INSTITUTO

TECNOLGICO DE
CD GUZMN
Ingeniera Informtica
Auditoria Informtica
Pasos a Desarrollar e Implantar una
Auditoria

Alumno
Jos Yasbet lvarez Godnez

24 de Abril 2015

Indice
Introduccion-----------------------------------------------------------------------------------3
Auditoria
Informtica------------------------------------------------------------------------4
Auditoria
Interna----------------------------------------------------------------------4
Auditoria
Externa---------------------------------------------------------------------4
Planificacin de la
auditoria--------------------------------------------------------------6
Comprensin del negocio y de su
ambiente------------------------------6
Riesgo y materialidad de
auditoria--------------------------------------------6
Tcnicas de evaluacin de
Riesgos-------------------------------------------7
Objetivos de controles y objetivos de
auditoria---------------------------7
Procedimientos de
auditoria-----------------------------------------------------8
Desarrollo del programa de
auditora-------------------------------------------------8
Alcances de
auditoria--------------------------------------------------------------8
Planificacin
previa------------------------------------------------------------------8
Asignacin de Recursos de
auditora--------------------------------------------------9
Evaluacin de fortalezas y debilidades de auditora--------------------------10
Informe de
auditora-------------------------------------------------------------------------11
Observaciones detalladas y recomendaciones de auditoria--------------11
2

Conclusiones de la
auditora-------------------------------------------------------------11
Seguimiento de la
auditora--------------------------------------------------------------12
Conclusin-------------------------------------------------------------------------------------13
Bibliografa-------------------------------------------------------------------------------------14

Introduccion
Consiste en verificar el funcionamiento de un sistema de informacin,
aplicando una serie de conocimientos, tcnicas y mtodos con el
propsito de examinar la operatividad del sistema. En el proceso de
investigacin el auditor comprueba si en los sistemas se estn
aplicando medidas de seguridad y de control apropiadas para
asegurar la integridad de la informacin. El auditor debe realizar un
anlisis profundo de todos los componentes que integran el sistema
informtico. La auditora informtica en una empresa es esencial
debido a que un sistema mal diseado resulta peligroso para la
empresa.
La informtica est vinculada en las tareas o transacciones de la
empresa debido a esto deben aplicarse las normas y procedimientos
informticos.
Conducir la auditora es una de las partes ms crticas de un
Programa de Administracin de Software, porque la auditora ayuda a
la organizacin a tomar decisiones que optimicen sus activos de
software.

Auditoria Informtica
La auditora informtica es un proceso llevado a cabo por
profesionales especialmente capacitados para el efecto, y que
consiste en recoger, agrupar y evaluar evidencias para determinar si
un sistema de informacin salvaguarda el activo empresarial,
mantiene la integridad de los datos, lleva a cabo eficazmente los fines
de la organizacin, utiliza eficientemente los recursos, y cumple con
las leyes y regulaciones establecidas. Permiten detectar de forma
sistemtica el uso de los recursos y los flujos de informacin dentro
de una organizacin y determinar qu informacin es crtica para el
cumplimiento de su misin y objetivos, identificando necesidades,
duplicidades, costes, valor y barreras, que obstaculizan flujos de
informacin eficientes. En si la auditoria informtica tiene 2 tipos las
cuales son:
Auditoria Interna
Es aquella que se hace adentro de la empresa; sin contratar a
personas de afuera.
4

Auditoria Externa
Como su nombre lo dice es aquella en la cual la empresa contrata a
personas de afuera para que haga la auditoria en su empresa. Auditar
consiste principalmente en estudiar los mecanismos de control que
estn implantados en una empresa u organizacin, determinando si
los mismos son adecuados y cumplen unos determinados objetivos o
estrategias, estableciendo los cambios que se deberan realizar para
la consecucin de los mismos. Los mecanismos de control pueden ser
directivos, preventivos, de deteccin, correctivos o de recuperacin
ante una contingencia.
Los objetivos de la auditora Informtica son:

El anlisis de la eficiencia de los Sistemas Informticos

La verificacin del cumplimiento de la Normativa en este mbito
La revisin de la eficaz gestin de los recursos informticos.

Sus beneficios son:

Mejora la imagen pblica.
Confianza en los usuarios sobre la seguridad y control de los
servicios de TI.
Optimiza las relaciones internas y del clima de trabajo.
Disminuye los costos de la mala calidad (reprocesos, rechazos,
reclamos, entre otros).
Genera un balance de los riesgos en TI.
Realiza un control de la inversin en un entorno de TI, a
menudo impredecible.
La auditora informtica sirve para mejorar ciertas caractersticas en
la empresa como:

Desempeo
Fiabilidad
Eficacia
Rentabilidad
Seguridad
Privacidad

Generalmente se puede desarrollar en alguna o combinacin de las

siguientes reas:

Gobierno corporativo
Administracin del Ciclo de vida de los sistemas
Servicios de Entrega y Soporte
Proteccin y Seguridad
5

Planes de continuidad y Recuperacin de desastres

La necesidad de contar con lineamientos y herramientas estndar

para el ejercicio de la auditora informtica ha promovido la creacin y
desarrollo de mejores prcticas como COBIT, COSO e ITIL.
Actualmente la certificacin de ISACA para ser CISA Certified
Information Systems Auditor es una de las ms reconocidas y
avaladas por los estndares internacionales ya que el proceso de
seleccin consta de un examen inicial bastante extenso y la
necesidad de mantenerse actualizado acumulando horas (puntos)
para no perder la certificacin.

Planificacin de la auditoria
Una planificacin adecuada es el primer paso necesario para realizar
auditoras de sistema eficaces. El auditor de sistemas debe
comprender el ambiente del negocio en el que se ha de realizar la
auditoria as como los riesgos del negocio y control asociado.
A continuacin se menciona algunas de las reas que deben ser
cubiertas durante la planificacin de la auditoria:
Comprensin del negocio y de su ambiente.
Al planificar una auditoria, el auditor de sistemas debe tener una
comprensin de suficiente del ambiente total que se revisa. Debe
incluir una comprensin general de las diversas prcticas comerciales
y funciones relacionadas con el tema de la auditoria, as como los
tipos de sistemas que se utilizan. El auditor de sistemas tambin debe
comprender el ambiente normativo en el que opera el negocio. Por
ejemplo, a un banco se le exigir requisitos de integridad de sistemas
de informacin y de control que no estn presentes en una empresa
manufacturera. Los pasos que puede llevar a cabo un auditor de
sistemas para obtener una comprensin del negocio son: Recorrer las
instalaciones del ente. Lectura de material sobre antecedentes que
incluyan publicaciones sobre esa6 industria, memorias e informes

financieros. Entrevistas a gerentes claves para comprender los temas

comerciales esenciales. Estudio de los informes sobre normas o
reglamentos. Revisin de planes estratgicos a largo plazo. Revisin
de informes de auditoras anteriores.
Riesgo y materialidad de auditoria.
Se puede definir los riesgos de auditoria como aquellos riesgos de
que la informacin pueda tener errores materiales o que el auditor de
sistemas no pueda detectar un error que ha ocurrido. Los riesgos en
auditoria pueden clasificarse de la siguiente manera: Riesgo
inherente: Cuando un error material no se puede evitar que suceda
por que no existen controles compensatorios relacionados que se
puedan establecer. Riesgo de Control: Cuando un error material no
puede ser evitado o detectado en forma oportuna por el sistema de
control interno. Riesgo de deteccin: Es el riesgo de que el auditor
realice pruebas exitosas a partir de un procedimiento inadecuado. El
auditor puede llegar a la conclusin de que no existen errores
materiales cuando en realidad los hay. La palabra "material" utilizada
con cada uno de estos componentes o riesgos, se refiere a un error
que debe considerarse significativo cuando se lleva a cabo una
auditoria. En una auditoria de sistemas de informacin, la definicin
de riesgos materiales depende del tamao o importancia del ente
auditado as como de otros factores. El auditor de sistemas debe
tener una cabal comprensin de estos riesgos de auditoria al
planificar. Una auditoria tal vez no detecte cada uno de los
potenciales errores en un universo. Pero, si el tamao de la muestra
es lo suficientemente grande, o se utiliza procedimientos estadsticos
adecuados se llega a minimizar la probabilidad del riesgo de
deteccin. De manera similar al evaluar los controles internos, el
auditor de sistemas debe percibir que en un sistema dado se puede
detectar un error mnimo, pero ese error combinado con otros, puede
convertir en un error material para todo el sistema. La materialidad
en la auditoria de sistemas debe ser considerada en trminos del
impacto potencial total para el ente en lugar de alguna medida
basado en lo monetario.
Tcnicas de evaluacin de Riesgos.
Al determinar que reas funcionales o temas de auditoria que deben
auditarse, el auditor de sistemas puede enfrentarse ante una gran
variedad de temas candidatos a la auditoria, el auditor de sistemas
debe evaluar esos riesgos y determinar cules de esas reas de alto
riesgo debe ser auditada. Existen cuatro motivos por los que se utiliza
7 Permitir que la gerencia asigne
la evaluacin de riesgos, estos son:

recursos necesarios para la auditoria. Garantizar que se ha obtenido

la informacin pertinente de todos los niveles gerenciales, y garantiza
que las actividades de la funcin de auditoria se dirigen
correctamente a las reas de alto riesgo y constituyen un valor
agregado para la gerencia. Constituir la base para la organizacin de
la auditoria a fin de administrar eficazmente el departamento. Proveer
un resumen que describa como el tema individual de auditoria se
relaciona con la organizacin global de la empresa as como los
planes del negocio.
Objetivos de controles y objetivos de auditoria.
El objetivo de un control es anular un riesgo siguiendo alguna
metodologa, el objetivo de auditoria es verificar la existencia de
estos controles y que estn funcionando de manera eficaz,
respetando las polticas de la empresa y los objetivos de la empresa.
As pues tenemos por ejemplo como objetivos de auditoria de
sistemas los siguientes: La informacin de los sistemas de
informacin deber estar resguardada de acceso incorrecto y se debe
mantener actualizada. Cada una de las transacciones que ocurren en
los sistemas es autorizada y es ingresada una sola vez. Los cambios a
los programas deben ser debidamente aprobados y probados. Los
objetivos de auditoria se consiguen mediante los procedimientos de
auditoria.
Procedimientos de auditoria.
Algunos ejemplos de procedimientos de auditoria son: Revisin de la
documentacin de sistemas e identificacin de los controles
existentes. Entrevistas con los especialistas tcnicos a fin de conocer
las tcnicas y controles aplicados. Utilizacin de software de manejo
de base de datos para examinar el contenido de los archivos de
datos. Tcnicas de diagramas de flujo para documentar aplicaciones
automatizadas.

Desarrollo del programa de auditora.

Un programa de auditoria es un conjunto documentado de
procedimientos diseados para alcanzar los objetivos de auditoria
planificados. El esquema tpico de un programa de auditoria incluye lo
siguiente:
Tema de auditoria: Donde se identifica el rea a ser auditada.
Objetivos de Auditoria: Donde se indica el propsito del trabajo de
auditoria a realizar.
8

Alcances de auditoria: Aqu se identifica los sistemas especficos o

unidades de organizacin que se han de incluir en la revisin en un
perodo de tiempo determinado.
Planificacin previa: Donde se identifica los recursos y destrezas
que se necesitan para realizar el trabajo as como las fuentes de
informacin para pruebas o revisin y lugares fsicos o instalaciones
donde se va auditar.
Procedimientos de auditoria:

Recopilacin de datos.
Identificacin de lista de personas a entrevistar.
Identificacin y seleccin del enfoque del trabajo
Identificacin y obtencin de polticas, normas y directivas.
Desarrollo de herramientas y metodologa para probar y
verificar los controles existentes.
Procedimientos para evaluar los resultados de las pruebas y
revisiones.
Procedimientos de comunicacin con la gerencia.
Procedimientos de seguimiento.

El programa de auditoria se convierte tambin en una gua para

documentar los diversos pasos de auditoria y para sealar la
ubicacin del material de evidencia. Generalmente tiene la siguiente
estructura:

Procedimientos

Los procedimientos involucran pruebas de cumplimiento o pruebas

sustantivas, las de cumplimiento se hacen para verificar que los
controles funcionan de acuerdo a las polticas y procedimientos
establecidos y las pruebas sustantivas verifican si los controles
establecidos por las polticas o procedimientos son eficaces.
Asignacin de Recursos de auditora.
La asignacin de recursos para el trabajo de auditoria debe considerar
las tcnicas de administracin de proyectos las cuales tienen los
siguientes pasos bsicos: Desarrollar un plan detallado: El plan debe
precisar los pasos a seguir para cada tarea y estimar de manera
realista, el tiempo teniendo en
cuenta el personal disponible.
9

Contrastar la actividad actual con la actividad planificada en

el proyecto: debe existir algn mecanismo que permita comparar el
progreso real con lo planificado. Generalmente se utilizan las hojas
de control de tiempo. Ajustar el plan y tomar las acciones correctivas:
si al comparar el avance con lo proyectado se determina avances o
retrasos, se debe reasignar tareas. El control se puede llevar en
un diagrama de Gantt

As mismo las hojas de control de tiempo son generalmente como

sigue:

10

Los recursos deben comprender tambin las habilidades con las que
cuenta el grupo de trabajo de auditoria y el entrenamiento y
experiencia que estos tengan. Tener en cuenta la disponibilidad del
personal para la realizacin del trabajo de auditoria, como los
perodos de vacaciones que estos tengan, otros trabajos que estn
realizando, etc.

Evaluacin de fortalezas y debilidades de auditora.

Luego de desarrollar el programa de auditoria y recopilar evidencia de
auditoria, el siguiente paso es evaluar la informacin recopilada con
la finalidad de desarrollar una opinin. Para esto generalmente se
utiliza una matriz de control con la que se evaluar el nivel de los
controles identificados, esta matriz tiene sobre el eje vertical los tipos
de errores que pueden presentarse en el rea y un eje horizontal los
controles conocidos para detectar o corregir los errores, luego se
establece un puntaje (puede ser de 1 a 10 0 a 20, la idea es que
cuantifique calidad) para cada correspondencia, una vez completada,
la matriz muestra las reas en que los controles no existen o son
dbiles, obviamente el auditor debe tener el suficiente criterio para
juzgar cuando no lo hay si es necesario el control.

Por ejemplo:
En esta parte de evaluacin de debilidades y fortalezas tambin se
debe elegir o determinar la materialidad de las observaciones o
hallazgos de auditoria. El auditor de sistemas debe juzgar cuales
11

observaciones son materiales a diversos niveles de la gerencia y se

debe informar de acuerdo a ello.

Informe de auditora.
Los informes de auditora son el producto final del trabajo del auditor
de sistemas, este informe es utilizado para indicar las observaciones
y recomendaciones a la gerencia, aqu tambin se expone la opinin
sobre lo adecuado o lo inadecuado de los controles o procedimientos
revisados durante la auditoria, no existe un formato especfico para
exponer un informe de auditora de sistemas de informacin, pero
generalmente tiene la siguiente estructura o contenido:
Introduccin al informe, donde se expresara los objetivos de la
auditoria, el perodo o alcance cubierto por la misma, y una expresin
general sobre la naturaleza o extensin de los procedimientos de
auditoria realizados.
Observaciones detalladas y recomendaciones de auditoria.
Respuestas de la gerencia a las observaciones con respecto a las
acciones correctivas.
Conclusin global del auditor expresando una opinin sobre los
controles y procedimientos revisados.
Conclusiones de la auditora
Una vez que finalicen las revisiones en sitio, el equipo auditor genera
el informe de auditora, el cual es el conjunto de todas las
resoluciones emitidas durante el proceso, donde se describen los
resultados. Este informe debe ser aprobado por el auditor lder y
presentado a las partes interesadas durante la junta de cierre.
12

La junta de cierre es el protocolo con el cual se formaliza la conclusin

de la auditora y se presenta el informe con el fin de resolver las
dudas y controversias del proceso. La auditora concluye una vez que
el auditado firma la conformidad de los resultados. Posteriormente, el
auditado debe presentar al equipo auditor un plan para resolver las
no conformidades (incumplimiento) y observaciones encontradas.
Seguimiento de la auditora
Una vez que concluye el proceso de auditora, puedes aplicar
actividades de seguimiento sobre las acciones correctivas,
encaminadas a satisfacer las desviaciones identificadas en los
hallazgos que fueron identificados y clasificados (no conformidades u
observaciones).
Con estas actividades podrs realizar una revisin del cumplimiento
que deba tener la organizacin en cuanto a estndares o algn tipo
de requerimiento, con base en lo que establece el estndar ISO/IEC
19001.
Estas actividades resultan muy tiles sobre todo si opera a travs de
un sistema de gestin que tenga como objetivo la proteccin de la
informacin, ya que se requiere mantener evidencia de actividades de
monitoreo y revisin.
Como ya lo hemos mencionado en este espacio, la seguridad de la
informacin se trata de un proceso de revisin y mejora continua, en
este sentido, una de las herramientas (en el sentido amplio de la
palabra) que contribuyen en esta labor son las auditoras.

13

Conclusin
Las auditorias informticas se conforman obteniendo informacin y
documentacin de todo tipo. Los informes finales de los auditores
dependen de sus capacidades para analizar las situaciones de
debilidad o fortaleza de los diferentes medios. El trabajo del auditor
consiste en lograr obtener toda la informacin necesaria para emitir
un juicio global objetivo, siempre amparando las evidencias
comprobatorias.
El auditor debe estar capacitado para comprender los mecanismos
que se desarrollan en un procesamiento electrnico. Tambin debe
estar preparado para enfrentar sistemas computarizados en los
cuales se encuentra la informacin necesaria para auditar.
Toda empresa, pblica o privada, que posean Sistemas de Informacin
medianamente complejos, deben de someterse a un control estricto
de evaluacin de eficacia y eficiencia. Hoy en da, la mayora de las
empresas tienen toda su informacin estructurada en Sistemas
Informticos, de aqu, la vital importancia que los sistemas de
informacin funcionen correctamente. El xito de una empresa
depende de la eficiencia de sus sistemas de informacin. Una
empresa puede contar con personal altamente capacitado, pero si
tiene un sistema informtico propenso a errores, lento, frgil e
inestable; la empresa nunca saldr a adelante.
La auditora de Sistemas debe hacerse por profesionales expertos,
una auditoria mal hecha puede acarrear consecuencias drsticas para
la empresa auditada, principalmente econmicas.
En conclusin la auditoria informtica es la indicada para evaluar de
manera profunda, una determinada organizacin a travs de su
sistema de informacin automatizado, de aqu su importancia y
relevancia.

14

Bibliografa
http://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica
http://fcasua.contad.unam.mx/apuntes/interiores/docs/98/8/audi_infor.
pdf
http://www.monografias.com/trabajos37/procedimientosauditoria/procedimientos-auditoria.shtml#planif
http://www.monografias.com/trabajos40/auditoriainformatica/auditoria-informatica2.shtml

15