SEMESTRE ACADÉMICO 2017-2

Auditoria de Sistemas
ING. IVAN CRISPIN SANCHEZ

SESIÓN 1
Auditoría de Sistemas

Agosto 2010
 Origen Etimológico: Auditoria

El origen etimológico de la palabra es el verbo latino

"Audire", que significa "oír".

Esta denominación proviene de su origen histórico, ya

que los primeros auditores ejercían su función juzgando
la verdad o falsedad, sometiendo a su verificación,
principalmente oyendo.
La Auditoria de Sistemas es el conjunto de
técnicas que permiten detectar deficiencias
en las organizaciones y en los sistemas que
se desarrollan u operan en ellas,
incluyendo los servicios externos de
computación, que permitan efectuar
acciones preventivas y correctivas para
eliminar las fallas y carencias que se
detecten.
 ¿Cómo lo hace?
• Se verifica la existencia y aplicación de todas las
normas y procedimientos requeridos para minimizar las
posibles causas de riesgos tanto en las instalaciones y
equipos, como en los programas computacionales y los
datos, en todo el ámbito del Sistema: usuarios,
instalaciones, equipos.

• Las Instituciones efectúan Auditorias de Sistemas, con

la finalidad de asegurar la eficiencia de las
organizaciones de informática, así como la
confiabilidad y seguridad de sus sistemas.
 ASPECTOS A CONTROLAR
O • El Proyecto de Desarrollo de Sistemas esté enmarcado
dentro del Plan General de Sistemas
B
J • El Cronograma del Proyecto sea realista y el Sistema
esté operativo en forma oportuna, de acuerdo a las
E necesidades de la Institución.
T
I • Se aplique la Metodología de Desarrollo de Sistemas

V • Exista un control permanente de la consistencia y

confiabilidad de los Sistemas Informáticos.
O
S • La Calidad del Sistema producido, permita una
óptima operatividad del mismo
 ASPECTOS A CONTROLAR

• La tecnología utilizada sea la más adecuada a los fines

del sistema y permita una vida útil satisfactoria para la
inversión realizada.

• Los Costos, tanto del desarrollo como de su

operación y mantenimiento, sean los planificados y exista
un retorno de la inversión.

• Se hayan logrado los beneficios esperados.

 INSTRUMENTOS DE CONTROL

• Documentación de las Sub-etapas del Desarrollo e

Implantación de Sistemas.
• Reuniones de Revisión Técnica.
• Benchmark o pruebas del sistema.
• Formularios de Control.
 Planeamiento y Diseño de las
Pruebas de Control

• Deben considerar estas pruebas la naturaleza y

extensión de las pruebas de auditoria.
• De acuerdo a esto diseñar el Plan de las pruebas a
ejecutar.
• Finalmente el Diseño de las pruebas de auditoria
 Ejecución y Evaluación de los
resultados de las Pruebas
• Una vez, ejecutadas las pruebas se deberán evaluar los
resultados de las mismas y determinar en qué módulos el
Sistema no es confiable y controles que no posee, que deban ser
imprescindibles.

• Producto de la revisión del Sistema se deberán preparar el

Informe de Auditoria y Control del Sistema.

• El informe preliminar debe ser opinado y recibirse los

comentarios del caso para recién emitir el informe final
 Revisión, Opinión y Seguimiento del
Informe de Auditoria
• Tanto el área usuaria, como el área de sistemas que
desarrolló o administra la operación del Sistema, debe
tener la oportunidad de revisar y opinar sobre el informe
preliminar, de tal forma de asegurar que se están aceptando
las observaciones indicadas.

• Siendo el objetivo de este trabajo que se mejore el sistema y

se superen sus deficiencias para beneficio de la Institución,
se deber, a través de un Registro de Seguimiento, efectuar
el control de las acciones tomadas y las observaciones
superadas.
FUNCIONES DE LA AUDITORÍA DE SI

1) Velar por la eficacia y eficiencia del sistema informático,

de forma que éste alcance con el menor coste posible los
objetivos.

2) Verificar el cumplimiento de las normas y estándares

vigentes en la organización (leyes de firma electrónica, de
protección de datos de carácter personal, de propiedad
intelectual del software, etc.).

3) Supervisar el control interno ejercido sobre los sistemas

de información conducente a la protección de los activos
de información de información de la organización:
recursos humanos, locales e instalaciones,
infraestructuras tecnológicas, sistemas y aplicaciones,
información tributaria.

11
 FUNCIONES

FUNCIONES DE LA AUDITORÍA DE SI (2)

4) Verificar la calidad de los sistemas de información de la

organización y proponer mejoras de los mismos,
coherentes con el proyecto de calidad adoptado por la
organización (cumplimiento de normas de calidad o
modelo de excelencia en gestión).

5) Comprobar e impulsar la seguridad de los sistemas de

información.

12
FUNCIONES

6) Comprobar el cumplimiento de los requerimientos de

negocio de la información, es decir las propiedades que
la información debe tener para optimizar su utilización por
la organización.

7) Analizar la gestión de los riesgos asociados a los

sistemas de información, proponiendo la adopción de
medidas que mejoren el sistema de análisis y gestión de
los riesgos informáticos, o que conduzcan a que los
riesgos sean mitigados, eliminados, compartidos o
aceptados por la organización.

13
 ASPECTOS A REVISAR

➢ La documentación del sistema.

➢ El procedimiento del sistema.
➢ La operatividad del sistema.
➢ Controles del sistema.
➢ Integridad de los datos.
➢ Validez de los resultados.
➢ Seguridad del sistema.
➢ Sistema de Respaldo.
➢ Auditabilidad del sistema.
➢ Efectividad del sistema
 CONTROLES DEL SISTEMA

• Generación del Dato

• Ingreso del Dato
• La Transmisión del Dato
• El Procesamiento del Dato
• Actualización de Archivos
• Emisión de Reportes y Consultas
 INTEGRIDAD DE LOS DATOS

• Adicionalmente a los controles anteriormente mencionados,

para fines de asegurar la integridad de los datos en cuanto a
su completitud y confiabilidad, el sistema debe poseer
programas que rastreen los archivos y determinen
incongruencias y falta de cuadre de la información.

• Debe asimismo, en forma externa, establecerse

procedimientos de comparación de la información producida
por el sistema contra otras informaciones disponibles, para
efectos de determinar la confiabilidad de la información. Dentro
de este aspecto están las circularizaciones de comprobación
de la información del computador con las áreas o personas
involucradas.
 SEGURIDAD DEL SISTEMA

• Seguridad en el acceso a la información: un esquema

global de seguridad de acceso a la información, donde
deben existir para cada área y para cada funcionario.

• Seguridad del sistema: Acceso y Seguridad a los

Programas. Seguridad contra virus y hackers.

• Seguridades Físicas: Los ambientes donde se

procesan los sistemas deben contar con un suministro de
energía eléctrica de calidad, con pozo de línea a tierra,
estabilizadores, UPS, equipos de reemplazo de energía
eléctrica, y extintores contra incendio.
 SISTEMA DE RESPALDO

• Sistema tolerante a fallas.

• Tape-backup.
• Equipo de capacidad similar de respaldo
• Instalador del Sistema o Backup del Sistema. Para ser
llevado a otra instalación en caso de necesitarlo.
• Backup de la Base de Datos por lo menos del turno
anterior. Para recuperación en caso de fallas o caídas.
 AUDITABILIDAD DEL SISTEMA
Todo Sistema debe tener la capacidad de poder ser
auditado, para lo cual debe reunir una serie de
características que lo permitan :

• Contar con la documentación completa.

• Disponer de una biblioteca de pruebas.
• Disponer de Log del Sistema.
• Contar con reportes de auditoria del sistema.
• Contar con reporteadores de base de datos para producir reportes
de cruce de información.
 EFECTIVIDAD DEL SISTEMA

• Uno de los aspectos más importante del sistema, por ser su

razón de ser, es que sea efectivo en conseguir los objetivos y
beneficios esperados, por lo que se deber.

• Efectuar visitas a los usuarios e indagar sobre su opinión

respecto a : su satisfacción de los resultados del sistema y el
grado de confiabilidad que le dan al sistema.

• Evaluar en forma independiente en qué magnitud los

beneficios han sido conseguidos y cuáles son las razones o
limitaciones que impiden que éstos se logren.
 MODALIDADES DE PRUEBAS

• Pruebas de Rutas :También es conocida como prueba de

código. Examina la lógica del programa, para lo cual se
desarrollan casos de prueba que fuercen a probar la ejecución
de todas las instrucciones de cada módulo o ruta de un
programa.

• Pruebas de Especificación :En ésta, se examina el sistema

bajo diferentes situaciones. Que ejecute lo que indican las
especificaciones, bajo casos de pruebas preparados para
dicho fin. Se tratan a los programas como si fueran cajas
negras, sólo siendo de interés de que si se cumplen siempre
las especificaciones, el sistema no falla.
 PRUEBAS ESPECIALES DE
SISTEMA

• Prueba de carga máxima.

• Prueba de almacenamiento.
• Prueba de tiempo de ejecución.
• Prueba de recuperación.
• Prueba de procedimientos.
• Prueba de recursos humanos
Control Interno y Auditoria

Ing. Ivan Crispin Sanchez

Control Interno y Auditoria
Control Interno y Auditoria
Control Interno y Auditoria
Control Interno y Auditoria
Control Interno y Auditoria
 Actividad N° 1
Se solicita lo siguiente:
1. Preparar un mapa conceptual sobre la Auditoria de Sistemas, tomar
como base el material de la 1° sesión.

2. Material deberá preparase en formato PPT (Power Point) y es de

tipo individual.

3. Todos deberán estar preparados para exponer, al azar el docente

seleccionará algunos de los trabajos entregados. Esta actividad se
ejecutará en los primeros 15 minutos (6:15 pm - 6:30 pm).
Se ruega ser puntuales en la asistencia a clases.
 Actividad N° 2

Indicaciones del DOCENTE

 Bibliografia

• PIATTINI Mario y DEL PESO Emilio. Auditoría Informática: Un enfoque

Práctico. 2° Edición. Ed. Alfa Omega. México. 2002. ISBN: 9701503546.