Universidad Interamericana para el Desarrollo

Sede Taxqueña

Ingeniería en Sistemas de Información

Proyecto Final

Alumno:

Miguel Ángel González Herrera

Maximiliano García Flores
Profesor:

José Vicente Martínez Santos

Marzo 2018
Auditoría
El primer término que definir es Auditoría. Según la ISO 19011, Auditoría es: “el
proceso sistémico, independiente y documentado para obtener evidencias y
evaluarlas de manera objetiva con el fin de determinar la extensión en que se
cumplen los criterios establecidos” (ISO, 2012).
Existen auditorías de diferentes tipos que son aplicadas a las empresas,
regularmente cada una de ellas se hacen por áreas. Por ejemplo, existen
auditorías fiscales, contables, financieras, sociables, de calidad, de operaciones,
entre otras más.

Razones para implementar una auditoría

Situaciones que podrían indicar la necesidad de una auditoría son (Ynfante, 2010):
1. Aumento considerable e injustificado del presupuesto del PAD
(Departamento de Procesamiento de Datos)
2. Desconocimiento de información en áreas de la empresa.
3. Falta total o parcial de seguridades lógicas y físicas que garanticen la
integridad del personal, equipos e información.
4. Descubrimiento de fraudes efectuados con el computador.
5. Falta de una planificación por carencia de información oportuna.
6. Descontento de los clientes por incumplimiento de plazos y mala calidad de
los resultados.
Los organismos que se ocupan del control y de la auditoría de SI
Algunos de los principales organismos que sirven como fuentes de estándares
para realizar auditorías son:
 ISACA – Asociación de Auditoría y Control de Sistemas de Información
 ISO – Organización Internacional para la estandarización.
 NIST – Instituto Nacional de Estándares y Tecnología de los Estados
Unidos.
Metodología
En la actualidad existen tres tipos de metodologías de auditoría, ROA. (risk
oriented approach, Checklist o cuestionarios y auditoría de productos).
La metodología que a continuación se presenta es la más usada y general. Todo
el proceso se divide en tres partes: Planeación, ejecución y dictamen.
La planeación de la auditoría del sistema de información de una empresa consiste
en identificar el origen de la auditoría, es decir donde será el lugar por el cual se
ha de iniciar, posteriormente se debe de realizar una visita preliminar del área.
Después se prosigue a establecer los objetivos que queremos alcanzar,
determinar los puntos que serán evaluados en la auditoría y elaborar planes,
programas y presupuestos para su realización. Luego se deben de identificar y
seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios
para la auditoría y asignar los recursos y sistemas que serán de utilidad para la
auditoría.
La segunda parte consiste la ejecución, aquí se realizan las acciones
programadas para la Auditoría, se aplican los instrumentos y herramientas
establecidos y si se requiere se elaboran documentos de oportunidades
de mejoramiento encontradas y se prosigue al análisis de la información obtenida.
Dentro de las técnicas y herramientas que se pueden usar están: la observación,
entrevistas, cuestionarios, encuestas, checklists y controles de inventario.
La tercera y última parte es el dictamen. En esta fase se presentan los resultados
obtenidos.

Objetivos
Los objetivos de esta auditoría son:
 Salvaguardar los activos útiles para el procesamiento de datos, evitando
robos, destrucción, usos no adecuados.
 Mantener la integridad de los datos.
 Mediante la contribución de la información que se maneja en la empresa,
alcanzar las metas organizacionales.
Porque auditar
Si la empresa quiere mejorar por ejemplo la calidad del producto software necesita
una auditoría de producto software, exista norma o no. Y si las hace un auditor
experto en el tema, que aporte valor.

Razones por la que se hacen las auditorias

Obtienes conocimiento y opinión experta de una persona externa, independiente, y

que ve las cosas sin estar “contaminado” por del día a día de tu empresa.
Además, si esa persona es experta en aquello que audita (cosa que siempre
debería suceder), te puede ayudar mucho y darte muchas ideas, ya que
normalmente los auditores han visto decenas de empresas y decenas de maneras
de afrontar un problema.

Fijas un hito en el tiempo (anual, semestral, etc.) en el que tener listas las mejoras.
A todos nos come el día a día, sabemos que tenemos cosas que mejorar pero
muchas veces las vamos postergando por las cosas urgentes que van saliendo, y
cuando nos damos cuenta han pasado meses, años, y aún no hemos afrontado
esa mejora que necesitaba la empresa. Cuando fijas una auditoría anual fuerzas a
todo el equipo tener mejoras antes de la fecha de la auditoría, lo que evita
postergar cosas importantes debido a las urgentes del día a día.

Motivación. Sí, porque aunque la gente se asuste frente a una auditoría, no hay
nada más motivador que superarla, y que alguien externo y objetivo reconozca el
trabajo bien hecho. Esto refuerza la confianza y motivación de tu equipo.

Reconocimiento. Ya que si tu auditor y/o organización que te audita tienen nombre

en el sector, superar una auditoría es un reconocimiento para tu empresa y un
valor añadido que mostrar a tus clientes.
¿Cuál es el rol de un Auditor Informático?

- El auditor deberá ver cómo se puede conseguir la máxima eficacia y rentabilidad

de los medios informáticos de la empresa auditada, estando obligado a presentar
recomendaciones acerca del reforzamiento del sistema y el estudio de las
soluciones más idóneas según los problemas detectados en el sistema informático
de esta última.

- En ningún caso está justificado que realice su trabajo el prisma del propio
beneficio.

- Cualquiera actitud que se anteponga intereses personales del auditor a los del
auditado deberá considerarse como no ética.

- Para garantizar le beneficio del auditado como la necesaria independencia del

auditor, este último deberá evitar estar ligado en cualquier forma, a intereses de
determinadas marcas, productos o equipos compatibles con los de su cliente.

- La adaptación del auditor al sistema del auditado debe implicar una cierta
simbiosis con el mismo, a fin de adquirir un conocimiento pormenorizado de sus
características intrínsecas.

- Únicamente en los casos en el que el auditor dedujese la imposibilidad de que el

sistema pudiera acomodarse a las exigencias propias de su cometido, este podrá
proponer un cambio cualitativamente significativo de determinados elementos o
del propio sistema informático globalmente contemplado.

- Una vez estudiado el sistema informático a auditar, el auditor deberá establecer

los requisitos mínimos, aconsejables y óptimos para su adecuación a la finalidad
para la que ha sido diseñado.

- El auditor deberá lógicamente abstenerse de recomendar actuaciones

innecesariamente onerosas, dañinas o que generen riesgos injustificados para el
auditado.
- Una de las cuestiones más controvertidas, respecto de la aplicación de este
principio, es la referente a facilitar el derecho de las organizaciones auditadas a la
libre elección del auditor.

- Si el auditado decidiera encomendar posteriores auditorías a otros profesionales,

éstos deberías poder tener acceso a los informes de los trabajos profesionales,
éstos deberían poder tener acceso a los informes de los trabajos anteriormente
realizados sobre el sistema del auditado.

Auditorias en la delegación de Coyoacán

En todas las áreas administrativas y no administrativas se hacen auditorias, el

tiempo en que las hacen varea una área de la otra, pueden ser de 3 a 4 auditorías.
Esto con la finalidad de que todo lo que se está trabajando se haga de la forma
correcta, y no tener algún fraude, esta auditorias se hacen por parte Contraloría
interna, contraloría externa y asamblea legislativa del distrito federal.
Existen diferentes etapas en la auditoría:
Primera etapa: te hacen un cuestionario (vía internet u oficio) donde preguntan el
uso de diversas cosas por lo general el dinero que se maneja.
Segundo Etapa: se realiza una supervisión física para verificar en la procedencia
del dinero y todo el equipo y herramientas de trabajo
Fase finase: Emiten las recomendaciones en caso de existir inconsistencias en la
procedencia del dinero y el equipo de trabajo.

Conclusión
La auditoría de los Sistemas de Información es muy importante,
desafortunadamente muchas de las empresas visualizan este proceso como un
requisito obligatorio que les hace perder tiempo y dinero, cuando la realidad es
que este proceso ayuda a las organizaciones a mantenerse en el camino hacia
sus objetivos. La información que un sistema brinda es un recurso clave en la
empresa para planear el futuro, controlar el presente y evaluar el pasado.
La auditoría de los Sistemas de Información puede realizarse por una persona
externa a la empresa o por algún empleado interno, siempre y cuando cumpla con
ser objetivo.
Es importante que al terminar la auditoría, los resultados obtenidos tengan un
seguimiento, ya que si no se busca solucionar los problemas no se cumpliría con
el objetivo de realizarla.
Algunas empresas multinacionales como Paypal, emplean el proceso de auditoría
periódicamente, ya que ellos están interesados en mantener funcionando
correctamente su Sistema de Información, un fallo significaría pérdidas de clientes
y de la buena reputación que han logrado.