Fundamentos de Auditoria de Sistemas

Conceptos Previos Antes de
una Labor de Auditoría de

Sistemas
Capitulo 01
Instructor Oscar Gómez 1

Objetivo del Seminario
Que los participantes
conozcan y estén preparados
para desarrollar labores de
auditoria de sistemas así como
de apoyo en otros tipos de
auditoria, aplicando una
metodología y herramientas
que les permita cumplir con el
objetivo de auditoria.
Instructor Oscar Gómez 2 2
Que es lo más importante que
custodia TI del negocio?
La información

Que es la información del negocio?
Cualquier forma de registro electrónico, óptico, magnético o
en otros medios similares, susceptible de ser procesada,
distribuida y almacenada
Confidencialidad: La información
debe ser accesible sólo a aquellos
que se encuentren debidamente
autorizados.
Integridad: La información debe ser Confidencialidad Disponibilidad

completa, exacta y válida.
Disponibilidad: La información debe

estar disponible en forma
organizada para los usuarios Integridad
autorizados cuando sea
requerida.
Qué le sirve al negocio para:
• Tomar decisiones
• Obtener una ventaja competitiva

Middleware
Back End
Fron End

Middleware
IMAGEN DE LA NECESIDAD DE REALIZAR UNA
AUDITORIA DE SISTEMAS
PARA VERIFICACION DE CUMPLIMIENTO DE LOS OBJETIVOS DEL NEGOCIO
ASÍ COMO DE DISMINUIR EL INCREMENTO DE DELITOS INFORMATICOS
(FRAUDES, ROBO ELECTRÓNICO, ALTERACIÓN O MODIFICACIÓN DE
PROGRAMAS, DIFAMACIÓN, ETC..., POR MEDIOS ELECTRÓNICOS) QUE
HAN LLEVADO A LAS EMPRESAS A QUIEBRAS Y A PÉRDIDAS CUANTIOSAS,
AFECTANDO A LOS ACCIONISTAS, CLIENTES, EMPLEADOS Y A LA PROPIA
ECONOMIA NACIONAL.
MAYOR MAYOR
MAYOR
AUTOMATIZACIÓN DEPENDENCIA
RIESGO

Metodologías y Fundamentos para una
labor de Auditoria de Sistemas
Existe una regulación internacional en
materia de Auditoría de Sistemas, donde las
más importantes para los profesionales en
dicha labor son:
– COBIT (ISACA)
– COSO
– AICPA (SAS)
– IFAC (NIA)
– SAC
– MARGERIT
– EDP
Marco Conceptual
Dar los lineamientos que permita saber encontrar
evidencias y riesgos en el área de TI y áreas del negocio
en una labor de auditoria.
Evidencia.- es el conjunto de hechos comprobados,

suficientes, competentes y relevantes que sustentan los
hallazgos, comentarios y/o observaciones, conclusiones y
recomendaciones del auditor.
Riesgo.- es una amenaza o acción que puede afectar

negativamente a la organización para el logro de sus
objetivos, metas, etc.

Marco Conceptual
Vulnerabilidad.- Es una debilidad en un sistema,
aplicación o infraestructura que lo haga susceptible
a la materialización de una amenaza
Impacto.- es el conjunto medida o grado del daño

sobre un activo producto de la materialización de
una amenaza.
Amenaza.- es un evento o acción no deseable que

puede afectar negativamente a la organización para
el logro de sus objetivos, metas, etc.

Conocimiento de la Organización a Auditar
Personal
Estructura Orgánica
(Macro y Micro)
Web y
Posición en
el Mercado

Taller 01
Partiendo del supuesto que las Auditorias de
Sistemas se realizan a empresas que están
debidamente organizadas y estructuradas, resuelva
las siguientes preguntas:
1. ¿Cómo debería ser su estructura orgánica del

Área de TI, para la empresa modelo explicado?
2. ¿Qué normas, metodologías, estándares entre
otros consideran que debe tener implementada
y normada el Área de TI?

Solución Taller 01

Conclusiones
• Conocimiento de la importancia
de la auditoria de sistemas
• Existencia de metodologías
para el desarrollo de una
auditoria de sistemas
• El seminario es teórico-
practico
• Que los participantes estén
preparados para integrar
equipos de auditoria
Preguntas ..?
• …….
• …….
• …….
• …….
• …….
• …….
Derecho Informático
Capitulo 02

Derecho Informático
El Derecho Informático se define como un conjunto de principios y

normas que regulan los efectos jurídicos nacidos de la interrelación
entre el Derecho y la informática.
Se puede señalar que es una rama del derecho especializado en el
tema de la informática, sus usos, sus aplicaciones y sus
implicaciones legales.
Existe una serie de términos para el Derecho Informático como
Derecho Telemático, Derecho de las Nuevas Tecnologías, Derecho
de la Sociedad de la Información, Informática Jurídica, Derecho
Tecnológico, Derecho del Ciberespacio, Derecho de Internet, etc.

Pirámide del Kelsen

PRINCIPALES ENTIDADES EMISORAS DE
NORMAS INFORMATICAS EN EL PERÚ
• Congreso de la Republica
• Contraloría General de la Republica
• Poder Ejecutivo y Legislativo
• Presidencia del Consejo de Ministros
• Indecopi
• INEI (En su oportunidad)
• ONGEI
Normas Informáticas
Generales de Aplicación
para las labores de
Auditoria de Sistemas

Normas Aplicables en General para Auditoria
de Sistemas (Publico o Privado)
• NL19960424 Decreto Legislativo 822 Ley sobre el
Derecho de Autor
• NL20040720 Ley 28289 Ley de Lucha Contra La
Piratería
• NL20000717-Ley 27309 Ley que Incorpora los
Delitos Informáticos al Código Penal
• NL20010207-Ley 27419 Ley Sobre Notificación por
Correo Electrónico
• NL20050412 Ley 28493-Ley que regula el uso del
correo electrónico comercial no solicitado (SPAM)
• Contratos de TI con Terceros
• Requerimientos Funcionales de las Áreas Usuarias
sobre los aplicativos que se requiera a TI

Normas Aplicables como Buenas Practicas en
General para Auditoria de Sistemas
(Preferentemente Sector Privado)
Normas ISO
COBIT
ITIL
CMMI
PMBOK
ISTQB

Similitud con la labor de un
Policía de Transito

Caso 01
El equipo de control durante su labor de auditoria, pudo determinar la siguiente
ocurrencia:
Pregunta:
Cual norma(s), estaría aplicando por incumplimiento? ……………………….

Solución Caso 01

Conclusiones
• Conocimiento de la Estructura
Normativa a través de la Pirámide
de Kelsen
• Saber que en el Perú existen
entidades emisoras de normas
informáticas que deben cumplir en
su mayoría las empresas del
estado.
• Conocer las normas informáticas
que se utilizaran y aplicaran según
el escenario se presente
Preguntas ..?
• …….
• …….
• …….
• …….
• …….
• …….
¿Qué es la Auditoría de
Sistemas?
Capitulo 03

¿Qué es la Auditoría de Sistemas?
Es el examen crítico que se realiza con carácter objetivo
con el fin evaluar la eficiencia y eficacia de la
utilización de los recursos informáticos y de la gestión
informática de un período determinado en
cumplimiento de los objetivos del negocio

CARACTERISTICAS DE UNA AUDITORIA
OBJETIVA
Es la medida en que considera que el auditor debe mantener una
actitud inteligente, respecto de las actividades a examinar en la
entidad; en función de los objetivos de auditoria.
SISTEMÁTICA Y PROFESIONAL
Porque responde a un proceso que es debidamente planeado y
porque debe ser desarrollada por profesionales idóneos y
expertos, sujetos a normas profesionales y al código de ética
profesional.
CONCLUYENTE
Termina en un informe escrito, en cuyo contenido se presentan
los resultados del examen realizado, incluyendo observaciones,
conclusiones y recomendaciones.
JUSTIFICACIÓN DE UNA AUDITORÍA
DE SISTEMAS
• Aumento considerable e injustificado del presupuesto e
inversiones del Área de Informática, sin la obtención de
resultados favorables.
• Desconocimiento de la alta dirección sobre la situación
informática de la empresa y carece de tiempo para poder
educarse en áreas técnicas
• Descubrimiento de fraudes, robos, estafas electrónicos.
• Falta de organización y planificación informática, que no
funciona eficientemente y no genera independencia a otras
áreas
• Descontento de las áreas usuarios sobre las TIC
implementadas
• Documentación incompleta o faltante de los sistemas en
explotación que limita efectuar un mantenimiento oportuno.
• Evaluación y resultados de la tercerización (outsourcing)
• Otras que estén debidamente justificadas.
OBJETIVOS DE UNA AUDITORIA DE SISTEMAS
• Evaluar la relación costo-beneficio de las TIC

implementados
• Evaluar la satisfacción de las necesidades de los
usuarios sobre las TIC utilizadas en la
organización.
• Verificación de la integridad, confidencialidad y
confiabilidad de la información registrada y
procesada por los sistemas de información.
• Establecer la situación del área de informática,
las actividades y esfuerzos realizados para el
logro de los objetivos propuestos.
• Verificar si existen de riesgos en el uso de
tecnología de información y comunicaciones.
• Evaluar las decisiones de inversión y gastos.
TIPOS Y CLASIFICACIONES DE
AUDITORIAS DE SISTEMAS

EL AUDITORIA DE SISTEMAS ?
 Es el profesional de ingeniería de sistemas o
afín que pone a disposición de la labor de
auditoria sus conocimientos de informática y
experiencia profesional aplicando técnicas y
herramientas según el caso lo requiera
 Las actividades típicas donde el auditor de

sistemas se desarrolla se pueden clasifican en:
• Auditoría a la Gestión del Área de Informática.
• Auditoría informática de sistemas
• Auditoría informática de explotación
• Auditoría informática de comunicaciones
• Auditoría informática de desarrollo
• Auditoría informática de seguridad
• Apoyo a los auditores no informáticos
PERFIL DEL AUDITOR DE SISTEMAS (1)
- Profesional de la especialidad de ingeniería de sistemas o afín
- Habilidad para investigar un hecho y documentar su trabajo
- Experiencia en el área de sistemas
- Conocimiento de Técnicas de Auditoria Asistido por Computadora
TAAC
- Capacidad de trabajar con equipos multidisciplinarios
- Habilidad para comunicarse con las personas de las áreas
auditadas
- Conocimientos de normatividad y procedimientos de auditoria
- Conocimientos de técnicas de análisis de riesgo aplicado a la
auditoria de sistemas de información
- De preferencia con años de experiencia en auditoria
- Deseable contar con certificaciones de auditoria de sistemas
y horas de capacitación en auditoria.
(1) Debido a la característica cambiante del ambiente del área de sistemas, producto en mucho de los casos por la
continua incorporación de nuevas tecnologías, es necesario que el Auditor de Sistemas este en permanente proceso de
capacitación, perfeccionamiento y actualización.
ROL DEL AUDITOR DE SISTEMAS (*)
• Revisar documentación de su competencia.
• Validar hechos que hagan daño a la Organización
y estrategias para reducirlos a través de las
recomendaciones.
• Responder al nivel de participación en una labor
de auditoria.
• Preparar, revisar y modificar el programa de
auditoria en caso de ser necesario.
• Verificación y evaluación de controles
(*) Rol.- Conjunto de funciones que definen la conducta social del individuo y que le son
exigidos por la sociedad para reforzar su capacidad de integración (“La Enciclopedia” -
Salvat Editores S.A. 2004 Pag. 13521)
Conclusiones
• Conocer la definición de auditoria
de sistemas
• Tipos y clasificación de la
• Conocer los objetivos y
justificación de una auditoria de
sistemas
• Conocer la importancia el rol y
perfil que debe tener el auditor de
sistemas
Preguntas ..?
• …….
• …….
• …….
• …….
• …….
• …….
Técnicas de Auditoria Asistido
por Computadora
Capitulo 04

¿Qué son las TAAC?
• Las Técnicas de Auditoría Asistidas por Computador (TAACs), son
programas de ordenador (software) que el auditor de sistemas utiliza
como herramienta de auditoría durante el desarrollo de sus
procedimientos establecidos en una labor de auditoría, en búsqueda
de evidencias y/o riesgos.
• TAACs deben ser desarrolladas en situaciones donde existe interés

por aumentar la eficiencia o efectividad de la auditoría. Por ejemplo:
– Inventario remoto de hardware y software instalados
– Velocidad de internet
– Verificación de data almacenada en las Base de Datos de Sistemas
– Trafico de la red
– Entre otras
OBJETIVOS
• Oportunidad para aplicar los métodos del
muestreo
• Verificación de la integridad de la población.
• Aumento en la extensión de los
procedimientos de auditoría
• Eliminación del trabajo tedioso
• Reducción en el tiempo de la auditoría
• Flexibilidad
CLASIFICACIÓN DE LAS
HERRAMIENTAS TAAC
• Orientadas al desarrollo de los sistemas de información
– Active File Compare
– Endevor
– QA Run, QA File
– Erwin
• Orientadas a la explotación de datos e información

– ACL TOAD para Oracle Database
– IDEA SQL-ANSI de la misma Base de Datos
• Herramientas automatizadas
– Sniffers (CommView, Sniffer Pro, Lan Scan, )
– Microsoft Software Inventory Analizer - MSIA
– Inventario de HW y SW (Aida32, Network Inventory Navigator, iInventory)
Orientado al
desarrollo de
los Sistemas de
Información
El Active File
Compare - AFC
permite:
•El correcto
algoritmo de
comparación de
archivos de texto
•Comparación del
contenido de dos
carpetas
•Generación del
archivo Informe
de diferencias
Orientado a la
explotación de
Datos e
Información
Con ACL, el auditor
puede analizar los
datos desde el
principio hasta el
final, como:
• Planificar el proyecto
• Adquirir los datos
• Acceder a los datos con
ACL
• Verificar la integridad
de los datos
• Analizar los datos
• Generar reportes de los
resultados
Herramientas
Automatizadas
Microsoft Software
Inventory Analizer –
MSIA
•Es una herramienta

diseñada para
realizar un inventario
de software clave de
Microsoft
•MSIA reconoce los

productos más
populares y
comúnmente usados
de Microsoft.
Baseline Security Analyzer

Retina
Retina Network Security Scanner es el estándar para el análisis de vulnerabilidades. Identifica
todas las vulnerabilidades de seguridad conocidas y asigna prioridades según el tipo de amenaza
para su corrección.

Ejemplo 01: Validación de Tráfico de la Red
con Acceso a Internet

Ejemplo 02 – AdminSecure 2007
• Actividad Global de la Seguridad Ante

Ataques de Virus y Códigos Maliciosos
• Informe de Actividad por Capas Ante

Ataques de Virus y Códigos Maliciosos

VENTAJAS
• Nivel reducido de riesgos en auditoría (control y
muestral).
• Cobertura de auditoría más amplia y más
consistente.
• Ahorro de tiempos en busca de evidencias y
evaluación del control interno
• Algunas herramientas TAAC pueden ser utilizados
por auditores que no necesariamente sean de la
especialidad de sistemas
DESVENTAJAS
• Ponderar un análisis costo/beneficio antes de
adquirirlos o de desarrollarlos.
• Requerimientos sofisticados de instalación.
• Eficiencias de procesamientos (Pc, Server, Red)
• Esfuerzo que se requiera para tener la
información de datos fuentes para ser analizados
por las herramientas TAAC
• Algunas herramientas TAAC demanda ser
ejecutados por especialistas.

Conclusiones
• Las TAAC's pueden ser empleadas cuando no pueda
obtenerse evidencia adecuada y suficiente con los
métodos tradicionales
• El auditor debe tener un comprensión profunda de las
TAAC y debe saber dónde y cuándo aplicarlas.
• El auditor debe considerar una combinación apropiada
de técnicas de auditoría manuales y con ayuda del
computador. La efectividad y los procedimientos de
auditoría pueden ser mejorados mediante el uso de
TAAC's
Preguntas ..?
• …….
• …….
• …….
• …….
• …….
• …….
Visión General de COBIT
Capitulo 05

Que es ISACA?
• ISACA es: "Information System Audit and Control
Association“. Una asociación de profesionales
dedicados a la práctica de la auditoria, control y
seguridad de sistemas de información, fundada
en los Estados Unidos en 1967 (www.isaca.org).
• En 1997 en el Perú se fundo el Capítulo 146 de

ISACA, cuyo objetivo principal es brindar a sus
miembros capacitación e información para
mejorar sus competencias relacionados con la
práctica de la auditoria, control y seguridad de
sistemas de información (www.isaca.org.pe).
• ISACA se ha convertido actualmente en una

organización global que establece las pautas
para los profesionales de auditoria, control y
seguridad de sistemas de información.
LATIN AMERICAN CACS – COSTA RICA - 2009

Certificaciones de ISACA?
• Certified Information Systems
Auditor (Auditor Certificado de
Sistemas de Información, o
CISA)
• Certified Information Security

Manager (Gerente Certificado
de Seguridad de Información, o
CISM).

¿Qué significa COBIT?
• COBIT es un acrónimo formado

por las siglas derivadas de
– Control
– OBjectives
• for Information
– and related Technology

¿Qué significa COBIT?
• Es un marco de referencia general para el gobierno de TI
que ayuda a comprender y administrar los riesgos y
beneficios asociados con TI
• Es una suite de herramientas de soporte que permiten a

la gerencia cerrar la brecha con respecto a los
requerimientos de control, temas técnicos y riesgos de
negocio, y comunicar ese nivel de control a los
interesados (Stakeholders)
• Permite el desarrollo de políticas claras
y de buenas prácticas para control de
TI
• Es un marco de referencia en constante
actualización
PO1 Definir un Plan Estratégico de Tecnología e
OBJETIVO DEL Información
NEGOCIO COBIT PO2 Definir la Arquitectura de Información
PO3 Determinar la dirección Tecnológica
PO4 Definir la Organización y las Relaciones de
M1 Monitorear los Procesos las TI
M2 Evaluar lo Adecuado del Control Interno PO5 Manejar la Inversión en Tecnología de la
M3 Obtener Aseguramientos Independientes Información
M4 Proporcionar Auditoría Independiente PO6 Comunicar la dirección y aspiraciones de la
INFORMACIÓ gerencia
N PO7 Administrar Recursos Humanos
Efectividad
PO8 Asegurar el Cumplimiento de
Eficiencia
MONITOREO Confidencialidad
Requerimientos Externos
Integridad PO9 Evaluar Riesgos
Disponibilidad PO10 Administrar Proyectos
Cumplimiento PO11 Administrar Calidad
Confiabilidad
PLANEACIÓN Y
ENTREGA Y RECURSOS ORGANIZACIÓN
SOPORTE DE TI
Datos
Sistemas de Aplicación
Tecnología
DS1 Definir Niveles de Servicio Instalaciones
DS2 Administrar Servicios prestados por ADQUISICIÓN E
Gente IMPLEMENTACIÓN
Terceros
DS3 Administrar Desempeño y Capacidad
DS4 Asegurar Servicio Continuo
DS5 Garantizar la Seguridad de Sistemas
DS6 Identificar y Asignar Costos AI1 Identificar Soluciones
DS7 Educar y Entrenar a los Usuarios AI2 Adquirir y Mantener Software de Aplicación
DS8 Apoyar y Asistir a los Clientes de TI AI3 Adquirir y Mantener Arquitectura de
DS9 Administrar la Configuración Tecnología
DS10 Administrar Problemas e Incidentes AI4 Desarrollar y Mantener Procedimientos
DS11Instructor
Administrar Datos Oscar Gómez relacionados con TI 63
DS12 Administrar Instalaciones AI5 Instalar y Acreditar Sistemas
DS13 Administrar Operaciones AI6 Administrar Cambios
Estructura de Cobit
Agrupación natural de procesos,
4 Dominios normalmente correspondientes a un
dominio o responsabilidad
organizacional
Series de actividades unidas con

34
cortes naturales de control.
Procesos
Acciones necesarias para lograr un

resultado medible. Las actividades
tienen un ciclo de vida.
Actividades
o tareas

Características de COBIT
• Orientación al negocio.
• Alineación con estándares y
regulaciones.
• Basado en una revisión critica
de tareas y actividades en
tecnología de información.
• Alineamiento con estándares de
control y auditoría: COSO, IFAC,
IIA, ISACA, AICPA, OECD,
ISO9000-3, NIST
Gobierno de IT
Estructura organizacional y conjunto de
procedimientos que buscan administrar y
controlar las actividades de IT para alcanzar
las metas y objetivos de la empresa,
añadiendo valor y administrando los riesgos.
La estructura de gobierno IT debe estar

inmersa en la organización y debe ser
aplicada a todas las actividades y procesos de
IT (Planeación, implementación, ejecución y
monitoreo)
COBIT

Marco de Referencia Cobit
Proporcionar
Establecer Dirección
Objetivos
• IT debe estar
alineada con el Actividades
negocio, lo cual de IT
permitirá maximizar
beneficios • Aumentar la
Comparar
automatización
• Los recursos de IT (Efectividad)
son usados eficiente • Reducir costos
y responsablemente (Eficiencia)
• Manejar riesgos
• Los riesgos (Seguridad)
relacionados con IT
se administran en Medir el
forma adecuada.
Desempeño

Ejemplo 01 – Dominio Planear y Organizar

ocurrencia:
Carencia de Documentación de las Pruebas que se Realiza a Productos y

Soluciones de TI
Durante la revisión del equipo de control se apreció la ausencia de

procedimientos formales que documenten apropiadamente el plan de pruebas
de nuevos productos y soluciones, así como de sus modificaciones posteriores;
en cuanto a descripción de las mismas, datos a ser usados, metodología para el
desarrollo de dichos pruebas, datos, casos de pruebas, script de pruebas y los
resultados esperados.
Pregunta:
Cual o cuales procesos de COBIT se podrían aplicar como criterio de control?

Ejemplo 02 – Dominio Adquirir e Implementar

ocurrencia:
Carencia de Herramientas de Modelamiento de datos
Se ha observado que la Dirección de TI, no cuenta con herramientas de

tecnología de información que permita realizar las actividades de Modelamiento
de Datos y Elaboración de Diagramas de Entidad Relación.
Pregunta:

Ejemplo 03 – Dominio Entrega y Dar Soporte

ocurrencia:
Falta de UPS para la Operatividad del Negocio

Se ha verificado que la organización cuenta con 30 servidores de red, de los
cuales se han identificado que existen 7 servidores críticos que deben estar al
menos operativo 3hrs cuando exista perdida de fluido eléctrico la zona, para lo
cual se pudo identificar que los UPS no tienen la suficiente autonomía de carga
para mantener al menos operativo 2hrs
Pregunta:

Ejemplo 04 – Dominio Monitorear y Evaluar
ocurrencia:
Uso excesivo de internet con fines ajenos a los objetivos institucionales

Del Log de navegación de internet registrado por el firewall se pudo
determinar que los consumo de anchos de banda se vinieron y vienen dando
a paginas que no tienen que ver con actividades institucionales como:
-Paginas de juegos por web
-Música y videos en línea
-Paginas de adultos
-Uso de P2P
Pregunta:

Conclusiones
• La importancia de certificaciones para labores de
• Cobit, enlaza los objetivos de control y

estrategias de los negocios con la estructura de
control de la TI, como factor crítico de éxito
• Cobit, se puede aplicar a todo tipo de

organizaciones independiente de sus plataformas
de TI
• Ratifica la importancia de la información, como

uno de los recursos más valiosos de toda
organización exitosa.

Preguntas ..?
• …….
• …….
• …….
• …….
• …….
• …….
Desarrollo de una Metodología
Para una labor de Auditoría de
Sistemas
Capitulo 06

DEFINICION
La metodología consiste en dar a conocer las pautas y

procedimientos mínimos necesarios para el desarrollo de una
labor de auditoría, desde la planificación hasta la
implementación de las recomendaciones emitidas en el informe
de auditoría. .
Fuente:
NAGU y MAGU de la CGR
Estándares para la Práctica Profesional de la Auditoría Sistemas de
Información de ISACA-Argentina
FASES DE LA METODOLOGIA
Planeamiento
Trabajo de campo
Formulación del informe
Seguimiento
FASE 01.- PLANEAMIENTO DE AUDITORIA
Etapa 01.- Conocimiento de la Organización a Auditar
Etapa 02.- Elaboración del Plan de Auditoria
Etapa 03.- Programas de Auditoria
Etapa 04.- Aprobación del plan de auditoria

FASE 02.- DESARROLLO DE TRABAJO DE CAMPO
Etapa 01.- Acreditación, instalación y solicitud de

información
Etapa 02.- Aplicación de programas y técnicas de auditoria

para la obtención de evidencias
Etapa 04.- Comunicación de hallazgos de auditoria.
Etapa 05.- Evaluación de descargos y desarrollo de debilidades

de control interno, observaciones, conclusiones y
recomendaciones
Etapa 06.- Elaboración y revisión de los papeles de trabajo

FASE 03.- ELABORACION DEL INFORME DE AUDITORIA “ESTRUCTURA DEL INFORME”
01 Titulo del informe
02 Índice
03 Introducción
03.01 Origen
03.02 Objetivo
03.03 Alcance
03.04 Antecedentes/Resumen del Negocio
04 Comentarios / Otros Aspectos de Importancia (Opcional)
05 Observaciones
05.01 Formulación del hallazgo convertido en observación
05.02 Comentarios y/o aclaraciones del personal comprendido en las
observaciones
05.03 Evaluación de los comentarios y/o aclaraciones presentados
06 Conclusiones
07 Recomendaciones
08 Anexos

FASE 04.- SEGUIMIENTO DE MEDIDAS
CORRECTIVAS DE LOS INFORMES DE AUDITORIA
La finalidad es determinar si la Organización a través de los
funcionarios responsables implemento las recomendaciones dadas
en los informes de auditoria en su oportunidad. El estado
situacional de la recomendación puede ser: pendiente, en proceso o
implementado.
Etapa 1.- Recopilación de información.
Etapa 2.- Evaluación de la documentación.
Etapa 3.- Formulación de Informes de Seguimiento.
Etapa 4.- Elevación de Informes de Seguimientos

Conclusiones
• Conocer una metodología general
para la labor de auditoria.
• Las estructuras de los informes de

control respetan una estructura
• No todas las organizaciones

tienen oficinas de auditoria interna
que permitan realizar seguimiento
a las recomendaciones
Preguntas ..?
• …….
• …….
• …….
• …….
• …….
• …….
Desarrollo de Casos Aplicando la
Metodología Para una labor de
Auditoría de Sistemas
Capitulo 07

Caso Práctico
• En la entidad financiera ABC, se va ha
realizar la auditoria de sistemas a la
Dirección de Tecnologías de
Información del período 2008-2009. Por
la Sociedad de Auditoria XYZ. Para lo
cual todos somos miembros del equipo
de control por la magnitud de la
Entidad Financiera
• Por lo que se le pide al equipo de

control preparar el Plan de Auditoria de
Sistemas a ser ejecutado en el trabajo
de campo.
Lo más importante…
• El equipo de control debe tener
bien claro el objetivo general de
auditoria
• Para este caso es:? …….
• Auditoria de Sistemas, a la
Dirección de TI de la Entidad
Financiera ABC, Período 2008-
2009
FASE 01.- PLANEAMIENTO DE AUDITORIA
Etapa 01.- Conocimiento de la Organización a Auditar
Etapa 02.- Formulación de los objetivos específicos en relación

al objetivo general de la Auditoria
Etapa 03.- Formulación de los Programas de Auditoria para los

objetivos específicos a desarrollar
Etapa 04.- Desarrollo del cronograma de auditoria
Etapa 05.- Aprobación de la formulación del plan de auditoria

Fase 01- Etapa 01.- Conocimiento de la Organización a Auditar

Estructura Orgánica de la Dirección de TI
de la Entidad Financiera
Dirección de TI
Jefatura de Seguridad
Jefatura de la PMO
de la Información
Subdirección de Subdirección de
Subdirección de
Desarrollo Aseguramiento
Operaciones
y Soluciones de TI de la Calidad
Jefatura de Jefatura de
Jefatura de Jefatura de Jefatura de Jefatura de Jefatura de
Aplicaciones Aplicaciones
Calidad Certificación Data Center Help Desk Telecomunicaciones
de Negocio Administrativas

Fase 01 - Etapa 02.- Formulación de los objetivos específicos en
relación al objetivo general de la Auditoria
Objetivo General Objetivos Específicos
Evaluar el licenciamiento de software
Evaluar las adquisiciones y contrataciones del Área
Evaluar los sistemas de información
Evaluar cumplimiento de la normatividad

Auditoria de Sistemas a la
Dirección de Tecnologías de Evaluar la Seguridad de la Información
Información de la Entidad
Determinar el cumplimiento de planes de TI
Financiera ABC, Período 2008-
2009 Evaluar el Data Center y Data Center Alterno
Evaluación de los proyectos informáticos
Evaluar el cableado de data y eléctrica de la red
Evaluación de la satisfacción de la áreas usuarias
Evaluación de la Tercerización
Fase 01 - Etapa 03.- Formulación de los Programas de
Auditoria para los objetivos específicos a desarrollar
Los programas de auditoria, son procedimientos que comprenden
una relación lógica, secuencial y ordenada que deberán ser
aplicados por el equipo de auditoria a efectos de obtener evidencias
suficientes, competentes y relevantes, necesarias para alcanzar el
logro del objetivo(s) de auditoria.
Estructura:
• Un objetivo especifico
• Alcance (área(s) y periodo de control)
• Criterios a aplicar (normatividad afecta)
• Personal encargado del desarrollo
• Requerimiento de recursos necesarios
• Un cronograma de ejecución
• Procedimientos específicos (detallados)
Fase 01 - Etapa 03.- Formulación de los Programas de
Auditoria para los objetivos específicos a desarrollar
Ejemplo: Programa de Auditoría para

evaluar Sistemas de Información

Definición de Cuestionario
• Un cuestionario es un instrumento de investigación
que se utiliza para el desarrollo de una investigación
en el campo de las ciencias sociales; es una técnica
ampliamente aplicada en la investigación de
carácter cualitativa.
• El cuestionario es "un medio útil y eficaz para

recoger información en un tiempo relativamente
breve" que tiene como objetivo buscar un fin
determinado. En su construcción pueden
considerarse preguntas cerradas, abiertas o mixtas.
Su construcción, aplicación y tabulación poseen un
alto grado científico y objetivo.
SUPUESTOS DE CUESTIONARIO
El uso de cuestionarios en investigación

supone que
• El investigador debe partir de objetivos de
estudio perfectamente definidos
• Cada pregunta es de utilidad para el
objetivo planteado por el trabajo.
• El investigador debe estructurar las
preguntas teniendo en mente siempre los
objetivos del trabajo.
• El que contesta está dispuesto y es capaz
de proporcionar respuestas fidedignas
CUATRO PREGUNTAS CLAVE.
CUESTIONARIO
• 1. ¿De cuánto tiempo disponen quienes

responderán para contestar el
cuestionario?
• 2. ¿Cuánto tiempo tiene el investigador
para editarlo, presentarlo, aplicarlo,
codificarlo, procesarlo y analizarlo?
• 3. ¿Qué tan dispuestos están para
responder quienes van a contestar?
• 4. ¿Cuánto costará su aplicación?
Tipos de Preguntas de Aplicación en
los Cuestionarios
Preguntas
Cerradas?
Preguntas Abiertas?

Tipos de Preguntas de Aplicación en
los Cuestionarios
Preguntas x
Rango?
Preguntas,
Varias
Fuente: Guía para la
implementación de un SCI para
Entidades del Estado (CGR)
Ejemplo de Estructura de Cuestionarios
Ejemplo
Fase 01 - Etapa 04.- Desarrollo del cronograma de auditoria
Formular el tiempo que demoraría la labor de control, cuando

se tenga en forma completa los procedimientos a aplicar para
cada objetivo, el cual es recomendable que no exceda de 3 meses
Ejemplo:

Desarrollo del Cronograma para la Auditoria de Sistemas a la Dirección de
Tecnologías de Información de la Entidad Financiera ABC, Período 2008-2009

Fase 01 - Etapa 05.- Aprobación de la formulación del plan de
auditoria
Nuestro plan de auditoria para ser aprobado, deberá tener:

• Un objetivo general claramente establecido
• Un alcance de la labor de control
• Objetivos específicos bien determinados
• Programas de auditoria para los objetivos específicos
• Relación de Recursos Humanos requeridos
• Cronograma de ejecución y control
• Detalle de los recursos logísticos necesarios

Conclusiones
• En base a la aplicación de la
metodología el equipo de control
puede realizar en forma planificación
de control.
• Las preguntas de un cuestionario

deben ser formuladas en función al
objetivo que se defina alcanzar.
• La información recepcionada de los

CCI deben permiten aportar indicios
casi razonable para el cumplimiento del
objeto de auditoria.
Preguntas ..?
• …….
• …….
• …….
• …….
• …….
• …….
Formulación de Hallazgos,
Observaciones, Conclusiones y
Recomendaciones
Capitulo 08

Desarrollo de un Objetivo de Auditoria
En cada objetivo especifico de control los auditores responsables, deben tener claro
que deben encontrar evidencia(s) y/o riesgo(s) que han hecho, vienen o pueden
hacer daño al área de TI y por ende al Negocio y que deben ser reflejados en una
labor de auditoría.
Programa
de Auditoria
(PA) Evidencias
y/o
La aplicación del PA, con Riesgos
los RRHH adecuados bajo en TI
RRHH los criterios de control del
Objetivo XYZ
Asignados adecuados, bajo un tiempo Negocio
determinado va permitir para los
encontrar las ….. Hallazgos
Criterios de
Control y
Soporte
Logístico
FORMULACION DE
HALLAZGOS DE AUDITORIA

¿Qué son los Hallazgos de Auditoría?
Los Hallazgos de Auditoría, son el resultado

de la comparación realizado entre un criterio
y la situación encontrada (pasada y/o actual)
durante el desarrollo de la labor de auditoria.
Es toda información que a juicio del auditor

le permite identificar hechos o circunstancias
importantes que inciden en la gestión del
área en cumplimiento de sus objetivos, y que
por su naturaleza merecen ser comunicadas
posiblemente en el informe de auditoría.
Consultar: NAGU de la CGR y Normas de ISACA
ELEMENTOS DEL HALLAZGO DE AUDITORÍA
CONDICIÓN CRITERIO CAUSA EFECTO
“LO QUE ES” “LO QUE DEBE SER” “POR QUÉ OCURRIÓ” “DIF: LO QUE ES/ DEBIÓ SER”
Es la situación Comprende la Es la razón básica, por Constituye el
actual encontrada norma con la cual la cual ocurrió la resultado adverso o
por el auditor al el auditor mide la condición, o el motivo potencial de la
examinar una condición. Puede de incumplimiento del condición
actividad, área o ser la meta, que criterio. El simple encontrada. A veces
transacción. se está logrando incumplimiento no es representa la
alcanzar suficiente. pérdida monetaria.
Formas: Los criterios Características:
*Los criterios no pueden ser: * Inadecuada Uso antieconómico
vienen * Disposiciones segregación de
lográndose en aplicables a la funciones, Pérdida de ingresos,
forma entidad: Leyes, * Carencia de
satisfactoria reglamentos, personal, Gastos indebidos,
*Los criterios no normas, * Falta de honestidad,
se logran Manuales. * Insuficiente Controles deficiente,
*Los criterios se * Metodologías, capacitación,
están logrando estandares * Desconocimiento Informes inexactos,
parcialmente normas
* Insuficiente
supervisión del
desarrollo de tareas

Estructura de un Hallazgo
Sumilla.- Se refiere al titulo que se utiliza el hecho
observado.
Condición.- Descripción de la situación irregular o
deficiencia hallada, cuyo grado de desviación debe ser
demostrada.
Criterio.-Normas transgredidas de carácter legal, operativo o
de control que regulan el accionar de la entidad examinada.
Causa.- Es la razón fundamental por la cual ocurrió la
condición, o el motivo por el que no se cumplió el criterio o
norma.
Efecto.- Es la consecuencia real o potencial, cuantitativa o
cualitativa, que ocasiono(a) la condición.
Ejemplo 01
Evaluación de la funcionalidad de
un Sistemas de Información

Diferencia entre una Observación y
un Hallazgo
• Un hallazgo, es una debilidad, delito
y/o deficiencia encontrada durante
la fase de trabajo de campo.
• Una observación, es un hallazgo no

superado durante la etapa de
evaluación de descargos que
comprende a los responsables del
hallazgo, la cual es puesto en el
informe de auditoria.
Que se refleja en un informe de auditoria?
RECOMENDACIÓN
CONCLUSIÓN
OBSERVACIÓN
Evidencia y/o Riesgo Criterio

Efecto Causa
Quien respalda el informe de auditoria?

Los papeles de trabajo de la labor de auditoria
Formulación de Observaciones,
Conclusiones y Recomendaciones
• Definición de Observación,
Conclusión y
Recomendación
• Estructura de una Observación,
Conclusión y
Recomendación
• Diferencia entre una Observación y un Hallazgo
• Ejemplos de aplicación
• Conclusión

La Observación
• Las observaciones son el resultado de la
aplicación de los procedimientos de
auditoria en la fase de trabajo de campo a
través de la evaluación y contrastación de
los hallazgos comunicados y no superado
con los correspondientes comentarios y/o
aclaraciones formulados por el personal
comprendido en los mismos, con la
documentación y evidencia sustentada.
• Las observaciones se refieren a hechos o

situaciones de carácter significativo y de
interés para la organización.
Estructura de la Observación
• 01 Sumilla.- Es el título o encabezamiento que

identifica el asunto materia de la observación
• 04 Elementos (condición, criterio, efecto y
causa)
• Comentarios y/o aclaraciones del personal
comprendido en las observaciones
• Evaluación de los comentarios y/o
aclaraciones presentados
• Un número asignado en forma secuencial con
el que será puesto en el informe.

Estructura de la Observación, Conclusión
y Recomendación
• La conclusión.- Es el juicio de carácter

profesional que reflejara el auditor, basados en
la(s) observacion(es) correspondientes.
• La recomendación.- Es la formulacion
preferentemente de orientación constructiva
para propiciar el mejoramiento de la gestión, se
formulan siguiendo el orden jerárquico de los
funcionarios responsables de implementarlos.
Basado en las observaciones y conclusiones
correspondientes.
Relación entre observación, conclusión y
recomendación
• Observación N° 01 “…………………………………...”
• ………………………………………………………………......
• ………………………….
• Conclusión N° 01
• ………………………………………………………………......
• ………………………………………………………………......
• …………………………….(Observación N° 01)
• Recomendación N° 01
• …………………………………………………………………..
• Instructor Oscar Gómez
……………………………………………..(Conclusión N° 121
01)
Ejemplo 02: Formulación de la Observación,
Conclusión y Recomendación
SIGUIENDO EL
CASO DEL
HALLAZGO DEL
APLICATIVO
“CORE”

Conclusiones
• Lo mas importante en el desarrollo de trabajo de
campo es poder y saber encontrar hallazgos y
que estos esten debidamentes sustentados
• Los hallazgos deben haber tenido un gran

impacto en el que hacer del Negocio.
• Las hallazgos son la escencia/base para la

formulación del informe de auditoria
• El equipo de auditoria deberá determinar y

clasificar la importancia en la que se presentaran
los hallazgos al supervisor de auditoria
• Los hallazgos deben ser comunicados a los

responsables
Instructor
Auditoría de Sistemas Expositor: Oscar Gómez
Ing. Oscar Gómez Marín 123123
Conclusiones
• Tomar conocimiento de la importancia
en la formulación de las observaciones
de auditoria y que estas se formulan a
través de hallazgos no superados.
• Saber que siempre debe existir una

relación entre la observación,
conclusión y recomendación.
• En los casos que se justifique, las

observaciones irán acompañada de
anexos en el informe de auditoría
Preguntas ..?
• …….
• …….
• …….
• …….
• …….
• …….
Formulación de Informes
Capitulo 09

FASE 03.- ELABORACION DEL INFORME DE AUDITORIA “ESTRUCTURA DEL INFORME”
01 Titulo del informe
02 Índice
03 Introducción
03.01 Origen
03.02 Objetivo
03.03 Alcance
03.04 Antecedentes / Resumen del Negocio
04 Comentarios / Otros Aspectos de Importancia (Opcional)
04.01 Formulación del comentario (condición, “causa”, efecto)
04.02 Evaluación del comentario formulado
05 Observaciones
05.01 Formulación del hallazgo convertido en observación
05.02 Comentarios y/o aclaraciones del personal comprendido en las observaciones
05.03 Evaluación de los comentarios y/o aclaraciones presentados
06 Conclusiones
07 Recomendaciones
08 Anexos, Cuadros, Gráficos
Ejemplo 01
• En base al objetivo general de control:
• Así como del conocimiento de la Entidad a

Auditar y
• Con la relación de observaciones,

conclusiones y recomendaciones que se tenga
después de la aplicación de los programas de
auditoria estos serán adicionados al informe
de auditoria según la estructura señalada
Desarrollo de ejemplo 01

Conclusiones
• El informe de auditoria, es el
documento que se presentara a
la Alta Dirección para la toma de
decisiones sobre las
recomendaciones y sobre los
hechos observados en ella.
• El informe de auditoria deberá

contener hechos significativos y
representativos que ocurrieron
bajo el período de control.
Instructor
Auditoria de Sistemas OscarGómez
Ing. Oscar GómezMarin 130130
Preguntas ..?
• …….
• …….
• …….
• …….
• …….
• …….
Muchas Gracias
Ing. Oscar Gómez Marin

ogomez@ciplima.org.pe
ogomezm@hotmail.com
Celular 995382424
RPM #719749

Fundamentos de Auditoria de Sistemas

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Fundamentos de Auditoria de Sistemas

Diunggah oleh

Hak Cipta:

Format Tersedia

Conceptos Previos Antes de

una Labor de Auditoría de

Instructor Oscar Gómez 1

Instructor Oscar Gómez 3

Integridad: La información debe ser Confidencialidad Disponibilidad

Disponibilidad: La información debe

Instructor Oscar Gómez 5

Instructor Oscar Gómez 6

Instructor Oscar Gómez 7

Evidencia.- es el conjunto de hechos comprobados,

Riesgo.- es una amenaza o acción que puede afectar

Instructor Oscar Gómez 9

Impacto.- es el conjunto medida o grado del daño

Amenaza.- es un evento o acción no deseable que

Instructor Oscar Gómez 10

Instructor Oscar Gómez 11

1. ¿Cómo debería ser su estructura orgánica del

Instructor Oscar Gómez 12

Instructor Oscar Gómez 13

Instructor Oscar Gómez 16

El Derecho Informático se define como un conjunto de principios y

Instructor Oscar Gómez 17

Instructor Oscar Gómez 18

• Contraloría General de la Republica

• Poder Ejecutivo y Legislativo

• Presidencia del Consejo de Ministros

• INEI (En su oportunidad)

Instructor Oscar Gómez 21

Instructor Oscar Gómez 22

Instructor Oscar Gómez 23

Instructor Oscar Gómez 24

Instructor Oscar Gómez 25

Instructor Oscar Gómez 26

Instructor Oscar Gómez 29

Instructor Oscar Gómez 30

• Evaluar la relación costo-beneficio de las TIC

Instructor Oscar Gómez 34

 Las actividades típicas donde el auditor de

Instructor Oscar Gómez 40

• TAACs deben ser desarrolladas en situaciones donde existe interés

• Orientadas a la explotación de datos e información

•Es una herramienta

•MSIA reconoce los

Instructor Oscar Gómez 48

Instructor Oscar Gómez 49

Instructor Oscar Gómez 50

• Actividad Global de la Seguridad Ante

• Informe de Actividad por Capas Ante

Instructor Oscar Gómez 51

Instructor Oscar Gómez 53

Instructor Oscar Gómez 56

• En 1997 en el Perú se fundo el Capítulo 146 de

• ISACA se ha convertido actualmente en una

Instructor Oscar Gómez 58

• Certified Information Security

Instructor Oscar Gómez 60

• COBIT es un acrónimo formado

Instructor Oscar Gómez 61

• Es una suite de herramientas de soporte que permiten a

Series de actividades unidas con

Acciones necesarias para lograr un

Instructor Oscar Gómez 64

La estructura de gobierno IT debe estar

Instructor Oscar Gómez 67