Está en la página 1de 5

6-AUDITORÍA EN INFORMÁTICA

JOSÉ ANTONIO ECHENIQUE GARCIA- UNIVERSIDAD AUTÓNOMA DE MEXICO


Pinta con azul los conceptos claves que entendiste, y con rojo los dudosos
CAPITULO 1: CONCEPTO DE AUDITORÍA INFORMÁTICA Y TIPOS DE AUDITORÍA
Cap. 1-CONCEPTO DE AUDITORÍA INFORMÁTICA
AUDITORÍA ES Revisar de cuentas aplicando procedimientos por profesional colegiado
INFORMÁTICA ES Conjunción de INFORMACIÓN Y AUTOMATIZACIÓN
INFORMACIÓN ES Datos ordenados y organizados
COMUNICACIÓN ES Compartir Información en cualquier momento y en forma segura
ETICA Considerar la legalidad y la ética en la informática
TIPOS DE AUDITORÍA Y RELACIÓN CON LA AUDITORÍA INFORMÁTICA
Protección activos empresa
OBJ. BASICOS Obtención de resultados información financiera veraz, confiable, oportuna
C.INTERNO Lograr eficiencia en la operación del negocio
Lograr que en la ejecución se cumplan las políticas de la empresa
OBJ DE CONTROLES Son objetivos Generales de AUTORIZACIÓN aplicables a todos los sistemas
CONTABLES GENERALES Autorización acorde a criterios establecidos según nivel
DE C. INTERNO Transacciones deben cumplir requisitos y comunicarse oportunamente
Son objetivos Generales aplicables a ciclos de transacciones
OJB. DE CONTROLES Toda transacción debe registrarse para Estados Financieros
CONTABLES GENERALES Aplicar principios de contabilidad generalmente aceptados u otro criterio aceptable
TRANSACCIONALES
Transacciones debidamente clasificadas, para preparar Estados Financieros
Registro en el mismo período de ocurrencia (ojo si abarcan mas de un ciclo)
Comparación de datos registrados con activos existentes y ver diferencias
El área informática como herramienta para el Control Interno
OBJETIVO DE El área informática como objeto del Control Interno
VERIFICACIÓN Y En Aud. Informática el objetivo es más amplia, pero rigen los Obj. Grles. del C.Int.
EVALUACIÓN En el diseño informático debería incluir al C. Interno
El A.I. debería revisar la aplicación de los sistemas (Con usuarios y con Informática)
A.I. debería verificar seguridad y procedimientos de Plan de desastres
A.I. debe auditar los Sistemas Informáticos
AUDITORÍA ADMINISTRATIVA OPERACIONAL
La Aud. Administrativa es parte de la Aud. Informática y su Plan: (Objetivos, políticas, planes,
Procedimientos: Organización: Funciones: niveles de autoridad y responsabilidad; Recursos
humanos, materiales, técnicos y financieros; Integración, Dirección, Comunicación y
LAS TIC CAMBIARON LA
coordinación; Control.
ADMINISTRACIÓN Y
OPERACIÓN LAS REVISIONES PRETENDEN PRECISAR
Revisión de perdidas y deficiencias
Mejoramiento de métodos
Mejores controles
Operaciones más eficientes
Mejor uso de recursos materiales y humanos
AUDITORÍA CON INFORMÁTICA
En general el auditor usa paquetes de SW reduciendo tiempo y costo
USO DE TÉCNICAS -Técnicas de auditoría asistidas pos computador (Transmisión de datos a la computadora del
ASISTIDAS POR auditor para: Verificar cifras totales y cálculos, pruebas de consistencia de registros;
COMPUTADORAS Clasificación y análisis de datos; Selección de datos para muestreo; <simulación de procesos
-También de supervisa el desarrollo de SW y la eficiencia del computador
TECNICAS AVANZADAS DEBE PLANEARSE POS PROCEDIMIENTOS DE AUDITORÍA CON INFORMÁTICA
DE AUDITORÍA CON -Pruebas integrales
INFORMÁTICA -Simulaciones
-Revisiones de acceso
-Operaciones en paralelo
-Evaluar sistemas con datos de prueba
-Registros extendidos
-Totales aleatorios de ciertos programas
-Selección de ciertos tipos de transacciones
-Resultado de ciertos cálculos para comparaciones posteriores

AUDITORÍA EN INFORMÁTICA
Se intenta salvaguardar los activos informáticos, datos y lograr objetivos empresa
VERIFICACIÓN DE -Aplicaciones y Desarrollo de Sistemas
CONTROLES -Instalación del centro de proceso
-Mal uso de la computadora
-Costos de los errores
-Pérdida de capacidad del centro de cómputos
-Decisiones incorrectas
-Valor de HW; SW; Personas
-Privacidad
-Pérdida de información
CAMPO DE LA AUDITORÍA INFORMÁTICA
CAMPO A.I ES - La evaluación administrativa del área de informática
- La evaluación de los sistemas y procedimientos y de la eficiencia que se tiene en el
uso de la información (eficiencia y eficacia con la que se trabaja).
- La evaluación del proceso de datos, sistemas y equipos de cómputo (SW.,
hardware, redes, BD).
- Seguridad y confidencialidad de la información.
- Aspectos legales de los SI y de la información.
Evaluación administrativa del Dpto. de informática
Esto comprende de la - Los objetivos del departamento, dirección o gerencia.
evaluación de : - Metas, planes políticas y procedimientos de procesos electrónicos estándares.
- Organización del área y su estructura orgánica.
- Funciones y niveles de autoridad y responsabilidad del área de procesos
electrónicos.
- Integración de los recursos y materiales y técnicos
- Dirección
- Costos y controles presupuestales.
- Controles administrativos del área de procesos electrónicos.
Evaluación de los SI y procedimientos (eficiencia - eficacia) en el uso de la información
Lo cual - Control de proyectos.
Comprende - Control de SI y programación.
- Instructivos y documentación.
- Formas de implantación.
Evaluación del proceso de datos y de los equipos de computo
Lo cual - Control de operación
Comprende - Control de salida
- Control de Asignación de trabajo.
- Control de medios de almacenamiento masivo.
Evaluación del proceso de datos y de los equipos de computo
Lo cual - Seguridad física y lógica
Comprende - Respaldo
- Seguros
- Restauración de equipo y de sistemas.

Capítulo 2: Planeación de la Auditoria en Informática (Grupo 1)

FASES DE LA AUDITORIA
AUDITORIA INTERNA ES Evaluación interna e independiente dentro de una organización para examinar sus
actividades
Su objetivo es dar soporte al personal de la organización en el desempeño de sus
responsabilidades
Sus normas comprenden:
 Las actividades auditadas y la objetividad de los auditores internos.
 El conocimiento técnico, la capacidad y el cuidado profesional de los auditores
internos con los que deben ejercer su función.
 El alcance del trabajo de auditoria interna en el área de informática.
 El desarrollo de las responsabilidades asignadas a los auditores internos
responsable de la auditoria a informática.

HABILIDADES DE LOS Tener habilidad para aplicar conocimientos a situaciones que posiblemente se vayan
AUDITORES ES encontrando, reconocer las desviaciones para alcanzar soluciones razonables.

Entre las habilidades que deben tener los auditores están:


 Habilidad para comunicarse efectivamente y dar trato adecuado a las personas.
 Los auditores en informática son responsables de continuar desarrollo profesional
para poder mantener su pericia profesional.
 Los auditores en informática deben ejercer el debido cuidado profesional al realizar
sus auditorías.

CUIDADO PROFESIONAL Uso razonable de las experiencias y juicios en el desarrollo de la auditoria.


Para este fin el auditor deberá considerar:
 El alcance del trabajo de auditoria necesaria para lograr los objetivos de las
auditorias.
 La materialidad o importancia relativa de los asuntos a los que se aplican los
procedimientos de la auditoria.
 La adecuación y efectividad de los controles internos.
 El costo de la auditoria en relación con los posibles beneficios.

USO EFICIENTE DE Los auditores deberán evaluar si el empleo de los recursos se realiza en formas económica y
RECURSOS eficiente.
Los auditores internos responsables de determinar si:
 Los estándares para medir la economía y eficiencia en el uso de los recursos son los
adecuados.
 Los estándares de operación establecidos han sido entendidos y se cumplen.
 Las desviaciones a los estándares de operación se identifican, analizan y se
comunican a los responsables para que toen medidas correctivas.
 Se toman las medidas correctivas.

PLANEACION DE LA AUDITORIA INFORMATICA


PLANEACION DE LA Consiste en seguir una serie de pasos previos que permitirán dimensionar el tamaño y
AUDITORIA características del área dentro del organismo a auditar. (más Plazos y recursos)
INFORMATICA ES
 El establecimiento de los objetivos y el alcance del trabajo.
 La obtención de la información de apoyo sobre las actividades que se auditaran.
SU DOCUMENTACION
 La determinación de los recursos necesarios para realizar la auditoria.
DEBE INCLUIR:
 La preparación por escrito del programa de auditoria.
 La determinación de cómo, cuándo y a quien se le comunicaran los resultados de la
auditoria.
 La obtención de la aprobación del plan de trabajo de la auditoria.
 Evaluación del área de procesos electrónicos.
SE DEBEN CONSIDERAR  Evaluación de los sistemas y procedimientos.
DESDE EL PUNTO DE
 Evaluación de los equipos de cómputo.
VISTA DE VARIOS
OBJETIVOS:  Evaluación del proceso de datos, sistemas y equipos de cómputo.
 Seguridad y confidencialidad de la información.
 Aspectos legales de los sistemas y de la información.

COMPRENDE  Metas
ESTABLECER:  Programas de trabajo de auditoria.
 Planes de contratación de personal y presupuesto financiero.
 Informes de actividades.

TIPOS DE REVISION
Revisión preliminar es el obtener la información necesaria para que el auditor puede tomar la
decisión de cómo proceder en la auditoria.

Recolección de evidencias por medio de entrevistas con el personal de la instalación, la


observación de las actividades en la instalación y la revisión de la documentación preliminar.

La revisión preliminar elaborada por un auditorio interno difiere de la realizada por un


auditoria externo en tres aspectos:
REVISION PRELIMINAR:  El auditorio interno normalmente requiere de menos precisiones y trabajos,
especialmente en la parte gerencial y de organización.
 El auditor externo se enfoca más en las causas de las perdidas y en los controles
necesarios para justificar sus decisiones, el auditor interno tiene una amplia
perspectiva, la cual incorpora en sus consideraciones sobre eficiencia y la eficacia
con la que se trabaja.
 Si el auditor interno supone serias debilidades en los controles internos en lugar de
proceder directamente con las pruebas sustantivas, deberá continuar con la fase de
revisión detallada para señalar recomendaciones para mejorar los controles
internos.
REVISION DETALLADA Su objetivo es el de obtener la información necesaria para que el auditor tenga un profundo
entendimiento de los controles usados dentro del área informática.
EXAMENES Y EVALUACION DE LA INFORMACION
OBJETIVO Obtener, analizar, interpretar y documentar la información para apoyar los resultados de la
auditoria.
PROCESOS  Se debe obtener la información de todos los asuntos relacionados con los objetivos
y alcances de la auditoria.
 La información deberá ser suficiente, competente, relevante y útil para que
proporciones bases sólidas en relación con los hallazgos y recomendaciones de la
auditoria.
 Los procedimientos de la auditoria, incluyendo el empleo de las técnicas de pruebas
selectivas y el muestreo estadístico, deberán ser elegidos con anterioridad, cuando
esto sea posible, y ampliarse o modificarse cuando las circunstancias lo requieren.
 El proceso de recabar, analizar, interpretar y documentar la información deberá
supervisarse para proporcionar una seguridad razonable de que la objetividad de la
auditoria se mantuvo y que las metas de auditoria se cumplieron.
 Los documentos de trabajo de la auditoria deberán ser preparados por los
auditores y revisados por la gerencia de auditoria.
PRUEBAS
PRUEBAS DE Determina si los controles internos operan como fueron diseñados para operar.
CONSENTIMIENTO Por ejemplo: para evaluar la existencia y confiabilidad de los controles de un sistema en red,
se requerirá el entrar a la red y evaluar directamente al sistema.

PRUEBAS SUSTANTIVAS El objetivo es obtener evidencias suficientes que permitan al auditor emitir su juicio en las
conclusiones acerca de cuándo pueden ocurrir pérdidas materiales durante el procesamiento
de la información. Se pueden identificar ocho diferentes pruebas sustantivas:
 Pruebas para identificar errores en el procesamiento o de falta de seguridad o
confidencialidad.
 Pruebas para asegurar la calidad de los datos.
 Pruebas para identificar la inconsistencia de los datos.
 Pruebas para comparar con los datos o contadores físicos.
 Confirmación de datos con fuentes externas.
 Pruebas para confirmar la adecuada comunicación.
 Pruebas para determinar falta de seguridad.
 Pruebas para determinar problemas de legalidad.
PRUEBAS DE CONTROLES Estas pruebas compensan las deficiencias de los controles internos se pueden realizar
DEL USUARIO mediante cuestionarios, entrevista, vistas y evaluaciones hechas directamente con los
usuarios.
EVALUACION DE LOS SISTEMAS DE ACUERDO AL RIESGO
CONSISTE EN: Evaluar la importancia que puede tener para la organización un determinado sistema, es
considerado el riesgo que implica el que no sea utilizado adecuadamente.

INVESTIGACION PRELIMINAR
CONSISTE EN: Es la obtención de datos con un contacto preliminar que permita una primera idea global. El
objeto de este primer contacto es percibir rápidamente las estructuras fundamentales y
diferencias principales entre el organismo a auditar y otras organizaciones que se hayan
investigado.

PERSONAL PARTICIPANTE
DEBE SER: Uno de los esquemas generalmente aceptados para tener un adecuado control es que el
personal que intervenga esté debidamente capacitado, que tenga un alto sentido de
moralidad, al cual se le exija la optimización de recursos y se le retribuya o compense
justamente por su trabajo.
CARACTERISTICAS  Técnico en informática.
NECESARIA:  Conocimientos de administración, contaduría y finanzas.
 Experiencias en el área de informática.
 Experiencia en operación y análisis de sistemas.
 Conocimientos y experiencias en psicología industrial.
 Conocimiento de los sistemas operativos, bases de datos, redes y comunicaciones,
dependiendo del área y características a auditar.
 Conocimientos de los sistemas as importantes.

Capítulo 3: AUDITORIA DE LA FUNCION DE INFORMATICA (Grupo 3)


Recopilación de la información organizacional
Revisión de la -Jerarquías
estructura orgánica -Estructuras orgánica
-Funciones
-Objetivos
Entrevistas con el -Jefatura
personal de procesos -Análisis
electrónicos -Programadores
-Operadores
-Personal de Base de datos

Se debe conocer la -Presupuesto


situación en cuanto a : -Recursos financieros
-Recursos materiales
-Mobiliario y equipo
-Costos
Se realiza un Censo en -Número de personas y distribución por área
distintas Áreas: -salario
-Conocimientos
-Índice de Rotación de personal
-Experiencia profesional
Definir el grado de -Normas y políticas
cumplimiento de los -Planes de trabajo
documentos -Estándares
administrativos
Uso de la Información Recopilada
Servirá para determinar -Si las responsabilidades en la organización están definidas adecuadamente
-Si la estructura organizacional esta adecuada a las necesidades
-Si tienen los objetivos y políticas adecuadas, si se encuentran vigentes.
-si existe documentación de las actividades ,funciones y responsabilidades
-si el nivel de salarios está de acuerdo con el mercado de trabajo
-si los planes de trabajo concuerdan con los objetivos de la empresa
Principales planes que se requieren dentro de la organización de la informática
Estudio de viabilidad Investiga los costos y beneficios de los usos a largo plazo
Planeación de cambios Especifica las metas y actividades que se deben realizar para lograr cambios y modificaciones
modificación y
actualización
Plan Maestro Define los objetivos a largo plazo y las metas necesarias para lograrlo
Capítulo 4: Evaluación de los sistemas (Grupo 4)

EVALUACIÓN DE LOS SISTEMAS.


Evaluar los sistemas operativos, importancia, características principales y contenidos mínimos que se deben tener en
las operaciones del sistema dentro de una organización.
Factores que permitan -Elaborado por el usuario, o bien un software comercial.
que el software pueda -Software compartido o regalado.
contar con los -Software transportable.
requerimientos
-Un solo usuario o multiusuario.
necesarios.
-Categorización del software de aplicación por el usuario.
-Software a la medida de la oficina.
Informe sobre la forma -Numeración.
del diseño. (Cuando se -Titulo.
analiza un sistema). -Tabulación.
-Zonas.
-Instrucciones.
-Firmas.
-Nombres.
-Encabezados ambiguos.
-Rótulos.
-Ubicación de los rótulos.
-Tipo de papel.
-Tamaño estándar.
-Color.
Informe (El informe se -Descripción de informes (1.1)
divide en los siguientes -Análisis de informes (1.2)
tópicos y debe seguir el -Evaluación de formas (1.3)
siguiente orden).
-Evaluación de formas (1.4)
-Evaluación de formas (1.5)
-Descripción de formas (1.6)
-Descripción de formas de papelería (1.7)
Control de proyectos -Control de proyectos (1.1)
(Se recomienda que se -Calendario de actividades (1.2)
utilice la técnica de -Control de actividades del programador (1.3)
administración por
-Reporte semanal de los responsables de sistemas (1.4)
proyectos para su
adecuado control). -Control de programadores (1.5)
-Planeación de programación (1.6)
-Hoja de planeación de actividades (1.7)
-Informe de avance de programación (1.8)
-Control de avance de programación (1.9)
-Hoja de planeación de actividades y control de avance (1.10)
Instructivos de -Forma de implantación (la finalidad es la de evaluar los trabajos que se realizan para iniciar
operación. la operación de un sistema).
-Equipos y facilidades de programación (La selección de un sistema de cómputo incluye la
interacción de numerosas decisiones de carácter técnico).
-Entrevistas a usuarios (Las entrevistas se deberían llevar a cabo para comparar los datos
proporcionados y la situación de informática desde el punto de vista de usuarios).
-Entrevistas (Se debe crear un cuestionario de preguntas (requerimientos).