Asignatura

Auditora y
justificacin
administrativas

Datos del alumno

Fecha

Apellidos: Nio Cendales

21-11-2014
Nombre: Alex Orlando

Actividades
Prctica: Definiciones
Adems de las lecturas y visionados recomendados en las secciones previas se
proponen realizar, como actividad evaluativa,

un trabajo, que profundice en las

definiciones de auditora informtica, control interno y gobierno corporativo

profundizando en las relaciones entre estos conceptos e ilustrando todo ello un caso
estudio (ficticio o real)
El trabajo tendr una extensin mnima de 8 pginas de las que al menos 2 debern
dedicarse al caso estudio.

Solucin
AUDITORIA DE SISTEMAS
La auditora en informtica es la revisin y la evaluacin de los controles, sistemas,
procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y
seguridad, de la organizacin que participan en el procesamiento de la informacin, a
fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin
ms eficiente y segura de la informacin que servir para una adecuada toma de
decisiones.
La auditora en informtica deber comprender no slo la evaluacin de los equipos de
cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar
los sistemas de informacin en general desde sus entradas, procedimientos, controles,
archivos, seguridad y obtencin de informacin.
La auditora en informtica es de vital importancia para el buen desempeo de los
sistemas de informacin, ya que proporciona los controles necesarios para que los
sistemas sean confiables y con un buen nivel de seguridad. Adems debe evaluar todo
(informtica, organizacin de centros de informacin, hardware y software ).

TEMA 1 Actividades

Asignatura
Auditora y
justificacin
administrativas

Datos del alumno

Fecha

Apellidos: Nio Cendales

21-11-2014
Nombre: Alex Orlando

PLANEACIN DE LA AUDITORA EN INFORMTICA

Para hacer una adecuada planeacin de la auditora en informtica, hay que seguir una
serie de pasos previos que permitirn dimensionar el tamao y caractersticas de rea
dentro del organismo a auditar, sus sistemas, organizacin y equipo.
En el caso de la auditora en informtica, la planeacin es fundamental, pues habr que
hacerla desde el punto de vista de los dos objetivos:

Evaluacin de los sistemas y procedimientos.

Evaluacin de los equipos de cmputo.

Para hacer una planeacin eficaz, lo primero que se requiere es obtener informacin
general sobre la organizacin y sobre la funcin de informtica a evaluar. Para ello es
preciso hacer una investigacin preliminar y algunas entrevistas previas, con base en
esto planear el programa de trabajo, el cual deber incluir tiempo, costo, personal
necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la
misma.
PERSONAL PARTICIPANTE
Una de las partes ms importantes dentro de la planeacin de la auditora en
informtica es el personal que deber participar y sus caractersticas.
Uno de los esquemas generalmente aceptados para tener un adecuado control es que el
personal que intervengan est debidamente capacitado, con alto sentido de moralidad,
al cual se le exija la optimizacin de recursos (eficiencia) y se le retribuya o compense
justamente por su trabajo.
Con estas bases se debe considerar las caractersticas de conocimientos, prctica
profesional y capacitacin que debe tener el personal que intervendr en la auditora.
En primer lugar se debe pensar que hay personal asignado por la organizacin, con el
suficiente nivel para poder coordinar el desarrollo de la auditora, proporcionar toda la
informacin que se solicite y programar las reuniones y entrevistas requeridas.

TEMA 1 Actividades

Asignatura
Auditora y
justificacin
administrativas

Datos del alumno

Fecha

Apellidos: Nio Cendales

21-11-2014
Nombre: Alex Orlando

ste es un punto muy importante ya que, de no tener el apoyo de la alta direccin, ni

contar con un grupo multidisciplinario en el cual estn presentes una o varias personas
del rea a auditar, sera casi imposible obtener informacin en el momento y con las
caractersticas deseadas.
EVALUACIN DEL DESARROLLO DEL SISTEMA
En esta etapa del sistema se debern auditar los programas, su diseo, el lenguaje
utilizado, interconexin entre los programas y caractersticas del hardware empleado
(total o parcial) para el desarrollo del sistema. Al evaluar un sistema de informacin se
tendr presente que todo sistema debe proporcionar informacin para planear,
organizar y controlar de manera eficaz y oportuna, para reducir la duplicidad de datos y
de reportes y obtener una mayor seguridad en la forma ms econmica posible. De ese
modo contar con los mejores elementos para una adecuada toma de decisiones. Al
tener un proceso distribuido, es preciso considerar la seguridad del movimiento de la
informacin entre nodos. El proceso de planeacin de sistemas debe definir la red
ptima de comunicaciones, los tipos de mensajes requeridos, el trfico esperado en las
lneas de comunicacin y otros factores que afectan el diseo. Es importante considerar
las variables que afectan a un sistema: ubicacin en los niveles de la organizacin, el
tamao y los recursos que utiliza.
CONTROL DE PROYECTOS
Debido a las caractersticas propias del anlisis y la programacin, es muy frecuente
que la implantacin de los sistemas se retrase y se llegue a suceder que una persona
lleva trabajando varios aos dentro de un sistema o bien que se presenten
irregularidades en las que los programadores se ponen a realizar actividades ajenas a la
direccin de informtica. Para poder controlar el avance de los sistemas, ya que sta es
una actividad de difcil evaluacin, se recomienda que se utilice la tcnica de
administracin por proyectos para su adecuado control.
Para tener una buena administracin por proyectos se requiere que el analista o el
programador y su jefe inmediato elaboren un plan de trabajo en el cual se especifiquen
actividades, metas, personal participante y tiempos. Este plan debe ser revisado

TEMA 1 Actividades

Asignatura
Auditora y
justificacin
administrativas

Datos del alumno

Fecha

Apellidos: Nio Cendales

21-11-2014
Nombre: Alex Orlando

peridicamente (semanal, mensual, etc.) para evaluar el avance respecto a lo

programado. La estructura estndar de la planeacin de proyectos deber incluir la
facilidad de asignar fechas predefinidas de terminacin de cada tarea. Dentro de estas
fechas debe estar el calendario de reuniones de revisin, las cuales tendrn diferentes
niveles de detalle.
TIPOS DE AUDITORA
Existen algunos tipos de auditora entre las que la Auditora de Sistemas integra un
mundo paralelo pero diferente y

peculiar resaltando su enfoque a la funcin

informtica.
Es necesario recalcar como anlisis de este cuadro que Auditora de Sistemas no es lo
mismo que Auditora Financiera.
Entre los principales enfoques de Auditora tenemos los siguientes:
Financiera

Veracidad de estados financieros

Preparacin de informes de acuerdo a principios contables

Operacional

Eficacia

Economa

Sistemas

Se preocupa de la funcin informtica

Fiscal

Se dedica a observar el cumplimiento de las leyes fiscales

Administrativa

Analiza: Logros de los objetivos de la Administracin Desempeo de funciones

administrativas

Calidad

Evala: Mtodos Mediciones Controles de los bienes y servicios

TEMA 1 Actividades

Asignatura
Auditora y
justificacin
administrativas

Datos del alumno

Fecha

Apellidos: Nio Cendales

21-11-2014
Nombre: Alex Orlando

Social

Revisa la contribucin a la sociedad as como la participacin en actividades

socialmente orientadas

EJEMPLO AUDITORA
Metodologa para la Auditora Informtica de la Seguridad de la Intranet
de un Sistema.
Introduccin
Para entender la necesidad de la realizacin de auditoras informticas es necesario
comprender el papel destacado y creciente de las tecnologas de informacin en nuestra
sociedad. Con esta mayor importancia ha ido incrementndose tambin la sofisticacin
de los sistemas que les dan apoyo. La complejidad y dimensiones que han adquirido
estos sistemas han hecho que sea crtica la implantacin de normas y procedimientos
para su utilizacin, desarrollo, implantacin y mantenimiento.
El plan auditor informtico
El plan auditor informtico es el documento en que se define esta funcin y el trabajo
que realiza dentro de la entidad en que se encuadra. Su contenido debe estar orientado
con la estrategia organizativa y con el resto de los planes auditores.
En un plan auditor diferenciamos:

Funciones: Ubicacin de la auditora informtica dentro de la empresa, sus

funciones, estructura del departamento y recursos que aglutina.

Procedimientos: Manera en que se realizarn las distintas tareas de las

auditoras.

Tipos de auditoras que se realizan.

Sistema de evaluacin y los aspectos que evala.

Lista de distribucin de informes.

TEMA 1 Actividades

Asignatura
Auditora y
justificacin
administrativas

Datos del alumno

Fecha

Apellidos: Nio Cendales

21-11-2014
Nombre: Alex Orlando

Seguimiento de las acciones correctoras.

Planes de trabajo y su periodicidad.

El plan auditor informtico se concreta en la prctica, entre otros aspectos, en una

metodologa de trabajo que determina los hitos desde el inicio de la auditora
informtica, ya sea por auditor interno o externo, hasta la entrega del informe final y la
manera de alcanzarlos.
Metodologa
La auditora informtica debe respaldarse en un proceso formal que asegure su previo
entendimiento por cada uno de los responsables de llevar a la prctica dicho proceso en
la empresa. Al igual que otras funciones en el negocio, la auditora informtica efecta
sus tareas y actividades mediante una metodologa.
No es recomendable fomentar la dependencia en el desempeo de esta importante
funcin slo con base en la experiencia, habilidades, criterios y conocimientos sin una
referencia metodolgica. Contar con un mtodo garantiza que las cualidades de cada
auditor sean orientadas a trabajar en equipo para la obtencin de resultados de alta
calidad y de acuerdo a estndares predeterminados.
La funcin de auditora informtica ha de contar tambin con un desarrollo de
actividades basado en un mtodo de trabajo formal, que sea entendido por los
auditores y complementado con tcnicas y herramientas propias de la funcin.
El objetivo es brindar a los responsables de dichas reas un camino estructurado por el
que obtengan los resultados esperados por la empresa, siguiendo un plan.
El uso de un proceso de trabajo metodolgico y estndar en la funcin de auditora
informtica genera las siguientes ventajas:
-

Los recursos orientan sus esfuerzos a la obtencin de productos y servicios de

calidad, con caractersticas y requisitos comunes para todos los responsables.

TEMA 1 Actividades

Asignatura
Auditora y
justificacin
administrativas

Datos del alumno

Fecha

Apellidos: Nio Cendales

21-11-2014
Nombre: Alex Orlando

Las tareas y productos terminados de los proyectos se encuentran definidos y

formalizados en un documento al alcance de los auditores informticos.

-

Se facilita en alto grado la administracin y seguimiento de los proyectos, pues

la metodologa obliga a la planificacin detallada de cada proyecto bajo criterios

estndares.
-

Facilita la superacin profesional y humana de los individuos, ya que orienta los

esfuerzos hacia la especializacin, responsabilidad, estructuracin y depuracin de las

funciones del auditor.
-

El proceso de capacitacin o actualizacin en el uso de un proceso metodolgico

es ms gil y eficiente, dado que se trabaja sobre tareas y pautas perfectamente

definidas.
Para obtener toda la informacin posible sobre el diagnstico del negocio y de
informtica, el auditor se apoyara sobre cuestionarios detallados. Debemos analizar las
reas siguientes:
Seguridad fsica:
Al examinar la seguridad fsica el auditor deber estar preocupado por la localizacin
fsica del sistema y desde dnde se puede acceder al mismo.
Para la mayora de los sistemas, tiene sentido instalar el servidor de datos y servidor
web en una habitacin con aire acondicionado que no tenga ventanas y sea de difcil
acceso (preferiblemente con acceso controlado por algn lector de tarjetas de seguridad
o sistema de claves de seguridad).
Para sistemas ms crticos, puede ser tambin importante limitar los poseedores de
esas tarjetas y cambiar el cdigo de acceso a la habitacin de los servidores de manera
regular.

TEMA 1 Actividades

Asignatura
Auditora y
justificacin
administrativas

Datos del alumno

Fecha

Apellidos: Nio Cendales

21-11-2014
Nombre: Alex Orlando

En funcin del nivel de seguridad requerido, pude ser necesario comprobar que los
guardias de seguridad estn formados para la defensa contra intrusos.
Procedimientos, roles y responsabilidades:
Es fundamental asegurar que las polticas puestas en prctica en la Intranet para
asegurar la auditora y trazabilidad se usan de manera efectiva. Algunos sistemas
requerirn, por motivos legales u operacionales, un registro de transacciones mayor
que otros, pero todos debern registrar los intentos de acceso a la red fallidos y su
procedencia (IP u otro identificador).
Existen procedimientos implantados para asegurar que los audit. logs o registros de
auditora de la actividad del sistema se revisen en busca de indicios de actividades
maliciosas? Quin los lleva a cabo? Con qu frecuencia? Son efectivos?
Existen normas que eviten que las contraseas de acceso puedan ser descubiertas
fcilmente? Por ejemplo, es obligatorio que las claves de acceso tengan ocho caracteres
que combinen letras y nmeros? Fuerza el sistema a cambiar las claves de acceso
regularmente?
Es importante que el auditor contraste que los procedimientos no slo estn escritos en
un documento y olvidados, sino que existe un conocimiento aceptable por parte de los
responsables de su ejecucin.
Identificacin, autenticacin y acceso:
Un auditor debe vigilar no slo las rutas fsicas al sistema (hardware), sino tambin las
lgicas, esto es, desde qu redes se puede acceder al sistema y de qu manera. Existe
una red privada virtual que permita el acceso al rea local (LAN) desde fuera del
edificio fsico? Se permite el acceso al sistema desde sitios web? Puede el personal
acceder a la Intranet desde sus hogares?

TEMA 1 Actividades

Asignatura
Auditora y
justificacin
administrativas

Datos del alumno

Fecha

Apellidos: Nio Cendales

21-11-2014
Nombre: Alex Orlando

Para cada punto de acceso lgico el auditor debe comprobar que existen medios
efectivos de identificar y autenticar los grupos de usuarios a los que se permite acceder
desde el mismo.
Dependiendo del nivel de seguridad requerido esto puede implicar simplemente usar
usuarios y claves de acceso, emisin de passwords de un solo uso, uso de claves de
encriptacin SSL almacenadas en sus PCc o usar claves SET residentes en una tarjeta
leda por un lector especial.
Requerimientos de la arquitectura tcnica:
El auditor debe garantizar que la arquitectura tcnica puede soportar el nivel de
seguridad requerido.
La arquitectura tcnica de una intranet se disea para permitir el acceso slo a usuarios
internos a sistemas y datos internos. Con este escenario, un firewall o servidor proxy
puede facilitar la puerta de acceso a travs de la cual los empleados puedan acceder a
Internet, pero nadie pueda acceder al sistema interno desde Internet. El firewall se
puede utilizar tambin para restringir los tipos de contenidos a los que pueden acceder
en Internet los usuarios internos. Los empleados con conexiones mviles generalmente
usarn una red privada virtual para el acceso. Es importante que el auditor compruebe
todas las rutas de acceso y salida de la intranet, para asegurar que slo puedan acceder
usuarios autorizados.
Debe comprobarse que no existan puertas falsas o back doors a la intranet desde la
extranet (si existe) a travs de las cuales un hacker pueda acceder a los sistemas
internos. Una de las back doors ms comunes en este escenario es no haber
deshabilitado FTP en el servidor web de la extranet.
Presentacin del informe final:
La funcin de la auditora se materializa exclusivamente por escrito. Por lo tanto la
elaboracin del informe final es el exponente de su calidad. Resulta evidente la
necesidad de redactar borradores e informes parciales previos al informe final, los que

TEMA 1 Actividades

Asignatura
Auditora y
justificacin
administrativas

Datos del alumno

Fecha

Apellidos: Nio Cendales

21-11-2014
Nombre: Alex Orlando

son elementos de contraste entre opinin entre auditor y auditado y que pueden
descubrir fallos de apreciacin en el auditor.
Estructura del informe final
El informe comienza con la fecha de comienzo de la auditora y la fecha de redaccin
del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las
personas entrevistadas, con indicacin de la jefatura, responsabilidad y puesto de
trabajo que ostente.
Se incorporarn los informes parciales que hayan sido entregados.
A continuacin se especificar el mbito y objetivos de la auditora.
Se relacionarn una por una las reas analizadas: su situacin, sus debilidades, las
amenazas que implican y sus oportunidades.
Finalmente se relacionan las recomendaciones, su plan de implantacin, seguimiento y
control.
El informe tiene especial importancia porque en l ha de resumirse la auditora
realizada. Se destina exclusivamente al responsable mximo de la empresa, o a la
persona concreta que encargo o contrato la auditora. As como pueden existir tantas
copias del informe final como solicite el cliente, la auditora no har copias del citado
informe.

TEMA 1 Actividades