Contenidos:

1.1 Concepto de auditoria e informática.

1.2 Tipos de auditoria.
1.3 Síntomas de necesidad de una auditoria informática.
1.4 Marco esquemático de la auditoria de sistemas.
1.5 Principios y Valores del auditor.
1.6 Norma para todos los auditores.
1.7 El Proceso de Auditoría de Sistemas de Información.
1.8 Efecto de las leyes y regulaciones sobre la planificación de auditoría de sistema.
1.9 Análisis de riesgo.
1.10 Controles internos.
¿Qué es Auditoría?
El concepto de la auditoría es la inspección de una organización verificándola
con un examen crítico que se realiza con el fin de comprobar la eficiencia o
eficacia de la organización. Ahora cuando hablamos de auditoría en nuestro
ámbito de la Informática, el concepto varía un poco. En este ámbito nos
referimos a la revisión técnica, especializada y exhaustiva que serializa a los
sistemas de cómputo, software e información utilizada en la empresa,
estructurase las redes instaladas, dispositivos que se utilicen, etc.

Informática.
Conjunto de conocimientos técnicos que se ocupan del tratamiento automático
de la información por medio de computadoras.
Tipos de Auditoría

Auditoría Interna.
Es aquella que se hace con el personal de una misma empresa. Es decir, no vienen
personas de otra entidad para hacer el control.

Auditoría Externa.
Como su nombre lo dice es aquella en la cual la empresa contrata personal de afuera,
de otras entidades para que se encarguen de su auditoría.
Que podemos Auditar.

Auditar el acceso a objetos.

Auditar el acceso al servidor de directorio.
Auditar el cambio de directivas.
Auditar el seguimiento de procesos.
Auditar el uso de privilegios.
Auditar eventos de inicio de sesión.
Auditar eventos de inicio de sesión de cuenta.
Auditar eventos del sistema.
Auditar la administración de cuentas.
Síntomas de necesidad de una auditoria informática
Las empresas acuden a las auditorías externas cuando existen síntomas bien
perceptibles de debilidad. Estos síntomas pueden agruparse en clases:

Síntomas de descoordinación y desorganización:

- No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.
- Los estándares de productividad se desvían sensiblemente de los promedios conseguidos
habitualmente.
[Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna
área o en la modificación de alguna Norma importante]

Síntomas de mala imagen e insatisfacción de los usuarios:

- No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en
las terminales de usuario, resfriamiento de paneles, variación de los archivos que deben ponerse
diariamente a su disposición, etc.
- No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El
usuario percibe que está abandonado y desatendido permanentemente.
- No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas
desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en
los resultados de Aplicaciones críticas y sensibles.
Síntomas de debilidades económico-financiero:

- Incremento desmesurado de costos.

- Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente
convencida de tal necesidad y decide contrastar opiniones).
- Desviaciones Presupuestarias significativas.
- Costos y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de
Proyectos y al órgano que realizó la petición).

Síntomas de Inseguridad:

Evaluación de nivel de riesgos

- Seguridad Lógica
- Seguridad Física
- Confidencialidad
Marco esquemático de la auditoría de sistemas computacionales

Como complemento de los conceptos generales, se señalarán de manera muy

general los objetivos que se pretende alcanzar con una auditoría, con la única intención de
que se empiece a comprender las bases sobre las que descansa el desarrollo de
una auditoría, cualquiera que ésta sea.

Entre esos objetivos encontramos los siguientes:

• Realizar una revisión independiente de las actividades, áreas o funciones especiales de una
institución, a fin de emitir un dictamen profesional sobre la razonabilidad de sus operaciones y
resultados.

• Hacer una revisión especializada, desde un punto de vista profesional y autónomo,

del aspecto contable, financiero y operacional de las áreas de una empresa.

• Evaluar el cumplimiento de los planes, programas, políticas, normas y lineamientos que

regulan la actuación de los empleados y funcionarios de una institución, así como evaluar las
actividades que se desarrollan en sus áreas y unidades administrativas.
• Dictaminar de manera profesional e independiente sobre los resultados obtenidos por una
empresa y sus áreas, así como sobre el desarrollo de sus funciones y el cumplimiento de sus
objetivos y operaciones.

Marco esquemático de la auditoría de sistemas computacionales a evaluación :

Hardware
Plataforma de hardware
Tarjeta madre
Procesadores
Dispositivos periféricos
Arquitectura del sistema
Instalaciones eléctricas, de datos y de telecomunicaciones
Innovaciones tecnológicas de hardware y periféricos

Software
Plataforma del software
 Principios y Valores del Auditor

El auditor ante la sociedad tiene numerosas responsabilidades, las empresas, la

profesión, los colegas etcétera. Permitirle que revise profesionalmente documentos,
información, activos y operaciones de la entidad, esto representa confianza, término
que se refiere, fundamentalmente, a la naturaleza ética, la credibilidad personal, la
cantidad de seguridad que produce en la integridad y la competencia de cada uno.
Cuando las personas cumplen habitualmente lo que han prometido y lo que se
espera de ellos de un modo basado en principios, poseen confiabilidad.
 Principios y Valores del Auditor

Los valores éticos que dan credibilidad, confianza y aumentan la ventaja competitiva de los
auditores son los siguientes:

Se refiere al auditor que actúa con autenticidad, franqueza, honradez e imparcialidad en el

cumplimiento de cualquier actividad o trabajo, proporcionando la garantía de calidad profesional y moral
que demandan de esta actividad las entidades y personas.

El auditor al poseer esta cualidad es de principios sólidos, es honorable, recto y se apega a sus
convicciones cualesquiera que sean, las hace respetar; de igual forma cumple estrictamente sus
compromisos de trabajo.

Se dice del profesional que es digno de confianza y cumple fielmente sus promesas.

Se considera la fidelidad que debe guardar el auditor para con sus auditados, no utilizando ni revelando
información que obtiene de forma confidencial de la entidad que audita, emite juicios profesionales
apegados a lo que encontró en su examen, evitando conflictos de intereses.
 Principios y Valores del Auditor
Los valores éticos que dan credibilidad, confianza y aumentan la ventaja competitiva
de los auditores son los siguientes:

Es cuando el auditor busca realizar su trabajo de forma equitativa, siendo siempre

justo y razonable en los juicios que emite. Además reconoce errores y da un trato
igual a los funcionarios y empleado que audita.

Es cuando el auditor demuestra consideración y estima por la dignidad, intimidad de

las personas, actuando siempre de manera amable y decente.

Es el auditor que respeta y hace cumplir las leyes, normas, reglamentos del país y la
entidad, es solidario en derechos y obligaciones que aplica la sociedad. De igual
forma protesta contra las injusticias.

Como la actividad principal es auditar, es decir, evaluar el trabajo de otros, siempre

está en contacto con los demás, pero, desde una posición de supervisar. Por lo
anterior debe tener trato amable y justo con los que audita, debe tener empatía para
comprender y ser comprendido.
 Principios y Valores del Auditor
Los valores éticos que dan credibilidad, confianza y aumentan la ventaja competitiva
de los auditores son los siguientes:

Se refiere al alto grado de competencia, ventaja competitiva que hace al auditor único
y especial relacionado con la auditoría, realizando con mayor efectividad y eficiencia
sus labores profesionales.

El auditor al realizar su evaluación, emite un dictamen, adquiriendo un compromiso

inevitable de su actuación profesional, aceptando absolutamente las consecuencias de
su trabajo.

El auditor al realizar un examen aplica procedimientos y métodos necesarios para

realizar la auditoría, derivando de ello, confianza en su capacidad profesional y dando
confianza al auditado de los juicios que emite.

Es la obtención de datos fidedignos y confiables, dando confianza de que está

actuando con autenticidad y veracidad.
 Norma para todos los auditores

El desarrollo de una auditoría se basa en la aplicación de normas, técnicas y

procedimientos de auditoría. Para nuestro caso, estudiaremos aquellas enfocadas a la
auditoría en informática.

La auditoría no es una actividad meramente mecánica, que implique la aplicación de

ciertos procedimientos cuyos resultados, una vez llevados a cabo son de de carácter
indudable. La auditoría requiere el ejercicio de un juicio profesional, sólido maduro,
para juzgar los procedimientos que deben seguirse y estimar los resultados obtenidos
 Norma para todos los auditores
Normas.
Según se describe en [bib-imcp], las normas de auditoría son los requisitos mínimos de
calidad relativos a la personalidad del auditor, al trabajo que desempeña ya la
información que rinde como resultado de este trabajo.

Las normas de auditoría se clasifican en:

Son cualidades que el auditor debe tener para ejercer sin dolo una auditoría, basados en
un sus conocimientos profesionales así como en un entrenamiento técnico, que le
permita ser imparcial a la hora de dar sus sugerencias.
Normas de ejecución del trabajo.
Son la planificación de los métodos y procedimientos, tanto como papeles de trabajo a
aplicar dentro de la auditoría.
Normas de información.
Son el resultado que el auditor debe entregar a los interesados para que se den cuenta
de su trabajo, también es conocido como informe o dictamen.
El proceso de auditoria de sistemas de información

El proceso que realiza un sistema de información consta de cuatro fases:

Entrada
Almacenamiento
Procesamiento
Salida

La entrada de datos se da cuando se registran los datos deseados. El

almacenamiento se refiere a la actividad de guardar los datos en una base de datos
ya sea física o electrónicamente (computadora). La siguiente fase es el
procesamiento de los datos, en ella los datos son transformados en información útil.
Finalmente se encuentra la salida, esta fase se requiere a sacar los la información
que servirán para toma de decisiones.
 El proceso de auditoria de sistemas de información

Los datos por si solos no contienen ningún valor para las empresas hasta que son
analizadas y procesados, la información que se obtiene genera conocimientos importantes.
Es por esa razón que los sistemas de información deben de ser de calidad.

Las características principales que debe tener la información en un sistema de apoyo

empresarial son las siguientes:

Se refiere a que se debe contar con la información en el momento deseado, ni antes ni

después, para poder hacer uso de ella sin retrasos.

Eso quiere decir que la información debe ser siempre real, sin alteraciones y sin errores.

Que sea información completa.

Que la información esté protegida, y sea manejada por personas de confianza.

 Análisis de riesgo

● El análisis de riesgo, también conocido como evaluación de riesgos o PHA por sus
siglas en inglés. Process Hazards Analysis, es el estudio de las causas de las posibles
amenazas y probables eventos no deseados y los daños y consecuencias que éstas
puedan producir.

● Este tipo de análisis es ampliamente utilizado como herramienta de gestión en

estudios financieros y de seguridad para identificar riesgos (métodos cualitativos) y
otras para evaluar riesgos (generalmente de naturaleza cuantitativa).

● El primer paso del análisis es identificar los activos a proteger o evaluar. La evaluación
de riesgos involucra comparar el nivel de riesgo detectado durante el proceso de
análisis con criterios de riesgo establecidos previamente.
Tenemos una clasificación de tres tipos de riesgo de auditoría:

Riego inherente: es la susceptibilidad de emitir una aseveración incorrecta sobre un

asunto importante, asumiendo que no existen políticas o procedimientos relativos a la
estructura de control interno.

Riesgo de Control: es el riesgo de que una declaración incorrecta pueda ocurrir en una
aseveración que no será posible detectar con oportunidad por medio de las políticas
o procedimientos de la estructura de control interno de una organización.

Riego de detección: es el riesgo de que el auditor no detecte un error de exposición

importante que existe en una aseveración
 Controles Internos
El sistema de control interno o sistema de gestión es un conjunto de áreas funcionales en
una empresa y de acciones especializadas en la comunicación y el control en el interior de
la empresa. El sistema de gestión por intermedio de las actividades, afecta a todas las
partes de la empresa a través del flujo de efectivo. La efectividad de una empresa se
establece en la relación entre la salida de los productos o servicios y la entrada de los
recursos necesarios para su producción.

Entre las responsabilidades de la gerencia están:

- Controlar la efectividad de las funciones administrativas.

- Regular el equilibrio entre la eficacia y la eficiencia en la empresa.

- Otros aspectos del desarrollo de la empresa, como crecimiento, rentabilidad y líquidos

acuosos difícilmente detectables por simple observación.
Fases de una auditoría
La práctica de la Auditoria se divide en tres fases:

1. Planeación

2. Ejecución

3. Informe
Primera Fase Planeación:

En esta fase se establecen las relaciones entre auditores y la entidad, para

determinar alcance y objetivos.
Se hace un bosquejo de la situación de la entidad, acerca de su organización,
sistema contable, controles internos, estrategias y demás elementos que le permitan
al auditor elaborar el programa de auditoria que se llevará a efecto.

Elementos Principales de esta Fase

1. Conocimiento y Comprensión de la Entidad
2. Objetivos y Alcance de la auditoria
 Segunda fase Ejecución:
En esta fase se realizan diferentes tipos de pruebas y análisis a los estados
financieros para determinar su razonabilidad.
Se detectan los errores, si los hay, se evalúan los resultados de las pruebas y se
identifican los hallazgos. Se elaboran las conclusiones y recomendaciones y se las
comunican a las autoridades de la entidad auditada. Aunque las tres fases son
importantes, esta fase viene a ser el centro delo que es el trabajo de auditoria, donde
se realizan todas las pruebas y
se utilizan todas las técnicas o procedimientos para encontrar las evidencias de
auditoria que sustentarán el informe de auditoría.

Elementos de la fase de ejecución:

1. Las Pruebas de Auditoria

2. Técnicas de Muestreo
 Tercera Fase Preparación del Informe:
El informe de Auditoría debe contener a lo menos:

1- Dictamen sobre los Estados Financieros o del área administrativa auditada.

2- Informe sobre la estructura del Control Interno de la entidad.

3- Conclusiones y recomendaciones resultantes de la Auditoría.

4- Deben detallarse en forma clara y sencilla, los hallazgos encontrados. En esta fase
se analizan las comunicaciones que se dan entre la entidad auditada y los auditores,
es decir:

a) Comunicaciones de la Entidad, y
b) Comunicaciones del auditor Entre las primeras tenemos:
a) Carta de Representación
Gracias