Auditotía y Gestión de Procesos

AUDITORÍA DE
INFORMÁTICA O
DE SISTEMAS

Docente: Castillo Carrillo, José Javier.

INTEGRANTES
GRUPO 7 01 Alzamora Soldevilla, Guillermo.

02 Coronado Valdez, Erick.

03 Delgado Pérez, Dayanna.

04 Llacsahuanga Ticliahuanca, Selenia.

05 Salazar Ramos, Alejandra.

CONCEPTO
Según la definición de Eurípides Rojas, "La
auditoría de sistemas es la parte de la auditoría
interna que se encarga de llevar a cabo la
evaluación de normas, controles, técnicas y
procedimientos que se tienen establecidos en una
empresa para lograr confiabilidad, oportunidad,
seguridad y confidencialidad de la información que
se procesa a través de computadores; es decir, en
estas evaluaciones se está involucrando tanto los
elementos técnicos como humanos que
intervienen en el proceso de la información".
 OBJETIVOS
Evaluar las políticas generales de orden técnico con
respecto al softw^are, hardware, desarrollo,
implantación, operación y mantenimiento de sistemas
de información
Evaluar las políticas generales sobre seguridad física
con respecto a instalaciones, personal, equipos,
documentación, back-ups, pólizas y planes de
contingencias.
Evaluar los recursos informáticos de la empresa con
énfasis en su nivel tecnológico, producción de software
y aplicaciones más comúnmente utilizadas.
Asesorar a la gerencia y altos directivos de la empresa
en lo relacionado con los sistemas de información
Efectuar un análisis sobre la concepción,
implementación y fimcionalidad de la seguridad
aplicada a los sistemas de infonnación.
Analizar los componentes del costo involucrado en la
sistematización de los diferentes procesos.
 CARACTERÍSTICAS
El Control debe ser ejecutado frecuentemente para que permita
01 identificar las desviaciones a tiempo y poder tomar las acciones
correctivas oportunamente.

Debe ser económico, es decir, los beneficios que arroje deben ser
02 superiores a los costos de implantación y mantenimiento del
sistema.

El Control se debe fundamentar en datos verídicos para evitar

03 apreciaciones subjetivas
El proceso de Control debe corresponder a una planeación tal,
que permita conocer la magnitud de la acción correctiva
necesaria.
 BENEFICIOS
Los beneficios que otorga la adopción de un SCI efectivo,
incluyen: la generación reportes confiables, que respaldan
la toma de decisiones de la gerencia y juntas directivas, en
asuntos que van desde, los análisis de costos, la fijación de
precios de productos, análisis de riesgos, producción y
análisis de mercado, investigación y desarrollo hasta
inversión de capital, entre otros; asimismo impulsa desde
lo operativo y administrativo, la adopción de mecanismos
consistentes para procesar transacciones, respaldar la
calidad de la información y la efectividad de los sistemas
de información, proporciona un mantenimiento oportuno
de registros, que incluye la integridad continua de datos;
por tanto, el SCI reporta mayor eficiencia en las funciones
y procesos, estimula la capacidad y confianza para
comunicar con precisión el desempeño comercial con
socios comerciales y clientes, lo que deriva en un continuo
respaldo hacia la gestión empresarial.
 PROCESO
1. Entradas a la Aplicación
Revisar si los datos de entrada son validados, probados y veríficados.
Determinar si se aplican controles para detectar registros o transacciones no procesadas.
Verificar la existencia de controles razonables relacionados con la generación de los datos.

2. Salidas de la Aplicación
Comprobar la fecha y paginación de los informes generados.
Comprobar la realización de un análisis global de los reportes producidos.
Observar la distribución de los reportes.
Evaluar los procedimientos para manejo, reporte de inconstancias y retención de salidas.

3. Software del Sistema

Comprobar la participación del usuario durante las distintas etapas del ciclo de vida del sistema.
Comprobar la justificación de los cambios y mejoras al software del sistema.
Evaluar los controles ejercidos al personal de mantenimiento del sistema de información.
Verificar la legalidad del software utilizado.

4. Programas de la Aplicación
Comprobar la autorización para efectuar correcciones o cambios a los programas.
Comprobar el registro de los cambios efectuados a los programas.
Verificar la existencia y actualización de los manuales de la aplicación.
Revisar si las pruebas aplicadas a los programas han sido planeadas.
 PROCESO
5. Seguridad en Aspectos Físicos de la Aplicación
Comprobar los controles físicos de ingreso a la dependencia.
Solicitar los programas de prevención contra desastres y evaluarlos.

6. Seguridad en Aspectos Técnicos de la Aplicación

Verificar la existencia de controles de acceso al sistema.
Solicitar los manuales técnico, de operación, del usuario y comprobar su actualización.
Evaluar los procedimientos de back-up a la aplicación.

7. Controles Organizacionales de la Aplicación

Solicitar la estructura jerárquica de la unidad y analizar su fimcionalidad.
Solicitar las políticas existentes con respecto a la aplicación y verificar su cumplimiento.

8. Ambiente laboral del Área Auditada

Conocer el ambiente laboral desde el punto de vista físico, técnico, social y psicológico.
Evaluar las políticas de bienestar laboral.

9. Entrenamiento y Capacitación del Personal del Área Auditada

Solicitar y evaluar los programas de entrenamiento y capacitación
TIPOS DE AUDITORÍA DE
INFORMÁTICA
Auditoría de la gestión: se verifica el uso de los sistemas para la
contratación de bienes y servicios, documentación de los programas, etc.
Auditoría legal del Reglamento de Protección de Datos: se verifica el
cumplimiento legal de las medidas de seguridad exigidas.
Auditoría de los datos: en la que se verifica el uso de los sistemas para la
clasificación de los datos, estudio de las aplicaciones y análisis de los
flujogramas.
Auditoría de las bases de datos: en la que se verifica el uso de los sistemas
en cuanto a los controles de acceso a las bases, y calidad de los datos.
Auditoría de la seguridad: referida a datos e información verificando
disponibilidad, integridad, confidencialidad, autenticación y principio de no
repudio.
Auditoría de la seguridad física: referida a la ubicación de la organización,
evitando ubicaciones de riesgo.
Auditoría de la seguridad lógica: referida a los métodos de autenticación de
los sistemas de información.
Auditoría de la seguridad en producción: mediante la cual se evalúan los
riesgos y las respuestas frente a errores, accidentes y fraudes.
REFERENCIA
BIBLIOGRÁFICA
Tamayo, A. (2001). Auditoría de Sistemas, una
visión práctica.
https://repositorio.unal.edu.co/bitstream/handle/unal/6
0273/9589322662.pdf?sequence=1&isAllowed=y

Díaz, G. (2020). La Auditoría a los Sistemas De

Información como aporte a la Actividad
Gerencial.
https://dialnet.unirioja.es/descarga/articulo/7863432.pdf