Unidad I Auditoria

Auditoria Informtica
Clave IFM-0405
UNIDAD 1
INTRODUCCION A LA AUDITORIA INFORMATICA
1.0
Introduccin
Para que nos sirve la auditoria informtica?

Nos permite detectar de forma sistemtica el uso de los recursos informticos y
los flujos de informacin que son crticos para el cumplimiento de los objetivos de
una organizacin, detectando necesidades, duplicidades, costos y barreras, que
obstaculizan los flujos de informacin.
La auditora informtica sirve para mejorar ciertas caractersticas en la empresa
como:
Eficiencia
Eficacia
Rentabilidad
Seguridad
1.1 Definicin Auditoria

Es el examen crtico y sistemtico que realiza una persona o grupo de personas
independientes, generalmente es la revisin de estados financieros que es una
auditora realizada por un profesional experto en contabilidad de los libros y
registros contables de una entidad para opinar sobre la razonabilidad de la
informacin contenida en ellos y sobre el cumplimiento de las normas contables.
El origen etimolgico de la palabra es el verbo latino Audire, que significa or.
Esta denominacin proviene de su origen histrico, ya que los primeros auditores
ejercan su funcin juzgando la verdad o falsedad de lo que les era sometido a su
verificacin principalmente oyendo
Auditar consiste principalmente en estudiar los mecanismos de control que estn
implantados en una empresa u organizacin, determinando si los mismos son
adecuados y cumplen unos determinados objetivos o estrategias, estableciendo
los cambios que se deberan realizar para la consecucin de los mismos.
1.1.1 Definicin Auditoria Informtica (AF)

1 Instituto Tecnolgico de Chihuahua II
Clave IFM-0405
La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias

para determinar si un Sistema de Informacin salvaguarda el activo empresarial,
mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la
organizacin y utiliza eficientemente los recursos.
1.1.2 Objetivos de la Auditoria Informtica
El control de la funcin informtica

El anlisis de la eficiencia de los Sistemas Informticos
La verificacin del cumplimiento de la Normativa en este mbito
La revisin de la eficaz gestin de los recursos informticos.
La necesidad de contar con lineamientos y herramientas estndar para el ejercicio

de la auditora informtica ha promovido la creacin y desarrollo de mejores
prcticas como COBIT, ISO, COSO e ITIL.
Actualmente la certificacin de ISACA para ser CISA (Certified Information
Systems Auditor) es una de las ms reconocidas y avaladas por los estndares
internacionales ya que el proceso de seleccin consta de un examen inicial
bastante extenso y la necesidad de mantenerse actualizado acumulando horas
(puntos) para no perder la certificacin
1.2 Tipos de Auditorias

Existen muchos tipos de auditoria vemos algunos:
Auditoria Contable (Estados financieros):
Interna: Es llevada acabo por un departamento de la organizacin en la

cual existe una relacin laboral.
Externa: La lleva acabo personal externo a la compaa, con el fin que los
resultados arrojados sean imparciales, no existe relacin laboral con los
auditados.
Auditoria Administrativa (William P. Leonard)

Es un examen completo y constructivo de la estructura organizativa de la
empresa, institucin o departamento gubernamental o de cualquier otra entidad y
Clave IFM-0405
de sus mtodos de control, medios de operacin y empleo que de a sus recursos

humanos y materiales.
Auditoria gubernamental:
Auditoria Financiera: Consiste en una revisin exploratoria y critica de los

controles subyacentes y los registros de contabilidad de una empresa
realizada por un contador publico, cuya conclusin es un dictamen a cerca
de la correccin de los estados financieros de la empresa.
Auditoria interna: Proviene de la auditoria financiera y consiste en: una
actividad de evaluacin que se desarrolla en forma independiente dentro de
una organizacin, a fin de revisar la contabilidad, las finanzas y otras
operaciones como base de un servicio protector y constructivo para la
administracin. En un instrumento de control que funciona por medio de la
medicin y evaluacin de la eficiencia de otras clases de control, tales
como: procedimientos; contabilidad y dems registros; informes financieros;
normas de ejecucin etc.
Auditoria de operaciones:
Se define como una tcnica para evaluar sistemticamente de una funcin o una
unidad con referencia a normas de la empresa, utilizando personal no
especializado en el rea de estudio, con el objeto de asegurar a la administracin,
que sus objetivos se cumplan, y determinar que condiciones pueden mejorarse. A
continuacin se dan algunos ejemplos de la autoridad de operaciones:
Evaluacin del cumplimiento de polticas y procedimientos.

Revisin de practicas de compras
Auditora Fiscal:
Consiste en verificar el correcto y oportuno pago de los diferentes impuestos y
obligaciones fiscales de los contribuyentes desde el punto de vista fsico ( SHCP ),
direcciones o tesoreras de hacienda estatales o tesoreras municipales.
Auditoria de legalidad:
Este tipo de auditoria tiene como finalidad revisar si la dependencia o entidad, en
el desarrollo de sus actividades, ha observado el cumplimiento de disposiciones
legales que sean aplicables (leyes, reglamentos, decretos, circulares, etc.)
Clave IFM-0405
Clasificacin de las normas de auditoria

Las normas de auditoria se clasifican en:
NORMAS PERSONALES.
Se refieren a las cualidades que el auditor debe tener para poder asumir, dentro
de las exigencias que el carcter profesional de la auditoria impone, un trabajo de
este tipo. Dentro de estas normas existen cualidades que el auditor debe tener pre
adquiridas antes de poder asumir un trabajo profesional de auditoria y cualidades
que debe mantener durante el desarrollo de toda su actividad profesional.
Entrenamiento tcnico y capacidad profesional

Debe tener un titulo profesional legalmente expedido y reconocido, tener
entrenamiento tcnico adecuado y capacidad profesional como auditores.
Cuidado y diligencia profesionales.

Esta obligado a ejercitar con cuidado y diligencia razonables en la
realizacin de su examen y en la preparacin de su dictamen o informe.
Independencia.
Esta obligado a mantener una actitud de independencia mental en todos los
asuntos relativos a su trabajo profesional.
NORMAS DE EJECUCIN DEL TRABAJO.

Existen ciertos elementos que, por su importancia, deben ser cumplidos. Estos
elementos bsicos, fundamentales en la ejecucin de trabajo, que constituyen la
especificacin particular, por lo menos al mnimo indispensable, de la exigencia de
cuidado y diligencia, son los que constituyen las normas denominadas de
ejecucin del trabajo.
Planeacin y supervisin.
El trabajo debe estar planeado adecuadamente y, si se usan ayudantes,
estos deben ser supervisados en forma apropiada.
Estudio y evaluacin del control interno.
Clave IFM-0405
Debe efectuar un estudio y evaluacin adecuados del control interno

existente, que le sirvan de base para determinar el grado de confianza que
va depositar en el; asimismo, que le permita determinar la naturaleza,
extensin y oportunidad que va dar procedimientos de auditoria.
Obtencin de evidencia suficiente y competente.

Mediante sus procedimientos de auditoria, debe obtener evidencia
comprobatoria suficiente y competente en el grado que requiera suministrar
una base objetiva para su opinin.
NORMAS DE INFORMACIN.
El resultado final del trabajo del auditor es su dictamen o informe. Mediante el,
pone en conocimiento de las personas interesadas los resultados de su trabajo y
la opinin que se ha formado a travs de su examen.
En este es en lo que va a reposar la confianza de los interesados en los estados
financieros para prestarles fe a las declaraciones que en ellos aparecen sobre la
situacin financiera y los resultados de operaciones de la empresa.
Por ultimo es, principalmente, a travs del informe o dictamen, como el pblico y el
cliente se dan cuenta del trabajo del auditor y, en muchos casos, es la nica parte,
de dicho trabajo, que queda a su alcance.
1.2.1 Auditora Interna y Externa

1.2.1.1 La Auditora Externa (Independiente).
Examina y evala cualquiera de los sistemas de informacin de una organizacin
y emite una opinin independiente sobre los mismos, pero las empresas
generalmente requieren de la evaluacin de su sistema de informacin financiero
en forma independiente para otorgarle validez ante los usuarios del producto de
este, por lo cual tradicionalmente se ha asociado el trmino Auditora Externa
a Auditora de Estados Financieros, lo cual como se observa no es totalmente
equivalente, pues puede existir Auditora Externa del Sistema de Informacin
Tributario, Auditora Externa del Sistema de Informacin Administrativo, Auditora
Externa del Sistema de Informacin Automtico etc.
Tiene por objeto averiguar la razonabilidad, integridad y autenticidad de los
estados, expedientes y documentos y toda aquella informacin producida por los
sistemas de la organizacin. Se lleva a cabo cuando se tiene la intencin de
publicar el producto del sistema de informacin examinado con el fin de
acompaar al mismo una opinin independiente que le d autenticidad y permita a
Clave IFM-0405
los usuarios de dicha informacin tomar decisiones confiando en las declaraciones

del Auditor.
Esta debe hacerla una persona o firma independiente de capacidad
profesional reconocidas. La cual debe ser capaz de ofrecer una opinin
imparcial y profesionalmente experta a cerca de los resultados de auditora,
basndose en el hecho de que su opinin ha de acompaar el informe presentado
al trmino del examen y concediendo que pueda expresarse una opinin basada
en la veracidad de los documentos y de los estados financieros y en que no se
imponga restricciones al auditor en su trabajo de investigacin.
1.2.1.2 La Auditora Interna.
Es el examen crtico, sistemtico y detallado de un sistema de informacin de una
organizacin, realizado por un profesional con vnculos laborales con la
misma, utilizando tcnicas determinadas y con el objeto de emitir informes y
formular sugerencias para el mejoramiento de la misma. Estos informes son de
circulacin interna y no tienen trascendencia a los terceros pues no se producen
bajo la figura de la Fe Publica.
La auditora interna es un servicio que reporta al ms alto nivel de la direccin
de la organizacin y tiene caractersticas de funcin asesora de control, por tanto
no puede ni debe tener autoridad de lnea sobre ningn funcionario de la empresa,
a excepcin de los que forman parte de la planta de la oficina de auditora interna,
ni debe en modo alguno involucrarse o comprometerse con las operaciones de los
sistemas de la empresa, pues su funcin es evaluar y opinar sobre los mismos,
para que la alta direccin toma las medidas necesarias para su mejor
funcionamiento.
La auditora interna solo interviene en las operaciones y decisiones propias de su
oficina, pero nunca en las operaciones y decisiones de la organizacin a la cual
presta sus servicios, pues como se dijo es una funcin asesora
1.3 Campo de la Auditoria Informtica

Algunos campos de aplicacin de la informtica son las siguientes:
Investigacin cientfica y humanstica: Se usan la las computadoras para la
resolucin de clculos matemticos, recuentos numricos, etc. Algunas de estas
operaciones:
Resolucin de ecuaciones.
Anlisis de datos de medidas experimentales, encuestas etc.
Clave IFM-0405
Anlisis automticos de textos
Aplicaciones tcnicas: Usa la computadora para facilitar diseos de ingeniera y

de productos comerciales, trazado de planos, etc. Algunas de estas operaciones:
Anlisis y diseo de circuitos de computadora.

Clculo de estructuras en obras de ingeniera.
Minera.
Cartografa.
Documentacin e informacin: Es uno de los campos ms importantes para la

utilizacin de computadoras. Estas se usan para el almacenamiento de grandes
cantidades de datos y la recuperacin controlada de los mismos en bases de
datos. Ejemplos de este campo de aplicacin son:
Documentacin cientfica y tcnica.

Archivos automatizados de bibliotecas.
Bases de datos jurdicas.
Gestin administrativa: Automatiza las funciones de gestin tpicas de una

empresa. Existen programas que realizan las siguientes actividades:
Contabilidad.
Facturacin.
Control de existencias.
Nminas.
Inteligencia artificial: Las computadoras se programan de forma que emulen el

comportamiento de la mente humana. Los programas responden como
previsiblemente lo hara una persona inteligente. Aplicaciones como:
Reconocimiento del lenguaje natural.

Programas de juego complejos (ajedrez).
Clave IFM-0405
Instrumentacin y control: Instrumentacin electrnica, electro medicina, robots

industriales, entre otros.
Otros campos de aplicacin no vistos anteriormente:
aplicaciones en el arte, procesamiento de imgenes.
video-juegos,
1.4 Control Interno

El Control Interno Informtico puede definirse como el sistema integrado al
proceso administrativo, en la planeacin, organizacin, direccin y control de las
operaciones con el objeto de asegurar la proteccin de todos los recursos
informticos y mejorar los ndices de economa, eficiencia y efectividad de los
procesos operativos automatizados. (Auditora Informtica - Aplicaciones en
Produccin - Jos Dagoberto Pinilla)
El Informe COSO define el Control Interno como Las normas, los procedimientos,
las prcticas y las estructuras organizativas diseadas para proporcionar
seguridad razonable de que los objetivos de la empresa se alcanzarn y que los
eventos no deseados se prevern, se detectarn y se corregirn.
Tambin se puede definir el Control Interno como cualquier actividad o accin
realizada manual y/o automticamente para prevenir, corregir errores o
irregularidades que puedan afectar al funcionamiento de un sistema para
conseguir sus objetivos. (Auditora Informtica - Un Enfoque Prctico - Mario G.
Plattini) Tipos
En el ambiente informtico, el control interno se materializa fundamentalmente en
controles de dos tipos:
Controles manuales: aquellos que son ejecutados por el personal

del rea usuaria o de informtica sin la utilizacin de herramientas
computacionales.
Controles Automticos: son generalmente los incorporados en el
software, llmense estos de operacin, de comunicacin, de gestin
de base de datos, programas de aplicacin, etc.
Los controles segn su finalidad se clasifican en:
Controles Preventivos: tratar de evitar la produccin de errores o

hechos fraudulentos, como por ejemplo el software de seguridad que
evita el acceso a personal no autorizado.
Clave IFM-0405
Controles Detectivos: trata de descubrir a posteriores errores o

fraudes que no haya sido posible evitarlos con controles preventivos.
Controles Correctivos: tratan de asegurar que se subsanen todos
los errores identificados mediante los controles detectivos.
Objetivos principales:
Controlar que todas las actividades se realizan cumpliendo los

procedimientos y normas fijados, evaluar su bondad y asegurarse del
cumplimiento de las normas legales.
Asesorar sobre el conocimiento de las normas
Colaborar y apoyar el trabajo de Auditora Informtica interna/externa
Definir, implantar y ejecutar mecanismos y controles para comprobar
el grado ce cumplimiento de los servicios informticos.
Realizar en los diferentes sistemas y entornos informticos el control
de las diferentes actividades que se realizan.
Control interno informtico (funcin)

Es una funcin del departamento de Informtica de una organizacin, cuyo
objetivo es el de controlar que todas las actividades relacionadas a los sistemas
de informacin automatizados se realicen cumpliendo las normas, estndares,
procedimientos y disposiciones legales establecidas interna y externamente.
Entre sus funciones especficas estn:
Difundir y controlar el cumplimiento de las normas, estndares y

procedimientos al personal de programadores, tcnicos y
operadores.
Disear la estructura del Sistema de Control Interno de la Direccin
de Informtica en los siguientes aspectos:
Desarrollo y mantenimiento del software de aplicacin.
Explotacin de servidores principales
Software de Base
Redes de Computacin
Seguridad Informtica
Licencias de software
Relaciones contractuales con terceros
Cultura de riesgo informtico en la organizacin
Clave IFM-0405
Control interno informtico (reas de aplicacin)

Controles generales organizativos: Son la base para la planificacin, control y
evaluacin por la Direccin General de las actividades del Departamento de
Informtica, y debe contener la siguiente planificacin:
Plan Estratgico de Informacin realizado por el Comit de

Informtica.
Plan Informtico, realizado por el Departamento de Informtica.
Plan General de Seguridad (fsica y lgica).
Plan de Contingencia ante desastres.
Controles de desarrollo y mantenimiento de sistemas de informacin:

Permiten alcanzar la eficacia del sistema, economa, eficiencia, integridad de
datos, proteccin de recursos y cumplimiento con las leyes y regulaciones a travs
de metodologas como la del Ciclo de Vida de Desarrollo de aplicaciones.
Controles de explotacin de sistemas de informacin: Tienen que ver con la
gestin de los recursos tanto a nivel de planificacin, adquisicin y uso del
hardware as como los procedimientos de, instalacin y ejecucin del software.
Controles en aplicaciones: Toda aplicacin debe llevar controles incorporados
para garantizar la entrada, actualizacin, salida, validez y mantenimiento
completos y exactos de los datos.
Controles en sistemas de gestin de base de datos: Tienen que ver con la
administracin de los datos para asegurar su integridad, disponibilidad y
seguridad.
Controles informticos sobre redes: Tienen que ver sobre el diseo, instalacin,
mantenimiento, seguridad y funcionamiento de las redes instaladas en una
organizacin sean estas centrales y/o distribuidos.
Controles sobre computadores y redes de rea local: Se relacionan a las
polticas de adquisicin, instalacin y soporte tcnico, tanto del hardware como del
software de usuario, as como la seguridad de los datos que en ellos se procesan
Clave IFM-0405
1.5 Modelos de control utilizados en auditoria informtica

En la actualidad existen una gran cantidad de modelos de control interno. Los
modelos de control interno informe COSO y COBIT son los dos modelos ms
difundidos en la actualidad, aun que podemos encontrar otros como el COCO,
AEC y SAC.
El informe COSO est enfocado a toda la organizacin, contempla polticas,
procedimientos y estructuras organizativas adems de procesos para definir el
modelo de control interno.
Mientras que COBIT (Control Objectives for Information and Related Technology)
se centra en el entorno de tecnologas de informacin (TI), contempla de forma
especfica la seguridad de la informacin como uno de sus objetivos, cosa que
COSO no hace. Adems el modelo de control interno que presenta COBIT es ms
completo, dentro de su mbito.
1.5.1 Informe COSO

El denominado "Informe COSO" sobre control interno, publicado en EE.UU. en
1992, surgi como una respuesta a las inquietudes que planteaban la diversidad
de conceptos, definiciones e interpretaciones existentes en torno a la temtica
referida.
La redaccin del informe fue encomendada a Coopers & Lybrand.
Se trataba entonces de materializar un objetivo fundamental: definir un nuevo
marco conceptual del control interno, capaz de integrar las diversas definiciones y
conceptos que venan siendo utilizados sobre este tema, logrando as que, al nivel
de las organizaciones pblicas o privadas, de la auditoria interna o externa, o de
los niveles acadmicos o legislativos, se cuente con un marco conceptual comn,
una visin integradora que satisfaga las demandas generalizadas de todos los
sectores involucrados.
Componentes
El marco integrado de control que plantea consta de cinco componentes
interrelacionados, derivados del estilo de la direccin, e integrados al proceso de
gestin:
Clave IFM-0405
a) Ambiente De Control: Define al conjunto de circunstancias que enmarcan

el accionar de una entidad desde la perspectiva del control interno y que
son por lo tanto determinantes del grado en que los principios de este
ltimo imperan sobre las conductas y los procedimientos organizacionales.
Los principales factores del ambiente de control son:
La filosofa y estilo de la direccin y la gerencia.

La estructura, el plan organizacional, los reglamentos y los manuales de
procedimiento.
La integridad, los valores ticos, la competencia profesional y el
compromiso de todos los componentes de la organizacin, as como su
adhesin a las polticas y objetivos establecidos.
Las formas de asignacin de responsabilidades y de administracin y
desarrollo del personal.
El grado de documentacin de polticas y decisiones, y de formulacin
de programas que contengan metas, objetivos e indicadores de
rendimiento.
El ambiente de control reinante ser tan bueno, regular o malo como lo

sean los factores que lo determinan. El mayor o menor grado de desarrollo
y excelencia de stos har, en ese mismo orden, a la fortaleza o debilidad
del ambiente que generan y consecuentemente al tono de la organizacin.
b) Evaluacin de Riesgos: A travs de la investigacin y anlisis de los
riesgos relevantes y el punto hasta el cual el control vigente los neutraliza
se evala la vulnerabilidad del sistema. Para ello debe adquirirse un
conocimiento prctico de la entidad y sus componentes de manera de
identificar los puntos dbiles, enfocando los riesgos tanto al nivel de la
organizacin como de la actividad.
Los objetivos pueden ser explcitos o implcitos, generales o particulares.
Estableciendo objetivos globales y por actividad, una entidad puede
identificar los factores crticos del xito y determinar los criterios para medir
el rendimiento.
Una vez identificados, el anlisis de los riesgos incluir:
Una estimacin de su importancia / trascendencia.

Una evaluacin de la probabilidad / frecuencia.
Clave IFM-0405
Una definicin del modo en que habrn de manejarse.
Existen circunstancias que pueden merecer una atencin especial en

funcin del impacto potencial que plantean:
Cambios en el entorno.
Redefinicin de la poltica institucional.
Reorganizaciones o reestructuraciones internas.
Ingreso de empleados nuevos, o rotacin de los existentes.
Nuevos sistemas, procedimientos y tecnologas.
Aceleracin del crecimiento.
Nuevos productos, actividades o funciones.
Los mecanismos para prever, identificar y administrar los cambios deben

estar orientados hacia el futuro, de manera de anticipar los ms
significativos a travs de sistemas de alarma complementados con planes
para un abordaje adecuado de las variaciones.
c) Actividades De Control: Estn constituidas por los procedimientos
especficos establecidos como un reaseguro para el cumplimiento de los
objetivos, orientados primordialmente hacia la prevencin y neutralizacin
de los riesgos.
Conociendo los riesgos, se disponen los controles destinados a evitarlos o
minimizarlos, los cuales pueden agruparse en tres categoras, segn el
objetivo de la entidad con el que estn relacionados:
Las operaciones
La confiabilidad de la informacin financiera
El cumplimiento de leyes y reglamentos
En muchos casos, las actividades de control pensadas para un objetivo

suelen ayudar tambin a otros: los operacionales pueden contribuir a los
relacionados con la confiabilidad de la informacin financiera, stas al
cumplimiento normativo, y as sucesivamente.
A su vez en cada categora existen diversos tipos de control:

Preventivo / Correctivos
Manuales / Automatizados o informticos
Gerenciales o directivos
Clave IFM-0405
Es necesario remarcar la importancia de contar con buenos controles de las

tecnologas de informacin, pues stas desempean un papel fundamental
en la gestin, destacndose al respecto el centro de procesamiento de
datos, la adquisicin, implantacin y mantenimiento del software, la
seguridad en el acceso a los sistemas, los proyectos de desarrollo y
mantenimiento de las aplicaciones.
d) Informacin Y Comunicacin: Es imprescindible que todos los agentes
cuenten con la informacin peridica y oportuna que deben manejar para
orientar sus acciones en consonancia con los dems, hacia el mejor logro de
los objetivos.
La informacin relevante debe ser captada, procesada y transmitida de tal
modo que llegue oportunamente a todos los sectores permitiendo asumir las
responsabilidades individuales.
Los informes deben transferirse adecuadamente a travs de una comunicacin
eficaz. Esto es, en el ms amplio sentido, incluyendo una circulacin
multidireccional de la informacin: ascendente, descendente y transversal.
Adems de una buena comunicacin interna, es importante una eficaz
comunicacin externa que favorezca el flujo de toda la informacin necesaria, y
en ambos casos importa contar con medios eficaces, dentro de los cuales tan
importantes como los manuales de polticas, memorias, difusin institucional,
canales formales e informales, resulta la actitud que asume la direccin en el
trato con sus subordinados. Una entidad con una historia basada en la
integridad y una slida cultura de control no tendr dificultades de
comunicacin. Una accin vale ms que mil palabras.
e) Supervisin: El objetivo es asegurar que el control interno funciona
adecuadamente, a travs de dos modalidades de supervisin: actividades
continuas o evaluaciones puntuales.
Las primeras son aquellas incorporadas a las actividades normales y
recurrentes que, ejecutndose en tiempo real y arraigadas a la gestin,
generan respuestas dinmicas a las circunstancias sobrevinientes.
En cuanto a las evaluaciones puntuales, corresponden las siguientes
consideraciones:
I.
Su alcance y frecuencia estn determinados por la naturaleza e

importancia de los cambios y riesgos que stos conllevan, la
Clave IFM-0405
II.
III.
IV.
V.
VI.
competencia y experiencia de quienes aplican los controles, y los

resultados de la supervisin continuada.
Son ejecutados por los propios responsables de las reas de gestin
(autoevaluacin), la auditora interna (incluida en el planeamiento o
solicitada especialmente por la direccin), y los auditores externos.
Constituyen en s todo un proceso dentro del cual, aunque los enfoques
y tcnicas varen, priman una disciplina apropiada y principios
insoslayables. La tarea del evaluador es averiguar el funcionamiento
real del sistema: que los controles existan y estn formalizados, que se
apliquen cotidianamente como una rutina incorporada a los hbitos, y
que resulten aptos para los fines perseguidos.
Responden a una determinada metodologa, con tcnicas y
herramientas para medir la eficacia directamente o a travs de la
comparacin con otros sistemas de control probadamente buenos.
El nivel de documentacin de los controles vara segn la dimensin y
complejidad de la entidad.
Debe confeccionarse un plan de accin que contemple:
El alcance de la evaluacin
Las actividades de supervisin continuadas existentes.
La tarea de los auditores internos y externos.
reas o asuntos de mayor riesgo.
Programa de evaluaciones.
Evaluadores, metodologa y herramientas de control.
Presentacin de conclusiones y documentacin de soporte
Seguimiento para que se adopten las correcciones pertinentes.
Las deficiencias o debilidades del sistema de control interno detectadas a

travs de los diferentes procedimientos de supervisin deben ser
comunicadas a efectos de que se adopten las medidas de ajuste
correspondientes.
Segn el impacto de las deficiencias, los destinatarios de la informacin
pueden ser tanto las personas responsables de la funcin o actividad
implicada como las autoridades superiores.
En conclusin; En el marco de control postulado a travs del Informe COSO, la
interrelacin de los cinco componentes genera una sinergia conformando un
sistema integrado que responde dinmicamente a los cambios del entorno.
Atendiendo a necesidades gerenciales fundamentales, los controles se entrelazan
a las actividades operativas como un sistema cuya efectividad se acrecienta al
incorporarse a la infraestructura y formar parte de la esencia de la institucin.
Clave IFM-0405
Mediante un esquema de controles incorporados como el descripto:
Se fomentan la calidad, las iniciativas y la delegacin de poderes.

Se evitan gastos innecesarios.
Se generan respuestas giles ante circunstancias cambiantes.
1.5.2 COBIT
Es un modelo para auditar la gestin y control de los sistemas de informacin y
tecnologa, orientado a todos los sectores de una organizacin, es decir,
administradores IT, usuarios y por supuesto, los auditores involucrados en el
proceso.
Las siglas COBIT significan Objetivos de Control para Tecnologa de Informacin y
Tecnologas relacionadas (Control Objectives for Information Systems and related
Technology). El modelo es el resultado de una investigacin con expertos de
varios pases, desarrollado por ISACA (Information Systems Audit and Control
Association).
La estructura del modelo propone un marco de accin donde se evalan los
criterios de informacin, como por ejemplo la seguridad y calidad, se auditan los
recursos que comprenden la tecnologa de informacin, como por ejemplo el
recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una
evaluacin sobre los procesos involucrados en la organizacin.
Es un modelo de evaluacin y monitoreo que enfatiza en el control de negocios y
la seguridad TI y que abarca controles especficos de TI desde una perspectiva de
negocios. La adecuada implementacin de un modelo COBIT en una
organizacin, provee una herramienta automatizada, para evaluar de manera gil
y consistente el cumplimiento de los objetivos de control y controles detallados,
que aseguran que los procesos y recursos de informacin y tecnologa contribuyen
al logro de los objetivos del negocio en un mercado cada vez ms exigente,
complejo y diversificado, seal un informe de ETEK.
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado
la forma en que trabajan los profesionales de tecnologa. Vinculando tecnologa
informtica y prcticas de control, el modelo COBIT consolida y armoniza
estndares de fuentes globales prominentes en un recurso crtico para la gerencia,
los profesionales de control y los auditores.
Clave IFM-0405
Se aplica a los sistemas de informacin de toda la empresa, incluyendo los

computadores personales y las redes. Est basado en la filosofa de que los
recursos TI necesitan ser administrados por un conjunto de procesos naturalmente
agrupados para proveer la informacin pertinente y confiable que requiere una
organizacin para lograr sus objetivos.
El conjunto de lineamientos y estndares internacionales conocidos como COBIT,
define un marco de referencia que clasifica los procesos de las unidades de
tecnologa de informacin de las organizaciones en cuatro dominios principales,
a saber:
Planificacin y organizacin
Adquisicin e implantacin
Soporte y Servicios
Monitoreo
Principios
Requerimientos de la Informacin del Negocio
Efectividad: Informacin relevante y pertinente, proporcionada en forma

oportuna, correcta, consistente y utilizable
Eficiencia: Empleo ptimo de los recursos.
Confidencialidad: Proteccin de la informacin sensitiva contra divulgacin
no autorizada
Integridad: Informacin exacta y completa, as como vlida de acuerdo con
las expectativas de la organizacin.
Disponibilidad: accesibilidad a la informacin y la salvaguarda de los
recursos y sus capacidades.
Cumplimiento: Leyes, regulaciones y compromisos contractuales.
Confiabilidad: Apropiada para la toma de decisiones adecuadas y el
cumplimiento normativo.
Recursos de TI
Datos: Todos los objetos de informacin interna y externa, estructurada o

no, grficas, sonidos, etc.
Aplicaciones: Sistemas de informacin, que integran procedimientos
manuales y sistematizados.
Clave IFM-0405
Tecnologa: Hardware y software bsico, sistemas operativos,

de
administracin de bases de datos, de redes, telecomunicaciones,
multimedia, etc.
Instalaciones: Recursos necesarios para alojar y dar soporte a los
sistemas.
Recurso Humano: Habilidad, actitud y productividad del personal.
Bsicamente, apoya a la organizacin al proveer un marco que asegura que:
La Tecnologa de Informacin (TI) est alineada con la misin y visin.

LA TI capacite y maximice los beneficios.
Los recursos de TI sean usados responsablemente.
Los riesgos de TI sean manejados apropiadamente.
El modelo COBIT hace un estudio de estos elementos para conocer realmente la

importancia de cada uno y conocer el estado y situacin general de la
organizacin completa.
1.5.3 Investigacin de otros modelos de control de auditoria

El alumno realizara una investigacin de tres diferentes modelos de control de auditoria
informtica, realizando un ensay, el cual contendr una introduccin, desarrollo del tema,
conclusin y las referencias bibliogrficas con el formato APA:
Auto Evaluacin de Control (AEC)

Semantic Access Control Model (SAC)
Comisin de Criterios sobre el Control(COCO)
1.6 Principios aplicados a los auditores informticos

PRINCIPIO DE BENEFICIO DE AUDITADO
El auditor deber ver como se puede conseguir la mxima eficacia y

rentabilidad de los medios informticos de la empresa auditada, estando
obligado a presentar recomendaciones acerca del reforzamiento del
sistema y el estudio de las soluciones ms idneas segn los problemas
detectados en el sistema informtico de esta ltima.
Clave IFM-0405
En ningn caso est justificado que realice su trabajo el prisma del propio
beneficio.
Cualquiera actitud que se anteponga intereses personales del auditor a los

del auditado deber considerarse como no tica.
Para garantizar le beneficio del auditado como la necesaria independencia

del auditor, este ltimo deber evitar estar ligado en cualquier forma, a
intereses de determinadas marcas, productos o equipos compatibles con
los de su cliente.
La adaptacin del auditor al sistema del auditado debe implicar una cierta
simbiosis con el mismo, a fin de adquirir un conocimiento pormenorizado de
sus caractersticas intrnsecas.
nicamente en los casos en el que el auditor dedujese la imposibilidad de

que el sistema pudiera acomodarse a las exigencias propias de su
cometido, este podr proponer un cambio cualitativamente significativo de
determinados elementos o del propio sistema informtico globalmente
contemplado.
Una vez estudiado el sistema informtico a auditar, el auditor deber

establecer los requisitos mnimos, aconsejables y ptimos para su
adecuacin a la finalidad para la que ha sido diseado.
El auditor deber lgicamente abstenerse de recomendar actuaciones

innecesariamente onerosas, dainas o que generen riesgos injustificados
para el auditado.
Una de las cuestiones ms controvertidas, respecto de la aplicacin de este

principio, es la referente a facilitar el derecho de las organizaciones
auditadas a la libre eleccin del auditor.
Si el auditado decidiera encomendar posteriores auditoras a otros

profesionales, stos deberas poder tener acceso a los informes de los
trabajos profesionales, stos deberan poder tener acceso a los informes de
los trabajos anteriormente realizados sobre el sistema del auditado.
PRINCIPIO DE CALIDAD
En el auditor deber prestar sus servicios a tenor de las posibilidades de la

ciencia y medios a su alcance con absoluta libertad respecto a la utilizacin
Clave IFM-0405
de dichos medios y en unas condiciones tcnicas adecuadas para el idneo

cumplimiento de su labor.
En los casos en el que la precariedad de medios puestos a su disposicin
impidan o dificulten seriamente la realizacin de la auditora, deber
segarse a realizarla hasta que se garantice un mnimo de condiciones
tcnicas que no comprometan la calidad de sus servicios o dictmenes.
PRINCIPIO DE CAPACIDAD
El auditor debe estar plenamente capacitado para la realizacin de la

auditora encomendada, maximice teniendo en cuenta que, a los auditados
en algunos casos les puede ser extremadamente difcil verificar sus
recomendaciones y evaluar correctamente la precisin de las mismas.
Debe, por tanto, ser plenamente consciente del alcance de sus
conocimientos y de su capacidad y aptitud para desarrollar la auditora
evitando que una sobreestimacin personal pudiera provocar el
incumplimiento parcial o total de la misma.
Conviene indicar que en los casos de producirse, por el contrario, una

subestimacin de su capacidad de su capacidad profesional, esta
circunstancia podra afectar negativamente en la confianza del auditado
sobre el resultado final de la auditora.
A efectos de garantizar, en la medida de lo posible, la pertinencia de sus

conocimientos, el auditor deber procurar que stos evolucionen, al
unsono con el desarrollo de las tecnologas de la informacin, en una
forma dinmica.
Es deseable que se fortalezca la certificacin profesional de la aptitud de

los auditores para realizar unos trabajos de ndole tan compleja.
Esta certificacin que deber tener a plazo de validez acorde con la

evolucin de las nuevas tecnologas de la informacin de la informacin,
debera estar validada y garantizada por la metodologa empleada para
acreditar dicha especializacin. PRINCIPIO DE CAUTELA
El auditor en todo momento debe ser consiente de que sus

recomendaciones deben estar basadas en el experiencia contrastada que
se le supone tiene adquirida, evitando que, por un exceso de vanidad, el
auditado se embarque en proyectos de futuro fundamentos en simples
intuiciones sobre la posible evolucin de las nuevas tecnologas de la
informacin.
Clave IFM-0405
Si bien es cierto que el auditor debe estar al corriente del desarrollo de

dichas tecnologas de informacin e informar al auditado de su previsible
evolucin, no es menos cierto que deben evitar la tentacin de creer que,
gracias a sus conocimientos, puede aventurar, con un casi absoluto grado
de certeza.
Debe, por tanto, el auditor actuar con un cierto grado de humildad, evitando
dar la impresin de estar al corriente de una informacin privilegiada sobre
el estado real de la evolucin de los proyectos.
PRINCIPIO DE COMPORTAMIENTO PROFESIONAL
El auditor, tanto en sus relaciones con el auditado como con terceras

personas, deber, en todo momento, actuar conforma a las normas,
implcitas o explcitas, de dignidad de la profesin y de correccin en el trato
personal.
Para ello deber cuidar la moderacin en la exposicin de sus juicios u
opiniones evitando caer en exageraciones o atemorizaciones innecesarias
procurando, en todo momento, transmitir una imagen de precisin y
exactitud en sus comentarios.
El comportamiento profesional exige del auditor una seguridad en sus

conocimientos tcnicos y una clara percepcin de sus carencias, debiendo
eludir las injerencias no solicitadas por l, de profesionales de otras reas,
en temas relacionadas o que puedan incidir en el resultado da la auditora.
El auditor debe asimismo guardar un escrupuloso respecto por la poltica

empresarial del auditado, aunque sta difiera ostentablemente de las del
resto el sector en las que desarrolla su actividad.
Igualmente debe evitarse realizar actos que simulen aplicaciones de

tratamientos ficticios, encubran comportamientos no profesionales o den
publicidad a metodologas propias o ajenas insuficientemente contrastadas
y garantizadas.
PRINCIPIO DE CONCENTRACION EN EL TRABAJO
En su lnea de actuacin, el auditor deber evitar que un exceso de trabajo

supere sus posibilidades de concentracin y precisin en cada una de las
tareas a l encomendadas, y a que la estructuracin y dispersin de
trabajos suele a menudo, si no est debidamente controlada, provocar la
conclusin de los mismos sin las debidas garantas de seguridad.
Clave IFM-0405
A este efecto, el auditor deber sopesar las posibles consecuencias de una

acumulacin excesiva de trabajos a fin de no asumir aquellos que
objetivamente no tengan tiempo de realizar con las debidas garantas de
calidad.
Asimismo deber evitar la desaconsejable prctica de ahorro de esfuerzos

basada en la reproduccin de partes significativas de trabajos o
conclusiones obtenidas de trabajos previos en otros posteriores elaborados
como colofn de nuevas auditoras.
Por el contrario, si es admisible el que, una vez analizados en profundidad

los aspectos a tener en cuenta y obtenidas las correspondientes
conclusiones, se contrasten las mismas a tenor de la experiencia adquirida
y reflejada en anteriores informes, ya que este modo de actuar permite
detectar posibles omisiones en el estudio.
Este comportamiento profesional permitir al auditor dedicar a su cliente la

mayor parte de los recursos posibles obtenidos de sus conocimientos y
experiencias previas con una completa atencin durante la ejecucin de la
auditora.
PRINCIPIO DE CONFIANZA
El auditor deber facilitar e incrementar la confianza del auditorio en base a

una actuacin de transparencia en su actividad profesional sin alardes
cientficos-tcnicos.
Este principio requiere mismsimo, por parte del auditor, el mantener una
confianza en las indicaciones del auditado aceptndolas sin reservas como
vlidas.
El auditor deber, en consonancia con esta forma de actuar, adecuar su
lenguaje al nivel de comprensin del auditado, descendiendo y detallando
cuando haga falta en su explicacin debiendo solicitar, cuando lo considere
necesario, la presencia de alguno de los colaboradores de confianza de su
cliente.
PRINCIPIO DE CRITERIO PROPIO
El auditor durante la ejecucin deber actuar con criterio propio y no

permitir que est subordinado al de otros profesionales, aun de reconocido
prestigio, que no coincidan con el mismo.
La defensa a ultranza del propio criterio no es bice para respetar las
crticas adversas de terceros, aunque el auditor debe evitar que, si una vez
Clave IFM-0405
analizadas contina discrepando de las mismas, stas pueden seguir

influyendo en su trabajo, ya que la libertad de criterio impone al auditor la
obligacin de tica de actuar en todo momento.
Este principio exige asimismo del auditor una actitud cuasibeligerante en los
casos en que llegue al convencimiento de que la actividad que se solicita,
presuntamente para evaluar y mejorar un sistema informtico, tiene otra
finalidad ajena a la auditora. De igual forma cuando el auditor observe que,
de forma reiterada, el auditado se niega, sin justificacin alguna, a adoptar
a sus propuestas deber plantearse la continuidad de sus servicios en
funcin de las razones y causas que considere puedan justificar dicho
proceder.
PRINCIPIO DE DISCRECIN
El auditor deber en todo momento mantener una cierta discrecin en la

divulgacin de datos, aparentemente inocuos, que se le hayan puesto de
manifiesto durante la ejecucin de la auditoria
PRINCIPIO DE ECONOMA
El auditor deber proteger, en la medida de sus conocimientos, los

derechos econmicos del auditado evitando generar gastos innecesarios en
el ejercicio de su actividad.
De igual forma, el auditor deber tener en cuenta la economa de medios
materiales o humanos, eludiendo utilizar aquellos que no se precisen, lo
que redundar en reducciones de gastos no justificados. En las
recomendaciones y conclusiones realizadas en base a su trabajo deber
as mismo eludir, incitar o proponer actuaciones que puedan generar gastos
innecesarios o desproporcionados.
PRINCIPIO DE FORMACIN CONTINUADA
Este principio impone a los auditores el deber y la responsabilidad de

mantener una permanente actualizacin de sus conocimientos y mtodos a
fin de adecuarlos a las necesidades de la demanda y a las exigencias de la
competencia de la oferta.
PRINCIPIO DE FORTALECIMIENTO Y RESPETO DE LA PROFESIN
La defensa de los auditados pasa por el fortalecimiento de la profesin de

los auditores informticos, lo que exige un respeto por el ejercicio,
globalmente considerado, de la actividad desarrollada por los mismos y un
Clave IFM-0405
comportamiento acorde con los requisitos exigibles para el idneo

cumplimiento de la finalidad de las auditorias.
El auditor como integrante de un grupo profesional beber promover el
respeto mutuo y la no confrontacin entre compaeros.
En sus relaciones profesionales beber exigir as mismo una reciprocidad
en el comportamiento tico de sus colegas y facilitar las relaciones de
confraternidad y mutuo apoyo cuando as se le soliciten.
PRINCIPIO DE INDEPENDENCIA
Este principio, muy relacionado con el principio de criterio propio, obliga al

auditor, tanto si acta como profesional externo o con dependencia laboral
respecto a la empresa en la que deba realizar la auditoria informtica, a
exigir una total autonoma e independencia en su trabajo, condicin esta
imprescindible para permitirle actuar libremente segn su leal saber y
entender. Esta independencia implica as mismo el rechazo de criterios con
los que no este plenamente de acuerdo, debiendo reflejarse en su informe
final tan solo aquellos que considere pertinentes evitando incluir en el
mismo aquellos otros que segn su entender pudieran producir perjuicios al
auditado, aunque este as se lo solicite.
PRINCIPIO DE INFORMACIN SUFICIENTE
Este principio obliga al auditor a ser plenamente consciente de su

obligacin de aportar, en forma pormenorizada, clara, precisa e inteligible
para el auditado, informacin tanto sobre todos y cada uno de los puntos
relacionados con la auditoria que puedan tener algn inters para el, como
sobre las conclusiones a las que a llegado.
Es importante asimismo que la informacin transmitida al auditado ponga
de manifiesto una prudencia y sentido de la responsabilidad, caractersticas
estas que nunca deben estar reidas con los principios de suficiencia
informativa y de veracidad evitando recrear los aspectos negativos o los
errores humanos detectados que deben quedar reflejados con un cierto
tacto profesional.
PRINCIPIO DE INTEGRIDAD MORAL
Este principio, inherentemente ligado a la dignidad de la persona, obliga al

auditor a ser honesto, leal y diligente en el desempeo de su misin, a
ajustarse a las normas morales de justicia y prioridad, y a evitar participar,
voluntaria o inconscientemente, en cualquier acto de corrupcin personal o
de terceras personas.
Clave IFM-0405
PRINCIPIO DE LEGALIDAD
La primaca de esta obligacin exige del auditor un comportamiento activo

de oposicin a todo intento, por parte del auditado o de terceras personas,
tendente a infringir cualquier precepto integrado en el derecho positivo.
PRINCIPIO DE LIBRE COMPETENCIA
La actual economa de mercado exige que el ejercicio de la profesin se

realice en el marco de la libre competencia siendo rechazables, por tanto,
las prcticas colusorias tendentes a impedir o limitar la legitima
competencia de otros profesionales y las prcticas abusivas consistentes
en el aprovechamiento en beneficio propio, y en contra de los intereses de
los auditados, de posiciones predominantes.
PRINCIPIO DE NO DISCRIMINACIN
El auditor en su actuacin previa, durante y posterior a la auditoria deber

evitar cualquier tipo de condicionantes personalizados y actuar en todos los
casos con similar diligencia, su actuacin deber mantener una igualdad de
trato profesional con la totalidad de personas con las que en virtud de su
trabajo tenga que relacionarse.
PRINCIPIO DE NO INJERENCIA
El auditor, dada la injerencia que puede derivarse de su tarea, deber evitar

injerencias en los trabajos de otros profesionales, respetar su labor y eludir
hacer comentarios que pudieran interpretarse como despreciativos de la
misma o provocar un cierto desprestigio de su cualificacin profesional.
Deber igualmente evitar aprovechar los datos obtenidos de la auditoria
para entrar en competencia desleal con profesionales relacionados con ella
de otras reas del conocimiento.
PRINCIPIO DE PRECISIN
Este principio estrechamente relacionado con el principio de calidad exige

del auditor la no conclusin de su trabajo hasta estar convencido, en la
medida de lo posible, de la viabilidad de sus propuestas , debiendo ampliar
sus estudios de ser necesario.
Clave IFM-0405
En la exposicin de sus conclusiones deber ser suficientemente critico, no

eludiendo poner de manifiesto aquellos aspectos concretos que considere
puedan tener una incidencia en la calidad y fiabilidad de la auditoria.
Es exigible asimismo del auditor que indique como evaluado nicamente

aquello que directamente, o por medio de sus colaboradores, haya
comprobado u observado de forma exhaustiva.
PRINCIPIO DE PUBLICIDAD ADECUADA
La oferta y promocin de los servicios de auditoria debern en todo

momento ajustarse a las caractersticas, condiciones y finalidad
perseguidas, siendo contraria a la tica profesional la difusin de publicidad
falsa o engaosa que tenga como objetivo confundir a los potenciales
usuarios de dichos servicios.
PRINCIPIO DE RESPONSABILIDAD
El auditor deber, como elemento intrnseco de todo comportamiento

profesional, responsabilizarse de lo que haga, diga o aconseje.
Si bien este principio aparentemente puede resultar gravoso en auditorias
de gran complejidad es preciso tenerlo presente a fin de poder garantizar su
responsabilidad en los casos en que, debido a errores humanos durante la
ejecucin de la auditoria, se produzcan daos a su cliente que le pudieran
ser imputados.
Por ello es conveniente impulsar la formalizacin y suscripcin de seguros,

adaptados a las peculiares caractersticas de su actividad, que cubran la
responsabilidad civil de los auditores con una suficiente cobertura a fin de
acrecentar la confianza y solvencia de su actuacin profesional.
La responsabilidad del auditor conlleva la obligacin de resarcimiento de los

daos o perjuicios que pudieran derivarse de una actuacin negligente o
culposa.
PRINCIPIO DE SECRETO PROFESIONAL
La confidencia y confianza con caractersticas esenciales de las relaciones

entre el auditor y el auditado e imponen al primero la obligacin de guardar
en secreto los hechos e informaciones que conozca en el ejercicio de su
actividad profesional. Solamente por imperativo legal podr decaer esa
Clave IFM-0405
obligacin. Este principio obliga primero a no difundir a terceras personas

ningn dato que haya visto, odo, o deducido durante el desarrollo de su
trabajo que pudiera perjudicar a su cliente. Establecimiento de las medidas
y mecanismos de seguridad pertinentes para garantizar al auditado que la
informacin documentada, obtenida a lo largo de la auditoria, va a quedar
almacenada en entornos o soportes que impidan la accesibilidad a la
misma por terceras personas no autorizadas.
PRINCIPIO DE SERVICIO PUBLICO
La aplicacin de este principio debe incitar al auditor a hacer lo que este en

su mano y sin perjuicio de los intereses de su cliente, para evitar daos
sociales.
Deber poner de manifiesto sus opciones personales cuando entren en
contradiccin con la tica social que el auditado pueda presumir que esta
implcitamente aceptada por el auditor.
Exige una continua elevacin del arte de la ciencia en el campo de la
auditoria informtica.
PRINCIPIO DE VERACIDAD
El Auditor en sus comunicaciones con el auditado deber tener siempre

presente la obligacin de asegurar la veracidad de sus manifestaciones con
los limites impuestos por los deberes de respeto, correccin, y secreto
profesional.
El principio de veracidad no debe, sin embargo, considerarse como
constreido a expresar nicamente aquello sobre lo que se tenga una
absoluta y total certeza, sino que implica poner de manifiesto aquello que
tenga el suficiente grado de fiabilidad como para ser considerado como
veraz mientras no se aporten datos o pruebas que demuestren lo contrario.
La aplicacin de este principio exige al auditor, en el marco de su obligacin
de informar al auditado sobre el trabajo realizado, comunique a este ultimo
sus conclusiones, diferenciando los hechos constatados de las opiniones,
propuestas y valoraciones personales, debiendo actuar en la comprobacin
de los primeros y en la fundamentacin de las restantes con una suficiente
diligencia profesional para garantizar el cumplimiento de su obligacin de
informar verazmente.
Clave IFM-0405
1.7 Responsabilidades de los administradores y del auditor

Recordemos que un auditor informtico es un profesional especializado en ramas
de la auditora informtica, principalmente dedicado al anlisis de sistemas de
informacin (SI), que tiene conocimientos generales de los mbitos en los que
sta se mueve, adems de contar con conocimientos empresariales generales.
El auditor puede actuar como consultor con su auditado, dndole ideas de cmo
enfocar la construccin de los elementos de control y administracin que le sean
propios. Adems, puede actuar como consejero con la organizacin en la que est
desarrollando su labor. Un entorno informtico bien controlado puede ser
ineficiente si no es consistente con los objetivos de la organizacin.
El auditor informtico debe ser una persona con un alto grado de calificacin
tcnica y al mismo tiempo estar integrado a las corrientes organizativas
empresariales. Se deben contemplar las siguientes caractersticas de un perfil
profesional adecuado y actualizado:
1) Se deben poseer una mezcla de conocimientos de auditora financiera y de
informtica en general. En el rea informtica, se debe tener conocimientos
bsicos de:
Desarrollo de SI (administracin de proyectos, ciclo de vida de

desarrollo) Administracin del Departamento de Informtica
Anlisis de riesgos en un entorno informtico
Sistemas operativos
Telecomunicaciones
Administracin de Bases de Datos
Redes locales
Seguridad fsica
Operacin y planificacin informtica (efectividad de las operaciones y

rendimiento del sistema)
Clave IFM-0405
Administracin de seguridad de los sistemas (planes de contingencia)
Administracin del cambio
Administracin de Datos
Automatizacin de oficinas (ofimtica)
Comercio electrnico
Encriptacin de datos
2) Especializacin en funcin de la importancia econmica que tienen distintos

componentes financieros dentro del entorno empresarial; Por ejemplo, en
un entorno financiero pueden tener mucha importancia las comunicaciones,
por lo que se debe tener una especializacin en esa rama.
3) Debe conocer tcnicas de administracin de empresas y de cambio, ya que
las recomendaciones y soluciones que aporte deben estar alineadas a los
objetivos de la empresa y a los recursos que se poseen.
4) Debe tener un enfoque de Calidad Total, lo cual har que sus conclusiones
y trabajo sean reconocidos como un elemento valioso dentro de la empresa
y que los resultados sean aceptados en su totalidad.
Es responsable de realizar las siguientes actividades para la funcin de la
Auditora Informtica:
Verificacin del control interno tanto de las aplicaciones como de los SI,
perifricos, etc.
Anlisis de la administracin de Sistemas de Informacin, desde un punto
de vista de riesgo de seguridad, administracin y efectividad de la
administracin.
Anlisis de la integridad, fiabilidad y certeza de la informacin a travs del

anlisis de aplicaciones.
Auditora del riesgo operativo de los circuitos de informacin
Anlisis de la administracin de los riesgos de la informacin y de la

seguridad implcita.
Clave IFM-0405
Verificacin del nivel de continuidad de las operaciones.
Anlisis del Estado del Arte tecnolgico de la instalacin revisada y las

consecuencias empresariales que un desfase tecnolgico puede acarrear.
Diagnstico del grado de cobertura que dan las aplicaciones a las

necesidades estratgicas y operativas de informacin de la empresa
Tambin el auditor informtico es responsable de establecer los objetivos de

control que reduzcan o eliminen la exposicin al riesgo de control interno. Despus
de que los objetivos de auditora se hayan establecido, el auditor debe revisar los
controles y evaluar los resultados de su revisin para determinar las reas que
requieran correcciones o mejoras.
Adems de analizar el grado de implantacin y cumplimiento de los controles
internos, se considera que el auditor puede hacer las veces de consultor del
auditado, dndole ideas de cmo establecer procedimientos de seguridad, control
interno, efectividad y eficacia, medicin del riesgo empresarial, entre otros.
Organizacin de la funcin de Auditora Informtica

La funcin de la auditora informtica se ha convertido en una funcin que
desarrolla un trabajo ms acorde con la importancia que para las organizaciones
tienen los SI, que son su objeto de estudio y anlisis. El auditor informtico pasa a
ser auditor y consultor de empresas en materias de:
Seguridad
Control interno operativo
Eficiencia y eficacia
Tecnologas de Informacin
Continuidad de operaciones
Administracin de riesgos
No solamente de los SI objeto de su estudio, sino de las relaciones e

implicaciones operativas que dichos sistemas tienen en el contexto empresarial.
Clave IFM-0405
La organizacin de la auditora informtica debe contemplar los siguientes

principios:
Su localizacin puede estar ligada a la auditora interna operativa y

financiera (aunque exista una coordinacin lgica entre ambos
departamentos), con independencia de objetivos, planes de formacin y
presupuestos.
Debe ser un grupo independiente del de auditora interna, con acceso total
a los SI y dems tecnologa, que depende de la misma persona que la
auditora interna (Director General o Consejero)
La dependencia debe ser del mximo responsable de la organizacin,
nunca del departamento de sistemas o del financiero. Esto es para que no
se pueda sospechar que existe sesgo al momento de realizar el trabajo de
auditora y ofrecer conclusiones y recomendaciones.
Los recursos humanos con los que debe contar el departamento debe ser una
mezcla equilibrada de personas con formacin en auditora y organizacin y con
perfil informtico (especialidades).
La organizacin interna de la funcin podra ser:
Jefe de departamento de auditora informtica. Desarrolla el plan operativo,

las descripciones de puesto del personal a su cargo, la planeacin a corto
plazo, mtodos de administracin de programas de trabajo, evala la
capacidad del personal a su cargo
Gerente o supervisor de auditora informtica. Trabaja estrechamente con el
Jefe de de departamento en las tareas operativas diarias. Ayuda en la
evaluacin de riesgos de cada uno de los trabajos, realiza los programas de
trabajo, dirige y supervisa directamente a las personas en cada uno de los
trabajos de los que es responsable. Es responsable junto con su jefe de la
obtencin del mejor resultado del trabajo para el auditado.
Auditor informtico. Es el responsable de la ejecucin directa del trabajo.
Debe tener una especializacin genrica pero tambin una especfica.
Obtiene informacin, realiza pruebas, documenta el trabajo y ofrece un
diagnstico de resultados.
El tamao slo se puede precisar en funcin de los objetivos, pero se debera

cubrir lo siguiente:
Especialista en el entorno informtico a auditar y en administracin de

bases de datos
Clave IFM-0405
Especialista en comunicaciones y redes
Responsable de administracin de riesgo operativo y aplicaciones
Responsable de la auditora de SI, tanto en explotacin como en desarrollo
Especialista para la elaboracin de programas de trabajo en conjunto con la

Auditora Financiera

Unidad I Auditoria

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Unidad I Auditoria

Cargado por

Copyright:

Formatos disponibles

Auditoria Informtica

Para que nos sirve la auditoria informtica?

1.1 Definicin Auditoria

1.1.1 Definicin Auditoria Informtica (AF)

La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias

1.1.2 Objetivos de la Auditoria Informtica

El control de la funcin informtica

La necesidad de contar con lineamientos y herramientas estndar para el ejercicio

1.2 Tipos de Auditorias

Auditoria Contable (Estados financieros):

Interna: Es llevada acabo por un departamento de la organizacin en la

Auditoria Administrativa (William P. Leonard)

de sus mtodos de control, medios de operacin y empleo que de a sus recursos

Auditoria Financiera: Consiste en una revisin exploratoria y critica de los

Evaluacin del cumplimiento de polticas y procedimientos.

3 Instituto Tecnolgico de Chihuahua II

Clasificacin de las normas de auditoria

Entrenamiento tcnico y capacidad profesional

Cuidado y diligencia profesionales.

NORMAS DE EJECUCIN DEL TRABAJO.

Estudio y evaluacin del control interno.

4 Instituto Tecnolgico de Chihuahua II

Debe efectuar un estudio y evaluacin adecuados del control interno

Obtencin de evidencia suficiente y competente.

1.2.1 Auditora Interna y Externa

los usuarios de dicha informacin tomar decisiones confiando en las declaraciones

1.3 Campo de la Auditoria Informtica

Anlisis automticos de textos

Aplicaciones tcnicas: Usa la computadora para facilitar diseos de ingeniera y

Anlisis y diseo de circuitos de computadora.

Documentacin e informacin: Es uno de los campos ms importantes para la

Documentacin cientfica y tcnica.

Bases de datos jurdicas.

Gestin administrativa: Automatiza las funciones de gestin tpicas de una

Inteligencia artificial: Las computadoras se programan de forma que emulen el

Reconocimiento del lenguaje natural.

7 Instituto Tecnolgico de Chihuahua II

Instrumentacin y control: Instrumentacin electrnica, electro medicina, robots

1.4 Control Interno

Controles manuales: aquellos que son ejecutados por el personal

Los controles segn su finalidad se clasifican en:

Controles Preventivos: tratar de evitar la produccin de errores o

8 Instituto Tecnolgico de Chihuahua II

Controles Detectivos: trata de descubrir a posteriores errores o

Controlar que todas las actividades se realizan cumpliendo los

Control interno informtico (funcin)

Difundir y controlar el cumplimiento de las normas, estndares y

9 Instituto Tecnolgico de Chihuahua II

Control interno informtico (reas de aplicacin)

Plan Estratgico de Informacin realizado por el Comit de

Controles de desarrollo y mantenimiento de sistemas de informacin:

10 Instituto Tecnolgico de Chihuahua II

1.5 Modelos de control utilizados en auditoria informtica

1.5.1 Informe COSO

a) Ambiente De Control: Define al conjunto de circunstancias que enmarcan

La filosofa y estilo de la direccin y la gerencia.

El ambiente de control reinante ser tan bueno, regular o malo como lo

Una estimacin de su importancia / trascendencia.

12 Instituto Tecnolgico de Chihuahua II

Una definicin del modo en que habrn de manejarse.

Existen circunstancias que pueden merecer una atencin especial en

Los mecanismos para prever, identificar y administrar los cambios deben

En muchos casos, las actividades de control pensadas para un objetivo