ELIANNY

¿La auditoría?

Es un examen objetivo, sistemático y profesional de las operaciones ejecutadas con la finalidad de evaluarlas,
verificarlas y emitir un informe que contenga comentarios, conclusiones y recomendaciones. este examen debe
ser crítico, puesto que lo realiza una persona o grupo de personas independientes del sistema auditado.

¿La Informática?

Es el campo que se encarga del estudio y aplicación práctica de las tecnologías, métodos, técnicas y
herramientas relacionadas con las computadoras y al manejo de la información por medios electrónicos.

AUDITORIA INFORMÁTICA

Es la revisión y evaluación de los controles, sistemas y procedimientos de la informática; de los equipos de

cómputo, su utilización, eficiencia y seguridad; de la organización que participa en el procesamiento de la
información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más
eficiente, confiable y segura de la información que servirá para una adecuada toma de decisiones.

Es importante destacar que el auditor debe efectuar un estudio y evaluación adecuados de control interno
existente, que le sirva de base para determinar el grado de confianza que va a depositar en él, así mismo, que le
permitan determinar la naturaleza, extensión y oportunidad que va a dar a los procedimientos de auditoria.

El control interno comprende el plan de organización y todos los métodos y procedimientos que en forma
coordinada se adoptan en un negocio para salvaguardar sus activos, verificar la razonabilidad y confiabilidad de
su información financiera, promover la eficiencia operacional y provocar la adherencia a las políticas prescritas
por la administración

Objetivos básicos del control interno

 La protección de los activos de la empresa

 La obtención de la información financiera veraz, confiable y oportuna.
 La promoción de la eficiencia en la operación del negocio.
 Lograr que en la ejecución de las operaciones se cumplan las políticas establecidas por los administradores
de la empresa.

Los 2 primeros objetivos abarcan el aspecto de controles internos contables y los 2 últimos se refieren a
controles internos administrativos.

Modelos de control utilizados en auditoria informática

Las metodologías son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada
y eficaz. La auditoría informática solo identifica el nivel de “exposición” por la falta de controles mientras el
análisis de riesgos facilita la evaluación de los riesgos y recomienda acciones en base al costo-beneficio de la
misma. Todas las metodologías existentes en seguridad de sistemas van encaminadas a establecer y mejorar un
entramado de contramedidas que garanticen que la productividad de que las amenazas se materialicen en hechos
sea lo mas baja posible o al menos quede reducida de una forma razonable en costo-beneficio. Todas las
metodologías existentes desarrolladas y utilizadas en la auditoría y el control informático, se puede agrupar en
dos grandes familias:
  Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la realización del trabajo, están
diseñadas para producir una lista de riesgos que pueden compararse entre sí con facilidad por tener
asignados unos valores numérico. Estos valores son datos de probabilidad de ocurrencia de un evento que se
debe extraer de un riesgo de incidencias donde el número de incidencias tiende al infinito.
 Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para
seleccionar en base a la experiencia acumulada. Puede excluir riesgos significantes desconocidos (depende
de la capacidad del profesional para usar el check-list/guía). Basadas en métodos estadísticos y lógica
borrosa, que requiere menos recursos humanos / tiempo que las metodologías cuantitativas.

TIPOS DE AUDITORIA (DANIEL)

Nota: La Auditoría puede clasificarse desde diversos puntos de vista, según el sujeto que la efectúa, según el
contenido y los fines, por su amplitud y por su frecuencia. Sin embargo estas son las más utilizadas:

 Auditoria interna: Es aquella a cargo de empleados de la propia empresa (encuadrados en un departamento

directamente dependiente de la dirección general), sin contratar a personas ajena, en el cual los empleados
realizan esta auditoría trabajan ya sea para la empresa que fueron contratados o simplemente algún afiliado a
esta.
 Auditoria externa: Es aquella a cargo de auditores profesionales, ajenos a la empresa y totalmente
independientes.

DIFERENCIA ENTRE AUDITORÍA INTERNA Y EXTERNA:

1. En la auditoría interna, el sujeto que la realiza es un empleado de la empresa; mientras que en la auditoría
externa, es un profesional independiente.

2. En la auditoría interna, la independencia está limitada; mientras que en la auditoría externa, la independencia
es total.

3. En la auditoría interna, la responsabilidad del sujeto que la realiza es de tipo laboral; mientras que en la
auditoría externa, es de tipo profesional, que puede llegar a ser penal.

4. En la auditoría interna, el objetivo de la auditoría es el examen de la gestión; mientras que en la auditoría

externa, el objetivo es el examen de los estados financieros para determinar si representan la situación real de la
entidad auditada.

5. En la auditoría interna, el informe emitido es un informe con recomendaciones para la gerencia; mientras que
en la auditoría externa, está dirigido también a terceros.

PRINCIPALES OBJETIVOS DE LA AUDITORIA EN INFORMÁTICA

a. Salvaguardar los activos: se refiere a la protección del hardware, software y recursos humanos.
b. Integridad de datos: los datos deben mantener consistencia y no duplicarse.
c. Efectividad de sistemas. Los sistemas deben cumplir con los objetivos de la organización.
d. Eficiencia de sistemas. Que se cumplan los objetivos con los menores recursos. Seguridad y
confidencialidad.

FASES DE LA AUDITORIA

I. Planeación de la auditoria en informática

 Es uno de los pasos más importantes, ya que una inadecuada planeación provocara una serie de problemas que
pueden impedir que se cumpla con la auditoria o bien hacer que nos efectué con el profesionalismo que debe
tener cualquier auditor.

La planeación es fundamental, y se debe hacer desde el punto de vista de varios objetivos:

 Evaluación administrativa del área de procesos electrónicos

 Evaluación d lis sistemas y procedimientos, y de la eficiencia que se tiene en el uso de la información. La
evaluación de la eficiencia y eficacia con la que se trabaja.
 Evaluación de los equipos d computo
 Evaluación del proceso de datos, de los sistemas y de los equipos de cómputo (software, hardware, redes,
bases de datos, comunicaciones)
 Seguridad y confidencialidad de la información
 Aspectos legales de los sistemas y de la información.

(MARIANYEL)Para lograr una adecuada planeación, Lo primero que se requiere es obtener información
general sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer una
investigación preliminar y algunas entrevistas previas, y con base en esto planear el programa de trabajo, el cual
deberá incluir tiempos, costos, personal necesario y documentos auxiliares a solicitar o formular durante el
desarrollo de la auditoria.

El proceso de planeación comprende establecer:

 Metas: las metas se deberán establecer de tal manera que se pueda lograr su cumplimiento, sobre la base de
los planes específicos de operación y de los presupuestos, los que hasta donde sea posible deberán ser
cuantificables. Deberán acompañarse de los criterios para medirlas y de fechas límite para su logro
 Programas de trabajo de auditoria: estos deberán incluir, las actividades que se van auditar, cuando serán
auditadas, el tiempo estimado requerido, tomando en consideración el alcance del trabajo de auditoria
planeado y la naturaleza y extensión del trabajo de auditoria realizado por otros. Estos deberán ser lo
suficientemente flexibles para cubrir demandas imprevistas.
 Planes de contratación de personal y presupuesto financiero, deberán contemplarse al elaborar los
programas de trabajo de auditoria, así como las actividades administrativas, la escolaridad y el
adiestramiento requerido, la investigación sobre auditoría y los esfuerzos de desarrollo.
 Informe de actividades

II. Revisión preliminar (del área informática)

El objetivo es el de obtener la información necesaria para que el auditor pueda tomar la decisión de como
proceder en la auditoria. Al terminar la revisión preliminar puede proceder en uno de los tres caminos
siguientes.

 Diseño de la auditoria. Puede haber problemas debido a la falta de competencia técnica para realizar la
auditoria.
 Realizar una revisión detallada de los controles internos de los sistemas con la esperanza de que se deposite
la confianza en los controles de los sistemas y de que una serie de pruebas sustantivas puedan reducir las
consecuencias.
 Decidir el no confiar en los controles internos del sistema. Existen dos razones posibles para esta decisión.
Primero, puede ser más eficiente desde el punto de vista de costo-beneficio el realizar pruebas sustantivas
 directamente. Segundo, los controles del área de informática pueden duplicar los controles existentes en el
área del usuario.

La revisión preliminar significa la recolección de evidencias por medio de entrevistas con el personal de la
instalación, la observación de las actividades en la instalación y la revisión de la documentación preliminar. Las
evidencias se pueden recolectar por medio de cuestionarios iniciales, o bien por medio de entrevistas, o con
documentación narrativa.

III. Revisión detallada

Los objetivos de la fase detallada son los de obtener la información necesaria para que el auditor tenga un
profundo entendimiento de los controles usados dentro del área de informática. En la fase de evaluación
detallada es importante para el auditor identificar las causas de las pérdidas existentes dentro de la instalación y
los controles para reducir las pérdidas y los efectos causados por éstas. Al terminar la revisión detallada el
auditor debe evaluar en qué momento los controles establecidos reduce las pérdidas esperadas a un nivel
aceptable. Los métodos de obtención de información al momento de la evaluación detallada son los mismos
usados en la investigación preliminar, y lo único que difiere es la profundidad con se obtiene la información y
se evalúa.

IV. Examen y evaluación de la información (JOSE LUIS)

Los auditores internos deberán obtener, analizar, interpretar y documentar la información para apoyar los
resultados de la auditoría. El proceso de examen y evaluación de la información es el siguiente:

 Se debe obtener la información de todos los asuntos relacionados con los objetivos y alcances de la
auditoria.
 La información deberá ser suficiente, competente, relevante y útil para que proporcione las bases solidas
en relación con los hallazgos y recomendaciones de auditoría. La información suficiente significa que esta
basada en hechos, que es adecuada y convincente, de tal forma que una persona prudente e informada pueda
llegar a las mismas conclusiones que el auditor. La información competente significa que es confiable y
puede obtenerse de la mejor manera, usando las técnicas de auditoria apropiadas. La información relevante
apoya los hallazgos y recomendaciones de auditoria y es consistente con los objetivos de ésta. La
información útil ayuda a la organización a lograr sus metas.
 Los procedimientos de auditoria, incluyendo el empleo de las técnicas de pruebas selectivas y el muestreo
estadístico, deberán ser elegidos con anterioridad, cuando esto sea posible, y ampliarse o modificarse
cuando las circunstancias lo requieran.
 El proceso de recabar, analizar, interpretar y documentar la información deberá supervisarse para
proporcionar una seguridad razonable de que la objetividad del auditor se mantuvo y que las metas de
auditoría se cumplieron.
 Los documentos de trabajo de la auditoría deberán ser preparados por los auditores y revisados por la
gerencia de auditoría. Estos documentos deberán registrar la información obtenida y el análisis realizado, y
deben apoyar las bases de los hallazgos de auditoría y las recomendaciones que se harán.

Los auditores deberán reportar los resultados del trabajo de auditoría: El auditor deberá discutir las conclusiones
y recomendaciones en los niveles apropiados de la administración antes de emitir su informe final. Los informes
deberán ser objetivos, claros, concisos, constructivos y oportunos. Los informes presentarán el propósito,
alcance y resultados de la auditoría y, cuando se considere apropiado, contendrán la opinión del auditor.
 V. Pruebas de consentimiento

El objetivo de esta fase es el de determinar si los controles internos operan como fueron diseñados para operar.
El auditor debe determinar si los controles declarados en realidad existen y si realmente trabajan
confiablemente.

Además de las técnicas manuales de recolección de evidencias, muy frecuentemente el auditor debe recurrir a
técnicas de recolección de información asistidas por computadora, para determinar la existencia y confiabilidad
de los controles. Por ejemplo, para evaluar la existencia y confiabilidad de los controles de un sistema de red, se
requerirá el entrar a la red y evaluar directamente al sistema,

VI. Pruebas de controles de usuario

En algunos casos el auditor puede decidir el no confiaren los controles internos dentro de las instalaciones
informáticas, porque el usuario ejerce controles que compensan cualquier debilidad dentro de los controles de
informática. Estas pruebas que compensan las deficiencias de los controles internos se pueden realizar mediante
cuestionarios, entrevistas, visitas y evaluaciones hechas directamente con los usuarios.

VII. Pruebas sustantivas

El objetivo de esta fase es obtener evidencia suficiente que permita al auditor emitir su juicio en las
conclusiones acerca de cuándo pueden ocurrir pérdidas materiales durante el procesamiento de la información.
El auditor externo expresará este juicio en forma de opinión sobre cuándo puede existir un proceso equivocado
o falta de control de la información. Se pueden identificar ocho diferentes pruebas sustantivas:

 Pruebas para identificar errores en el procesamiento o de falta de seguridad o confidencialidad.

 Pruebas para asegurar la calidad de los datos.
 Pruebas para identificar la inconsistencia de los datos.
 Pruebas para comparar con los datos o contadores físicos.
 Confirmación de datos con fuentes externas.
 Pruebas para confirmar la adecuada comunicación.
 Pruebas para determinar falta de seguridad.
 Pruebas para determinar problemas de legalidad.

(YUNELKIS) Realizar una auditoria en informática es un trabajo complejo. Por ello, para lograr los objetivos,
el auditor necesita dividir los sistemas en una serie de subsistemas, identificando los componentes que realizan
las actividades básicas de cada subsistema, evaluar la confianza de cada componente, y la de los subsistemas, y
en forma agregada evaluar cada subsistema hasta llegar a una evaluación global sobre la confianza total del
sistema.

Pasos que involucra una auditoria en informática

1. Se realiza una investigación preliminar del área de informática, para lograr un entendimiento de cómo está
siendo administrada la instalación y de los principales sistemas que son procesados
2. El auditor determina confiar en los controles internos del sistema, se realiza una investigación detallada.
3. El auditor, de acuerdo con su juicio, prueba la confianza sobre aquellos controles que son críticos.
4. Se realizan pruebas sustantivas de los procedimientos
5. Finalmente el auditor debe dar una opinión
Después de estos pasos el auditor evalúa los controles internos del sistema y decide si debe proceder con pasos
alternativos.

Durante la auditoria en informática deben tomarse muchas decisiones difíciles. Cada evaluación sobre la
confianza de los sistemas de control interno requiere de evaluaciones complejas realizadas en forma conjunta
con las evidencias obtenidas.

Evaluación de los sistemas de acuerdo al riesgo

Una de las formas de evaluar la importancia que puede tener para la organización un determinado sistema, es
considerar el riesgo que implica el que no sea utilizado adecuadamente, la perdida de la información o bien el
que sea usado por personal ajeno a la organización.

Algunos sistemas de aplicaciones son de más alto riesgo que otros debido a que:

 Son susceptibles a diferentes tipos de pérdida económica, fraudes, desfalco, etc.

 Las fallas pueden impactar grandemente a la organización, al procesar la nómina generara huelga
 Interfiere con otros sistemas, y los errores generados permean a otros sistemas. Entre otros.

Investigación preliminar

Es necesario iniciar el trabajo de obtención de datos con un contacto preliminar que permita una primera idea
global. El objeto de este primer contacto es percibir rápidamente las estructuras fundamentales y diferencias
principales entre el organismo a auditar y otras organizaciones que se hayan investigado

Personal participante

En este punto no veremos el número de personas que deberán participar, ya que esto depende de las
dimensiones d la organización, de los sistemas y de los equipos;_ lo que se deberá considerar son las
características del personal que habrá de participar en la auditoria. El esquema para tener un adecuado control es
que el personal que intervenga esté debidamente capacitado, que tenga un alto sentido de moralidad, al cual se
le exija la optimización de recursos (eficiencia) y se le retribuya o compense justamente con su trabajo. Con
estas bases se debe considerar los conocimientos, la práctica profesional y la capacitación del personal a
intervenir en la auditoria.

La auditoría informática sirve para mejorar ciertas características en la empresa como:

 Desempeño
 Fiabilidad
 Eficacia
 Rentabilidad
 Seguridad
 Privacidad
Importancia de la Auditoría Informática ahora

La auditoría permite a través de una revisión independiente, la evaluación de actividades, funciones específicas,
resultados u operaciones de una organización, con el fin de evaluar su correcta realización. Este autor hace
énfasis en la revisión independiente, debido a que el auditor debe mantener independencia mental, profesional y
laboral para evitar cualquier tipo de influencia en los resultados de la misma.