LA AUDITORÍA DE SI/TI

Nicolás Gimenez
email: ngimenez114@gmail.com
Pablo Nicolas Lazzos
email: nicolaslazzos14@gmail.com
Lucas Morardo
email: lmorardo54@gmail.com
Agustin Yunes
email: agustinyunes@gmail.com

Universidad Tecnológica Nacional - Facultad Regional Córdoba

Ingeniería en Sistemas de Información
Catedra de Auditoria de SI/TI - Curso 5K1

RESUMEN: ​En el presente informe tiene información y contribuyen a tomar

por objetivo lograr que el lector tenga decisiones en las empresas.
conocimiento sobre la auditoría de
Las Tecnologías de la Información
sistemas. Para comenzar se realizará una
están inmersas en la gestión integral de la
contextualización histórica de cómo surgió
empresa. En consecuencia, las
esta actividad, luego en base a las
organizaciones informáticas forman parte
investigaciones realizadas, se brinda un
de lo que se ha denominado la gestión de
concepto, los objetivos y las razones por
la empresa. Cabe aclarar que la
las cuales es importante llevar a cabo esta
Informática no gestiona propiamente la
actividad. Además, se muestran los pasos
empresa, ayuda a la toma de decisiones,
a seguir para poder realizar una auditoría
pero no decide por sí misma. Por ende,
en sistemas de información y se
debido a su importancia en el
mencionan y describen brevemente los
funcionamiento de una empresa, existe la
diferentes tipos de auditoria informatica
auditoria Informática. [1]
PALABRAS CLAVE: auditoría, auditor,
En la actualidad los sistemas de
informática, sistemas, sistemas de
información se caracterizan por ser cada
información.
vez más complejos, integrados y por hacer
1. INTRODUCCIÓN un uso intensivo de las tecnologías de la
información y las comunicaciones. Esto ha
Los Sistemas Informáticos se han provocado un aumento de los riesgos
constituido en la columna vertebral de toda relacionados con la calidad y la seguridad
organización. Con estos sistemas se de la información .
pueden realizar desde operaciones muy
sencillas, hasta operaciones que procesan

1
 La auditoría de sistemas ha pasado
a tener un rol fundamental para ayudar a
garantizar los atributos básicos que debe
tener la información como la efectividad,
la eficiencia, la confiabilidad, la
integridad, la disponibilidad y el
cumplimiento.
2. CONTEXTO HISTÓRICO
La Auditoría de los Sistemas de
Información surgió a través de la toma de
conciencia de las empresas, sobre la
información que adquieren, conservan,
procesan y emiten.
A finales del siglo XX, los sistemas
informáticos se han constituido en las
herramientas más poderosas para
materializar uno de los conceptos más
vitales y necesarios para cualquier
organización empresarial, los sistemas de
información de la empresa. En
consecuencia, los sistemas de información
en las organizaciones forman parte de lo
que se ha denominado el "management" o
gestión de la empresa. Por lo tanto, debido
a su importancia en el funcionamiento de
una empresa, existe la auditoría
informática o de sistemas.
3. ¿QUE ES LA AUDITORIA DE
SISTEMAS?
La auditoría de sistemas supone la
revisión y evaluación de los controles y
sistemas de informática, así como su
correcta utilización, eficiencia y seguridad
en la empresa, la cual procesa la
información.
Gracias a la auditoría de sistemas
como alternativa de control, seguimiento y
revisión, el proceso informático y las
2
tecnologías se emplean de manera más
eficiente y segura, garantizando una
adecuada toma de decisiones.
En definitiva, la auditoría de
sistemas consiste en:
■ La verificación de controles en el
procesamiento de la información e
instalación de sistemas, con el
objetivo de evaluar su efectividad y
presentar también alguna
recomendación y consejo.
■ Verificar y juzgar de manera
objetiva la información.
■ Examen y evaluación de los
procesos en cuanto a
informatización y datos. Además,
se evalúa la cantidad de recursos
invertidos, la rentabilidad de cada
proceso y su eficacia y eficiencia.
El análisis y evaluación realizados
a través de la auditoría de sistemas debe
ser objetivo, crítico, sistemático e
imparcial. El informe de auditoría final
deberá ser un claro ejemplo de la realidad
de la empresa en cuanto a los procesos y la
informatización se refiere, para tomar
mejores decisiones y mejorar en el
negocio. [2]
4. OBJETIVOS DE LA
AUDITORÍA DE SISTEMAS
La presencia de la tecnología cada
vez en más ámbitos empresariales, hace
necesario un sistema de control,
seguimiento y análisis, tal como la
auditoría de sistemas. En primer lugar, se
precisa garantizar la seguridad a la hora de
tratar los datos, dotándolos de privacidad y
buen uso. En segundo lugar, para hacer del
sistema informático, un proceso mucho
más eficiente y rentable, permitiendo
detectar errores y tomando decisiones de
manera inmediata.
Así, podemos decir que los
objetivos de la auditoría de sistemas son:
■ Mejorar la relación coste-beneficio
de los sistemas de información.
■ Incrementar la satisfacción y
seguridad de los usuarios de dichos
sistemas informatizados.
■ Garantizar la confidencialidad e
integridad a través de sistemas de
seguridad y control profesionales.
■ Minimizar la existencia de riesgos,
tales como virus o hackers.
■ Optimizar y agilizar la toma de
decisiones.
■ Educar sobre el control de los
sistemas de información, puesto
que se trata de un sector muy
cambiante y relativamente nuevo,
por lo que es preciso educar a los
usuarios de estos procesos
informatizados.
■ Brindar seguridad a los datos,
hardware, software e instalaciones
de la organización.
Por lo tanto, la auditoría de
sistemas es un modo de control y
evaluación no sólo de los equipos
informáticos, sino también del control de
los sistemas de entrada a dichos equipos,
por ejemplo en claves y códigos de acceso,
archivos y seguridad de los mismos, etc.
3
Esta actividad es fundamental para
garantizar el desempeño y seguridad de los
sistemas informáticos de una empresa, que
sean confiables a la hora de usarlos y
garanticen la máxima privacidad posible.
[2]
5. RAZONES PARA LA
EXISTENCIA DE LA AUDITORÍA
DE SI/TI
A continuación se enumeran
razones por las cuales se volvio muy
importante en la actualidad la actividad de
auditoría en sistemas de información.
Algunas de ellas son:
■ La información es un recurso clave
en la empresa para planear el
futuro, controlar el presente y
evaluar el pasado.
■ Las operaciones de la empresa
dependen cada vez más de la
sistematización.
■ Los riesgos tienden a aumentar,
debido a:
○ Pérdida de información
○ Pérdida de activos.
○ Pérdida de servicios/ventas.
■ La sistematización representa un
costo significativo para la empresa
en cuanto a: hardware, software y
personal.
■ El permanente avance tecnológico.
[3]
6. REQUERIMIENTOS DEL ● Verificar que las aplicaciones se
AUDITOR DE SISTEMAS desarrollan y mantienen según las
normas.
La persona o el equipo encargado
de llevar a cabo la auditoría debe tener ● Revisar codificación de programas.
conocimiento y formación en:
● Revisar la documentación
● Gestión de proyectos y ciclo de (aplicaciones, programas).
vida de un proyecto de desarrollo
● Evaluar riesgos e informar.
● Gestión del Departamento de
● Estar al día en cuanto a avances y
Sistemas
metodologías.
● Análisis de Riesgo en un entorno
6.2. QUE NO DEBEN HACER LOS
informático
AUDITORES
● Sistemas Operativos
● Obligar o amenazar.
● Telecomunicaciones
● Actuar en beneficio propio.
● Gestión de Bases de Datos
● Asumir encargos sin estar
● Redes Locales preparados.

● Seguridad Física ● Basarse en suposiciones.

● Entendimiento global e integral del ● Hacer funciones de análisis o de

negocio y la empresa, puntos programación.
claves, áreas críticas, entorno
● Codificar.
económico, social y político.
● Garantizar que no se realizan
● Conocimientos de los recursos de
fraudes, delitos, errores u
computación de la empresa
omisiones.
● Entendimiento de los objetivos de
● Dejar que sus conocimientos
auditoría
queden obsoletos. (Por el gran
6.1. QUE DEBEN HACER LOS avance de la tecnología)
AUDITORES
7. PLANEACIÓN DE LA
● Ser independientes y objetivos. AUDITORÍA EN INFORMÁTICA

● Ser competentes en la materia. La información que se presenta a

continuación, desde la planeación de la
● Basar sus diagnósticos en
auditoría hasta la presentación del informe
verificaciones.
final, ha sido extraída del documento
“Auditoría de Sistemas Informáticos”, de
los autores Quintanilla Romero, Marco

4
Antonio y De La Torre Lascano, Carlos
Mauricio. [1]
7.1. IDENTIFICAR EL ORIGEN DE
LA AUDITORÍA
Lo primero que se debe identificar,
es el motivo por el cual nace la necesidad
de una auditoría, por ello en este punto es
necesario realizar las pregunta: ¿qué?
¿cómo? y ¿para qué? se requiere evaluar
algún aspecto de la empresa. Es muy
importante identificar el origen, porque
con ello se sabe que existirá el
comprometimiento para la entrega de la
información.
Dentro de este punto se puede
incluir, la solicitud expresa interna o
externa, emergencia o condiciones
especiales, riesgos y contingencias
informáticas, evaluación del plan de
contingencia, acciones de mejora de
auditoría anteriores o como parte del
programa integral de auditoría.
Con la identificación se puede
saber de antemano cuáles serán los
aspectos primordiales en las evaluación, es
decir cuáles serán los asuntos más
relevantes sobre los cuales se deberá
trabajar.
7.2. REALIZAR LA VISITA
PRELIMINAR AL ÁREA QUE SERÁ
EVALUADA
Es recomendable que el auditor
visite de manera preliminar el área de
informática que será auditada, después
de conocer la petición de auditoría, y
antes de empezar formalmente el
examen.
5
Para ello el auditor debe, realizar
una visita preliminar, en la que debe
conocer y tener un contacto inicial con los
funcionarios y empleados del área, y con
ello identificar la problemática de sistema,
establecer objetivos y calcular los recursos
y personas necesarias que integrarán el
equipo auditor.
7.3. ESTABLECER LOS OBJETIVOS
DE LA AUDITORÍA
Los objetivos deben representar
condiciones futuras deseadas que incluyan
propósitos, metas, fines y plazos, a ser
cumplidas por las personas y
organizaciones.
El objetivo general debe enfocarse
en todos los aspectos que se pretenden
evaluar. Los objetivos particulares son
fines individuales que se pretenden
alcanzar en ​el desarrollo de la auditoría, y
se refieren a un área específica.
7.4. DETERMINAR PUNTOS A
EVALUAR
El siguiente paso es determinar los
puntos concretos a evaluar, y para ello se
debe considerar, la gestión administrativa
e informática del centro de datos, el
cumplimiento de las funciones del
personal informativo y usuarios de los
sistemas, el análisis, diseño y desarrollo de
los sistemas, la operación, capacitación y
adiestramiento del personal, la protección
y niveles de acceso a las bases de datos,
protección y respaldo de archivos,
seguridad y protección de los usuarios.
7.5 ELABORAR PLANES,
PROGRAMAS Y PRESUPUESTOS
PARA REALIZAR LA AUDITORÍA
 Elaborar un documento con los evaluado, el apoyo de los sistemas y
planes de trabajo, que incluya los equipos técnicos e informáticos, apoyos
eventos que servirán de guía, la materiales y administrativos, tales como
estimación de los recursos humanos, mobiliario, equipos, materiales y útiles de
materiales e informáticos que serán oficina.
utilizados, los tiempos estimados para las
Determinados los recursos
actividades, los auditores responsables y
materiales, se debe determinar los
participantes en dichas actividades y
recursos económicos sobre todo en lo
demás especificaciones del programa de
que se refiere a movilización, viáticos,
trabajo.
pasajes y otros gastos menores de cada
7.6 IDENTIFICAR Y integrante del equipo auditor.
SELECCIONAR LOS MÉTODOS,
HERRAMIENTAS, 8. EJECUCIÓN DE LA
INSTRUMENTOS Y AUDITORÍA
PROCEDIMIENTOS NECESARIOS
Una vez realizada la planeación, la
PARA LA AUDITORÍA siguiente etapa es la ejecución, la misma
Se debe identificar los documentos se desarrollará en función a las
y medios que se deberán utilizar para la características y requerimientos concretos
revisión, los mismo estarán de acuerdo con de la primera etapa.
la planificación realizada; para ello se debe
A continuación se describen las
establecer una guía de ponderación de los
actividades concretas de esta etapa:
puntos a ser evaluados, definir las áreas y
puntos de sistemas que serán evaluados, 8.1. REALIZAR LAS ACCIONES
elaborar los documentos necesarios para la PROGRAMADAS PARA LA
recopilación de información, así como AUDITORÍA
desarrollar cuestionarios y guías de
Cada integrante del equipo
entrevistas, y modelos de inventarios.
auditor debe realizar las actividades
7.7 ASIGNAR LOS RECURSOS Y asignadas, y en los plazos establecidos y la
SISTEMAS COMPUTACIONALES utilización de recursos solicitados.
PARA LA AUDITORÍA
8.2. APLICAR INSTRUMENTOS Y
Los recursos de cualquier índole HERRAMIENTAS PLANIFICADAS
son limitados, por tal razón, una vez que se
Conforme a la guía, se deben
analizaron los puntos a evaluar, se deben
utilizar los instrumentos y herramientas
identificar los recursos que se necesitarán
elegidas, ya sean recopilación,
para realizar la evaluación, siempre en
observación, entrevistas, encuestas, u
concordancia con lo planeado.
otras.
Para ello se debe identificar el
personal que integrará el equipo de
auditores, el personal del área que será

6
8.3. IDENTIFICAR Y ELABORAR
LAS DESVIACIONES
ENCONTRADAS
Realizadas las actividades
planificadas e identificados los
instrumentos de recopilación, se deben
buscar las posibles desviaciones, y se
procede a elaborar los documentos, en los
cuales se anotan las situaciones
encontradas, las causas que las originaron
y consejos sobre posibles soluciones.
8.4. ELABORAR EL DICTAMEN
PRELIMINAR Y PRESENTARLO
Una vez que el auditor determinó
la desviación de la evaluación, debe
elaborar un documento que contenga a
todas las desviaciones; una vez terminadas
se debe comunicar a las personas
involucradas, a fin de encontrar de manera
conjunta la mejor solución
8.5. INTEGRAR LOS PAPELES DE
TRABAJO
El auditor debe conservar los
documentos en un solo lugar llamado
legajo de papeles, en los que se ha
aplicado cada uno de los instrumentos y
técnicas planificas.
9. INFORME DE LA AUDITORÍA
El último paso de la auditoría, es la
emisión del informe, en la cual se refleja el
resultado final de la auditoría, para ello se
deben realizar las siguientes actividades:
9.1. ANÁLISIS DE LA
INFORMACIÓN Y ELABORACIÓN
DEL DICTAMEN FINAL
7
La actividad paralela a las
desviaciones, es el análisis de los papeles
de trabajo y el borrador de las situaciones
detectadas, y notificadas, a partir de lo cual
se debe elaborar las modificaciones
pertinentes.
9.2. INFORME FINAL
El auditor debe elaborar el informe
de auditoría y complementarlo con su
opinión final, es decir su opinión, antes de
presentarlo a los directivos del área de
sistemas, para que conozcan la situación
actual del área.
9.3. PRESENTACIÓN DEL INFORME
El último paso, es la presentación
formal del dictamen de la auditoría, al más
alto directivo de la empresa, con el
propósito de evaluar los resultados, el
informe de auditoría debe contener, la
carta de presentación, el informe de
auditoría, el informe de situaciones
relevantes y los anexos y notas
adicionales.
10. TIPOS DE AUDITORIA DE
SISTEMAS DE INFORMACIÓN
La auditoría de sistemas tiene una
amplia gama de áreas en la cual
desempeñarse. Algunos de los tipos de
auditoria informática mas comunes son:
■ Auditoría Informática de
Explotación: consiste en auditar
las secciones que componen la
explotación informática y sus
interrelaciones. La Explotación
Informática se ocupa de producir
resultados informáticas de todo
tipo: listados impresos, archivos
 magnéticos para otros
informáticos, órdenes
automatizadas para lanzar o
modificar procesos industriales,
etc.
■ Auditoría Informática de
Sistemas: se encarga de analizar
las actividades propias de lo que se
conoce como técnicas del sistema.
Algunos de los grupos a revisar
son:
● Sistemas operativos.
● Software básico.
● Administración de base de
datos.
● Mantenimiento del sistema.
■ Auditoría Informática de
Comunicaciones: en la actualidad,
debido a la creciente importancia
de las Comunicaciones se ha
determinado que se estudian
separadamente del ámbito de
técnica de sistemas. ​Se ha
producido un cambio conceptual
muy profundo en el tratamiento de
las comunicaciones informáticas y
en la construcción de los modernos
sistemas de información, basados
en redes de comunicaciones muy
sofisticadas. Por lo tanto, en este
ámbito el auditor informático
tropieza con la dificultad técnica
del entorno, pues ha de analizar
situaciones y hechos alejados entre
sí. En este contexto el auditor tiene
una tarea muy compleja, debido a
que se requiere un equipo de
especialistas en comunicaciones y
8
en redes locales. Ya que en
entornos geográficos reducidos,
algunas empresas optan por el uso
interno de redes locales, diseñadas
y cableadas con recursos propios.
■ Auditoría Informática de
Desarrollo de Proyectos: el
desarrollo de un proyecto es la
actividad que abarca todas las fases
que se deben seguir desde que
aparece la necesidad de disponer de
un determinado sistema de
información hasta que está
construido e implantado. ​Este tipo
de auditoría busca verificar la
existencia y aplicación de
procedimientos de control
adecuados que permitan garantizar
que el desarrollo se ha llevado a
cabo según los principios de la
ingeniería del software:
● Obtener software
económico y que sea fiable.
● Que cumpla con los
requisitos previamente
establecidos.
● Que funcione de manera
eficiente.
Si no se cumplen estos
principios la auditoría se encargará
de determinar las deficiencias
existentes en este sentido
■ Auditoría Informática de
Seguridad: ​la seguridad en la
informática abarca los conceptos
de seguridad física y seguridad
lógica.
 La Seguridad física se refiere a la
protección del Hardware y de los
soportes de datos, así como los
edificios e instalaciones que los
albergan. Contempla las
situaciones de incendios, sabotajes,
robos, catástrofes naturales, etc.
La seguridad lógica se
refiere a la seguridad de uso del
software, a la protección de los
datos, procesos y programas, así
como la del acceso de los usuarios
a la información.
Este tipo de auditoría debe
evaluar si los modelos de seguridad
son acordes a la organización.
[4]
11. CONCLUSIÓN
En los tiempos que corren, la
auditoría de sistemas de información se ha
convertido en una actividad muy
importante, desafortunadamente muchas
de las empresas visualizan este proceso
como un requisito obligatorio que les hace
perder tiempo y dinero, cuando en realidad
este proceso ayuda a las organizaciones a
mantenerse en el camino hacia sus
objetivos. La información que un sistema
brinda es un recurso clave en la empresa
para planear el futuro, controlar el presente
y evaluar el pasado.
Debido a la gran cantidad de
información que se maneja en la
actualidad, es prácticamente imposible
gerenciar una organización sin un sistema
que permita gestionar y controlar dicha
información. Por lo tanto, se puede
concluir en que una empresa, si quiere ser
9
exitosa, es indispensable que cuente con
un sistema de información. Pero para que
el sistema proporcione los resultados que
esperados, debería ser eficiente y
funcionar de manera correcta. Además,
debe ser seguro, manteniendo la integridad
de los datos, evitando que personas que no
deben, tengan acceso a cierta información,
ya que esta última, puede ser muy delicada
y en las manos equivocadas, podría causar
grandes impactos negativos.
Por todo lo expresado
anteriormente y a lo largo del presente
reporte, se puede decir que la de auditoría
sistemas de información es de gran
importancia y debe contar con la atención
necesaria, sin ser pasada por alto como una
actividad secundaria. Pero no todo termina
con realizar la auditoría, sino que es
indispensable que al finalizar la misma, los
resultados obtenidos sean tenidos en
cuenta para realizar las correcciones
necesarias.
Se cree muy conveniente realizar
auditorías periódicamente para corroborar
que todo funcione correctamente y en caso
de haber algún problema detectarlo a
tiempo
12. REFERENCIAS
[1] Quintanilla Romero, Marco Antonio, De La
Torre Lascano, Carlos Mauricio,
“Auditoria de Sistemas Informáticos”,​
MQR, 22/01/2012. [En Línea]. Disponible
en:
http://www.dspace.uce.edu.ec/handle/2500
0/14176
[2] emprendepyme.net, “Tipos de Auditoría”,
[En Línea]. Disponible:
https://www.emprendepyme.net/auditoria-d
e-sistemas.html
[3] “Auditoria de Sistemas de Información”. https://es.scribd.com/doc/18646089/TIPOS
[En Línea]. Disponible en: -Y-CLASES-DE-AUDITORIAS-INFORM
http://posgrado.pbworks.com/f/Auditor%C ATICAS
3%ADas.pdf

[4] Tipos y Clases de Auditoría Informática,

[En Línea]. Disponible en:

10