1. Ing. Julio Cesar Menendez
AUDITORIA INFORMATICA

3. Estudio preliminar
Revisión y evaluación de control y
seguridad
Examen detallado de aéreas criticas
Comunicación de resultados

4. Definir grupo de
trabajo, programa de
auditoria, visitas para
conocer detalles,
elaborar cuestionario
para obtención de
información, solicitud
de plan de
actividades, entre
otros.

5. Revisión de diagramas y flujos de
procesos.
Revisión de las aplicaciones de las
áreas críticas
Backups
Documentación
Archivos y otras actividades

6. Con las fases anteriores
el auditor descubre las
áreas críticas y sobre
ellas establecerá
motivos, objetivos,
alcance, recursos,
metodología de trabajo,
duración, plan de
trabajo y análisis del
problema.

7. Se elaborará del borrador del
informe a ser discutido con los
ejecutivos de la empresa hasta
llegar al definitivo.
Debe contener:
Motivos de la auditoria
Objetivos
Alcance
Estructuras Orgánicas –
Funcional del área informática
Configuración del Hardware y
software instalado

9. Está basado en
la filosofía de
que los recursos
TI necesitan ser
administrados
por un conjunto
de procesos
naturalmente
agrupados para
proveer la
Es un modelo de evaluación
y monitoreo que enfatiza en
el control de negocios y la
seguridad IT y que abarca
controles específicos de IT
desde una perspectiva de
negocios
Propone un marco de acción
donde se evalúan los
criterios de información
Se auditan los recursos que
comprenden la tecnología
de información

10. •Planificación y organización
•Adquisición e implantación
•Soporte y Servicios
• Monitoreo

11. Esta metodología es la
aproximación más
globalmente aceptada
para la gestión de
servicios de Tecnologías
de Información en todo el
mundo, ya que es una
recopilación de las
mejores prácticas tanto
del sector público como
del sector privado.
Propone:
El establecimiento de
estándares que nos ayuden en
el control, operación y
administración de los recursos
(ya sean propios o de los
clientes).
Para cada actividad que se
realice se debe de hacer la
documentación pertinente, ya
que esta puede ser de gran
utilidad para otros miembros del
área

12. Es un Estándar Internacional de
Sistemas de Gestión de Seguridad de la
Información (SGSI o ISMS) que permite
a una organización evaluar su riesgo e
implementar controles apropiados para
preservar la confidencialidad, la
integridad y la disponibilidad del valor
de la información

13. Es una norma internacional que se
aplica a los sistemas de gestión de
calidad (SGC) y que se centra en todos
los elementos de administración de
calidad con los que una empresa debe
contar para tener un sistema efectivo
que le permita administrar y mejorar la
calidad de sus productos o servicios

14. Propósito o fin que persigue la
auditoría, o la pregunta que se desea
contestar por medio de la auditoría.

15. Buscar una mejor relación Costo - beneficio de los
sistemas automáticos o computarizados diseñados.
Incrementar la satisfacción de los usuarios de los
sistemas computarizados.
Asegurar una mayor integridad, confidencialidad de la
información mediante la recomendación de
seguridades y controles.

16. Conocer la situación actual del área informática y
las actividades y esfuerzos necesarios par lograr los
objetivos propuestos.
Seguridad de personal, datos, hardware, software
e instalaciones.
Apoyo de función informática a las metas y
objetivos de la organización.

17. Seguridad, Utilidad, confianza, Privacidad, y
Disponibilidad en el ambiente informático.
Minimizar existencias de riesgos en el uso de
Tecnología de información.
Decisiones de inversión y gastos innecesarios
Capacitación y educación sobre controles en los
sistemas de información

18. •Recomendar la existencia de pautas sobre la renovación
y/o adquisición tanto de software como de hardware,
para que no obedezcan estas decisiones a circunstancias
temporales.
•Velar por la existencia de un plan maestro que guíe la
implementación de todos los sistemas de información,
que incluya la prueba integral del sistema, adecuación,
aceptación por parte del usuario, entrenamiento,
entrega formal del sistema a los usuarios,
documentación back-ups etc.

19. •velar para que se prueben periódicamente los planes de
seguridad, localizando los problemas y presentando
alternativas de solución.
•Revisar que el plan de contingencias contemple aspectos
relacionados con hardware, software documentación,
talento humano y soporte logístico.

20. Es el marco o
límite de la
auditoría y las
materias, temas,
segmentos o
actividades que
son objeto de la
misma.

22. Origen de la auditoria
resultado de la revisión estratégica
objetivos de la auditoria
alcance de la auditoria.
recurso de personal
áreas a ser examinadas

23. objetivos y alcance de la auditoria
criterios de auditoria a utilizar
fuentes de obtención de evidencia de auditoria
equipo de trabajo
Información administrativa
informes a emitir y fechas de entrega
estructura del informe a emitir
presupuesto de tiempo
cronograma de actividades

24. El plan se elabora teniendo en cuenta, entre otros
criterios, los siguientes:
a) Si la Revisión debe realizarse por áreas generales o
áreas específicas. En el primer caso, la elaboración es más
compleja y costosa.
b) Si la auditoría es global, de toda la Informática, o
parcial. El volumen determina no solamente el número de
auditores necesarios, sino las especialidades necesarias
del personal.

26. CARACTERISTICAS
1. Sencillo y comprensivo.
2. Ser elaborado tomado en cuenta los
procedimientos que se utilizarán de
acuerdo al tipo de empresa a examinar
3. El programa debe estar encaminado a
alcanzar el objetivo principal
4. Debe desecharse los procedimientos
excesivos o de repetición.

27. 5. El programa debe permitir al Auditor
examinar, analizar, investigar, obtener,
evidencias para luego poder dictaminar y
recomendar.
6. Las sociedades Auditoras
aconstumbran tener formatos pre
establecidos.
7. El programa debe ser cofeccionado
en forma actualizada y con amplio sentido
critico

28. Los programas de
Auditoría generales
Los programas de
Auditoría detallados

29. Recopilación de datos.
Identificación de lista de personas a entrevistar.
Identificación y selección del enfoque del trabajo
Identificación y obtención de políticas, normas y
directivas.
Desarrollo de herramientas y metodología para probar y
verificar los controles existentes.
Procedimientos para evaluar los resultados de las pruebas
y revisiones.
Procedimientos de comunicación con la gerencia.
Procedimientos de seguimiento.

30. PLAN DE AUDITORIA PROGRAMA DE AUDITORIA
descripción de las actividades y de los
detalles acordados de una auditoría
conjunto de una o más auditorías
planificadas para un periodo de tiempo
determinado y dirigidas hacia un
propósito específico
qué vas hacer en una auditoria en
particular? (agenda flexible, horarios
aproximados, critérios de la auditoria,
etc.).
¿"¿qué vas auditar - alcance: procesos,
áreas, claúsulas aplicables,
etc...?"; ¿cuándo vas auditar?; "¿cuánto
durará la auditoria?" y "¿por qué/con
qué objetivo vas auditar?"; ¿quiénes
serán los auditores?