Ing. Elizabeth Guerrero

Llevar a cabo una auditoría de sistemas
computacionales requiere una serie ordenada
de:
◦ acciones y procedimientos específicos, los cuales
deberán ser diseñados previamente de manera:
 secuencial,
 cronológica y
 ordenada,
◦ de acuerdo a:
 Las etapas, eventos y actividades que se requieran
para su ejecución


La metodología es necesaria para que un
equipo de profesionales alcance un resultado
homogéneo tal como si lo hiciera uno sólo.
Por ello, resulta habitual el uso de
metodologías en las empresas
auditoras/consultoras profesionales
(desarrolladas por los más expertos) para
conseguir resultados similares (homogéneos)
en equipos de trabajo diferentes
(heterogéneos).


Método: “modo prescrito para
ejecutar una tarea o trabajo
determinado, por el cual se
pretende alcanzar un objetivo
establecido.
Metodología: “estudio de los métodos que se
siguen en una investigación, un conocimiento
o una interpretación.

Planeación: es el
proceso de decidir
de antemano qué
se hará y de qué
manera se hará.
Misiones globales
Resultados
Objetivos Espec.
Politicas, Prog, Proced

Acciones
Tiempo
(futuro)
Medios
(recursos)
Plan: es un instrumento
diseñado para alcanzar
determinados objetivos,
donde se definen
espacio, tiempo y
medios utilizables para
su alcance

Programa: conjunto
estructurado de diversas
actividades al cual se le
asignan recursos
humanos, materiales y
financieros, indicando la
secuencia cronológica y los
tiempos de duración de
dichos pasos
Presupuesto: “estimación programada en forma sistemática de los
ingresos y egresos que maneja un organismo en un período
determinado; puede considerarse como un plan de acción en términos
monetarios y cuyo ejercicio abarca generalmente un año de actividad”

Conocer la organización objeto de Auditoría
◦ Cantidad de empleados, tipo de información que
maneja la organización, contexto donde la empresa
está funcionando, …
◦ Información de la empresa y de su centro de datos
(departamento de informática)
1.
2.
3.
4.
•Identificar el origen de la auditoría
•Realizar visita preliminar al área que será evaluada
•Establecer objetivos de la auditoría
•Determinar los puntos que serán evaluados en la auditoría
5.
•Elaborar planes, programas y presupuestos para realizar la
auditoría
6.
•Identificar y seleccionar los métodos, herramientas, instrumentos y
procedimientos necesarios para la auditoría
7.
•Asignar recursos y sistemas computacionales para la auditoría







Por solicitud expresa de procedencia interna
Por solicitud expresa de procedencia externa
Como consecuencia de emergencias y
condiciones especiales
Por riesgos y contingencias informáticas
Como resultados de los planes de
contingencia
Por resultados obtenidos de otras auditorías
Como parte del programa integral de
auditoría

Visita preliminar de arranque:
◦ ¿Cómo se encuentran distribuidos los sistemas en
el área?
◦ ¿Cuántos, cuáles, cómo y de qué tipo son los
equipos que están instalados en el centro de
sistemas?
◦ ¿Cuáles son las principales características físicas de
los sistemas que serán auditados?
◦ ¿Cómo reacciona el personal ante la visita del
auditor?
◦ ¿Qué limitaciones se observan para realizar la
auditoría?

Establecer los objetivos de la auditoría:
◦ Objetivo general
◦ Objetivos particulares
◦ Objetivos específicos

Determinar los puntos que serán evaluados
en la auditoría
◦ Evaluación de las funciones y actividades del
personal en el área de sistemas
◦ Evaluación de las áreas y unidades administrativas
del centro de computo
◦ Evaluación de la seguridad de los SI
◦ Evaluación de la información, documentación y
registros de los sistemas
◦ Evaluación del hardware
◦ Evaluación del software
◦ Evaluación de la información y bases de datos

Elaborar planes, programas y presupuestos
que serán utilizados:
◦ Elaborar el documento formal de los planes de
trabajo para la auditoría
◦ Elaborar los programas de actividades para realizar
la auditoría
◦ Elaborar los presupuestos para la auditoría

Identificar y seleccionar los métodos,
herramientas, instrumentos y procedimientos
necesarios para la auditoría
◦ Establecer la guía de ponderación de los puntos que
serán evaluados
◦ Elaborar la guía de la auditoría
◦ Elaborar los documentos necesarios para la
auditoría (encuestas, cuestionarios, entrevistas)
◦ Determinar herramientas, métodos y
procedimientos para la auditoría

Asignar recursos y sistemas computacionales
para la auditoría
◦
◦
◦
◦
Recursos Humanos
Recursos informáticos y tecnológicos
Recursos materiales y de consumo
Otros recursos necesarios (viaticos, pasajes,…)
Realizar las acciones programadas para la
auditoría
Aplicar los instrumentos y
herramientas para la
auditoría
Aplicar los recursos y
actividades conforme a los
planes y programas
Recopilar la documentación y
evidencias de la auditoría
Identificar y elaborar los documentos de desviaciones
Integrar los papeles de trabajo de
la auditoría

Integrar los documetos y pruebas
en papeles de trabajo
Evidencias
◦
◦
◦
◦
◦
Puntos débiles del sistema
Puntos fuertes
Riesgos Eventuales
Posibles oportunidades
Posibles soluciones y mejoras
Elaborar los documentos y presentarlos a discusión
Elaborar el borrador de las desviaciones




Carta de presentación del informe
Resumen del informe
Elaborar el dictamen final
Presentación del informe de auditoría

Estructura del informe final:
◦ El informe comienza con la fecha de comienzo
de la auditoría y la fecha de redacción del
mismo.
◦ Se incluyen los nombres del equipo
auditor y los nombres de todas las
personas entrevistadas, con indicación del
departamento, responsabilidad y puesto
de trabajo que ostente.
◦ Definición de objetivos y alcance de la
auditoría.

Cuerpo expositivo:
a. Situación actual.
b. Tendencias
c. Puntos débiles y amenazas.
• Cuando se trate de una revisión periódica, en la
que se analiza no solamente una situación sino
además su evolución en el tiempo, se expondrá
la situación prevista y la situación real.
• Se tratarán de hallar parámetros que permitan
establecer tendencias futuras.
• Se establecen los puntos débiles y amenazas
encontradas durante la auditoría
d. Recomendaciones y planes de • Constituyen junto con la exposición de puntos
débiles, el verdadero objetivo de la auditoría
acción.
informática.
Carta de Presentación
• e. Redacción posterior de la Carta de Introducción
o Presentación.



El informe debe incluir solamente hechos importantes.
El Informe debe consolidar los hechos que se describen en el mismo.
El término de "hechos consolidados" adquiere un especial significado
de verificación objetiva y de estar documentalmente probados y
soportados. La consolidación de los hechos debe satisfacer, al menos
los siguientes criterios:
◦ El hecho debe poder ser sometido a cambios.
◦ Las ventajas del cambio deben superar los inconvenientes
derivados de
◦ mantener la situación.
◦ No deben existir alternativas viables que superen al cambio
propuesto.
◦ La recomendación del auditor sobre el hecho debe mantener o
mejorar las normas y estándares existentes en la instalación.
◦ La aparición de un hecho en un informe de auditoría implica
necesariamente la existencia de una debilidad que ha de ser
corregida.
•-

Flujo del
hecho o
debilidad:
Ha de ser relevante para el auditor y pera el cliente.
1 – Hecho encontrado.
•- Ha de ser exacto, y además convincente.
2 – Consecuencias del
hecho
•- Las consecuencias deben redactarse de modo que sean
directamente deducibles del hecho.
•- No deben existir hechos repetidos.
•- Se redactará las influencias directas que el hecho
pueda tener sobre otros aspectos informáticos u otros
ámbitos de la empresa.
3 – Repercusión del
hecho
4 – Conclusión del hecho
•- No deben redactarse conclusiones más que en los
casos en que la exposición haya sido muy extensa o
compleja.
•- Deberá entenderse por sí sola, por simple lectura.
5 – Recomendación del
auditor informático
•- Deberá estar suficientemente soportada en el propio texto.
•- Deberá ser concreta y exacta en el tiempo, para que pueda ser verificada su
implementación.
•- La recomendación se redactará de forma que vaya dirigida expresamente a la
persona o personas que puedan implementarl








La carta de introducción tiene especial importancia porque en
ella ha de resumirse la auditoría realizada. Se destina
exclusivamente al responsable máximo de la empresa, o a la
persona concreta que encargo o contrato la auditoría.
La carta de introducción poseerá los siguientes atributos:
· Tendrá como máximo 4 folios.
· Incluirá fecha, naturaleza, objetivos y alcance.
· Cuantificará la importancia de las áreas analizadas.
· Proporcionará una conclusión general, concretando las
áreas de gran debilidad.
· Presentará las debilidades en orden de importancia y
gravedad.
· En la carta de Introducción no se escribirán nunca
recomendaciones.
Descargar

Metodología para realizar auditoría de Sistemas Computacionales