AUDITORÍA DE SISTEMAS

DE INFORMACIÓN
 AUDITORÍA
• Es el proceso que comprende las
tareas de evaluar y analizar ciertos
procesos, dependiendo el área al
que se aplique, donde el auditor
debe estar encaminado a la
búsqueda de problemas existentes,
y a la vez buscar soluciones para
estos problemas.
 SISTEMAS DE
INFORMACIÓN
• Es un conjunto de elementos
interrelacionados con el propósito
de prestar atención a las demandas
de información de una organización,
para elevar el nivel de conocimientos
que permitan un mejor apoyo a la
toma de decisiones y desarrollo de
acciones.
AUDITORÍA DE SISTEMAS DE
INFORMACIÓN
• Según G.A. Rivas, padre de la
introducción informática:
¨Es el conjunto de técnicas,
actividades y procedimientos
destinados a analizar, verificar y
recomendar en asuntos relativos a la
planificación, control, eficacia,
seguridad y adecuación del servicio
informático en una empresa…¨
OBJETIVOS
• Participación en el desarrollo de
nuevos sistemas:
– Evaluación de controles
– Cumplimiento de la metodología.

• Evaluación de la seguridad en el área

informática.

• Evaluación de suficiencia en los

planes de contingencia.
– Respaldos, proveer qué va a pasar si se
presentan fallas.
OBJETIVOS
• Opinión de la utilización de los
recursos informáticos.

• Control de modificación a las

aplicaciones existentes.
– Fraudes
– Control a las modificaciones de los
programas.

• Participación en la negociación de
contratos con los proveedores.

• Revisión de la utilización del sistema

operativo y los programas utilitarios.
OBJETIVOS
• Auditoria de la base de datos.
– Estructura sobre la cual se desarrollan las
aplicaciones.

• Auditoria de la red de teleprocesos.

• Desarrollo de software de auditoría.

OBJETIVO
• Es el objetivo final de una auditoría
de sistemas bien implementada,
desarrollar software capaz de estar
ejerciendo un control continuo de las
operaciones del área de
procesamiento de datos.
¿Cómo realizar una Auditoría de SI ?
• TOMA DE CONTACTO: momento en que la
organización se da cuenta de su necesidad
de auditoría y procede a llamar al auditor.

• PLANIFICACIÓN DE LA OPERACIÓN:
determina los objetivos, las fechas, ámbitos
de estudios y posibles problemas,
inventario de puntos a estudiar,

• DESARROLLO DE LA AUDITORÍA: Su
objetivo es buscar evidencias que puedan
conducir a conclusiones certeras en el
diagnóstico.
• SÍNTESIS Y DIAGNÓSTICO:
“DAFOR”: debilidades, amenazas,
fortalezas y oportunidades.

• PRESENTACIÓN DE CONCLUSIONES

• REDACCIÓN DEL INFORME Y

FORMACIÓN DEL PLAN MEJORA
HERRAMIENTAS
• Entrevista
 Analizar primero si la información buscada
no está disponible en otros medios.
 Identificar previamente a las personas a
entrevistar.
 Preparar la entrevista.
 Planificar el tiempo y definir el lugar.
 Toma de notas
 Análisis de la entrevista.
HERRAMIENTAS
• Cuestionario
 Definir si se quieren conocer hechos, opiniones o
ambas cosas
 Si el auditor va a estar presente o no.
 Preguntas concretas.
 Evitar usar la jerga de la auditoría y la
informática.
 Las preguntas no deben conducir indirectamente
a las respuestas.
 Evitar cuestiones hipotéticas.
 Reflexionar sobre el rango con que se estimarían
las posibles respuestas.
¿Cómo debe ser el perfil de un
auditor de SI ?

• Conocimientos técnicos de la informática.

• Conocimientos de auditoría: psicología,

redacción de informes, dirección, etc.

• Cualidades personales: atención, equilibrio

emocional, intuición profesional,
dinamismo, capacidad de escuchar, etc.

• Estándar de Auditoría de Sistemas de

Información: Independencia.
• Punto de vista imparcial que le permita
obrar objetiva y justamente.

• El Auditor no sólo debe ser

independiente, sino también guardar
las apariencias.

• El Auditor y la dirección deben evaluar

continuamente la independencia.

• El trabajo e informe del Auditor deben

representar grandes responsabilidades
profesionales, lo que ejemplifica la
integridad y la objetividad.
ÁREAS DE APLICACIÓN

1. Auditoría de Seguridad Física y

Lógica
2. Auditoría de Planificación
3. Auditoría de la Organización y
Gestión de Centro de Procesamiento
de Datos
4. Área de explotación
5. Área del entorno
Hardware/Software
ÁREAS DE APLICACIÓN
Auditoría de Seguridad Física
y Lógica

Seguridad Física: adecuación de

instalaciones

Seguridad Lógica: salvaguarda de

acreditación de usuarios,
secreto de archivos y
transacciones
ÁREAS DE APLICACIÓN
Auditoría de Planificación
- Conocer y evaluar los planes del
CPD y su nivel de integración con la
empresa
- Revisión de planes informáticos y
desarrollo de software
- Evaluar el nivel de participación y
compromiso de directivos en la
elaboración de los planes
ÁREAS DE APLICACIÓN
Auditoría de la Organización
y Gestión del CPD
- Analizar que el responsable del
Centro de Procesamiento de Datos
organiza, dirige y controla los
recursos del mismo

Área de Explotación
- Examinar los procedimientos seguidos
en el Centro de Procesamiento de
Datos en su operatividad diaria.
ÁREAS DE APLICACIÓN
Área del entorno
Hardware/Software

- Garantizar un eficiente funcionamiento

y utilidad del ordenador garantizando
su continuidad en el tiempo.
 FIN

GRACIAS!!!