FACULTAD DE ADMINISTRACIN

ESPECIALIDAD DE TURISMO Y NEGOCIOS INTERNACIONALES

CURSO
Auditoria Turstica
AUDITORIA DE SISTEMAS

DOCENTE
Aguirre Castro Carmen

ALUMNAS
Jimnez Casani Yesenia Diana
Bracho Lazo Jessica
Huertas Valenzuela Trheysi

CICLO
X


LIMA PER
2014

INDICE

I. DEFINICIN
II. OBJETIVOS
III. LA NECECIDAD E IMPORTANCIA DE LA AUDITORIA
FINANCIERA
3.1. Necesidad
3.2. Importancia

IV. CONTROLES
4.1. Clasificacin general de los controles
4.2. Principales controles fsicos
4.3. Controles automticos o lgicos

V. PERFIL DEL AUDITOR DE SISTEMAS Y NORMAS BSICAS
DE APLICACIN
VI. RIESGOS Y MATERIALIDAD DE LA AUDITORIA DE
SISTEMAS
VII. HERRAMIENTAS DE SOPORTE
VIII. MANUAL DE AUDITORIA DE SISTEMAS








I. DEFINICION
AUDITORA DE SISTEMAS ES:
La verificacin de controles en el procesamiento de la informacin,
desarrollo de sistemas e instalacin con el objetivo de evaluar su
efectividad y presentar recomendaciones a la Gerencia.
La actividad dirigida a verificar y juzgar informacin.
El examen y evaluacin de los procesos del rea de Procesamiento
automtico de Datos (PAD) y de la utilizacin de los recursos que en
ellos intervienen, para llegar a establecer el grado de eficiencia,
efectividad y economa de los sistemas computarizados en una empresa
y presentar conclusiones y recomendaciones encaminadas a corregir las
deficiencias existentes y mejorarlas.

II. OBJETIVOS:
Garantizar que el hardware y software se adquieran siempre y cuando
tengan la seguridad de que los sistemas computarizados proporcionaran
mayores beneficios que cualquier otra alternativa.
Garantizar la seleccin adecuada de equipos y sistemas de computacin
Asegurar la elaboracin de un plan de actividades previo a la
instalacin.
Objetivos Generales de una Auditora de Sistemas
Buscar una mejor relacin costo-beneficio de los sistemas automticos
o computarizados diseados e implantados por el PAD
Incrementar la satisfaccin de los usuarios de los sistemas
computarizados
Asegurar una mayor integridad, confidencialidad y confiabilidad de la
informacin mediante la recomendacin de seguridades y controles.
Conocer la situacin actual del rea informtica y las actividades y
esfuerzos necesarios para lograr los objetivos propuestos.
Seguridad de personal, datos, hardware, software e instalaciones
Apoyo de funcin informtica a las metas y objetivos de la organizacin
Seguridad, utilidad, confianza, privacidad y disponibilidad en el
ambiente informtico
Minimizar existencias de riesgos en el uso de Tecnologa de
informacin
Decisiones de inversin y gastos innecesarios
Capacitacin y educacin sobre controles en los Sistemas de
Informacin

III. CUL ES LA NECESIDAD E IMPORTANCIA DE LA
AUDITORA DE SISTEMAS?

3.1. NECESIDAD
Es necesaria ya que examina y evala los procesos del rea de Procesamiento
automtico de Datos (PAD) y de la utilizacin de los recursos que en ellos
intervienen, para llegar a establecer el grado de eficiencia, efectividad y
economa de los sistemas computarizados en una empresa y presentar
conclusiones y recomendaciones a la gerencia con el propsito de corregir las
deficiencias
3.2. IMPORTANCIA
Es importante ya que est encargada de llevar a cabo la evaluacin de normas,
controles, tcnicas y procedimientos establecidos en una empresa para lograr
confiabilidad, oportunidad, seguridad y confidencialidad de la informacin
que es procesada a travs de los sistemas de tecnologa de la informacin.
J ustificativos para efectuar una Auditora de Sistemas
Aumento considerable e injustificado del presupuesto del PAD
(Departamento de Procesamiento de Datos)
Desconocimiento en el nivel directivo de la situacin informtica de la
empresa
Falta total o parcial de seguridades lgicas y fsicas que garanticen la
integridad del personal, equipos e informacin.
Descubrimiento de fraudes efectuados con el computador
Falta de una planificacin informtica
Organizacin que no funciona correctamente, falta de polticas,
objetivos, normas, metodologa, asignacin de tareas y adecuada
administracin del Recurso Humano
Descontento general de los usuarios por incumplimiento de plazos y
mala calidad de los resultados
Falta de documentacin o documentacin incompleta de sistemas que
revela la dificultad de efectuar el mantenimiento de los sistemas en
produccin
IV. CONTROLES
Conjunto de disposiciones metdicas, cuyo fin es vigilar las funciones y
actitudes de las empresas y para ello permite verificar si todo se realiza
conforme a los programas adoptados, rdenes impartidas y principios
admitidos.
4.1. Clasificacin general de los controles
1. Controles Preventivos
Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo,
permitiendo cierto margen de violaciones.
Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones
Sistemas de claves de acceso.

2. Controles detectores
Son aquellos que no evitan que ocurran las causas del riesgo sino que los
detecta luego de ocurridos. Son los ms importantes para el auditor. En cierta
forma sirven para evaluar la eficiencia de los controles preventivos.
Ejemplo: Archivos y procesos que sirvan como pistas de auditora
Procedimientos de validacin

3. Controles Correctivos
Ayudan a la investigacin y correccin de las causas del riesgo. La correccin
adecuada puede resultar dificil e ineficiente, siendo necesaria la implantacin
de controles detectivos sobre los controles correctivos, debido a que la
correccin de errores es en si una actividad altamente propensa a errores.

4.2. Principales Controles fsicos y lgicos
Controles particulares tanto en la parte fisica como en la lgica se detallan a
continuacin.
Autenticidad: Permiten verificar la identidad
Passwords
Firmas digitales

Exactitud: Aseguran la coherencia de los datos
Validacin de campos
Validacin de excesos

Totalidad: Evitan la omisin de registros as como garantizan la conclusin de
un proceso de envi
Conteo de regitros
Cifras de control

Redundancia: Evitan la duplicidad de datos
Cancelacin de lotes
Verificacin de secuencias

Privacidad: Aseguran la proteccin de los datos
Compactacin
Encriptacin

Existencia: Aseguran la disponibilidad de los datos
Bitcora de estados
Mantenimiento de activos

Proteccin de Activos: Destruccin o corrupcin de informacin o del
hardware.
Extintores
Passwords

Efectividad: Aseguran el logro de los objetivos
Encuestas de satisfaccin
Medicin de niveles de servicio


Eficiencia: Aseguran el uso ptimo de los recursos
Programas monitores
Anlisis costo-beneficio



4.3. Controles automticos o lgicos
4.3.1. Periodicidad de cambio de claves de acceso
Los cambios de las claves de acceso a los programas se deben realizar
peridicamente. Normalmente los usuarios se acostumbran a conservar la
misma clave que le asignaron inicialmente.
El no cambiar las claves peridicamente aumenta la posibilidad de que
personas no autorizadas conozcan y utilicen claves de usuarios del sistema de
computacin. Por lo tanto se recomienda cambiar claves por lo menos
trimestralmente.
4.3.2. Verificacin de datos de entrada
Incluir rutinas que verifiquen la compatibilidad de los datos mas no su
exactitud o precisin; tal es el caso de la validacin del tipo de datos que
contienen los campos o verificar si se encuentran dentro de un rango.
4.3.3. Controles administrativos en un ambiente de Procesamiento de
Datos

La mxima autoridad del rea de Informtica de una empresa o institucin
debe implantar los siguientes controles que se agruparan de la siguiente forma:
1.- Controles de Preinstalacin
2.- Controles de Organizacin y Planificacin
3.- Controles de Sistemas en Desarrollo y Produccin
4.- Controles de Procesamiento
5.- Controles de Operacin
6.- Controles de uso de Microcomputadores



V. PERFIL DEL AUDITOR DE SISTEMAS Y NORMAS BSICAS DE
APLICACIN
Cada empresa tiene establecido los criterios, condiciones y obligaciones que
deben ser respetados por el personal que labora en ella, esto obedece a que son
aspectos vigentes que regulan la actuacin de quienes administran la empresa,
por tanto, es compromiso del auditor apegarse a las normas o polticas
establecidas, sean estas internas o externas en el ejercicio del servicio
profesional, auditoria de sistemas debe exigir el cumplimiento de normas bsicas o
principios generales aceptados.
En cualquier mbito laboral existen necesidades que cumplir, el primer requisito
que debe poseer quien se dedica a esta profesin, es estar totalmente libre de
cualquier tipo de influencia; es decir debe ser autnomo en su actuacin y no
permitir ningn tipo de injerencia, ya sea de cualquier carcter, sean estas:
laborales, morales, conducta, independencia y conocimiento profesional. El
segundo requisito son los conocimientos informticos que se debe tener, con un
amplio cumulo de nociones en reas vinculadas al trabajo, mtodos, herramientas
y tcnicas de auditoria a fin de que pueda realizar sus tareas con eficiencia y
eficacia.
Sin embargo, este debe poseer otras caractersticas personales que son
representativas del au7ditor tales como: honradez, valores, confianza, tenacidad,
capacidad analtica, en ese contexto tambin lo ideal es la experiencia profesional
para el buen desempeo del trabajo dentro de la Organizacin. As mismo debe el
auditor de sistemas manejar otros factores que constituyen y se encuentran
ligados a su profesin, tales como:
a) El auditor debe de aprender a manejar adecuadamente las relaciones
personales, profesionales y laborales entre l y el auditado.
b) Como profesional de auditoria debe utilizar la misma metodologa,
procedimientos, herramientas y tcnicas que se hayan establecido para la
revisin de las reas.
c) Los resultados que obtiene el auditor forman evidencias en las que se
respalda, para emitir el dictamen.
d) Es obligacin profesional, moral y personal del auditor respetar la
confidencialidad de dicha informacin y no divulgarla.
e) Mantener y aplicar la equidad, en virtud que trata de igualar la justicia,
ponderacin y emisin de juicios: la imparcialidad que evita las preferencias
injustas y la razonabilidad que es la capacidad del individuo para emitir un
juicio.
La sociedad misma identifica una serie de aspectos fundamentales que debe
de tener el profesional dedicado a la auditoria, a fin de que identifique y cumpla
con los principios y valores del auditor, citando algunos de ellos:

A. INDEPENDENCIA.- La independencia supone una actitud mental que
permite al auditor actuar con libertad respecto a su juicio profesional, para
lo cual debe encontrarse libre de cualquier predisposicin que limite su
imparcialidad en la consideracin objetiva de los hechos, as como en la
formulacin de sus conclusiones.

Para ser independiente, el auditor no debe tener intereses ajenos a los
profesionales, ni estar sujeto a influencias susceptibles de comprometer tanto la
solucin objetiva de los asuntos que le son sometidos, como la libertad de
expresar su opinin profesional.

B. INTEGRIDAD.- La integridad debe entenderse como la rectitud intachable
en el ejercicio profesional, que le obliga a ser honesto y sincero en la
realizacin de su trabajo y en la emisin de su informe. En consecuencia,
todas y cada una de las funciones que realice han de estar regidas por una
honradez profesional irreprochable.

C. OBJETIVIDAD.- La objetividad implica el mantenimiento de una actitud
imparcial en todas las funciones del auditor. Para ello, debe gozar de una
total independencia en sus relaciones con la entidad auditada. Debe ser
justo y no permitir ningn tipo de influencia o prejuicio.

D. COMPETENCIA PROFESIONAL.- Es la obligacin de mantener su nivel de
competencia a lo largo de toda su carrera profesional, as como de
mantener sus conocimientos y sus habilidades a un nivel adecuado para
asegurar que la evaluacin ser la adecuada.

E. CONFIDENCIALIDAD.- El auditor deber respetar la confidencialidad con
respecto a la informacin que rena en el desarrollo de su trabajo y no
deber revelar ninguna informacin a terceros sin la autorizacin especfica,
a menos que tenga el derecho o la obligacin profesional o legal de hacerlo.
Tambin tiene la obligacin de garantizar que el personal bajo su control
respete finalmente el principio de la confidencialidad.

El principio de confidencialidad es ms amplio que la reve3lacion de la
informacin; incluye el hecho de que un auditor que obtenga informacin en el
curso de la prestacin de sus servicios, no debera usarla para su beneficio
personal o para terceros.

F. RESPONSABILIDAD.- Se mantiene como responsabilidad el hecho de
aceptar el compromiso que implica la toma de decisiones y las
consecuencias previstas por las acciones y omisiones en el cumplimiento
del trabajo.

G. CONDUCTA PROFESIONAL.- Actuar de acuerdo con la buena reputacin
de la profesin y evitar cualquier conducta que pueda desacreditarla. Esto
requiere que las normas de tica tengan en cuenta las responsabilidades
profesionales.


H. NORMAS TECNICAS.- El auditor deber conducir una auditoria conforme
las Normas y Polticas, locales o internacionales. Estas debern contener
principios bsicos y procedimientos esenciales junto con lineamientos
relativos y asociados a las funciones del auditor.
I.
Los elementos referenciados con anterioridad se encuentran integrados en
normas llamadas cdigo de tica, aplicadas para el auditor de sistemas, siendo
estos utilizados y difundidos por instituciones nacionales e internacionales.

VI. RIESGOS Y MATERIALIDAD DE LA AUDITORIA DE SISTEMAS
Se pueden definir los riesgos de auditoria como aquellos riesgos en que la
informacin pueda tener errores materiales o que el auditor de TI no pueda
detectar un error que ha ocurrido. Los riesgos en auditoria pueden clasificarse
de la siguiente manera:
Riesgo inherente: Cuando un error material no se puede evitar que
suceda por que no existen controles compensatorios relacionados que
se puedan establecer.
Riesgo de control: Cuando un error material no puede ser evitado o
detectado en forma oportuna por el sistema de control interno.
Riesgo de deteccin: Es el riesgo en que el auditor realiza pruebas
exitosas a partir de un procedimiento inadecuado. El auditor puede
llegar a la conclusin de que no existen errores materiales cuando en
realidad existen. La palabra material utilizada con cada uno de estos
componentes o riesgos, se refiere a un error que debe considerarse
significativo cuando se lleva a cabo una auditoria.
En una auditoria de TI, la definicin de riesgos materiales depende del tamao o
importancia del ente auditado, as como de otros factores. Una auditoria tal vez no
detecte cada uno de los potenciales errores en el universo. Pero, si cuando el
tamao de la muestra es lo suficientemente grande, o se utiliza procedimientos
estadsticos adecuados se llega a minimizar la probabilidad del riesgo de
detencin.
De manera similar al evaluar los controles internos, el auditor de TI debe percibir
que en un sistema dado, se puede detectar un error mnimo, pero ese error
combinado con otros, puede convertirse en un error material para todo el sistema.
Aunque siempre debe prevalecer el deber del secreto profesional del auditor,
conviene recordar que en el caso de detectar el fraude durante el proceso de
auditoria procede actuar en consecuencia con la debida prudencia que aconseja,
sobre todo si afecta a los administradores de la organizacin. Ante un caso as,
conviene consultar con la Alta Administracin o el Comit creado para tal fin, as
mismo con el asesor jurdico, e identificar leyes afines para tal efecto, por ejemplo:
Cdigo Penal, Cdigo Civil, Cdigo de Comercio, Ley de Propiedad Intelectual y
otras disposiciones. Al determinar que reas funcionales o temas de auditoras
debe auditarse, el au7ditor puede enfrentarse ante una gran variedad de temas,
por ellos debe evaluar esos riesgos y determinar cules de esas reas de alto
riesgo deben ser auditadas.


EVIDENCIA
La evidencia es la base razonable de la opinin del Auditor de TI, esto es parte
complementaria del informe, la evidencia tiene una serie de calificativos:
La evidencia relevante, que tiene una relacin lgica con los objetivos de la
Auditoria.
La evidencia fiable, que es vlida y objetiva, aunque con nivel de confianza.
La evidencia suficiente, que es de tipo cuantitativo para soportar la opinin
profesional del auditor.
La evidencia adecuada, que es de tipo cualitativo para afectar a las
conclusiones del auditor.



VII. HERRAMIENTAS DE SOPORTE

7.1 SOFTWARE PARA AUDITORA
El auditor de sistemas puede auxiliarse con herramientas alternas que existen en el
medio creadas para dicho fin, por ejemplo: para evaluar las Bases de Datos, estas
permiten medir la consistencia, coherencia y calidad de los datos, para evaluar redes;
estas permiten monitorear la seguridad y la continuidad del servicio. Al respecto podemos
mencionar algunas de ellas:

A) ACL
ACL es un software para la solucin de auditora y anlisis de datos, siendo su
significado Lenguaje de Control para Auditora, es un producto reconocido en el
mundo por su excepcional servicio y soporte tcnico, siendo un valor agregado para
las empresas por sus ventajas de generacin de reportes que se almacenan como
papeles de trabajo. El software es un producto eficiente segn las caractersticas
siguientes:
Funcionalidad incorporada para; auditar y analizar datos mediante poderosos
comandos tales como: estratificar, muestreo y duplicados.
Facilidad para el anlisis interactivo; aplicando cualquier metodologa de
auditora, analizando sus datos de forma que los resultados son inmediatos no
importando la cantidad de registros que contenga el archivo, por su manejo de
alta capacidad y velocidad en el proceso.
Facilidad de uso; su interfaz amigable que incluye facilidades como: mens,
barras de herramientas y comandos.
Anlisis universal de datos; una vez que se accede los datos, ACL los puede
leer en su formato nativo, utilizando un solo producto en una herramienta
para leer cualquier plataforma tecnolgica, incluyendo bases de datos
que cumplan con las especificaciones de ODBC, archivos de longitud variable,
archivos de texto y muchos mas.
Procesamiento de varios archivos; trabaja simultneamente con varios
archivos, para hacer anlisis y reportes mas complejos.
Identifica tendencias y seala excepciones y reas que requieren atencin.
Localiza errores y posibles irregularidades, comprobando y analizando los
datos segn los criterios del auditor.
Verifica integridad de datos en los archivos.
Emite clculos estadsticos y analticos para realizar proyecciones.
Despliegue de Grficos de Barra


B) IDEA

Datos Interactivos Extraccin y Anlisis (IDEA) es una herramienta para
auditores, contadores y administradores financieros que necesitan auditar,
revisar, analizar, extraer y evaluar informacin contenida en sistemas, base de
datos y cualquier archivo electrnico.
Este software permite la ejecucin de procesos como consultas a archivos de
datos, calcular totales o promedios, encontrar cuantas transacciones o
registros cumplen un criterio dado o buscar campos inusuales. La interfaz del
software est orientada hacia los usuarios finales, de manera que su uso y
aplicacin resulta amigable con el usuario, el software presenta algunas
caractersticas:

Anlisis de informacin: IDEA permite realizar una serie de funciones de anlisis
sobre los datos extrados, mejorando la confianza y la exactitud de la informacin
utilizada por el auditor.
Ordenamiento de registros: IDEA permite ordenar registros.
Grficos de barra: permite visualizar de modo grfico la informacin que est
analizando.
Estadsticas de un campo: muestra una variedad de informacin estadstica de un
campo numrico y puede actuar hasta para 32 campos simultneamente.
Comparacin de dos archivos: permite comparar dos archivos similares e
identificar eventuales diferencias entre ambos.
Deteccin de errores de secuencia: permite detectar errores de secuencia en un
archivo, como por ejemplo en un archivo de cheques emitidos.
Deteccin de duplicadas: permite detectar campos duplicados que deberan ser
nicos.


C) TEAM-MATE

Es un software que dispone de un sistema administrador de usuarios de la Base de
Datos, de manera que cada usuario tiene diferentes niveles de acceso. Est diseado
para ser utilizado por todos los sectores, comerciales, industriales, financiero; as
como para todo tipo de auditora, como financiera, de cumplimiento, procedimientos,
operacionales, investigaciones y auditora de TI, dispone de integrar el programa de
auditora con las observaciones o comentarios afines para luego poderlo relacionar al
papel de trabajo no importando su formato, el o le permite la flexibilidad y manejo
operativo del mismo. Tambin dispone de mdulo de evaluacin de riesgos,
basada en la metodologa ORCA (Objetivos, Riesgos, Controles y Alineacin), esta
enfocada en cmo una organizacin, unidad de negocio, proceso de negocio o
individuo define y prioriza sus estrategias y objetivos. Tambin dispone de Team Risk
el cual permite la evaluacin de riesgos determinando el universo de riesgo con
objetivos y controles que pueden ser editados durante el proceso de evaluacin.


D) MAGERIT

Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin
de las administraciones Pblicas (MAGERIT). Est compuesto por:
Aproximacin a la seguridad de los Sistemas de Informacin, Procedimientos,
Tcnicas, Desarrolladores de aplicaciones, Responsables del Dominio,
Legales y Tcnicas.
El modelo normativo de MAGERIT se apoya en tres sub modelos:
Componentes, Eventos y Procesos, la metodologa permite estudiar los
riesgos que soporta un sistema de informacin y el entorno asociado a l, por
el o propone la realizacin de un anlisis de los riesgos que implica la
evaluacin del impacto que una falta en la seguridad que tiene la organizacin;
seala los riesgos existentes, identificando las amenazas que acechan al
sistema de informacin, y determina la vulnerabilidad del sistema de
prevencin de dichas amenazas, obteniendo unos resultados.
Los Criterios de Seguridad de normalizacin y conservacin recogen los
requisitos y recomendaciones relativos a la implantacin de las medidas de
seguridad organizativa y tcnica para asegurar la autenticidad,
confidencialidad, integridad, disponibilidad y conservacin de la informacin en
el diseo, desarrol o, implantacin y explotacin de las aplicaciones que la
Administracin General del Estado utiliza para el ejercicio de sus potestades.
Estos criterios pueden ser, por tanto, complemento de MAGERIT para la
identificacin y seleccin de funciones y mecanismos de salvaguarda.

7.2. SOFTWARE DE MONITOREO PARA REDES
La seguridad se hace posible con el desarrollo de negocios a travs de
Internet y debe ser un componente fundamental de cualquier estrategia de
comercio electrnico. A medida que las empresas abren sus redes a ms
usuarios y aplicaciones, las exponen a mayores riesgos. Por el o las
organizaciones o personas que comparten informacin y que ingresan con
sus equipos a una red por cualquier clase de motivo, es prcticamente
imprescindible usar algn Corta Fuego (Firewal ) y de herramientas que le
permitan monitorear la red, sobre todo s comparte archivos a travs de
Internet, utiliza un servidor Web, utiliza algn tipo de herramienta de control
remoto como PC Anywhere, Laplink o Servicios de Terminal de Microsoft o
desea estar protegido ante ataques de denegacin de servicio (DoS) o
intrusiones. Al respecto presentamos a manera de ejemplos algn software
que pueden servir de soporte para ejercer auditora en las redes de
comunicaciones:









VIII. . MANUAL DE AUDITORIA
El Manual de Auditora de Sistemas para la Evaluacin de la Tecnologa de Informacin,
conocido como MASTI.

A. OBJETIVO DEL MANUAL
Proveer a los auditores tecnolgicos lineamientos para la realizacin de una
auditora de gestin a las tecnologas de informacin y comunicaciones que
coadyuven a la buena gestin de la disponibilidad de los servicios
sistematizados prestado a la poblacin en general, con el uso de la
tecnologa proporcionando seguridad, disponibilidad, confiabilidad y
oportunidad de la informacin procesada y resguardada dentro de la
entidad.

B. COMPOSICION DEL MASTI

El Manual de Auditora de Sistemas para la Evaluacin de la Tecnologa de Informacin,
conocido como MASTI, agrupa las siguientes divisiones:

Planificacin y Organizacin:
Comprende las decisiones estratgicas y planes operativos definidos por la
Administracin, esto incluye el entorno organizacional, elementos que contribuirn
al logro de los objetivos planeados por la Entidad.

Plataforma Tecnolgica:
La prctica de las estrategias definidas por la Organizacin, obligan a la directriz
responsable de TI a cumplir bajo soluciones integrales y tecnolgicas,
proporcionar un mejor servicio ante el crecimiento y demanda que la institucin
requiere, todo el o con la finalidad de hacer posible la continuidad de las
operaciones, descargando su confianza en los sistemas informticos.

Soporte:
El mantenimiento, control y seguridad son factores a considerar como
complemento de los procesos de TI debido a que deben ser evaluados
regularmente, tanto en calidad como cumplimiento, ya que es parte fundamental
para la continuidad del servicio.

Subcontratacin.
Un acuerdo de subcontratacin es aquel que se establece entre una entidad y un
proveedor de servicios, en el que este ltimo realiza una actividad, funcin,
proceso o administra los recursos de TI del negocio solicitante. Las razones para
que una empresa requiera de subcontratacin estn en funcin del alcance,
naturaleza, ubicacin, proveedor, calidad, recursos, oportunidad, servicios, etc.


C. APLICACIN DE MASTI
Los programas de auditora podran l egar a aparentar la facilidad de su aplicacin,
sin embargo, podemos decir que no es una actividad plenamente mecnica sino
que es necesario tener conocimientos y la capacidad de medir el alcance debido a que
esta es una actividad de anlisis crtico, la cual no implica que existan fal as en la entidad
auditada sino ms bien fortalecer y mejorar el servicio de TI.
El Marco Referencial de MASTI Manual de Auditora de Sistemas para la
Evaluacin de la Tecnologa de Informacin, proporciona al auditor de sistemas una
herramienta que le permite guiarlo sobre los puntos importantes a evaluar dentro de la
Organizacin, no obstante la experiencia de ste, podr hacer la ampliacin o reduccin
del mismo, estando sujeto a la responsabilidad y la objetividad que defina los lineamientos
de la Administracin de la cual depende.
En nuestra opinin tenemos la certeza que los recursos de TI deben ser
segmentados en divisiones, y stas compuestas en reas ms especficas. Como
producto de el o presentamos cuatro principales divisiones en las que se sustenta el
presente manual: Planificacin y Organizacin, Plataforma Tecnolgica, Soporte y
Subcontratacin. Las divisiones en referencia se agrupan en 30 reas de control y estas a
la vez se subdividen en 541 actividades seccionadas las cuales conforman los programas
de auditora. La numeracin correlativa de las actividades descritas en los referidos
programas no representan, ni obedecen un orden de importancia, ms bien es un numero
correlativo, asimismo las actividades en comento no son obligatorias en su totalidad para
la aplicacin de cada una de estas, debido a que son de carcter general, de forma que
permita la aplicacin en cualquier tipo de organizacin, este enfoque result como
producto de las pruebas realizadas del trabajo de aplicacin en el campo.
Los programas de auditora descritos en MASTI, se encuentran orientados a
objetivos de control en TI, que permitirn a la Administracin tener una evaluacin de
carcter tcnico sobre el ambiente de TI en la Organizacin y los riesgos asociados a esta
actividad y los resultados obtenidos que permita mejorar el servicio tecnolgico en:
efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y
confiabilidad, todo el o encaminado a que la tecnologa apoye el logro de los objetivos
estratgicos institucionales.


D. ESQUEMA DE MASTI

El siguiente esquema representa el proceso que indica al auditor de
sistemas, el flujo interactivo que pueden efectuar al realizar la evaluacin,
donde se observa que las cuatro divisiones estn ligadas y se
retroalimentan o se complementan con las actividades que dependen de
cada una de el as, el proceso en referencia estar bajo el juicio y el
conocimiento que el auditor quiera profundizar en el alcance y objetivo
previsto, esto requerir la necesidad de disponer o involucrar para el
desarrollo algunos recursos tales como: tecnolgicos, de sistemas,
recursos humanos, documentacin tcnica operativa y administrativa e
infraestructura tecnolgica.




E. METODOLOGIA - PROCESO DE LA AUDITORIA DE SISTEMAS

PLANEAMIENTO: Comprende dos etapas
1. Revisin General
* Conocimiento inicial de la entidad por examinar.
* Anlisis preliminar en la entidad
* Formulacin del plan de revisin estratgica
2. Revisin Estratgica
*Ejecucin del plan
*Aplicacin de pruebas preliminares
* Identificacin de los criterios de auditoria.
* Formulacin del reporte de revisin estratgica
3. Elaboracin del Plan de auditoria.

EJECUCIN:
1. Elaboracin de los programas de auditoria, la recopilacin de
documentos, realizacin de pruebas y anlisis de evidencias
para asegurar su suficiencia y competencia, para acumular
bases suficientes para la formulacin de observaciones,
conclusiones y recomendaciones debidamente sustentadas.
2. Se aplica procedimientos y tcnicas de auditoria, pruebas de
evaluacin de controles, identificacin de hallazgo (condicin
y criterio).

INFORME:
1. Formaliza sus observaciones en el informe de auditoria.
2. Producto final; deber detallar los elementos de la observacin
(condicin, criterio, causa y efecto), comentarios de la entidad,
evaluacin final de tales comentarios, conclusiones y
recomendaciones.
3. Debe tener requisitos de calidad y confiabilidad.
4. Aprobado y remitido a la entidad auditada. (forma y modo
establecido por la Contralora