Universidad Autonoma del Caribe

Nombre: Loraigne Rojas Arias

Contaduria Publica
8vo semestre

Planeacion de la Auditoria informática en la

Administracion
Propósito
La Auditoría informática en la Administración tiene ante si una tarea especialmente
importante, es la de comprobar el cumplimiento de ciertos requisitos en aplicaciones o
sistemas de información concretos, y más es particular, en aquellos sistemas, como los de
informatización de registros, orientados a facilitar las relaciones de ciudadanos y empresas
con las Administraciones.
En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que
hacerla desde el punto de vista de dos objetivos:
 Evaluación de los sistemas y procedimientos.
 Evaluación de los equipos de cómputo.

Para hacer una planeación eficaz, lo primero que se requiere es obtener información general
sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer
una investigación preliminar y algunas entrevistas previas, con base en esto planear el
programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos
auxiliares a solicitar o formular durante el desarrollo de la misma.
Investigación preliminar
Se deberá observar el estado general del área, su situación dentro de la organización, si
existe la información solicitada, si es o no necesaria y la fecha de su última actualización.
Se debe hacer la investigación preliminar solicitando y revisando la información de cada
una de las áreas basándose en los siguientes puntos:
Administración
Se recopila la información para obtener una visión general del departamento por medio de
observaciones, cuestionarios, entrevistas preliminares y solicitud de documentos para poder
definir el objetivo y alcances del departamento.
Recursos materiales y técnicos
 Solicitar documentos sobre los equipos, número de ellos, localización y
características.

 Estudios de viabilidad.
 Número de equipos, localización y las características (de los equipos instalados y
por instalar y programados)
 Universidad Autonoma del Caribe
Nombre: Loraigne Rojas Arias
Contaduria Publica
8vo semestre

 Fechas de instalación de los equipos y planes de instalación.

 Contratos vigentes de compra, renta y servicio de mantenimiento.
 Contratos de seguros.
 Convenios que se tienen con otras instalaciones.
 Configuración de los equipos y capacidades actuales y máximas.
 Planes de expansión.
 Ubicación general de los equipos.

Sistemas

Descripción general de los sistemas instalados y de los que estén por instalarse que
contengan volúmenes de información.

 Manual de formas.
 Manual de procedimientos de los sistemas.
 Descripción genérica.
 Diagramas de entrada, archivos, salida.
 Salidas.
 Fecha de instalación de los sistemas.
 Proyecto de instalación de nuevos sistemas.

Objetivos generales de una auditoria de sistemas

 Buscar una mejor relación costo-beneficio de los sistemas automáticos o
computarizados diseñados e implantados por el PAD (Departamento de Procesamiento
de Datos).
 Incrementar la satisfacción de los usuarios de los sistemas computarizados
 Asegurar una mayor integridad, confidencialidad y confiabilidad de la información
mediante la recomendación de seguridades y controles.
 Conocer la situación actual del área informática y las actividades y esfuerzos necesarios
para lograr los objetivos propuestos.
 Seguridad de personal, datos, hardware, software e instalaciones
 Apoyo de función informática a las metas y objetivos de la organización
 Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático
 Minimizar existencias de riesgos en el uso de Tecnología de información
 Universidad Autonoma del Caribe
Nombre: Loraigne Rojas Arias
Contaduria Publica
8vo semestre

 Decisiones de inversión y gastos innecesarios

 Capacitación y educación sobre controles en los Sistemas de Información

Objetivos específicos de la auditoria de sistemas:

1. Participación en el desarrollo de nuevos sistemas:
a. Evaluación de controles
b. Cumplimiento de la metodología.
2. Evaluación de la seguridad en el área informática.
3. Evaluación de suficiencia en los planes de contingencia.
a. Respaldos, prever qué va a pasar si se presentan fallas.
4. Opinión de la utilización de los recursos informáticos.
a. Resguardo y protección de activos.
5. Control de modificación a las aplicaciones existentes.
a. Fraudes
b. Control a las modificaciones de los programas.
6. Participación en la negociación de contratos con los proveedores.
7. Revisión de la utilización del sistema operativo y los programas
a. Utilitarios.
b. Control sobre la utilización de los sistemas operativos
c. Programas utilitarios.
8. Auditoría de la base de datos.
a. Estructura sobre la cual se desarrollan las aplicaciones.
9. Auditoría de la red de teleprocesos.
10. Desarrollo de software de auditoría.

Personal participante
 Universidad Autonoma del Caribe
Nombre: Loraigne Rojas Arias
Contaduria Publica
8vo semestre

Una de las partes más importantes dentro de la planeación de la auditoria en informática es

el personal que deberá participar y sus características.
Uno de los esquemas generalmente aceptados para tener un adecuado control es que el
personal que intervengan esté debidamente capacitado, con alto sentido de moralidad, al
cual se le exija la optimización de recursos (eficiencia) y se le retribuya o compense
justamente por su trabajo.

Aplicación de Normas de auditoria

Las Nías contienen principios y procedimientos básicos y esenciales que deben ser
aplicados en la evaluación, para ser interpretados en el contexto de la conclusión e informe
de la auditoría realizada.
NIA´s con mayor soporte en la etapa de Planeación en entornos informáticos:
 NIA 300 Planeacion de Auditoria de E.F.´s
 NIA 315 Identificacion y evaluación del riesgo de errores materiales a través del
conocimiento de la entidad y su entorno
 NIA 320 Materialidad en la planeación y ejecución de la auditoria
 NIA 402 Consideraciones de auditoria relativas entidades que utilizan
organizaciones de servicio
 NIA 450 Evaluacion de los errores identificados durante la auditoria

Determinación de riesgos e incidencias

El mantenimiento preventivo y predictivo es clave en toda auditoría informática. No se trata
sólo de analizar ahora cuántas incidencias o problemas se están produciendo en este
momento, sino los posibles riesgos que existen de que se produzca un problema en el
futuro. Las empresas deben prever estos problemas mediante unas prácticas de
mantenimiento efectivas, sobre todo en cuanto a seguridad informática.
Partes del Plan de Auditoria con mayor incidencia:
 Inspección y examen de registros o documentos tanto internos como externos, que
se presentan en papel, forma electrónica u otros medios, inciando por los Estados
Financieros presentados bajo NIIF.
 Observación y revisión de un proceso o procedimiento desarrollado.
 Verificación cuantitativa de documentos y registros de procesos o procedimientos
que se realizan en la entidad.
 Confirmación de terceros, escrita o por medios electrónicos de aseveraciones,
acuerdos o transacciones que presente la entidad.
 Procedimientos analíticos de la información financiera
 Universidad Autonoma del Caribe
Nombre: Loraigne Rojas Arias
Contaduria Publica
8vo semestre

 Procedimientos adicionales que hagan parte de la investigación que se realiza para

la evaluación del riesgo, pruebas a controles, detalles y procedimientos analíticos
sustantivos, que le puedan brindar al auditor información relevante.
 Evidencias que se obtengan de los registros contables y trabajo realizado por un
experto de la administración, recurriendo, si es necesario, a otras fuentes relevantes
como son las auditorias previas y procedimientos de control de calidad que le
puedan brindar evidencia suficiente y apropiada.
Principales controles físicos y lógicos:
Controles particular tanto en la parte física como en la lógica se tiene los siguientes:
 Autenticidad: Permiten verificar la identidad (Pasword, Firmas Digitales, etc.)
 Exactitud: Aseguran la coherencia de los datos. (Validación de campos).
 Totalidad: Evitan la omisión de registros así como garantizan la conclusión de un
proceso de envió (Conteo de Registros).
 Privacidad: Aseguran la protección de los datos (Encriptación).
 Existencia: Aseguran la disponibilidad de los datos (Bitácora de estados).
 Protección de Activos: destrucción o corrupción de información del hardware
(Passwords).
 Efectividad: Asegurar el logro de los objetivos (Encuestas de satisfacción).
 Eficiencia: Aseguran el uso óptimo de los recursos (programas monitores).

Ejecución
Se tomarán medidas ejecutivas para resolver los problemas que ya están produciendo y
prevenir los riesgos que se podrían producir. A partir de ahí, lo normal es elaborar un
presupuesto con los puntos que habría que corregir para que se cumplan los objetivos de la
empresa, ya sea mejorar la seguridad informática porque han tenido problemas de ataques
informáticos, o adecuar sus sistemas a un determinado objetivo de productividad.