METODOLOGIA PARA REALIZAR

AUDITORIAS DE SISTEMAS
COMPUTACIONALES
Planeación

Ejecución

Dictamen
METODOLOGIA PARA REALIZAR AUDITORIAS DE
SISTEMAS COMPUTACIONALES

Llevar a cabo una auditoria de sistemas computacionales

requiere una serie ordenada de acciones y
procedimientos específicos los cuales deberán ser
diseñados previamente de manera secuencial ,
cronológica y ordenada de acuerdo a las etapas, eventos
y actividades que se requieran para su ejecución, mismos
que serán establecidos conforme a las necesidades
especiales de la institución.
METODOLOGIA PARA REALIZAR AUDITORIAS DE
SISTEMAS COMPUTACIONALES

Etapas :
 Etapa 1 : Planeación.
 Etapa 2 : Ejecución.
 Etapa 3 : Dictamen.
Etapa 1: Planeación de la auditoria
de sistemas computacionales
 Identificar el origen de la auditoria.
 Realizar una vista preliminar al área que será evaluada.
 Establecer los objetivos de la auditoria.
 Determinar los puntos que serán evaluados en la auditoria.
 Elaborar planes, programas y presupuestos para realizar la
auditoria.
 Identificar y seleccionar los métodos, procedimientos,
instrumentos y herramientas necesarios para la auditoria.
 Asignar los recursos y sistemas computacionales para auditoria.
IDENTIFICAR EL ORIGEN DE LA AUDITORIA
1. Por solicitud expresa de procedencia interna.
• A petición de accionistas, socios y dueños.
• Por orden de la dirección general.
2. Por solicitud expresa de procedencia externa.
• Por mandato de autoridades judiciales.
• Por ordenamiento de las autoridades fiscales.
3. Como consecuencia de emergencias y condiciones especiales.
• De incidencia interna.
• De incidencia externa.
4. Por riesgos y contingencias informáticas.
• Riesgos y contingencias de personal informáticos.
• Riesgos y contingencias de software.
• Riesgos y contingencias en las bases de datos.
DETERMINAR LOS PUNTOS QUE SERAN
EVALUADOS EN LA AUDITORIA

1. Evaluación de la seguridad de los sistemas de

información.
2. Evaluación de la información, documentación y
registros de los sistemas.
IDENTIFICAR Y SELECCIONAR LOS METODOS,
HERRAMIENTAS, INSTRUMENTOS Y PROCEDIMIENTOS
NECESARIOS PARA LA AUDITORIA
1. Definir las áreas y puntos de sistemas que serán auditados.
2. Elaborar los elementos necesarios para la auditoria.
• Diseñar los instrumentos de recopilación de información para la
auditoria.
• Diseñar las guías para realizar entrevistas.
• Diseñar los métodos e instrumentos de muestreo.
3. Diseñar los sistemas, programas y métodos de pruebas para la auditoria.
• Determinar los puntos de interés, programas, bases de datos, archivos y
sistemas que serán evaluados mediante programas y pruebas de
computo.
ETAPA 1
PLANEACION DE LA AUDITORIA DE SISTEMAS
COMPUTACIONALES

Identificar el origen de la auditoria

El primer paso formal para iniciar la planeación
de una auditoria en el área de sistemas es
identificar el origen de la mismas, con el
objetivo de saber por que surge la necesidad
de realizar una auditoria.
1. POSIBLES CAUSAS QUE DAN ORIGEN A UNA
AUDITORIA EN SISTEMAS

• Por solicitud expresa de procedencia interna.

• Por solicitud expresa de procedencia externa.
• Como consecuencia de emergencias y condiciones
especiales.
• Por riesgos y contingencias informáticas.
• Como resultado de los planes de contingencia.
• Por resultados obtenidos de otras auditorias.
• Como parte del programa integral de auditoria.
2. REALIZAR UNA VISTA PRELIMINAR
Aspectos que se deben contemplar en una visita
preliminar:
• Visita preliminar de arranque.
• Contacto inicial con funcionarios y empleados del área.
• Identificar preliminar de la problemática de sistemas.
• Prever los objetivos iniciales de la auditoria.
• Calcular los recursos y personas necesarias para la
auditoria.
 PLANEACION DE LA AUDITORIA DE SISTEMAS
COMPUTACIONALES
1. Realizar una visita preliminar al área que será evaluada
• Identificación preliminar de la problemática de sistemas
Prever las posibles dificultades que hay en los sistemas de la empresa, la cual nos servirá
para tener un panorama anticipado del área a auditar.
• Prever los objetivos de la auditoria
Con la visita preliminar nos ayudara a seleccionar los objetivos de la auditoria de sistemas.
• Calcular los recursos y personas necesarias para la auditoria.
A través de la observación, entrevistas y platicas formales, se pueden medir con mayor
exactitud los recursos necesarios que se emplearan, tales como recurso humano, informático,
material técnico, económico, etc.
2. Establecer los objetivos de la auditoria
El objetivo representa las condiciones futuras que pretenden alcanzar los individuos, grupos u
organizaciones, lo cual es sumamente aplicable para el caso de la auditoria de sistemas, ya
que al establecer el objetivo de una auditoria se busca anticipar lo que se desea alcanzar.
PLANEACION DE LA AUDITORIA DE SISTEMAS
COMPUTACIONALES
3. De acuerdo a su ambiente de aplicación, los objetivos de la auditoria de sistemas
se pueden complementar así:
• Objetivo general
Es el fin global o integral que se pretende alcanzar con el desarrollo de la auditoria.
• Objetivos particulares
Son los fines individuales que se pretenden alcanzar con el desarrollo de la
auditoria.
• Objetivos específicos de la auditoria de sistemas computacionales
Es determinar en forma detallada, los fines que se pretenden alcanzar con la
auditoria de sistemas, señalando concretamente las áreas a evaluar y,
específicamente, los sistemas, componentes o elementos concretos que deben ser
evaluados.
Ejemplo: Evaluar la gestión administrativa del área de informática.
PLANEACION DE LA AUDITORIA DE SISTEMAS
COMPUTACIONALES
4. Determinar los puntos que serán evaluados en la auditoria
Los puntos que serán evaluados, se determinaran de acuerdo al origen de la
auditoria y los objetivos que se pretenden alcanzar.
a. Evaluación de las funciones y actividades del personal del área de
sistemas.
b. Evaluación de las áreas y unidades administrativas del centro de
computo.
c. Evaluación de la seguridad de los sistemas de información.
d. Evaluación de la información, documentación y registros de los sistemas.
e. Evaluación de los sistemas, equipos, instalaciones y componentes.
PLANEACION DE LA AUDITORIA DE SISTEMAS
COMPUTACIONALES

4.1 Elegir los tipos de auditoria que serán utilizados

Después de determinar los puntos a evaluar, es necesario que se
determine los tipos de auditoria ósea las herramientas,
instrumentos y los métodos de evaluación que se utilizara para
dictaminar acerca del funcionamiento del área de sistemas.
4.2 Determinar los recursos que serán utilizados en la auditoria
a. Personal para la auditoria de sistemas.
b. Personal del área que será evaluada.
c. Apoyo de los sistemas y equipos técnicos e informáticos.
PLANEACION DE LA AUDITORIA DE SISTEMAS
COMPUTACIONALES
5. Elaborar planes, presupuestos y programas
Plan de auditoria de sistemas
• Índice de contenido: es conveniente que en estos documentos siempre
se incluya una sección en donde se señalen todos los puntos en que se
dividió el plan de auditoria.
• Definición de objetivos: es la definición formal, por escrito, de los
objetivos que se pretenden alcanzar con la auditoria.
• Delimitación y estrategia para el desarrollo de auditoria: Contiene las
estrategias para las diferentes partes de auditoria de sistemas.
• Planes de auditoria: En ellos se detalla cada una de las acciones para
la evaluación, estos se presentan de acuerdo a las preferencias y
necesidades especificas de auditoria de la empresa.
CONTENIDO DE LOS PLANES PARA REALIZAR LA AUDITORIA
Este documento debe contener detalladamente las fases, etapas, actividades, recursos y
tiempo para realizar la auditoria.
Es evidente que el auditor determinara su contenido mínimo en base a sus conocimientos y
experiencias, cuando menos debe de considerar los siguientes aspectos:
 Definir los objetivos finales de la auditoria.
 Establecer estrategias para realizar la auditoria.
 Diseñar las etapas, eventos y tareas en que se dividirá la auditoria.
 Calcular la duración de las tareas y eventos para satisfacer los objetivos de la auditoria.
 Confeccionar los planes concretos para la auditoria.
 Elaborar el documento formal de los programas de auditoria (a través de un cronograma de
actividades).
 Definir las tareas y eventos que se llevaran a cabo.
 Definir las actividades y tareas.
 Elaborar los programas de actividades para realizar la auditoria.
 Caratula de Identificación del plan de Auditoria

FECHA HOJA
26 3 2019 26 de 29
A/S

Auditoria de Sistemas

Empresa : USAC Periodo: 01 al 16 de marzo de 2019

Auditor : William Morales Área Auditada: Dpto. de Informática

6. IDENTIFICAR Y SELECCIONAR LOS METODOS,
HERRAMIENTAS, INSTRUMENTOS Y PROCEDIMIENTOS
NECESARIOS PARA LA AUDITORIA

• Elaborar los documentos necesarios para la auditoria.

• Determinar herramientas, métodos y procedimientos
para la auditoria de sistemas.
• Diseñar los sistemas, programas y métodos de pruebas
para la auditoria.
7. ASIGNAR LOS RECURSOS Y SISTEMAS
COMPUTACIONALES PARA LA AUDITORIA
 7.1 Asignar los recursos humanos para la realización de la auditoria.

 7.2 Asignar los recursos informáticos y tecnológicos para la realización

de la auditoria.

 7.3 Asignar los recursos materiales y de consumo para la realización de

la auditoria.

 7.4 Asignar los demás recursos para la realización de la auditoria.

ETAPA 2 : EJECUCION DE LA AUDITORIA DE
SISTEMAS COMPUTACIONALES
ETAPA 2 : EJECUCION DE LA AUDITORIA DE
SISTEMAS COMPUTACIONALES

• Realizar las acciones programadas para la auditoria.

• Aplicar los instrumentos y herramientas para la auditoria.
• Identificar y elaborar los documentos de desviaciones
encontradas.
• Elaborar el dictamen preliminar y presentarlo a
discusión.
• Integrar el legajo de papeles de trabajo.
ETAPA 3: DICTAMEN DE LA AUDITORIA DE
SISTEMAS COMPUTACIONALES

• La información y elaborar un informe de situaciones

detectadas.
• Elaborar el dictamen final.
• Presentar el informe de auditoria.
 CASO PRACTICO SOBRE LA
METODOLOGIA DE UNA AUDITORIA
EN SISTEMAS
PRIMERA ETAPA

El día 1 de febrero de 2004, la Junta Directiva de

la Empresa S-3 “101”, S.A., solicita a la firma de
Auditores Externos Robledo, Soto y Asociados
para que realice una Auditoria en Informática.
VISITA PRELIMINAR

El día 5 de febrero, el socio Juan Soto encargado de la

auditoria, realiza una visita preliminar a la empresa XY con
el propósito de tener contacto con los funcionarios,
empleados y usuarios del área de sistemas.
OBJETIVO
Evaluar la utilización y aprovechamiento del equipo, las
instalaciones y mobiliarios del centro de computo, así
como del uso de sus recursos para el procesamiento de la
información.
PUNTOS A EVALUAR
 La seguridad física del hardware y del personal del área
de sistemas.
 El aprovechamiento del hardware y software.
 Las funciones y características del personal del área de
sistemas.
PROGRAMA DE AUDITORIA

Actividades a Realizar

 Evaluación de los lenguajes, programas y demás

software utilizados en la empresa.
 Evaluar el control para evitar el robo de información.
 Evaluar los manuales de operación y procedimientos del
sistema.
PROGRAMA DE AUDITORIA

 Evaluar el control de acceso al sistema así como la

restricción del acceso a personas no autorizadas de
computo.
 Evaluar el nivel de prevención de virus y protección de
programas piratas.
PROGRAMA DE AUDITORIA

 Evaluar la organización del departamento de sistemas.

 Evaluar la capacitación del personal de sistemas y de
los usuarios.
 Determinar la actualización periódica respecto a
cambios en tecnología informática.
PROGRAMA DE AUDITORIA

 Evaluar la correcta operación de la información que se

ingresa en los sistemas, así como los resultados que se
desean obtener.
 Revisión del inventario del software, licencias y
componentes internos y externos.
PROGRAMA DE AUDITORIA

 La auditoria será realizada por 1 encargado y dos auxiliares.

 El tiempo estimado para la realización del trabajo de campo son 3
semanas y 2 para la emisión del informe.
 Los horarios que se cobraran.
INSTRUMENTOS Y HERRAMIENTAS NECESAARIOS

 Cuestionarios.
 Entrevistas.
 Observación.
 Conteo físico (Inventario)
 Inspección.
 Confirmación.
 Comparación.
SEGUNDA ETAPA

Ejecución de la auditoria

 El trabajo de campo fue realizado del 8 al 28 de febrero.

 El dictamen preliminar fue realizado del 2 al 5 de marzo
y presentado para su discusión el 8 de este mismo mes.
TERCERA ETAPA

 Luego de la discusión del informe, se le hicieron las

modificaciones necesarias.
 El 17 de marzo, se presento el informe definitivo a la
junta directiva de la Empresa XY, S.A.