República Bolivariana de Venezuela

Ministerio del Poder Popular para la Defensa

Universidad Nacional Experimental Politécnica

De La Fuerza Armada Bolivariana

Estado Anzoátegui – San Tomé

Asignatura: Auditoria de Sistemas.

METODOS DE AUDITORIA

San Tomé, 31 de Marzo del 2020.

Introducción
Las diferentes organizaciones, cuenta con unidades de Auditoria Interna. Sólo se limitan a
la auditoria y control financiero.

La información, elemento fundamental, requiere de un control a sus diferentes sistemas

informáticos que generan dicha información, implementadas casi desordenadamente;
velando por la correcta utilización de sus amplios recursos tecnológicos, económicos y
humanos.

Cada día es mayor el número de situaciones irregulares. Algunos generan irregularidades

en provecho propio; situación que, ligada a la pérdida de valores morales, éticos y
religiosos, han originado acciones fraudulentas.

Pero lo que es peor, no se controló ó supervisó las diferentes implementaciones de Sistemas

de Información.

2.1 Metodología

2.1.1 Metodología de una auditoría de apoyo

El primer paso para realizar una auditoría de sistemas es la planeación de cómo se va a
ejecutar la auditoria, donde se debe identificar de forma clara las razones por las que se va
a realizar la auditoria, la determinación del objetivo de la misma, el diseño de métodos,
técnicas y procedimientos necesarios para llevarla a cabo y para la solicitud de documentos
que servirán de apoyo para la ejecución, terminando con la elaboración de la
documentación de los planes, programas y presupuestos para llevarla a cabo.

2.1.2 Auditoría de aplicaciones.

Las actuaciones que se llevan a cabo para realizar la Auditoría de Aplicación, siguen la
filosofía de caja negra, es decir, en ningún momento se audita el código fuente de la
aplicación. El motivo de esta metodología de trabajo es la de simular la actuación real de un
atacante malicioso que, a través de las aplicaciones auditadas y sin disponer de su código
fuente, intente realizar un ataque al sistema, bases de datos, etc.…

El proceso de auditar Aplicaciones está planificado en las fases que se presentan a

continuación:

Análisis Funcional

Se realiza un estudio general de la aplicación, adquiriendo una visión global de las

funcionalidades que proporciona con el fin de plantear las actuaciones y
procedimientos óptimos que se llevan a cabo en el Análisis Técnico.

Análisis Técnico

Se realiza un análisis de la aplicación de manera que se pueda decidir a qué tipos de

ataques es sensible.

Diseño de las pruebas

En esta fase se diseñan las pruebas a realizar para explotar aquellas deficiencias de
seguridad que puedan aparecer en la aplicación auditada.
 Desarrollo de las pruebas

Se programarán las pruebas a ejecutar, y se determinará el orden en el que se

llevarán a cabo.

Realización de las pruebas

Durante esta fase se llevan a cabo todas las pruebas sobre la aplicación auditada, se
analizan los resultados obtenidos y en el caso de detectar nuevas vulnerabilidades a
explotar se vuelve a la fase de diseño para intentar explotarlas.

2.2 Actividades de aplicación.

2.2.1 Responsables del Control

Las auditorias no fueron diseñadas para ejercer el control, si no para velar que sea realizado
por quienes tienen la responsabilidad de ejercerlo en razón a sus competencias y en relación
con sus funciones.
Así mismo el control no es una oficina o dependencia; son todos los elementos que hacen
parte de la organización donde cada uno de ellos desempeña un componente de control y
son los dueños de los procesos quienes garantizan su autocontrol, autogestión y auto
regulación. Veamos entonces en términos prácticos cuales son esos controles y en esencia
porque los mismos garantizan el que hacer de las organizaciones:
Las normas - En la medida que la administración realice sus actuaciones conforme a la Ley
y regulaciones, no incurrirán en desviaciones y sanciones que generan su omisión;
La misión – la observancia de la naturaleza de la organización posibilita que todas las
actuaciones estén dirigidas a cumplir sus propósitos;
La planeación - permite controlar y demarcar las actuaciones de la organización para el
cumplimiento de sus objetivos; de una acertada planeación dependerá su seguimiento y
cumplimiento de metas e indicadores;
Los sistemas de información – Las bases de datos de los clientes, así como la certeza
razonable de su contabilidad, presupuesto y demás productos financieros y administrativos
automatizados, permite proyectar futuras actuaciones y tomar las mejores decisiones para la
organización;
Los manuales. – Medio para formalizar y documentar los procesos y procedimientos de la
organización, como una manera de estandarizan con cierta precisión las operación y
responsabilidad de quienes manejan el quehacer organizacional;

Los archivos - Memoria institucional, que propicia las bases y soportes de actuaciones
pasadas para utilizarlas como experiencia en los proyectos futuros;
La alta Dirección – De su estilo a través de políticas y estrategias dependerá el desempeño
de la organización en su conjunto, lo que, aunado a la administración del riesgo, implica la
adopción de controles preventivos que posibilita la mitigación de eventos irregulares y poco
convenientes para la organización.
Quejas y reclamos – manera de advertir y corregir el inconformismo de los clientes frente a
ciertos procesos que requieren atención;
Comunicación - Fuente de direccionamiento sobre instrucciones y operaciones, que en la
medida de ser bien entendida y ejecutada se logra los objetivos que se persigue;
Revisor Fiscal- Su responsabilidad llega hasta el momento en que descubra y reporte las
irregularidades a los organismos competentes; el revisor fiscal no debe tener
responsabilidad ninguna porque sus funciones no van más allá de identificar fallas y sugerir
correctivos, mas no el de tomar decisiones. Si las irregularidades no son informadas a
quien corresponda, el revisor fiscal seguirá siendo responsable por las irregularidades
presentadas y las consecuencias en que estas puedan derivar. Para exonerase de las
responsabilidades por los actos irregulares por el detectados, además de informarlos, debe
conservar la prueba de que ha reportado.
Auditoria interna - La responsabilidad más importante del auditor interno, es la de revisar
constantemente el sistema de control y estar seguro que es adecuado. Como oficina asesora
debe de comunicar a la alta dirección las falencias o desviaciones que se presenten, así
como al comité de auditoria para que se adopten los correctivos necesarios.
Auditoria externa- Una responsabilidad muy importante de un auditor es denunciar el
fraude que vea o que sospeche. El dictamen u opinión independiente tiene trascendencia a
los terceros, pues da plena validez a la información generada por el sistema ya que se
produce bajo la figura de la Fe Pública, que obliga a los mismos a tener plena credibilidad
en la información examinada.
Comité de auditoría – Tiene como principal función recomendar el nombramiento o
separación del auditor interno, así como revisar y aprobar el plan de auditoria que se espera
desarrollar. Adelantara una labor permanente de observación sobre la labor de la auditoria y
frente a los informes financieros y de gestión.

2.2.2 Herramientas y Técnica de control

Son las herramientas que auxilia al administrador para llevar a cabo el proceso de control.
Las técnicas de planeación son, a su vez, de control y, en esencia, los controles no son más
que sistemas de información.
Técnicas de control:
Sistemas de información:
- Contabilidad
- Auditoria: Financiera y Administrativa
-Presupuestos
-Informes
-Formas
-Archivos memorias
Graficas diagramas
-proceso, procedimientos, Gantt, etc.
Estudio de métodos
Estudio de métodos
-Tiempos y movimientos estándares
Métodos cuantitativos
-Redes
-Modelos matemáticos
-Investigaciones de operaciones
-Estadística
-Cálculos probabilísticos
-Programación dinámica
Reportes e informes:
Existen múltiples tipos de reportaje e informes; básicamente pueden clasificarse en:
a) Informes de control que se utiliza para el control directo de las operaciones.
b) Reportes de información que presentan datos más extensos a fin de que la gerencia
pueda formular planes.
Al diseñar, elaborar y presentar un informe, es conveniente tomar en cuenta las siguientes
consideraciones:
1.-Unidad del tema. Cada informe debe referirse a un solo tema a fin de evitar confusiones.
2.- Concentración sobre las excepciones. Debe revelar indicadores importantes, puntos
débiles y fuertes más que situaciones comunes.
3.- Claridad y concisión. Los informes muy largos, detallados y genéricos, originan
confusión y desatención por parte de quien los recibe.
Informes de las operaciones:
Informes de control: Usados para el control directo de las operaciones
Reportes de información. Utilizados para planeación y determinación de normas.
Informes sobre la apreciación de renglones:
Informes de actividad individual. Coincidiendo el renglón y la responsabilidad.
Informes de actividad conjunta: Renglones bajo responsabilidad conjunta.
Informes estáticos. Limitaos a un análisis de la fortaleza financiera y de la estructura con la
fecha dad.
Informes dinámicos:
Informes de control financiero. Miden la condición financiera real contra la condición
planeada.
Informes de cambio y de condición financiera. Resumen y analizan cambios en la
condición financiera durante un periodo dado.
4.-Complementarse con presentaciones gráficas, audio visuales y verbales.
5.- Equilibrio entre la uniformidad y la variedad. La empresa debe contar con una estructura
fundamental de informes, mismos que no deben cambiarse constantemente
6.- Frecuencia de los reportes. El hecho de que para controlar sea necesario contar con
información oportuna y periódica.
7.-Evaluacion de la información. Es necesario evaluar frecuentemente la utilidad que
reditúa la información.
FORMAS
Son elementos indispensables para la transmisión y registro de datos relativos las
actividades que se desarrollan en cada departamento; existen multitud de formas que se
utilizan e las empresas que van desde una tarjeta de control de asistencia hasta una póliza
de contabilidad.
Facilitan la transmisión de información a la vez que sirven para registrar adecuadamente las
operaciones. Al diseñar las formas es conveniente observar los siguientes lineamentos:
a) Aprovechamiento adecuado de los espacios
b) Claridad y concisión
c) Uniformidad de diseño
d) Diseñar un diagrama de control de formas
e) Diseñar un catálogo de formas
f) Diseñar solo las necesarias (evitar papeleo excesivo)
g) Asegurarse de que los asuntos y las actividades importantes se registren
adecuadamente
h) Que el costo de su implantación se justifique
Control interno
Se refiere a la aplicación de los principios de control a todo el funcionamiento de la
organización; sus propósitos básicos son:
a) La obtención de información
b) La protección de los activos de la empresa
c) La promoción de la eficiencia en la operación

Conclusión
Los requerimientos del usuario no son tomados en cuenta o no son entendidos
adecuadamente para plasmarlos en el diseño.
Estos sistemas generalmente no son controlados o auditados, por ello se desarrollaron
aplicaciones que solo la persona que la diseñó sabe las verdaderas potencialidades o
vulnerabilidades de esa “caja negra” considerada intocable.
El método de auditoria y control, es aplicable los sistemas de información de cualquier
organización, en base a los riesgos detectados. A partir de esta evaluación, se sugiere la
adopción de procedimientos adecuados para minimizar posibles errores. Hoy en día es
recomendable, implementar carreras y/o menciones como: Auditoria de Sistemas de
Información y Auditoria Informática Forense