PROGRAMAS, PLANES E INFORMES DE AUDITORIA

CRITERIO DE AUDITORIA
Políticas, prácticas, procedimientos o requerimientos contra los que el auditor compara la
información recopilada
EVIDENCIA DE AUDITORIA
•Sirve para determinar cuándo se cumple con el criterio de auditoria.
•Información, registros o declaraciones de hecho verificables.
•Se basa en entrevistas, revisión de documentos, observación de actividades.

DEFINICIONES GENERALES
HALLAZGOS DE LA AUDITORIA
•Evaluación de la evidencia comparada contra los criterios de auditoria acordados.
•Proveen la base para el reporte final de la auditoria.

EQUIPO AUDITOR
•Grupo de auditores, o un auditor individual,
Jefe Auditor
Auditor experto
Auditor auxiliar
PROGRAMA DE AUDITORÍA
Conjunto de una o más auditorías planificadas para un periodo de tiempo determinado y
dirigidas hacia un propósito específico.
Debe incluir información y recursos necesarios para organizar y llevar acabo las auditorías de
forma eficaz y eficiente dentro de los períodos de tiempo que se encuentren especificados.
Al menos debe incluir:
✓ Objetivo del programa.
✓ Proceso de auditorías a desarrollarse.
✓ Alcance del proceso.
✓ Dependencia o área.
✓ Fecha inicial y final de auditoría
✓ Criterio
✓ Recursos
✓ Equipo Auditor

PLAN DE AUDITORIA
Es el documento que remite el auditor indicando la planificación de ejecución de la auditoría.
Debe ser establecido y comunicado al cliente de forma que pueda revisar y aprobar la
ejecución de dicho plan.
Considerado el esquema metodológico más importante del auditor informático

Al menos debe incluir: Proceso a auditar.

1. Área
 2. Líder y Equipo Auditor
3. Criterio de auditoría (cumplimiento de requisitos a verificar)
4. Alcance de la auditoría (servicios/procesos a auditar)
5. Actividades.
6. Cronograma: Día, hora, instalaciones a visitar, recursos etc.

INFORME DE AUDITORÍA
Es el medio formal para comunicar los resultados, las normas utilizadas, hallazgos,
conclusiones y recomendaciones de la auditoría.
El reporte debe ser objetivo, claro, conciso, constructivo y oportuno.
ESTRUCTURA DE INFORME DE AUDITORÍA
Los puntos esenciales, genéricos y mínimos del Informe de Auditoría tenemos:
1. Título de Informe
2. Partes interesadas
3. Objetivos
4. Alcance
5. Normativa Aplicada
6. Hallazgos
7. Observaciones
8. Oportunidades de Mejora
9. Conclusiones

Título del Informe

Identificar con un nombre corto y referenciando al objetivo de la auditoria.

Partes interesadas
Se describirá el equipo de la auditoría, las áreas, personas o cargos que fueron auditados
Objetivos de la Auditoría
Especificar en forma muy puntual los procesos en la auditoria.
Basada en objetivos definidos por el cliente. Indicar con que Propósito se realiza la auditoria
Alcance
Especificar la trascendencia de la auditoria y las áreas involucradas en la misma.
El alcance describe la extensión y límites de la auditoría.

Normativa aplicada
Identificación de las normas legales y profesionales utilizadas, así como las excepciones
significativas de uso y el posible impacto en los resultados de la auditoría.

Hallazgos
Especificar cada uno de los descubrimientos encontrados en la auditoria.
Observaciones
Se especifica las observaciones relevantes de la auditoria por parte del auditor.
Oportunidades de mejora
Se especifica las mejoras y recomendaciones que sugiere el auditor.
Conclusiones
Especificar el cierre de la auditoria y el cumplimiento de los objetivos.
Periodo de Cobertura
Este periodo deberá contener la fecha de inicio y último día de trabajo en las oficinas de la
entidad.
Firmas
Nombre y firma del representante del área auditada, así como nombre y firma del auditor.
REUNIÓN INICIAL
1. Presentación del equipo auditor a la dirección de la organización.
2. Agradecimiento.
3. Revisión del plan de auditoría
4. Aclaración de dudas
5. Confirmar reunión final.
DESARROLLO DE LA AUDITORIA
1. Recopilación y verificación de la información (muestrear evidencias): Revisión
documental.
Entrevistas a personal.
2. Evaluar la evidencia contra los criterios de la auditoría.
3. Generación de hallazgos de la auditoría. Pueden indicar conformidad o no conformidad.

REUNIÓN DEL EQUIPO AUDITOR

1. Revisión de hallazgos
2. Preparación de las conclusiones (Buenas prácticas, mejoras, cumplimientos,
observaciones, oportunidades de mejora y no conformidades.)
3. Redacción y clasificación de las no conformidades (mayor a menor)

NOTA: Si no se llega a un consenso, el jefe de auditoría toma la decisión final.

REUNIÓN FINAL
1. Comunica los hallazgos y conclusiones de la auditoría a la Dirección de la Organización
2. Resuelve las dudas que plantea la organización. En auditoría internas, el auditor puede
dar sugerencias, pero no asumir la responsabilidad sobre las acciones a tomar.
3. Agradecimiento y cierre.

TÉCNICAS CONVENCIONALES DE AUDITORÍA

✓ Inspección
✓ Confirmación
✓ Comparación
✓ Revisión documental
✓ Matriz FODA

INSPECCIÓN
Monitorear, supervisar, y examinar la forma en las que se desarrollan las actividades de un
área de sistemas a fin de evaluar y emitir un informe sobre el desarrollo del área

EJEMPLOS DE INSPECCIÓN
✓ La inspección de los sistemas de seguridad y protección de las instalaciones, equipos,
personal.
✓ La inspección de los formatos para la captura de datos y sus procedimientos
✓ La inspección del uso, almacenamiento y protección de los sistemas, programas e
información que se procesa en el centro de cómputo

CONFIRMACIÓN
El aspecto más importante en la auditoría es la confirmación de los hechos y la certificación
de los datos que se obtiene en la revisión, comprobar la veracidad y confiabilidad de las
pruebas y procedimientos con las que se obtuvo la información que va a ser incluido en el
informe de auditoría.
EJEMPLOS DE CONFIRMACIÓN
✓ Confirmar los usuarios y privilegios que tienen acceso a la base de datos correspondan
a los que realmente justifique dicho acceso.
✓ Revisar las licencias del software instalado en los sistemas computacionales de la
empresa.
✓ Confirmar la confiabilidad de las protecciones, contraseñas y demás medidas de
seguridad establecidas para el acceso a la información y a los sistemas de la empresa

COMPARACIÓN
Es la comparación de los datos obtenidos en un área o en toda la organización y cotejando
esa información con los datos similares o iguales de otra organización con características
semejantes.
EJEMPLOS DE COMPARACIÓN
✓ Determinar las actividades y operaciones desarrolladas en un centro de cómputo, a fin
de compararlas con las de otro centro similar para evaluar su eficiencia y eficacia
✓ Comparar las similitudes y diferencias en el desarrollo e implementación de proyectos

REVISIÓN DOCUMENTAL
Esta técnica se aplica verificando el correcto registro de datos en documentos formales de la
empresa y, con mucha frecuencia en la emisión de resultados financieros. Además, se puede
revisar registro de actividades y operaciones definidos en documentos

EJEMPLOS DE REVISIÓN DOCUMENTAL

✓ Verificar la existencia, actualización y cumplimiento de normas, políticas, reglamentos,
planes y presupuestos del área de sistemas,
✓ Revisar el uso y registro de documentos (bitácoras) para el control de software,
hardware, bases de datos y accesos.
✓ Evaluar el desarrollo de las operaciones y funcionamiento del sistema, mediante la
revisión y el seguimiento de las instrucciones plasmadas en los manuales e instructivos
de la operación.

MATRIZ FODA
Herramienta de diagnóstico y planeación estratégica de uso común en las empresas para
tratar un problema de varias perspectivas. La aplicación de la matriz FODA en la auditoría en
sistemas, permite estudiar las influencias que afectan el comportamiento del área de sistemas
en la empresa. (proveedores, desarrolladores, sistema, entorno)

TÉCNICAS ESPECIALES DE AUDITORÍA DE SISTEMAS

✓ Guías de Auditoría
✓ Ponderación
✓ Evaluación
✓ Análisis de diagramación de sistemas
✓ Programas para revisión por computadora
✓ Diagramas de Círculo

GUÍAS DE AUDITORÍA
✓ En este documento también se anotan la forma en la que cada uno de los puntos serán
evaluados y como deben ser analizados.
 ✓ Mediante este documento el auditor puede hacer el seguimiento paso a paso de todos
los procedimientos para evaluar los puntos que tenga que evaluar.
✓ La utilidad determinada de este documento estará por la calidad, contenido y
profundidad de los aspectos que abarque.

GUÍAS DE AUDITORÍA
HERRAMIENTAS UTILIZADAS
✓ Revisión documental o procedimientos
✓ Entrevistas
✓ Cuestionarios
✓ Encuestas
✓ Observación
✓ Examinar parámetros de configuración
✓ Pruebas al sistema, equipos, red, base de datos
✓ Check list
✓ Trazas o Huellas
✓ Ejecución de software
✓ Revisión de logs
✓ Inventarios.
EVALUACIÓN
Consiste en analizar mediante pruebas de calidad y cumplimiento de funciones, actividades y
procedimientos que se realizan en un sistema informático Ej.:
✓ Pruebas del sistema,
✓ Pruebas de implantación,
✓ Pruebas del sistema operativo,
✓ Pruebas de instalaciones del centro de cómputo.

Evaluación

Esta técnica se aplica a través de los siguientes pasos:

✓ El establecimiento de parámetros de evaluación
✓ Mediante distintas pruebas y herramientas de auditoria se procede a recopilar la
información y se asigna un puntaje.
✓ El valor obtenido en el paso anterior se compara con el valor esperado.
✓ Después de hacer la comparación se sacan conclusiones para valorar el grado
cumplimiento del sistema que está siendo auditado.
✓ Finalmente se procede a evaluar el informe

EVALUACIÓN DE LA GESTIÓN ADMINISTRATIVA DEL ÁREA DE SISTEMAS

✓ La existencia, uso y actualización de todos los manuales e instructivos de operación,

del sistema, de usuarios y procedimientos.
✓ La existencia, uso y actualización de las metodologías y estándares para el desarrollo
de los sistemas.
✓ La existencia, uso y actualización de los Estándares de programación y documentación
de sistemas.

EVALUACIÓN DE EQUIPOS DE COMPUTO

✓ La forma en que se lleva a cabo la configuración del sistema, equipos, bases de datos,
etc.
✓ •Que existan y se apliquen procedimientos para adquisición y dar de baja a equipos
✓ •La administración de los métodos de accesos, seguridad y operación de equipos.

EVALUACIÓNDEL DISEÑO FÍSICO DEL SISTEMA

✓ Rendimiento y desempeño de los sistemas.

✓ La forma en que se realizaron las Instalaciones eléctricas, de comunicaciones y de
datos.
✓ La administración de Los métodos de acceso, seguridad Y protección físicos

EVALUACIÓN DEL CONTROL DE ACCESOS Y SALIDAS DE DATOS

✓ Los estándares, medidas de seguridad y métodos establecidos para la consulta de
datos y salida de información.
✓ La existencia y cumplimiento de las especificaciones, estándares, medidas de
seguridad y métodos de acceso.
✓ La administración y control de los niveles de accesos de administradores, operadores
y usuarios del sistema.

EVALUACIÓN DE CONTROLES DE ALMACENAMIENTO

✓ El diseño adecuado de los archivos, bases de datos y la forma en que se almacena la
información.
✓ La administración y control de archivos, programas e información.
✓ Las formas y tipos de almacenamiento de información para los Sistemas
computacionales de la empresa (disquetes, cintas, CD-Rs, sistemas DVD, etc.).
✓ La existencia y seguimiento de programas de respaldos

EVALUACIÓN DE CONTROLES DE SEGURIDAD

✓ La existencia y funcionamiento de los sistemas de control de acceso físicos.

✓ La administración y control e accesos lógicos al sistema, contraseñas, privilegios en el
manejo de la información y software.
✓ La existencia, difusión y actualización de los planes de contingencia

EVALUACIÓN DE ASPECTOS DE CONTROL LOS SISTEMAS

✓ La administración y control del sistema operativo del equipo de cómputo.

 ✓ La administración y control de los lenguajes de operación, desarrollo y programación
de los sistemas.
✓ La administración y control de sistemas de redes, multiusuario y micro cómputo.

MATRIZ DE EVALUACIÓN
Permite recopilar información relacionada con la actividad, operación, o función que se realiza
en el área informática, así como apreciar anticipadamente el cumplimiento de dichas
actividades.
Consiste en una matriz de seis columnas de las cuales la primera corresponde a la
descripción, y las otras cinco a un criterio de evaluación descendente o ascendente (Exc.,
Bueno, Suf., Reg., Deficiente)
MATRIZ DE EVALUACIÓN

PONDERACIÓN
Técnica especial de evaluación que da un peso específico a cada una de las partes que serán
evaluadas.
Busca equilibrar las posibles descompensaciones que existen entre las áreas o sistemas
computacionales.
 ANÁLISIS DE DIAGRAMACIÓN DE SISTEMAS

Unas de las principales herramientas para el análisis y diseño de los sistemas

computacionales.
El analista puede representar:
✓ Los flujos de información, actividades, operaciones, procesos y otros aspectos que
intervienen en el desarrollo de los propios sistemas

✓ El programador puede visualizar el panorama específico del sistema, para elaborar de

manera más precisa la codificación de instrucciones para el programa.

ANÁLISIS DE DIAGRAMACIÓN DE SISTEMAS

El auditor puede utilizar esta herramienta para el diseño de sistemas de diferentes formas en
una auditoria de sistemas, de acuerdo con su experiencia, conocimientos y habilidades,
mismas que debe canalizar en los siguientes sentidos:
✓ Solicitar los diagramas del sistema.
✓ Analizar el diagrama del sistema.
✓ Elaborar un diagrama del sistema.
✓ Verificar la documentación de los sistemas a través de sus diagramas.

PROGRAMAS PARA REVISIÓN POR COMPUTADORA

Esta técnica es de las más utilizadas en cualquier auditoria de sistemas computacionales,
debido a que permite revisar, desde la misma computadora y mediante un programa
específico, el funcionamiento del sistema, de una base de datos, de un programa en especial
o de alguna aplicación de interés.
✓ Programas de revisión elaborados por desarrolladores.
✓ Programas de revisión elaborados por el auditor.

DIAGRAMA DE CÍRCULOS DE EVALUACIÓN

Herramienta de apoyo para la evaluación de los sistemas computacionales.
Para valorar visualmente:
✓ El comportamiento de los sistemas que están siendo auditados.
✓ Su cumplimiento
✓ Sus limitaciones.

ETAPAS DE DIAGRAMA DE CIRCULOS DE EVALUACIÓN

6. DIAGRAMA DE CÍRCULOS DE EVALUACIÓN

¿Qué Podemos Evaluar Con esta herramienta?

Seguridad en el área de sistema.

✓ Acceso físico.
✓ Acceso y mantenimiento de bases de datos.
✓ De las instalaciones.
✓ Plan de contingencias.
✓ Seguridad lógica del sistema.

Evaluación administrativa
✓ Misión, visión, objetivos, estrategias, planes, programas, estructura, perfil de puestos.
✓ Documentación de sistemas en cuanto a seguridad y protección de activos.
✓ Capacitación y adiestramiento al personal.
 DIAGRAMA DE CÍRCULOS DE EVALUACIÓN

¿Qué Podemos Evaluar Con esta herramienta?

Evaluación de los sistemas computacionales

✓ Diseño lógico, físico del sistema computacional.
✓ Controles de acceso y salida de datos.
✓ Procesamiento de la información.
✓ Permisos y perfiles de la aplicación.
✓ Seguridad de la aplicación.

Metodologías
ACTIVIDAD
Es el conjunto de operaciones ejecutadas o de actos desarrollados por una o varias personas
y que contribuyen al logro de una función
TAREA
Es la subdivisión del trabajo para realizar una actividad
POLITICA
• Criterio de acción que es elegido como guía en un proceso de toma de decisiones al poner
en práctica o ejecutar las estrategias, programas y proyectos específicos a nivel institucional
• Son esencialmente un principio o varios relacionados entre sí con sus consiguientes reglas
de acción que condicionan y gobiernan al logro de un objetivo
metodologías para realizar A.S.
etapas
✓ planeación
✓ ejecución
✓ dictamen

origen de la auditoria vista preliminar

✓ establecer el objetivo
✓ determinar puntos a evaluar
✓ elaborar, planes, presupuestos y programas
✓ identificar y seleccionar herramientas, métodos, técnicas y procedimientos
✓ asignar los recursos de auditoria de sistemas
✓ aplicar auditoria
✓ identificar desviaciones y elaborar borrador de informe
✓ presentar desviaciones a discusión
✓ elaborar borrador final de desviaciones
✓ presentar el informe de auditoria

1era etapa Planeación

✓ Origen
✓ Visita Preliminar
✓ Objetivos
✓ Puntos a evaluar
✓ Planes, programas y presupuestos
✓ Métodos, herramientas, instrumentos y procedimientos
✓ Recursos y sistemas computacionales

Origen
¿De dónde?
¿Por qué?
¿Quién?
¿Para qué?

Por solicitud interna

Por solicitud externa
Como consecuencia de emergencias y condiciones especiales
Por riesgos y contingencias informáticas
Por los planes de contingencia
Por resultados obtenidos de otras auditorias Como parte de una auditoría integral

Vista preliminar
✓ Visitar preliminar de arranque
✓ Contacto inicial
✓ Identificación preliminar de problemática
✓ Prever objetivos iniciales
✓ Calcular recursos y personal

Objetivos

✓ General y específicos

Puntos a evaluar

✓ Funciones y actividades del personal

✓ Unidades Ad. del Centro de Cómputo
✓ Seguridad de los S.I
✓ Información, documentación y registros
✓ Sistemas, equipos, instalaciones, componentes
✓ Elegir tipo de auditoría a utilizar
✓ Determinar recursos a utilizar

5.- Elaborar planes, programas y presupuestos

✓ Documento formal de los planes de trabajo
Plan de sistemas de auditoria
Aspectos:
o Actividades, responsables, recursos, tiempos
o Eventos que servirán de guía
o Estimación de recursos humanos, materiales e informáticos
o Tiempo estimado
o Auditores responsables y participantes
o Demás especificaciones del programa de trabajo

Partes del informe

✓ Carátula de identificación del plan de auditoria
✓ Índice
✓ Objetivos
✓ Estrategias para el desarrollo de la auditoria
✓ Planes de auditoria
✓ Normas, políticas y lineamientos para el desarrollo de la auditoria
 ✓ Contenido de los planes para realizar la auditoría

o Definirlos objetivos finales de la auditoria.

o Establecer las estrategias para realizar la auditoria.
o Calcular la duración de las tareas y eventos para satisfacer los objetivos de la
auditoria
o Distribuir los recursos que serán utilizados en las diferentes etapas, actividades y
tareas de la auditoria
o Confeccionar los planes concretos para la auditoria

✓ Presupuestos

o Asignación de los costos de los recursos

o Control de los costos de los recursos

6.- Métodos, herramientas, instrumentos y procedimientos

6.1. Elaborar guía de ponderación

✓ Definir áreas y puntos de sistemas que serán auditados

✓ Definir el peso de la ponderación por las áreas y puntos que serán evaluados
✓ Realizar el documento de ponderación de la auditoria
 6.2. Elaborar guía de auditoria
✓ Determinar las áreas y puntos que serán evaluados en el ambiente de sistemas
✓ Seleccionar métodos, procedimientos, herramientas e instrumentos de
evaluación
✓ Elaborar el documento formal de la guía de auditoría

6.3. Elaborar documentos necesarios para la auditoría

• Instrumentos y herramientas de la recopilación de información para la auditoria

• Cuestionarios
• Guías para realizar las entrevistas
• Formularios para encuestas
• Modelos y formatos para los inventarios del área de sistemas
• Métodos e instrumentos de muestreo
• Instrumentos especiales de evaluación de sistemas
• Puntos que serán evaluados con pruebas
• Pruebas para la evaluación
• Los instrumentos y herramientas para pruebas de evaluación

6.4. Determinar herramientas, métodos y procedimientos

• Diseñar las herramientas e instrumentos que serán utilizados en la evaluación

• Establecer los métodos y procedimientos que serán utilizados en la auditoria
• Determinar las técnicas y procesos específicos que serán utilizados en la auditoria
• Elaborar los documentos formales para los procedimientos, métodos, herramientas e
instrumentos que serán utilizados en la auditoria

6.5. Diseñar los sistemas, programas y métodos de prueba

• Determinar programas, bases de datos, archivos, sistemas y otros que serán evaluados
mediante programas y pruebas de cómputo
• Diseñar las pruebas, programas y sistemas para realizar las evaluaciones necesarias
• Aplicar y obtener los resultados de las pruebas, programas y sistemas para realizar las
evaluaciones necesarias
• Diseñar, aplicar y evaluar los resultados de los programas, métodos y pruebas de
simulación al sistema
• Diseñar otros documentos de recopilación
• Elaborar otros documentos de revisión

Recursos y sistemas computacionales

✓ Recursos humanos
✓ Recursos informáticos y tecno lógicos
✓ Recursos, materiales y de consumo
✓ Otros recursos

2da etapa ejecución

1.-Realizar las acciones programadas

2.- Aplicar los instrumentos y herramientas
3.- Identificar y elaborar los documentos de desviaciones encontradas
4.- Elaborar dictamen preliminar y presentarlo a discusión
5.- Integrar papeles de trabajo

3era etapa dictamen

• Elaborar un informe de situaciones detectadas

o Analizar los papeles de trabajo
o Señalar las situaciones encontradas
o Comentar las situaciones encontradas con las áreas auditadas
o Realizar modificaciones necesarias
o Elaborar documento de situaciones relevantes
• Elaborar el dictamen final
✓ Analizar la información y elaborar documentos de desviaciones detectadas
✓ Elaborar el informen y el dictamen formal
✓ Comentar el informe y el dictamen con los directivos de las áreas auditadas
✓ Realizar modificaciones necesarias
• Presentar el informe de auditoria
✓ Elaboración del dictamen
✓ Integración del informe de auditoria
✓ Presentación del informe
✓ Integración de los papeles de trabajo

AUDITORÍA DE SISTEMAS DE INFORMACIÓN GERENCIAL Y APOYO DE DECISIONES

Actualmente la auditoria de los sistemas de información es definida como cualquier auditoria

que abarque la revisión y evaluación de todos los aspectos de los sistemas automáticos de
procesamiento de la información, incluyendo los procedimientos no automáticos relacionados
con ellos y las interfaces correspondientes

objetivos

✓ Proporcionar información para la toma de decisiones a todos los niveles de la empresa.

✓ Lograr ventajas que los competidores no posean.
✓ Obtener ventajas en costos y servicios diferenciados con los clientes y proveedores.

AUDITORÍA EN SISTEMAS
Es la rama que se encarga de llevar a cabo la evaluación de normas, controles, técnicas y
procedimientos que se tienen establecidos en una empresa para lograr confiabilidad,
oportunidad, seguridad y confidencialidad de la información que se procesa a través de los
sistemas de información. La auditoría de sistemas es una rama especializada de la auditoría
que promueve y aplica conceptos de auditoría en el área de sistemas de información.

CRITERIO DE AUDITORÍA
Políticas, practicas, procedimientos o requerimientos contra los que el auditor compara la
información recopilada sobre la gestión de calidad.
Los requerimientos pueden incluir estándares, normas, requerimientos organizacionales
específicos, y requerimientos legislativos o regulados. (Pastor, 2004).

ISO 9001 – Gestión de la Calidad

ISO 27000 – Gestión de la Seguridad
ISO 20000 – Gestión de servicios de TI
ISO 15504 [SPICE] – Evalúa la capacidad de los procesos de software
COBIT – Guía para el control de la información, TI y los riesgos que conllevan
ITIL – Mejores prácticas para la administración de servicios de TI
Lean SixSigma – Metodología sistemática y rigurosa para la mejora de Procesos

AUDITORÍA OFIMÁTICA
Es la revisión del sistema informatizado que genera, gestiona, almacena, recupera, comunica
y presenta datos relacionados con el funcionamiento de la oficina. Este tipo de auditoría sirve
para evaluar los equipos y los softwares existentes; además del procedimiento de adquisición.

Objetivos
Evaluar que los equipos de cómputo y programas cumplan con los
lineamientos necesarios para su buen desempeño y que el personal a cargo
esté capacitado para realizar las correspondientes funciones en el área que se encuentra.

AUDITORÍA DE BASE DE DATOS

Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la
información almacenada en las bases de datos incluyendo la capacidad de determinar:

1. Quien accede a los datos

2. Cuando se accedió a los datos

3. Desde que tipo de dispositivo/aplicación

4. Desde que ubicación en la Red

5. Cual fue la sentencia SQL ejecutada

6. Cual fue el efecto del acceso a la base de datos

OBJETIVOS

❖ Recopilar información acerca de actividades específicas de la base de datos

❖ Recopilar estadísticas sobre qué tablas actualizadas, cantidad de usuarios conectados

concurrentemente

❖ Recopilar inverosimilitudes en los datos (detección de errores)

❖ Recopilar los errores por pérdida de información

❖ Mitigar los riesgos asociados con el manejo inadecuado de los datos

❖ Evitar acciones criminales

❖ Evitar multas por incumplimiento

❖ Monitorear y registrar el uso de los datos por los usuarios Autorizados o no.

criterios
❖ Estándares y regulaciones
❖ - Política de Contraseñas – Seguridad de la Información v 1.1
❖ - Política de Base de datos – Seguridad de la información v1.0
❖ - Modelo de Gestión IT4 plus MINTIC, numeral 6.2.1.4 sistemas de almacenamiento.
❖ - Manual Gobierno en Línea: Información-Gestión de la calidad y de seguridad de los
componentes de información.
 ❖ - ISO 27001:2012 Gestión de seguridad de la información, Anexo A.9 Control de
acceso.
❖ ISO 27001 es una norma internacional emitida por la Organización Internacional de
Normalización (ISO) y describe cómo gestionar la seguridad de la información en una
empresa.

Auditoria de calidad

La norma de vocabulario ISO 8402 define la auditoria de la calidad como:

Examen metódico e independiente que se realiza para determinar si las
actividades y los resultados relativos a la calidad cumplen las disposiciones
previamente establecidas, y si estas disposiciones están implantadas de forma efectiva
y son adecuadas para alcanzar los objetivos establecidos”.

OBJETIVOS
• El objetivo básico de la auditoría de la calidad es comprobar que las cosas se están haciendo
tal como los procedimientos indican.
• Evaluar el sistema de calidad, para analizar su idoneidad y efectividad.
• Aportar información para la mejora continua del sistema de gestión de la calidad.

• Verificar que el sistema de calidad auditado cumple con los requisitos de aplicación en la
Norma de la que se quiere obtener la certificación correspondiente.
• Demostrar, ante la dirección de la organización, segundas partes (clientes/proveedores) o
terceras partes (entidades certificadoras), que se tiene implantado un Sistema de Calidad
capaz de satisfacer las necesidades del cliente, tanto interno como externo

Criterios de la auditoría de la
calidad.
Los criterios son un conjunto de políticas, procedimientos o requisitos. Los criterios de
auditoría se utilizan como una referencia frente a la cual se compara la evidencia de la
auditoría. (ISO 19011)

¿CUÁLES SON LOS CRITERIOS EN LA AUDITORÍA DE LA CALIDAD?

• Normas propias de la organización
Son reglas específicas de la propia organización que se deben seguir o que se deben ajustar
a las conductas, tareas, o actividades de la misma, para poder llevar a cabo el cumplimiento
de una política organizacional.
• Normas ISO de la calidad
NORMAS DE QUE TRATA
ISO 9000 Principios y vocabulario
ISO 9001 Requisitos
ISO 9004 Gestión para el éxito sostenido de una organización
organización
ISO 19011 Directrices para la auditoria de sistemas de gestión

¿Qué es la Auditoría de Explotación?

La Auditoria de explotación es el control que se realiza sobre las funciones del Sistema
de Información para asegurar que las mismas se efectúen de forma regular, ordenada y
que satisfagan los requisitos
empresariales.
La Auditoría de la Explotación consiste en auditar las secciones que componen la explotación
informática y sus interrelaciones.
Para realizar la Explotación informática se dispone de una materia prima, los Datos, que es
necesario transformar, y que se someten previamente a controles de integridad y calidad.

Objetivos de la Auditoria de Explotación

✓ Controlar los manuales de instrucciones y procedimientos de explotación.
✓ Controlar los inicios de los procesos y otra documentación de funcionamiento.
✓ Revisar la agenda de trabajo.
✓ Verificar la continuidad del proceso.
✓ Realizar controles sobre la explotación remota.
✓ Comprobar que en ningún caso los operadores acceden a documentación de
programas que no sea la exclusiva para su explotación.

✓ Revisar que existen procedimientos que impidan que puedan correrse

✓ versiones de programas no activos.
✓ Verificar los procedimientos según los cuales se incorporan nuevos
✓ programas a las librerías productivas.
✓ Examinar los lugares en donde se almacenan cintas y discos, así como la perfecta y
visible identificación de estos medios.
✓ Verificar los planes de mantenimiento preventivo de la instalación.
✓ Comprobar que existen normas escritas que regulen perfectamente todo lo
✓ relativo a copias de seguridad: manejo, autorización de obtención de datos,
✓ destrucción, etc.

AUDITORIA DE DESARROLLO DE
PROYECTOS
DEFINICION
Auditoría de proyectos se define como el examen sistemático e independiente del proyecto,
proyecto, llevado a cabo, generalmente, por una
una entidad externa a quien lo ejecuta, para valorar el grado de eficacia, eficiencia, la
pertinencia, la viabilidad y el impacto del proyecto.
proyecto.
Generalmente en la ejecución de proyectos participan de manera directa tres entidades: el
ejecutor del proyecto, la entidad cofín andadora andadora y la empresa consultora como
entidad de entidad de seguimiento.

OBJETIVOS
Cumplimiento de los plazos previstos en cada una de las fases del Proyecto: Estudio previo,
diseño, programación, pruebas, conversión en su caso, plan
de formación e implementación
Cumplimiento de los presupuestos previstos en cada una de las fases enumeradas y para
cada uno de los conceptos manejados: equipos, software,
contratación exterior, personal propio, etc.
Nivel de satisfacción con el modo de operar las diferentes funcionalidades soportadas por
la aplicación, incluyendo los diseños de pantallas e informes de salida, mensajes y ayudas:
identificación de mejoras posibles.

CRITERIOS DE LA AUDITORÍADE DESARROLLO DE PROYECTOS

Normas internacionales de auditoría Este anexo resume las Normas Internacionales de
Auditoría -NIAs- emitidas por el Comité de Comité de Prácticas Internacionales de Auditoría
de la Federación Internacional de
Contadores-IFAC y contenidas en el libro pronunciamientos técnicos de IFAC emitido en julio
en julio de 1996.
Sección 200. Objetivos y principios básicos que rigen la auditoría de estados financieros
Sección 210. La carta de compromiso de auditoría
Sección 220. Control de calidad del trabajo de auditoría
Sección 230. Documentación
Sección 240. Fraude y error
Sección 250. Las leyes y reglamentos en la auditoría de estados financieros
Sección 300.Planeación del trabajo de auditoría
Sección 310. Conocimiento del giro y actividad de la entidad a ser auditada

DE QUE TRATA LA AUDITORIA DEL USO DE

MANTENIMIENTO DE HARDWARE Y SOFTWARE
◦ Revisar y Evaluar los controles, sistemas, procedimientos de informática; de los equipos de
cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el
procesamiento de la información, a fin de que por medio del señalamiento de cursos
alternativos se logre una utilización más eficiente y segura de la información que servirá para
una adecuada toma de decisiones.

OBJETIVOS
Tener un panorama actualizado de los sistemas de información en cuanto a la seguridad física,
las políticas de utilización, transferencia de datos y seguridad de los activos
Objetivos entorno al Hardware
- Registro del hardware instalado, dado de baja, proceso de adquisición, etc.
- Revisar el inventario hardware.
- Bitácoras de uso

Objetivos entorno al Software

- Verificar licencias correspondientes
- Comprobar la seguridad de datos y software.
- Verificar plan de mantenimiento y registro de fechas, problemas, soluciones y próximo
mantenimiento propuesto
ISO 9001:2008
A fin de desarrollar un método de mantenimiento de infraestructura que resulte de utilidad para
la empresa, resulta conveniente tener en cuenta los siguientes aspectos:
◦ Hardware: El término “hardware” utilizado por la norma ISO 9001 no hace
referencia únicamente a la informática, sino que comprende todos los recursos en soporte
físico que requieran los procesos, tales como máquinas, equipos
(informáticos o no), herramientas, medios de transporte, edificios, mobiliario,
equipos de comunicación.
◦ Software: El término “software” utilizado por la norma ISO 9001 no hace
referencia únicamente a la informática, sino que comprende todos los recursos en soporte
lógico que requieran los procesos, tales como programas informáticos, datos, información

auditoria de seguridad lógica

La seguridad lógica se refiere a la seguridad en el uso de software y
los sistemas, la protección de los datos, procesos y programas, así
como la del acceso ordenado y autorizado de los usuarios a la
información.

Objetivos
Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan
modificar los programas ni los archivos que no correspondan.
 Asegurar que se estén utilizando los datos, archivos y programas correctos en y por el
procedimiento correcto.
Que la información transmitida sea recibida por el destinatario al cual ha sido enviada y no
a otro.
Que la información recibida sea la misma que ha sido transmitida.
Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.
Que se disponga de pasos alternativos de emergencia para la transmisión de información.

CRITERIOS PARA REALIZAR EL TIPO DE AUDITORÍA

El Estándar Internacional ISO/IEC 17799 versión 2005 (actualmente conocido como ISO/IEC
27002) recomienda que, para protegerse de las amenazas lógicas, la empresa debe contar
con dos o más programas (procedentes de diferentes vendedores) encargados de detectar y
reparar códigos maliciosos para mejorar las probabilidades de éxito ante un ataque. Éstas y
otras medidas facilitarán el buen funcionamiento de la organización.
ISO/IEC 27002
Es un código de buenas prácticas para la gestión de la seguridad.
Consiste en:
• Recomendaciones sobre qué medidas tomar para asegurar los sistemas de información de
una organización.
• Describe los objetivos de control (aspectos a analizar para garantizar la seguridad de la
información) y especifica los controles recomendados a implantar, es decir, las medidas a
tomar.

¿Qué es una Auditoría en Telecomunicaciones?

Una Auditoria en Telecomunicaciones es una evaluación del entorno de las
Telecomunicaciones tanto a nivel global como a nivel empresarial.
El propósito de una auditoria en telecomunicaciones es asegurar:
Seguridad
Cumplimiento de la política empresarial.
Eficacia en cuanto al coste
Efectividad del servicio
El respaldo de las Telecomunicaciones al objetivo de la empresa.

OBJETIVOS DE LA SEGURIDAD EN LA AUDITORIA DE

TELECOMUNICACIONES
Objetivos a tomar en cuenta:
Verificar la existencia de controles en software y hardware
Asegurar la existencia de controles y procedimientos que orienten a la satisfacción de la
administración
Administración de la red de comunicaciones
Instalación de la red
La operación y seguridad de la red
El mantenimiento de la red.
Verificar que existan parámetros de medición del desempeño de la red
Bitácoras
Gráficas
Estadísticas

Comprobar que la distribución de las bases de datos en la red sea segura

Verificar que las medidas de respaldo sean las adecuadas
Verificar si se cuenta con un software de monitoreo y auditoria de los diferentes elementos
que compone la red
Verificar que el software de comunicación sea efectivo y controlado
Verificar que solo se encuentre software autorizado en la red
Evaluar las acciones que lleven a cabo para actualizar los diferentes componentes de la red

CRITERIOS DE SEGURIDAD EN LA AUDITORIA DE

TELECOMUNICACIONES
Todo centro terminal dependiente de un centro de cómputo debe de registrar un responsable
de la comunicación entre ambas unidades administrativas
El centro de cómputo debe desarrollar controles y medidas de seguridad para los centros
terminales
Es responsabilidad de los centros terminales registrar al personal que hará uso de las
terminales
El centro de cómputo debe realizar auditorías periódicas, con el fin de evaluar la utilización del
equipo.
El centro de cómputo debe elaborar un registro por escrito con fines estadísticos y de control,
de la utilización de los recursos materiales técnicos y tecnológicos de todos y cada uno de los
centros terminales

Es responsabilidad del centro de cómputo, con el apoyo de personal especializado en

comunicaciones, supervisar el estado financiero, eléctrico y electrónico de los módems,
medios de comunicación y enlaces de los usuarios
Es responsabilidad del centro terminal notificar al centro de cómputo de cualquier anomalía o
falla que se detecte en el equipo
Falla de seguridad para las instalaciones, procesamiento y datos de la red
Falta de manuales de operación de la red de Comunicación