Responsabilidad del Auditor en el

Descubrimiento de Errores y
Desviaciones.
El auditor informático debe ser una persona con un alto
grado de calificación técnica.
y al mismo tiempo estar integrado a las corrientes
organizativas empresariales
 Es Responsables de

Verificación del control interno de las aplicaciones, como de los

SI, periféricos, etc

Análisis de la administración de SI, desde un punto de vista de

riesgo de seguridad, administración y efectividad de la
administración
Análisis de la integridad, fiabilidad y certeza de la información
atreves del análisis de aplicaciones y de la seguridad implícita.
Verificación del nivel de continuidad de las operaciones .
Auditoria del riesgo operativo de los circuitos de información.
Análisis tecnológico de las instalaciones y de las consecuencias
empresariales que un desfase tecnológico puede ocasionar o
propiciar.
• La función de la auditoría informática es una labor que
desarrolla un trabajo más afín con la importancia de las
organizaciones y sus SI, que son su objeto de estudio y análisis.

• El auditor informático tiene la responsabilidad de auditar y

consultar de la empresa :
• Seguridad
• Control interno operativo
• eficiencia y eficacia
• tecnologías de información
• continuidad de operaciones y administración de riesgos.
La auditoria puede realizarse de manera operativa y
financiera.

Esta se puede llevar acabo por medio de un grupo

independiente con acceso total a los SI y demás tecnología,
que depende de la persona que realiza la auditoría interna
(Director General o Consejero).

La dependencia debe ser del máximo responsable de la

organización, no del departamento de sistemas o del
financiero.

Esto es para que no exista sesgo al momento de realizar el

trabajo de auditoría y ofrecer conclusiones y
recomendaciones objetivas.

Los recursos humanos con los que debe contar el

departamento debe ser una mezcla equilibrada de
personas con formación en auditoría y organización y con
perfil informático (especialidades).
El auditor deberá considerar la importancia relativa y el
riesgo en la auditoria cuando planifica, selecciona la
metodología, determina los sondeos a efectuar y los
procedimientos a aplicar.
Se entiende por importancia relativa el criterio por el cual se valora la
incidencia de una omisión o el carácter inexacto de una información
que, teniendo en cuenta las circunstancias concurrentes,
probablemente conducirá a una persona razonable, apoyada en esta
información, a modificar su juicio.

Los juicios sobre la importancia relativa se formularán teniendo en

cuenta el medio, y suponen necesariamente la toma en consideración
de los factores tanto cuantitativos como cualitativos.
La consideración del riesgo en auditoria supone la valoración del
error que puede cometerse por la falta de evidencia respecto a
una determinada partida, o por la obtención de una evidencia
deficiente o incompleta de la misma.

Para la evaluación del riesgo deberá considerarse el criterio de

importancia relativa, y viceversa, al ser elementos
interdependientes para la formación de juicio del auditor.
Para las auditorias del sector público, el nivel de riesgo
aceptado puede ser menor que el de auditorias similares en
el sector privado, porque existe en aquél la obligación de
rendir cuenta y de cumplir obligaciones legales
reglamentarias, así como por el carácter particular de los
programas, actividades y funciones del sector público.


· Deficiencias en actividades generales del sistema de

información automatizado;
· desarrollo y mantenimiento de programas;
· soporte tecnológico de los software de sistemas;
· operaciones;
· seguridad física; y
· control sobre el acceso a programas.

Los riesgos pueden incrementar el potencial de errores o

irregularidades en aplicaciones puntuales, en bases de
datos, en archivos maestros o en actividades de
procesamiento específicos.
Riesgo inherente:
los riesgos asociados con la naturaleza de la temática
Riesgo de control :
el riesgo de que los controles sobre la temática no existan u operen
inefectivamente
Riesgo de detección:
el riesgo de que los procedimientos del auditor no detecten los aspectos
importantes que pueden afectar la temática.
 · EVITAR RIESGOS: Un riesgo es evitado cuando en la organización no
se acepta. Esta técnica puede ser más negativa que positiva. Si el evitar
riesgos fuera usado excesivamente el negocio sería privado de muchas
oportunidades de ganancia (por ejemplo: arriesgarse a hacer una
inversión) y probablemente no alcanzaría sus objetivos.
· REDUCCION DE RIESGOS: Los riegos pueden ser reducidos, por
ejemplo con: programas de seguridad, guardias de seguridad, alarmas y
estimación de futuras pérdidas con la asesoría de personas expertas.
· CONSERVACION DE RIESGOS: Es quizás el más común de los
métodos para enfrentar los riesgos, pues muchas veces una acción
positiva no es transferirlo o reducir su acción. Cada organización debe
decidir cuales riegos se retienen, o se transfieren basándose en su
margen de contingencia, una pérdida puede ser un desastre financiero
para una organización siendo fácilmente sostenido por otra organización.
Documentación
 DOCUMENTACION DE LA AUDITORIA

Las normas técnicas de auditoria: son los principios y requisitos

que debe observar necesariamente el auditor en el desempeño
de su función para expresar una opinión.
CLASIFICACION
Normas técnicas de carácter general: Determinan las
condiciones del auditor.
Normas técnicas sobre ejecución: se acuerda por escrito con el
cliente todos los detalles de la auditoria(se plasma en el contrato)
Normas técnicas de emisión de informes: el auditor expresara
en el informe su opinión.
ISACA

Determina que la naturaleza especializada de la auditoria de

los sistemas de información y las habilidades necesarias para
llevar acabo este tipo de auditorias, requieren el desarrollo y la
promulgación de normas generales para la auditoria de los
sistemas de información.
CODIGO DE ETICA PROFESIONAL DE LA FUNDACION
DE AUDITORIA Y CONTROL DE LA TECNOLOGIA DE
INFORMACION

• Apoyar el establecimiento y cumplimiento de normas,

procedimientos y controles de las auditorias de sistemas de
información.
• Mantener la confidencialidad de la información obtenida en el curso
de sus deberes. La información no deberá ser utilizada en beneficio
propio o divulgada a terceros no legitimados.
• Ejercer sumo cuidado al obtener y documentar el material
suficiente sobre el cual basar sus conclusiones y recomendaciones
.
• Informar a las partes involucradas del resultado de las tareas de
auditoria que se hayan realizado.
Evidencia

Cuando se planifica el trabajo de auditoria se sistemas de

información, el auditor debe tomar en cuenta el tipo de
evidencia de auditoria a obtener y sus niveles variables de
confiabilidad.
evidencia física de auditoria
Evidencia documentada de auditoria
Representaciones
Análisis
Evidencia documentada

Puede incluir:
1.- resultados de datos extraídos
2.- registro de transacciones
3.- programas registrados (facturas)
4.- control de registro
TECNICAS DE EVIDENCIA

1.- ENTREVISTAS
Recopilación de información que se realiza en forma directa,
cara a cara y a través de algún medio de captura de datos.
2.- cuestionarios
Es una técnica de recopilación de información que permite
que los analistas de sistemas estudien actitudes,
comportamientos y características de varias personas
principales en la organización que pueden ser afectados.
Encuestas
Es la recopilación de datos concretos, los cuales permiten, después de
hacer una rápida tabulación, análisis e interpretación e esa información,
conocer su punto de vista y dar un resultado.
4.- Observación
Permite examinar los diferentes aspectos que repercuten, ya que
permite recolectar directamente la información necesaria sobre el
comportamiento del área.
5.- inventarios
Es la forma de recopilar la información, consiste en hacer un recuento
físico de lo que se esta examinando, a fin de saber la cantidad existente
de algún producto, y posteriormente compararla con para saber si
coinciden.
La Documentación

La documentación de la auditoria de los sistemas informáticos es el

registro del trabajo de auditoria realizando, la evidencia que sirve de
soporte a las debilidades encontradas y las conclusiones del auditor.
Estos documentos, genéricamente se denominan papeles de trabajo.
Los papeles de trabajo se debe diseñar y organizar según las
circunstancias y las necesidades de auditor. Estos han de ser
completos, claros y concisos. Todo el trabajo de auditoria debe quedar
reflejado en papeles de trabajo por los siguientes motivos
Recogen la evidencia obtenida a lo largo del trabajo
Ayudan al auditor en el desarrollo de su trabajo
Ofrecen soporte del trabajo realizado para poder utilizarlo en
auditorias sucesivas
Permiten que el trabajo pueda ser revisado por terceros
Sirve para fomentar un enfoque metódico de la labor que se lleva
Para concluir la importancia que tiene los papeles de trabajo, digamos
que una vez que el auditor ha finalizado su trabajo, los papeles de
trabajo son la única prueba que el auditor tiene de haber llevado
acabo un examen adecuado. Siempre existe la posibilidad de que el
auditor tenga que demostrar la calidad de su análisis ante un tribunal.
ARCHIVO
Los papeles de trabajo que el auditor va elaborando se pueden
organizar en dos archivos: el permanente o continuo de auditoria, el
archivo corriente o de la auditoria en curso.
ARCHIVO PERMANENTE
El archivo permanente contiene todos aquellos papeles que tienen
un interés continuo, una validez plurinaria, tales como:
Consideraciones sobre el negocio
Consideración sobre el sector
Características de los equipos
Manuales de los equipo y las aplicaciones
Escrituras y contratos
ARCHIVOS CORRIENTE
Este archivo a su ves suele dividirse en archivo general y archivo
de áreas.
1.-Archivo General
Los Documentos que suelen archivar aquí son aquellos que no
tienen cavidad especifica en alguna de las áreas en que hemos
dividido el trabajo de auditoria.
El informe del auditor
La Carta de recomendaciones
Los acontecimientos posteriores
La correspondencia de la empresa
2.-Archivo por áreas
Se debe prepara un archivo para cada una de las áreas en que
hayamos dividido el trabajo e incluir en cada archivo todos los
documentos que hayamos necesitado para realizar el trabajo de esa
área concreto
Programa de Auditoria de cada una de las áreas
Conclusiones del procedimiento en cuestión.