UNIVERSIDAD TECNOLOGICA

EQUINOCCIAL
Integrantes:
Jorge Cuasqui
Dayana Carrillo
Valeria Velásquez

CAPITULO 2
AUDITORIA INFORMATICA
2018
CAP.2: PLANEACIÒN DE LA AUDITORIA EN INFORMATICA

AUDITORÍA INTERNA.

La estructura organizativa es la base sobre la cual una empresa planifica,

ejecuta y controla actividades que contribuyen al logro de sus metas y
objetivos, Es así como la Auditoría Interna pretende realizar un examen
completo y constructivo de la estructura organizativa de una empresa,
institución o departamento, o de cualquier entidad y de sus métodos de
operación, y velar por el empleo que le dé a sus recursos humanos y
materiales.

Objetivo
Fundamental de la Auditoría Interna es descubrir deficiencias o irregularidades
en alguna de las partes de las empresas examinadas, y apuntar hacia sus
posibles soluciones. Su finalidad es auxiliar a la dirección para lograr que la
administración sea óptima.

Se interesa también por determinar y valorar los métodos y el desempeño en

todas las áreas. Los factores de todas esas evaluaciones abarcan el panorama
económico, lo apropiado de la estructura organizativa, la observancia de
políticas y procedimientos, la exactitud y confianza en los controles, los
métodos protectores adecuados, las causas de personal y equipo y los
sistemas de funcionamiento satisfactorios.

Es la encargada de evaluar el cumplimiento de las normas externas e internas

de protección, así como los procedimientos y controles establecidos,
recomendando y asesorando a la Administradora en la implementación de
aquellos que se consideren convenientes para que las operaciones se realicen
con seguridad y eficiencia logrando el mejoramiento efectivo de la empresa.

Las funciones y servicios que presta son:

• Asesorar y apoyar a los diferentes niveles en el cumplimiento efectivo de sus
responsabilidades por medio de visitas a las diferentes áreas de la Compañía-

• Anticipar y solucionar los problemas potenciales futuros.

• Generar manuales y circulares con el fin de unificar criterios en cuanto a
normas y controles de la Compañía.

• Hacer el seguimiento a las recomendaciones y medidas planteadas para las

diferentes tareas y sus procesos.

Las normas de la auditoría interna comprenden:

 Las actividades auditadas y la objetividad de los auditores internos.

 El alcance del trabajo de auditoría interna en el área de informática.
 El departamento de auditoría interna deberá asignara cada auditoría a
aquellas personas que en su conjunto posean los conocimientos, la
experiencia y la disciplina necesarios para conducir apropiadamente la
auditoría.

El departamento de auditoría interna deberá asegurarse:

 Que las auditorías sean supervisadas en forma apropiada. La

supervisión es un proceso continuo que comienza con la planeación y
termina con el trabajo de auditoría.
 Que los informes de auditoría sean precisos, objetivos, claros, concisos,
constructivos y oportunos.
 Que se cumplan los objetivos de la auditoría.
 Que la auditoría sea debidamente documentada y que se conserve la
evidencia apropiada de la supervisión.
 Que los auditores cumplan con las normas profesionales de conducta.
 Que los auditores en informática posean los conocimientos, experiencias
y disciplinas esenciales para realizar sus auditorías.

AUDITORÍA EXTERNA
La contratación de un servicio de consultora externa para llevar a cabo la
Auditoría ofrece los siguientes beneficios:

• Experiencia: El servicio de consultaría ya tiene los formularios, procedimientos

y conocimientos requeridos para conducir la auditoría eficientemente,
reduciendo por lo tanto, el tiempo que tendrá que invertir la organización.

• Objetividad: Puesto que el servicio de consultaría no es parte de la

organización, está mejor posicionado para proporcionar un juicio realista de las
tareas que requieran correcciones o actuación

• Ahorro de gastos: El uso de recursos internos para la auditoría no es

beneficioso en términos de efectividad de costo para las grandes
organizaciones.

Las normas de la auditoría interna comprenden:

 Las actividades auditadas y la objetividad de los auditores internos.

 El alcance del trabajo de auditoría interna en el área de informática.
 El departamento de auditoría interna deberá asignara cada auditoría a
aquellas personas que en su conjunto posean los conocimientos, la
experiencia y la disciplina necesarios para conducir apropiadamente la
auditoría.

Para hacer una adecuada planeación de la auditoría en informática hay que

seguir una serie de pasos previos que permitirán dimensionar el tamaño y
características del área dentro del organismo a auditar, sus sistemas,
organización y equipo. Con ello podremos determinar el número y
características del personal de auditoría, las herramientas necesarias, el tiempo
y costo, así como definir los alcances de la auditoría para, en caso necesario,
poder elaborar el contrato de servicios.

Las auditorias relacionadas con el uso económico y eficiente de los recursos

deberán identificar situaciones tales como:

 Subutilización de instalaciones.
  Trabajo no productivo
 Procedimientos que no justifican su costo.
 Exceso o insuficiencia de personal
 Uso indebido de las instalaciones.

FASES DE LA AUDITORIA

La auditoría financiera supone la revisión de la información financiera de una

empresa en una fecha determinada y se realiza previa a la presentación de los
estados financieros (por lo general sobre una base anual). En elaboración, y
necesita de trabajo antes y después de la fecha a la que se presentan esos
estados financieros, siendo las etapas o fases típicas que la componen las
siguientes:

Planeación y programación
Ejecución de la Auditoría
Informe y Plan de Acción

PLANEACIÓN DE LA AUDITORIA EN INFORMATICA:

En esta fase se establecen las relaciones entre auditores y la entidad, es el

conocimiento global de la empresa por parte del auditor en donde se
determina el alcance y objetivos. Se hace un bosquejo de la situación de la
entidad, acerca de su organización, sistema contable, controles internos,
estrategias, metodologías y demás elementos que le permitan al auditor
elaborar el programa de auditoria que se llevará a efecto.

Puede ocurrir una deficiente planeación, como consecuencia de:

1. Extensión de pruebas sin cumplir objetivos necesarios para realizar la

Auditoría ordenada.
2. o se desarrolla la estrategia general para el examen.
3. Incapacidad de crear o adaptar el Programa de Auditoría.
4. Insuficiencias y fallas en la Exploración Preliminar.
5. No conocimiento pleno de la actividad a desarrollar.
6. Poca experiencia en la aplicación del programa de Auditoría ordenado
 Estándares:
Debe efectuarse el Planeamiento el cual a criterio del jefe de grupo de
auditoría, lo ejecutará a partir de la organización del trabajo en grupo, o
sea, puede planear:
a) por Temas, a cada auditor
b) por Grupo y Tema, a cada auditor
c) por Auditor y Tema y/o Grupo

Aunque el programa de auditoría se desarrolle de manera tan experta como

sea posible durante la etapa preliminar de la planeación, puede ser necesario
modificar los procedimientos según se adquiere información adicional durante
el transcurso del trabajo.

El sistema de información de la entidad auditada y los controles internos

contables tienen una importante repercusión sobre el diseño del programa de
auditoría.

El auditor debe evitar la inclinación a seguir un procedimiento tan sólo porque

aparece en un programa generalizado.

Dichos programas se utilizan sólo como guías, el auditor debe asegurarse que
no hay pasado por alto algún procedimiento importante de revisión.

Bien sea mediante la adaptación del programa general o preparando un

programa a la medida, el auditor debe estar seguro de que se cumplan las
necesidades de cada trabajo. La oportuna designación del auditor contribuye a
la planeación adecuada.

REVISIÓN PRELIMINAR

En esta fase el auditor debe de armarse de un conocimiento amplio del área

que va a auditar, los objetivos que debe cumplir, tiempos (una empresa no
pude dejar sus equipos y personal que lo opera sin trabajar porque esto le
genera pérdidas sustanciosas), herramientas y conocimientos previos, así
como de crear su equipo de auditores expertos en la materia con el fin de evitar
tiempos muertos a la hora de iniciar la auditoria
La revisión preliminar significa la recolección de evidencias por medio de
entrevistas con el personal de la instalación, la observación de las actividades
en la instalación y la revisión de la documentación preliminar.

El primero paso en el desarrollo de la auditoria, después de la planeación, es la

revisión preliminar del área de informática. el objetivo de la revisión preliminar
es el de obtener la información necesaria para que el auditor pueda tomar la
decisión de cómo proceder en la auditoria.

Elaborada por un audito interno difiere de la realizada por un auditor externo en

tres aspectos. En primero lugar, el auditor interno normalmente requiere de
menos remisiones y trabajos, especialmente en la parte gerencia y de
organización, ya que él es parte de la organización y está familiarizado con la
misma.

En segundo, el auditor externo se enfoca más en las causas de las perdidas y

en los controles necesarios para justificar sus decisiones; el auditor interno
tiene una amplia perspectiva, la cual incorpora en sus consideraciones sobre la
eficiencia y eficacia con la que se trabaja.

REVISIÓN DETALLADA
El auditor debe decidir si se debe continuar elaborando pruebas de
consentimiento, con la esperanza de obtener mayor confianza por medio del
sistema de control interno, o proceder directamente a la revisión con los
usuarios (pruebas compensatorias), o a las pruebas sustantivas. En la fase de
evaluación detallada es importante para el auditor identificar las causas de las
pérdidas y los efectos causados por estas. al terminar la revisión detallada el
auditor debe evaluar en qué momento los controles establecidos reducen las
perdidas esperadas a un nivel aceptable.
Los objetivos de la fase detallada son los de obtener la información
necesaria para que el auditor tenga un profundo entendimiento de los controles
usados dentro del área de informática. En la fase de evaluación detallada es
importante para el auditor identificar las causas de las pérdidas existentes
dentro de la instalación y los controles para reducir las pérdidas y los efectos
causados por éstas. Al terminar la revisión detallada el auditor debe evaluar en
qué momento los controles establecidos reduce las pérdidas esperadas a un
nivel aceptable. Los métodos de obtención de información al momento de la
evaluación detallada son los mismos usados en la investigación preliminar, y lo
único que difiere es la profundidad con se obtiene la información y se evalúa.

2.1.4 Examen y evaluación de la información.

Los auditores internos deberán obtener, analizar, interpretar y documentar la

información para apoyar los resultados de la auditoría. El proceso de examen y
evaluación de la información es el siguiente: Se debe obtener la información de
todos los asuntos relacionados con los objetivos y alcances del auditor. La
información relevante apoya los hallazgos y recomendaciones de auditoría y es
consistente con los objetivos de ésta. La información útil ayuda a la
organización a lograr sus metas. El proceso de recabar, analizar, interpretar y
documentar la información deberá supervisarse para proporcionar una
seguridad razonable de que la objetividad del auditor se mantuvo y que las
metas de auditoría se cumplieron. Los documentos de trabajo de la auditoría
deberán ser preparados por los auditores y revisados por la gerencia de
auditoría. Estos documentos deberán registrar la información obtenida y el
análisis realizado, y deben apoyar las bases de los hallazgos de auditoría y las
recomendaciones que se harán.
Los auditores deberán reportar los resultados del trabajo de auditoría: El
auditor deberá discutir las conclusiones y recomendaciones en los niveles
apropiados de la administración antes de emitir su informe final. Los informes
deberán ser objetivos, claros, concisos, constructivos y oportunos. Los informes
presentarán el propósito, alcance y resultados de la auditoría y, cuando se
considere apropiado, contendrán la opinión del auditor.

PRUEBAS DE CONSENTIMIENTO

El objetivo de la fase de prueba de consentimiento es el de determinar si los

controles internos operan como fueron diseñados para operar. El auditor debe
determinar si los controles declarados en realidad existen y si realmente
trabajan confiablemente.

Además de las técnicas manuales de colección de evidencias, muy

frecuentemente el auditor debe rec
urrir a técnicas de recolección de información asistidas por computadora, para
determinar la existencia y confiabilidad de los controles.

PRUEBAS DE CONTROLES DEL USUARIO

En algunos casos el auditor puede decidir el no confiar en los controles internos

dentro de las instalaciones informáticas, porque el usuario ejerce controles que
compensan cualquier debilidad dentro de los controles internos de informática.
Estas pruebas que compensan las deficiencias de los controles internos se
pueden realizar mediante cuestionarios, entrevistas, vistas y evaluaciones
hechas directamente con los usuarios.

PRUEBAS SUSTANTIVAS

El objetivo de la fase de pruebas sustantivas es de obtener evidencia suficiente

que permita al auditor emitir su juicio en las conclusiones acerca de cuándo
pueden ocurrir pérdidas materiales durante el procesamiento de la información.
Se pueden identificar 8 diferentes pruebas sustantivas.

1. Pruebas para identificar errores en el procesamiento o de falta de

seguridad o confidencialidad.
2. Pruebas para asegurar la calidad de los datos.
3. Pruebas para identificar la consistencia de los datos.
4. Pruebas para comparar con los datos o contadores físicos.
5. Confirmación de datos fuentes externas.
6. Pruebas para confirmar la adecuada comunicación.
7. Pruebas para determinar la falta de seguridad.
8. Pruebas para determinar problemas de legalidad.

Debemos cuestionarnos el beneficio de tener un excesivo control o bien

evaluar el beneficio marginal de tener mayor control contra el costo que
representa este.

El auditor debe participar en tres estados del sistema.

1. Durante la fase de diseño del sistema

2. Durante la fase de operación
3. Durante la fase posterior a la auditoria.

Lograr una auditoria en informática es un trabajo complejo. Por ellos, para

lograr los objetivos, el auditor necesita dividir los sistemas en una serie de
subsistemas, identificando los componentes que realizan las actividades
básicas de cada subsistema.

Los pasos que involucran una auditoría en informática son similares a aquellos
que se realizan para auditar un sistema manual.
Durante la auditoría en informática deben tomarse muchas decisiones difíciles.
Cada evaluación sobre la confianza de los sistemas de control interno requiere
de evaluaciones complejas realizadas en forma conjunta con las evidencias
obtenidas.

EVALUACION DE LOS SISTEMAS DE ACUERDO AL RIESGO

Una de las formas de evaluar la importancia que puede tener para la

organización un determinado sistema, es considerar el riesgo que implica el
que no sea utilizado adecuadamente, la perdida de la información o bien el que
sea usado por personal ajeno a la organización. Para evaluar el riesgo de un
sistema con mayor detalle.

INVESTIGACION PRELIMINAR

Es necesario iniciar el trabajo de obtención de datos con un contacto preliminar

que permita una primera idea global. El objeto de este primer contacto es
percibir rápidamente las estructuras fundamentales y diferencias principales
entre el organismo a auditar y otras organizaciones que se hayan investigado.

La investigación preliminar debe incorporar fases de evaluación del control

gerencial y del control de aplicaciones.

Para poder analizar y dimensionar la estructura a auditar se debe solicitar:

A nivel organizacional total.

 Objetivos a corto y largo plazo

 Manual de la organización
 Antecedentes o historia del organismo.
 Políticas Generales.

A nivel del área de informática.

 Objetivos a corto y largo plazo

 Manual de organización del área que incluya puestos, funciones, niveles
jerárquicos y tramos de mando.
 Manual de políticas, reglamentos internos y lineamientos generales.
 Número de personas y puestos en el área.

Entre otras informaciones.

En el caso de que no se disponga de la información y se considere que no se

necesita, se debe evaluar la causa por la que no es necesaria, ya que se puede
estar solicitando un tipo de información que debido a las características del
organismo no se requiera. Eso nos dará un parámetro muy importante para
hacer una adecuada planeación de la auditoria.
En el caso de que se tenga la información pero no se utilice, se debe analizar
por qué no se usa. El motivo puede ser que este incompleta, que no esté
actualizada, que no sea la adecuada, etc. Hay que analizar y definir las causas
para señalar los aciertos.

Antes de concluir este etapa no se olvide que el éxito del análisis crítico
depende de las consideraciones siguientes:

 Estudiar hechos y opiniones

 Atender razones, no excusas
 No confiar en la memoria, preguntar constantemente.
 Criticar objetivamente y a fondo todos los informes y los datos
recabados.

PERSONAL PARTICIPANTE

Una de las partes más importantes en la planeación de la auditoría en

informática es el personal que deberá participar.

En este punto no veremos el número de personas que deberán participar, ya

que esto depende las dimensiones de la organización, de los sistemas y de que
los equipos; lo que se deberá considerar son las características del personal
que habrá de participar en la auditoria.