Este documento describe las metodologías y herramientas de auditoría informática. Explica dos metodologías de auditoría: controles generales y metodologías de auditores internos. También describe el plan de auditoría informática, incluyendo funciones, procedimientos, tipos de auditoría, sistema de evaluación y plan de trabajo anual/quincenal. Finalmente, explica los métodos y procedimientos de control informático, incluyendo la función de control, control interno informático y las herramientas de control.

1. UNIVERSIDADJUAREZAUTONOMADE TABASCO
División Académica multidisciplinaria de los ríos
AUDITORIA INFORMÁTICA
Gabriela Guadalupe Sánchez de la Cruz
 Metodologías de auditoria informática
 El plan auditor informático
 Control informático. Sus métodos y
procedimientos. Las herramientas de
control

2. METODOLOGIAS DE AUDITORIA
INFORMATICA
• Existen dos metodologias de Auditoria Informática:
-Auditorias de Controles Generales
-Metodologías de Auditores Internos

3. - Controles generales: Dan una opinión sobre la habilidad de los
datos del computador para la Auditoria financiera” cuyo resultado
es un informe donde se destacan las vulnerabilidades encontradas.
- Tiene apartados para definir “pruebas” y anotar sus resultados.

4. • Metodologia de Auditorias Internas
Esta formada por recomendaciones de Plan de trabajo; deberá hacer
cuestionarios y definir cuantas pruebas estime oportunas; además
debe crear sus metodologías necesarias para auditar áreas o aspectos
que defina en el plan auditor.

5. El plan auditor informático
Es el esquema mas importante del auditor informático
Las partes con las que cuenta un plan auditor informático
-Funciones: deben describirse las funciones de forma precisa, y la
organización interna del departamento, con todo sus recursos

6. • Procedimiento: Entre ellos están el
procedimiento de apertura, el de entrega y
discusiones de debilidades, entrega de informe
preliminar, cierre de auditoria, redacción de
informe final.
Tipos de auditoria que realiza: revisión de la
aplicación de facturación, revisión LOPD, revisión
de seguridad física, y revisión de control interno.

7. • Sistema de evaluación esta evaluación suele hacerse en 3 niveles
que son, «BIEN», «REGULAR», O «MAL».
• Nivel de exposición. El nivel de exposición es en este caso un
número del uno al diez definido subjetivamente y que permite en
base a la evaluación final de la ultima auditoria realizada.

8. • Plan de trabajo anual: estimarse de tiempo de
manera racional y componer un calendario
que una vez terminado nos dé un resultado de
hora de trabajo previstas.
Plan quincenal: Todas las áreas a auditar deben
corresponderse con cuestionarios, y deben
repetirse en 4 o 5 años de trabajo.

9. Control informático. Sus métodos y
procedimientos. Las herramientas de
control

10. La función de control:
• El área informática monta los procesos informáticos seguros
• El control interno monta los controles
• La auditoria informática evalúa el grado de control.

11. • En la auditoria Informática; esta tiene función de vigilancia y
evaluación mediante dictámenes, los auditores de tienen diferentes
objetivos de los de cuentas, ellos evalúan eficiencia, costos y la
seguridad con mayor visión, y realizan evaluaciones de tipo
cualitativo.

12. Control interno informático
Cumplen funciones de control dual en los diferentes
departamentos, que puede ser normativa, marco jurídico, la
funciones del control interno es la siguientes determinar los
propietarios y los perfiles según la clase de información, permitir a
dos personas intervenir como medida de control, realizar planes de
contingencias, dictar normas de seguridad informática, controla la
calidad de software, los costos, los responsables de cada
departamento, control de licencias, manejo de claves de cifrado,
vigilan el cumplimiento de normas y de controles, es clara que esta
medida permite la seguridad informática

13. Metodologías de la clasificación de la información
y de obtención de los procedimientos de control
Los pasos de la metodología son las siguientes:
1. Identificación de la información
2. Inventario de entidades de información residentes y operativas.( Inventario de
programas ,
Archivos de datos, estructura de datos ,soportes de información)
3. Identificación de propietarios(Son los que necesitan para trabajo, usan o custodian
la información)
4. Definición de jerarquías de información(Suelen ser cuatro)
5. Realizar el plan acciones
6. Implantación y mantenimiento

14. Metodología
FASE 1. Definición de Objetivo de Control
Tarea 1. Análisis de la empresa. Estudian los procesos, organigramas y funciones.
Tarea 2. Recopilación de estándares, (Se estudian todas las fuentes de información)
FASE II. DEFINICIÓN DE CONTROLES
Tarea 1 Definición de necesidades tecnológicas (hardware y herramientas de control)
Tarea 2. Definición de las necesidades de recursos humanos

15. Las herramientas de control
 Seguridad Lógica del sistema
 Seguridad lógica complementaria al sistema
 Seguridad lógica para entornos distribuidos
 Control de acceso físico. Control de presencia
 Control de copias
 Gestión de soportes magnéticos
 Gestión y control de impresión y envió de listados por red
 Control de proyectos
 Control de versiones
 Control y gestión de incidencias
 Control de cambios
Las herramientas de control son elementos software que por sus características
Funcionales permiten vertebrar un control de una manera más actual y mas
automatizada

16. ADQUISICIÓN INSTALACIÓN E IMPLEMENTACIÓN. FORMACIÓN
MANUALES DE PROCEDIMIENTOS DE CONTROL
Todo este complejo proceso es vital hacerlo de modo ordenado y usando un
método que permita en todo momento saber que se «quiere» y que se
«puede» conseguir con los productos existentes de control d entornos,
tratando de suplir con procedimientos de control los huecos que no podamos
cubrir con tecnología