TECNICAS

ESPECIALES
DE AUDITORIA
DE SISTEMAS
COMPUTACIONALES
ESTUDIANTES:
AREISY BUITRAGO 6-754-1605
VIVIAN CABALLERO 9-760-648
EYNAR GUERRA 9-759-1641
RICAUTER PINZON 9-760-1475
BRAYAN SOLIS 9-751-2037
INTRODUCCIÓN
A través de estas técnicas, los
auditores pueden no solo identificar
problemas inmediatos, sino
también ofrecer recomendaciones
estratégicas para mejorar la
seguridad, la eficiencia y la
transparencia de los sistemas
computacionales dentro de una
organización. Así, la auditoría
informática no solo cumple un
papel de control, sino también de
prevención, minimizando riesgos y
contribuyendo al éxito a largo plazo
de las operaciones tecnológicas de
una empresa.
 11.1 GUIAS DE
Las EVALUACIÓN
guías de auditoría son las
herramientas más utilizadas y
quizá las más importantes en
cualquier auditoría de sistemas
computacionales; estas guías son
un documento formal que indica
el procedimiento de evaluación
que debe seguir el auditor;
asimismo, en este instrumento se
indican todos los puntos,
aspectos concretos y áreas que
deben ser revisados, así como las
técnicas, herramientas y
procedimientos que deben ser
utilizados en la auditoría de
sistemas computacionales.
las definicio-  Encabezado
nes impor-  Empresa responsable de realizar la auditoría
 Nombre de la empresa y área de sistemas

tantes de la auditada
 Fecha
 Hoja
guía de  Referencia
 Actividad que será evaluada

auditoria:  Procedimientos de auditoría

 Herramientas que serán utilizadas

BUSINESS TITLE
Lorem ipsum dolor sit amet,
consectetur adipiscing elit,
sed do eiusmod tempor
incididunt ut labore et
dolore magna aliqua.
 11.2 PONDERACIÓN

La ponderación es una técnica especial de

evaluación, mediante la cual se procura darle un
peso específico a cada una de las partes que serán
evaluadas; su objetivo es tratar de compensar el
valor que les asignamos a las actividades o tópicos
que tienen poca importancia en la evaluación, en
relación con los que tienen mayor importancia.
 11.3 MODELOS DE SIMU-
LACIÓN
Esta herramienta es una de las más utilizadas para el análisis y diseño de sistemas,
pero también puede ser de mucha utilidad para la auditoría de sistemas
computacionales, ya que mediante el uso de un modelo, conceptual o físico, se simula
el comportamiento de un sistema computacional, de un programa, de una base de
datos, de una operación, de una actividad o de cualquier tarea de sistemas que tenga
11.3.1 Simulación a través de
modelos de metodología de
sistemas
11.3.1.1 Ciclo de vida de los
sistemas
11.3.1.2 Metodología de Kendall &
Kendall13
11.3.1.3 Fases del desarrollo,
según James Martín14

11.3.1.4 Ciclo de vida de los

sistemas, según Yourdon15

11.3.1.5 Análisis y diseño, según

Jackson

11.3.1.6 Las fases de un proyecto

para MERICE16

11.3.1.7 Metodología SSADM

11.3.2 Simulación a través de

diagramas de flujo de sistemas

11.3.3 Simulación a través del

11.3.4 Simulación a través de otros documentos
gráficos
Modelos para planeación y control de
proyectos:
• Gráfica de Gantt
• Método de la ruta crítica
• Pert costo/tiempo
• Project
• Gráficas de proyecciones financieras
• Gráficas de líneas de tiempo
• Tablas de decisiones
• Árboles decisionales

Modelos de simulación de flujos de datos

• Diagrama de flujo de datos
• Diagrama entidad/relación
• Diagrama de contexto
• Diagrama de datos lógicos
• Diagrama de datos físicos
• Diseño de bases de datos
• Diagrama de modelos de datos
 11.4
Evaluación
La evaluación es una de las técnicas más comunes en cualquier tipo de auditoría
y es
considerada como la herramienta típica para auditar cualquier actividad, ya que
permite determinar, mediante pruebas concretas, si lo cuantificado (o
cualificado) es lo
que se esperaba obtener de lo que se está evaluando; así seEvaluación
11.4.1 determinadesi se
la gestión
está cumpliendo con la actividad revisada, conforme a lo que sedel
administrativa esperaba
área dedesistemas
En estas evaluaciones, el auditor debe apreciar cómo se realizan las acciones
ella.
de carácter administrativo para cumplir con las funciones encomendadas al
área de sistemas
de la empresa;
11.4.1.1 Evaluación de la actividad
administrativa
• Evaluar la existencia y cumplimiento de los planes, programas y
presupuestos
que afectan al área de sistemas computacionales.
• Evaluar la existencia, difusión y cumplimiento de los objetivos
institucionales y que
los objetivos del área de sistemas computacionales sean acordes a esos
objetivos.
 En esta parte se evalúa la
administración de los proyectos
informáticos del área de sistemas. Entre
algunos de los aspectos que tienen que
11.4.1.2
ser evaluados respecto a este punto
Evaluación en tenemos los siguientes:
cuanto a la
gestión de • Evaluar la administración y el control de
proyectos informáticos
los sistemas • Evaluar la administración de las funciones,
computacion actividades y operaciones del centro de
ales cómputo, de los sistemas computacionales,
del software, así como la asignación del
hardware, periféricos, mobiliario, equipos e
instalaciones.
• Evaluar la existencia, difusión y aplicación de
las medidas y métodos de seguridad y
prevención informática.
11.4.2 Evaluación del equipo de
cómputo
La evaluación del equipo de cómputo es una de las partes
fundamentales de la auditoría de sistemas.

11.4.2.1 Evaluación del diseño lógico del

sistema
Es la evaluación del funcionamiento interno del sistema
computacional, en cuanto al manejo de su software,
arquitectura y configuración.
11.4.2.2 Evaluación del diseño físico del
sistema
•Evalúa la forma en que se lleva a cabo la configuración del
sistema, y de sus equipos e instalaciones físicas. Los componentes
físicos, periféricos, mobiliario y equipos del sistema se apegan a los
estándares y lineamientos establecidos para la función informática
de la empresa. Las características y peculiaridades de los sistemas,
11.4.2.3 Evaluación del control de accesos y salidas de
datos
El auditor de sistemas computacionales debe evaluar la
forma en que se controla y protege el acceso a la
información y a los propios sistemas computacionales de la
empresa.
11.4.2.4 Evaluación del control de
procesamiento de datos del área de
La actividad preponderante sistemas es el
procesamiento de información, ya sea en un área concentrada, en
equipos independientes o en sistemas de red interconectados en
todas las áreas.
11.4.2.5 Evaluación de controles de
almacenamiento
El resguardo de la información también es uno de los aspectos
fundamentales que el auditor de sistemas debe evaluar, debido a la
importancia que tiene la información en todas las áreas de una
11.4.2.6 Evaluación de controles de seguridad
El auditor debe evaluar la existencia de controles de
seguridad, así como su uso adecuado en las áreas de
sistemas de la empresa.
11.4.2.7 Evaluación de controles adicionales para la
operación del sistema
El auditor de sistemas computacionales también debe evaluar todos
los demás aspectos relacionados con la operación de los sistemas
computacionales, a través de diversos controles sobre la actividad
informática.
11.4.2.8 Evaluación de aspectos técnicos del
sistema
Al revisar las actividades técnicas de los sistemas computacionales,
el auditor debe evaluar todo lo relacionado con la configuración,
lógica, procedimientos internos, sistemas operativos, protocolos de
 La manera más completa e importante
de realizar una auditoría de sistemas
computacionales es evaluar, de manera
integral, todas las funciones,
actividades, acciones, operaciones y
11.4.3 tareas de los sistemas del área de
cómputo de la empresa.
Evaluaci 11.4.3.1 Evaluación externa o
interna integral de sistemas
ón
integral  Evalúa integralmente la forma en que se realiza la gestión del
sistema computacional de la empresa.
de  Evalúa integralmente la existencia y apego a la estructura de

sistemas 
organización del centro de cómputo
Evalúa integralmente la administración y control de proyectos
de desarrollo de sistemas en el área de informática.
 En estos casos las evaluaciones se hacen para auditar
todas las demás áreas de la empresa, pero utilizando la
computadora como un apoyo fundamental.

11.4.4.1 Evaluaciones exclusivamente al

sistema computacional con apoyo de la
11.4.4 computadora y aplicaciones
Evaluacion En estas evaluaciones se utiliza la computadora como un apoyo
es con el para realizar las operaciones, estadísticas y graficación requeridas

apoyo de para apreciar el comportamiento de cada uno de los aspectos no

informáticos que están siendo evaluados.
la
11.4.4.2 Evaluaciones en auditorías
computad tradicionales con el apoyo de la
ora computadora y aplicaciones
En estas evaluaciones se utiliza la computadora como apoyo para
realizar las auditorías tradicionales, con el fin de apreciar mejor
cada uno de los aspectos de todas las áreas de una empresa que
 En este tipo de evaluaciones, el auditor evalúa
la aplicación utilización de la auditoría, pero sin
contar con el apoyo de los sistemas
computacionales.
11.4.5 •Evalúa el cumplimiento de las funciones y
Evaluacion actividades administrativas del centro de
es sin el
cómputo.
uso de la
•Evalúa la gestión financiera del centro de
computad
ora cómputo.
•Evalúa la operación de los sistemas
computacionales de la empresa.
 11.4.6.1 Evaluación del control interno
estudiado en este libro
• Evaluación del control interno sobre la
organización del área de sistemas.
• Evaluación del control interno sobre el análisis y
desarrollo de sistemas.
11.4.6 • Evaluación del control interno sobre la operación
Evaluaciones del sistema.
de los
controles en 11.4.6.2 Evaluación del control
sistemas interno propuesto por Jerry Fitzgerald
computacion
• Evaluación del control general organizativo
ales • Evaluación del control de entradas
• Evaluación del control de comunicaciones de
datos
11.4.7 Evaluaciones de otros aspectos de
sistemas computacionales
11.4.7.1 Evaluación de los sistemas de redes
Es la evaluación de todos los recursos informáticos de los sistemas
de redes, los cuales son compartidos y existe un servidor central en
el que se concentran todos los recursos importantes del sistema.

11.4.7.2 Evaluación del servicio OUTSOURCING

Estos servicios abarcan casi todas las especialidades informáticas, desde
la captura de datos y procesamiento de información. De entre las
muchas aplicaciones de este servicio, el auditor debe tomar en cuenta
los siguientes aspectos:
•Evaluar que exista un contrato de servicios
•Evaluar la calidad de los proveedores de servicios de cómputo que
atenderán a la empresa
•Evaluar las instalaciones del prestador de servicios
11.4.7.3 Evaluación de la función ergonómica de los sistemas de
cómputo
La ergonomía es una ciencia moderna que, aplicada en el ámbito de las
computadoras, se encarga de estudiar el confort, bienestar y seguridad con
que los usuarios de los sistemas computacionales realizan su trabajo, la
influencia del medio ambiente y las repercusiones del uso de estos sistemas en
la salud física y emocional de los usuarios.
11.4.7.4 Evaluación de la calidad ISO-9000 aplicable a los
sistemas computacionales

Evalúa que los productos o servicios que proporcionan las empresas

a sus clientes cumplan con los estándares de calidad establecidos
en las normas ISO.
11.4.7.5 Evaluación de los proveedores y distribuidores
de sistemas
El auditor de sistemas computacionales debe evaluar los aspectos
relacionados con la adquisición de nuevos productos informáticos,
así como a los proveedores y distribuidores que los proporcionan.
 11.4.8 Importancia de las evaluaciones
de sistemas computacionales
• La credibilidad de la evaluación se fundamenta en los siguientes
aspectos:
• La calidad en la interpretación del análisis de los resultados
esperados contra los realmente alcanzados.
• La oportunidad, confiabilidad, veracidad, claridad y suficiencia de
los resultados de la misma evaluación.
• La confidencialidad de los procesos de evaluación, en cuanto a la
información que se recopila, los responsables involucrados y el uso
de los resultados.
• La calidad en la aplicación de herramientas, métodos y
procedimientos para la recopilación de información, análisis y
resultados que se emiten.
• La utilidad que tiene para evaluar todos los aspectos relacionados
con el área de sistemas, los sistemas computacionales y las
Esta gráfica está integrada por círculos
concéntricos y líneas, los cuales tienen una 11.5 Diagrama del círculo de
función específica:
evaluación
• Círculos: se les asignan valores arbitrarios
ascendentes, de preferencia los interiores
más bajos (6) y exteriores más altos (10), o
puede ser cualquier otro criterio de
calificación.
• Líneas o puntos de segmentos: estas
líneas señalan los segmentos o sectores en
que se divide cada uno de los aspectos de
sistemas que serán evaluados.
• Líneas de cumplimiento máximo
exigido: estas líneas representan el entorno
de la calificación más alta que se exige a cada
uno de los aspectos que serán
evaluados
• Líneas de cumplimiento mínimo
exigido: estas líneas representan el entorno
de la calificación más baja que se puede
aceptar para cada uno de los aspectos
En este ejemplo utilizamos
el círculo de evaluación
para analizar los rangos de
calidad dentro de los
cuales se proporcionaba el
servicio de computación
en las áreas
administrativas de una
empresa cualquiera. El
área de cumplimiento
máximo es la línea gruesa
exterior y el área de
cumplimiento mínimo son
las líneas punteadas. La
evaluación es la línea
continua menos gruesa.
En este caso, el resultado
es que se cumple con la
calidad más o menos
Ejemplos de aspectos comunes que pueden ser
evaluados mediante esta herramienta:

01
Seguridad en el acceso físico al área de sistem

02Seguridad del personal informático

03Seguridad lógica del sistema

Plan contra contingencias del
04 área de sistemas

05 Seguridad de las instalaciones del

área de sistemas
 Para la evaluación administrativa del área de sistemas

Evaluación de la
estructura de
organización del área
Estandarización de sistemas, en lo
Mobiliario, Desarrollo de
de metodologías, relacionado con las
equipos y proyectos
programas, funciones, actividades
componentes del informáticos
equipos y y tareas, líneas de
sistema
sistemas autoridad y
responsabilidad

Capacitación,
Evaluación de la adiestramiento y
misión, visión y Perfil de puestos Seguridad y promoción del
objetivos del área del área de protección de los personal del área de
de sistemas sistemas activos informáticos sistemas
computacionales
 Representación Visual del Diagrama Circular:
Imaginamos un círculo dividido en secciones como un reloj, donde cada "hora" representa una de
las etapas mencionadas arriba. Estas etapas se conectan en un ciclo continuo, ya que, una vez
que se ha realizado el seguimiento y se ha comprobado la efectividad de las acciones, el proceso
de auditoría puede empezar nuevamente, para evaluar cambios, nuevas tecnologías o riesgos
emergentes.

1. Planificación Cada paso se

2. Evaluación de Controles Internos retroalimenta
3. Recolección de Evidencia para mejorar el
ciclo de
auditoría. Esto
4. Evaluación de Riesgos refleja el enfoque
5. Análisis de Resultados iterativo de la
auditoría de
6. Emisión de Informe sistemas, donde
la mejora
7. Implementación de Recomendaciones continua es clave
para garantizar
8. Seguimiento que los sistemas
sigan siendo
seguros y
 VS BUSINESS TITLE
BUSINESS TITLE
Lorem ipsum dolor sit
Lorem ipsum dolor sit amet, consectetur
amet, consectetur adipiscing elit, sed do
adipiscing elit, sed do
eiusmod tempor
Option 1 Option 2 eiusmod tempor
incididunt ut labore et
incididunt ut labore et dolore magna aliqua. Ut
dolore magna aliqua. Ut enim ad minim veniam,
enim ad minim veniam, quis nostrud exercitation
quis nostrud exercitation ullamco laboris nisi ut
ullamco laboris nisi ut aliquip ex ea commodo
aliquip ex ea commodo consequat. Duis aute
consequat. Duis aute irure dolor in
irure dolor in
ANÁLISIS DE LA
DIAGRAMACION
DE SISTEMAS
 CONCEPTO
Análisis de la diagramación de sistemas
La diagramación de sistemas es una herramienta esencial en el análisis y diseño de sistemas
computacionales. Esta permite a los analistas representar flujos de información, procesos y
otros elementos críticos para el desarrollo del sistema.

Los auditores de sistemas emplean estos diagramas para verificar la lógica y consistencia de
los sistemas con respecto a las necesidades de los usuarios, evaluar si la codificación es
coherente con el diseño original y si las operaciones cumplen con los requisitos planteados.
 TIPOS DE MODELOS
DISEÑO DE GRÁFICAS
ANÁLISIS DE MODELADO DE ESTADO-EVENTO DE ESTRUCTURA
PROCESOS DATOS Describe los cambios en los
Visualiza la organización y
relación entre los
Incluye diagramas de flujo Define la estructura y lógica estados y transiciones de
entidades.
componentes del sistema.
de datos, de de los datos.
Ejemplo: En un sistema de Ejemplo: Un sistema de Ejemplo: Un diagrama de
transformación, y el
gestión de inventarios, se reservas de hotel podría componentes para una
modelado entidad-
define una tabla de Productos tener un estado Disponible aplicación de gestión de
relación.
Ejemplo: En un sistema con atributos como ID, para una habitación. usuarios podría mostrar
de compras, los datos de Nombre, Cantidad y Precio, y Cuando un cliente hace una módulos como
una tabla Proveedores reserva, el evento Reserva Autenticación, Gestión de
un pedido se transforman
relacionada mediante el Confirmada cambia el Perfil, Notificaciones, y
en una orden de
campo Proveedor_ID. estado de la habitación a cómo interactúan entre sí.
facturación.
Reservada.
DICCIONARIO DE
Nombre del Tipo de Restriccion Valor por
Tamaño Descripción
Campo Datos es Defecto

Identificad Clave

DATOS ID_Cliente INT 10 or único

del cliente
primaria,

No nulo

• Un diccionario de datos define cada Nombre

Nombre_Cli
campo de una base de datos: su tipo, VARCHAR 100 completo No nulo
ente
tamaño, y descripción. Esto facilita la del cliente

comprensión y verificación de los datos Dirección

Único, No
almacenados, asegurando la congruencia Email VARCHAR 150 de correo
nulo
electrónico
y funcionalidad del sistema.
• Los auditores revisan estos diccionarios Fecha_Naci
Fecha de

DATE nacimiento No nulo

para garantizar que todos los campos miento
del cliente
estén correctamente definidos y alineados
con los requisitos del sistema, verificando Estado

Estado VARCHAR 10 actual del No nulo 'Activo'

el diseño y la correcta implementación de cliente
la base de datos.
 DIAGRAMA NASSI-
SCHNEIDERMAN
01. Procesos (Rectángulos) 03. teraciones (Rectángulos
Incluyen variables, actividades, con Línea de Bucle):
entradas y salidas que ejecuta el
programa.
Ejemplo: Un proceso podría ser Ilustra el flujo completo
"Calcular el total de una factura", del sistema.
donde se especifica cómo el sistema Ejemplo: Un ciclo podría
toma las entradas (precio y cantidad) y ser "Mientras el stock
genera un resultado (el total). sea mayor que 0, reducir
la cantidad en 1". Aquí,
02. Decisiones (Triángulos el proceso de reducción
del stock se repite hasta
Invertidos)
que la condición (stock >
Muestran las alternativas o 0) ya no sea válida.
condiciones que pueden influir en el
procesamiento.
Ejemplo: Una decisión podría ser "¿El
cliente tiene descuento?", donde el
flujo del programa se divide en dos
ramas: una para los clientes con
descuento y otra para los que no
tienen descuento.
DIAGRAMA DE
CONTEXTO
• Este diagrama muestra de una manera
casi global todas las entidades o los
procesos que alimentan el objeto principal
del sistema, a través de rectángulos que
representan la entidad o proceso en
particular y la interacción de éstos con el
proceso fundamental, indicado por flechas
que señalan el flujo que se sigue para la
interacción de ambos.
• En este ejemplo se presenta el sistema
para el control de una biblioteca, que es el
procesamiento central del programa.
DIAGRAMA DE FLUJO
DE DATOS
• Este tipo de diagrama, uno de los más
comunes, detalla el flujo de información y
las operaciones que suceden en el sistema
desde el inicio hasta el fin del proceso.
Utiliza símbolos específicos y presenta la
secuencia de actividades y decisiones.
Permite al auditor entender el
comportamiento del sistema y seguir los
cambios de direccionamiento de datos.