Professional Documents
Culture Documents
Auditoria Informática Todas Las Unidades
Auditoria Informática Todas Las Unidades
Pgina 1
INSTITUTO TECNOLGICO DE APIZACO
LIC. EN INFPRMATICA
ASIGNATURA:
AUDITORIA INFORMATICA
TRABAJO:
AUDITORIA INFORMATICA
CATEDRATICO:
LIC. MARTIN ROJAS RAMIREZ
ALUMNO:
AGUSTIN DE GANTE PERALTA
30 NOVIEMBRE 2011
AUDITORIA INFORMTICA
INDICE
Presen!"#$n%%%%%%%%%%%%%%%%%%%%%%%%%%%.1
In"#&e%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%2
Inr'&(""#$n%%%%%%%%%%%%%%%%%%%%%%%%%%%%3
1.) Inr'&(""#$n ! *! A(&#'r#!
1.1 C'n"e+'s &e !(&#'r#! , !(&#'r#! In-'r./#"!%%%%%%%%%%%%3
1.2 T#+'s &e !(&#'r#!%%%%%%%%%%%%%%%%%%%%%%%%%.0
1.2.1 A(&#'r#! #nern! , e1ern!%%%%%%%%%%%%%%%%%%%%.0
1.3 C!.+' &e *! !(&#'r#! #n-'r./#"!%%%%%%%%%%%%%%%%%..2
1.3 C'nr'* #nern'%%%%%%%%%%%%%%%%%%%%%%%%%%10
1.4 M'&e*'s &e "'nr'* (#*#5!&'s en !(&#'r#! #n-'r./#"!%%%%%%%%11
1.6 Pr#n"#+#'s !+*#"!&'s ! *'s !(&#'res #n-'r./#"'s%%%%%%%%%%..16
1.0 Res+'ns!7#*#&!&es &e *'s !&.#n#sr!&'res , &e* !(&#'r%%%%%%%.18
2 P*!ne!"#$n &e *! !(&#'r#! In-'r./#"!.
2.1 F!ses &e *! !(&#'r#!%%%%%%%%%%%%%%%%%%%%%%%%23
2.1.1 P*!ne!"#$n%%%%%%%%%%%%%%%%%%%%%%%%%%%...24
2.1.2 Re9#s#$n +re*#.#n!r..%%%%%%%%%%%%%%%%%%%%%%%.24
2.1.3 Re9#s#$n &e!**!&!. %%%%%%%%%%%%%%%%%%%%%%%26
2.1.3 E1!.en , e9!*(!"#$n &e *! #n-'r.!"#$n%%%%%%%%%%%%%%26
2.1.4 Pr(e7!s &e "'nr'*es &e (s(!r#'%%%%%%%%%%%%%%%%%.20
2.1.6 Pr(e7!s s(s!n#9!s%%%%%%%%%%%%%%%%%%%%%%%.20
2.2 E9!*(!"#$n &e *'s s#se.!s &e !"(er&' !* r#es:'%%%%%%%%%%%22
2.3 In9es#:!"#$n +re*#.#n!r%%%%%%%%%%%%%%%%%%%%%%.33
2.3 Pers'n!* +!r#"#+!ne. %%%%%%%%%%%%%%%%%%%%%%%36
3 A(&#'r#! &e *! -(n"#$n #n-'r./#"!.
3.1 Re"'+#*!"#$n &e *! #n-'r.!"#$n 'r:!n#5!"#'n!*%%%%%%%%%%%..32
3.2 E9!*(!"#$n &e *'s re"(rs's ;(.!n's%%%%%%%%%%%%%%%%33
3.3 Enre9#s!s "'n e* +ers'n!* &e #n-'r./#"!%%%%%%%%%%%%......30
3.3 S#(!"#$n +res(+(es!* , -#n!n"#er!%%%%%%%%%%%%%%%%%40
3.3.1 Pres(+(es's%%%%%%%%%%%%%%%%%%%%%%%%%%40
3.3.2 Re"(rs's -#n!n"#er's , .!er#!*es%%%%%%%%%%%%%%%%..41
Pgina 2
AUDITORIA INFORMTICA
3 E9!*(!"#$n &e *! se:(r#&!&.
3.1 Gener!*#&!&es &e *! se:(r#&!& &e* /re! -<s#"!%%%%%%%%%%%%42
3.2 Se:(r#&!& *$:#"! , "'n-#&en"#!*. %%%%%%%%%%%%%%%%%..43
3.3 Se:(r#&!& +ers'n!*. %%%%%%%%%%%%%%%%%%%%%%%..44
3.3 C*!s#-#"!"#$n &e *'s "'nr'*es &e se:(r#&!&. %%%%%%%%%%%%44
3.4 Se:(r#&!& en *'s &!'s , s'-=!re &e !+*#"!"#$n%%%%%%%%%%...40
3.6 C'nr'*es +!r! e9!*(!r s'-=!re &e !+*#"!"#$n%%%%%%%%%%%..48
3.0 C'nr'*es +!r! +re9en#r "r<.enes , -r!(&es #n-'r./#"'s%%%%%%..62
3.2 P*!n &e "'n#n:en"#!> se:(r's> +r'"e&#.#en's &e re"(+er!"#$n &e
&es!sres%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%...63
3.8 T?"n#"!s , ;err!.#en!s re*!"#'n!&!s "'n *! se:(r#&!& -<s#"! , &e*
+ers'n!*. %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%62
3.10 T?"n#"!s , ;err!.#en!s re*!"#'n!&!s "'n *! se:(r#&!& &e *'s &!'s ,
s'-=!re &e !+*#"!"#$n. %%%%%%%%%%%%%%%%%%%%%%%%.68
4 A(&#'r#! &e *! se:(r#&!& en *! e*e#n-'r./#"!.
4.1 Gener!*#&!&es &e *! se:(r#&!& en e* /re! &e *! e*e#n-'r./#"!%%%%00
4.2 O7@e#9's , "r#er#'s &e *! !(&#'r#! en e* /re! &e *! e*e#n-'r./#"!%%03
4.3 S<n'.!s &e r#es:'%%%%%%%%%%%%%%%%%%%%%%%%06
4.3 T?"n#"!s , ;err!.#en!s &e !(&#'r#! re*!"#'n!&!s "'n *! se:(r#&!& en *!
e*e#n-'r./#"!%%%%%%%%%%%%%%%%%%%%%%%%%%%%..20
6 In-'r.e &e *! !(&#'r#! #n-'r./#"!.
6.1 Gener!*#&!&es &e *! se:(r#&!& &e* /re! -<s#"!%%%%%%%%%%%%22
6.2 C!r!"er<s#"!s &e* #n-'r.e. %%%%%%%%%%%%%%%%%%%%24
6.3 Esr("(r! &e* #n-'r.e%%%%%%%%%%%%%%%%%%%%%%%80
6.3 F'r.!' +!r! e* #n-'r.e. %%%%%%%%%%%%%%%%%%%%%106
C'n"*(s#$n%%%%%%%%%%%%%%%%%%%%%%%%%%%%..111
B#7*#':r!-<!%%%%%%%%%%%%%%%%%%%%%%%%%%%%%.112
INTRODUCCION
Pgina 3
AUDITORIA INFORMTICA
En un ambiente donde la informtica esta encabezando el trabao en las diferentes
oficinas e instituciones! el almacenamiento! eecuci"n # $rocesamiento de los
datos se esta %aciendo &'a com$utadoras! $or lo tanto en el trabao de la auditoria
tambi(n es al)o indis$ensable* Aun+ue en el ambiente de la informtica la
com$utadora es el medio $rinci$al $ara auditar $ero no %a# +ue ol&idar +ue es a la
$ersona unto a la informaci"n la cual estamos auditando # no la com$utadora en
si! no se cambi" el es$irito de la auditor'a tradicional! solamente se cambi" el
m(todo*
,ara dar un meor ser&icio a la comunidad! nuestro $a's desde los a-os ./ #a
em$ez" a utilizar las $rocesadoras $ara $rocesar informaciones En 0123! el 4uan
5e)islati&o em$ez" a $romo&er el uso del sistema informati&o! constru#endo redes
informati&as entre la informtica industrial # su $ro)reso! nominando al )ru$o de
trabao 6 7ru$o de $romoci"n de la informtica6! en casi todos los lu)ares!
em$ezando $or instalaci"n de )ru$os de trabaos en el $rocesamiento de datos e
informaciones en las $ro&incias! ciudades # otras reas! enfocando $rinci$almente
en las reas financieras! medicas! sistema de se)uro social! im$uestos!
o$ortunidades de trabao # otras informaciones $ara facilitar el trabao del $8blico*
El Ministerio de la Auditoria! llamado tambi(n 5a Oficina de la Auditoria 9NAO:! $or
el cambio del ambiente de trabao tradicional a la nue&a de la informtica! en estos
a-os de $romo&er la Auditoria Informtica se %an obtenido mu# buenos resultados
dentro de esta rea! se %an %ec%o $lanes! tcticas de trabao # lo ms im$ortante
$rocesar los resultados de las ins$ecciones de la auditoria $ara $oder analizarlos
des$u(s*
UNIDAD 1 INTRODUCCIAN A LA AUDITORIA INFORMBTICA.
Pgina 4
AUDITORIA INFORMTICA
1.1 CONCEPTOS DE AUDITORIA C AUDITORIA INFORMBTICA.
CONCEPTO DE AUDITORIA:
5a auditor'a es el e;amen cr'tico # sistemtico +ue realiza una $ersona o )ru$o de
$ersonas inde$endientes del sistema auditado*
FUNCIAN A DESARROLLAR DE UNA AUDITORIA
<In&esti)aci"n constante de $lanes # obeti&os
<Estudio de las $ol'ticas # sus $rcticas
<Re&isi"n constante de la estructura or)nica
<Estudio constante de las o$eraciones de la em$resa
<Analizar la eficiencia de la utilizaci"n de recursos %umanos # materiales *
<Re&isi"n del e+uilibrio de las car)as de trabao
<Re&isi"n constante de los m(todos de control
CONCEPTO DE INFORMBTICA
es el cam$o +ue se encar)a del estudio # a$licaci"n $rctica de la tecnolo)'a!
m(todos! t(cnicas # %erramientas relacionados con las com$utadoras # el maneo
de la informaci"n $or medios electr"nicos! el cual com$rende las reas de la
tecnolo)'a de informaci"n orientadas al buen uso # a$ro&ec%amiento de los
recursos com$utacionales $ara ase)urar +ue la informaci"n de las or)anizaciones
flu#a 9entidades internas # e;ternas de los ne)ocios: de manera o$ortuna # &eraz
CONCEPTOS DE AUDITORIA INFORMBTICA
,roceso metodol")ico eecutado $or es$ecialistas del rea de auditor'a # de
informtica*
Orientado a la &erificaci"n # ase)uramiento de +ue las $ol'ticas # $rocedimientos
establecidos $ara el maneo # uso adecuado de la tecnolo)'a de informaci"n! se
lle&en a cabo de manera o$ortuna # eficiente*
=ue o$eren en un ambiente se se)uridad # control $ara )enerar confiabilidad!
inte)ridad! e;actitud! etc* en los datos**
Pgina 5
AUDITORIA INFORMTICA
Debe )enerar un informe +ue indi+ue las obser&aciones! recomendaciones #
reas de o$ortunidad $ara el meoramiento # o$timizaci"n de las Tecnolo)'as de
Informaci"n*
5os obeti&os de la auditor'a Informtica son>
El control de la funci"n informtica
El anlisis de la eficiencia de los ?istemas Informticos
5a &erificaci"n del cum$limiento de la Normati&a en este mbito
5a re&isi"n de la eficaz )esti"n de los recursos informticos*
5a auditor'a informtica sir&e $ara meorar ciertas caracter'sticas en la
em$resa como>
@ Eficiencia
@ Eficacia
@ Rentabilidad
@ ?e)uridad
I.+'r!n"#! &e *! !(&#'r#! en #n-'r./#"!:
5a tecnolo)'a informtica 9%ardAare! softAare! redes! bases de datos! etc*: es una
%erramienta estrat()ica +ue brinda rentabilidad # &entaas com$etiti&as a los
ne)ocios frente a otros ne)ocios similares en el mercado! $ero $uede ori)inar
costos # des&entaas si no es bien administrada $or el $ersonal encar)ado*
5a soluci"n clara es entonces realizar e&aluaciones o$ortunas # com$letas de la
funci"n informtica! a car)o de $ersonal calificado! consultores e;ternos! auditores
en informtica o e&aluaciones $eri"dicas realizadas $or el mismo $ersonal de
informtica
Tambi(n es un conunto de tareas realizadas $or un es$ecialista $ara la
e&aluaci"n o re&isi"n de $ol'ticas # $rocedimientos relacionados con las
diferentes reas de una em$resa
Pgina 6
AUDITORIA INFORMTICA
Administrati&as*
Financieras*
O$erati&as*
Informtica*
Cr(dito*
Fiscales
1.2 TIPOS DE AUDITORIA.
1.2.1 AUDITORIA INTERNA C EDTERNA.
LA AUDITOREA INTERNA
Es la realizada con recursos materiales # $ersonas +ue $ertenecen a la em$resa
auditada* 5os em$leados +ue realizan esta tarea son remunerados
econ"micamente* 5a auditor'a interna e;iste $or e;$resa decisi"n de la Em$resa!
o sea! +ue $uede o$tar $or su disoluci"n en cual+uier momento* ,or otro lado!
LA AUDITOREA EDTERNA
Pgina 7
AUDITORIA INFORMTICA
Es realizada $or $ersonas afines a la em$resa auditadaB es siem$re
remunerada* ?e $resu$one una ma#or obeti&idad +ue en la Auditor'a
Interna! debido al ma#or distanciamiento entre auditores # auditados*
El auditor tiene relaci"n con la em$resa*
5a relaci"n con la em$resa $uede influir en la emisi"n del uicio sobre la
E&aluaci"n de las reas de la em$resa*
Informe $ara uso interno*
,ermite detectar $roblemas # des&iaciones*
,uede actuar $eri"dicamente como $arte de su ,lan Anual*
5os auditados conocen estos $lanes # se %abit8an a las Auditor'as*
5as Recomendaciones %abidas benefician su trabao*
El auditor no tiene relaci"n con la em$resa
Re&isi"n inde$endiente con total libertad de criterio sin nin)una influencia*
Realizadas $or des$ac%os de auditores
7eneralmente solicitado $or instituciones )ubernamentales
1.3.) CAMPO DE LA AUDITORIA INFORMBTICA
Al)unos cam$os de a$licaci"n de la informtica son las si)uientes>
<In9es#:!"#$n "#en<-#"! , ;(.!n<s#"!: ?e usan las com$utadoras $ara
la resoluci"n de clculos matemticos! recuentos num(ricos! etc* Al)unas
de estas o$eraciones>
Resoluci"n de ecuaciones*
Anlisis de datos de medidas e;$erimentales! encuestas etc*
Anlisis automticos de te;tos*
Pgina 8
AUDITORIA INFORMTICA
<A+*#"!"#'nes ?"n#"!s> Usa la com$utadora $ara facilitar dise-os de in)enier'a
# de $roductos comerciales! trazado de $lanos! etc* Al)unas de estas o$eraciones>
Anlisis # dise-o de circuitos de com$utadora*
Clculo de estructuras en obras de in)enier'a*
Miner'a*
Carto)raf'a*
D'"(.en!"#$n e #n-'r.!"#$n: Es uno de los cam$os ms im$ortantes $ara la
utilizaci"n de com$utadoras*
Estas se usan $ara el almacenamiento de )randes cantidades de datos # la
recu$eraci"n controlada de los mismos en bases de datos*
Eem$los de este cam$o de a$licaci"n son>
Documentaci"n cient'fica # t(cnica*
Arc%i&os automatizados de bibliotecas*
Cases de datos ur'dicas*
<Ges#$n !&.#n#sr!#9!: Automatiza las funciones de )esti"n t'$icas de una
em$resa* E;isten $ro)ramas +ue realizan las si)uientes acti&idades>
Contabilidad*
Facturaci"n*
Control de e;istencias*
Pgina 9
AUDITORIA INFORMTICA
Ine*#:en"#! !r#-#"#!*: 5as com$utadoras se $ro)raman de forma +ue emulen el
com$ortamiento de la mente %umana* 5os $ro)ramas res$onden como
$re&isiblemente lo %ar'a una $ersona inteli)ente*
A$licaciones como>
Reconocimiento de len)uae natural*
,ro)ramas de ue)o com$leos 9aedrez:*
<Insr(.en!"#$n , "'nr'*: Instrumentaci"n electr"nica! electro
medicina! robots industriales! entre otros*
1.3.) CONTROL INTERNO.
?e $uede definir el control interno como 6cual+uier acti&idad o acci"n realizada
manual #Do automticamente $ara $re&enir! corre)ir errores o irre)ularidades +ue
$uedan afectar al funcionamiento de un sistema $ara lo)rar o conse)uir sus
obeti&os*
5os controles internos se clasifican en los si)uientes>
<C'nr'*es +re9en#9's: ,ara tratar de e&itar el %ec%o! como un softAare de
se)uridad +ue im$ida los accesos no autorizados al sistema*
Pgina 10
AUDITORIA INFORMTICA
<C'nr'*es &ee"#9's: Cuando fallan los $re&enti&os $ara tratar de conocer
cuanto antes el e&ento* ,or eem$lo! el re)istro de intentos de acceso no
autorizados! el re)istro de la acti&idad diaria $ara detectar errores u omisiones*etc*
<C'nr'*es "'rre"#9's: Facilitan la suelta a la normalidad cuando se %an
$roducido incidencias* ,or eem$lo! la recu$eraci"n de un fic%ero da-ado a $artir
de las co$ias de se)uridad*
,ara la im$lantaci"n de un sistema de controles internos informticos %abr +ue
definir>
<Ges#$n &e s#se.! &e #n-'r.!"#$n> $ol'ticas! $autas # normas t(cnicas +ue
sir&an de base $ara el dise-o # la im$lantaci"n de los sistemas de
informaci"n # de los controles corres$ondientes*
<A&.#n#sr!"#$n &e s#se.!s> Controles sobre la acti&idad de los centros de
datos # otras funciones de a$o#o al sistema! inclu#endo la administraci"n de las
redes*
<Se:(r#&!&> inclu#e las tres clases de controles fundamentales im$lantados en
el softAare del sistema! inte)ridad del sistema! confidencialidad 9control de
acceso: # dis$onibilidad*
<Ges#$n &e* "!.7#'> se$araci"n de las $ruebas # la $roducci"n a ni&el del
softAare # controles de $rocedimientos $ara la mi)raci"n de $ro)ramas
softAare a$robados # $robados*
Pgina 11
AUDITORIA INFORMTICA
1.4.) MODELOS DE CONTROL
En la actualidad e;isten una )ran cantidad de modelos de control interno*
5os modelos de control interno CO?O # COCIT son los dos modelos ms
difundidos en la actualidad*
CO?O est enfocado a toda la or)anizaci"n! contem$la $ol'ticas! $rocedimientos #
estructuras or)anizati&as adems de $rocesos $ara definir el modelo de control
interno*
Mientras +ue COCIT 9Control Obecti&es for Information and Related Tec%nolo)#!
Obeti&os de Control $ara Tecnolo)'a de Informaci"n # Tecnolo)'as relacionadas:
se centra en el entorno IT! contem$la de forma es$ec'fica la se)uridad de la
informaci"n como uno de sus obeti&os! cosa +ue CO?O no %ace* Adems el
modelo de control interno +ue $resenta COCIT es ms com$leto! dentro de su
mbito*
E;isten otros ti$os de modelos los cuales se mencionan a continuaci"n>
<OECD 9Or)anization for Economic Coo$eration and De&elo$ment:
<7A,, 97eneral# Acce$ted ,rinci$les and ,ractices:* National Institute of
?tandards and Tec%nolo)# 9NI?T:
<C? EE11 9Critis% ?tandard Institute:
<?AC 9?ecurit# Auditabilit# and Control:* T%e Inst* of Internal Audit*
<CO?O 9Internal Control Inte)rated FrameAorF* Committee of ?$onsorin)
Or)anizations:
Pgina 12
AUDITORIA INFORMTICA
<??E CMM 9?#stems ?ecurit# En)ineerin) Ca$abilit# Maturit# Model:
National ?ecurit# A)enc# 9N?A: Defense@ Canada*
<CoCo 9Criteria of Control Coard of T%e Canadian Instituteof C%artered
Accountants*:
<ITC7 9Information Tec%nolo)# Control 7uidelines:* Canadian Institute of
C%artered Accountants9CICA:
<7A??, 97eneral# Acce$ted ?#stem ?ecurit# ,rinci$les:* International
Information ?ecurit# Foundation 9II?F:
<Cobit 9Control Obecti&es for Information and Related Tec%nolo)ies:
<FI?CAM 9Federal Information ?#stems Controls Audit Manual:*
7AO
<?#sTrust 9AIC,ADCICA ?#sTrust ,rinci$les and Criteria for ?#stem
Reliabilit#:
<??A7 9?#stem ?elf@Assessment 7uide for Information Tec%nolo)#
?#stems:* NI?T
COBIT F DEFINICIAN
Es un marco de control interno de TI*
<,arte de la $remisa de +ue la TI re+uiere $ro$orcionar informaci"n $ara
lo)rar los obeti&os de la or)anizaci"n*
<,romue&e el enfo+ue # la $ro$iedad de los $rocesos*
A$o#a a la or)anizaci"n al $ro&eer un marco +ue ase)ura +ue>
Pgina 13
AUDITORIA INFORMTICA
<5a Tecnolo)'a de Informaci"n 9TI: est( alineada con la misi"n # &isi"n*
<5A TI ca$acite # ma;imice los beneficios*
<5os recursos de TI sean usados res$onsablemente*
<5os ries)os de TI sean maneados a$ro$iadamente*
COBIT F PRINCIPIOS
COBIT F ESTRUCTURA
Pgina 14
AUDITORIA INFORMTICA
COCIT G RE=UERIMIENTO? DE 5A INFORMACIHN DE5 NE7OCIO
COCIT combina los $rinci$ios contenidos $or modelos e;istentes # conocidos!
como CO?O! ?AC 4 ?A?*
Pgina 15
AUDITORIA INFORMTICA
COCIT G RE=UERIMIENTO? DE 5A INFORMACIHN DE5 NE7OCIO
Efecti&idad> Informaci"n rele&ante # $ertinente! $ro$orcionada en forma
o$ortuna! correcta! consistente # utilizable
<Eficiencia> Em$leo "$timo de los recursos*
<Confidencialidad> ,rotecci"n de la informaci"n sensiti&a contra
di&ul)aci"n no autorizada
<Inte)ridad> Informaci"n e;acta # com$leta! as' como &lida de acuerdo
con las e;$ectati&as de la or)anizaci"n*
<Dis$onibilidad> accesibilidad a la informaci"n # la sal&a)uarda de los
recursos # sus ca$acidades*
<Cum$limiento> 5e#es! re)ulaciones # com$romisos contractuales*
<Confiabilidad> A$ro$iada $ara la toma de decisiones adecuadas # el
cum$limiento normati&o
COCIT G ,ROCE?O? DE TI G TRE? NIIE5E?
Pgina 16
AUDITORIA INFORMTICA
1.6.) PRINCIPIOS APLICADOS A AUDITORES INFOMBTICOS
,RINCI,IO DE CENEFICIO DE AUDITADO
En este $rinci$io el auditor debe conse)uir la m;ima eficacia # rentabilidad
de los medios informticos de la em$resa auditada! no debe de
nin)8n modo obtener beneficio $ro$io*
,RINCI,IO DE CA5IDAD
En el auditor deber $restar sus ser&icios conforme las $osibilidades de la
ciencia # medios a su alcance con absoluta libertad res$ecto a la utilizaci"n
de dic%os medios # en unas condiciones t(cnicas adecuadas $ara el id"neo
cum$limiento de su labor*
,RINCI,IO DE CONFIANJA
Pgina 17
AUDITORIA INFORMTICA
El auditor deber facilitar e incrementar la confianza del auditor en base a
una actuaci"n de trans$arencia en su acti&idad $rofesional sin alardes
cient'ficos@t(cnicos*
,RINCI,IO DE CA,ACIDAD
El auditor debe estar $lenamente ca$acitado $ara la realizaci"n de la auditor'a
encomendada! ma;imice teniendo en cuenta +ue! a los auditados en al)unos
casos les $uede ser e;tremadamente dif'cil &erificar sus recomendaciones #
e&aluar correctamente la $recisi"n de las mismas*
,RINCI,IO DE COM,ORTAMIENTO ,ROFE?IONA5
El auditor! tanto en sus relaciones con el auditado como con terceras $ersonas!
deber! en todo momento! actuar conforma a las normas! im$l'citas o e;$l'citas!
de di)nidad de la $rofesi"n # de correcci"n en el trato $ersonal*
,RINCI,IO DE CRITERIO ,RO,IO
El auditor durante la eecuci"n deber actuar con criterio $ro$io # no $ermitir +ue
est( subordinado al de otros $rofesionales! aun de reconocido $resti)io! +ue no
coincidan con el mismo*
,RINCI,IO DE CONCENTRACION EN E5 TRACAKO
El auditor deber e&itar +ue un e;ceso de trabao su$ere sus $osibilidades de
concentraci"n # $recisi"n en cada una de las tareas a (l encomendadas! # a +ue
la estructuraci"n # dis$ersi"n de trabaos suele a menudo! si no est debidamente
controlada! $ro&ocar la conclusi"n de los mismos sin las
debidas )arant'as de se)uridad*
Pgina 18
AUDITORIA INFORMTICA
,RINCI,IO DE DI?CRECIHN
El auditor deber en todo momento mantener una cierta discreci"n en la
di&ul)aci"n de datos! a$arentemente inocuos! +ue se le %a#an $uesto de
manifiesto durante la eecuci"n de la auditoria*
,RINCI,IO DE ECONOMLA
El auditor deber $rote)er! en la medida de sus conocimientos! los derec%os
econ"micos del auditado e&itando )enerar )astos innecesarios en el eercicio de
su acti&idad*
,RINCI,IO DE FORMACIHN CONTINUADA
Este $rinci$io im$one a los auditores el deber # la res$onsabilidad de mantener
una $ermanente actualizaci"n de sus conocimientos # m(todos a fin de
adecuarlos a las necesidades de la demanda # a las e;i)encias de la com$etencia
de la oferta*
,RINCI,IO DE FORTA5ECIMIENTO 4 RE?,ETO DE 5A ,ROFE?IHN
5a defensa de los auditados $asa $or el fortalecimiento de la $rofesi"n de los
auditores informticos! lo +ue e;i)e un res$eto $or el eercicio! )lobalmente
considerado! de la acti&idad desarrollada $or los mismos # un com$ortamiento
acorde con los re+uisitos e;i)ibles $ara el id"neo cum$limiento de la finalidad de
las auditorias*
,RINCI,IO DE INDE,ENDENCIA
Esta relacionado con el $rinci$io de criterio $ro$io! obli)a al auditor! tanto si act8a
como $rofesional e;terno o con de$endencia laboral res$ecto a la em$resa en la
Pgina 19
AUDITORIA INFORMTICA
+ue deba realizar la auditoria informtica! a e;i)ir una total autonom'a e
inde$endencia en su trabao*
,RINCI,IO DE INFORMACIHN ?UFICIENTE
Este $rinci$io obli)a al auditor a a$ortar! en forma $ormenorizada! clara! $recisa e
inteli)ible $ara el auditado! informaci"n de los $untos # conclusiones
relacionados con la auditoria*
,RINCI,IO DE INTE7RIDAD MORA5
Este $rinci$io! in%erentemente li)ado a la di)nidad de la $ersona! obli)a al auditor
a ser %onesto! leal # dili)ente en el desem$e-o de su misi"n! a austarse a
las normas morales de usticia # $rioridad*
,RINCI,IO DE 5E7A5IDAD
5a $rimac'a de esta obli)aci"n e;i)e del auditor un com$ortamiento acti&o de
o$osici"n a todo intento! $or $arte del auditado o de terceras $ersonas!
tendente a infrin)ir cual+uier $rece$to inte)rado en el derec%o $ositi&o*
,RINCI,IO DE 5ICRE COM,ETENCIA
5a actual econom'a de mercado e;i)e +ue el eercicio de la $rofesi"n se realice en
el marco de la libre com$etencia siendo rec%azables! $or tanto! las $rcticas
Pgina 20
AUDITORIA INFORMTICA
colusorias tendentes a im$edir o limitar la le)'tima com$etencia de otros
$rofesionales*
,RINCI,IO DE NO DI?CRIMINACIHN
El auditor en su actuaci"n $re&ia! durante # $osterior a la auditoria deber e&itar
cual+uier ti$o de condicionantes $ersonalizados # actuar en todos
los casos con similar dili)encia*
,RINCI,IO DE NO INKERENCIA
El auditor! deber e&itar inerencias en los trabaos de otros $rofesionales! res$etar
su labor # eludir %acer comentarios +ue $udieran inter$retarse como
des$reciati&os de la misma! deber i)ualmente e&itar a$ro&ec%ar los datos*
,RINCI,IO DE ,RECI?IHN
Este $rinci$io e;i)e del auditor la no conclusi"n de su trabao %asta estar
con&encido! en la medida de lo $osible! de la &iabilidad de sus $ro$uestas*
,RINCI,IO DE ,UC5ICIDAD ADECUADA
5a oferta # $romoci"n de los ser&icios de auditoria debern en todo momento
austarse a las caracter'sticas! condiciones # finalidad $erse)uidas*
,RINCI,IO DE RE?,ON?ACI5IDAD
Pgina 21
AUDITORIA INFORMTICA
El auditor deber! como elemento intr'nseco de todo com$ortamiento $rofesional!
res$onsabilizarse de lo +ue %a)a! di)a o aconsee*
,RINCI,IO DE ?ECRETO ,ROFE?IONA5
5a confidencia # confianza entre el auditor # el auditado e im$onen al $rimero la
obli)aci"n de )uardar en secreto los %ec%os e informaciones +ue conozca en el
eercicio de su acti&idad $rofesional*
,RINCI,IO DE ?ERIICIO ,MC5ICO
5a a$licaci"n de este $rinci$io debe incitar al auditor a %acer lo +ue este en su
mano # sin $eruicio de los intereses de su cliente! $ara e&itar da-os sociales*
,RINCI,IO DE IERACIDAD
El Auditor en sus comunicaciones con el auditado deber tener siem$re $resente
la obli)aci"n de ase)urar la &eracidad de sus manifestaciones con los limites
im$uestos $or los deberes de res$eto! correcci"n! # secreto $rofesional*
1.0.) RESPONSABILIDADES DE LOS ADMINISTRADORES C EL AUDITOR
El auditor informtico debe ser una $ersona con un alto )rado de calificaci"n
t(cnica # al mismo tiem$o estar inte)rado a las corrientes or)anizati&as
em$resariales* Es res$onsable de realizar las si)uientes acti&idades>
NIerificaci"n del control interno tanto de las a$licaciones como de los ?I!
$erif(ricos! etc*
Pgina 22
AUDITORIA INFORMTICA
NAnlisis de la administraci"n de ?istemas de Informaci"n! desde un $unto de
&ista de ries)o de se)uridad! administraci"n # efecti&idad de la administraci"n*
NAnlisis de la inte)ridad! fiabilidad # certeza de la informaci"n a tra&(s del
anlisis de a$licaciones*
NAuditor'a del ries)o o$erati&o de los circuitos de informaci"n
NAnlisis de la administraci"n de los ries)os de la informaci"n # de la se)uridad
im$l'cita*
NIerificaci"n del ni&el de continuidad de las o$eraciones*
NAnlisis del Estado del Arte tecnol")ico de la instalaci"n re&isada # las
consecuencias em$resariales +ue un desfase tecnol")ico $uede acarrear*
RESPONSABILIDADES DE LOS ADMINISTRADORES C EL AUDITOR
Or)anizaci"n de la funci"n de Auditor'a Informtica
5a funci"n de la auditor'a informtica se %con&ertido en una funci"n +ue desarrolla
un trabao ms acorde con la im$ortancia +ue $ara las or)anizaciones tienen los
?I! +ue son su obeto de estudio # anlisis* El auditor informtico $asa a ser
auditor # consultor de em$resas en materias de>
N?e)uridad
NControl interno o$erati&o
Pgina 23
AUDITORIA INFORMTICA
NEficiencia # eficacia
NTecnolo)'as de Informaci"n
NContinuidad de o$eraciones
NAdministraci"n de ries)os
?u localizaci"n $uede estar li)ada a la auditor'a interna o$erati&a # financiera
9aun+ue e;ista una coordinaci"n l")ica entre ambos de$artamentos:! con
inde$endencia de obeti&os! $lanes de formaci"n # $resu$uestos*
<Debe ser un )ru$o inde$endiente del de auditor'a interna! con acceso total a los
?I # dems tecnolo)'a! +ue de$ende de la misma $ersona +ue la auditor'a
interna 9Director 7eneral o Conseero:*
<5a de$endencia debe ser del m;imo res$onsable de la or)anizaci"n! nunca del
de$artamento de sistemas o del financiero* Esto es $ara +ue no se $ueda
sos$ec%ar +ue e;ista ses)o al momento de realizar el trabao de auditor'a #
ofrecer conclusiones # recomendaciones*
5os recursos %umanos con los +ue debe contar el de$artamento debe ser una
mezcla e+uilibrada de $ersonas con formaci"n en auditor'a # or)anizaci"n # con
$erfil informtico 9es$ecialidades:*
UNIDAD 2.) PLANEACIAN DE LA AUDITOREA INFORMBTICA
2.1 FASES DE LA AUDITORIA.
Pgina 24
AUDITORIA INFORMTICA
LAS NORMAS DE LA AUDITOREA INTERNA COMPRENDEN
N5as acti&idades auditadas # la obeti&idad de los auditores internos*
NEl alcance del trabao de auditor'a interna en el rea de informtica*
NEl de$artamento de auditor'a interna deber asi)nara cada auditor'a a a+uellas
$ersonas +ue en su conunto $osean los conocimientos! la e;$eriencia # la
disci$lina necesarios $ara conducir a$ro$iadamente la auditor'a*
El de$artamento de auditor'a interna deber ase)urarse>
N=ue las auditor'as sean su$er&isadas en forma a$ro$iada* 5a su$er&isi"n es un
$roceso continuo +ue comienza con la $laneaci"n # termina con el trabao de
auditor'a*
N=ue los informes de auditor'a sean $recisos! obeti&os! claros! concisos!
constructi&os # o$ortunos*
N=ue se cum$lan los obeti&os de la auditor'a*
Pgina 25
AUDITORIA INFORMTICA
N=ue la auditor'a sea debidamente documentada # +ue se conser&e la e&idencia
a$ro$iada de la su$er&isi"n*
N=ue los auditores cum$lan con las normas $rofesionales de conducta*
N=ue los auditores en informtica $osean los conocimientos! e;$eriencias #
disci$linas esenciales $ara realizar sus auditor'as*
,ara una adecuada $laneaci"n
,ara %acer una adecuada $laneaci"n de la auditor'a en informtica %a# +ue se)uir
una serie de $asos $re&ios +ue $ermitirn dimensionar el tama-o # caracter'sticas
del rea dentro del or)anismo a auditar! sus sistemas! or)anizaci"n # e+ui$o* Con
ello $odremos determinar el n8mero # caracter'sticas del $ersonal de auditor'a! las
%erramientas necesarias! el tiem$o # costo! as' como definir los alcances de la
auditor'a $ara! en caso necesario! $oder elaborar el contrato de ser&icios*
2.1.1. PLANEACIAN
El trabao de auditor'a deber incluir>
N5a $laneaci"n de la auditor'a
NEl e;amen # la e&aluaci"n de la informaci"n
N5a comunicaci"n de los resultados # el se)uimiento
0* ,laneaci"n 9Cont*:
5a $laneaci"n deber ser documentada e incluir>
Pgina 26
AUDITORIA INFORMTICA
2.1.2. REVISIAN PRELIMINAR
El obeti&o de la re&isi"n $reliminar es el de obtener la informaci"n necesaria $ara
+ue el auditor $ueda tomar la decisi"n de c"mo $roceder en la auditor'a* Al
terminar la re&isi"n $reliminar el auditor $uede $roceder en uno de los tres
caminos si)uientes> Dise-o de la auditor'a* ,uede %aber $roblemas debido a la
falta de com$etencia t(cnica $ara realizar la auditor'a*
Realizar una re&isi"n detallada de los controles internos de los sistemas con la
es$eranza de +ue se de$osite la confianza en los controles de los sistemas # de
+ue una serie de $ruebas sustanti&as $uedan reducir las consecuencias*
Decidir el no confiar en los controles internos del sistema* E;isten dos razones
$osibles $ara esta decisi"n* ,rimero! $uede ser ms eficiente desde el $unto de
&ista de costo@beneficio el realizar $ruebas sustanti&as directamente* ?e)undo! los
controles del rea de informtica $ueden du$licar los controles e;istentes en el
rea del usuario*
2.1.3. REVISIAN DETALLADA
5os obeti&os de la fase detallada son los de obtener la informaci"n necesaria
$ara +ue el auditor ten)a un $rofundo entendimiento de los controles usados
dentro del rea de informtica* En la fase de e&aluaci"n detallada es im$ortante
$ara el auditor identificar las causas de las $(rdidas e;istentes dentro de la
instalaci"n # los controles $ara reducir las $(rdidas # los efectos causados $or
Pgina 27
AUDITORIA INFORMTICA
(stas* Al terminar la re&isi"n detallada el auditor debe e&aluar en +u( momento los
controles establecidos reduce las $(rdidas es$eradas a un ni&el ace$table* 5os
m(todos de obtenci"n de informaci"n al momento de la e&aluaci"n detallada son
los mismos usados en la in&esti)aci"n $reliminar!
# lo 8nico +ue difiere es la $rofundidad con se obtiene la informaci"n # se e&al8a*
2.1.3. EDAMEN C EVALUACIAN DE LA INFORMACIAN.
Los auditores internos debern obtener! analizar! inter$retar # documentar la
informaci"n $ara a$o#ar los resultados de la auditor'a* El $roceso de e;amen #
e&aluaci"n de la informaci"n es el si)uiente>
?e debe obtener la informaci"n de todos los asuntos relacionados con los
obeti&os # alcances del auditor* 5a informaci"n rele&ante a$o#a los %allaz)os #
recomendaciones de auditor'a # es consistente con los obeti&os de (sta* 5a
informaci"n 8til a#uda a la or)anizaci"n a lo)rar sus metas* El $roceso de recabar!
analizar! inter$retar # documentar la informaci"n deber su$er&isarse $ara
$ro$orcionar una se)uridad razonable de +ue la obeti&idad del auditor se mantu&o
# +ue las metas de auditor'a se cum$lieron* 5os documentos de trabao de la
auditor'a debern ser $re$arados $or los auditores # re&isados $or la )erencia de
auditor'a* Estos documentos debern re)istrar la informaci"n obtenida # el anlisis
realizado! #
deben a$o#ar las bases de los %allaz)os de auditor'a # las recomendaciones +ue
se %arn*
Pgina 28
AUDITORIA INFORMTICA
5os auditores debern re$ortar los resultados del trabao de auditor'a> El auditor
deber discutir las conclusiones # recomendaciones en los ni&eles a$ro$iados de
la administraci"n antes de emitir su informe final* 5os informes debern ser
obeti&os! claros! concisos! constructi&os # o$ortunos* 5os informes $resentarn el
$ro$"sito! alcance # resultados de la auditor'a #! cuando se considere a$ro$iado!
contendrn la o$ini"n del auditor*
2.1.4. PRUEBAS DE CONTROLES DE USUARIO.
En al)unos casos el auditor $uede decidir el no confiaren los controles internos
dentro de las instalaciones informticas! $or+ue el usuario eerce controles +ue
com$ensan cual+uier debilidad dentro de los controles de informtica* Estas
$ruebas +ue com$ensan las deficiencias de los controles internos se $ueden
realizar mediante cuestionarios! entre&istas! &isitas # e&aluaciones %ec%as
directamente con los usuarios*
2.1.6 PRUEBAS SUSTANTIVAS
El obeti&o de la fase de $ruebas sustanti&as es obtener e&idencia suficiente
+ue $ermita al auditor emitir su uicio en las conclusiones acerca de cundo
$ueden ocurrir $(rdidas materiales durante el $rocesamiento de la informaci"n* El
auditor e;terno e;$resar este uicio en forma de o$ini"n sobre cundo $uede
e;istir un $roceso e+ui&ocado o falta de control de la informaci"n* ?e $ueden
identificar oc%o diferentes $ruebas sustanti&as>
N,ruebas $ara identificar errores en el $rocesamiento o de falta de se)uridad o
confidencialidad*
N,ruebas $ara ase)urar la calidad de los datos*
N,ruebas $ara identificar la inconsistencia de los datos*
N,ruebas $ara com$arar con los datos o contadores f'sicos*
NConfirmaci"n de datos con fuentes e;ternas*
Pgina 29
AUDITORIA INFORMTICA
N,ruebas $ara confirmar la adecuada comunicaci"n*
N,ruebas $ara determinar falta de se)uridad*
N,ruebas $ara determinar $roblemas de le)alidad
2.2 EVALUACION DE LOS SISTEMAS DE ACUERDO AL RIESGO
?on a+uellos obetos! dis$ositi&os! medidas! etc* +ue contribu#en a %acer mas
se)uro el funcionamiento o el uso*
CONSIDERACIONES INMEDIATAS PARA LA AUDITOREA DE LA SEGURIDAD
Uso de la Com$utadora
?e debe obser&ar el uso adecuado de la com$utadora # su softAare +ue $uede
ser susce$tible a>
co$ia de $ro)ramas de la or)anizaci"n $ara fines de comercializaci"n
9co$ia $irata:*
acceso directo o telef"nico a bases de datos con fines fraudulentos
S#se.! &e A""es'
,ara e&itar los fraudes com$utarizados se debe contem$lar de forma clara los
accesos a las com$utadoras de acuerdo a>
Pgina 30
AUDITORIA INFORMTICA
ni&el de se)uridad de acceso
em$leo de las cla&es de acceso
e&aluar la se)uridad contem$lando la relaci"n costo! #a +ue a ma#or
tecnolo)'a de acceso ma#or costo*
CANTIDAD C TIPO DE INFORMACIAN
El ti$o # la cantidad de informaci"n +ue se introduce en las com$utadoras debe
considerarse como un factor de alto ries)o #a +ue $odr'an $roducir +ue>
la informaci"n este en manos de al)unas $ersonas
la alta de$endencia en caso de $erdida de datos
PERSONAL
Pgina 31
AUDITORIA INFORMTICA
?e debe obser&ar este $unto con muc%o cuidado! #a +ue %ablamos de las
$ersonas +ue estn li)adas al sistema de informaci"n de forma directa # se
deber contem$lar $rinci$almente>
Ocontem$lar la cantidad de $ersonas con acceso o$erati&o # administrati&o
Oconocer la ca$acitaci"n del $ersonal en situaciones de emer)encia
MEDIOS DE CONTROL
?e debe contem$lar la e;istencia de medios de control $ara conocer cuando se
$roduce un cambio o un fraude en el sistema* Tambi(n se debe obser&ar con
detalle el sistema #a +ue $odr'a )enerar indicadores +ue $ueden actuar como
elementos de auditor'a inmediata! aun+ue esta no sea una es$ecificaci"n del
sistema*
RASGOS DEL PERSONAL
?e debe &er mu# cuidadosamente el carcter del $ersonal relacionado con el
sistema! #a +ue $ueden sur)ir>
malos maneos de administraci"n
malos maneos $or ne)li)encia
malos maneos $or ata+ues deliberados
Pgina 32
AUDITORIA INFORMTICA
INSTALACIONES
Es mu# im$ortante no ol&idar las instalaciones f'sicas # de ser&icios! +ue si)nifican
un alto )rado de ries)o* ,ara lo cual se debe &erificar>
la continuidad del fluo el(ctrico
efectos del fluo el(ctrico sobre el softAare # %ardAare
e&aluar las cone;iones con los sistemas el(ctrico! telef"nico! cable! etc*
&erificar si e;isten un dise-o! es$ecificaci"n t(cnica! manual o al)8n ti$o de
documentaci"n sobre las instalaciones
ESTABLECER LAS BREAS C GRADOS DE RIESGO
Es mu# im$ortante el crear una conciencia en los usuarios de la or)anizaci"n
sobre el ries)o +ue corre la informaci"n # %acerles com$render +ue la se)uridad
es $arte de su trabao*
SISTEMA INTEGRAL DE SEGURIDAD
Un sistema inte)ral debe contem$lar>
Definir elementos administrati&os
Definir $ol'ticas de se)uridad
A ni&el de$artamental
A ni&el institucional
Or)anizar # di&idir las res$onsabilidades
Contem$lar la se)uridad f'sica contra catstrofes 9incendios! terremotos!
inundaciones! etc*:
Pgina 33
AUDITORIA INFORMTICA
Definir $rcticas de se)uridad $ara el $ersonal>
,lan de emer)encia 9$lan de e&acuaci"n! uso de recursos de emer)encia
como e;tin)uidores*
N8meros telef"nicos de emer)encia
Definir el ti$o de $"lizas de se)uros
Definir elementos t(cnicos de $rocedimientos
Definir las necesidades de sistemas de se)uridad $ara>
PardAare # softAare
Fluo de ener)'a
Cableados locales # e;ternos
A$licaci"n de los sistemas de se)uridad inclu#endo datos # arc%i&os
,lanificaci"n de los $a$eles de los auditores internos # e;ternos
,lanificaci"n de $ro)ramas de desastre # sus $ruebas 9simulaci"n:
,lanificaci"n de e+ui$os de contin)encia con carcter $eri"dico
Control de desec%os de los nodos im$ortantes del sistema>
,ol'tica de destrucci"n de basura co$ias! fotoco$ias! etc*
Consideraci"n de las normas I?O 0Q///
Eta$as $ara Im$lementar un ?istema de ?e)uridad
PLAN DE SEGURIDAD IDEAL GO NORMATIVOH
Un $lan de se)uridad $ara un sistema de se)uridad inte)ral debe contem$lar>
El $lan de se)uridad debe ase)urar la inte)ridad # e;actitud de los datos
Debe $ermitir identificar la informaci"n +ue es confidencial
Debe contem$lar reas de uso e;clusi&o
Pgina 34
AUDITORIA INFORMTICA
Debe $rote)er # conser&ar los acti&os de desastres $ro&ocados $or la
mano del %ombre # los actos abiertamente %ostiles
Debe ase)urar la ca$acidad de la or)anizaci"n $ara sobre&i&ir accidentes
Debe $rote)er a los em$leados contra tentaciones o sos$ec%as
innecesarias
Debe contem$lar la administraci"n contra acusaciones $or im$rudencia
BENEFICIOS DE UN SISTEMA DE SEGURIDAD
5os beneficios de un sistema de se)uridad bien elaborado son inmediatos! #a
+ue el la or)anizaci"n trabaar sobre una $lataforma confiable! +ue se reflea en
los si)uientes $untos>
Aumento de la $roducti&idad*
Aumento de la moti&aci"n del $ersonal*
Com$romiso con la misi"n de la com$a-'a*
Meora de las relaciones laborales*
A#uda a formar e+ui$os com$etentes*
Meora de los climas laborales $ara los RR*PP*
2.3 INVESTIGACION PRELIMINAR
?e deber obser&ar el estado )eneral del rea! su situaci"n dentro de la
or)anizaci"n! si e;iste la informaci"n solicitada! si es o no necesaria # la fec%a de
su 8ltima actualizaci"n*
?e debe %acer la in&esti)aci"n $reliminar solicitando # re&isando la informaci"n de
cada una de las reas basndose en los si)uientes $untos>
* Administraci"n
* ?istemas
ADMINISTRACIIN
Pgina 35
AUDITORIA INFORMTICA
?e reco$ila la informaci"n $ara obtener una &isi"n )eneral del de$artamento $or
medio de obser&aciones! entre&istas $reliminares # solicitud de documentos $ara
$oder definir el obeti&o # alcances del de$artamento*
,ara analizar # dimensionar la estructura $or auditar se debe solicitar a ni&el del
rea de informtica
Obeti&os a corto # lar)o $lazo*
Recursos materiales # t(cnicos
?olicitar documentos sobre los e+ui$os! n8mero de ellos! localizaci"n #
caracter'sticas*
N8mero de e+ui$os! localizaci"n # las caracter'sticas 9de los e+ui$os
instalados # $or instalar # $ro)ramados:
Fec%as de instalaci"n de los e+ui$os # $lanes de instalaci"n*
Contratos &i)entes de com$ra! renta # ser&icio de mantenimiento*
Contratos de se)uros*
Con&enios +ue se tienen con otras instalaciones*
Confi)uraci"n de los e+ui$os # ca$acidades actuales # m;imas*
,lanes de e;$ansi"n*
Ubicaci"n )eneral de los e+ui$os*
,ol'ticas de o$eraci"n*
,ol'ticas de uso de los e+ui$os*
Pgina 36
AUDITORIA INFORMTICA
SISTEMAS
Descri$ci"n )eneral de los sistemas instalados # de los +ue est(n $or instalarse
+ue conten)an &ol8menes de informaci"n*
* Manual de formas*
* Manual de $rocedimientos de los sistemas*
* Descri$ci"n )en(rica*
* Dia)ramas de entrada! arc%i&os! salida*
* ?alidas*
* Fec%a de instalaci"n de los sistemas*
* ,ro#ecto de instalaci"n de nue&os sistemas*
* En el momento de %acer la $laneaci"n de la auditor'a o bien su realizaci"n!
debemos e&aluar +ue $ueden $resentarse las si)uientes situaciones*
?e solicita la informaci"n # se &e +ue>
* No tiene # se necesita
* No se tiene # no se necesita*
* ?e tiene la informaci"n $ero>
* No se usa*
* Es incom$leta*
* No esta actualizada*
* No es la adecuada*
?e usa! est actualizada! es la adecuada # est com$leta*
El (;ito del anlisis cr'tico de$ende de las consideraciones si)uientes>
Estudiar %ec%os # no o$iniones 9no se toman en cuenta los rumores ni la
informaci"n sin fundamento:
In&esti)ar las causas! no los efectos*
Pgina 37
AUDITORIA INFORMTICA
Atender razones! no e;cusas*
No confiar en la memoria! $re)untar constantemente*
Criticar obeti&amente # a fondo todos los informes # los datos recabados*
2.3.)PERSONAL PARTICIPANTE
Una de las $artes ms im$ortantes en la $laneaci"n de la auditoria en informtica
es el $ersonal +ue deber $artici$ar! #a +ue se debe contar con un e+ui$o
seleccionado # con ciertas caracter'sticas +ue $uedan a#udar a lle&ar la auditoria
de manera correcta # en el tiem$o estimado*
A+u' no se &era el n8mero de $ersona +ue debern $artici$ar! #a +ue esto
de$ende de las dimensiones de la or)anizaci"n! de los sistemas # de los e+ui$os!
lo +ue se deber considerar son e;actamente las caracter'sticas +ue debe cum$lir
cada uno del $ersonal +ue %abr de $artici$ar en la auditoria*
Uno de los es+uemas )eneralmente ace$tados $ara tener un adecuado control es
+ue el $ersonal +ue inter&en)a este debidamente ca$acitado! +ue ten)a un alto
sentido de moralidad! al cual se le e;ia la o$timizaci"n de recursos 9eficiencia: #
se le retribu#a o com$ense ustamente $or su trabao*
Con estas bases debemos considerar los conocimientos! la $rctica $rofesional #
la ca$acitaci"n +ue debe tener el $ersonal +ue inter&endr en la auditoria*
,rimeramente! debemos $ensar +ue %a# $ersonal asi)nado $or la or)anizaci"n!
+ue debe tener el suficiente ni&el $ara $oder coordinar el desarrollo de la auditoria!
$ro$orcionarnos toda la informaci"n +ue se solicite # $ro)ramar las reuniones #
entre&istas re+ueridas*
Este es un $unto mu# im$ortante #a +ue! de no tener el a$o#o de la alta direcci"n!
ni contar con un )ru$o multidisci$linario en el cual est(n $resentes una o &arias
$ersonas del rea a auditar! ser casi im$osible obtener informaci"n en el
momento # con las caracter'sticas deseadas*
Pgina 38
AUDITORIA INFORMTICA
Tambi(n se deben contar con $ersonas asi)nadas $or los usuarios $ara +ue en el
momento +ue se solicite informaci"n! o bien se efect8e al)una entre&ista de
com$robaci"n de %i$"tesis! nos $ro$orcionen a+uello +ue se esta solicitando! #
com$lementen el )ru$o multidisci$linario! #a +ue debemos analizar no s"lo el
$unto de &ista de la direcci"n de informtica! sino tambi(n el del usuario del
sistema*
,ara com$lementar el )ru$o! como colaboradores directos en la realizaci"n de la
auditoria! se deben tener $ersonas con las si)uientes caracter'sticas>
T(cnico en informtica* Conocimientos de Adm"n*! contadur'a # finanzas*
E;$eriencia en el rea de informtica* E;$eriencia en o$eraci"n # anlisis de
sistemas* Conocimientos # e;$eriencias en $sicolo)'a industrial*
Conocimientos de los sistemas o$erati&os! bases de datos! redes #
comunicaciones! de$endiendo del rea # caracter'sticas a auditar*
Conocimientos de los sistemas ms im$ortantes*
En el caso de sistemas com$leos se deber contar con $ersonal con
conocimientos # e;$eriencias en reas es$ec'ficas como base de datos! redes #
comunicaciones! etc(tera*
5o anterior no si)nifica +ue una sola $ersona deba tener los conocimientos #
e;$eriencias se-aladas! $ero si +ue deben inter&enir una o &arias $ersonas con
las caracter'sticas a$untadas*
Una &ez $laneada la forma de lle&ar a cabo la auditoria! estaremos en $osibilidad
de $resenta la carta 9con&enio de ser&icios $rofesionales G en el caso de auditores
e;ternos @: # el $lan de trabao*
5a carta con&enio es un com$romiso +ue el auditor diri)e a su cliente $ara su
confirmaci"n de ace$taci"n* En ella se es$ecifican el obeti&o # el alcance de la
Pgina 39
AUDITORIA INFORMTICA
auditoria! las limitaciones # la colaboraci"n necesaria! el )rado de res$onsabilidad
# los informes +ue se %an de entre)ar*
UNIDAD 3.) AUDITORIA DE LA FUNCIAN INFORMBTICA
3.1 RECOPILACIAN DE LA INFORMACIAN ORGANIZACIONAL
Una &ez elaborada la $laneaci"n de la auditor'a! la cual ser&ir como $lan
maestro de los tiem$os! costos # $rioridades! # como medio de control de la
auditor'a! se debe em$ezar la recolecci"n de la informaci"n*
Se +r'"e&er/ ! e-e"(!r *! re9#s#$n s#se.!#5!&! &e* /re! ! r!9?s &e
*! '7ser9!"#$n , enre9#s!s &e -'n&' en "(!n' !:
A) Estructura Orgnica
B) Se deber revisar la situacin de los recursos humanos.
C) Entrevistas con el personal de procesos electrnicos.
D) Se deber conocer la situacin presupuestal y inanciera.
E) Se har un levantamiento del censo de recursos humanos y anlisis de
situacin.
!) "or #ltimo$ se deber revisar el grado de cumplimiento de los
documentos administrativos.
AH Esr("(r! Or:/n#"!
Pgina 40
AUDITORIA INFORMTICA
Kerar+u'as 9Definici"n de la autoridad lineal! funcional # de asesor'a:
Estructura or)nica
Funciones
Obeti&os
BH Se &e7er/ re9#s!r *! s#(!"#$n &e *'s re"(rs's ;(.!n's.
Pgina 41
AUDITORIA INFORMTICA
CH Enre9#s!s "'n e* +ers'n!* &e +r'"es's e*e"r$n#"'s:
a) %eatura
b) Anlisis
c) "rogramadores
d) Operadores
e) Capturistas
) "ersonal administrativo
DH Se &e7er/ "'n'"er *! s#(!"#$n +res(+(es!* , -#n!n"#er! en "(!n'
!:
@ "resupuesto
& 'ecursos inancieros
& 'ecursos materiales
& (obiliario y e)uipo
Pgina 42
AUDITORIA INFORMTICA
EH Se ;!r/ (n *e9!n!.#en' &e* "ens' &e re"(rs's ;(.!n's , !n/*#s#s
&e s#(!"#$n en "(!n' !:
* +#mero de personas y distribucin por reas
* Denominacin de puestos
* Salario
* Capacitacin
* Conocimientos
* Escolaridad
E,periencia proesional
Antig-edad
.istorial de traba/o
Salario y conormacin
(ovimientos salariales
0ndice de rotacin del personal
"rograma de capacitacin 1vigente y capacitacin dada en el #ltimo a2o)
FH P'r J*#.'> se &e7er/ re9#s!r e* :r!&' &e "(.+*#.#en' &e *'s
&'"(.en's !&.#n#sr!#9's.
+ormas y pol3ticas
* "lanes de traba/o
* Controles
* Estndares
* "rocedimientos
L! #n-'r.!"#$n n's ser9#r/ +!r! &eer.#n!r: