AUDITORIA DE SISTEMAS

PLANEACION
 INTRODUCCION

A continuación, se presenta la planificación de una Auditoria en sistemas de la

empresa, Industrias S.A, ubicada en la ciudad de Guatemala, en donde se
realizará una evaluación del funcionamiento y seguridad de los sistemas
informáticos de la empresa, así como el estudio suficiente de las operaciones del
mismo que permita generar un respaldo en la emisión del informe a la auditoría
practicada.

Para hacer una adecuada planeación de la auditoría en informática, hay que

seguir una serie de pasos previos que permitirán dimensionar el tamaño y
características del área dentro del organismo a auditar, sus sistemas, organización
y equipo; con ello podremos determinar el número y características del personal
de auditoría, las herramientas necesarias, el tiempo y costo, así como definir los
alcances de la auditoría para, en caso necesario, poder elaborar el contrato de
servicios. En el caso de la auditoria en informática, la planeación es fundamental,
pues habrá que hacerla desde el punto de vista de los tres objetivos; Evaluación
administrativa del área de procesos electrónicos, Evaluación de los sistemas y
procedimientos, Evaluación de los equipos de cómputo.

En nuestra planificación, tenemos como iniciativa realizar nuestra visita preliminar

donde nos enfocamos en las funciones administrativas, desarrollo, revisión de
aspecto ergonómico de los sistemas computacionales, percepción del personal,
contacto inicial con responsable y empleados del área. Así mismo desarrollar
nuestros objetivos, los cuales son identificar si existen problemáticas de sistemas,
e identificar políticas normas y procedimientos de la empresa pueden detectar
riesgos.

Auditoria
La auditoría es el examen crítico y sistemático que realiza una persona o grupo de
personas independientes del sistema auditado, que puede ser una persona,
organización, sistema, proceso, proyecto o producto.
Aunque hay muchos tipos de auditoría, la expresión se utiliza generalmente para
designar a la «auditoría externa de estados financieros», que es una auditoría
realizada por un profesional experto en contabilidad, de los libros y registros
contables de una entidad, para opinar sobre la razonabilidad de la información
contenida en ellos y sobre el cumplimiento de las normas contables.
La auditoría es una serie de métodos de investigación y análisis con el objetivo de
producir la revisión y evaluación profunda de la gestión efectuada.

Etimología
El origen de la auditoría proviene de la palabra auditor derivada del latín audire
que significa arte de oír. Los historiadores creen que los registros contables
tuvieron su origen alrededor del año 4000 antes de Cristo, cuando las antiguas
civilizaciones del lejano oriente comenzaron a establecer gobiernos y negocios
organizados. Desde el principio los gobiernos se preocuparon por llevar la cuenta
de entradas y salidas de dinero y el cobro de los impuestos.

Auditoria en Sistemas
Es la revisión que se dirige a evaluar los métodos y procedimientos de uso en una
entidad, con el propósito de determinar si su diseño y aplicación son correctos; y
comprobar el sistema de procesamiento de Información como parte de la
evaluación de control interno; así como para identificar aspectos susceptibles de
mejorarse o eliminarse.

La Auditoría de Sistemas es la verificación de controles en el procesamiento de la

Información, desarrollo de sistemas e instalaciones, actividad dirigida a verificar y
juzgar la información.
Características de la Auditoria de Sistemas
 Realizar una evaluación con personal multidisciplinario y capacitado
en el área de sistemas, con el fin de emitir un dictamen
independiente sobre la razonabilidad de las operaciones del sistema
y la gestión administrativa del área de informática.
 Hacer una evaluación sobre el uso de los recursos financieros en las
áreas del centro de información, así como del aprovechamiento del
sistema computacional, sus equipos periféricos e instalaciones.
 Evaluar el uso y aprovechamiento de los equipos de cómputo, su
periféricos, las instalaciones y mobiliario del centro de cómputo, así
como el uso de sus recursos técnicos y materiales para el
procesamiento de información.
 Evaluar el aprovechamiento de los sistemas de procesamiento, sus
sistemas operativos, los lenguajes, programas y paqueterías de
aplicación y desarrollo, así como el desarrollo e instalación de
nuevos sistemas.
 Evaluar el cumplimiento de planes, programas, estándares, políticas,
normas y lineamientos que regulan las funciones y actividades de las
áreas y de los sistemas de procesamiento de información, así como
de su personal y de los usuarios del centro de información.
 Realizar la evaluación de las áreas, actividades y funciones de una
empresa, contando con el apoyo de los sistemas computacionales,
de los programas especiales para auditoria y de la paquetería que
sirve de soporte para el desarrollo de auditorías por medio de la
computadora.
  Periodicidad en el cambio de claves de acceso

Los cambios de Claves de acceso o los programas se deben realizar

periódicamente. El no realizar estos cambios aumenta la posibilidad de que
personas no autorizadas conozcan y utilicen claves de usuarios del sistema de
información. Por lo tanto se recomienda cambiar las claves de acceso por lo
menos trimestralmente.

 Combinación alfanumérica en las claves

No es conveniente que la clave este compuesta por códigos de empleados, ya que

una persona no autorizada a través de pruebas simples o deducciones puede dar
con dicha clave. Las claves no deben corresponder a números secuenciales ni a
nombres o fechas.

 Verificación de datos de entrada

Incluyen rutinas que verifiquen la compatibilidad de los datos; tal es el caso de la

validación del tipo de datos que contienen los campos. Verificar si se encuentran
dentro de un rango.

 Conteo de registros

Consiste en crear campos de memoria para ir acumulando cada registro que se

ingrese y verificar con los totales ya registrados.

 Totales de control

Se realiza mediante la creación de totales de líneas, columnas, cantidades de

formularios, cifras de control, etc. Y automáticamente verificar con un campo en el
cual se va acumulando los registros.
 Antecedentes de la auditoría de sistemas
La auditoría en sistemas también cuenta con antecedentes en el ámbito
internacional. Y sólo para complementar esta monografía citare algunas fechas
relevantes para este tipo de auditoría. Tomando como referencia el libro:
“Auditoría en sistemas computacionales” puntualiza las siguientes fechas (Muñoz,
2002):En 1988, Echenique público su libro Auditoria de sistemas, en el cual
establece las principales bases para el desarrollo de una auditoría de sistemas
computacionales, dando un enfoque teórico práctico sobre el tema. En 1992, Lee
presento un libro en el cual enuncia los principales aspectos a evaluar en una
auditoría de sistemas, mediante una especie de guía que le indica al auditor los
aspectos que debe evaluar en este campo.

Marco esquemático de la auditoría de istemas

computacionales administrativos
El autor Carlos Muñoz Razo (2002), menciona el siguiente marco esquemático de
la auditoría en sistemas computacionales administrativos: Evaluación a Hardware.

Plataforma de hardware
 Tarjeta madre
 Procesadores
 Dispositivos periféricos
 Arquitectura del sistema
 Instalaciones eléctricas, de datos y de telecomunicaciones
 Innovación tecnológica de hardware y periférica
Software
 Plataforma del software
 Sistema operativo
 Lenguajes de programación de desarrollo
 Utilerías, bibliotecas y aplicaciones
 Software de telecomunicaciones
 Juegos y otros tipos de hardware Gestión informática
 Actividad administrativa del área de sistemas
 Operación del sistema de cómputo
 Planeación y control de actividades
 Presupuestos y gastos de los recursos informáticos
 Gestión de la actividad informática
 Capacitación y desarrollo del personal informático
 Administración de estándares de operación, programación y desarrollo
Información
 Administración, seguridad y control de la información
 Salvaguarda, protección y custodia de la información
 Cumplimiento de las características de la información19Diseño de sistemas
 Metodologías de desarrollo de sistemas
 Estándares de programación y desarrollo
 Documentación de sistemas
Bases de datos
 Administración de bases de datos
 Diseño de bases de datos
 Metodologías para el diseño y programación de bases de datos
 Seguridad, salvaguarda y protección de las bases de datos
 Seguridad del área de sistemas
 Seguridad física
 Seguridad lógica
 Seguridad de las instalaciones eléctricas, de datos y de telecomunicaciones
 Seguridad de la información, redes y bases de datos
 Administración y control de las bases de datos

Redes de cómputo
 Plataformas y configuración de las redes
 Protocolos de comunicaciones
 Sistemas operativos y software
 Administración de las redes de cómputo
 Administración de la seguridad de las redes
 Administración de las bases de datos de las redes

Especializadas
 Outsourcing
 Helpdesk
 Ergonomía en sistemas computacionales
 ISO-9000
 Internet/ intranet
 Sistemas multimedia
Historia u origen de la Auditoria:
Recibimos una carta de la empresa llamada Industrias S.A. solicitándonos una
propuesta para realizar la auditoria en sistemas, en dicha carta nos indican que es para
poder determinar áreas de mejora para el funcionamiento de sus software y Hardware
y en lo posible recomendaciones para su sistema contable ya que están planeando una
expansión y requieren saber si están preparados para poder afrontar dicha expansión.
Por lo que con gusto enviamos una propuesta y en la cual para poder detallar de mejor
manera nuestro trabajo solicitamos una visita preliminar para poder conocer de mejor
manera dicha empresa.
La empresa se llama INDUSTRIAS S.A. Ubicada guatemala La Empresa se dedica a
la producción de Chocolate tiene una planta de producción en Guatemala, y las oficinas
administrativas en la Capital. Las metas de la empresa es ofrecer un producto de
excelente calidad no solo en el mercado Nacional y en los Departamentos.

Visita Preliminar:
En esta etapa se diagnostica la situación actual de la empresa, se estima el grado de
satisfacción y confianza que tienen los productos, servicios y recursos de informática
del negocio, así como se detectan las fortalezas y debilidades que posee, además se
obtienen las áreas de oportunidad que tiene la informática para ser más competitivo y
rentable el negocio, dentro de dicha visita se pudo conversar con el Sr. Fredy Perez
quien es el Gerente General de la empresa industrias, S.A., así mismo la empresa
cuenta con el Sr. Armando Sosa quien es el encargado del área de informática dicha
persona es externa a la empresa, la empresa cuenta con 19 trabajadores, en dicha
visita se pudo observar lo siguiente:

 Distribución de empleados 9 área administrativa, 8 del área de ventas, 1

encargado de bodega, 1 gerente general y 1 encargado del área de informática
el cual es externo a la empresa.
 Cuentan con equipos de tecnología en buen estado.
 Cuentan con equipo de respaldo de energía (Ups)
 Tienen un sistema de cableado que no es el adecuado.
 La infraestructura del área de servidores no es segura.
 La ubicación del servidor no está en área central, pero en la ubicación que tiene
es funcional para la distribución de las maquinas que se conectan a él.
  La seguridad y el acceso al servidor es deficiente ya que el mismo no se
encuentra en un área restringida, sino que está a la vista de todos.

 Cuentan con un sistema contable llamado “Empresarial” (modulo financiero –

Contable, módulo de inventarios y facturación, cuentas por cobrar y por pagar”.
 La conexión de internet es estable.

Durante dicha visita se realizó recorrido por las instalaciones de la empresa para
observar la distribución del equipo de trabajo tanto humano como tecnológico, para
poder ver la seguridad e infraestructura del negocio, determinando que son adecuados.

OBJETIVOS GENERALES

Auditoria de sistemas de informática de la empresa INDUSTRIAS, S.A. ubicada en

guatemala será de una manera eficiente y eficaz basada en técnicas y métodos
concisos a la informática y los recursos de la empresa.

Revisar y Evaluar los controles, sistemas, procedimientos de informática; de los

equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que
participan en el procesamiento de la información, a fin de que por medio del
señalamiento de cursos alternativos se logre una utilización más eficiente y segura de
la información que servirá para una adecuada toma de decisiones

Efectuar una auditoria en las áreas informáticas de la empresa “industrias, S.A.”

ubicada en Guatemala, de una manera veraz y eficiente basado en métodos, técnicas y
herramientas oportunas y concisas para la evaluación de los recursos informáticos y
tecnológicos de la organización.

OBJETIVOS ESPECIFICOS:

 Conocer la situación actual del área de informática y las actividades y esfuerzos

necesarios para lograr los objetivos propuestos.
 Determinar si el Hardware se utiliza de manera adecuada y eficiente.
 Revisar el inventario del Hardware.
 Revisar los procedimientos de seguridad física.
 Examinar los controles de acceso físicos.
  Comprobar los procedimientos prevención, detección y corrección frente a
cualquier tipo de desastre.

 Revisar los procedimientos de planificación, adecuación y mantenimiento del

software del sistema.
 Comprobar la seguridad e integridad de las bases de datos.
 Verificar que los equipos como impresoras, monitores, discos duros, etc.
Cumplan con un buen funcionamiento
 Verificar que los sistemas cuenten con antivirus instalados eficaces que
permitan depurar o eliminar cualquier virus ocasionado por el uso de internet.
 Verificar el área de respaldo de la información (Backups).

PROYECTO PARA LA PLANIFICACIÓN DE AUDITORIA EN INFORMÁTICA:

En esta etapa se hará una planeación de la situación actual de la Empresa, se

estima el grado de satisfacción y confianza de los servicios de Informática, así
Como se detectara las fortalezas y debilidades que posee para poder ser más
efectivos y rentables en el sistema.

Identificación preliminar de la problemática:

Durante dicha visita se pudo observar que el principal factor de riesgo o problemática
de la entidad Industrias, S.A., es la infraestructura relacionada al cableado para la
distribución de datos a cada una de las unidades de trabajo, incluyendo la ubicación del
servidor, derivado a que se encuentra en área inadecuada, derivado a que en dicha
ubicación almacenan papelería y suministros de la empresa.

Asignación de Recursos:
 Auditores USAC & Asociados
Auditores y Consultores en Informática Empresarial

Cliente: Duración:
Industrias, S.A. Del 15/02/19 al 15/05/19

Recursos Sueldo Mensual Precio a facturar

Gerente de
Auditoria Q. 6,500.00 Q. 19,500.00
Fredy Garcia

Auditor Junio Q. 4,500.00 Q. 13,500.00

Jose Manuel
Tahuite

Auditor Junio Q. 4,500.00 Q. 13,500.00

Eddie Garcia

Auditor Junio Q. 4,500.00 Q. 13,500.00

Jonathan Perez

Papelería Q. 200.00 Q. 600.00

Software Q. 3,800.00 Q. 3,800.00

Total Q. 64,400.00
Delimitación y estrategia para el desarrollo de la auditoria
Delimitación:
 Comprobar el ingreso de transacciones y entender el comportamiento del
sistema.
 Revisión de seguridad de los aspectos por vía internet.
 Comprobación del procesamiento en cuanto en autorización, completitud y
exactitud del sistema.
 Realización de procedimientos sustantivos cuando se presumen problemas en el
diseño y control.
 Mapeo y rastreo de programas.
 Análisis de bitácoras.
 Datos de prueba.

Estrategias:
 Se verificará las licencias de los programas utilizados en la corporación.
 Comprobar la compra de los equipos de cómputo y así mismo la ficha de
especificaciones que tienen cada equipo.
 Monitorear las responsabilidades del departamento de sistemas.
 Obtener información sobre Responsabilidades y autoridad dentro de los
sistemas.
 Confirmar si posee personas capacitadas a los sistemas de información en la
corporación.
 Revisión de controles existentes.
 Observación del trabajo en equipo, revisión de la documentación que se ingresa
al sistema y cuál es el proceso que conlleva cada una, realización de entrevistas
con respecto a los sistemas y equipo.

Plan de Auditoria:
Objetivos finales de auditoria:
 Evaluar el diseño y prueba de los sistemas del área de Informática
 Determinar la veracidad de la información del área de Informática
 Evaluar los procedimientos de control de operación, analizar su estandarización
y evaluar el cumplimiento de los mismos.
 Evaluar la forma como se administran los dispositivos de almacenamiento
básico del área de Informática.
 Evaluar el control que se tiene sobre el mantenimiento y las fallas de las Pcs.
  Verificar las disposiciones y reglamentos que coadyuven al mantenimiento del
orden dentro del departamento de cómputo.
Metodología
La metodología de investigación a utilizar en el proyecto se presenta a continuación:
Para la evaluación del Área de Informática se llevarán a cabo las siguientes
actividades:
 Solicitud de los estándares utilizados y programa de trabajo.
 Aplicación del cuestionario al personal.
 Análisis y evaluación del a información.
 Elaboración del informe

 Para la evaluación de los sistemas tanto en operación como en desarrollo se

llevarán a cabo las siguientes actividades:

1. Solicitud del análisis y diseño del os sistemas en desarrollo y en operación

2. Solicitud de la documentación de los sistemas en operación (manuales
técnicos, de operación del usuario, diseño de archivos y programas)
3. Recopilación y análisis de los procedimientos administrativos de cada
sistema (flujo de información, formatos, reportes y consultas)
Para la evaluación de los equipos se llevarán a cabo las siguientes actividades:

 Solicitud de los estudios de viabilidad y características de los equipos actuales,

proyectos sobre ampliación de equipo, su actualización.
 Elaboración de un cuestionario sobre la utilización de equipos, memoria,
archivos, unidades de entrada/salida, equipos periféricos y su seguridad.
 Visita técnica de comprobación de seguridad física y lógica de las instalaciones
de la Dirección de Informática.
 Evaluación técnica del sistema electrónico y ambiental de los equipos y del local
utilizado.

Justificación
 Desconocimiento en el nivel directivo de la situación informática de la empresa.
 Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad
del personal, equipos e información.
 Descubrimiento de fraudes efectuados con el computador.
 Falta de una planificación informática.
Motivo o necesidad de una auditoria informática:
Síntomas de mala imagen e insatisfacción de los usuarios:
 No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de
software en los terminales de usuario, resfriamiento de paneles, variación de los
ficheros que deben ponerse diariamente a su disposición, etc.
 No se reparan las averías de hardware ni se resuelven incidencias en plazos
razonables. El usuario percibe que está abandonado y desatendido
permanentemente.
 No se cumplen en todos los casos los plazos de entrega de resultados
periódicos.
Síntomas de Inseguridad: Evaluación de nivel de riesgos
 Seguridad Lógica.
 Seguridad Física.
 Confidencialidad.
 Los datos son propiedad inicialmente de la organización que los genera. Los
datos de personal son especialmente confidenciales.

Empresa a Auditar: Industrias, PERIODO DE TIEMPO

S.A. EN
SEMANAS
FEBR
E MARZO ABRIL
RO
RESPONSABLE
ACTIVIDADES 1 2 3 4 1 2 3 4 1 2 3 4
PRIMERA FASE
Docente
Información General del curso Supervisor
Análisis Interno de la Grupo de
elaboración Trabajo
de auditoría
Grupo de
Integración de Grupos de trabajo trabajo
Grupo de trabajo-
Discusión de plan de auditoría Docente
Entrega de carta para realizar la Grupo de
auditoría en sistemas Trabajo
 Trabajo
Objetivos Específicos y Generales Grupo de
trabajo
Metas a corto, mediano y largo Grupo de
plazo trabajo
Recabo de Información para Grupo de
Auditoría trabajo
Coordinación de Auditoría de Grupo de
Sistemas trabajo
SEGUNDA FASE
Grupo de
Asignación de áreas críticas trabajo
Observación de Oportunidades de Grupo de
mejora trabajo
Grupo de
Elaboración de papeles de trabajo trabajo
Entrega de primer borrador de Grupo de
papeles de trabajo trabajo
TERCERA FASE
Grupo de
Entrega de Auditoría en Sistemas trabajo
Entrega de Auditoría en Sistemas Grupo de
a industrias, S.A. trabajo
ntrega de Plan de Auditoría en Grupo de
Sistemas Trabajo
Visita Preliminar a Grupo
empresa (Auditada) detrabajo
industrias, S.A.
Misión y visión Grupo de

No se establecen en el cronograma fechas en específico ya que quedan a la espera de

confirmar con el gerente general de la empresa Industrias, S.A. para que estas puedan
ser establecidas y confirmadas.

Documentos a solicitar:
 Políticas, estándares, normas y procedimientos.
 Plan de sistemas.
 Planes de seguridad y continuidad Contratos, pólizas de seguros.
 Organigrama y manual de funciones.
 Manuales de sistemas.
 Registros Entrevistas Archivos Requerimientos de Usuarios.
Técnicas y herramientas por área de revisión

Las técnicas aplicarse son:

 Realizar entrevistas
 Efectuar visitas de verificación físicas
 Aplicar cuestionarios por medio de una Lista de verificación con preguntas
breves y concretas
 Análisis de la información obtenida

Las Herramientas a utilizarse son:

 Papelería
 Computadora Personal
 Software de oficina : Word (trabajo), Power Point (Presentación)
 Modelo Estándar de metodología en la implantación de auditoria informática
Esta metodología tiene tres etapas fundamentales:

1ª Etapa: Planeación de la auditoría de sistemas computacionales.

El primer paso para realizar una auditoría en sistemas computacionales es

definir las actividades necesarias para su ejecución, lo cual se
Logrará mediante una adecuada planeación de éstas; es decir, se deben
identificar claramente las razones por las que se va a realizar la auditoría y la
determinación del objetivo de la misma, así como el diseño de los métodos,
técnicas y procedimientos necesarios para llevarla a cabo y para preparar los
documentos que servirán de apoyo para su ejecución, culminando con la

elaboración documental de los planes para dicha auditoría. En esta etapa se

consideran los siguientes puntos:

1- Identificar el origen de la auditoría.

2- Realizar una visita preliminar al área que será
evaluada.

3- Establecer los objetivos de la auditoría.

4- Elaborar los planes para realizar la auditoría.

5- Identificar y seleccionar los métodos, procedimientos, instrumentos y

herramientas necesarios para la auditoría.
2ª Etapa: Ejecución de la auditoría de sistemas

Computacionales. El siguiente paso después de la planeación de la auditoría

es su ejecución, la cual estará determinada por las características concretas,
los puntos y requerimientos que se consideraron en la etapa de planeación.
Los principales puntos son los siguientes:

1- Realizar las acciones programadas para la auditoría.

2- Aplicar los instrumentos y herramientas para la
auditoria.

3- Identificar y elaborar los documentos de

desviaciones.
4- Elaborar el dictamen preliminar y presentarlo a
discusión.
5- Integrar el legajo de papeles de trabajo de la
auditoría.

3ª Etapa: Dictamen de la auditoría de sistemas computacionales.

El último paso de la metodología es emitir el dictamen, el cual es el resultado

final de la auditoría de sistemas computacionales. Para ello se consideran los
siguientes puntos:
1- La información y elaborar un informe de situaciones
detectadas.
2- Elaborar el dictamen final.
3- Presentar el informe de auditoría
Conclusiones:
 Como resultado de la Auditoria podemos manifestar que hemos cumplido
con evaluar cada uno de los objetivos contenidos en el programa de
auditoria.
 El Departamento de centro de cómputo presenta deficiencias sobre el
debido cumplimiento de Normas de seguridad.
 La escasez de personal debidamente capacitado.
 Cabe destacar que el sistema ofimático pudiera servir de gran apoyo a la
organización, el cual no es explotado en su totalidad por falta de personal
capacitado.
Recomendaciones:
 Se recomienda contar con sellos y firmas digitales
 Un de manual de funciones para cada puesto de trabajo dentro del área.
 Reactualización de datos.
 Implantación de equipos de última generación Elaborar un calendario de
mantenimiento de rutina periódico.
 Capacitar al personal.