AUDITORIA EN TI

ZURIEL HERNÁNDEZ MORALES

 INSTITUTO TECNOLÓGICO DEL VALLE DE OAXACA

AUDITORIA EN TECNOLOÍAS DE LA INFORMACIÓN

 Alumno: Zuriel Hernández Morales

 Grupo: 7AT
 Carrera: ING. Tecnologías de la información y comunicación
 Fecha: 29 Enero 2019
1. ¿Qué es auditoría?

 “La auditoría es el examen de la información, por una tercera persona

distinta de quién la preparó y de/ usuario, con la intención de establecer
su veracidad; y el dar a conocer los resultados de este examen, con la
finalidad de aumentar la utilidad de tal información para el usuario.
 Porter y Burton: Auditoría : Un análisis Conceptual

 Conceptualmente la auditoria, toda y cualquier auditoria, es la actividad

consistente en la emisión de una opinión profesional sobre si el objeto
sometido a análisis presenta adecuadamente la realidad que pretende
reflejar y/o cumple las condiciones que le han sido prescritas.
 Podemos descomponer este concepto en los elementos fundamentales que a
continuación se especifican:

1) Contenido: Una opinión

2) condición: Profesional
3) justificación: Sustentada en determinados procedimientos
4) objeto: Una determinada información obtenida en un cierto soporte

5) Finalidad: Determinar si presenta adecuadamente la realidad o ésta

responde a las expectativas que le son atribuidas, es decir, su
fiabilidad.

 En todo caso es una función que se acomete a posteriori, en relación con

actividades ya realizadas, sobre las que hay que emitir una opinión.
 AUTOR: Piattini, M. & Del Peso, E. (2001). Auditoría informática: un enfoque
práctico. Pag. 4
2. ¿Qué es auditoria Informática?

 Electronic Data Process EDP (Proceso Electrónico de Datos, PED).

 El término utilizado para Auditoría Informática en el idioma inglés,
particularmente en Estados Unidos es el de Auditing EDP (Auditoría EDP).

 “‘podemos definir la Auditoria PED como la verificación de controles en

tres áreas de la organización Aplicaciones, Desarrollo de sistemas y
Ambiente de proceso de Información. “
 AUTOR: Computer Control & Audit, Mair Wood y Davis
 AUDITORIA INFORMATICA SEGÚN AUTOR: Piattini, M. & Del Peso, E.
(2001). Auditoría informática: un enfoque práctico.
 Es el proceso de recoger, agrupar y evaluar evidencias para determinar si
un sistema informatizado salvaguarda los activos, mantiene la integridad
de los datos, lleva a cabo eficazmente los fines de la organización y
utiliza eficientemente los recursos.
Aplicaciones

 Las aplicaciones incluyen todas fas funciones de Información del negocio,

donde la computadora juegue cualquier rol en el procesamiento. Los
sistemas de aplicación involucran uno o más departamentos de la
organización, así como de operaciones computacionales y de desarrollo
de sistemas.
Desarrollo de Sistemas

 El desarrollo de Sistemas cubre las actividades de los analistas de

sistemas y programadores quienes desarrollan y modifican archivos de
aplicación. programas de computación y otros procedimientos
Ambiente de proceso de información

 El ambiente de proceso de Información Incluye todas las actividades

involucradas en el equipo computacional y archivos. Esto incluye las
operaciones computacionales, la librería de archivos computacionales, el
equipamiento de entrada de datos y distribución de datos.
 La Auditoria EDP es un proceso de recopilación y evaluación de evidencia
para determinar si un sistema computacional salvaguarda los activos,
mantiene integridad de datos, alcanza efectivamente los objetivos
organizacionales y consume eficientemente los recursos…
 En este sentido la Auditoría PED soporta el logro de los objetivos de la
auditoría tradicional: afirmar objetivos (aquellos del auditor externo) que
tienen su atención en la salvaguarda de activos y la integridad de datos, y
objetivos administrativos (aquellos del auditor interno) que abarcan no sólo
lograr los objetivos sino también con efectividad y eficiencia. El proceso de
la Auditoría PED puede ser concebida como la fuerza que ayuda a la
organización a alcanzar mejor estos objetivos…

 AUTOR: Ron Weber “EDP Auditing, Conceptual Foundations and Practice”,

3. ¿Cuántos tipos de auditoria existen?
Explicar en qué consiste cada una.
Clase Contenido Objeto Finalidad
Financiera Opinión Cuentas anuales Presentan realidad
Informática Opinión Sistemas de Operatividad
aplicación, recursos eficiente y según
informáticos, normas
planes de establecidas
contingencia, etc.
Gestión Opinión Dirección Eficacia, eficiencia,
economicidad
Cumplimiento Opinión Normas Las operaciones se
establecidas adecuan a estas
normas

AUTOR: Piattini, M. & Del Peso, E. (2001). Auditoría

informática: un enfoque práctico. Pag. 4
TIPOS SEGÚN: AUTOR: Carlos Muñoz. Auditoría en sistemas
computacionales

 Auditorías por su lugar de aplicación

 Auditoría externa
 Auditoría interna
 Auditorías por su área de aplicación
 Auditoría financiera
 Auditoría administrativa
 Auditoría operacional
 Auditoría integral
 Auditoría gubernamental
 Auditoría de sistemas
 Auditorías especializadas en áreas específicas
 Auditoría al área médica /evaluación médico-sanitaria)
 Auditoría al desarrollo de obras y construcciones (evaluación de ingeniería)
 Auditoría fiscal
 Auditoría laboral
 Auditoría de proyectos de inversión
 Auditoría a la caja chica o caja mayor (arqueos)
 Auditoría al manejo de mercancías (inventarios)
 Auditoría ambiental
 Auditoría de sistemas
 Auditoría de sistemas computacionales
 Auditoría informática
 Auditoría con la computadora
 Auditoría sin la computadora
 Auditoría a la gestión informática
 Auditoría al sistema de cómputo
 Auditoría alrededor de la computadora
 Auditoría de la seguridad de sistemas computacionales
 Auditoría a los sistemas de redes
 Auditoría integral a los centros de cómputo
 Auditoría ISO-9000 a los sistemas computacionales
 Auditoría ergonómica de sistemas computacionales
Definiciones destacadas
AUTOR: Carlos Muñoz. Auditoría en sistemas computacionales

 AUDITORIA EXTERNA
 Es la revisión independiente que realiza un profesional de la auditoria,
con la total libertad de criterio y sin ninguna influencia, con el propósito
de evaluar el desempeño de las actividades, operaciones y funciones que
se realizan en la empresa que lo contrata, así como de la razonabilidad
en la emisión de sus resultados financieros. La relación de trabajo del
auditor es ajena a la institución donde se aplicará la auditoria y esto
permite emitir un dictamen libre e independiente.
 AUDITORIA INTERNA
 Es la revisión que realiza un profesional de la auditoria, cuya relación de
trabajo es directa y subordinada a la institución donde se aplicará la
misma, con el propósito de evaluar en forma interna el desempeño y
cumplimiento de las actividades, operaciones y funciones que se
desarrollan en la empresa y sus áreas administrativas, así como evaluar
la razonabilidad en la emisión de sus resultados financieros. El objetivo
final es contar con un dictamen interno sobre las actividades de toda la
empresa, que permita diagnosticar la actuación administrativa,
operacional y funcional de empleados y funcionarios de las áreas que se
auditan.
 AUDITORIA FISCAL
 Es la revisión exhaustiva, pormenorizada y completa que se realiza a los
registros y operaciones contables de una empresa, así como la evaluación
de la correcta elaboración de los resultados financieros de un ejercicio
fiscal, con el propósito de dictaminar sobre el correcto ejercicio
financiero y la razonabilidad en la presentación d los estados de
resultados y, como consecuencia de ello, comprobar el correcto pago de
los impuestos y demás contribuciones tributarias, tanto de la empresa
como de sus empleados, acreedores y compradores.
 AUDITORÍA ADMINISTRATIVA
 Es la revisión sistemática y exhaustiva que se realiza a la actividad
administrativa de una empresa, en cuanto a su organización, las
relaciones entre sus integrantes y el cumplimiento de las funciones y
actividades que regulan sus operaciones. Su propósito es evaluar tanto el
desempeño administrativo de las áreas de la empresa, como la
planeación y control de los procedimientos de operación, y los métodos y
técnicas de trabajo establecidos en a institución, incluyendo la
observancia de las normas, políticas y reglamentos que regulan el uso de
todos sus recursos.
 AUDITORÍA LABORAL
 Es la revisión y evaluación especializada que se realizan a las
actividades, funciones y operaciones relacionadas
 con el factor humano de una empresa; su propósito es dictaminar sobre
el adecuado cumplimiento en la selección, capacitación y desarrollo del
personal, la correcta aplicación de las prestaciones sociales y
económicas, el establecimiento de las medidas de seguridad e higiene en
la empresa, la elaboración de los contratos colectivos e individuales de
trabajo, los reglamentos internos de trabajo, normas de conducta y
demás actividades que intervienen en la gestión de personal de una
empresa.
 AUDITORIA AMBIENTAL
 Es la evaluación que se hace de la calidad del aire, la atmósfera, el
ambiente, las aguas, ríos, lagos y océanos, asi como de la conservación
de la flora y la fauna silvestres, con el fin de dictaminar sobre las
medidas preventivas y, en su caso, correctivas que se disminuyan y eviten
la contaminación provocada por los individuos, las empresas, los
automotores y las maquinarias, y así preservar la naturaleza y mejorar la
calidad de vida de la sociedad.
 AUDITORÍA INFORMÁTICA
 Es la revisión técnica, especializada y exhausta que se realiza a los
sistemas computacionales, software e información utilizados en una
empresa, sean individuales, compartidos y/o de redes, así como a sus
instalaciones, telecomunicaciones, mobiliario, equipos periféricos y
demás componentes. Dicha revisión se realiza de igual manera a la
gestión informática, el aprovechamiento de sus recursos, las medidas de
seguridad y los bienes de consumo necesarios para el funcionamiento del
centro de computo. El propósito fundamental es evaluar el uso adecuado
de los sistemas para el correcto ingreso de los datos, el procesamiento
adecuado de la información y la emisión oportuna y usuarios involucrados
con los servicios que proporcionan los sistemas computacionales a la
empresa.
 AUDITORÍA SISTEMAS DE CÓMPUTO
 Es la auditoría técnica y especializada que se enfoca únicamente a la
evaluación del funcionamiento y uso correcto del equipo de cómputo, su
hardware, software y periféricos asociados. Esta auditoria también se
realiza a la composición y arquitectura de las partes físicas y demás
componentes dl hardware, incluyendo equipos asociados, instalaciones y
comunicaciones internas o externas, así como el diseño, desarrollo y uso
del software de operación, de apoyo y de aplicación, ya sean sistemas
operativos, lenguajes de procesamiento y programas de desarrollo, o
paquetería de aplicación institucional que se utiliza en la empresa donde
sen encuentra el equ9ipo de computo que será evaluado.
 AUDITORIA A LOS SISTEMAS DE REDES
 Es la revisión exhaustiva, especifica y especializada que se realiza a los
sistemas de redes de una empresa, considerando en la evaluación de los
tipos de redes, arquitectura, topología, sus protocolos de comunicación,
las conexiones, accesos, privilegios, administración y demás aspectos que
repercuten en su instalación, administración, funcionamiento y
aprovechamiento. Es también la revisión del software institucional, de
los recursos informáticos e información de las operaciones, actividades y
funciones que permiten compartir las bases de datos, instalaciones,
software y hardware de un sistema de red.
4. ¿Cuáles con los principios aplicados
a los auditores informáticos?
 Principio de calidad
 El auditor deberá prestar sus servicios a tenor de las posibilidades de la
ciencia y medios a su alcance con absoluta libertad respecto a la
utilización de dichos medios y en unas condiciones técnicas adecuadas
para el idóneo cumplimiento de su labor.
 Principio de capacidad
 El auditor debe estar plenamente capacitado para la realización de la
auditoría encomendada, maximice teniendo en cuenta que, a los
auditados en algunos casos les puede ser extremadamente difícil
verificar sus recomendaciones y evaluar correctamente la precisión de
las mismas.
 Principio de cautela
 El auditor debe en todo momento ser consciente de que sus
recomendaciones deben estar basadas en la experiencia contrastada que
se le supone tiene adquirida, evitado que. por un exceso de vanidad, el
auditado se embarque en proyectos de futuro fundamentados en simples
intuiciones sobre la posible evolución de las nuevas tecnologías de la
información.
 Principio de comportamiento profesional
 El auditor, tanto en sus relaciones con el auditado como con terceras
personas deberá, en todo momento, actuar conforme a las normas,
implícitas o explícitas, de dignidad de la profesión y de corrección en el
trato personal.
 Principio de concentración en el trabajo
 En su línea de actuación, el auditor deberá evitar que un exceso de
trabajo supere sus posibilidades de concentración y precisión en cada
una de las tareas.
 PRINCIPIO DE CONFIANZA
 El auditor deberá facilitar e incrementar la confianza del auditado en
base a una actuación de transparencia en su actividad profesional sin
alardes científicos-técnicos que, por su incomprensión, puedan restar
credibilidad a los resultados obtenidos y a las directrices aconsejadas de
actuación.
 PRINCIPIO DE CRITERIO PROPIO
 El auditor durante la ejecución deberá actuar con criterio propio y no
permitir que esté subordinado al de otros profesionales, aun de reconocido
prestigio, que no coincidan con el mismo.
 PRINCIPIO DE DISCRECIÓN •El auditor deberá en todo momento mantener
una cierta discreción en la divulgación de datos, aparentemente inocuos,
que se le hayan puesto de manifiesto durante la ejecución de la auditoria
 PRINCIPIO DE ECONOMÍA •El auditor deberá proteger, en la medida de sus
conocimientos, los derechos económicos del auditado evitando generar
gastos innecesarios en el ejercicio de su actividad. •De igual forma, el
auditor deberá tener en cuenta la economía de medios materiales o
humanos, eludiendo utilizar aquellos que no se precisen, lo que redundará
en reducciones de gastos no justificados. En las recomendaciones y
conclusiones realizadas en base a su trabajo deberá así mismo eludir, incitar
o proponer actuaciones que puedan generar gastos innecesarios o
desproporcionados.
 PRINCIPIO DE FORMACIÓN CONTINUADA •Este principio impone a los
auditores el deber y la responsabilidad de mantener una permanente
actualización de sus conocimientos y métodos a fin de adecuarlos a las
necesidades de la demanda y a las exigencias de la competencia de la
oferta.
 PRINCIPIO DE FORTALECIMIENTO Y RESPETO DE LA PROFESIÓN •La
defensa de los auditados pasa por el fortalecimiento de la profesión de
los auditores informáticos, lo que exige un respeto por el ejercicio,
globalmente considerado, de la actividad desarrollada por los mismos y
un comportamiento acorde con los requisitos exigibles para el idóneo
cumplimiento de la finalidad de las auditorias. •El auditor como
integrante de un grupo profesional beberá promover el respeto mutuo y
la no confrontación entre compañeros.
 PRINCIPIO DE INDEPENDENCIA •Este principio, muy relacionado con el
principio de criterio propio, obliga al auditor, tanto si actúa como
profesional externo o con dependencia laboral respecto a la empresa en
la que deba realizar la auditoria informática, a exigir una total
autonomía e independencia en su trabajo, condición esta imprescindible
para permitirle actuar libremente según su leal saber y entender.
 PRINCIPIO DE INFORMACIÓN SUFICIENTE •Este principio obliga al
auditor a ser plenamente consciente de su obligación de aportar, en
forma pormenorizada, clara, precisa e inteligible para el auditado,
información tanto sobre todos y cada uno de los puntos relacionados con
la auditoria que puedan tener algún interés para el, como sobre las
conclusiones a las que a llegado.
 PRINCIPIO DE INTEGRIDAD MORAL •Este principio, inherentemente
ligado a la dignidad de la persona, obliga al auditor a ser honesto, leal y
diligente en el desempeño de su misión, a ajustarse a las normas morales
de justicia y prioridad, y a evitar participar, voluntaria o
inconscientemente, en cualquier acto de corrupción personal o de
terceras personas.
 PRINCIPIO DE LEGALIDAD •La primacía de esta obligación exige del
auditor un comportamiento activo de oposición a todo intento, por parte
del auditado o de terceras personas, tendente a infringir cualquier
precepto integrado en el derecho positivo.
 PRINCIPIO DE LIBRE COMPETENCIA •La actual economía de mercado
exige que el ejercicio de la profesión se realice en el marco de la libre
competencia siendo rechazables, por tanto, las prácticas colusorias
tendentes a impedir o limitar la legitima competencia de otros
profesionales y las prácticas abusivas consistentes en el aprovechamiento
en beneficio propio, y en contra de los intereses de los auditados, de
posiciones predominantes.
 PRINCIPIO DE NO DISCRIMINACIÓN •El auditor en su actuación previa,
durante y posterior a la auditoria deberá evitar cualquier tipo de
condicionantes personalizados y actuar en todos los casos con similar
diligencia, su actuación deberá mantener una igualdad de trato
profesional con la totalidad de personas con las que en virtud de su
trabajo tenga que relacionarse.
5. ¿Cuáles son las responsabilidades
de los administradores de T.I.?
 La Auditoría a la Gestión de TI, de Informática, o de Sistemas se orienta
básicamente a la verificación, examen y evaluación de la administración
y control de las operaciones en las Áreas de TI, Informáticas o Centros de
Cómputo, con el propósito de determinar el grado de economía,
eficiencia y eficacia con que se están alcanzando las metas y objetivos;
vigilando además que el manejo y aplicación de los recursos asignados
(humanos, técnicos, financieros e información), responda a las políticas,
objetivos y proyectos vigentes en la empresa.
 La mayoría de las operaciones y sistemas de administración y control, son
procedimientos que se encuentran relacionados a la utilización,
optimización y mantenimiento de los recursos del centro de cómputo
(incluyendo la adquisición y/o desarrollo de los recursos y su
modificación, así como la utilización de servicios de procesamiento
externo).
 Revisar y evaluar la planeación estratégica de sistemas con el fin de
determinar su congruencia con las metas y objetivos de la empresa en
cuestión.
 Revisar y evaluar los sistemas de operación, registro, control e
información, con el fin de determinar si funcionan adecuadamente en los
términos de las disposiciones aplicables y si contribuyen a alcanzar las
metas y objetivos previstos, así como proponer recomendaciones que
propicien el mejor desarrollo de las actividades auditadas.
 Evaluar la economía, eficiencia y eficacia con que se logran las metas en
relación con los presupuestos asignados (para que puedan medirse la
eficiencia y eficacia, es necesario que los recursos empleados, las metas
y logros alcanzados, se expresen en términos cuantitativos).
 Asegurar el establecimiento de criterios que respondan principalmente a:
la racionalidad en la obtención y manejo de los recursos en términos de
calidad, cantidad, oportunidad, utilidad y precio; el aprovechamiento
pleno de la realización de esfuerzos evitando duplicidades o tareas
innecesarias, y garantizar que la cantidad de personal asignado a las
labores sea suficiente y en ningún caso excesiva que propicie prácticas
ociosas.
 AUTOR: JOAQUÍN RUPERTOMORALES URIBE. AUDITORIA DE TECNOLOGÍAS
DE INFORMACIÓN
6. ¿Cuáles son las responsabilidades
de los Auditores de T.I.?
7. ¿A qué se refiere el control interno?

 Se puede definir el control interno como cualquier actividad o acción

realizada manual y/o automáticamente para prevenir, corregir errores o
irregularidades que puedan afectar al funcionamiento de un sistema para
corregir sus objetivos.
 AUTOR: Piattini, M. & Del Peso, E. (2001). Auditoría informática: un
enfoque práctico.
8. ¿cuantos tipos y modelos existen?,
explicar cada uno
 Controles preventivos: para tratar de evitar el hecho, coma un software
de seguridad que impida los accesos no autorizados al sistema.
 Controles detectivos: cuando fallan los preventivos para tratar de
conocer cuanto antes el evento. Por ejemplo, el registro de intentos de
acceso no autorizados, el registro de la actividad diaria para detectar
errores u omisiones, etc.
 Controles correctivos: facilitan la vuelta a la normalidad cuando se han
producido incidencias. Por ejemplo, la recuperación de un archivo
dañado a partir de las copias de seguridad.
 1. controles generales organizativos: se tratan de políticas para un
control y evaluación. Se planifican estrategias por medio de análisis
contemplando la seguridad física y lógica. Procedimientos y estándares.
 2. controles de desarrollo, adquisición y mantenimiento de sistemas de
información: Para que permitan alcanzar la eficacia del sistema,
economía y eficiencia, integridad de los datos, protección de los recursos
y cumplimiento con las leyes y regulaciones.
 3. controles de explotación de sistemas de información: planificación y
gestión de recursos, control para usar de manera efectiva los recursos en
computadores. Selección de software, instalación del sistema,
mantenimiento de seguridad y control de cambios. Se contempla
seguridad física y lógica.
 4. controles en aplicaciones: cada aplicación debe de llevar controles
incorporados para garantizar la entrada, actualización, validez y
mantenimiento completos y exactos de los datos. Control de
entrada/salida y tratamiento de datos.
 5. controles específicos de ciertas tecnologías: Control en sistemas de
gestión de base de datos. Prever el acceso a la estructuración y control
sobre los datos compartidos, de tal modo que se asegure la integridad
del software.
 AUTOR: Piattini, M. & Del Peso, E. (2001). Auditoría informática: un
enfoque práctico.
9. ¿Cuáles son las funciones del control
interno y la auditoria informática?

 Su misión es asegurarse de que las medidas que se obtienen de los

mecanismos implantados por cada responsable sean correctas y válidas.
 controlar diariamente que todas las actividades de sistemas de
información sean realizadas cumpliendo los procedimientos, estándares y
no normas fijados por la Direcciones de la Organización y/o la Dirección
de Informática. Así como los requerimientos legales.
 Controlar que todas las actividades se realizan cumpliendo los
procedimientos y normas fijados, evaluar su bondad y asegurarse del
cumplimiento de las normas legales.
 Asesorar sobre el conocimiento de las normas.
 Colaborar y apoyar el trabajo de Auditoria Informática, así como de las
auditorías externas al Grupo.
 Definir, implantar y ejecutar mecanismos y controles para comprobar el
logro de los grados adecuados del servicio informática, lo cual no debe
considerarse como que la implantación de los mecanismos de medida y la
responsabilidad del logro de esos ni se les se ubique exclusivamente en la
función de Control Interno, sino que cada responsable de objetivos y
recursos es responsable de esos niveles, así como de la implantación de los
medios de medida adecuados.
 FUNCIONES DEL AUDITOR
 Participar en las revisiones durante y después del diseño, realización,
implantación y explotación de aplicaciones informativas, así como en las
fases análogas de realización de cambios importantes.
 Revisar y juzgar los controles implantados en los sistemas informativos
para verificar su adecuación a las órdenes e instrucciones de la
Dirección, requisitos legales, protección de confidencialidad y cobertura
ante errores y fraudes.
 Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de
los equipos e información.
 AUTOR: Piattini, M. & Del Peso, E. (2001). Auditoría informática: un
enfoque práctico.
PALABRAS TECNICAS SIGNIFICADO O ACEPCIÓN FUENTE
Normas legales
PED La Auditoria PED es la Mair Wood y Davis
verificación de controles
en tres áreas de la
organización Aplicaciones,
Desarrollo de sistemas y
Ambiente de proceso de
Información.

Sistemas de información
Sistemas de información
Tecnologías de información Engloba términos de Joaquín Ruperto Morales
tecnología, Uribe
telecomunicaciones,
comunicación a distancia e
informática.
 TABLA COMPARATIVA: TIPO DE AUDITORIAS
TIPO SIGNIFICADO O VENTAJAS DESVENTAJAS
ACEPTACIÓN