UNIVERSIDAD TECNOLOGICA ANTONIO

JOSE DE SUCRE

LA AUDITORIA DE LOS SISTEMAS

INSTALADOS

MATERIA: AUDITORIA DE SISTEMAS

LEOMAR MARTINEZ URE
C.I N 24.385.078

AUDITORIA DE SISTEMAS
La Auditoria de los Sistemas de Informacin Es cualquier auditoria que abarca la revisin
y evaluacin de todos los aspectos (o porcin de ellos) de los sistemas automticos de
procesamiento de la informacin, incluidos los procedimientos no automticos relacionados
con ellos y las interfaces correspondientes.
La Auditoria en Informtica : Es la revisin y la evaluacin de los controles, sistemas,
procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y
seguridad, de la organizacin que participan en el procesamiento de la informacin, a fin de
que se logre una utilizacin ms eficiente y segura de la informacin para una adecuada toma
de decisiones.

Auditora de sistemas: Es la revisin tcnica, especializada y exhaustiva que se realiza a los

sistemas computacionales, software e informacin utilizados en una empresa, sean
individuales, compartidos y/o de redes, as como a sus instalaciones, telecomunicaciones,
mobiliario, equipos perifricos y dems componentes. Dicha revisin se realiza de igual
manera a la gestin informtica, el aprovechamiento de sus recursos, las medidas de seguridad
y los bienes de consumo necesarios para el funcionamiento del centro de cmputo.

IMPORTANCIA DE LA AUDITORIA

La Auditoria en Informtica es de vital importancia para el buen

desempeo de los sistemas de informacin, ya que proporciona los
controles necesarios para que los sistemas sean confiables y con un
buen nivel de seguridad. Adems debe evaluar todo en informtica,
organizacin de centros de informacin, hardware y software, los
sistemas de informacin en general. desde sus entradas,
procedimientos, controles, archivos, seguridad y obtencin de
informacin.

METODOLOGA PARA REALIZAR AUDITORA

DE SISTEMAS INSTALADOS

FASES PARA REALIZAR LA AUDITORIA DE SISTEMAS INSTALADOS:

1. PLANEACIN
2. EJECUCIN DE LA AUDITORA
3. REDACCIN DEL INFORME FINAL

FASE 1. PLANEACIN
1.- Identificar el origen de la auditora.
2.- Realizar visita preliminar al rea que ser evaluada.
3.- Establecer objetivos de la auditora.
4.- Determinar los puntos que sern evaluados en la auditora.
5.- Elaborar planes, programas y presupuestos para realizar la
auditora.
6.- Identificar y seleccionar los mtodos, herramientas,
instrumentos y procedimientos necesarios para la auditora.
7.- Asignar recursos y sistemas computacionales para la
auditora.

1.1 Identificar el origen de la auditora:

1.-Por solicitud expresa de procedencia interna.
2.-Por solicitud expresa de procedencia externa.
3.-Como consecuencia de emergencias y condiciones
especiales.
4.-Por riesgos y contingencias informticas.
5.-Como resultados de los planes de contingencia.
6.-Por resultados obtenidos de otras auditoras.
7.-Como parte del programa integral de auditora.

1.2 Realizar visita preliminar al rea que ser evaluada

1 - Cmo se encuentran distribuidos los sistemas en el rea?
- Ubicacin del sistema. Accesos a las bases de datos del sistema
- Manuales de Usuario, Manuales Tcnicos, Acceso a la
infraestructura.
- Documentos tcnicos sobre la infraestructura utilizada para el
sistema.
2 - Cuntos, cules, cmo y de qu tipo son los equipos que estn
instalados en el centro de sistemas?
3 - Cules son las principales caractersticas fsicas de los sistemas
que sern auditados?
4 - Cmo reacciona el personal ante la visita del auditor?
5 - Qu limitaciones se observan para realizar la auditora?
6.- calcular recursos y personal.

7.- Conocer la organizacin, objeto de Auditora:

1.- Cantidad de empleados, Funciones y actividades del personal Unidades Ad.
del Centro de Cmputo. tipo de informacin que maneja la organizacin. contexto
donde la empresa est funcionando.
2.-Informacin de la empresa y de su centro de datos (departamento de
informtica).
3.- Aspectos Legales y Polticas Internas.
Sobre estos elementos est construido el sistema de control y por lo tanto constituyen el marco de
referencia para su evaluacin.
4.Caractersticas del Sistema Operativo.
Organigrama del rea que participa en el sistema
Manual de funciones de las personas que participan en los procesos del sistema
Informes de auditora realizadas anteriormente
5.Caractersticas de la aplicacin de computadora
Manual tcnico de la aplicacin del sistema
Funcionarios (usuarios) autorizados para administrar la aplicacin
Equipos utilizados en la aplicacin de computadora
Seguridad de la aplicacin (claves de acceso)
Procedimientos para generacin y almacenamiento de los archivos de la aplicacin.

1.3 - ESTABLECER OBJETIVOS DE LA AUDITORIA:

1 - Objetivo general:
Realizar una evaluacin , con el fin de emitir un dictamen independiente sobre el
uso adecuado de los sistemas Instalados, para el correcto ingreso de los datos, el
procesamiento adecuado de la informacin y la emisin oportuna de sus Conceptos
generales as como tambien evaluar la razonabilidad de las operaciones del sistema
Instalado y la gestin administrativa del rea de informtica.
2 - Objetivos especficos:
1- evaluar el uso de los recursos financieros en las reas del centro de informacin
2-Evaluar el uso de los equipos de cmputo, sus perifricos, las instalaciones y
mobiliario del centro de cmputo.
3-Evaluar los sistemas de procesamiento, sus sistemas operativos, los lenguajes,
programas y paqueteras de aplicacin y desarrollo, as como el desarrollo e
instalacin de nuevos sistemas.
4 - Evaluar el cumplimiento de planes, programas, estndares, polticas, normas y
que regulan las actividades de los sistemas de procesamiento de informacin.
5- Realizar la evaluacin de las reas, actividades y funciones de una empresa,
contando con el apoyo de los sistemas computacionales.

1.4 Determinar los puntos que sern evaluados en la

auditora
1 - Evaluacin de las funciones y actividades del personal en el rea
de
sistemas.
2 - Evaluacin de las reas y unidades administrativas del centro de
computo.
3 - Evaluacin de la seguridad de los Sistemas de Informacin.
4 - Evaluacin de la informacin, documentacin y registros de los
sistemas.
5 - Evaluacin del hardware.
6 - Evaluacin del software.
7 - Evaluacin de la informacin y bases de datos.
8 Evaluacin de Equipos, Instalaciones y Componentes.
9- Elegir tipo de auditora a utilizar.
10 - Determinar recursos a utilizar.

1.5.- Elaborar

planes, programas y presupuestos que

sern utilizados:
1.- Elaborar el documento formal de los planes de trabajo para la
auditora.
1- Definir los objetivos finales de la auditoria.
2- Establecer las estrategias para realizar la auditoria.
3- Calcular la duracin de las tareas y eventos para satisfacer los objetivos de
la auditoria
4- Distribuir los recursos que sern utilizados en las diferentes etapas,
actividades y tareas de la auditoria
5 -Confeccionar los planes concretos para la auditoria

2.- ELABORAR LOS PROGRAMAS DE ACTIVIDADES PARA

REALIZAR LA AUDITORA.
1 Realizar Grafica del Programa de Actividades .
2 - Definicin de las etapas y eventos que se deben llevar a cabo.
3 - Definicin de las actividades y tareas.
3.- ELABORAR LOS PRESUPUESTOS PARA LA AUDITORA.
1 - Elaborar Presupuestos
2 - Asignacin de los costos de los recursos
3 - Control de los costos de los recursos

1.6 - Identificar y seleccionar los mtodos, herramientas,

instrumentos y procedimientos necesarios para la auditora
1.- Establecer la gua de ponderacin de los puntos que sern evaluados.
- Definir reas y puntos de sistemas que sern auditados.
- Definir el peso de la ponderacin por las reas y puntos que sern evaluados.
- realizar el documento de ponderacin de la auditoria.
2.- Elaborar la gua de la auditora.
3.- Elaborar los Instrumentos y herramientas de recopilacin de
informacin para la auditoria.
a - Cuestionarios.
b - Guas para realizar las entrevistas.
c -Formularios para encuestas.
d - Modelos y formatos para los inventarios del rea de sistemas
e -Mtodos e instrumentos de muestreo.

4.-DETERMINAR HERRAMIENTAS, MTODOS Y PROCEDIMIENTOS

PARA LA AUDITORA.

1. - Establecer los mtodos y procedimientos que sern utilizados en la

auditoria .
2.- Determinar las tcnicas y procesos especficos que sern utilizados en la
auditoria.
3.- Determinar las herramientas que sern utilizados en la auditoria.
5. DISEAR LOS SISTEMAS, PROGRAMAS Y MTODOS DE PRUEBA.

1- Instrumentos especiales para pruebas de evaluacin de sistemas.

2- Aplicar Pruebas de computo para la evaluacin.
3 -Determinar programas, bases de datos, archivos, sistemas.
4- obtener los resultados de las pruebas, programas y sistemas .

1.7- Asignar recursos y sistemas computacionales para

la auditora
1.- Recursos Humanos.
2.- Recursos informticos y tecnolgicos.
3.- Recursos materiales y de consumo.
4.- Otros recursos necesarios (viaticos, pasajes, otros).

FASE 2. EJECUCIN DE LA AUDITORA

1.-Realizar las acciones programadas para la Auditora

2.- Aplicar los instrumentos y herramientas para la auditora
3.- Aplicar los recursos y actividades conforme a los planes y programas
4.- Recopilar la documentacin y evidencias de la auditora.
5.- Identificar y elaborar los documentos de desviaciones encontradas.
6.- Elaborar dictamen preliminar y presentarlos a discusion
7.-Integrar el legajo de papeles de trabajo de la Auditora.

EJECUCION DE LA AUDITORIA
2.1.- ANLISIS DE TRANSACCIONES Y RECURSOS
1.Definicin de las transacciones.
Dependiendo del tamao del sistema, las transacciones se dividen en procesos y
estos en subprocesos. La importancia de las transacciones deber ser asignada
con los administradores.
2.Anlisis de las transacciones
Establecer el flujo de los documentos. se hace uso de los flujogramas ya que
facilita la visualizacin del funcionamiento y recorrido de los procesos.
3.Anlisis de los recursos
Identificar y codificar los recursos que participan en los sistemas. Revisar
y verificar las licencias para el uso de los programas inventariados, al igual que
los diskettes y manuales correspondientes de los paquetes de software
originales adquiridos por la Empresa .Analizar el uso actual de los
computadores, en base a los programas instalados que se haya detectado.
4.Relacin entre transacciones y recursos

2.2.- ANLISIS DE RIESGOS Y AMENAZAS.

1.Identificacin de riesgos
Daos fsicos o destruccin de los recursos
Prdida por fraude o desfalco
Extravo de documentos fuente, archivos o informes
Robo de dispositivos o medios de almacenamiento
Interrupcin de las operaciones del negocio
Prdida de integridad de los datos
Ineficiencia de operaciones
Errores

2.Identificacin de las amenazas

Amenazas sobre los equipos.
Amenazas sobre documentos fuente.
Amenazas sobre programas de aplicaciones.

3.Relacin entre recursos/amenazas/riesgos

La relacin entre estos elementos deber establecerse a partir de la
observacin de los recursos en su ambiente real de funcionamiento.

2.3.- ANLISIS DE CONTROLES.

1.Codificacin de controles
Los controles se aplican a los diferentes grupos utilizadores de recursos, luego
la identificacin de los controles deben contener una codificacin que
identifique el grupo al cual pertenece el recurso protegido.
2.Relacin entre recursos/amenazas/riesgos
La relacin con los controles debe establecerse para cada tema (Rec/Amz/Rie)
identificado. Para cada tema debe establecerse uno o ms controles .
3.Anlisis de cobertura de los controles requeridos
Este anlisis tiene como propsito determinar si los controles necesarios,
proveen una proteccin adecuada de los recursos.

2.4.- EVALUACIN DE CONTROLES.

1.Objetivos de la evaluacin
Verificar la existencia de los controles requeridos
Determinar la operatividad y suficiencia de los controles existentes .
2.Plan de pruebas de los controles
Incluye la seleccin del tipo de prueba a realizar.
Debe solicitarse al rea respectiva, todos los elementos necesarios de
prueba.
3.Pruebas de controles
-La revisin de los diagramas de flujo de procesos
-Realizacin de pruebas de cumplimiento de las seguridades
-Revisin de aplicaciones de las reas criticas
-Revisin de procesos histricos (backups)
-Revisin de documentacin y archivos, entre otras actividades.

4.Anlisis de resultados de las pruebas

verificar la existencia de estos controles y que estn funcionando de manera
eficaz.

PROCEDIMIENTOS DE AUDITORIA
El proceso de auditora exige que el auditor aplique procedimientos para evaluar
fortalezas y debilidades de los controles existentes y basado en la evidencia
recopilada, prepare un informe de auditora y lo presente a la gerencia.
Procedimientos para la Auditoria de Sistemas Instalados o software de Aplicacin
1-Evaluar la realizacin de procedimientos y controles en cuanto a:
-La instalacin del software.
-La operacin y seguridad del software.
-La administracin del software.
-Detectar el grado de confiabilidad:
-Grado de confianza, satisfaccin y desempeo.
-Investigar si existen polticas con relacin al software.
-Detectar si existen controles de seguridad.

2.-Verificar la Actualizacin del software de aplicacin.

3.-Revisar los Tipos de controles:
-Control de distribucin.
-Validacin de datos.
-Totales de control.
-Control de secuencia.
- Pruebas de consistencia y verosimilitud.
-Digito de control.
-Control de distribucin.
4.- Evaluar la Aplicacin de Controles del software de seguridad general:
1.- El control de acceso a programas y a la instalacin
2.- Controles de acceso a programas y datos
3.- Vigilar los Cambios realizados
- Diseo y cdigo de modificaciones
- Coordinacin de otros cambios
- Asignacin de responsabilidades
- Revisin de estndares y aprobacin
- Requerimientos mnimos de prueba
- Procedimientos del respaldo en el evento de interrupcin

5.- Evaluar los Controles de Software Especifico, en cuanto a:

a.- El acceso al sistema debe de ser restringido para individuos no autorizados.
b.- Se debe controlar el acceso a los procesos y a las aplicaciones permitiendo a los
usuarios autorizados ejecutar sus obligaciones asignadas y evitando que personas no
autorizadas logren el acceso.
c.-Se limitara tanto a usuarios como a programadores de aplicaciones a un tipo
especifico de acceso de datos.
d.- Para asegurar las rutas de acceso deber restringirse el acceso a secciones o
tablas de seguridad, mismas que debern ser encriptados.
e.- Debern restringirse las modificaciones o cambios al software de control de
acceso.
6.- Evaluar los controles a los Software de sistemas operativos, sobre:
1- Los password e identificadores debern ser confidenciales.
2- El acceso al software de sistema operativo deber ser restringido.
3- Los administradores de seguridad debern ser los nicos con autoridad para
modificar funciones del sistema.

7.- Evaluar los controles a los Software manejador de base de datos.

Controles que incluye:
El acceso a los archivos de datos deber ser restringido en una vista de datos
lgica.
Deber controlar el acceso al diccionario de datos.
La base de datos debe ser segura y se usaran las facilidades de control de
acceso construidas dentro del software.
8.- Evaluar los controles a los Software de consolas, a software de libreras
y a software de Telecomunicaciones:
1.- Software de consolas o terminales maestras. Controles que incluye:
Los cambios realizados al software de consolas o terminales maestras
debern ser protegidas y controlados.
2.-Software de libreras. Controles que incluye:
Si Tiene la facilidad de comparar dos versiones de programas en cdigo
fuente y reportar las diferencias.
Deben limitarse el acceso a programas o datos almacenados por el software
de libreras.
3.-Software de telecomunicaciones. Controles que incluye:
Controles de acceso a datos sensibles y recursos de la red.
El acceso diario al sistema debe ser monitoreado y protegido.

9.- Se debe Evaluar el uso adecuado de la computadora y su software, que

puede ser susceptible a:
copia de programas de la organizacin para fines de comercializacin (copia
pirata).
acceso directo o telefnico a bases de datos con fines fraudulentos.
10.- Evaluar la relacin costo y la seguridad, ya que a mayor tecnologa de
acceso mayor costo.
11.- Evaluacin de los equipos de cmputacin, sus perifricos, las
instalaciones y mobiliario del Centro de Cmputo. Su funcionamiento y el
uso correcto. Tambin se realiza a la composicin y arquitectura de las partes
fsicas y dems componentes del hardware, incluyendo equipos asociados,
instalaciones y comunicaciones internas

Sntesis y diagnstico
Identificar y Elaborar los documentos de desviaciones.
1.- Integrar los papeles de trabajo de la auditora
2.- Integrar los documentos y pruebas en papeles de trabajo.
Evidencias

Puntos dbiles del sistema

Puntos fuertes
Riesgos Eventuales
Posibles oportunidades
Posibles soluciones y mejoras

FASE 3. REDACCIN DEL INFORME FINAL

Carta de Presentacin del Informe.

Elaborar un informe de las
situaciones detectadas. Resumen del
Informe.
Elaborar el Dictamen Final.
Presentacin del Informe de Auditora.

LA CARTA DE INTRODUCCIN
Tiene especial importancia porque en ella ha de resumirse la auditoria realizada.
Se destina exclusivamente al responsable mximo de la empresa o a la persona
concreta que encargo o contrat la auditoria. La carta de introduccin poseer los
siguientes atributos:
Tendr como mximo 4 folios.
Incluir fecha, naturaleza, objetivos y alcance.
Cuantificar la importancia de las reas analizadas.
Proporcionar una conclusin general, concretando las reas de gran debilidad.
Presentar las debilidad en orden de importancia y gravedad.
En la carta de Introduccin no se escribirn nunca recomendaciones.

RESUMEN DEL INFORME

1.- Informe detallado de los problemas

encontrados y los Efectos .
2.- Evaluacin de las respuestas.
3.-Recomendaciones del Auditor.
Es un resumen del informe, para la alta gerencia
y debe prepararse una vez obtenidas y analizadas las
respuestas de compromiso de la reas.

ELABORAR EL DICTAMEN FINAL

ANALIZAR LA INFORMACIN Y ELABORAR UN INFORME DE

DESVIACIONES DETECTADAS

ELABORAR EL DICTAMEN FINAL.

REVISAR EL INFORME Y DICTAMEN CON LOS DIRECTIVOS DE LAS REAS

AUDITADAS.

EL INFORME DE AUDITORA.

El informe se prepara segn

juicios
fundamentados en las evidencias obtenidas
durante la fase de ejecucin, con la finalidad de
brindar suficiente informacin a los funcionarios
de la entidad auditada, sobre las deficiencias o
desviaciones ms significativas e incluir las
recomendaciones que permitan promover mejoras
en la conduccin de las operaciones del rea
examinada.

CONFECCIN Y REDACCIN DEL INFORME

FINAL DE AUDITORIA.
1.- Estructura del Informe Final de Auditora:
1.- El informe comienza con la fecha de comienzo de la auditora y la fecha
de redaccin del mismo.
2.-Se incluyen los nombres del equipo auditor y de todas las personas
entrevistadas, con indicacin del departamento, responsabilidad y puesto de
trabajo que ostente.
3.-Definicin de objetivos y alcance de la auditora.

2.- CUERPO EXPOSITIVO DEL INFORME:

CUERPO EXPOSITIVO:
A. SITUACIN ACTUAL.

-Cuando se trate de una revisin peridica, en la que se analiza no solamente una situacin sino adems su
evolucin en el tiempo, se expondr la situacin prevista y la situacin real.
B. TENDENCIAS
Se tratarn de hallar parmetros que permitan establecer tendencias futuras.
C. PUNTOS DBILES Y AMENAZAS.

Se establecen los puntos dbiles y amenazas encontradas durante la

suficiencia del control interno del sistema evaluado.

auditora. Opinin con relacin a la

D. RECOMENDACIONES Y PLANES DE ACCIN.

Constituyen junto con la exposicin de puntos dbiles, el verdadero objetivo de la auditora informtica.
Se indican las Observaciones detalladas y recomendaciones de auditora.
Conclusin global del auditor expresando una opinin sobre los controles y procedimientos revisados.

LAS DESVIACIONES O PROBLEMAS ENCONTRADOS.

1.- Han de ser relevantes para el auditor y para el cliente.
2.- Han de ser exactos y adems convincentes, mediante Evidencias.
3.- Se redactar las influencias directas que el hecho pueda tener sobre otros
aspectos informticos u otros mbitos de la empresa.
RECOMENDACINES DEL AUDITOR INFORMTICO.
1.- Deber estar suficientemente soportada en el propio texto.
2.- Deber ser concreta y exacta en el tiempo, para ser verificada su
implementacin.
3.- La recomendacin ser dirigida a las personas que puedan implementarla.
Ejemplo de Recomendaciones:
-Las claves de acceso a los programas se deben cambiar trimestralmente.
- se deben implantar los controles de preinstalacin, controles de organizacin y
planificacin, controles de procesamiento, controles de operacin, controles de
sistemas en desarrollo y produccin, control en el uso de computadores.
-Todos los sistemas deben estar documentados y actualizados.
-Se debe asegurar la utilizacin adecuada de los equipos.
-El acceso al Centro de Cmputo debe ser para personal autorizado.