El documento trata sobre auditoría de sistemas. Explica que una auditoría de sistemas es el examen objetivo, crítico y sistemático de los sistemas de información computarizados con el fin de evaluar la eficiencia en el uso de recursos, la validez de la información y la efectividad de los controles. También describe los tipos de auditoría, los objetivos generales de una auditoría de sistemas, los justificativos para realizar una y los controles y metodología utilizados.

2. Auditoría de Sistemas:
 Es el examen o revisión de carácter objetivo
(independiente), crítico(evidencia), sistemático
(normas), selectivo (muestras) de las políticas,
normas, prácticas, funciones, procesos,
procedimientos e informes relacionados con los
sistemas de información computarizados, con el
fin de emitir una opinión profesional (imparcial)
con respecto a:
 Eficiencia en el uso de los recursos informáticos
 Validez de la información
 Efectividad de los controles establecidos

3. Auditoría de Sistemas:
 El proceso de recolección y evaluación de
evidencia para determinar si un sistema
automatizado:
 Salvaguarda activos.
Daños
Destrucción
Uso no autorizado
Robo
 Alcanza metas organizacionales.
Contribución de la función Informática

4. Auditoría de Sistemas:
 Mantiene integridad de los datos
Información precisa
Completa
Oportuna
Precisa
 Consume recursos eficientemente
Utiliza los recursos adecuadamente en el
procesamiento de la información

5. Tipos de Auditoría
 Financiera
 Veracidad estados financieros
 Preparación de informes de acuerdo a principios
contables
 Operacional
 Evalúa la eficiencia, eficacia
Economía de los métodos y procedimientos
que rigen un proceso de una empresa
 Sistemas
 Se preocupa de la función informática

6. Tipos de Auditoría
 Fiscal
 Se dedica a observar el cumplimiento de las leyes
fiscales
 Administrativa
 Analiza:
Logros de los objetivos de la Administración
Desempeño de funciones administrativas
 Calidad
 Evalúa métodos, mediciones y controles de los
bienes y servicios

7. Tipos de Auditoría
 Interna
 Existe por expresa decisión de la empresa y puede
optar por su disolución en cualquier momento
 Externa
 Es realizada por personas afines a la empresa para
alcanzar una mayor objetividad ya que hay mayor
distancia entre auditor y auditado

8. Objetivos Generales de una
Auditoría de Sistemas
 Buscar una mejor relación costo-beneficio de los
sistemas automáticos o computarizados
diseñados e implantados por el PAD
 Incrementar la satisfacción de los usuarios de los
sistemas computarizados
 Asegurar una mayor integridad, confidencialidad
y confiabilidad de la información mediante la
recomendación de seguridades y controles.
 Conocer la situación actual del área informática y
las actividades y esfuerzos necesarios para lograr
los objetivos propuestos.

9. Objetivos Generales de una
Auditoría de Sistemas
 Seguridad de personal, datos, hardware,
software e instalaciones
 Apoyo de función informática a las metas y
objetivos de la organización
 Seguridad, utilidad, confianza, privacidad y
disponibilidad en el ambiente informático
 Minimizar existencias de riesgos en el uso de
Tecnología de información
 Decisiones de inversión y gastos innecesarios
 Capacitación y educación sobre controles en los
Sistemas de Información

10. Justificativos para
efectuar una Auditoría de
Sistemas Aumento considerable e injustificado del
presupuesto del PAD (Departamento de
Procesamiento de Datos)
 Desconocimiento en el nivel directivo de la
situación informática de la empresa
 Falta total o parcial de seguridades lógicas y
físicas que garanticen la integridad del personal,
equipos e información.
 Descubrimiento de fraudes efectuados con el
computador

11. Justificativos para
efectuar una Auditoría de
Sistemas Falta de una planificación informática
 Organización que no funciona correctamente, falta
de políticas, objetivos, normas, metodología,
asignación de tareas y adecuada administración del
Recurso Humano
 Descontento general de los usuarios por
incumplimiento de plazos y mala calidad de los
resultados
 Falta de documentación o documentación
incompleta de sistemas que revela la dificultad de
efectuar el mantenimiento de los sistemas en
producción

12. Controles
Conjunto de disposiciones metódicas, cuyo
fin es vigilar las funciones y actitudes de las
empresas y para ello permite verificar si todo
se realiza conforme a los programas
adoptados, ordenes impartidas y principios
admitidos

13. Clasificación general de
los controles
Controles Preventivos: Son aquellos que reducen la
frecuencia con que ocurren las causas del riesgo,
permitiendo cierto margen de violaciones . Ejemplo:
Letrero “No fumar” para salvaguardar las
instalaciones sistemas de claves de acceso.
Controles detectivos: Son aquellos que no evitan
que ocurran las causas del riesgo sino que los detecta
luego de ocurridos. Son los más importantes para el
auditor. En cierta forma sirven para evaluar la
eficiencia de los controles preventivos. Ejemplo:
Procedimientos de validación

14. Clasificación general de
los controles
Controles Correctivos: Ayudan a la investigación y
corrección de las causas del riesgo. La corrección
adecuada puede resultar difícil e ineficiente, siendo
necesaria la implantación de controles detectivos
sobre los controles correctivos, debido a que la
corrección de errores es en si una actividad altamente
propensa a errores.

15. COBIT
COBIT es un conjunto de objetivos de control para
el ambiente de tecnología de información en que se
desenvuelven los procesos de muchas empresas. El
logro de estos objetivos es gracias a un trabajo de
investigación y de búsqueda de consenso entre la
normatividad de distintos cuerpos colegiados,
estándares técnicos, códigos de conducta, prácticas
y requerimientos de la industria y requerimientos
emergentes para industrias específicas (desde la
industria de la banca hasta la industria
manufacturera).

16. Misión de COBIT
Investigar, desarrollar, publicar y promover un
conjunto internacional, autorizado y actual de
objetivos de control de tecnología de información
generalmente aceptados para el uso cotidiano de
gerentes de empresa y auditores.

17. Estructura de COBIT
Se fundamenta en la idea de que los recursos de TI
deben ser utilizados en forma adecuada.
La componen tres elementos:
Recursos.
Procesos
Requerimientos.
Estos elementos se relacionan de diferentes
maneras ya que un recurso puede ser utilizado por
varios procesos. Los procesos pueden estar
satisfaciendo distintos requerimientos.

18. Recursos de TI
La clasificación de los recursos que propone el COBIT
es:
Datos
 Sistemas de Información
 Tecnología
Instalaciones
 Recursos humanos

19. Recursos de TI-Dominios
El Cobit se encuentra dividido en cuatro Dominios:
Planeación y Organización (Planning and
Organization, PO)
Adquisición e implementación (Acquisition and
Implementation, AI)
Entrega de servicios y Soporte (Delivery and
Support, DS)
Monitores (Monitoring, M)

20. Procesos
Estos cuatro Dominios son divididos en 34 procesos
1. Planeación y Organización
PO1. Definir un plan estratégico de sistemas
PO2. Definir la arquitectura de información
PO3. Definir la dirección tecnológica
PO4. Definir la organización y sus relaciones
....
PO11. Administrar calidad
2. Adquisición e Implementación
AI1. Identificar soluciones de automatización
AI2. Adquirir y mantener software de aplicación
AI3. Adquirir y mantener la arquitectura tecnológica
....
AI6. Administrar cambios

21. Procesos
3. Prestación de servicios y soporte
DS1. Definir niveles de servicio
DS2. Administrar servicios a terceros
DS3. Administrar desempeño y capacidad
....
DS13. Administrar la operación
4. Monitoreo
M1. Monitorear el proceso
M2. Evaluar lo adecuado del control interno
M3. Obtener aseguramiento independiente
M4. Proporcionar auditoria independiente

22. Procesos-Actividad o Tarea
Para cada uno de estos Procesos el COBIT define las
actividades o tareas relacionadas. Además identifica
los Objetivos de Control.
Buscar en COBIT una tarea especifica
Dominio 3. Prestación de Servicio
Proceso DS2. Administrar servicios de terceros
Actividad 2.3 Contratos con terceros
Objetivo de Control: "La gerencia debe definir
procedimientos específicos para asegurar que un
contrato formal es definido y acordado para cada
relación de servicio con un proveedor."

23. Requerimientos de Negocio
Cobit clasifica los requerimientos de información del
negocio en las siguientes categorías:
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad de la información

24. Las normas que regulan el comportamiento del
auditor se pueden clasificar de la siguiente manera:
 Normas permanentes de carácter profesional.
 Normas de carácter social.
 Normas de comportamiento ético-moral
El auditor

25.  Emitir una opinión responsable y profesional respaldada en
evidencias comprobadas.
 Mantener una disciplina profesional.
 Guardar el secreto profesional.
 Tener independencia mental.
 Contar con responsabilidad profesional.
 Capacitación y adiestramiento permanentes.
 Hacer una planeación de la auditoría y de los programas de
evaluación.
 Hacer la presentación del dictamen por escrito, así como la
 aclaración de diferencias.
Normas permanentes de
carácter profesional

26.  Acatar las normas y obligaciones de carácter social.
 Respetar a las autoridades, leyes, normas y
reglamentos.
 Evitar y prevenir sobornos, componendas y dádivas.
 Ser leal con los auditados.
 Contar con una opinión profesional y defenderla.
 Emitir un dictamen con firma profesional.
 Contar con apoyo didáctico y normativo vigente.
Normas de carácter
social

27.  Ser incorruptible e insobornable.
 Ser imparcial en los juicios que emite como auditor.
 Contar con un juicio sereno, ético y moral.
Normas de comportamiento
ético-moral

28. Metodología de la
Auditoria

29. Estudio Preliminar
Incluye definir el grupo de trabajo, el
programa de auditoria, efectuar visitas a la
unidad informática para conocer detalles de la
misma, elaborar un cuestionario para la
obtención de información para evaluar
preliminarmente el control interno, solicitud
de plan de actividades, Manuales de
políticas, reglamentos, Entrevistas con los
principales funcionarios del PAD.

30. Revisión y evaluación de
controles y seguridades
Consiste en la revisión de los diagramas de flujo
de procesos, realización de pruebas de
cumplimiento de las seguridades, revisión de
aplicaciones de las áreas criticas, Revisión de
procesos históricos (backups), Revisión de
documentación y archivos, entre otras
actividades.

31. Examen detallado de áreas
críticas
Con las fases anteriores el auditor descubre las
áreas críticas y sobre ellas hace un estudio y
análisis profundo en los que definirá
concretamente su grupo de trabajo y la
distribución de carga del mismo, establecerá los
motivos, objetivos, alcance Recursos que usara,
definirá la metodología de trabajo, la duración de
la auditoria, Presentará el plan de trabajo y
analizara detalladamente cada problema
encontrado.

32. Comunicación de resultados
Se elaborará el borrador del informe a ser
discutido con los ejecutivos de la empresa
hasta llegar al informe definitivo, el cual
presentará esquemáticamente en forma de
matriz, cuadros o redacción simple y concisa
que destaque los problemas encontrados, los
efectos y las recomendaciones de la
Auditoria.

33. El informe debe contener lo
siguiente
 Motivos de la Auditoria
 Objetivos
 Alcance
 Estructura Orgánico-Funcional del área
Informática
 Configuración del Hardware y Software instalado
 Control Interno
 Resultados de la Auditoria