1

1. QUE ES AUDITORIA?
Es la actividad consistente en la emisin de una opinin

profesional sobre si el objeto sometido a anlisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas.

Otra definicin: Proceso sistemtico, independiente y

documentado para obtener evidencias de una actividad y evaluarlas de manera objetiva, con el fin de determinar la extensin en que se cumplen los criterios de auditora.

2. TIPOS DE AUDITORIAS
Auditora Financiera: Consiste en una revisin exploratoria y critica

de los controles subyacentes y los registros de contabilidad de una empresa realizada por un contador pblico, cuya conclusin es un dictamen a cerca de la correccin de los estados financieros de la empresa. Auditoria de operaciones: Se define como una tcnica para evaluar sistemticamente de una funcin o una unidad con referencia a normas de la empresa, utilizando personal no especializado en el rea de estudio, con el objeto de asegurar a la administracin, que sus objetivos se cumplan, y determinar qu condiciones pueden mejorarse. A continuacin se dan algunos ejemplos de la autoridad de operaciones: Evaluacin del cumplimiento de polticas y procedimientos. Revisin de prcticas de compras

2. TIPOS DE AUDITORIAS
Auditoria administrativa: Es un examen detallado de la

administracin de un organismo social realizado por un profesional de la administracin con el fin de evaluar la eficiencia de sus resultados, sus metas fijadas con base en la organizacin, sus recursos humanos, financieros, materiales, sus mtodos y controles, y su forma de operar. Auditora informtica : consiste bsicamente, en realizar una verificacin del desempeo de los sistemas de informacin con los que se maneja cualquier empresa, aplicando conocimientos, mtodos y tcnicas con el fin de analizar la operatividad de dicho sistema. Auditora fiscal: Consiste en verificar el correcto y oportuno pago de los diferentes impuestos y obligaciones fiscales de los contribuyentes desde el punto de vista fsico ( SHCP ), direcciones o tesoreras de hacienda estatales o tesoreras municipales.

3.QUE ES LA AUDITORA INFORMTICA?

Es el proceso de recoger, agrupar y evaluar evidencias para

determinar si un sistema informtico salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos.

Definicin segn ISACA*: La auditoria informtica se define

como cualquier auditoria que abarca la revisin y evaluacin de todos los aspectos de los sistemas automticos de procesamiento de la informacin, incluidos los procedimientos no automticos relacionados con ellos y las interfaces correspondiente. (www.isaca.org) Definicin general: Revisin y evaluacin de los Recursos Informticos** y de su ambiente.
*Asociacin de Auditoria y Control de Sistemas de Informacin(ISACA por sus siglas en Ingls) **Software, hardware, comunicaciones, personal, polticas y procedimientos, controles y seguridad
5

3.QUE ES LA AUDITORA INFORMTICA?

La auditoria informtica sustenta y confirma la consecucin de los objetivos de la auditorias, que son:
Objetivos de proteccin de activos e integridad de datos. Objetivos de gestin que abarcan, no solamente los de

proteccin de activos sino tambin los de eficacia y eficiencia.

4.IMPORTANCIA DE LA AUDITORA INFORMTICA

En la era de la globalizacin, la competitividad trae como consecuencia la exigencia de toma de decisiones y bsqueda de informacin en el menor tiempo posible, pero con eficacia.

El continuo crecimiento de la dependencia hacia los sistemas tecnolgicos que soportan los procesos de negocio de las organizaciones, hacen que comprendan y administren los riesgos asociados con la implantacin y mantenimiento de las nuevas tecnologas, cada vez mas complejas y cambiantes.
Estas nuevas tecnologas y la dinmica de cambio continuo que de ellas se deriva, requieren una funcin de auditoria informtica o de sistemas calificada, competente y objetiva, que pueda entender y evaluar el riesgo en los sistemas de informacin y conlleve en el mejoramiento del control interno, la eficacia de los procesos y la aplicacin de MEJORES PRACTICAS orientadas a una adecuada administracin del riesgo tecnolgico.
7

4.1QUE ES LO QUE ESTAMOS PROTEGIENDO?

La informacin es un activo que es esencial para el negocio y consecuentemente necesita ser protegido. La seguridad de la informacin la protege contra una amplia gama de amenazas para asegurar la continuidad del negocio, reducir al mnimo el dao al negocio, maximizar el retorno de la inversin y las oportunidades de negocio. Si definimos la Seguridad de los Sistemas de Informacin como la doctrina que trata de los riesgos informticos, entonces la auditoria es una de las figuras involucradas en este proceso de proteccin y preservacin de la informacin y de sus medios de proceso.

4.1QUE ES LO QUE ESTAMOS PROTEGIENDO?

Asegura que la informacin sensitiva esta protegida de Divulgacin no permitida Perdida, daos o mal uso

Asegura que la Informacin esta Disponible para las personas autorizadas

Asegura que la informacin Esta protegido contra alteracin y es confiable

Se puede conocer como se provee de informacin al sistema informtico, pero No lo que sucede entre la entrada y salida, si esta ha sido objeto de alguna manipulacin antes De hacerse visible
9

5.CLASIFICACION DE LA INFORMACION
Si identificamos distintos niveles de controles para distintas entidades de informacin con distinto nivel de criticidad, estaremos optimizando la eficiencia de los controles y reduciendo los costos de las mismas. Los factores a considerar son los requerimientos legislativos, la sensibilidad a la divulgacin(confidencialidad), a la modificacin (integridad) y a la destruccin (disponibilidad). Las Jerarquas bsicamente se definen en: 1.Estratgica( informacin muy restringida, muy confidencial, vital para la subsistencia de la empresa) 2.Restringida( a los propietarios de la informacin). Ejemplo: Planillas, contraseas de acceso. 3. De uso interno(a todos los empleados) Ejemplo: Comunicado o circulares internas, cambios organizacionales, etc. 4. De uso general(sin restriccin)Ejemplo: Propaganda, brochures informativos, etc.

10

6.FUNCIONES DEL AUDITOR INFORMTICO

Se pueden establecer tres grupos de funciones a realizar por un auditor informtico 1. Participacin en las revisiones durante y despus del diseo, realizacin, implantacin y explotacin de aplicaciones informticas, as como en las fases anlogas de realizacin de cambios importantes. 2. Revisar y juzgar los controles implantados en los sistemas informticos para verificar su adecuacin a las ordenes e instrucciones de la direccin, requisitos legales, proteccin de confidencialidad y coberturas ante errores y fraudes. 3. Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e informacin.

11

7.PROCEDIMIENTOS DEL AUDITOR INFORMTICO

La opinin profesional se fundamenta y justifica por medio de unos procedimientos especficos y tendentes a proporcionar una seguridad razonable de lo que se afirma.

El alcance de la auditoria viene dado por los procedimientos, es decir, la amplitud y profundidad de los procedimientos que se apliquen. Para ello se establecen normas y procedimientos que en cuanto a la ejecucin de la auditoria se resumen en que:

El auditor planificar apropiadamente y supervisar adecuadamente

Se estudiara y evaluara el sistema de control interno. Se obtendr evidencia suficiente y adecuada.

12

8.NORMAS QUE RIGEN LA PRACTICA DE AUDITORIA INFORMATICA(ISACA)

Responsabilidad y autoridad Independencia profesional Relacin organizacional tica profesional y normas Competencia Educacin profesional Continua Planificacin Desempeo del trabajo de auditoria

Evidencias
Preparacin de un Informe Actividades para el Seguimiento

13

9.PERFIL DEL AUDITOR INFORMATICO

Ciclo de vida de un proyecto de desarrollo Gestin del departamento de sistemas Anlisis de riesgo en un entorno informtico Sistemas operativos Telecomunicaciones Gestor de bases de datos Redes locales Seguridad fsica

Operaciones y planificacin informtica

Gestin de seguridad de los sistemas y de la continuidad Gestin de problemas y cambios en entornos informticos Ofimtica Encriptacin de datos Comercio electrnico

14

DEONTOLOGA DEL AUDITOR INFORMTICO

15

CDIGO DEONTOLGICO
CONCEPTO Es un conjunto de preceptos que establecen los derechos exigibles a aquellos profesionales que ejerciten una determinada actividad. FINALIDAD Incidir en sus comportamientos profesionales estimulando que estos se ajusten a determinados principios morales que deben servirles de gua
16

PRINCIPIOS DEONTOLGICOS APLICABLES A LOS AUDITORES INFORMTICOS

Los auditores deben estar en constantemente

con los principios deontolgicos adoptados por diferentes colegios y asociaciones profesionales, de los cuales podemos mencionar: 1.Principio del Beneficio del Auditado Un aspecto importante, en cuanto a la aplicacin de este principio, es facilitar el derecho de las organizaciones auditadas, a la eleccin del auditor.
17

2.Principio de Calidad.- El auditor deber cumplir sus servicios con calidad, aun cuando el no se sienta en la capacidad de hacerlo, deber buscar ayuda o capacitacin profesional. Ejemplo: El auditor debe hacer una auditoria al Departamento de Ventas de la empresa XXX, para cumplir con su tarea, ste debe tener accesibilidad a documentacin necesaria, si en dicho departamento le niegan la documentacin, el auditor debe negarse a realizar la auditoria ya que no puede acceder a la informacin que es de vital importancia para su desempeo.

3.Principio de Capacidad.- El auditor debe estar plenamente consciente del alcance de sus conocimientos y de su capacidad y aptitud para desarrollar la auditoria. Ejemplo: El auditor hace la auditoria del Departamento de Ventas, debido a que no tiene suficiente conocimiento en su trabajo, realiza un informe con recomendaciones que a la larga le dejarn perjuicios a la empresa, lo que har que el auditor pierda credibilidad como profesional.
4.Principio de Cautela.- El auditor debe tener cierto grado de cuidado, y no confiarse de sus conocimientos profesionales, ser humilde al dictar sus criterios, y ser consciente de que sus recomendaciones deben estar basadas en la experiencia. Ejemplo: Las recomendaciones sugeridas en el informe de auditoria deben estar avaluadas en base a la realidad de la empresa (econmico ).

18

5.Principio de Comportamiento Profesional.- Este principio esta ligado con la tica profesional del auditor, como evitar actos ilcitos, ficticios, que encubran comportamientos no profesionales. Ejemplo: Si el auditor necesita ayuda para la revisin de documentacin, debe acudir donde otro profesional (un contador) el cual le pueda ayudar en dicha tarea, dejando constancia en el informe de auditoria de que terceros ayudaron en el trabajo de la auditoria al Departamento de Ventas. 6.Principio de Concentracin en el trabajo.- El auditor debe controlar el exceso de trabajo con la concentracin que debe tener, esto permitir al auditor dedicar a su cliente la mayor parte de los recursos posibles obtenidos de sus conocimientos. Ejemplo: El cronograma de la planificacin debe estar bien estructurado a fin de que se cumplan en los plazos establecidos todas las acciones a seguir para el correcto desempeo de la auditoria al departamento de Ventas. 7.Principio de Confianza.- Este principio requiere de ambas partes un dialogo que permita aclarar todas las dudas que se den a lo largo de la auditora. Ejemplo: El auditor debe ser sincero con el cliente, su actuar debe ser correcto y transparente.
19

8.Principio de Criterio Propio.-Este principio demanda de que el auditor actu con criterio propio, para no permitir estar subordinado al de otros profesionales. Ejemplo: Si un empleado va y comenta al auditor de que tiene sospechas de que el jefe departamental est desviando fondos, esto no quiere decir que el auditor va a dar por cierto dicho comentario. 9.Principio de Discrecin.- Depender del cuidado y discrecin en la divulgacin de datos, y mantenerlos durante el proceso de auditoria como en la finalizacin. Ejemplo: El auditor no deber divulgar datos tales como los estados financieros de la empresa, inversiones, estrategias de ventas, etc. Esto restara credibilidad al auditor. 10. Principio de Economa.- Se refiere a proteger los derechos econmicos del Auditado con el fin de evitar gastos innecesarios, as mismo rechazar, ampliaciones de trabajo sobre asuntos no directamente relacionados con la auditoria. Ejemplo: El plan de auditoria debe estar bien delimitado a fin de evitar gastos extras. 11.Principio de Formacin Continuada.- Tiene que ver con una constante preparacin por parte del auditor, y una continuo plan de formacin personal, y un seguimiento de las nuevas tecnologas de la informacin. 20 Ejemplo: El auditor deber deber capacitarse continuamente.

12. Principio de Fortalecimiento y Respeto de la Profesin.- El auditor deber evitar competir deslealmente con sus compaeros, bajando los precios de sus servicios, o evitar abusar de sus conocimientos frente a los competidores. Ejemplo: Los honorarios del auditor no deben estar sujetas a que si la auditoria es positiva entonces le pago, si la auditoria no sale como espero entonces no le pago!. El auditor merece respeto, sus honorarios sern reconocidos por el trabajo realizado 13. Principio de Independencia.- Esta relacionado con el principio de criterio propio, esta independencia implica al auditor, al rechazo de criterios con los que no este de acuerdo. Ejemplo: NO se vera bien que el auditor este con tantas confianzas con el jefe departamental Si dentro del departamento de ventas existe algn amigo suyo, esto no debe influir en los resultados de la auditoria. 14.Principio de Informacin Suficiente.- Es de inters para el auditado, y obliga al auditor a informar al cliente de todos y cada uno de los puntos relacionados con la auditoria; la labor informativa del auditor debe estar basada en la transparencia de la informacin. Ejemplo: El auditor debe presentar pruebas concisas de los que argumenta en su informe de auditoria. 15.Principio de Integridad Moral.- Se trata de que el auditor no deber utilizar los conocimientos adquiridos durante la auditoria, para utilizarlos en contra del cliente. Ejemplo: El auditor tiene conocimiento de los estados financieros de la empresa XXX, si el auditor va a ser una auditoria de la empresa YYY por quedar bien con esta empresa el no puede revelar los secretos que le fueron confiados de la 21 empresa XXX.

16. Principio de Legalidad.- El auditor no deber utilizar sus conocimientos para facilitar, a los auditados o a terceras personas, la contravencin de la legalidad vigente. Ejemplo: El auditor encontr que el jefe departamental estaba desviando fondos. El jefe Departamental le ofrece una jugosa tajada a cambio de que no presente ese hallazgo en su informe de auditoria. El auditor jams deber aceptar una situacin como esta ya que va en contra de su honorabilidad, su buen juicio y su prestigio profesional. 17.-Principio de Libre Competencia.- Deben evitarse comportamientos desleales para el beneficio propio del auditor, y actuar con tica profesional respetando la competencia profesional. Ejemplo: No debe buscar clientes mediante publicidad y otras formas de oferta de servicios en una forma que sea falsa, aparente o engaosa. 18.- Principio de no Discriminacin.- El auditor deber evitar inducir, o estar involucrado en algn tipo de discriminacin o en prejuicios de ninguna clase tanto al cliente, como a la competencia. Ejemplo: La auditoria realizada al Departamento Ventas da como resultado que el Gerente de la empresa XXX ha realizado malversacin de fondos, el Gerente al enterarse de esto amenaza al auditor con desprestigiarlo si no lo ayuda retirando esa acusacin del informe de auditoria. El auditor no debe cambiar su informe ya que el es independiente, lo que debe hacer es ir a la junta de accionistas para que lo respalden en su trabajo y poder realizar de mejor manera la auditoria.
22

19. Principio de no injerencia.- El auditor deber la labor de otros profesionales y evitar aprovechar los datos obtenidos para entrar en competencia desleal. Ejemplo: El auditor al realizar la auditoria al Departamento de Ventas tiene sospechas al revisar los estados del departamento que es el Jefe Departamental quien ha realizado malversacin de fondos. El no puede ir a la reunin de lectura del informe de auditoria y acusarlo al jefe departamental aludiendo que tiene simples sospechas. Toda acusacin debe estar respaldada por las pruebas suficientes y valederas. 20. Principio de Precisin.-Deber ser suficientemente crtico, brindando una informacin fiable de la auditora, y precisar el tiempo sin agobios de plazos, ni demoras en entregas. Ejemplo: El auditor al realizar la auditoria al Departamento de Ventas tiene sospechas al revisar los estados del departamento que es el Jefe Departamental quien ha realizado malversacin de fondos, el Auditor no puede emitir un juicio acusndolo sino tiene las pruebas suficientes para respaldar su acusacin, debe darse el tiempo para recabar sobre ese hallazgo a fin de estar seguro de sus sospechas.

23

21. Principio de Publicidad adecuada.-Evitar campaas publicitarias, que por su contenido puedan desmejorar la realidad de sus servicios. Ejemplo: El auditor no puede ofrecerle a sus clientes que si el realiza la auditoria, los resultados van a salir favorables para la empresa y que va a tener un incremento del 15% en las ventas netas. 22. Principio de Responsabilidad.- Es importante definir a priori un tope mximo de responsabilidad sobre los posibles daos acorde con la remuneracin acordada como prestacin de los servicios de auditoria. Ejemplo: Tienen responsabilidad con los que hacen uso de su servicio, s. Como con sus colegas cooperar entre si. 23. Principio de Secreto Profesional.- Tiene que ver con el beneficio de seguridad del auditado, obliga al auditor a no difundir a terceras personas informacin confidencial, a menos que sea consultada al auditado si fuera necesario. Ejemplo: El auditor no puede revelar la informacin que tiene sobre la empresa XXX ya que esto va contra su tica. La revelacin de dicha informacin puede causar perdidas a la empresa, el auditor debe ser muy cauteloso con la informacin que tiene en conocimiento.

24

24. Principio de Servicio Pblico.- Exige una continua elevacin del arte de la ciencia en el campo de la auditoria informtica, lo que puede lograrse con la participacin activa de los profesionales de dicho sector en la definicin de las caractersticas y exigencias de su actividad profesional. Ejemplo: Durante la auditoria, el auditor descubre que en el sistema existe software daino (virus) y adems sino descubre la procedencia, el auditor debe dar a conocer inmediatamente el hecho de que hay virus en el sistema el cual puede propagarse a otros sistemas, pero no debe revelar el origen de el virus. 25. Principio de Veracidad.- Se refiere a la informacin veraz segn el artculo 20.1.d ) significa informacin comprobada Segn los cnones de la profesionalidad informativa, excluyendo invenciones, o rumores.

25

CDIGO DE TICA PROFESIONAL DE ISACA[1]

Rige la conducta de los auditores informticos certificados y miembros de dicha asociacin. Los Miembros y los tenedores de certificacin de ISACA debern:

Soportar la implementacin de, y fomentar el cumplimiento de, las normas, los procedimientos y los controles apropiados para los sistemas de informacin. Ejecutar sus deberes con objetividad, debida diligencia y atencin profesional, en conformidad con las normas y mejores prcticas profesionales.

26

CDIGO DE TICA PROFESIONAL DE ISACA

Servir en el inters de los forma legal y honesta, y mantener altos estndares carcter, y no dedicarse a deshonrar la profesin. accionistas en una al mismo tiempo de conducta y de actos que puedan

Mantener la privacidad y la confidencialidad

de la informacin obtenida en el curso de sus funciones a menos que la autoridad legal requiera su revelacin. Dicha informacin no ser usada para beneficio personal ni revelada a terceros inapropiados.
27

CDIGO DE TICA PROFESIONAL DE ISACA

Mantener competencia en sus campos respectivos y

acordar emprender nicamente las actividades que ellos puedan razonablemente esperar realizar con competencia profesional. resultados del trabajo realizado, revelando todos los hechos significativos de los que ellos tengan conocimiento. para aumentar su comprensin de la seguridad y el control de los sistemas de informacin.

Informar a las personas apropiadas sobre los

Soportar la educacin profesional de los accionistas

28

SE PUEDE RESUMIR LA CONCEPTUALIZACIN MODERNA DE LA AUDITORIA AS:

a- La Auditoria es un examen de un sistema de informacin. b.- Para garantizar la imparcialidad de los resultados del examen, este debe ser realizado por una persona diferente del elaborador de la informacin y el usuario. c.- El examen es realizado en forma critica, sistemtica y detallada d.- El propsito del examen es determinar la autenticidad, integridad y calidad de la informacin que produce el sistema. e.- Para evaluar y valorar el sistema de informacin se deben poseer conocimientos profundos de la estructura y funcionamiento de la entidad auditada, del medio ambiente y las normas legales que la rigen. f.- La opinin del auditor es emitida de manera independiente. g.- El examen requiere de la utilizacin de tcnicas profesionales determinadas.

29

PREGUNTAS DE CONTROL
1. - Auditoria es: a.- La evaluacin critica de un sistema de Informacin b.- Un dictamen sobre los Estados Financieros c.- Una forma de criticar la administracin d.- Todas las anteriores e.- Ninguna de las anteriores 2. - La Auditoria da autenticidad a: a.- La gestin de la administracin b.- Los hechos econmicos de una entidad c.- Al profesional que la realiza d.- Todas las anteriores e.- Ninguna de las anteriores

30

PREGUNTAS DE CONTROL
3. - El objetivo principal de la Auditoria a.- Descubrir ladrones b.- Poner en evidencia la mala administracin c.- Emitir un diagnostico sobre un sistema de informacin d.- Todas las anteriores e.- Ninguna de las anteriores 4. - Para realizar el examen el auditor debe: a.- Conocer la estructura y funcionamiento de la empresa b.- Conocer el medio en que se mueve la empresa c.- Conocer la normatividad legal de la empresa d.- Todas las anteriores e.- Ninguna de las anteriores 5. - El mtodo que utiliza la Auditoria es: a.- Mtodo cientfico b.- No existe un mtodo especifico c.- Mtodo de ensayo-error d.- Todas las anteriores e.- Ninguna de las anteriores

31