8/2/2019 Apuntes de Auditoria Ver 1 Abril 2012
1/33
Instituto Tecnolgico El Llano Aguascalientes
Licenciatura en Informtica
Auditoria Informtica
Mauricio Ramos Dvila
1.1 Conceptos de Auditoria Informtica
La auditora es el examen crtico y sistemtico que realiza una persona o grupo de
personas independientes del sistema auditado. Aunque hay muchos tipos de auditora,El origen etimolgico de la palabra es el verbo latino Audire, que significa or. Esta
denominacin proviene de su origen histrico, ya que los primeros auditores ejercan
su funcin juzgando la verdad o falsedad de lo que les era sometido a su verificacin
principalmente escuchando.
Auditar consiste principalmente en estudiar los mecanismos de control que estn
implantados en una empresa u organizacin, determinando si los mismos son
adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los
cambios que se deberan realizar para la consecucin de los mismos.Auditoria informtica
La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias para
determinar si un Sistema de Informacin salvaguarda el activo empresarial, mantiene
la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza
eficientemente los recursos.
Los objetivos de la auditora Informtica son:
El control de la funcin informtica El anlisis de la eficiencia de los Sistemas Informticos
La verificacin del cumplimiento de la Normativa en este mbito
La revisin de la eficaz gestin de los recursos informticos.
Derechos de autor
La auditora informtica sirve para mejorar ciertas caractersticas en la empresa como:
Eficiencia
Eficacia
Rentabilidad
Seguridad
Integridad de los datos
Derechos de autor
La necesidad de contar con lineamientos y herramientas estndar para el ejercicio de
la auditora informtica ha promovido la creacin y desarrollo de mejores prcticas
como COBIT, ISO, COSO e ITIL.
8/2/2019 Apuntes de Auditoria Ver 1 Abril 2012
2/33
Instituto Tecnolgico El Llano Aguascalientes
Licenciatura en Informtica
Auditoria Informtica
Mauricio Ramos Dvila
Actualmente la certificacin de ISACA para ser CISA Certified Information SystemsAuditor es una de las ms reconocidas y avaladas por los estndares internacionales
ya que el proceso de seleccin consta de un examen inicial bastante extenso y la
necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la
certificacin.
1.2 Tipos de Auditoria
Auditora contable ( de estados financieros )
Auditora externa. La realizan personas externas a la organizacin para que los
resultados que nos arroje sean imparciales como pueden ser las firmas de
contadores o administradores independientes.
Auditoria operacional: es la valoracin independiente de todas las operaciones
de una empresa, en forma analtica, objetiva y sistemtica, para determinar si
se lleva a cabo polticas y procedimientos aceptables, si se siguen las normas
establecidas y si se utilizan los recursos de manera eficaz y econmica.
Auditoria administrativa. Es un examen completo y constructivo de la estructura
organizativa de la empresa, institucin o departamento gubernamental o decualquier otra entidad y de sus mtodos de control, medios de operacin y
empleo que d a sus recursos humanos y materiales (William. P Leonard).
Auditoria integral. Es la evaluacin multidisciplinaria, independiente y con
enfoque de sistemas del grado y forma de cumplimientos de los objetivos de
una organizacin, de la relacin con su entorno, asi como de sus operaciones,
con el objeto de proponer alternativas para el logro ms adecuado de sus fines
y/o el mejor aprovechamiento de sus recursos
Auditora Financiera: Consiste en una revisin exploratoria y critica de los
controles subyacentes y los registros de contabilidad de una empresa realizadapor un contador pblico, cuya conclusin es un dictamen a cerca de la
correccin de los estados financieros de la empresa.
Auditora interna: Proviene de la auditora financiera y consiste en: una
actividad de evaluacin que se desarrolla en forma independiente dentro de
una organizacin. Es un instrumento de control que funciona por medio de la
medicin y evaluacin de la eficiencia de otras clases de control, tales como:
procedimientos; contabilidad y dems registros; informes financieros; normas
de ejecucin etc.
Auditoria de operaciones: Se define como una tcnica para evaluarsistemticamente una funcin o una unidad con referencia a normas de la
8/2/2019 Apuntes de Auditoria Ver 1 Abril 2012
3/33
Instituto Tecnolgico El Llano Aguascalientes
Licenciatura en Informtica
Auditoria Informtica
Mauricio Ramos Dvila
empresa, utilizando personal no especializado en el rea de estudio, con el
objeto de asegurar a la administracin, que sus objetivos se cumplan, y
determinar qu condiciones pueden mejorarse. A continuacin se dan algunos
ejemplos de la autoridad de operaciones:
o Evaluacin del cumplimiento de polticas y procedimientos.
o Revisin de prcticas de compras.
o Implementacin de un sistema informtico
Auditora fiscal: Consiste en verificar el correcto y oportuno pago de los
diferentes impuestos y obligaciones fiscales de los contribuyentes desde el
punto de vista fsico ( SHCP), direcciones o tesoreras de hacienda estatales o
tesoreras municipales.
Auditoria de resultados de programas:Esta auditora la eficacia y congruencia
alcanzadas en el logro de los objetivos y las metas establecidas, en relacin
con el avance del ejercicio presupuestal.
Auditoria de legalidad:Este tipo de auditora tiene como finalidad revisar si la
dependencia o entidad, en el desarrollo de sus actividades, ha observado el
cumplimiento de disposiciones legales que sean aplicables ( leyes,
reglamentos, decretos, circulares, etc )
Clasificacin de las normas de auditora.
NORMAS PERSONALES.
Las normas personales se refieren a las cualidades que el auditor debe tener para
poder asumir, dentro de las exigencias que el carcter profesional de la auditoria
impone, un trabajo de este tipo. Dentro de estas normas existen cualidades que el
auditor debe tener pre-adquiridas antes de poder asumir un trabajo profesional de
auditora y cualidades que debe mantener durante el desarrollo de toda su actividad
profesional.
NORMAS DE EJECUCIN DEL TRABAJO.
Al tratar de las normas personales, se sealo que el auditor est obligado a ejecutar su
trabajo con cuidado y diligencia. Aun cuando es difcil definir lo que en cada tarea
puede representar un cuidado y diligencia adecuados, existen ciertos elementos que,
por su importancia, deben ser cumplidos. Estos elementos bsicos, fundamentales en
la ejecucin de trabajo, que constituyen la especificacin particular, por lo menos al
mnimo indispensable, de la exigencia de cuidado y diligencia, son los que constituyen
las normas denominadas de ejecucin del trabajo.
8/2/2019 Apuntes de Auditoria Ver 1 Abril 2012
4/33
Instituto Tecnolgico El Llano Aguascalientes
Licenciatura en Informtica
Auditoria Informtica
Mauricio Ramos Dvila
Entrenamiento tcnico y capacidad profesional.
El trabajo de auditora, cuya finalidad es la de rendir una opinin profesional
independiente, debe ser desempeado por personas que, teniendo ttulo
profesional legalmente expedido y reconocido, tengan entrenamiento tcnicoadecuado y capacidad profesional como auditores.
Cuidado y diligencia profesionales.
El auditor est obligado a ejercitar cuidado y diligencia razonables en la
realizacin de su examen y en la preparacin de su dictamen o informe.
Independencia.
El auditor est obligado a mantener una actitud de independencia mental entodos los
Asuntos relativos a su trabajo profesional.
Planeacin y supervisin.
El trabajo de auditora deber ser planeado adecuadamente y, si se usan
ayudantes, estos deben ser supervisados en forma apropiada.
Estudio y evaluacin del control interno.
El auditor debe efectuar un estudio y evaluacin adecuados del control interno
existente, que le sirvan de base para determinar el grado de confianza que va
depositar en el; asimismo, que le permita determinar la naturaleza, extensin y
oportunidad que va dar procedimientos de auditora.
Obtencin de evidencia suficiente y competente.
Mediante sus procedimientos de auditora, el auditor debe obtener evidencia
comprobatoria suficiente y competente en el grado que requiera suministrar
una base objetiva para su opinin.
NORMAS DE INFORMACIN.
El resultado final del trabajo del auditor es su dictamen o informe. Mediante el, pone en
conocimiento de las personas interesadas los resultados de su trabajo y la opinin quese ha formado a travs de su examen. El dictamen o informe del auditor es en lo que
8/2/2019 Apuntes de Auditoria Ver 1 Abril 2012
5/33
Instituto Tecnolgico El Llano Aguascalientes
Licenciatura en Informtica
Auditoria Informtica
Mauricio Ramos Dvila
va a reposar la confianza de los interesados para prestarles fe a las declaraciones que
en ellos aparecen sobre la situacin y los resultados de las operaciones y procesos de
la empresa. Por ltimo es, principalmente, a travs del informe o dictamen, como el
pblico y el cliente se dan cuenta del trabajo del auditor y, en muchos casos, es la
nica parte, de dicho trabajo, que queda a su alcance.
En todos los casos en que el nombre del auditor o contador quede asociado con
estados o informacin financiera deber expresar de manera clara e inequvoca la
naturaleza de su relacin con dicha informacin, su opinin sobre la misma y, en su
caso, las limitaciones importantes que haya tenido su examen, las salvedades que se
deriven de ellas o todas las razones de importancia por las cuales expresa una opinin
adversa o no puede expresar una opinin profesional a pesar de haber hecho unexamen.
1.3 Auditora Interna y Externa
Auditora Externa
Aplicando el concepto general, se puede decir que la auditora Externa es el examen
crtico, sistemtico y detallado de un sistema de informacin de una unidad
econmica, realizado por un Contador Pblico sin vnculos laborales con la misma,utilizando tcnicas determinadas y con el objeto de emitir una opinin independiente
sobre la forma como opera el sistema, el control interno del mismo y formular
sugerencias para su mejoramiento. El dictamen u opinin independiente tiene
trascendencia a los terceros, pues da plena validez a la informacin generada por el
sistema ya que se produce bajo la figura de la Fe Pblica, que obliga a los mismos a
tener plena credibilidad en la informacin examinada.
La Auditora Externa examina y evala cualquiera de los sistemas de informacin de
una organizacin y emite una opinin independiente sobre los mismos, pero lasempresas generalmente requieren de la evaluacin de su sistema de informacin
principalmente de tipo financiero en forma independiente para otorgarle validez ante
los usuarios del producto de este, por lo cual tradicionalmente se ha asociado el
trmino Auditora Externa a Auditora de Estados Financieros, lo cual como se observa
no es totalmente equivalente, pues puede existir Auditora Externa del Sistema de
Informacin Tributario, Auditora Externa del Sistema de Informacin Administrativo,
Auditora Externa del Sistema de Informacin Automtico etc.
8/2/2019 Apuntes de Auditoria Ver 1 Abril 2012
6/33
Instituto Tecnolgico El Llano Aguascalientes
Licenciatura en Informtica
Auditoria Informtica
Mauricio Ramos Dvila
La Auditora Externa o Independiente tiene por objeto averiguar la razonabilidad,
integridad y autenticidad de los estados, expedientes y documentos y toda aquella
informacin producida por los sistemas de la organizacin. Una Auditora Externa se
lleva a cabo cuando se tiene la intencin de publicar el producto del sistema de
informacin examinado con el fin de acompaar al mismo una opinin independienteque le d autenticidad y permita a los usuarios de dicha informacin tomar decisiones
confiando en las declaraciones del Auditor.
Una auditora debe hacerla una persona o firma independiente de capacidad
profesional reconocidas. Esta persona o firma debe ser capaz de ofrecer una opinin
imparcial y profesionalmente experta a cerca de los resultados de auditora,
basndose en el hecho de que su opinin ha de acompaar el informe presentado al
trmino del examen y concediendo que pueda expresarse una opinin basada en la
veracidad de los documentos y de los estados financieros y en que no se imponga
restricciones al auditor en su trabajo de investigacin.
Bajo cualquier circunstancia, un contador profesional acertado se distingue por una
combinacin de un conocimiento completo de los principios y procedimientos
contables, juicio certero, estudios profesionales adecuados y una receptividad mental
imparcial y razonable.
Auditora Interna
La auditora Interna es el examen crtico, sistemtico y detallado de un sistema de
informacin de una unidad econmica, realizado por un profesional con vnculos
laborales con la misma, utilizando tcnicas determinadas y con el objeto de emitir
informes y formular sugerencias para el mejoramiento de la misma. Estos informes son
de circulacin interna y no tienen trascendencia a los terceros pues no se producen
bajo la figura de la Fe Pblica.
Las auditoras internas son hechas por personal de la empresa. Un auditor interno
tiene a su cargo la evaluacin permanente del control de las transacciones yoperaciones y se preocupa en sugerir el mejoramiento de los mtodos y
procedimientos de control interno que redunden en una operacin ms eficiente y
eficaz. Cuando la auditora est dirigida por Contadores Pblicos profesionales
independientes, la opinin de un experto desinteresado e imparcial constituye una
ventaja definida para la empresa y una garanta de proteccin para los intereses de los
accionistas, los acreedores y el Pblico. La imparcialidad e independencia absolutas
no son posibles en el caso del auditor interno, puesto que no puede divorciarse
completamente de la influencia de la alta administracin, y aunque mantenga una
actitud independiente como debe ser, esta puede ser cuestionada ante los ojos de los
8/2/2019 Apuntes de Auditoria Ver 1 Abril 2012
7/33
Instituto Tecnolgico El Llano Aguascalientes
Licenciatura en Informtica
Auditoria Informtica
Mauricio Ramos Dvila
terceros. Por esto se puede afirmar que el auditor no solamente debe ser
independiente, sino parecerlo para as obtener la confianza del pblico.
La auditora interna es un servicio que reporta al ms alto nivel de la direccin de la
organizacin y tiene caractersticas de funcin asesora de control, por tanto no puedeni debe tener autoridad de lnea sobre ningn funcionario de la empresa, a excepcin
de los que forman parte de la planta de la oficina de auditora interna, ni debe en modo
alguno involucrarse o comprometerse con las operaciones de los sistemas de la
empresa, pues su funcin es evaluar y opinar sobre los mismos, para que la alta
direccin toma las medidas necesarias para su mejor funcionamiento. La auditora
interna solo interviene en las operaciones y decisiones propias de su oficina, pero
nunca en las operaciones y decisiones de la organizacin a la cual presta sus
servicios, pues como se dijo es una funcin asesora.
Diferencias entre auditora interna y externa:
Existen diferencias substanciales entre la auditora interna y la auditora externa,
algunas de las cuales se pueden detallar as:
En la Auditora Interna existe un vnculo laboral entre el auditor y la empresa,
mientras que en la Auditora Externa la relacin es de tipo civil.
En la Auditora Interna el diagnstico del auditor, est destinado para la
empresa; en el caso de la Auditora Externa este dictamen se destinageneralmente para terceras personas o sea ajena a la empresa.
La Auditora Interna est inhabilitada para dar Fe Pblica, debido a su
vinculacin contractual laboral, mientras la Auditora Externa tiene la facultad
legal de dar Fe Pblica.
1.4 Campos de la auditoria informtica
Algunos campos de aplicacin de la informtica son las siguientes:
Investigacin cientfica y humanstica: Se usan la las computadoras para la resolucin
de clculos matemticos, recuentos numricos, etc. Algunas de estas operaciones:
Resolucin de ecuaciones.
Anlisis de datos de medidas experimentales, encuestas etc.
Anlisis automticos de textos
Aplicaciones tcnicas: Usa la computadora para facilitar diseos de ingeniera y deproductos comerciales, trazado de planos, etc. Algunas de estas operaciones:
8/2/2019 Apuntes de Auditoria Ver 1 Abril 2012
8/33
Instituto Tecnolgico El Llano Aguascalientes
Licenciatura en Informtica
Auditoria Informtica
Mauricio Ramos Dvila
Anlisis y diseo de circuitos de computadora.
Clculo de estructuras en obras de ingeniera.
Minera.
Cartografa.
Documentacin e informacin: Es uno de los campos ms importantes para la
utilizacin de computadoras. Estas se usan para el almacenamiento de grandes
cantidades de datos y la recuperacin controlada de los mismos en bases de datos.
Ejemplos de este campo de aplicacin son:
Documentacin cientfica y tcnica.
Archivos automatizados de bibliotecas.
Bases de datos jurdicas.
gestin administrativa: automatiza las funciones de gestin tpicas de una empresa.
existen programas que realizan las siguientes actividades:
contabilidad.
facturacin.
control de existencias.
nminas.
Inteligencia artificial: las computadoras se programan de forma que emulen elcomportamiento de la mente humana. Los programas responden como
previsiblemente lo hara una persona inteligente. Aplicaciones como:
reconocimiento del lenguaje natural.
programas de juego complejos (ajedrez).
instrumentacin y control: instrumentacin electrnica, electro medicina, robots
industriales, entre otros.
otras aplicaciones
otros campos de aplicacin no vistos anteriormente: video-juegos, aplicaciones en el
arte, procesamiento de imgenes.
8/2/2019 Apuntes de Auditoria Ver 1 Abril 2012
9/33
Instituto Tecnolgico El Llano Aguascalientes
Licenciatura en Informtica
Auditoria Informtica
Mauricio Ramos Dvila
1.5. Modelos de control utilizados en la auditoria informtica
1.6 Principios aplicados a los auditores informticos
Principio de beneficio de auditado
El auditor deber ver como se puede conseguir la mxima eficacia y rentabilidad delos medios informticos de la empresa auditada, estando obligado a presentar
recomendaciones acerca del reforzamiento del sistema y el estudio de las soluciones
ms idneas segn los problemas detectados en el sistema informtico de esta ltima.
En ningn caso est justificado que realice su trabajo el prisma del propio beneficio.
Cualquiera actitud que se anteponga intereses personales del auditor a los del
auditado deber considerarse como no tica.
Para garantizar el beneficio del auditado como la necesaria independencia del auditor,
este ltimo deber evitar estar ligado en cualquier forma, a intereses de determinadas
marcas, productos o equipos compatibles con los de su cliente.
La adaptacin del auditor al sistema del auditado debe implicar una cierta simbiosis
con el mismo, a fin de adquirir un conocimiento pormenorizado de sus caractersticas
intrnsecas.
nicamente en los casos en el que el auditor dedujese la imposibilidad de que el
sistema pudiera acomodarse a las exigencias propias de su cometido, este podr
proponer un cambio cualitativamente significativo de determinados elementos o del
propio sistema informtico globalmente contemplado.
Una vez estudiado el sistema informtico a auditar, el auditor deber establecer los
requisitos mnimos, aconsejables y ptimos para su adecuacin a la finalidad para la
que ha sido diseado.
El auditor deber lgicamente abstenerse de recomendar actuaciones
innecesariamente onerosas, dainas o que generen riesgos injustificados para el
auditado.
Una de las cuestiones ms controvertidas, respecto de la aplicacin de este principio,
es la referente a facilitar el derecho de las organizaciones auditadas a la libre eleccin
del auditor.
Si el auditado decidiera encomendar posteriores auditoras a otros profesionales, stosdeberan poder tener acceso a los informes de los trabajos profesionales, stos
8/2/2019 Apuntes de Auditoria Ver 1 Abril 2012
10/33
Instituto Tecnolgico El Llano Aguascalientes
Licenciatura en Informtica
Auditoria Informtica
Mauricio Ramos Dvila
deberan poder tener acceso a los informes de los trabajos anteriormente realizados
sobre el sistema del auditado.
Principio de calidad
En el auditor deber prestar sus servicios a tenor de las posibilidades de la ciencia y
medios a su alcance con absoluta libertad respecto a la utilizacin de dichos medios y
en unas condiciones tcnicas adecuadas para el idneo cumplimiento de su labor.
En los casos en el que la precariedad de medios puestos a su disposicin impida o
dificulten seriamente la realizacin de la auditora, deber segarse a realizarla hasta
que se garantice un mnimo de condiciones tcnicas que no comprometan la calidad
de sus servicios o dictmenes.
Principio de capacidad
El auditor debe estar plenamente capacitado para la realizacin de la auditora
encomendada, maximice teniendo en cuenta que, a los auditados en algunos casos
les puede ser extremadamente difcil verificar sus recomendaciones y evaluar
correctamente la precisin de las mismas.
Debe, por tanto, ser plenamente consciente del alcance de sus conocimientos y de sucapacidad y aptitud para desarrollar la auditora evitando que una sobreestimacin
personal pudiera provocar el incumplimiento parcial o total de la misma.
Conviene indicar que en los casos de producirse, por el contrario, una subestimacin
de su capacidad profesional, esta circunstancia podra afectar negativamente en la
confianza del auditado sobre el resultado final de la auditora.
A efectos de garantizar, en la medida de lo posible, la pertinencia de sus
conocimientos, el auditor deber procurar que stos evolucionen, al unsono con eldesarrollo de las tecnologas de la informacin, en una forma dinmica.
Es deseable que se fortalezca la certificacin profesional de la aptitud de los auditores
para realizar unos trabajos de ndole tan compleja.
Esta certificacin que deber tener a plazo de validez acorde con la evolucin de las
nuevas tecnologas de la informacin, debera estar validada y garantizada por la
metodologa empleada para acreditar dicha especializacin. Principio de cautela
8/2/2019 Apuntes de Auditoria Ver 1 Abril 2012
11/33
Instituto Tecnolgico El Llano Aguascalientes
Licenciatura en Informtica
Auditoria Informtica
Mauricio Ramos Dvila
El auditor en todo momento debe ser consciente de que sus recomendaciones deben
estar basadas en el experiencia contrastada que se le supone tiene adquirida,
evitando que, por un exceso de vanidad, el auditado se embarque en proyectos de
futuro fundamentos en simples intuiciones sobre la posible evolucin de las nuevas
tecnologas de la informacin.
Si bien es cierto que el auditor debe estar al corriente del desarrollo de dichas
tecnologas de informacin e informar al auditado de su previsible evolucin, no es
menos cierto que deben evitar la tentacin de creer que, gracias a sus conocimientos,
puede aventurar, con un casi absoluto grado de certeza.
Debe, por tanto, el auditor actuar con un cierto grado de humildad, evitando dar la
impresin de estar al corriente de una informacin privilegiada sobre el estado real de
la evolucin de los proyectos.
Principio de comportamiento profesional
El auditor, tanto en sus relaciones con el auditado como con terceras personas,
deber, en todo momento, actuar conforma a las normas, implcitas o explcitas, de
dignidad de la profesin y de correccin en el trato personal.
Para ello deber cuidar la moderacin en la exposicin de sus juicios u opiniones
evitando caer en exageraciones o atemorizar innecesarias procurando, en todomomento, transmitir una imagen de precisin y exactitud en sus comentarios.
El comportamiento profesional exige del auditor una seguridad en sus conocimientos
tcnicos y una clara percepcin de sus carencias, debiendo eludir las injerencias no
solicitadas por l, de profesionales de otras reas, en temas relacionadas o que
puedan incidir en el resultado de la auditora.
El auditor debe asimismo guardar un escrupuloso respecto por la poltica empresarial
del auditado, aunque sta difiera ostentablemente de las del resto el sector en las quedesarrolla su actividad.
Igualmente debe evitarse realizar actos que simulen aplicaciones de tratamientos
ficticios, encubran comportamientos no profesionales o den publicidad a metodologas
propias o ajenas insuficientemente contrastadas y garantizadas.
Principio de concentracin en el trabajo
En su lnea de actuacin, el auditor deber evitar que un exceso de trabajo supere sus
posibilidades de concentracin y precisin en cada una de las tareas a l
8/2/2019 Apuntes de Auditoria Ver 1 Abril 2012
12/33
Instituto Tecnolgico El Llano Aguascalientes
Licenciatura en Informtica
Auditoria Informtica
Mauricio Ramos Dvila
encomendadas, y a que la estructuracin y dispersin de trabajos suele a menudo, si
no est debidamente controlada, provocar la conclusin de los mismos sin las debidas
garantas de seguridad.
A este efecto, el auditor deber sopesar las posibles consecuencias de unaacumulacin excesiva de trabajos a fin de no asumir aquellos que objetivamente no
tengan tiempo de realizar con las debidas garantas de calidad.
Asimismo deber evitar la desaconsejable prctica de ahorro de esfuerzos basada en
la reproduccin de partes significativas de trabajos o conclusiones obtenidas de
trabajos previos en otros posteriores elaborados como colofn de nuevas auditoras.
Por el contrario, si es admisible el que, una vez analizados en profundidad los
aspectos a tener en cuenta y obtenidas las correspondientes conclusiones, secontrasten las mismas a tenor de la experiencia adquirida y reflejada en anteriores
informes, ya que este modo de actuar permite detectar posibles omisiones en el
estudio.
Este comportamiento profesional permitir al auditor dedicar a su cliente la mayor
parte de los recursos posibles obtenidos de sus conocimientos y experiencias previas
con una completa atencin durante la ejecucin de la auditora.
Principio de confianza
El auditor deber facilitar e incrementar la confianza del auditado en base a una
actuacin de transparencia en su actividad profesional sin alardes cientficos-tcnicos.
Este principio requiere asimismo, por parte del auditor, el mantener una confianza en
las indicaciones del auditado aceptndolas sin reservas como vlidas.
El auditor deber, en consonancia con esta forma de actuar, adecuar su lenguaje al
nivel de comprensin del auditado, descendiendo y detallando cuando haga falta en suexplicacin debiendo solicitar, cuando lo considere necesario, la presencia de alguno
de los colaboradores de confianza de su cliente.
Principio de criterio propio
El auditor durante la ejecucin deber actuar con criterio propio y no permitir que est
subordinado al de otros profesionales, aun de reconocido prestigio, que no coincidan
con el mismo.
8/2/2019 Apuntes de Auditoria Ver 1 Abril 2012
13/33
Instituto Tecnolgico El Llano Aguascalientes
Licenciatura en Informtica
Auditoria Informtica
Mauricio Ramos Dvila
La defensa a ultranza del propio criterio no es bice para respetar las crticas adversas
de terceros, aunque el auditor debe evitar que, si una vez analizadas contina
discrepando de las mismas, stas pueden seguir influyendo en su trabajo, ya que la
libertad de criterio impone al auditor la obligacin de tica de actuar en todo momento.
Este principio exige asimismo del auditor una actitud en los casos en que llegue al
convencimiento de que la actividad que se solicita, presuntamente para evaluar y
mejorar un sistema informtico, tiene otra finalidad ajena a la auditora.
De igual forma cuando el auditor observe que, de forma reiterada, el auditado se
niega, sin justificacin alguna, a adoptar a sus propuestas deber plantearse la
continuidad de sus servicios en funcin de las razones y causas que considere puedan
justificar dicho proceder.
Principio de discrecin
El auditor deber en todo momento mantener una cierta discrecin en la divulgacin
de datos, aparentemente inocuos, que se le hayan puesto de manifiesto durante la
ejecucin de la auditoria
Principio de economa
El auditor deber proteger, en la medida de sus conocimientos, los derechos
econmicos del auditado evitando generar gastos innecesarios en el ejercicio de suactividad.
De igual forma, el auditor deber tener en cuenta la economa de medios materiales o
humanos, eludiendo utilizar aquellos que no se precisen, lo que redundar en
reducciones de gastos no justificados. En las recomendaciones y conclusiones
realizadas en base a su trabajo deber as mismo eludir, incitar o proponer
actuaciones que puedan generar gastos innecesarios o desproporcionados.
Principio de formacin contina
Este principio impone a los auditores el deber y la responsabilidad de mantener una
permanente actualizacin de sus conocimientos y mtodos a fin de adecuarlos a las
necesidades de la demanda y a las exigencias de la competencia de la oferta.
Principio de fortalecimiento y respeto de la profesin
La defensa de los auditados pasa por el fortalecimiento de la profesin de los
auditores informticos, lo que exige un respeto por el ejercicio, globalmente
considerado, de la actividad desarrollada por los mismos y un comportamiento acorde
8/2/2019 Apuntes de Auditoria Ver 1 Abril 2012
14/33
Instituto Tecnolgico El Llano Aguascalientes
Licenciatura en Informtica
Auditoria Informtica
Mauricio Ramos Dvila
con los requisitos exigibles para el idneo cumplimiento de la finalidad de las
auditorias.
El auditor como integrante de un grupo profesional beber promover el respeto mutuo
y la no confrontacin entre compaeros.
En sus relaciones profesionales beber exigir as mismo una reciprocidad en el
comportamiento tico de sus colegas y facilitar las relaciones de confraternidad y
mutuo apoyo cuando as se le soliciten.
Principio de independencia
Este principio, muy relacionado con el principio de criterio propio, obliga al auditor,
tanto si acta como profesional externo o con dependencia laboral respecto a laempresa en la que deba realizar la auditoria informtica, a exigir una total autonoma e
independencia en su trabajo, condicin esta imprescindible para permitirle actuar
libremente segn su leal saber y entender.
esta independencia implica as mismo el rechazo de criterios con los que no est
plenamente de acuerdo, debiendo reflejarse en su informe final tan solo aquellos que
considere pertinentes evitando incluir en el mismo aquellos otros que segn su
entender pudieran producir perjuicios al auditado, aunque este as se lo solicite.
Principio de informacin suficiente
este principio obliga al auditor a ser plenamente consciente de su obligacin de
aportar, en forma pormenorizada, clara, precisa e inteligible para el auditado,
informacin tanto sobre todos y cada uno de los puntos relacionados con la auditoria
que puedan tener algn inters para el, como sobre las conclusiones a las que a
llegado.
es importante asimismo que la informacin transmitida al auditado ponga de manifiesto
una prudencia y sentido de la responsabilidad, caractersticas estas que nunca deben
estar reidas con los principios de suficiencia informativa y de veracidad evitando
recrear los aspectos negativos o los errores humanos detectados que deben quedar
reflejados con un cierto tacto profesional.
Principio de integridad moral
Este principio, inherentemente ligado a la dignidad de la persona, obliga al auditor a
ser honesto, leal y diligente en el desempeo de su misin, a ajustarse a las normas
morales de justicia y prioridad, y a evitar participar, voluntaria o inconscientemente, encualquier acto de corrupcin personal o de terceras personas.
8/2/2019 Apuntes de Auditoria Ver 1 Abril 2012
15/33
Instituto Tecnolgico El Llano Aguascalientes
Licenciatura en Informtica
Auditoria Informtica
Mauricio Ramos Dvila
Principio de legalidad
la primaca de esta obligacin exige del auditor un comportamiento activo de oposicin
a todo intento, por parte del auditado o de terceras personas, tendente a infringir
cualquier precepto integrado en el derecho positivo.
Principio de libre competencia
La actual economa de mercado exige que el ejercicio de la profesin se realice en el
marco de la libre competencia siendo rechazables, por tanto, las prcticas colusorias
tendentes a impedir o limitar la legtima competencia de otros profesionales y las
prcticas abusivas consistentes en el aprovechamiento en beneficio propio, y en
contra de los intereses de los auditados, de posiciones predominantes.
Principio de no discriminacin
El auditor en su actuacin previa, durante y posterior a la auditoria deber evitar
cualquier tipo de condicionantes personalizados y actuar en todos los casos con
similar diligencia, su actuacin deber mantener una igualdad de trato profesional con
la totalidad de personas con las que en virtud de su trabajo tenga que relacionarse.
Principio de no injerencia
El auditor, dada la injerencia que puede derivarse de su tarea, deber evitar
injerencias en los trabajos de otros profesionales, respetar su labor y eludir hacer
comentarios que pudieran interpretarse como despreciativos de la misma o provocar
un cierto desprestigio de su cualificacin profesional.
Deber igualmente evitar aprovechar los datos obtenidos de la auditoria para entrar en
competencia desleal con profesionales relacionados con ella de otras reas del
conocimiento.
Principio de precisin
Este principio estrechamente relacionado con el principio de calidad exige del auditor
la no conclusin de su trabajo hasta estar convencido, en la medida de lo posible, de
la viabilidad de sus propuestas, debiendo ampliar sus estudios de ser necesario.
En la exposicin de sus conclusiones deber ser suficientemente critico, no eludiendo
poner de manifiesto aquellos aspectos concretos que considere puedan tener una
incidencia en la calidad y fiabilidad de la auditoria.
8/2/2019 Apuntes de Auditoria Ver 1 Abril 2012
16/33
Instituto Tecnolgico El Llano Aguascalientes
Licenciatura en Informtica
Auditoria Informtica
Mauricio Ramos Dvila
Es exigible asimismo del auditor que indique como evaluado nicamente aquello que
directamente, o por medio de sus colaboradores, haya comprobado u observado de
forma exhaustiva.
Principio de publicidad adecuada
la oferta y promocin de los servicios de auditora debern en todo momento ajustarse
a las caractersticas, condiciones y finalidad perseguidas, siendo contraria a la tica
profesional la difusin de publicidad falsa o engaosa que tenga como objetivo
confundir a los potenciales usuarios de dichos servicios.
Principio de responsabilidad
El auditor deber, como elemento intrnseco de todo comportamiento profesional,
responsabilizarse de lo que haga, diga o aconseje.
Si bien este principio aparentemente puede resultar gravoso en auditorias de gran
complejidad es preciso tenerlo presente a fin de poder garantizar su responsabilidad
en los casos en que, debido a errores humanos durante la ejecucin de la auditoria, se
produzcan daos a su cliente que le pudieran ser imputados.
Por ello es conveniente impulsar la formalizacin y suscripcin de seguros, adaptados
a las peculiares caractersticas de su actividad, que cubran la responsabilidad civil de
los auditores con una suficiente cobertura a fin de acrecentar la confianza y solvenciade su actuacin profesional.
La responsabilidad del auditor conlleva la obligacin de resarcimiento de los daos o
perjuicios que pudieran derivarse de una actuacin negligente o culposa.
Principio de secreto profesional
La confidencia y confianza con caractersticas esenciales de las relaciones entre el
auditor y el auditado e imponen al primero la obligacin de guardar en secreto loshechos e informaciones que conozca en el ejercicio de su actividad profesional.
solamente por imperativo legal podr decaer esa obligacin.
Este principio obliga primero a no difundir a terceras personas ningn dato que haya
visto, odo, o deducido durante el desarrollo de su trabajo que pudiera perjudicar a su
cliente.
Establecimiento de las medidas y mecanismos de seguridad pertinentes para
garantizar al auditado que la informacin documentada, obtenida a lo largo de la
8/2/2019 Apuntes de Auditoria Ver 1 Abril 2012
17/33
Instituto Tecnolgico El Llano Aguascalientes
Licenciatura en Informtica
Auditoria Informtica
Mauricio Ramos Dvila
auditoria, va a quedar almacenada en entornos o soportes que impidan la
accesibilidad a la misma por terceras personas no autorizadas.
Principio de servicio publico
La aplicacin de este principio debe incitar al auditor a hacer lo que est en su mano y
sin perjuicio de los intereses de su cliente, para evitar daos sociales.
Deber poner de manifiesto sus opciones personales cuando entren en contradiccin
con la tica social que el auditado pueda presumir que esta implcitamente aceptada
por el auditor.
Exige una continua elevacin del arte de la ciencia en el campo de la auditoria
informtica.Principio de veracidad
El auditor en sus comunicaciones con el auditado deber tener siempre presente la
obligacin de asegurar la veracidad de sus manifestaciones con los lmites impuestos
por los deberes de respeto, correccin, y secreto profesional.
el principio de veracidad no debe, sin embargo, considerarse como constreido a
expresar nicamente aquello sobre lo que se tenga una absoluta y total certeza, sino
que implica poner de manifiesto aquello que tenga el suficiente grado de fiabilidadcomo para ser considerado como veraz mientras no se aporten datos o pruebas que
demuestren lo contrario.
La aplicacin de este principio exige al auditor, en el marco de su obligacin de
informar al auditado sobre el trabajo realizado, comunique a este ultimo sus
conclusiones, diferenciando los hechos constatados de las opiniones, propuestas y
valoraciones personales, debiendo actuar en la comprobacin de los primeros y en la
fundamentacin de las restantes con una suficiente diligencia profesional para
garantizar el cumplimiento de su obligacin de informar verazmente.
1.7 Responsabilidades de los administradores y del auditor.
8/2/2019 Apuntes de Auditoria Ver 1 Abril 2012
18/33
Instituto Tecnolgico El Llano Aguascalientes
Licenciatura en Informtica
Auditoria Informtica
Mauricio Ramos Dvila
Unidad II Planeacin de la Auditoria Informtica
2.1 Fases de la Auditoria Informtica
Fase I: Conocimientos del Sistema Fase II: Anlisis de transacciones y recursos
Fase III: Anlisis de riesgos y amenazas
Fase IV: Anlisis de controles
Fase V: Evaluacin de Controles
Fase VI: El Informe de auditoria
Fase VII: Seguimiento de las Recomendaciones
Fase I: Conocimientos del Sistema
Aspectos Legales y Polticas Internas.
Sobre estos elementos est construido el sistema de control y por lo tantoconstituyen el marco de referencia para su evaluacin.
Caractersticas del Sistema Operativo.
Organigrama del rea que participa en el sistema Manual de funciones de las personas que participan en los procesos delSistema. Informes de auditora realizadas anteriormente
Caractersticas de la aplicacin de computadora Manual tcnico de la aplicacin del sistema Funcionarios (usuarios) autorizados para administrar la aplicacin Equipos utilizados en la aplicacin de computadora Seguridad de la aplicacin (claves de acceso) Procedimientos para generacin y almacenamiento de los archivos de la aplicacin.
Fase II: Anlisis de transacciones y recursos
Definicin de las transacciones.
Dependiendo del tamao del sistema, las transacciones se dividen en procesosy estos en subprocesos. La importancia de las transacciones deber serasignada con los administradores.
Anlisis de las transacciones
Establecer el flujo de los documentos. En esta etapa se hace uso de los flujogramas ya que facilita la visualizacin del funcionamiento y recorrido de losprocesos.
8/2/2019 Apuntes de Auditoria Ver 1 Abril 2012
19/33
Instituto Tecnolgico El Llano Aguascalientes
Licenciatura en Informtica
Auditoria Informtica
Mauricio Ramos Dvila
Anlisis de los recursos
Identificar y codificar los recursos que participan en el sistema.
Relacin entre transacciones y recursos
Fase III: Anlisis de riesgos y amenazas
Identificacin de riesgos
Daos fsicos o destruccin de los recursos Prdida por fraude o desfalco Extravo de documentos fuente, archivos o informes Robo de dispositivos o medios de almacenamiento Interrupcin de las operaciones del negocio Prdida de integridad de los datos Ineficiencia de operaciones Errores
Identificacin de las amenazas
Amenazas sobre los equipos: Amenazas sobre documentos fuente Amenazas sobre programas de aplicaciones Amenazas sobre la infraestructura.
Relacin entre recursos/amenazas/riesgos
La relacin entre estos elementos deber establecerse a partir de laobservacin de los recursos en su ambiente real de funcionamiento.
Fase IV: Anlisis de controles.
Codificacin de controles
Los controles se aplican a los diferentes grupos utilizadores de recursos, luegola identificacin de los controles debe contener una codificacin la cualidentifique el grupo al cual pertenece el recurso protegido.
Relacin entre recursos/amenazas/riesgos
La relacin con los controles debe establecerse para cada tema (Rec/Amz/Rie)Identificado. Para cada tema debe establecerse uno o ms controles.
Anlisis de cobertura de los controles requeridosEste anlisis tiene como propsito determinar si los controles que el auditorIdentific como necesarios proveen una proteccin adecuada de los recursos.
Fase V: Evaluacin de Controles
Objetivos de la evaluacin
Verificar la existencia de los controles requeridos Determinar la operatividad y suficiencia de los controles existentes
Plan de pruebas de los controles
Incluye la seleccin del tipo de prueba a realizar.
8/2/2019 Apuntes de Auditoria Ver 1 Abril 2012
20/33
Instituto Tecnolgico El Llano Aguascalientes
Licenciatura en Informtica
Auditoria Informtica
Mauricio Ramos Dvila
Debe solicitarse al rea respectiva, todos los elementos necesarios deprueba.
Pruebas de controles
Anlisis de resultados de las pruebas
Fase VI: El Informe de auditoria
Informe detallado de recomendaciones
Evaluacin de las respuestas
Informe resumen para la alta gerencia
Este informe debe prepararse una vez obtenidas y analizadas las respuestasde compromiso de las reas.
Introduccin: objetivo y contenido del informe de auditoria Objetivos de la auditora Alcance: cobertura de la evaluacin realizada Opinin: con relacin a la suficiencia del control interno del sistema evaluado Hallazgos (Evidencias) Recomendaciones
Fase VII: Seguimiento de las Recomendaciones
Informes del seguimiento
Evaluacin de los controles implantados
2.1.1 Planeacin de la auditora en informtica
Para hacer una adecuada planeacin de la auditora en informtica, hay queseguir una serie de pasos previos que permitirn dimensionar el tamao ycaractersticas de rea dentro del organismo a auditar, sus sistemas,organizacin y equipo. En el caso de la auditora en informtica, la planeacines fundamental, pues habr que hacerla desde el punto de vista de los dosobjetivos:
Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo.
Para hacer una planeacin eficaz, lo primero que se requiere es obtenerinformacin general sobre la organizacin y sobre la funcin de informtica aevaluar. Para ello es preciso hacer una investigacin preliminar y algunasentrevistas previas, con base en esto planear el programa de trabajo, el cualdeber incluir tiempo, costo, personal necesario y documentos auxiliares asolicitar o formular durante el desarrollo de la misma.
8/2/2019 Apuntes de Auditoria Ver 1 Abril 2012
21/33
Instituto Tecnolgico El Llano Aguascalientes
Licenciatura en Informtica
Auditoria Informtica
Mauricio Ramos Dvila
2.1.2 Revisin preliminar de la auditoria informtica
En esta fase el auditor debe de armarse de un conocimiento amplio del reaque va a auditar, los objetivos que debe cumplir, tiempos (una empresa nopude dejar sus equipos y personal que lo opera sin trabajar porque esto le
genera prdidas sustanciosas), herramientas y conocimientos previos, ascomo de crear su equipo de auditores expertos en la materia con el fin de evitartiempos muertos a la hora de iniciar la auditoria.
Es de tomarse en cuenta que el propietario de dicha empresa, ordena unaauditoria cuando siente que un rea tiene una falla o simplemente no trabajaproductivamente como se sugiere, por esta razn habr puntos claves que senos instruya sean revisados, hay que recordar que las auditorias parten desdeun mbito administrativo y no solo desde la parte tecnolgica, porque al fin decuentas hablamos de tiempo y costo de produccin, ejercicio de ventas, etc. Esdecir, todo aquello que representa un gasto para la empresa.
2.1.3 Examen evaluacin de la informacin
El examen de los objetivos de la auditora, sus normas, procedimientos y susrelaciones con el concepto de la existencia y evaluacin, nos lleva a laconclusin de que el papel del computador afecta significativamente lastcnicas a aplicar.
Mediante una revisin adecuada del sistema de procesamiento electrnico dedatos del cliente, y el uso de formatos bien diseados para su captura, elauditor puede lograr un mejor conocimiento de los procedimientos para control
del cliente.
Recreando programas de auditora por computador, el auditor cubre unaactividad ms grande de la utilidad mercantil tanto financiera como operacional;y puede utilizar recursos para analizar y evaluar campos de problemas deevaluacin en las operaciones del cliente. Tal mtodo incrementa su aptitudpara remitir ptimos servicios a los mismos. La evaluacin de un sistemainformtico, estriba primero en la revisin del mismo para obtener unconocimiento de cmo se dice que funciona, y ponerlo a prueba para acumularevidencias que demuestren como es el funcionamiento en la realidad.
Al evaluar la informacin automtica, el auditor debe revisar varios
documentos, como diagramas de flujo y documentos de programacin, paralograr un mejor entendimiento del sistema y los controles que se disearon enl. En el sistema de procesamiento electrnico de datos, el auditorprobablemente, encuentre nuevos controles, algunos de ellos necesarios parala automatizacin del proceso, y algunos que sustituyen aquellos que en losmtodos manuales se basaron en juicios humanos y la divisin de labores.Muchos de los controles en ambientes informticos, pueden combinarse en losprogramas de computadoras con en el proceso manual.
Para ayudar en la revisin de los sistemas de procesamiento de datos y loscontroles internos, en ocasiones de suma utilidad los cuestionarios paraobtener informacin respecto al sistema. Una vez obtenida la informacin, elauditor debe proceder a obtener evidencias de la existencia y efectividad de losprocedimientos para l.
8/2/2019 Apuntes de Auditoria Ver 1 Abril 2012
22/33
Instituto Tecnolgico El Llano Aguascalientes
Licenciatura en Informtica
Auditoria Informtica
Mauricio Ramos Dvila
Una parte significativa del sistema de control interno est comprendida en elprograma de la computadora. Existen baches en la ruta de auditora, haciendoDifcil e poco prctico obtener resultados o verificar clculos. Esta situacin esPosible tanto en aplicaciones sencillas, como en sistemas integrados
complejos.
El volumen de registros que quizs sea ms econmico y efectivo usarmtodos de datos de prueba, en vez de mtodos de prueba manual.
2.1.4. Examen y evaluacin de la informacin
El examen de los objetivos de la auditora, sus normas, procedimientos y sus
relaciones con el concepto de la existencia y evaluacin, nos lleva a laconclusin de que el papel del computador afecta significativamente las
tcnicas a aplicar. Mediante una revisin adecuada del sistema de
procesamiento electrnico de datos del cliente, y el uso de formatos bien
diseados para su captura, el auditor puede lograr un mejor conocimiento de
los procedimientos para control del cliente.
Recreando programas de auditora por computador, el auditor cubre una
actividad ms grande de la utilidad mercantil tanto financiera como operacional;
y puede utilizar recursos para analizar y evaluar campos de problemas deevaluacin en las operaciones del cliente. Tal mtodo incrementa su aptitud
para remitir ptimos servicios a los mismos. La evaluacin de un sistema
informtico, estriba primero en la revisin del mismo para obtener un
conocimiento de como se dice que funciona, y ponerlo a prueba para acumular
evidencias que demuestren como es el funcionamiento en la realidad.
Al evaluar la informacin automtica, el auditor debe revisar varios
documentos, como diagramas de flujo y documentos de programacin, para
lograr un mejor entendimiento del sistema y los controles que se disearon enl. En el sistema de procesamiento electrnico de datos, el auditor
probablemente, encuentre nuevos controles, algunos de ellos necesarios para
la automatizacin del proceso, y algunos que sustituyen aquellos que en los
mtodos manuales se basaron en juicios humanos y la divisin de labores.
Muchos de los controles en ambientes informticos, pueden combinarse en los
programas de computadoras con en el proceso manual.
Para ayudar en la revisin de los sistemas de procesamiento de datos y los
controles internos, en ocasiones de suma utilidad los cuestionarios paraobtener informacin respecto al sistema. Una vez obtenida la informacin, el
8/2/2019 Apuntes de Auditoria Ver 1 Abril 2012
23/33
Instituto Tecnolgico El Llano Aguascalientes
Licenciatura en Informtica
Auditoria Informtica
Mauricio Ramos Dvila
auditor debe proceder a obtener evidencias de la existencia y efectividad de los
procedimientos para l.
Una parte significativa del sistema de control interno est comprendida en el
programa de la computadora. Existen baches en la ruta de auditora, haciendodifcil e poco prctico obtener resultados o verificar clculos. Esta situacin es
posible tanto en aplicaciones sencillas, como en sistemas integrados
complejos.
El volumen de registros que quizs sea ms econmico y efectivo usar
mtodos de datos de prueba, en vez de mtodos de prueba manual.
2.1.5 Pruebas de controles de usuario.
El objetivo de esta fase es comprobar que los controles internos funcionan
como lo deben de hacer, es decir, que los controles que se supona que
existan, existen realmente y funcionan bien. Las tcnicas utilizadas, adems
de la recogida manual de evidencias ya descrita, contemplan el uso del
ordenador para verificar los controles.
Al final de la fase, el auditor puede decidir evaluar de nuevo el sistema de
controles internos, de acuerdo con la fiabilidad que han mostrado los controlesindividuales.
El procedimiento de evaluacin y la eleccin de nuevos procedimientos de
auditora son los mismos que los de las fases anteriores.
Prueba y Evaluacin de los Controles del Usuario
El auditor puede decidir que no hace falta confiar en los controles internos
porque existen controles del usuario que los sustituyen o compensan. Para unauditor externo, revisar estos controles del usuario puede resultar ms costoso
que revisar los controles internos. Para un auditor interno, es importante
hacerlo para eliminar posibles controles duplicados, bien internos o bien del
usuario, para evitar la redundancia.
2.1.6 Pruebas sustantivas.
El objetivo de las pruebas sustantivas es obtener evidencia suficiente que
permita al auditor emitir su juicio en las conclusiones acerca de cundo pueden
ocurrir perdida de materiales durante el proceso de la informacin.
8/2/2019 Apuntes de Auditoria Ver 1 Abril 2012
24/33
Instituto Tecnolgico El Llano Aguascalientes
Licenciatura en Informtica
Auditoria Informtica
Mauricio Ramos Dvila
Se pueden identificar 8 diferentes pruebas sustantivas:
1. Pruebas para identificar errores en el procesamiento o de falta de
seguridad o confidencialidad.
2. Prueba para asegurar la calidad de los datos.3. Pruebas para identificar la inconsistencia de datos.
4. Prueba para comparar con los datos o contadores fsicos.
5. Confirmacin de datos con fuentes externas
6. Pruebas para confirmar la adecuada comunicacin.
7. Prueba para determinar falta de seguridad.
8. Pruebas para determinar problemas de legalidad.
2.2 Evaluacin de los sistemas de acuerdo al riesgo.
Consideraciones Inmediatas para la Auditora de la Seguridad
A continuacin se citarn las consideraciones inmediatas que se deben tener para
elaborar la evaluacin de la seguridad, pero luego se tratarn las reas especficas
con mucho mayor detalle.
Uso de la Computadora
Se debe observar el uso adecuado de la computadora y su software que puede ser
susceptible a:
- tiempo de mquina para uso ajeno
- copia de programas de la organizacin para fines de comercializacin (copia pirata)
- acceso directo o telefnico a bases de datos con fines fraudulentos
Sistema de Acceso
Para evitar los fraudes computarizados se debe contemplar de forma clara los accesos
a las computadoras de acuerdo a:
- nivel de seguridad de acceso
- empleo de las claves de acceso
8/2/2019 Apuntes de Auditoria Ver 1 Abril 2012
25/33
Instituto Tecnolgico El Llano Aguascalientes
Licenciatura en Informtica
Auditoria Informtica
Mauricio Ramos Dvila
- evaluar la seguridad contemplando la relacin costo, ya que a mayor tecnologa de
acceso mayor costo
Cantidad y Tipo de Informacin
El tipo y la cantidad de informacin que se introduce en las computadoras debe
considerarse como un factor de alto riesgo ya que podran producir que:
- la informacin este en manos de algunas personas
- la alta dependencia en caso de prdida de datos
Control de Programacin
Se debe tener conocer que el delito ms comn est presente en el momento de la
programacin, ya que puede ser cometido intencionalmente o no, para lo cual se debe
controlar que:
- los programas no contengan bombas lgicas
- los programas deben contar con fuentes y sus ltimas actualizaciones
- los programas deben contar con documentacin tcnica, operativa y de emergencia
Personal
Se debe observar este punto con mucho cuidado, ya que hablamos de las personas
que estn ligadas al sistema de informacin de forma directa y se deber contemplar
principalmente:
- la dependencia del sistema a nivel operativo y tcnico
- evaluacin del grado de capacitacin operativa y tcnica
- contemplar la cantidad de personas con acceso operativo y administrativo
- conocer la capacitacin del personal en situaciones de emergencia
Medios de Control
8/2/2019 Apuntes de Auditoria Ver 1 Abril 2012
26/33
Instituto Tecnolgico El Llano Aguascalientes
Licenciatura en Informtica
Auditoria Informtica
Mauricio Ramos Dvila
Se debe contemplar la existencia de medios de control para conocer cuando se
produce un cambio o un fraude en el sistema. Tambin se debe observar con detalle el
sistema ya que podra generar indicadores que pueden actuar como elementos de
auditora inmediata, aunque esta no sea una especificacin del sistema.
Rasgos del Personal
Se debe ver muy cuidadosamente el carcter del personal relacionado con el sistema,
ya que pueden surgir:
- malos manejos de administracin
- malos manejos por negligencia
- malos manejos por ataques deliberados
Instalaciones
Es muy importante no olvidar las instalaciones fsicas y de servicios, que significan un
alto grado de riesgo. Para lo cual se debe verificar:
- la continuidad del flujo elctrico
- efectos del flujo elctrico sobre el software y hardware
- evaluar las conexiones con los sistemas elctrico, telefnico, cable, etc.
- verificar si existen un diseo, especificacin tcnica, manual o algn tipo de
documentacin sobre las instalaciones
Control de Residuos
Observar cmo se maneja la basura de los departamentos de mayor importancia,
donde se almacena y quien la maneja.
Establecer las reas y Grados de Riesgo
Es muy importante el crear una conciencia en los usuarios de la organizacin sobre el
riesgo que corre la informacin y hacerles comprender que la seguridad es parte de su
trabajo. Para esto se deben conocer los principales riesgos que acechan a la funcin
informtica y los medios de prevencin que se deben tener, para lo cual se debe:
8/2/2019 Apuntes de Auditoria Ver 1 Abril 2012
27/33
Instituto Tecnolgico El Llano Aguascalientes
Licenciatura en Informtica
Auditoria Informtica
Mauricio Ramos Dvila
Establecer el Costo del Sistema de Seguridad (Anlisis Costo vs Beneficio)
Este estudio se realiza considerando el costo que se presenta cuando se pierde la
informacin vs el costo de un sistema de seguridad.
Para realizar este estudio se debe considerar lo siguiente:
- clasificar la instalacin en trminos de riesgo (alto, mediano, pequeo)
- identificar las aplicaciones que tengan alto riesgo
- cuantificar el impacto en el caso de suspensin del servicio aquellas aplicaciones con
un alto riesgo
- formular las medidas de seguridad necesarias dependiendo del nivel de seguridad
que se requiera
- la justificacin del costo de implantar las medidas de seguridad
Costo x perdida Costo del
de informacin sistema de seguridad
Cada uno de estos puntos es de mucha importancia por lo que se sugiere clasificar
estos elementos en reas de riesgo que pueden ser:
Riesgo Computacional
Se debe evaluar las aplicaciones y la dependencia del sistema de informacin, para lo
cual es importante considerar responder las siguientes cuatro preguntas:
1. Qu sucedera si no se puede utilizar el sistema? Si el sistema depende de laaplicacin por completo se debe definir el nivel de riesgo. Por ejemplo citemos:
- Un sistema de reservacin de boletos que dependa por completo de un sistema
computarizado, es un sistema de alto riesgo.
- Una lista de clientes ser de menor riesgo.
- Un sistema de contabilidad fuera del tiempo de balance ser de mucho menor riesgo.
8/2/2019 Apuntes de Auditoria Ver 1 Abril 2012
28/33
Instituto Tecnolgico El Llano Aguascalientes
Licenciatura en Informtica
Auditoria Informtica
Mauricio Ramos Dvila
2. Qu consecuencias traera si es que no se pudiera acceder al sistema? Al
considerar esta pregunta se debe cuidar la presencia de manuales de respaldo para
emergencias o algn modo de cmo se soluciono este problema en el pasado.
3. Existe un procedimiento alternativo y que problemas ocasionara? Se debeverificar si el sistema es nico o es que existe otro sistema tambin computarizado de
apoyo menor. Ejemplo: S el sistema principal est diseado para trabajar en red sea
tipo WAN quiz haya un soporte de apoyo menor como una red LAN o mono usuario.
En el caso de un sistema de facturacin en red, si esta cae, quiz pudiese trabajar en
forma distribuida con un mdulo menor mono usuario y que tenga la capacidad de que
al levantarse la red existan mtodos de actualizacin y verificacin automtica.
4. Qu se ha hecho en casos de emergencia hasta ahora? Para responder esta
pregunta se debe considerar al menos las siguientes situaciones, donde se deberescatar los acontecimientos, las consecuencias y las soluciones tomadas,
considerando:
- Que exista un sistema paralelo al menos manual
- Si hay sistemas duplicados en las reas crticas (tarjetas de red, teclados, monitores,
servidores, unidades de disco, aire acondicionado).
- Si hay sistemas de energa ininterrumpida UPS.
- Si las instalaciones elctricas, telefnicas y de red son adecuadas (se debe contar
con el criterio de un experto).- Si se cuenta con un mtodo de respaldo y su manual
administrativo.
Conclusin
Cuando se ha definido el grado de riesgo se debe elaborar una lista de los sistemas
con las medidas preventivas que se deben tomar y las correctivas en casi de desastre,sealando la prioridad de cada uno. Con el objetivo que en caso de desastres se
trabajen los sistemas de acuerdo a sus prioridades.
2.3 Investigacin preliminar.
Dentro del rea de informtica o sistemas:
Objetivos a corto y largo plazo.
8/2/2019 Apuntes de Auditoria Ver 1 Abril 2012
29/33
Instituto Tecnolgico El Llano Aguascalientes
Licenciatura en Informtica
Auditoria Informtica
Mauricio Ramos Dvila
Recursos materiales y tcnicos
Solicitar documentos sobre los equipos, nmero de ellos, localizacin y
caractersticas.
Estudios de viabilidad.
Nmero de equipos, localizacin y las caractersticas (de los equipos instalados
y por instalar y programados)
Fechas de instalacin de los equipos y planes de instalacin.
Contratos vigentes de compra, renta y servicio de mantenimiento.
Contratos de seguros.
Convenios que se tienen con otras instalaciones.
Configuracin de los equipos y capacidades actuales y mximas.
Planes de expansin.
Ubicacin general de los equipos.
Polticas de operacin.
Polticas de uso de los equipos.
SISTEMAS Descripcin general de los sistemas instalados y de los que estn
por instalarse que contengan volmenes de informacin.
Manual de formas.
Manual de procedimientos de los sistemas.
Descripcin genrica.
Diagramas de entrada, archivos, salida.
Salidas.
Fecha de instalacin de los sistemas.
8/2/2019 Apuntes de Auditoria Ver 1 Abril 2012
30/33
Instituto Tecnolgico El Llano Aguascalientes
Licenciatura en Informtica
Auditoria Informtica
Mauricio Ramos Dvila
Proyecto de instalacin de nuevos sistemas.
En el momento de hacer la planeacin de la auditora o bien su realizacin, debemos
evaluar que pueden presentarse las siguientes situaciones.
Se solicita la informacin y se ve que:
No tiene y se necesita.
No se tiene y no se necesita.
Se tiene la informacin pero:
No se usa.
Es incompleta.
No esta actualizada.
No es la adecuada.
Se usa, est actualizada, es la adecuada y est completa.
En el caso de No se tiene y no se necesita, se debe evaluar la causa por la que
no es necesaria. En el caso de No se tiene pero es necesaria, se debe
recomendar que se elabore de acuerdo con las necesidades y con el uso que
se le va a dar. En el caso de que se tenga la informacin pero no se utilice, se
debe analizar por qu no se usa. En caso de que se tenga la informacin, se
debe analizar si se usa, si est actualizada, si es la adecuada y si est
completa.
El xito del anlisis crtico depende de las consideraciones siguientes:
Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la
informacin sin fundamento)
Investigar las causas, no los efectos.
Atender razones, no excusas.
No confiar en la memoria, preguntar constantemente.
8/2/2019 Apuntes de Auditoria Ver 1 Abril 2012
31/33
Instituto Tecnolgico El Llano Aguascalientes
Licenciatura en Informtica
Auditoria Informtica
Mauricio Ramos Dvila
Criticar objetivamente y a fondo todos los informes y los datos recabados.
2.4 Personal participante.
Una de las partes ms importantes en la planeacin de la auditoria en informtica es el
personal que deber participar, ya que se debe contar con un equipo seleccionado y
con ciertas caractersticas que puedan ayudar a llevar la auditoria de manera correcta
y en el tiempo estimado.
Aqu no se vera el nmero de persona que debern participar, ya que esto depende de
las dimensiones de la organizacin, de los sistemas y de los equipos, lo que se deber
considerar son exactamente las caractersticas que debe cumplir cada uno del
personal que habr de participar en la auditoria.
Uno de los esquemas generalmente aceptados para tener un adecuado control es que
el personal que intervenga este debidamente capacitado, que tenga un alto sentido de
moralidad, al cual se le exija la optimizacin de recursos (eficiencia) y se le retribuya o
compense justamente por su trabajo.
Con estas bases debemos considerar los conocimientos, la prctica profesional y la
capacitacin que debe tener el personal que intervendr en la auditoria.
Primeramente, debemos pensar que hay personal asignado por la organizacin, que
debe tener el suficiente nivel para poder coordinar el desarrollo de la auditoria,
proporcionarnos toda la informacin que se solicite y programar las reuniones y
entrevistas requeridas.
Este es un punto muy importante ya que, de no tener el apoyo de la alta direccin, ni
contar con un grupo multidisciplinario en el cual estn presentes una o varias personas
del rea a auditar, ser casi imposible obtener informacin en el momento y con las
caractersticas deseadas.
Tambin se deben contar con personas asignadas por los usuarios para que en el
momento que se solicite informacin, o bien se efecte alguna entrevista de
comprobacin de hiptesis, nos proporcionen aquello que se esta solicitando, y
complementen el grupo multidisciplinario, ya que debemos analizar no slo el punto de
vista de la direccin de informtica, sino tambin el del usuario del sistema.
Para complementar el grupo, como colaboradores directos en la realizacin de la
auditoria, se deben tener personas con las siguientes caractersticas:
8/2/2019 Apuntes de Auditoria Ver 1 Abril 2012
32/33
Instituto Tecnolgico El Llano Aguascalientes
Licenciatura en Informtica
Auditoria Informtica
Mauricio Ramos Dvila
Tcnico en informtica. Conocimientos de Administracin. Contadura y Finanzas.
Experiencia en el rea de informtica. Experiencia en operacin y anlisis de sistemas.
Conocimientos y experiencias en psicologa industrial. Conocimientos de los sistemas
operativos, bases de datos, redes y comunicaciones, dependiendo del rea y
caractersticas a auditar. Conocimientos de los sistemas ms importantes.
En el caso de sistemas complejos se deber contar con personal con conocimientos y
experiencias en reas especficas como base de datos, redes y comunicaciones,
etctera.
Lo anterior no significa que una sola persona deba tener los conocimientos y
experiencias sealadas, pero si que deben intervenir una o varias personas con las
caractersticas apuntadas.
Una vez planeada la forma de llevar a cabo la auditoria, estaremos en posibilidad de
presentar la carta (convenio de servicios profesionales en el caso de auditores
externos -) y el plan de trabajo.
La carta convenio es un compromiso que el auditor dirige a su cliente para su
confirmacin de aceptacin. En ella se especifican el objetivo y el alcance de la
auditoria, las limitaciones y la colaboracin necesaria, el grado de responsabilidad y
los informes que se han de entregar.
8/2/2019 Apuntes de Auditoria Ver 1 Abril 2012
33/33
Instituto Tecnolgico El Llano Aguascalientes
Licenciatura en Informtica
Auditoria Informtica
Referencias:
[1] Mi tecnolgico, Tecnolgico, Febrero 2012,http://www.mitecnologico.com/Main/AuditoriaInformatica
http://www.mitecnologico.com/Main/AuditoriaInformaticahttp://www.mitecnologico.com/Main/AuditoriaInformaticahttp://www.mitecnologico.com/Main/AuditoriaInformaticaTop Related