AUDITORIA DE SISTEMAS PRCTICAS

P01: La informacin de las computadoras

Fecha: ___/____/201___

Nombre: ________________________________________ Grupo: __________

Instrucciones: Lea con atencin la siguiente situacin didctica, analice el problema y elabore una
reflexin acerca de qu hacer para evitarlo, en la que exprese sus opiniones y experiencias para
enriquecer el tema, mostrando tolerancia y respetando las reglas de convivencia social.

En el hospital El paciente impaciente han desaparecido dos computadoras una en el

servicio de archivo y otra del servicio de cuidados intensivos. Por lo anterior se han desatado
algunos problemas que conllevan a subsanar dicha perdida.
1. Qu debe hacer el encargado para sustituir las computadoras?
2. Cunto tiempo cree que es necesario para tener una computadora que haga el mismo
trabajo que hacia la que robaron?
3. Qu hara Ud. para arreglar el problema?
4. Qu debe saber para conectarlo en la red y con los archivos necesarios
para trabajar correctamente?

P02: Ideas sobre Auditoria Informtica

Instrucciones: Investigando sobre los conceptos bsico acerca de la Auditoria Informtica complete el
siguiente cuadro:
Para crear una definicin que le permita entender de lo que se est hablando es necesario:
1. Definir de una forma concreta (objeto, animal, ciencia, procedimiento, cosa, etc)
2. Actividad que realiza el objeto de estudio (nica para el objeto).
3. Contexto en el que lo realiza
4. Referentes del objeto (ejemplos, comparaciones etc, si es posible).
AUDITORIA
Forma concreta
Contexto

AUDITORIA INFORMATICA
Forma concreta
Contexto

AUDITOR
Forma concreta
Contexto

Actividad que realiza

Referentes

Actividad que realiza

Referentes

Actividad que realiza

Referentes

NORMA
Forma concreta
Contexto

ESTANDAR
Forma concreta
Contexto

Actividad que realiza

Referentes

Actividad que realiza

Referentes

P02: CONCEPTOS DE AUDITORA Y AUDITORA INFORMTICA

http://www.oocities.org/mx/acadentorno/aui1.pdf

Introduccin
El concepto de auditora informtica ha estado siempre ligado al de auditora en general y
al de auditora interna en particular, y ste ha estado unido desde tiempos histricos
al de contabilidad y de control de los registros y de las operaciones. Aun algunos
historiadores fijan el nacimiento de la escritura como consecuencia de la necesidad de
registrar y controlar operaciones (Dale Flesher, 50 Yeras of progress). Hago esta
referencia histrica a fin de explicar la evolucin de la corta pero intensa historia de la
auditora informtica, y para que posteriormente nos sirva de referencia al objeto de
entender las diferentes tendencias que existen en la actualidad.
Si analizamos el nacimiento y la existencia de la auditora informtica desde un punto
de vista empresarial, tendremos que empezar analizando el contexto organizativo y
ambiental en el que se mueve. Empezaremos diciendo que tanto dentro del contexto
estratgico como del operativo de las organizaciones actuales, los sistemas de
informacin y la arquitectura que los soporta desempean un importante papel como
uno de los soportes bsicos para la gestin y el control del negocio, siendo as unos de
los requerimientos bsicos de cualquier organizacin.
Esto da lugar a los sistemas de informacin de una organizacin. La auditora se
desarrolla con base a normas, procedimientos y tcnicas definidas formalmente
por institutos establecidos a nivel nacional e internacional; por lo tanto, solo se
expondrn algunos aspectos necesarios para su entendimiento; no obstante, se sugiere
leer los libros listados en la bibliografa, as como la participacin directa y activa en
los institutos o asociaciones relacionados con el campo de la especialidad.
1.1 Concepto de auditora
Con frecuencia la palabra auditora se ha empleado incorrectamente y se ha
considerado como una evaluacin cuyo nico fin es detectar errores y sealar fallas;

por eso se ha llegado a acuar la frase "tiene auditora" como sinnimo de que, desde
antes de realizarse, ya se encontraron fallas y por lo tanto se est haciendo la auditora. El
concepto de auditora es ms amplio: no slo detecta errores, sino que es un examen
crtico que se realiza con objeto de evaluar la eficiencia y eficacia de una seccin o de un
organismo.
La palabra auditora viene del latn auditorius, y de sta proviene auditor, que tiene la
virtud de or, y el diccionario lo define como "revisor de cuentas colegiado". El auditor tiene
la virtud de or y revisar cuentas, pero debe estar encaminado a un objetivo especfico
que es el de evaluar la eficiencia y eficacia con que se est operando para que,
por medio del sealamiento de cursos alternativos de accin, se tomen decisiones que
permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuacin.
Si consultamos nuevamente el diccionario encontramos que eficacia es: "virtud,
actividad, fuerza, para poder obrar"; mientras que eficiencia es: "virtud y facultad para
lograr un efecto determinado", por lo que eficiencia es el poder lograr lo planeado con los
menores recursos posibles, mientras que eficacia es lograr los objetivos.
El Boletn "C" de Normas de Auditora del Instituto Mexicano de Contadores nos dice:
"La auditora no es una actividad meramente mecnica que implique la aplicacin de
ciertos procedimientos cuyos resultados, una vez llevados a cabo, son de carcter
indudable. La auditora requiere el ejercicio de un juicio profesional, slido y maduro,
para juzgar los procedimientos que deben de seguirse y estimar los resultados obtenidos
.
As como existen normas y procedimientos especficos para la realizacin de
auditoras contables, debe haber tambin normas y procedimientos para la realizacin de
auditoras en informtica como parte de una profesin. Pueden estar basadas en las
experiencias de otras profesiones pero con algunas caractersticas propias y siempre
guindose por el concepto de que la auditora debe ser ms amplia que la simple
deteccin de errores, y adems la auditora debe evaluar para mejorar lo existente,
corregir errores y proponer alternativas de solucin. A continuacin se presentan diversos
conceptos de auditora.
Es un proceso formal y necesario para las empresas con el fin de asegurar que todos
sus activos sean protegidos en forma adecuada. Asimismo, la alta direccin espera que
de los proyectos de auditora surjan las recomendaciones necesarias para que se lleven a
cabo de manera oportuna y satisfactoria las polticas, controles y procedimientos y
definidos formalmente, con objeto de que cada individuo o funcin de la organizacin
opere de modo productivo en sus actividades diarias, respetando las normas generales
de honestidad y trabajo aceptadas. [Hernndez, 1997].
Examen metdico de una situacin relativa a un producto, proceso u organizacin en
materia de calidad, realizada en cooperacin con los interesados para verificar la
concordancia de la realidad con lo preestablecido y la adecuacin al objetivo buscado.
Actividad para determinar, por
medio de
la
investigacin,
la
adecuacin de
los procedimientos establecidos,
instrucciones, especificaciones,
codificaciones y estndares u otros requisitos, la adhesin de los mismos y la eficiencia de

su implantacin.
Es la investigacin, consulta, revisin, verificacin, comprobacin y evidencia. Aplicada
la empresa es el examen del estado financiero de una empresa realizada por
personal cualificado e independiente, de acuerdo con normas de contabilidad, con el fin
de esperar una opinin con que tales estados contables muestran lo acontecido en el
negocio. Requisito fundamental es la independencia.
Se define como la acumulacin y la evaluacin de las evidencias sobre la
informacin cuantificable de una entidad econmica para determinar y opinar sobre
el grado de correspondencia que hay entre la informacin y el criterio establecido.
[Zamarripa, 2002].
Es un proceso sistemtico para obtener y evaluar evidencias de una manera
objetiva respecto a las afirmaciones correspondientes a actos econmicos y eventos para
determinar el grado de correspondencia entre estas afirmaciones y criterios establecidos y
comunicar los resultados a los usuarios interesados.[Kell-Ziegler].
En el ambiente de sistemas, los exmenes de las operaciones que realiza un sistema
de computo con la finalidad de evaluar la situacin del mismo. Los auditores deben
tener la capacidad de validar los reportes y de probar la autenticidad y la precisin de los
datos y la informacin que se maneja. [Gonzlez].
Representa el examen de los estados financieros de una entidad, con el objeto de que
el contador pblico independiente emita una opinin profesional si dichos estados
representan la situacin financiera, los resultados de las operaciones, las variaciones
en el capital contable y los cambios en la situacin financiera de una empresa, de
acuerdo a los principios de la contabilidad generalmente aceptados.
1.2 Tipos de auditora
La auditora, como cualquier disciplina toma caractersticas diferentes de acuerdo al
campo de accin en que se desenvuelven. Sin embargo, el objetivo final debe
responder a la definicin general de auditora. De acuerdo a las personas que la
realizan
se
pueden
reconocer
dos
tipos
de
auditora.
Fuente:
(http://www.monografias.com/trabajos12/aufi.shtml) Marin Calv Hugo Armando.
Auditora interna:
Es la realizada con recursos materiales y personas que pertenecen a la empresa
auditada. Los empleados que realizan esta tarea son remunerados econmicamente.
La auditora interna existe por expresa decisin de la Empresa, o sea, que puede optar
por su disolucin en cualquier momento.
Por otro lado, la auditora externa es realizada por personas afines a la empresa auditada;
es siempre remunerada. Se presupone una mayor objetividad que en la Auditora
Interna, debido al mayor distanciamiento entre auditores y auditados.
La auditora informtica interna cuenta con algunas ventajas adicionales muy
importantes respecto de la auditora externa, las cuales no son tan perceptibles como en
las auditoras convencionales. La auditora interna tiene la ventaja de que puede actuar

peridicamente realizando Revisiones globales, como parte de su Plan Anual y de su

actividad normal. Los auditados conocen estos planes y se habitan a las Auditorias,
especialmente cuando las consecuencias de las Recomendaciones habidas benefician su
trabajo.
En una empresa, los responsables de Informtica escuchan, orientan e Informan sobre
las posibilidades tcnicas y los costes de tal Sistema. Con voz, pero a menudo sin
voto, Informtica trata de satisfacer lo ms adecuadamente posible aquellas
necesidades. La empresa necesita controlar su Informtica y sta necesita que su
propia gestin est sometida a los mismos procedimientos y estndares que el resto de
aquella. La conjuncin de ambas necesidades cristaliza en la figura del auditor interno
informtico.
En cuanto a empresas se refiere, solamente las ms grandes pueden poseer una
Auditora propia y permanente, mientras que el resto acuden a las auditoras externas.
Puede ser que algn profesional informtico sea trasladado desde su puesto de trabajo a
la Auditora Interna de la empresa cuando sta existe. Finalmente, la propia Informtica
requiere de su propio grupo de Control interno, con implantacin fsica en su estructura,
puesto que si se ubicase dentro de la estructura Informtica ya no sera
independiente. Hoy, ya existen varias organizaciones Informticas dentro de la misma
empresa, y con diverso grado de autonoma, que son coordinadas por rganos
corporativos de Sistemas de Informacin de las Empresas.
Una Empresa o Institucin que posee auditora interna puede y debe en ocasiones
contratar servicios de auditora externa. Las razones para hacerlo suelen ser:
Necesidad de auditar una materia de gran especializacin, para la cual los servicios
propios no estn suficientemente capacitados.
Contrastar algn Informe interno con el que resulte del externo. en aquellos
supuestos de emisin
interna de gravesrecomendaciones que chocan con
la
opinin generalizada de la propia empresa.
Servir como mecanismo protector de posibles auditoras informticas externas
decretadas por la misma empresa.
Aunque la auditora interna sea independiente del Departamento de Sistemas, sigue
siendo la misma empresa, por lo tanto, es necesario que se le realicen auditoras
externas como para tener una visin desde afuera de la empresa.
La auditora informtica, tanto externa como interna, debe ser una actividad exenta
de cualquier contenido o matiz "poltico" ajeno a la propia estrategia y poltica general
de la empresa. La funcin auditora puede actuar de oficio, por iniciativa del propio
rgano, o a instancias de parte, esto es, por encargo de la direccin o cliente.
De acuerdo al objetivo de la auditora, tenemos:
Auditora de cumplimiento:
Es la comprobacin o examen de operaciones financieras, administrativas, econmicas y
de otra ndoIe de una entidad, para establecer que se han realizado conforme a las
normas legales, reglamentarias, estatuarias y de procedimientos que le son aplicables.
Esta auditora se practica mediante la revisin de documentos que soportan legal,
tcnica, financiera y contablemente las operaciones para determinar si los procedimientos

utilizados y las medidas de control interno estn de acuerdo con las normas que le son
aplicables y si dichos procedimientos estn operando de manera efectiva y son
adecuados para et logro de los objetivos de la entidad.
Auditora operativa:
Es el examen posterior, profesional, objetivo y sistemtico de la totalidad o parte de
las operaciones o actividades de una entidad, proyecto, programa, inversin o
contrato en particular, sus unidades integrantes u operacionales especficas. Su propsito
es determinar los grados de efectividad, economa y eficiencia alcanzados por la
organizacin y formular recomendaciones para mejorar las operaciones evaluadas.
Relacionada bsicamente con los objetivos de eficacia, eficiencia y economa.
Auditora informtica de sistemas:
Se ocupa de analizar la actividad que se conoce como tcnica de sistemas en todas
sus facetas. Hoy, la importancia creciente de las telecomunicaciones ha propiciado
que las comunicaciones. Lneas y redes de las instalaciones informticas, se auditen por
separado, aunque formen parte del entorno general de sistemas. Su finalidad es el
examen y anlisis de los procedimientos administrativos y de los sistemas de control
interno de la compaa auditada. Al finalizar el trabajo realizado, los auditores
exponen en su informe aquellos puntos dbiles que hayan podido detectar, as como las
recomendaciones sobre los cambios convenientes a introducir, en su opinin, en la
organizacin de la compaa. Normalmente, las empresas funcionan con polticas
generales, pero hay procedimientos y mtodos, que son trminos ms operativos. Los
procedimientos son tambin sistemas; si estn bien hechos, la empresa funcionar
mejor. La auditora de sistemas analiza todos los procedimientos y mtodos de la
empresa con la intencin de mejorar su eficacia.
Sistemas Operativos. Engloba los Subsistemas de Teleprocesos, Entrada/Salida, etc.
Debe verificarse en primer lugar que los Sistemas estn actualizados con las ltimas
versiones del fabricante, indagando las causas de las omisiones. El anlisis de las
versiones de los Sistemas Operativos permite descubrir las posibles incompatibilidades
entre otros productos de Software Bsicos adquiridos por la instalacin y determinadas
versiones de aquellas. Deben revisarse los parmetros variables de las libreras ms
importantes de los Sistemas, por si difieren de los valores habituales aconsejados por el
constructor.
Software Bsico es fundamental para el auditor conocer los productos de software
bsico que han sido facturados aparte de la propia computadora. Esto, por razones
econmicas y por razones de comprobacin de que la computadora podra funcionar
sin el producto adquirido por el cliente. En cuanto al software desarrollado por el
personal informtico de la empresa, el auditor debe verificar que este no agreda ni
condicione al Sistema Igualmente, debe considerar el esfuerzo en trminos de
costes, por si hubiera alternativas ms econmicas.
Auditora a los planes de desarrollo empresarial:
La accin de planear 'las actividades permite al individuo fijarse metas, delinear los cursos
de las acciones a seguir, establecer las reglas de juego, para que en lugar de estar
a la defensiva, reaccionando a las circunstancias y eventualidades, haga que las
circunstancias y eventualidades se ajusten a su voluntad mediante el establecimiento de

un buen plan que le permita prever todos los posibles factores y elementos que pudieran
incidir en las acciones, fijarse objetivos que deseen alcanzar, establecer las polticas
que deban normar las operaciones y reglamentndolas en sistemas, mtodos y
procedimiento, que allanen el camino para el buen logro de esos objetivos, colocndolo
a la ofensiva, atacando en vez de esperar a ser atacado; es decir, actuando, en vez de
estar reaccionando. Anticiparse a los hechos es evitar sorpresas, que en la mayora de
los casos son desagradables. La auditora, al igual que cualquier otra actividad,
requiere de una buena planeacin, que le permita desarrollarse eficientemente y
oportunamente.
Auditora administrativa:
Es el revisar y evaluar Si los mtodos, sistemas y procedimientos que se siguen en todas
las fases del proceso administrativo aseguran el cumplimiento con polticas, planes,
programas, leyes y reglamentaciones que puedan tener un impacto significativo en
operacin de los reportes y asegurar que la organizacin los est cumpliendo y
respetando. Es el examen metdico y ordenado de los objetivos de una empresa de
su estructura orgnica y de la utilizacin del elemento humano a fin de informar los
hechos investigados. Su importancia radica en el hecho de que proporciona a los
directivos de una organizacin un panorama sobre la forma como est siendo
administrada por los diferentes niveles jerrquicos y operativos, sealando aciertos
y
desviaciones de aquellas reas cuyos problemas administrativos detectados
exigen una mayor o pronta atencin..
Auditora financiera:
Es un proceso cuyo resultado final es la emisin de un informe, en el que el auditor da
a conocer su opinin sobre la situacin financiera de la empresa, este proceso solo es
posible IIevarlo a cabo a travs de un elemento llamado evidencia de auditoria, ya que
el auditor hace su trabajo posterior a las operaciones de la empresa. La Auditora
Financiera es la ms conocida de todas, pues es la requerida por las empresas y es
la que ha presentado el mximo desarrollo.
Auditora de gestin:
La Auditora de Gestin aunque no tan desarrollada como la Financiera, es si se quiere
de igual o mayor importancia que esta ltima, pues sus efectos tienen
consecuencias que mejoran en forma apreciable el desempeo de la organizacin. La
denominacin auditora de gestin
funde
en
una,
dos
clasificaciones
que
tradicionalmente se tenan: auditora administrativa y auditora operacional.
Auditora de gestin de ambiental:
La creciente necesidad de controlar el impacto ambiental que generan las
actividades humanas ha hecho que dentro de muchos sectores industriales se produzca
un Incremento de la sensibilizacin respecto al medio ambiente. Debido a esto, las
simples actuaciones para
asegurar
el
cumplimiento legislativo han dado
paso a
sistemas
de
gestin medioambiental que permiten estructurar e
integrar todos los aspectos medioambientales, coordinando los esfuerzos que realiza
la empresa para llegar a objetivos previstos. Es necesario analizar y conocer en todo
momento todos los factores de contaminacin que generan las actividades de la
empresa, y por este motivo ser necesario que dentro del equipo humano se disponga
de personas cualificadas para evaluar el posible impacto que se derive de los vectores

ambientales. Establecer una forma sistemtica de realizar esta evaluacin es una

herramienta bsica para que las conclusiones de las mismas aporten mejoras al
sistema de gestin establecido.
La aplicacin permanente del concepto mejora continua es un referente que en el
campo medioambiental tiene una incidencia prctica constante, y por este motivo la
revisin de todos los aspectos relacionados con la minimizacin del impacto ambiental
tiene que ser una accin realizadas sin interrupcin.
Auditora de gestin y resultados:
Tiene por objeto el examen de la gestin de una empresa con el propsito de evaluar
la eficacia de sus resultados con respecto a las metas previstas, los recursos
humanos, financieros y tcnicos utilizados, la organizacin y coordinacin de dichos
recursos y los controles establecidos sobre dicha gestin. Es una herramienta de
apoyo efectivo a la gestin empresarial, donde se puede conocer las variables y los
distintos tipos de control que se deben producir en la empresa y que estn en
condiciones de reconocer y valorar su Importancia como elemento que repercute en la
competitividad de la misma. Se tiene en cuenta la descripcin y anlisis del control
estratgico, el control de eficacia, cumplimiento de objetivos empresariales, el control
operativo o ejecucin y un anlisis del control como factor clave de competitividad.
La auditora integral se ha desarrollado en los pases industrializados, especialmente en
el Canad, teniendo una gran aplicacin en el mbito del control gubernamental. En
s la auditora integral no es ms que la integracin de la auditora financiera con la
auditora de gestin y la auditora de cumplimiento.
La auditora de cumplimiento es la que hasta la vigencia de la anterior Constitucin,
venia ejecutando la Contralora General de la Repblica, y que consista en el simple
control numrico legal de las operaciones de los entes estatales en sus diferentes
niveles. El Consejo Tcnico de la Contadura Pblica en su pronunciamiento No. 7
define as la Auditora de Cumplimiento:
La auditora de cumplimiento consiste en la comprobacin o examen de las
operaciones financieras, administrativas, econmicas y de otra ndole de una entidad para
establecer que se han realizado conforme a las normas legales, estatutarias y de
procedimientos que le son aplicables.
La integracin de estos tres tipos de auditora implica que examen se debe realizar sobre
tres grandes sistemas de informacin de la organizacin: sistema de informacin
financiera, sistema de informacin de gestin y sistema de informacin legal. El concepto
de auditora integral realmente no es nuevo y por el contrario es si se quiere el ms
antiguo, pues si se considera la figura de la institucin de la Revisarla Fiscal, sta
cumple con los requerimientos de una auditora integral, pues en esencia el Revisor
Fiscal debe examinar los tres grandes sistemas objeto de examen por esta ltima.
Por lo dicho anteriormente se podra construir el siguiente concepto de auditora integral:
Auditora integral:
Es el examen crtico, sistemtico y detallado de los sistemas de informacin financiero,
de gestin y legal de una organizacin, realizado con independencia y utilizando
tcnicas especficas, con el propsito de emitir un informe profesional sobre la
razonabilidad de la informacin financiera, la eficacia, eficiencia y economicidad en el

manejo de los recursos y el apego de las operaciones econmicas a las normas

contables, administrativas y legales que le son aplicables, para la toma de decisiones que
permitan la mejora de la productividad de la misma.

P02A: Concepto de Auditora

Instrucciones: Despus de haber ledo con atencin los conceptos de auditora elabore un
es esquema (mapa mental, conceptual, cuadro sinptico o de doble entrada, etc.) acerca de
la informacin presentada.

P02B: Auditora en informtica

Fuente: Piattini, Mario G y del peso, Emilio Auditoria Informtica: un enfoque practico computec RAMA.
Madrid, Espaa. 2000.

Auditora en informtica

La auditora en informtica se desarrolla en funcin de normas, procedimientos y

tcnicas definidas por institutos establecidos a nivel nacional e internacional; por lo tanto,
nada ms se sealarn algunos aspectos bsicos para su entendimiento.
As, la auditora en informtica es:
A. Un proceso formal ejecutado por especialistas del rea de auditora y de
informtica; se orienta a la verificacin y aseguramiento de las polticas y
procedimientos establecidos para el manejo y uso adecuado de la tecnologa de
informtica en la organizacin se lleve a cabo de una manera oportuna y eficiente.
B. Las actividades ejecutadas por los profesionales del rea de Informtica y de
auditora encaminada
a
evaluar
el
grado de
cumplimiento de
polticas,
controles
y procedimientos correspondientes al uso de los recursos
de informtica por el personal de la empresa (usuarios, informtica, alta direccin,
etc.). Dicha evaluacin deber ser la pauta para la entrega del informe de auditora
en informtica, el cual ha de contener las observaciones, recomendaciones y reas
de oportunidad para el mejoramiento y la optimizacin permanente de la tecnologa
de informtica en el negocio.
C. El conjunto de acciones que realiza el personal especializado en las reas de
auditora y de informtica para el aseguramiento continuo de que todos los
recursos de informtica operen en un ambiente de seguridad y control
eficientes, con la finalidad de proporcionar a la alta direccin o niveles ejecutivos
la certeza de que la informacin que pasa por el rea se manejan con los conceptos
bsicos de integridad, totalidad, exactitud, confiabilidad, etc.
D. Proceso metodolgico que tiene el propsito principal de evaluar todos los
recursos (humanos, materiales, financieros, tecnol6gicos, etc.) relacionados con la
funcin de informtica, para garantizar al negocio que dicho conjunto opera con
un criterio de integracin y desempeos de niveles altamente satisfactorios para
que apoyen la productividad y rentabilidad de la organizacin. (Hernndez, 1997).
La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias
para determinar si un sistema informatizado salvaguarda los activos, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza
eficientemente los recursos.
De este modo la auditoria informtica sustenta y confirma la consecucin de los
objetivos tradicionales de la auditoria:

Objetivos de proteccin de activos e integridad de datos.

Objetivos de gestin que abarcan, no solamente los de proteccin de

activos, sino tambin los de eficacia y eficiencia.
El auditor evala y comprueba en determinados momentos del tiempo los controles
y procedimientos informticos ms complejos, desarrollando y aplicando tcnicas
mecanizadas de auditora, incluyendo el uso del software. En muchos casos, ya no es
posible verificar manualmente los procedimientos informatizados que resumen, calculan
y clasifican datos, por lo que se deber emplear software de auditoria y otras tcnicas
asistidas por ordenador.

El auditor es responsable de revisar e informar a la Direccin de la Organizacin sobre

el diseo y funcionamiento de los controles implantados y sobre la fiabilidad de la
informacin suministrada.
Se pueden establecer tres grupos de funciones a realizar por un auditor informtico:

Participar en las revisiones durante y despus del diseo, realizacin,

implantacin y explotacin de las aplicaciones informticas, as como en
las fases anlogas de realizacin de cambios importantes.

Revisar y juzgar los controles implantados en los sistemas informticos para

verificar su adecuacin a las rdenes e instrucciones de la Direccin,
requisitos legales, proteccin de confidencialidad y cobertura ante errores y
fraudes.

Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los

equipos e informacin.
Auditora informtica:

Es un examen metdico del servicio informtico, o de un sistema informtico en

particular, realizado de- una forma puntual y objetiva, a instancias de 1a direccin y con la
intencin de ayudar a mejorar conceptos como la seguridad, eficiencia y
rentabilidad del servicio informtico.
En esta definicin hay cuatro palabras que destacan: "examen", "metdico", "puntual" y
"objetivo":

La auditora informtica es un examen, pues se verifica o comprueba el

sistema informtico actualmente en uso.

Este examen es metdico, ya que sigue un plan de trabajo, perfectamente

diseado, que permite llegar a conclusiones suficientemente fundamentadas.

Este examen es puntual, ya que se realiza en un momento determinado y bajo

peticin de la direccin.

Este examen es objetivo, ya que se realiza por un equipo externo al

servicio de informtica para buscar la objetividad requerida.
El servicio de auditora cubre una serie de actividades (controles, verificaciones,
pruebas, etc.) para concluir elaborando un conjunto de recomendaciones y un plan de
accin. La elaboracin de este plan de accin es una de las caractersticas que
verdaderamente diferencia la auditora informtica del resto de tipos de auditoras.
Objetivos de la auditora informtica.
La definicin de los objetivos de la auditora informtica es un tema difcil y complejo.
No existe un total acuerdo en la definicin de tales objetivos y en consecuencia, en
el establecimiento de las funciones que debe desarrollar un auditor informtico.
Para precisar esta situacin sera necesario:

Definir el campo de actuacin del auditor informtico.

Definir los objetivos de la auditora informtica.

Para el campo de actuacin del auditor, sera preciso reflexionar sobre los
siguientes aspectos:

Organizacin en la que se desenvolver el auditor.

Estructura.
Tipo de actividad de la empresa.
Departamento de informtica objeto de la auditora.

Grado de sofisticacin.
Tamao.
Recursos del departamento
Relaciones con la auditora financiera.
las propias limitaciones tcnicas del auditor.

De un modo general los objetivos de la auditora informtica podran ser:

Elaborar un informe sobre los aspectos que afecten al alcance de una

auditora y sealar riesgos de errores o fraudes de un sistema informtico.

Evaluar la fiabilidad de los sistemas informticos, en cuanto a la exactitud de

los datos y a las informaciones tratadas.

Verificar el cumplimiento de la normativa general de la empresa.

Comprobar la eficacia de los sistemas implantados.

Comprobar si se ha estudiado el coste / beneficio.

Garantizar la seguridad fsica y lgica.

Evaluar la dependencia de una organizacin respecto a sus sistemas

informticos, revisando las medidas tomadas en el caso de que se produzca
un fallo y que permitan asegurar la continuidad de las actividades normales.

Emisin de informes con la evaluacin independiente de los sistemas

informticos.
sintetizando
riesgos,
deficiencias,
sugerencias
y
recomendaciones.

Anlisis de la calidad y eficacia del servicio de atencin a los usuarios.

Participacin y seguimiento de proyectos de investigacin.

P02B: Auditora Informtica

Instrucciones: Despus de haber ledo con atencin los conceptos de auditora informtica
elabora un resumen que contenga las caractersticas de la auditoria informtica, y una reflexin
acerca de la importancia de la misma en las organizaciones.

P03 Auditora Informtica

Introduccin
Conceptos de Auditora Informtica
Objetivos de la Auditora Informtica
Importancia de la Auditora Informtica
Reafirmando La Necesidad de Auditar
I. Introduccin:
Desde que la informtica se enfoc hacia el apoyo de la sistematizacin en las reas del negocio, se empezaron a
implantar aplicaciones administrativas como contabilidad, nmina, etc., lo que origin el proceso conocido como
auditoria a sistemas de informacin.
Posteriormente, el uso de la informtica cubri las reas de negocio en todos los niveles por medio de productos
y servicios variados; proliferaron las mini computadoras o equipos departamentales; despus aparecieron las
microcomputadoras o computadoras personales e interrumpieron de lleno las redes locales, la integracin
empresarial a travs de las telecomunicaciones y un sin nmero de componentes de tecnologa. Tal tecnificacin
del medio imposibilit al responsable de informtica y a los auditores de sistemas tradicionales continuar
evaluando este campo con mtodos y procedimientos anticuados y se convirti en una necesidad el
replanteamiento del fondo y forma de la auditora en informtica.
Todo lo que se planea debe ejecutarse con formalidad y oportunidad, lo que se relaciona con el hecho de que
cualquier organizacin desea mantener sus activos en las mejores condiciones posibles y salvaguardar su
integridad.
La funcin del auditor en informtica no es fungir como capataz o polica del negocio, como tantas veces se ha
planteado en forma sarcstica o costumbrista en las organizaciones. Este profesionista se orienta a funcionar
como un punto de control y confianza para la alta direccin, adems busca ser un facilitador de soluciones.
Por analoga el auditor se asemeja al mdico que evala al paciente y le recomienda el tratamiento idneo para
estar en ptimas condiciones de salud. Segn la situacin del enfermo, recomendar tratamientos ligeros o
fuertes y estrictos. Lo importante es lograr que el paciente sepa que puede mejorar su salud. Esa es la
orientacin del auditor en auditora en informtica: Conducir a la empresa a la bsqueda permanente de la
salud de los recursos de informtica y de aquellos elementos que se relacionan con ella.
No hay que pensar que este proceso cambiar la cultura organizacional de la noche a la maana, los mtodos de
trabajo, la mala calidad ni la improductividad en las reas relacionadas con la informtica; es un elemento
estratgico directo que apoya la eliminacin de cada una de las debilidades mencionadas. Sin embargo ha de
coexistir con personal responsable y profesional, as como con directores y accionistas comprometidos con la
productividad, calidad y otros factores recomendados para ser empresas de clase mundial.
Se espera que cada auditor sea un profesional, un experto, pero sobre todo que sea un ser sensible, humano,
que entienda el contexto real del negocio. Su principal objetivo es conferir la dimensin justa a cada
problemtica, convirtindola en un rea de oportunidad y orientndola hacia una solucin del negocio.
Conviene recordar que en las empresas existen objetivos comunes a los rubros referentes a los recursos de
informtica; por ejemplo, el mximo uso y aprovechamiento de la tecnologa mediante polticas, procedimientos
y mtodos apropiados. En ese sentido, la funcin de la auditora en informtica es uno de los medios ms
importantes y especializados para lograr su fin.
II. Conceptos de Auditora en informtica:
a) Es el proceso formal ejecutado por especialistas del rea de auditora e informtica; se orienta a la
verificacin y aseguramiento para que las polticas y procedimientos establecidos para el manejo y uso
adecuado de la tecnologa informtica en la organizacin se realiza de manera oportuna y eficiente.

b) Es el conjunto de actividades ejecutadas por los profesionales del rea de auditora e informtica
encaminados a evaluar el grado de cumplimiento de polticas, controles y procedimientos
correspondiente al uso de recursos de informtica por el personal de la empresa (usuarios, informticos,
alta direccin, etc.).
c) Es el conjunto de acciones que realiza el personal de auditora e informtica para el aseguramiento
continuo de que los recursos en informtica operen en un ambiente de seguridad y control eficientes.
III. Objetivos de la Auditora Informtica:
Mejorar la Situacin de la Empresa.
Sugerir mejoras en controles, procedimientos, etctera.
Detectar fallas.
Reunir elementos para la toma de decisiones.
Reducir los riegos.
Retroalimentar oportunamente.
Optimizar el uso de recursos.
Analizar imparcialmente las funciones.
Estandarizar.
IV. Importancia de la Auditora Informtica:
La tecnologa de informtica, traducida en hardware, software, sistemas de informacin, investigacin
tecnolgica, redes locales, bases de datos, ingeniera de software, telecomunicaciones, servicios y organizacin
de informtica, es una herramienta estratgica que brinda rentabilidad y ventajas competitivas a los negocios
frente a sus similares en el mercado, pero puede originar costos y desventajas si no es bien administrada por el
personal encargado.
De los extremos sealados surge de inmediato un par de preguntas:
Cmo saber si estoy administrando de manera correcta la funcin de la informtica?
La respuesta siempre ha existido: mediante evaluaciones oportunas y completas de dicha funcin por
personal calificado, consultores externos, auditores e informtica o evaluaciones peridicas realizadas por
el mismo personal de informtica, entre otras estrategias.
Es necesario auditar o evaluar la funcin de informtica? Y quines lo haran?
Aqu la respuesta depende de cada organizacin y de sus necesidades por conocer el estado real de su
tecnologa en informtica.
Lo que resulta innegable es que la informtica se convierte cada da en una herramienta permanentemente de
los procesos principalmente de los negocios, en una fuerza estratgica, en un aliado confiable y oportuno. Lo
anterior es posible si se implantan en la empresa los controles y esquemas de seguridad requeridos para su
aprovechamiento ptimo.
Este personal especializado en informtica y auditora que se encuentra profesionalmente preparado para
auditar en este campo. Lo primero que deben realizar las organizaciones es la necesidad de contar con una
funcin que evale de manera satisfactoria los recursos de informtica, as como los elementos inherentes a
ellos.
Una vez que la alta direccin tome conciencia de lo saludable y productivo que resulta contar con un rea
independiente que asegure y promueva el buen uso y aprovechamiento de la tecnologa de informtica, el
siguiente paso es delegar la responsabilidad en personal altamente capacitado para ejercer la auditora en
informtica dentro de la organizacin formal y permanentemente.
V. Reafirmando la necesidad de Auditar
Las empresas y organismos interesados en que la informtica contine creciendo para beneficio de la humanidad
(educacin, productividad, calidad, ecologa, etc.) desean que este incremento se controle y oriente de manera

profesional: se debe obtener el resultado planeado y esperado de cada inversin.

Con el paso de los aos la informtica y los elementos tecnolgicos que la rodean han creado necesidades en
cada sector social y se han tornado en un requerimiento permanente para alcanzar soluciones.
A continuacin se mencionan algunas consideraciones que corresponden a una necesidad real y no a una
tendencia:
Todas las actividades de la sociedad deben buscar apoyarse en recursos de la tecnologa de informtica.
Los equipos de cmputo de diferentes marcas y capacidades asi como las bases de datos y los sistemas
de informacin, deben ser una solucin integrada.
La capacitacin en el uso de la tecnologa de informtica tiene que ser permanente.
Hardware, software, telecomunicaciones y otros recursos tecnolgicos deben estar interrelacionados
para explotar al mximo sus capacidades y dar soluciones a los sectores.
Integrar a la comunidad, de manera permanente, en el conocimiento y aprovechamiento de la
tecnologa de informacin.
La gran penetracin de la informtica en todos los niveles del sector educativo, as como en los sectores
social y cultural.
El control y seguridad sobre los recursos de informtica es una necesidad.
Se debe evaluar de manera formal y peridica la funcin de informtica.
El proceso de planeacin de los negocios debe integrar permanentemente la funcin de informtica.
El incremento persistente de las expectativas y necesidades relacionadas con la informtica, al igual que la
actualizacin continua de los elementos que componen la tecnologa de este campo, obligan a las entidades que
las aplican a disponer de controles, polticas y procedimientos que aseguren la alta direccin de los recursos
humanos, materiales y financieros involucrados para que se protejan adecuadamente y se oriente a la
rentabilidad y competitividad del negocio.
Si la respuesta que brinde a cualquiera de las siguientes preguntas es negativa, le convendra reafirmar o
considerar la necesidad de asumir la responsabilidad del control y otorgamiento de seguridad permanente a los
recursos de informtica:
1. Los usuarios y la alta direccin conocen la situacin actual de la funcin de informtica en la empresa
(organizacin, polticas, servicios?
2. Se aprueba formal y oportunamente el costo/beneficio de cada proyecto relacionado en forma directa
con la informtica?
3. La informtica apoya las reas crticas del negocio?
4. El responsable de informtica conoce los requerimientos actuales y futuros del negocio que necesitan
apoyo de los servicios y productos de su rea?
5. Cada uno de los elementos del negocio conoce las polticas y procedimientos inherentes al control y
seguridad de la TI?
6. Existen dichas polticas y procedimientos de manera formal?
7. Hay un plan de seguridad en la informtica?
8. Es importante para usted la informtica?
9. Evala peridica y formalmente dicha funcin de la informtica?
10. Auditan slo sistemas de informacin y no otras reas de informtica?
Cada una de estas preguntas encierra una importancia especfica para el buen funcionamiento informtico de
cualquier negocio; estn interrelacionadas y la negacin de alguna es una pequea fuga de gas que , con el
tiempo y un pequeo chispazo, puede ocasionar graves daos a los negocios, ya sean fraudes, proyectos
cancelados con alto porcentaje de costos no recuperables, rechazo de los servicios de informtica por los
usuarios claves del negocio, improductividad y baja calidad de los recursos de informtica, planes de informtica
no orientados a las metas y estrategias de negocio, piratera de software, fuga de informacin hacia la

competencia o proveedores, entre otros daos.

La improductividad, el mal servicio y la carencia de soluciones totales de la funcin de informtica fueron, son y
pueden continuar siendo mal de muchas organizaciones. El problema real radica en que los proyectos prioritarios
hacen gala del apoyo que obtienen de la informtica; entonces, Por qu no cuidarla?
P03:
Conteste las siguientes preguntas:
1. Desde su punto de vista, la tecnologa de informtica debe considerarse un activo en la empresa?
Por qu?
2. Cules son las reas o departamentos de negocios que de manera tradicional han implantado
sistemas de informacin para soportar sus operaciones y administrar la informacin que emanaba de
las mismas?
3. Por qu se torn necesario auditar los sistemas computarizados?
4. Qu acontecimientos llevaron a las empresas a formalizar, en algunos casos, el proceso de evaluacin
de informtica?
5. Cul cree que debe ser el perfil de un auditor de informtica? Mencione tres caractersticas inherentes
a su funcin.
6. Cree que sea necesario auditar la funcin de informtica? Por qu?

P04: Planeacin Auditora Informtica

Fecha: ___/____/201___

Conteste las siguientes preguntas:

1.
2.
3.
4.
5.
6.
7.
8.
9.

Qu se entiende por planeacin?

Qu es un plan de negocios?
Cul es la relevancia de que los auditores de informacin conozcan dicho plan?
Qu es un plan de auditoria tradicional (financiera, administrativa, etctera)?
Cul es la importancia de que los auditores de informacin lo conozcan?
Qu es un plan de informtica?
Qu importancia tiene que los auditores de informtica lo conozcan?
Qu entiende por planeacin de auditoria en informtica?
Si el auditor de informtica carece de un plan formal de su funcin, Qu afectos negativos se le
podran presentar?
10. Qu beneficios directos brindar al negocio el hecho de contar con planes formales?
Cules son los elementos mnimo que componen un proceso formal de planeacin?

P05: El auditor
http://www.monografias.com/trabajos33/auditor/auditor.shtml

Introduccin El auditor es aquella persona que lleva a cabo una auditoria; capacitado para evaluar la
eficacia de una empresa, a la vez de poseer una tica profesional y una responsabilidad hacia los
clientes y colegas con el fin de prestarle un mejor servicio en el campo en que se desempea e
integridad de la informacin de los mtodos empleados para identificar, medir, clasificar y reportar dicha
informacin.
El auditor debe revisar los sistemas establecidos para asegurarse del cumplimiento de las polticas,
planes y procedimientos, leyes y reglamentos que pueden tener de impacto significativo en las
operaciones e informes y deben determinar si la organizacin cumple con ellos. As mismo son
responsables de determinar si los sistemas son adecuados y efectivos y si las actividades auditadas
estn cumpliendo con los requerimientos apropiados. Tambin deben revisar las operaciones o
programas para cerciorarse si los resultados son consistentes con los objetivos y metas establecidas y
si las operaciones o programas se llevan a cabo como se planearon.
El Auditor Es aquella persona que lleva a cabo una auditoria, capacitado con conocimiento necesario
para evaluar la eficacia de una empresa.
El auditor debe reunir, para el buen desempeo de su profesin, caractersticas como: slida cultura
general, conocimiento tcnico, actualizacin permanente, capacidad para trabajar en equipo
multidisciplinario, creatividad, independencia, mentalidad y visin integradora, objetividad,
responsabilidad, entre otras. Adems de esto, este profesional debe tener una formacin integral y
progresiva.
tica Profesional La tica profesional del auditor, se refiere a la responsabilidad del mismo para con el
pblico, hacia los clientes y colegas y los niveles de conducta mximos y mnimos que debe poseer. A
tal fin, existen cinco (5) conceptos generales, llamados tambin Principios de tica las cuales son:

Independencia, integridad y objetividad.

Normas generales y tcnicas.

Responsabilidades con los clientes.

Responsabilidades con los colegas.

Independencia, integridad y objetividad: El auditor debe conservar la integridad y la objetividad y,
cuando ejerce la auditora ser independiente de aquellos a quienes sirve. Los conceptos de la tica
profesional, seccin ET 52-02 define la independencia como: La capacidad para actuar con integridad
y objetividad. Objetividad es la posibilidad de mantener una actitud en todas las cuestiones sometidas
a la revisin del auditor.
El auditor debe expresar su opinin imparcialmente, en atencin a hechos reales comprobables, segn
su propio criterio y con perfecta autonoma y, para tal fin, estar desligado a todo vnculo con los
dueos, administradores e intereses de la empresa u organizacin que audite. Su independencia
mental y su imparcialidad de criterio y de opinin deben serlo, no solamente de hecho, sino en cuanto a
las apariencias tambin, por lo cual el auditor debe evitar cualquier entredicho que lo pueda vincular a
situaciones que permitan dudar de tales cualidades.
Normas Generales y Tcnicas: El auditor debe observar las normas generales y tcnicas de la
profesin y luchar constantemente por mejorar su competencia y la calidad de sus servicios. Las
normas generales y tcnicas son reglas de conducta que exigen la observancia de las normas
relacionadas con la realizacin del trabajo. As, las primeras indican que un miembro a quien mediante
otro auditor solicite consejo profesional sobre una cuestin tcnica o de auditora, debe consultar con el
otro auditor antes de proporcionar ese consejo a fin de asegurarse de que el miembro conoce todos los
datos y hechos disponibles.

Responsabilidades con los clientes: El auditor debe ser imparcial y franco con sus clientes y
servirles lo mejor que pueda, con inters profesional por los intereses de ellos, consecuente con sus
responsabilidades para con el pblico y todo esto lo pondr de manifiesto a travs de independencia,
integridad y objetividad.
Una responsabilidad fundamental del auditor es la que se refiere a la confidencialidad y al conflicto de
intereses. La regla 301 (seccin ET 301.01) dice que un miembro ...no revelar informacin
confidencial alguna obtenida en el curso de un trabajo profesional, a menos que el cliente d su
consentimiento.
Necesidad de confidencialidad: Tanto el sentido comn como el concepto de independencia
requieren que sea el auditor, no el cliente, quien decida qu informacin necesita el auditor para
practicar una auditoria efectiva. En esa decisin no debe influir la creencia, de parte del cliente, de que
cierta informacin es confidencial. Una auditoria eficiente y efectiva requiere que el cliente ponga en el
auditor la confianza necesaria para ser sumamente franco al proporcionar informacin.
Confidencialidad y privilegio: Con las excepciones indicadas, las comunicaciones entre el cliente y el
auditor son confidenciales; es decir, el auditor no debe revelar la informacin contenida en la
comunicacin sin el permiso del cliente. Normalmente, sin embargo, esa informacin no es
privilegiada. La informacin es privilegiada si el cliente puede impedir que un tribunal o dependencia
del gobierno tenga acceso a ella..
Informacin Confidencial: Los auditores y su personal tienen iguales responsabilidades que la
administracin en cuanto al manejo de la informacin confidencial: no utilizarla para provecho personal,
ni revelarla a quienes pudieran hacerlo. Esas responsabilidades estn claramente comprendidas en las
estipulaciones generales del cdigo de tica profesional.
Conflicto de intereses: El temor de algunos clientes de que sus secretos les sean comunicados a los
competidores es tan grande que se niegan a contratar a auditores entre cuyos clientes figure un
competidor. Otros quedan satisfechos con la seguridad de que el personal encargado de su trabajo no
tenga contacto con el personal del competidor. El precio de obtener tan alto grado de confidencialidad
es la prdida de los beneficios de una experiencia en el ramo que pueden aportar los auditores
familiarizados con ms de una empresa dentro del mismo giro. La experiencia indica que el riesgo de
que se filtre informacin que tenga valor competitivo es sumamente bajo.
Responsabilidades con los colegas: Aunque no hay actualmente reglas de conducta especficas que
gobiernan la responsabilidad de un auditor con sus colegas, los conceptos de tica profesional
establecen el principio fundamental de cooperacin y buenas relaciones entre los miembros de la
profesin. La seccin ET 55.01 expresa que un auditor debe tratar con sus colegas en forma de que
no disminuya su reputacin y bienestar. Adems, al ofrecer sus servicios, no tratar de desplazar a
otro auditor en forma que lo desacredite. De manera que sus acciones deben estar gobernadas por la
cortesa profesional debida a los colegas.
Responsabilidad legal Son muchas las responsabilidades generales por la profesin derivadas de
estipulaciones legales. Amanera de sntesis se trata de dar una idea de este tema a continuacin:
Responsabilidad ante los clientes: El auditor tiene una relacin contractual de carcter derivado
con su cliente; en esta circunstancia es claro, de acuerdo con el derecho comn, que el profesional es
responsable ante su cliente por negligencia en grado simple y, en consecuencia, tambin lo ser por
negligencia en grado grave o por fraude. Por muchos aos los auditores han tenido buen cuidado de
hacer saber claramente a sus clientes que una auditoria normal de estados financieros no lleva la
intencin de descubrir desfalcos e irregularidades similares y as, el no hacerlo no puede ser motivo
para demandarlo segn la Responsabilidad por fraudes y actos ilegales.

Responsabilidad ante terceras personas: El problema de la responsabilidad ante terceras personas,

conceptualmente, es equilibrar el derecho que razonablemente tiene el auditor de protegerse contra
reclamaciones de personas desconocidas (y algunas veces innumerables), de quienes el auditor no
tiene razn para sospechar que contarn con los resultados de su trabajo por un lado, y por el otro, lo
que se considera como una importante poltica del Estado de proteger a todas esas terceras personas
que confan en los estados financieros dictaminados contra los efectos adversos de la prctica
profesional.
Recomendaciones

El auditor debe realizar procedimientos diseados a obtener suficiente y apropiada evidencia de

auditora, en que puedan todos los elementos hasta la fecha del informe del auditor que puedan
requerir de ajustes o exposiciones en los estados financieros, hayan sido identificados. Ciertos
eventos y transacciones que ocurren despus de cada fin de ao, deben ser examinados como
parte del trabajo normal de verificacin de auditora.

Adems debe de llevar a cabo una revisin completamente documentada, de eventos

subsecuentes la cual tiene como objetivo de obtener una seguridad razonable, de que todos los
eventos importantes han sido identificados y expuestos o registrados en los estados financieros.

La revisin debe ser actualizada a una fecha lo ms cercanamente posible a la fecha del
informe de auditora, hablando con la gerencia y realizando pruebas futuras de ser necesario.

Todos los procedimientos de auditora emprendidos y las conclusiones alcanzadas deben estar
completamente documentadas las hojas de trabajo deben incluir notas, detalladas de reuniones,
incluyendo quien estaba presente, los asuntos discutidos y el resto de las discusiones.
Conclusin
El auditor tiene la responsabilidad de mantener en completa integridad y objetividad la informacin que
se le ha dado de manera confidencial para poder llevar a cabo los requerimientos que se le han
asignados y ofrecer una mejor calidad de sus servicios, con el fin de que la organizacin donde est
desempeando su labor quede conforme. Obtener evidencia suficiente, confiable y til para lograr de
manera eficaz los objetivos de la auditoria y tener responsabilidades que estn claramente
comprendidas en las estipulaciones generales del cdigo de la tica profesional e inculcar normas
generales y tcnicas de su competencia.
P05
Instrucciones:
Despus de haber ledo con atencin la lectura anterior elabora un esquema (mapa mental, conceptual,
cuadro sinptico o de doble entrada, etc), acerca de la informacin
presentada.

P06: Cdigo de tica de los auditores informticos

PRINCIPIOS DEONTOLGICOS
INFORMTICOS

APLICABLES

LOS

AUDITORES

Principio de beneficio del Auditado.

El auditor deber obtener la mxima eficiencia y rentabilidad de los medios informticos de la empresa
auditada, estando obligado a presentar sus recomendaciones acerca del reforzamiento del sistema
informtico y el estudio de las soluciones idneas, siempre y cuando dichas soluciones no se
contrapongan a los diferentes ordenamientos legales establecidos ni transgredan los principios morales
o ticos de las normas deontolgicas.
Para garantizar el beneficio del auditado as como la necesaria independencia del auditor informtico,
el auditor no debe estar ligado a los intereses particulares de ciertas firmas, marcas, productos o
equipos compatibles con los del cliente, sin hacer comparaciones de las caractersticas de los equipos
de su cliente con los de otros fabricantes, cuando dichas comparaciones slo tengan por objeto
provocar que su auditado compre dichos productos para el beneficio del auditor informtico.
El auditor informtico deber abstenerse de hacer recomendaciones de compras onerosas a su cliente
o dainas que originen riesgos innecesarios al auditado. Si el cliente decidiera escoger a otra firma de
auditores informticos, el auditor actual tiene la obligacin de proporcionar toda la informacin de las
auditoras previas sin poner en riesgo o se vulneren derechos de terceros protegidos con el secreto
profesional que el auditor en todo momento debe guardar.
Principio de Calidad.
El auditor informtico debe prestar sus servicios tomando en consideracin todos los medios a su
alcance con absoluta libertad y con condiciones tcnicas adecuadas para el idneo cumplimiento de su
deber.
Si el auditado no le proporcionara auditor informtico la informacin o medios indispensables mnimos
para llevar a cabo su trabajo, dicho auditor informtico deber negarse a prestar su servicio profesional,
hasta que se le garantice un mnimo de condiciones necesarias tcnicas que no comprometa la calidad
de los resultados del trabajo del auditor informtico.
Si el auditor informtico considera necesaria la intervencin de otros especialistas ms calificados
sobre algn aspecto en particular, podrn solicitar su dictamen para reforzar la calidad y fiabilidad de su
propia auditora.
Principio de capacidad.
El auditor informtico debe estar perfectamente capacitado profesionalmente para llevar a cabo una
auditora encomendada, inclusive, dada su especializacin, a los auditados en algunos casos les puede
ser extremadamente difcil verificar sus recomendaciones y evaluar correctamente la precisin de las
mismas.
El auditor debe estar consciente del alcance de sus conocimientos y de su experiencia profesional y
aptitud para llevar a cabo una auditora informtica, evitando que una sobreestimacin personal de sus
capacidades pudiera provocar el incumplimiento parcial o total de su trabajo, an cuando dicho
incumplimiento no pudiese ser detectado por las personas que lo contrataran dada su ignorancia
tcnica. El auditor informtico siempre deber estar actualizado profesionalmente para evitar que una
obsolescencia en conocimiento de mtodos y tcnicas pudiesen inhabilitarle para el ejercicio de su
profesin como auditor informtico.
Por lo tanto la conclusin es que el auditor informtico siempre debe estar actualizado con los ltimos
conocimientos de su profesin.
Principio de cautela.

El auditor informtico debe evitar que por un exceso de vanidad personal, el auditado se embarque en
proyectos de nuevas tecnologas de la informacin por su supuesta evolucin an no comprobada,
por simples intuiciones personales del auditor informtico.
Por lo tanto el auditor informtico debe actuar con humildad, evitando dar la impresin de que est al
corriente sobre informacin privilegiada sobre nuevas tecnologas y poner en peligro a su cliente.
Principio de comportamiento profesional.
El auditor informtico en sus relaciones con el auditado, as como con terceras personas, deber en
todo momento, a actuar conforme a las normas, ya sean, implcitas o explcitas, de dignidad de la
profesin y de correccin en el trato personal.
Por lo anterior deber ser muy cuidadoso al emitir sus opiniones y juicios evitando caer en
exageraciones o provocando preocupacin innecesaria, transmitiendo en todo momento una imagen de
precisin y exactitud en sus comentarios que avalen su comportamiento profesional y le den mayor
seguridad a sus clientes auditados.
Principio de concentracin en el trabajo.
El auditor tiene que evitar que por un exceso de trabajo afecte su concentracin y precisin en cada
una de las tareas encomendadas. No debe asumir una acumulacin excesiva de trabajo que ponga en
riesgo la calidad del mismo.
Principio de confianza.
El auditor debe incrementar la confianza del auditado en base a una actuacin con transparencia en su
actividad profesional, sin alardes tcnicos o cientficos que por su incomprensin para el auditado
puedan restarle credibilidad de los resultados obtenidos. El auditor debe mantener una confianza en las
indicaciones del auditado, a no ser que encuentra evidencia que las contradiga, confirmndolo
personalmente con el auditado.
Principio de criterio propio.
El auditor no debe estar supeditado a criterios de terceros, aunque stos tengan gran prestigio y no
coincidan con la opinin del auditor informtico. El auditor informtico debe basarse en metodologas
sustentables. Si el auditado se niega a seguir sus sugerencias, el auditor informtico debe pensar
seriamente en suspender su servicio profesional.
Principio de discrecin.
El auditor informtico bajo ninguna circunstancia podr divulgar datos, aparentemente sin importancia,
que haya conocido en el transcurso de la auditora.
Principio de economa.
Es una obligacin del auditor informtico proteger la parte econmica del auditado evitando generarle
gastos innecesarios en el ejercicio de su actividad. Tampoco por el simple hecho de cobrar ms dinero
podr alargar innecesariamente su trabajo de auditora. Tampoco podr incurrir en gastos no
justificados, ni inducir al cliente a erogarlos.
Principio de formacin continuada.
Este principio est ligado al principio de capacidad profesional y estrechamente relacionado con la
continua evolucin de las tecnologas de informacin. En otras palabras este principio exige al auditor a
mantenerse continuamente actualizado
Principio de fortalecimiento y respeto de la profesin.
Este principio exige un gran respeto al ejercicio de la profesin de auditora informtica, con un
comportamiento que conlleve al idneo cumplimiento de su trabajo. De acuerdo con el principio de
defensa de la profesin de los auditores, los mismos debern cuidar del reconocimiento del valor de su
trabajo y de la correcta valoracin de la importancia de los resultados obtenidos en el mismo.

En cuanto a la remuneracin econmica del auditor informtico, sta debe de ir de acuerdo a su

experiencia profesional, evitando cobrar honorarios desproporcionados exageradamente o abusivos.
El auditor no puede competir deslealmente con colegas de profesin abaratando sus servicios de
manera intencional, para poder atrapar a un cliente con sus servicios profesionales.
En ningn momento podr confrontarse con colegas, sino promover el respeto mutuo. Sin embargo s
es obligacin en caso de prcticas desleales de sus colegas denunciados para as poder proteger a su
profesin y evitar caer en un desprestigio por deshonestos profesionistas informticos.
Principio de independencia.
Este principio validado con el principio de criterio propio, que exige una total autonoma en el ejercicio
de su trabajo, sin influencias que pueden demeritarlo. Este principio garantiza al auditado que los
intereses del propio auditado sern asumidos con gran objetividad profesional. Esta independencia
implica que debe rechazar aquellos criterios profesionales con los que no est plenamente de acuerdo.
Principio de informacin suficiente.
Es obligacin profesional del auditor informtico dar a conocer a su auditado en forma clara, precisa y
pormenorizada todos y cada uno de los trabajos llevados a cabo durante la auditora que puedan ser
de inters para dicho auditado. Esta informacin es aquella que considere el auditor de inters o
seguridad para su cliente. No debe proporcionar autopropaganda o inducir al cliente al que fije su
mirada en datos comerciales no pertinentes o bien justificar la ausencia de determinadas precisiones
que sean importantes aportando otras de menor inters y de ms fcil elaboracin para el auditor.
Con sus conclusiones, el auditor debe poner de manifiesto los errores observados y las lneas de
accin recomendadas.
Principio de integridad moral.
Este principio est ligado a la educacin moral y a la dignidad del auditor informtico, debiendo
ajustarse a las normas morales de justicia, probidad y evitar voluntaria o involuntariamente caer en
actos de corrupcin personal o de terceras personas. El auditor no deber emplear sus conocimientos
profesionales para utilizarlos en contra de su auditado o de terceras personas relacionadas con su
cliente.
Durante la auditora, el auditor informtico debe emplear la mxima diligencia, dedicacin y precisin,
utilizando para ello todo su saber y entender profesional y moral.
Principio de legalidad.
En todo momento el auditor informtico debe utilizar sus conocimientos para facilitar a sus auditados
para evitar caer en contraposicin con las disposiciones legales vigentes. No podr desactivar
dispositivos de seguridad, ni tampoco podr intentar obtener cdigos, claves, passwords, a sectores
restringidos de informacin elaborados para proteger derechos, obligaciones o intereses de terceros,
como lo son el derecho a la intimidad, secreto profesional, propiedad intelectual, etc.
Tampoco podr intervenir lneas de comunicacin o controlar actividades que puedan generar
vulneracin a los derechos personales o empresariales dignos de proteccin.
Principio de libre competencia.
El auditor informtico debe trabajar en un mercado de libre competencia, evitando llevar a cabo
prcticas desleales para atacar a sus competidores para tener un beneficio propio y en contra de los
intereses de sus auditados.
El auditor informtico no debe aprovecharse indebidamente del trabajo y reputacin de otros
profesionistas en su propio beneficio, ni tampoco debe confundir a los demandantes de dichos servicios
mediante antigedades, insinuaciones, que slo tengan por objeto enmascarar la calidad y
confiabilidad de la oferta.
Principio de no discriminacin.

El auditor informtico, antes, durante y posterior a su auditora, deber evitar a toda costa inducir,
participar o aceptar situaciones discriminatorias de ningn tipo, manteniendo en todo momento una
igualdad en su trato profesional con la totalidad de personas, con las que en virtud de su trabajo tenga
que relacionarse con independencia de categora, estatus empresarial o profesional, etc.
Principio de no injerencia.
El auditor informtico no podr tener injerencia en el trabajo de otros profesionales, debiendo respetar
su trabajo, evitando hacer comentarios que pudieran interpretarse como de desprecio o provocar
desprestigio profesional a otros, a menos de que las actitudes de otros profesionales sean fraudulentas
o vayan en contra de la ley. Tampoco puede aprovechar los datos obtenidos de su cliente para
utilizarlos como una competencia desleal.
Principio de precisin.
Este principio est ntimamente relacionado con el principio de calidad. El auditor informtico no puede
concluir su trabajo hasta que no est plenamente convencido de la viabilidad de sus propuestas,
ampliando sus estudios informticos cuando lo considere necesario, hasta estar totalmente convencido.
El auditor slo podr indicar como evaluada un rea que a travs de sus colaboradores o por el mismo
haya podido comprobar exhaustivamente, estndole prohibido proporcionar opiniones parciales o
sesgadas o recabadas por terceras personas sin que l tenga constancia de ello.
Principio de publicidad adecuada.
Los anuncios o publicidad de los auditores informticos debern ser sobrias, sin ostentaciones o
publicidad barata que vayan contra de la tica profesional, o bien publicidad falsa o engaosa que
tenga por objeto confundir a los lectores y posibles usuarios de sus servicios profesionales. Debe evitar
campaas publicitarias que puedan desvirtuar la realidad de sus servicios profesionales y oscurezcan
sus objetivos o prometan resultados de lo imprevisible.
Principio de responsabilidad.
El auditor informtico deber responsabilizarse de todo su comportamiento profesional en lo que diga,
haga o aconseje, evitando se produzcan daos de cualquier tipo para su cliente.
Por lo anterior se recomienda la contratacin de seguros de responsabilidad civil u otro tipo de seguros
con la suficiente cobertura que protejan tanto al cliente como al propio auditor y as poder acrecentar la
confianza y solvencia de su actuacin profesional.
Principio de secreto profesional.
La confidencia y confianza del cliente hacia el auditor informtico nunca deben ser violadas, obligando
al auditor informtico en todo momento a guardar en secreto los hechos o informacin que conozca en
el ejercicio de su actividad profesional, siendo la nica excepcin a este principio un imperativo legal o
judicial promovido por el Estado.
Es evidente pensar que esta obligacin se extiende a todos sus colaboradores.
Del mismo modo, este principio aplica a la conservacin de la informacin del auditado en un plazo
prudencial, como por ejemplo cinco o 10 aos cuando menos. Esta informacin no incluye por ejemplo
sus honorarios, tiempo empleado en la auditora, pero si se debe mantener en secreto profesional
datos tcnicos a menos que obtenga la autorizacin de su auditado por escrito.
Principio de servicio pblico.
El auditor informtico debe llevar a cabo su trabajo profesional sin perjudicar los intereses de su cliente,
con el objeto de evitarle un dao social como el hecho de que descubra software dainos que puedan
ser propagados a otros sistemas informticos diferentes al del auditado. Es evidente pensar que el
auditor tiene la obligacin de advertir esta irregularidad a su cliente para que se adopten las medidas
necesarias para su prevencin.

El auditor deber tomar en cuenta sus criterios ticos personales y de la localidad en donde est
prestando sus servicios, debiendo advertir de su opinin personal cuando llama contraposicin entre lo
que l sabe que es correcto y lo que la sociedad permite que se haga.
Principio de veracidad.
El auditor siempre debe hablar con la verdad en sus criterios, dictmenes, opiniones y consejos,
nicamente con los lmites impuestos por los deberes de respeto, correccin y secreto profesional.
Este principio exige al auditor informtico informar a su cliente sobre todo el trabajo relevante realizado,
comunicando a travs del dictamen sus conclusiones, evitando dar valoraciones personales subjetivas,
garantizando siempre el cumplimiento de su obligacin de informar verazmente.

P06
Instrucciones:
Despus de haber ledo con atencin la lectura anterior analizar cada principio y escoger 5 principios
que se consideren los ms importantes en el desempeo de un auditor informtico. Elaborar una
reflexin en donde se plasmen dichos principios, porque se consideran importantes y como es que se
aplicaran en el entorno profesional y cotidiano.

P07: CONTROL INTERNO

http://aabbccddee.galeon.com/winpy.htm

Bsicamente todos los cambios que se realizan en una organizacin someten a una gran
tensin a los controles internos existentes.
Cuando un auditor profesional se somete a auditar una empresa, lo primero que se le viene
a la cabeza es mejorar todos los procesos que se llevan en la misma para buscar la eficiencia
total. Este trabajo no se hace de la noche a la maana; para ello se empieza ya bien
sea por reas o departamentos o mejor dicho se empieza a trabajar internamente.
La mayora de las organizaciones han acometido varias iniciativas en tal sentido tales como:
La reestructuracin de los procesos empresariales.
La gestin de la calidad total.
El redimensionamiento por reduccin y/o por aumento de tamao hasta el nivel correcto.
La contratacin externa.
La descentralizacin.
CONTROL INTERNO INFORMATICO
El control interno informtico, controla diariamente que todas las actividades de sistemas de
informacin sean realizadas cumpliendo los procedimientos, estndares y normas fijados
por la direccin de la organizacin y/o la direccin informtica, as como los requerimientos
legales.
La funcin del control interno informtico es asegurarse de que las medidas que se obtienen de
los mecanismos implantados por cada responsable sean correctas y vlidas.
Control interno informtico suele ser un rgano staff de la direccin del departamento de
informtica y est dotado de las personas y medios materiales proporcionados a los
cometidos que se le encomienden.
Como principales objetivos podemos indicar los siguientes:

Controlar que todas las actividades se realicen cumpliendo los procedimientos y

normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.

Asesorar sobre el conocimiento de las normas.

Colaborar y apoyar el trabajo de Auditoria informtica, as como de las auditoras

externas al grupo.

Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los

objetivos adecuados del servicio informtico, lo cual no debe considerarse como que
la implantacin de los mecanismos de medida y responsabilidad del logro de esos
niveles se ubique exclusivamente en la funcin de control interno, si no que cada
responsable de objetivos y recursos es responsable de esos niveles, as como de la
implantacin de los medios de medida adecuados.
La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar
si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a
cabo los eficazmente los fines de la organizacin y utiliza eficientemente los recursos.

CONTROL
INTERNO
INFORMATICO

AUDITOR INFORMATICO

SIMILITUDES

PERSONAL INTERNO
Conocimientos especializados en tecnologas de informacin
verificacin del cumplimiento de controles internos, normativa y
procedimientos establecidos por la direccin informtica y la
direccin general para los sistemas de informacin.

DIFERENCIAS

Anlisis de los controles en

el da a da

Anlisis de un momento
informtico determinado

Informa a la direccin del

departamento de informtica

Informa a la
direccin
general de la organizacin

Slo personal interno, el

enlace de sus funciones es
nicamente
sobre
el
departamento de informtica

Personal interno
y/o
externo, tiene cobertura
sobre todos
los
componentes
de
los
sistemas de informacin de
la organizacin

DEFINICION Y TIPO DE CONTROLES INTERNOS

Se puede definir el control interno como "cualquier actividad o accin realizada manual y/o
automticamente para prevenir, corregir errores o irregularidades que puedan afectar al
funcionamiento de un sistema para lograr o conseguir sus objetivos.
Los controles internos se clasifican en los siguientes:
Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que impida
los accesos no autorizados al sistema.
Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el
evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria
para detectar errores u omisiones. etc.
Controles correctivos: Facilitan la vuelta a la normalidad cuando se han producido incidencias.
Por ejemplo, la recuperacin de un fichero daado a partir de las copias de seguridad.
IMPLANTACION DE UN SISTEMA DE CONTROLES INTERNOS INFORMATICOS
Para llegar a conocer la configuracin del sistema es necesario documentar los detalles de la red,
as como los distintos niveles de control y elementos relacionados:
Entorno de red: Esquema de la red, descripcin de la configuracin hardware de
comunicaciones, descripcin del software que se utiliza como acceso a las telecomunicaciones,
control de red, situacin general de los ordenadores de entornos de base que soportan
aplicaciones crticas y consideraciones relativas a la seguridad de la red.
Configuracin del ordenador base: Configuracin del soporte fsico, en torno del sistema
operativo, software con particiones, entornos ( pruebas y real ), bibliotecas de programas y
conjunto de datos.
Entorno de aplicaciones: Procesos de transacciones, sistemas de gestin de base de
datos y entornos de procesos distribuidos.

Productos y herramientas: Software para desarrollo de programas, software de gestin

de bibliotecas y para operaciones automticas.
Seguridad del ordenador base: Identificar y verificar usuarios, control de acceso,
registro e informacin, integridad del sistema, controles de supervisin, etc.
Para la implantacin de un sistema de controles internos informticos habr que
definir:
Gestin de sistema de informacin: Polticas, pautas y normas tcnicas que sirvan de base
para el diseo y la implantacin de los sistemas de informacin y de los controles
correspondientes.
Administracin de sistemas: Controles sobre la actividad de los centros de datos y otras
funciones de apoyo al sistema, incluyendo la administracin de las redes.
Seguridad: Incluye las tres clases de controles fundamentales implantados en el software
del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.
Gestin del cambio: Separacin de las pruebas y la produccin a nivel del software y
controles de procedimientos para la migracin de programas software aprobados y probados.

Tipos de control interno

La funcin de auditora informtica se aplica en diferentes entornos o reas, cada una de las
cuales tiene sus propios objetivos y estndares de aplicacin, estas reas son:

Recursos informticos

Funcin informtica

Seguridad Informtica

Desarrollo de Aplicaciones

Funcin operacional

Redes y comunicacin

Bases de Datos
Por consiguiente tenemos lo siguientes tipos de controles internos

Control interno de la funcin informtica:

Control interno del desarrollo de sistemas:

Control interno de la operacin

Control interno de la seguridad informtica

Control interno de los recursos informticos

Control interno de las redes y comunicacin.

P07
Instrucciones:
1. Despus de haber ledo con atencin la lectura anterior elabora un esquema (mapa mental, conceptual,
cuadro sinptico o de doble entrada, etc.) acerca del tema.
2. Menciona los tipos de controles que se utilizan en una auditoria informtica.
3. Explica la funcin de al menos 3 controles de la auditoria informtica.