1d (2) AUDITORA EN INFORMTICA

JOS ANTONIO ECHENIQUE GARCIA- UNIVERSIDAD AUTNOMA DE MEXICO

CAPITULO 1: CONCEPTO DE AUDITORA INFORMTICA Y TIPOS DE AUDITORA (Grupo 2)
Cap. 1-CONCEPTO DE AUDITORA INFORMTICA
AUDITORA ES Revisar de cuentas aplicando procedimientos por profesional colegiado
INFORMTICA ES Conjuncin de INFORMACIN Y AUTOMATIZACIN
INFORMACIN ES Datos ordenados y organizados
COMUNICACIN ES Compartir Informacin en cualquier momento y en forma segura
ETICA Considerar la legalidad y la tica en la informtica
TIPOS DE AUDITORA Y RELACIN CON LA AUDITORA INFORMTICA
Proteccin activos empresa
OBJ. BASICOS Obtencin de resultados informacin financiera veraz, confiable, oportuna
C.INTERNO Lograr eficiencia en la operacin del negocio
Lograr que en la ejecucin se cumplan las polticas de la empresa
OBJ DE CONTROLES Son objetivos Generales de AUTORIZACIN aplicables a todos los sistemas
CONTABLES GENERALES Autorizacin acorde a criterios establecidos segn nivel
DE C. INTERNO Transacciones deben cumplir requisitos y comunicarse oportunamente
Son objetivos Generales aplicables a ciclos de transacciones
OJB. DE CONTROLES Toda transaccin debe registrarse para Estados Financieros
CONTABLES GENERALES Aplicar principios de contabilidad generalmente aceptados u otro criterio aceptable
TRANSACCIONALES
Transacciones debidamente clasificadas, para preparar Estados Financieros
Registro en el mismo perodo de ocurrencia (ojo si abarcan mas de un ciclo)
Comparacin de datos registrados con activos existentes y ver diferencias
El rea informtica como herramienta para el Control Interno
OBJETIVO DE El rea informtica como objeto del Control Interno
VERIFICACIN Y En Aud. Informtica el objetivo es ms amplia, pero rigen los Obj. Grles. del C.Int.
EVALUACIN En el diseo informtico debera incluir al C. Interno
El A.I. debera revisar la aplicacin de los sistemas (Con usuarios y con Informtica)
A.I. debera verificar seguridad y procedimientos de Plan de desastres
A.I. debe auditar los Sistemas Informticos
AUDITORA ADMINISTRATIVA OPERACIONAL
La Aud. Administrativa es parte de la Aud. Informtica y su Plan: (Objetivos, polticas, planes,
Procedimientos: Organizacin: Funciones: niveles de autoridad y responsabilidad; Recursos
humanos, materiales, tcnicos y financieros; Integracin, Direccin, Comunicacin y
LAS TIC CAMBIARON LA
coordinacin; Control.
ADMINISTRACIN Y
OPERACIN LAS REVISIONES PRETENDEN PRECISAR
Revisin de perdidas y deficiencias
Mejoramiento de mtodos
Mejores controles
Operaciones ms eficientes
Mejor uso de recursos materiales y humanos
AUDITORA CON INFORMTICA
En general el auditor usa paquetes de SW reduciendo tiempo y costo
USO DE TCNICAS -Tcnicas de auditora asistidas pos computador (Transmisin de datos a la computadora del
ASISTIDAS POR auditor para: Verificar cifras totales y clculos, pruebas de consistencia de registros;
COMPUTADORAS Clasificacin y anlisis de datos; Seleccin de datos para muestreo; <simulacin de procesos
-Tambin de supervisa el desarrollo de SW y la eficiencia del computador
TECNICAS AVANZADAS DEBE PLANEARSE POS PROCEDIMIENTOS DE AUDITORA CON INFORMTICA
DE AUDITORA CON -Pruebas integrales
INFORMTICA -Simulaciones
-Revisiones de acceso
-Operaciones en paralelo
-Evaluar sistemas con datos de prueba
-Registros extendidos
-Totales aleatorios de ciertos programas
-Seleccin de ciertos tipos de transacciones
-Resultado de ciertos clculos para comparaciones posteriores

AUDITORA EN INFORMTICA
Se intenta salvaguardar los activos informticos, datos y lograr objetivos empresa
VERIFICACIN DE -Aplicaciones y Desarrollo de Sistemas
CONTROLES -Instalacin del centro de proceso
-Mal uso de la computadora
-Costos de los errores
-Prdida de capacidad del centro de cmputos
-Decisiones incorrectas
-Valor de HW; SW; Personas
-Privacidad
-Prdida de informacin
CAMPO DE LA AUDITORA INFORMTICA
CAMPO A.I ES - La evaluacin administrativa del rea de informtica
- La evaluacin de los sistemas y procedimientos y de la eficiencia que se tiene en el
uso de la informacin (eficiencia y eficacia con la que se trabaja).
 - La evaluacin del proceso de datos, sistemas y equipos de cmputo (SW.,
hardware, redes, BD).
- Seguridad y confidencialidad de la informacin.
- Aspectos legales de los SI y de la informacin.
Evaluacin administrativa del Dpto. de informtica
Esto comprende de la - Los objetivos del departamento, direccin o gerencia.
evaluacin de : - Metas, planes polticas y procedimientos de procesos electrnicos estndares.
- Organizacin del rea y su estructura orgnica.
- Funciones y niveles de autoridad y responsabilidad del rea de procesos
electrnicos.
- Integracin de los recursos y materiales y tcnicos
- Direccin
- Costos y controles presupuestales.
- Controles administrativos del rea de procesos electrnicos.
Evaluacin de los SI y procedimientos (eficiencia - eficacia) en el uso de la informacin
Lo cual - Control de proyectos.
Comprende - Control de SI y programacin.
- Instructivos y documentacin.
- Formas de implantacin.
Evaluacin del proceso de datos y de los equipos de computo
Lo cual - Control de operacin
Comprende - Control de salida
- Control de Asignacin de trabajo.
- Control de medios de almacenamiento masivo.
Evaluacin del proceso de datos y de los equipos de computo
Lo cual - Seguridad fsica y lgica
Comprende - Respaldo
- Seguros
- Restauracin de equipo y de sistemas.

Captulo 2: Planeacin de la Auditoria en Informtica (Grupo 1)

FASES DE LA AUDITORIA
AUDITORIA INTERNA ES Evaluacin interna e independiente dentro de una organizacin para examinar sus
actividades
Su objetivo es dar soporte al personal de la organizacin en el desempeo de sus
responsabilidades
Sus normas comprenden:
Las actividades auditadas y la objetividad de los auditores internos.
El conocimiento tcnico, la capacidad y el cuidado profesional de los auditores
internos con los que deben ejercer su funcin.
El alcance del trabajo de auditoria interna en el rea de informtica.
El desarrollo de las responsabilidades asignadas a los auditores internos
responsable de la auditoria a informtica.

HABILIDADES DE LOS Tener habilidad para aplicar conocimientos a situaciones que posiblemente se vayan
AUDITORES ES encontrando, reconocer las desviaciones para alcanzar soluciones razonables.

Entre las habilidades que deben tener los auditores estn:

Habilidad para comunicarse efectivamente y dar trato adecuado a las personas.
Los auditores en informtica son responsables de continuar desarrollo profesional
para poder mantener su pericia profesional.
Los auditores en informtica deben ejercer el debido cuidado profesional al realizar
sus auditoras.

CUIDADO PROFESIONAL Uso razonable de las experiencias y juicios en el desarrollo de la auditoria.

Para este fin el auditor deber considerar:
El alcance del trabajo de auditoria necesaria para lograr los objetivos de las
auditorias.
La materialidad o importancia relativa de los asuntos a los que se aplican los
procedimientos de la auditoria.
La adecuacin y efectividad de los controles internos.
El costo de la auditoria en relacin con los posibles beneficios.

USO EFICIENTE DE Los auditores debern evaluar si el empleo de los recursos se realiza en formas econmica y
RECURSOS eficiente.
Los auditores internos responsables de determinar si:
Los estndares para medir la economa y eficiencia en el uso de los recursos son los
adecuados.
Los estndares de operacin establecidos han sido entendidos y se cumplen.
Las desviaciones a los estndares de operacin se identifican, analizan y se
comunican a los responsables para que toen medidas correctivas.
Se toman las medidas correctivas.
PLANEACION DE LA AUDITORIA INFORMATICA
PLANEACION DE LA Consiste en seguir una serie de pasos previos que permitirn dimensionar el tamao y
AUDITORIA caractersticas del rea dentro del organismo a auditar. (ms Plazos y recursos)
INFORMATICA ES
El establecimiento de los objetivos y el alcance del trabajo.
La obtencin de la informacin de apoyo sobre las actividades que se auditaran.
SU DOCUMENTACION
La determinacin de los recursos necesarios para realizar la auditoria.
DEBE INCLUIR:
La preparacin por escrito del programa de auditoria.
La determinacin de cmo, cundo y a quien se le comunicaran los resultados de la
auditoria.
La obtencin de la aprobacin del plan de trabajo de la auditoria.
Evaluacin del rea de procesos electrnicos.
SE DEBEN CONSIDERAR Evaluacin de los sistemas y procedimientos.
DESDE EL PUNTO DE
Evaluacin de los equipos de cmputo.
VISTA DE VARIOS
OBJETIVOS: Evaluacin del proceso de datos, sistemas y equipos de cmputo.
Seguridad y confidencialidad de la informacin.
Aspectos legales de los sistemas y de la informacin.

COMPRENDE Metas
ESTABLECER: Programas de trabajo de auditoria.
Planes de contratacin de personal y presupuesto financiero.
Informes de actividades.

TIPOS DE REVISION
Revisin preliminar es el obtener la informacin necesaria para que el auditor puede tomar la
decisin de cmo proceder en la auditoria.

Recoleccin de evidencias por medio de entrevistas con el personal de la instalacin, la

observacin de las actividades en la instalacin y la revisin de la documentacin preliminar.

La revisin preliminar elaborada por un auditorio interno difiere de la realizada por un

auditoria externo en tres aspectos:
REVISION PRELIMINAR: El auditorio interno normalmente requiere de menos precisiones y trabajos,
especialmente en la parte gerencial y de organizacin.
El auditor externo se enfoca ms en las causas de las perdidas y en los controles
necesarios para justificar sus decisiones, el auditor interno tiene una amplia
perspectiva, la cual incorpora en sus consideraciones sobre eficiencia y la eficacia
con la que se trabaja.
Si el auditor interno supone serias debilidades en los controles internos en lugar de
proceder directamente con las pruebas sustantivas, deber continuar con la fase de
revisin detallada para sealar recomendaciones para mejorar los controles
internos.
REVISION DETALLADA Su objetivo es el de obtener la informacin necesaria para que el auditor tenga un profundo
entendimiento de los controles usados dentro del rea informtica.
EXAMENES Y EVALUACION DE LA INFORMACION
OBJETIVO Obtener, analizar, interpretar y documentar la informacin para apoyar los resultados de la
auditoria.
PROCESOS Se debe obtener la informacin de todos los asuntos relacionados con los objetivos
y alcances de la auditoria.
La informacin deber ser suficiente, competente, relevante y til para que
proporciones bases slidas en relacin con los hallazgos y recomendaciones de la
auditoria.
Los procedimientos de la auditoria, incluyendo el empleo de las tcnicas de pruebas
selectivas y el muestreo estadstico, debern ser elegidos con anterioridad, cuando
esto sea posible, y ampliarse o modificarse cuando las circunstancias lo requieren.
El proceso de recabar, analizar, interpretar y documentar la informacin deber
supervisarse para proporcionar una seguridad razonable de que la objetividad de la
auditoria se mantuvo y que las metas de auditoria se cumplieron.
Los documentos de trabajo de la auditoria debern ser preparados por los
auditores y revisados por la gerencia de auditoria.
PRUEBAS
PRUEBAS DE Determina si los controles internos operan como fueron diseados para operar.
CONSENTIMIENTO Por ejemplo: para evaluar la existencia y confiabilidad de los controles de un sistema en red,
se requerir el entrar a la red y evaluar directamente al sistema.

PRUEBAS SUSTANTIVAS El objetivo es obtener evidencias suficientes que permitan al auditor emitir su juicio en las
conclusiones acerca de cundo pueden ocurrir prdidas materiales durante el procesamiento
de la informacin.
Se pueden identificar ocho diferentes pruebas sustantivas:
Pruebas para identificar errores en el procesamiento o de falta de seguridad o
confidencialidad.
Pruebas para asegurar la calidad de los datos.
Pruebas para identificar la inconsistencia de los datos.
Pruebas para comparar con los datos o contadores fsicos.
Confirmacin de datos con fuentes externas.
Pruebas para confirmar la adecuada comunicacin.
Pruebas para determinar falta de seguridad.
Pruebas para determinar problemas de legalidad.
PRUEBAS DE CONTROLES Estas pruebas compensan las deficiencias de los controles internos se pueden realizar
DEL USUARIO mediante cuestionarios, entrevista, vistas y evaluaciones hechas directamente con los
usuarios.
EVALUACION DE LOS SISTEMAS DE ACUERDO AL RIESGO
CONSISTE EN: Evaluar la importancia que puede tener para la organizacin un determinado sistema, es
considerado el riesgo que implica el que no sea utilizado adecuadamente.

INVESTIGACION PRELIMINAR
CONSISTE EN: Es la obtencin de datos con un contacto preliminar que permita una primera idea global. El
objeto de este primer contacto es percibir rpidamente las estructuras fundamentales y
diferencias principales entre el organismo a auditar y otras organizaciones que se hayan
investigado.

PERSONAL PARTICIPANTE
DEBE SER: Uno de los esquemas generalmente aceptados para tener un adecuado control es que el
personal que intervenga est debidamente capacitado, que tenga un alto sentido de
moralidad, al cual se le exija la optimizacin de recursos y se le retribuya o compense
justamente por su trabajo.
CARACTERISTICAS Tcnico en informtica.
NECESARIA: Conocimientos de administracin, contadura y finanzas.
Experiencias en el rea de informtica.
Experiencia en operacin y anlisis de sistemas.
Conocimientos y experiencias en psicologa industrial.
Conocimiento de los sistemas operativos, bases de datos, redes y comunicaciones,
dependiendo del rea y caractersticas a auditar.
Conocimientos de los sistemas as importantes.

Captulo 3: AUDITORIA DE LA FUNCION DE INFORMATICA (Grupo 3)

Recopilacin de la informacin organizacional
Revisin de la -Jerarquas
estructura orgnica -Estructuras orgnica
-Funciones
-Objetivos
Entrevistas con el -Jefatura
personal de procesos -Anlisis
electrnicos -Programadores
-Operadores
-Personal de Base de datos

Se debe conocer la -Presupuesto

situacin en cuanto a : -Recursos financieros
-Recursos materiales
-Mobiliario y equipo
-Costos
Se realiza un Censo en -Nmero de personas y distribucin por rea
distintas reas: -salario
-Conocimientos
-ndice de Rotacin de personal
-Experiencia profesional
Definir el grado de -Normas y polticas
cumplimiento de los -Planes de trabajo
documentos -Estndares
administrativos
Uso de la Informacin Recopilada
Servir para determinar -Si las responsabilidades en la organizacin estn definidas adecuadamente
-Si la estructura organizacional esta adecuada a las necesidades
-Si tienen los objetivos y polticas adecuadas, si se encuentran vigentes.
-si existe documentacin de las actividades ,funciones y responsabilidades
-si el nivel de salarios est de acuerdo con el mercado de trabajo
-si los planes de trabajo concuerdan con los objetivos de la empresa
Principales planes que se requieren dentro de la organizacin de la informtica
Estudio de viabilidad Investiga los costos y beneficios de los usos a largo plazo
Planeacin de cambios Especifica las metas y actividades que se deben realizar para lograr cambios y modificaciones
modificacin y
actualizacin
Plan Maestro Define los objetivos a largo plazo y las metas necesarias para lograrlo

Captulo 4: Evaluacin de los sistemas (Grupo 4)

 EVALUACIN DE LOS SISTEMAS.
Evaluar los sistemas operativos, importancia, caractersticas principales y contenidos mnimos que se deben tener en
las operaciones del sistema dentro de una organizacin.
Factores que permitan -Elaborado por el usuario, o bien un software comercial.
que el software pueda -Software compartido o regalado.
contar con los -Software transportable.
requerimientos
-Un solo usuario o multiusuario.
necesarios.
-Categorizacin del software de aplicacin por el usuario.
-Software a la medida de la oficina.
Informe sobre la forma -Numeracin.
del diseo. (Cuando se -Titulo.
analiza un sistema). -Tabulacin.
-Zonas.
-Instrucciones.
-Firmas.
-Nombres.
-Encabezados ambiguos.
-Rtulos.
-Ubicacin de los rtulos.
-Tipo de papel.
-Tamao estndar.
-Color.

Informe (El informe se -Descripcin de informes (1.1)

divide en los siguientes -Anlisis de informes (1.2)
tpicos y debe seguir el -Evaluacin de formas (1.3)
siguiente orden).
-Evaluacin de formas (1.4)
-Evaluacin de formas (1.5)
-Descripcin de formas (1.6)
-Descripcin de formas de papelera (1.7)

Control de proyectos -Control de proyectos (1.1)

(Se recomienda que se -Calendario de actividades (1.2)
utilice la tcnica de -Control de actividades del programador (1.3)
administracin por
-Reporte semanal de los responsables de sistemas (1.4)
proyectos para su
adecuado control). -Control de programadores (1.5)
-Planeacin de programacin (1.6)
-Hoja de planeacin de actividades (1.7)
-Informe de avance de programacin (1.8)
-Control de avance de programacin (1.9)
-Hoja de planeacin de actividades y control de avance (1.10)

Instructivos de -Forma de implantacin (la finalidad es la de evaluar los trabajos que se realizan para iniciar
operacin. la operacin de un sistema).
-Equipos y facilidades de programacin (La seleccin de un sistema de cmputo incluye la
interaccin de numerosas y complejas decisiones de carcter tcnico).
-Entrevistas a usuarios (Las entrevistas se deberan llevar a cabo para comparar los datos
proporcionados y la situacin de informtica desde el punto de vista de usuarios).
-Entrevistas (Se debe crear un cuestionario de preguntas (requerimientos) para tener una
buena preparacin).