2. Auditoría: Concepto
• Inspección o verificación de la contabilidad de
una empresa o una entidad, realizada por un
auditor con el fin de comprobar si sus cuentas
reflejan el patrimonio, la situación financiera y
los resultados obtenidos por dicha empresa o
entidad en un determinado ejercicio.
3. Informática: Concepto
• Es una ciencia que estudia métodos, técnicas,
procesos, con el fin de almacenar, procesar y
transmitir información y datos en
formato digital. Se define como la rama de la
tecnología que estudia el tratamiento
automático de la información.
4. Auditoria interna
• La auditoría interna es una actividad
independiente y objetiva de aseguramiento y
consulta concebida para agregar valor y
mejorar las operaciones de una organización.
5. Auditoria externa
• Aplicando el concepto general, se puede decir
que la auditoria Externa es el examen crítico,
sistemático y detallado de un sistema de
información de una unidad económica,
realizado por un Contador Público sin vínculos
laborales con la misma, utilizando técnicas
determinadas y con el objeto de emitir una
opinión independiente sobre la forma como
opera el sistema, el control interno del mismo
y formular sugerencias para su mejoramiento.
6. Auditoria administrativa
• Modalidad de auditoría con la que se
pretende verificar la consecución de los
resultados esperados de la gestión realizada
por los diferentes servicios de una empresa,
así como el grado de cumplimiento de los
objetivos marcados.
7. Auditoria informática
• La auditoría informática es un proceso llevado a
cabo por profesionales especialmente
capacitados para el efecto, y que consiste en
recoger, agrupar y evaluar evidencias para
determinar si un sistema de
información salvaguarda el activo empresarial,
mantiene la integridad de los datos, lleva a cabo
eficazmente los fines de la organización, utiliza
eficientemente los recursos, y cumple con las
leyes y regulaciones establecidas.
8. ¿Que detecta?
• Permiten detectar de forma sistemática el uso
de los recursos y los flujos de información
dentro de una organización y determinar qué
información es crítica para el cumplimiento de
su misión y objetivos, identificando
necesidades, duplicidades, costes, valor y
barreras, que obstaculizan flujos de
información eficientes.
9. Objetivos
• El análisis de la eficiencia de los Sistemas
Informáticos.
• La verificación del cumplimiento de la
Normativa.
• La revisión de la eficaz gestión de los recursos
informáticos.
10. Tipos de auditoría informática
• Auditoría de la gestión: la contratación de bienes y
servicios, documentación de los programas, etc.
• Auditoría legal del Reglamento de Protección de Datos:
Cumplimiento legal de las medidas de seguridad exigidas
por el Reglamento de desarrollo de la Ley Orgánica de
Protección de Datos.
• Auditoría de los datos: Clasificación de los datos, estudio
de las aplicaciones y análisis de los flujogramas.
• Auditoría de las bases de datos: Controles de acceso, de
actualización, de integridad y calidad de los datos.
• Auditoría de la seguridad: Referidos a datos e información
verificando disponibilidad, integridad, confidencialidad,
autenticación y no repudio.
11. Tipos de auditoría informática
• Auditoría de la seguridad física: Referido a la ubicación de
la organización, evitando ubicaciones de riesgo, y en
algunos casos no revelando la situación física de esta.
También está referida a las protecciones externas (arcos de
seguridad, CCTV, vigilantes, etc.) y protecciones del
entorno.
• Auditoría de la seguridad lógica: Comprende los métodos
de autenticación de los sistemas de información.
• Auditoría de las comunicaciones. Se refiere a la auditoria
de los procesos de autenticación en los sistemas de
comunicación.
• Auditoría de la seguridad en producción: Frente a errores,
accidentes y fraudes.
12. Auditoría de la seguridad del sistemas
de computo
• Es la revisión exhaustiva, técnica y
especializada que se realiza a todo lo
relacionado con la seguridad de un sistema de
cómputo.
13. Auditoria de la seguridad de los
sistemas de computo
Protección y
salvaguarda
de los
sistemas de
computo
Área de
sistemas y
personal
Actividades
preventivas y
correctivas
Bases de
datos, redes
instalaciones
Usuarios del
sistema
Planes de
contingencia
y medidas de
protección
14. En conclusión
• Todos aquellos aspectos que contribuyen a la
protección y salvaguarda en el buen
funcionamiento del área de sistematización,
sistemas de redes o computadoras personales,
incluyendo la prevención y erradicación de los
virus informáticos.
15. Esquema de la Auditoria de sistemas
Hardware
Plataforma del hardware
Tarjeta madre
Procesadores
Dispositivos periféricos
Arquitectura del sistema
Instalaciones eléctricas, de datos y
telecomunicaciones
Innovaciones tecnológicas y de
hardware y periféricos
Software
Plataforma del software
Sistema operativo
Lenguajes y programas de
desarrollo
Programas y paqueterías de
aplicación y base de datos
Utilerías, bibliotecas y aplicaciones
Software de telecomunicación
Juegos y otros tipos de software
Gestión informática
Actividad administrativa del área de
sistemas
Operaciones del sistema de
computo
Planeación y control de actividades
Presupuestos y gastos de los
recursos informáticos
Gestión de la actividad informática
Capacitación y desarrollo del
personal informático
Administración de los estándares
de operación, programación y
desarrollo
16. Continuación
•Administración. Seguridad y
control de la información
•Salvaguardia, Protección y
Custodia de la información
•Cumplimiento de las
características de la información
Información
•Metodologías de
desarrollo de Sistemas
•Estándares de
programación y
desarrollo
•documentación de
sistemas
Diseño de sistemas
•Administración de la base de datos
•Diseño de base de datos
•Metodologías para el diseño y programación de
bases de datos
•Seguridad, salvaguarda y protección de las bases de
datos
Bases de datos
17. Continuación esquema de A.I
• Seguridad
– Seguridad del área de sistemas
– Seguridad física
– Seguridad lógica
– Seguridad de las instalaciones eléctricas, de datos y de
– telecomunicaciones
– Seguridad de la información, redes y bases de datos
– Administración y control de las bases de datos
– Seguridad del personal informático
• Redes de cómputo
– Plataformas y configuración de las redes
– Protocolos de comunicaciones
– Sistemas operativos y software
– Administración de las redes de cómputo
– Administración de la seguridad de las redes
– Administración de las bases de datos de las redes
• Especializadas
– Outsourcing
– Helpdesk
– Ergonomía en sistemas computacionales
– ISO-9000
– Internet/intranet
– Sistemas multimedia
18. Elementos fundamentales en el
estudio de auditoria
• Mostrar los elementos que fundamentan la
existencia de la auditoría para que pueda
identificarlos plenamente.
19. Definición general de auditoría
Auditor
profesional
Técnicas, métodos
y procedimientos
especializados
Funciones,
actividades,
tareas y
procedimientos
Dictaminar
Revisión independiente
Aplicando
Para evaluar
Sobre el resultado
de la evaluación
20. Objetivos de la auditoria de sistemas
• La evaluación a los sistemas computacionales,
a la administración del centro de cómputo, al
desarrollo de proyectos informáticos, a la
seguridad de los sistemas computacionales y a
todo lo relacionado con ellos.
21. Objetivos
• Realizar una evaluación con personal multidisciplinario
y capacitado en el área de sistemas, con el fin de emitir
un dictamen independiente sobre la razonabilidad de
las operaciones del sistema y la gestión administrativa
del área de informática.
• Hacer una evaluación sobre el uso de los recursos
financieros en las áreas del centro de información, así
como del aprovechamiento del sistema computacional,
sus equipos periféricos e instalaciones
22. Objetivos
• Evaluar el uso y aprovechamiento de los equipos
de cómputo, sus periféricos, las instalaciones y
mobiliario del centro de cómputo, así como el
uso de sus recursos técnicos y materiales para el
procesamiento de información.
• Evaluar el aprovechamiento de los sistemas de
procesamiento, sus sistemas operativos, los
lenguajes, programas y paqueterías de aplicación
y desarrollo, así como el desarrollo e instalación
de nuevos sistemas.
23. Objetivos
• Evaluar el cumplimiento de planes, programas, estándares,
políticas, normas y lineamientos que regulan las funciones
y actividades de las áreas y de los sistemas de
procesamiento de información, así como de su personal y
de los usuarios del centro de información
• Realizar la evaluación de las áreas, actividades y funciones
de una empresa, contando con el apoyo de los sistemas
computacionales, de los programas especiales para
auditoría y de la paquetería que sirve de soporte para el
desarrollo de auditorías por medio de la computadora
24. Principales áreas y resultados que se
auditan
• Evaluación de los estados de resultados financieros y
operaciones contables.
• Evaluación de los objetivos, planes, programas y
presupuestos.
• Evaluación de la estructura organizacional, funciones,
perfil de puestos, líneas de autoridad y
comunicaciones.
• Evaluación de la administración de los recursos
humanos de una empresa o del área auditada.
• Evaluación de la administración de prestaciones,
impuestos y obligaciones de una empresa, así como de
sus funcionarios y personal en general.
25. Continuación
• Evaluación de las actividades y operaciones de
una empresa, así como de sus funcionarios y
personal en general.
• Evaluación de las normas políticas métodos
y procedimientos de operación.
• Evaluación de los bienes y activos de una
empresa.
• Evaluación de otras áreas y actividades por
auditar
26. Normas generales de auditoría
La auditoría debe ser realizada por personal que
cuente con la capacitación técnica adecuada y la
competencia para ejercer como auditor
El auditor debe conservar una actitud mental
independiente en todos los aspectos
El auditor debe ser diligente en la presentación de
los resultados de su auditoría
27. Normas de trabajo
Para que una auditoría sea eficiente y eficaz, se debe planear y
supervisar cabalmente.
El control interno se debe entender en estructura y contenido a fin de
aplicarlo en la planeación y determinación de la naturaleza, duración,
extensión y profundidad de la realización de una auditoría
La evidencia que soporta el informe del auditor debe ser suficiente,
competente y oportuna, esto se logra mediante las técnicas, métodos y
procedimientos de auditoría
28. Normas de la información
• El informe de la auditoría debe presentarse en estricto
apego a las normas de auditoría y contabilidad
generalmente aceptadas.
• En el informe de la auditoría se deben señalar las
observaciones que se hayan detectado durante el periodo
de evaluación, destacando aquellas desviaciones de los
procedimientos normales de la operación de la empresa y
de los principios generalmente aceptados.
• Los informes de auditorías financieras deberán
contener la opinión razonada del auditor.
30. Normas para auditores (todos)
• Independencia
• Integridad profesional
• Fiabilidad de los estados y registros
• Mantenimiento del control interno
• Obtención y evaluación de evidencia
• Rango de conocimiento
– Conocimiento completo
– Buen conocimiento
– Conocimiento adecuado
42. Tarea
• Trabajo: Planificar auditoría de sistema
(Software):
– Planificar actividades
– Planificar la supervisión
– Planificar la aplicación de métodos, técnicas y
herramientas
– Determinar las evidencias a obtener
– Informe de auditoría
43. Unidad 3
• Gestión de riesgos.
– Planificar la gestión de riesgos
– Identificar los riesgos
– Análisis cualitativo de riesgos
– Análisis cuantitativo de riesgos
– Planificar la respuesta a los riesgos
– Monitoreo y control de riesgo
44. Planificar la gestión de riesgos
• Reuniones de planificación y análisis.
• Los equipos del proyecto celebran reuniones de
planificación para desarrollar el plan de gestión de
riesgos. Los participantes de estas reuniones pueden
ser, entre otros, el director del proyecto, miembros del
equipo del proyecto e interesados seleccionados,
cualquier persona de la organización con la
responsabilidad de gestionar la planificación y
ejecución de actividades relacionadas con los riesgos,
así como otras personas, según sea necesario.
45. Que se define en las reuniones?
• Los planes a alto nivel para efectuar las
actividades de gestión de riesgos.
• Se desarrollarán los elementos de costo de la
gestión de riesgos y las actividades del
cronograma.
• Se incluyen en el presupuesto y el cronograma
del proyecto, respectivamente.
46. Plan de gestión de riesgos
• Metodología. Define los métodos, las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestión de riesgos en el
proyecto.
• Roles y responsabilidades. Define al líder, el apoyo y a los miembros del
equipo de gestión de riesgos para cada tipo de actividad del plan de
gestión de riesgos, y explica sus responsabilidades.
• Presupuesto. Asigna recursos, estima los fondos necesarios para la gestión
de riesgos, a fin de incluirlos en la línea base del desempeño de costos y
establece los protocolos para la aplicación de la reserva para
contingencias (Sección 7.2.3.1).
• Calendario. Define cuándo y con qué frecuencia se realizará el proceso de
gestión de riesgos a lo largo del ciclo de vida del proyecto, establece los
protocolos para la utilización de las reservas para contingencias del
cronograma y prevé las actividades de gestión de riesgos que deben
incluirse en el cronograma del proyecto (Sección 6.5.3.1).
47. Plan de gestión de riesgos (cont..)
• Categorías de riesgo. Proporciona una
estructura que asegura un proceso completo
de identificación sistemática de los riesgos con
un nivel de detalle coherente, y contribuye a
la efectividad y calidad del proceso Identificar
los Riesgos.
48.
49. Plan de gestión de riesgos (cont…)
• Definiciones de la probabilidad e impacto de los
riesgos. La calidad y credibilidad del proceso
Realizar el Análisis Cualitativo de Riesgos
requieren que se definan distintos niveles de
probabilidad e impacto de los riesgos. Las
definiciones generales de los niveles de
probabilidad e impacto se adaptan a cada
proyecto individual durante el proceso Planificar
la Gestión de Riesgos para usarse en el proceso
Realizar el Análisis Cualitativo de Riesgos (Sección
11.3).
51. Plan de gestión de riesgos (cont…)
• Matriz de probabilidad e impacto. Los riesgos se clasifican por
orden de prioridad de acuerdo con sus implicaciones potenciales de
tener un efecto sobre los objetivos del proyecto.
• Tolerancias revisadas de los interesados. Las tolerancias de los
interesados, según se aplican al proyecto específico, pueden
revisarse en el marco del proceso Planificar la Gestión de Riesgos.
• Formatos de los informes. Definen cómo se documentarán,
analizarán y comunicarán los resultados de los procesos de gestión
de riesgos. Describe el contenido y el formato del registro de
riesgos, así como de cualquier otro informe de riesgos requerido.
• Seguimiento. Documenta cómo se registrarán las actividades de
gestión de riesgos para beneficio del proyecto en curso, de
necesidades futuras y de las lecciones aprendidas. También
documenta si los procesos de gestión de riesgos se auditarán y de
qué manera.
52. Identificar los riesgos
• .1 Revisiones de la Documentación
• Puede efectuarse una revisión estructurada de la documentación del proyecto, incluyendo
los planes, los supuestos, los archivos de proyectos anteriores, los contratos y otra
información. La calidad de los planes, así como la consistencia entre dichos planes y los
requisitos y supuestos del proyecto, pueden ser indicadores de riesgo en el proyecto.
• .2 Técnicas de Recopilación de Información
– Tormenta de ideas. La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyecto.
– Técnica Delphi. Los expertos en riesgos del proyecto participan en esta técnica de forma
anónima. Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos
importantes del proyecto.
– Entrevistas. La realización de entrevistas a los participantes experimentados del
proyecto, a los interesados y a los expertos en la materia puede ayudar a identificar los
riesgos.
– Análisis causal. El análisis causal es una técnica específica para identificar un problema,
determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas.
53. Identificar los riesgos
• .3 Análisis de las Listas de Control
• Las listas de control para identificación de riesgos
pueden desarrollarse basándose en la información
histórica y el conocimiento acumulado a partir de
proyectos similares anteriores y otras fuentes de
información.
• .4 Análisis de Supuestos
• Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipótesis,
escenarios y supuestos…Identifica los riesgos del
proyecto debidos al carácter inexacto, inestable,
incoherente o incompleto de los supuestos.
54. Identificar los riesgos
• Técnicas de diagramación
– Diagramas de causa y efecto (Sección 8.3.2.1). Estos
diagramas también se conocen como diagramas de
Ishikawa o diagramas de espina de pescado y son útiles
para identificar las causas de los riesgos.
– Diagramas de flujo o de sistemas. Estos diagramas
muestran cómo se interrelacionan los diferentes
elementos de un sistema, y el mecanismo de causalidad
(Sección 8.3.2.3).
– Diagramas de influencias. Estos diagramas son
representaciones gráficas de situaciones que muestran las
influencias causales, la cronología de eventos y otras
relaciones entre las variables y los resultados.
55. Identificar los riesgos
• .6 Análisis SWOT (o DAFO, Debilidades, Amenazas,
Fortalezas y Oportunidades) Esta técnica examina el
proyecto desde cada uno de los aspectos DAFO
(debilidades, amenazas, fortalezas y oportunidades)
para aumentar el espectro de riesgos identificados,
incluyendo los riesgos generados internamente.
• .7 Juicio de Expertos
• Los expertos con experiencia apropiada, adquirida en
proyectos o áreas de negocio similares, pueden
identificar los riesgos directamente.
56. Identificar riesgo: Resultados.
• .1 Registro de Riesgos
• El registro de riesgos contiene al final los resultados de los demás
procesos de gestión de riesgos a medida que se llevan a cabo,
dando como resultado un incremento en el nivel y tipo de
información contenida en el registro de riesgos conforme transcurre
el tiempo.
– Lista de riesgos identificados. Los riesgos identificados se describen
con un nivel de detalle razonable.
• (evento – Impacto)
• (Causa – Evento - Efecto)
• Lista de respuestas potenciales. A veces pueden identificarse
respuestas potenciales a un riesgo durante el proceso Identificar los
Riesgos. Estas respuestas, si se identifican durante este proceso,
pueden ser útiles como entradas para el proceso Planificar la
Respuesta a los Riesgos
58. Planificar las respuestas al riesgo
• .1 Estrategias para Riesgos Negativos o Amenazas. Evitar.
– Evitar el riesgo implica cambiar el plan para la dirección del
proyecto, a fin de eliminar por completo la amenaza. El director
del proyecto también puede aislar los objetivos del proyecto del
impacto de los riesgos o cambiar el objetivo que se encuentra
amenazado.
– Transferir. Transferir el riesgo requiere trasladar a un tercero
todo o parte del impacto negativo de una amenaza, junto con la
propiedad de la respuesta. La transferencia de un riesgo
simplemente confiere a una tercera persona la responsabilidad
de su gestión; no lo elimina. (Ejemplo seguros de accidente).
– Mitigar. Mitigar el riesgo implica reducir a un umbral aceptable
la probabilidad y/o el impacto de un evento adverso…a menudo
es más efectivo que tratar de reparar el daño después de
ocurrido el riesgo.
59. Planificar la respuesta al riesgo
• Aceptar. Esta estrategia se adopta debido a
que rara vez es posible eliminar todas las
amenazas de un proyecto. Esta estrategia
indica que el equipo del proyecto ha decidido
no cambiar el plan para la dirección del
proyecto para hacer frente a un riesgo, o no
ha podido identificar ninguna otra estrategia
de respuesta adecuada.
60. Estrategias para riesgos positivos
• Explotar. Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular, asegurando que
la oportunidad definitivamente se concrete.
• Compartir. Compartir un riesgo positivo implica asignar
todo o parte de la propiedad de la oportunidad a un
tercero mejor capacitado para capturar la oportunidad en
beneficio del proyecto.
• Mejorar. Esta estrategia se utiliza para aumentar la
probabilidad y/o los impactos positivos de una
oportunidad.
• Aceptar. Aceptar una oportunidad consiste en tener la
voluntad de tomar ventaja de ella si se presenta, pero sin
buscarla de manera activa.
61. Planificar la respuesta al riesgo
• .4 Juicio de Expertos
• El juicio de expertos constituye una entrada
procedente de partes con sólidos
conocimientos, que atañe a las acciones que
deben tomarse en el caso de un riesgo
específico y definido.