1.

TÉCNICAS CONVENCIONALES DE
AUDITORÍA

 Inspección
 Confirmación
 Comparación
 Revisión documental
 Matriz FODA
 1.1. INSPECCIÓN
Monitorear, supervisar, y examinar la forma en las que
se desarrollan las actividades de un área de sistemas a
fin de evaluar y emitir un informe sobre el desarrollo
del área.

La inspección permite verificar la eficiencia y eficacia

de los sistemas, en cuanto a operación y
procesamiento de datos, desarrollo de actividades,
examina recursos materiales, seguridad y registros.
 1.1. EJEMPLOS DE INSPECCIÓN
 La inspección de los sistemas de seguridad y
protección de las instalaciones, equipos,
personal.

 La inspección del uso, almacenamiento y

protección de los sistemas, programas e
información que se procesa en el centro de
cómputo
 1.2 CONFIRMACIÓN
El aspecto más importante en la
auditoría es la confirmación de
los hechos y la certificación de
los datos que se obtiene en la
revisión, comprobar la veracidad
y confiabilidad de las pruebas y
procedimientos con las que se
obtuvo la información que va a
ser incluido en el informe de
auditoría.
 1.2 EJEMPLOS DE CONFIRMACIÓN
 Confirmar los usuarios y privilegios que tienen acceso a
la base de datos correspondan a los que realmente
justifique dicho acceso.

 Revisar las licencias del software instalado en los

sistemas computacionales de la empresa.

 Confirmar la confiabilidad de las protecciones,

contraseñas y demás medidas de seguridad
establecidas.
1.3 COMPARACIÓN

Es la comparación de los datos

obtenidos en un área o en toda
la organización y cotejando esa
información con los datos
similares o iguales de otra
organización con características
semejantes.
 1.3 EJEMPLOS DE COMPARACIÓN

• Determinar las actividades y operaciones

desarrolladas en un centro de cómputo, a fin de
compararlas con las de otro centro similar para
evaluar su eficiencia y eficacia

• Comparar las similitudes y diferencias en el

desarrollo e implementación de proyectos
 1.4 REVISIÓN DOCUMENTAL

Esta técnica se aplica verificando el correcto registro

de datos en documentos formales de la empresa y,
con mucha frecuencia en la emisión de resultados
financieros. Además se puede revisar registro de
actividades y operaciones definidos en documentos
1.3 EJEMPLOS DE REVISIÓN DOCUMENTAL

• Verificar la existencia, actualización y cumplimiento

de normas, políticas, reglamentos, planes y
presupuestos del área de sistemas,
• Revisar el uso y registro de documentos(bitácoras)
para el control de software, hardware, bases de
datos y accesos.
• Evaluar el desarrollo de las operaciones y
funcionamiento del sistema, mediante la revisión y el
seguimiento de las instrucciones plasmadas en los
manuales e instructivos de la operación.
 1.4 MATRIZ FODA
Técnica de diagnostico y planeación estratégica de uso
común en las empresas para tratar un problema de varias
perspectivas. La aplicación de la matriz FODA en la
auditoría en sistemas, permite estudiar las influencias que
afectan el comportamiento del área de sistemas en la
empresa.(proveedores, desarrolladores, sistema, entorno)

¿Cómo se puede explotar cada fortaleza?

¿Cómo se puede aprovechar cada
oportunidad?
¿Cómo se puede detener cada debilidad?
¿Cómo se puede defender de cada
amenaza?
 1.4 MATRIZ FODA
Los pasos para construir una matriz DOFA son los
siguientes:
 Hacer una lista de las fortalezas internas claves.
 Hacer una lista de las debilidades internas decisivas.
 Hacer una lista de las oportunidades externas importantes
 Hacer una lista de las amenazas externas claves.
 Comparar las fortalezas internas con las oportunidades externas y
registrar las estrategias FO resultantes en la casilla apropiada.
 Cortejar las debilidades internas con las oportunidades externas y
registrar las estrategias DO resultantes.
 Comparar las fortalezas internas con las amenazas externas y
registrar las estrategias FA resultantes.
 1.4 EJEMPLOS MATRIZ FODA
Fortalezas
• Se cuenta con el personal suficiente
para las actividades cotidianas.
• Se cuenta con las herramientas
tecnológicas necesarias.
• Personal esta capacitado para la
administración.
• Se posee procedimientos de
actividades críticas documentados.
• Servicio tecnológico adecuado.
• Atención de requerimientos de
soporte adecuado
Oportunidades
• Se puede realizar préstamos para
inversión en tecnología.
• Nuevas tecnologías que permiten
mejorar la eficiencia de los procesos.
Debilidades
• Recurso económico insuficiente.
• No se cuenta con el personal suficiente
para actividades externas a sistemas.
• Renovaciones de equipos informáticos
no se llevan a cabo.
• No se cuenta con un soporte 24 horas.
• Se posee procedimientos de
actividades críticas documentados.
• Los desarrollos que se llevan a cabo no
se apega a estándares internacionales.
• Retraso en el desarrollo de proyectos
informáticos.
Amenazas
• Ataques informáticos externos.
• Dependencia de entes externos para
recursos económicos
• Cambios de regulaciones legales.
TÉCNICAS ESPECIALES DE AUDITORÍA DE
SISTEMAS

 Guías de Auditoría
 Evaluación
 Ponderación
 Análisis de
diagramación de
sistemas
 Programas para revisión
por computadora
 Diagramas de Círculo
 1. GUÍAS DE AUDITORÍA
 En este documento se describe la forma en
la que cada uno de los puntos serán
evaluados y como deberán ser analizados.

 Mediante este documento el auditor puede

hacer el seguimiento paso a paso de todos
los procedimientos para evaluar los puntos
que tenga que evaluar.

 La utilidad de este docum ento estará

determinada por la calidad, contenido y
profundidad de los aspectos que abarque.
 1. GUÍAS DE AUDITORÍA

Figura. Ejemplo de formato de guía de

evaluación
 1. GUÍAS DE AUDITORÍA
HERRAMIENTAS UTILIZADAS
• Revisión documental o procedimientos
• Entrevistas
• Cuestionarios
• Encuestas
• Observación
• Examinar parámetros de configuración
• Pruebas al sistema, equipos, red, base de datos
• Check list
• Trazas o Huellas
• Ejecución de software
• Revisión de logs
• Inventarios.
 2. EVALUACIÓN
Consiste en analizar mediante pruebas de calidad y
cumplimiento de funciones, actividades y
procedimientos que se realizan en un sistema
informático Ej:

• Pruebas del sistema,

• Pruebas de implantación,
• Pruebas del sistema operativo,
• Pruebas de instalaciones del centro
de cómputo.
 2. EVALUACIÓN
Esta técnica se aplica a través de los siguientes pasos:
a. El establecimiento de parámetros de evaluación
b. Mediante la aplicación de pruebas manuales o herramientas
se procede a recopilar la información y se asigna un
puntaje.
c. El valor obtenido en el paso anterior se compara con el
valor esperado.
d. Después de hacer la comparación se sacan conclusiones
para valorar el grado cumplimiento del sistema que esta
siendo auditado.
e. Finalmente se proc ede a e va lua r el
inform e
 2.1 EVALUACIÓN DE LA GESTIÓN
ADMINISTRATIVA DEL ÁREA DE SISTEMAS
Manuales e instructivos de operación, del
sistema, de usuarios y procedimientos.

Metodologías y estándares para el

desarrollo de los sistemas.

Estándares de program ación y

documentación de sistemas.
 2.2 EVALUACIÓN DE EQUIPOS
DE COMPUTO
• La forma en que se lleva a cabo la
configuración del sistema, equipos, bases
de datos, etc.

• Adquisición, mantenimiento y dar de baja

a equipos

• La administración de los métodos de

accesos, seguridad y operación de equipos.
2.3 EVALUACIÓN DEL DISEÑO FÍSICO
DEL SISTEMA

Rendimiento y desempeño de los

sistemas.
La form a en que se realizaron las
instalaciones eléctricas, de
comunicaciones y de datos.
La adm inistración de los m étodos de
acceso, seguridad y protección físicos
 2.4 EVALUACIÓN DEL CONTROL DE
ACCESOS Y SALIDAS DE DATOS
• Los estándares, medidas de seguridad y métodos
establecidos para l a consulta de datos y salida de
información.

• La existencia y cumplimiento de las

especificaciones, estándares, medidas de
seguridad y métodos de acceso.

• La administración y control de los niveles de

accesos de administradores, operadores y usuarios
del sistema.
 2.5 EVALUACIÓN DE CONTROLES DE
ALMACENAMIENTO
El diseño adecuado de los archivos,
bases de datos y la form a en que se
almacena la información.
La administración y control de archivos,
programas e información.
Las formas y tipos de almacenamiento
de inform ación para los sistem as
com putacionales de la empresa
(disquetes, cintas, CD-Rs, sistem as
DVDs, etc).
La existencia y seguim iento de
programas de respaldos
2.6 EVALUACIÓN DE CONTROLES DE
SEGURIDAD
 La existencia y funcionamiento de los sistemas de
control de acceso físicos.
 La administración y control e accesos lógicos al
sistema, contraseñas, privilegios en el manejo de
la información y software .
 La administración y control de los lenguajes de
operación, desarrollo y programación de los
sistemas.
 La administración y control de sistemas de redes,
multiusuario y micro cómputo.
 La existencia, difusión y actu alización de los
planes de contingencia
 MATRIZ DE EVALUACIÓN
Permite recopilar información relacionada con la
actividad, operación, o función que se realiza en el
área informática, así como apreciar
anticipadamente el cumplimiento de dichas
actividades.

Consiste en una matriz de seis columnas de las

cuales la primera corresponde a la descripción, y
las otras cinco a un criterio de evaluación
descendente o ascendente (Exc., Bueno, Suf., Reg.,
Deficiente)
MATRIZ DE EVALUACIÓN
 3. PONDERACIÓN
Técnica especial de evaluación que da
un peso especifico a cada una de las
partes que serán evaluadas.

Busca equilibrar las posibles

descompensaciones que existen entre
las áreas o sistemas
computacionales.
 3. ELABORACIÓN DE UNA GUIA DE
PONDERACIÓN
Paso 1:
En la columna 1 se anotan las áreas o aspectos de
sistemas que serán evaluados, y en la columna 2 se
establece un peso porcentual específico de cada factor.
GUIA DE PONDERACION
FACTORES PRIMARIOS QUE SERAN PONDERADOS PESO POR FACTOR
1.- Administracion de la Seguridad 20%
2.-Centro de Proceso de datos e instalaciones 15%
3.- Equipamiento y Telecomunicaciones 20%
4.- Sistemas de Información 20%
5.- Personas y Usuarios 15%
6.- Configuracion del Sistemas 10%
TOTAL 100%
 3. ELABORACIÓN DE UNA GUIA DE
PONDERACIÓN
Paso 2:
A cada uno de los factores elegidos como primarios se
le designan actividades específicas que contribuyan a su
evaluación total.
Peso por
Actividades que van a ser evaluadas y ponderadas Peso por Actividad Factor
Ponderar
2.- Centro de Proceso de datos e instalaciones
Instalaciones Electricas 30% 5%
Climatización del CPD 15% 2%
Sistemas de Grabación y Vigilancia 20% 3%
Cableado Estructurado 15% 2%
Seguridad de acceso 20% 3%
Total del Factor a ponderar 100% 15%
 3. ELABORACIÓN DE UNA GUIA DE
PONDERACIÓN
Paso 3:
Se aplica esta guía de ponderación y se registran las
calificaciones adjudicadas para cada una de las
actividades propuestas
Peso por
Actividades que van a ser evaluadas y ponderadas Peso por Actividad Factor Calificación Porcentaje calificación
Ponderar
2.- Centro de Proceso de datos e instalaciones [1-5]
Instalaciones Electricas 30% 5% 3 3%
Climatización del CPD 15% 2% 3 1%
Sistemas de Grabación y Vigilancia 20% 3% 4 2%
Cableado Estructurado 15% 2% 2 1%
Seguridad de acceso 20% 3% 5 3%
Total del Factor a ponderar 100% 15% 10%
 3. ELABORACIÓN DE UNA GUIA DE
PONDERACIÓN
Paso 4:
El responsable de la auditoría debe realizar un análisis
profundo sobre cada uno de los resultados y valorar el
grado de cumplimiento de las actividades.
GUIA DE PONDERACION
FACTORES PRIMARIOS QUE SERAN PONDERADOS PESO POR FACTOR VALOR % ESPECIFICO
1.- Administracion de la Seguridad 20% 10%
2.-Centro de Proceso de datos e instalaciones 15% 10%
3.- Equipamiento y Telecomunicaciones 20% 15%
4.- Sistemas de Información 20% 15%
5.- Personas y Usuarios 15% 10%
6.- Configuracion del Sistemas 10% 10%
TOTAL 100% 70%
 4. ANÁLISIS DE DIAGRAMACIÓN DE
SISTEMAS
Ésta es una de las principales herramientas para el análisis y
diseño de los sistemas computacionales.

El analista puede representar:

• Los flujos de información, actividades,
operaciones, procesos y otros aspectos que
intervienen en el desarrollo de los propios sistemas

• El programador puede visualizar el panorama especifico

del sistema, para elaborar de manera mas precisa la
codificación de instrucciones para el programa.
 4. ANÁLISIS DE DIAGRAMACIÓN DE
SISTEMAS
El auditor puede utilizar esta herramienta para el
diseño de sistemas de diferentes formas en una
auditoria de sistemas, de acuerdo con su experiencia,
conocimientos y habilidades, mismas que debe
canalizar en los siguientes sentidos:

 Solicitar los diagramas del sistema.

 Analizar el diagrama del sistema.
 Elaborar un diagrama del sistema.
 Verificar la documentación de los sistemas a través
de sus diagramas.
4. TIPOS: DICCIONARIO DE DATOS
4. TIPOS: DIAGRAMAS DE BASE DATOS
4. TIPOS: DIAGRAMAS DE ESTADO DE
TRANSICION
4. TIPOS: DIAGRAMAS DE CASO DE
USO
4. TIPOS: DIAGRAMA DE SECUENCIA
4. TIPOS: DIAGRAMAS DE FLUJO DE
PROCESOS
4. TIPOS: DIAGRAMAS MODULAR

SISTEMA TURISMO GYE

ACCESOS ADMINISTRACIÓN SITIOS REPORTES

USUARIOS PAÍSES ADMINISTRAR SITIOS TOP SITIOS VISITAS

TOP SITIOS
CIUDADES CONSULTA SITIO CALIFICACIONES
ROLES

SECTORES CALIFICAR SITIO

TIPOS SITIO
COMENTAR SITIO
 5. DIAGRAMA DE CÍRCULOS DE
EVALUACIÓN
Herramienta de apoyo para la evaluación
de los sistemas computacionales.

Para valorar visualmente:

 El com portam iento de los sistem as

que están siendo auditados.
 Su cum plim iento
 Sus lim itaciones.
 5. DIAGRAMA DE CÍRCULOS DE
EVALUACIÓN
¿Que Podemos Evaluar Con ésta herramienta?
Seguridad en el área de sistema.
 Acceso físico.
 Acceso y mantenimiento de bases de datos.
 De las instalaciones.
 Plan de contingencias.
 Seguridad lógica del sistema.
Evaluación administrativa
 Misión, visión, objetivos, estrategias, planes,
programas, estructura, perfil de puestos.
 Documentación de sistemas en cuanto a
seguridad y protección de activos.
 Capacitación y adiestramiento al personal.
 5. DIAGRAMA DE CÍRCULOS DE
EVALUACIÓN
¿Que Podemos Evaluar Con ésta herramienta?
Evaluación de los sistemas computacionales
 Diseño lógico, físico del sistema
computacional.
 Controles de acceso y salida de datos.
 Procesamiento de la información.
 Permisos y perfiles de la aplicación.
 Seguridad de la aplicación.
Desarrollo e implementación de software
 ETAPAS DE
DIAGRAMA
DE CIRCULOS
DE
EVALUACIÓN
 6. PROGRAMAS DE VERIFICACIÓN

Permite revisar, desde la misma computadora y

mediante un programa especifico, el funcionamiento
del sistema, de una base de datos, de un programa en
especial o de alguna aplicación de interés.

Programas de revisión elaborados por

desarrolladores. (Distribuidores / Fabricantes).

Programas de revisión elaborados por el auditor.

 TAREA

Elaborar:

• Guía de Ponderación.

• Matriz de Evaluación.

• Guía de Auditoría.