AUDITORIA DE SISTEMAS Y SEGURIDAD

Mg. LUIS ALBERTO HERNANDEZ GARCIA

2019-1
 Definición de Auditoria de Sistema
La Auditoría Informática es un proceso llevado a cabo por profesionales especialmente capacitados
para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si
un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos ya
que esta lleva a cabo
 Definición de Auditoria de Sistema y Seguridad

La auditoría de sistemas tiene como principal objetivo validar la integridad de la

información y datos almacenados en las bases de datos de los sistemas de
información y su procesamiento. Se trata de uno de los tipos de auditoría que van
más allá del factor económico.
 Definición de Auditoria de sistemas y seguridad
En definitiva, la auditoría de sistemas consiste en:
•La verificación de controles en el procesamiento de la información e instalación de sistemas, con el
objetivo de evaluar su efectividad y presentar también alguna recomendación y consejo.
•Verificar y juzgar de manera objetiva la información.
•Examen y evaluación de los procesos en cuanto a informatización y trato de datos se refiere. Además,
se evalúa la cantidad de recursos invertidos, la rentabilidad de cada proceso y su eficacia y eficiencia.
 Objetivos de la auditoría de sistemas
La presencia de la tecnología cada vez en más ámbitos empresariales,
hace necesario un sistema de control, seguimiento y análisis, tal como
la auditoría de sistemas. En primer lugar, se precisa garantizar la
seguridad a la hora de tratar los datos, dotándolos de privacidad y buen
uso. En segundo lugar, para hacer del sistema informático, un proceso
mucho más eficiente y rentable, permitiendo detectar errores y tomando
decisiones de manera inmediata.
Así, podemos decir que los objetivos de la auditoría de sistemas son:
•Mejorar la relación coste-beneficio de los sistemas de información.
•Incrementar la satisfacción y seguridad de los usuarios de dichos sistemas informatizados.
•Garantizar la confidencialidad e integridad a través de sistemas de seguridad y control profesionales.
•Minimizar la existencia de riesgos, tales como virus o hackers, por ejemplo.
•Optimizar y agilizar la toma de decisiones.
•Educar sobre el control de los sistemas de información, puesto que se trata de un sector muy cambiante y
relativamente nuevo, por lo que es preciso educar a los usuarios de estos procesos informatizados.
Por tanto, la auditoría de sistemas es un modo de control y evaluación no sólo
de los equipos informáticos en sí. Su ámbito de actuación gira también en
torno al control de los sistemas de entrada a dichos equipos (pensemos por
ejemplo en claves y códigos de acceso), archivos y seguridad de los mismos,
etc.
La auditoría de sistemas es fundamental para garantizar el desempeño y
seguridad de los sistemas informáticos de una empresa, que sean confiables a
la hora de usarlos y garanticen la máxima privacidad posible.
Síntomas de Necesidad de una Auditoría Informática

• Síntomas de descoordinación y desorganización

• Síntomas de mala imagen e insatisfacción de los usuarios
• Síntomas de debilidades económico-financiero
• Síntomas de Inseguridad: Evaluación de nivel de riesgos
 Tipos y clases de Auditoría Informática.
Auditoría con la computadora: factor fundamental que su evaluación se realiza con el
apoyo de los sistemas computacionales,
Auditoría sin la computadora: se busca evaluar a los sistemas desde una óptica
tradicional, contando con el apoyo de las técnicas y procedimientos de evaluación
acostumbrados y sin el uso de los sistemas computacionales
Auditoría a la gestión informática del área de sistemas: de carácter administrativo y
operacional; con su realización se busca evaluar la actividad administrativa de los
centros de cómputo, con todo lo que conlleva esta gestión
Auditoría al sistema computacional: es más especializada y concreta, y está enfocada
hacia la actividad y operación de sistemas computacionales, con mucho más de
evaluación técnica y especializada de éstos y de todo lo relacionado con esta
especialidad.
Auditoría alrededor de la computadora: se trata de evaluar todo lo que involucra la
actividad de los sistemas computacionales, procurando, de ser posible, dejar a un lado
todos los aspectos especializados, técnicos y específicos de los sistemas, a fin de
evaluar únicamente las actividades vinculadas que se llevan a cabo alrededor de éstos
 Tipos y clases de Auditoría Informática.
Auditoría de la seguridad de los sistemas computacionales: seguridad es un aspecto
muy importante en los sistemas computacionales, lo cual en algunos casos puede estar
relacionado con otras auditorías.
Auditoría a los sistemas de redes: Es reciente el crecimiento e importancia que han
cobrado las redes de cómputo, razón por la cual es necesario enfocar la auditoría hacia
este campo específico.
Auditoría outsourcing en los sistemas computacionales: Otra de las especialidades
que se ha adoptado en los sistemas computacionales, es la relacionada con la
prestación de servicios de cómputo a las empresas, los cuales abarcan desde la
maquinación de sus actividades computacionales, hasta la asesoría y soporte
computacional a sus propios sistemas; por esta razón, se requiere de una
especialización en la evaluación de estos servicios.
Auditoría ISO-9000 a los sistemas computacionales: Las empresas en el mundo han
adoptado la calidad ISO-9000 como parte fundamental de sus actividades. Por esta
razón, los sistemas están relacionados también con este tipo de auditorías de
certificación de calidad, las cuales son muy especializadas y específicas en cuanto a los
requerimientos establecidos en ellas.
 Tipos y clases de Auditoría Informática.
Auditoría ergonómica de los centros de cómputo: Uno de los aspectos
menos analizados en el área de sistemas es la afectación que causan el
mobiliario y los propios sistemas computacionales en los usuarios de
computadoras; estos aspectos pueden llegar a influir en el bienestar, salud
y rendimiento de los usuarios, razón por la cual se deben considerar
mediante una auditoría especializada
Auditoría integral a los centros de cómputo: trata de agrupar a todos los
tipos de auditoría que se analizan en estas conceptualizaciones, buscando
concentrar todas las evaluaciones bajo una misma auditoría con un
enfoque global del área de sistemas, según su tipo y tamaño.
 Marco esquemático de la auditoria de sistemas computacionales.

HARDWARE SOFTWARE
Ø Plataforma de hardware Ø Plataforma del software
Ø Tarjeta madre Ø Sistema Operativo
Ø Procesadores Ø Lenguajes y programas de desarrollo
Ø Dispositivos periféricos Ø Programas y paqueterías de aplicación
Ø Arquitectura del sistema y bases de datos
Ø Instalaciones eléctricas, de datos y de Ø Utilerías, bibliotecas y aplicaciones
telecomunicaciones Ø Software de Telecomunicación
Ø Innovaciones tecnológicas de Ø Juegos y Otros tipos de software
hardware y periféricos
 Marco esquemático de la auditoria de sistemas computacionales.

GESTION INFORMATICA
Ø Actividad administrativa del área de
sistemas
INFORMACIÓN
Ø Operación del sistema de cómputo
Ø Administración, seguridad y control de
Ø Planeación y control de actividades
la información
Ø Presupuestos y gastos de los recursos
Ø Salvaguarda, protección y custodia de
informáticos
la información
Ø Gestión de la actividad informática
Ø Cumplimiento de las características de
Ø Capacitación y desarrollo del personal
la información
informático
Ø Administración de estándares de
operación, programación y desarrollo
 Marco esquemático de la auditoria de sistemas computacionales.

DISEÑO DE SISTEMAS
Ø Metodologías de desarrollo de
sistemas
Ø Estándares de programación y
desarrollo
Ø Documentación de sistemas BASES DE DATOS
Ø Administración de bases de datos
Ø Diseño de bases de datos
Ø Metodologías para el diseño y
programación de bases de datos
Ø Seguridad, salvaguarda y protección
de las bases de datos
 Marco esquemático de la auditoria de sistemas computacionales.

REDES DE CÓMPUTO
Ø Plataforma y configuración de las SEGURIDAD
redes Ø Seguridad del área de sistemas
Ø Protocolos de comunicaciones Ø Seguridad física
Ø Sistemas operativos y software Ø Seguridad lógica
Ø Administración de las redes de Ø Seguridad de las instalaciones
cómputo eléctricas, de datos y
Ø Administración de la seguridad de las telecomunicaciones
redes Ø Seguridad de la información, redes y
Ø Administración de las bases de datos bases de datos
de las redes Ø Administración y control de las bases
de datos
Ø Seguridad del personal informático
Procedimientos y Técnicas de Auditoria

Se requieren varios pasos para realizar una auditoria. El auditor de sistemas debe evaluar los
riesgos globales y luego desarrollar un programa de auditoria que consta de objetivos de control
y procedimientos de auditoria que deben satisfacer esos objetivos. El proceso de auditoria
exige que el auditor de sistemas reúna evidencia, evalúe fortalezas y debilidades de los
controles existentes basado en la evidencia recopilada, y que prepare un informe de
auditoria que presente esos temas en forma objetiva a la gerencia. Asimismo, la gerencia de
auditoria debe garantizar una disponibilidad y asignación adecuada de recursos para realizar el
trabajo de auditoria, además de las revisiones de seguimiento sobre las acciones correctivas
emprendidas por la gerencia.
Planificación de la auditoria
Una planificación adecuada es el primer paso necesario para
realizar auditorias de sistema eficaces. El auditor de sistemas debe
comprender el ambiente del negocio en el que se ha de realizar la
auditoria, así como los riesgos del negocio y control asociado. A
continuación se mencionan algunas de las áreas que deben ser
cubierta durante la planificación de la auditoria.
a) Comprensión del negocio y de su ambiente
Al planificar una auditoria, el auditor informático debe tener una comprensión de suficiente del
ambiente total que se revisa. Debe incluir una comprensión general de las diversas prácticas
comerciales y funciones relacionadas con el tema de la auditoria, así como los tipos de sistemas que
se utilizan. El auditor informático también debe comprender el ambiente normativo en el que opera el
negocio. Por ejemplo, a un banco se le exigirá requisitos de integridad de sistemas de información y
de control que no están presentes en una empresa manufacturera. Los pasos que puede llevar a
cabo un auditor informático para obtener una comprensión del negocio son:
•Recorrer las instalaciones del ente.
•Lectura de material sobre antecedentes que incluyan publicaciones sobre esa industria,
memorias e informes financieros.
•Entrevistas a gerentes claves para comprender los temas comerciales esenciales.
•Estudio de los informes sobre normas o reglamentos.
•Revisión de planes estratégicos a largo plazo.
•Revisión de informes de auditorias anteriores.
b) Riesgo y materialidad de auditoria.

Se pueden definir los riesgos de auditoria como aquellos riesgos de que la información pueda
tener errores materiales o que el auditor de sistemas no pueda detectar un error que ha
ocurrido. Los riesgos en auditoria pueden clasificarse de la siguiente manera:
•Riesgo Inherente: Cuando un error material no se pueda evitar que suceda
porque no existen controles compensatorios relacionados que se puedan establecer.
•Riesgo de Control: Cuando un error material no puede ser evitado o detectado en
forma oportuna por el sistema de control interno.
•Riesgo de Detección: Es el riesgo de que el auditor realice pruebas exitosas a partir de un
procedimiento inadecuado. El auditor puede llegar a la conclusión de que no existen
errores materiales cuando en realidad los hay.
c) Técnicas de evaluación de riesgos.
Al determinar que áreas funcionales o temas de auditoria deben auditarse, el auditor de sistemas puede
enfrentarse ante una gran variedad de temas candidatos a la auditoria, el auditor informático debe
evaluar esos riesgos y determinar cuales de esas áreas de alto riesgo debe ser auditada. Existen cuatro
motivos por los que se utiliza la evaluación de riesgos, estos son:
•Permitir que la gerencia asigne recursos necesarios para la auditoria.
•Garantizar que se ha obtenido la información pertinente de todos los niveles gerenciales, y
garantiza que las actividades de la función de auditoria se dirigen correctamente a las
áreas de alto riesgo y constituyen un valor agregado para la gerencia.
•Constituir la base para la organización de la auditoria a fin de administrar eficazmente el
departamento.
•Proveer un resumen que describa como el tema individual de auditoria se relaciona con la
organización global de la empresa así como los planes del negocio.
d) Objetivos de controles y objetivos de auditoria.

El objetivo de un control es anular un riesgo siguiendo alguna metodología, el objetivo de

auditoria es verificar la existencia de estos controles y que estén funcionando de manera eficaz,
respetando las políticas de la empresa y los objetivos de la empresa. Así pues tenemos por
ejemplo como objetivos de auditoria de sistemas los siguientes: La información de los
sistemas de información deberá estar resguardada de acceso incorrecto y se debe
mantener actualizada. Cada una de las transacciones que ocurren en los sistemas
es autorizada y es ingresada una sola vez. Los cambios a los programas deben ser
debidamente aprobados y probados. Los objetivos de auditoria se consiguen
mediante los procedimientos de auditoria.
e) Procedimientos de auditoria.
Algunos ejemplos de procedimientos de auditoria son:
•Revisión de la documentación de sistemas e identificación de los controles
existentes.
•Entrevistas con los especialistas técnicos a fin de conocer las técnicas y controles
aplicados.
•Utilización de software de manejo de base de datos para examinar el contenido de
los archivos de datos.
•Técnicas de diagramas de flujo para documentar aplicaciones automatizadas.
NIA 200: objetivos, naturaleza y alcance de la auditoría de
estados financieros

La NIA 200 se crea con el objetivo de brindar las herramientas

para que el auditor, en medio del ejercicio de su labor, aumente el
grado de confianza para los usuarios de la información. Esta
confianza se obtiene por medio de la opinión emitida en los
informes del auditor, en los que se alojan datos importantes sobre
la fiabilidad de la información encontrada en los estados
financieros; dicha información describe si estos cumplen o no con
los nuevos marcos técnicos normativos de información financiera
y si responden a los principios contables.
NIA 220
La NIA 220, por su parte, se limita a “las responsabilidades específicas que tiene el auditor
en relación con los procedimientos de control de calidad de una auditoría de estados
financieros” (párrafo 1 NIA 220).
El objetivo de la NIA 220 es que el auditor implemente los procedimientos de calidad que le
permitan asegurar que los encargos que están bajo su responsabilidad cumplen con las
normas profesionales y requerimientos legales y reglamentarios aplicables, y además, que
los informes que emita sobre dichos encargos resulten adecuados en función de las
circunstancias.
De ahí que la NIA delegue en el auditor “la responsabilidad de la calidad global de cada
encargo de auditoría que le sea asignado”.