Ing.

Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

TEMATICA
SEMANA-1
- Introduccin de la Auditoria de Sistemas
- Entorno y Areas de Aplicacin
SEMANA-2
- Tipos y Clases de Auditoria
- Ubicacin dentro de la estructura organizacional.
SEMANA- 3
- Metodologa para el desarrollo e implantacin de la auditoria en informtica
- Proceso de Planeacin de la auditoria
- Tcnicas y Herramientas de auditoria
SEMANA- 4
- Papel y responsabilidades del Auditor de Sistemas
- Relaciones entre el Auditor y el Personal de Proceso de Datos
- Conocimientos tcnicos requeridos
SEMANA- 5
- Auditoria en un centro de tecnologa de informacin.
o Gestin, Normas, Polticas, Procedimientos
o Plan de contingencia
o Plan de seguridad
SEMANA- 6
- Auditoria en un centro de tecnologa de informacin
o Gestin del Hardware
o Plan de contingencia
o Plan de seguridad
SEMANA- 7
- Presentacin y Sustentacin de avances de trabajos
SEMANA- 8
EXAMEN PARCIAL
SEMANA- 9
- Auditoria en un centro de tecnologa de informacin
o Gestin del Software
o Plan de contingencia
o Plan de seguridad
SEMANA- 10
- Auditoria a Proyectos computacionales: Controles, estndares, otros
SEMANA- 11
- Auditorias a las aplicaciones (Procesos administrativos, financieros sistematizados)

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

SEMANA- 12
-

Soporte a la auditoria financiera

Software de Auditoria

SEMANA- 13
- Planes de contingencia preventiva y correctiva
- Caso estudio
- Aspectos Legales
SEMANA- 14 y 15
- Presentacin y Sustentacin de trabajos concluidos
SEMANA- 16
EXAMEN FINAL

CONTENIDO TEMATICO

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

SEMANA-1
1.1 Introduccin de la Auditoria de Sistemas
Los departamentos de Informtica y Proceso de Datos realizan muchas de las funciones de
control que estn incorporadas en los sistemas automatizados.
Lo ms importante para los auditores es la bondad del proceso, la exactitud de los datos
grabados y la adecuacin de los procedimientos de control. Por lo tanto el auditor de sistemas
debe tener los conocimientos necesarios para llevar a cabo estudios sobre sistemas
automatizados.

ADMINISTRATIVA

SISTEMAS

FINANCIERA

OTROS ...

<<El sistema informtico constituye una parte fundamental del sistema administrativo y
financiero general de la empresa>>
1.2 Entorno y reas de Aplicacin
La aplicacin de auditoria se da en todas las reas de la organizacin con los especialistas
que corresponda. En los ltimos aos con el desarrollo vertiginoso de la tecnologa de
informacin, se est dando nfasis en la auditoria de sistemas aplicada al rea de sistemas e
informtica, para lo cual los auditores son necesariamente especialistas en el rea. A diferencia
de otras pocas en la cual un contador estaba involucrado en la auditoria de sistemas hoy en
da esta labor es manejada por el ingeniero de sistemas. El profesional en sistemas adems
apoya a la auditoria general en el anlisis de datos de las aplicaciones automatizadas,
convirtindose en este caso en un soporte fundamental.
<<La auditoria es otra forma de asegurar la calidad de la informacin que contiene el
sistema. Con una definicin amplia, la auditoria implica contar con un experto que no se
encuentre involucrado con la operacin del sistema, para examinar la informacin, con el fin
de identificar el problema >>
<< Es un proceso formal que se orienta a la verificacin y aseguramiento de que Las
polticas y procedimientos establecidos para el manejo y uso adecuado de las tecnologas de
informacin en la empresa se lleven a cabo en forma oportuna y eficiente >>

Las reas de aplicacin para la Auditoria de Sistemas, estn dirigidas a aquellas actividades
cuya gestin u operacin involucran de una u otra manera el manejo de la informacin. Para
aquellas actividades en la que se aprecia a la informacin involucrado a la Tecnologa de
informacin podemos distinguir lo siguiente:
Auditoria a los centros de tecnologa de informacin

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

Auditoria especializada a los proyectos de sistemas computacionales, informticos u otros

Auditoria de Aplicaciones
Auditoria especializada a la seguridad de la informacin
Apoyo y soporte a la auditoria de los sistemas financieros

SEMANA-2
2.1 Tipos y Clases de Auditoria

AUDITORIA INTERNA

A. SISTEMAS

TIPOS DE AUDITORIA
Auditoria de Gestin
Auditoria Financiera
Auditoria Especial

A. ADM/FIN.

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

Los tipos de Auditoria reconocidas por el estado son:

Auditoria de Gestin, Auditoria Financiera y Auditoria Especial
La auditoria puede ser:
INTERNA, cuando las actividades son realizadas por el personal especializado que pertenece a
una Oficina de Control Interno (O.C.I), el mismo que depende funcionalmente de la
organizacin de la empresa auditada. En las empresas del sector pblico (Per); el Jefe de esta
oficina depende de la Contralora General de la Repblica. En el caso de la empresas privadas
todo el rea de control dependen de la misma empresa.
EXTERNA, cuando las actividades son realizadas por el personal especializado, cuya
organizacin no dependen de la empresa auditada.
Tanto en la auditoria Interna como Externa participa el ingeniero de sistemas, ya sea si se
trata de realizar una auditoria de sistemas como soporte a la auditoria general mediante el
anlisis de datos de las aplicaciones automatizadas.
Debe hacerse auditoria externa, al menos una vez al ao; como parte del programa anual de
auditoria. Adicionalmente y en forma especial cuando algo fuera de lo ordinario esta
ocurriendo, que llegara a involucrar a los empleados de la compaa tal como la sospecha de
fraude en materia de computacin o de peculado.
2.2 Ubicacin de la Auditoria de Sistemas en la estructura organizacional
G.G
O.C.I

G.T.I

G.A

G.F

Otras

El auditor de Sistemas pertenece, a la Oficina de Control Interno o su equivalente, quienes

constituyen la Auditoria interna.
Para los casos de auditoria externa, se cuenta con todas las especialidades requeridas para la
auditoria.

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

SEMANA- 3
3.1 Metodologa para el desarrollo e implantacin de la auditoria en informtica

Preliminar
(diagnostico)
- Negocio
- Informtica

Justificacin
- Areas a auditar
- Plan propuesto

Revisin informal

Adecuacin
- Mtodo
- Tcnicas
- Herramient.

Formalizacin
- Aprobacin
- Arranque

Revisin formal

Desarrollo
- Entrevistas
- Observaciones
- Recomendaciones
- Informes

Aprobacin formal

Implantacin
- Acciones correctivas y
preventivas
- Seguiniento
El modelo representa un a estrategia para implantar un proceso metodolgico de auditoria en
informtica (Bib. Auditoria en informtica, Enrique Hernndez Hernndez, pag. 72)
Productos finales a obtenerse en cada etapa:
Etapa preliminar: un diagnostico de negocio o de informtica
Etapa Justificacin: Una matriz de riesgos
Etapa Justificacin: Una matriz de riesgos, plan de auditoria en informtica
Etapa Adecuacin: Un plan y metodologa de acuerdo con el cliente
Etapa Formalizacin: Un plan aprobado, compromiso ejecutivo
Etapa Desarrollo: Auditar reas seleccionadas, informe de auditoria en informtica
Etapa Implantacin: Recomendaciones y aprobacin final

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

3.2 Proceso de Planeacin de la Auditoria

ACTIVIDAD

RESPONSABLE
EJECUCIN

RESPONSABLE
SEGUIMIENTO

COMENTARIOS

Determinacin
De las reas por
Auditar

Supervisor de
auditoria en
informtica

Gerente de
auditoria en
informtica

Se efecta una
evaluacin del
rea de informtica
Con el fin de detectar
reas de riesgo.

Elaboracin del
Plan de auditoria
En informtica

Supervisor de
auditoria en
informtica

Gerente de
auditoria en
informtica

Los alcances y fechas

en que se auditan las
reas depende dela
Alta direccin.

Presentacin del
Plan a la alta
direccin

Gerente de
auditoria en
informtica

Alta direccin
de la empresa

Se efecta con la
autorizacin de la
alta direccin.

Ejecucin del
Plan de auditoria
En informtica

Supervisor de
auditoria en
informtica

Gerente de
auditoria en
informtica

Puede efectuarse
como auditoria
interna o externa.

3.3 tcnicas y herramientas de Auditoria

El desarrollo exitoso de la auditoria en sistemas depende de un conjunto de factores
interrelacionados.
Dominio de los conceptos tcnicos y administrativos relacionados con la auditoria.
Habilidades inherentes a la auditoria en informtica
Entendimiento satisfactorio de los mtodos tcnicas y herramientas necesarios para auditar las
reas seleccionadas en el proceso de planeacin de la auditoria en sistemas. Las herramientas
lo encontramos en:
o
Softwares adecuados para la evaluacin de datos
o
Un enfoque metodolgico
o
Tcnicas de documentacin adecuada
o
Etc.
En la medida que el auditor posea experiencia y conocimiento actualizados sobre los diferentes
aspectos que evaluar, depender los resultados de la auditoria.

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

SEMANA- 4
4.1 Papel y responsabilidades del Auditor de Sistemas
La auditoria de sistemas puede llevarse a cabo como parte integrante de la auditoria
general o en forma independiente a ella. El objetivo de la auditoria de sistemas se orienta
entre otras cosas a:
Organizacin: Un anlisis de los controles operativos y de organizacin del departamento,
HW, SW, otros
Desarrollo: Un anlisis de los estndares, metodologa, seguridad, las aplicaciones en
desarrollo, etc.
Datos: Un anlisis de los datos para las aplicaciones en funcionamiento.
Responsabilidad del Auditor
Si durante el curso de Auditoria, los Auditores tuvieran razones para pensar que las
disposiciones de seguridad de la empresa y los planes de contingencia no fuera adecuados,
deber reflejar sus opiniones a travs del informe de Auditoria.
Normalmente el auditor:
Examina sistemticamente todos las medidas existentes que de alguna manera representen
algn riesgo.
Realiza una evaluacin de riesgos para cada una de ellas
Para cada una de las observaciones hace las recomendaciones necesarias
Evala todas las medidas de contingencias tomadas.
Entre los riesgos ms crticos ha tomarse en cuenta son:
Incendios
Inundaciones
Avera de los equipos auxiliares
Acciones malintencionadas
Robo de informacin
Relaciones laborales
Etc.
4.2 Relaciones entre el Auditor y el Personal de Proceso de Datos
Los auditores de sistemas deben tener un conocimiento general del entorno informtico:
Estndares, funcionalidad, control, diseo, metodologa de desarrollo, entre otros. De tal
manera que puedan hablar en el mismo idioma con el equipo tcnico del rea de sistemas.
Normalmente la presencia del Auditor, produce conflictos con el personal que maneja los
procesos auditables, siendo necesario mucho tino de los especialistas para superar este
inconveniente.

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

REQ

PERSONAL
DEL
AREA
AUDITADA

OS
IENT
EU RIM

DIRE
CT I
V

Document.

EQUIPO DE
AUDITORIA

AS

EJECUTIVOS
DE LA
ORGANIZAC.

ALCANCES

Requer.

Alcances

1 Normas y polticas de la empresa

2 Alcances del estudio de Auditoria
3 Interactan en el estudio de auditoria
4 Informe final de auditoria, correctivos
5 Canalizan los correctivos

Para los casos de que el auditor de Sistemas participe como Soporte a la Auditoria de los
Sistemas Financieros, la relacin generalmente es la siguiente:

REQ

PERSONAL
DEL
AREA
AUDITADA

S
NT O
IMIE
UER

DIRE
CT I
V

Document.

AUDITORIA FINANCIERA
Sistema

Financiera

ALCANCES

AS

EJECUTIVOS
DE LA
ORGANIZAC.
Alcances

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

10

4.4 Conocimientos tcnicos requeridos

El ambiente de un rea auditada para una organizacin cualquiera, por lo general manejan
muchas variables tcnicas; como por ejemplo, cuentan con las tecnologas de actualidad para
llevar adelante sus procesos operativos, adems de un esquema funcional de negocio dinmico
propio de la empresa, entre otros.
Estas variables exigen del Auditor amplia experiencia en el tema a examinar as como una
personalidad que permita interactuar con el personal y conocimientos de las herramientas
tcnicas utilizadas en la medida que lo requiera.
Por ello, en la actualidad se habla de la auditoria a medida, planeamiento estratgico, anlisis
de arriba hacia abajo, riesgos, controles claves, etc.; todo con el propsito de hacer ms
eficiente, eficaz y econmico el trabajo del auditor frente a los retos de complejidad de las
organizaciones, de los avances vertiginosos de la informtica, del volumen de operaciones, etc.
Existen muchos softwares con el cual se pueden evaluar las bases de datos, por lo que su
eleccin depende del auditor.
Nota: Uno de los requerimientos frecuentemente solicitados a los auditores es la
Estratificacin de datos.
Ejm.
Estratificar la demanda de alumnos que usan el laboratorio, por ciclo, usar rangos de tamao 3.
Ciclo
Alumnos
<0
<4
<8

SEMANA- 5

3]
7]
ms

30
100
70
-------200

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

11

Controles:
ORGANIZACION
PROCESO

CONT ROL

A: Se definen los estndares, normas, procedimientos, objetivos, etc. requeridos

B: Se definen los estndares, procedimientos, objetivos del proceso, etc
C: Se hace una comparacin de los resultados obtenidos Vs. el requerido en B.
D: Resultados aprobados por la Organizacin.
5.1 Auditoria en un centro de tecnologa de informacin: Recursos Humanos, organizacin,
procedimientos, etc.
Se trata de asegurar la proteccin de los recursos administrados: Control interno, separacin
de funciones, seguridad y fiabilidad del sistema, continuidad, etc. Se analizar las debilidades
de gestin, de tal manera que permita hacerse los correctivos necesarios para contribuir a
lograr datos exactos, lcitos y seguros en las aplicaciones financieras u otros.
Controles:
Normalmente se aplica el modelo anteriormente descrito para efectuar los controles.
Sin embargo debe ponerse nfasis en algunos aspectos como por ejemplo:
Anlisis Organizativo
Esta dirigido al nivel ms alto de la empresa , en el cual se debe:
Realizar un inventario tecnolgico de la empresa
Identificar en que parte del Organigrama de la organizacin se encuentra el Centro de
cmputo o rea en estudio.
Obtener un manual de organizacin y funciones y/o de procedimientos
Cmo se llevan a cabo los controles de desarrollo?
Manejan estndares de trabajo?
Existen planes de contingencia preventivos y correctivos?
Existe planes de pruebas?
Etc.

Orientados a lograr:
Que el control interno sea adecuadamente diseado
Niveles de autorizacin adecuadas y a quien corresponda
Estndares que cubran los objetivos

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

12

Seguridad y proteccin de datos plenamente garantizados

Las rotaciones de personal no debe generar vacos de control.
Etc.

<< Algunas metodologa de auditoria sugieren como Tipos de preguntas que el auditor debe
tener presente, las Preguntas abiertas: libertad de respuesta al entrevistado, y las Preguntas
cerradas: cuando las respuestas son presentadas como alternativas. Lo que se aplica en la
realidad es una mixtura de ambas.>>
Tareas principales de la auditoria
Estudiar y actualizar permanentemente las reas susceptibles de revisin.
Apegarse a las tareas que desempean las normas, polticas, procedimientos y tcnicas de
auditoria establecidos por los organismos generalmente aceptados a nivel nacional e
internacional.
Evaluacin y verificacin de las reas requeridas por la alta direccin o responsables
directos de la organizacin.
Elaboracin del informe de auditoria (debilidades y recomendaciones).
Otras recomendaciones para el desempeo eficiente de la auditoria.

Problemas durante la entrevista:

Percibir que el auto estima del entrevistado de encuentra amenazada.
Reacciones emotivas a temas conflictivos.
Mal entendidos respecto a la sucesin de los acontecimientos.
Equvocos al inferir sobre lo observado.
Olvido de hechos importantes.
Mentir para ocultar hechos importantes.

Preparacin de la Documentacin
Una vez que la entrevista ha concluido, el entrevistador debe redactar un informe que
enumere los principales puntos planteados, as como las opiniones de las que se trato. Es de
suma importancia documentar la informacin una vez que esta ha concluido utilizando el
formato que corresponda en forma adecuada y que cumpla con lo establecido por ley.

<<Los auditores internos estudian los controles utilizados por el sistema informtico para
asegurar que este realice lo que supuestamente debe hacer. Tambin examina la operacin de
los controles de seguridad. Aunque trabajan dentro de la misma organizacin, los auditores
internos no reportan a la gente responsable del sistema que auditan. El trabajo de los auditores
externos, con frecuencia es de mayor profundidad que el de los auditores internos>>.

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

13

5.2 Plan de contingencia

Orientado a establecer los respectivos planes de contingencia preventivo y correctivo que
requiera el rea, previo estudio de las reas o actividades ms importantes asociados a esta
actividad.
Ejm:
Contingencia preventiva: El manejo de contratos de MANTENIMIENTO PREVENTIVO de
equipos, frente a posibles daos naturales. Es preventiva porque permite evitar que el dao
ocurra.
Contingencia correctiva: El manejo de contratos de MANTENIMIENTO CORRECTIVO de
equipos, que permita hacer frente a posibles daos ocasionadosa los equipos. Es correctiva
porque permite disminuir los daos iniciados u ocasionados.
5.3 Plan de seguridad
Orientado a establecer las medidas adecuadas que permitan garantizar la continuidad de las
actividades de la institucin asociados con la aplicacin de la tecnologa de la informacin o
con el manejo de los sistemas de informacin.
SEMANA- 6
6.1 Auditoria en un centro de tecnologa de informacin: Recursos de Hardware
6.2 Plan de contingencia
Orientado a establecer los respectivos planes de contingencia preventivo y correctivo que
requiera el rea, previo estudio de las reas o actividades ms importantes asociados a esta
actividad.
Ejm:
Contingencia preventiva: El uso de un UPS para proteger la red del sistema, frente a cadas de
tensin. Es preventiva porque permite evitar que el dao ocurra.
Contingencia correctiva: El uso de un EXTINGUIDOR para proteger la instalacin de los
equipos de la institucin, en caso de incendios. Es correctiva porque permite disminuir los
daos iniciados u ocasionados.
6.3 Plan de seguridad
Orientado a establecer las medidas adecuadas que permitan garantizar la continuidad de las
actividades en la empresa. Ejemplo, prever un ambiente adecuado para el funcionamiento de
los equipos.
Nota:
Ver anexo : Auditoria del Hardware
(Bib. Auditoria en informtica, Enrique Hernndez Hernndez, pag. 267)

SEMANA- 7
Sustentacin de avances de trabajo

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

14

SEMANA- 8
EXAMEN PARCIAL
SEMANA- 9
9.1 Auditoria en un centro de tecnologa de informacin: Recursos de Software
Controles:
Normalmente se aplica el modelo anteriormente descrito para efectuar los controles.
Sin embargo debe ponerse nfasis en algunos aspectos como por ejemplo:
Seguridad de los Programas
Se debe comprobar aspectos como:
Existen copias de seguridad de los programas
Existe un control de la manipulacin de programas
El almacenamiento de los programas fuentes, objetos y otros obedecen a las normas y
procedimientos establecidos.
9.2 Plan de contingencia
Orientado a establecer los respectivos planes de contingencia preventivo y correctivo que
requiera el rea, previo estudio de las reas o actividades ms importantes asociados a esta
actividad.
Ejm:
Contingencia preventiva: El uso de un ANTIVIRUS EN LINEA instalado en el sistema de red,
frente a archivos infectados del virus. Es preventiva porque permite evitar que el dao ocurra.
Contingencia correctiva: El uso de un ANTIVIRUS NO EN LINEA que permita desinfectar
los archivos atacados por el virus. Es correctiva porque permite disminuir los daos iniciados u
ocasionados.
9.3 Plan de seguridad
Orientado a establecer las medidas adecuadas que permitan garantizar la continuidad de los
procesos sistematizados de la empresa. Ejemplo disponer del funcionamiento de software con
licencias.
Nota:
Ver anexo : Auditoria del Software
(Bib. Auditoria en informtica, Enrique Hernndez Hernndez, pag. 277)

SEMANA- 10
10.1 Auditoria a Proyectos computacionales: Controles, estndares, otros.
Controles:
Normalmente se aplica el modelo anteriormente descrito para efectuar los controles.

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

15

Sin embargo debe ponerse nfasis en las fases del ciclo de vida del desarrollo de sistemas.
Estndares
Los estndares en los sistemas aplicativos se elabora segn los criterios de cada organizacin,
sin embargo todos ellos tienen como objetivo lograr mantener una uniformidad de criterios
operativos y de documentacin que permita facilitar la gestin del usuario. El Auditor debe
comprobar si estos estndares son adecuados, fiables y practicables.
Debe evaluarse la estructura organizativa y las distintas reas de responsabilidad, incluyendo
descripciones de puestos de trabajo de tal manera que permita al auditor conocer como
funciona la unidad.
Los estndares en los sistemas automatizados pueden clasificarse en:
a) Operativos
Control de datos, segn las mnimas necesidades de control, deben especificar las pistas de
datos, integridad de datos, etc.
Registro de procedimientos con normas y pautas para todos los sistemas.
Los procedimientos y controles de seguridad de SW y HW, las autorizaciones para el
acceso de datos, etc.
Evaluacin general de las necesidades que hay que satisfacer.
b) Implantacin
Los estndares de desarrollo afectan a la etapas de anlisis y diseo del sistema, los estndares
de implantacin deben apoyarse en procedimientos y documentacin adecuada.
Pruebas y verificacin de datos. Niveles de responsabilidad, etc.
Debe contener recomendaciones de normas y procedimientos de control
Mantenimiento Pos implantacin.
c) Documentacin
La documentacin representa un espejo del esquema funcional del sistema, incluyendo los
estndares, etc.
Auditoria de la Documentacin
Normalmente la documentacin del desarrollo de un sistema se va elaborando en forma
paralela al desarrollo de esta, sin embargo se considera completa; cuando esta contemple todos
los ajustes realizados; por lo que siempre se concluye despus que el sistema haya pasado la
fase de pruebas. Se debe verificar los estndares utilizados y que concuerden con el sistema en
funcionamiento.
Anlisis de los manuales del Usuario
Se deben preparar los manuales orientado a los usuarios que usaran el sistema, entre los
manuales ms importantes tenemos: Manual del sistema, de usuario y de operacin.
Auditoria de Desarrollo de Sistema
Esta orientado a la evaluacin de los mtodos y procedimientos usados para el procesamiento
de datos. No existe un momento oportuno para llevar a cabo la auditoria de desarrollo de
sistemas, este puede hacerse durante el desarrollo (en cualquier ciclo de vida de un sistema)
con la finalidad de lograr una calidad, consistencia y dinamismo del sistema.
La auditoria del Desarrollo busca lo siguiente:
Si se ha planificado correctamente, cumpliendo las necesidades de los usuarios
Si el control de proyectos es adecuado
Si los controles de requerimientos son adecuados como los solicita el usuario

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

16

Si las pruebas y verificaciones son adecuadas

Si los manuales son suficientes
Si cuentan con los estndares necesarios
Si se han previsto planes para la implantacin

La auditoria de desarrollo se lleva a cabo bsicamente sobre cada fase del ciclo de desarrollo
del sistema.
Auditoria de la Propuesta de automatizacin
Al inicio del proyecto debe tenerse en cuenta:
Si existen los controles de gestin adecuados en las etapas del desarrollo?

El equipo de direccin posee autoridad suficiente, para supervisar el proyecto?

Se han programado adecuadamente los tiempos de cada fase?
Existen bases adecuadas, que determinen los alcances con claridad?
Los estndares y procedimientos estn claramente especificados?

Las propuestas para los sistemas grandes son complejas y difciles de evaluar, siendo
necesario adoptar un enfoque sistemtico en la siguiente secuencia:
Identificacin de los objetivos
Identificacin de los procesos a desarrollar (alcances del sistema)
Entregables
Seguridad y continuidad de los sistemas
Etc.
Auditorias de los Programas y de las Pruebas
Se debe verificar entre otras cosas:
Los estndares de desarrollo programacin, adems de sus controles
Las relaciones de trabajo entre Analista y Programadores sean adecuadas
Las pruebas han sido adecuadamente planificadas
Se establecen procedimientos que permitan incorporar programas modificados a las
aplicaciones en prueba.
Se encuentre separado el rea de desarrollo y el operativo
Entre otros.

Auditoria de las Pruebas del Sistema

Es necesario que el sistema este adecuadamente integrado para iniciar el proceso de pruebas, la
cual debe verificar la integridad de datos en todos los procesos. Debe contemplarse lo
siguiente:
Una evaluacin con todo tipo de datos que permita simular el ciclo completo de operacin
del sistema.
Recolectar y preparar los posibles resultados que debera arrojar el sistema.
El auditor debe verificar los datos de prueba y la simulacin completa.

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

17

Plan de contingencia
Orientado a establecer los respectivos planes de contingencia preventivo y correctivo que
requiera el rea, previo estudio de las reas o actividades ms importantes asociados a esta
actividad.
NOTA: Ver anexo : Auditoria Durante el ciclo de desarrollo e implantacin de sistemas de
informacin
(Bib. Auditoria en informtica, Enrique Hernndez Hernndez, pag. 211)

Flujograma, tablas de decisin y especificaciones de Sistema.

Es importante que se refleje a travs de un flujograma de procedimientos el flujo de accin
tomado sobre los procesos ms importantes.

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

18

En el presente ejemplo se muestra el flujo de integracin entre las ventas y la cta.cte. de

clientes:

INICIO
Lee
Pend-cobr.
Lee
Fact-cobr.

Existe ?

S
Selecciona
registro
Lee
Fact-cobr.
actualiza
Lee
Cta-Cte
Clientes y
actualiza

SEMANA- 11

19

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

11.1 Auditoria a la Aplicaciones: Procesos administrativos sistematizados, financieros, etc.

Impacto de los Sistemas Mecanizados
Una de las ventajas ms importantes que tienen los sistemas integrados en una organizacin, es
la realizacin automtica de muchas actividades del proceso: Actualiza stock, actualiza
estados, actualiza precios, actualiza indicadores de accin para un usuario, etc. Si el control del
sistema es eficiente, la aplicacin automatizada puede ser mucho ms eficiente que un trabajo
manual; de lo contrario existe la probabilidad de riesgos econmicos muy altos.
REQUERIMIENT OS

PROCESO
FUNCIONAL

Document.
funcional

RESULT ADO

PROCESO
AUTOMATIZ.

Document.
automatiz.

ACCESO
USUARIO

Base de
datos

Esta fase corresponde a un estudio de las Aplicaciones o procesos de la organizacin, debe

identificar:
Cmo se establecen las bases o alcances del estudio?
Cmo se preparan los plazos de desarrollo?
Cmo se maneja la fase de desarrollo vs. la fase de produccin?
Los controles establecidos son los ms adecuados?
Los controles de pruebas funcionales son adecuados?
Existen pistas de auditoria en los diseos?
Cmo se llevan a cabo los correctivos?
Los manuales estn actualizados?
Se han establecido planes de contingencia adecuados?

SEMANA- 12
12.1 Soporte a la auditoria financiera

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

20

@ STATISTICS ON UNCST TO SCREEN NUMBER 5

Field : UNCST
Number
Total
Average
Positive : 149
2,642.35
17.73
Zeros :
0
Negative :
3
-16.88
-5.63
Totals : 152
2,625.47
17.27
Abs Value:
2,659.23
Range :
388.07
Highest : 381.20 173.80 155.80 137.80 87.40
Lowest : -6.87 -6.80 -3.21 0.01 0.03

12.2 Software de Actualidad usados en la Auditoria de Sistemas para evaluar DATOS

Actualmente una de las herramientas de Software ms usado en el ambiente de la auditoria de
Sistemas es el ACL (Lenguaje de comandos de auditoria), el cual permite realizar clculos
matemticos y financieros que facilitan el anlisis de datos de los sistemas automatizados.
Existen otros softwares como el Focus Group, etc.

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

21

Hardware bsico requerido

El hardware que se requiera depende del software a ser instalado:
Si se tiene un ACL para Mainframe, el requerimiento de disco es mayor que si se instala un
ACL para PC.
En PC normalmente la configuracin es la bsica: 16 Mb. De RAM y el tamao del disco
depende del volumen de datos a evaluar.
Control de los datos
El objetivo es garantizar que sean exactos, que sean los que corresponda y que estn
completos.
Normalmente las empresas llevan a cabo este control a travs del rea de auditoria interna o
externa de sistemas o en el rea de produccin a travs de los Analistas Funcionales.
SEMANA- 13
13.1 Polticas de seguridad de datos
La implantacin de procedimientos de seguridad, reduce los riesgos pero no los elimina
totalmente. La organizacin debe contar con un plan de emergencia (medidas de contingencia)
prctico y documentado que pueda responder ante cualquier riesgo que se presente. Una de las
medidas que toda empresa debe tener presente es el Seguro contra riesgo, cuya cobertura
debe ser la ms amplia posible.
Los datos constituyen uno de los recursos ms importantes que existe en una organizacin, por
lo tanto se debe verificar que:
Existan estndares, procedimientos y polticas de Backup definidos.
Existen controles adecuados para evitar la manipulacin de los datos
Los almacenamientos de datos estn codificados para su identificacin
Etc.
NOTA: ver anexo de Auditoria de seguridad
(Bib. Auditoria en informtica, Enrique Hernndez Hernndez, pag. 285)

13.2 Aspectos legales

El auditor debe actuar con prudencia y cautela de tal manera de no levantar sospechas de los
implicados en el caso, para luego comunicar a quien corresponda, la presencia del asesor
jurdico o de la polica es importante. Los documentos que forman parte de la evidencia deben
estar custodiados.
Actualmente la disposicin legal sobre fraude informtico es escasa e imprecisa.
Lo que los abogados y la polica tratar de ahondar en las evidencias y pruebas para evaluar si
procede la acusacin

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

22

La auditoria en nuestro pas esta normada por:

Contralora general de la Repblica, a travs del NAGU y MAGU
La Superintendencia de Banca y Seguros, para el sector privado.
Existen otras normas como el NAGA (Normas de auditoria generalmente aceptadas) y el NIA
(Normas de auditoria internacional)
SEMANA- 14, 15
Presentacin y sustentacin de los trabajos
SEMANA- 16
EXAMEN FINAL
FUENTES DE INFORMACIN O BIBLIOGRAFIA
El alumno podr utilizar, entre otras; la siguiente bibliografa:
-

A.J. Thomas

Auditoria Informtica.
Editorial Paraninfo, Espaa, 1988
Soporte Computacional a la
Coopers & Lybrand
Auditoria
MAGU, NAGU
Contralora General de la Repblica
I.B.M. del Per
Curso de Auditoria de Sistemas 1996
I.B.M. del Per
Curso de Seguridad de Sist. 1996
AICPA
Manual del Inst. Americano de Cont. Pblicos
ILAC
Manual del Inst. de Auditores Int.
Carlos A. Siosse Auditoria un nuevo enfoque empres.
Buenos Aires,1990
Enrique Hernandez Auditoria en informtica, un enfoque
Mexico.1996
metodolgico
Jose Antonio Ech. Auditoria en informtica
Mc Graw-Hill

UNIVERSIDAD INCA GARCILASO DE LA VEGA

FACULTAD DE INGENIERA DE SISTEMAS Y

COMPUTO
SYLLABUS
1.

DATOS GENERALES
- Nombre de la Asignatura
- Nro. de Crditos

: AUDITORIA DE SISTEMAS
:3

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

- Nro. Horas Teora y Prctica

- Pre-requisito
- Carcter
- Ciclo Acadmico
- Profesor

23

: 4 (2 Teora, 2 Prctica)
: I406
: Obligatorio
: Dcimo Ciclo
: Ing. Humberto Arteaga C.

B.

SUMILLA
Proporcionar al alumno las herramientas tcnicas y procedimientos necesarios para evaluar
la gestin del rea de Tecnologa de Informacin abordando todas las reas involucradas
en ella (Sistemas de informacin, operaciones, desarrollo, aplicaciones, etc.) adems para
detectar riesgos de seguridad

C.

OBJETIVOS GENERALES
Conocer las herramientas, metodologa y conceptos ms importantes que permitan aplicar
la auditoria de sistemas en las Organizaciones.
OBJETIVOS ESPECIFICOS
1.
Conocer las Herramientas y Metodologa utilizada en la Auditoria.
2.
Identificar el Papel del auditor de Sistemas.
3.
Definicin de los Controles y Estndares de la Auditoria
4.
Dotar de los conocimientos bsicos para aplicar la Auditoria de Sistemas privada y
Pblica.
5.
Evaluar la Gestin, Normas, Polticas, Procedimientos, Servicios
En un Centro de Tecnologa de Informacin
6.
Evaluar riesgos en todas las actividades que realiza el rea

D.

TEMATICA

E.

SISTEMA DE ENSEANZA - APRENDIZAJE

La metodologa utilizada es integral, con participacin del Alumno durante las clases:
Terico y prcticas dirigidas. Se supervisar un trabajo real de Auditoria a un Centro de
Tecnologa de Informacin.
Nota: Se recomienda que en coordinacin con el Departamento de Auditoria interna de la
Universidad, los Alumnos puedan hacer sus prcticas de Auditoria de Sistemas en sus
instalaciones.

F.

EQUIPOS Y MATERALES REQUERIDOS

- Pizarra para las clases tericas y/o Prcticas
- PC. Para la instalacin de un software de auditoria
- Proyector de transparencias o can multimedia

G.

SISTEMA DE EVALUACION
La evaluacin es uniforme, el cual ser de la sgte. Manera:
N1: Nota promedio de trabajos, orales, exposicin
N2: Nota de Examen parcial
N3: Nota de Examen final

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

24

NP: Nota promedio del Curso

1 * N1 + 1 * N2 + 1 * N3
NP = --------------------------------------3

H.

FUENTES DE INFORMACIN O BIBLIOGRAFIA

El alumno podr utilizar, entre otras; la siguiente bibliografa:
-

A.J. Thomas

Auditoria Informtica.
Editorial Paraninfo, Espaa, 1988
Soporte Computacional a la
Coopers & Lybrand
Auditoria
MAGU, NAGU
Contralora General de la Repblica
I.B.M. del Per
Curso de Auditoria de Sistemas 1996
I.B.M. del Per
Curso de Seguridad de Sist. 1996
AICPA
Manual del Inst. Americano de Cont. Pblicos
ILAC
Manual del Inst. de Auditores Int.
Carlos A. Siosse Auditoria un nuevo enfoque empres.
Buenos Aires,1990
Enrique Hernandez Auditoria en informtica, un enfoque
Mexico.1996
metodolgico
Jose Antonio Ech. Auditoria en informtica
Mc Graw-Hill
COBIT

Control
Objetives for Information
and Related
tecnology, information system Audit and Control
foundation Rolling Meadows II

UNIVERSIDAD NACIONAL DEL CALLAO

FACULTAD DE INGENIERA INDUSTRIAL Y DE

SISTEMAS
SYLLABUS
2.

B.

DATOS GENERALES
- Nombre de la Asignatura
- Nro. de Crditos
- Nro. Horas Teora y Prctica
- Pre-requisito
- Carcter
- Ciclo Acadmico
- Profesor
SUMILLA

: AUDITORIA DE SISTEMAS
:4
: 4 (2 Teora, 2 Prctica)
: Sistemas de Informacin Gerencial
: Obligatorio
: Dcimo Ciclo
: Ing. Humberto Arteaga C.

Ing. Humberto Arteaga - CURSO DE AUDITORIA DE SISTEMAS

25

Proporcionar al alumno las herramientas tcnicas y procedimientos necesarios para evaluar

la gestin del rea de Tecnologa de Informacin abordando todas las reas involucradas
en ella (Sistemas de informacin, operaciones, desarrollo, aplicaciones, etc.) adems para
detectar riesgos de seguridad
C.

OBJETIVOS GENERALES
Conocer las herramientas, metodologa y conceptos ms importantes que permitan aplicar
la auditoria de sistemas en las Organizaciones.
OBJETIVOS ESPECIFICOS
6.
Conocer las Herramientas y Metodologa utilizada en la Auditoria.
7.
Identificar el Papel del auditor de Sistemas.
8.
Definicin de los Controles y Estndares de la Auditoria
9.
Dotar de los conocimientos bsicos para aplicar la Auditoria de Sistemas privada y
Pblica.
10.
Evaluar la Gestin, Normas, Polticas, Procedimientos, Servicios
En un Centro de Tecnologa de Informacin
6.
Evaluar riesgos en todas las actividades que realiza el rea

D.

TEMATICA

E.

SISTEMA DE ENSEANZA - APRENDIZAJE

La metodologa utilizada es integral, con participacin del Alumno durante las clases:
Terico y prcticas dirigidas. Se supervisar un trabajo real de Auditoria a un Centro de
Tecnologa de Informacin.
Nota: Se recomienda que en coordinacin con el Departamento de Auditoria interna de la
Universidad, los Alumnos puedan hacer sus prcticas de Auditoria de Sistemas en sus
instalaciones.