Auditoria Iii 1er Parcial PDF

AUDITORIA III
(AUDITORÍA EN INFORMÁTICA )
7to Semestre: 10
DOCENTE:
CPA. CARLOS GABRIEL PARRALES CHOEZ, MCA.
MOVIL: 0994748743
SOLO MENSAJES DE TEXTO SOBRE LA MATERIA
CORREO INSTITUCIONAL:
CARLOS.PARRALESCH@UG.EDU.EC
2019 - 2020
Magíster en Contabilidad y Auditoria por la
Universidad Laica Vicente Rocafuerte de
Guayaquil. Contador Público Autorizado por la
C.V.DOCENTE Universidad de Guayaquil.
Asesor en temas de contabilidad financiera, control

interno e impuestos para diversas empresas del
sector empresarial. En el ejercicio de sus funciones
profesionales ha brindado consultorías, asesorías
diversas empresas del sector industrial,
comercial y de servicio experimentado en la
Firma Auditora Hansen-Holm y como Contador
General.
Correo Institucional:
carlos.parralesch@ug.edu.ec
Asimismo, ha implementado estrategias de control
interno que ha permitido diseñar, implementar,
ejecutar y monitorear estrategias de enfoques de
COSO en varios sectores.
REGLAS ÁULICAS
 Prohibido el ingreso de todo tipo de Alimentos.
 Prohibido el uso de celulares, tabletas. Solo con autorización del

Docente.
 Prohibido fomentar la indisciplina en clases y hacia otros

compañeros.
 Todos los exámenes se realizan con esfero o pluma de tinta azul.
 No se recogerá talleres e investigaciones atrasados.
Carlos Parrales Choez. CPA. MCA

AUDITORIA IIl
Recomendaciones de Calificaciones y Otros
 Llevar un portafolio físico y digital. REVISIÓN
DIARIO O ALEATORIA y toma de lecciones
diarias.
 Agregar código QR. A las tareas, deberes e

investigaciones individuales. ((Quick response
Code, «código de respuesta rápida»)), además de
enviarlo por correo.

REGLAMENTO PARA EL PROCESO DE EVALUACION,
CALIFICACION Y RECALIFICACION DE EXAMENES EN LAS
CARRERAS DEL TERCER NIVEL
Art. 6.- De los Componentes de la Evaluación.-
La evaluación centrada en el mejoramiento del proceso de aprendizaje debe

estar basada en los siguientes componentes:
Gestión del aprendizaje en los diversos ambientes propuestos por el

profesor en su interacción directa.
Gestión el aprendizaje en equipos colaborativos.
Gestión de práctica de aprendizajes.
Gestión del aprendizaje autónomo.
Validación y acreditación de los aprendizajes.

REGLAMENTO PARA EL PROCESO DE EVALUACION,
CALIFICACION Y RECALIFICACION DE EXAMENES EN LAS
CARRERAS DEL TERCER NIVEL
CAPITULO IV
DEL PROCESO DE EVALUACIÓN
ART. 11.- DE LAS CARACTERISTICAS DEL PROCESO DE EVALUACION.-
Para la aprobación de las asignaturas en carreras de grado, el estudiante debe demostrar el

dominio de los conocimientos, el manejo de las destrezas y los desempeños previstos en los
resultados de aprendizaje definidos para cada materia, asignatura o módulo.
Para la promoción de las asignaturas, cursos o sus equivalentes el estudiante deberá cumplir
con al menos el 70% de las asistencias a las clases programadas.
El registro de las asistencias será de responsabilidad del docente, y se realizara a través del
portal web. La asistencia será el promedio de la sumatoria del primero y el segundo parcial,
considerando que se registrara sobre el 100% en cada parcial.

REGLAMENTO PARA EL PROCESO DE EVALUACION, CALIFICACION
Y RECALIFICACION DE EXAMENES EN LAS CARRERAS DEL TERCER
NIVEL
Art. 13.- De la calificación.-

La evaluación parcial para cada curso, asignatura o sus equivalentes se
calificara tomando en cuenta los componentes descritos en el art. 6 del
reglamento.
Ponderaciones:
30% Gestión formativa.
30% Gestión práctica y autónoma de los aprendizajes.
40% Acreditación y Valuación de los aprendizajes.
Toda calificación será sobre 10 puntos y se realizará la respectiva ponderación

para el asentamiento de la acta.
Las calificaciones parciales serán promediadas y se obtendrá la nota final.

Para promocionar las asignaturas, cursos o sus equivalentes el estudiante
deberá obtener al menos 7 puntos.

Estructura de talleres y deberes
Carátula del Informe
Índice del Informe: Detalla el número de hojas. Si es más de una hoja. Tipo tesina.
Resumen
Descripción breve del tema. (200 a 250 palabras),
Palabras Claves:
Abstract (Inglés)
Descripción breve del tema. (200 a 250 palabras),
Palabras Claves:
Introducción:
Desarrollo del tema:

Narración en tercera persona, descripción profunda y analítica del tema.
Agregar la aplicación del tema en algún caso. (FOTOS DE LA EVIDENCIA).
Desarrollo Metodológico
Análisis del tema
Referencias
EJ.: AUTOR, AA.(AÑO). Título del capitulo, título de la obra (pp.xx-xxx) Ciudad: Editorial))
no menor a 5 años en la fecha actual.
Códigos QR en sus informes.

NOTA: investigación poner la bibliografía según apa 6ta edición.
Materiales de Clases
Conocimiento Básico de:
 NIA
 CONTROL INTERNO (ISO, Herramientas COSO II-
III, Cobit, ITIL)
 Hojas bond.
 Papelografos o diapositivas.
 Lápiz, esferos o plumas.
 Pendrive.
 Cuaderno.
 Laptop.
 Internet y Otros.

CÓDIGO QR
EN LA PC, LAPTOP SE PUEDE CREAR DESDE
ESTE SITIO.
http://www.codigos-qr.com/

CÓDIGO QR

PENSAMIENTOS
Existen buenas y malas maneras de hacer las

cosas. Usted puede practicar el tiro 8 horas
diarias, pero si la técnica es errónea, sólo se
convertirá en un individuo que es bueno para
tirar mal”.
Michael Jordán

Estructura de los Pronunciamientos emitidos por el
consejo de Normas Internacionales de Auditoria y
Aseguramiento.
NICC 1 AL 99, Normas Internacionales de Control de Calidad
Marco Internacional de los Encargados de Aseguramiento
Auditorias y Revisiones de Encargados de Aseguramiento,

Información Financiera Excepto Auditorias o Revisiones de
Histórica. Información Financiera Histórica.
NIA. 200 A 999 Normas NIEA 3000 A 3699 NORMAS

Internacionales de INTERNACIONALES DE
Auditoria. ENCARGADOS DE
NIER. 2000 A 2699 Normas ASEGURAMIENTO
Internacionales de Encargados Servicios Relacionados
de Revisión.
NISR 4000 A 4699 Normas
Internacionales de Servicios
Relacionados
Fuente: NIA. EDICION 2013 REVISADA DIC. 2014 Carlos Parrales Choez. CPA. MCA
NORMAS INTERNACIONALES DE CONTROL DE
CALIDAD (NICC)
NORMAS INTERNACIONALES DE AUDITORIA
 AUDITORIAS DE INFORMACIÓN FINANCIERA HISTÓRICA.
NIA 200-299 PRINCIPIOS GENERALES Y RESPONSABILIDADES.
NIA 300-499 EVALUACIÓN DEL RIESGO Y RESPUESTA A LOS

RIESGOS DETERMINADOS.
NIA 500-599 EVIDENCIA DE LA AUDITORIA.
NIA 600-699 UTILIZACIÒN DEL TRABAJO DE TERCEROS.
NIA 700-799 CONCLUSIONES Y DICTAMEN DE AUDITORIA.
NIA 800-899 AREAS ESPECIALIZADAS.

NIAS. Aplicables a sistemas computarizados altamente automatizados.
NIA 260. Comunicaciones de Asuntos de Auditoria con los

Encargados del gobierno Corporativo. (GRUPO 1)
NIA 300. Planeación de una Auditoria de Estados Financieros.

(GRUPO 2)
NIA 315.Entendimiento de la entidad y su entorno y evaluación de los

riesgos de representación errónea de importancia relativa. (GRUPO
3)
NIA 330.Procemientos de Auditor en respuesta a los riesgos

Evaluados.( GRUPO 4)

NIA 500. Evidencia de la Auditoria. ( GRUPO 5)
NIA 501.Evidencia de la Auditoria – Consideraciones

Adicionales para partidas Específicas. (GRUPO 6)
NIA 505. Confirmaciones Externas. (GRUPO 7)
NIA 620.Uso del trabajo de un Experto. (GRUPO 8)
NIA 700. Conclusiones, Informe de Auditoria. (GRUPO 9)

Según Syllabus
Unidad 1
DEFINICIÓN DE LA AUDITORIA INFORMÁTICA.
 Concepto de la Auditoria Informática.
¿Qué es Auditoría?
Un proceso sistemático que consiste en obtener y evaluar
objetivamente la evidencia sobre las afirmaciones relativas a los
actos y eventos de carácter económico; es decir sobre los balances
que estén razonables; para luego informar a los dueños o los socios.
¿Qué es informática?
La informática se refiere al procesamiento automático de
información mediante dispositivos electrónicos y sistemas
computacionales.

Unidad 1

 Concepto de la Auditoria en Informática.
Es la verificación de los controles en las siguientes tres áreas de

la organización (Informática):
 Aplicaciones (programa de producción).

 Desarrollo de sistemas.
 Instalación de centro de proceso.
Teoría de Mair William

Pág.- 17 de José Antonio Echenique García.

Unidad 1
DEFINICIÓN DE LA AUDITORIA
INFORMÁTICA.
 Concepto de la Auditoría en Informática.

Los Factores que pueden influir en una organización a través del control y la auditoria en informática son:
❑ El uso evolucionado en las computadoras.

Unidad 1
 Concepto de la Auditoría en Informática.

Los Factores que pueden influir en una organización a través del control y la auditoria en
informática son:
❑ Controlar el uso de la computadora, que cada día se vuelve más importante y costosa.

Unidad 1

informática son:
❑ Los altos costos que producen los errores en una organización.

Unidad 1

informática son:
❑ Abuso en las Computadoras.

Unidad 1

informática son:
❑ Posibilidad de pérdida de capacidades de procesamiento de datos.

Unidad 1

❑ Posibilidad de decisiones incorrectas.

Unidad 1

❑ Valor del hardware, software y personal.

Unidad 1

informática son:
❑ Necesidad de mantener la privacidad individual.

Unidad 1

❑ Posibilidad de pérdida de información o el mal uso de la misma.

Unidad 1

❑ Necesidad de mantener la privacidad de la organización.

Unidad 1

Los Factores que pueden influir en una organización a través del control y la auditoria en informática
son:
En el proceso de la información se deben detectar sus errores u omisiones evitar la destrucción de

causas naturales (temblores, inundaciones), o cualquier contingencia que pueda suscitarse.

Taller
 De acuerdo al caso presentado que Factores

pudieron influir en una organización por la falta de
control y la auditoría en informática :

Deber
En un ambiente de oficina, las computadoras están

conectadas en serie y trabajan de forma individual
mediante el Internet y la extranet. Sin embargo, la
división de responsabilidades y la delegación de
autoridad es cada vez más difícil debido a que
muchos usuarios comparten recursos.
Qué se puede hacer?

LLUVIA DE IDEAS

Investigación
Buscar los diferentes conceptos de Auditoria

(Contable, Ambiental, Tributaria, etc.) y establecer las
diferencias con Auditoria en Informática.
.

Unidad 1
Campo de Acción de la Auditoria Informática.
El campo de acción de la auditoria informática es:
1. Evaluación administrativa del área de informática.
2. La evaluación de los sistemas y procedimientos, y de la eficiencia que se tiene en el uso de

la información. La evaluación de la eficiencia y eficacia con la que se trabaja.
3. La evaluación de los procesos de datos, de los sistemas y de los equipos de computo

(Software, hardware, redes, bases de datos, comunicaciones).
4. Seguridad y confidencialidad de la información.
5. Aspectos Legales de los sistemas y de la Información.

Unidad 1
1. Evaluación administrativa del área de informática.
Comprende con la evaluación de:
 Los objetivos del departamento, dirección o gerencia.

 Metas, planes, políticas y procedimientos de procesos electrónicos estándares.
 Organización del área y su estructura orgánica.
 Funciones y niveles de autoridad y responsabilidad del área de procesos electrónicos.
 Integración de Recursos materiales y técnicos.
 Dirección.
 Costos y controles presupuestales.
 Controles administrativos del área de procesos electrónicos.

Unidad 1
2. - Evaluación de los sistemas y procedimientos, y de la eficiencia y eficacia que se tienen

en el uso de la información, lo cual comprende:
Comprende con la evaluación de:

 Evaluación de los análisis de los sistemas y sus diferentes etapas.
 Evaluación del diseño lógico del sistema.
 Evaluación del desarrollo físico del sistema.
 Facilidades para la elaboración de los sistemas.
 Control de Proyectos.
 Control de sistemas y programación.
 Instructivos y Documentación.
 Formas de Implantación.
 Seguridad física y lógica de los sistemas.
 Confidencialidad de los sistemas.
 Controles de mantenimiento y forma de respaldo de los sistemas.
 Utilización de los sistemas.
 Prevención de factores que puedan causar contingencias; seguros y recuperación en caso de desastre.
 Productividad.
 Derechos de autor y secretos industriales.

Unidad 1

3. - Evaluación del proceso de datos y de los equipos de computo:
 Control de los datos fuente y manejo de cifras de control.

 Control de Operación.
 Control de Salida.
 Control de Asignación de Trabajo.
 Control de Almacenamientos Masivos.
 Control de otros Elementos de computo.
 Control de Medos de Comunicación.
 Orden en el Centro de computo.

UNIDAD l

4. – Seguridad.
✓ Física y lógica.
✓ Confidencialidad.
✓ Respaldos.
✓ Seguridad del personal.
✓ Seguros.
✓ Seguridad en la utilización de los equipos.
✓ Plan de contingencia y procedimiento de respaldo para casos de
desastre.
✓ Restauración de equipo y de sistemas.

Taller
 De acuerdo al caso entregado al docente determinar

que elementos del campo de acción de Auditoría
Informática se vio afectado en el caso.

UNIDAD 1
Principales Objetivos de la auditoria Informática.
 Salvaguardar los activos. Protección de hardware, software, y recursos humanos.
 Integridad de los datos. Los datos deben tener consistencia y no duplicarse.
 Efectividad de los sistemas. Los sistemas deben cumplir con los objetivos de la
organización.
 Eficiencia de los sistemas. Que se cumplan los objetivos con los menores recursos.
 Seguridad y Confidencialidad.
La aplicación correcta de estos objetivos permite desarrollar un adecuado control interno.

Deber
CASO
Una web fue hackeada por un spammer
El sitio web de una empresa fue atacada por unos
spammers y al entrar en su web visualizaban anuncios
Publicitario.
Spammers
Se le llama Spasmado, Al sujeto o persona que hace
Spam. Se llama spam, correo basura o mensaje basura a
los mensajes no solicitados, no deseados o de remitente
no conocido, habitualmente de tipo publicitario,
generalmente enviados en grandes cantidades que
perjudican de alguna o varias maneras ...

AUDITORIA INFORMÁTICA
Control Objetives for information and related

technology, (COBIT).
Herramienta que permite evaluar la calidad del soporte

TI actual de la organización, vinculando los distintos
procesos del negocio con los recursos informáticos que
los sustentan.

AUDITORIA INFORMATICA
Control Objetives for information and related technology,
(COBIT).

Estándares - COBIT
OBJETIVOS DE NEGOCIO
Dominios de
Control
en Tecnología de
GOBIERNO DE TI Información
• efectividad
• eficiencia
• confidencialidad
• integridad
• disponibilidad
• cumplimiento
• confiabilidad
MONITOREO PLANEACIÓN Y
ORGANIZACIÓN
RECURSOS DE TI
• datos
• sistemas de
aplicación
• tecnología
• instalaciones
• gente
ADQUISICION E
ENTREGA Y
IMPLANTACION
SOPORTE
Fuente: ww.isaca.org/Content/NavigationMenu/Members_and_Leaders//COBIT6/Obtain_COBIT/CobiT4_Espanol.pdf
Unidad 1
INFORMÁTICA.
Presentación de las herramientas de
auditoria
ACL Software para Auditoría
Interna y Auditoría de
Sistemas
http://www.eniac.com/productos/acl.htm

Unidad 1
Presentación de las herramientas de auditoria
ACL
ACL Services es una empresa privada ubicada en Vancouver, Canadá, con
representantes en más de 30 países. Desde 1987, ACL Services ha estado brindando
tecnología y servicios para análisis de datos y generación de reportes.
El éxito de ACL Services lo define su compromiso por mantener una relación a

largo del tiempo con sus 45,000 usuarios en más de 100 países. Entre ellos cuenta
con instituciones gubernamentales, corporaciones multinacionales, 50% del listado
norteamericano Fortune 100 y las seis más grandes firmas de contabilidad pública.
Las familias de productos y servicios de ACL Services, líderes en el mercado

mundial en cuanto a seguridad, alta funcionalidad y continuación del negocio, son
representadas, soportadas integralmente y distribuidas por nuestra empresa. Eniac
comercializa ACL Software, una herramienta CAATT (Herramientas y Técnicas de
Auditoría Asistida por Computador) para análisis y extracción de datos.

Unidad 1

Presentación de las herramientas de auditoria
ACL
 ACL Software:
ACL es reconocido por la comunidad de auditores como la solución de software
preferida para la extracción y análisis de datos, detección de fraudes y monitoreo
continuo.
ACL es poderoso y fácil de usar, le permite convertir datos en información significativa,
lo cual le ayuda a alcanzar sus objetivos de negocios y agregar valor a su organización.
Usar ACL significa:

 Menor costo de adquisición, mantenimiento y entrenamiento.
 Incremento de la calidad y productividad.
 Integridad y confiabilidad de la información para la toma de decisiones.
 Investigaciones más detalladas ya que se identifican fácilmente las discrepancias
entre los archivos.

Unidad 1
Algunas características de ACL:

 Análisis interactivo obteniendo resultados inmediatos.
 Fácil acceso de datos de distintos ambientes y sistemas, logrando el
auditor independencia de las funciones de procesamiento de datos y
reducción del tiempo en que tiene disponible la información.
 Rapidez y facilidad de uso, lo que permite el análisis de grandes
volúmenes de información, cubriendo el 100% de los datos.
 Funciones propias de auditoría listas para su uso: estratificación,
identificación de duplicados, faltantes, muestreo estadístico,
comparaciones, cálculos, etc.
 Automatización de tareas repetitivas.
 Resultados gráficos y en reportes.
 Protección de los datos originales.
 Procesos de auto documentación.

Unidad 1
Aplicaciones de ACL:
Auditorías financieras, de operaciones o de sistemas, análisis de ventas, control de
calidad, revisiones de nóminas y otros. Análisis típicos son:
 Análisis de Riesgos.
 Análisis y detección de fraudes.
 Identificación de excepciones y anomalías.
 Identificación de problemas de control.
 Evaluación de procesos y cumplimiento de estándares.
 Señalar excepciones y destacar áreas que requieren atención.
 Localizar errores y posibles irregularidades.
 Recuperar gastos o ingresos perdidos, detectando pagos duplicados.
Eniac complementa todos los productos de ACL Services con los servicios necesarios de
establecimiento de políticas y procedimientos, soporte técnico, instalación, integración,
entrenamiento y respaldo para garantizar implementaciones altamente efectivas y con
excelente relación costo/valor.

Unidad 1
INFORMÁTICA.
¿Qué hace el software de Auditoria?

Este realiza verificación o capturas de la
información que fue procesada o que se
encuentra en proceso, ayudando a
determinar si esta fluye de manera integra en
las áreas autorizadas de una entidad.

Unidad 1
INFORMÁTICA.
¿Qué paquetes de software de Auditoria
están hoy disponibles?
Existen varios desde los más complejos y los

más sencillos de utilizar. Entre los
principales está ACL, ACDAUDITOR,
EPAUDIT, ZIFRA ENTRE OTROS. Todos
basados en el sistema CAAT.

Unidad 1
Diferentes modalidades en la aplicación de los
programas de auditoria.
Existen varias modalidades de las aplicaciones que

van desde un simple auditor de programas, de
hardware, puertos y software de auditoria.
Ej.:
Auditor de programas, revisa cada una de los
componentes que posee físicamente un computador
para luego reportarlo.
Ver. Software WinAudit

Unidad 1
Impacto de la Tecnología en las Organizaciones.

 La auditoría informática, es fundamental y tiene como propósito brindar apoyo a través de
la orientación y asesoría irrestricta a todos sus funcionarios para que logren el cabal
desempeño de sus funciones; pero no se puede caer en excesos diseñando tantos controles y
medidas que desvirtúen el propio sentido de la seguridad, por tanto se debe hacer un
análisis costo /beneficio evaluando las consecuencias que pueda acarrear la perdida de
información y demás recursos informáticos, así como analizar los factores que afectan
negativamente la productividad de la empresa.

Por otro lado, es bueno tener presente que muchos de los riesgos no provienen del exterior
de la empresa, sino que son originados en el interior de los centros de trabajo o áreas
usuarias, dichos riegos son la presencia de errores, omisiones, fraudes, manejos indebidos,
concentración de funciones administrativas y operativas, empleados desmotivados,
descuidados, mal remunerados, deshonestos, etc.

Por esta razón se amerita la función y atención de la auditoria informática, para tener una
adecuada seguridad orientada a proteger todos los recursos informáticos desde el dato más
simple hasta lo más valioso que es el talento humano, motor de desarrollo y vida de los
sistemas de información.
VER VIDEO DEL IMPACTO EN LAS ORGANIZACIÓN

Taller 4
• Indique los nombres de los tipos Software que se

presentaron.
• De los Videos expuestos en clase cual le llamo más la
atención y porqué?.
• Los software de auditoria pueden reemplazar al auditor.
• En que se basan estos software de Auditoria.
• En la Compañía que labora cuales son las seguridades
que se presentan. (Narrativa no detalla indicar no
confidencial.).
 LEER EL SIGUIENTE CASO:

CASOS DE AUDITORIA
TALLER 5
En el año 2006, Andrea, una joven tímida de ojos grandes y mirada tierna, estudiante de
noveno semestre de contaduría, ingresó como auxiliar contable a una Sucursal de una compañía
extranjera.
Durante los 2 primeros años, Andrea demostró ser una persona trabajadora, honesta y digna de
toda confianza, hasta el punto que se ganó la confianza del Sr. Steven, Gerente de la Sucursal.
A comienzos del año 2008, Andrea, fue ascendida como contadora y tesorera de la Sucursal.
Dentro de sus nuevas funciones, Andrea, debía autorizar y contabilizar el pago de las compras
de materiales y servicios que eran aprobadas por el jefe de compras. Esta autorización se daba
mediante una firma en el egreso y una primera firma en el cheque. Firmado el cheque por
Andrea, se lo pasaba al Sr. Steven para la segunda firma, y posterior entrega al proveedor.
A finales del año 2009, en la evaluación de los procesos, los auditores de la Sucursal,
identificaron que existía una debilidad importante en la segregación de funciones, debido a que
Andrea participaba en toda la transacción, autorizando el pago, custodiando los bancos y
realizando el mantenimiento de registros. Lo que dificultaba la prevención y detección de
fraudes debido a que gran parte de la operación de egresos se concentraba en Andrea.

Debido a la gran confianza que el Sr. Steven le tenía a Andrea, no tomó las acciones
sugeridas por sus auditores.
A finales del año 2012, el Sr. Steven es trasladado como gerente a un país en Centro
América.
En ese mismo año asumió la Gerencia el Sr. Romero, quien contaba con una amplia
experiencia como contralor en la industria.
El 5 de febrero del 2013, el Sr. Romero, detecta que Andrea estaba falsificando cuentas de
cobro por servicios de transporte de la siguiente forma:
Andrea en el año 2008, creó un proveedor ficticio (novio), aprovechando que tenía
acceso al sistema, quien semanalmente pasaba una cuenta de cobro por transporte de
materiales. Con la cuenta falsa, Andrea procedía a falsificar la firma del jefe de compras.
Con la cuenta de cobro y la firma falsificada, Andrea, la niña tímida de ojos grandes y
mirada tierna, procedía a autorizar el pago al proveedor ficticio (novio) mediante la firma
de un cheque por un valor superior US$ 2.500.
Con la firma de Andrea en el cheque, autorizando el pago, el Sr. Steven, con toda
confianza, procedía a realizar la segunda firma en el cheque, para el respectivo pago al
proveedor ficticio.
Aunque sus auditores detectaron la debilidad, nunca efectuaron un seguimiento a la
implementación de su recomendación.
El Sr. Steven se fue del país sin sospechar que Andrea, esa niña tierna con apariencia
inofensiva, hurtó más de US$130.000 durante 5 años.
UNIDAD 2
Modelo COSO
Marco interno de control interno que plantea el informe
COSO consta de cinco componentes interrelacionados,
derivados del estilo de la dirección, e integrados al proceso
de gestión:
Ambiente de Control.
Evaluación de los Riegos.
Actividades de Control.
Información y Comunicación.
Supervisión.|

AUDITORIA INFOMÁTICA

Auditoria Informática
Normas Internacionales de Auditoria y Control de

Calidad.
Son los requisitos mínimos de calidad relativos a la

personalidad del auditor, al trabajo que desempeña y a
la información que rinde como resultado de dicho
trabajo.

Normas Internacionales de Auditoria y Control de

Calidad.
Normas donde se mencionan los expertos para las

revisiones.
620 Utilización del trabajo de un experto.


Unidad 3 Auditoria Informática
Las cuatro etapas del proceso de revisión de la

auditoria de tecnologías de información son:
1. El conocimiento preliminar.
2. La planeación.
3. Ejecución de la auditoria.
4. La Elaboración del informe.

Desarrollo del proceso de la auditoria de TI.
Guía de auditoria TI Carlos Parrales Choez. CPA. MCA

Para llevar a cabo una auditoria informática se requiere un

mínimo de conocimientos sobre temas tecnológicos y sus
impactos.
Existen diferentes tipos de auditorias:
 Ciclo de vida sistemas.

 A un sistema de operación.
 A controles generales del computador.
 A la administración de la función informática.
 Auditoria a las microcomputadoras aisladas.
 Auditoria de redes.

Auditoria en las que pueden abordarse temas

tecnológicos.
En la Auditoria Financiera o de estados

contables
 Iniciativas para prevenir, disminuir o remediar
daños a la información.
 La aplicación de recursos informáticos aprobados en
los presupuestos correspondientes.
 Automatización de pruebas sustantivas.

Auditoria en las que pueden abordarse temas

tecnológicos.
En la Auditoria de Normatividad,
Determina si la entidad ha ejecutado las actividades
relacionadas con el cuidado de los recursos
informáticos, es decir evaluará:
Verificación del cumplimiento normativo de aplicación
a lo tecnológico.

Auditoria Informática.
La informática en la actualidad, está subsumida en la

gestión integral de la organización.
La informática no gestiona propiamente a la

organización, ayuda a la toma de decisiones, pero no
decide por si misma.
Las organizaciones acuden a las auditorias externas o

internas cuando existen síntomas perceptibles de
debilidad. Estos pueden agruparse en clases:
a) Síntomas de descoordinación y
desorganización:
 No coinciden los objetivos de la gerencia de TI con los
de la propia organización.
 Los estándares de productividad se desvían

sensiblemente de los promedios conseguidos
habitualmente.

b) Síntomas de mala imagen e insatisfacción de los

usuarios:
 No se atienden las peticiones de cambios de los usuarios.
 No se reparan las averías de hardware ni se resuelven

incidencias en plazo razonables. El usuario percibe que
está abandonado y desatendido permanentemente.
 No se cumplen en todos los casos los plazos de entrega de
resultados periódicos.

c) Síntomas de debilidades económico-financieros:

 Incremento desmesurado de costos.
 Necesidad de justificación de inversiones
informáticas.
 Desviaciones presupuestarias significativas.
 Costos y plazos de nuevos proyectos.

d) Síntomas de Inseguridad
 Evaluación de nivel de riesgos.
 Seguridad Lógica.
 Seguridad Física.
 Confidencialidad.

TALLER
 DETERMINAR LOS SINTOMAS DE LOS CASOS YA

EXPUESTOS Y DETERMINAR LOS NIVELES DE
CONFIANZA.

Enfoque Metodológico.
Conocimiento Preliminar
Se considera el archivo permanente que contiene la

información general para el estudio y comprensión de los
entes a revisar en caso que se haya realizado auditorias en
años anteriores.
Revisar el informe del ejercicio anterior para darle

seguimiento a las observaciones anteriores.

Planeación
Es la primera fase del proceso de auditoria, en ella se

identifican las áreas criticas e información del área de
tecnologías de información, a partir del cual se
determina el alcance, procedimientos de revisión y el
equipo auditor comisionado, con propósito de definir
los objetivos de auditoria teniendo como resultado la
planeación de la auditoria.

Unidad 1 --LEER NIA 300
2.- PLANEACIÓN DE LA AUDITORIA

INFORMÁTICA.
PLANEACIÓN.
Para hacer una adecuada planeación de la auditoria

en informática hay que seguir una serie de pasos
previos que permitan dimensionar el tamaño y
características del área dentro del organismo a
auditar, sus sistemas, organización y equipo.

Unidad 3
2.- PLANEACIÓN DE LA AUDITORIA INFORMÁTICA.

PLANEACIÓN
La planeación en general deben presentar lo siguiente:
1. Establecer los objetivos y Alcance.

2. Obtención de material de apoyo sobre las actividades que se auditarán.
3. La determinación de los recursos necesarios para realizar la auditoria.
4. Establecimiento de la comunicación necesaria con todos los que estarán
involucrados en la auditoria.
5. La realización, en la forma la mas apropiada, de una inspección física
para familiarizarse con las actividades y controles a auditar.
6. Programa de auditoria.
7. La determinación de cómo, cuando y a quién se le comunicarán los
resultados de auditoria.
8. La obtención de la aprobación del plan de auditoria.

UNIDAD 3

PLANEACIÓN
En la auditoria informática, la planeación es

fundamental, pero se la realiza desde el punto de vista
de varios objetivos:
1. Evaluación Administrativa el área de procesos electrónicos.

2. Evaluación de los sistemas y procedimientos.
3. Evaluación de los equipos de computo
4. Evaluación de los procesos de datos, de los sistemas y de los equipos
de computo.
5. Seguridad y Confidencialidad.
6. Aspectos legales de los sistemas y de la información.

Unidad 3

INFORMÁTICA.
PLANEACIÓN
El proceso de planeación comprende en establecer:
 Metas.
 Programas de trabajo de auditoria.
 Planes de contratación de personal y presupuesto
financiero.
 Informe de actividades.

Unidad 3

INFORMÁTICA.
PLANEACIÓN
Metas.- Las metas se deberán establecer de tal manera

que se pueda lograr su cumplimiento, sobre la base de
los planes específicos de operación y de los
presupuestos. Ej.:
*Planes de Trabajo

Unidad 3

INFORMÁTICA.
REVISIÓN PRELIMINAR
Incluye definir el grupo de trabajo, el

programa de auditoria, efectuar visitas a la
unidad para conocer los detalles de la misma.

Unidad 3
INFORMÁTICA.
Al terminar la revisión preliminar el auditor puede
proceder en uno de los tres caminos siguientes:
1. Diseño de la auditoría. Puede haber problemas

debido a la falta de competencia técnica para
realizar la auditoría.

Unidad 3

INFORMÁTICA.
2. Realizar una revisión detallada de los controles

internos de los sistemas con la esperanza de que se
deposite la confianza en los controles de los
sistemas y de que una serie de pruebas sustantivas
puedan reducir las consecuencias.

Unidad 3

INFORMÁTICA.
3. Decidir el no confiar en los controles internos del

sistemas.

Unidad 3
La revisión preliminar significa la

recolección de evidencias por medio
de: (1) entrevistas con el personal de
la instalación, (2) la observación de
las actividades en la instalación y (3)
la revisión de la documentación
preliminar.

Unidad 3
Las evidencias se pueden recolectar por medio
de:
• Cuestionarios iniciales
• Entrevistas
• Documentación narrativa

Unidad 3
2.- PLANEACIÓN DE LA
AUDITORIA INFORMÁTICA.
REVISIÓN DETALLADA
Los objetivos de la fase detallada son

los de obtener la información
necesaria para que el auditor tenga un
profundo entendimiento de los Controles
usados dentro del área de informática.

Unidad 3
REVISIÓN DETALLADA
En la fase de evaluación detallada es

importante para el auditor identificar
las causas de las pérdidas existentes
dentro de la instalación.
Los controles deberán reducir las
pérdidas y los efectos causados.
Unidad 3

INFORMÁTICA.
EXAMEN Y EVALUACIÓN DE LA
INFORMACIÓN.
El primer paso es establecer los cuestionarios

correspondientes del control interno y
verificarlo con cada una de las actividades
que se realicen en el área auditada.

Unidad 3

INFORMÁTICA.
PRUEBAS DE CONSENTIMIENTO.
Consiste en determinar si los T.I operan

como fueron diseñados para operar. El
auditor debe determinar si los controles
declarados en realidad existen y si en
realidad trabajan confiablemente. Ej. Si
cumple con los objetivos.

Unidad 3

INFORMÁTICA.
PRUEBAS DE CONTROLES DEL USUARIO.
En algunos casos el auditor puede decidir el no

confiar en los controles internos dentro de las
instalaciones informáticas, porque el usuario ejerce
controles que compensan cualquier debilidad dentro
de los TI de informática.

Unidad 3

INFORMÁTICA.
PRUEBAS SUSTANTIVAS.
 Objetivo:
Obtener evidencia suficiente que permita al auditor emitir

su juicio en la conclusión acerca de cuando pueden ocurrir
pérdidas materiales durante el procesamiento de la
información.

PRUEBAS SUSTANTIVAS
Existen 8 pruebas.
1. Pruebas para identificar errores en el procesamiento o de falta
de seguridad o confidencialidad.
2.Pruebas para asegura la calidad de los datos.
3.Pruebas para identificar la inconsistencia de los datos.
4.Pruebas para comparar con los datos o contadores físicos.
5.Confirmación de datos con fuentes externas.
6.Pruebas para confirmar la adecuada comunicación.
7.Pruebas para determinar la falta de seguridad.
8.Pruebas para determinar problemas de legalidad.

PRUEBAS SUSTANTIVAS
El auditor debe participar en tres estados del
sistema:
 Durante la fase del diseño del sistema.

 Durante la fase de operación.
 Durante la fase posterior a la auditoría.

PRUEBAS SUSTANTIVAS
El que el auditor participe en el diseño del
sistemas pueda afectar a la independencia
del
mismo, existen formas en las cuales se
puede
eliminar esto:
 Aumentando los conocimientos en

informática del auditor.
PRUEBAS SUSTANTIVAS
Realizar una auditoría en
informática es un trabajo “La suma de los óptimos parciales de los
complejo. subsistemas no es igual al óptimo
del sistema, pero nos da una buena
aproximación.”
Para ello, lograr los objetivos,
el auditor necesita dividir los
sistemas en una serie de
subsistemas, identificando los
componentes que realizan las
actividades básicas de cada
subsistema.

PRUEBAS SUSTANTIVAS
Invesigación Investigación Prueba los Pruebas Conclusión
Preliminar detallada controles sustantivas
críticos

Unidad 3

INFORMÁTICA.
EVALUACIÓN DE LOS SISTEMAS DE
ACUERDO AL RIESGO.
Una de las formas de evaluar la
importancia que puede tener para la
organización de un determinado
sistema, es considerar el riesgo que
implica el que no sea utilizado
adecuadamente, la pérdida de la
información o bien el que sea usado por
personal ajeno a la organización

Unidad 3
INFORMÁTICA.
ACUERDO AL RIESGO.
Algunos sistemas de aplicaciones son de
más alto riesgo que otros debido a que:
Son susceptibles a diferentes tipos de

pérdida económica.
Ejemplo: Fraudes y desfalcos entre los

cuales están los sistemas financieros
Unidad 3
INFORMÁTICA.
ACUERDO AL RIESGO.
Las fallas pueden impactar grandemente a la

organización.
Ejemplo: Una falla en el procesamiento de

la nómina puede tener como
consecuencia una huelga o el pago
indebido del mismo.

Unidad 3
INFORMÁTICA.
ACUERDO AL RIESGO.
Interfieren con otros sistemas, y los

errores generados inciden a otros
sistemas.

Unidad 3
EVALUACIÓN DE LOS SISTEMAS
DE ACUERDO AL RIESGO
Verificar si los sistemas:
Sistemas de tecnología de punta o avanzada.

Si los sistemas utilizan tecnología avanzada
o de punta.
Ejemplo:
Sistemas de base de datos,
sistemas distribuidos o de
comunicación, tecnología sobre la
cual la organización tenga muy
poca experiencia o respaldo, la
cual es más probable que sea una
fuente de problemas de control.
Unidad 3
3.- PLANEACION DE LA AUDITORIA.

RECOPILACIÓN DE LA INFORMACIÓN ORGANIZACIONAL.
Una vez elaborada la planeación de la auditoría, la cual servirá como plan maestro de
los tiempos, costos y prioridades, y como medio de control de la auditoría, se debe
empezar la recolección de la información.
Se procederá a efectuar la revisión sistematizada del área a través de la observación y
entrevistas de fondo en cuanto a:
 Estructura Orgánica
 Se deberá revisar la situación de los recursos humanos.
 Entrevistas con el personal de procesos electrónicos.
 Se deberá conocer la situación presupuestal y financiera.
 Se hará un levantamiento del censo de recursos humanos y análisis de situación.
 Por último, se deberá revisar el grado de cumplimiento de los documentos
administrativos.

Unidad 3

INFORMÁTICA.
ANÁLISIS DE LA ORGANIZACIÓN
Para realizar dicho estudio ha de examinarse las funciones
y actividades generales de la informática.
Para su realización el auditor debe conocer lo siguiente:

Organización:
Para el equipo auditor, el conocimiento de quién ordena,

quién diseña y quién ejecuta es fundamental. Para realizar
esto en auditor deberá fijarse en:

Unidad 3

 1)Organigrama: El organigrama expresa la estructura oficial

de la organización a auditar.
Si se descubriera que existe un organigrama fáctico diferente al
oficial, se pondrá de manifiesto tal circunstancia.
 2) Departamentos: Se entiende como departamento a los

órganos que siguen inmediatamente a la Dirección. El equipo
auditor describirá brevemente las funciones de cada uno de
ellos.

Unidad 3

INFORMÁTICA.
3) Relaciones Jerárquicas y funcionales entre

órganos de la Organización: El equipo auditor
verificará si se cumplen las relaciones funcionales y
Jerárquicas previstas por el organigrama, o por el contrario
detectará, por ejemplo, si algún empleado tiene dos jefes.
Las de Jerarquía implican la correspondiente
subordinación. Las funcionales por el contrario, indican
relaciones no estrictamente subordinables.

Unidad 3

 4) Flujos de Información:
Además de las corrientes verticales interdepartamentales, la estructura organizativa cualquiera que

sea, produce corrientes de información horizontales y oblicuas extra departamentales.
Los flujos de información entre los grupos de una organización son necesarios para su eficiente
gestión, siempre y cuando tales corrientes no distorsionen el propio organigrama.
En ocasiones, las organizaciones crean espontáneamente canales alternativos de información, sin

los cuales las funciones no podrían ejercerse con eficacia; estos canales alternativos se producen
porque hay pequeños o grandes fallos en la estructura y en el organigrama que los representa.
Otras veces, la aparición de flujos de información no previstos obedece a afinidades personales o

simple comodidad. Estos flujos de información son indeseables y producen graves perturbaciones
en la organización.

Unidad 3

5) Número de Puestos de trabajo
El equipo auditor comprobará que los nombres de los Puesto de
los Puestos de Trabajo de la organización corresponden a las
funciones reales distintas.
Es frecuente que bajo nombres diferentes se realicen funciones

idénticas, lo cual indica la existencia de funciones operativas
redundantes.
Esta situación pone de manifiesto deficiencias estructurales; los

auditores darán a conocer tal circunstancia y expresarán el
número de puestos de trabajo verdaderamente diferentes.

Unidad 3

INFORMÁTICA.
6) Número de personas por Puesto de

Trabajo
Es un parámetro que los auditores informáticos
deben considerar. La inadecuación del personal
determina que el número de personas que realizan
las mismas funciones rara vez coincida con la
estructura oficial de la organización.

Unidad 3

EVALUACIÓN DE LOS RECURSOS HUMANOS,
FINANCIEROS, MATERIALES Y PRESUPUESTOS.
Es muy importante su determinación, por cuanto la

mayoría de ellos son proporcionados por el cliente. Las
herramientas de software propias del equipo van a
utilizarse igualmente en el sistema auditado, por lo que
han de convenirse en lo posible las fechas y horas de uso
entre el auditor y cliente.
Los recursos materiales del auditor son de dos tipos:

Unidad 3

a. Recursos materiales Software

Programas propios de la auditoría: Son muy potentes y
Flexibles. Habitualmente se añaden a las ejecuciones de los
procesos del cliente para verificarlos.
Monitores: Se utilizan en función del grado de desarrollo

observado en la actividad de Técnica de Sistemas del
auditado y de la cantidad y calidad de los datos ya
existentes.

Unidad 3

b. Recursos materiales Hardware

Los recursos hardware que el auditor necesita son
proporcionados por el cliente. Los procesos de control
deben efectuarse necesariamente en las Computadoras del
auditado.
Para lo cuál habrá de convenir el, tiempo de maquina,

espacio de disco, impresoras ocupadas, etc.

Unidad 3

 Recursos Humanos
La cantidad de recursos depende del volumen auditable.
Las características y perfiles del personal seleccionado
depende de la materia auditable.
Es igualmente que la auditoría en general suele ser ejercida

por profesionales universitarios y por otras personas de
probada experiencia multidisciplinaria.

FINANCIEROS, MATERIALES Y PRESUPUESTOS. Perfiles Profesionales de los auditores informáticos
Profesión Actividades y conocimientos deseables
Informático en general Con experiencia amplia en ramas distintas. Es deseable que su labor se
haya desarrollado en Explotación y en Desarrollo de Proyectos. Conocedor
de Sistemas.
Experto en Desarrollo de Proyectos Amplia experiencia como responsable de proyectos. Experto analista.
Conocedor de las metodologías de Desarrollo más importantes.
Técnico de Sistemas Experto en Sistemas Operativos y Software Básico. Conocedor de los

productos equivalentes en el mercado. Amplios conocimientos de
Explotación.
Experto en Bases de Datos y Administración de las Con experiencia en el mantenimiento de Bases de Datos. Conocimiento de
mismas. productos compatibles y equivalentes. Buenos conocimientos de
explotación
Experto en Software de Comunicación Alta especialización dentro de la técnica de sistemas. Conocimientos

profundos de redes. Muy experto en Subsistemas de teleproceso.
Experto en Explotación y Gestión de CPD´S Responsable de algún Centro de Computos. Amplia experiencia en
Automatización de trabajos. Experto en relaciones humanas. Buenos
conocimientos de los sistemas.
Técnico de Organización Experto organizador y coordinador. Especialista en el análisis de flujos de

información.
Carlos
Técnico Parrales Choez.
de evaluación CPA. MCA
de Costes Economista con conocimiento de Informática. Gestión de costes.
EVALUACIÓN DE LOS RECURSOS HUMANOS, FINANCIEROS,
MATERIALES Y PRESUPUESTOS.
En las auditorias externas pueden tener estos niveles ideales tomando

como criterio varios casos
Grandes empresas dedicadas a la auditoría
• Director o gerente general (al nivel de mando superior)
• Funcionarios de cuenta (por empresa o por área de atención)
• Gerentes o jefes de departamento o de área de atención
• Supervisores de auditoría
• Jefes de grupo o responsables de auditoría (Auditores Senior)
• Auditores asignados (Auditores Junior)
• Apoyo administrativo y secretarial
Despachos o empresas medianas dedicadas a la auditoría

• Gerente de auditoría
• Encargado de auditoría (Auditor Senior)
• Auditores Junior
• Apoyo secretarial
Pequeños despachos o auditores independientes

• Auditor Senior
• Auditor Junior

Muñoz Razo C. Pág. 49, Prentice Hall.
3.- PLANEACIÓN DE LA AUDITORIA.
EVALUACIÓN DE LOS RECURSOS
HUMANOS, FINANCIEROS, MATERIALES Y
PRESUPUESTOS.
Estructuras de organización de las áreas de auditoría interna
De acuerdo con la estructura de organización, el tamaño de la empresa, las políticas y

estilos de dirección de cada institución, la ubicación ideal de las áreas de auditoría
interna tiene que ser a nivel de staff o asesoría, dependiendo y reportando
directamente a los niveles de mayor jerarquía en la empresa, con subordinación de la
dirección general o de una sola de las áreas de alta dirección. Es recomendable, de
acuerdo con la estructura de organización de cada empresa, que el área de
supeditación sea la administrativa, de contraloría o alguna similar en sus funciones.
Sin embargo, nada impide que se pueda depender de cualquier otra área, siempre que
sea del ámbito de alta dirección.
Muñoz RazoParrales
Carlos C. Pág. Choez.
49, Prentice Hall.
CPA. MCA
EVALUACIÓN DE LOS RECURSOS
HUMANOS, FINANCIEROS, MATERIALES Y
PRESUPUESTOS.
Para auditorías internas de macroempresas y empresas grandes
• Director o gerente al nivel de área funcional

• Gerentes o jefes de departamento, de área o de función a auditar
• Jefes de grupo o encargados (Auditores Senior)
• Auditores internos (Auditores Junior)
• Apoyo administrativo y secretarial
Para auditorías internas de empresas medianas

• Gerente de auditoría
• Auditor Senior
• Auditores Junior
Para auditorías internas de empresas pequeñas y microempresas

• Auditor Senior
• Auditor Junior
NIA 300 -315
EVALUACIÓN DE LOS SISTEMAS Y DEL

PROCESO DE LA INFORMACIÓN.
EN ESTE PROCESO ES NECESARIO QUE LA

EVALUACIÓN SE REALICE POR ETAPAS
MEDIANTE LA AYUDA DE SISTEMAS
COMPUTACIONALES PARA PODER
VERIFICAR EL CUMPLIENTO DE LOS
MISMOS.

PLANIFICACIÓN DE LA AUDITORIA
TALLER
Identificar en el caso propuesto ASIGNADO A CADA GRUPO
que tipo de documentación se debe de utilizar en para poder
realizar el conocimiento del negocio de la auditoria :
 Realizar la carta de compromiso U orden de Trabajo.

CARTA DE COMPROMISO AUDITORIA Guayaquil , Lunes 18 de Octubre de 2010.
Ingeniero
Raúl Eduardo Flores Granados
Gerente del Área Informática
Distribuidora Granada, S.A. de C.V.
Ecuador.
Gerente del Área Informática, Distribuidora Granada, S.A. de C.V.:
Ustedes nos han solicitado que auditemos el ambiente del Sistema de Información Computarizado: Mónica Versión 8.5 al año 2010. Por medio de la presente,
tenemos el agrado de confirmar nuestra aceptación y nuestro entendimiento de este compromiso. Nuestra auditoría será realizada con el objetivo de que
expresemos una opinión sobre lo adecuado o lo inadecuado de los controles o procedimientos revisados.
Efectuaremos nuestra auditoría de acuerdo con Normas de Calidad. Dichas Normas requieren que planeemos y desempeñemos la auditoría para obtener una
certeza razonable sobre si el Sistema Mónica Versión 8.5 esté libre de fraudes sistemáticos importantes. Una auditoría incluye el examen, sobre una base de
pruebas, también inclúyela evaluación de los sistemas y procedimientos y la evaluación de los equipos de cómputo. En virtud de la naturaleza comprobatoria y
de otras limitaciones inherentes de una auditoría, junto con las limitaciones inherentes de cualquier sistema y control interno, hay un riesgo inevitable de que
aún algunos fraudes sistemáticos importantes puedan permanecer sin ser descubiertas. Además de nuestro dictamen sobre el Sistema Mónica Versión 8.5,
esperamos proporcionarle una carta por separado, referente a cualquier debilidad sustancial en tales sistemas y control interno que hayan llamado nuestra
atención.
Les recordamos que la responsabilidad de tener un adecuado ambiente de tecnología de información y la adecuación de la misma, corresponde a la
administración de la compañía. Esto incluye el diseño, implementación, mantenimiento de equipos de cómputo y de controles internos adecuados, la selección
y aplicación de políticas, y las salvaguarda de los activos de la compañía. Como parte del proceso de nuestra auditoría, pediremos de la administración
confirmación escrita referente a las representaciones hechas a nosotros en conexión con la auditoría.
Esperamos una cooperación total con su personal y confiamos en que ellos pondrán a nuestra disposición toda la información que se requiera en relación con
nuestra auditoría. Nuestros honorarios que se facturarán a medida que avance el trabajo, están basados en el tiempo requerido por las personas asignadas al
trabajo más gastos directos que hemos acordado con ustedes. Las cuotas por hora individuales varían según el grado de responsabilidad involucrado y la
experiencia y pericia requeridas.
Está carta será efectiva para años futuros a menos que se cancele, modifique o sustituya.
Favor de firmar y devolver la copia adjunta de está carta para indicar su comprensión y acuerdo sobre los arreglos para nuestra auditoría del ambiente de la
tecnología de la información.
Atentamente,
F. _______________________________
Licda. Xiomara Patricia Pérez de Melgar Inscripción Nº 2610 F. _____________________________
Ingeniero Raúl Eduardo Flores Granados Gerente del Área
Fecha y sello del cliente

ORDEN DE TRABAJO
Área o proceso Auditado:

Objetivos de Auditoria:
Alcance de la Auditoria:
Planificación Previa:

CICLO DEL CONTROL INTERNO
INFORMÁTICA
Carlos
Muñoz RazoParrales
C. Pág. Choez. CPA. MCA
103, Prentice Hall.
CONTROLES GENERALES
Clasificación general de los controles
 Controles Preventivos: Son aquellos que reducen la frecuencia con que

ocurren las causas del riesgo, permitiendo cierto margen de violaciones.
Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones.
Sistemas de claves de acceso.
• Controles detectivos: Son aquellos que no evitan que ocurran las causas del
riesgo sino que los detecta luego de ocurridos. Son los mas importantes
para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles
preventivos.
Ejemplo: Archivos y procesos que sirvan como pistas de auditoría.
Procedimientos de validación.
• Controles Correctivos: Ayudan a la investigación y corrección de las causas del

riesgo. La corrección adecuada puede resultar difícil e ineficiente, siendo necesaria
la implantación de controles detectivos sobre los controles correctivos, debido a que
la corrección de errores es en si una actividad altamente propensa a errores.

Taller
La banda Carbanak está detrás del robo digital más grande de la historia.
 Identificar el tipo de control general le hizo falta a la mayoría de los

BANCOS.
 Qué tipos de herramientas se deberían aplicar para evitar las futuras
situaciones.

CONTROL INTERNO DE INFORMÁTICA
Elementos fundamentales del control interno informático
• Controles internos sobre la organización del área de informática.
• Controles internos sobre el análisis, desarrollo e implementación

de sistemas.
• Controles internos sobre la operación del sistema.
• Controles internos sobre los procedimientos de entrada de datos, el

procesamiento de información y la emisión de resultados.
• Controles internos sobre la seguridad del área de sistemas.

Controles internos sobre la organización del

área de informática
• Dirección.
• División del trabajo.
• Asignación de responsabilidad y autoridad.
• Establecimiento de estándares y métodos
• Perfiles de puestos.

TALLER
Realizar el perfil del Puesto de los Encargados del

Recurso T.I.

PERFIL DEL PUESTO
Contenido básico de un perfil de puestos
 Nombre genérico del puesto
 Objetivo del puesto
 Líneas de autoridad:
 Dependencia de... y
 responsabilidad sobre
 Funciones del puesto
 Sustantivas, básicas o fundamentales
 Específicas, concretas o cotidianas
 Requisitos del puesto:
 Conocimientos
 En sistemas
 En áreas similares
 Otros conocimientos del puesto
 Experiencia
 En el puesto
 En el área
 Características de personalidad
 Otros requerimientos
 Otros conocimientos
Controles internos sobre el análisis, desarrollo e

implementación de sistemas.
• Estandarización de metodologías para el desarrollo de
proyectos.
• Asegurar que el beneficio de los sistemas sea el óptimo.
• Elaborar estudios de factibilidad del sistema.
• Garantizar la eficiencia y eficacia en el análisis y diseño de
sistemas.
• Vigilar la efectividad y eficiencia en la implementación y
mantenimiento del sistema.
• Optimizar el uso del sistema por medio de su
documentación.

Controles internos sobre la operación del
sistema
• Prevenir y corregir los errores de operación.
• Prevenir y evitar la manipulación fraudulenta de la
información.
• Implementar y mantener la seguridad en la
operación.
• Mantener la confiabilidad, oportunidad, veracidad y
suficiencia en el procesamiento de la información de la
institución.
Controles internos sobre los procedimientos de
entrada de datos, el procesamiento de información
y la emisión de resultados
• Verificar la existencia y funcionamiento de los
procedimientos de captura de datos
• Comprobar que todos los datos sean debidamente
procesados.
• Verificar la confiabilidad, veracidad y exactitud del
procesamiento de datos.
• Comprobar la oportunidad, confiabilidad y veracidad en
la emisión de los resultados del procesamiento de
información.

Controles internos sobre la seguridad del área de

sistemas
•Controles para prevenir y evitar las amenazas, riesgos y
contingencias que inciden en las áreas de sistematización.
•Controles sobre la seguridad física del área de sistemas.
•Controles sobre la seguridad lógica de los sistemas.
•Controles sobre la seguridad de las bases de datos.
•Controles sobre la operación de los sistemas
computacionales.
•Controles sobre la seguridad del personal de informática.
•Controles sobre la seguridad de la telecomunicación de datos.
•Controles sobre la seguridad de redes y sistemas
multiusuarios.

Metodología para realizar auditorías de sistemas
Automatizados o Informáticos
Muñoz RazoParrales
Carlos C. Pág. Choez.
181, Prentice Hall.
CPA. MCA
computacionales o Informáticos
1ª etapa:
Planeación de la auditoría de sistemas computacionales
 P.1 Identificar el origen de la auditoría.

 P.2 Realizar una visita preliminar al área que será evaluada.
 P.3 Establecer los objetivos de la auditoría.
 P.4 Determinar los puntos que serán evaluados en la auditoría.
 P.5 Elaborar planes, programas y presupuestos para realizar la
auditoría.
 P.6 Identificar y seleccionar los métodos, herramientas,
instrumentos y procedimientos necesarios para la auditoría.
 P.7 Asignar los recursos y sistemas computacionales para la
auditoría.

2ª etapa:
Ejecución de la auditoría de sistemas computacionales
E.1 Realizar las acciones programadas para la auditoría.
E.2 Aplicar los instrumentos y herramientas para la auditoría.
E.3 Identificar y elaborar los documentos de desviaciones

Encontradas.
E.4 Elaborar el dictamen preliminar y presentarlo a discusión.
E.5 Integrar el legajo de papeles de trabajo de la auditoría.

3ª etapa:
Dictamen de la auditoría de sistemas
computacionales
 D.1 Analizar la información y elaborar un informe

de situaciones detectadas.
 D.2 Elaborar el dictamen final.
 D.3 Presentar el informe de auditoría.

PLANIFICACIÓN DE LA AUDITORIA
HONORARIOS
En la fijación de honorarios intervienen dos

aspectos principales:
Aspecto objetivo: Es el tiempo y la calidad de los

auditores o asistentes requeridos y se puede estimar
con la mayor o menor exactitud al planificar el
trabajo.
Aspecto subjetivo: Es aquel difícil de

cuantificar. Está representado por la
responsabilidad que asume el auditor al rendir su
dictamen y en parte por su prestigio y reputación
profesional.

TALLER 10 AUDITORIA DE SISTEMAS
AUDITORIA DE HARDWARE Y SOFTWARE EN LAS

ESTACIONES DE TRABAJO

Caso
En una empresa se realizó hace más de 2 años una auditoria para la revisión
del software instalado en todos sus computadores, el informe final, concluyó
que el 95% de los computadores cumplía con el software licenciado. Hoy se
quiere hacer una auditoria para revisar nuevamente el software instalado en
450 computadores de la empresa, 200 son portátiles y 250 de escritorio,
actualmente 10 de los 250 computadores de escritorio son nuevos y los están
configurando, 2 de los portátiles están en mantenimiento, 3 los tienen 3
directivos que se encuentran fuera del país y en el momento hay 4 empleados
que están de vacaciones. Por restricción de tiempo del auditor de informática,
no tiene disponibilidad para revisar el 100% de los computadores por lo tanto
se requiere calcular una muestra estratificada por clase de computador y
representativa. Se quiere trabajar con una confiabilidad del 95% y se espera un
error máximo del 5%.
AUDITORIA DE HARDWARE Y SOFTWARE EN
LAS ESTACIONES DE TRABAJO


AUDITORIA DE HARDWARE Y SOFTWARE
EN LAS ESTACIONES DE TRABAJO
 OBJETIVOS
OBJETIVOS GENERALES
Evaluar el funcionamiento y seguridad de los sistemas
informáticos de la empresa, así como realizar un
estudio suficiente de las operaciones del mismo que
permita generar un respaldo en la emisión del informe
a la auditoria practicada.

OBJETIVOS ESPECIFICOS
 Evaluar si la persona encargada del mantenimiento y
programación del sistema informático de la empresa cumple
con el perfil del puesto.
 Identificar las áreas críticas, con respecto a la seguridad del

equipo del área de informática.
 Diseñar los procedimientos a efectuar en el desarrollo de la

auditoría del área de informática.
 Establecer el alcance en cuanto a los procedimientos, de tal

manera que conduzcan a la formulación del informe de la
auditoria de sistemas.

ESTUDIO Y EVALUACIÓN DEL CONTROL

INTERNO
Esta fase constituye el inicio de la planeación, aunque

sea preparada con anterioridad; sus resultados son los
que generan la verdadera orientación de las
subsiguientes fases del proceso, sin ser excluyentes, se
deben considerar los siguientes aspectos:

GESTIÓN ADMINISTRATIVA:
 Conocer y analizar las operaciones a las cuales se dedica el negocio y la forma en que está estructurado tanto
desde del punto de vista organizacional y administrativo, así como el organigrama, número y distribución de
empleados, sistema interno de autorizaciones, firmas, formularios utilizados, secuencia de operaciones y otros
aspectos similares que se realizan con la utilización del sistema informático.
 Verificar si se ha diseñado un manual de organización y funciones a ser aplicado a los y por los usuarios del
área de informática.
 Verificar si las contrataciones del personal del área de informática se han realizado con base a los criterios
establecidos en el manual de funciones y cumplen el perfil del puesto.
 Verificar si la administración provee oportunamente los recursos necesarios para la adquisición del software
actualizado para la protección de los sistemas informáticos.
 Verificar si la administración promueve la capacitación y adiestramiento constante del personal del área de
informática.
 Verificar si la administración ha establecido políticas claras con respecto a la adjudicación de claves de acceso
a las bases de datos.
 Verificar que las instalaciones donde labora el personal del área de informática estén adecuadas a las
necesidades y no representen peligro para los empleados.

GESTIÓN INFORMÁTICA:
1) Examinar la información preliminar correspondiente al área de informática, la cual puede ser:
Interna: conocer los procesos que se realizan dentro de la empresa para los cuales es utilizado el equipo informático.
Se verificará si se lleva un control de las operaciones realizadas y si queda un registro de los usuarios del área de informática y los
horarios en los cuales, han utilizado el equipo del centro. También se solicitará información correspondiente a si se ha realizado en
otras ocasiones auditorías al sistema informático.
Externa: Conocimiento e identificación de los usuarios del área de informática, así como de los proveedores de materiales y accesorios
y otros clientes.
2) Conocimiento de las instalaciones físicas del negocio, materiales, mobiliario, inmuebles, equipos, inventarios y otros que tienen
relación al área de informática y la ubicación de sucursales, en caso de que también utilicen dicho sistema.
3) Verificar si los programas utilizados dentro de la entidad han sido diseñados específicamente para la empresa y hasta que punto
estos programas son operativos y satisfacen las necesidades de la entidad.
4) Naturaleza y tratamiento de las operaciones realizadas por medio de los sistemas informáticos.
5) Cualquier otro punto de conocimiento general, que contribuya a orientar adecuadamente la auditoria de sistemas informáticos.

AUDITORIA DE HARDWARE Y SOFTWARE EN LAS
ESTACIONES
6) Verificar si todo el equipo DE TRABAJO
o hardware se encuentra debidamente inventariado y se ha elaborado la respectiva tarjeta de
depreciación del mismo, a fin de que en el momento en que se vuelvan obsoletos se puedan dar de baja.
7) Verificar por medio de pruebas si los sistemas funcionan correctamente, para ello será necesario contratar a un perito
programador, para que efectué las pruebas correspondientes.
8) Verificar si el software tiene las licencias correspondientes.
9) Verificar quienes están autorizados para realizar modificaciones a los sistemas informáticos y quien autoriza cada una de estas
modificaciones.
10) En el caso de que haya alguien de nivel superior que autorice los cambios y modificaciones a los sistemas informáticos,
verificar si existe algún documento escrito por medio del cual se autoricen dichas modificaciones o si las ordenes se efectúan
solamente de manera verbal.
11) En el caso de que exista el registro de las solicitudes de cambios mencionados en el punto anterior, realizar pruebas en el
sistema para verificar que se hayan realizado correctamente y que respondan a la solicitud de la gerencia o de quien lo haya
autorizado.
12) Verificar quien es el responsable de autorizar los niveles de jerarquía y niveles de acceso a utilizar dentro del sistema y si
existe algún registro escrito por medio del cual se hayan emitido dichas autorizaciones.
13) Verificar si en la entidad se han establecido políticas con respecto a la creación de respaldos de la información más
importante, cuyo daño pudiera afectar el funcionamiento general de la entidad en el caso de darse situaciones anómalas dentro
del sistema informático.
14) Verificar si existen procedimientos y políticas en cuanto a la seguridad y protección del personal que trabaja como usuario de
los sistemas informáticos de la entidad.
15) Verificar si las claves no permiten el acceso de los usuarios a niveles superiores, a los cuales no deberían acceder.
Evaluación de la Estructura Orgánica




Funciones

Funciones

Funciones

Funciones

Funciones

Funciones

Objetivos

Objetivos

Objetivos

Objetivos

Auditoria Iii 1er Parcial PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Auditoria Iii 1er Parcial PDF

Cargado por

Copyright:

Formatos disponibles

AUDITORIA III

Asesor en temas de contabilidad financiera, control

 Prohibido el ingreso de todo tipo de Alimentos.

 Prohibido el uso de celulares, tabletas. Solo con autorización del

 Prohibido fomentar la indisciplina en clases y hacia otros

 Todos los exámenes se realizan con esfero o pluma de tinta azul.

 No se recogerá talleres e investigaciones atrasados.

Carlos Parrales Choez. CPA. MCA

 Agregar código QR. A las tareas, deberes e

Carlos Parrales Choez. CPA. MCA

Art. 6.- De los Componentes de la Evaluación.-

La evaluación centrada en el mejoramiento del proceso de aprendizaje debe

Gestión del aprendizaje en los diversos ambientes propuestos por el

Gestión el aprendizaje en equipos colaborativos.

Gestión de práctica de aprendizajes.

Gestión del aprendizaje autónomo.

Validación y acreditación de los aprendizajes.

Carlos Parrales Choez. CPA. MCA

ART. 11.- DE LAS CARACTERISTICAS DEL PROCESO DE EVALUACION.-

Para la aprobación de las asignaturas en carreras de grado, el estudiante debe demostrar el

Carlos Parrales Choez. CPA. MCA

Art. 13.- De la calificación.-

Toda calificación será sobre 10 puntos y se realizará la respectiva ponderación

Las calificaciones parciales serán promediadas y se obtendrá la nota final.

Carlos Parrales Choez. CPA. MCA

Desarrollo del tema:

Análisis del tema

Códigos QR en sus informes.

Carlos Parrales Choez. CPA. MCA

Carlos Parrales Choez. CPA. MCA

Carlos Parrales Choez. CPA. MCA

Existen buenas y malas maneras de hacer las

Carlos Parrales Choez. CPA. MCA

Marco Internacional de los Encargados de Aseguramiento

Auditorias y Revisiones de Encargados de Aseguramiento,

NIA. 200 A 999 Normas NIEA 3000 A 3699 NORMAS

 AUDITORIAS DE INFORMACIÓN FINANCIERA HISTÓRICA.

NIA 200-299 PRINCIPIOS GENERALES Y RESPONSABILIDADES.

NIA 300-499 EVALUACIÓN DEL RIESGO Y RESPUESTA A LOS

NIA 500-599 EVIDENCIA DE LA AUDITORIA.

NIA 600-699 UTILIZACIÒN DEL TRABAJO DE TERCEROS.

NIA 700-799 CONCLUSIONES Y DICTAMEN DE AUDITORIA.

NIA 800-899 AREAS ESPECIALIZADAS.

Carlos Parrales Choez. CPA. MCA

NIAS. Aplicables a sistemas computarizados altamente automatizados.

NIA 260. Comunicaciones de Asuntos de Auditoria con los

NIA 300. Planeación de una Auditoria de Estados Financieros.

NIA 315.Entendimiento de la entidad y su entorno y evaluación de los

NIA 330.Procemientos de Auditor en respuesta a los riesgos

Carlos Parrales Choez. CPA. MCA

NIA 500. Evidencia de la Auditoria. ( GRUPO 5)

NIA 501.Evidencia de la Auditoria – Consideraciones

NIA 505. Confirmaciones Externas. (GRUPO 7)

NIA 620.Uso del trabajo de un Experto. (GRUPO 8)

NIA 700. Conclusiones, Informe de Auditoria. (GRUPO 9)

Carlos Parrales Choez. CPA. MCA

Carlos Parrales Choez. CPA. MCA

DEFINICIÓN DE LA AUDITORIA INFORMÁTICA.

Es la verificación de los controles en las siguientes tres áreas de

 Aplicaciones (programa de producción).

Teoría de Mair William

Carlos Parrales Choez. CPA. MCA

 Concepto de la Auditoría en Informática.