Introducción

Auditoría proviene….
Etimológicamente el término auditoría se asocia a
auditórium que en la antigüedad hacia referencia a
una audiencia que inspeccionaba algo que se le
presentara.

Mientras que auditor proviene del latín auditorius,

que se refiere a todo aquel que tiene la virtud de oír y
revisar procesos encaminado a un objetivo.
 Introducción
¿Qué es la auditoría?
Podemos deducir que la auditoría es un examen
crítico, que evalúa y analiza ciertos proceso pero que
no implica la preexistencia de fallas en la entidad
auditada.
Persigue el fin de
 Evaluar
 Mejorar la eficacia
 Mejorar eficiencia
de una sección no de un organismo
 Objetivos
1. Mejorar la situación de la empresa.
2. Sugerir mejoras en controles, procedimientos, etc.
3. Detectar fallas.
4. Reunir elementos para la toma de decisiones.
5. Reducir los riesgos.
6. Retroalimentar oportunamente.
7. Optimizar el uso de los recursos.
8. Analizar imparcialmente las funciones.
9. Estandarizar.
 Tipos de auditoría
En función de sus objetivos:
• Auditoria Financiera: Examen y verificación de estados
financieros.
• Auditoria Organizativa: Analizar la estructura organizativa.
• Auditoria de Gestión.- Analiza la situación global de la
empresa.
• Auditoria de Sistemas: Examen y verificación del correcto
funcionamiento y control de los sistemas.
En función a su amplitud o alcance:
• Auditoría Total: Evalúa todos los elementos
• Auditoría Parcial: Evalúa algunos determinados.
En función del personal que lo realiza:
• Auditoria Interna.
• Auditoria Externa
 Auditoria Interna
Realizada por empleados de la empresa.
 Ventajas:
 Mayor/mejor conocimiento

 Privado.

 Recursos internos / Periodicidad.

 Inconvenientes:
 Alteración por subordinación o
intereses. Fiabilidad, alcance y
veracidad pueden estar limitados.
 Auditoria Externa
Realizada por personas ajenas a la empresa.
 Ventajas:
 Trabajo y dictamen libre

 Mas experiencia en auditar.(Certificaciones)

 Validaciones legales.

 Inconvenientes:
 Menor conocimiento.

 Más costosa.

 Posible mal ambiente si es impuesto

legalmente
 Diferencias entre auditoria
interna y externa
 En la Auditoría Interna existe un vínculo laboral entre el
auditor y la empresa, mientras que en la Auditoría Externa la
relación es de tipo civil.
 En la Auditoría Interna el diagnóstico del auditor, esta
destinado para la empresa; en el caso de la Auditoría Externa
este dictamen se destina generalmente para terceras
personas o sea ajena a la empresa.
 Sistemas de información
(Recordatorio)
Es un conjunto de elementos orientados al tratamiento
y administración de datos e información, organizados
y listos para su uso posterior, generados para cubrir
una necesidad o un objetivo.
 Auditoría de Sistemas
Según la definición de Gonzalo Alonso Rivas:

Es el conjunto de técnicas y procedimientos

destinados a analizar, verificar y recomendar en
asuntos relativos al control, efectividad, seguridad y
adecuación del sistema de información en una
empresa.

Comprende un examen metódico en vista de mejorar

la rentabilidad
 Objetivos de la Auditoría de
Sistemas
 Control de la función informática
 El análisis de la eficacia de los sistemas informáticos.
 Mantener la seguridad de la información.
 Verificación de la normativa y procesos general de la
empresa en el ámbito informático.
 Revisión de los procedimientos.
 Síntomas de necesidad
 Descoordinación y desorganización
 No concordancia con los objetivos
 Desvíos importantes del plan operativo anual
 Alta rotación de personal – Cambios grandes
 Mala imagen – Insatisfacción de los usuarios
 Software
 Hardware
 Plazos de entregas
 Síntomas de necesidad
 Debilidades económicas-financieras
 Incremento de costos
 Justificación de inversiones informáticas
 Desviaciones presupuestarias
 Costos y plazos de nuevos proyectos
 Inseguridad
 Lógica
 Física
 Confidencialidad
 Carencia de planes de contingencias
Tipos de auditoría en Sistemas
 Normas , técnicas y
procedimientos de Auditoría
El desarrollo de una auditoría se basa en
la aplicación de normas, técnicas y
procedimientos de auditoría.
 Técnicas
Son los métodos prácticos de investigación y prueba
que se usa en el desarrollo de la auditoría para
recopilar información que va a ser analizada.

Procedimientos
Conjunto de técnicas de investigación aplicables a
un grupo de hechos o circunstancias que sirven
para fundamentar la opinión del auditor dentro de
una auditoría.
 Normas
Son requisitos mínimos de calidad relativos al trabajo
del auditor, información que debe rendir como
resultado de la auditoría y su personalidad.

CLASIFICACIÓN DE LAS NORMAS

• Normas generales.
• Normas sobre trabajo de campo.
• Normas sobre información.
 Clasificación de las Normas
GENERALES
Hincapié en las cualidades personales fundamentales que el
auditor debe poseer:
• Capacitación técnica adecuada y competencia.
• Actitud mental independiente.
• Debido cuidado profesional.

TRABAJO DE CAMPO
Se refiere a la ejecución y otras actividades cuando se lleva
acabo la auditoria.
• Planeación y supervisión adecuadas.
• Evaluación y compresión del control interno.
• Evidencia suficiente y competente.
 Clasificación de las Normas

INFORMACIÓN
Se refiere a los informes que realiza el auditor.
• Resultado final del trabajo del auditor, es su
dictamen o informe.
• Pone en conocimiento de las personas interesadas
los resultados de su trabajo
• La opinión que se ha formado a través de su
examen.
Fases de una auditoría
Fases – Planeación y Programación
Objetivos:

 Establecer relaciones entre auditores y entidad.

 Determinar alcance y objetivos.

 Bosquejo de la situación de la entidad.

 Fases – Ejecución de la auditoría
Objetivos:

 Realizar diferentes tipos de pruebas y análisis, se

evalúan los resultados y se identifican los
hallazgos.

 Detectar errores y fallas en caso que exista.

 Centro de lo que es el “Trabajo de auditoría”.

 Fases – Informe de auditoría
Objetivos:

 Resultados acerca de la estructura del control

interno de la entidad.

 Conclusiones y recomendaciones de la auditoría.

 Se detallan en forma clara los hallazgos y

observaciones encontrada.
 Auditoría basada en Riesgos
La auditoría basada en riesgos requiere que el auditor
comprenda primero la entidad empresarial, luego
identifique y evalúa los riesgos definidos en base a los
procesos o activos que se encuentran siendo
auditados.

Tiene como propósito determinar los componentes de

un sistema que requieren protección, sus
vulnerabilidades que los debilitan y las amenazas que
lo ponen en peligro, con el fin de valorar su grado de
riesgo.
 Auditoría basada en Riesgos
DEFINICIONES
RIESGO:
Posibilidad de ocurrencia de un acto o evento que pueden
afectar el logro de los objetivos de una organización, generar
perdidas o mermar potenciales utilidades. Posibilidad de que
una amenaza se produzca.

RIESGO INHERENTE:
Riesgo propio de cada activo o proceso.

RIESGO RESIDUAL:
Riesgo que queda luego del tratamiento del mismo
.
 Auditoría basada en Riesgos
DEFINICIONES
VULNERABILIDAD:
Debilidad de un activo o control que puede ser explotado por
una amenaza.

AMENAZA:
Situación que tiene el potencial de causar un incidente no
deseado el cual puede producir un daño a un sistema u
organización.

CONTROL: son los protocolos y mecanismos de protección

que permiten el cumplimiento de la seguridad.
 Auditoría basada en Riesgos
DEFINICIONES

ACTIVO DE INFORMACIÓN:
Generan, procesan y/o almacenan la información
necesaria para la operación y el cumplimiento de los
objetivos de la organización. Todo aquello con valor.

VALORACIÓN DEL RIESGO:

Procesos empleado para identificar y evaluar los riesgos y su
impacto potencial.
 Tipos de activos de información
• Servicios: Servicios internos que suministra un área
a otra(sistemas), proveedores de servicios.
• Datos / Información: Que son manipulados dentro de
la organización.
• Aplicaciones (Software).- Maneja datos
• Equipo Informático (Hardware).- Hospeda datos,
aplicaciones o servicios
• Personal.- Operan activos de información
• Redes de Comunicación.- Permite intercambio datos
• Soporte de Información.-Dispositivo almacenamiento
• Instalaciones.- Acogen a equipos y comunicaciones.
 Impacto
Pérdida sobre el valor de un activo tras la ocurrencia
de un incidente.
El impacto mide la diferencia el estado de seguridad
de un activo.
Riesgo para la seguridad de la
información
Las relaciones entre conceptos de
Gestión de Riesgos
Tratamiento de Riesgos
Toma de Decisiones
 Análisis de Riesgo
Es la consideración sistemática que puede estimar la
magnitud de los riesgos a que ésta expuesta una
organización, con las consecuencias potenciales de
pérdida de confidencialidad, integridad y disponibilidad
de la información.
 Objetivos del análisis de riesgo
 Identificar, evaluar y manejar los riesgos de seguridad.

 Estimar la exposición de un recurso a una amenaza

determinada.

 Determinar qué combinación de medidas de seguridad

proporcionará un nivel de seguridad razonable a un costo
aceptable.

 Tomar mejores decisiones en seguida de la información.

 Matriz de Riesgo
Es una descripción organizada de actividades,
riesgos, análisis y controles que permite visualizar y
apoyar la evaluación y gestión de los riesgos.
Constituye una herramienta de control y monitoreo
utilizado para identificar las áreas más importantes de
una empresa con exposición de riesgos, el tipo y nivel
de riesgos inherentes.
PROCEDIMIENTO PARA
EL ANÁLISIS DE RIESGO
1. IDENTIFICACIÓN DE LOS ACTIVOS
DE INFORMACIÓN O PROCESOS
Hacer la identificación de mayor a menor
importancia de todos los activos informáticos o
procesos de TI sobre el cual se va a realizar el
análisis.

Personal
Directivo
Personal de
Auditoría
Personal de
Sistemas
1. IDENTIFICACIÓN E IMPORTANCIA
DE LOS PROCESOS
Proceso

Documentos de Finanzas

Coordinador de Finanzas

Documentos Recursos Humanos

Portátiles

Personal Técnico

Computadores
2. IDENTIFICACIÓN DE AMENAZAS
POTENCIALES

1. Robo
2. Virus
3. Incendio
4. Falta de Corriente.
5. Compartir contraseñas
6. No cifrar datos críticos
AMENAZAS / VULNERABILIDADES
Código Amenaza Código Amenaza
A1 Replicación de Malware A14 Saturación de memoria, procesador o disco
duro.
A2 Fugas de Información A15 Errores de configuración (Administradores)

A3 Alteración de la Información. A16 Falta Mantenimiento General

A4 Destrucción de la Información por A17 Pérdida de Documentación de los procesos
usuarios. de Administración de dispositivos y del
Sistema
A5 Divulgación de la información A18 Desactualización (Sistema Operativo,
Antivirus, Gestor de B.D)

A6 Vulnerabilidad de Sw. (Servicios y A19 Daño físico de dispositivos

Aplicaciones)
A7 Sw desactualizado (Servicios y A20 Falta de Aplicación de Buenas Prácticas en el
Aplicaciones) desarrollo in House

A8 Acceso no Autorizado A21 Ausencia de personal capacitada.

A9 Intercepción de Tráfico e A22 Renuncia del Personal
Información
10 DoS A23 Interrupción /mal uso servicio de Internet
A11 Desconfiguración de Equipos A24 Climatización no adecuada.
A12 Eliminación /Destruccción de Logs A25 Incendio.
A13 Daño físico de componentes A26 Inundación.
 3.Valoración del Impacto
Una vez valorados los activos de la empresa se determina
el impacto de la exposición de una posible amenaza la
Organización conforme a una escala. Se trabaja con los
activos de información.
Impacto2
Severo 4
Medio 3
Moderado 2
Baja 1
 Valoración del Impacto Ej.:
Proceso: Planeación Estratégica de Sistemas
Categoría de
Particip. 1 Particip.2 Particip. 3 Promedio
Riesgo

P P P P

1 Datos de RRHH 3 3 3 3

2 Datos de Finanzas 3 4 4 4

3 Computadores 2 2 1 2

4 Portátiles 3 3 4 3

Coordinador
5 4 4 3 4
Finanzas
6 Personal Técnico 3 3 2 3
 4.Probabilidad de Ocurrencia
El siguiente paso consiste en determinar la probabilidad
que el riesgo ocurra.

Probabilidad de Ocurrencia
Alta (una vez al mes) 4
Media (una vez cada 3 2
meses)
Baja (una vez cada 6 2
meses)
Muy baja (una vez al 1
año)
 Probabilidad de Ocurrencia Ej.:
Categoría de
Particip. 1 Particip.2 Particip. 3 Promedio
Riesgo

P P P P

1 Robo 3 3 3 3
2 Virus 3 4 4 4
3 Incendio 2 3 2 2
4 Falta de Corriente 3 2 3 3
Compartir
5 4 3 4 4
Contraseñas
No cifrar datos
6 2 3 3 3
críticos
 5.Valoración del Riesgo
La valoración consiste en asignar a los riesgos
calificaciones en función al impacto y a la probabilidad
de ocurrencia, y se lo puede ubicar en tres rangos:
Matriz de Riesgo
 6.Gestión del riesgo
Por último la organización debe escoger una vía de
control para cada riesgo, intentando reducirlos.

Las distintas estrategias de gestión tenemos:

 Mitigarlos(reducirlos)
 Transferirlos
 Evitarlos
 Aceptarlos
 6.Gestión del riesgo
S10 Auditoría Interna
S11 Antivirus Actualizado
S12 Análisis de Requerimientos
S1 Cifrado S13 Desarrollo bajo
metodologías de
S2 Copias de Respaldo calidad CMMI
S3 Controles de Acceso S14 Actualización de Versiones
S4 Registro de Actuaciones S15 Aplicación de Pruebas de
Funcionamiento
S5 Detección de Intrusos S16 Mantenimiento de Equipos
(Monitorización) S17 Definición exacta de
S6 Hardening de Dispositivos y Funciones
Aplicaciones S18 Definición de Políticas de
Gestión y administración de Seguridad
S7 Topologías Redundantes
claves S19
S20 Documentación de los
S8 Definición de Roles de Procesos Administrativos y
Seguridad de Configuraciones
S9 Administración de S21 IDS/IPS
Continuidad del Negocio S22 PKI
S23 ISDN
S24 Canal de Contingencia
S25 VPN
 6.Gestión del riesgo
Id.
Descripción de Probabilidad Impacto Valor del Nivel de Control Tipo
Riesgo Riesgo Riesgo

Infección de
R1 virus sobre las Antivirus Mitigar.
portátiles de la 4 3 12 Alto riesgo instalado y
empresa. actualizado.
Estándares en la Metodología de
Riesgos
Podemos nombrar las siguientes

 Magerit.
 Octave.
 Pilar.
 Fair.
1. IDENTIFICACIÓN( EJEMPLO 2)
Proceso Prioridad
1
Firewall de Seguridad Perimetral

Equipos de Redes y
Telecomunicaciones 2
Equipos portátiles Gerenciales
3

Sistemas Operativo, servicios,

4
aplicaciones.

Servidores de Infraestructura 6

Elaboración y mantenimiento
7
del plan de contingencias
Planeación estratégica de
8
Sistemas
Monitoreo, efectividad y
9
eficiencia de los servicios de TI
2. IDENTIFICACIÓN DE AMENAZAS
POTENCIALES
EJEMPLO 2
1 Corte de energía eléctrica
2 Costos Excesivos
3 Hurto/Robo
4 Desventaja Competitiva
5 Toma de decisiones
6 Daño o destruccion de activos

7 Pérdida de imagen y credibilidd

 Valoración del Riesgo

Leve Moderado Severo

Alta

Media

Baja

•Bajo Riesgo = 1 – 2 (verde)

•Medio Riesgo = 3 – 5 (amarillo)
•Alto Riesgo = 6 – 9 (rojo)
Matriz de Riesgo
Control Interno
Informático
1. Aspectos clave del control interno

Alerta: excesivo
énfasis en la Gestión Alerta: excesivo
(eficiencia y énfasis en el Control
efectividad) descuidando la Gestión
descuidando incrementa el riesgo
Controles incrementa el de ineficiencia e
riesgo de errores e inefectividad
irregularidades

GESTIÓN CONTROL
(eficiencia y efectividad) (Riesgo y Control)
--------------------------------------------------------
Eficiencia = Buen Uso de Recursos
Efectividad = Nivel en que se alcanza los resultados

Riesgo = Evento que podría impedir el logro de un objetivo

Control = Políticas y procedimientos para (enfoques):

(+) Alcanzar lo que SI se quiere
( - ) Evitar lo que NO se quiere

2
 1. Aspectos clave del control interno
Gestión
• Cuando la balanza está desbalanceada hacia el
lado de la gestión se afecta el control, cuando
esto pasa es usualmente en el sector privado
(por ejemplo: lo único importante es vender,
mejores y más rápidas ventas, alcanzar los
resultados, el precio de la acción, etc.)
• Ausencia de
controles
Control
• Cuando la balanza está desbalanceada hacia el
lado del control se afecta la gestión, cuando
esto pasa es usualmente en el sector público
(por ejemplo: muchas aprobaciones, muchas
firmas, revisiones excesivas, burocracia, etc.). Y lo
que es peor es que algunas veces son falsos
controles, creando una falsa seguridad, “cuando
todos revisan todo, en realidad nadie revisa nada”
• Controles
innecesarios
1. Aspectos clave del control interno

Gestión
Control
Eficiencia &
Riesgo & Control
Efectividad

• Administración y auditoría deberían trabajar de

acuerdo a sus roles in los dos lados de la
balanza, sin embargo a veces ellos
prefieren/deciden trabajar solo en un lado, y
cunado esto pasa es usualmente de esta
manera:
• ADMINISTRACIÓN.- extremadamente
enfocado en gestión sin considerar controles

• AUDITORÍA.- extremadamente enfocado en

controles sin considerar gestión
1. Aspectos clave del control interno
Equilibrio Entre Riesgos y Controles
Los componentes de la aceptación Consecuencias de la
de riesgos excesivos: implementación de controles
excesivos:

• Pérdida potencial de activos • Aumento de la burocracia

• Toma de decisiones de negocios • Exceso del costo de producción
incorrecta o ineficaz • Complejidad innecesaria de los
• Incumplimiento potencial con las controles
leyes y regulaciones • Incremento del tiempo de ciclo
• Posibilidad de que se cometan • Actividades que no agregan valor
fraudes

Source: IIA

• Balanza desbalanceada hacia el lado de la gestión • Balanza desbalanceada hacia el lado del control
• Más probable en el sector privado • Más probable en el sector público
 Estoy pensando
en cambiar el Yo no tengo objeción, pero
mensaje de antes tendrías que hacer lo
bienvenida de la siguiente, conseguir la
pantalla de aprobación del eq. de Gestion
Que
“bienvenido” a de Usuarios en Palo Alto, del
creativo
“Hola” eq. de Definición de Producto
eres …
en Alemania, del eq. de
Desarrollo del Cliente en
Bangalore, y del eq. de
Desarrollo de Servidores en
Israel
Asistente del Delegado del
Vicepresidente del Comité
en Contra de la Burocracia

• Cargos Pensándolo
innecesarios Deberías también conversar
bien creo
con los técnicos en diseño
que el Ese es el
para documentar este cambio,
mensaje espíritu
conversar con QA sobre las
actual está …
pruebas de cambio, y
bien …
conversar con el equipo de
Nosotros estamos
Tome este infraestructura para sacar un
trabajando duro para nuevo CD conteniendo el
reducir la burocracia formulario,
cambio.
… complételo, y
¿Si? … ¿Como? usted recibirá
la respuesta …

• Procedimientos • Controles
innecesarios innecesarios
 • La Administración: • La Administración :
Corrige errores y/o
reitera y replica
3.1. Evolución de la auditoría interna Planifica la gestión y el
control de la organización
aciertos

Actuar Planificar
• Algunas (Act) (Plan)
organizaciones
(en el sector
privado y en el
sector público)
verifican
“errores” para
“corregirlos”,
perdiéndose la
mitad del
potencial de la
“verificación”
Verificar Hacer
(Check) (Do)
• La Administración : Evaluación Mejoramiento
de la gestión y el control; Continuo • La Administración :
permanente, por parte de quien Ejecuta la gestión y el
hace el proceso, con menor
independencia y objetividad (Self control de la
Assessment). organización
• Auditoría: Evaluación de la
gestión y el control; periódica, por
parte de quien conoce el proceso,
con mayor independencia y
11 Implementación y Evaluación CI Mayo –
1. Aspectos clave del control interno
EVALUACIONES COMPLEMENTARIAS Mejoramiento Continuo
• LA ADMINISTRACIÓN
25 % 25 %
• Permanente
• Por quien hace y conoce el proceso
• Menos independiente y objetiva

• ** Monitoreo continuo Evaluación Evaluación

Administrativa Administrativa
• AUDITORÍA al CONTROL a la GESTIÓN
• Periódica
100 %
• Por quien conoce el proceso
• Más independiente y objetiva
Evaluación Evaluación
Auditores al Auditores a
• ** Auditoría continua CONTROL la GESTIÓN

• La ausencia sistemas de medición/evaluación

gerencial es un problema que existe en 25 %
muchas organizaciones en el sector público y
25 %
provado
 1. Aspectos clave del control interno

Niveles de Madurez en los Procesos

5 – Optimizado:
Buenas prácticas
4 – Administrado son seguidas y
y Medible: automatizadas
3 - Definido: Procesos son
Procesos son monitoreados y
documentados y medidos
2 – Repetible
pero Intuitivo: comunicados
1 - Inicial/Ad Hoc: Procesos siguen
Procesos son ad un patrón regular
0 - Inexistente: hoc y
No se aplica una desorganizados
administración de
los procesos
Nivel mínimo para
un adecuado
control interno
 CONTROL INTERNO

Proceso que lleva a cabo el control

Control
diario de Interno
todas lasInformático
actividades de la
operación sean realizadas
cumpliendo los procedimientos,
estándares y normas fijados por la
dirección de la organización, así
como los requerimientos legales.
OBJETIVOS DEL CONTROL INTERNO
RESPONSABILIDADES FRENTE AL
SISTEMA DE CONTROL INTERNO

Responsables del sistema de control interno

Responsables de monitorear el sistema de control interno
CONTROL INTERNO
Resumiendo….
 “El control no
es para ir más “La confianza
lento, es para no es un
poder ir rápido control”
pero seguro”

“Un buen
control no
“Hay que
garantiza el
balancear la
éxito … pero
gestión y el
un mal control
control”
si garantiza el
fracaso”

“El control
“Si no está
interno es
documentado
responsabilida
no existe”
d de todos”
 CONTROL INTERNO INFORMÁTICO

Se refiere a realizar en los diferentes

sistemas (centrales,
departamentales, redes locales,
PC’s, etc.) y entornos informáticos
(producción, desarrollo o pruebas)
el control de las diferentes
actividades operativas.
 OBJETIVOS PRINCIPALES
1. Controlar que todas las actividades en los sistemas
que se realizan cumplan los procedimientos y
normas establecidos, evaluar sus beneficios y
asegurarse del cumplimiento de normas legales
 OBJETIVOS PRINCIPALES
2. Asesorar sobre el conocimiento de las normas
aplicados en la gobernabilidad de los Sistemas de
Información.
 OBJETIVOS PRINCIPALES
3. Colaborar y apoyar el trabajo de Auditoria
informática, así como de las auditorias externas al
grupo.
 OBJETIVOS PRINCIPALES
4. Definir, implantar y ejecutar mecanismos y controles
para comprobar el logro del servicio informático.
 TIPOS DE CONTROL INTERNO
En el ambiente informático, el control interno
se materializa fundamentalmente en
controles de dos tipos:
• Controles manuales.
• Controles automáticos.
 TIPOS DE CONTROL INTERNO
Controles manuales:
Aquellos que son ejecutados por el
personal del área usuaria o de informática
sin la utilización de herramientas
computacionales.
 TIPOS DE CONTROL INTERNO
Controles automáticos:
Son generalmente los incorporados en el
software, llámense estos de operación, de
comunicación, de gestión de base de datos,
programas de aplicación, etc.
CATEGORÍAS DE CONTROL INTERNO
De acuerdo a su finalidad se
clasifican en:
• Controles preventivos.
• Controles detectivos.
• Controles correctivos.
 CATEGORÍAS DE CONTROL INTERNO
Controles preventivos:
Para tratar de evitar un hecho, como un
software de seguridad que impida los
accesos no autorizados al sistema.
CATEGORÍAS DE CONTROL INTERNO
Controles detectivos:
Cuando fallan los preventivos para tratar de
conocer cuanto antes el evento.
 CATEGORÍAS DE CONTROL INTERNO
Controles correctivos:
Facilitan la vuelta a la normalidad cuando
se ha producido incidencias
AUDITORÍA INFORMÁTICA Y CONTROL
INTERNO (Diferencias)
CONTROL INTERNO AUDITOR INFORMÁTICO
Similitudes yINFORMATICO
Diferencias
DIFERENCIAS 1.- Análisis de los controles 1.- Análisis en un momento
en el día a día. determinado
2.- Informa a la Dirección 2.- Informa a la Dirección
del Departamento de General de la Organización.
Informática(Gobierno TI). 3.- Realizada por auditores
3.- Realizada por la internos o externos.
administración de TI.
 ASPECTOS DE IMPLANTACIÓN EN UN
SISTEMA DE CONTROL INFORMÁTICO

Para la implantación de un sistema de controles internos habría

que definir:

1. Gestión de sistema de información

2. Administración de sistemas.
3. Seguridad
4. Gestión del cambio
 ASPECTOS DE IMPLANTACIÓN EN UN
SISTEMA DE CONTROL INFORMÁTICO
Gestión de sistema de información: Políticas, pautas y normas técnicas que
sirvan de base para el diseño y la implantación de los sistemas de información
y de los controles correspondientes.

Administración de sistemas: Controles sobre la actividad de los centros de

datos y otras funciones de apoyo al sistema, incluyendo la administración de
las redes.

Seguridad: incluye las tres clases de controles fundamentales implantados en

el software del sistema, integridad del sistema, confidencialidad (control de
acceso) y disponibilidad.

Gestión del cambio: separación de las pruebas y la producción a nivel del

software y controles de procedimientos para la migración de programas
software aprobados y probados.
 Áreas de Aplicación del Control
Interno Informático
1. Controles generales organizativos
2. Controles de desarrollo, adquisición y mantenimiento de
sistemas de información.
3. Controles sobre las aplicaciones
4. Controles sobre la administración de sistemas de
información.
5. Controles sobre específicas tecnologías.
6. Controles de Calidad
CONTROLES GENERALES ORGANIZATIVOS
• Políticas.
• Reglamentos.
• Manuales e Instructivos.
• Formatos
• Estándares.
• Procedimientos.
• Descripción de funciones y
responsabilidades
• Informes de Control
 CONTROLES DE DESARROLLO, ADQUISICIÓN Y
MANTENIMIENTO DE SISTEMAS DE INFORMACION
• Metodología del ciclo de vida del desarrollo
de sistemas
• Explotación y mantenimiento.
 CONTROLES SOBRE APLICACIONES
• Control de entrada: Datos completos, exactos,
válidos y autorizados por única vez.
• Control de tratamiento de datos: procesamiento de
las transacciones es completa, adecuado y
autorizado
• Control de salida de datos: Presentación completo
de los resultados
CONTROLES SOBRE LA ADMINISTRACIÓN DE LOS
SISTEMAS DE INFORMACIÓN
• Planificación y gestión de los recursos informáticos.
• Controles para usar de manera efectiva los recursos en
ordenadores
• Revisiones técnicas sobre equipos de infraestructura.
• Procedimientos y formatos de selección del software del
sistema, de instalación, de mantenimiento, de seguridad y de
control de cambios.
• Seguridad física y lógica
 CONTROLES ESPECIFICOS SOBRE
TECNOLOGÍAS

• Controles en servicios
informáticos.
• Controles centralizados de
ordenadores personales
• Controles conexiones con host y
redes de área local.
 CONTROLES DE CALIDAD
• Normas de documentación de programas
• Normas con respecto a pruebas de sistemas
• Pruebas pilotos o en paralelo
• Evaluación del cumplimiento del software.
CONTROL INTERNO MODELOS
INTERNACIONALES
 INFORME COSO

• Se creó en 1992.
Coso I • Evalúa y Mejora el sistema de control interno
en las entidades

• Se creó en 2004.
Coso II • Es un marco integrado sobre análisis de
riesgo.

• Se creó en 2013.
Coso III • Es una actualización y mejora de COSO I
 INFORME COSO III- Definición
Es un marco de referencia o modelo común de
control interno contra el cual las empresas y
organizaciones pueden evaluar sus sistemas de
control interno.
 INFORME COSO III
Objetivos

Facilitar un
Establecer una
modelo en base al
definición común
de control interno cual las empresas
que responda a las y otras entidades,
necesidades de las cualquiera sea su
distintas partes. tamaño y
naturaleza, puedan
evaluar sus
sistemas de
control interno
 Ambiente de Control 1. Demostrar compromiso con la integridad y los valores éticos
2. Ejercer la responsabilidad de supervisión
3. Establecer la estructura, la autoridad y la responsabilidad
4. Demostrar compromiso con las competencias
5. Aplicar la rendición de cuentas
6. Especificar objetivos adecuados
Evaluación de Riesgo 7. Identificar y analizar los riesgos
8. Evaluar el riesgo de fraude
9. Identificar y analizar cambios significativos

Actividades de Control 10. Seleccionar y desarrollar actividades de control

11. Seleccionar y desarrollar controles generales sobre la tecnología
12. Implementación a través de políticas y procedimientos

Información & 13. Utilizar información pertinente

Comunicación 14. Comunicación interna
15. Comunicación externa

Actividades de 16. Realizar evaluaciones continuas y / o separadas

Monitoreo 17. Evaluar y comunicar las deficiencias

41
DEPARTAMENTO DE
AUDITORIA
 DEPARTAMENTO DE AUDITORÍA
INTERNA
El departamento de auditoría interna está
conformada por un grupo de personas cuyo
propósito es hacer cumplir los objetivos de la
auditoría interna de examinar y evaluar la
eficacia, eficiencia y economía de los procesos de
las distintas áreas de operaciones de la
Organización.
 ESTRUCTURA DE LA EMPRESA

DIRECTOR
GENERAL

AUDITORÍA
INTERNA

FINANZAS COMPRAS VENTAS PRODUCCION

DEPARTAMENTO DE AUDITORÍA INTERNA

JEFE DE AUDITORÍA

AUDITOR
INFORMÁTICO

AUDITOR AUXILIAR
 JEFE DE AUDITORÍA

PERFIL DEL PUESTO

Planear, coordinar y dirigir las actividades de auditoría

financiera, de gestión y técnico-operativas de la Oficina de
Auditoría Interna de conformidad con disposiciones legales,
normas de control, directivas internas, modelo organizacional
de la Empresa y políticas del Directorio.
 PRINCIPALES FUNCIONES DEL JEFE
DE AUDITORÍA

Desarrollar
Planear a corto,
Dirigir a sus políticas y
mediano y largo
subordinados en el procedimientos
plazo las
desempeño de sus para llevar a cabo
actividades de
funciones la actividad de
auditoría interna
auditoría interna
 RESPONSABILIDADES DEL
JEFE DE AUDITORÍA

 Planificar los objetivos, metas y programas de acción de

control, de acuerdo a las directivas y normas emitidas
 Aprobar los programas de auditoría.
 Cautelar el cumplimiento de las normas de auditoría.
 Controlar y dirigir el seguimiento e implementación de las
medidas correctivas derivadas de los informes de auditoría.
 Evaluar y propiciar el desarrollo permanente del personal de su
área, proponiendo programas de capacitación, entrenamiento y
especialización.
 AUDITOR INFORMATICO

PERFIL DEL PUESTO

Llevar a cabo los trabajos de auditoría a las

unidades administrativas y actividades de la
organización, y atender instrucciones especiales de
revisión que sean encomendadas por el Jefe de la
Oficina de Auditoria Interna.
 PRINCIPALES FUNCIONES DEL
ENCARGADO DE AUDITORÍA

Revisar los
Asistir al Jefe de papeles de trabajo
Evaluar la
auditoría en la y preparar el
eficiencia de
planeación de borrador del
control interno
auditorías informe de
auditoría
 RESPONSABILIDADES DEL
AUDITOR INFORMÁTICO
 Desarrollar los Programas de Auditoría que se le asigne.
 Evaluar los controles internos de acuerdo al programa.
 Verificar la veracidad y suficiencia de las pruebas que sustenten
los hallazgos y observaciones de los informes de auditoría y su
respectiva comunicación.
 Análisis de la administración de Sistemas de Información, desde
un punto de vista de riesgo de seguridad, administración y
efectividad de la administración.
 Reportar y sustentar ante el Jefe de la Oficina de Auditoría
Interna los hallazgos detectados
 Elaborar los Informes de Auditoria emergentes de las acciones
de control para su presentación al Jefe de la Oficina de
Auditoría Interna.
 AUDITOR AUXILIAR

PERFIL DEL PUESTO

Recibir asignaciones y apoyar con

instrucciones específicas respecto al
propósito de su revisión, y como llevar a cabo
el trabajo que le ha sido encomendado
 PRINCIPALES FUNCIONES DEL
AUDITOR AUXILIAR

Participar en la
preparación del
Asistir al Preparar informe de
encargado de la documentación auditoría, el cual
auditoría recopilada incluye hallazgos y
recomendaciones
efectuadas
 OTRAS FUNCIONES DEL
AUDITOR AUXILIAR
 Apoyar con información para la elaboración del
planeamiento de las acciones de control.
 Obtener la evidencia suficiente y competente que
sustenten los hallazgos y observaciones de los
informes de auditoría.
 Diseñar diagramas de flujo de acuerdo a los procesos
o necesidades de la acción de control.
 Organizar y codificar la documentación resultantes de
la ejecución del Programa de Auditoría
 Sustentar ante el Auditor Interno
 CONOCIMIENTO DEL AUDITOR
INFORMÁTICA

 Técnica o metodología de auditoría informática.

 Regulaciones legales.
 Metodologías de análisis de Riesgo.
 Metodología de intrusión.
 Análisis forense y evidencias electrónicas.
 Alto grado de calificación técnica.
 Conocimiento de auditoría financiera y de informática.
 Técnicas de gestión empresarial, de proyectos y sobre
todo de gestión del cambio.
 Conocimientos en normativas y estándares de Seguridad
IT. Ej: Normas ISO, COBIT, COSO, etc.
 ATRIBUTOS Y CUALIDADES DE
LOS AUDITORES

Madurez
Conocimiento Actualizado Experiencia personal y Transparente
profesional

Líder Mesurado Objetivo

Confiable
 PRINCIPIOS ÉTICOS DEL
AUDITOR
 Principio de beneficio del auditado
 El auditor deberá conseguir la máxima eficiencia y rentabilidad de los
procesos informáticos en la empresa auditada
 El auditor deberá evitar estar ligado a determinados intereses.
 Principio de calidad
 El auditor deberá prestar servicios con los medios a su alcance.
 En caso de no prestar los medios necesarios para la auditoría el auditor
deberá negarse a realizarla hasta que se garantice la condiciones
técnicas adecuadas
 Principio de capacidad
 Debe ser plenamente consciente del alcance de sus conocimientos, de
su capacidad y aptitud para desarrollar la auditoría (sobreestima o
subestima).
 El auditor debe estar plenamente capacitado para la realización de la
auditoria encomendada.
 PRINCIPIOS ÉTICOS DEL
AUDITOR
 Principio de cautela
 El auditor debe evitar que el auditado se embarque en proyectos de
futuro fundamentados en intuiciones sobre la evolución de las nuevas
tecnología de la información.
 Principio de comportamiento profesional
 Seguridad en sus conocimientos técnicos y una clara percepción de sus
carencias (acudiendo a expertos si necesario).
 Transmitir una imagen de precisión y exactitud.
 Principio de concentración en el trabajo
 El auditor deberá evitar que un exceso de trabajo supere sus
posibilidades de concentración y precisión en cada una de las tareas
 Nunca copiar conclusiones de otros informes de auditorías pasadas por
la acumulación de trabajo.
 PRINCIPIOS ÉTICOS DEL
AUDITOR
 Principio de confianza.
 El auditor deberá facilitar e incrementar la confianza del auditado en
base a una actuación de transparencia en su actividad profesional.
 Principio de criterio propio.
 El auditor deberá actuar con criterio propio y no permitir que este
dependa al de otros profesionales.
 Principio de discreción.
 El auditor deberá mantener una cierta discreción en la divulgación de
datos
 Principio de economía.
 El auditor deberá proteger los derechos económicos del auditado
evitando generar gastos innecesarios.
 Principio de formación continuada.
 Impone al auditor la obligación de estar en continua formación
 PRINCIPIOS ÉTICOS DEL
AUDITOR
Principio de independencia.
 El auditor debe exigir una total autónoma e independencia
en su trabajo
Principio de información suficiente.
 Obliga al auditor aportar en forma clara, precisa e inteligible
para el auditado la información
Principio de integridad moral.
 Obliga al auditor a ser honesto, leal y diligente en el
desempeño de su misión, a ajustarse a las normas morales,
de justicia, y a evitar participar en actos de corrupción
personal o a terceras personas.
 PRINCIPIOS ÉTICOS DEL
AUDITOR
Principio de legalidad.
 El auditor deberá evitar utilizar sus conocimientos para
facilitar, a los auditados o a terceras personas, la
contravención de la legalidad vigente.
Principio de no discriminación.
 El auditor en su actuación antes, durante y después de la
auditoría, deberá evitar inducir, participar o aceptar
situaciones discriminatorias de ningún tipo.
Principio de precisión.
 Exige del auditor la no conclusión de su trabajo hasta estar
convencido de la viabilidad de sus propuestas.
 PRINCIPIOS ÉTICOS DEL
AUDITOR
 Principio de la responsabilidad
 El auditor debe responsabilizarse de lo que haga, diga o aconseje.
 Está obligado a hacerse cargo de daños, conflictos o perjuicios que
puedan derivarse de una actuación culpable.
 Principio de veracidad.
 El auditor en sus comunicaciones con el auditado deberá tener siempre
presente la obligación de asegurar la veracidad de sus manifestaciones
con los límites impuestos por los deberes de respeto, corrección y
secreto.
 HERRAMIENTAS
PARA LA AUDITORIA
INFORMATICA
 EVIDENCIA
 Información, registros o declaraciones de hecho
que utiliza el auditor para determinar si lo que se
está auditando está de acuerdo a la norma,
proceso, procedimiento establecido.
 Es la prueba que garantiza el valor de los
hallazgos.
 TIPO DE EVIDENCIAS
Cuando se planifica el trabajo de auditoría de
sistemas de información, el auditor debe tomar en
cuenta el tipo de evidencia de auditoría a obtener y
sus niveles variables de confiabilidad.
Los distintos tipos de evidencia de auditoría que el
auditor debe considerar son:
• Evidencia física de auditoría.
• Evidencia documentada de auditoría.
• Evidencia testimonial.
• Evidencia informática.
 EVIDENCIA FISICA
Se obtiene mediante inspección
u observación directa de
actividades ejecutadas por el
personal, bienes o sucesos. La
evidencia de esta naturaleza
puede presentarse en forma de
informes(donde se resumen los
resultados de la inspección o de
la observación), fotografías,
gráficos, mapas o muestras
materiales.
 EVIDENCIA DOCUMENTAL
Es la confirmación que hace el auditor a través de la
inspección física de documentos que soporten las
operaciones de la empresa.
• Las evidencias externas abarcan, entre otras, cartas,
facturas de proveedores, contratos, auditorías externas y
otros informes o dictámenes y confirmaciones de
terceros.
• Las evidencias internas tienen su origen en la
organización, incluye, entre otros, registros contables,
correspondencias enviadas, descripciones de puestos de
trabajo, planes, presupuestos, informes internos, políticas
y procedimientos internos.
 EVIDENCIA TESTIMONIAL
Se obtiene de otras personas en forma de
declaraciones hechas en el curso de investigaciones o
entrevistas.
Se requiere la confirmación si van a utilizarse como
prueba, por medio de la:
• Confirmación por escrito del entrevistado;
• Comprobación posterior en los documentos.
 EVIDENCIA INFORMÁTICA
Puede encontrarse en datos, sistemas de
aplicaciones, instalaciones y soportes, tecnologías y
personal informático. el Auditor Interno debe estar
en la capacidad de determinar la confiabilidad de la
evidencia informática,
 HERRAMIENTAS DE RECOLECCIÓN DE
INFORMACIÓN PARA AUDITORÍA INFORMÁTICA

 Observación
 Entrevista
 Cuestionario
 Encuesta
 Listas de verificación
 Inventarios
 Trazas o Huellas
 OBSERVACIÓN
En el caso específico de la auditoría, esta
herramienta se aplica para verificar mediante la
visión todo lo relacionado con el área informática y
los sistemas de una organización con el propósito
de percibir, examinar, o analizar los eventos que se
presentan en el desarrollo de las actividades del
área o de un sistema que permita evaluar el
cumplimiento de las funciones, operaciones y
procedimientos.
 CUESTIONARIOS

Los cuestionarios son preguntas

impresas en formatos o fichas en
que el auditado responde de
acuerdo a su criterio, de esta
manera el auditor obtiene
información que posteriormente
puede clasificar e interpretar por
medio de la tabulación y análisis,
para evaluar lo que se está
auditando y emitir una opinión
sobre el aspecto evaluado.
ENTREVISTAS
Es recopilación de información que
se realiza en forma directa, cara a
cara y a través de algún medio de
captura de datos. Esta recoge más
información y más precisa que por
otros medios técnicos o por las
respuestas a cuestionarios.
¿CÓMO REALIZAR UNA BUENA ENTREVISTA?

• En su aplicación se utiliza una guía general de la

entrevista, que contiene una serie de preguntas que
va adaptando conforme recibe la información y de
acuerdo a las circunstancias que se le presenten.
• En la entrevista, el auditor pregunta, investiga y
confirma directamente sobre los aspectos que se está
auditando.
• Las entrevistas pueden ser grabadas, por toma de
notas y captación de lo esencial sin notas.
 TIPOS DE PREGUNTAS
Las preguntas pueden ser de tres tipos:

 Preguntas abiertas

 Preguntas cerradas

 Preguntas bipolares
 PREGUNTAS ABIERTAS
Permiten al interlocutor opciones abiertas para
responder.
 PREGUNTAS CERRADAS
Las preguntas cerradas limitan las opciones que tiene el
interlocutor para responder.
 PREGUNTAS BIPOLARES
Las preguntas bipolares son un tipo especial de
preguntas cerradas.
 ENCUESTAS

A diferencia de los cuestionarios son utilizadas

para recolectar información sobre aspectos como
el servicio, el comportamiento y utilidad del
equipo, la actuación del personal y los usuarios,
entre otros juicios de la función informática
 LISTAS DE VERIFICACIÓN
Las listas de verificación o checklist son un conjunto
de preguntas muy estudiadas que se formulan
flexiblemente, y que salvo excepciones, son
contestadas oralmente.

Los checklist pueden ser de dos tipos:

• Listas de verificación de rango.
• Listas de verificación binaria
LISTAS DE VERIFICACIÓN DE RANGO
Contiene preguntas que el auditor debe puntuar
dentro de un rango preestablecido (por ejemplo del 1
al 5, siendo 1 la respuesta más negativa y 5 el valor
más positivo). Ej.:

a) El control de acceso de personas y materiales a las

instalaciones del centro de informática es:
1. Muy deficiente
2. Deficiente
3. Mejorable
4. Aceptable
5. Correcto
 LISTAS DE VERIFICACIÓN BINARIA

Es la constituida por preguntas con respuesta únicas y

excluyente: Si o No. Matemáticamente equivalen a 1 o
0. Ej.:

a) El personal de desarrollo conoce la normativa de

revisión de programas:
1. Si
2. No
INVENTARIOS
Esta forma de recopilación de
información consiste en hacer
un recuento físico de lo que se
está auditando, a fin de saber la
cantidad existente de algún
producto en una fecha
determinada y compararla con
la que debería haber según los
documentos en esa misma
fecha.
INVENTARIOS
INVENTARIOS
INVENTARIOS
 TRAZAS Y/O HUELLAS
Las trazas, se basan en el uso de software, que
permite conocer todos los pasos seguidos por la
información, sin interferir el sistema.

Con frecuencia el auditor informático debe verificar

los programas, tanto de los sistemas como usuario,
realizan exactamente las funciones previstas, y no
otras. Para ello se apoya en productos de software
que, entre otras funciones, rastrean los caminos
que siguen los datos a través del programa.
 TRAZAS Y/O HUELLAS
 No obstante la utilidad de las trazas, el auditor
informática emplea preferentemente la amplia
información que proporciona el propio sistema
(logs).

 Se ha utilizado el software de interrogación para

auditar ficheros y bases de datos de la
organización.
ERRORES E IRREGULARIDADES ENCONTRADOS
DURANTE LA AUDITORIA INFORMATICA

 Información errónea.
 Fraudes, espionaje, delincuencia y
terrorismo informática.
 Sistemas mal diseñados.
 Accesos no autorizados de usuarios.
 Piratería de software.
 Robo de secretos comerciales.
 Cuestionario de 15 preguntas sobre
seguridad de un datacenter.
 Lista de verificación de 15 items para
controles de una red empresarial. (5
rango y 5 binaria) .