AUS 115 - Unidad 2 PDF

UNIDAD II – PLANEACIÓN DE LA
AUDITORÍA INFORMÁTICA
Universidad de El Salvador | Auditoría de Sistemas - AUS115
UNIDAD II – Planeación de la Auditoría Informática.
Planeación de la auditoría informática.
Herramientas de la auditoría.
Incidencia de la auditoría interna en los sistemas de información.
Universidad de El Salvador | Auditoría de Sistemas - AUS115 UNIDAD II

Auditoría informática
Es la revisión técnica, especializada y exhaustiva que se realiza a los sistemas computacionales, software e información
utilizados en una empresa, sean individuales, compartidos y/o de redes, así como a sus instalaciones,
telecomunicaciones, mobiliario, equipos periféricos y demás componentes. Dicha revisión se realiza de igual manera a
la gestión informática, el aprovechamiento de sus recursos, las medidas de seguridad y los bienes de consumo
necesarios para el funcionamiento de la unidad informática.
La auditoría informática sigue los objetivos tradicionales de

la auditoria: aquellos que son de la auditoria externa, de
salvaguarda de los activos y la integridad de datos y los
objetivos gerenciales, aquellos propios de la auditoria
interna que no solo logran los objetivos señalados sino
también los de eficiencia y eficacia. Los auditores internos
son responsables de proporcionar información acerca de la
adecuación y efectividad del sistema de control de la
organización y de la calidad de la gestión.
En las auditorias se pueden definir muchas fases diferentes,

detalladas según el criterio de cada auditor, es por ello que
esta unidad se detallan las fases de la metodología que
seguiremos académicamente, metodología que busca reunir
los elementos esenciales y las mejores prácticas para auditar.

1.1 – Perfil del auditor.
Los auditores internos son responsables de proporcionar información acerca de la adecuación y efectividad del
sistema de control interno de la organización y de la calidad de gestión.
El auditor interno debe de ser independiente de las actividades que audita, y deben de tener un amplio criterio para
no tomar decisiones subjetivas basadas en preferencias personales sobre determinado equipo o software, sin
analizar a profundidad las opiniones. Esta independencia permite que el auditor interno realice su trabajo libre y
objetivamente, ya que sin esta independencia no se pueden obtener los resultados deseados. El auditor de
informática debe contar con los conocimientos técnicos requeridos y con capacidad profesional.
Habilidades de los Auditores

1.2 – Fases de la auditoría informática.
P1. Identificar el origen de la E1. Realizar las acciones D1. Analizar la

auditoría. programadas para la información y
P2. Realizar una visita preliminar al auditoría. elaborar un informe
área que será evaluada. E2. Aplicar los de situaciones
instrumentos y detectadas.
Planeación
Ejecución
Dictamen
P3. Recopilar la información del área
evaluada (organigrama, política y herramientas para la D2. Elaborar el diseño
procedimientos). auditoría. final.
P4. Establecer los objetivos y el E3. Identificar y elaborar D3. Presentar el
alcance de la auditoría. los documentos de informe de auditoría.
desviaciones
P5. Determinar los puntos que serán encontradas.
evaluados en la auditoría.
E4. Elaborar el dictamen
P6. Elaborar planes, programas y preliminar y presentarlo a
presupuestos para realizar la discusión.
auditoría.
E5. Integrar el legajo de
P7. Identificar y seleccionar los papeles de trabajo de la
métodos, herramientas, instrumentos auditoría.
y procedimientos necesarios para la
auditoría.
A8. Asignar los recursos.

Fase 1. Planeación de la auditoría informática.
El primer paso para realizar una auditoría informática es definir las actividades necesarias para su ejecución, lo cual
se logra mediante una adecuada planeación de éstas; es decir, se debe de identificar claramente las razones por las
que se va a realizar la auditoría . Por ello es recomendable iniciar planteándose las siguientes interrogantes.
¿Porqué realizar la
auditoría? ¿Se debe de hacer una visita
preliminar al área de sistemas?
¿Cuál es el objetivo que se pretende

alcanzar con esta auditoría?
¿Cuál es alcance que tendrá la esta auditoría?

P1. Identificar el origen de la auditoría.
P2. Realizar una visita preliminar al área que será evaluada.
P3. Establecer los objetivos y el alcance de la auditoría.
P4. Determinar los puntos que serán evaluados en la auditoría.
P5. Elaborar planes, programas y presupuestos para realizar la auditoría.
P6. Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoría.
P7. Asignar los recursos y sistemas computacionales para la auditoría

P.1.1 Por solicitud expresa de procedencia interna.
P.1.1.1 A petición de accionistas, socios y dueños.
P.1.1.2 Por orden de la dirección general.
P.1.1.3 Por orden de las gerencias o departamentos a nivel superior.
P.1.1.4 A solicitud de funcionarios y empleados de otros niveles.
P.1.2 Por solicitud expresa de procedencia externa.
P.1.2.1 Por mandato de autoridades judiciales.
P.1.2.2 Por ordenamiento de las autoridades fiscales.
P.1.2.3 Por revisiones de autoridades de seguridad social y del trabajo.
P.1.2.4 Por revisiones de otras autoridades.
P.1.2.5 Por solicitud de proveedores y acreedores.
P.1.2.6 Por solicitud de distribuidores y desarrolladores de software y hardware.
P.1.2.7 A petición de empresas externas.
P.1.3 Como consecuencia de emergencias y condiciones especiales.
P.1.3.1 De incidencia interna.
P.1.3.2 De incidencia externa.
.

P.1.4 Por riesgos y contingencias informáticas.
P.1.4.1 Riesgos y contingencias del personal informático.
P.1.4.2 Riesgos y contingencias físicas.
P.1.4.3 Riesgos y contingencias operativas (lógicas).
P.1.4.4 Riesgos y contingencias de software.
P.1.4.5 Riesgos y contingencias en las bases de datos.
P.1.4.6 Otros riesgos y contingencias en el área de sistemas.
P.1.5 Como resultado de los planes de contingencia.
P.1.5.1 Por la carencia de planes de contingencia.
P.1.5.2 Por la elaboración de planes de contingencia.
P.1.5.3 Por la aplicación de los planes de contingencia.
P.1.6 Por resultados obtenidos de otras auditorías.
P.1.7 Como parte del programa integral de auditoría.
.

P2. Realizar una visita preliminar al área que será evaluada.
P.2.1 Visita preliminar de arranque.
P.2.2 Contacto inicial con funcionarios y empleados del área.
P.2.3 Identificación preliminar de la problemática del área de sistemas.
P.2.4 Prever los objetivos iniciales de la auditoría (no se define aún solo se detecta y se observa).
P.2.5 Calcular el recurso humano (personas necesarias para la auditoría que luego se colocarán en el cronograma de
actividades).
P.3. Establecer los objetivos y el alcance de la auditoría.

P.3.1 Objetivo general.
P.3.2 Objetivos específicos de la auditoría informática.
P.3.3 Alcance de la auditoría informática.

P.4 Determinar los puntos que serán evaluados en la auditoría.
P.4.1 Evaluación de las funciones y actividades del personal del área de sistemas.
P.4.2 Evaluación de las áreas y unidades administrativas del centro de cómputo.
P.4.3 Evaluación de la seguridad de los sistemas de información.
P.4.4 Evaluación de la información, documentación y registros de los sistemas.
P.4.5 Evaluación de los sistemas, equipos, instalaciones y componentes.
P.4.5.1 Evaluación de los recursos humanos del área de sistemas.
P.4.5.2 Evaluación del hardware.
P.4.5.3 Evaluación del software.
P.4.5.4 Evaluación de la información y las bases de datos.
P.4.5.5 Evaluación de otros recursos informáticos.
P.4.5.6 Evaluación de equipos, instalaciones y demás componentes.
P.4.6 Elegir los tipos de auditoría que serán utilizados.
P.4.7 Determinar los recursos que serán utilizados en la auditoría.
P.4.7.1 Personal para la auditoría de sistemas.
P.4.7.2 Personal del área que será evaluada.
P.4.7.3 Apoyo de los sistemas y equipos técnicos e informáticos.
P.4.7.4 Apoyos materiales y administrativos.
P.4.7.5 Otros apoyos.
P.4.7.6 Recursos económicos.

P.5 Elaborar planes, programas y presupuestos para realizar la auditoría.
P.5.1 Elaborar el documento formal de los planes de trabajo para la auditoría.
P.5.1.1 Carátula de identificación del plan de auditoría.
P.5.1.2 Índice de contenido.
P.5.1.3 Definición de objetivos.
P.5.1.4 Delimitación de estrategias para el desarrollo de la auditoría.
P.5.1.5 Planes de auditoría.
P.5.1.6 Definición de normas, políticas y lineamientos para el desarrollo de la auditoría.
P.5.2 Contenido de los planes para realizar la auditoría.
P.5.2.1 Definir los objetivos finales de la auditoría.
P.5.2.2 Establecer las estrategias para realizar la auditoría.
P.5.2.3 Diseñar las etapas, eventos y tareas en que se dividirá la auditoría.
P.5.2.4 Calcular la duración de las tareas y eventos para satisfacer los objetivos de la auditoría.
P.5.2.5 Distribuir los recursos que serán utilizados en las diferentes etapas, actividades y tareas de la auditoría.
P.5.2.6 Confeccionar los planes concretos para la auditoría.
P.5.3 Elaborar el documento formal de los programas de auditoría.
P.5.3.1 Gráfica del programa de actividades.
P.5.3.2 Definición de las etapas y eventos que se deben llevar a cabo.
P.5.3.3 Definición de las actividades y tareas.
P.5.5.3 Seguimiento y control de los planes, programas y presupuestos.

P.5 Elaborar planes, programas y presupuestos para realizar la auditoría.
P.5.4 Elaborar los programas de actividades para realizar la auditoría.
P.5.4.1 Definir de manera precisa las etapas de la auditoría.
P.5.4.2 Identificar concretamente los eventos que se deben llevar a cabo en cada etapa de la auditoría.
P.5.4.3 Delimitar lo más claramente posible las actividades, tareas y acciones para cada evento.
P.5.4.4 Distribuir los recursos que serán utilizados en las diferentes etapas, eventos actividades y tareas.
P.5.4.5 Calcular la duración de las etapas, actividades y tareas planeadas para la auditoría.
P.5.4.6 Determinar fechas de inicio y fin de las etapas, actividades y tareas.
P.5.5 Elaborar los presupuestos para la auditoría.
P.5.5.1 Asignación de los costos de los recursos.
P.5.5.2 Control de los costos de los recursos.
P.5.5.3 Seguimiento y control de los planes, programas y presupuestos.

P.6 Identificar y seleccionar los métodos, herramientas, instrumentos y
procedimientos necesarios para la auditoría.
P.6.1 Establecer la guía de ponderación de los puntos que serán evaluados.
P.6.1.1 Definir las áreas y puntos de sistemas que serán auditados.
P.6.1.2 Definir el peso de la ponderación por las áreas y puntos que serán evaluados.
P.6.1.3 Realizar el documento de ponderación de la auditoría.
P.6.2 Elaborar la guía de la auditoría.
P.6.2.1 Determinar las áreas y puntos concretos que serán evaluados en el ambiente de sistemas.
P.6.2.2 Seleccionar los métodos, procedimientos, herramientas e instrumentos de evaluación.
P.6.2.3 Elaborar el documento formal de la guía de evaluación.
P.6.3 Elaborar los documentos necesarios para la auditoría.
P.6.3.1 Diseñar los instrumentos de recopilación de información para la auditoría.
P.6.3.2 Diseñar los cuestionarios.
P.6.3.3 Diseñar las guías para realizar entrevistas.
P.6.3.4 Diseñar los formularios para encuestas.
P.6.3.5 Diseñar los modelos y formatos para los inventarios del área de sistemas.
P.6.3.6 Diseñar los métodos e instrumentos de muestreo.
P.6.3.7 Diseñar los instrumentos especiales de evaluación de sistemas.
P.6.3.8 Determinar los puntos que serán evaluados con pruebas.
P.6.3.9 Diseñar las pruebas para la evaluación.
P.6.3.10 Diseñar los instrumentos y herramientas para pruebas de evaluación.
P.6 Identificar y seleccionar los métodos, herramientas, instrumentos y

procedimientos necesarios para la auditoría.
P.6.4 Determinar herramientas, métodos, y procedimientos para la auditoría de sistemas.
P.6.4.1 Diseñar las herramientas e instrumentos que serán utilizados en la evaluación.
P.6.4.2 Establecer los métodos y procedimientos que serán utilizados en la auditoría.
P.6.4.3 Determinar las técnicas y procesos específicos que serán utilizados en la auditoría.
P.6.4.4 Elaborar los documentos formales para los procedimientos, métodos, herramientas e instrumentos que
serán utilizados en la auditoría.
P.6.5 Diseñar los sistemas, programas y métodos de pruebas para la auditoría.
P.6.5.1 Determinar los puntos de interés, programas, bases de datos, archivos y sistemas que serán evaluados
mediante programas y pruebas de cómputo.
P.6.5.2 Diseñar las pruebas, programas y sistemas para realizar las evaluaciones necesarias para el
funcionamiento de los sistemas computacionales, bases de datos y archivos.
P.6.5.3 Aplicar y obtener los resultados de las pruebas, programas y sistemas para realizar las evaluaciones
necesarias.
P.6.5.4 Diseñar, aplicar y evaluar los resultados de los programas, métodos y pruebas de simulación al sistema.
P.6.5.5 Diseñar otros instrumentos de recopilación.
P.6.5.6 Elaborar otros documentos de revisión.

P.7 Asignar los recursos y sistemas computacionales para la auditoría.

P.7.1 Asignar los recursos humanos para la realización de la auditoría.
P.7.2 Asignar los recursos informáticos y tecnológicos para la realización de la auditoría.
P.7.3 Asignar los recursos materiales y de consumo para la realización de la auditoría.
P.7.4 Asignar los demás recursos para la realización de la auditoría.

Fase 2. Ejecución de la auditoría informática.
E1. Realizar las acciones programadas para la auditoría
E2. Aplicar los instrumentos y herramientas para la auditoría
E3. Identificar y elaborar los documentos de desviaciones encontradas
E4. Elaborar el dictamen preliminar y presentarlo a discusión
E5. Integrar el legajo de papeles de trabajo de la auditoría
Fase 3. Dictamen de la auditoría informática.

D1. Analizar la información y elaborar un informe de situaciones.
D2. Elaborar el dictamen final.
D3. Presentar el informe de auditoría.
D4. Integración de los papeles de trabajo.


2 – Herramientas de auditoría informática.
Estándares, normativas y leyes más utilizados en la Auditoría de Sistemas.
Existen diferentes normas a nivel internacional que tienen como fin “estandarizar el proceso de la auditoría de
sistemas”. El uso de todos estos estándares, normativas, leyes y buenas prácticas, hoy en día se ha convertido en un
elemento principal, para ayudar a garantizar que la información dentro de la compañía sirva para lograr cumplir sus
objetivos estratégicos, tácticos y operativos. Entre dichos estándares tenemos los siguientes:
ITIL COBIT coso
Normas BALANCED CONTROLES

ISO SCORECARD SOX

Las herramientas de apoyo a la auditoría están orientadas a:
 Incrementar la productividad y efectividad del auditor.
 Efectuar auditorías con mayor valor agregado.
 Estandarizar el proceso de los papeles de trabajo.
 Homogeneizar el conocimiento de los auditores.
 Elevar el perfil del departamento de auditoría.
 Optimizar la emisión del informe de auditoría.
Implica que se conozca bien de auditoría, su objetivo, alcance, pruebas que se pueden realizar, etc.
Entre los instrumentos de recopilación de información tenemos:

 Entrevistas.
 Cuestionarios.
 Encuestas.
 Observación.
 Inventarios.
 Muestreo.

Técnicas de evaluación aplicables a la auditoría de sistemas:
 El examen.
 La inspección.
 Confirmación.
 Comparación.
 Revisión documental.
 Acta testimonial.
 Matriz de evaluación.
 Matriz DOFA.
Técnicas especiales de auditoría:

 Guías de evaluación .
 Ponderación.
 Modelos de simulación .
 Evaluación.
 Lista de verificación (o lista de chequeo).
 Análisis de la diagramación de sistemas .
 Diagrama de seguimiento de una auditoría de sistemas computacionales.
 Programas para revisión por computadora.

Balanced Scorecard:
El Balanced Scorecard es una metodología de trabajo que ayuda a las organizaciones a traducir la estrategia en
términos de mediciones, de modo que impulse el comportamiento y el desempeño de las personas hacia el logro de
los objetivos estratégicos.
Es la Organización Enfocada a la Estrategia.
El problema más importante radica en la implementación de la planificación

estratégica.
• El BSC es una herramienta para facilitar la implementación de la estrategia.
• La estrategia debe desplegarse en objetivos y mediciones, metas concretas y medios que se utilizaran para
lograrlos, bajando en cascada en la estructura organizacional de la Institución
• La mediciones son el lenguaje de los negocios. Le dan claridad al lenguaje estratégico.
• La disciplina es la clave para su implementación.
• El BSC debe ser sincronizado con las otras áreas de la institución.
• El BSC debe llegar a las personas, para lo cual hay que alinearlo con los sistemas de control de gestión de RRHH.
Ejemplo de Balanced Scorecard para Pizza Hut:

Cleanliness Hospitality Accuracy Maintenance Product Quality Speed
C H A M P S
Ejemplo de Balanced Scorecard para la Universidad
Objetivos Estratégicos Índices ( o KPI )
•%Medios digitalizados y actualizados.
-Dotar a nuestra Universidad de los mejores recursos para •Nº PC’s nuevos y/o sustituidos.
la docencia, la investigación y la prestación de servicios. •Nº Puestos/Alumnos.
•Nº Proyectos puestos en marcha.
Perspectiva •Nº Profesores que imparten docencia en otros campus.
Aprendizaje y Crecimiento •Nº y % Becarios existentes.
•Tiempo medio que tarda una persona en egresar.
-Desarrollar las capacidades de las personas.
•Nº profesores que viajan al extranjero al año.
•% Contratos - Programa evaluados.
•Nº Memorias elaboradas al año.
•% De actuaciones de mejora propuestas e implantadas.
-Mejorar los procesos de enseñanza-aprendizaje. •% Asignaturas revisadas anualmente después de la implantación.
•% De titulaciones con perfil de competencias.
Perspectiva -Mejorar los procesos de investigación, innovación y •Nº Proyectos investigación.
Procesos Internos transferencia tecnológica. •Nº Investigadores en concursos.
•Nº De quejas y participaciones.
-Prestar los mejores servicios a la Comunidad Universitaria
• Nº De quejas, reclamaciones y sugerencias contestadas a tiempo.
y a Usuarios Externos.
• Grado satisfacción usuarios.
•Buzónsugerencias/reclamos.
-Aumentar el grado de satisfacción de nuestros clientes. •Encuestas aleatorias.
(usuarios) •Nº de cursos.
-Fidelización Del Alumno Egresado. •Nº de alumnos participantes.
Perspectiva •Nº de egresados que participan en formación continua.
Cliente -Progresar en la relación y en el compromiso de la
•Nº profesores externos en cursos estacionales de Extensión Universitaria.
Universidad con su entorno.
-Asegurar una clara orientación al cliente en los procesos •Nº de profesores por alumno.
educativos, para que la enseñanza se centre en el •Evaluación docente.
estudiante y se valoren los resultados. •Nº de matrículas en cursos efectivamente realizados.
•Nº proyectos financiados con bancos.
Perspectiva -Mejorar la situación Financiera de la USACH. •Nº entidades financieras con las que se dispone de convenio para actividades USACH.
Financiera •Ingresos generados por prestación de servicios sobre el total de ingresos corrientes.
-Optimización de recursos. •Precios Públicos de enseñanzas de grado sobre el total de ingresos corrientes.


3 – Incidencia de la auditoría interna en los SI.

Bibliografía.
El contenido de la presentación es un resumen obtenido de los temas desarrollados en los siguientes libros:
 LIBRO: AUDITORIA EN SISTEMAS COMPUTACIONALES.

AUTOR: CARLOS MUÑOZ RAZO.
AÑO PUBLICACION: 2002.
EDITORIAL: PRENTICE HALL.
 LIBRO: AUDITORIA EN INFORMATICA.

AUTOR: JOSE ANTONIO ECHENIQUE.
AÑO: 2001.
EDITORIA: McGRAW – HiLL.

UNIDAD II – PLANEACIÓN DE LA
AUDITORÍA INFORMÁTICA
Universidad de El Salvador | Auditoría de Sistemas - AUS115

AUS 115 - Unidad 2 PDF

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

AUS 115 - Unidad 2 PDF

Enviado por

Direitos autorais:

Formatos disponíveis

UNIDAD II – PLANEACIÓN DE LA

Planeación de la auditoría informática.

Incidencia de la auditoría interna en los sistemas de información.

Universidad de El Salvador | Auditoría de Sistemas - AUS115 UNIDAD II

La auditoría informática sigue los objetivos tradicionales de

En las auditorias se pueden definir muchas fases diferentes,

Universidad de El Salvador | Auditoría de Sistemas - AUS115 UNIDAD II

Habilidades de los Auditores

Universidad de El Salvador | Auditoría de Sistemas - AUS115 UNIDAD II

P1. Identificar el origen de la E1. Realizar las acciones D1. Analizar la

Universidad de El Salvador | Auditoría de Sistemas - AUS115 UNIDAD II

¿Cuál es el objetivo que se pretende

¿Cuál es alcance que tendrá la esta auditoría?

Universidad de El Salvador | Auditoría de Sistemas - AUS115 UNIDAD II

Universidad de El Salvador | Auditoría de Sistemas - AUS115 UNIDAD II

Universidad de El Salvador | Auditoría de Sistemas - AUS115 UNIDAD II

Universidad de El Salvador | Auditoría de Sistemas - AUS115 UNIDAD II

P.3. Establecer los objetivos y el alcance de la auditoría.

Universidad de El Salvador | Auditoría de Sistemas - AUS115 UNIDAD II

Universidad de El Salvador | Auditoría de Sistemas - AUS115 UNIDAD II

Universidad de El Salvador | Auditoría de Sistemas - AUS115 UNIDAD II

Universidad de El Salvador | Auditoría de Sistemas - AUS115 UNIDAD II

P.6 Identificar y seleccionar los métodos, herramientas, instrumentos y

Universidad de El Salvador | Auditoría de Sistemas - AUS115 UNIDAD II

P.7 Asignar los recursos y sistemas computacionales para la auditoría.

Universidad de El Salvador | Auditoría de Sistemas - AUS115 UNIDAD II

Fase 3. Dictamen de la auditoría informática.

Universidad de El Salvador | Auditoría de Sistemas - AUS115 UNIDAD II

Planeación de la auditoría informática.

Incidencia de la auditoría interna en los sistemas de información.

Universidad de El Salvador | Auditoría de Sistemas - AUS115 UNIDAD II

ITIL COBIT coso

Normas BALANCED CONTROLES

Universidad de El Salvador | Auditoría de Sistemas - AUS115 UNIDAD II

Entre los instrumentos de recopilación de información tenemos:

Universidad de El Salvador | Auditoría de Sistemas - AUS115 UNIDAD II

Técnicas especiales de auditoría:

Universidad de El Salvador | Auditoría de Sistemas - AUS115 UNIDAD II

Es la Organización Enfocada a la Estrategia.

El problema más importante radica en la implementación de la planificación

Ejemplo de Balanced Scorecard para Pizza Hut:

Universidad de El Salvador | Auditoría de Sistemas - AUS115 UNIDAD II

Planeación de la auditoría informática.

Incidencia de la auditoría interna en los sistemas de información.

Universidad de El Salvador | Auditoría de Sistemas - AUS115 UNIDAD II

Universidad de El Salvador | Auditoría de Sistemas - AUS115 UNIDAD II

 LIBRO: AUDITORIA EN SISTEMAS COMPUTACIONALES.

 LIBRO: AUDITORIA EN INFORMATICA.

Universidad de El Salvador | Auditoría de Sistemas - AUS115 UNIDAD II

Você também pode gostar