Libro AuditoriaI 2012-2

Nombre: __________________________________
Grupo:
_________
INDICE
BLOQUE I: INTRODUCCIN A LA AUDITORA INFORMTICA. ......................................... 4

EC01: LA INFORMACIN DE LAS COMPUTADORAS ................................................................................ 5 CONCEPTOS DE AUDITORA Y AUDITORA INFORMTICA......................................................... 8 Introduccin .................................................................................................................................. 8 1.1 Concepto de auditora ............................................................................................................. 8 1.2 Tipos de auditora ................................................................................................................. 10 Auditora interna: ........................................................................................................................ 10 Auditora informtica de sistemas: .............................................................................................. 12 Auditora a los planes de desarrollo empresarial: ........................................................................ 12 Auditora administrativa:.............................................................................................................. 13 Auditora financiera: .................................................................................................................... 13 Auditora de gestin: ................................................................................................................... 13 Auditora de gestin de ambiental: .............................................................................................. 13 Auditora de gestin y resultados: ............................................................................................... 14 Auditora integral: ........................................................................................................................ 14 EC02: CONCEPTO DE AUDITORA ...................................................................................................... 15 1.3 Auditora en informtica ........................................................................................................ 16 Objetivos de la auditora informtica. .......................................................................................... 17 EC03: AUDITORA INFORMTICA ....................................................................................................... 19 EC04: NORMAS Y PROCEDIMIENTO DE AUDITORA .............................................................................. 20 CONTROL INTERNO .......................................................................................................................... 21 EC05: CONTROL INTERNO ................................................................................................................ 23 EL AUDITOR ..................................................................................................................................... 26 Introduccin ................................................................................................................................ 26 EC06: LOS AUDITORES .................................................................................................................... 29 EC07: CDIGO DE TICA DE LOS AUDITORES ..................................................................................... 34 EC08: ACTIVIDAD INTEGRADORA DEL BLOQUE ................................................................................... 35
BLOQUE II: PLANEACIN DE LA AUDITORA INFORMTICA ......................................... 36

FASES DE LA AUDITORIA INFORMTICA .............................................................................................. 38 Fase I: Conocimientos del Sistema ............................................................................................. 38 Fase II: Anlisis de transacciones y recursos.............................................................................. 38 Fase III: Anlisis de riesgos y amenazas .................................................................................... 38 Fase IV: Anlisis de controles ..................................................................................................... 39
Fase V: Evaluacin de Controles ................................................................................................ 39 Fase VI: Informe de Auditoria ..................................................................................................... 39 Fase VII: Seguimiento de Recomendaciones.............................................................................. 39 EC09: FASES DE LA AUDITORIA INFORMTICA ................................................................................... 46 EC10: PLANEACIN DE LA AUDITORA................................................................................................ 48 EC11: REVISIN PRELIMINAR............................................................................................................ 49 EC12: REVISIN DETALLADA ............................................................................................................ 50 EC13: AUDITORA FSICA .................................................................................................................. 51 MARCAS DE AUDITORA .................................................................................................................... 52 EC14: MARCAS DE AUDITORIA .......................................................................................................... 54
BLOQUE III: AUDITORA INFORMTICA POR REAS ...................................................... 55

INFORME FINAL DE AUDITORIA ........................................................................................................... 56 El informe final ............................................................................................................................ 56 EC21: EL INFORME FINAL ................................................................................................................. 58 EC22: ACTIVIDAD INTEGRADORA ...................................................................................................... 59
ANEXOS................................................................................................................................. 60
I: Introduccin a la auditora informtica
Bloque I: Introduccin a la auditora informtica.
El Bloque I, tiene como finalidad conocer los elementos fundamentales de la auditoria informtica, as como sus conceptos bsicos y principios ticos para identificar su utilidad en las organizaciones.
M.C. Gabriel Huesca Aguilar Pgina 4
I: Introduccin a la auditora informtica EC01: La informacin de las computadoras

Fecha: ___/____/201___
Nombre: _____________________________________________ Grupo: __________

Instrucciones: Lee con atencin la siguiente situacin didctica, analiza el problema y elabora una reflexin acerca de qu hacer para evitarlo, en la que expreses tus opiniones y experiencias para enriquecer el tema, mostrando tolerancia y respetando las reglas de convivencia social.
En el hospital El paciente impaciente han desaparecido dos computadoras una en el servicio de archivo y otra del servicio de cuidados intensivos. Por lo anterior se han desatado algunos problemas que conllevan a subsanar dicha perdida. 1. Qu debe hacer el encargado para sustituir las computadoras? 2. Cunto tiempo crees que es necesario para tener una computadora que haga el mismo trabajo que hacia la que robaron? 3. Qu haras t para arreglar el problema? 4. Qu debes saber para conectarlo en la red y con los archivos necesarios para trabajar correctamente?
M.C. Gabriel Huesca Aguilar
Pgina 5
I: Introduccin a la auditora informtica EC01: Ideas sobre Auditoria Informtica

Nombre: _________________________________________ Fecha: ___/_____/2011 Grupo: _________
Instrucciones: Participado en la lluvia de ideas sobre los conceptos bsico acerca de la Auditoria Informtica completa el siguiente cuadro: Para crear una definicin que te permita entender de lo que ests hablando es necesario: 1. Definir de una forma concreta (objeto, animal, ciencia, procedimiento, cosa, etc) 2. Actividad que realiza el objeto de estudio (nica para el objeto). 3. Contexto en el que lo realiza 4. Referentes del objeto (ejemplos, comparaciones etc, si es posible). AUDITORIA Forma concreta Actividad que realiza
Contexto
Referentes
AUDITORIA INFORMATICA Forma concreta Actividad que realiza
Contexto
Referentes
Pgina 6

AUDITOR Forma concreta Actividad que realiza
Contexto
Referentes
NORMA Forma concreta Actividad que realiza
Contexto
Referentes
ESTANDAR Forma concreta Actividad que realiza
Contexto
Referentes
Pgina 7
CONCEPTOS DE AUDITORA Y AUDITORA INFORMTICA1

Introduccin El concepto de auditora informtica ha estado siempre ligado al de auditora en general y al de auditora interna en particular, y ste ha estado unido desde tiempos histricos al de contabilidad y de control de los registros y de las operaciones. Aun algunos historiadores fijan el nacimiento de la escritura como consecuencia de la necesidad de registrar y controlar operaciones (Dale Flesher, 50 Yeras of progress). Hago este referencia histrica a fin de explicar la evolucin de la corta pero intensa historia de la auditora informtica, y para que posteriormente nos sirva de referencia al objeto de entender las diferentes tendencias que existen en la actualidad. Si analizamos el nacimiento y la existencia de la auditora informtica desde un punto de vista empresarial, tendremos que empezar analizando el contexto organizativo y ambiental en el que se mueve. Empezaremos diciendo que tanto dentro del contexto estratgico como del operativo de las organizaciones actuales, los sistemas de informacin y la arquitectura que los soporta desempean un importante papel como uno de los soportes bsicos para la gestin y el control del negocio, siendo as unos de los requerimientos bsicos de cualquier organizacin. Esto da lugar a los sistemas de informacin de una organizacin. La auditoria se desarrolla con base a normas, procedimientos y tcnicas definidas formalmente por institutos establecidos a nivel nacional e internacional; por lo tanto, solo se expondrn algunos aspectos necesarios para su entendimiento; no obstante, se sugiere leer los libros listados en la bibliografa, as como la participacin directa y activa en los institutos o asociaciones relacionados con el campo de la especialidad. Por lo anterior, en este captulo se incluyen lecturas que analizan en diferentes tipos de auditora, as como lo expuesto por Mario Piattini y Emilio del Peso en su obra Auditora Informtica: un enfoque practico en lo relativo a la auditora informtica y su alcance. 1.1 Concepto de auditora Con frecuencia la palabra auditora se ha empleado incorrectamente y se ha considerado como una evaluacin cuyo nico fin es detectar errores y sealar fallas; por eso se ha llegado a acuar la frase "tiene auditora" como sinnimo de que, desde antes de realizarse, ya se encontraron fallas y por lo tanto se est haciendo la auditora. El concepto de auditora es ms amplio: no slo detecta errores, sino que es un examen crtico que se realiza con objeto de evaluar la eficiencia y eficacia de una seccin o de un organismo. La palabra auditora viene del latn auditorius, y de sta proviene auditor, que tiene la virtud de or, y el diccionario lo define como "revisor de cuentas colegiado". El auditor tiene la virtud de or y revisar cuentas, pero debe estar encaminado a un objetivo especfico que es el de evaluar la eficiencia y eficacia con que se est operando para que, por medio del
1
http://www.oocities.org/mx/acadentorno/aui1.pdf
Pgina 8

sealamiento de cursos alternativos de accin, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuacin. Si consultamos nuevamente el diccionario encontramos que eficacia es: "virtud, actividad, fuerza, para poder obrar"; mientras que eficiencia es: "virtud y facultad para lograr un efecto determinado", por lo que eficiencia es el poder lograr lo planeado con los menores recursos posibles, mientras que eficacia es lograr los objetivos. El Boletn "C" de Normas de Auditora del Instituto Mexicano de Contadores nos dice: "La auditora no es una actividad meramente mecnica que implique la aplicacin de ciertos procedimientos cuyos resultados, una vez llevados a cabo, son de carcter indudable. La auditora requiere el ejercicio de un juicio profesional, slido y maduro, para juzgar los procedimientos que deben de seguirse y estimar los resultados obtenidos . As como existen normas y procedimientos especficos para la realizacin de auditoras contables, debe haber tambin normas y procedimientos para la realizacin de auditoras en informtica como parte de una profesin. Pueden estar basadas en las experiencias de otras profesiones pero con algunas caractersticas propias y siempre guindose por el concepto de que la auditora debe ser ms amplia que la simple deteccin de errores, y adems la auditora debe evaluar para mejorar lo existente, corregir errores y proponer alternativas de solucin. A continuacin se presentan diversos conceptos de auditora. Es un proceso formal y necesario para las empresas con el fin de asegurar que todos sus activos sean protegidos en forma adecuada. Asimismo, la alta direccin espera que de los proyectos de auditora surjan las recomendaciones necesarias para que se lleven a cabo de manera oportuna y satisfactoria las polticas, controles y procedimientos y definidos formalmente, con objeto de que cada individuo o funcin de la organizacin opere de modo productivo en sus actividades diarias, respetando las normas generales de honestidad y trabajo aceptadas. [Hernndez, 1997]. Examen metdico de una situacin relativa a un producto, proceso u organizacin en materia de calidad, realizada en cooperacin con los interesados para verificar la concordancia de la realidad con lo preestablecido y la adecuacin al objetivo buscado. Actividad para determinar, por medio de la investigacin, la adecuacin de los procedimientos establecidos, instrucciones, especificaciones, codificaciones y estndares u otros requisitos, la adhesin de los mismos y la eficiencia de su implantacin. Es la investigacin, consulta, revisin, verificacin, comprobacin y evidencia. Aplicada la empresa es el examen del estado financiero de una empresa realizada por personal cualificado e independiente, de acuerdo con normas de contabilidad, con el fin de esperar una opinin con que tales estados contables muestran lo acontecido en el negocio. Requisito fundamental es la independencia. Se define como la acumulacin y la evaluacin de las evidencias sobre la informacin cuantificable de una entidad econmica para determinar y opinar sobre el grado de correspondencia que hay entre la informacin y el criterio establecido. [Zamarripa, 2002].

Es un proceso sistemtico para obtener y evaluar evidencias de una manera objetiva respecto a las afirmaciones correspondientes a actos econmicos y eventos para determinar el grado de correspondencia entre estas afirmaciones y criterios establecidos y comunicar los resultados a los usuarios interesados.[Kell-Ziegler]. En el ambiente de sistemas, los exmenes de las operaciones que realiza un sistema de computo con la finalidad de evaluar la situacin del mismo. Los auditores deben tener la capacidad de validar los reportes y de probar la autenticidad y la precisin de los datos y la informacin que se maneja. [Gonzlez]. Representa el examen de los estados financieros de una entidad, con el objeto de que el contador pblico independiente emita una opinin profesional si dichos estados representan la situacin financiera, los resultados de las operaciones, las variaciones en el capital contable y los cambios en la situacin financiera de una empresa, de acuerdo a los principios de la contabilidad generalmente aceptados. 1.2 Tipos de auditora La auditora, como cualquier disciplina toma caractersticas diferentes de acuerdo al campo de accin en que se desenvuelven. Sin embargo, el objetivo final debe responder a la definicin general de auditora. De acuerdo a las personas que la realizan se pueden reconocer dos tipos de auditora. Fuente: (http://www.monografias.com/trabajos12/aufi.shtml) Marin Calv Hugo Armando. Auditora interna: Es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados econmicamente. La auditora interna existe por expresa decisin de la Empresa, o sea, que puede optar por su disolucin en cualquier momento. Por otro lado, la auditora externa es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditora Interna, debido al mayor distanciamiento entre auditores y auditados. La auditora informtica interna cuenta con algunas ventajas adicionales muy importantes respecto de la auditora externa, las cuales no son tan perceptibles como en las auditoras convencionales. La auditora interna tiene la ventaja de que puede actuar peridicamente realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitan a las Auditorias, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo. En una empresa, los responsables de Informtica escuchan, orientan e Informan sobre las posibilidades tcnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto, Informtica trata de satisfacer lo ms adecuadamente posible aquellas necesidades. La empresa necesita controlar su Informtica y sta necesita que su propia gestin est sometida a los mismos procedimientos y estndares que el resto de aquella. La conjuncin de ambas necesidades cristaliza en la figura del auditor interno informtico.
Pgina 10

En cuanto a empresas se refiere, solamente las ms grandes pueden poseer una Auditora propia y permanente, mientras que el resto acuden a las auditoras externas. Puede ser que algn profesional informtico sea trasladado desde su puesto de trabajo a la Auditora Interna de la empresa cuando sta existe. Finalmente, la propia Informtica requiere de su propio grupo de Control interno, con implantacin fsica en su estructura, puesto que si se ubicase dentro de la estructura Informtica ya no sera independiente. Hoy, ya existen varias organizaciones Informticas dentro de la misma empresa, y con diverso grado de autonoma, que son coordinadas por rganos corporativos de Sistemas de Informacin de las Empresas. Una Empresa o Institucin que posee auditora interna puede y debe en ocasiones contratar servicios de auditora externa. Las razones para hacerlo suelen ser: Necesidad de auditar una materia de gran especializacin, para la cual los servicios propios no estn suficientemente capacitados. Contrastar algn Informe interno con el que resulte del externo. en aquellos supuestos de emisin interna de graves recomendaciones que chocan con la opinin generalizada de la propia empresa. Servir como mecanismo protector de posibles auditoras informticas externas decretadas por la misma empresa. Aunque la auditora interna sea independiente del Departamento de Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen auditoras externas como para tener una visin desde afuera de la empresa. La auditora informtica, tanto externa como interna, debe ser una actividad exenta de cualquier contenido o matiz "poltico" ajeno a la propia estrategia y poltica general de la empresa. La funcin auditora puede actuar de oficio, por iniciativa del propio rgano, o a instancias de parte, esto es, por encargo de la direccin o cliente. De acuerdo al objetivo de la auditora, tenemos: Auditora de cumplimiento: Es la comprobacin o examen de operaciones financieras, administrativas, econmicas y de otra ndoIe de una entidad para establecer que se han realizado conforme a las normas legales, reglamentarias, estatuarias y de procedimientos que le son aplicables. Esta auditora se practica mediante la revisin de documentos que soportan legal, tcnica, financiera y contablemente las operaciones para determinar si los procedimientos utilizados y las medidas de control interno estn de acuerdo con las normas que le son aplicables y si dichos procedimientos estn operando de manera efectiva y son adecuados para et logro de los objetivos de la entidad. Auditora operativa: Es el examen posterior, profesional, objetivo y sistemtico de la totalidad o parte de las operaciones o actividades de una entidad, proyecto, programa, inversin o contrato en particular, sus unidades integrantes u operacionales especficas. Su propsito es determinar los grados de efectividad, economa y eficiencia alcanzados por la organizacin y formular recomendaciones para mejorar las operaciones evaluadas. Relacionada bsicamente con los objetivos de eficacia, eficiencia y economa.
Pgina 11

Auditora informtica de sistemas: Se ocupa de analizar la actividad que se conoce como tcnica de sistemas en todas sus facetas. Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las comunicaciones. Lneas y redes de las instalaciones informticas, se auditen por separado, aunque formen parte del entorno general de sistemas. Su finalidad es el examen y anlisis de los procedimientos administrativos y de los sistemas de control interno de la compaa auditada. Al finalizar el trabajo realizado, los auditores exponen en su informe aquellos puntos dbiles que hayan podido detectar, as como las recomendaciones sobre los cambios convenientes a introducir, en su opinin, en la organizacin de la compaa. Normalmente, las empresas funcionan con polticas generales, pero hay procedimientos y mtodos, que son trminos ms operativos. Los procedimientos son tambin sistemas; si estn bien hechos, la empresa funcionar mejor. La auditora de sistemas analiza todos los procedimientos y mtodos de la empresa con la intencin de mejorar su eficacia. Sistemas Operativos. Engloba los Subsistemas de Teleprocesos, Entrada/Salida, etc. Debe verificarse en primer lugar que los Sistemas estn actualizados con las ltimas versiones del fabricante, indagando las causas de las omisiones. El anlisis de las versiones de los Sistemas Operativos permite descubrir las posibles incompatibilidades entre otros productos de Software Bsicos adquiridos por la instalacin y determinadas versiones de aquellas. Deben revisarse los parmetros variables de las libreras ms importantes de los Sistemas, por si difieren de los valores habituales aconsejados por el constructor. Software Bsico es fundamental para el auditor conocer los productos de software bsico que han sido facturados aparte de la propia computadora. Esto, por razones econmicas y por razones de comprobacin de que la computadora podra funcionar sin el producto adquirido por el cliente. En cuanto al software desarrollado por el personal informtico de la empresa, el auditor debe verificar que este no agreda ni condicione al Sistema Igualmente, debe considerar el esfuerzo en trminos de costes, por si hubiera alternativas ms econmicas. Auditora a los planes de desarrollo empresarial: La accin de planear 'las actividades permite al individuo fijarse metas, delinear los cursos de las acciones a seguir, establecer las reglas de juego, para que el lugar de estar a la defensiva, reaccionando a las circunstancias y eventualidades, haga que las circunstancias y eventualidades se ajusten a su voluntad mediante el establecimiento de un buen plan que le permita prever todos los posibles factores y elementos que pudieran incidir en las acciones, fijarse objetivos que deseen alcanzar, establecer las polticas que deban normar las operaciones y reglamentndolas en sistemas, mtodos y procedimiento, que allanen el camino para el buen logro de esos objetivos, colocndolo a la ofensiva, atacando en vez de esperar a ser atacado; es decir, actuando, en vez de estar reaccionando. Anticiparse a los hechos es evitar sorpresas, que en la mayora de los casos son desagradables. La auditora, al igual que cualquier otra actividad, requiere de una buena planeacin, que le permita desarrollarse eficientemente y oportunamente.
Pgina 12

Auditora administrativa: Es el revisar y evaluar Si los mtodos, sistemas y procedimientos que se siguen en todas las fases del proceso administrativo aseguran el cumplimiento con polticas, planes, programas, leyes y reglamentaciones que puedan tener un impacto significativo en operacin de los reportes y asegurar que la organizacin los este cumpliendo y respetando. Es el examen metdico y ordenado de los objetivos de una empresa de su estructura orgnica y de la utilizacin del elemento humano a fin de informar los hechos investigados. Su importancia radica en el hecho de que proporciona a los directivos de una organizacin un panorama sobre la forma como est siendo administrada por los diferentes niveles jerrquicos y operativos, sealando aciertos y desviaciones de aquellas reas cuyos problemas administrativos detectados exigen una mayor o pronta atencin. Auditora financiera: Es un proceso cuyo resultado final es la emisin de un informe, en el que el auditor da a conocer su opinin sobre la situacin financiera de la empresa, este proceso solo es posible IIevarlo a cabo a travs de un elemento llamado evidencia de auditoria, ya que el auditor hace su trabajo posterior a las operaciones de la empresa. La Auditora Financiera es la ms conocida de todas, pues es la requerida por las empresas y es la que ha presentado el mximo desarrollo. Auditora de gestin: La Auditora de Gestin aunque no tan desarrollada como la Financiera, es si se quiere de igualo mayor importancia que esta ltima, pues sus efectos tienen consecuencias que mejoran en forma apreciable el desempeo de la organizacin. La denominacin auditora de gestin funde en una, dos clasificaciones que tradicionalmente se tenan: auditora administrativa y auditora operacional. Auditora de gestin de ambiental: La creciente necesidad de controlar el impacto ambiental que generan las actividades humanas ha hecho que dentro de muchos sectores industriales se produzca un Incremento de la sensibilizacin respecto al medio ambiente. Debido a esto, las simples actuaciones para asegurar el cumplimiento legislativo han dado paso a sistemas de gestin medioambiental que permiten estructurar e integrar todos los aspectos medioambientales, coordinando los esfuerzos que realiza la empresa para llegar a objetivos previstos. Es necesario analizar y conocer en todo momento todos los factores de contaminacin que generan las actividades de la empresa, y por este motivo ser necesario que dentro del equipo humano se disponga de personas cualificadas para evaluar el posible impacto que se derive de los vectores ambientales. Establecer una forma sistemtica de realizar esta evaluacin es una herramienta bsica para que las conclusiones de las mismas aporten mejoras al sistema de gestin establecido. La aplicacin permanente del concepto mejora continua es un referente que en el campo medioambiental tiene una incidencia prctica constante, y por este motivo la revisin de todos los aspectos relacionados con la minimizacin del impacto ambiental tiene que ser una accin realizadas sin interrupcin.
Pgina 13

Auditora de gestin y resultados: Tiene por objeto el examen de la gestin de una empresa con el propsito de evaluar la eficacia de sus resultados con respecto a las metas previstas, los recursos humanos, financieros y tcnicos utilizados, la organizacin y coordinacin de dichos recursos y los controles establecidos sobre dicha gestin. Es una herramienta de apoyo efectivo a la gestin empresarial, donde se puede conocer las variables y los distintos tipos de control que se deben producir en la empresa y que estn en condiciones de reconocer y valorar su Importancia como elemento que repercute en la competitividad de la misma. Se tiene en cuenta la descripcin y anlisis del control estratgico, el control de eficacia, cumplimiento de objetivos empresariales, el control operativo o ejecucin y un anlisis del control como factor clave de competitividad. La auditora integral se ha desarrollado en los pases industrializados, especialmente en el Canad, teniendo una gran aplicacin en el mbito del control gubernamental. En s la auditora integral no es ms que la integracin de la auditora financiera con la auditora de gestin y la auditora de cumplimiento. La auditora de cumplimiento es la que hasta la vigencia de la anterior Constitucin, venia ejecutando la Contralora General de la Repblica, y que consista en el simple control numrico legal de las operaciones de los entes estatales en sus diferentes niveles. El Consejo Tcnico de la Contadura Pblica en su pronunciamiento No. 7 define as la Auditora de Cumplimiento: La auditora de cumplimiento consiste en la comprobacin o examen de las operaciones financieras, administrativas, econmicas y de otra ndole de una entidad para establecer que se han realizado conforme a las normas legales, estatutarias y de procedimientos que le son aplicables. La integracin de estos tres tipos de auditora implica que examen se debe realizar sobre tres grandes sistemas de informacin de la organizacin: sistema de informacin financiera, sistema de informacin de gestin y sistema de informacin legal. El concepto de auditora integral realmente no es nuevo en nuestro pas y por el contrario es si se quiere el ms antiguo, pues si se considera la figura de la institucin de la Revisarla Fiscal, sta cumple con los requerimientos de una auditora integral, pues en esencia el Revisor Fiscal debe examinar los tres grandes sistemas objeto de examen por esta ltima. Por lo dicho anteriormente se podra construir el siguiente concepto de auditora integral: Auditora integral: Es el examen crtico, sistemtico y detallado de los sistemas de informacin financiero, de gestin y legal de una organizacin, realizado con independencia y utilizando tcnicas especificas, con el propsito de emitir un informe profesional sobre la razonabilidad de la informacin financiera, la eficacia eficiencia y economicidad en el manejo de los recursos y el apego de las operaciones econmicas a las normas contables, administrativas y legales que le son aplicables, para la toma de decisiones que permitan la mejora de la productividad de la misma.
Pgina 14
I: Introduccin a la auditora informtica EC02: Concepto de Auditora

Fecha: ___/____/201___ Nombre: _____________________________________________ Grupo: __________
Instrucciones: Despus de haber ledo con atencin los conceptos de auditora elabora un es esquema (mapa mental, conceptual, cuadro sinptico o de doble entrada, etc), acerca de la informacin presentada.
Pgina 15

1.3 Auditora en informtica
Fuente: Piattini, Mario G y del peso, Emilio 2000. Auditoria Informtica: un enfoque practico computec RAMA. Madrid, Espaa.
Auditora en informtica
La auditora en informtica se desarrolla en funcin de normas, procedimientos y tcnicas definidas por institutos establecidos a nivel nacional e internacional; por lo tanto, nada ms se sealarn algunos aspectos bsicos para su entendimiento. As, la auditora en informtica es: A. Un proceso formal ejecutado por especialistas del rea de auditora y de informtica; se orienta a la verificacin y aseguramiento de las polticas y procedimientos establecidos para el manejo y uso adecuado de la tecnologa de informtica en la organizacin se lleve a cabo de una manera oportuna y eficiente. B. Las actividades ejecutadas por los profesionales del rea de Informtica y de auditora encaminadas a evaluar el grado de cumplimiento de polticas, controles y procedimientos correspondientes al uso de los recursos de informtica por el personal de la empresa (usuarios, informtica, alta direcci6n, etc.). Dicha evaluaci6n deber ser la pauta para la entrega del informe de auditora en informtica, el cual ha de contener las observaciones, recomendaciones y reas de oportunidad para el mejoramiento y la optimizacin permanente de la tecnologa de informtica en el negocio. C. El conjunto de acciones" que realiza el personal especializado en las reas de auditora y de informtica para el aseguramiento continuo de que todos los recursos de informtica operen en un ambiente de seguridad y control eficientes, con la finalidad de proporcionar a la alta direccin o niveles ejecutivos la certeza de que la informacin que pasa por el rea se manejan con los conceptos bsicos de integridad, totalidad, exactitud, confiabilidad, etc. D. Proceso metodolgico que tiene el propsito principal de evaluar todos los recursos (humanos, materiales, financieros, tecnol6gicos, etc.) Relacionados con la funcin de informtica para garantizar al negocio que dicho conjunto opera con un criterio de integracin y desempeos de niveles altamente satisfactorios para que apoyen la productividad y rentabilidad de la organizacin.(Hernndez, 1997). La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos. De este modo la auditoria informtica sustenta y confirma la consecucin de los objetivos tradicionales de la auditoria: Objetivos de proteccin de activos e integridad de datos. Objetivos de gestin que abarcan, no solamente los de proteccin de activos, sino tambin los de eficacia y eficiencia. El auditor evala y comprueba en determinados momentos del tiempo los controles y procedimientos informticos ms complejos, desarrollando y aplicando tcnicas mecanizadas de auditora, incluyendo el uso del software. En muchos casos, ya no es posible verificar manualmente los procedimientos informatizados que resumen, calculan y clasifican datos, por lo que se deber emplear software de auditoria y otras tcnicas asistidas por ordenador.

El auditor es responsable de revisar e informar a la Direccin de la Organizacin sobre el diseo y funcionamiento de los controles implantados y sobre la fiabilidad de la informacin suministrada. Se pueden establecer tres grupos de funciones a realizar por un auditor informtico: Participar en las revisiones durante y despus del diseo, realizacin, implantacin y explotacin de las aplicaciones informticas, as como en las fases anlogas de realizacin de cambios importantes. Revisar y juzgar los controles implantados en los sistemas informticos para verificar su adecuacin a las rdenes e instrucciones de la Direccin, requisitos legales, proteccin de confidencialidad y cobertura ante errores y fraudes. Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e informacin.
Auditora informtica:
Es un examen metdico del servicio informtico, o de un sistema informtico en particular, realizado de- una forma puntual y objetiva, a instancias de 1a direccin y con la intencin de ayudar a mejorar conceptos como la seguridad, eficiencia y rentabilidad del servicio informtico. En esta definicin hay cuatro palabras que destacan: "examen", "metdico", "puntual" y "objetivo": La auditora informtica es un examen, pues se verifica o comprueba el sistema informtico actualmente en uso. Este examen es metdico, ya que sigue un plan de trabajo, perfectamente diseado, que permite llegar a conclusiones suficientemente fundamentadas. Este examen es puntual, ya que se realiza en un momento determinado y bajo peticin de la direccin. Este examen es objetivo, ya que se realiza por un equipo externo al servicio de informtica para buscar la objetividad requerida. El servicio de auditora cubre una serie de actividades (controles, verificaciones, pruebas, etc.) para concluir elaborando un conjunto de recomendaciones y un plan de accin. La elaboracin de este plan de accin es una de las caractersticas que verdaderamente diferencia la auditora informtica del resto de tipos de auditoras. Objetivos de la auditora informtica. La definicin de los objetivos de la auditora informtica es un tema difcil y complejo. No existe un total acuerdo en la definicin de tales objetivos y en consecuencia, en el establecimiento de las funciones que debe desarrollar un auditor informtico. Para precisar esta situacin sera necesario: Definir el campo de actuacin del auditor informtico. Definir los objetivos de la auditora informtica. Para el campo de actuacin del auditor, seria preciso reflexionar sobre los siguientes aspectos: Organizacin en la que se desenvolver el auditor. Estructura. Tipo de actividad de la empresa.

Departamento de informtica objeto de la auditora. Grado de sofisticacin. Tamao. Recursos del departamento Relaciones con la auditora financiera. las propias limitaciones tcnicas del auditor.
De un modo general los objetivos de la auditora informtica podran ser: Elaborar un informe sobre los aspectos que afecten al alcance de una auditora y sealar riesgos de errores o fraudes de un sistema informtico. Evaluar la fiabilidad de los sistemas informticos, en cuanto a la exactitud de los datos y a las informaciones tratadas. Verificar el cumplimiento de la normativa general de la empresa. Comprobar la eficacia de los sistemas implantados. Comprobar si se ha estudiado el coste / beneficio. Garantizar la seguridad fsica y lgica. Evaluar la dependencia de una organizacin respecto a sus sistemas informticos, revisando las medidas tomadas en el caso de que se produzca un fallo y que permitan asegurar la continuidad de las actividades normales. Emisin de informes con la evaluacin independiente de los sistemas informticos. sintetizando riesgos, deficiencias, sugerencias y recomendaciones. Anlisis de la calidad y eficacia del servicio de atencin a los usuarios. Participacin y seguimiento de proyectos de investigacin.
Te quedaron dudas?, revisa estas fuentes de informacin: http://www.monografias.com/trabajos33/auditor/auditor.shtml http://www.monografias.com/trabajos17/auditoria/auditoria.shtml http://www.definicion.org/auditoria www.soeduc.cl/apuntes/concepto%20de%20auditoria.doc
Pgina 18
I: Introduccin a la auditora informtica EC03: Auditora Informtica

Fecha: ___/____/201___
Nombre: _____________________________________________ Grupo: __________

Instrucciones: Despus de haber ledo con atencin los conceptos de auditora informtica elabora un resumen que contenga las caractersticas de la auditoria informtica, y una reflexin acerca de la importancia de la misma en las organizaciones.
Pgina 19
I: Introduccin a la auditora informtica EC04: Normas y procedimiento de auditora

Fecha: ___/____/201___
Nombre: _____________________________________________ Grupo: __________ Instrucciones: Despus de leer y analizar la informacin contenida en el anexo 01, contesta las siguientes preguntas: 1. 2. 3. 4. 5. 6. 7. 8. 9. Menciona el origen de las normas y procedimientos de auditora. Menciona los objetivos de las normas y procedimientos de auditora. Qu requisitos de calidad deben reunir los miembros de la auditoria? Qu son las normas de auditora?, menciona su clasificacin Qu son los procedimientos de auditora y para qu sirven? Qu es el monitoreo? Y describe los 4 tipos brevemente. Qu es el ISO y para qu sirve? Qu es y para qu sirve el ISO 27000? Elige uno de los siguientes estndares internacionales ISO 27001, ISO 27002, ISO 27006 e ISO 27799 y desarrolla: A. Origen y actualizaciones B. Caractersticas de la norma C. Campo de aplicacin D. Referencias 10. Explica con tus propias palabras los beneficios de utilizar normas internacionales. 11. Explica brevemente el proceso de adaptacin. 12. Escribe una reflexin acerca del uso de las normas y las ventajas de utilizarlas. Evala: M.C. Gabriel Huesca Aguilar
Pgina 20
Control interno2
Bsicamente todos los cambios que se realizan en una organizacin someten a una gran tensin a los controles internos existentes. Cuando un auditor profesional se somete a auditar una empresa, lo primero que se le viene a la cabeza es mejorar todos los procesos que se llevan en la misma para buscar la eficiencia total. Este trabajo no se hace de la noche a la maana; para ello se empieza ya bien sea por reas o departamentos o mejor dicho se empieza a trabajar internamente. La mayora de las organizaciones han acometido varias iniciativas en tal sentido tales como: La reestructuracin de los procesos empresariales. La gestin de la calidad total. El redimensionamiento por reduccin y/o por aumento de tamao hasta el nivel correcto. La contratacin externa. La descentralizacin. CONTROL INTERNO INFORMATICO El control interno informtico controla diariamente que todas las actividades de sistemas de informacin sean realizadas cumpliendo los procedimientos, estndares y normas fijados por la direccin de la organizacin y/o la direccin informtica, as como los requerimientos legales. La funcin del control interno informtico es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y vlidas. Control interno informtico suele ser un rgano staff de la direccin del departamento de informtica y est dotado de las personas y medios materiales proporcionados a los cometidos que se le encomienden. Como principales objetivos podemos indicar los siguientes: Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales. Asesorar sobre el conocimiento de las normas. Colaborar y apoyar el trabajo de Auditoria informtica, as como de las auditorias externas al grupo. Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los graso adecuados del servicio informtico, lo cual no debe considerarse como que la implantacin de los mecanismos de medida y responsabilidad del logro de esos niveles se ubique exclusivamente en la funcin de control interno, si no que cada responsable de objetivos y recursos es responsable de esos niveles, as como de la implantacin de los medios de medida adecuados. La auditoria informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo los eficazmente los fines de la organizacin y utiliza eficiente mente los recursos. CONTROL INFORMATICO SIMILITUDES INTERNO AUDITOR INFORMATICO
PERSONAL INTERNO Conocimientos especializados en tecnologas de informacin verificacin del cumplimiento de controles internos, normativa y procedimientos establecidos por la direccin informtica y la direccin general para los sistemas de informacin. Anlisis de los controles en el Anlisis de un momento da a da informtico determinado
DIFERENCIAS
http://aabbccddee.galeon.com/winpy.htm
Pgina 21

Informa a la direccin del departamento de informtica slo personal interno el enlace de sus funciones es nicamente sobre el departamento de informtica Informa a la direccin general de la organizacin Personal interno y/o externo tiene cobertura sobre todos los componentes de los sistemas de informacin de la organizacin
DEFINICION Y TIPO DE CONTROLES INTERNOS Se puede definir el control interno como "cualquier actividad o accin realizada manual y/o automticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para lograr o conseguir sus objetivos. Los controles internos se clasifican en los siguientes: Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema. Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones.etc. Controles correctivos: Facilitan la suelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperacin de un fichero daado a partir de las copias de seguridad. IMPLANTACION DE UN SISTEMA DE CONTROLES INTERNOS INFORMATICOS Para llegar a conocer la configuracin del sistema es necesario documentar los detalles de la red, as como los distintos niveles de control y elementos relacionados: Entorno de red:esquema de la red, descripcin de la configuracin hardware de comunicaciones, descripcin del software que se utiliza como acceso a las telecomunicaciones, control de red, situacin general de los ordenadores de entornos de base que soportan aplicaciones crticas y consideraciones relativas a la seguridad de la red. Configuracin del ordenador base: Configuracin del soporte fsico, en torno del sistema operativo, software con particiones, entornos( pruebas y real ), bibliotecas de programas y conjunto de datos. Entorno de aplicaciones: Procesos de transacciones, sistemas de gestin de base de datos y entornos de procesos distribuidos. Productos y herramientas: Software para desarrollo de programas, software de gestin de bibliotecas y para operaciones automticas. Seguridad del ordenador base: Identificar y verificar usuarios, control de acceso, registro e informacin, integridad del sistema, controles de supervisin, etc. Para la implantacin de un sistema de controles internos informticos habr que definir: Gestin de sistema de informacin: polticas, pautas y normas tcnicas que sirvan de base para el diseo y la implantacin de los sistemas de informacin y de los controles correspondientes. Administracin de sistemas: Controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administracin de las redes. Seguridad: incluye las tres clases de controles fundamentales implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad. Gestin del cambio: separacin de las pruebas y la produccin a nivel del software y controles de procedimientos para la migracin de programas software aprobados y probados.
Pgina 22
I: Introduccin a la auditora informtica EC05: Control interno

Fecha: ___/____/201___
Nombre: _____________________________________________ Grupo: __________

Instrucciones: Escucha con atencin las indicaciones de tu maestro, realiza las intervenciones que te ayuden a entender sus instrucciones para que en equipo de 3 a 5 personas, elabores una ficha que contenga la informacin del equipo de trabajo para exponer acerca de control interno, de acuerdo al orden establecido por el maestro. 1. Completa la siguiente nota en la que contenga a los integrantes del equipo y las actividades que cada uno deber realizar en la muestra. Equipo: _________ Integrantes Jefe: 1.2.3.-
4.Actividades:
Nombre del equipo (opcional)
Pgina 23
Tipos de control interno

La funcin de auditora informtica se aplica en diferentes entornos o reas, cada una de las cuales tiene sus propios objetivos y estndares de aplicacin, estas reas son: Recursos informticos Funcin informtica Seguridad Informtica Desarrollo de Aplicaciones Funcin operacional Redes y comunicacin Bases de Datos
Por consiguiente tenemos lo siguientes tipos de controles internos Control interno de la funcin informtica: Control interno del desarrollo de sistemas: Control interno de la operacin Control interno de la seguridad informtica Control interno de los recursos informticos Control interno de las redes y comunicacin.
Pgina 24
Informacin para otorgar calificacin del control interno
Datos de Identificacin: Alumno Grupo Ev02: Control interno Evidencia Auditoria Informtica I Asignatura I: Introduccin a la auditoria informtica Bloque Evala M.C. Gabriel Huesca Aguilar
Criterios
Escala de 0 a 10 Presentacin en Microsoft Power point 2007 en adelante Presenta mrgenes adecuados, pie de pgina, orientacin de la hoja, formato a fuentes, imgenes, grficos, ortografa, formatos para el control. La explicacin es clara, sencilla y responde a las preguntas de sus compaeros. La informacin tiene estructura adecuada. Explica claramente el control investigado Utiliza la creatividad Los compaeros de grupo opinan que es buena. El da que se pide
Presentacin
Contenido Tiempo de entrega
Evaluacin: ________ Observaciones y comentarios:
Pgina 25
El auditor3
Introduccin
El auditor es aquella persona que lleva a cabo una auditoria capacitado con conocimientos necesarios para evaluar la eficacia de una empresa a la vez de poseer Una tica profesional y una responsabilidad hacia los clientes y colegas con el fin de prestarle un mejor servicio en el campo en que se desempea e integridad de la informacin de los mtodos empleados para identificar, medir, clasificar y reportar dicha informacin. El auditor debe revisar los sistemas establecidos para asegurarse del cumplimiento de las polticas, planes y procedimientos, leyes y reglamentos que pueden tener de impacto significativo en las operaciones e informes y deben determinar si la organizacin cumple con ellos. As mismos son responsables de determinar si los sistemas son adecuados y efectivos y si las actividades auditadas estn cumpliendo con los requerimientos apropiados. Tambin deben revisar las operaciones o programas para cerciorarse si los resultados son consistentes con los objetivos y metas establecidas y si las operaciones o programas se llevan a cabo como se planearon. El Auditor Es aquella persona que lleva a cabo una auditoria, capacitado con conocimiento necesario para evaluar la eficacia de una empresa. El auditor debe reunir, para el buen desempeo de su profesin caractersticas como: slida cultura general, conocimiento tcnico, actualizacin permanente, capacidad para trabajar en equipo multidisciplinario, creatividad, independencia, mentalidad y visin integradora, objetividad, responsabilidad, entre otras. Adems de esto, este profesional debe tener una formacin integral y progresiva. tica Profesional La tica profesional del auditor, se refiere a la responsabilidad del mismo para con el pblico, hacia los clientes y colegas y los niveles de conducta mximos y mnimos que debe poseer. A tal fin, existen cinco (5) conceptos generales, llamados tambin Principios de tica las cuales son: Independencia, integridad y objetividad. Normas generales y tcnicas. Responsabilidades con los clientes. Responsabilidades con los colegas. Independencia, integridad y objetividad: El auditor debe conservar la integridad y la objetividad y, cuando ejerce la contadura pblica, ser independiente de aquellos a quienes sirve. Los conceptos de la tica profesional, seccin ET 52-02 define la independencia como: La capacidad para actuar con integridad y objetividad. Objetividad es la posibilidad de mantener una actitud en todas las cuestiones sometidas a la revisin del auditor. El auditor debe expresar su opinin imparcialmente, en atencin a hechos reales comprobables, segn su propio criterio y con perfecta autonoma y, para tal fin, estar desligado a todo vnculo con los dueos, administradores e intereses de la empresa u organizacin que audite. Su independencia mental y su imparcialidad de criterio y de opinin deben serlo, no solamente de hecho, sino en cuanto a las apariencias tambin, por lo cual el auditor debe evitar cualquier entredicho que lo pueda vincular a situaciones que permitan dudar de tales cualidades.
http://www.monografias.com/trabajos33/auditor/auditor.shtml
Pgina 26

Normas Generales y Tcnicas: El auditor debe observar las normas generales y tcnicas de la profesin y luchar constantemente por mejorar su competencia y la calidad de sus servicios. Las normas generales y tcnicas son reglas de conducta que exigen la observancia de las normas relacionadas con la realizacin del trabajo. As, las primeras indican que un miembro a quien mediante otro contador solicite consejo profesional sobre una cuestin tcnica contable o de auditora, debe consultar con el otro contador antes de proporcionar ese consejo a fin de asegurarse de que el miembro conoce todos los datos y hechos disponibles. Responsabilidades con los clientes: El contador pblico debe ser imparcial y franco con sus clientes y servirles lo mejor que pueda, con inters profesional por los intereses de ellos, consecuente con sus responsabilidades para con el pblico y todo esto lo pondr de manifiesto a travs de independencia, integridad y objetividad. Una responsabilidad fundamental del contador pblico es la que se refiere a la confidencialidad y al conflicto de intereses. La regla 301 (seccin ET 301.01) dice que un miembro ...no revelar informacin confidencial alguna obtenida en el curso de un trabajo profesional, a menos que el cliente d su consentimiento. Necesidad de confidencialidad: Tanto el sentido comn como el concepto de independencia requieren que sea el auditor, no el cliente, quien decida qu informacin necesita el auditor para practicar una auditoria efectiva. En esa decisin no debe influir la creencia, de parte del cliente, de que cierta informacin es confidencial. Una auditoria eficiente y efectiva requiere que el cliente ponga en el auditor la confianza necesaria para ser sumamente franco al proporcionar informacin. Confidencialidad y privilegio: Con las excepciones indicadas, las comunicaciones entre el cliente y el auditor son confidenciales; es decir, el auditor no debe revelar la informacin contenida en la comunicacin sin el permiso del cliente. Normalmente, sin embargo, esa informacin no es privilegiada. La informacin es privilegiada si el cliente puede impedir que un tribunal o dependencia del gobierno tenga acceso a ella mediante un citatorio u orden de comparecencia. Informacin Confidencial: Los auditores y su personal tienen iguales responsabilidades que la administracin en cuanto al manejo de la informacin confidencial: no utilizarla para provecho personal, ni revelarla a quienes pudieran hacerlo. Esas responsabilidades estn claramente comprendidas en las estipulaciones generales del cdigo de tica profesional. Conflicto de intereses: El temor de algunos clientes de que sus secretos les sean comunicados a los competidores es tan grande que se niegan a contratar a auditores entre cuyos clientes figure un competidor. Otros quedan satisfechos con la seguridad de que el personal encargado de su trabajo no tenga contacto con el personal del competidor. El precio de obtener tan alto grado de confidencialidad es la prdida de los beneficios de una experiencia en el ramo que pueden aportar los auditores familiarizados con ms de una empresa dentro del mismo giro. La experiencia indica que el riesgo de que se filtre informacin que tenga valor competitivo es sumamente bajo. Responsabilidades con los colegas: Aunque no hay actualmente reglas de conducta especficas que gobiernan la responsabilidad de un contador pblico con sus colegas, los conceptos de tica profesional establecen el principio fundamental de cooperacin y buenas relaciones entre los miembros de la profesin. La seccin ET 55.01 expresa que un contador debe tratar con sus colegas en forma de que no disminuya su M.C. Gabriel Huesca Aguilar Pgina 27

reputacin y bienestar. Adems, al ofrecer sus servicios, no tratar de desplazar a otro contador en forma que lo desacredite. De manera que, si bien la competencia entre auditores es fuerte, sus acciones deben estar gobernadas por la cortesa profesional debida a los colegas. Responsabilidad legal Son muchas las responsabilidades generales por la profesin derivadas de estipulaciones legales. Amanera de sntesis se trata de dar una idea de este tema a continuacin: Responsabilidad ante los clientes: El auditor tiene una relacin contractual de carcter derivado con su cliente; en esta circunstancia es claro, de acuerdo con el derecho comn, que el profesional es responsable ante su cliente por negligencia en grado simple y, en consecuencia, tambin lo ser por negligencia en grado grave o por fraude. Por muchos aos los auditores han tenido buen cuidado de hacer saber claramente a sus clientes que una auditoria normal de estados financieros no lleva la intencin de descubrir desfalcos e irregularidades similares y as, el no hacerlo no puede ser motivo para demandarlo segn la Responsabilidad por fraudes y actos ilegales. Responsabilidad ante terceras personas: El problema de la responsabilidad ante terceras personas, conceptualmente, es equilibrar el derecho que razonablemente tiene el auditor de protegerse contra reclamaciones de personas desconocidas (y algunas veces innumerables), de quienes el auditor no tiene razn para sospechar que contarn con los resultados de su trabajo por un lado, y por el otro, lo que se considera como una importante poltica del Estado de proteger a todas esas terceras personas que confan en los estados financieros dictaminados contra los efectos adversos de la prctica profesional. Recomendaciones El auditor debe realizar procedimientos diseados a obtener suficiente y apropiada evidencia de auditora, en que puedan todos los elementos hasta la fecha del informe del auditor que puedan requerir de ajustes o exposiciones en los estados financieros, hayan sido identificados. Ciertos eventos y transacciones que ocurren despus de cada fin de ao, deben ser examinados como parte del trabajo normal de verificacin de auditora. Adems debe de llevar a cabo una revisin completamente documentada, de eventos subsecuentes la cual tiene como objetivo de obtener una seguridad razonable, de que todos los eventos importantes han sido identificados y expuestos o registrados en los estados financieros. La revisin debe ser actualizada a una fecha lo mas cercanamente posible a la fecha del informe de auditora, hablando con la gerencia y realizando pruebas futuras de ser necesario. Todos los procedimientos de auditora emprendidos y las conclusiones alcanzadas deben estar completamente documentadas las hojas de trabajo deben incluir notas, detalladas de reuniones, incluyendo quien estaba presente, los asuntos discutidos y el resto de las discusiones. Conclusin El auditor tiene la responsabilidad de mantener en completa integridad y objetividad la informacin que se le a dado de manera confidencial para poder llevar a cabo los requerimientos que se le han asignados y ofrecer una mejor calidad de sus servicios con el fin de que la organizacin donde est desempeando su labor quede conforme. Y obtener evidencia suficiente, confiable y til para lograr de manera eficaz los objetivos de la auditoria. Y tener responsabilidades que estn claramente comprendidas en las estipulaciones generales del cdigo de la tica profesional e inculcar normas generales y tcnicas de su competencia.
Pgina 28
I: Introduccin a la auditora informtica EC06: Los auditores

Fecha: ___/____/201___ Nombre: _____________________________________________ Grupo: _38______
Instrucciones: Despus de haber ledo con atencin la lectura anterior elabora un es esquema (mapa mental, conceptual, cuadro sinptico o de doble entrada, etc), acerca de la informacin presentada.
Pgina 29
PRINCIPIOS DEONTOLGICOS APLICABLES A LOS AUDITORES INFORMTICOS

Principio de beneficio del Auditado. El auditor deber obtener la mxima eficiencia y rentabilidad de los medios informticos de la empresa auditada, estando obligado a presentar sus recomendaciones acerca del reforzamiento del sistema informtico y el estudio de las soluciones idneas, siempre y cuando dichas soluciones no se contrapongan a los diferentes ordenamientos legales establecidos ni transgredan los principios morales o ticos de las normas deontolgicas. Para garantizar el beneficio del auditado as como la necesaria independencia del auditor informtico, el auditor no debe estar ligado a los intereses particulares de ciertas firmas, marcas, productos o equipos compatibles con los del cliente, sin hacer comparaciones de las caractersticas de los equipos de su cliente con los de otros fabricantes, cuando dichas comparaciones slo tengan por objeto provocar que su auditado compre dichos productos para el beneficio del auditor informtico. El auditor informtico deber abstenerse de hacer recomendaciones de compras onerosas a su cliente o dainas que originen riesgos innecesarios al auditado. Si el cliente decidiera escoger a otra firma de auditores informticos, el auditor actual tiene la obligacin de proporcionar toda la informacin de las auditoras previas sin poner en riesgo o se vulneren derechos de terceros protegidos con el secreto profesional que el auditor en todo momento debe guardar. Principio de Calidad. El auditor informtico debe prestar sus servicios tomando en consideracin todos los medios a su alcance con absoluta libertad y con condiciones tcnicas adecuadas para el idneo cumplimiento de su deber. Si el auditado no le proporcionara auditor informtico la informacin o medios indispensables mnimos para llevar a cabo su trabajo, dicho auditor informtico deber negarse a prestar su servicio profesional, hasta que se le garantice un mnimo de condiciones necesarias tcnicas que no comprometa la calidad de los resultados del trabajo del auditor informtico. Si el auditor informtico considera necesaria la intervencin de otros especialistas ms calificados sobre algn aspecto en particular, podrn solicitar su dictamen para reforzar la calidad y fiabilidad de su propia auditora. Principio de capacidad. El auditor informtico debe estar perfectamente capacitado profesionalmente para llevar a cabo una auditora encomendada, inclusive, dada su especializacin, a los auditados en algunos casos les puede ser extremadamente difcil verificar sus recomendaciones y evaluar correctamente la precisin de las mismas. El auditor debe estar consciente del alcance de sus conocimientos y de su experiencia profesional y aptitud para llevar a cabo una auditora informtica, evitando que una sobreestimacin personal de sus capacidades pudiera provocar el incumplimiento parcial o total de su trabajo, an cuando dicho incumplimiento no pudiese ser detectado por las personas que lo contrataran dada su ignorancia tcnica. El auditor informtico siempre deber estar actualizado profesionalmente para evitar que una obsolescencia en conocimiento de mtodos y tcnicas pudiesen inhabilitarle para el ejercicio de su profesin como auditor informtico. Por lo tanto la conclusin es que el auditor informtico siempre debe estar actualizado con los ltimos conocimientos de su profesin.
Pgina 30

Principio de cautela. El auditor informtico debe evitar que por un exceso de vanidad personal, el auditado se embarque en proyectos de nuevas tecnologas de la informacin por su supuesta evolucin an no comprobada, por simples intuiciones personales del auditor informtico. Por lo tanto el auditor informtico debe actuar con humildad, evitando dar la impresin de que est al corriente sobre informacin privilegiada sobre nuevas tecnologas y poner en peligro a su cliente. Principio de comportamiento profesional. El auditor informtico en sus relaciones con el auditado, as como con terceras personas, deber en todo momento, a actuar conforme a las normas, ya sean, implcitas o explcitas, de dignidad de la profesin y de correccin en el trato personal. Por lo anterior deber ser muy cuidadoso al emitir sus opiniones y juicios evitando caer en exageraciones o provocando preocupacin innecesaria, transmitiendo en todo momento una imagen de precisin y exactitud en sus comentarios que avalen su comportamiento profesional y le den mayor seguridad a sus clientes auditados. Principio de concentracin en el trabajo. El auditor tiene que evitar que por un exceso de trabajo afecte su concentracin y precisin en cada una de las tareas encomendadas. No debe asumir una acumulacin excesiva de trabajo que ponga en riesgo la calidad del mismo. Principio de confianza. El auditor debe incrementar la confianza del auditado en base a una actuacin con transparencia en su actividad profesional, sin alardes tcnicos o cientficos que por su incomprensin para el auditado puedan restarle credibilidad de los resultados obtenidos. El auditor debe mantener una confianza en las indicaciones del auditado, a no ser que encuentra evidencia que las contradiga, confirmndolo personalmente con el auditado. Principio de criterio propio. El auditor no debe estar supeditado a criterios de terceros, aunque stos tengan gran prestigio y no coincidan con la opinin del auditor informtico. El auditor informtico debe basarse en metodologas sustentables. Si el auditado se niega a seguir sus sugerencias, el auditor informtico debe pensar seriamente en suspender su servicio profesional. Principio de discrecin. El auditor informtico bajo ninguna circunstancia podr divulgar datos aparentemente sin importancia, que haya conocido en el transcurso de la auditora. Principio de economa. Es una obligacin del auditor informtico proteger la parte econmica del auditado evitando generarle gastos innecesarios en el ejercicio de su actividad. Tampoco por el simple hecho de cobrar ms dinero podr alargar innecesariamente su trabajo de auditora. Tampoco podr incurrir en gastos no justificados, ni inducir al cliente a erogarlos. Principio de formacin continuada. Este principio est ligado al principio de capacidad profesional y estrechamente relacionado con la continua evolucin de las tecnologas de informacin. En otras palabras este principio exige al auditor a mantenerse continuamente actualizado Principio de fortalecimiento y respeto de la profesin. Este principio exige un gran respeto al ejercicio de la profesin de auditora informtica, con un comportamiento que conlleve al idneo cumplimiento de su trabajo. De acuerdo con el principio de defensa de la profesin de los auditores, los mismos debern cuidar del reconocimiento del valor de su trabajo y de la correcta valoracin de la importancia de los resultados obtenidos en el mismo. En cuanto a la remuneracin econmica del auditor informtico, sta debe de ir de acuerdo a su experiencia profesional, evitando cobrar honorarios desproporcionados exageradamente o abusivos. M.C. Gabriel Huesca Aguilar Pgina 31

El auditor no puede competir deslealmente con colegas de profesin abaratando sus servicios de manera intencional Para poder atrapar a un cliente con sus servicios profesionales. En ningn momento podr confrontarse con colegas, sino promover el respeto mutuo. Sin embargo s es obligacin en caso de prcticas desleales de sus colegas denunciados para as poder proteger a su profesin y evitar caer en un desprestigio por deshonestos profesionistas informticos. Principio de independencia. Este principio validado con el principio de criterio propio, que exige una total autonoma en el ejercicio de su trabajo, sin influencias que pueden demeritarlo. Este principio garantiza al auditado que los intereses del propio auditado sern asumidos con gran objetividad profesional. Esta independencia implica que debe rechazar aquellos criterios profesionales con los que no est plenamente de acuerdo. Principio de informacin suficiente. Es obligacin profesional del auditor informtico dar a conocer a su auditado en forma clara, precisa y pormenorizada todos y cada uno de los trabajos llevados a cabo durante la auditora que puedan ser de inters para dicho auditado. Esta informacin es aquella que considere el auditor de inters o seguridad para su cliente. No debe proporcionar autopropaganda o inducir al cliente al que fije su mirada en datos comerciales no pertinentes o bien justificar la ausencia de determinadas precisiones que sean importantes aportando otras de menor inters y de ms fcil elaboracin para el auditor. Con sus conclusiones, el auditor debe poner de manifiesto los errores observados y Las lneas de accin recomendadas. Principio de integridad moral. Este principio est ligado a la educacin moral y a la dignidad del auditor informtico, debiendo ajustarse a las normas morales de justicia, probidad y evitar voluntaria o involuntariamente caer en actos de corrupcin personal o de terceras personas. El auditor no de utilizar sus conocimientos profesionales para utilizarlos en contra de su auditado o de terceras personas relacionadas con su cliente. Durante la auditora, el auditor informtico debe emplear la mxima diligencia, dedicacin y precisin, utilizando para ello todo su saber y entender profesional y moral. Principio de legalidad. En todo momento el auditor informtico debe utilizar sus conocimientos para facilitar a sus auditados para evitar caer en contraposicin con las disposiciones legales vigentes. No podr desactivar dispositivos de seguridad, ni tampoco podr intentar obtener cdigos, claves, passwords, a sectores restringidos de informacin elaborados para proteger derechos, obligaciones o intereses de terceros, como lo son el derecho a la intimidad, secreto profesional, propiedad intelectual, etc. Tampoco podr intervenir lneas de comunicacin o controlar actividades que puedan generar vulneracin a los derechos personales o empresariales dignos de proteccin. Principio de libre competencia. El auditor informtico debe trabajar en un mercado de libre competencia, evitando llevar a cabo prcticas desleales para atacar a sus competidores para tener un beneficio propio y en contra de los intereses de sus auditados. El auditor informtico no debe aprovecharse indebidamente del trabajo y reputacin de otros profesionistas en su propio beneficio, ni tampoco debe confundir a los demandantes de dichos servicios mediante antigedades, insinuaciones, que slo tengan por objeto enmascarar la calidad y confiabilidad de la oferta.
Pgina 32

Principio de no discriminacin. El auditor informtico, antes, durante y posterior a su auditora, deber evitar a toda costa inducir, participar o aceptar situaciones discriminatorias de ningn tipo, manteniendo en todo momento una igualdad en su trato profesional con la totalidad de personas, con las que en virtud de su trabajo tenga que relacionarse con independencia de categora, estatus empresarial o profesional, etc. Principio de no injerencia. El auditor informtico no podr tener injerencia en el trabajo de otros profesionales, debiendo respetar su trabajo, evitando hacer comentarios que pudieran interpretarse como de desprecio o provocar desprestigio profesional a otros, a menos de que las actitudes de otros profesionales sean fraudulentas o vayan en contra de la ley. Tampoco puede aprovechar los datos obtenidos de su cliente para utilizarlos como una competencia desleal. Principio de precisin. Este principio est ntimamente relacionado con el principio de calidad. El auditor informtico no puede concluir su trabajo hasta que no est plenamente convencido de la viabilidad de sus propuestas, ampliando sus estudios informticos cuando lo considere necesario, hasta estar totalmente convencido. El auditor slo podr indicar como evaluada un rea que a travs de sus colaboradores o por el mismo haya podido comprobar exhaustivamente, estndole prohibido proporcionar opiniones parciales o sesgadas o recabadas por terceras personas sin que l tenga constancia de ello. Principio de publicidad adecuada. Los anuncios o publicidad de los auditores informticos debern ser sobrias, sin ostentaciones o publicidad barata que vayan contra de la tica profesional, o bien publicidad falsa o engaosa que tenga por objeto confundir a los lectores y posibles usuarios de sus servicios profesionales. Debe evitar campaas publicitarias que puedan desvirtuar la realidad de sus servicios profesionales y oscurezcan sus objetivos o prometan resultados de lo imprevisible. Principio de responsabilidad. El auditor informtico deber responsabilizarse de todo su comportamiento profesional en lo que diga, haga o aconseje, evitando se produzcan daos de cualquier tipo para su cliente. Por lo anterior se recomienda la contratacin de seguros de responsabilidad civil u otro tipo de seguros con la suficiente cobertura que protejan tanto al cliente como al propio auditor y as poder acrecentar la confianza y solvencia de su actuacin profesional. Principio de secreto profesional. La confidencia y confianza del cliente hacia el auditor informtico nunca deben ser violadas, obligando al auditor informtico en todo momento a guardar en secreto los hechos o informacin que conozca en el ejercicio de su actividad profesional, siendo la nica excepcin a este principio un imperativo legal o judicial promovido por el Estado. Es evidente pensar que esta obligacin se extiende a todos sus colaboradores. Del mismo modo, este principio aplica a la conservacin de la informacin del auditado en un plazo prudencial, como por ejemplo cinco o 10 aos cuando menos. Esta informacin no incluye por ejemplo sus honorarios, tiempo empleado en la auditora, pero si se debe mantener en secreto profesional datos tcnicos a menos que obtenga la autorizacin de su auditado por escrito. Principio de servicio pblico. El auditor informtico debe llevar a cabo su trabajo profesional sin perjudicar los intereses de su cliente, con el objeto de evitarle un dao social como el hecho de que descubra software dainos que puedan ser propagados a otros sistemas informticos diferentes al del auditado. Es evidente pensar que el auditor tiene la obligacin de advertir esta irregularidad a su cliente para que se adopten las medidas necesarias para su prevencin. M.C. Gabriel Huesca Aguilar Pgina 33

El auditor deber tomar en cuenta sus criterios ticos personales y de la localidad en donde est prestando sus servicios, debiendo advertir de su opinin personal cuando llama contraposicin entre lo que l sabe que es correcto y lo que la sociedad permite que se haga. Principio de veracidad. El auditor siempre debe hablar con la verdad en sus criterios, dictmenes, opiniones y consejos, nicamente con los lmites impuestos por los deberes de respeto, correccin y secreto profesional. Este principio exige al auditor informtico informar a su cliente sobre todo el trabajo relevante realizado, comunicando a travs del dictamen sus conclusiones, evitando dar valoraciones personales subjetivas, garantizando siempre el cumplimiento de su obligacin de informar verazmente.
EC07: Cdigo de tica de los auditores
Fecha: ___/____/201___
Nombre: _____________________________________________ Grupo: __________

Instrucciones: Despus de haber ledo con atencin la lectura anterior analiza cada principio, escoge 5 principios que consideres los ms importantes en el desempeo de un auditor informtico y elabora una reflexin en donde plasmes los principios que consideraste, porque los consideras importantes y como es que se aplican en tu entorno profesional y cotidiano.
Pgina 34
I: Introduccin a la auditora informtica EC08: Actividad integradora del bloque

1. Define los siguientes conceptos a. Auditora b. Informtica c. Auditora informtica d. Auditora Interna e. Auditora Externa f. Norma g. Regla h. Estndar i. Procedimiento 2. 3. 4. 5. Menciona las reas de aplicacin de la auditoria informtica. Explica al menos 3 reas de aplicacin de la auditoria informtica. Define que es el ISO De los siguientes estndares ISO 27000, 27001, 27002, 27006 y 27799, explica: a. Caractersticas de la norma b. Campo de aplicacin 6. Menciona los tipos de controles que se utilizan en una auditoria informtica. 7. Explica la funcin de al menos 3 controles de la auditoria informtica. 8. Explica ampliamente, que es y que hace un auditor. 9. Menciona al menos 3 principios que debe tomar cuenta un auditor en informtica. 10. Desarrolla un caso prctico que permita controlar algn rea de auditora informtica.
Fecha: ___/____/201___
Nombre: _____________________________________________ Grupo: __________
Pgina 35
Auditora Informtica por reas
Bloque II: Planeacin de la Auditora informtica
En el Bloque II se aplican las competencias adquiridas anteriormente para definir las etapas de la planeacin de una auditora informtica y su importancia para su posterior aplicacin con profesionalismo y objetividad.
Pgina 36
Planeando un evento
Los alumnos de la licenciatura en informtica necesitan demostrar que saben planear un evento por lo que deben entregar dicha planeacin en la siguiente clase.
Instrucciones: En equipo de 5 personas analiza la situacin planteada y expresa en forma escrita lo que deberas conocer para resolver esta situacin, de manera que esta te ayude para elaborar una planeacin y una reflexin en la cual respondas a las siguientes preguntas: 1. Han participado todos en el trabajo? 2. Qu problemas se han presentado para organizarse? 3. Ha existido moderador y/o secretario en el grupo? Cmo se le escogi? 4. Qu funciones ha desempeado cada uno? 5. Con qu mtodo se procedi en el trabajo? 6. De qu medios se han servido para ser ms rpidos? 7. Qu hizo que el grupo fuera ms lento? Qu dificult el trabajo? 8. Cmo se pudo haber hecho para aumentar la rapidez? 9. Qu importancia tiene la planeacin de las actividades? 10. Qu recomendaciones haran a otros equipos para llevar a cabo dicha planeacin?
Pgina 37
Fases de la auditoria Informtica4

Fase I: Conocimientos del Sistema Fase II: Anlisis de transacciones y recursos Fase III: Anlisis de riesgos y amenazas Fase IV: Anlisis de controles Fase V: Evaluacin de Controles Fase VI: El Informe de auditoria Fase VII: Seguimiento de las Recomendaciones
Fase I: Conocimientos del Sistema

1.1. Aspectos Legales y Polticas Internas. Sobre estos elementos est construido el sistema de control y por lo tanto constituyen el marco de referencia para su evaluacin. 1.2.Caractersticas del Sistema Operativo. Organigrama del rea que participa en el sistema Manual de funciones de las personas que participan en los procesos del sistema Informes de auditora realizadas anteriormente. 1.3.Caractersticas de la aplicacin de computadora Manual tcnico de la aplicacin del sistema Funcionarios (usuarios) autorizados para administrar la aplicacin Equipos utilizados en la aplicacin de computadora Seguridad de la aplicacin (claves de acceso) Procedimientos para generacin y almacenamiento de los archivos de la aplicacin.
Fase II: Anlisis de transacciones y recursos

2.1.Definicin de las transacciones. Dependiendo del tamao del sistema, las transacciones se dividen en procesos y estos en subprocesos. La importancia de las transacciones deber ser asignada con los administradores. 2.2.Anlisis de las transacciones Establecer el flujo de los documentos En esta etapa se hace uso de los flujogramas ya que facilita la visualizacin del funcionamiento y recorrido de los procesos. 2.3.Anlisis de los recursos Identificar y codificar los recursos que participan en el sistemas 2.4.Relacin entre transacciones y recursos
Fase III: Anlisis de riesgos y amenazas

3.1. Identificacin de riesgos Daos fsicos o destruccin de los recursos Prdida por fraude o desfalco Extravo de documentos fuente, archivos o informes Robo de dispositivos o medios de almacenamiento Interrupcin de las operaciones del negocio Prdida de integridad de los datos Ineficiencia de operaciones Errores 3.2. Identificacin de las amenazas
4
http://www.mitecnologico.com/Main/FasesAuditoriaInformatica (24/Enero/2012)
Pgina 38

Amenazas sobre los equipos: Amenazas sobre documentos fuente Amenazas sobre programas de aplicaciones 3.3. Relacin entre recursos/amenazas/riesgos La relacin entre estos elementos deber establecerse a partir de la observacin de los recursos en su ambiente real de funcionamiento.
Fase IV: Anlisis de controles

4.1. Codificacin de controles Los controles se aplican a los diferentes grupos utilizadores de recursos, luego la identificacin de los controles debe contener una codificacin la cual identifique el grupo al cual pertenece el recurso protegido. 4.2. Relacin entre recursos/amenazas/riesgos La relacin con los controles debe establecerse para cada tema (Rec/Amz/Rie) identificado. Para cada tema debe establecerse uno o ms controles. 4.3. Anlisis de cobertura de los controles requeridos Este anlisis tiene como propsito determinar si los controles que el auditor identific como necesarios proveen una proteccin adecuada de los recursos.
Fase V: Evaluacin de Controles

5.1. Objetivos de la evaluacin Verificar la existencia de los controles requeridos Determinar la operatividad y suficiencia de los controles existentes 5.2. Plan de pruebas de los controles Incluye la seleccin del tipo de prueba a realizar. Debe solicitarse al rea respectiva, todos los elementos necesarios de prueba. 5.3. Pruebas de controles 5.4. Anlisis de resultados de las pruebas
Fase VI: Informe de Auditoria

6.1. Informe detallado de recomendaciones 6.2. Evaluacin de las respuestas 6.3. Informe resumen para la alta gerencia Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de las reas. Introduccin: objetivo y contenido del informe de auditoria Objetivos de la auditora Alcance: cobertura de la evaluacin realizada Opinin: con relacin a la suficiencia del control interno del sistema evaluado Hallazgos Recomendaciones
Fase VII: Seguimiento de Recomendaciones

7.1. Informes del seguimiento 7.2. Evaluacin de los controles implantados Fin de la sesin. Revisin Evaluacin Controles y las Medidas de Seguridad que se Aplican a los Recursos de un Sistema de Informacin Auditora Informtica Objetivos M.C. Gabriel Huesca Aguilar Pgina 39

Presentar recomendaciones en funcin de las fallas detectadas. Determinar si la informacin que brindan los Sistemas de Informticos es til. Inspeccionar el Desarrollo de los Nuevos Sistemas. Verificar que se cumplan las normas y polticas de los procedimientos.
Tipos Interna: Aplicada con el personal que labora en la empresa. Externa: Se contrata a una firma especializada para realizar la misma. Auditora Informtica Externa Las empresas recurren a la auditora externa cuando existen: Sntomas de Descoordinacin Sntomas de Mala Imagen Informtica II. Decanato de Administracin y Contadura Sntomas de Debilidades Econmicas Sntomas de Inseguridad Aspectos Fundamentales en la Auditora de los Sistemas de Informacin Informtica II. Decanato de Administracin y Contadura Auditora Informtica de Desarrollo de Aplicaciones Cada una de las fases del desarrollo de las nuevas aplicaciones informticas deben ser sometidas a un minucioso control, a fin de evitar un aumento significativo de los costos, as como tambin insatisfaccin de los usuarios. Informtica II. Decanato de Administracin y Contadura Auditora de los Datos de Entrada Se analizar la captura de la informacin en soporte compatible con los Sistemas, el cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la correcta transmisin de datos entre entornos diferentes. Se verificar que los controles de integridad y calidad de datos se realizan de acuerdo a las Normas establecidas. Auditora Informtica de Sistemas Se audita: Informtica II. Decanato de Administracin y Contadura Sistema Operativo: Verificar si la versin instalada permite el total funcionamiento del software que sobre ella se instala, si no es as determinar la causa Software de Aplicacin: Determinar el uso de las aplicaciones instaladas. Comunicaciones: Verificar que el uso y el rendimiento de la red sea el ms adecuado. Tcnicas de Auditora Existen varias tcnicas de Auditora Informtica de Sistemas, entre las cuales se mencionan: Lotes de Prueba: Transacciones simuladas que se introducen al Sistema a fin de verificar el funcionamiento del mismo. Entre los datos que se deben incluir en una prueba se tienen: Datos de Excepcin. Datos Ilgicos. Transacciones Errneas Auditora para el Computador: Permite determinar si el uso de los equipos de computacin es el idneo. Mediante esta tcnica, se detectan equipos sobre y subutilizados. Prueba de Minicompaa: Revisiones peridicas que se realizan a los Sistemas a fin de determinar nuevas necesidades. Peligros Informticos Incendios: Los recursos informticos son muy sensibles a los incendios, como por ejemplo reportes impresos, cintas, discos. Inundaciones: Se recomienda que el Departamento de computacin se encuentre en un nivel alto. La Planta Baja y el Stano son lugares propensos a las inundaciones. Robos: Fuga de la informacin confidencial de la empresa. Fraudes: Modificaciones de los datos dependiendo de intereses particulares. Medidas de Contingencia Mecanismos utilizados para contrarrestar la prdida o daos de la informacin, bien sea intencionales o accidentales. La ms utilizada es la Copia de Seguridad (Backup), en la cual se respalda la informacin generada en la empresa . Informtica II. Decanato de Administracin y Contadura
Pgina 40

Copias de Seguridad Las copias pueden ser totales o parciales y la frecuencia vara dependiendo de la importancia de la informacin que se genere. Backup Se recomienda tener como mnimo dos (2) respaldos de la informacin, uno dentro de la empresa y otro fuera de sta (preferiblemente en un Banco en Caja Fuerte). Informtica II. Decanato de Administracin y Contadura Medidas de Proteccin Medidas utilizadas para garantizar la Seguridad Fsica de los Datos. Aquellos equipos en donde se genera informacin crtica, deben tener un UPS. De igual forma, el suministro de corriente elctrica para el rea informtica, debe ser independiente del resto de las reas. Informtica Medidas de Control y Seguridad Mecanismos utilizados para garantizar la Seguridad Lgica de los Datos. En los Sistemas Multiusuarios se deben restringir el acceso a la Informacin, mediante un nombre de usuario (login) y una contrasea (password). Del mismo modo, se debe restringir el acceso a los Sistemas en horas no laborables salvo casos excepcionales. La Auditora Informtica es una parte integrante de la auditora. Se preguntar por que se estudia por separado, pues simplemente para abordar problemas ms especficos y para aprovechar los recursos del personal. Sin embargo, es bueno acotar que debe realizarse dentro de un marco de auditora general. Para clarificar an ms la lmina, diremos entonces que la Auditora Informtica es el proceso de revisin y evaluacin de los controles y medidas de seguridad que se aplican a los recursos: a) Tecnolgicos. b) Personal. c) Software d) Procedimientos. que se utilizan en los Sistemas de Informacin manejados en la empresa. En este sentido, se deben revisar y evaluar si se han desarrollado e implementados controles apropiados y adecuados en los sistemas de informacin. La auditora Informtica va mucho ms all de la simple deteccin de errores. Si bien es cierto que la Auditora es un proceso que permite detectar fallas, es menester de la auditora, el presentar algunas sugerencias que puedan ser aplicadas para evitar de esta manera la repeticin de las mismas en un futuro. Bsicamente, el objetivo principal de la auditora informtica es garantizar la operatividad de los procesos informticos. En otras palabras, ofrecer la continuidad los procesos de generacin, distribucin, uso y respaldo de informacin dentro de las organizaciones. Ya puede ir formndose una idea entonces de la importancia que tiene la Auditora Informtica (si no es as, le parece poco el hecho de que permita mantener operativo todos los procesos relacionados con el manejo de la informacin?). Importancia de la Auditora Informtica Tal como se mencion anteriormente su importancia radica en el hecho de garantizar la operatividad de los procesos informticos. Del mismo modo, la Auditora es compatible con la calidad, ya que mediante la auditora, se buscan implantar mejoras en busca del perfeccionamiento de los procesos, incorporando nuevas tcnicas y tecnologas. Tal como lo pudo apreciar, las definiciones anteriores son muy sencillas y no dejan lugar a ninguna duda. Sin embargo, consideramos prudente ampliar nuestra exposicin y ofrecerle algo ms que una mera definicin. Auditora Interna La auditora Interna ofrece algunas ventajas en relacin a la externa, en primer lugar es menos costosa, puesto que se realiza con el mismo personal, y por otro lado, no se corre el riesgo de que personas extraas conozcan la informacin generada dentro de la firma. Sin embargo, tiene sus limitaciones, entre las cuales se mencionan: la poca especializacin que tienen los integrantes en la materia conlleva al hecho de que se escapen algunos detalles dentro del proceso (omisin de deteccin de errores) y por otro lado se corre el riesgo de que se encubran deficiencias. Es factible que dentro del proceso de auditora, las personas no informen de alguna anomala a fin de no perjudicar al amigo. Auditora Externa
Pgina 41

Con este tipo de auditora existe menor margen de error, puesto que las personas que se encargan de realizarla son especialistas en el rea. Entonces, deben ser pocos los errores que se detecten y las sugerencias aportadas son muy valiosas. Del mismo modo existe poco margen de encubrimiento, ya que son personas ajenas a la firma. Si bien es cierto que la Auditora Interna es menos costosa, es una buena prctica para las empresas, realizar Auditoras Externas peridicamente. Sin embargo, existen algunas razones por las cuales una firma debera contratar los servicios de gente especializada. Tales razones son las mostradas en la lmina, las cuales explicaremos con ms detalle a continuacin: Sntomas de Descoordinacin: No coincide el objetivo informtico con el de la empresa. En este sentido, es recomendable revisar la gestin de la informtica a fin de que la misma est en funcin de apoyar al logro de los objetivos. Sntomas de Debilidad Econmica: Cuando existe un crecimiento indiscriminado de los costos informticos. De igual forma, se contrata un servicio externo para estudiar la factibilidad de invertir una fuerte suma de dinero en el rea. Sntomas de Mala Imagen: Existe una percepcin poco idnea de los usuarios finales de computadoras en relacin a la Gestin actual del personal de Informtica. Existen quejas de que los programas no funcionan, problemas con la red informtica, desconfiguracin de equipos, entre otros. Sntomas de Inseguridad: Cuando no existe seguridad ni fsica ni lgica de la informacin manejada en la empresa. Hasta estos momentos se ha mencionado un poco lo que es la Auditora Informtica, cuales son sus objetivos y su importancia dentro de las organizaciones. Consideramos que ya tiene la base suficiente para adentrarnos entonces en el estudio de la Auditoria Informtica. Existen dos enfoques bsicos para la Auditoria de Sistemas de Informacin, conocidos como: Auditoria Alrededor del Computador y Auditoria a travs del Computador. Auditoria Alrededor del Computador: La cual comprende la verificacin tanto de los datos de entrada como de salida, sin evaluar el software que proces los datos. Aunque es muy sencillo, no hace el seguimiento de las transacciones ni la exactitud ni integridad del software utilizado. Es por ello, que se recomienda como un complemento de otros mtodos de auditoria. Auditoria a Travs del Computador: Comprende la verificacin de la integridad del software utilizado, as como tambin los datos de entrada y la salida generada tanto por las redes y sistemas computacionales. Sin embargo, la auditoria a travs del computador requiere de un conocimiento tanto de las redes como del desarrollo de software. Una de las actividades que ms dolores de cabeza trae a las organizaciones es el desarrollo de los nuevos sistemas informticos. Existen muchas razones para tantos inconvenientes, entre las que se destaca: una pobre determinacin de los requerimientos (tanto los analistas como los usuarios, que en muchas oportunidades asumen cosas que el otro no ha dicho), carencia de un prototipo adecuado, una deficiente prueba del sistema y la premura con la que se implanta el mismo. En este sentido, la auditora debe verificar que se cumplan a cabalidad cada una de las fases del desarrollo del sistema. Se deben chequear los instrumentos y mtodos empleados para la determinacin de los requerimientos, las herramientas que se utilizan para la construccin del sistema, evaluar el prototipo que va a ser mostrado a los usuarios y verificar que se hagan las pruebas al sistema antes de ser implantado. Recuerde: es preferible esperar un poco ms por un sistema probado y ajustado a las necesidades que querer implantar en dos das un software que no ayudar en nada a los procesos empresariales, por el contrario: entorpecer los mismos. (Cuantas veces no le han dicho en la calle como excusa tenemos problemas con el sistema?). La materia prima para la generacin de la informacin son los datos de entrada, es por ello que todo proceso de auditora informtica debe contemplar el estudio de los mismos. Bajo esta premisa, es importante llevar un control del origen de los datos que se introducen al sistema y en la medida de lo posible, el responsable de la introduccin de los mismos. Por ejemplo, para un banco el origen de los datos lo representan las planillas de depsito, retiro, entre otras. Si se lleva un control de dichos documentos es fcil auditar lo que tiene el sistema contra el soporte fsico (las planillas). Dicho proceso permite entonces detectar errores de trascripcin de datos al Sistema. M.C. Gabriel Huesca Aguilar Pgina 42

Otro hecho importante de la Auditoria de los datos de entrada, es que puede ser utilizado como un mecanismo para determinar fraudes informticos. Cmo cree usted que se puede determinar un retiro no autorizado de una cuenta bancaria?, el cambio de calificaciones de un estudiante?. Es por ello que todas las organizaciones deben contar con mecanismos apropiados que permitan auditar los datos de entrada.de los sistemas informticos. Al igual que ocurre con los datos de entrada, se deben revisar peridicamente las herramientas informticas que se utilizan dentro de la firma, a fin de verificar que se adecuen a las necesidades del negocio. Es importante sealar que dicha revisin no debe limitarse nicamente al hardware, por el contrario, se debe incluir tambin la revisin tanto del software instalado como la red informtica existente. Toda empresa debe poseer software actualizado y con licencia de uso; el Sistema Operativo no escapa de dicha situacin. En este sentido, es conveniente que se cuente con una versin que permita la evolucin de las aplicaciones, de no ser as determinar las causas de ello. Por ejemplo en el caso especfico del Sistema Operativo Windows, es inusual que se labore con la versin 3.11 para grupos de trabajo, en tal caso, como mnimo Windows 98 o Windows NT 4.0. Del mismo modo se debe auditar la red informtica instalada, entre otras cosas para observar su rendimiento (velocidad), la seguridad que ofrece (gran parte de los fraudes obedecen a la carencia de seguridad tanto de los Sistemas como de las Redes Informticas) y verificar que se cumplan con las polticas y estndares establecidos para la red. Y la Auditora de las aplicaciones?. Pues la exposicin se detallar en las lminas subsiguientes. La prueba de un Sistema es una tarea un poco ms compleja de lo que realmente parece ser. La misma no se limita exclusivamente a introducir algunos datos al Sistema a fin de verificar que arroje el resultado esperado. Va mucho ms all. En primer lugar, la prueba del Sistema no debe ser efectuada por los programadores, ya que stos conocen los trucos del sistema, e inconscientemente introducirn datos que no harn fallar a la aplicacin, razn por la cual se recomienda la designacin de un equipo responsable para las misma. Dicho equipo debe disear una Batera de Prueba, la cual consiste en un conjunto de datos a ser introducidos en el sistema para observar su comportamiento. Por supuesto los resultados de dichos datos se deben conocer con antelacin a fin de que puedan ser cotejados contra los que arroja el sistema. En toda batera de prueba aparte de las transacciones comunes, se debe contar con: Datos de Excepcin: Aquellos que rompen con la regla establecida. Se deben incluir dichos datos a fin de determinar si el sistema contempla las excepciones. Datos Ilgicos: Son datos que no tienen ningn sentido. Se incluyen dentro de la prueba a fin de determinar si el sistema posee los mecanismo de validacin adecuados que impidan el procesamiento de los mismos. Datos Errneos: Son aquellos que no estn acordes con la realidad. El sistema no est en capacidad de determinar si un dato esta correcto o no. Sencillamente, se introducen este tipo de datos a fin de verificar si el sistema posee los mecanismos que permitan revertir la transaccin. Auditora para el Computador Es importante determinar el uso de las computadoras. Esto a fin de verificar que no existan computadores sobre o subutilizados. Por ejemplo, suponga el caso de un computador con la configuracin ms actualizada que est siendo empleado nicamente como terminal del sistema de facturacin de la empresa, por supuesto, es fcil deducir que no se est aprovechando al mximo las bondades del equipo. Ahora suponga la contrario, es decir, que exista un equipo con mediana capacidad en donde se manejen todas las aplicaciones Office (Word, Excel y Power Point) y se ejecuten algunos Sistemas Informticos propios de la empresa. Est subutilizado?. La aplicacin de dicha tcnica no reviste de mayor complicacin, lo que se hace es anotar la configuracin del equipo y las actividades que se realizan en l, a fin de determinar si tal configuracin est acorde con lo que se realiza en l. Con esto se logran varias cosas: primero, se determinan los equipos candidatos a ser sustituidos o repotenciados y segundo, ofrece un mecanismo para una futura de reasignacin de equipos de acuerdo a las necesidades existentes. M.C. Gabriel Huesca Aguilar Pgina 43

Que problema coyuntural cree usted que pueda ocurrir al aplicar dicha tcnica?. Piense un poco, de todos modos si no lo logra determinar, en dos lminas ms encontrars la respuesta. Usted pensar perfecto, estos son los peligros que existen, por lo que he ledo creo que la Auditoria pude ayudar a evitar los robos y fraudes informtico, pero un incendio o una inundacin?, no veo como. Si esa es su manera de pensar, pues le diremos que est en lo cierto. Aqu no le vamos a decir como evitar incendios o inundaciones. Sino ms bien de que tome conciencia de las cosas que puede pasar dentro de una empresa. Pero sigo sin entender que tiene que ver todo esto, es muy simple: lo que se busca es crear conciencia, de los peligros que existen, que ninguna organizacin est exenta de ellos y que por lo tanto es necesario que existan mecanismos que contrarresten los mismos. Esto es precisamente lo prximo que se va a exponer a continuacin. Respuesta a la Pregunta Anterior: Puede ocasionar molestias a las personas en la reubicacin de equipos (una persona con un equipo muy potente pero subutilizado, no estar muy conforme que le reasignen un equipo de menor potencia). Dentro de las empresas deben existir mecanismos de contingencias que permitan garantizar la continuidad de los procesos que en ella se realizan. Dentro de la informtica tal aspecto no debe variar, es decir, deben estar especificados dichos mecanismos (por ejemplo, como realizar un proceso manualmente en caso de que falle el automatizado). En este mdulo nos compete exclusivamente la contingencia de la informacin. Al igual que otras cosas, la informacin puede tener daos, los cuales pueden obedecer a causas accidentales (tales como errores en la trascripcin de datos, ejecucin de procesos inadecuados) o intencionales (cuando se busca cometer algn fraude). No importa cual sea la causa, lo importante en este momento (claro, es importante determinar a que obedeci el problema) es disponer algn mecanismo que nos permita obtener la informacin sin errores. Las copias de seguridad nos ofrecen una alternativa para ello, ya que en caso de que se dae la informacin original, se recurre entonces al respaldo el cual contiene la informacin libre de errores. Como se mencion anteriormente, las copias de seguridad ofrecen una contingencia en caso de prdidas de informacin. La frecuencia con la cual deben hacerse dichas copias va a depender de acuerdo a la volatilidad de la misma. Por ejemplo, usted puede decir que es suficiente realizar las copias de seguridad diariamente, as en caso de ocurrir algn imprevisto, se perder tan solo un da de trabajo. Tal concepcin puede funcionar para muchas organizaciones, pero no para todas, para un banco sera catastrfico perder la informacin de todas las transacciones de un da, caso contrario ocurre en una organizacin donde la informacin no vare con tanta frecuencia, en la cual no tendra mucho sentido respaldarla diariamente. Independientemente de la frecuencia con la cual se haga, es recomendable tener como mnimo dos (2) copias de seguridad, una permanecer dentro de la empresa y la otra fuera de ella. As en caso de que se pierda la informacin se pueda acceder a la copia que est dentro de la empresa. Y para qu la otra copia?. Recuerde los peligros informticos, los incendios, las inundaciones. En caso de que se incendie el edificio, se perdera el original y una copia, pero se tendr acceso a la que est fuera de la empresa. A lo mejor usted dir: qu gracia tiene tener otro respaldo si se quem el edificio de la empresa?. Suponga que dicho edificio sea de la Sucursal de un Banco, lo ms seguro que al da siguiente, los clientes estarn preguntando qu pasar con sus ahorros. Ahora si le encuentra sentido?. Nota la importancia de la informacin sobre otros activos?. Un edificio se recupera, la informacin de toda la empresa no. Deben existir medidas que impidan la prdida de informacin, ocasionada por averas en los equipos (Seguridad Fsica). Si bien es cierto que los computadores no estn exentos de sufrir algn desperfecto (es por ello que existen las copias de seguridad), es recomendable disear normas para disminuir tales amenazas. Una de las principales causales de prdida de informacin, son las bajas de energa. Es por ello que deben estar conectados a un UPS todos los equipos en donde se genere informacin crtica. Un UPS es un dispositivo (parecido a un regulador de voltaje) que ofrece corriente alterna por un perodo de tiempo (depende de las especificaciones del equipo, los hay de 5 minutos hasta casi dos horas). De M.C. Gabriel Huesca Aguilar Pgina 44

acuerdo a lo anterior, se deduce entonces su importancia: primero, permite completar transacciones inconclusas en el momento del fallo de energa y segundo permite guardar la informacin y apagar el equipo con normalidad. De igual forma a fin de disminuir las fallas de energa, debe existir una toma independiente de corriente para el rea informtica. Recuerda los peligros que existen?. Las inundaciones?, es por ello que el Departamento de Computacin debe estar ubicados en las zonas ms altas del edificio, puesto que tanto los stanos como los primeros pisos son los ms propensos a inundarse. Uno de los mayores peligros dentro de las empresas son los Fraudes Informticos (muy comunes hoy en da), es por ello que se disean medidas que permitan garantizar la integridad de la informacin y que la misma est acorde con la realidad (Seguridad Lgica). El mayor riesgo existe en los Sistemas Multiusuarios, puesto que pueden se manejados por varias personas concurrentemente. En dichos sistemas no todas las personas pueden acceder a la misma informacin (no todos pueden manipular la nmina de la empresa). para ello se restringe el uso de los Sistemas a travs de nombres de usuarios y contraseas, as cuando una persona desea utilizar el Sistema debe identificarse (con su nombre de usuario) y podr manipular nicamente lo que tenga autorizado. En este sentido, se debe tener un control de los usuarios que entran al sistema (existen muchos sistemas operativos que lo hacen de manera automtica), es por ello que no se debe divulgar el nombre de usuario a otras personas. Por ejemplo, suponga que Marta Gonzlez tiene asignado el nombre de usuario mgonz128a y su amigo Marcelo Alvarez le pide por favor su nombre de usuario, porque necesita hacer algunas cosas con su mdulo, (Marcelo tiene su usuario asignado, malv287s), pues resulta que ocurri un problema con dicha informacin a quin reporta el sistema como responsable?. Sencillo, al usuario que accedi al Sistema, en este caso mgonz128a que pertenece a Marta Gonzlez. De igual forma, se debe restringir el acceso al Sistema en horas no laborables, ya que el mayor nmero intento de fraudes ocurre durante dicho perodo (por lo general en horas de la madrugada). Con estas medidas estoy 100% seguro que no existirn fraudes informticos?. No, nadie est exento de sufrir un fraude informtico, con decirle que han violado la seguridad del Pentgono, NASA, Yahoo!, entre otros. En tal caso le disminuye el riesgo, por lo tanto se recomienda revisar las medidas de seguridad constantemente.
Pgina 45
Auditora Informtica por reas EC09: Fases de la Auditoria Informtica

Nombre: _________________________________________ Fecha: ___/_____/2012 Grupo: _38___
Instrucciones: Despus de haber participado en la lluvia de ideas sobre la planeacin de la Auditoria Informtica y realizar la lectura anterior completa lo siguiente:
Concepto de planeacin:
Pasos identificados de la planeacin
Instrucciones: Realiza la lectura anterior y menciona ampliamente cual es el propsito de cada una de las fases de la planeacin de una auditora.
Pgina 46
Pgina 47
Auditora Informtica por reas EC10: Planeacin de la auditora

Nombre: _________________________________________ Instrucciones: Completa la siguiente nota: Fecha: ___/_____/2012 Grupo: _38___
Equipo: _____________________________________________________ Integrantes: 1.2.3.Empresa donde se realizara la auditoria:
Giro de la empresa (Actividad principal):
Domicilio:
Misin y visin (En caso de tener la informacin del mismo).
Pgina 48
Auditora Informtica por reas EC11: Revisin preliminar

Equipo : __________________________________________ Fecha: ___/_____/2012 Grupo: _38___
En esta fase el auditor debe de armarse de un conocimiento amplio del rea que va a auditar, los objetivos que debe cumplir, tiempos (una empresa no pude dejar sus equipos y personal que lo opera sin trabajar porque esto le genera prdidas sustanciosas), herramientas y conocimientos previos, as como de crear su equipo de auditores expertos en la materia con el fin de evitar tiempos muertos a la hora de iniciar la auditoria. Instrucciones: A continuacin vamos a elaborar la revisin preliminar contestando las siguientes preguntas y realizando lo indicado. 1. 2. 3. 4. 5. Cules son los objetivos de la auditoria a realizar? Existe algn rea especfica que necesita auditoria? De cunto tiempo se dispone para realizar la auditoria informtica? Realiza un anlisis de tareas importantes y esenciales para la auditoria. Elabora los formatos necesarios para recopilar informacin (utilizando diferentes tcnicas para llevarlo a cabo).
Pgina 49
Auditora Informtica por reas EC12: Revisin detallada

Los objetos de la fase detallada son los de obtener la informacin necesaria para que el auditor tenga un profundo entendimiento de los controles usados dentro del rea de informtica. El auditor debe de decidir se debe continuar elaborando pruebas de consentimiento, con la esperanza de obtener mayor confianza por medio del sistema de control interno, o proceder directamente a revisin con los usuarios (pruebas compensatorias) o a las pruebas sustantivas. Instrucciones: A continuacin vamos a elaborar la revisin detallada realizando las siguientes actividades. 1. 2. 3. 4. 5. 6. Realiza el organigrama de la empresa que vas a auditar Realiza el organigrama del depto. de informtica en la empresa que vas a auditar. Organiza y reconoce los flujos de Informacin en la empresa auditada. Especifica las tareas de cada auditor en el rea correspondiente y los tiempos necesarios para realizarlos. Realiza un anlisis de tareas importantes y esenciales para la auditoria. Elabora el acta de inicio de la auditoria de acuerdo a lo establecido en el documento Gua de auditora (Anexo02) en la siguiente direccin electrnica: http://www.funcionpublica.gob.mx/pt/obligaciones_transparencia_art_7/sfp/doctos/guia _auditoria.pdf Elabora el acta de planeacin de la auditoria (pgina 22) Elabora el cronograma de actividades. (pgina 26)
7. 8.
Pgina 50
Auditora Informtica por reas EC13: Auditora fsica

La Auditoria Fsica no se limita a comparar solo la existencia de los medios fsicos, sino tambin su funcionalidad, racionalidad y seguridad. La seguridad fsica garantiza la integridad de los activos humanos, lgicos y materiales del Objeto a analizar. Instrucciones: A continuacin vamos a elaborar la planeacin de la esta fase realizando las siguientes actividades. 1. Elabora un formato para verificar las instalaciones de la empresa donde estas llevando la auditoria, incluyendo entre estos (Direccin fsica, ubicacin en el mapa, edificios que le rodea por los 4 puntos cardinales, etc). 2. Elabora un formato para verificar la distribucin de los departamentos. 3. Elabora un formato para verificar el equipo de seguridad con los que cuenta tales como botiquines, extinguidores, luces de emergencia etc. 4. Elabora un formato para verificar la sealizacin con la que cuenta la empresa auditada tales como: direcciones de salida, emergencia, escape, riesgo elctrico, zona de evacuacin etc. 5. Identifica los formatos de inventario fsico, de recursos informticos y de aplicaciones en la organizacin seleccionada.
Pgina 51
Marcas de Auditora5
Las marcas de auditora son signos que utiliza el auditor para sealar el tipo de procedimiento que est aplicando, simplificando con ello su papel de trabajo. A continuacin se presentan las marcas ms comunes que se utilizan en el trabajo de auditora; sin embargo, pueden ser utilizadas otras marcas, mismas que debern ser definidas al calce de la cdula o en una cdula de marcas al final del expediente, que permita su fcil consulta.
Gua de auditoria
Pgina 52
Adicionalmente a las marcas descritas, existe el uso de conectores y notas que permiten al auditor referenciar y comentar la informacin contenida en sus papeles de trabajo:
Los conectores son nmeros arbigos encerrados en crculo con una flecha que indica la direccin donde se encuentra el conector correspondiente y se utiliza para identificar dos datos o cifras en una cdula que dependen uno de otro, haciendo referencia en todos los casos al mismo dato o cifra, pero con diferentes niveles de desagregacin. Por su parte, las notas son referencias alfabticas dentro del papel de trabajo, que son explicadas al calce de la cdula. Se utilizan para ampliar, explicar o hacer alguna acotacin sobre un dato, cifra o elemento incluido en la cdula.
Pgina 53
Auditora Informtica por reas EC14: Marcas de auditoria

Las marcas de auditora son signos que utiliza el auditor para sealar el tipo de procedimiento que est aplicando, simplificando con ello su papel de trabajo. Instrucciones: A continuacin realiza las siguientes actividades. 1. Realiza una lectura de las pginas 54 y 55 de la gua de auditora. 2. Elabora una lista de marcas que sern necesarias utilizar en la tarea de la auditoria que planean realizar. 3. Comenta con tu equipo las marcas comunes que van a realizar de manera que se tengan todas las marcas de auditora en un solo documento. 4. Elabora en forma individual un cuestionario que conocer las diferentes formas y procedimientos para llevar a cabo la tarea que te corresponde auditar, de manera que se establezca claramente. A. Objetivo de la tarea B. A quien va dirigido C. Quien es el responsable D. Tiempos que se utilizan E. Formas para controlar F. Quien revisa las actividades G. Alguna otra informacin importante
Pgina 54
Bloque III: Auditora Informtica por reas
En este bloque se utilizan tcnicas de recopilacin de informacin para que permitan dar al auditor informacin de apoyo de cada rea que sea objeto de la auditoria y Evaluar la evidencia recabada durante la auditoria con el fin de elaborar un dictamen sobre las vulnerabilidades y fortalezas detectadas y presentar recomendaciones de una manera profesional, objetiva y honesta.
Informe Final de auditoria

El informe final
La funcin de la auditora se materializa exclusivamente por escrito. Por lo tanto la elaboracin final es el exponente de su calidad. Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste entre opinin entre auditor y auditado y que pueden descubrir fallos de apreciacin en el auditor. Estructura del informe final: El informe comienza con la fecha de comienzo de la auditora y la fecha de redaccin del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicacin de la jefatura, responsabilidad y puesto de trabajo que ostente. Definicin de objetivos y alcance de la auditora. Enumeracin de temas considerados: Antes de tratarlos con profundidad, se enumerarn lo ms exhaustivamente posible todos los temas objeto de la auditora. Cuerpo expositivo: Para cada tema, se seguir el siguiente orden a saber: A. Situacin actual. Cuando se trate de una revisin peridica, en la que se analiza no solamente una situacin sino adems su evolucin en el tiempo, se expondr la situacin prevista y la situacin real B. Tendencias. Se tratarn de hallar parmetros que permitan establecer tendencias futuras. C. Puntos dbiles y amenazas. D. Recomendaciones y planes de accin. Constituyen junto con la exposicin de puntos dbiles, el verdadero objetivo de la auditora informtica. E. Redaccin posterior de la Carta de Introduccin o Presentacin. Modelo conceptual de la exposicin del informe final: El informe debe incluir solamente hechos importantes (La inclusin de hechos poco relevantes o accesorios desva la atencin del lector). El Informe debe consolidar los hechos que se describen en el mismo. El trmino de hechos consolidados adquiere un especial significado de verificacin objetiva y de estar documentalmente probados y soportados. La consolidacin de los hechos debe satisfacer, al menos los siguientes criterios: El hecho debe poder ser sometido a cambios. Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situacin. No deben existir alternativas viables que superen al cambio propuesto. La recomendacin del auditor sobre el hecho debe mantener o mejorar las normas y estndares existentes en la instalacin.
Pgina 56

La aparicin de un hecho en un informe de auditora implica necesariamente la existencia de una debilidad que ha de ser corregida. Flujo del hecho o debilidad: 1. Hecho encontrado. Ha de ser relevante para el auditor y pera el cliente. Ha de ser exacto, y adems convincente. No deben existir hechos repetidos. 2. Consecuencias del hecho Las consecuencias deben redactarse de modo que sean directamente deducibles del hecho. 3. Repercusin del hecho Se redactar las influencias directas que el hecho pueda tener sobre otros aspectos informticos u otros mbitos de la empresa. 4. Conclusin del hecho No deben redactarse conclusiones ms que en los casos en que la exposicin haya sido muy extensa o compleja. 5. Recomendacin del auditor informtico Deber entenderse por s sola, por simple lectura. Deber estar suficientemente soportada en el propio texto. Deber ser concreta y exacta en el tiempo, para que pueda ser verificada su implementacin. La recomendacin se redactar de forma que vaya dirigida expresamente a la persona o personas que puedan implementarla. Carta de introduccin o presentacin del informe final: La carta de introduccin tiene especial importancia porque en ella ha de resumirse la auditora realizada. Se destina exclusivamente al responsable mximo de la empresa, o a la persona concreta que encargo o contrato la auditora. As como pueden existir tantas copias del informe Final como solicite el cliente, la auditora no har copias de la citada carta de Introduccin. La carta de introduccin poseer los siguientes atributos: Tendr como mximo 4 folios. Incluir fecha, naturaleza, objetivos y alcance. Cuantificar la importancia de las reas analizadas. Proporcionar una conclusin general, concretando las reas de gran debilidad. Presentar las debilidades en orden de importancia y gravedad. En la carta de Introduccin no se escribirn nunca recomendaciones.
Pgina 57
Auditora Informtica por reas EC21: El informe final

Fecha: ___/____/201___
Nombre: _____________________________________________ Grupo: __________

Instrucciones: Despus de haber ledo con atencin la lectura anterior y el anexo 02, elabora un es esquema (mapa mental, conceptual, cuadro sinptico o de doble entrada, etc), acerca de la informacin presentada.
Pgina 58
Auditora Informtica por reas EC22: Actividad integradora

Fecha: ___/____/201___
Nombre: _____________________________________________ Grupo: _382_

1. Define los siguientes conceptos a. Auditora informtica b. Planeacin c. Planeacin de auditora informtica d. Informe final de auditora informtica. 2. Menciona las reas de aplicacin de la auditora informtica. 3. Menciona las 7 fases de la auditora informtica. 4. Explica al menos 3 de las fases de la auditora informtica. 5. Menciona al menos 5 marcas de auditora que utilizaron en su planeacin de auditora informtica. 6. Menciona las partes ms importantes que deben aparecer en: a. Acta de planeacin de auditora informtica. b. Acta de planeacin de auditora informtica. c. Cronograma de actividades 7. Realiza una reflexin acerca de las primeras 4 fases en la que identifiques la importancia de la misma, as como relacionar las tareas de la planeacin de auditora informtica, realizada por tu equipo en cada una de las fases 1 a la 4. 8. Menciona la estructura del informe final de auditora. 9. Explica al menos 2 partes de la estructura del informe final. 10. Explica la estructura de la carta de introduccin del informe final de auditora informtica.
Pgina 59
Anexos : Auditora Informtica
ANEXOS
Pgina 60
Anexos : Auditora Informtica
Criterios para evaluacin

Planeacin de auditora Informtica
Contenido: Portada de trabajo (Ordenar los integrantes del equipo por apellido paterno) ndice del trabajo. Presentacin de su trabajo (lo que se pretende entregar). Introduccin que incluya los conceptos bsicos de auditora informtica, objetivos y sntomas para realizar una auditora informtica. Definicin de la organizacin seleccionada (Breve descripcin, giro, misin, visin, etc). Organigramas Planeacin de auditora informtica Acta de planeacin de la auditoria Acta de inicio Cronograma de actividades. Flujo de informacin Tareas importantes y esenciales. Marcas de auditoria Auditoria Fsica Anexos (Controles y formularios). Reflexin acerca del trabajo realizado por integrante. Bibliografa.
Caractersticas: 1. Para entregar engargolado y en CD. 2. Uso mnimo de letras en maysculas 3. Justificacin de texto a la izquierda y derecha 4. Uso correcto del formato de texto 4.1. Mismo tipo de letra 4.2. Estilo de texto diferente para enfatizar
Pgina 61

Libro AuditoriaI 2012-2

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Libro AuditoriaI 2012-2

Cargado por

Copyright:

Formatos disponibles

Nombre: __________________________________

BLOQUE I: INTRODUCCIN A LA AUDITORA INFORMTICA. ......................................... 4

BLOQUE II: PLANEACIN DE LA AUDITORA INFORMTICA ......................................... 36

BLOQUE III: AUDITORA INFORMTICA POR REAS ...................................................... 55

I: Introduccin a la auditora informtica

Bloque I: Introduccin a la auditora informtica.

I: Introduccin a la auditora informtica EC01: La informacin de las computadoras

Nombre: _____________________________________________ Grupo: __________

M.C. Gabriel Huesca Aguilar

I: Introduccin a la auditora informtica EC01: Ideas sobre Auditoria Informtica

AUDITORIA INFORMATICA Forma concreta Actividad que realiza

M.C. Gabriel Huesca Aguilar

I: Introduccin a la auditora informtica

NORMA Forma concreta Actividad que realiza

ESTANDAR Forma concreta Actividad que realiza

M.C. Gabriel Huesca Aguilar

I: Introduccin a la auditora informtica

CONCEPTOS DE AUDITORA Y AUDITORA INFORMTICA1

M.C. Gabriel Huesca Aguilar

I: Introduccin a la auditora informtica

I: Introduccin a la auditora informtica

M.C. Gabriel Huesca Aguilar

I: Introduccin a la auditora informtica

M.C. Gabriel Huesca Aguilar

I: Introduccin a la auditora informtica

M.C. Gabriel Huesca Aguilar

I: Introduccin a la auditora informtica

M.C. Gabriel Huesca Aguilar

I: Introduccin a la auditora informtica

M.C. Gabriel Huesca Aguilar

I: Introduccin a la auditora informtica EC02: Concepto de Auditora

M.C. Gabriel Huesca Aguilar

I: Introduccin a la auditora informtica

I: Introduccin a la auditora informtica

I: Introduccin a la auditora informtica

M.C. Gabriel Huesca Aguilar

I: Introduccin a la auditora informtica EC03: Auditora Informtica

Nombre: _____________________________________________ Grupo: __________

M.C. Gabriel Huesca Aguilar

I: Introduccin a la auditora informtica EC04: Normas y procedimiento de auditora

M.C. Gabriel Huesca Aguilar

I: Introduccin a la auditora informtica

M.C. Gabriel Huesca Aguilar

I: Introduccin a la auditora informtica

M.C. Gabriel Huesca Aguilar

I: Introduccin a la auditora informtica EC05: Control interno

Nombre: _____________________________________________ Grupo: __________

Nombre del equipo (opcional)

M.C. Gabriel Huesca Aguilar

I: Introduccin a la auditora informtica

Tipos de control interno

M.C. Gabriel Huesca Aguilar

I: Introduccin a la auditora informtica

Informacin para otorgar calificacin del control interno

Contenido Tiempo de entrega

Evaluacin: ________ Observaciones y comentarios:

M.C. Gabriel Huesca Aguilar

I: Introduccin a la auditora informtica

M.C. Gabriel Huesca Aguilar

I: Introduccin a la auditora informtica

I: Introduccin a la auditora informtica

M.C. Gabriel Huesca Aguilar

I: Introduccin a la auditora informtica EC06: Los auditores

M.C. Gabriel Huesca Aguilar

Nombre: ___________________________________ Grupo:

Nombre: ___________________________________ Grupo:

Nombre: ___________________________________ Grupo:

Nombre: ___________________________________ Grupo:

Nombre: ___________________________________ Grupo:

Nombre: ___________________________________ Grupo: