye al enviarse la factura para su cobro, en este momento el
auditor debe cerciorarse que efectivamente es recibida y automticamente ya
alcanz la operacin de crdito y cobranzas.
La Auditora Operacional debe ser una funcin operacional dada, en el ejemplo

se denominar Auditora operacional a la funcin de Facturacin. La Auditora
Operacional es un gran reto a la capacidad profesional del Contador Pblico
como Auditor Operacional.
Para una buena ejecucin de esta tcnica requiere de: Introducirse en otras
disciplinas como son: Anlisis de sistemas, Ingeniera Industrial (para revisar
costos y produccin), Mercadotecnia (para revisar ventas), Relaciones
Industriales, etc.
Con la conclusin anterior puede surgir la duda de cmo un individuo, como el

auditor operacional, que no tiene ningn entrenamiento especfico sobre cierta
rea, puede ser til. La respuesta a esta duda descansa en los aspectos de
control, es decir, que se requiere de una definicin clara de los objetivos, as
como contar con elementos para comparar lo que se est realizando contra
esos objetivos con el propsito de determinar desviaciones y analizar y evaluar
stas para as poder tomar medidas correctivas acordes a las circunstancias.
Leer ms: http://www.monografias.com/trabajos40/auditoria-de-

sistemas/auditoria-de-sistemas2.shtml#ixzz4Y12IlvdS
1. Auditora Informtica Tema : Auditora, Fraude y Robos Informticos Docente:

Lic. Lesbia Valerio Integrantes: Bladimir Amador Maykel Centeno Lunes 07 de
Mayo de 2012
2. Definiciones
3. Fraude informtico Cualquier cambio no autorizado y malicioso de datos o

informaciones contenidos en un sistema informtico Robo informtico Delito
contra el patrimonio, consistente en el apoderamiento de bienes ajenos usando
sistemas informticos Definiciones
4. Empresas y Clientes Victimas
5. Segn el tipo de persona: Personal Interno Ex-empleados Vndalos

Mercenarios Curiosos Clasificacin de atacantes
6. Segn el tipo de ataque: Hacker Cracker Crasher Peacker

Phishers Sniffers Clasificacin de atacantes
7. Segn el objetivo: Dinero Informacin confidencial Beneficios

Personales Dao Accidente Clasificacin de atacantes
8. Ataques organizativos Datos restringidos Infracciones accidentales de la

seguridad Ataques automatizados Hackers Virus, caballos de Troya y gusanos
DOS Errores de conexin Denegacin de servicio (DoS)
9. Sniffing: la habilidad de un agresor de escuchar a escondidas las

comunicaciones entre los hosts de la red Spam, Redirectors, Trashing, Spoofing,
etc Pharming: mtodo utilizado para enviar a la victima a una pgina web
que no es la original solicitada. Phishing: tipo de engao diseado con la
finalidad de robar la identidad al usuario, generalmente se utiliza el correo
electrnico Skimming: Robo de la informacin que contiene una tarjera de
crdito Ingeniera Social: El arte o ciencia de hacer que la gente haga lo que
queremos
10. El arte o ciencia de hacer que la gente haga lo que queremos (GENERAR
CONFIANZA). Es la forma de fraude informtico ms alto. El deseo natural
del hombre de ayudar lo hace vulnerable. Nunca pude pensar en una buena
contrasea. Qu utiliza usted? Ah, tambin ejecuto una red. Cmo configura
sus firewalls? Ingeniera Social
11. Phisher se prepara para atacar Phisher enva mail fraudulento a victimas
Vctima sigue indicaciones de phisher Vctima compromete informacin
confidencial Informacin confidencia20l es enviada al Phisher Phisher utiliza la
informacin para suplantar a vctima Phishing
12. Nueva modalidad: Phishing por telfono o SMS
13. Como afectan los ataques informticos?
14. S precavido con los mensajes de correo electrnico en los que se te pide
que indiques tus datos personales Lee con atencin los mensajes de correo
electrnico que parezcan sospechosos. Protege la contrasea de su correo.
Toma medidas. Ayuda a identificar nuevos fraudes.
15. Como defendernos? Polticas, procedimientos y conciencia Seguridad fsica

Fortalecer el sistema operativo, autenticacin Oficina principal, oficina
sucursal, socio de negocios. Firewall Protecciones, seguros, dispositivos de
seguimiento Marketing, Ventas, Finanzas, Encriptar datos de red Seguridad de
programas y servicios Encriptacin Documentos de seguridad, educacin del
usuario Permetro Red interna Host Aplicacin Datos
16. AUDITORIA INFORMTICA RELACIONADA CON EL DELITO Es importante

establecer claramente cual es el papel que juega el auditor informtico en
relacin con la deteccin y minimizacin de la ocurrencia de delitos
informticos dentro de la organizacin a que presta sus servicios. Para lograr
establecer dicho rol se debe examinar la actuacin del auditor frente a la
ocurrencia de delitos, estrategias para evitarlos, recomendaciones adecuadas,
conocimientos requeridos
17. Rol del auditor informtico El rol del auditor informtico solamente est
basado en la verificacin de controles, evaluacin del riesgo de fraudes, diseo
y desarrollo de exmenes que sean apropiados a la naturaleza de la auditora
asignada y que deben razonablemente detectar: Irregularidades que puedan
tener un impacto sobre el rea auditada o sobre toda la organizacin.
Debilidades en los controles internos que podran resultar en la falta de
prevencin o deteccin de irregularidades. La auditoria consiste en verificar
que todas las tareas que se realicen en las reas de cmputo se hagan
conforme a la normatividad, que todas las actividades se realicen
adecuadamente y que los controles sean cumplidos, etc.
18. Deteccin de delitos El auditor informtico al detectar irregularidades en

el transcurso de sus revisiones que le indiquen la ocurrencia de un delito
informtico, deber realizar lo siguiente: Determinar si se considera la
situacin un delito realmente. Establecer pruebas claras y precisas.
Determinar los vacos de la seguridad existentes y que permitieron el delito.
Informar a la autoridad correspondiente dentro de la organizacin. Informar
a autoridades regulatorias cuando es un requerimiento legal.
19. Es importante mencionar que el auditor debe manejar con discrecin la

situacin y con el mayor profesionalismo posible, evitando su divulgacin al
pblico o a empleados que no tienen nada que ver. De no manejarse
adecuadamente el delito, podra tener algunos efectos negativos en la
organizacin, tales como: Se puede generar una desconfianza de los
empleados hacia el sistema. Se pueden generar ms delitos al mostrar las
debilidades encontradas. Se puede perder la confianza de los clientes,
proveedores e inversionistas hacia la empresa. Se pueden perder empleados
clave de la administracin, an cuando no estn involucrados en la
irregularidad debido a que la confianza en la administracin y el futuro de la
organizacin puede estar en riesgo.
20. Resultados de la auditoria Si por medio de la auditoria informtica

realizada se han detectado la ocurrencia de delitos, el auditor deber sugerir
acciones especficas a seguir para resolver el vaco de seguridad, para que el
grupo de la unidad informtica pueda actuar, dichas acciones expresadas en
forma de recomendacin pueden ser como las siguientes: Recomendaciones
referentes a la revisin total del proceso involucrado. Inclusin de controles
adicionales. Establecimiento de planes de contingencia efectivos.
Adquisicin de herramientas de control, etc.
21. Fin
Auditoria Informatica y de Sistemas de Informacion
1. 1. REPBLICA BOLIVARIANA DE VENEZUELA MINISTERIO DEL PODER

POPULAR PARA LA EDUCACIONINSTITUTO UNIVERSITARIO POLITCNICO
SANTIAGO MARIO EXTENSIN PORLAMAR - SEDE GENOVS AUDITORA
INFORMTICA AUTOR: FREDDY JAVIER MORENO BRAVO C.I.: 18.058.745
AUDITORIA Y EVALUACIN DE SISTEMAS (SAIA) PORLAMAR, SEPTIEMBRE
DE 2012
2. 2. Introduccin En este informe se presentan diversos puntos
correspondientes al tema dela auditora, inicindose desde su historia y
evolucin hasta describir el perfilprofesional de un auditor Informtico.
Cabe destacar que la auditoria tiene ciertas variedades, es por esto que
seha desarrollado el presente trabajo con la intencin de dar a conocer
el punto devista de su autor, sintetizando y resaltando los temas ms
relevantes, adecuados ycorrespondientes a la computacin, sistemas, y
la ingeniera de estas mismasramas como tal. Se realiza en palabras
propias y se muestran cuadros y mapasconceptuales para graficar las
ideas a presentar y de esta manera poder hacer delmismo, un medio
informativo de fcil entendimiento para sus lectores.
3. 3. Auditor Un auditor es aquel que ha sido designado por una autoridad

competente,para examinar, evaluar y revisar los resultados de una
gestin administrativa y/ofinanciera de una institucin, empresa u
organizacin, con el fin de informar acercade estos procesos en busca de
recomendaciones u observaciones que permitanoptimizar el desempeo
de las mismas.Auditora Sabiendo esto, es posible y definir a la auditoria
como una funcin dedireccin cuya finalidad es analizar y apreciar, con
vistas a las eventualesacciones correctivas, el control interno de las
organizaciones y sus procesos.
4. 4. Mapa cronolgico de la historia y evolucin de la auditora segn

Carlos Muos Razo Al subir al trono Sancho VI "El Bravo", ordeno a
algunos de sus hombres de confianza que controlaran el destino de
losAO 1284 caudales pblicos. Como resultado de esta medida y como
producto de su reinado, se origino el tribunal de cuentas en Espaa El
descubrimiento de Amrica, contribuy tambin al crecimiento de la
actividad de la auditora, pues la Corona envi visitadores a revisar las
cuentas y resultados de sus colonias; dichos visitadores supervisaban
Ao 1492 que el registro y manejo de las cuentas fueran correctos y
emitan una opinin sobre la actuacin de los encargados. Se estima
que el verdadero nacimiento de la auditoria fue a finales del siglo XV
cuando pases poderosos y algunos personajes influyentes de ese
entonces, recurran a los servicios de revisores Siglo XV de cuentas,
quienes se encargaban de revisar las cuentas manejadas por los
administradores de sus bienes, y se aseguraban de que no hubiera
fraudes en los reportes que se les presentaban. A mediados del siglo
XIX, la Ley de Empresas del Reino Unido de Inglaterra, impuso la
obligacin de ejecutar auditoras a los resultados financieros, el balance
general, los Siglo XIX registros contables y las actividades financieras de
las empresas pblicas Del ao 1912 al 1984, desde el Instituto de
Contadores Pblicos de Espaa hasta Robert J. Thierauf, quien habl
sobre la auditoria Siglo XX administrativa como una tcnica utilizada
para evaluar las reas operacionales de una organizacin, enfocando su
trabajo desde el punto de vista administrativo
5. 5. Mapa Conceptual de los diferentes tipos de Auditora segn Carlos

Muos Razo Auditoras Por su lugar de aplicacin Por su rea de
aplicacin Auditora externa Auditora financiera Auditora interna
Auditora administrativaEspecializadas en reas especficas Auditora
operacional Auditora al rea mdica Auditora integral (Evaluacin
mdico-sanitaria) Auditora gubernamental Auditora al desarrollo de
obras y Auditora de sistemas Construcciones De sistemas
computacionales (Evaluacin de ingeniera) Auditora informtica
Auditora fiscal Auditora con la computadora Auditora laboral Auditora
sin la computadora Auditora de proyectos de inversin Auditora a la
gestin informtica Auditora a la caja chica o Auditora al sistema de
cmputo Caja mayor (arqueos) Auditora alrededor de la computadora
Auditora al manejo de mercancas Auditora de la seguridad
(inventarios) de sistemas computacionales Auditora ambiental Auditora
a los sistemas de redes Auditora de sistemas Auditora integral a los
centros de cmputo Auditora ISO-9000 a los sistemas computacionales
Auditora outsourcing Auditora ergonmica de sistemas
computacionales
6. 6. Cuadro comparativo Auditoria Interna Auditoria Externa Ventajas

Desventajas Ventajas Desventajas Facilita una ayuda Tiene la
desventaja que cada Las ventajas para todos El trabajo es ms
primordial a la direccin al empresa tiene sus los empresarios, no arduo
en la evaluar de forma caractersticas propias y importando su tamao,
recopilacin de datos relativamente especiales de manera que
localizacin o sector en el para explicar independiente los deben
enfocarse al tipo de que acten sus empresas. resultados como:
sistemas de organizacin empresa que se trate, adems Los diversos
mtodos de Falta de elementos y de administracin puede modificarse
por que es trabajo empleados en las en los almacenes de el control
interno halla variado Facilita una evaluacin auditoras externas
repuestos por lo que los procedimientos global y objetiva de los permiten
su adecuacin al tambin sern diferentes. Falta o exceso en el
problemas de la empresa, tipo de empresa al que se almacenaje de que
generalmente suelen dirige en cada caso. La materias primas ser
interpretados de una auditora empresarial manera parcial por los puede
ser aprovechada, Falta o exceso en el departamentos afectados. entre
otras cosas, en los almacenaje de procesos siguientes: productos
terminados Pone a disposicin de la Deficiente instalacin
7. 7. direccin un profundo Reorganizacin de la empresa contra incendio
o mal conocimiento de las desarrollo de Plan de Atribucin o reparto de
nuevas operaciones de la emergencia funciones a los empleados
empresa, proporcionado Deficiencias en la Anlisis de los asuntos por
el trabajo de contabilidad empresariales verificacin de los datos
contables y financieros. Elaboracin de descripciones de Deficiencias
en los puestos de trabajo algunas Normas ISO Contribuye eficazmente a
evitar las actividades Estudio de los requisitos de las Deficiencias en
el rutinarias y la inercia competencias para cada puesto plan de trabajo
de burocrtica que calidad (partes diarios Examen de la actitud de los
generalmente se de trabajo de cada empleados hacia el trabajo
desarrollan en las grandes departamento) Estudio de la motivacin de
los empresas. Deficiencias en la empleados Favorece la proteccin de
distribucin ordenada los intereses y bienes de de deshechos la empresa
frente a terceros.
8. 8. Definicin de Auditoria informtica Es el conjunto de tcnicas,

procedimientos y actividades, destinados aanalizar y evaluar el
funcionamiento de los sistemas informticos de un ente, porlo que
comprende un examen metdico, puntual y discontinuo, con el propsito
demejorar aspectos como: Control y seguridad de los sistemas
informticos;Cumplimiento de la normativa tecnolgica del ente; Control
de planes decontingencia; Eficacia y rentabilidad en el manejo de los
sistemas.Alcance de la auditora informtica El alcance ha de definir con
precisin el entorno y los lmites en que va adesarrollarse la auditoria
informtica, se completa con los objetivos de sta. Elalcance ha de
figurar expresamente en el Informe Final, de modo que
quedeperfectamente determinado no solamente hasta que puntos se ha
llegado, sinocuales materias fronterizas han sido omitidos. En este
sentido un ejemplo de estecontrol surge al plantearse las siguientes
cuestiones Se sometern los registrosgrabados a un control de
integridad exhaustivo- Se comprobar que los controlesde validacin de
errores son adecuados y suficientes. La indefinicin de los alcances de la
auditoria compromete el xito de lamisma. Caractersticas de la
auditora informtica. La informacin de la empresa y para la empresa,
siempre importante, se haconvertido en un Activo de la misma, como
sus Stocks o materias primas si lashay. Por ende, han de realizarse
inversiones informtica, materia de la que seocupa la Auditoria de
Inversin Informtica.
9. 9. Importancia de la Auditoria Informtica en una Organizacin Los

rganos de la los Sistemas Informticos estn sometidos al
controlcorrespondiente, circunstancia que no se debe olvidar. La
importancia de llevar uncontrol de esta herramienta se puede deducir de
varios aspectos que acontinuacin se detallaran: - Las computadoras y
los Centros de Proceso de Datos se convirtieron enblancos apetecibles
no solo para el espionaje, sino para la delincuencia y elterrorismo. En
este caso interviene la Auditoria Informtica de Seguridad. - Las
computadoras creadas para procesar y difundir resultados oinformacin
elaborada pueden producir resultados o informacin errnea si
dichosdatos son, a su vez, errneos. Este concepto obvio es a veces
olvidado por lasmismas empresas que terminan perdiendo de vista la
naturaleza y calidad de losdatos de entrada a sus Sistemas Informticos,
con la posibilidad de que seprovoque un efecto cascada y afecte a
Aplicaciones independientes. En este casointerviene la Auditoria
Informtica de Datos. - Un Sistema Informtico mal diseado puede
convertirse en unaherramienta harto peligrosa para la empresa: como
las maquinas obedecenciegamente a las rdenes recibidas y la
modelizacin de la empresa estdeterminada por las computadoras que
materializan los Sistemas de Informacin,la gestin y la organizacin de
la empresa no puede depender de un Software yHardware mal
diseados. Estos son solo algunos de los varios inconvenientes que
puede presentarun Sistema Informtico, de ah la necesidad de la
Auditora de Sistemas.
10.10. Auditoria Informtica y Auditoria de Sistemas de Informacin

Similitudes Diferencias No se requieren nuevas normas de auditora,
Se establecen algunos nuevos son las mismas. procedimientos de
auditora. Los elementos bsicos de un buen sistema de Hay
diferencias en las tcnicas control contable interno siguen siendo los
destinadas a mantener un adecuado mismos; por ejemplo, la adecuada
segregacin control interno contable. de funciones. Los propsitos
principales del estudio y la Hay alguna diferencia en la manera de
evaluacin del control contable interno son la estudiar y evaluar el
control interno obtencin de evidencia para respaldar una contable.
opinin y determinar la base, oportunidad y extensin de las pruebas
futuras de auditora. El nfasis en la evaluacin de los sistemas
manuales esta en la evaluacin de transacciones, mientras que el
nfasis en los sistemas informticos, est en la evaluacin del control
interno. Caractersticas y Objetivos de la Auditora Informtica La
Auditora Informtica se puede definir como el conjunto de
procedimientos y tcnicas para evaluar y controlar un sistema
informtico con el fin de constatar si sus actividades son correctas y de
acuerdo a las normativas informticas y generales en la organizacin.
La Auditora Informtica deber comprender no slo la evaluacin de los
equipos de cmputo, de un sistema o procedimiento especfico, sino que
adems tendr que evaluar los sistemas de informacin en general
desde sus entradas, procedimientos, controles, archivos, seguridad y
obtencin de informacin. Esta es de vital importancia para el buen
desempeo de los sistemas de informacin, ya que proporciona los
controles necesarios para que los sistemas sean confiables y con un
buen nivel de seguridad. Adems debe evaluar todo: informtica,
organizacin de centros de informacin, hardware y software.
11.11. La Auditora del Sistema de Informacin en la empresa, a travs de

laevaluacin y control que realiza, tiene como objetivo fundamental
mejorar larentabilidad, la seguridad y la eficacia del sistema mecanizado
de informacin enque se sustenta. El alcance ha de definir con precisin
el entorno y los lmites en que va adesarrollarse la auditora informtica,
se complementa con los objetivos de sta. Elalcance ha de figurar
expresamente en el Informe Final, de modo que quedeperfectamente
determinado no solamente hasta que puntos se ha llegado, sinocuales
materias fronterizas han sido omitidas. Ejemplo: Se sometern
losregistros grabados a un control de integridad exhaustivo? Se
comprobar que loscontroles de validacin de errores son adecuados y
suficientes? La indefinicin delos alcances de la auditora compromete el
xito de la misma. Control de integridad de registros: Hay Aplicaciones
que compartenregistros, son registros comunes. Si una Aplicacin no
tiene integrado un registrocomn, cuando lo necesite utilizar no lo va
encontrar y, por lo tanto, la aplicacinno funcionara como
debera.*Control de validacin de errores: Se corrobora queel sistema
que se aplica para detectar y corregir errores sea
eficiente.Caractersticas de la Auditora Informtica La informacin de la
empresa y para la empresa, siempre importante, se haconvertido en un
Activo Real de la misma, como sus Stocks o materias primas silas hay.
Por ende, han de realizarse inversiones informticas, materia de la que
seocupa la Auditora de Inversin Informtica. Del mismo modo, los
SistemasInformticos han de protegerse de modo global y
particular: a ello se debe laexistencia de la Auditora de
Seguridad Informtica en general, o a la auditora deSeguridad
de alguna de sus reas, como pudieran ser Desarrollo o Tcnica
deSistemas. Cuando se producen cambios estructurales en la
Informtica, se reorganizade alguna forma su funcin: se est en
el campo de la Auditora de OrganizacinInformtica. Estos tres
tipos de auditoras engloban a las actividades auditoras quese realizan
en una auditora parcial. De otra manera: cuando se realiza una
12.12. auditoria del rea de Desarrollo de Proyectos de la Informtica de

una empresa,es porque en ese desarrollo existen, adems de
ineficiencias, debilidades deorganizacin, o de inversiones, o de
seguridad, o alguna mezcla de ellas.Sntomas de Necesidad de una
Auditora Informtica Las empresas acuden a las auditoras externas
cuando existen sntomasbien perceptibles de debilidad. Estos sntomas
pueden agruparse en clases:Sntomas de descoordinacin y
desorganizacin - No coinciden los objetivos de la Informtica de la
Compaa y de la propiaCompaa.- Los estndares de productividad se
desvan sensiblemente de lospromedios conseguidos habitualmente.
[Puede ocurrir con algn cambio masivode personal, o en una
restructuracin fallida de alguna rea o en la modificacinde alguna
Norma importante]Sntomas de mala imagen e insatisfaccin de los
usuarios: - No se atienden las peticiones de cambios de los usuarios.
Ejemplos:cambios de Software en los terminales de usuario,
refrescamiento de paneles,variacin de los ficheros que deben ponerse
diariamente a su disposicin, etc.- Nose reparan las averas de Hardware
ni se resuelven incidencias en plazosrazonables. El usuario percibe que
est abandonado y desatendidopermanentemente. - No se cumplen en
todos los casos los plazos de entrega de resultadosperidicos. Pequeas
desviaciones pueden causar importantes desajustes en laactividad del
usuario, en especial en los resultados de Aplicaciones crticas
ysensibles.Sntomas de debilidades econmico-financieras: - Incremento
desmesurado de costes. Necesidad de justificacin deInversiones
Informticas (la empresa no est absolutamente convencida de tal
13. 13. necesidad y decide contrastar opiniones). Desviaciones

Presupuestariassignificativas. - Costes y plazos de nuevos proyectos
(deben auditarse simultneamente aDesarrollo de Proyectos y al rgano
que realiz la peticin).Sntomas de Inseguridad: Evaluacin de nivel de
riesgos - Seguridad Lgica y/o Seguridad Fsica Confidencialidad [Los
datos son propiedad inicialmente de la organizacinque los genera. Los
datos de personal son especialmente confidenciales]-Continuidad del
Servicio. Es un concepto an ms importante que la Seguridad.Establece
las estrategias de continuidad entre fallos mediante Planes
deContingencia Totales y Locales. - Centro de Proceso de Datos fuera de
control, Si tal situacin llegara apercibirse, sera prcticamente intil la
auditora. Esa es la razn por la cual, eneste caso, el sntoma debe ser
sustituido por el mnimo indicio. El Auditor Informtico debe ser una
persona con un alto grado decalificacin tcnica y al mismo
tiempo estar integrado en las corrientesorganizativas
empresariales que imperan hoy en da. Se deben de contemplar
lassiguientes caractersticas para mantener el perfil profesional
adecuado yactualizado: 1. La persona o personas que integren
esta funcin deben contemplaren su formacin bsica una
mezcla de conocimientos de auditora financiera y deinformtica
en general .Estos ltimos deben contemplar conocimientos
bsicos de: Desarrollo informtico, gestin de proyectos y del
ciclo de vida de unproyecto de desarrollo. Gestin del
departamento de sistemas. Anlisis de riesgoen un entorno
informtico. Sistema operativo. Telecomunicaciones. Gestin de
14.14. base de datos. Seguridad fsica. Operaciones y planificacin

informtica. Gestinde la seguridad de los sistemas y de la
continuidad empresarial a travs de planesde contingencia de la
informacin. Gestin de problemas y de cambios enentornos
informticos. Administracin de datos. Comercio electrnico.
Encriptacinde datos. A estos conocimientos bsicos se les deber
aadir una especializacin enfuncin de la importancia econmica que
distintos componentes financierospuedan tener en un entorno
empresarial. As en un entorno financiero puedentener mucha
importancia las comunicaciones y ser necesario que alguien dentrode
la funcin de auditora informtica tenga esta especializacin, pero esto
mismopuede no ser vlido para un entorno productivo en el que las
transacciones EDIpueden ser ms importantes. El auditor informtico
debe conocer tcnicas de gestin empresarial y sobretodo de gestin del
cambio ya que las recomendaciones y soluciones que aportendeben
estar en la lnea de la bsqueda optima de la mejor solucin para
losobjetivos empresariales que se persiguen y con los recursos que se
tienen. El auditor informtico debe tener siempre el concepto de calidad
total.Como parte de un colectivo empresarial, bien sea
permanentemente como auditorinterno o puntualmente como auditor
externo, el concepto de calidad total har quesus conclusiones y trabajo
sean reconocidos como un elemento valioso dentro dela organizacin y
que los resultados sean aceptados en su totalidad. Estaaplicacin
organizativa debe hacer que la propia imagen del auditor informticosea
ms reconocida de forma positiva por la organizacin.
Auditoria Informtica o de Sistemas - Introduccin
1. AUDITORIA DE SISTEMAS AUDITORIA EN INFORMATICA
2. Antecedentes Terminologa Referencias
3. Antecedentes Inicialmente la informtica apoy las reas de contabilidad,

nminas, etc., lo que origin la necesidad de conocer y medir dicho apoyo a
estas reas y a toda la empresa. -> Se origina el proceso de la auditora a
sistemas de informacin o auditoria de sistemas. Luego cubri las reas de
negocio en todos los niveles, por medio de productos y servicios variados, con
el uso de computadoras personales, redes locales, telecomunicaciones y una
diversidad de componentes de tecnologa, contribuyendo con la integracin
empresarial.
4. Estado actual Todas las actividades de la sociedad buscan apoyarse en la

tecnologa informtica. El control y seguridad de los recursos de informtica
es una necesidad creciente. La Informtica se enfoc hacia la
sistematizacin de las reas de un negocio. (Tecnologas y Sistemas de
Informacin). Tendencia a obtener una solucin integrada y actualizada.
5. Las entidades deben contar con controles, polticas y procedimientos que

aseguren a los niveles directivos, que los recursos humanos, materiales y
financieros estn adecuadamente orientados a la rentabilidad y competitividad
del negocio. La improductividad, mal servicio y carencia de soluciones
totales de la funcin informtica, fueron, son y seguirn siendo mal de muchas
organizaciones.
6. Qu se espera de Informtica? SATISFACCIN de la demanda de

SISTEMAS y TECNOLOGIAS de INFORMACIN Personas Datos Aplicativos
Tecnologa (Hard., Soft., BD, Comunics.) Procesos La Direccin de TI
7. Problemas: Debilidades en la planeacin del negocio (informtica)

Resultados negativos (improductividad, duplicidad de funciones, etc) de los SI
(Desarrollo, Mantenimiento. Operacin). Falta de actualizacin de personal
informtico. Capacitacin deficiente de los usuarios de los SI Deficiente
involucramiento de los usuarios en el desarrollo e implantaciones de soluciones
informticas. Administracin deficiente de los proyectos (Falta de un proceso
de anlisis costo/beneficio, metodologas de planeacin y desarrollo no
estandarizadas, poco uso de tcnicas formales, falta proceso formal de
planeacin) Involucramiento mnimo de la alta direccin
8. Importancia de la auditoria en informtica La tecnologa informtica es

una herramienta que brinda rentabilidad y ventaja competitiva; pero puede
originar costos y desventajas si no es bien llevada. Cmo saber si se est
administrando y dirigiendo de manera correcta la funcin informtica? Es
necesario auditar o evaluar la funcin de informtica? Quines lo haran?.
9. La solucin es realizar evaluaciones oportunas y completas de la funcin

informtica, a cargo de personal calificado (consultores externos, auditores en
informtica). La funcin informtica se ha convertido en una herramienta
permanente y necesaria, en un aliado confiable y oportuno, de los procesos
principales de los negocios. Es posible auditar la funcin informtica, si se
implementan los controles y esquemas de seguridad requeridos para su
aprovechamiento ptimo.
10. => Evaluar, formal y peridicamente, la funcin de informtica

integrada al proceso de negocios. La funcin del auditor no es ser un polica;
se orienta a ser un punto de control, confianza y un facilitador de soluciones.
Orientacin del auditor: Conducir a la empresa a la bsqueda permanente de
la salud ptima de los recursos de informtica y de todos los elementos
relacionados con ella.
11. II. Terminologa de la auditoria en informtica
12. Informtica Campo que se encarga del estudio y aplicacin prctica de la

tecnologa, mtodos, tcnicas y herramientas relacionados con las
computadoras y el manejo de la informacin por medios electrnicos. Se divide
en grandes ramas o se integra a otros elementos tecnolgicos y
administrativos para fortalecer las empresas. Sistemas de informacin
Redes y comunicaciones Bases de datos Desarrollo de sistemas
Soporte a usuarios Planeacin informtica Investigacin de nuevas
tecnologas
13. Sistemas de Informacin: Conjunto de mdulos computacionales

organizados e interrelacionados de manera formal para la administracin y uso
eficiente de todos los recursos (humanos, materiales, tecnolgicos, etc.) de un
rea de la empresa (manufactura, administracin, direccin, etc.); para
representar los procesos reales y orientar los procedimientos, polticas y
funciones inherentes al logro eficientemente las metas y objetivos del negocio.
Pueden orientarse al apoyo de: Niveles operativos. Niveles tcticos.
Niveles estratgicos. Sistemas de Informacin Estratgicos: Proporcionan a
la alta direccin una serie de parmetros y acciones encaminadas a la toma de
decisiones que apoyarn en el seguimiento de la rentabilidad y eficiencia
respecto de la competencia.
14. Metodologa: Conjunto de etapas estructuradas de manera que

brinden a los interesados los parmetros de accin, en el desarrollo
de sus proyectos, siguientes: Plan general y detallado, tareas y
acciones, tiempos, aseguramiento de calidad, involucrados, etapas,
revisiones, responsables, recursos, etc. Tcnicas: Procedimientos y
pasos ordenados que se usan en el desarrollo de un proyecto con el
propsito de finalizar las etapas definidas en el procesos
metodolgico, tales como: Anlisis de sistemas, Diseo de sistemas,
Anlisis costo beneficio, Grficas de control tiempos, etc.
Herramientas: Elementos fsicos utilizados para llevar a cabo las
acciones y pasos definidos en la tcnica.
15. Auditoria Proceso formal y necesario para las empresas con el fin de
asegurar que todos sus activos sean protegidos adecuadamente. Conjunto
de tareas realizadas por un especialista para la evaluacin o revisin de
polticas y procedimientos relacionados con las reas Administrativa,
Financiera, Operativa, Informtica y/o de gestin de una empresa. Tareas:
Estudiar y actualizar permanentemente las reas susceptibles de revisin
Apegarse a las normas, polticas, procedimientos y tcnicas de auditoria
establecidas por los organismos aceptados a nivel internacional. Evaluacin y
verificacin de las reas requeridas, por la alta direccin o responsables
directos del negocio. Elaboracin del informe (debilidades y
recomendaciones).
16. Auditoria en informtica Proceso formal ejecutado por especialistas del

rea de auditoria y de informtica; orientado a la verificacin y aseguramiento
de que las polticas y procedimientos establecidos para el manejo y uso
adecuado de la tecnologa informtica, se lleven a cabo de forma oportuna y
eficiente. Actividades ejecutadas por profesionales del rea de informtica y
auditoria para evaluar el grado de cumplimiento de polticas controles y
procedimientos correspondientes al uso de recursos de informtica;
asegurando que operen en un ambiente de seguridad y control eficientes.
Proceso metodolgico cuyo propsito principal es evaluar todos los recursos
(humanos, financieros, tecnolgicos, etc.) relacionados con la funcin de
informtica, para garantizar al negocio que stos operan con criterios de
integracin y desempeo altamente satisfactorios, que apoyen la productividad
y rentabilidad de la organizacin.
17. III. La Auditora en informtica y su entorno 1. Entorno en Informtica. 2.

Objetivos auditor informtico 3. Apoyo a la estrategia del negocio.
18. El Entorno en Informtica Las actividades de una organizacin afectan

sectores especficos de la sociedad; asimismo, los hechos y actividades
externas al negocio tienen un grado de impacto en el mismo. Tales hechos
factores externos pueden ser: Econmicos Polticos Culturales
Tecnolgicos Sociales Otros.
19. Los negocios definen estrategias de planeacin con las que afrontar los
factores externos, para minimizar su impacto negativo o sacar ventaja
estratgica de los mismos. La Auditora en informtica siendo un proceso
bsico de evaluacin y control en el uso de los recursos tecnolgicos para el
logro de las estrategias; debe contemplar el entendimiento del entorno del
negocio como parte de sus actividades primarias.
20. Entorno del negocio (ejemplos) Factor Externo Acciones de la empresa

Responsabilidad del auditor informtica Comentarios Adecuacin al uso de
nuevos mercados (e- commerce) Es poltica de la empresa la expansin y
adaptacin de los procedimientos y recursos al uso de nuevos mercados
Verificar que los sistemas de informacin contemplen esta disposicin de
manera formal y oportuna Emana como una necesidad, dentro de la
globalizacin Auge en el uso de las tecnologas de comunicacin y computacin
mviles Se define como estratgico que exista una red privada virtual entre
empresas y entidades de la organizacin por este medio Constatar que exista
un proyecto de costo-beneficio para desarrollar la infraestructura tecnologica e
implementar los servicios de computacin mvil que se requieran Con esta
accin se obtiene una ventaja competitiva. Permite una integracin ms
eficiente entre las entidades del negocio.
21. Alinear TI con el Negocio OPERACIONES DE TI Como afectan los cambios

y las fallas de TI al Negocio? Cul es el impacto ? Cul es el costo
para el negocio? Operaciones del Negocio Cmo los cambios del Negocio
afectan los sistemas de TI TI est listo y capacitado para soportar las
iniciativas estratgicas del negocio? Impacto de TI sobre el Negocio Impacto
del Negocio en TI No hay ms proyectos de TI , solo proyectos del Negocio
soportados por la Tecnologa
22. Adoptar una Perspectiva de Servicio A : Focalizada en Servicios de TI

Soportando el Negocio Servicios de TI Prioridades Del Negocio Procesos de TI
De: Focalizada en los Componentes de Tecnologa
23. El entorno en la informtica (I) La funcin de informtica debe estructurar

sus servicios y proyectos con base en los requerimientos especficos o
estrategias del negocio, apoyndose en el uso de TICs. El auditor en
informtica deber verificar la existencia de un anlisis costo-beneficio y el
empleo de estndares en cada proyecto de inversin orientado a la
implementacin de nueva tecnologa.
24. El entorno en la informtica (II) Mantendr un proceso de seguimiento de

los recursos de tecnologa, metodologas, tcnicas, procedimientos y polticas
de informtica que aseguren calidad y productividad en esta rea. Las TICs
estn desarrollando continuamente soluciones ms eficientes; por lo que el
rea involucrada en su empleo, deber ejecutar las acciones que aseguren el
mejor uso de la informacin, cumpliendo los requisitos de control esperados:
exactitud, totalidad, autorizacin, actualizacin, etc. para brindar a la
organizacin resultados eficientes y de calidad.
25. Principales Controles fsicos y lgicos Autenticidad.- Permiten verificar la

identidad (Passwords, Firma digitale) Exactitud.- Aseguran la coherencia de los
datos (Validacin de campos, Validacin de excesos) Totalidad.- Evitan la
omisin de registros as como garantizan la conclusin de un proceso de envo
(Conteo de registros, Cifras de control) Redundancia.- Evitan la duplicidad de
datos (Cancelacin de lotes, Verificacin de secuencias) Privacidad.- Aseguran
la proteccin de los datos (Compactacin, Encriptacin) Existencia.- Aseguran
la disponibilidad de los datos (Bitcora de estados, Mantenimiento de activos)
Proteccin de Activos.- Destruccin o corrupcin de informacin o del hardware
(Extintores, Passwords) Efectividad.- Aseguran el logro de los objetivos
(Encuestas de satisfaccin, Medicin de niveles de servicio) Eficiencia.-
Aseguran uso ptimo de los recursos (Anlisis costo-beneficio)
26. En el entorno de la informtica se han desarrollado: Mejores equipos de

cmputo. Lenguajes de programacin y aplicaciones de Software ms
flexibles y dinmicos. Innovaciones tecnolgicas en redes y
telecomunicaciones. Metodologas, tcnicas y herramientas para la
administracin de la funcin informtica y la planeacin y desarrollo de
sistemas. Integracin de especialidades profesionales en asociaciones
reconocidas formalmente.
27. Concepto Caractersticas Impacto en el proceso de AI Hardware

Servidores Redes Computadoras porttiles Impresoras Dispositivos de
almacenamiento Telecomunicaci ones - datos - voz - video Permiten
alimentar procesar, generar, transmitir y almacenar los datos de los SI
(estratgicos, tcticos y operativos del negocio) El Hw sufre cambios de
manera dinmica, su desempeo y perfoman- ce han mejorado :
Almacenamiento Procesamiento Portabilidad Escalabilidad
Conectividad Otros Utilizacin de los equipos de computo para consulta,
captura, proceso y generacin de reportes a fin de evaluar y diagnosticar la
situacin de los sistemas. Evaluacin de SI a travs de accesos remotos y en
lnea. Auditar cada tarea en el lugar de los hechos, Registrar y monitorear
gran cantidad de actividades inherentes al uso de TICs.
28. Concepto Caractersticas Impacto en el proceso de auditoria en informtica

Software Base y Aplicado (Herr. Gestin y comunicacin) Especializado
Auditora Seguridad Desempeo CASE Mtodo Tcnicas Herramientas Son los
elementos lgicos Permiten la sistematizacin computacional de los
procesos de negocio. Se ha conseguido la automatizacin de actividades de
desarrollo de sistemas a travs de las computadoras y en gran medida la
planeacin de sistemas. El personal de informtica, programa rutinas de
control y evaluacin de procesos en los sistemas o genera reprocesos y
respaldos de la informacin por auditar. El auditor en informtica domina
ambos campos auditoria e informtica-, es el enlace ideal para la evaluacin
de SI y el uso eficiente de todos los recursos, servicios y productos de TICs en
el negocio.
29. Una organizacin, tambin esta afectada por otros factores del entorno, por
lo que se hace necesario que la funcin de auditora en informtica se
mantenga actualizada y enterada de los aspectos que rodean a los negocios.
Es necesario documentarse mediante: lecturas de boletines, peridicos o
revistas especializadas y acceso a BD nacionales e internacionales
participacin en conferencias, eventos y en asociaciones especializadas
contacto permanente con proveedores lderes de productos y servicios de la
tecnologa informtica anlisis permanente de los procesos bsicos de
negocio y de sus competidores clave.
30. En general, hay que considerar elementos formales para aplicar

oportunamente el cambio organizacional, cultural y tecnolgico, que conlleve a
facilitar el reposicionamiento y la competitividad del negocio, tales como:
Planeacin estratgica Evaluacin permanente de los procesos y flujos de
datos. Reingeniera de negocios, Investigacin de mercados. Estudio y
asimilacin del aspecto social, cultural, poltico, econmico y tecnolgico del
entorno. Compromiso de todos los niveles de la empresa con la calidad y
satisfaccin del cliente. Orientar los recursos a los procesos fundamentales
del negocio. Considerar el recurso humano como la pieza clave de la
organizacin.
31. La Direccin de TI CLIENTES PRODUCTOS y SERVICIOS Aplicativos

Infraestructura TALENTOS (RrHh) Bases de Datos Relaciones Aplicaciones
disponibles Instalacin y Soporte de Infraestructura Conocimiento
PROVEEDORES TI Stakeholders Stakeholders
32. 5 dimensiones Alineamiento estratgico con el negocio concordantes con

visin, misin y lineamientos estratgicos de la organizacin Entrega de valor
de acuerdo a intereses del cliente, considerando costos, plazos y otras
restricciones Gestin de recursos personas, aplicaciones, informacin,
infraestructura Gestin de riesgos identificados, priorizados, cuantificados,
comunicados Gestin de rendimiento medicin, seguimiento y mejora
33. Factores que propician la Auditora Informtica Leyes gubernamentales.

Polticas internas de la empresa. Necesidad de controlar el uso de equipos
computacionales. Altos costos debido a errores. Prdida de informacin y
de capacidades de procesamiento de datos, aumentando el riesgo de toma de
decisiones incorrectas. Valor del hardware, software y personal.
Necesidad de mantener la privacidad y confidencialidad de las transacciones
de la organizacin.
34. Objetivos generales de la Auditora en Informtica Asegurar la

integridad, confidencialidad y confiabilidad de la informacin. Minimizar
existencias de riesgos en el uso de Tecnologa de informacin Conocer la
situacin actual del rea informtica para lograr los objetivos. Seguridad,
utilidad, confianza, privacidad y disponibilidad en el ambiente informtico, as
como tambin seguridad del personal, los datos, el hardware, el software y las
instalaciones.
35. Incrementar la satisfaccin de los usuarios de los sistemas informticos.

Capacitacin y educacin sobre controles en los Sistemas y Tecnologas de
Informacin. Buscar una mejor relacin costo- beneficio de los sistemas
informticos y tomar decisiones en cuanto a inversiones en TICs. Objetivos
generales de la Auditora en Informtica
36. Objetivo del auditor en informtica al estudiar el entorno y su impacto en el

negocio Evaluar y dar seguimiento oportuno a los proyectos de auditoria en
informtica programados, enfocndose al control, seguridad y auditora en
contacto con las TICs; con el fin de apoyar las estrategias del negocio,
considerando los factores externos e internos que se relacionan con la
organizacin.
37. Garantizar el apoyo directo a las estrategias del negocio (i) La Auditoria
en informtica debe evitar la interrupcin de las operaciones del negocio y al
mismo tiempo salvaguardar los activos relacionados con las TICs. Los
auditores en informtica dirigirn la participacin directa del personal y
usuarios involucrados durante el proceso de auditora. Cada proyecto de la
auditora se orienta al cumplimiento de normas, procedimientos y estndares
-tanto de auditora como de informtica-, comnmente aceptados.
38. Garantizar el apoyo directo a las estrategias del negocio (ii) El

responsable de la funcin de auditora en informtica ha de coordinar con: la
alta direccin (director o gerente general), el responsable de la auditora
tradicional (operativa, administrativa, financiera, etc.), y el responsable de
informtica.
39. IV. ORGANIZACION 1. Estrategias y cursos de accin para la AI. 2.

Estructura organizacional y funciones AI. 3. Administracin de la funcin de AI.
4. Elementos de la administracin. 5. Hacia una auditora informtica eficiente.
40. 4.1 Estrategias y cursos de accin para la funcin de AI Estrategias.- 1.

Formalizar la AI en la organizacin, mediante : Documentos de justificacin
para la Alta Direccin Difusin de la AI en las reas relacionadas
Desarrollo del proceso de AI 2. Auditoria Permanente para garantizar a la Alta
Direccin: Polticas y procedimientos para el uso, eficiente y confiable de los
recursos de informtica. Verificacin del uso adecuado de TICs.
Evaluacin y justificacin de los Pys Informticos. Planeacin informtica
orientada al plan de negocio. Uso de Metodologas, Tcnicas, Herramientas.
Profesionalismo y productividad del personal Apoyo a los objetivos del
negocio
41. Cursos de Accin (i) 1. Alta Direccin, usuarios y personal deben ser
conscientes de la necesidad de AI para el uso eficiente de los recursos. 2.
Formalizar un procedimiento que divulgue los planes, objetivos, beneficios y
reas de oportunidad de la AI. 3. Compromiso del personal y usuarios con el
proyecto de AI. 4. Planeacin y desarrollo del proceso de AI : Proyectos,
Prioridades, Calidad/eficiencia *Justificar expectativas: involucrar reas
*Planear detalladamente: responsables directos *Responsable AI: Presentacin
ejecutiva *Reunin formal: Jefes de rea, exponer: a) Antecedentes b)
Justificacin c) Objetivos y alcances d) Etapas e) Productos Terminados f)
Fechas de Revisin formales e informales g) Funciones y responsabilidades h)
Costes-Beneficios
42. Cursos de Accin (ii) 5. Coordinar reuniones con los responsables e

involucrados. 6. Ejecutar cada PY, de manera formal y oportuna. 7. Informes
ejecutivos y detallados a la alta direccin. 8. Investigar, actualizar y formalizar
la metodologa de AI: considerar requerimientos, procedimientos y estndares.
9. Capacitar permanentemente al personal de AI. 10. Orientar los esfuerzos al
objetivo del negocio.
43. 4.2. Estructura Organizacional y funciones de la AI Ubicacin jerrquica

de la funcin 1. La AI es independiente jerrquicamente: control y seguridad. 2.
Apoyo y participacin de todas las reas 3. La AI se establece en un nivel
Estratgico, nunca Operativo. 4. AI Externa: Seguimiento, coordinacin y apoyo
alta direccin. Tipos de estructuras donde se ubica la AI 1. En el alto nivel
Organizacional 2. Se subordina jerrquicamente a una direccin
(administracion/informatica) 3. Objetivo de la Alta Direccin: Asegurar el
desempeo oportuno y eficiente de las actividades de AI.
44. Nivel Caracteristicas Ventajas Desventajas Nivel estrat gico 1.

Independencia funcional 2. AI opera estratgicamente. 3. Compromiso
permanente con la alta direccin 4. Se halla en instituciones financieras y de
gobierno 5. Visin del negocio 1.Comunicacin formal y permanente con alta
direccin 2.Apoyo y soporte constante 3. Objetividad en el desempeo de la
funcin 4.Se establecen a nivel directivo, las polticas, controles y procedimien-
tos sugeridos por la funcin de A I 1. Seguimiento de la alta direccin al
desempeo de la funcin, puede ser un proceso complejo. 2. En gran parte de
las empresas no se acepta la AI 3. Faltan profesionales con experiencia y
capacidades requeridas para la funcin de A I Grado de soporte por parte de
la funcin de auditoria en informtica ( i )
45. Nivel Caracteristicas Ventajas Desventajas Nivel tctico 1.No hay

independencia funcional respecto a otras gerencias. 2.Se encuentra en
diversos sectores, instituciones financieras, gubernamentales, industriales y
educativo. 3.Limitada al estilo de trabajo del nivel superior al que le reporta. 1.
Funcin indispensable para el cumplimiento de polticas y procedimientos de
informtica en el negocio. 2.Tiene contacto con los responsables para la toma
de decisiones. 3.Existen asociaciones, consultores y escuelas profesionales que
impulsan la formalizacin de la funcin. 1. Dbil compromiso y soporte de la
alta direccin. 2. Porcentaje de empresas que considera importante contar con
una funcin a este nivel es mnimo. 3. Faltan profesionales con experiencia,
tcnicas y habilidades . Grado de soporte por parte de la funcin de auditoria
en informtica (ii)
46. Evaluacin, implantacin y verificacin del cumplimien- to de los

controles y procedimientos, para el uso eficiente de los recursos y de la funcin
de informtica Evaluacin de las reas de riesgo de la funcin de informtica
y su justificacin con la alta direccin. Elaborar un plan de auditoria en
informtica en los plazos determinados. Obtener la aprobacin formal de los
proyectos de AI y difundirlos entre los involucrados para su compromiso.
Desarrollar la auditoria den informtica conforme normas y polticas
estandarizadas. Administrar o ejecutar eficientemente los proyectos
contemplados en el plan de la auditoria en informtica. Funciones de la
Auditora en Informtica
47. Direccin de Informtica Gerencia de telecomunicaciones Gerencia de

auditoria En informtica Gerencia de Desarrollo tecnolgico Gerencia de
soporte tcnico Jefatura de telecomunicaciones Consultores Jefatura de
auditoria En informtica Auditores en informtica Jefatura de desarrollo de
sistemas de informacin Consultores ESTRUCTURA I Soporte al director de
informtica (estructura I) ESTRUCTURA ORGANIZACIONAL DE LA AI
48. Direccin Gerencia de Informtica Jefatura de desarrollo tecnolgico

Jefatura de soporte tcnico Consultores analistas de sistemas de informacin, o
ambos Jefatura de telecomunicaciones Jefatura de auditoria en informtica
Consultores de telecomunicaciones Auditores en informtica ESTRUCTURA II
Soporte directo a nivel gerencial de informtica (estructura II)
49. Direccin Personal de apoyo de auditoria en informtica Gerencia de

auditoria Jefaturas de auditoria Auditores Gerencia de informtica Jefaturas de
informtica (consultores) Analistas y programadores (consultores) ESTRUCTURA
III Asesora y soporte a la alta direccin (estructura III)
50. Direccin de auditoria Subdireccin de auditoria Despacho de auditores en

informtica externos Gerencia de Auditoria administrativa Jefatura de auditoria
Auditores Gerencia de Auditoria financiera Jefatura de auditoria Auditores
ESTRUCTURA IV Soporte directo a nivel gerencial de auditoria (estructura IV)
51. CLASES Y TIPOS DE AUDITORA INFORMTICA Auditoria informtica como

soporte a la auditoria tradicional, financiera, etc. Auditoria informtica con el
concepto anterior, pero aadiendo la funcin de auditoria de la funcin de
gestin del entorno informtico. Auditoria informtica como funcin
independiente, enfocada en la situacin actual del entorno informtico, en
aspectos de seguridad y riesgo, eficiencia y veracidad e integridad. Auditoria
como funcin de control dentro de un Departamento de sistemas
52. Organizacin de la funcin de auditora informtica La funcin de

Auditora Informtica pasa de ser una funcin de apoyo a ser una funcin
estratgica en beneficio del negocio. EL Auditor Informtico, es un auditor y
consultor empresarial, desempeandose como analista, auditor y asesor en
materia de: Seguridad Control interno operativo Eficiencia y eficacia
Tecnologa informtica Continuidad de operaciones Gestin de negocios
53. La ubicacin del auditor informtico dentro de una organizacin, debe

estar ligada a la de la auditora interna operativa y financiera, con
independencia de objetivos, planes de formacin y presupuesto. La
dependencia organizacional debe ser del mximo responsable operativo de la
organizacin. El personal de Auditora Informtica, debe contemplar su
certificacin CISA o ISACA como auditor informtico. Una organizacin
interna tpica del rea de auditoria informtica debera considerar: Jefe de
departamento Gerente o supervisor de auditora informtica Auditor
informtico
54. El tamao del rea de AI se puede precisar un funcin de los objetivos de

la funcin. Se podra considerar: Especialista en el entorno informtico a
auditar Especialista en comunicacin y/o redes Responsables de gestin de
riesgos operativo y aplicaciones Responsables de la auditoria de sistemas de
informacin Especialista para la elaboracin de programas de trabajo
conjuntos con la auditora administrativa
55. 4.3 Administracin de la Funcin de Auditoria en informtica Garantiza que

los recursos involucrados obedezcan los principios bsicos de un proceso
administrativo, como: la planeacin, el personal , el control y el seguimiento
del desempeo. Objetivos principales de la administracin de AI: 1. Cubrir y
proteger los riesgos informticos 2. Asegurar los recursos sean orientados al
logro de objetivos 3. Asegurar la formulacin, elaboracin, difusin y
cumplimiento de las polticas, funciones y procedimientos 4. Asegurar
resultados esperados por el negocio 5. Para el xito: Elaborar y formalizar
planes, organizar la funcin, dirigir, revisar y evaluar el desempeo.
56. Conocimiento o Habilidades requeridas para la funcin de la Auditoria en

informtica Concepto Responsable de Auditoria Supervisor de Auditoria Auditor
Metodologa Planeacin de sists Alto Alto Bueno Desarrollo de sists. Mnimo
Alto Alto Tcnicas Anlisis 1.Organizacional Alto Alto Regular 2.Sistemas
Bueno Alto Alto 3.Computacional Regular Bueno Alto Diseo 1.Conceptual
Regular Alto Alto 2.Computacional Mnimo Alto Alto
57. Costo/Beneficio Alto Alto Alto Mod. Datos y Procesam. Mnimo Bueno Alto
Documentacin 1.Ejecutiva Alto Alto Bueno 2.Detallada Mnimo Bueno Alto
Entrevista Alto Alto Alto Cuestionarios Bueno Alto Bueno Controles ,
polticas y estndares Alto Alto Alto reas de Especializac. 1. Redes y
Comunicaciones Regular Bueno Alto 2. Ing. De Software Regular Bueno Alto 3.
Base de Datos Regular Bueno Alto 4. Desarrollo Web Regular Bueno Alto
5.Otros Regular Bueno Alto Habilidades/virtudes 1.Creatividad Bueno Bueno
Bueno 2.Abstraccin Alto Bueno Bueno 3.Responsabilidad Alto Alto Alto
58. 4.4 Elementos de la administracin de la funcin de AI Planificacin 1.

Desarrollar una matriz de la planeacin de AI para determinar las reas que
sern evaluadas. 2. Tener informacin de los sistemas, equipos, Sw, planes de
informtica y de auditoria, actuales. 3. Coordinar los planes con Gerencia de
Auditoria interna 4. Componentes de xito de la Planeacin: *Juntas formales
de discusin de planes peridicas. *Seguimiento de deficiencias y debilidades
*Reportes de Auditoria y aseguramiento de calidad *Capacitacin conjunta
*Metodologa, tcnicas y herramientas comunes.
59. Personal 1. Polticas de seleccin y reclutamiento 2. Preparacin

suficiente y confiable Informtica/Auditora 3. Personal con experiencia,
educacin, adaptabilidad, entendimiento, determinacin y diligencia. 4.
Establecer el nmero de auditores y horas de auditora Control 1.
Supervisin oportuna garantiza un producto consistente 2. Ayuda en el
desarrollo y control de los presupuestos 3. Es un proceso continuo, desde la
planeacin hasta el informe final 4. Verificacin con los estndares y
procedimientos. Reportes de desempeo 1. Herramientas muy importantes
para evaluar: Productividad y calidad de los proyectos Resultados y
Avances de los proyectos reas susceptibles de control y seguimiento
individual y de grupo.
60. ACTIVIDADES CRITICAS DE LA AUDITORA INFORMTICA (i) Verificacin del

control interno, tanto de las aplicaciones como de los sistemas informticos,
centrales y perifricos. Anlisis de la gestin de los sistemas de informacin
desde un vista de riesgo de seguridad y de efectividad de la gestin.
Evaluacin de la integridad, fiabilidad y certeza de la informacin, a travs del
anlisis de las aplicaciones. Anlisis del nivel de actualizacin de las TICs en la
organizacin Anlisis de la gestin de los riesgos de la informacin y de la
seguridad informtica.
61. Verificacin del nivel de continuidad de las operaciones (campos de

revisin : riesgo de la informacin, continuidad de las operaciones, gestin del
centro de informacin, efectividad y actualizacin de las inversiones).
Diagnstico sobre la contribucin de las aplicaciones y recursos a las
necesidades estratgicas y operativas de informacin de la organizacin. el
auditor interno debe convertirse en consultor y apoyo del auditado, sugiriendo
procedimientos de control interno, efectividad y eficacia y medicin del riesgo
empresarial. ACTIVIDADES CRITICAS DE LA AUDITORA INFORMTICA (ii)
62. 4.5 Hacia una Auditoria en Informtica eficiente Clave: Conocimiento,

habilidades y capacidades profesionales y personales del auditor informtico.
Conocer tericamente normas, polticas y estndares de
auditora/informtica, no son garanta de seguridad y confianza. Experiencia:
Prctica, Disciplina, Orden y Objetividad. Facultades apropiadas de: anlisis
objetivo, habilidades de comunicacin y modelacin conceptual, observacin y
capacidad para tomar decisiones.
63. FUNCION DEL AUDITOR INFORMTICO Un profesional dedicado al anlisis

de sistemas informticos, especializado en alguna de las ramas de la auditoria
informtica e integrado en las corrientes organizacionales actuales. Posee
las caractersticas necesarias para actuar como consultor. Puede actuar
como asesor de la organizacin en la que est desarrollando su labor.
64. 1. Formacin universitaria en informtica, que contemple conocimientos

en: Desarrollo de sistemas de informacin Gestin de sistemas. Anlisis
de riesgos informticos. Sistemas operativos Telecomunicaciones y Redes
locales. Gestin de base de datos. Seguridad informtica Operaciones y
planificacin informtica. Gestin de la seguridad de los sistemas de
informacin. Gestin de entornos y proyectos informticos. Administracin
de datos, ofimtica, herramientas web Perfil profesional del auditor informtico
(i)
65. 1. 2. Dominio de las tcnicas de auditoria computacional. 3. Actuacin

anterior en estudios de Auditora o en auditorias internas. 4. Especializacin en
funcin del entorno empresarial, gestion del cambio, calidad total, la
importancia econmica, etc. 5. Excepcionales condiciones personales para
tratar con los sectores auditados. 6. Comunicacin adecuada entre el auditado
y el auditor. 7. Alta adaptacin a los cambios tecnolgicos y metodolgicos
Perfil profesional del auditor informtico (ii)
66. Tipos de Auditora Auditora Interna Auditora Externa
67. Auditora Externa Es realizada por personas afines a la empresa

auditada. Se presupone una mayor objetividad y credibilidad que en la
auditora interna debido al distanciamiento entre auditores y auditados.
68. Se realiza una Auditora Externa porque: Se necesita auditar un rea de

gran especializacin, para lo que los servicios propios no estn suficientemente
capacitados. Se debe contrastar algn Informe interno en casos de graves
hallazgos o conclusiones que afecten la opinin o situacin de la propia
empresa. Se desea tener una visin objetiva en relacin a alguna situacin
problematica, cada cierto tiempo, como salvaguardar informacin o
infraestructura importante, inversin realizada en proyectos, etc.
69. Auditora Interna Se realiza con recursos materiales y humanos que

pertenecen a la empresa auditada, por expresa decisin de esta. Puede
actuar peridicamente realizando revisiones globales, como parte de su plan
anual y de su actividad normal. Si es realizada en forma eficiente y objetiva,
su resultado y recomendaciones beneficiarn el trabajo de los auditados,
dando como valor agregado un servicio de calidad mejorado constantemente.
Ambos tipos de auditora deben estar ajenos a cualquier tipo de intereses o
tendencias sociales, polticas, de la misma empresa, compaerismo, filiacin,
etc.
70. Control Los datos son de los recursos ms valiosos de las organizaciones
y, aunque intangibles, necesitan ser controlados y auditados con el mismo
cuidado que los dems activos. Definicin : Controles son todos aquellos
mecanismos existentes dentro del sistema y de la organizacin, que tienen
como objetivo asegurar la veracidad e integridad de la informacin que maneja
el sistema tanto aquella que entra y sale de l, como la que se almacena y se
manipula internamente dentro del proceso computacional.
71. Control Interno Informtico vs. Auditora Informtica Anlisis de

los controles da a da. Informa a la direccin informtica Solo
personal interno Alcance de funciones solo sobre el departamento
informtico Anlisis de un momento informtico determinado Informa
a la direccin general de la organizacin Personal interno o externo
Cobertura sobre todos los componentes de los sistemas informticos
de la organizacin
72. El personal debe estar altamente capacitado en lo que concierne a

las tecnologas de la informacin, verificacin del cumplimiento de
controles internos, normativas y procedimientos establecidos por la
gerencia para los sistemas informticos. Un buen control debe
contar con las siguientes caractersticas: Completo. Simple.
Revisable. Adecuado. Fiable. Actualizado. Rentable .
CONTROL INTERNO Y AUDITORIA INFORMATICA
73. Tipos de Controles Internos En general, existen tres tipos de controles

que es posible implementar en un sistema: Preventivos Detectores o
detectivos Correctivos Es necesario definir en qu etapas o procesos del
sistema es aplicable cada tipo de control, y qu etapas es necesario controlar.
74. Tipos de Controles Internos Preventivos : Evitar el hecho, por ejemplo,

los software de seguridad de acceso al sistema. Detectores : Poder detectar
lo antes posible fallas en el sistema, por ejemplo, registro de actividad diaria.
Correctivos : Volver a un estado normal despus de una falla, por ejemplo, el
mantenimiento de una BD con la rplica existente de respaldo.
75. CLASES DE CONTROLES Controles Generales Controles de Aplicacin

Controles Especiales
76. Controles Generales Definicin : Son los que se realizan para asegurar
que la organizacin y sistemas operen en forma normal. Ejemplos :
Separacin de funciones. Acceso y Seguridad. Procedimientos escritos.
Controles sobre software de sistemas. Control sobre la continuidad del
procesamiento. Control sobre el desarrollo y modificacin de sistemas.
77. Controles de Aplicacin Definicin : Son los que se realizan para

asegurar la exactitud, integridad y validez de la informacin procesada.
Ejemplos : - Control sobre los datos de entrada. - Control sobre los datos
constantes o fijos. - Control sobre el procesamiento. - Control sobre los datos
rechazados. - Control sobre los datos de salida.
78. Controles Especiales Definicin : Son los que se realizan para asegurar la
integridad, seguridad y aspectos operacionales. Ejemplos : - Control sobre la
entrada de datos en lnea. - Procedimientos de recuperacin y
reestablecimiento de sistemas en lnea. - Control sobre la modificacin de
programas. - Control sobre el procesamiento distribuido. - Control sobre
sistemas integrados. - Control sobre bases de datos.
79. Principales Controles fsicos y lgicos en auditoras Autenticidad

Permiten verificar la identidad Passwords Firmas digitales Exactitud
Aseguran la coherencia de los datos Validacin de campos Validacin de
excesos Totalidad Evitan la omisin de registros as como garantizan la
conclusin de un proceso de envio Conteo de registros Cifras de control
80. V. PLANEACIN 1. Proceso de planeacin del negocio. 2. Proceso de

planeacin en informtica. 3. Proceso de planeacin de la auditora. 4. Proceso
de planeacin de la auditora en informtica.
81. Planeacin La funcin de auditoria en informtica debe generar un plan

de proyectos que justifique su trabajo durante cierto tiempo, con parmetros lo
ms tangibles y mensurables posibles. Cada proyecto de A I, respalda los
objetivos y requerimientos de tres entidades del negocio: Alta Direccin,
Auditoria e Informtica.
82. La comunicacin entre la funcin de auditoria en informtica y la alta

direccin, as como las direcciones o gerencias de auditoria o informtica, son
muy importantes . Para elaborar un plan maestro de auditoria que asegure
un apoyo permanente y eficiente, se debe: Crear un comit de control y
seguimiento Analizar los proyectos de negocio en forma conjunta.
Establecer fechas de reuniones formales e informales
83. Proceso de Planeacin del Negocio Consiste en establecer las metas y

cursos de accin del negocio, a travs de entrevistas y del anlisis detallado de
cada uno de los procesos bsicos de la organizacin: Empresa manufactura
(produccin, ventas, rr. hh., administracin). Institucin financiera (crditos,
ahorros y RR.HH.). Otras empresas con giros bien definidos.
84. Cualquier entidad, privada o pblica, de distintos tamaos y estructura

organizacional debe formalizar el plan del negocio, ya que aqu se define el
rumbo del mismo. Los proyectos que se deriven de este proceso deben
contemplar: o Se involucre todas las reas del negocio. o Se evale el medio
externo en sus diferentes entornos. o Se apoye en asesores externos o
especialistas del negocio. o Detectar fortalezas, debilidades, amenaza y
oportunidades. o Determinar metas y estrategias del negocio. o Se establecen
a corto, mediano y largo plazo. o Son aprobados por los accionistas o
responsables del negocio.
85. Proceso de Planeacin en Informtica Consiste en definir los proyectos

relacionados con el rea de informtica, a corto, mediano y largo plazo. Cada
proyecto debe estar orientado a las metas y estrategias especificas del
negocio.
86. Actividades del proceso de planeacin en informtica y responsabilidades

ComentariosRespons. de seguimiento Responsable de ejecucin Actividad
Funciones hechas por el mismo personal o externos Gerente o Supervisores
Funciones de informtica: Desarrollo, investigacin, otros Ejecucin del plan de
informtica Verificar el anlisis costo-beneficio de cada proyecto Alta direccin
del negocio Director o gerente de informtica Presentacin del plan a la alta
direccin Involucrarse en cada tarea Director o gerente de informtica
Coordinador o Supervisor de planeacin de informtica Elaboracin del plan de
informtica Las reas se derivan del plan de negocios Director o gerente de
informtica Coordinador o Supervisor de planeacin de informtica
Determinacin de las reas apoyadas por informtica
87. Proceso de la Planeacin de la Auditoria Definir un conjunto de proyectos

de evaluacin y verificacin de polticas, controles y procedimientos inherentes
a las reas administrativas, financieras, operativas, etc. del negocio, con objeto
de asegurar el buen manejo y administracin de los recursos de la
organizacin. Los diferentes planes emanados del plan de auditoria son
implantados y llevados a cabo en diferentes periodos, de acuerdo con los
requerimientos y caractersticas del negocio.
88. Proceso de Planeacin de la Auditoria Los negocios deben tener un

conjunto de polticas, emanadas por la alta direccin, que establezcan la
necesidad de contar con una funcin externa o interna, que asegure la
congruencia de todos los estados financieros y contables con las operaciones y
transacciones que se realicen en la empresa. Esta funcin a de ser un rea
de control y aseguramiento, entidad independiente y capacitada. La funcin
de auditoria se ocupa de la planeacin, ejecucin y seguimiento de tales
polticas, controles y procedimientos.
89. Actividades del proceso de planeacin de la auditora y responsabilidades
90. Proceso detallado de la Planeacin de la Auditoria Informtica Depende

del diagnstico previo que haga el auditor en informtica de la situacin que
prevalece en cada una de las reas o servicios de la funcin de informtica.
El diagnstico de la situacin informtica previo, deber ser breve y objetivo.
El objetivo principal es determinar las reas de mayor riesgo de la funcin
de informtica con base a diferentes criterios.
91. Actividades sugeridas para el proceso (i) Elaboracin, Documentacin,
Autorizacin y Difusin Formal del Plan de Auditoria en Informtica.
Identificar el nivel de Riesgo de cada uno de los elementos que integran la
funcin de informtica (diagnstico de la situacin actual). Las reas a ser
diagnosticadas pueden variar de acuerdo al tamao y estructura del negocio.
92. Actividades sugeridas para el proceso (ii) Algunos Servicios: Sistemas

de Informacin en operacin. Administracin de Hardware y software.
Desarrollo de Sistemas de Informacin. Soporte a Usuarios (capacitacin,
asesora, etc.) Administracin de Telecomunicaciones. Investigacin y
desarrollo tecnolgico. Otros.
93. Actividades sugeridas para el proceso (iii) Consideraciones a tener en

cuenta para efectuar el diagnstico de la situacin actual: El auditor en
informtica ha de conocer de manera aceptable los aspectos relativos a
auditora e informtica que deben tener cada una de las reas de Informtica.
Se apoyar en la visin de los principales Usuarios del negocio y del
responsable de Informtica.
94. Diagnostico de la Situacin actual de los SI en Operacin. Obtener una

lista de los principales SI y de sus usuarios principales. Obtener comentarios
positivos y negativos de los usuarios de cada SI. Registrar fallas ms
comunes del Sistema. Anotar fecha de liberacin de Sistemas y su ltima
auditora. Revisar la configuracin del equipo donde fue instalado.
Estudiar su integracin a otros SI. Evaluar otros aspectos de inters del
auditor.
95. Debilidades que pueden motivar la Auditoria de un SI Primero: Que el

sistema no haya sido liberado formalmente, lo que ocasiona desconocimiento.
Segundo: Que el sistema nunca haya sido auditado, esto sugiere una
auditoria inmediata, intermedia o final.
96. Clasificacin del Nivel de Riesgo que Representa el Uso de Hw y Sw Los SI y

los datos deben ser procesados en un ambiente tecnolgico confiable, seguro y
eficiente. Equipos o Aplicaciones de Sw. Mantenimiento de la tecnologa
del Equipo y Sw. Diversos factores motivan la intensidad de la auditoria de
Hw.
97. Evaluacin del nivel de Riesgo que representa el uso inadecuado de

Productos y Servicios Se refiere al grado de conocimiento sobre uso de
servicios, Sw y equipos. Informacin de apoyo: Organigramas, descripcin
de puestos y polticas relacionadas a productos y servicios de informtica.
Se debe determinar el grado de confianza del usuario con el manejo del
sistema, paquetes de Sw y equipos.
98. Otros Aspectos: Telecomunicaciones, redes, automatizacin de procesos.
Estos se evalan en base a los estndares establecidos. Considerar la
proyeccin de uso que piensa darle el negocio a corto, mediano y largo plazo.
Tener en cuenta comentarios de personal especializado en el rea.
99. Clasificacin de Riesgos segn criterios de la Funcin de Auditoria en

Informtica Cumplimiento de Estndares. Cumplimiento formal de
polticas y procedimientos. Grado de Satisfaccin: Alta Direccin y personal
usuario. Prioridades de la alta direccin. Prioridades de la funcin de
auditoria en informtica. Otros de inters del auditor.
100. Elaboracin de una matriz de Riesgos Muestra las reas de la funcin

de informtica susceptibles de auditoria. Resultados en forma descendente.
Entidades o reas con mayor y menor riesgo.
101. Elaboracin de un Plan consolidado de Proyectos. Considera: Fechas de

inicio y final de cada Auditoria. Etapas de cada auditoria. Tareas
principales de cada etapa. Equipo de Trabajo (auditor, representantes, )
Requerimientos (recursos, apoyo, capacitacin, ...)
102. Revisin de la Matriz de Riesgos Pronosticar proyectos de auditoria en

informtica con la gerencia. Visto bueno antes de presentarlo a la alta
direccin. Se cubren los siguientes Aspectos: rea por auditar, prioridad,
Fechas de inicio y final, involucrados, responsables, fechas de revisin y otros.
103. Presentacin del plan de proyectos a la alta direccin. Finalidad:

Conocer los proyectos de auditoria informtica. Verificar la consideracin de
reas fundamentales. Compromiso de la alta direccin con los auditores.
Obtener la aprobacin del plan de auditoria en informtica por parte de la
alta direccin.
104. Realizacin de cada proyecto de acuerdo con el plan de Auditoria en

Informtica. Ejecucin de actividades de seguimiento. Revisin formal de
cada proyecto.
105. Integracin y formalizacin de Equipos de trabajo. Equipos Integrados por:

Gerente (s) de las reas usuarias que se evaluarn. Gerente de la Funcin
de Informtica. Lder del proyecto de la funcin de AI.
106. Aprobacin formal de la alta direccin, del informe final de la auditora en

informtica realizada Se dar seguimiento oportuno y formal a cada una de
las recomendaciones contempladas en dicho informe Se aplicarn polticas y
controles estandarizados a nivel internacional. La implantacin del proceso
de planeacin en auditora en informtica, ser permanente.
107. Tipo de Proyectos Responsables Involucrados Negocio Adquirir empresas

Accionistas Gobierno, asesores Reduccin de costos Directores Gerencias,
asesores Reingeniera Accionistas, directores Asesores, gerencias, clientes y
proveedores Informtica Automatizacin de oficinas Informtica Proveedores,
reas usuarias Red Local Informtica Proveedores, usuarios de la red Desarrollo
de sistemas Informtica reas usuarias, asesores Tipo de proyectos,
responsables e involucrados
108. Tipo de Proyectos Responsables Involucrados Auditora Financiera

Auditores internos o externos reas de la empresa Fiscal Auditores internos o
externos reas de la empresa Operativa Auditores internos o externos reas de
la empresa Auditora en informtica Auditora a sistemas de informacin
Auditores en informtica internos o auditores externos Informtica, usuarios de
los sistemas de informacin Auditora en seguridad Auditores en informtica
internos o auditores externos Informtica, reas usuarios de los recursos de
informtica Auditora en el mantenimiento de Hw y Sw Auditores en informtica
internos o auditores externos reas de operacin informtica y reas usuarias
109. Planeacin de la AI Un proceso formal contiene los siguientes

elementos: Etapas Tareas Actividades Costos/Beneficios Resultados
esperados por actividad, tarea y etapa Responsables de cada actividad
tarea Involucrados participantes Revisiones Formales e informales
Tcnicas para ejecutar actividades Herramientas para realizar las
actividades
110. Requisitos mnimos para que la planeacin en auditora informtica sea

formal, permanente y exitosa: Involucramiento directo del auditor en
informtica en el proceso de planeacin estratgica Requerimientos
Tiempos Prioridades de cada proyecto Compromiso del responsable de
auditora para implementar un esquema de control y seguridad preventivo y
completo. Planeacin de la AI
111. Participacin en el proceso de planeacin de auditora tradicional, para

hacer control y medidas correctivas. Beneficios de la participacin,
supresin: Riesgos de no planear la auditora Responsables de tareas
inadecuados Falta de compromiso de los involucrados en el proyecto
Aparicin de costos imprevistos Retrasos en la obtencin de beneficios
Mala calidad en los resultados Rotacin del personal clave Inadecuada
segregacin de tareas y actividades, Etc. Planeacin de la AI
112. Dimensiones del Trabajo del Auditor Informtico - 1 Revisin de Controles

de las Aplicaciones (19%) Determinar que los sistemas producen la
informacin a tiempo, exacta y completa Revisin de Integridad de Datos
(13%) Complecin, consistencia y exactitud Revisin de C.V. de Desarrollo
(5%) Determinar la adherencia a los estndares de CV de desarrollo
aceptados Revisin de Controles Generales de los Procedimientos
Operacionales (12%) Determinar que las aplicaciones se procesan en un
entorno controlado Revisin de Seguridad (14%) Asegurar la proteccin
adecuada de los programas, de los datos y de la instalacin de procesamiento
de datos
113. Dimensiones del Trabajo del Auditor Informtico - 2 Revisin Software de

los Sistemas (5%) Determinar el cumplimiento con las polticas de la
organizacin Revisin de Mantenimiento (6%) Determinar que los sistemas se
han modificado de acuerdo con las polticas de la organizacin Revisin de
Adquisicin (3%) Determinar que los recursos de la organizacin se estn
utilizando de forma econmica Revisin de la Gestin de Recursos del
Procesamiento de Datos (5%) Determinar su adecuacin en el cumplimiento
de los objetivos organizativos Gestin de Auditora Informtica (9%) Utilizar
de forma efectiva los recursos disponibles de la funcin de la auditora
informtica y para cumplir el requisito de auditora informtica de la
organizacin
114. EVOLUCIN DE S.T. I. PROVEEDOR DE TECNOLOGA

VALORPARALAEMPRESA PROVEEDOR DE SERVICIOS SOCIO TECNOLGICO
MADUREZ DEL SERVICIO
115. STI DEBER FOCALIZAR SU ESFUERZO, COMO CUALQUIER EMPRESA DE

SERVICIOS, EN LOS 3 NIVELES BSICOS DE SU GESTIN: INFRAESTRUCTURAS
SERVICIOS VALOR ALINEAMIENTO CON EL NEGOCIO POR QU DE LA GESTIN
DE S.T.I. COMO UN NEGOCIO
116. ESTRATEGIA ORGANIZACIONAL OBJETIVOS del NEGOCIO MISION

OPERACIONES en CURSO Actividades recurrentes PORTAFOLIO Planific.
Gestin OPERACIONES Planific. Gestin PROGRAMAS y PROYECTOS
autorizados Actividades de proyectos VISION Producen valor Aumentan
capacidad de producir valor
117. Productos y Servicios Generacin Soporte, Mantenimiento Operacin

Proyectos Productos y Servicios Generan valor Productos Servicios
Resultados Aumentan capacidad de producir valor
118. SI/TI SER . innovadores, soporte, OFRECER . Demanda, beneficios

Planes, organizacin, direccin de produccin y soporte, y de proyectos
Soporte, helpdesk, instalar, mantener, desarrollar, .. QU CMO ACCIN
PARA QU
119. Probables escenarios de la funcin de auditoria en informtica rea

supeditada Consideraciones de la funcin Ventajas Desventajas Direccin o
Gerencia de auditoria Independiente de la funcin informtica Integracin de
los controles y polticas de informtica al resto Objetividad en el desempeo
Planeacin y desarrollo conjunto de auditoras Control y seguimien- to de
recursos. No aceptacin de la evaluacin Puede desconocer el alcance y
misin del rea informtica. Direccin o Gerencia de informtica Dependencia
funcional con el Director Director: Negociador / impulsador de la AI Se facilita
apoyo Concientizacin polticas y control Conocimiento proyecto
Incertidumbre por los problemas de la funcin informtica. Enfoque
limitante. i
120. Probables escenarios de la funcin de auditoria en informtica rea

supeditada Consideraciones de la funcin Ventajas Desventajas Personal de
Apoyo de la Direccin General Responsable: visin negocio Compromiso,
valor agregado Funcin estratgica Apoyo Alta direccin Compromiso
formal de las reas Justifica perfil AI Alta direccin autoriza y da seguimiento
al desempeo informtico Orientan los proyectos Informticos. Funcin de AI
Externa Coordina Alta Direccin Amplia experiencia Evaluar su desempeo
Tcnicas y estandares Nivel profesional+ Independencia/ti ca Exige
resultados Fugas de informacin Mayor costo y tiempo Soluciones no
adecuadas Compromiso Formal
121. Resumen i Las empresas han tenido durante un tiempo relativamente

corto una transicin de duros cambios, como son los de pasar de un enfoque
(operativo) totalmente manual a otro parcial o ntegramente sistematizado.
La toma de decisiones hace que una empresa sea lder o una ms del montn,
es por ello que se necesita de un flujo de informacin mucho ms dinmico y
en lnea; para posibilitar tomar una decisin correcta en el momento adecuado.
122. La manera de tomar una decisin dejo de ser un proceso intuitivo y

basado en la experiencia; para estar basado en una slida base, fruto de la
adecuada informacin al alcance de los niveles estratgicos, medios y
operativo de un negocio. La administracin de toda esta informacin permitir
encaminar adecuadamente la organizacin y llevar a cabo cambios para su
mejora; con el uso de enfoques, herramientas y tcnicas existentes, tales como
reingeniera o gestin del conocimiento. Resumen ii
123. Dado que vivimos ante una comunidad global, la tecnologa informtica
y su adecuado tratamiento es pieza clave que debe de ayudarnos a ser
miembros dinmicos de esta. En este punto el perfil del Auditor de Sistemas
se encargar de mantener las metas del negocio basadas en la tecnologa.
Estas metas son: ser lder, mantenerse en el mercado o crecer a corto o
mediano plazo a travs de la eficiencia de los recursos y la especializacin del
personal con un enfoque claro de servicio al cliente. Resumen iii
124. Las metas relacionadas con la seguridad y control de la infraestructura

tecnolgica de las empresas y los canales de informacin carecen, en su
mayora, de un responsable directo. Qu ocurre con la proteccin de los
recursos una vez realizada cada inversin en informtica? Quin implantar
y revisar los controles de la informacin alimentada, procesada, almacenada y
distribuida por medio de los recursos tecnolgicos? Quin ser el facilitador
entre lo que debe de ser y lo que se esta haciendo en cuanto a controles
preventivos y correctivos que brinden la confianza en la toma de decisiones
que emana de los sistemas de informacin? Quin proporcionar y dar
seguimiento formal a la formulacin, elaboracin, difusin implementacin y
mejora del plan total de informtica? Resumen iv
125. No existe una respuesta clara a esas interrogantes por parte de

muchos gerentes. Las funciones de prevencin y aseguramiento de la
calidad normalmentte se dejan de lado en nuestros pases; a excepcin de
grandes corporaciones o el estado en algunos casos. La gran mayora de las
medianas empresas no tienen un compromiso claro con el control permanente
y la calidad de la empresa. (i.e. dedicando una gerencia a ello, o agrega un
rea de control de calidad) Resumen v
126. Es imperativo formalizar una funcin que revise, evalu y recomiende

acciones de mejora para lograr que cada recurso de informtica contribuya a
conseguir los objetivos de auditoria en cuanto a informacin: Totalidad
Exactitud Oportunidad Actualizacin Oportuna Autorizacin de las
transacciones Seguridad Finalmente, es importante sealar que para
tener una estructura de auditoria informtica eficiente y acorde con las
necesidades del negocio, se debe considerar la organizacin de otras dos reas
que sern su punto de referencia: AUDITORIA E INFORMATICA Resumen vi
127. Auditora Tareas Proyectos de revisin a sistemas de informacin

Apoyo requerido para el uso de la informtica en las funciones de evaluacin
y control Proyectos Otros Informtica Servicios Puestos
Funciones Equipos de Computo Redes y Comunicaciones Aplicaciones y
Desarrollo de Sistemas Proyectos a corto y mediano plazo Resumen vii
128. La auditora informtica no es un concepto reciente sino data desde

tiempos remotos. El auditor informtico no solo puede realizar auditora
informtica sino tambin auditora de apoyo en otras reas, como la financiera,
donde haya flujo de informacin. La funcin de auditor informtico requiere
de competencias especializadas en la funcin informtica, conocimientos de
auditoria y de gestin empresarial. Resumen viii
129. Actividades del proceso de planeacin del negocio y responsabilidades

ComentariosRespons. de seguimiento Responsable de ejecucin Actividad Cada
rea ejecuta los proyectos Alta direccin o gerente de planeacin Gerente o
coordinadores de cada rea o proceso bsico del negocio. Ejecucin del plan de
negocio Se realice al inicio del periodo fiscal y se autoriza formalmente
Accionistas o alta direccin del negocio Director o gerente de planeacin
Presentacin del plan a los accionistas o director general Cada proyecto
justifica su inversin Alta direccin o director de planeacin Gerente o
coordinador de planeacin Elaboracin del plan del negocio FODA, y proyectos
de cada rea del negocio. Alta direccin o director de planeacin Gerente o
coordinador de planeacin Determinacin de las reas de oportunidad para el
negocio.
130. El periodo de elaboracin o actualizacin del plan de negocio depende

de las estrategias y formalidades que tenga este proceso en cada negocio.
Despus de haber sido aprobado de manera formal por los accionistas, se debe
ejecutar con eficiencia y actualizar al menos cada ao; de acuerdo con las
estrategias y metas del negocio y autorizado por la alta direccin.
131. Resumen El Proceso de Planeacin es el pilar de todas las actividades

que se ejecutan en la organizacin Prdidas Irreparables - Decepciones
Planear es una prdida de tiempo y un recipiente de buenos deseos. Si no se
planea el trabajo, es lgico pensar que tampoco se planean las anomalas y
decepciones que dicho trabajo acarrear.
132. Resumen ii Problema, proyectos mediano-largo plazo: Falta de

definicin de funcin, responsabilidad, tiempos y resultados. Dejemos de
depender de la buena suerte No se vive de buenos deseos sino de metas
claras, medibles y factibles. Principal Beneficio: Poder asegurar, con alto
grado de credibilidad, cunto invertir y cunto se obtendr de beneficio; plazos
claros y establecidos.

Auditoria 3

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Auditoria 3

Загружено:

Авторское право:

Доступные форматы

Arianna Amundaray

definicin, objetivo, alcance, etapas,

similitudes y diferencias entre esta y la auditoria financiera

Procesos de la auditoria de sistemas, rastros de la auditoria, o huella de la

Seguridad y calidad de la informacin

Perfil del auditor (es) y recursos

el control interno y la auditoria de sistemas

Estndares de Auditora Informtica y de Seguridad

Una auditora se realiza con base a un patrn o conjunto de directrices o

ISO/IEC 27002 (anteriormente denominada ISO 17799) es un estndar para la

ISO/IEC 27001 es un estndar para la seguridad de la informacin (Information

Especifica los requisitos necesarios para establecer, implantar, mantener y

El auditor informtico ha de velar por la correcta utilizacin de los amplios

Caractersticas del auditor informtico

1) Se deben poseer una mezcla de conocimientos de auditora financiera y de

3) Debe conocer tcnicas de administracin de empresas y de cambio, ya que

Responsabilidades del auditor informtico

2. Anlisis de la administracin de Sistemas de Informacin, desde un punto

3. Anlisis de la integridad, fiabilidad y certeza de la informacin a travs

4. Auditora del riesgo operativo de los circuitos de informacin

5. Anlisis de la administracin de los riesgos de la informacin y de la

6. Verificacin del nivel de continuidad de las operaciones.

7. Anlisis del Estado del Arte tecnolgico de la instalacin revisada y las

8. Diagnstico del grado de cobertura que dan las aplicaciones a las

9. Tambin el auditor informtico es responsable de establecer los objetivos

4. INTRODUCCION.- Tradicionalmente en materia de control interno se

5. La diversificacin de actividades. La eliminacin de ramas de negocio

6. En muchas organizaciones el auditor ha dejado de centrarse en la evaluacin

8. PrincipalesFunciones.- Realizar en los diferentes sistemas (centrales,

9. Evala y comprueba en determinados momentos del tiempo, los controles y

10. La evolucin de ambas funciones ha sido espectacular en la ltima dcada.

11. SistemadeControl Informtico DefinicinyTiposdeControles Internos.- Se

12. Controles de Deteccin.- Cuando fallan los preventivos, para tratar de

13. ImplantacindeunSistema deControlInterno Informtico CriterioBsico.- Los

14. ordenadores de entornos de base que soportan las aplicaciones crticas y

16. trasmitir constantemente a toda la organizacin de Informtica la cultura

17. ControlesInternosparaSistemasde Informacin Agrupados por secciones

19. El establecimiento de controles asegurar que los datos se traten de

20. Seguridad Fsicay Lgica Definir un grupo de seguridad de la informacin,

21. Aspectos ms importantes en el control de datos: Control de entrada

22. ControlesEspecficosdeCiertas Tecnologas Planes adecuados de

23. Revisar los contratos de mantenimiento y el tiempo medio de servicio

Procesos de los sistemas de informacin

Un sistema de informacin, se puede definir como un conjunto de

Su propsito es apoyar y mejorar las operaciones cotidianas de la

La captura de datos puede ser manual o automatizada y, en general, es

En la etapa de proceso, se transforman los datos de entrada del sistema

La informacin til se plasma en una serie de documentos, informes y

La retroalimentacin (feedback) de la informacin obtenida en todo este

Por lo general, las clasificaciones ms extendidas de los sistemas de

informacin suelen agrupar stos en funcin de su propsito. De una

forma muy global

, puede considerarse que existen dos propsitos bsicos

para los sistemas:

Soporte a las actividades operativas:

informacin para actividades ms estructuradas (aplicaciones contables,

ventas, adquisiciones y, en general, lo que

empresarial o tambin sistemas que permiten el manejo de

informacin menos estructurada: aplicaciones ofimticas, programas

tcnicos para funciones de ingeniera, etc.

Soporte a las decisiones y el control de gestin:

orcionarse desde las propias aplicaciones de gestin empresarial

(mediante salidas de informacin existentes) o a travs de aplicaciones