You are on page 1of 16

República Bolivariana de Venezuela

Ministerio del Poder Popular para la Defensa
Universidad Nacional Experimental de las Fuerzas Armadas
Ingeniería de sistema 9 semestre nocturno
Auditoria de Sistemas

PROCESO DE AUDITORIA

AUTOR:
Kervin Cortez C.I: 21.282.519
Juan Martínez C.I 18.388.229

TUTOR:
Jesús Mosquera
Ocumare del Tuy, Marzo 2015

.....................11 Informe de auditoría......................................10 Técnicas de recopilación de evidencias......................................................................... 11 Conclusión............................ 13 Referencias Bibliográficas......................................................................................................................................14 ............................................................................................................................................................................................4 Riesgos más comunes...............................................6 Planificación de la Auditoria................................................................................................................. 2 Determinación del Área a Auditar..........................................................9 Asignación de Recursos de auditoría.............................Indicé Introducción..... 1 Tópicos Generales...... 4 Planificación de contingencias....................................................................

Tanto la auditoria de sistemas como el análisis de riesgos constituyen la metodología de evaluación de sistemas . englobándolos como proceso de auditoría a fin de entender a detalle el procedimiento que deberá seguir el auditor de sistemas para garantizar el cumplimiento de una auditoria de calidad y estandarizada. El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoría que consta de objetivos de control y procedimientos de auditoría que deben satisfacer esos objetivos en harás de mejorar el funcionamiento de los sistemas de información y tecnológicos que posee la organización o empresa. Es por ello que esta investigación pretender mencionar los pasos que deben cumplirse en la auditoria de sistemas. mientras que la auditoria de sistemas identifica el nivel de exposición por falta de controles que actualmente posee el sistema. el cual es principalmente un conjunto de procedimientos y técnicas para evaluar y controlar total o parcialmente un sistema informático con el fin de proteger sus activos y recursos. verificar si sus actividades se desarrollan eficientemente de acuerdo con las normas informáticas y generales existentes en cada empresa y para conseguir la eficacia exigida en el marco de la organización correspondiente.Introducción La auditoría de sistemas juega un papel importante en las organizaciones y/o instituciones de hoy en día . no obstante el análisis de riesgos tiende a dar recomendaciones para accionar en base al costo-beneficio . Se requieren varios pasos para realizar una auditoría. 1 .

robo de datos. entre los que se encuentran:  Amenaza: Una persona o cosa vista como posible fuente de peligro o catástrofe (inundación. como vidas humanas. (Es frecuente evaluar el impacto en términos económicos. honor. inexistencia de un control de soporte magnético. Llevar a cabo una auditoría de sistemas requiere una serie ordenada de acciones y procedimientos específicos. analizar los procesos informáticos. agujeros publicados. donde el principal objetivo es identificar la exposición de vulnerabilidades que conllevan a ciertos riesgos en los sistemas de información implementados en la organización o institución donde se llevara a cabo dicha auditoria. etc.)  Vulnerabilidad: La situación creada. de versiones.  Riesgo: La probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad (los datos estadísticos de cada evento de una base de datos de incidentes). con los que la amenaza pudiera acaecer y así afectar al entorno informático (falta de control de acceso lógico. incendio. sabotaje. En base a estos tópicos se presenta la necesidad de llevar a cabo un proceso de auditoría. por tanto existen algunos tópicos o definiciones básicas para comprender el accionar de una auditoria de sistemas. por la falta de uno o varios controles. el papel de auditor debe estar encaminado hacia la búsqueda de problemas existentes dentro de los sistemas utilizados. etc. de acuerdo a las etapas. y a la vez proponer soluciones para estos problemas. los cuales deberán ser diseñados previamente de manera secuencial. cronológica y ordenada. aunque no siempre lo es.Tópicos Generales Se entiende que la auditoria informática comprende las tareas de evaluar. imágenes de la empresa. eventos y 2 .  Exposición o Impacto: La evaluación del efecto del riesgo.

El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar la auditoría así como los riesgos del negocio y control asociado. Una planificación adecuada es el primer paso necesario para realizar auditorías de sistema eficaces. 3 . a continuación se muestra la metodología sugerida para realizar una auditoría de sistemas. basando todo su esfuerzo en los pasos descritos en la imagen anterior.actividades que se requieran para su ejecución .

Revisión de planes estratégicos a largo plazo. Riesgos más comunes Se puede definir los riesgos de auditoría como aquellos riesgos de que la información pueda tener errores materiales o que el auditor de sistemas no pueda detectar un error que ha ocurrido. Revisión de informes de auditorías anteriores. Los riesgos en auditoría pueden clasificarse de la siguiente manera: 4 . Estudio de los informes sobre normas o reglamentos. Debe incluir una comprensión general de las diversas prácticas comerciales y funciones relacionadas con el tema de la auditoría. a un banco se le exigirá requisitos de integridad de sistemas de información y de control que no están presentes en una empresa manufacturera.  Entrevistas a gerentes claves para comprender los temas comerciales     esenciales.Determinación del Área a Auditar El auditor de sistemas debe tener una comprensión suficiente del ambiente total que se revisa. así como los tipos de sistemas que se utilizan.  Lectura de material sobre antecedentes que incluyan publicaciones sobre esa industria. Los pasos que puede llevar a cabo un auditor de sistemas para obtener una comprensión del negocio son:  Recorrer las instalaciones del ente. Inventario de los sistemas implantados. memorias e informes financieros. Por ejemplo. El auditor de sistemas también debe comprender el ambiente normativo en el que opera el negocio.

 Riesgo de detección: Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. el auditor de sistemas debe percibir que en un sistema dado se puede detectar un error mínimo. estos son: 5 . La palabra "material" utilizada con cada uno de estos componentes o riesgos. Pero. Existen cuatro motivos por los que se utiliza la evaluación de riesgos.  Riesgo de Control: Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno. puede convertiré en un error material para todo el sistema. El auditor puede llegar a la conclusión de que no existen errores materiales cuando en realidad los hay. el auditor de sistemas puede enfrentarse ante una gran variedad de temas candidatos a la auditoría. Riesgo inherente: Cuando un error material no se puede evitar que suceda por que no existen controles compensatorios relacionados que se puedan establecer. Una auditoría tal vez no detecte cada uno de los potenciales errores en un universo. De manera similar al evaluar los controles internos. En una auditoría de sistemas de información. el auditor de sistemas debe evaluar esos riesgos y determinar cuáles de esas áreas de alto riesgo debe ser auditada. se refiere a un error que debe considerarse significativo cuando se lleva a cabo una auditoría. si el tamaño de la muestra es lo suficientemente grande. La materialidad en la auditoría de sistemas debe ser considerada en términos del impacto potencial total para el ente en lugar de alguna medida basado en lo monetario. la definición de riesgos materiales depende del tamaño o importancia del ente auditado así como de otros factores. o se utiliza procedimientos estadísticos adecuados se llega a minimizar la probabilidad del riesgo de detección. Al determinar que áreas funcionales o temas de auditoría que deben auditarse. pero ese error combinado con otros. El auditor de sistemas debe tener una cabal comprensión de estos riesgos de auditoría al planificar.

1.  Una organización de emergencia. entra en juego las siguientes fases: 6 . Encaminada a conseguir una restauración progresiva y ágil de los servicios de negocio afectados por una paralización total o parcial de la capacidad operativa de la empresa.En si la contingencia es una estrategia planificada constituida por:  Un conjunto de recursos de respaldo. Por tanto un Plan de contingencias contiene las medidas técnicas. En la elaboración del plan de contingencia. Dada la importancia de las tecnologías en las organizaciones modernas. humanas y organizativas necesarias para garantizar la continuidad del negocio y las operaciones de una empresa. y garantiza que las actividades de la función de auditoría se dirigen correctamente a las áreas de alto riesgo y constituyen un valor agregado para la gerencia. Constituir la base para la organización de la auditoría a fin de administrar eficazmente el departamento.  Unos procedimientos de actuación. 3. Permitir que la gerencia asigne recursos necesarios para la auditoría. 4. 2. el plan de contingencias es el más relevante. Garantizar que se ha obtenido la información pertinente de todos los niveles gerenciales. Un plan de contingencias es un caso particular de plan de continuidad del negocio aplicado al departamento de informática o tecnologías. Proveer un resumen que describa como el tema individual de auditoría se relaciona con la organización global de la empresa así como los planes del negocio. Planificación de contingencias Por otra parte siempre debe existir un plan de contingencias en las organizaciones y es por ello el auditor debe evaluar si los mecanismos de contingencia son lo suficientemente robustos para abarcar situaciones difíciles y de alto impacto .

Fase 3 (Pruebas y Mantenimiento): Se definen las pruebas. dado que pasar de la situación normal a la alternativa debe concluirse con la restitución de la situación inicial antes de la contingencia. Impacto de Negocio: se basan en el estudio del impacto (pérdida económica o de imagen) que ocasiona la falta de algún recurso de los que soporta la actividad del negocio. y se realiza la primera prueba como comprobación de todo el trabajo realizado.• Análisis y Diseño Fase 1 Fase 2 • Desarrollo del Plan Fase 3 • Pruebas y Mantenimiento Fase 1 (Análisis y Diseño): Se estudia la problemática. y se analiza el coste/beneficio de las mismas. sus características y sus ciclos. Fase 2 (Desarrollo del Plan): Se desarrolla la estrategia seleccionada. Además se analiza la vuelta a la normalidad. Tomando en cuenta dos familias metodológicas: 1. así como mentalizar al personal implicado. 2. Permiten hacer estudios coste/beneficio que justifican las inversiones con más rigor que los estudios de probabilidad que se obtienen con los análisis de riegos. Análisis de Riesgo: se basan en el estudio de los posibles riesgos desde el punto de vista de probabilidad de que los mismos sucedan. las necesidades de recursos. las alternativas de respaldo. implantándose hasta el final todas las acciones previstas. Además se define la estrategia 7 .

de mantenimiento. agua) distintos de los de la empresa principal. Objetivos de Auditoría: Donde se indica el propósito del trabajo de auditoría a realizar. En la práctica. ¿Cómo sigo • operando en otro lugar? Lo que generalmente se pide es que se hagan Backups de la información diariamente y que aparte. para tener un Backup en la empresa y • otro afuera de ésta. sea doble. la organización destinada a ello y la normativa y procedimientos necesarios para llevarlo a cabo. si se produce la inoperancia de Sistemas en la empresa principal. El esquema típico de un programa de auditoría incluye lo siguiente: a. teléfono. los planes de contingencias deben abarcar los siguientes escenarios: • Por ejemplo. es decir. a las oficinas paralelas. Una empresa puede tener unas oficinas paralelas que posean servicios básicos (luz. y después se van reciclando. se utilizaría el Backup para seguir operando en las oficinas paralelas. b. si a la empresa principal le proveía teléfono Telecom. la empresa sufre un corte total de energía o explota. Tema de auditoría: Donde se identifica el área a ser auditada. Los Backups se pueden acumular durante dos meses. • Telefónica. o el tiempo que estipule la empresa. 8 . En este caso. Planificación de la Auditoria Un programa de auditoría es un conjunto documentado de procedimientos diseñados para alcanzar los objetivos de auditoría planificados.

normas y directivas.  Desarrollo de herramientas y metodología para probar y verificar los controles existentes. las de cumplimiento se hacen para verificar que los controles funcionan de acuerdo a las 9 . Procedimientos de auditoría: para:  Recopilación de datos. Planificación previa: Donde se identifica los recursos y destrezas que se necesitan para realizar el trabajo así como las fuentes de información para pruebas o revisión y lugares físicos o instalaciones donde se va auditar.  Identificación de lista de personas a entrevistar.  Identificación y selección del enfoque del trabajo  Identificación y obtención de políticas.  Procedimientos para evaluar los resultados de las pruebas y revisiones. Los procedimientos involucran pruebas de cumplimiento o pruebas sustantivas.  Procedimientos de seguimiento. Alcances de auditoría: Aquí se identifica los sistemas específicos o unidades de organización que se han de incluir en la revisión en un período de tiempo determinado. e. El programa de auditoría se convierte también en una guía para documentar los diversos pasos de auditoría y para señalar la ubicación del material de evidencia.  Procedimientos de comunicación con la gerencia.c. d.

 Contrastar la actividad actual con la actividad planificada en el proyecto: debe existir algún mecanismo que permita comparar el progreso real con lo planificado.políticas y procedimientos establecidos y las pruebas sustantivas verifican si los controles establecidos por las políticas o procedimientos son eficaces. Asignación de Recursos de auditoría. El control se puede llevar en un diagrama de Gantt Los recursos deben comprender también las habilidades con las que cuenta el grupo de trabajo de auditoría y el entrenamiento y experiencia que estos tengan. como los períodos de vacaciones que estos tengan. Generalmente se utilizan las hojas de control de tiempo. etc.  Ajustar el plan y tomar las acciones correctivas: si al comparar el avance con lo proyectado se determina avances o retrasos. La asignación de recursos para el trabajo de auditoría debe considerar las técnicas de administración de proyectos las cuales tienen los siguientes pasos básicos:  Desarrollar un plan detallado: El plan debe precisar los pasos a seguir para cada tarea y estimar de manera realista. otros trabajos que estén realizando. 10 . se debe reasignar tareas. Tener en cuenta la disponibilidad del personal para la realización del trabajo de auditoría. el tiempo teniendo en cuenta el personal disponible.

para esto se debe documentar con el suficiente grado de detalle como para presentarlo como evidencia de auditoría. manuales de usuario.  Observación de operaciones y actuación de empleados. flujogramas.  Entrevistas con el personal apropiado. historia de cambios a programas. el auditor de sistemas debe tener conocimiento de cómo puede recopilar la evidencia examinada.Técnicas de recopilación de evidencias. es decir el auditor puede preparar narrativas en base a su observación. Algunas formas son las siguientes:  Revisión de las estructuras organizacionales de sistemas de información.  Revisión de documentos que inician el desarrollo del sistema. arquitectura de archivos de datos. listados de programas. estos no necesariamente se encontrarán en documentos. especializado o utilitario.  Auto documentación. si no en medios magnéticos para lo cual el auditor deberá conocer las formas de recopilarlos mediante el uso del computador.  Utilización de técnicas de auditoría asistida por computador CAAT. 11 . las cuales deben tener una naturaleza de descubrimiento no de acusatoria. consiste en el uso de software genérico. cuestionarios de entrevistas realizados.. La recopilación de material de evidencia es un paso clave en el proceso de la auditoría. Aplicación de técnicas de muestreo para saber cuándo aplicar un tipo adecuado de pruebas (de cumplimiento o sustantivas) por muestras. especificaciones de diseño funcional. etc. especificaciones de bases de datos. esta es una técnica importante para varios tipos de revisiones.

este informe es utilizado para indicar las observaciones y recomendaciones a la gerencia. aquí también se expone la opinión sobre lo adecuado o lo inadecuado de los controles o procedimientos revisados durante la auditoría.  Observaciones detalladas y recomendaciones de auditoría.  Respuestas de la gerencia a las observaciones con respecto a las acciones correctivas. pero generalmente tiene la siguiente estructura o contenido:  Introducción al informe.Informe de auditoría Los informes de auditoría son el producto final del trabajo del auditor de sistemas. y una expresión general sobre la naturaleza o extensión de los procedimientos de auditoría realizados.  Conclusión global del auditor expresando una opinión sobre los controles y procedimientos revisados. no existe un formato específico para exponer un informe de auditoría de sistemas de información. el período o alcance cubierto por la misma. donde se expresara los objetivos de la auditoría. 12 .

Conclusión El trabajo de auditoría es un proceso continuo. en algunos casos el auditor de sistemas tal vez solo necesite inquirir sobre la situación actual. amenaza. cada uno de esos pasos juega un papel crucial en la aplicación de una auditoria de sistemas transparente y confiable. la oportunidad de seguimiento dependerá del carácter crítico de las observaciones de auditoría. Definen la forma en que un auditor analice la problemática de una empresa u organización. se debe entender que no serviría de nada el trabajo de auditoría si no se comprueba que las acciones correctivas tomadas por la gerencia. Es interesante comprender el cómo influye cada uno de los pasos de la auditoria de sistema en la calidad del producto final. riesgo. se están realizando. En consecuencia el Ingeniero de Sistemas debe tener conocimientos sólidos en cuanto a la aplicación de estas etapas. Por ello es tan importante hacer énfasis en cada uno de los pasos descrito en esta investigación desde la determinación del área a ser auditada hasta la elaboración del informe de auditoría . fue evidente notar que la comprensión de la auditoria de sistemas pasa por comprender la esencia de la misma. conceptos como. para esto se debe tener un programa de seguimiento. en otros casos tendrá que hacer una revisión más técnica del sistema. vulnerabilidad. 13 . El nivel de revisión de seguimiento del auditor de sistemas dependerá de diversos factores.

(2003). luego se deberá evaluar los riesgos y contingencias .).Esto último basado en un proceso de recolección de datos y entrevistas con la alta gerencia para determinar el área a ser auditada y el alcance en sí de la auditoria. donde se definen cada una de las etapas a abarcar en la auditoria de sistemas de información.. Vol. Universidad de Colima. L. L. Un Enfoque Practico (II ed. Moreno Giménez. La auditoría en la Informática (I ed. pp. I. Auditoria Informática. pp. 14 .. I.Todo estos pasos son el insumo para la creación de un programa detallado de auditoria. Vol. (2001). Referencias Bibliográficas Mario G Piattini. ALFAOMEGA GRUPO EDITOR. Colima.). concluyendo con el informe de auditoría el cual debe mostrar los resultados.