You are on page 1of 60

Nombre: __________________________________

Grupo:

_________

INDICE

BLOQUE I: INTRODUCCIN A LA AUDITORA INFORMTICA. ......................................... 4


EC01: LA INFORMACIN DE LAS COMPUTADORAS ................................................................................ 5
CONCEPTOS DE AUDITORA Y AUDITORA INFORMTICA......................................................... 8
Introduccin .................................................................................................................................. 8
1.1 Concepto de auditora ............................................................................................................. 8
1.2 Tipos de auditora ................................................................................................................. 10
Auditora interna: ........................................................................................................................ 10
Auditora informtica de sistemas: .............................................................................................. 12
Auditora a los planes de desarrollo empresarial: ........................................................................ 12
Auditora administrativa:.............................................................................................................. 13
Auditora financiera: .................................................................................................................... 13
Auditora de gestin: ................................................................................................................... 13
Auditora de gestin de ambiental: .............................................................................................. 13
Auditora de gestin y resultados: ............................................................................................... 14
Auditora integral: ........................................................................................................................ 14
1.3 Auditora en informtica ........................................................................................................ 16
Objetivos de la auditora informtica. .......................................................................................... 17
EC02: CONCEPTO DE AUDITORA ...................................................................................................... 15
EC03: AUDITORA INFORMTICA ....................................................................................................... 19
EC04: NORMAS Y PROCEDIMIENTO DE AUDITORA .............................................................................. 20
CONTROL INTERNO .......................................................................................................................... 21
EC05: CONTROL INTERNO ................................................................................................................ 23
EL AUDITOR ..................................................................................................................................... 26
Introduccin ................................................................................................................................ 26
EC06: LOS AUDITORES .................................................................................................................... 29
EC07: CDIGO DE TICA DE LOS AUDITORES ..................................................................................... 34
EC08: ACTIVIDAD INTEGRADORA DEL BLOQUE ................................................................................... 35

BLOQUE II: PLANEACIN DE LA AUDITORA INFORMTICA ......................................... 36


FASES DE LA AUDITORIA INFORMTICA .............................................................................................. 38
Fase I: Conocimientos del Sistema ............................................................................................. 38
Fase II: Anlisis de transacciones y recursos.............................................................................. 38
Fase III: Anlisis de riesgos y amenazas .................................................................................... 38
Fase IV: Anlisis de controles ..................................................................................................... 39

Fase V: Evaluacin de Controles ................................................................................................ 39


Fase VI: Informe de Auditoria ..................................................................................................... 39
Fase VII: Seguimiento de Recomendaciones.............................................................................. 39
EC09: FASES DE LA AUDITORIA INFORMTICA ................................... ERROR! MARCADOR NO DEFINIDO.
EC10: PLANEACIN DE LA AUDITORA................................................................................................ 47
EC11: REVISIN PRELIMINAR............................................................................................................ 48
EC12: REVISIN DETALLADA ............................................................................................................ 49
EC13: AUDITORA FSICA .................................................................................................................. 50

BLOQUE III: AUDITORA INFORMTICA POR REAS ...................................................... 54


EC14: ORGANIGRAMAS DE LA AUDITORA .......................................... ERROR! MARCADOR NO DEFINIDO.
EC15: EVALUACIN DE LOS RECURSOS HUMANOS ............................. ERROR! MARCADOR NO DEFINIDO.
EC16: AUDITORA FSICA .................................................................. ERROR! MARCADOR NO DEFINIDO.
EC17: EVALUACIN DE AUDITORIA FSICA ......................................... ERROR! MARCADOR NO DEFINIDO.
EC18: AUDITORIA DE APLICACIONES ................................................. ERROR! MARCADOR NO DEFINIDO.
EC19: AUDITORIA DE REDES Y COMUNICACIN .................................. ERROR! MARCADOR NO DEFINIDO.
EC20: AUDITORIA A LA SEGURIDAD INFORMTICA .............................. ERROR! MARCADOR NO DEFINIDO.
INFORME FINAL DE AUDITORIA ........................................................................................................... 55
El informe final ............................................................................................................................ 55
EC21: EL INFORME FINAL ................................................................................................................. 57

ANEXOS................................................................................................................................. 59

I: Introduccin a la auditora informtica

Bloque I: Introduccin a la
auditora informtica.

El Bloque I, tiene como finalidad conocer los elementos


fundamentales de la auditoria informtica, as como sus
conceptos bsicos y principios ticos para identificar su
utilidad en las organizaciones.
M.C. Gabriel Huesca Aguilar

Pgina 4

I: Introduccin a la auditora informtica


EC01: La informacin de las computadoras

Fecha: ___/____/201___

Nombre: _____________________________________________ Grupo: __________


Instrucciones: Lee con atencin la siguiente situacin didctica, analiza el problema y elabora una
reflexin acerca de qu hacer para evitarlo, en la que expreses tus opiniones y experiencias para
enriquecer el tema, mostrando tolerancia y respetando las reglas de convivencia social.

En el hospital El paciente impaciente han desaparecido dos computadoras una en


el servicio de archivo y otra del servicio de cuidados intensivos. Por lo anterior se
han desatado algunos problemas que conllevan a subsanar dicha perdida.
1. Qu debe hacer el encargado para sustituir las computadoras?
2. Cunto tiempo crees que es necesario para tener una computadora que
haga el mismo trabajo que hacia la que robaron?
3. Qu haras t para arreglar el problema?
4. Qu debes saber para conectarlo en la red y con los archivos
necesarios para trabajar correctamente?

M.C. Gabriel Huesca Aguilar

Pgina 5

I: Introduccin a la auditora informtica


Fecha: ___/_____/2011

EC01: Ideas sobre Auditoria Informtica


Nombre: _________________________________________

Grupo: _________

Instrucciones: Participado en la lluvia de ideas sobre los conceptos bsico acerca de la Auditoria
Informtica completa el siguiente cuadro:
Para crear una definicin que te permita entender de lo que ests hablando es necesario:
1. Definir de una forma concreta (objeto, animal, ciencia, procedimiento, cosa, etc)
2. Actividad que realiza el objeto de estudio (nica para el objeto).
3. Contexto en el que lo realiza
4. Referentes del objeto (ejemplos, comparaciones etc, si es posible).
AUDITORIA
Forma concreta

Actividad que realiza

Contexto

Referentes

AUDITORIA INFORMATICA
Forma concreta

Actividad que realiza

Contexto

Referentes

M.C. Gabriel Huesca Aguilar

Pgina 6

I: Introduccin a la auditora informtica


AUDITOR
Forma concreta

Actividad que realiza

Contexto

Referentes

NORMA
Forma concreta

Actividad que realiza

Contexto

Referentes

ESTANDAR
Forma concreta

Actividad que realiza

Contexto

Referentes

M.C. Gabriel Huesca Aguilar

Pgina 7

I: Introduccin a la auditora informtica

CONCEPTOS DE AUDITORA Y AUDITORA INFORMTICA1


Introduccin
El concepto de auditora informtica ha estado siempre ligado al de auditora en general y al
de auditora interna en particular, y ste ha estado unido desde tiempos histricos al de
contabilidad y de control de los registros y de las operaciones. Aun algunos historiadores fijan
el nacimiento de la escritura como consecuencia de la necesidad de registrar y controlar
operaciones (Dale Flesher, 50 Yeras of progress). Hago este referencia histrica a fin de
explicar la evolucin de la corta pero intensa historia de la auditora informtica, y para que
posteriormente nos sirva de referencia al objeto de entender las diferentes tendencias que
existen en la actualidad.
Si analizamos el nacimiento y la existencia de la auditora informtica desde un punto de
vista empresarial, tendremos que empezar analizando el contexto organizativo y ambiental
en el que se mueve.
Empezaremos diciendo que tanto dentro del contexto estratgico como del operativo de las
organizaciones actuales, los sistemas de informacin y la arquitectura que los soporta
desempean un importante papel como uno de los soportes bsicos para la gestin y el
control del negocio, siendo as unos de los requerimientos bsicos de cualquier organizacin.
Esto da lugar a los sistemas de informacin de una organizacin. La auditoria se desarrolla
con base a normas, procedimientos y tcnicas definidas formalmente por institutos
establecidos a nivel nacional e internacional; por lo tanto, solo se expondrn algunos
aspectos necesarios para su entendimiento; no obstante, se sugiere leer los libros listados en
la bibliografa, as como la participacin directa y activa en los institutos o asociaciones
relacionados con el campo de la especialidad.
Por lo anterior, en este captulo se incluyen lecturas que analizan en diferentes tipos de
auditora, as como lo expuesto por Mario Piattini y Emilio del Peso en su obra Auditora
Informtica: un enfoque practico en lo relativo a la auditora informtica y su alcance.
1.1 Concepto de auditora
Con frecuencia la palabra auditora se ha empleado incorrectamente y se ha considerado
como una evaluacin cuyo nico fin es detectar errores y sealar fallas; por eso se ha
llegado a acuar la frase "tiene auditora" como sinnimo de que, desde antes de realizarse,
ya se encontraron fallas y por lo tanto se est haciendo la auditora. El concepto de auditora
es ms amplio: no slo detecta errores, sino que es un examen crtico que se realiza con
objeto de evaluar la eficiencia y eficacia de una seccin o de un organismo.
La palabra auditora viene del latn auditorius, y de sta proviene auditor, que tiene la virtud
de or, y el diccionario lo define como "revisor de cuentas colegiado". El auditor tiene la virtud
de or y revisar cuentas, pero debe estar encaminado a un objetivo especfico que es el de
evaluar la eficiencia y eficacia con que se est operando para que, por medio del
1

http://www.oocities.org/mx/acadentorno/aui1.pdf

M.C. Gabriel Huesca Aguilar

Pgina 8

I: Introduccin a la auditora informtica


sealamiento de cursos alternativos de accin, se tomen decisiones que permitan corregir los
errores, en caso de que existan, o bien mejorar la forma de actuacin.
Si consultamos nuevamente el diccionario encontramos que eficacia es: "virtud, actividad,
fuerza, para poder obrar"; mientras que eficiencia es: "virtud y facultad para lograr un efecto
determinado", por lo que eficiencia es el poder lograr lo planeado con los menores recursos
posibles, mientras que eficacia es lograr los objetivos.
El Boletn "C" de Normas de Auditora del Instituto Mexicano de Contadores nos dice: "La
auditora no es una actividad meramente mecnica que implique la aplicacin de ciertos
procedimientos cuyos resultados, una vez llevados a cabo, son de carcter indudable. La
auditora requiere el ejercicio de un juicio profesional, slido y maduro, para juzgar los
procedimientos que deben de seguirse y estimar los resultados obtenidos .
As como existen normas y procedimientos especficos para la realizacin de auditoras
contables, debe haber tambin normas y procedimientos para la realizacin de auditoras en
informtica como parte de una profesin. Pueden estar basadas en las experiencias de otras
profesiones pero con algunas caractersticas propias y siempre guindose por el concepto de
que la auditora debe ser ms amplia que la simple deteccin de errores, y adems la
auditora debe evaluar para mejorar lo existente, corregir errores y proponer alternativas de
solucin. A continuacin se presentan diversos conceptos de auditora.
Es un proceso formal y necesario para las empresas con el fin de asegurar que todos sus
activos sean protegidos en forma adecuada. Asimismo, la alta direccin espera que de los
proyectos de auditora surjan las recomendaciones necesarias para que se lleven a cabo de
manera oportuna y satisfactoria las polticas, controles y procedimientos y definidos
formalmente, con objeto de que cada individuo o funcin de la organizacin opere de modo
productivo en sus actividades diarias, respetando las normas generales de honestidad y
trabajo aceptadas. [Hernndez, 1997].
Examen metdico de una situacin relativa a un producto, proceso u organizacin en materia
de calidad, realizada en cooperacin con los interesados para verificar la concordancia de la
realidad con lo preestablecido y la adecuacin al objetivo buscado.
Actividad para determinar, por medio de la investigacin, la adecuacin de los
procedimientos establecidos, instrucciones, especificaciones, codificaciones y estndares u
otros requisitos, la adhesin de los mismos y la eficiencia de su implantacin.
Es la investigacin, consulta, revisin, verificacin, comprobacin y evidencia. Aplicada la
empresa es el examen del estado financiero de una empresa realizada por personal
cualificado e independiente, de acuerdo con normas de contabilidad, con el fin de esperar
una opinin con que tales estados contables muestran lo acontecido en el negocio. Requisito
fundamental es la independencia.
Se define como la acumulacin y la evaluacin de las evidencias sobre la informacin
cuantificable de una entidad econmica para determinar y opinar sobre el grado de
correspondencia que hay entre la informacin y el criterio establecido. [Zamarripa, 2002].
M.C. Gabriel Huesca Aguilar

Pgina 9

I: Introduccin a la auditora informtica


Es un proceso sistemtico para obtener y evaluar evidencias de una manera objetiva
respecto a las afirmaciones correspondientes a actos econmicos y eventos para determinar
el grado de correspondencia entre estas afirmaciones y criterios establecidos y comunicar los
resultados a los usuarios interesados.[Kell-Ziegler].
En el ambiente de sistemas, los exmenes de las operaciones que realiza un sistema de
computo con la finalidad de evaluar la situacin del mismo. Los auditores deben tener la
capacidad de validar los reportes y de probar la autenticidad y la precisin de los datos y la
informacin que se maneja. [Gonzlez].
Representa el examen de los estados financieros de una entidad, con el objeto de que el
contador pblico independiente emita una opinin profesional si dichos estados representan
la situacin financiera, los resultados de las operaciones, las variaciones en el capital
contable y los cambios en la situacin financiera de una empresa, de acuerdo a los principios
de la contabilidad generalmente aceptados.
1.2 Tipos de auditora
La auditora, como cualquier disciplina toma caractersticas diferentes de acuerdo al campo
de accin en que se desenvuelven. Sin embargo, el objetivo final debe responder a la
definicin general de auditora. De acuerdo a las personas que la realizan se pueden
reconocer dos tipos de auditora. Fuente: (http://www.monografias.com/trabajos12/aufi.shtml)
Marin Calv Hugo Armando.
Auditora interna:
Es la realizada con recursos materiales y personas que pertenecen a la empresa auditada.
Los empleados que realizan esta tarea son remunerados econmicamente. La auditora
interna existe por expresa decisin de la Empresa, o sea, que puede optar por su disolucin
en cualquier momento.
Por otro lado, la auditora externa es realizada por personas afines a la empresa auditada; es
siempre remunerada. Se presupone una mayor objetividad que en la Auditora Interna,
debido al mayor distanciamiento entre auditores y auditados.
La auditora informtica interna cuenta con algunas ventajas adicionales muy importantes
respecto de la auditora externa, las cuales no son tan perceptibles como en las auditoras
convencionales. La auditora interna tiene la ventaja de que puede actuar peridicamente
realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. Los
auditados conocen estos planes y se habitan a las Auditorias, especialmente cuando las
consecuencias de las Recomendaciones habidas benefician su trabajo.
En una empresa, los responsables de Informtica escuchan, orientan e Informan sobre las
posibilidades tcnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto,
Informtica trata de satisfacer lo ms adecuadamente posible aquellas necesidades. La
empresa necesita controlar su Informtica y sta necesita que su propia gestin est
sometida a los mismos procedimientos y estndares que el resto de aquella. La conjuncin
de ambas necesidades cristaliza en la figura del auditor interno informtico.

M.C. Gabriel Huesca Aguilar

Pgina 10

I: Introduccin a la auditora informtica


En cuanto a empresas se refiere, solamente las ms grandes pueden poseer una Auditora
propia y permanente, mientras que el resto acuden a las auditoras externas. Puede ser que
algn profesional informtico sea trasladado desde su puesto de trabajo a la Auditora Interna
de la empresa cuando sta existe. Finalmente, la propia Informtica requiere de su propio
grupo de Control interno, con implantacin fsica en su estructura, puesto que si se ubicase
dentro de la estructura Informtica ya no sera independiente. Hoy, ya existen varias
organizaciones Informticas dentro de la misma empresa, y con diverso grado de autonoma,
que son coordinadas por rganos corporativos de Sistemas de Informacin de las Empresas.
Una Empresa o Institucin que posee auditora interna puede y debe en ocasiones contratar
servicios de auditora externa. Las razones para hacerlo suelen ser:
Necesidad de auditar una materia de gran especializacin, para la cual los servicios
propios no estn suficientemente capacitados.
Contrastar algn Informe interno con el que resulte del externo. en aquellos supuestos
de emisin interna de graves recomendaciones que chocan con la opinin
generalizada de la propia empresa.
Servir como mecanismo protector de posibles auditoras informticas externas
decretadas por la misma empresa.
Aunque la auditora interna sea independiente del Departamento de Sistemas, sigue
siendo la misma empresa, por lo tanto, es necesario que se le realicen auditoras
externas como para tener una visin desde afuera de la empresa.
La auditora informtica, tanto externa como interna, debe ser una actividad exenta de
cualquier contenido o matiz "poltico" ajeno a la propia estrategia y poltica general de la
empresa. La funcin auditora puede actuar de oficio, por iniciativa del propio rgano, o a
instancias de parte, esto es, por encargo de la direccin o cliente. De acuerdo al objetivo de
la auditora, tenemos:
Auditora de cumplimiento:
Es la comprobacin o examen de operaciones financieras, administrativas, econmicas y de
otra ndoIe de una entidad para establecer que se han realizado conforme a las normas
legales, reglamentarias, estatuarias y de procedimientos que le son aplicables.
Esta auditora se practica mediante la revisin de documentos que soportan legal, tcnica,
financiera y contablemente las operaciones para determinar si los procedimientos utilizados y
las medidas de control interno estn de acuerdo con las normas que le son aplicables y si
dichos procedimientos estn operando de manera efectiva y son adecuados para et logro de
los objetivos de la entidad.
Auditora operativa:
Es el examen posterior, profesional, objetivo y sistemtico de la totalidad o parte de las
operaciones o actividades de una entidad, proyecto, programa, inversin o contrato en
particular, sus unidades integrantes u operacionales especficas. Su propsito es determinar
los grados de efectividad, economa y eficiencia alcanzados por la organizacin y formular
recomendaciones para mejorar las operaciones evaluadas. Relacionada bsicamente con los
objetivos de eficacia, eficiencia y economa.

M.C. Gabriel Huesca Aguilar

Pgina 11

I: Introduccin a la auditora informtica


Auditora informtica de sistemas:
Se ocupa de analizar la actividad que se conoce como tcnica de sistemas en todas sus
facetas. Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las
comunicaciones. Lneas y redes de las instalaciones informticas, se auditen por separado,
aunque formen parte del entorno general de sistemas. Su finalidad es el examen y anlisis
de los procedimientos administrativos y de los sistemas de control interno de la compaa
auditada. Al finalizar el trabajo realizado, los auditores exponen en su informe aquellos
puntos dbiles que hayan podido detectar, as como las recomendaciones sobre los cambios
convenientes a introducir, en su opinin, en la organizacin de la compaa. Normalmente,
las empresas funcionan con polticas generales, pero hay procedimientos y mtodos, que
son trminos ms operativos. Los procedimientos son tambin sistemas; si estn bien
hechos, la empresa funcionar mejor. La auditora de sistemas analiza todos los
procedimientos y mtodos de la empresa con la intencin de mejorar su eficacia.
Sistemas Operativos. Engloba los Subsistemas de Teleprocesos, Entrada/Salida, etc. Debe
verificarse en primer lugar que los Sistemas estn actualizados con las ltimas versiones del
fabricante, indagando las causas de las omisiones. El anlisis de las versiones de los
Sistemas Operativos permite descubrir las posibles incompatibilidades entre otros productos
de Software Bsicos adquiridos por la instalacin y determinadas versiones de aquellas.
Deben revisarse los parmetros variables de las libreras ms importantes de los Sistemas,
por si difieren de los valores habituales aconsejados por el constructor.
Software Bsico es fundamental para el auditor conocer los productos de software bsico
que han sido facturados aparte de la propia computadora. Esto, por razones econmicas y
por razones de comprobacin de que la computadora podra funcionar sin el producto
adquirido por el cliente. En cuanto al software desarrollado por el personal informtico de la
empresa, el auditor debe verificar que este no agreda ni condicione al Sistema Igualmente,
debe considerar el esfuerzo en trminos de costes, por si hubiera alternativas ms
econmicas.
Auditora a los planes de desarrollo empresarial:
La accin de planear 'las actividades permite al individuo fijarse metas, delinear los cursos de
las acciones a seguir, establecer las reglas de juego, para que el lugar de estar a la
defensiva, reaccionando a las circunstancias y eventualidades, haga que las circunstancias y
eventualidades se ajusten a su voluntad mediante el establecimiento de un buen plan que le
permita prever todos los posibles factores y elementos que pudieran incidir en las acciones,
fijarse objetivos que deseen alcanzar, establecer las polticas que deban normar las
operaciones y reglamentndolas en sistemas, mtodos y procedimiento, que allanen el
camino para el buen logro de esos objetivos, colocndolo a la ofensiva, atacando en vez de
esperar a ser atacado; es decir, actuando, en vez de estar reaccionando. Anticiparse a los
hechos es evitar sorpresas, que en la mayora de los casos son desagradables. La auditora,
al igual que cualquier otra actividad, requiere de una buena planeacin, que le permita
desarrollarse eficientemente y oportunamente.

M.C. Gabriel Huesca Aguilar

Pgina 12

I: Introduccin a la auditora informtica


Auditora administrativa:
Es el revisar y evaluar Si los mtodos, sistemas y procedimientos que se siguen en todas las
fases del proceso administrativo aseguran el cumplimiento con polticas, planes, programas,
leyes y reglamentaciones que puedan tener un impacto significativo en operacin de los
reportes y asegurar que la organizacin los este cumpliendo y respetando. Es el examen
metdico y ordenado de los objetivos de una empresa de su estructura orgnica y de la
utilizacin del elemento humano a fin de informar los hechos investigados. Su importancia
radica en el hecho de que proporciona a los directivos de una organizacin un panorama
sobre la forma como est siendo administrada por los diferentes niveles jerrquicos y
operativos, sealando aciertos y desviaciones de aquellas reas cuyos problemas
administrativos detectados exigen una mayor o pronta atencin.
Auditora financiera:
Es un proceso cuyo resultado final es la emisin de un informe, en el que el auditor da a
conocer su opinin sobre la situacin financiera de la empresa, este proceso solo es posible
IIevarlo a cabo a travs de un elemento llamado evidencia de auditoria, ya que el auditor
hace su trabajo posterior a las operaciones de la empresa. La Auditora Financiera es la ms
conocida de todas, pues es la requerida por las empresas y es la que ha presentado el
mximo desarrollo.
Auditora de gestin:
La Auditora de Gestin aunque no tan desarrollada como la Financiera, es si se quiere de
igualo mayor importancia que esta ltima, pues sus efectos tienen consecuencias que
mejoran en forma apreciable el desempeo de la organizacin. La denominacin auditora de
gestin funde en una, dos clasificaciones que tradicionalmente se tenan: auditora
administrativa y auditora operacional.
Auditora de gestin de ambiental:
La creciente necesidad de controlar el impacto ambiental que generan las actividades
humanas ha hecho que dentro de muchos sectores industriales se produzca un Incremento
de la sensibilizacin respecto al medio ambiente. Debido a esto, las simples actuaciones
para asegurar el cumplimiento legislativo han dado paso a sistemas de gestin
medioambiental que permiten estructurar e integrar todos los aspectos medioambientales,
coordinando los esfuerzos que realiza la empresa para llegar a objetivos previstos. Es
necesario analizar y conocer en todo momento todos los factores de contaminacin que
generan las actividades de la empresa, y por este motivo ser necesario que dentro del
equipo humano se disponga de personas cualificadas para evaluar el posible impacto que se
derive de los vectores ambientales. Establecer una forma sistemtica de realizar esta
evaluacin es una herramienta bsica para que las conclusiones de las mismas aporten
mejoras al sistema de gestin establecido.
La aplicacin permanente del concepto mejora continua es un referente que en el campo
medioambiental tiene una incidencia prctica constante, y por este motivo la revisin de
todos los aspectos relacionados con la minimizacin del impacto ambiental tiene que ser una
accin realizadas sin interrupcin.

M.C. Gabriel Huesca Aguilar

Pgina 13

I: Introduccin a la auditora informtica


Auditora de gestin y resultados:
Tiene por objeto el examen de la gestin de una empresa con el propsito de evaluar la
eficacia de sus resultados con respecto a las metas previstas, los recursos humanos,
financieros y tcnicos utilizados, la organizacin y coordinacin de dichos recursos y los
controles establecidos sobre dicha gestin. Es una herramienta de apoyo efectivo a la
gestin empresarial, donde se puede conocer las variables y los distintos tipos de control que
se deben producir en la empresa y que estn en condiciones de reconocer y valorar su
Importancia como elemento que repercute en la competitividad de la misma. Se tiene en
cuenta la descripcin y anlisis del control estratgico, el control de eficacia, cumplimiento de
objetivos empresariales, el control operativo o ejecucin y un anlisis del control como factor
clave de competitividad.
La auditora integral se ha desarrollado en los pases industrializados, especialmente en el
Canad, teniendo una gran aplicacin en el mbito del control gubernamental. En s la
auditora integral no es ms que la integracin de la auditora financiera con la auditora de
gestin y la auditora de cumplimiento.
La auditora de cumplimiento es la que hasta la vigencia de la anterior Constitucin, venia
ejecutando la Contralora General de la Repblica, y que consista en el simple control
numrico legal de las operaciones de los entes estatales en sus diferentes niveles. El
Consejo Tcnico de la Contadura Pblica en su pronunciamiento No. 7 define as la
Auditora de Cumplimiento:
La auditora de cumplimiento consiste en la comprobacin o examen de las operaciones
financieras, administrativas, econmicas y de otra ndole de una entidad para establecer que
se han realizado conforme a las normas legales, estatutarias y de procedimientos que le son
aplicables.
La integracin de estos tres tipos de auditora implica que examen se debe realizar sobre tres
grandes sistemas de informacin de la organizacin: sistema de informacin financiera,
sistema de informacin de gestin y sistema de informacin legal. El concepto de auditora
integral realmente no es nuevo en nuestro pas y por el contrario es si se quiere el ms
antiguo, pues si se considera la figura de la institucin de la Revisarla Fiscal, sta cumple
con los requerimientos de una auditora integral, pues en esencia el Revisor Fiscal debe
examinar los tres grandes sistemas objeto de examen por esta ltima. Por lo dicho
anteriormente se podra construir el siguiente concepto de auditora integral:
Auditora integral:
Es el examen crtico, sistemtico y detallado de los sistemas de informacin financiero, de
gestin y legal de una organizacin, realizado con independencia y utilizando tcnicas
especificas, con el propsito de emitir un informe profesional sobre la razonabilidad de la
informacin financiera, la eficacia eficiencia y economicidad en el manejo de los recursos y el
apego de las operaciones econmicas a las normas contables, administrativas y legales que
le son aplicables, para la toma de decisiones que permitan la mejora de la productividad de la
misma.

M.C. Gabriel Huesca Aguilar

Pgina 14

I: Introduccin a la auditora informtica


EC02: Concepto de Auditora

Fecha: ___/____/201___

Nombre: _____________________________________________ Grupo: __________


Instrucciones: Despus de haber ledo con atencin los conceptos de auditora elabora un es
esquema (mapa mental, conceptual, cuadro sinptico o de doble entrada, etc), acerca de la
informacin presentada.

M.C. Gabriel Huesca Aguilar

Pgina 15

I: Introduccin a la auditora informtica


1.3 Auditora en informtica
Fuente: Piattini, Mario G y del peso, Emilio 2000.
Auditoria Informtica: un enfoque practico computec RAMA. Madrid, Espaa.

Auditora en informtica

La auditora en informtica se desarrolla en funcin de normas, procedimientos y tcnicas


definidas por institutos establecidos a nivel nacional e internacional; por lo tanto, nada ms
se sealarn algunos aspectos bsicos para su entendimiento.
As, la auditora en informtica es:
A. Un proceso formal ejecutado por especialistas del rea de auditora y de informtica;
se orienta a la verificacin y aseguramiento de las polticas y procedimientos
establecidos para el manejo y uso adecuado de la tecnologa de informtica en la
organizacin se lleve a cabo de una manera oportuna y eficiente.
B. Las actividades ejecutadas por los profesionales del rea de Informtica y de auditora
encaminada a evaluar el grado de cumplimiento de polticas, controles y
procedimientos correspondientes al uso de los recursos de informtica por el personal
de la empresa (usuarios, informtica, alta direcci6n, etc.). Dicha evaluaci6n deber ser
la pauta para la entrega del informe de auditora en informtica, el cual ha de contener
las observaciones, recomendaciones y reas de oportunidad para el mejoramiento y la
optimizacin permanente de la tecnologa de informtica en el negocio.
C. El conjunto de acciones" que realiza el personal especializado en las reas de
auditora y de informtica para el aseguramiento continuo de que todos los recursos
de informtica operen en un ambiente de seguridad y control eficientes, con la
finalidad de proporcionar a la alta direccin o niveles ejecutivos la certeza de que la
informacin que pasa por el rea se manejan con los conceptos bsicos de integridad,
totalidad, exactitud, confiabilidad, etc.
D. Proceso metodolgico que tiene el propsito principal de evaluar todos los recursos
(humanos, materiales, financieros, tecnol6gicos, etc.) Relacionados con la funcin de
informtica para garantizar al negocio que dicho conjunto opera con un criterio de
integracin y desempeos de niveles altamente satisfactorios para que apoyen la
productividad y rentabilidad de la organizacin.(Hernndez, 1997).
La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias para
determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los
datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los
recursos.
De este modo la auditoria informtica sustenta y confirma la consecucin de los objetivos
tradicionales de la auditoria:
Objetivos de proteccin de activos e integridad de datos.
Objetivos de gestin que abarcan, no solamente los de proteccin de activos, sino
tambin los de eficacia y eficiencia.
El auditor evala y comprueba en determinados momentos del tiempo los controles y
procedimientos informticos ms complejos, desarrollando y aplicando tcnicas mecanizadas
de auditora, incluyendo el uso del software. En muchos casos, ya no es posible verificar
manualmente los procedimientos informatizados que resumen, calculan y clasifican datos,
por lo que se deber emplear software de auditoria y otras tcnicas asistidas por ordenador.
M.C. Gabriel Huesca Aguilar

Pgina 16

I: Introduccin a la auditora informtica


El auditor es responsable de revisar e informar a la Direccin de la Organizacin sobre el
diseo y funcionamiento de los controles implantados y sobre la fiabilidad de la informacin
suministrada.
Se pueden establecer tres grupos de funciones a realizar por un auditor informtico:
Participar en las revisiones durante y despus del diseo, realizacin, implantacin y
explotacin de las aplicaciones informticas, as como en las fases anlogas de
realizacin de cambios importantes.
Revisar y juzgar los controles implantados en los sistemas informticos para verificar
su adecuacin a las rdenes e instrucciones de la Direccin, requisitos legales,
proteccin de confidencialidad y cobertura ante errores y fraudes.
Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e
informacin.
Auditora informtica:

Es un examen metdico del servicio informtico, o de un sistema informtico en particular,


realizado de- una forma puntual y objetiva, a instancias de 1a direccin y con la intencin de
ayudar a mejorar conceptos como la seguridad, eficiencia y rentabilidad del servicio
informtico.
En esta definicin hay cuatro palabras que destacan: "examen", "metdico", "puntual" y
"objetivo":
La auditora informtica es un examen, pues se verifica o comprueba el sistema
informtico actualmente en uso.
Este examen es metdico, ya que sigue un plan de trabajo, perfectamente diseado,
que permite llegar a conclusiones suficientemente fundamentadas. Este examen es
puntual, ya que se realiza en un momento determinado y bajo peticin de la direccin.
Este examen es objetivo, ya que se realiza por un equipo externo al servicio de
informtica para buscar la objetividad requerida.
El servicio de auditora cubre una serie de actividades (controles, verificaciones, pruebas,
etc.) para concluir elaborando un conjunto de recomendaciones y un plan de accin.
La elaboracin de este plan de accin es una de las caractersticas que verdaderamente
diferencia la auditora informtica del resto de tipos de auditoras.
Objetivos de la auditora informtica.
La definicin de los objetivos de la auditora informtica es un tema difcil y complejo.
No existe un total acuerdo en la definicin de tales objetivos y en consecuencia, en el
establecimiento de las funciones que debe desarrollar un auditor informtico.
Para precisar esta situacin sera necesario:
Definir el campo de actuacin del auditor informtico.
Definir los objetivos de la auditora informtica.
Para el campo de actuacin del auditor, seria preciso reflexionar sobre los siguientes
aspectos:
Organizacin en la que se desenvolver el auditor.
Estructura.
Tipo de actividad de la empresa.
M.C. Gabriel Huesca Aguilar

Pgina 17

I: Introduccin a la auditora informtica

Departamento de informtica objeto de la auditora.


Grado de sofisticacin.
Tamao.
Recursos del departamento
Relaciones con la auditora financiera.
las propias limitaciones tcnicas del auditor.

De un modo general los objetivos de la auditora informtica podran ser:


Elaborar un informe sobre los aspectos que afecten al alcance de una auditora y
sealar riesgos de errores o fraudes de un sistema informtico.
Evaluar la fiabilidad de los sistemas informticos, en cuanto a la exactitud de los datos
y a las informaciones tratadas.
Verificar el cumplimiento de la normativa general de la empresa.
Comprobar la eficacia de los sistemas implantados.
Comprobar si se ha estudiado el coste / beneficio.
Garantizar la seguridad fsica y lgica.
Evaluar la dependencia de una organizacin respecto a sus sistemas informticos,
revisando las medidas tomadas en el caso de que se produzca un fallo y que permitan
asegurar la continuidad de las actividades normales.
Emisin de informes con la evaluacin independiente de los sistemas informticos.
sintetizando riesgos, deficiencias, sugerencias y recomendaciones.
Anlisis de la calidad y eficacia del servicio de atencin a los usuarios. Participacin y
seguimiento de proyectos de investigacin.

Te quedaron dudas?, revisa estas fuentes de informacin:

http://www.monografias.com/trabajos33/auditor/auditor.shtml
http://www.monografias.com/trabajos17/auditoria/auditoria.shtml
http://www.definicion.org/auditoria
www.soeduc.cl/apuntes/concepto%20de%20auditoria.doc

M.C. Gabriel Huesca Aguilar

Pgina 18

I: Introduccin a la auditora informtica


EC03: Auditora Informtica

Fecha: ___/____/201___

Nombre: _____________________________________________ Grupo: __________


Instrucciones: Despus de haber ledo con atencin los conceptos de auditora informtica elabora
un resumen que contenga las caractersticas de la auditoria informtica, y una reflexin acerca de la
importancia de la misma en las organizaciones.

M.C. Gabriel Huesca Aguilar

Pgina 19

I: Introduccin a la auditora informtica


EC04: Normas y procedimiento de auditora

Fecha: ___/____/201___

Nombre: _____________________________________________ Grupo: __________


Instrucciones: Despus de leer y analizar la informacin contenida en el anexo 01, contesta
las siguientes preguntas:
1.
2.
3.
4.
5.
6.
7.
8.
9.

Menciona el origen de las normas y procedimientos de auditora.


Menciona los objetivos de las normas y procedimientos de auditora.
Qu requisitos de calidad deben reunir los miembros de la auditoria?
Qu son las normas de auditora?, menciona su clasificacin
Qu son los procedimientos de auditora y para qu sirven?
Qu es el monitoreo? Y describe los 4 tipos brevemente.
Qu es el ISO y para qu sirve?
Qu es y para qu sirve el ISO 27000?
Elige uno de los siguientes estndares internacionales ISO 27001, ISO 27002, ISO
27006 e ISO 27799 y desarrolla:
A. Origen y actualizaciones
B. Caractersticas de la norma
C. Campo de aplicacin
D. Referencias
10. Explica con tus propias palabras los beneficios de utilizar normas internacionales.
11. Explica brevemente el proceso de adaptacin.
12. Escribe una reflexin acerca del uso de las normas y las ventajas de utilizarlas.
Evala: M.C. Gabriel Huesca Aguilar

M.C. Gabriel Huesca Aguilar

Pgina 20

I: Introduccin a la auditora informtica

Control interno2
Bsicamente todos los cambios que se realizan en una organizacin someten a una gran tensin a
los controles internos existentes.
Cuando un auditor profesional se somete a auditar una empresa, lo primero que se le viene a la
cabeza es mejorar todos los procesos que se llevan en la misma para buscar la eficiencia total. Este
trabajo no se hace de la noche a la maana; para ello se empieza ya bien sea por reas o
departamentos o mejor dicho se empieza a trabajar internamente. La mayora de las organizaciones
han acometido varias iniciativas en tal sentido tales como:
La reestructuracin de los procesos empresariales.
La gestin de la calidad total.
El redimensionamiento por reduccin y/o por aumento de tamao hasta el nivel correcto.
La contratacin externa.
La descentralizacin.
CONTROL INTERNO INFORMATICO
El control interno informtico controla diariamente que todas las actividades de sistemas de
informacin sean realizadas cumpliendo los procedimientos, estndares y normas fijados por la
direccin de la organizacin y/o la direccin informtica, as como los requerimientos legales.
La funcin del control interno informtico es asegurarse de que las medidas que se obtienen de los
mecanismos implantados por cada responsable sean correctas y vlidas.
Control interno informtico suele ser un rgano staff de la direccin del departamento de informtica y
est dotado de las personas y medios materiales proporcionados a los cometidos que se le
encomienden.
Como principales objetivos podemos indicar los siguientes:
Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas fijados,
evaluar su bondad y asegurarse del cumplimiento de las normas legales.
Asesorar sobre el conocimiento de las normas.
Colaborar y apoyar el trabajo de Auditoria informtica, as como de las auditoras externas al grupo.
Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los graso adecuados
del servicio informtico, lo cual no debe considerarse como que la implantacin de los mecanismos
de medida y responsabilidad del logro de esos niveles se ubique exclusivamente en la funcin de
control interno, si no que cada responsable de objetivos y recursos es responsable de esos niveles,
as como de la implantacin de los medios de medida adecuados.
La auditoria informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar si un
sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo los
eficazmente los fines de la organizacin y utiliza eficiente mente los recursos.
CONTROL
INFORMATICO

INTERNO AUDITOR INFORMATICO

SIMILITUDES

PERSONAL INTERNO
Conocimientos especializados en tecnologas de informacin
verificacin del cumplimiento de controles internos, normativa
y procedimientos establecidos por la direccin informtica y la
direccin general para los sistemas de informacin.

DIFERENCIAS

Anlisis de los controles en el Anlisis de un momento


da a da
informtico determinado

http://aabbccddee.galeon.com/winpy.htm

M.C. Gabriel Huesca Aguilar

Pgina 21

I: Introduccin a la auditora informtica


Informa a la direccin del
departamento de informtica
slo personal interno el enlace
de sus funciones es nicamente
sobre el departamento de
informtica

Informa a la direccin
general de la organizacin
Personal
interno
y/o
externo tiene cobertura
sobre
todos
los
componentes
de
los
sistemas de informacin de
la organizacin

DEFINICION Y TIPO DE CONTROLES INTERNOS


Se puede definir el control interno como "cualquier actividad o accin realizada manual y/o
automticamente para prevenir, corregir errores o irregularidades que puedan afectar al
funcionamiento de un sistema para lograr o conseguir sus objetivos.
Los controles internos se clasifican en los siguientes:
Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que impida los
accesos no autorizados al sistema.
Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el evento.
Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para
detectar errores u omisiones.etc.
Controles correctivos: Facilitan la suelta a la normalidad cuando se han producido incidencias. Por
ejemplo, la recuperacin de un fichero daado a partir de las copias de seguridad.
IMPLANTACION DE UN SISTEMA DE CONTROLES INTERNOS INFORMATICOS
Para llegar a conocer la configuracin del sistema es necesario documentar los detalles de la red, as
como los distintos niveles de control y elementos relacionados:
Entorno de red:esquema de la red, descripcin de la configuracin hardware de comunicaciones,
descripcin del software que se utiliza como acceso a las telecomunicaciones, control de red,
situacin general de los ordenadores de entornos de base que soportan aplicaciones crticas y
consideraciones relativas a la seguridad de la red.
Configuracin del ordenador base: Configuracin del soporte fsico, en torno del sistema operativo,
software con particiones, entornos( pruebas y real ), bibliotecas de programas y conjunto de datos.
Entorno de aplicaciones: Procesos de transacciones, sistemas de gestin de base de datos y
entornos de procesos distribuidos.
Productos y herramientas: Software para desarrollo de programas, software de gestin de
bibliotecas y para operaciones automticas.
Seguridad del ordenador base: Identificar y verificar usuarios, control de acceso, registro e
informacin, integridad del sistema, controles de supervisin, etc.
Para la implantacin de un sistema de controles internos informticos habr que definir:
Gestin de sistema de informacin: polticas, pautas y normas tcnicas que sirvan de base para el
diseo y la implantacin de los sistemas de informacin y de los controles correspondientes.
Administracin de sistemas: Controles sobre la actividad de los centros de datos y otras funciones
de apoyo al sistema, incluyendo la administracin de las redes.
Seguridad: incluye las tres clases de controles fundamentales implantados en el software del
sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.
Gestin del cambio: separacin de las pruebas y la produccin a nivel del software y controles de
procedimientos para la migracin de programas software aprobados y probados.

M.C. Gabriel Huesca Aguilar

Pgina 22

I: Introduccin a la auditora informtica


EC05: Control interno

Fecha: ___/____/201___

Nombre: _____________________________________________ Grupo: __________


Instrucciones: Escucha con atencin las indicaciones de tu maestro, realiza las intervenciones que
te ayuden a entender sus instrucciones para que en equipo de 3 a 5 personas, elabores una ficha que
contenga la informacin del equipo de trabajo para exponer acerca de control interno, de acuerdo al
orden establecido por el maestro.
1. Completa la siguiente nota en la que contenga a los integrantes del equipo y las actividades
que cada uno deber realizar en la muestra.
Equipo: _________
Integrantes
Jefe:
1.2.3.4.Actividades:

Nombre del equipo (opcional)

M.C. Gabriel Huesca Aguilar

Pgina 23

I: Introduccin a la auditora informtica

Tipos de control interno


La funcin de auditora informtica se aplica en diferentes entornos o reas, cada una de las cuales
tiene sus propios objetivos y estndares de aplicacin, estas reas son:

Recursos informticos
Funcin informtica
Seguridad Informtica
Desarrollo de Aplicaciones
Funcin operacional
Redes y comunicacin
Bases de Datos

Por consiguiente tenemos lo siguientes tipos de controles internos


Control interno de la funcin informtica:
Control interno del desarrollo de sistemas:
Control interno de la operacin
Control interno de la seguridad informtica
Control interno de los recursos informticos
Control interno de las redes y comunicacin.

M.C. Gabriel Huesca Aguilar

Pgina 24

I: Introduccin a la auditora informtica

Informacin para otorgar calificacin del


control interno

Datos de Identificacin:
Alumno
Grupo
Ev02: Control interno
Evidencia
Auditoria Informtica I
Asignatura
I: Introduccin a la auditoria informtica
Bloque
Evala
M.C. Gabriel Huesca Aguilar

Criterios

Presentacin

Contenido
Tiempo de entrega

Escala de 0 a 10
Presentacin en Microsoft Power point 2007 en adelante
Presenta mrgenes adecuados, pie de pgina, orientacin de la
hoja, formato a fuentes, imgenes, grficos, ortografa, formatos
para el control.
La explicacin es clara, sencilla y responde a las preguntas de sus
compaeros.
La informacin tiene estructura adecuada.
Explica claramente el control investigado
Utiliza la creatividad
Los compaeros de grupo opinan que es buena.
El da que se pide

Evaluacin: ________
Observaciones y comentarios:

M.C. Gabriel Huesca Aguilar

Pgina 25

I: Introduccin a la auditora informtica

El auditor3
Introduccin
El auditor es aquella persona que lleva a cabo una auditoria capacitado con conocimientos
necesarios para evaluar la eficacia de una empresa a la vez de poseer
Una tica profesional y una responsabilidad hacia los clientes y colegas con el fin de prestarle un
mejor servicio en el campo en que se desempea e integridad de la informacin de los mtodos
empleados para identificar, medir, clasificar y reportar dicha informacin.
El auditor debe revisar los sistemas establecidos para asegurarse del cumplimiento de las polticas,
planes y procedimientos, leyes y reglamentos que pueden tener de impacto significativo en las
operaciones e informes y deben determinar si la organizacin cumple con ellos.
As mismos son responsables de determinar si los sistemas son adecuados y efectivos y si las
actividades auditadas estn cumpliendo con los requerimientos apropiados. Tambin deben revisar
las operaciones o programas para cerciorarse si los resultados son consistentes con los objetivos y
metas establecidas y si las operaciones o programas se llevan a cabo como se planearon.
El Auditor
Es aquella persona que lleva a cabo una auditoria, capacitado con conocimiento necesario para
evaluar la eficacia de una empresa.
El auditor debe reunir, para el buen desempeo de su profesin caractersticas como: slida cultura
general, conocimiento tcnico, actualizacin permanente, capacidad para trabajar en equipo
multidisciplinario, creatividad, independencia, mentalidad y visin integradora, objetividad,
responsabilidad, entre otras. Adems de esto, este profesional debe tener una formacin integral y
progresiva.
tica Profesional
La tica profesional del auditor, se refiere a la responsabilidad del mismo para con el pblico, hacia
los clientes y colegas y los niveles de conducta mximos y mnimos que debe poseer.
A tal fin, existen cinco (5) conceptos generales, llamados tambin Principios de tica las cuales
son:
Independencia, integridad y objetividad.
Normas generales y tcnicas.
Responsabilidades con los clientes.
Responsabilidades con los colegas.
Independencia, integridad y objetividad:
El auditor debe conservar la integridad y la objetividad y, cuando ejerce la contadura pblica, ser
independiente de aquellos a quienes sirve.
Los conceptos de la tica profesional, seccin ET 52-02 define la independencia como: La capacidad
para actuar con integridad y objetividad. Objetividad es la posibilidad de mantener una actitud en
todas las cuestiones sometidas a la revisin del auditor.
El auditor debe expresar su opinin imparcialmente, en atencin a hechos reales comprobables,
segn su propio criterio y con perfecta autonoma y, para tal fin, estar desligado a todo vnculo con los
dueos, administradores e intereses de la empresa u organizacin que audite. Su independencia
mental y su imparcialidad de criterio y de opinin deben serlo, no solamente de hecho, sino en cuanto
a las apariencias tambin, por lo cual el auditor debe evitar cualquier entredicho que lo pueda vincular
a situaciones que permitan dudar de tales cualidades.

http://www.monografias.com/trabajos33/auditor/auditor.shtml

M.C. Gabriel Huesca Aguilar

Pgina 26

I: Introduccin a la auditora informtica


Normas Generales y Tcnicas:
El auditor debe observar las normas generales y tcnicas de la profesin y luchar constantemente por
mejorar su competencia y la calidad de sus servicios.
Las normas generales y tcnicas son reglas de conducta que exigen la observancia de las normas
relacionadas con la realizacin del trabajo. As, las primeras indican que un miembro a quien
mediante otro contador solicite consejo profesional sobre una cuestin tcnica contable o de
auditora, debe consultar con el otro contador antes de proporcionar ese consejo a fin de asegurarse
de que el miembro conoce todos los datos y hechos disponibles.
Responsabilidades con los clientes:
El contador pblico debe ser imparcial y franco con sus clientes y servirles lo mejor que pueda, con
inters profesional por los intereses de ellos, consecuente con sus responsabilidades para con el
pblico y todo esto lo pondr de manifiesto a travs de independencia, integridad y objetividad.
Una responsabilidad fundamental del contador pblico es la que se refiere a la confidencialidad y al
conflicto de intereses. La regla 301 (seccin ET 301.01) dice que un miembro ...no revelar
informacin confidencial alguna obtenida en el curso de un trabajo profesional, a menos que el cliente
d su consentimiento.
Necesidad de confidencialidad:
Tanto el sentido comn como el concepto de independencia requieren que sea el auditor, no el
cliente, quien decida qu informacin necesita el auditor para practicar una auditoria efectiva. En esa
decisin no debe influir la creencia, de parte del cliente, de que cierta informacin es confidencial.
Una auditoria eficiente y efectiva requiere que el cliente ponga en el auditor la confianza necesaria
para ser sumamente franco al proporcionar informacin.
Confidencialidad y privilegio:
Con las excepciones indicadas, las comunicaciones entre el cliente y el auditor son confidenciales; es
decir, el auditor no debe revelar la informacin contenida en la comunicacin sin el permiso del
cliente. Normalmente, sin embargo, esa informacin no es privilegiada. La informacin es
privilegiada si el cliente puede impedir que un tribunal o dependencia del gobierno tenga acceso a ella
mediante un citatorio u orden de comparecencia.
Informacin Confidencial:
Los auditores y su personal tienen iguales responsabilidades que la administracin en cuanto al
manejo de la informacin confidencial: no utilizarla para provecho personal, ni revelarla a quienes
pudieran hacerlo. Esas responsabilidades estn claramente comprendidas en las estipulaciones
generales del cdigo de tica profesional.
Conflicto de intereses:
El temor de algunos clientes de que sus secretos les sean comunicados a los competidores es tan
grande que se niegan a contratar a auditores entre cuyos clientes figure un competidor. Otros
quedan satisfechos con la seguridad de que el personal encargado de su trabajo no tenga contacto
con el personal del competidor. El precio de obtener tan alto grado de confidencialidad es la prdida
de los beneficios de una experiencia en el ramo que pueden aportar los auditores familiarizados con
ms de una empresa dentro del mismo giro. La experiencia indica que el riesgo de que se filtre
informacin que tenga valor competitivo es sumamente bajo.
Responsabilidades con los colegas:
Aunque no hay actualmente reglas de conducta especficas que gobiernan la responsabilidad de un
contador pblico con sus colegas, los conceptos de tica profesional establecen el principio
fundamental de cooperacin y buenas relaciones entre los miembros de la profesin. La seccin ET
55.01 expresa que un contador debe tratar con sus colegas en forma de que no disminuya su
M.C. Gabriel Huesca Aguilar

Pgina 27

I: Introduccin a la auditora informtica


reputacin y bienestar. Adems, al ofrecer sus servicios, no tratar de desplazar a otro contador en
forma que lo desacredite. De manera que, si bien la competencia entre auditores es fuerte, sus
acciones deben estar gobernadas por la cortesa profesional debida a los colegas.
Responsabilidad legal
Son muchas las responsabilidades generales por la profesin derivadas de estipulaciones legales.
Amanera de sntesis se trata de dar una idea de este tema a continuacin:
Responsabilidad ante los clientes:
El auditor tiene una relacin contractual de carcter derivado con su cliente; en esta circunstancia es
claro, de acuerdo con el derecho comn, que el profesional es responsable ante su cliente por
negligencia en grado simple y, en consecuencia, tambin lo ser por negligencia en grado grave o por
fraude. Por muchos aos los auditores han tenido buen cuidado de hacer saber claramente a sus
clientes que una auditoria normal de estados financieros no lleva la intencin de descubrir desfalcos e
irregularidades similares y as, el no hacerlo no puede ser motivo para demandarlo segn la
Responsabilidad por fraudes y actos ilegales.
Responsabilidad ante terceras personas:
El problema de la responsabilidad ante terceras personas, conceptualmente, es equilibrar el derecho
que razonablemente tiene el auditor de protegerse contra reclamaciones de personas desconocidas
(y algunas veces innumerables), de quienes el auditor no tiene razn para sospechar que contarn
con los resultados de su trabajo por un lado, y por el otro, lo que se considera como una importante
poltica del Estado de proteger a todas esas terceras personas que confan en los estados financieros
dictaminados contra los efectos adversos de la prctica profesional.
Recomendaciones
El auditor debe realizar procedimientos diseados a obtener suficiente y apropiada evidencia
de auditora, en que puedan todos los elementos hasta la fecha del informe del auditor que
puedan requerir de ajustes o exposiciones en los estados financieros, hayan sido
identificados. Ciertos eventos y transacciones que ocurren despus de cada fin de ao, deben
ser examinados como parte del trabajo normal de verificacin de auditora.
Adems debe de llevar a cabo una revisin completamente documentada, de eventos
subsecuentes la cual tiene como objetivo de obtener una seguridad razonable, de que todos
los eventos importantes han sido identificados y expuestos o registrados en los estados
financieros.
La revisin debe ser actualizada a una fecha lo mas cercanamente posible a la fecha del
informe de auditora, hablando con la gerencia y realizando pruebas futuras de ser necesario.
Todos los procedimientos de auditora emprendidos y las conclusiones alcanzadas deben
estar completamente documentadas las hojas de trabajo deben incluir notas, detalladas de
reuniones, incluyendo quien estaba presente, los asuntos discutidos y el resto de las
discusiones.
Conclusin
El auditor tiene la responsabilidad de mantener en completa integridad y objetividad la
informacin que se le a dado de manera confidencial para poder llevar a cabo los requerimientos que
se le han asignados y ofrecer una mejor calidad de sus servicios con el fin de que la organizacin
donde est desempeando su labor quede conforme. Y obtener evidencia suficiente, confiable y til
para lograr de manera eficaz los objetivos de la auditoria. Y tener responsabilidades que estn
claramente comprendidas en las estipulaciones generales del cdigo de la tica profesional e inculcar
normas generales y tcnicas de su competencia.

M.C. Gabriel Huesca Aguilar

Pgina 28

I: Introduccin a la auditora informtica


EC06: Los auditores

Fecha: ___/____/201___

Nombre: _____________________________________________ Grupo: _38______


Instrucciones: Despus de haber ledo con atencin la lectura anterior elabora un es esquema
(mapa mental, conceptual, cuadro sinptico o de doble entrada, etc), acerca de la informacin
presentada.

M.C. Gabriel Huesca Aguilar

Pgina 29

I: Introduccin a la auditora informtica

PRINCIPIOS DEONTOLGICOS APLICABLES A LOS AUDITORES


INFORMTICOS
Principio de beneficio del Auditado.
El auditor deber obtener la mxima eficiencia y rentabilidad de los medios informticos de la
empresa auditada, estando obligado a presentar sus recomendaciones acerca del reforzamiento del
sistema informtico y el estudio de las soluciones idneas, siempre y cuando dichas soluciones no se
contrapongan a los diferentes ordenamientos legales establecidos ni transgredan los principios
morales o ticos de las normas deontolgicas.
Para garantizar el beneficio del auditado as como la necesaria independencia del auditor informtico,
el auditor no debe estar ligado a los intereses particulares de ciertas firmas, marcas, productos o
equipos compatibles con los del cliente, sin hacer comparaciones de las caractersticas de los
equipos de su cliente con los de otros fabricantes, cuando dichas comparaciones slo tengan por
objeto provocar que su auditado compre dichos productos para el beneficio del auditor informtico.
El auditor informtico deber abstenerse de hacer recomendaciones de compras onerosas a su
cliente o dainas que originen riesgos innecesarios al auditado.
Si el cliente decidiera escoger a otra firma de auditores informticos, el auditor actual tiene la
obligacin de proporcionar toda la informacin de las auditoras previas sin poner en riesgo o se
vulneren derechos de terceros protegidos con el secreto profesional que el auditor en todo momento
debe guardar.
Principio de Calidad.
El auditor informtico debe prestar sus servicios tomando en consideracin todos los medios a su
alcance con absoluta libertad y con condiciones tcnicas adecuadas para el idneo cumplimiento de
su deber.
Si el auditado no le proporcionara auditor informtico la informacin o medios indispensables mnimos
para llevar a cabo su trabajo, dicho auditor informtico deber negarse a prestar su servicio
profesional, hasta que se le garantice un mnimo de condiciones necesarias tcnicas que no
comprometa la calidad de los resultados del trabajo del auditor informtico.
Si el auditor informtico considera necesaria la intervencin de otros especialistas ms calificados
sobre algn aspecto en particular, podrn solicitar su dictamen para reforzar la calidad y fiabilidad de
su propia auditora.
Principio de capacidad.
El auditor informtico debe estar perfectamente capacitado profesionalmente para llevar a cabo una
auditora encomendada, inclusive, dada su especializacin, a los auditados en algunos casos les
puede ser extremadamente difcil verificar sus recomendaciones y evaluar correctamente la precisin
de las mismas.
El auditor debe estar consciente del alcance de sus conocimientos y de su experiencia profesional y
aptitud para llevar a cabo una auditora informtica, evitando que una sobreestimacin personal de
sus capacidades pudiera provocar el incumplimiento parcial o total de su trabajo, an cuando dicho
incumplimiento no pudiese ser detectado por las personas que lo contrataran dada su ignorancia
tcnica. El auditor informtico siempre deber estar actualizado profesionalmente para evitar que una
obsolescencia en conocimiento de mtodos y tcnicas pudiesen inhabilitarle para el ejercicio de su
profesin como auditor informtico.
Por lo tanto la conclusin es que el auditor informtico siempre debe estar actualizado con los ltimos
conocimientos de su profesin.

M.C. Gabriel Huesca Aguilar

Pgina 30

I: Introduccin a la auditora informtica


Principio de cautela.
El auditor informtico debe evitar que por un exceso de vanidad personal, el auditado se embarque
en proyectos de nuevas tecnologas de la informacin por su supuesta evolucin an no
comprobada, por simples intuiciones personales del auditor informtico.
Por lo tanto el auditor informtico debe actuar con humildad, evitando dar la impresin de que est al
corriente sobre informacin privilegiada sobre nuevas tecnologas y poner en peligro a su cliente.
Principio de comportamiento profesional. El auditor informtico en sus relaciones con el auditado, as
como con terceras personas, deber en todo momento, a actuar conforme a las normas, ya sean,
implcitas o explcitas, de dignidad de la profesin y de correccin en el trato personal.
Por lo anterior deber ser muy cuidadoso al emitir sus opiniones y juicios evitando caer en
exageraciones o provocando preocupacin innecesaria, transmitiendo en todo momento una imagen
de precisin y exactitud en sus comentarios que avalen su comportamiento profesional y le den
mayor seguridad a sus clientes auditados.
Principio de concentracin en el trabajo.
El auditor tiene que evitar que por un exceso de trabajo afecte su concentracin y precisin en cada
una de las tareas encomendadas. No debe asumir una acumulacin excesiva de trabajo que ponga
en riesgo la calidad del mismo.
Principio de confianza.
El auditor debe incrementar la confianza del auditado en base a una actuacin con transparencia en
su actividad profesional, sin alardes tcnicos o cientficos que por su incomprensin para el auditado
puedan restarle credibilidad de los resultados obtenidos. El auditor debe mantener una confianza en
las indicaciones del auditado, a no ser que encuentra evidencia que las contradiga, confirmndolo
personalmente con el auditado.
Principio de criterio propio.
El auditor no debe estar supeditado a criterios de terceros, aunque stos tengan gran prestigio y no
coincidan con la opinin del auditor informtico. El auditor informtico debe basarse en metodologas
sustentables. Si el auditado se niega a seguir sus sugerencias, el auditor informtico debe pensar
seriamente en suspender su servicio profesional.
Principio de discrecin. El auditor informtico bajo ninguna circunstancia podr divulgar datos
aparentemente sin importancia, que haya conocido en el transcurso de la auditora.
Principio de economa.
Es una obligacin del auditor informtico proteger la parte econmica del auditado evitando generarle
gastos innecesarios en el ejercicio de su actividad. Tampoco por el simple hecho de cobrar ms
dinero podr alargar innecesariamente su trabajo de auditora. Tampoco podr incurrir en gastos no
justificados, ni inducir al cliente a erogarlos.
Principio de formacin continuada.
Este principio est ligado al principio de capacidad profesional y estrechamente relacionado con la
continua evolucin de las tecnologas de informacin. En otras palabras este principio exige al auditor
a mantenerse continuamente actualizado
Principio de fortalecimiento y respeto de la profesin.
Este principio exige un gran respeto al ejercicio de la profesin de auditora informtica, con un
comportamiento que conlleve al idneo cumplimiento de su trabajo. De acuerdo con el principio de
defensa de la profesin de los auditores, los mismos debern cuidar del reconocimiento del valor de
su trabajo y de la correcta valoracin de la importancia de los resultados obtenidos en el mismo.
En cuanto a la remuneracin econmica del auditor informtico, sta debe de ir de acuerdo a su
experiencia profesional, evitando cobrar honorarios desproporcionados exageradamente o abusivos.
M.C. Gabriel Huesca Aguilar

Pgina 31

I: Introduccin a la auditora informtica


El auditor no puede competir deslealmente con colegas de profesin abaratando sus servicios de
manera intencional Para poder atrapar a un cliente con sus servicios profesionales.
En ningn momento podr confrontarse con colegas, sino promover el respeto mutuo. Sin embargo s
es obligacin en caso de prcticas desleales de sus colegas denunciados para as poder proteger a
su profesin y evitar caer en un desprestigio por deshonestos profesionistas informticos.
Principio de independencia.
Este principio validado con el principio de criterio propio, que exige una total autonoma en el ejercicio
de su trabajo, sin influencias que pueden demeritarlo. Este principio garantiza al auditado que los
intereses del propio auditado sern asumidos con gran objetividad profesional. Esta independencia
implica que debe rechazar aquellos criterios profesionales con los que no est plenamente de
acuerdo.
Principio de informacin suficiente.
Es obligacin profesional del auditor informtico dar a conocer a su auditado en forma clara, precisa y
pormenorizada todos y cada uno de los trabajos llevados a cabo durante la auditora que puedan ser
de inters para dicho auditado. Esta informacin es aquella que considere el auditor de inters o
seguridad para su cliente. No debe proporcionar autopropaganda o inducir al cliente al que fije su
mirada en datos comerciales no pertinentes o bien justificar la ausencia de determinadas precisiones
que sean importantes aportando otras de menor inters y de ms fcil elaboracin para el auditor.
Con sus conclusiones, el auditor debe poner de manifiesto los errores observados y Las lneas de
accin recomendadas.
Principio de integridad moral.
Este principio est ligado a la educacin moral y a la dignidad del auditor informtico, debiendo
ajustarse a las normas morales de justicia, probidad y evitar voluntaria o involuntariamente caer en
actos de corrupcin personal o de terceras personas. El auditor no de utilizar sus conocimientos
profesionales para utilizarlos en contra de su auditado o de terceras personas relacionadas con su
cliente.
Durante la auditora, el auditor informtico debe emplear la mxima diligencia, dedicacin y precisin,
utilizando para ello todo su saber y entender profesional y moral.
Principio de legalidad.
En todo momento el auditor informtico debe utilizar sus conocimientos para facilitar a sus auditados
para evitar caer en contraposicin con las disposiciones legales vigentes. No podr desactivar
dispositivos de seguridad, ni tampoco podr intentar obtener cdigos, claves, passwords, a sectores
restringidos de informacin elaborados para proteger derechos, obligaciones o intereses de terceros,
como lo son el derecho a la intimidad, secreto profesional, propiedad intelectual, etc.
Tampoco podr intervenir lneas de comunicacin o controlar actividades que puedan generar
vulneracin a los derechos personales o empresariales dignos de proteccin.
Principio de libre competencia.
El auditor informtico debe trabajar en un mercado de libre competencia, evitando llevar a cabo
prcticas desleales para atacar a sus competidores para tener un beneficio propio y en contra de los
intereses de sus auditados.
El auditor informtico no debe aprovecharse indebidamente del trabajo y reputacin de otros
profesionistas en su propio beneficio, ni tampoco debe confundir a los demandantes de dichos
servicios mediante antigedades, insinuaciones, que slo tengan por objeto enmascarar la calidad y
confiabilidad de la oferta.

M.C. Gabriel Huesca Aguilar

Pgina 32

I: Introduccin a la auditora informtica


Principio de no discriminacin.
El auditor informtico, antes, durante y posterior a su auditora, deber evitar a toda costa inducir,
participar o aceptar situaciones discriminatorias de ningn tipo, manteniendo en todo momento una
igualdad en su trato profesional con la totalidad de personas, con las que en virtud de su trabajo
tenga que relacionarse con independencia de categora, estatus empresarial o profesional, etc.
Principio de no injerencia.
El auditor informtico no podr tener injerencia en el trabajo de otros profesionales, debiendo respetar
su trabajo, evitando hacer comentarios que pudieran interpretarse como de desprecio o provocar
desprestigio profesional a otros, a menos de que las actitudes de otros profesionales sean
fraudulentas o vayan en contra de la ley. Tampoco puede aprovechar los datos obtenidos de su
cliente para utilizarlos como una competencia desleal.
Principio de precisin.
Este principio est ntimamente relacionado con el principio de calidad. El auditor informtico no
puede concluir su trabajo hasta que no est plenamente convencido de la viabilidad de sus
propuestas, ampliando sus estudios informticos cuando lo considere necesario, hasta estar
totalmente convencido.
El auditor slo podr indicar como evaluada un rea que a travs de sus colaboradores o por el
mismo haya podido comprobar exhaustivamente, estndole prohibido proporcionar opiniones
parciales o sesgadas o recabadas por terceras personas sin que l tenga constancia de ello.
Principio de publicidad adecuada. Los anuncios o publicidad de los auditores informticos debern
ser sobrias, sin ostentaciones o publicidad barata que vayan contra de la tica profesional, o bien
publicidad falsa o engaosa que tenga por objeto confundir a los lectores y posibles usuarios de sus
servicios profesionales. Debe evitar campaas publicitarias que puedan desvirtuar la realidad de sus
servicios profesionales y oscurezcan sus objetivos o prometan resultados de lo imprevisible.
Principio de responsabilidad.
El auditor informtico deber responsabilizarse de todo su comportamiento profesional en lo que diga,
haga o aconseje, evitando se produzcan daos de cualquier tipo para su cliente.
Por lo anterior se recomienda la contratacin de seguros de responsabilidad civil u otro tipo de
seguros con la suficiente cobertura que protejan tanto al cliente como al propio auditor y as poder
acrecentar la confianza y solvencia de su actuacin profesional.
Principio de secreto profesional.
La confidencia y confianza del cliente hacia el auditor informtico nunca deben ser violadas,
obligando al auditor informtico en todo momento a guardar en secreto los hechos o informacin que
conozca en el ejercicio de su actividad profesional, siendo la nica excepcin a este principio un
imperativo legal o judicial promovido por el Estado.
Es evidente pensar que esta obligacin se extiende a todos sus colaboradores.
Del mismo modo, este principio aplica a la conservacin de la informacin del auditado en un plazo
prudencial, como por ejemplo cinco o 10 aos cuando menos. Esta informacin no incluye por
ejemplo sus honorarios, tiempo empleado en la auditora, pero si se debe mantener en secreto
profesional datos tcnicos a menos que obtenga la autorizacin de su auditado por escrito.
Principio de servicio pblico.
El auditor informtico debe llevar a cabo su trabajo profesional sin perjudicar los intereses de su
cliente, con el objeto de evitarle un dao social como el hecho de que descubra software dainos que
puedan ser propagados a otros sistemas informticos diferentes al del auditado. Es evidente pensar
que el auditor tiene la obligacin de advertir esta irregularidad a su cliente para que se adopten las
medidas necesarias para su prevencin.
M.C. Gabriel Huesca Aguilar

Pgina 33

I: Introduccin a la auditora informtica


El auditor deber tomar en cuenta sus criterios ticos personales y de la localidad en donde est
prestando sus servicios, debiendo advertir de su opinin personal cuando llama contraposicin entre
lo que l sabe que es correcto y lo que la sociedad permite que se haga.
Principio de veracidad.
El auditor siempre debe hablar con la verdad en sus criterios, dictmenes, opiniones y consejos,
nicamente con los lmites impuestos por los deberes de respeto, correccin y secreto profesional.
Este principio exige al auditor informtico informar a su cliente sobre todo el trabajo relevante
realizado, comunicando a travs del dictamen sus conclusiones, evitando dar valoraciones
personales subjetivas, garantizando siempre el cumplimiento de su obligacin de informar
verazmente.

EC07: Cdigo de tica de los auditores

Fecha: ___/____/201___

Nombre: _____________________________________________ Grupo: __________


Instrucciones: Despus de haber ledo con atencin la lectura anterior analiza cada principio,
escoge 5 principios que consideres los ms importantes en el desempeo de un auditor informtico y
elabora una reflexin en donde plasmes los principios que consideraste, porque los consideras
importantes y como es que se aplican en tu entorno profesional y cotidiano.

M.C. Gabriel Huesca Aguilar

Pgina 34

I: Introduccin a la auditora informtica


EC08: Actividad integradora del bloque

Fecha: ___/____/201___

Nombre: _____________________________________________ Grupo: __________


1. Define los siguientes conceptos
a. Auditora
b. Informtica
c. Auditora informtica
d. Auditora Interna
e. Auditora Externa
f. Norma
g. Regla
h. Estndar
i. Procedimiento
2.
3.
4.
5.

Menciona las reas de aplicacin de la auditoria informtica.


Explica al menos 3 reas de aplicacin de la auditoria informtica.
Define que es el ISO
De los siguientes estndares ISO 27000, 27001, 27002, 27006 y 27799, explica:
a. Caractersticas de la norma
b. Campo de aplicacin
6. Menciona los tipos de controles que se utilizan en una auditoria informtica.
7. Explica la funcin de al menos 3 controles de la auditoria informtica.
8. Explica ampliamente, que es y que hace un auditor.
9. Menciona al menos 3 principios que debe tomar cuenta un auditor en informtica.
10. Desarrolla un caso prctico que permita controlar algn rea de auditora informtica.

M.C. Gabriel Huesca Aguilar

Pgina 35

Auditora Informtica por reas

Bloque II: Planeacin de la


Auditora informtica

En el Bloque II se aplican las competencias adquiridas


anteriormente para definir las etapas de la planeacin de una
auditora informtica y su importancia para su posterior
aplicacin con profesionalismo y objetividad.

M.C. Gabriel Huesca Aguilar

Pgina 36

Auditora Informtica por reas

Planeando un evento
Los alumnos de la licenciatura en informtica necesitan demostrar que
saben planear un evento por lo que deben entregar dicha planeacin en la
siguiente clase.

Instrucciones: En equipo de 5 personas analiza la situacin planteada y expresa en forma escrita lo


que deberas conocer para resolver esta situacin, de manera que esta te ayude para elaborar una
planeacin y una reflexin en la cual respondas a las siguientes preguntas:
1. Han participado todos en el trabajo?
2. Qu problemas se han presentado para organizarse?
3. Ha existido moderador y/o secretario en el grupo? Cmo se le escogi?
4. Qu funciones ha desempeado cada uno?
5. Con qu mtodo se procedi en el trabajo?
6. De qu medios se han servido para ser ms rpidos?
7. Qu hizo que el grupo fuera ms lento? Qu dificult el trabajo?
8. Cmo se pudo haber hecho para aumentar la rapidez?
9. Qu importancia tiene la planeacin de las actividades?
10. Qu recomendaciones haran a otros equipos para llevar a cabo dicha planeacin?

M.C. Gabriel Huesca Aguilar

Pgina 37

Auditora Informtica por reas

Fases de la auditoria Informtica4


Fase I: Conocimientos del Sistema
Fase II: Anlisis de transacciones y recursos
Fase III: Anlisis de riesgos y amenazas
Fase IV: Anlisis de controles
Fase V: Evaluacin de Controles
Fase VI: El Informe de auditoria
Fase VII: Seguimiento de las Recomendaciones

Fase I: Conocimientos del Sistema


1.1. Aspectos Legales y Polticas Internas.
Sobre estos elementos est construido el sistema de control y por lo tanto constituyen el marco de
referencia para su evaluacin.
1.2. Caractersticas del Sistema Operativo.
Organigrama del rea que participa en el sistema
Manual de funciones de las personas que participan en los procesos del sistema
Informes de auditora realizadas anteriormente.
1.3. Caractersticas de la aplicacin de computadora
Manual tcnico de la aplicacin del sistema
Funcionarios (usuarios) autorizados para administrar la aplicacin
Equipos utilizados en la aplicacin de computadora
Seguridad de la aplicacin (claves de acceso)
Procedimientos para generacin y almacenamiento de los archivos de la aplicacin.

Fase II: Anlisis de transacciones y recursos


2.1. Definicin de las transacciones.
Dependiendo del tamao del sistema, las transacciones se dividen en procesos y estos en
subprocesos. La importancia de las transacciones deber ser asignada con los administradores.
2.2. Anlisis de las transacciones
Establecer el flujo de los documentos
En esta etapa se hace uso de los flujogramas ya que facilita la visualizacin del funcionamiento y
recorrido de los procesos.
2.3. Anlisis de los recursos
Identificar y codificar los recursos que participan en el sistema
2.4. Relacin entre transacciones y recursos

Fase III: Anlisis de riesgos y amenazas


3.1. Identificacin de riesgos
Daos fsicos o destruccin de los recursos
Prdida por fraude o desfalco
Extravo de documentos fuente, archivos o informes
Robo de dispositivos o medios de almacenamiento
Interrupcin de las operaciones del negocio
Prdida de integridad de los datos
Ineficiencia de operaciones
Errores
3.2. Identificacin de las amenazas
4

http://www.mitecnologico.com/Main/FasesAuditoriaInformatica (24/Enero/2012)

M.C. Gabriel Huesca Aguilar

Pgina 38

Auditora Informtica por reas


Amenazas sobre los equipos:
Amenazas sobre documentos fuente
Amenazas sobre programas de aplicaciones
3.3. Relacin entre recursos/amenazas/riesgos
La relacin entre estos elementos deber establecerse a partir de la observacin de los recursos en
su ambiente real de funcionamiento.

Fase IV: Anlisis de controles


4.1. Codificacin de controles
Los controles se aplican a los diferentes grupos utilizadores de recursos, luego la identificacin de los
controles debe contener una codificacin la cual identifique el grupo al cual pertenece el recurso
protegido.
4.2. Relacin entre recursos/amenazas/riesgos
La relacin con los controles debe establecerse para cada tema (Rec/Amz/Rie) identificado. Para
cada tema debe establecerse uno o ms controles.
4.3. Anlisis de cobertura de los controles requeridos
Este anlisis tiene como propsito determinar si los controles que el auditor identific como
necesarios proveen una proteccin adecuada de los recursos.

Fase V: Evaluacin de Controles


5.1. Objetivos de la evaluacin
Verificar la existencia de los controles requeridos
Determinar la operatividad y suficiencia de los controles existentes
5.2. Plan de pruebas de los controles
Incluye la seleccin del tipo de prueba a realizar.
Debe solicitarse al rea respectiva, todos los elementos necesarios de prueba.
5.3. Pruebas de controles
5.4. Anlisis de resultados de las pruebas

Fase VI: Informe de Auditoria


6.1. Informe detallado de recomendaciones
6.2. Evaluacin de las respuestas
6.3. Informe resumen para la alta gerencia
Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de las
reas.
Introduccin: objetivo y contenido del informe de auditoria
Objetivos de la auditora
Alcance: cobertura de la evaluacin realizada
Opinin: con relacin a la suficiencia del control interno del sistema evaluado
Hallazgos
Recomendaciones

Fase VII: Seguimiento de Recomendaciones


7.1. Informes del seguimiento
7.2. Evaluacin de los controles implantados
Fin de la sesin.
Revisin
Evaluacin
Controles y las Medidas de Seguridad que se Aplican a los Recursos de un Sistema de Informacin
Auditora Informtica
Objetivos
M.C. Gabriel Huesca Aguilar

Pgina 39

Auditora Informtica por reas

Presentar recomendaciones en funcin de las fallas detectadas.


Determinar si la informacin que brindan los Sistemas de Informticos es til.
Inspeccionar el Desarrollo de los Nuevos Sistemas.
Verificar que se cumplan las normas y polticas de los procedimientos.

Tipos
Interna: Aplicada con el personal que labora en la empresa.
Externa: Se contrata a una firma especializada para realizar la misma.
Auditora Informtica Externa
Las empresas recurren a la auditora externa cuando existen:
Sntomas de Descoordinacin
Sntomas de Mala Imagen
Informtica II. Decanato de Administracin y Contadura Sntomas de Debilidades Econmicas
Sntomas de Inseguridad
Aspectos Fundamentales en la Auditora de los Sistemas de Informacin Informtica II. Decanato de
Administracin y Contadura
Auditora Informtica de Desarrollo de Aplicaciones Cada una de las fases del desarrollo de las
nuevas aplicaciones informticas deben ser sometidas a un minucioso control, a fin de evitar un
aumento significativo de los costos, as como tambin insatisfaccin de los usuarios. Informtica II.
Decanato de Administracin y Contadura
Auditora de los Datos de Entrada Se analizar la captura de la informacin en soporte compatible
con los Sistemas, el cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la
correcta transmisin de datos entre entornos diferentes. Se verificar que los controles de integridad y
calidad de datos se realizan de acuerdo a las Normas establecidas.
Auditora Informtica de Sistemas Se audita: Informtica II. Decanato de Administracin y Contadura
Sistema Operativo: Verificar si la versin instalada permite el total funcionamiento del software que
sobre ella se instala, si no es as determinar la causa Software de Aplicacin: Determinar el uso de
las aplicaciones instaladas. Comunicaciones: Verificar que el uso y el rendimiento de la red sea el
ms adecuado.
Tcnicas de Auditora Existen varias tcnicas de Auditora Informtica de Sistemas, entre las cuales
se mencionan: Lotes de Prueba: Transacciones simuladas que se introducen al Sistema a fin de
verificar el funcionamiento del mismo. Entre los datos que se deben incluir en una prueba se tienen:
Datos de Excepcin. Datos Ilgicos. Transacciones Errneas
Auditora para el Computador: Permite determinar si el uso de los equipos de computacin es el
idneo. Mediante esta tcnica, se detectan equipos sobre y subutilizados.
Prueba de Minicompaa: Revisiones peridicas que se realizan a los Sistemas a fin de determinar
nuevas necesidades.
Peligros Informticos Incendios: Los recursos informticos son muy sensibles a los incendios, como
por ejemplo reportes impresos, cintas, discos.
Inundaciones: Se recomienda que el Departamento de computacin se encuentre en un nivel alto.
La Planta Baja y el Stano son lugares propensos a las inundaciones.
Robos: Fuga de la informacin confidencial de la empresa.
Fraudes: Modificaciones de los datos dependiendo de intereses particulares.
Medidas de Contingencia Mecanismos utilizados para contrarrestar la prdida o daos de la
informacin, bien sea intencionales o accidentales. La ms utilizada es la Copia de Seguridad
(Backup), en la cual se respalda la informa- cin generada en la empresa . Informtica II. Decanato
de Administracin y Contadura

M.C. Gabriel Huesca Aguilar

Pgina 40

Auditora Informtica por reas


Copias de Seguridad Las copias pueden ser totales o parciales y la fre- cuencia vara dependiendo de
la importancia de la informacin que se genere. Backup Se recomienda tener como mnimo dos (2)
respaldos de la informacin, uno dentro de la empresa y otro fuera de sta (preferiblemente en un
Banco en Caja Fuerte). Informtica II. Decanato de Administracin y Contadura
Medidas de Proteccin Medidas utilizadas para garantizar la Seguridad Fsica de los Datos. Aquellos
equipos en donde se genera informacin crtica, deben tener un UPS. De igual forma, el suministro de
corriente elctrica para el rea informtica, debe ser independiente del resto de las reas. Informtica
Medidas de Control y Seguridad Mecanismos utilizados para garantizar la Seguridad Lgica de los
Datos. En los Sistemas Multiusuarios se deben restringir el acceso a la Informacin, mediante un
nombre de usuario (login) y una contrasea (password). Del mismo modo, se debe restringir el
acceso a los Sistemas en horas no laborables salvo casos excepcionales.
La Auditora Informtica es una parte integrante de la auditora. Se preguntar por que se estudia por
separado, pues simplemente para abordar problemas ms especficos y para aprovechar los recursos
del personal. Sin embargo, es bueno acotar que debe realizarse dentro de un marco de auditora
general.
Para clarificar an ms la lmina, diremos entonces que la Auditora Informtica es el proceso de
revisin y evaluacin de los controles y medidas de seguridad que se aplican a los recursos:
a) Tecnolgicos.
b) Personal.
c) Software
d) Procedimientos. que se utilizan en los Sistemas de Informacin manejados en la empresa.
En este sentido, se deben revisar y evaluar si se han desarrollado e implementados controles
apropiados y adecuados en los sistemas de informacin.
La auditora Informtica va mucho ms all de la simple deteccin de errores. Si bien es cierto que la
Auditora es un proceso que permite detectar fallas, es menester de la auditora, el presentar algunas
sugerencias que puedan ser aplicadas para evitar de esta manera la repeticin de las mismas en un
futuro.
Bsicamente, el objetivo principal de la auditora informtica es garantizar la operatividad de los
procesos informticos. En otras palabras, ofrecer la continuidad los procesos de generacin,
distribucin, uso y respaldo de informacin dentro de las organizaciones.
Ya puede ir formndose una idea entonces de la importancia que tiene la Auditora Informtica (si no
es as, le parece poco el hecho de que permita mantener operativo todos los procesos relacionados
con el manejo de la informacin?). Importancia de la Auditora Informtica
Tal como se mencion anteriormente su importancia radica en el hecho de garantizar la operatividad
de los procesos informticos. Del mismo modo, la Auditora es compatible con la calidad, ya que
mediante la auditora, se buscan implantar mejoras en busca del perfeccionamiento de los procesos,
incorporando nuevas tcnicas y tecnologas.
Tal como lo pudo apreciar, las definiciones anteriores son muy sencillas y no dejan lugar a ninguna
duda. Sin embargo, consideramos prudente ampliar nuestra exposicin y ofrecerle algo ms que una
mera definicin. Auditora Interna
La auditora Interna ofrece algunas ventajas en relacin a la externa, en primer lugar es menos
costosa, puesto que se realiza con el mismo personal, y por otro lado, no se corre el riesgo de que
personas extraas conozcan la informacin generada dentro de la firma. Sin embargo, tiene sus
limitaciones, entre las cuales se mencionan: la poca especializacin que tienen los integrantes en la
materia conlleva al hecho de que se escapen algunos detalles dentro del proceso (omisin de
deteccin de errores) y por otro lado se corre el riesgo de que se encubran deficiencias. Es factible
que dentro del proceso de auditora, las personas no informen de alguna anomala a fin de no
perjudicar al amigo. Auditora Externa

M.C. Gabriel Huesca Aguilar

Pgina 41

Auditora Informtica por reas


Con este tipo de auditora existe menor margen de error, puesto que las personas que se encargan
de realizarla son especialistas en el rea. Entonces, deben ser pocos los errores que se detecten y
las sugerencias aportadas son muy valiosas. Del mismo modo existe poco margen de encubrimiento,
ya que son personas ajenas a la firma.
Si bien es cierto que la Auditora Interna es menos costosa, es una buena prctica para las empresas,
realizar Auditoras Externas peridicamente. Sin embargo, existen algunas razones por las cuales
una firma debera contratar los servicios de gente especializada. Tales razones son las mostradas en
la lmina, las cuales explicaremos con ms detalle a continuacin: Sntomas de Descoordinacin: No
coincide el objetivo informtico con el de la empresa. En este sentido, es recomendable revisar la
gestin de la informtica a fin de que la misma est en funcin de apoyar al logro de los objetivos.
Sntomas de Debilidad Econmica: Cuando existe un crecimiento indiscriminado de los costos
informticos. De igual forma, se contrata un servicio externo para estudiar la factibilidad de invertir
una fuerte suma de dinero en el rea. Sntomas de Mala Imagen: Existe una percepcin poco idnea
de los usuarios finales de computadoras en relacin a la Gestin actual del personal de Informtica.
Existen quejas de que los programas no funcionan, problemas con la red informtica,
desconfiguracin de equipos, entre otros. Sntomas de Inseguridad: Cuando no existe seguridad ni
fsica ni lgica de la informacin manejada en la empresa.
Hasta estos momentos se ha mencionado un poco lo que es la Auditora Informtica, cuales son sus
objetivos y su importancia dentro de las organizaciones. Consideramos que ya tiene la base suficiente
para adentrarnos entonces en el estudio de la Auditoria Informtica.
Existen dos enfoques bsicos para la Auditoria de Sistemas de Informacin, conocidos como:
Auditoria Alrededor del Computador y Auditoria a travs del Computador.
Auditoria Alrededor del Computador: La cual comprende la verificacin tanto de los datos de entrada
como de salida, sin evaluar el software que proces los datos. Aunque es muy sencillo, no hace el
seguimiento de las transacciones ni la exactitud ni integridad del software utilizado. Es por ello, que
se recomienda como un complemento de otros mtodos de auditoria.
Auditoria a Travs del Computador: Comprende la verificacin de la integridad del software utilizado,
as como tambin los datos de entrada y la salida generada tanto por las redes y sistemas
computacionales. Sin embargo, la auditoria a travs del computador requiere de un conocimiento
tanto de las redes como del desarrollo de software.
Una de las actividades que ms dolores de cabeza trae a las organizaciones es el desarrollo de los
nuevos sistemas informticos. Existen muchas razones para tantos inconvenientes, entre las que se
destaca: una pobre determinacin de los requerimientos (tanto los analistas como los usuarios, que
en muchas oportunidades asumen cosas que el otro no ha dicho), carencia de un prototipo adecuado,
una deficiente prueba del sistema y la premura con la que se implanta el mismo.
En este sentido, la auditora debe verificar que se cumplan a cabalidad cada una de las fases del
desarrollo del sistema. Se deben chequear los instrumentos y mtodos empleados para la
determinacin de los requerimientos, las herramientas que se utilizan para la construccin del
sistema, evaluar el prototipo que va a ser mostrado a los usuarios y verificar que se hagan las
pruebas al sistema antes de ser implantado. Recuerde: es preferible esperar un poco ms por un
sistema probado y ajustado a las necesidades que querer implantar en dos das un software que no
ayudar en nada a los procesos empresariales, por el contrario: entorpecer los mismos. (Cuantas
veces no le han dicho en la calle como excusa tenemos problemas con el sistema?).
La materia prima para la generacin de la informacin son los datos de entrada, es por ello que todo
proceso de auditora informtica debe contemplar el estudio de los mismos. Bajo esta premisa, es
importante llevar un control del origen de los datos que se introducen al sistema y en la medida de lo
posible, el responsable de la introduccin de los mismos.
Por ejemplo, para un banco el origen de los datos lo representan las planillas de depsito, retiro, entre
otras. Si se lleva un control de dichos documentos es fcil auditar lo que tiene el sistema contra el
soporte fsico (las planillas). Dicho proceso permite entonces detectar errores de trascripcin de datos
al Sistema.
M.C. Gabriel Huesca Aguilar

Pgina 42

Auditora Informtica por reas


Otro hecho importante de la Auditoria de los datos de entrada, es que puede ser utilizado como un
mecanismo para determinar fraudes informticos. Cmo cree usted que se puede determinar un
retiro no autorizado de una cuenta bancaria?, el cambio de calificaciones de un estudiante?.
Es por ello que todas las organizaciones deben contar con mecanismos apropiados que permitan
auditar los datos de entrada.de los sistemas informticos.
Al igual que ocurre con los datos de entrada, se deben revisar peridicamente las herramientas
informticas que se utilizan dentro de la firma, a fin de verificar que se adecuen a las necesidades del
negocio. Es importante sealar que dicha revisin no debe limitarse nicamente al hardware, por el
contrario, se debe incluir tambin la revisin tanto del software instalado como la red informtica
existente.
Toda empresa debe poseer software actualizado y con licencia de uso; el Sistema Operativo no
escapa de dicha situacin. En este sentido, es conveniente que se cuente con una versin que
permita la evolucin de las aplicaciones, de no ser as determinar las causas de ello. Por ejemplo en
el caso especfico del Sistema Operativo Windows, es inusual que se labore con la versin 3.11 para
grupos de trabajo, en tal caso, como mnimo Windows 98 o Windows NT 4.0.
Del mismo modo se debe auditar la red informtica instalada, entre otras cosas para observar su
rendimiento (velocidad), la seguridad que ofrece (gran parte de los fraudes obedecen a la carencia de
seguridad tanto de los Sistemas como de las Redes Informticas) y verificar que se cumplan con las
polticas y estndares establecidos para la red.
Y la Auditora de las aplicaciones?. Pues la exposicin se detallar en las lminas subsiguientes.
La prueba de un Sistema es una tarea un poco ms compleja de lo que realmente parece ser. La
misma no se limita exclusivamente a introducir algunos datos al Sistema a fin de verificar que arroje el
resultado esperado. Va mucho ms all. En primer lugar, la prueba del Sistema no debe ser
efectuada por los programadores, ya que stos conocen los trucos del sistema, e inconscientemente
introducirn datos que no harn fallar a la aplicacin, razn por la cual se recomienda la designacin
de un equipo responsable para la misma. Dicho equipo debe disear una Batera de Prueba, la cual
consiste en un conjunto de datos a ser introducidos en el sistema para observar su comportamiento.
Por supuesto los resultados de dichos datos se deben conocer con antelacin a fin de que puedan
ser cotejados contra los que arroja el sistema. En toda batera de prueba aparte de las transacciones
comunes, se debe contar con:
Datos de Excepcin: Aquellos que rompen con la regla establecida. Se deben incluir dichos datos a
fin de determinar si el sistema contempla las excepciones.
Datos Ilgicos: Son datos que no tienen ningn sentido. Se incluyen dentro de la prueba a fin de
determinar si el sistema posee los mecanismos de validacin adecuados que impidan el
procesamiento de los mismos.
Datos Errneos: Son aquellos que no estn acordes con la realidad. El sistema no est en capacidad
de determinar si un dato esta correcto o no. Sencillamente, se introducen este tipo de datos a fin de
verificar si el sistema posee los mecanismos que permitan revertir la transaccin.
Auditora para el Computador
Es importante determinar el uso de las computadoras. Esto a fin de verificar que no existan
computadores sobre o subutilizados. Por ejemplo, suponga el caso de un computador con la
configuracin ms actualizada que est siendo empleado nicamente como terminal del sistema de
facturacin de la empresa, por supuesto, es fcil deducir que no se est aprovechando al mximo las
bondades del equipo. Ahora suponga la contrario, es decir, que exista un equipo con mediana
capacidad en donde se manejen todas las aplicaciones Office (Word, Excel y Power Point) y se
ejecuten algunos Sistemas Informticos propios de la empresa. Est subutilizado?.
La aplicacin de dicha tcnica no reviste de mayor complicacin, lo que se hace es anotar la
configuracin del equipo y las actividades que se realizan en l, a fin de determinar si tal
configuracin est acorde con lo que se realiza en l. Con esto se logran varias cosas: primero, se
determinan los equipos candidatos a ser sustituidos o repotenciados y segundo, ofrece un
mecanismo para una futura de reasignacin de equipos de acuerdo a las necesidades existentes.
M.C. Gabriel Huesca Aguilar

Pgina 43

Auditora Informtica por reas


Qu problema coyuntural cree usted que pueda ocurrir al aplicar dicha tcnica?. Piense un poco, de
todos modos si no lo logra determinar, en dos lminas ms encontrars la respuesta.
Usted pensar perfecto, estos son los peligros que existen, por lo que he ledo creo que la Auditoria
pude ayudar a evitar los robos y fraudes informtico, pero un incendio o una inundacin?, no veo
cmo. Si esa es su manera de pensar, pues le diremos que est en lo cierto. Aqu no le vamos a
decir cmo evitar incendios o inundaciones. Sino ms bien de que tome conciencia de las cosas que
puede pasar dentro de una empresa.
Pero sigo sin entender que tiene que ver todo esto, es muy simple: lo que se busca es crear
conciencia, de los peligros que existen, que ninguna organizacin est exenta de ellos y que por lo
tanto es necesario que existan mecanismos que contrarresten los mismos. Esto es precisamente lo
prximo que se va a exponer a continuacin. Respuesta a la Pregunta Anterior: Puede ocasionar
molestias a las personas en la reubicacin de equipos (una persona con un equipo muy potente pero
subutilizado, no estar muy conforme que le reasignen un equipo de menor potencia).
Dentro de las empresas deben existir mecanismos de contingencias que permitan garantizar la
continuidad de los procesos que en ella se realizan. Dentro de la informtica tal aspecto no debe
variar, es decir, deben estar especificados dichos mecanismos (por ejemplo, como realizar un
proceso manualmente en caso de que falle el automatizado). En este mdulo nos compete
exclusivamente la contingencia de la informacin.
Al igual que otras cosas, la informacin puede tener daos, los cuales pueden obedecer a causas
accidentales (tales como errores en la trascripcin de datos, ejecucin de procesos inadecuados) o
intencionales (cuando se busca cometer algn fraude). No importa cual sea la causa, lo importante en
este momento (claro, es importante determinar a que obedeci el problema) es disponer algn
mecanismo que nos permita obtener la informacin sin errores. Las copias de seguridad nos ofrecen
una alternativa para ello, ya que en caso de que se dae la informacin original, se recurre entonces
al respaldo el cual contiene la informacin libre de errores.
Como se mencion anteriormente, las copias de seguridad ofrecen una contingencia en caso de
prdidas de informacin. La frecuencia con la cual deben hacerse dichas copias va a depender de
acuerdo a la volatilidad de la misma. Por ejemplo, usted puede decir que es suficiente realizar las
copias de seguridad diariamente, as en caso de ocurrir algn imprevisto, se perder tan solo un da
de trabajo. Tal concepcin puede funcionar para muchas organizaciones, pero no para todas, para un
banco sera catastrfico perder la informacin de todas las transacciones de un da, caso contrario
ocurre en una organizacin donde la informacin no vare con tanta frecuencia, en la cual no tendra
mucho sentido respaldarla diariamente.
Independientemente de la frecuencia con la cual se haga, es recomendable tener como mnimo dos
(2) copias de seguridad, una permanecer dentro de la empresa y la otra fuera de ella. As en caso
de que se pierda la informacin se pueda acceder a la copia que est dentro de la empresa. Y para
qu la otra copia?. Recuerde los peligros informticos, los incendios, las inundaciones. En caso de
que se incendie el edificio, se perdera el original y una copia, pero se tendr acceso a la que est
fuera de la empresa. A lo mejor usted dir: qu gracia tiene tener otro respaldo si se quem el
edificio de la empresa?. Suponga que dicho edificio sea de la Sucursal de un Banco, lo ms seguro
que al da siguiente, los clientes estarn preguntando qu pasar con sus ahorros. Ahora si le
encuentra sentido?. Nota la importancia de la informacin sobre otros activos?. Un edificio se
recupera, la informacin de toda la empresa no.
Deben existir medidas que impidan la prdida de informacin, ocasionada por averas en los equipos
(Seguridad Fsica). Si bien es cierto que los computadores no estn exentos de sufrir algn
desperfecto (es por ello que existen las copias de seguridad), es recomendable disear normas para
disminuir tales amenazas.
Una de las principales causales de prdida de informacin, son las bajas de energa. Es por ello que
deben estar conectados a un UPS todos los equipos en donde se genere informacin crtica. Un UPS
es un dispositivo (parecido a un regulador de voltaje) que ofrece corriente alterna por un perodo de
tiempo (depende de las especificaciones del equipo, los hay de 5 minutos hasta casi dos horas). De
M.C. Gabriel Huesca Aguilar

Pgina 44

Auditora Informtica por reas


acuerdo a lo anterior, se deduce entonces su importancia: primero, permite completar transacciones
inconclusas en el momento del fallo de energa y segundo permite guardar la informacin y apagar el
equipo con normalidad. De igual forma a fin de disminuir las fallas de energa, debe existir una toma
independiente de corriente para el rea informtica.
Recuerda los peligros que existen?. Las inundaciones?, es por ello que el Departamento de
Computacin debe estar ubicados en las zonas ms altas del edificio, puesto que tanto los stanos
como los primeros pisos son los ms propensos a inundarse.
Uno de los mayores peligros dentro de las empresas son los Fraudes Informticos (muy comunes hoy
en da), es por ello que se disean medidas que permitan garantizar la integridad de la informacin y
que la misma est acorde con la realidad (Seguridad Lgica).
El mayor riesgo existe en los Sistemas Multiusuarios, puesto que pueden se manejados por varias
personas concurrentemente. En dichos sistemas no todas las personas pueden acceder a la misma
informacin (no todos pueden manipular la nmina de la empresa). para ello se restringe el uso de los
Sistemas a travs de nombres de usuarios y contraseas, as cuando una persona desea utilizar el
Sistema debe identificarse (con su nombre de usuario) y podr manipular nicamente lo que tenga
autorizado.
En este sentido, se debe tener un control de los usuarios que entran al sistema (existen muchos
sistemas operativos que lo hacen de manera automtica), es por ello que no se debe divulgar el
nombre de usuario a otras personas. Por ejemplo, suponga que Marta Gonzlez tiene asignado el
nombre de usuario mgonz128a y su amigo Marcelo Alvarez le pide por favor su nombre de usuario,
porque necesita hacer algunas cosas con su mdulo, (Marcelo tiene su usuario asignado,
malv287s), pues resulta que ocurri un problema con dicha informacin a quin reporta el sistema
como responsable?. Sencillo, al usuario que accedi al Sistema, en este caso mgonz128a que
pertenece a Marta Gonzlez. De igual forma, se debe restringir el acceso al Sistema en horas no
laborables, ya que el mayor nmero intento de fraudes ocurre durante dicho perodo (por lo general
en horas de la madrugada). Con estas medidas estoy 100% seguro que no existirn fraudes
informticos?. No, nadie est exento de sufrir un fraude informtico, con decirle que han violado la
seguridad del Pentgono, NASA, Yahoo!, entre otros. En tal caso le disminuye el riesgo, por lo tanto
se recomienda revisar las medidas de seguridad constantemente.

M.C. Gabriel Huesca Aguilar

Pgina 45

Auditora Informtica por reas


EC09: Fases de la auditora informtica

Fecha: ___/____/201___

Nombre: _____________________________________________ Grupo: __________


Instrucciones: Realiza la lectura Fases de la auditora informtica que viene en las pginas
38 a la 45 del documento de apoyo y contesta las siguientes preguntas:
1. Cuantas y cules son las fases de la auditora informtica?
2. De acuerdo a la fase I, explica con tus propias palabras cual es el objetivo general de
esta fase.
3. Para qu sirve el uso de flujogramas?
4. De acuerdo a la fase III escoge 5 puntos que te llamen la atencin y explica que son y
porque te son importantes para ti.
5. De acuerdo a la fase IV, explica con tus propias palabras cual es el objetivo general de
esta fase y explica cmo se divide.
6. En la fase VI, establece que el informe de auditora debe contener 6 puntos, menciona
cuales son estos puntos y explica porque crees que es importante cada uno de ellos.
7. Menciona los peligros informticos.
8. Menciona las medidas de contingencia para evitar la prdida de informacin.
9. Menciona porque es importante llevar un control de los datos que ingresan al sistema.
10. Porque es importante el uso de las computadoras (utiliza un ejemplo)?
11. Cul es el riesgo que existe en sistemas multiusuarios?

M.C. Gabriel Huesca Aguilar

Pgina 46

Auditora Informtica por reas


EC10: Planeacin de la auditora
Nombre: _________________________________________

Fecha: ___/_____/201___
Grupo: _38___

Instrucciones: Completa la siguiente nota:

Equipo: _____________________________________________________
Integrantes:
1.2.3.Empresa donde se realizara la auditoria:

Giro de la empresa (Actividad principal):

Domicilio:

Misin y visin (En caso de tener la informacin del mismo).

M.C. Gabriel Huesca Aguilar

Pgina 47

Auditora Informtica por reas


EC11: Revisin preliminar
Equipo : __________________________________________

Fecha: ___/_____/2012
Grupo: _38___

En esta fase el auditor debe de armarse de un conocimiento amplio del rea que va a
auditar, los objetivos que debe cumplir, tiempos (una empresa no pude dejar sus equipos y
personal que lo opera sin trabajar porque esto le genera prdidas sustanciosas),
herramientas y conocimientos previos, as como de crear su equipo de auditores expertos en
la materia con el fin de evitar tiempos muertos a la hora de iniciar la auditoria.
Instrucciones: A continuacin vamos a elaborar la revisin preliminar contestando las
siguientes preguntas y realizando lo indicado.
1.
2.
3.
4.
5.

Cules son los objetivos de la auditoria a realizar?


Existe algn rea especfica que necesita auditoria?
De cunto tiempo se dispone para realizar la auditoria informtica?
Realiza un anlisis de tareas importantes y esenciales para la auditoria.
Elabora los formatos necesarios para recopilar informacin (utilizando diferentes
tcnicas para llevarlo a cabo).

M.C. Gabriel Huesca Aguilar

Pgina 48

Auditora Informtica por reas


EC12: Revisin detallada
Equipo : __________________________________________

Fecha: ___/_____/2012
Grupo: _38___

Los objetos de la fase detallada son los de obtener la informacin necesaria para que
el auditor tenga un profundo entendimiento de los controles usados dentro del rea de
informtica.
El auditor debe de decidir se debe continuar elaborando pruebas de consentimiento,
con la esperanza de obtener mayor confianza por medio del sistema de control interno, o
proceder directamente a revisin con los usuarios (pruebas compensatorias) o a las pruebas
sustantivas.
Instrucciones: A continuacin vamos a elaborar la revisin detallada realizando las
siguientes actividades.
1.
2.
3.
4.
5.
6.

7.
8.

Realiza el organigrama de la empresa que vas a auditar


Realiza el organigrama del depto. de informtica en la empresa que vas a auditar.
Organiza y reconoce los flujos de Informacin en la empresa auditada.
Especifica las tareas de cada auditor en el rea correspondiente y los tiempos
necesarios para realizarlos.
Realiza un anlisis de tareas importantes y esenciales para la auditoria.
Elabora el acta de inicio de la auditoria de acuerdo a lo establecido en el documento
Gua de auditora (Anexo02) en la siguiente direccin electrnica:
http://www.funcionpublica.gob.mx/pt/obligaciones_transparencia_art_7/sfp/doctos/guia
_auditoria.pdf
Elabora el acta de planeacin de la auditoria (pgina 22)
Elabora el cronograma de actividades. (pgina 26)

M.C. Gabriel Huesca Aguilar

Pgina 49

Auditora Informtica por reas


EC13: Auditora fsica
Equipo : __________________________________________

Fecha: ___/_____/2012
Grupo: _38___

La Auditoria Fsica no se limita a comparar solo la existencia de los medios fsicos,


sino tambin su funcionalidad, racionalidad y seguridad. La seguridad fsica garantiza la
integridad de los activos humanos, lgicos y materiales del Objeto a analizar.
Instrucciones: A continuacin vamos a elaborar la planeacin de la esta fase realizando las
siguientes actividades.
1. Elabora un formato para verificar las instalaciones de la empresa donde estas llevando
la auditoria, incluyendo entre estos (Direccin fsica, ubicacin en el mapa, edificios
que le rodea por los 4 puntos cardinales, etc).
2. Elabora un formato para verificar la distribucin de los departamentos.
3. Elabora un formato para verificar el equipo de seguridad con los que cuenta tales
como botiquines, extinguidores, luces de emergencia etc.
4. Elabora un formato para verificar la sealizacin con la que cuenta la empresa
auditada tales como: direcciones de salida, emergencia, escape, riesgo elctrico, zona
de evacuacin etc.
5. Identifica los formatos de inventario fsico, de recursos informticos y de aplicaciones
en la organizacin seleccionada.

M.C. Gabriel Huesca Aguilar

Pgina 50

Auditora Informtica por reas

Marcas de Auditora5
Las marcas de auditora son signos que utiliza el auditor para sealar el tipo de procedimiento
que est aplicando, simplificando con ello su papel de trabajo.
A continuacin se presentan las marcas ms comunes que se utilizan en el trabajo de
auditora; sin embargo, pueden ser utilizadas otras marcas, mismas que debern ser definidas al
calce de la cdula o en una cdula de marcas al final del expediente, que permita su fcil consulta.

Gua de auditoria

M.C. Gabriel Huesca Aguilar

Pgina 51

Auditora Informtica por reas

Adicionalmente a las marcas descritas, existe el uso de conectores y notas que permiten al auditor
referenciar y comentar la informacin contenida en sus papeles de trabajo:

Los conectores son nmeros arbigos encerrados en crculo con una flecha que indica la direccin
donde se encuentra el conector correspondiente y se utiliza para identificar dos datos o cifras en una
cdula que dependen uno de otro, haciendo referencia en todos los casos al mismo dato o cifra, pero
con diferentes niveles de desagregacin.
Por su parte, las notas son referencias alfabticas dentro del papel de trabajo, que son explicadas al
calce de la cdula. Se utilizan para ampliar, explicar o hacer alguna acotacin sobre un dato, cifra o
elemento incluido en la cdula.

M.C. Gabriel Huesca Aguilar

Pgina 52

Auditora Informtica por reas


EC14: Marcas de auditoria
Equipo : __________________________________________

Fecha: ___/_____/2012
Grupo: _38___

Las marcas de auditora son signos que utiliza el auditor para sealar el tipo de
procedimiento que est aplicando, simplificando con ello su papel de trabajo.
Instrucciones: A continuacin realiza las siguientes actividades.
1. Elabora una lista de marcas que sern necesarias utilizar en la tarea de la auditoria
que planean realizar.
2. Comenta con tu equipo las marcas comunes que van a realizar de manera que se
tengan todas las marcas de auditora en un solo documento.
3. Elabora en forma individual un cuestionario que conocer las diferentes formas y
procedimientos para llevar a cabo la tarea que te corresponde auditar, de manera que
se establezca claramente.
A. Objetivo de la tarea
B. A quien va dirigido
C. Quien es el responsable
D. Tiempos que se utilizan
E. Formas para controlar
F. Quien revisa las actividades
G. Alguna otra informacin importante

M.C. Gabriel Huesca Aguilar

Pgina 53

Auditora Informtica por reas

Bloque III: Auditora


Informtica por reas

En este bloque se utilizan tcnicas de recopilacin de


informacin para que permitan dar al auditor informacin de
apoyo de cada rea que sea objeto de la auditoria y Evaluar
la evidencia recabada durante la auditoria con el fin de
elaborar un dictamen sobre las vulnerabilidades y fortalezas
detectadas y presentar recomendaciones de una manera
profesional, objetiva y honesta.
M.C. Gabriel Huesca Aguilar

Pgina 54

Auditora Informtica por reas

Informe Final de auditoria


El informe final
La funcin de la auditora se materializa exclusivamente por escrito. Por lo tanto la elaboracin
final es el exponente de su calidad. Resulta evidente la necesidad de redactar borradores e informes
parciales previos al informe final, los que son elementos de contraste entre opinin entre auditor y
auditado y que pueden descubrir fallos de apreciacin en el auditor.
Estructura del informe final:
El informe comienza con la fecha de comienzo de la auditora y la fecha de redaccin del mismo. Se
incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con
indicacin de la jefatura, responsabilidad y puesto de trabajo que ostente.
Definicin de objetivos y alcance de la auditora.
Enumeracin de temas considerados:
Antes de tratarlos con profundidad, se enumerarn lo ms exhaustivamente posible todos los temas
objeto de la auditora.
Cuerpo expositivo:
Para cada tema, se seguir el siguiente orden a saber:
A. Situacin actual. Cuando se trate de una revisin peridica, en la que se analiza no solamente
una situacin sino adems su evolucin en el tiempo, se expondr la situacin prevista y la
situacin real
B. Tendencias. Se tratarn de hallar parmetros que permitan establecer tendencias futuras.
C. Puntos dbiles y amenazas.
D. Recomendaciones y planes de accin. Constituyen junto con la exposicin de puntos dbiles, el
verdadero objetivo de la auditora informtica.
E. Redaccin posterior de la Carta de Introduccin o Presentacin.
Modelo conceptual de la exposicin del informe final:
El informe debe incluir solamente hechos importantes (La inclusin de hechos poco relevantes o
accesorios desva la atencin del lector).
El Informe debe consolidar los hechos que se describen en el mismo.
El trmino de hechos consolidados adquiere un especial significado de verificacin objetiva y de
estar documentalmente probados y soportados. La consolidacin de los hechos debe satisfacer,
al menos los siguientes criterios:
El hecho debe poder ser sometido a cambios.
Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situacin.
No deben existir alternativas viables que superen al cambio propuesto.
La recomendacin del auditor sobre el hecho debe mantener o mejorar las normas y
estndares existentes en la instalacin.

M.C. Gabriel Huesca Aguilar

Pgina 55

Auditora Informtica por reas


La aparicin de un hecho en un informe de auditora implica necesariamente la existencia de una
debilidad que ha de ser corregida.
Flujo del hecho o debilidad:
1. Hecho encontrado.
Ha de ser relevante para el auditor y pera el cliente.
Ha de ser exacto, y adems convincente.
No deben existir hechos repetidos.
2. Consecuencias del hecho
Las consecuencias deben redactarse de modo que sean directamente deducibles del hecho.
3. Repercusin del hecho
Se redactar las influencias directas que el hecho pueda tener sobre otros aspectos
informticos u otros mbitos de la empresa.
4. Conclusin del hecho
No deben redactarse conclusiones ms que en los casos en que la exposicin haya sido muy
extensa o compleja.
5. Recomendacin del auditor informtico
Deber entenderse por s sola, por simple lectura.
Deber estar suficientemente soportada en el propio texto.
Deber ser concreta y exacta en el tiempo, para que pueda ser verificada su implementacin.
La recomendacin se redactar de forma que vaya dirigida expresamente a la persona o
personas que puedan implementarla.
Carta de introduccin o presentacin del informe final:
La carta de introduccin tiene especial importancia porque en ella ha de resumirse la auditora
realizada. Se destina exclusivamente al responsable mximo de la empresa, o a la persona concreta
que encargo o contrato la auditora.
As como pueden existir tantas copias del informe Final como solicite el cliente, la auditora no
har copias de la citada carta de Introduccin.
La carta de introduccin poseer los siguientes atributos:
Tendr como mximo 4 folios.
Incluir fecha, naturaleza, objetivos y alcance.
Cuantificar la importancia de las reas analizadas.
Proporcionar una conclusin general, concretando las reas de gran debilidad.
Presentar las debilidades en orden de importancia y gravedad.
En la carta de Introduccin no se escribirn nunca recomendaciones.

M.C. Gabriel Huesca Aguilar

Pgina 56

Auditora Informtica por reas


EC21: El informe final

Fecha: ___/____/201___

Nombre: _____________________________________________ Grupo: __________


Instrucciones: Despus de haber ledo con atencin la lectura anterior y el anexo 02, elabora un es
esquema (mapa mental, conceptual, cuadro sinptico o de doble entrada, etc), acerca de la
informacin presentada.

M.C. Gabriel Huesca Aguilar

Pgina 57

Auditora Informtica por reas


EC22: Actividad integradora

Fecha: ___/____/201___

Nombre: _____________________________________________ Grupo: _382_


1. Define los siguientes conceptos
a. Auditora informtica
b. Planeacin
c. Planeacin de auditora informtica
d. Informe final de auditora informtica.
2. Menciona las reas de aplicacin de la auditora informtica.
3. Menciona las 7 fases de la auditora informtica.
4. Explica al menos 3 de las fases de la auditora informtica.
5. Menciona al menos 5 marcas de auditora que utilizaron en su planeacin de auditora
informtica.
6. Menciona las partes ms importantes que deben aparecer en:
a. Acta de planeacin de auditora informtica.
b. Acta de planeacin de auditora informtica.
c. Cronograma de actividades
7. Realiza una reflexin acerca de las primeras 4 fases en la que identifiques la importancia de la
misma, as como relacionar las tareas de la planeacin de auditora informtica, realizada por
tu equipo en cada una de las fases 1 a la 4.
8. Menciona la estructura del informe final de auditora.
9. Explica al menos 2 partes de la estructura del informe final.
10. Explica la estructura de la carta de introduccin del informe final de auditora informtica.

M.C. Gabriel Huesca Aguilar

Pgina 58

Ejecucin en informe de auditoria

ANEXOS

M.C. Gabriel Huesca Aguilar

Pgina 59

Ejecucin en informe de auditoria

M.C. Gabriel Huesca Aguilar

Pgina 60

You might also like