PLANEACION DE LA AUDITORIA

INFORMATICA
YINA MARCELA NUÑEZ
AIXA PATRICIA BOLAÑOS
YORLENNY ARTUNDUAGA RODRIGUEZ

Facultad De Economía Y Administración

Programa Contaduría Pública
Auditoria De Sistemas
 AUDITORIA INFORMATICA

Es el proceso metodológico ejecutado por especialistas del

área de auditoría y de informática.

Tipos de auditoria:

Auditoría Interna, es el sistema conformado por un conjunto de

procedimientos que interrelacionadas entre si, tienen como
objetivo proteger los activos de la organización.

Auditoría Externa, es la encargada de examinar y evaluar

cualquiera de los sistemas de información de una organización
y emite una opinión independiente.
 PLANEACIÓN DE LA AUDITORIA
INFORMÁTICA

Es el proceso que sigue una serie de pasos previos que

permitirán dimensionar el tamaño y características del
área dentro del organismo a auditar, sus sistemas,
organización y equipo. Determina de igual forma el
numero y las características del personal de auditoria, las
herramientas necesarias, el tiempo y costo.

Procedimientos documentados y diseñados para alcanzar

los objetivos de auditoría que han sido planificados.
 ORIGEN DE LA AUDITORIA

El primer paso formal para iniciar la

planeación de una auditoria en el área
de sistemas, es identificar el origen de la
auditoria; es decir, lo primero es saber
por que surge la necesidad o la
inquietud de hacer una auditoria.
 OBJETIVOS
En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que
hacerla desde el punto de vista de los objetivos que se establecieron para el alcance de la
auditoria:
Evaluación
administrativa Evaluación de
del área de los sistemas y
procesos procedimientos
electrónicos.
Seguridad y Aspectos
confidencialidad OBJETIVOS legales de los
de la información sistemas y de
Evaluación del la información
proceso de datos,
de los sistemas y Evaluación de
de los equipos de los equipos de
cómputo. cómputo.
 REVISIÓN PRELIMINAR

Paso en la planeación y desarrollo de la Auditoria

Informática que tiene como objetivo obtener la
información necesaria para que el auditor pueda
tomar la decisión sobre como proceder en la dicha
auditoría.

Se hace recolección de evidencia por medio de

entrevistas al personal, se observa el estado
general del área, su situación dentro de la
organización, las actividades en la instalación y se
hace una revisión de la documentación preliminar
 REVISIÓN DETALLADA

Fase que tiene el propósito de obtener la

información necesaria para que el auditor
tenga un profundo entendimiento de los
controles usados dentro del área de
informática.
 PUNTOS A SER EVALUADOS

En el proceso de la planeación de la Auditoria Informática se debe determinar los puntos a ser

evaluados, los cuales se realizaran considerando aspectos muy específicos de los sistemas
computacionales, tales como los siguientes:

• La gestión administrativa e informática • La capacitación y adestramiento del

del centro de computo.
• El cumplimiento de las funciones del
personal informático y usuarios de los
sistemas.
• El análisis, diseño y desarrollo de los
sistemas computacionales.
• La operación de los sistemas
computacionales.
personal y usuarios del sistema.
• La protección, custodia y niveles de
acceso a las base de datos.
• La protección y respaldo de archivos e
información.
• La seguridad y protección de los usuarios,
de la información, de los archivos y en
general del centro de computo.
 EXAMEN Y EVALUACIÓN DE LA
INFORMACION

Los auditores internos deberán obtener, analizar, interpretar y documentar la información

para apoyar los resultados de la auditoría. El proceso de examen y evaluación de la
información es el siguiente:

1. Obtener la información de todos los asuntos relacionados con los

objetivos y alcances de la auditoría.
2. La información deberá ser suficiente, competente, relevante y útil
para que proporcione bases sólidas en relación con los hallazgos y
recomendaciones de la auditoría.
3. Los procedimientos de auditoria deberán ser elegidos con
anterioridad.
4. El proceso de recabar, analizar, interpretar y documentar la
información deberá supervisarse.
5. Los documentos de trabajo de la auditoria deberán ser preparados
por los auditores y revisados por la gerencia de la auditoria.
 PRUEBAS
PRUEBAS DE CONSENTIMIENTO PRUEBAS SUSTANTIVAS.
Determina si los Controles Verifican el grado de confiabilidad
Internos operan como fueron del Sistema informático de
diseñados. organismo.

Se puede identificar ocho diferentes pruebas sustantivas:

PRUEBAS DE CONTROLES DE
USUARIO. 1. Para identificar errores en el procesamiento.
Se establecen cuando el auditor puede 2. Para asegurar la calidad de los datos.
decidir no confiar en los controles internos 3. Para identificar las inconsistencias de los datos.
dentro de las instalaciones informáticas, 4. Para comparar los datos o contadores físicos.
porque el usuario ejerce controles que 5. Confirmación de datos con fuentes externas.
compensan cualquier debilidad dentro de 6. Para confirmar la adecuada comunicación.
los controles internos de informática. 7. Para determinar la falta de seguridad.
8. Para determinar problemas de legalidad.
 INVESTIGACIÓN PRELIMINAR

El objeto de este primer contacto es percibir

rápidamente las estructuras fundamentales y
diferencias principales entre el organismo a auditar y
otras organizaciones que se hayan investigado.

Se debe recopilar información para obtener una visión

general del departamento por medio de observaciones,
entrevistas preliminares y solicitudes de documentos;
la finalidad es definir el objetivo y alcance del estudio,
así como el programa detallado de la investigación.
Se debe hacer la investigación preliminar solicitando y revisando la
información de cada una de las áreas basándose en los siguientes
puntos:

A NIVEL DEL RECURSOS

ÁREA DE MATERIALES Y SISTEMAS
INFORMÁTICA TECNICOS
 PERSONAL PARTICIPANTE

Uno de los esquemas generalmente aceptados para tener un adecuado

control es que el personal que intervenga esté debidamente capacitado, que
tenga un alto sentido de moralidad, al cual se le exija la optimización de
recursos (eficiencia) y se le retribuya o compense justamente por su
trabajo. 

El numero de ellos depende de las

dimensiones de la organización, de los
sistemas y de los equipos.
 PLANES, PROGRAMAS Y PRESUPUESTOS

Se elaboran los documentos que contemplen los planes formales para el

desarrollo de la auditoria.

1. LOS PLANES Y PROGRAMAS :

• Diseñar las etapas, eventos y tareas en que se dividirá la auditoria.

• La estimación de los recursos humanos, materiales e informáticos que serán
utilizados.
• Los tiempos estimados para las actividades y para la propia Auditoria.
• Los auditores responsables y participantes en dichas actividades.
2. PRESUPUESTO:

Se asigna los costos de los

recursos que serán
utilizados y el tiempo que
serán utilizados para
determinada actividad.
 METODOS, HERRAMIENTAS, INSTRUMENTOS Y
PROCEDIMIENTOS.

Se determina los documentos y medios con los cuales se llevara acabo la revisión y
evaluación de los sistemas de la empresa, a través de la selección y diseño de los
métodos, procedimientos, herramientas e instrumentos necesarios.

Para ello se debe considerar los siguientes puntos:

• Elaborar una guía de la auditoria.

• Determinar las herramientas, métodos y procedimientos
para la auditoria de sistemas.
• Diseñar los sistemas, programas y métodos de pruebas
para la auditoria.
• Establecer la guía de ponderación de cada uno de los
puntos que se debe evaluar

COBIT
Herramienta que proporciona a las
organizaciones, un panorama general de
los riesgos que en ella existen, además
de controlar las Tecnologías de la
Información de una manera más eficiente
y eficaz.
NORMAS ISO
ISO 27001: Esta norma se utiliza como la
referencia para implementar un Sistema
en Gestión de la Seguridad de la
Información (SGSI) y hacer frente a
cualquier riesgo digital.
ISO 27002: Se conforma como un código
internacional de buenas prácticas de
seguridad de la información
NORMAS Y ESTANDARES
COSO
Documento que contiene las principales
directivas para la implantación, gestión y
control de un sistema de control. 
ISACA
Es una organización dedicado a desarrollar
estándares internacionales de auditoría y
control de sistemas de información que ayudan
a sus miembros a garantizar la confianza y el
valor de los sistemas de información.
Además certifica los avances y habilidades de
los conocimientos de Tecnologías de la
Información a través de la mundialmente
respetada Certified Information Systems
Auditor.
 CONCLUSIÓN
Una planificación adecuada es el primer paso
necesario para realizar auditorías de sistema
eficaces, el auditor de sistemas debe comprender
el ambiente del negocio en el que se ha de realizar
la auditoría así como los riesgos del negocio y
control asociado.
La auditaría de sistemas es un examen crítico que
se realiza con el fin de evaluar la eficacia y
eficiencia de los sistemas que operan en la
organización.