PLANEACIN DE LA AUDITORIA

EN INFORMTICA

Objetivos

Conocer las distintas fases que

comprende la auditora en informtica.

Comprender la importancia en el
trabajo de auditora de la planeacin,
examen y la evaluacin de la
informacin, la comunicacin de los
resultados y el seguimiento.
FASES DE LA AUDITORA
La auditora en informtica es el
proceso de recoleccin y
evaluacin de evidencias para
determinar cundo son
salvaguardados los activos de
los sistemas computarizados,
de que manera se mantiene la
integridad de los datos y como
se logran los objetivos de la
organizacin eficazmente y se
usan los recursos consumidos
eficientemente.
FASES DE LA AUDITORA

La auditora interna tiene el

objetivo de apoyar a los
miembros de la
organizacin en el
desempeo de sus
responsabilidades.
FASES DE LA AUDITORA

Los auditores internos son

responsables de
proporcionar informacin
acerca de la adecuacin
y efectividad del sistema
de control interno de la
organizacin y de la
calidad de la gestin
FASES DE LA AUDITORA

El auditor interno debe ser

independiente de las
actividades que audita.

Las normas de auditora

interna comprenden:
Las actividades auditadas
y la objetividad de los
auditores internos.
FASES DE LA AUDITORA

El conocimiento tcnico, la
capacidad y el cuidado
profesional de los auditores
internos con los que deben
ejercer su funcin.
El alcance del trabajo de
auditora interna en el rea de
informtica.
El desarrollo de las
responsabilidades asignadas a
los auditores internos
responsables de la auditora a
informtica
FASES DE LA AUDITORA
Los auditores deben ser
independiente y con un
buen criterio para no
tomar decisiones
subjetivas.

La objetividad es una actitud

de independencia mental
que los auditores internos
deben mantener al realizar
las auditorias.
FASES DE LA AUDITORA
El departamento de
auditora interna deber
asignar a cada auditora a
aquellas personas que en
su conjunto posean los
conocimientos, la
experiencia y la disciplina
necesarios para conducir
apropiadamente la
auditora.
FASES DE LA AUDITORA
El departamento de
auditora interna deber
asegurarse:
Que las auditorias sean
supervisadas en forma
apropiada. La supervisin
es un proceso continuo
que comienza con la
planeacin y termina con
el trabajo de auditora.
FASES DE LA AUDITORA
Que los informes de auditora
sean precisos, objetivos, claros,
concisos, constructivos y
oportunos.
Que se cumplan los objetivos
de la auditora.
Que la auditora sea
debidamente documentada y
que se conserve la evidencia
apropiada de la supervisin.
FASES DE LA AUDITORA
Que los auditores cumplan
con las normas
profesionales de
conducta.
Que los auditores en
informtica posean los
conocimientos,
experiencias y disciplinas
esenciales para realizar sus
auditorias.
FASES DE LA AUDITORA
Cada auditor interno
requiere de ciertos
conocimientos y
experiencias:
Se requiere pericia en la
aplicacin de las normas,
procedimientos y tcnicas
de auditora interna para
el desarrollo de las
revisiones.
FASES DE LA AUDITORA
Tener la habilidad para
aplicar conocimiento a
posibles situaciones que se
presenten, reconocer las
desviaciones significativas
y poder llevar a cabo las
investigaciones necesarias
para alcanzar soluciones
razonables.
FASES DE LA AUDITORA
Los auditores debern evaluar si
el empleo de los recursos se
realiza de forma econmica y
eficiente.

La administracin es responsable
de establecer los estndares
de operacin para medir la
eficiencia y economa en el uso
de los recursos.
FASES DE LA AUDITORA
Los auditores internos son
responsables de determinar si:

Los estndares para medir la

economa y la eficiencia en el
uso de los recursos son los
adecuados.
Los estndares de operacin
establecidos han sido
entendidos y se cumplen.
FASES DE LA AUDITORA

Las desviaciones a los

estndares de operacin se
identifican, analizan y se
comunican a los responsables
para que se tomen las medidas
correctivas.

Se toman las medidas

correctivas.
FASES DE LA AUDITORA
Las auditorias relacionadas
con el uso econmico y
eficiente de los recursos
debern i9dentificar
situaciones tales como:

Subutilizacin de
instalaciones.
Trabajo no productivos.
FASES DE LA AUDITORA
Procedimientos que no
justifican su costo.

Exceso o insuficiencia de
personal.

Uso indebido de las

instalaciones.
PLANEACIN DE LA AUDITORA EN
INFORMTICA

El trabajo de auditora
deber incluir la
planeacin de la
auditora, el examen y la
evaluacin de la
informacin, la
comunicacin de los
resultados y el
seguimiento.
PLANEACIN DE LA AUDITORA EN
INFORMTICA

La planeacin deber ser

documentada e incluir:
El establecimiento de los
objetivos y el alcance del
trabajo.
La obtencin de
informacin de apoyo
sobre las actividades que
se auditarn.
PLANEACIN DE LA AUDITORA EN
INFORMTICA

La determinacin de los
recursos necesarios para
realizar la auditora.
La determinacin de los
recursos necesarios para
realizar la auditora.
El establecimiento de la
comunicacin necesaria con
todos los que estarn
involucrados en la auditora.
PLANEACIN DE LA AUDITORA EN
INFORMTICA

La realizacin, en la forma ms
apropiada, de una inspeccin
fsica para familiarizarse con las
actividades y controles a
auditar, as como identificacin
de las reas en las que se
deber hacer nfasis al realizar
la auditora y promover
comentarios y la promocin de
los auditados.
PLANEACIN DE LA AUDITORA EN
INFORMTICA

La preparacin por escrito

del programa de auditora.
La determinacin de
cmo, cundo y a quin
se le comunicarn los
resultados de la auditora.
La obtencin de la
aprobacin del plan de
trabajo de la auditora.
PLANEACIN DE LA AUDITORA EN
INFORMTICA

En el caso de la auditora en
informtica, la planeacin es
fundamental, pues habr que
hacerla desde el punto de vista
de varios objetivos:
Evaluacin administrativa del
rea de procesos electrnicos.
Evaluacin de los sistemas y
procedimientos.
PLANEACIN DE LA AUDITORA EN
INFORMTICA

Evaluacin de los equipos

de cmputo.
Evaluacin del proceso de
datos, de los sistemas y de
los equipos de cmputo
(software, hardware,
redes, bases de datos,
comunicaciones).
PLANEACIN DE LA AUDITORA EN
INFORMTICA

Seguridad y
confidencialidad de la
informacin.

Aspectos legales de los

sistemas y de la
informacin.
PLANEACIN DE LA AUDITORA EN
INFORMTICA

El proceso de planeacin
comprende el establecer:

Metas.
Programas de trabajo de
auditora.
Planes de contratacin de
personal y presupuesto
financiero.
Informes de actividades.
REVISIN PRELIMINAR

El primer paso en el
desarrollo de la auditora,
despus de la planeacin,
es la revisin preliminar del
rea de informtica.
REVISIN PRELIMINAR

El objetivo de la revisin
preliminar es el de obtener
la informacin necesaria
para que el auditor pueda
tomar la decisin de cmo
proceder en la auditora.
REVISIN PRELIMINAR

Al terminar la revisin preliminar el

auditor puede proceder en
uno de los tres caminos
siguientes:

1. Diseo de la auditora. Puede

haber problemas debido a la
falta de competencia tcnica
para realizar la auditora.
REVISIN PRELIMINAR

2. Realizar una revisin

detallada de los controles
internos de los sistemas con
la esperanza de que se
deposite la confianza en los
controles de los sistemas y
de que una serie de
pruebas sustantivas puedan
reducir las consecuencias.
REVISIN PRELIMINAR

3. Decidir el no confiar en
los controles internos del
sistemas.
REVISIN PRELIMINAR

La RP significa la recoleccin
de evidencias por medio
de: (1) entrevistas con el
personal de la instalacin,
(2) la observacin de las
actividades en la
instalacin y (3) la revisin
de la documentacin
preliminar.
REVISIN PRELIMINAR

Las evidencias se pueden

recolectar por medio de:

Cuestionarios iniciales
Entrevistas
Documentacin narrativa
REVISIN PRELIMINAR

Debemos considerar que

sta ser solo una
informacin inicial que
nos permitir elaborar el
plan de trabajo, la cual
se profundizar en el
desarrollo de la auditora.
REVISIN DETALLADA

Los objetivos de la fase

detallada son los de
obtener la informacin
necesaria para que el
auditor tenga un
profundo entendimiento
de los controles usados
dentro del rea de
informtica.
REVISIN DETALLADA

En la fase de evaluacin
detallada es importante
para el auditor identificar
las causas de las prdidas
existentes dentro de la
instalacin y los controles
para reducir las prdidas
y los efectos causados
por stas.
EXAMEN Y EVALUACIN DE LA
INFORMACIN

Los auditores debern

obtener, analizar,
interpretar y documentar
la informacin para
apoyar los resultados de
la auditora.
EXAMEN Y EVALUACIN DE LA
INFORMACIN

El proceso de examen y
evaluacin de la informacin
es el siguiente:

Se deben obtener la
informacin de todos los
asuntos relacionados con los
objetivos y alcances de la
auditora.
EXAMEN Y EVALUACIN DE LA
INFORMACIN

La informacin deber
ser suficiente,
competente, relevante y
til para que proporcione
bases slidas en relacin
con los hallazgos y
recomendaciones de la
auditora.
EXAMEN Y EVALUACIN DE LA
INFORMACIN

Los procedimientos de
auditora, incluyendo el
empleo de las tcnicas de
pruebas selectivas y el
muestreo estadstico, debern
ser elegidos con anterioridad,
cuando esto sea posible, y
ampliarse o modificarse
cuando las circunstancias lo
requieran.
EXAMEN Y EVALUACIN DE LA
INFORMACIN

El proceso de recabar,
analizar, interpretar y
documentar la informacin
deber supervisarse para
proporcionar una seguridad
razonable de que la
objetividad del auditor se
mantuvo y que las metas de
auditora se cumplieron.
EXAMEN Y EVALUACIN DE LA
INFORMACIN

Los documentos de trabajo

de la auditora, debern sewr
preparados por los auditores y
revisados por la gerencia de
auditora. Estos documentos
debern registrar la
informacin obtenida y el
anlisis realizado, y deben
apoyar las bases de los
hallazgos de auditora y las
recomendaciones que se
harn.
EXAMEN Y EVALUACIN DE LA
INFORMACIN

El auditor deber discutir las

conclusiones y
recomendaciones en los
niveles apropiados de la
administracin antes de
emitir su informe final.
La opinin de los auditados
respecto a este informe
se los puede incluir como
anexos.
EXAMEN Y EVALUACIN DE LA
INFORMACIN

El director de auditora en
informtica deber
establecer un programa para
seleccionar y desarrollar los
recursos, el cual debe
contemplar:
Descripciones de los puestos
de cada nivel de auditora en
informtica.
Seleccin de los individuos
calificados y competentes.
EXAMEN Y EVALUACIN DE LA
INFORMACIN

Entrenamiento y oportunidad
de capacitacin profesional
continua para todos y cada
uno de los auditores.
Evaluacin del trabajo de
cada uno de los auditores por
lo menos una vez al ao.
Asesora a los auditores en lo
referente a su trabajo y a su
desarrollo profesional.
EXAMEN Y EVALUACIN DE LA
INFORMACIN

La supervisin del trabajo de

los auditores en
informtica deber
llevarse a cabo
continuamente para
asegurarse de que est
trabajando de acuerdo
con las normas, polticas y
programas de auditora
en informtica.
PRUEBAS DE CONSENTIMIENTO

El objetivo de la fase de prueba

de consentimiento es el de
determinar si los controles
internos operan como fueron
diseados para operar. El
auditor debe determinar si los
controles declarados en
realidad existen y si realmente
trabajan confiablemente.
PRUEBAS DE CONTROLES DEL
USUARIO

En algunos casos el auditor

puede decidir el no confiar en
los controles internos dentro
de las instalaciones
informticas, porque el
usuario ejerce controles que
compensan cualquier
debilidad dentro de los
controles internos de
informtica.
PRUEBAS DE CONTROLES DEL
USUARIO

Estas pruebas que

compensan las
deficiencias de los
controles internos se
pueden realizar mediante
cuestionarios, entrevistas,
vistas y evaluacin
hechas directamente con
los usuarios.
PRUEBAS SUSTANTIVAS

El objetivo de la fase de pruebas

sustantivas es obtener
evidencia suficiente que
permita al auditor emitir su
juicio en las conclusiones
acerca de cundo pueden
ocurrir prdidas materiales
durante el procesamiento de
la informacin.
PRUEBAS SUSTANTIVAS

Se pueden identificar ocho

diferentes pruebas sustantivas:
Pruebas para identificar
errores en el procesamiento o
de falta de seguridad o
confidencialidad.
Pruebas para asegurar la
calidad de los datos.
PRUEBAS SUSTANTIVAS

Pruebas para identificar la

inconsistencia de los datos.

Pruebas para comparar con

los datos o contadores fsicos.

Confirmacin de datos con

fuentes externas
PRUEBAS SUSTANTIVAS

Pruebas para confirmar la

adecuada comunicacin.

Pruebas para determinar

falta de seguridad.

Pruebas para determinar

problemas de legalidad.
PRUEBAS SUSTANTIVAS

El auditor debe participar en

tres estados del sistema:

Durante la fase del diseo

del sistema.
Durante la fase de
operacin.
Durante la fase posterior
a la auditora.
PRUEBAS SUSTANTIVAS

El que el auditor participe en el

diseo del sistemas pueda
afectar a la independencia
del mismo, existen formas en
las cuales se puede eliminar
esto:

Aumentando los
conocimientos en informtica
del auditor.
PRUEBAS SUSTANTIVAS

Asignar diferentes auditores a

la fase de diseo, al trabajo
de auditora y al posterior a la
auditora.
Crear una seccin de
auditora en informtica
dentro del departamento de
auditora interna,
especializado en auditora en
informtica.
Obtener mayor soporte de la
alta gerencia.
PRUEBAS SUSTANTIVAS

Realizar una auditora en

informtica es un trabajo
complejo. Para ello, para
lograr los objetivos, el auditor
necesita dividir los sistemas en
una serie de subsistemas,
identificando los
componentes que realizan las
actividades bsicas de cada
subsistema.
PRUEBAS SUSTANTIVAS

Evaluar la confianza de
cada componente, y la
de los subsistemas, y en
forma agregada evaluar
cada subsistema hasta
llegara a una evaluacin
global sobre la confianza
total del sistema.
PRUEBAS SUSTANTIVAS

La suma de los ptimos

parciales de los
subsistemas no es igual al
ptimo del sistema, pero
nos da una buena
aproximacin.
PRUEBAS SUSTANTIVAS

Invesigacin Investigacin Prueba los Pruebas Conclusin

Preliminar detallada controles sustantivas
crticos
EVALUACIN DE LOS SISTEMAS DE
ACUERDO AL RIESGO

Una de las formas de evaluar la

importancia que puede tener
para la organizacin de un
determinado sistema, es
considerar el riesgo que
implica el que no sea utilizado
adecuadamente, la prdida
de la informacin o bien el
que sea usado por personal
ajeno a la organizacin
EVALUACIN DE LOS SISTEMAS DE
ACUERDO AL RIESGO

Algunos sistemas de aplicaciones

son de ms alto riesgo que
otros debido a que:

Son susceptibles a diferentes

tipos de prdida econmica.

Ejemplo: Fraudes y desfalcos

entre los cuales estn los
sistemas financieros
EVALUACIN DE LOS SISTEMAS DE
ACUERDO AL RIESGO

Las fallas pueden impactar

grandemente a la
organizacin.

Ejemplo: Una falla en el

procesamiento de la
nmina puede tener
como consecuencia una
huelga.
EVALUACIN DE LOS SISTEMAS DE
ACUERDO AL RIESGO

Interfieren con otros

sistemas, y los errores
generados inciden a otros
sistemas.
EVALUACIN DE LOS SISTEMAS DE
ACUERDO AL RIESGO
Potencialmente, alto riesgo debido
a daos en la competencia.
Algunos sistemas le dan a la
organizacin un nivel competitivo
muy alto dentro del mercado.

Ejemplo: Sistemas de planeacin

estratgica. Patentes. Derechos de
autor, los cuales son las mayores
fuentes de recursos de la
organizacin. Otros a travs de los
cuales su prdida puede destruir la
imagen de la organizacin.
EVALUACIN DE LOS SISTEMAS DE
ACUERDO AL RIESGO
Sistemas de tecnologa de
punta o avanzada. Si los
sistemas utilizan tecnologa
avanzada o de punta.

Ejemplo: Sistemas de base de

datos, sistemas distribuidos o
de comunicacin, tecnologa
sobre la cual la organizacin
tenga muy poca experiencia
o respaldo, la cual es ms
probable que sea una fuente
de problemas de control.
EVALUACIN DE LOS SISTEMAS DE
ACUERDO AL RIESGO

Sistemas de alto costo.

Sistemas que son muy
costosos de desarrollar,
los cuales son
frecuentemente sistemas
complejos que pueden
presentar muchos
problemas de control.