AUDITORIA

 Viene del latín Auditorius y de

esta proviene auditor, que tiene
la virtud de oír y revisar cuentas,
encaminado a un objetivo
especifico que es el de evaluar
la eficiencia y eficacia con que
esta operando un sistema.
CONCEPTOS DE ALGUNOS
EXPERTOS EN LA MATERIA
AUDITORIA DE SISTEMAS:
a) La verificación de controles en el
procedimiento de la informática,
desarrollo de sistemas e instalación
con el objetivo de evaluar su
efectividad y presentar recomen-
daciones a la gerencia.
CONCEPTOS DE ALGUNOS
EXPERTOS EN LA MATERIA
AUDITORIA DE SISTEMAS:
b) La actividad dirigida a verificar y
juzgar información.
c) El proceso de recolección de
evidencia para determinar si un
sistema automatizado: salvaguarda,
mantiene integridad de los datos,
consume recursos eficientemente …
CONCEPTOS DE ALGUNOS
EXPERTOS EN LA MATERIA
AUDITORIA DE SISTEMAS:
d) Es el examen o revisión de carácter
Objetivo (independiente)
Critico (Evidencias)
Sistemático (normas)
Selectivo (muestras)
Profesional (imparcial) . . .
AUDITORIA DE SISTEMAS

Conjunto de pasos, métodos, técnicas,

procesos que se encargan de la
evaluación de normas, controles,
técnicas, procedimientos, para
determinar las debilidades y fortalezas
que tiene la organización y a su vez
brindar confiabilidad, veracidad,
precisión, oportunidad, seguridad de la
información que se procesa a través de
los sistemas de información.
AUDITORIA DE SISTEMAS

IMPORTACIA: se basa en que al

evaluar y buscar mejoras o fallas
estamos encontrando controles
internos y externamente en busca
de aumentar la imagen de la
organización…
… una auditoria realizada a tiempo
puede evitar la quiebra de una
empresa…
 CARACTERISTICAS

a) IMPARCIAL

b) RAPIDA

c) COMPLETA
 CLASIFICACIÓN
 Según el ente que la aplique:
* Interna
* Externa
 Según el sistema auditado:
- Preventiva:
* Sistema en Desarrollo.
- Correctiva:
* Sistema en Producción.
* Centro de Computo.
 CLASIFICACIÓN
 Según la Periodicidad:
* Periódicas
* No Periódicas
 Perfil del Auditor
 Conocimientos en Sistemas y auditoria
 Honesto
 Habilidades para la expresión
 Responsable
 Objetivo
 Critico
 Disciplinado, Ordenado
 Perspicaz, suspicaz, Audaz
 Experimentado (opcional) …
RESPONSABILIDADES DEL

AUDITOR LIDER
 Consultar y consensuar con el cliente el
alcance de la auditoria.
 Formación del equipo auditor.
 Definir normas y criterios con su equipo.
 Dirigir las actividades del equipo auditor.
 Preparar las comunicaciones.
 Coordinar las preparaciones de los documentos
y procedimientos detallados de trabajo.
 Rol del Auditor de sistemas
Auditor

Consultor

Analista de
Riesgo

Auditor de
sistemas
 CONSULTOR:
 Debe participar como
consultor en el desarrollo de los
sistemas, desde el estudio de
factibilidad hasta el diseño e
implementación.
Actúa como consultor
asegurándose de que existan
los controles necesarios y pistas
de auditoria en el diseño de los
sistemas nuevos.
 CONSULTOR:
 Entrevista a
personal profesional y no
profesional del área de
procesamiento de datos.
Asesora en la adquisición de
nuevas tecnologías.
Realiza recomendaciones
generales.
 AUDITOR:
 Se realiza a los sistemas
existentes, chequea y verifica
los controles existentes en
el Software, identifica
errores y vulnerables en lo
referente a la seguridad de los
sistemas y reporta sus
hallazgos en la gerencia.
 AUDITOR:
 Revisa documentos, analiza el
flujo de datos dentro de un
sistema utilizando para ello el
código fuente, realiza muestreos
estadísticos, prueba y validación
de datos en forma automática y
verifica que la información en
ciertos registros es completa y
fidedigna.
 AUDITOR:
 Utiliza Software de auditoria
de sistemas para acceder y
probar segmentos particula-
res de las bases de datos y
registros de los archivos
maestros, sin que estos sean
modificados.
 ANALISTA DE RIESGO
 Se involucra en la preparación del
analista de riesgos de los sistemas
actuales.

 Participa en el desarrollo del

PLAN DE CONTINGENCIA.

 Participa en las pruebas del Plan

de Contingencia.
 PLAN DE
CONTINGENCIA
El analista de riesgo de
informática creara para las
empresas y departamentos un
Plan de Contingencias informáticas
que incluya almenos los siguientes
puntos:
 PLAN DE CONTINGENCIAS

a) Continuar con las operaciones de

la unidad administrativa con
procedimientos informáticos
alternos.
b) Tener los respaldos de informa-
ción en un lugar seguro, fuera
del lugar donde se encuentran
los equipos.
 PLAN DE CONTINGENCIAS

c) Tener los apoyos por medios

magnéticos o en forma
documental, de las operaciones
necesarias para reconstruir los
archivos dañados.
d) Contar con un instructivos de
operaciones para detección de
posibles fallas,
 PLAN DE CONTINGENCIAS

para que toda acción correctiva

se efectúe con la mínima
degradación posible de los datos
e) Contar con un directorio del
personal interno y del personal
externo de soporte, al cual se
pueda recurrir en el momento en
que se detecte cualquier
anomalía.
 PLAN DE CONTINGENCIAS

f) Ejecutar pruebas de funcionali-

dad del plan.
g) Mantener revisiones del plan a
fin de efectuar las actualiza-
ciones respectivas.
 AUDITORIA DE
SISTEMAS
Roles del Auditor:
AUDITOR
ANALISTA DE RIESGO
CONSULTOR.
 CONTROLES

Conjunto de disposiciones
metódicas, cuyo fin es vigilar las
funciones y actitudes de las
empresas, para verificar si todo
se realiza conforme a los programas
adoptados, ordenes impartidas y
principios admitidos.
CLASIFICACIÓN GENERAL
DE LOS CONTROLES
 PREVENTIVOS:

Son aquellos que reducen la

frecuencia con que ocurren las
causas del riesgo, permitiendo cierto
margen de violación.
CLASIFICACIÓN GENERAL
DE LOS CONTROLES
 DETECTIVOS:
Son aquellos que no evitan que
ocurran las causas de riesgo sino que
los detecta luego de ocurridos.
Son los mas importantes para el
auditor. En cierta forma sirven
para evaluar la eficiencia de los
controles preventivos.
CLASIFICACIÓN GENERAL
DE LOS CONTROLES
 CORRECTIVOS:

Ayudan a la investigación y
corrección de las causas del riesgo.
 PRINCIPALES CONTROLES
FÍSICOS Y LÓGICOS

 AUTENTICIDAD: (verifica la identidad)

1.- Passwords
2.- Firmas digitales

 EXACTITUD: (asegura la coherencia de los datos)

1.- Validación de campos
2.- Validación de excesos
 PRINCIPALES CONTROLES
FÍSICOS Y LÓGICOS

 TOTALIDAD: (evita la omisión de registros)

1.- Conteo de Registros
2.- Cifras de control

 REDUNDANCIA: (evitan la duplicidad de datos)

1.- Cancelación de lotes
2.- Verificación de secuencias
 PRINCIPALES CONTROLES
FÍSICOS Y LÓGICOS

 PRIVACIDAD: (asegura la protección de los datos)

1.- Compactación
2.- Encriptación

 EXISTENCIA: (asegura la protección de los datos)

1.- Bitácora de estado
2.- Mantenimiento de Archivos
 PRINCIPALES CONTROLES
FÍSICOS Y LÓGICOS

 PROTECCIÓN DE ARCHIVOS: (evita la

destrucción o corrupción de la información o
Hardware)
1.- Extintores
2.- Passwords
 METODOLOGIA
PARA REALIZAR
UNA AUDITORIA A
UN SISTEMA EN
PRODUCCIÓN
 METODOLOGIA PARA REALIZAR
UNA AUDITORIA A UN SISTEMA
EN PRODUCCIÓN
FASE I : PLAN DE TRABAJO
Es la fase de definición y preparación de la
Auditoria y el cronograma de trabajo, ya en
esta fase se ha seleccionado el equipo Auditor,
de acuerdo a lo establecido en los anexos A
y B de la Norma ISO 10011-2.
En la selección de los Auditores, generalmente
participan el Auditor principal o líder conjunta-
mente con el cliente y en pocos casos los
auditados.
 FASE I : PLAN DE TRABAJO

ACTIVIDADES:
 Seleccionar el Sistema a Auditar.
 Estudiar la Metodología para Auditar el Sistema.
 Diseñar el Formato para el Plan de Trabajo.
 Determinar las actividades para cada una de las
fases de la Metodología.
 Estimar la duración, recursos y resultados para
cada una de las fases.
 Elaborar el Plan de Trabajo.
 Formato para realizar el Plan
de Trabajo
Identificación y Logo de la Empresa Auditora Identificación y Logo de la Empresa Auditada
Inicio y fin de la Auditoria.

TITULO DEL TRABAJO

FASE # “NOMBRE
OBJETIVO DE LA FASE
Actividades Responsable Fecha Ubicación Responsable Representante de la Observaciones Recursos
Empresa

Firma de los Auditores.

Firma del Tutor de la Empresa.
Nota: Este Formato no es Estándar.
 FASE II : LEVANTAMIENTO DE LA INFORMACIÓN

ACTIVIDADES:
 Revisar toda la bibliografía existente.
 Elaborar el glosario de términos.
 Elaborar el cronograma de entrevistas.
 Establecer las preguntas para cada una de las
entrevistas.
 Realizar las entrevistas.
 Elaborar el levantamiento de la información.
 Diseñar el modelo conceptual del sistema.
 Formato para Realizar el
Cronograma de las Entrevistas

EL MISMO MEMBRETE YA ESTABLECIDO

TITULO DEL TRABAJO
FASE # “NOMBRE”
CROGRAMA DE ENTREVISTAS
Nombre Cargo Departamento Fecha Hora Lugar Responsable Observaciones Recursos

Firma de los Auditores.

Firma del Tutor de la Empresa.
Nota: Este Formato no es Estándar.
 Formato para Realizar el
Levantamiento de la Información
EL MISMO MEMBRETE YA ESTABLECIDO
TITULO DEL TRABAJO
FASE # “NOMBRE”
LEVANTAMIENTO DE LA INFORMACIÓN
NOMBRE Y APELLIDO:
CARGO: DEPARTAMENTO:
FECHA: HORA: LUGAR:
AUDITORES:
PUNTOS TRATADOS

Firma de los Entrevistadores.

Firma del Entrevistado.
Nota: Este Formato no es Estándar.
 FASE III : NAVEGACIÓN DEL SISTEMA

ACTIVIDADES:
 Efectuar un respaldo del sistema.
 Verificar el funcionamiento del sistema.
 Imprimir todas las pantallas principales.
 Ubicar las debilidades, a nivel de pantallas que
presenta el sistema.
 Recolectar las evidencias.
 Elaborar el Cuadro de debilidades.
 Elaborar la Carta Estructurada del Sistema.
 Formato para el Cuadro de
Debilidades de la Pantalla

EL MISMO MEMBRETE YA ESTABLECIDO

TITULO DEL TRABAJO
FASE # “NOMBRE”
CUADRO DE DEBILIDADES DE LA PANTALLA
DEBILIDAD UBICACIÓN EXPLICACIÓN EVIDENCIA SOLUCIÓN OBSEVACIÓN

Nota: Este Formato no es Estándar.

 FASE IV : DOCUMENTACIÓN DE
PROGRAMAS Y ARCHIVOS

ACTIVIDADES:
 Obtener los programas fuentes.
 Imprimir los programas fuentes.
 Analizar los procedimientos de los
programas del sistema.
 Elaborar la documentación de los
programas y los archivos
 Ubicar las debilidades de los programas y
los archivos
 FASE IV : DOCUMENTACIÓN DE
PROGRAMAS Y ARCHIVOS

ACTIVIDADES:
 Recolectar evidencias.
 Elaborar el cuadro de debilidades de los
programas y archivos.
 Formato para Documentar los
Programas

EL MISMO MEMBRETE YA ESTABLECIDO

TITULO DEL TRABAJO
FASE # “NOMBRE”
DOCUMENTACIÓN DE LOS PROGRAMAS
DOCUMENTACIÓN DEL PROGRAMA NOMBRE DEL MODULO

DIAGRAMA DE FLUJO COMENTARIOS DEL DIAGRAMA DE FLUJO

OBSERVACIÓN:

Nota: Este Formato no es Estándar.

 Formato para Documentar los
Archivos
EL MISMO MEMBRETE YA ESTABLECIDO
TITULO DEL TRABAJO
FASE # “NOMBRE”
DOCUMENTACIÓN DE LOS ARCHIVOS

SE DEBE COLOCAR EL ESQUEMA FISICO SELECCIONADO POR EL EQUIPO.

EJEMPLO:

CAMPO DESCRIPCIÓN TIPO LONGITUD CLAVE

Nota: Este Formato no es Estándar.

 Formato para el Cuadro de
Debilidades de Los Programas

EL MISMO MEMBRETE YA ESTABLECIDO

TITULO DEL TRABAJO
FASE # “NOMBRE”
CUADRO DE DEBILIDADES DE LOS PROGRAMAS
DEBILIDAD UBICACIÓN EXPLICACIÓN EVIDENCIA SOLUCIÓN OBSEVACIÓN

Nota: Este Formato no es Estándar.

 Formato para el Cuadro de
Debilidades de Los Archivos

EL MISMO MEMBRETE YA ESTABLECIDO

TITULO DEL TRABAJO
FASE # “NOMBRE”
CUADRO DE DEBILIDADES DE LOS ARCHIVOS
DEBILIDAD UBICACIÓN EXPLICACIÓN EVIDENCIA SOLUCIÓN OBSEVACIÓN

Nota: Este Formato no es Estándar.

 FASE V : Pruebas de Integridad y
Consistencia.

ACTIVIDADES:
 Efectuar un respaldo del sistema
 Diseñar las pruebas.
 Elaborar la documentación de la pruebas.
 Aplicar las pruebas y obtener los reportes
 Elaborar la matriz de prueba.
Formato para Realizar la Matriz de
Prueba

EL MISMO MEMBRETE YA ESTABLECIDO

TITULO DEL TRABAJO
FASE # “NOMBRE”
MATRIZ DE PRUEBA

Nombre Descripción Aprobada Rechazada Ponderación Evidencia

Nota: Este Formato no es Estándar.

 FASE VI : Evaluación de la
Documentación Existente.

ACTIVIDADES:
 Recolectar toda la información existente.
 Revisar y evaluar el estado de la
documentación: (cuales documentos
existen, condición en que se encuentran,
donde se localizan, quienes lo tienen,
quien debería tenerlos, presentación,
vocabulario utilizado, redacción, ortografía,
frecuencia con que se utilizan, entre otros).
 FASE VII : Evaluación de la
Satisfacción del Usuario.

ACTIVIDADES:
 Diseñar las encuestas.
 Aplicar las encuestas a los usuarios.
 Analizar y tabular las respuestas obtenidas
 Elaborar un informe de satisfacción del
usuario.
 Graficar los resultados.
 FASE VIII : Informe final de Auditoria.

ACTIVIDADES:
 Realizar una descripción del sistema.
 Recopilar todas las debilidades y
fortalezas encontradas en las tareas
anteriores. (DOFA)
 Recomendar y señalar las evidencias para
cada debilidad del sistema.
 Explicar cada una de las debilidades y
fortalezas del sistema.
 FASE VIII : Informe final de Auditoria.

ACTIVIDADES:
 Emitir recomendaciones generales sobre
el sistema.
 Elaborar el informe final de Auditoria.
 Realizar una Minuta de clausura de la
Auditoria.
 Elaborar el informe oral de la Auditoria
RESPONDER LAS DUDAS DE
LOS ASISTENTES.

 RELATAR LA EXPERIENCIAS
VIVIDAS EN SU TRABAJO DE
CAMPO.
 EMITIR LA AUTOEVALUACIÓN.
 RECIBIR LA COOEVALUACIÓN.
 RECIBIR LA EVALUACIÓN.
FIN..