AUDITORA INFORMTICA

UNIVERSIDAD DE

SAN CARLOS DE GUATEMALA

FACULTAD DE

CIENCIAS ECONMICAS

ESCUELA DE
AUDITORA

CONTADURA PBLICA Y
SEMINARIO DE CASOS DE AUDITORIA

TRABAJO NO. 4
AUDITORIA INFORMTICA

PRESENTADO A:
LIC. CARLOS ROBERTO MAURICIO GARCA.
AUXILIAR ERWIN R. CANO DIVAS.
22 DE OCTUBRE DEL 2015

AUDITORA INFORMTICA

GRUPO NO. 4

CARN

INTEGRANTES SALN 101 S-3

200812792

ARLIN IVONNE CASTAEDA JUANTA.

200912425

ANA MARA OROZCO MAURICIO.

200912500

FREDY ESTUARDO OLMINO ZEPEDA.

200912508

HCTOR ABEL REYES ALECIO.

200912536

EDGAR REN XAJPOT BATZ.

200913302

AURA MARITZA AYALA RODAS.

200913782

EDGAR EDUARDO RODRGUEZ RODRGUEZ.

201010676

SILVIA PATRICIA MAZARIEGOS HERNNDEZ.

201010903

SERAFINA LPEZ LPEZ.

201022062

MARCO ANTONIO DE LEN XILOJ.

201120737

OBDULIO DARO LPEZ CHVEZ.

AUDITORA INFORMTICA

NDICE DE

CONTENIDO

i.

.................INTRODUCCIN4
AUDITORI

A INFORMATICA...............5

1. Antecedentes

...........................................5

2. Definiciones................................................................................................6
3. Alcance.......................................................................................................7
4. Importancia de la Auditoria en Informatica.................................................7
5. Objtivos.......................................................................................................8
6. Clasificacion de Tipos de Auditoria...........................................................13
7. Terminologia Utilizada en la Auditoria Informatica....................................13
8. Marco Esquematico..................................................................................17
9. Metodologia...............................................................................................17
10. Control del Sistema Informatico................................................................22
11. Participacion del Auditor en el Desarrollo de Sistemas .25
2II. CASO PRCTICO.......................................................................................32
ii.

CONCLUSIONES........................................................................................33

iii.

RECOMENDACIONES.............................................................................34

iv.

REFERENCIAS BIBLIOGRAFICAS.........................................................35

INTRODUCCIN
3

AUDITORA INFORMTICA

El
correcta

auditor

informtico ha de velar por la

utilizacin

de los amplios recursos que la

empresa pone en juego para disponer de un eficiente y eficaz Sistema de

Informacin. Claro est, que para la realizacin de una auditora informtica eficaz,
se debe entender a la empresa en su ms amplio sentido, ya que una Universidad,
un Ministerio o un Hospital son tan empresas como una Sociedad Annima o
empresa Pblica. Todos utilizan la informtica para gestionar sus negocios de
forma rpida y eficiente con el fin de obtener beneficios econmicos y de costos.
Los Sistemas Informticos estn sometidos al control correspondiente, o al menos
debera estarlo de ah la importancia de llevar un control de esta herramienta.
En el siguiente trabajo se hace un anlisis de la Auditora Informtica como se
puede aplicar en las empresas , cual es el objetivo , la terminologa utilizada en el
tiempo y espacio para la realizacin de la auditora informtica, su metodologa, y
la debida evaluacin de los controles de sistemas, para poder desarrollar una
evaluacin que permita lograr una mejor eficiencia y eficacia en las actividades de
la empresa y aprovechar sus recursos.

AUDITORA INFORMTICA

CAPTULO I
AUDITORA

INFORMTICA

Antecedentes
Para finales del siglo

XX, los sistemas informticos

se han constituido en las herramientas ms poderosas para materializar uno de

los conceptos ms vitales y necesarios para cualquier organizacin empresarial,
los sistemas de informacin de la entidad.
La informtica hoy por hoy, esta subsumida en la gestin integral de la entidad, y
por eso las normas y estndares propiamente informticos deben estar, por lo
tanto, sometidos a los generales de la misma. En consecuencia, las
organizaciones informticos forman parte de lo que se ha denominado el
management

o gestin de la empresa. Cabe aclarar que la informtica no

gestiona propiamente la entidad, ayuda a la toma de decisiones, pero no decide

por s misma. Por ende, debido a su importancia en el funcionamiento de una
entidad, existe la auditoria informtica.
En 1988, Echenique public su libro Auditora de sistemas, en el cual establece las
principales

bases

para

el

desarrollo

de

una

auditora

de

sistemas

computacionales, dando un enfoque terico-prctico sobre el tema.

En 1992, Lee present un libro en el cual enuncia los principales aspectos a
evaluar en una auditora de sistemas, mediante una especie de gua que le indica
al auditor los aspectos que debe evaluar en este campo.

Motivada por lo especializado de las actividades de cmputo, as como por el

espectacular avance que han tenido estos sistemas en los ltimos aos, ha
surgido una nueva necesidad de evaluacin para los auditores, quienes requieren
una especializacin cada vez ms profunda en sistemas computacionales para
5

AUDITORA INFORMTICA

dedicarse a este tipo

de auditoras. Por ello naci la

necesidad

evaluar

sistemas,

de

no

solo

de

los

sino

tambin la informacin, sus

componentes y todo

lo que est relacionado con

dichos sistemas.
DEFINICIN
Es conocida como auditoria de sistemas, teniendo como objetivo evaluar sistemas
informticos en forma integral, los procedimientos y seguridad de los equipos
electrnicos o hardware de los programas o software que posea la empresa sean
propios o de modalidad de servicios. Analiza la actividad que se conoce como
tcnica de sistemas en todas sus facetas. Hoy, la importancia creciente de las
telecomunicaciones ha propiciado que las comunicaciones, Lneas y redes de las
instalaciones informticas, se auditen por separado, aunque formen parte del
entorno general de sistemas

Es el conjunto de tcnicas, procedimientos y actividades, destinadas a analizar y

evaluar el funcionamiento de los sistemas informticos de un ente, por lo que
comprende un examen metdico y puntual, con el propsito de mejorar aspectos
como: control y seguridad de sistemas informticos; cumplimiento de la normativa
tecnolgica del ente; control de los planes de contingencia; eficacia y rentabilidad
en el manejo de sistemas.

AUDITORA INFORMTICA

ALCANCE

El alcance ha de definir con precisin en entorno y los limites en que va a

desarrollarse la auditoria informtica, se completa con los objetivos de esta. El
alcance ha de figurar expresamente en el informe final, de modo que quede
perfectamente determinado no solamente hasta que puntos se ha llegado, sino lo
que se esperar lograr con el resultado de la auditoria

IMPORTANCIA
Detecta de forma sistemtica el uso de los recursos y los flujos de informacin
dentro de una organizacin y determina qu informacin es crtica para el
cumplimiento de su misin y objetivos, identificando necesidades, duplicidades,
costes, valor y barreras, que obstaculizan flujos de informacin eficientes.Permite
a travs de una revisin independiente, la evaluacin de actividades, funciones
especficas resultados u operaciones de una organizacin con el fin de evaluar su
correcta realizacin.
Es un proceso llevado a cabo por profesionales especialmente capacitados para el
efecto, y que consiste en recoger, agrupar u evaluar evidencias para determinar si
un Sistema de informacin salvaguarda el activo empresaria, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la organizacin,
utiliza eficientemente los recursos, y cumple con las leyes y regulaciones
establecidas. Los principales puntos por lo que es importante realizar esta
auditora son, la alta sistematizacin, las nuevas tecnologas, la automatizacin de
los controles, integracin de informacin y su importancia.

AUDITORA INFORMTICA

OBJETIVOS DE LA

AUDITORIA INFORMTICA

La evaluacin a los sistemas computacionales, a la administracin del centro de

cmputo, el desarrollo de proyectos informticos, a la seguridad de los sistemas
computacionales y a todo lo relacionado con ellos, ser considerada bajo los
siguientes objetivos:
Realizar una evaluacin con el personal multidisciplinario y capacitado en el
rea de sistemas, con el fin de emitir un informe independiente sobre las
razonabilidad de las operaciones del sistema y la gestin administrativa del
rea de informtica.
Hacer una evaluacin sobre el uso de los recursos financieros en las reas
del centro de informacin, as como del aprovechamiento del sistema
computacional, sus equipos perifricos e instalaciones.
Evaluar el uso y aprovechamiento de los equipos de cmputo, sus
perifricos, las instalaciones y mobiliario del centro de cmputo, as como el
uso de los recursos tcnicos y materiales para el procesamiento de
informacin.
Evaluar el aprovechamiento de los sistemas de procesamiento, sus
sistemas operativos, los leguajes, programas y paqueteras de aplicacin y
desarrollo, as como el desarrollo e instalacin de nuevos sistemas.
Evaluar el cumplimiento de planes, programas, estndares, polticas,
normas y lineamientos que regulan las funciones y actividades de las reas
y de los sistemas de procesamiento de informacin, as como de su
personal y de los usuarios del centro de informacin.
Realizar la evaluacin de las reas, actividades y funciones de una
empresa, contando con el apoyo de los sistemas computacionales, de los
programas especializados para auditoria y de la paquetera que sirve de
soporte para el desarrollo de auditoras por medio de la computadora.
8

AUDITORA INFORMTICA

Objetivos

especficos de la auditora de

sistemas

computacionales

determinacin,
que

en

se

pretenden

Auditora

de

es

la

forma detallada, de los fines

alcanzar con la
sistemas,

sealando

concretamente las reas a evaluar y, especficamente, los sistemas, componentes

o elementos concretos que deben ser evaluados.

CLASIFICACIN DE TIPOS DE AUDITORIA

A continuacin se presenta la clasificacin y definiciones de auditoria informtica,
las cuales se aplican a diferentes reas y disciplinas del ambiente informtico. La
clasificacin y definiciones de auditoria informtica son:

Auditoria informtica
Auditoria con la computadora
Auditoria sin la computadora
Auditoria a la gestin informtica
Auditoria al sistema de computo
Auditoria alrededor de la computadora
Auditoria de la seguridad de sistemas computacionales
Auditoria a los sistemas de redes
Auditora integral a los centros de computo
Auditoria ISO-9000 a los sistemas computacionales
Auditoria outsourcing
Auditoria ergonmica de sistemas computacionales

Auditoria informtica
Es la revisin tcnica, especializada y exhaustiva que se realiza a los sistemas
computacionales, software e informacin utilizados en una empresa, sean
individuales, compartidos y/o de redes, asi como a sus instalaciones,
telecomunicaciones, mobiliario, equipos perifricos y dems componentes.

AUDITORA INFORMTICA

Auditoria

con

la

computadora

Es la auditoria que

se realiza con el apoyo de los

equipos de cmputo

y sus programas para evaluar

cualquier

actividades y operaciones, no

tipo

de

necesariamente

computarizado,

pero

si

susceptibles de ser automatizados; dicha auditoria se realiza tambin a las

actividades del propio centro de sistemas y a sus componentes.
Auditoria sin la computadora
Es la auditoria cuyo mtodos, tcnicas y procedimientos estn orientados
nicamente a la evaluacin tradicional del comportamiento y validez de las
transacciones econmicas, administrativas y operacionales de un rea de
computo, y en s de todos los aspectos que afectan a las actividades en las que se
utilizan sistemas informticos, pero dicha evaluacin se realiza sin el uso de los
sistemas computacionales. Es tambin la evaluacin tanto a la estructura de
organizacin, funciones y actividades de funcionarios y personal de un centro de
cmputo, as como de los perfiles de sus puestos, como de los reportes, informes,
y bitcoras de los sistemas, de la existencia y aplicacin de planes, programas y
presupuestos en dicho centro, as como del uso y aprovechamiento de todos los
recursos informticos para la realizacin de las actividades, operaciones y tareas.
Auditoria a la gestin informtica
Es la auditoria cuya aplicacin se enfoca exclusivamente a la revisin de las
funciones y actividades de tipo administrativo que se realiza dentro de un centro
de cmputo, tales como la planeacin, organizacin, direccin y control de dicho
centro. Esta auditoria se realiza tambin con el fin de verificar el cumplimiento de
las funciones y actividades asignadas a los funcionarios, empleados y usuarios de
las reas de sistematizacin, as como para revisar y evaluar las operaciones del
sistema, el uso y proteccin de los sistemas de procesamiento, los programas y la
informacin.

10

AUDITORA INFORMTICA

Auditoria
Es

la

enfoca

al

sistema de cmputo

auditora

tcnica y especializada que se

nicamente

funcionamiento
cmputo,

la

evaluacin

del

uso correcto del equipo de

su

hardware,

software

perifricos asociados. Esta auditoria tambin se realiza a la composicin y

arquitectura de las partes fsicas y dems componentes del hardware, incluyendo
equipos asociados, instalaciones y comunicaciones internas o externas, as como
el diseo, desarrollo del software de operacin, de apoyo y de aplicacin, ya sean
sistemas operativos, leguajes de procesamiento y programas de desarrollo, o
paquetera de aplicacin institucional que se utiliza en la empresa donde se
encuentra el equipo de cmputo que ser evaluado.
Auditoria alrededor de la computadora
Es la revisin especifica que se realiza a todo lo que est alrededor de un equipo
de cmputo, como sus sistemas, actividades y funcionamiento, haciendo una
evaluacin de sus mtodos y procedimientos de acceso y procesamiento de datos,
la emisin y almacenamiento de resultados, las actividades de planeacin y
presupuesto del propio centro de cmputo,

los aspectos operacionales y

financieros, la gestin administrativa de acceso al sistema, la atencin a los

usuarios y el desarrollo de nuevos sistemas, las comunicaciones internas y
externas y, en s, a todos aquellos aspectos que contribuyen al buen
funcionamiento de un rea de sistematizacin.
Auditoria de la seguridad de los sistemas computacionales
Es la revisin exhaustiva, tcnica y especializada que se realiza a todo lo
relacionado con la seguridad de un sistema de cmputo, sus reas y personal, as
como las actividades, funciones y acciones preventivas y correctivas que
contribuyan a salvaguardar la seguridad de los equipos computacionales, las
bases de datos, redes, instalaciones y usuarios del sistema. Es tambin la revisin
de los planes de contingencia y medidas de proteccin para la informacin, los
11

AUDITORA INFORMTICA

usuarios

los

propios

computacionales, y

en

aspectos

que

contribuyen a la proteccin y

salvaguarda en el

buen funcionamiento del rea

de

sistemas

sistematizacin,

si

sistemas
para

todos

de

aquellos

redes

computadoras personales, incluyendo la prevencin y erradicacin de los virus

informticos.
Auditora integral a los centros de cmputo
Es la revisin exhaustiva, sistemtica y global que se realiza por medio de un
equipo multidisciplinario de auditores, de todas las actividades y operaciones de
un centro de sistematizacin, a fin de evaluar, en forma integral, el uso adecuado
de sus sistemas de cmputo, equipos perifricos y de apoyo para el
procesamiento de informacin de la empresa, as como de la red de servicios de
una empresa y el desarrollo correcto de las funciones de sus reas, personal y
usuarios. Es tambin la revisin de la administracin del sistema, de manejo y
control de los sistemas operativos, leguajes, programas y paqueteras de
aplicacin, as como de la administracin y control de proyectos, la adquisicin del
hardware y software institucionales, de la adecuada integracin y uso de los
recursos informticos y de la existencia y cumplimiento de las normas, polticas,
estndares y procedimientos que regulan la actuacin del sistema, del personal y
usuarios del centro de cmputo. Todo esto hecho de manera global por medio de
un equipo multidisciplinario de auditores.
Auditoria ISO-9000 a los sistemas computacionales
Es la revisin exhaustiva, sistemtica y especializada que realizan nicamente los
auditores especializados y certificados en las normas y procedimientos ISO-9000,
aplicando exclusivamente los lineamientos, procedimientos e instrumentos
establecidos por esta asociacin. El propsito fundamental de esta revisin es
evaluar, informar y certificar que la calidad de los sistemas computacionales de
una empresa se apegue a los requerimientos ISO-9000.
12

AUDITORA INFORMTICA

Auditoria
Es

la

outsourcing
revisin

especializada

exhaustiva,

que

se

realiza

tcnica
para

evaluar la

calidad de servicio

de asesora o procesamiento

externo

informacin que proporciona

de

una empresa a otra. Esto se lleva a cabo con el fin de revisar la confiabilidad,
oportunidad suficiencia y asesora por parte de los prestadores de servicio de
procesamiento de datos, as como el cumplimiento de las funciones y actividades
que tienen encomendados los prestadores de servicios, usuarios y el personal
general.
Auditoria ergonmica de sistemas computacionales
Es la revisin tcnica, especfica y especializada que se realiza para evaluar la
calidad, eficiencia y utilidad del entorno hombre-mquina-medio ambiente que
rodea el uso de los sistemas computacionales en una empresa. Esta revisin se
realiza tambin con el propsito de evaluar la correcta adquisicin y uso de
mobiliario, equipos y sistemas, a fin de proporcionar el bienestar, confort y
comodidad que requieren los usuarios de los sistemas de cmputo de la empresa,
as como evaluar la deteccin de los posibles problemas y sus repercusiones, y la
determinacin de la soluciones relacionadas con la salud fsica y bienestar de los
usuarios de los sistemas de la empresa.

TERMINOLOGA UTILIZADA EN LA AUDITORIA INFORMTICA

A continuacin mencionamos algunos de los conceptos ms importantes que se
deben de conocer en la realizacin de una Auditoria Informtica:

Informtica: Disciplina apoyada por los mtodos y procedimientos que clasifica y

ordena datos dado un hecho, por medios mecnicos, manuales, electromecnicos
13

AUDITORA INFORMTICA

electrnicos,

generando

informacin

confiable, verificable

algn medio como

papel,

magnticos,

que

debern contener el significado

y/o

smbolos una vez procesados

de

los

datos

oportuna,

presentada

pantalla,

en

medios

por cualquier medio, para ser transmitida por canales eficientes para la toma de
decisiones.
Conjunto de conocimientos cientficos y de tcnicas que hacen posible el
tratamiento

automtico de la

informacin

por medio

de

computadoras.

Combina los aspectos tericos y prcticos de la ingeniera, electrnica, teora de la

informacin,

matemtica,

lgica

comportamiento

humano.

Los aspectos de la informtica cubren desde la programacin y la arquitectura

informtica hasta la inteligencia artificial y robtica.

Hardware : Es toda aquella parte de la computadora fsica y tangible.

Software: Es un juego de instrucciones electrnicos que le dicen a la

computadora que hacer. Es decir programas con orientaciones especficas para la
administracin de la informacin y el uso eficiente de los recursos de cmputo.
Tipos de software: Son el conjunto de mdulos computacionales o manuales
organizados e interrelacionados de una manera formal para la administracin y
uso

eficiente

de

todos

los

recursos

(humanos,

materiales,

financieros,

tecnolgicos, etc.) de un rea especfica de la organizacin.

Programacin: Es el arte de escribir uno o varios programas en cdigo fuente sin

importar el lenguaje que se utilice; es decir, Fox base, FoxPro, COBOL, etc. Todo
esto con la finalidad de crear aplicaciones financieras, comerciales o industriales
14

AUDITORA INFORMTICA

que

solucione

problemas

dentro

de

una

entidad.
Estndares

de

programacin:

Es

la

descomposicin de

un sistema en sus elementos

para

estudio; es decir es un mtodo

fines

de

deductivo de estudio, que va de lo general a lo particular.

Lenguaje de maquina: Cuando se escribe un programa se le conoce como
cdigo de que entienda un programador, para que una maquina pueda ejecutarlo
se debe convertir en lenguaje de maquina esto significa que se debe compilar un
programa para que se convierta en un cdigo que la maquina entiende por lo
general en cdigo binario.
Programa fuente: Es el cdigo que se escribe en un lenguaje que entiende un
programador, pero no lo puede entender la mquina.
Compilar: Es la accin que ejecuta un lenguaje de programacin para convertir
un programa fuente en lenguaje de mquina.
Back-up: Copia de archivos o datos de forma que estn disponibles en caso de
que un fallo produzca la prdida de los originales.
Bombas lgicas: Son programas dainos realizados por los crakers, est
especialmente diseados para destruir o alterar informacin.
Bucaneros: Son trata de comerciante, porque venden productos comprados los
copy Hackers, como ltimos programas de aplicacin crackeados. Suelen ser
personas sin ningn tipo de conocimiento en electrnica o informtica, pero s de
negocios. El bucanero compra al copy Hackers y vende el producto bajo un
nombre comercial.
Caballo de Troya: Programa informtico que lleva en su interior la lgica
necesaria para que el acreedor del programa pueda acceder al interior del sistema
en el que se introduce de manera subrepticia.
15

AUDITORA INFORMTICA

Caja

Negra:

Tcnicas

que

examinan

el

comportamiento de

un programa basndose en las

especificaciones de

las

realizar. Consiste en

observar salidas en funcin de

funciones

que

deben

entradas, de modo que esta propiedad presenta ms ventajas que inconveniente.

Confidencialidad: Condicin que asegura que la informacin no puede estar

disponible o ser descubierta por personas, entidades o procesos no autorizados.

Copy hackers: Pertenecen a una nueva generacin de falsificadores. Obtienen lo

que les interesa y se lo venden a alguien sin escrpulos que comercializara el
sistema posteriormente.

Crackers: Individuo con amplios conocimientos informticos que desprotege y

piratea programas o produce daos en sistemas o redes. En la realidad son
Crackers que se dedican nica y exclusivamente a destruir sistemas informticos.

Delito informtico: Cualquier acto ilegal ejecutado con dolo para el que es
esencial el conocimiento o uso, propio o ajeno, de la tecnologa informtica, para
su comisin, investigacin o persecucin con la finalidad de beneficiarse con ello.
Gurs: Son los maestros que ensean a los futuros hackers.
Riesgo: Proximidad o posibilidad de un dao, peligro, etc. Toda contingencia que
pueda tener un efecto adverso sobre la organizacin, a travs de un impacto en
las actividades y/o sistema de informacin.

16

AUDITORA INFORMTICA

Seguridad:

Conjunto de garantas que se

dan a alguien sobre

el cumplimiento de algo.

Servidor:

Computador

gestionar el uso de

la red por otras computadoras

llamadas

Contiene archivos que puedan

clientes.

dedicado

ser accesados desde otros computadores.

Virus: Programa cuyo objetivo es causar daos en un sistema informtico y que
se oculta o disfraza para no ser detectado.
Worm gusano: Son programas que se copian en archivos distintos en cadena
hasta crear miles de rplicas de s mismos y tiene como nica misin la de
colapsar cualquier sistema.
Configuraciones de redes: Es la accin de conectar computadoras entre s,
logrando la transferencias de informacin entre cada una de ellas

MARCO ESQUEMTICO DE LA AUDITORIA INFORMTICA

Evaluacin a:
Hardware

Plataforma de hardware
Tarjeta madre
Procesadores
Dispositivos perifricos
Arquitectura del sistema
Instalaciones elctricas, de datos y de telecomunicaciones
Innovaciones tecnolgicos de hardware y perifricos

Software
Plataforma de software
Sistema operativo
Lenguajes y programas de desarrollo
17

AUDITORA INFORMTICA

Programas,

paqueteras de aplicacin y

bases
Utileras,
Software
Juegos

datos
bibliotecas y aplicaciones
telecomunicacin
otros tipos de software

de
de
y

Gestin informtica
Actividad administrativa del rea de sistemas
Operacin del sistema de computo
Planeacin y control de actividades
Presupuestos y gastos de los recursos informticos
Gestin de la actividad informtica
Capacitacin y desarrollo del personal informtico
Administracin de estndares de operacin, programacin y desarrollo
Informacin
Administracin, seguridad y control de la informacin
Salvaguarda, proteccin y custodia de la informacin
Cumplimiento de las caractersticas de la informacin
Diseo de sistemas
Metodologas de desarrollo de sistemas
Estndares de programacin y desarrollo
Documentacin de sistemas
Bases de datos

Administracin de datos
Diseo de bases de datos
Metodologas para el diseo y programacin de bases de datos
Seguridad, salvaguarda y proteccin de las bases de datos

Seguridad
18

AUDITORA INFORMTICA

Seguridad del
Seguridad
Seguridad
Seguridad de

rea de sistemas
fsica
lgica
las instalaciones elctricas, de

datos y de
Seguridad de

telecomunicaciones
la informacin, redes y bases

de datos
Administracin y control de las bases de datos
Seguridad del personal informtico
Redes de cmputo

Plataformas y configuracin de las redes

Protocolos de comunicaciones
Sistemas operativos y software
Administracin de las redes de computo
Administracin de la seguridad de las redes
Administracin de las bases de datos de las redes

Especializadas

Outsourcing
Helpdesk
Ergonoma en sistemas computacionales
ISO-9000
Internet
Sistemas multimedia

METODOLOGAS PARA REALIZAR AUDITORIA INFORMTICA

La metodologa es una secuencia de pasos lgicos y ordenados de proceder para

llegar a un resultado.
Primera Etapa: Planeacin

19

AUDITORA INFORMTICA

El

primer

paso para realizar una auditoria

informtica es

definir

necesarias

para su ejecucin, lo cual se

lograra

mediante

una

origen

la

planeacin.
Identificar el

las

de

actividades
adecuada
auditoria:

lo

primero que se debe saber por qu surge la necesidad o inquietud de

realizar una auditora.
Realizar una visita preliminar al rea que ser evaluada: es recomendable
que el auditor realice una visita preliminar al rea de informtica que ser
auditada, justo despus de conocer el origen de la peticin de la auditoria.
Establecer los objetivos de la auditoria: establecer lo ms claro posible las
necesidades de evaluacin.
Determinar los puntos que sern evaluados en la auditoria: los puntos que
deben ser evaluados debe ser realizado considerando aspectos muy
especficos de los sistemas computacionales.
Elaborar planes, programas y presupuestos: realizar la planeacin formal
de la auditoria informtica, en la cual se concreten los planes, programas y
presupuestos para dicha auditoria.
Identificar los mtodos, herramientas, instrumentos y procedimientos:
determinar los medios y documentos con los cuales se llevara a cabo la
revisin a los sistemas de la empresa.
Asignar los recursos sistemas computacionales para la auditoria: asignar
los recursos que sern utilizados para realizar la auditoria, de acuerdo a los
aspectos ya establecidos con anterioridad.
Segunda Etapa: Ejecucin De La Auditoria
Est determinado por las caractersticas concretas, los puntos y requerimientos
que se estimaron en la etapa de planeacin.
Realizar las acciones programadas: de acuerdo con el programa de
auditoria, cada auditor tiene que realizar las actividades que le
corresponden conforme fueron diseados, en la cronologa que le fue

20

AUDITORA INFORMTICA

asignada

cada una, y de acuerdo con los

tiempos

recursos que le corresponde

utilizar.
Aplicar

los

instrumentos

herramientas

programadas:

conforme a la gua de auditoria,

se tienen que

utilizar,

uno

uno,

los

instrumentos y herramientas elegidos para llevar a cabo la evaluacin, ya

sea mediante la recopilacin y anlisis de la informacin, la observacin, las
pruebas y simulaciones de los sistemas.
Identificar y elaborar los documentos de desviaciones encontradas: se
buscan las posibles desviaciones y se procede a elaborar los documentos
desviaciones, en los cuales se anotan las situaciones encontradas, las
causas que la originaron y sus posibles soluciones, as como los
responsable de solucionar dichas desviaciones y las posibles fechas para
hacerlo.
Elaborar el informe preliminar: el auditor debe elaborar un documento que
contenga todas las desviaciones detectadas. Una vez hecho esto, es
obligacin del auditor comentarlas con las personas que estn involucradas
directamente en las desviaciones, a fin de encontrar de manera conjunta las
causas que la originaron.
Integrar el legajo de papeles de trabajo: el auditor tiene la obligacin de
conservar en el llamado legajo de papeles de la auditoria cada uno de los
instrumentos aplicados en la evaluacin, con el propsito de sustentar,
llegado el caso, las observaciones reportadas.
Tercera etapa Informe de la auditoria.
El ltimo paso de la metodologa es emitir el informe, el cual es el resultado final
de la auditoria de sistemas.
Analizar la informacin y elaborar un informe de situaciones encontradas: la
actividad previa, a la deteccin de las desviaciones, es el anlisis de los
papeles de trabajo y la elaboracin en borrador de las llamadas situaciones
detectadas.
21

AUDITORA INFORMTICA

Elaborar

el

informe final: el auditor debe

terminar

de

elaborar el informe de auditora

de sistemas y

complementarlos con la opinin

del auditor, y

despus

directivos del

rea de sistemas auditada para

presentarlo

los

que conozcan la situacin actual de dicha rea, antes de presentarlo al

responsable de la empresa.
Presentar el informe de auditora: presentar formalmente el informe de la
auditoria al ms alto directivo de la empresa, con el propsito de informarle
los resultados de dicha auditoria.
Principales pruebas y herramientas para realizar una auditoria informtica
Principales pruebas
Pruebas sustantivas: verifican el grado de confiabilidad del sistema informtico del
organismo.
Pruebas de cumplimiento: verifican el grado de cumplimiento de lo relevado
mediante el anlisis de la muestra.
Principales herramientas

Cuestionarios
Entrevistas
Observacin
Conteo fsico (inventario)
Inspeccin
Confirmacin
Comparacin

22

AUDITORA INFORMTICA

CONTROLES EN INFORMTICA
a. Definicin
Es una medida y correccin del desempeo de las actividades de los
subordinados para asegurar que los objetivos y planes de la empresa, diseados
para lograrlo, se estn llevando a cabo.
b. Funcin
Es aquella que tiene por finalidad asegurar que todos y cada uno de los actos de
una organizacin obtengan los objetivos previstos, dentro de los lmites prefijados.
El control es la suma de factores deliberadamente dispuestos por la organizacin
con el fin de:
a) Condicionar cada acto, asegurando que sea realizado de un modo determinado.
b) Determinar la medida en que cada acto dio el resultado previsto.
c) Informar los resultados y las eventuales desviaciones, retroalimentando de esta
manera todo el proceso.
23

AUDITORA INFORMTICA

c. Proceso bsico

del control

Evaluacin
Correccin de
d. Requisitos que

Establecimiento de normas
de la actuacin
las desviaciones
deben cumplir los controles

Deben
reflejar
necesidades de la empresa
Deben reportar prontamente las desviaciones
Deben ser futuristas
Deben sealar excepciones
Deben ser objetivos
Deben ser flexibles
Deben ser comprensibles
Deben conducir a la accin correctiva
e. Clasificacin de los controles

la

naturaleza

a) Por su naturaleza:
Generales (varios sistemas)
Manuales (uso de humanware)
Automticos (incorporados)
b) Por su estado:

Recomendados
Descartados
Implantados

c) Por su efecto:

Disuasivos
De evidencia
Preventivos
Defectivos
Correctivos
Recuperativos

1. Controles preventivos
Son aquellos que reducen la frecuencia con que ocurren las causas de error.
CARACTERSTICAS:

Reducen la frecuencia de errores

24

AUDITORA INFORMTICA

Previenen
Son
procesos
Son los de
Autorizacin
Custodia
Formas pre
Formas reimpresas
Documento de retorno
Endoso
Cancelacin
Contraseas
Definicin de responsabilidades
Confiabilidad del personal
Entrenamiento
Competencia del personal
Mecanizacin
Segregacin de funciones

operaciones no autorizadas
sutilmente incorporados en los
ms bajo costo
segura
numeradas

2. Controles detectivos
Estos no impiden que ocurra una causa de error, sino que acciona la alarma
despus de que haya ocurrido.
a) Pueden impedir la continuidad de un proceso
b) No impiden que ocurra un error, pero dan la alarma despus que haya ocurrido
c) Requieren de ciertos gastos operativos moderados

Documento de envo
Nmeros consecutivos de lote
Cifras de control de cantidades
Cifras de control de numero de documentos
Cifras de control sin significado monetario
Totales de lote
Verificacin de rebasamiento
Verificacin de formato
Verificacin de integridad
Digito verificador
Razonabilidad
Verificacin de validez
25

AUDITORA INFORMTICA

Fechas
Verificacin
Aprobacin
Totales
de
Igualizacin /
Clasificacin
Cuenta
de
procesarse
Cotejo
Auditoria peridica
Etiquetas

de la digitacin
corrida a corrida
comparacin
por antigedad
partidas
pendientes

de

3. Controles correctivos
a) Ayudan a la investigacin y correccin de las causas de los errores que hayan
sido detectados.
b) La accin correctiva es siempre necesaria.
c) Son casi siempre muy costosos.

Reportes de discrepancias o inconsistentes

Rastro de auditoria
Estadsticas de errores y su fuente
Correccin automatizada de errores
Respaldo y recuperacin
Re inclusin en el proceso

PARTICIPACIN DEL AUDITOR EN EL DESARROLLO DE SISTEMAS

1. Su importancia
La participacin del auditor en el desarrollo de sistemas puede darse:
Como consultor PED:
La participacin del CPA es completa, pues forma parte del equipo de PED
a cargo del desarrollo del nuevo sistema, con las responsabilidades
inherentes a su funcin.
Como auditor externo:
26

AUDITORA INFORMTICA

Si nuestra funcin

es

nuestro papel en el

desarrollo

reduce

que

nuestra responsabilidad sobre

sistemas

computarizados de contabilidad

se contrae a la que

se tiene sobre los sistemas

los

dado

la

de

auditor
de

externo,

sistemas

se

tradicionales de procesamiento de datos y la informacin que la administracin

presenta en los estados financieros, pues los sistemas que procesan y producen
la informacin contable y financiera son responsabilidad de la administracin y no
del auditor, cuyo principal es dictaminar los estados financieros de la empresa.
Como auditor interno:
El auditor interno es por excelencia un experto en control interno, por consiguiente,
est en las mejores condiciones de participar activamente, como una tarea
inherente a la funcin que realiza, en el desarrollo de sistemas, y su principal
contribucin debe ser asegurar, en forma razonable, que las aplicaciones
computarizadas incluyen controles slidos y confiables.
2. Su oportunidad
Como ya se indic, la participacin del auditor interno en el desarrollo de sistemas
debe darse precisamente en el desarrollo del mismo, a efecto de que los controles
que se consideran necesarios, sean incorporados en las diferentes fases o etapas
del desarrollo, ya que una vez funcionando el sistema, es ms difcil y costoso
efectuar las modificaciones.
3. Aspectos generales
Normalmente la metodologa utilizada para el desarrollo de sistemas consiste en
dividir el esfuerzo. En la construccin del sistema, en etapas o fases que permitan
analizar, evaluar, presupuestar y controlar el proyecto total, en una forma sencilla y
segura.
Tales fases o etapas, claramente definidas, pueden clasificarse as:
a). Planificacin del sistema
Investigacin preliminar
Estudio de factibilidad
Planificacin inicial
b) Desarrollo de sistemas
27

AUDITORA INFORMTICA

Desarrollo de
Diseo
del
Programacin
c) Implantacin del

modelos solucin
modelo elegido
y prueba
sistema

Preparacin
Implantacin
Revisin
seguimiento

de la implantacin
operativa
post-implantacin

CAPITULO ll

INFORME DE AUDITORA INFORMTICA INDEPENDIENTE

Guatemala, 22 de octubre de 2015.

Seor
Lorenzo Montenegro
28

AUDITORA INFORMTICA

Director General
Servicio Econmico,

S.A.

De acuerdo con las

instrucciones giradas por el
consejo
de
administracin de la empresa
que est a su cargo,
me permito remitir a usted el
informe de la auditora practicada al centro de cmputo, con especial nfasis en
la administracin, funcionamiento y operacin del sistema de red de la
institucin, misma que se llev a cabo del 2 de septiembre al 5 de octubre de
2015.

De los resultados obtenidos durante la evaluacin me permito informarle a usted

las siguientes observaciones:
1. Existe copias no autorizadas del sistema de facturacin.
2. No se cuenta con Back-ups peridicos de la informacin que se encuentra
fuera del sistema.
3. Las computadoras asignadas al personal no cuentan con password de
usuario individual.
4. Hay acceso a personas no autorizadas al rea de sistemas sin supervisin
del encargado del rea.
5. No existe polticas ni manuales corporativos.
6. No cuenta con un sistema de seguridad contra incendios.

Las observaciones antes descritas se explican con ms detalles en nuestro anexo

de evaluacin del centro de cmputo.

De acuerdo a las pruebas realizadas a la administracin, funcionamiento y

operacin y de acuerdo a los criterios descritos de evaluacin, me permito concluir
que el rea de informtica presenta un nivel de riesgo alto en sus aspectos
significativos, su manejo de servicio no es razonable de acuerdo al manejo
proporcionado por la administracin.

29

AUDITORA INFORMTICA

GRUPO No. o4 &

CONTADORES

ASOCIADOS
PBLICOS Y AUDITORES

ANEXO
Resultado de la evaluacin a la empresa Servicio Econmico, S.A. rea de
informtica.

Condicin 1
Al realizar el inventario de software en la empresa se detect la existencia de
copias no autorizadas del sistema de facturacin; los programas fueron
descargados por internet y no cuenta con las licencias de los mismos.
Criterio
El artculo 32 del Decreto 33-98 de la Ley de Derechos del Autor y Derechos
Conexos de Guatemala establece que la reproduccin de un programa de
ordenador, incluso para uso personal, exigir la autorizacin del titular de los
derechos.
30

AUDITORA INFORMTICA

Recomendacin
Que

la

Gerencia

General gire instrucciones al

personal

que

interviene en el proceso con el

fin de adquirir el

software

autorizados

pas con la finalidad de obtener

en

el

con

representantes

garantas y licencias originales del mismo y mitigar el riesgo legal existente de

acuerdo a la ley citada.
Condicin 2
Se verifico que la compaa no realiza Back-ups peridicos de la informacin que
se encuentra fuera del sistema.
Criterio
Debido a la falta de elaboracin de polticas y resguardo de informacin. Existe el
riesgo de la perdida de informacin.
Recomendacin

La administracin debe estructurar un manual de polticas y procedimientos para

la elaboracin de Back-ups del sistema y de cada computador.
Condicin 3
Al realizar la verificacin de proteccin de archivos de la empresa Servicio
Econmico, S.A. Se comprob que las computadoras asignadas al personal no
cuentan con password de usuario personal.
Criterio
Perdida de la eficiencia y efectividad de la informacin.
Recomendacin

31

AUDITORA INFORMTICA

Implementar

la

creacin

de

cuentas

de

para

los

usuarios

individuales

colaboradores de la

empresa, de esa manera evitar

el

informacin

acceso

de

personas

no

autorizadas.
Condicin 4
Se comprob que hay acceso de personas no autorizadas al rea de informtica
sin supervisin del encargado del rea.
Criterio
Las personas encargadas de realizar la limpieza poseen llave para ingresar al
rea de informtica.
Recomendacin
Autorizar el acceso al personal de limpieza nicamente cuando se encuentre un
encargado del rea de informtica.
Condicin 5

Durante la visita realizada a la entidad, se observ que no cuenta con polticas ni

manuales corporativo sobre el uso y resguardo de los recursos informticos.
Criterio
Debido a la

carencia de polticas y manuales existe el riesgo de prdida de

informacin disponible.
Recomendacin

32

AUDITORA INFORMTICA

Que

la

administracin ejecute un plan

para

autorizar

polticas y procedimientos para

el resguardo de los

recursos informticos.

Condicin 6
De acuerdo a la informacin proporcionada por el departamento de informtica, no
se cuenta con un sistema de seguridad contra incendios.
Criterio
Se efectu una evaluacin en el rea auditada sobre el riesgo de incendios,
planificando la inclusin de extinguidores especiales para el rea, la cual no se
llev a cabo.
Recomendacin
La administracin debe considerar la necesidad de contar con extinguidores
adecuados y un plan de accin para actuar en caso de alguna contingencia en el
rea de informtica.

CONCLUSIN
Toda empresa, pblica o privada que posean sistemas de informacin, debe
someterse a un control estricto de evaluacin. Las habilidades tcnicas requeridas
por el auditor en informtica son las de implantar, ejecutar y comunicar los
resultados de la evaluacin en el contexto de la tecnologa de informacin, de
acuerdo con estndares profesionales que gobiernen el objetivo de la auditora.
Se puede decir que Auditoria en Informtica es el conjunto de tcnicas,
procedimientos y actividades, destinadas a analizar y evaluar el funcionamiento de
33

AUDITORA INFORMTICA

los

sistemas

informticos de un ente, por lo

que comprende un

examen metdico y puntual,

con el propsito de

mejorar aspectos como: control

sistemas

seguridad

de

cumplimiento de la

informticos;

normativa tecnolgica del ente;

control de los planes de contingencia; eficacia y rentabilidad

RECOMENDACIN
El auditor debe de estar capacitado para comprender los mecanismos que se
desarrollan en un procesamiento electrnico, tambin debe de estar preparado
para enfrentar sistemas computarizados en los cuales se encuentre la informacin
necesaria para auditar, que posea las herramientas idneas para poder realizar
una auditora informtica en cualquier tipo de entidad que solicite sus servicios
profesionales .

34

AUDITORA INFORMTICA

Se tiene que tomar

en consideracin el acelerado

desarrollo

tecnolgico

experimentando en

las

tambin

grado

el

alto

implica.

BIBLIOGRAFA
35

que

se

est

instituciones,

as

como

de

riesgo

que

esto

AUDITORA INFORMTICA

AUDITORIA

EN

SISTEMAS

COMPUTACIONALES.
Muoz

Razo.

Carlos

Editorial Prentice Hall

http://auditoriasistemas.com/auditoria-de-sistemas-informaticos/

Echenique G. J.A. (2001). Auditora en Informtica.2da. Ed. Mc Graw-Hill.

Piattinni, G. M & Peso del E. Auditora Informtica. Un enfoque prctico. Alfa
omega

36