Professional Documents
Culture Documents
CRITERIO DE AUDITORIA
Políticas, prácticas, procedimientos o requerimientos contra los que el auditor compara la
información recopilada
EVIDENCIA DE AUDITORIA
•Sirve para determinar cuándo se cumple con el criterio de auditoria.
•Información, registros o declaraciones de hecho verificables.
•Se basa en entrevistas, revisión de documentos, observación de actividades.
DEFINICIONES GENERALES
HALLAZGOS DE LA AUDITORIA
•Evaluación de la evidencia comparada contra los criterios de auditoria acordados.
•Proveen la base para el reporte final de la auditoria.
EQUIPO AUDITOR
•Grupo de auditores, o un auditor individual,
Jefe Auditor
Auditor experto
Auditor auxiliar
PROGRAMA DE AUDITORÍA
Conjunto de una o más auditorías planificadas para un periodo de tiempo determinado y
dirigidas hacia un propósito específico.
Debe incluir información y recursos necesarios para organizar y llevar acabo las auditorías de
forma eficaz y eficiente dentro de los períodos de tiempo que se encuentren especificados.
Al menos debe incluir:
✓ Objetivo del programa.
✓ Proceso de auditorías a desarrollarse.
✓ Alcance del proceso.
✓ Dependencia o área.
✓ Fecha inicial y final de auditoría
✓ Criterio
✓ Recursos
✓ Equipo Auditor
PLAN DE AUDITORIA
Es el documento que remite el auditor indicando la planificación de ejecución de la auditoría.
Debe ser establecido y comunicado al cliente de forma que pueda revisar y aprobar la
ejecución de dicho plan.
Considerado el esquema metodológico más importante del auditor informático
INFORME DE AUDITORÍA
Es el medio formal para comunicar los resultados, las normas utilizadas, hallazgos,
conclusiones y recomendaciones de la auditoría.
El reporte debe ser objetivo, claro, conciso, constructivo y oportuno.
ESTRUCTURA DE INFORME DE AUDITORÍA
Los puntos esenciales, genéricos y mínimos del Informe de Auditoría tenemos:
1. Título de Informe
2. Partes interesadas
3. Objetivos
4. Alcance
5. Normativa Aplicada
6. Hallazgos
7. Observaciones
8. Oportunidades de Mejora
9. Conclusiones
Partes interesadas
Se describirá el equipo de la auditoría, las áreas, personas o cargos que fueron auditados
Objetivos de la Auditoría
Especificar en forma muy puntual los procesos en la auditoria.
Basada en objetivos definidos por el cliente. Indicar con que Propósito se realiza la auditoria
Alcance
Especificar la trascendencia de la auditoria y las áreas involucradas en la misma.
El alcance describe la extensión y límites de la auditoría.
Normativa aplicada
Identificación de las normas legales y profesionales utilizadas, así como las excepciones
significativas de uso y el posible impacto en los resultados de la auditoría.
Hallazgos
Especificar cada uno de los descubrimientos encontrados en la auditoria.
Observaciones
Se especifica las observaciones relevantes de la auditoria por parte del auditor.
Oportunidades de mejora
Se especifica las mejoras y recomendaciones que sugiere el auditor.
Conclusiones
Especificar el cierre de la auditoria y el cumplimiento de los objetivos.
Periodo de Cobertura
Este periodo deberá contener la fecha de inicio y último día de trabajo en las oficinas de la
entidad.
Firmas
Nombre y firma del representante del área auditada, así como nombre y firma del auditor.
REUNIÓN INICIAL
1. Presentación del equipo auditor a la dirección de la organización.
2. Agradecimiento.
3. Revisión del plan de auditoría
4. Aclaración de dudas
5. Confirmar reunión final.
DESARROLLO DE LA AUDITORIA
1. Recopilación y verificación de la información (muestrear evidencias): Revisión
documental.
Entrevistas a personal.
2. Evaluar la evidencia contra los criterios de la auditoría.
3. Generación de hallazgos de la auditoría. Pueden indicar conformidad o no conformidad.
REUNIÓN FINAL
1. Comunica los hallazgos y conclusiones de la auditoría a la Dirección de la Organización
2. Resuelve las dudas que plantea la organización. En auditoría internas, el auditor puede
dar sugerencias, pero no asumir la responsabilidad sobre las acciones a tomar.
3. Agradecimiento y cierre.
INSPECCIÓN
Monitorear, supervisar, y examinar la forma en las que se desarrollan las actividades de un
área de sistemas a fin de evaluar y emitir un informe sobre el desarrollo del área
EJEMPLOS DE INSPECCIÓN
✓ La inspección de los sistemas de seguridad y protección de las instalaciones, equipos,
personal.
✓ La inspección de los formatos para la captura de datos y sus procedimientos
✓ La inspección del uso, almacenamiento y protección de los sistemas, programas e
información que se procesa en el centro de cómputo
CONFIRMACIÓN
El aspecto más importante en la auditoría es la confirmación de los hechos y la certificación
de los datos que se obtiene en la revisión, comprobar la veracidad y confiabilidad de las
pruebas y procedimientos con las que se obtuvo la información que va a ser incluido en el
informe de auditoría.
EJEMPLOS DE CONFIRMACIÓN
✓ Confirmar los usuarios y privilegios que tienen acceso a la base de datos correspondan
a los que realmente justifique dicho acceso.
✓ Revisar las licencias del software instalado en los sistemas computacionales de la
empresa.
✓ Confirmar la confiabilidad de las protecciones, contraseñas y demás medidas de
seguridad establecidas para el acceso a la información y a los sistemas de la empresa
COMPARACIÓN
Es la comparación de los datos obtenidos en un área o en toda la organización y cotejando
esa información con los datos similares o iguales de otra organización con características
semejantes.
EJEMPLOS DE COMPARACIÓN
✓ Determinar las actividades y operaciones desarrolladas en un centro de cómputo, a fin
de compararlas con las de otro centro similar para evaluar su eficiencia y eficacia
✓ Comparar las similitudes y diferencias en el desarrollo e implementación de proyectos
REVISIÓN DOCUMENTAL
Esta técnica se aplica verificando el correcto registro de datos en documentos formales de la
empresa y, con mucha frecuencia en la emisión de resultados financieros. Además, se puede
revisar registro de actividades y operaciones definidos en documentos
MATRIZ FODA
Herramienta de diagnóstico y planeación estratégica de uso común en las empresas para
tratar un problema de varias perspectivas. La aplicación de la matriz FODA en la auditoría en
sistemas, permite estudiar las influencias que afectan el comportamiento del área de sistemas
en la empresa. (proveedores, desarrolladores, sistema, entorno)
GUÍAS DE AUDITORÍA
✓ En este documento también se anotan la forma en la que cada uno de los puntos serán
evaluados y como deben ser analizados.
✓ Mediante este documento el auditor puede hacer el seguimiento paso a paso de todos
los procedimientos para evaluar los puntos que tenga que evaluar.
✓ La utilidad determinada de este documento estará por la calidad, contenido y
profundidad de los aspectos que abarque.
GUÍAS DE AUDITORÍA
HERRAMIENTAS UTILIZADAS
✓ Revisión documental o procedimientos
✓ Entrevistas
✓ Cuestionarios
✓ Encuestas
✓ Observación
✓ Examinar parámetros de configuración
✓ Pruebas al sistema, equipos, red, base de datos
✓ Check list
✓ Trazas o Huellas
✓ Ejecución de software
✓ Revisión de logs
✓ Inventarios.
EVALUACIÓN
Consiste en analizar mediante pruebas de calidad y cumplimiento de funciones, actividades y
procedimientos que se realizan en un sistema informático Ej.:
✓ Pruebas del sistema,
✓ Pruebas de implantación,
✓ Pruebas del sistema operativo,
✓ Pruebas de instalaciones del centro de cómputo.
Evaluación
✓ La forma en que se lleva a cabo la configuración del sistema, equipos, bases de datos,
etc.
✓ •Que existan y se apliquen procedimientos para adquisición y dar de baja a equipos
✓ •La administración de los métodos de accesos, seguridad y operación de equipos.
MATRIZ DE EVALUACIÓN
Permite recopilar información relacionada con la actividad, operación, o función que se realiza
en el área informática, así como apreciar anticipadamente el cumplimiento de dichas
actividades.
Consiste en una matriz de seis columnas de las cuales la primera corresponde a la
descripción, y las otras cinco a un criterio de evaluación descendente o ascendente (Exc.,
Bueno, Suf., Reg., Deficiente)
MATRIZ DE EVALUACIÓN
PONDERACIÓN
Técnica especial de evaluación que da un peso específico a cada una de las partes que serán
evaluadas.
Busca equilibrar las posibles descompensaciones que existen entre las áreas o sistemas
computacionales.
ANÁLISIS DE DIAGRAMACIÓN DE SISTEMAS
El auditor puede utilizar esta herramienta para el diseño de sistemas de diferentes formas en
una auditoria de sistemas, de acuerdo con su experiencia, conocimientos y habilidades,
mismas que debe canalizar en los siguientes sentidos:
✓ Solicitar los diagramas del sistema.
✓ Analizar el diagrama del sistema.
✓ Elaborar un diagrama del sistema.
✓ Verificar la documentación de los sistemas a través de sus diagramas.
Evaluación administrativa
✓ Misión, visión, objetivos, estrategias, planes, programas, estructura, perfil de puestos.
✓ Documentación de sistemas en cuanto a seguridad y protección de activos.
✓ Capacitación y adiestramiento al personal.
DIAGRAMA DE CÍRCULOS DE EVALUACIÓN
Metodologías
ACTIVIDAD
Es el conjunto de operaciones ejecutadas o de actos desarrollados por una o varias personas
y que contribuyen al logro de una función
TAREA
Es la subdivisión del trabajo para realizar una actividad
POLITICA
• Criterio de acción que es elegido como guía en un proceso de toma de decisiones al poner
en práctica o ejecutar las estrategias, programas y proyectos específicos a nivel institucional
• Son esencialmente un principio o varios relacionados entre sí con sus consiguientes reglas
de acción que condicionan y gobiernan al logro de un objetivo
metodologías para realizar A.S.
etapas
✓ planeación
✓ ejecución
✓ dictamen
✓ establecer el objetivo
✓ determinar puntos a evaluar
✓ elaborar, planes, presupuestos y programas
✓ identificar y seleccionar herramientas, métodos, técnicas y procedimientos
✓ asignar los recursos de auditoria de sistemas
✓ aplicar auditoria
✓ identificar desviaciones y elaborar borrador de informe
✓ presentar desviaciones a discusión
✓ elaborar borrador final de desviaciones
✓ presentar el informe de auditoria
✓ Origen
✓ Visita Preliminar
✓ Objetivos
✓ Puntos a evaluar
✓ Planes, programas y presupuestos
✓ Métodos, herramientas, instrumentos y procedimientos
✓ Recursos y sistemas computacionales
Origen
¿De dónde?
¿Por qué?
¿Quién?
¿Para qué?
Vista preliminar
✓ Visitar preliminar de arranque
✓ Contacto inicial
✓ Identificación preliminar de problemática
✓ Prever objetivos iniciales
✓ Calcular recursos y personal
Objetivos
✓ General y específicos
Puntos a evaluar
✓ Presupuestos
✓ Recursos humanos
✓ Recursos informáticos y tecno lógicos
✓ Recursos, materiales y de consumo
✓ Otros recursos
objetivos
AUDITORÍA EN SISTEMAS
Es la rama que se encarga de llevar a cabo la evaluación de normas, controles, técnicas y
procedimientos que se tienen establecidos en una empresa para lograr confiabilidad,
oportunidad, seguridad y confidencialidad de la información que se procesa a través de los
sistemas de información. La auditoría de sistemas es una rama especializada de la auditoría
que promueve y aplica conceptos de auditoría en el área de sistemas de información.
CRITERIO DE AUDITORÍA
Políticas, practicas, procedimientos o requerimientos contra los que el auditor compara la
información recopilada sobre la gestión de calidad.
Los requerimientos pueden incluir estándares, normas, requerimientos organizacionales
específicos, y requerimientos legislativos o regulados. (Pastor, 2004).
AUDITORÍA OFIMÁTICA
Es la revisión del sistema informatizado que genera, gestiona, almacena, recupera, comunica
y presenta datos relacionados con el funcionamiento de la oficina. Este tipo de auditoría sirve
para evaluar los equipos y los softwares existentes; además del procedimiento de adquisición.
Objetivos
Evaluar que los equipos de cómputo y programas cumplan con los
lineamientos necesarios para su buen desempeño y que el personal a cargo
esté capacitado para realizar las correspondientes funciones en el área que se encuentra.
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la
información almacenada en las bases de datos incluyendo la capacidad de determinar:
OBJETIVOS
❖ Monitorear y registrar el uso de los datos por los usuarios Autorizados o no.
criterios
❖ Estándares y regulaciones
❖ - Política de Contraseñas – Seguridad de la Información v 1.1
❖ - Política de Base de datos – Seguridad de la información v1.0
❖ - Modelo de Gestión IT4 plus MINTIC, numeral 6.2.1.4 sistemas de almacenamiento.
❖ - Manual Gobierno en Línea: Información-Gestión de la calidad y de seguridad de los
componentes de información.
❖ - ISO 27001:2012 Gestión de seguridad de la información, Anexo A.9 Control de
acceso.
❖ ISO 27001 es una norma internacional emitida por la Organización Internacional de
Normalización (ISO) y describe cómo gestionar la seguridad de la información en una
empresa.
Auditoria de calidad
OBJETIVOS
• El objetivo básico de la auditoría de la calidad es comprobar que las cosas se están haciendo
tal como los procedimientos indican.
• Evaluar el sistema de calidad, para analizar su idoneidad y efectividad.
• Aportar información para la mejora continua del sistema de gestión de la calidad.
• Verificar que el sistema de calidad auditado cumple con los requisitos de aplicación en la
Norma de la que se quiere obtener la certificación correspondiente.
• Demostrar, ante la dirección de la organización, segundas partes (clientes/proveedores) o
terceras partes (entidades certificadoras), que se tiene implantado un Sistema de Calidad
capaz de satisfacer las necesidades del cliente, tanto interno como externo
Criterios de la auditoría de la
calidad.
Los criterios son un conjunto de políticas, procedimientos o requisitos. Los criterios de
auditoría se utilizan como una referencia frente a la cual se compara la evidencia de la
auditoría. (ISO 19011)
AUDITORIA DE DESARROLLO DE
PROYECTOS
DEFINICION
Auditoría de proyectos se define como el examen sistemático e independiente del proyecto,
proyecto, llevado a cabo, generalmente, por una
una entidad externa a quien lo ejecuta, para valorar el grado de eficacia, eficiencia, la
pertinencia, la viabilidad y el impacto del proyecto.
proyecto.
Generalmente en la ejecución de proyectos participan de manera directa tres entidades: el
ejecutor del proyecto, la entidad cofín andadora andadora y la empresa consultora como
entidad de entidad de seguimiento.
OBJETIVOS
Cumplimiento de los plazos previstos en cada una de las fases del Proyecto: Estudio previo,
diseño, programación, pruebas, conversión en su caso, plan
de formación e implementación
Cumplimiento de los presupuestos previstos en cada una de las fases enumeradas y para
cada uno de los conceptos manejados: equipos, software,
contratación exterior, personal propio, etc.
Nivel de satisfacción con el modo de operar las diferentes funcionalidades soportadas por
la aplicación, incluyendo los diseños de pantallas e informes de salida, mensajes y ayudas:
identificación de mejoras posibles.
OBJETIVOS
Tener un panorama actualizado de los sistemas de información en cuanto a la seguridad física,
las políticas de utilización, transferencia de datos y seguridad de los activos
Objetivos entorno al Hardware
- Registro del hardware instalado, dado de baja, proceso de adquisición, etc.
- Revisar el inventario hardware.
- Bitácoras de uso
Objetivos
Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan
modificar los programas ni los archivos que no correspondan.
Asegurar que se estén utilizando los datos, archivos y programas correctos en y por el
procedimiento correcto.
Que la información transmitida sea recibida por el destinatario al cual ha sido enviada y no
a otro.
Que la información recibida sea la misma que ha sido transmitida.
Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.
Que se disponga de pasos alternativos de emergencia para la transmisión de información.