Manual AUDITORÍA INFORMÁTICA PDF

1
MANUAL
AUDITORÍA INFORMÁTICA.
a) Definición de auditoría. Piattini. y Del Peso (2001) dicen: “Toda o cualquier
auditoría es la actividad consistente en la emisión de una opinión profesional sobre si el
objeto sometido a análisis, presenta adecuadamente la realidad que pretende reflejar y/o
cumple las condiciones que le han sido prescritas” (p. 33).
Arens, Elder, & Beasley, (2007) dicen esto: “Auditoria es la acumulación y evaluación
de la evidencia de la información para determinar e informar sobre el grado de
correspondencia entre la información y los criterios establecidos” (p. 4).
Castello (2006) explica que etimológicamente el término auditoría proviene del idioma
latín con la palabra audire, esta última tiene un significado referente al oír, cuando se
emplea el sustantivo del latín se traduce como el que oye. En antaño las personas que
tenían la función de oír se les llamaba auditores, estas personas poseían la potestad de
juzgar la verdad o la falsedad de lo que estaban verificando. Castello (2006) dice “Es
observar lo que pasó en una entidad y contrastarlo con normas predefinidas.” (p. 11).
Muñoz (2002) nos explica que la auditoría es buscar, observar e indagar de forma
totalmente independiente la actividad o las actividades de un grupo de personas o alguna
persona en particular, luego de esta observación sistemática se debe documentar y esto

2
debe conllevar al análisis profesional que visto de otra manera es una opinión con
autoridad.
Castello (2006) dice:
Auditoria informática es el estudio que se realiza para comprobar la finalidad de
la herramienta informática y la utilización que se hace de ella en una organización.
En forma más amplia se analiza la aplicación de recursos informáticos a los
sistemas de información existentes en la empresa, en especial los orientados a
automatizar las tareas administrativo-contables, financieras de gestión, de soporte
de decisiones, etc. (p. 5).
Para Muñoz (2002) hablar de auditoría de sistemas computacionales es lo mismo que
auditoría informática, el autor menciona que esta es la primera definición que se debe
aprender ya que con ella se conceptualiza en forma global todas las demás definiciones
de auditoría en sistemas. Sobre la auditoría informática al píe de la letra de su libro Muñoz
(2002) dice así: “Es la revisión técnica, especializada y exhaustiva que se realiza a los
sistemas computacionales, software e información utilizados en una empresa, sean
individuales, compartidos y/o en redes, así como a sus instalaciones, telecomunicaciones,
mobiliario, equipos periféricos y demás componentes”. (p. 19).

3
Tomando en cuenta las definiciones de los expertos anteriormente mencionados, en esta
investigación auditoría lo conceptualizaremos como una revisión ética, estructurada y
sistemática de una o unas actividades para evaluar el cumplimiento de criterios objetivos
a que aquellas deben someterse.
b) Clasificación de auditoría. Castello (2006) explica que la auditoría informática
es una clase de auditoria, él clasifica a la auditoría según el campo de actuación, es decir
el campo en donde se aplica, y para ello tiene seis principales auditorías que son
− la auditoría contable,
− auditoría administrativa,
− la auditoría social,
− auditoria médica,
− auditoria militar, y
− la auditoría informática.
Para el autor Muñoz (2002) las auditorias se clasifican por diferentes aristas, una de ellas
sería la auditoría por su lugar de aplicación y estas pueden ser a la vez en auditoría
externa y auditoría interna. Las auditorías por su área de aplicación según Muñoz (2002)
son
4
− financieras,
− administrativas,
− operacionales,
− integrales,
− gubernamental, y
− de sistemas.
La clasificación llamada auditoría de sistemas, Muñoz (2002) la añade un término para
ser más claro y especifico llamándolo auditoría de sistemas computacionales y en ella se
encuentran según el experto las siguientes subclases de auditorías
− informáticas,
− con el computador,
− sin el computador,
− de la gestión informática,
− al sistema de cómputo,
− alrededor del computador,
− de la seguridad del sistema computacional,
− a los sistemas de redes,

5
− integral a los centros de cómputo,
− ISO 9000 a los sistemas de cómputo,
− outsourcing, y
− ergonómica de sistemas de cómputo.
c) Procedimientos para realizar auditoría informática. Los académicos Piattini &
Del Peso (2001) hablan sobre los procedimientos, sucede que existe un profesional
(hablamos del auditor), y su acción de auditar se demuestra por medio de procedimientos
específicos tendientes a proveer seguridad sensata a los que se afirma.
Es natural para todos los tipos o clases de auditoría se poseen sus propios profesionales y
con ellos sus procedimientos propios para conseguir el fin predicho que se plantea al
iniciar cada auditoria. Estos procedimientos, valgan la redundancia sirven para proceder,
y proceder es la ejecución de la auditoría que a palabras de Piattini & Del Peso (2001), se
resumen en tres puntos:
a. La labor se planifica y se supervisará apropiadamente.
b. Estudiar y evaluar el control interno.
c. Observar la evidencia.
El auditor debe pasar por los tres puntos anteriores.

6
d) Control interno. Otro aspecto importante en la auditoria, no solo informática sino
cualquier clase de auditoría es el control interno. No existe autor serio que desligue este
aspecto importantísimo.
Para Huesca (2011) de la Universidad Autónoma de Baja California lo explica diciendo
que: “sirve para controlar todas las actividades que se realicen cumpliendo los
procedimientos y normas fijadas, evaluar su bondad y asegurarse del cumplimiento de las
normas legales.” (p. 20).
Una pregunta que nos planteamos sería ¿de qué tipo de control hablamos?, Piattini & Del
Peso (2001) nos da ciertos ejemplos sobre los controles
− sobre la producción del día a día,
− sobre eficiencia y calidad del mantenimiento y desarrollo del software,
− sobre las redes de comunicación,
− de los sistemas operativos,
− de los sistemas microinformáticos, y
− controles sobre la seguridad informática.

7
Castello (2006) nos habla sobre los elementos para realizar un sistema de control, entre
ellos tenemos:
a. El elemento, es lo que se quiere controlar puede ser una condición o también
una característica.
b. Sensor, es un instrumento que sirve para medir, cuantificar o acotar al elemento
(o elementos) a controlar,
c. Grupo de control, tan igual como en un experimento, el grupo control sirve
para contrastar o comparar todos los datos que han sido medidos. Es un punto
de apoyo para observar el rendimiento esperado.
e) Planeación de la auditoría. Es el momento de preguntarnos ¿cómo se planea o se
hace el plan de auditoría informática?, Echenique (2001) dice que antes de realizar una
planeación de la auditoría informática se necesitan unos pasos previos que ayudaran a:
a. Dimensionar el tamaño de lo que se va a auditar.
b. Dimensionar las características del espacio dentro del organismo que se va
observar (auditar).
c. Sus sistemas involucrados en lo que se va a auditar.
d. La organización comprometida en lo que se va a auditar.

8
e. El equipo responsable de la auditoria.
Todo ello mencionado anteriormente sirven para saber el número y cualidades de los
auditores, los instrumentos que se necesitarán para la auditoría, el costo y tiempo, así
como el alcance de la misma auditoría. Pero aún no explica cómo se da en sí una
planeación de la auditoría informática. Echenique (2001) explica que los pasos para la
planeación son los mismos que se dan para una auditoría en general. Esta debe ser
documentada e incluirá:
a. Alcance y objetos de la labor.
b. Obtención de los datos de soporte sobre lo auditable.
c. Recursos para la auditoría.
d. La comunicación necesaria con los implicados en el trabajo de auditoría.
e. Inspección física afín habituarse con los controles a auditar.
f. El preparativo altamente documentado y por escrito de lo que se va a auditar.
g. El conocimiento del cómo, cuándo y a quién se le dará los resultados.
h. Obtener el consentimiento del plan de auditoría.
Echenique (2001) nos sigue explicando que la planeación de una auditoría informática
tiene todas las características de la planeación de una auditoria en general, pero siempre
9
se tiene que tener las apreciaciones de vista de los objetivos propia de la especialidad,
como son
− valoración administrativa del área de los procesos electrónicos,
− valoración de los sistemas y procedimientos,
− evaluación de los equipos de cómputo,
− valoración del sistema, de dispositivos, del software, del hardware, de las redes, de
las bases de datos, procesamiento de datos, etc.,
− evaluación de la seguridad y confidencialidad de la información, y
− temas legales de los sistemas y de la información.
Algunos consejos que el autor Echenique (2001) nos da para tener éxito en la planeación
es
− tener metas,
− tener programas de trabajo de auditoría,
− tener un plan de contratación de personal que nos puedan ayudar en la auditoría, y
− tener informes de actividades siempre.

10
f) Fases de la auditoría. Para Echenique (2001) en su libro auditoría en informática
señala que son siete las fases de la auditoria informática:
a. Planeación de la auditoría.
b. Examen preliminar.
c. Estudio detallado.
d. Examen y evaluación de la información.
e. Pruebas de consentimiento.
f. Pruebas de controles del usuario.
g. Pruebas sustantivas.
Todo auditor en informática, deben usar una serie de técnicas, métodos, procedimientos
o herramientas para que en cada una de las siete fases de la auditoria mencionadas por
Echenique (2001), tenga el alcance y los resultados previstos y sobre todo estén
documentados. Entre ellos tenemos
− el examen propiamente dicho,
− inspecciones,
− confirmaciones,
− comparaciones,
11
− revisiones documentales,
− acta testimonial,
− matriz de evaluación, y
− matriz FODA.
12
REFERENCIAS BIBLIOGRÁFICAS
Arens, A. A., Elder, R. J. & Beasley, M. S. (2007). Auditoría Un enfoque integral. México
D. F., México: Pearson Educación.
Castello, R. J. (2006). Auditoría en entornos informáticos. Argentina: Universidad
Nacional de Córdoba.
Echenique García, J. A. (2001). Auditoría en Informática. México D. F., México:
McGraw Hill.
Huesca Aguilar, G. (2011). Auditoría Informática. Baja California, México: UABC.
Morales Gonzales, R. A. (2018). Plan de gestión de la calidad para mejorar la estrategia
de seguridad y auditorías informáticas de los centros de educación técnico
productiva (CETPRO) particulares de enseñanza de computación de la ciudad de
Ilo – 2016 (Tesis de postgrado). Universidad José Carlos Mariátegui, Moquegua,
Perú.

Manual AUDITORÍA INFORMÁTICA PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual AUDITORÍA INFORMÁTICA PDF

Cargado por

Copyright:

Formatos disponibles

1

a) Definición de auditoría. Piattini. y Del Peso (2001) dicen: “Toda o cualquier

auditoría es la actividad consistente en la emisión de una opinión profesional sobre si el

cumple las condiciones que le han sido prescritas” (p. 33).

de la evidencia de la información para determinar e informar sobre el grado de

correspondencia entre la información y los criterios establecidos” (p. 4).

totalmente independiente la actividad o las actividades de un grupo de personas o alguna

persona en particular, luego de esta observación sistemática se debe documentar y esto

Castello (2006) dice:

Auditoria informática es el estudio que se realiza para comprobar la finalidad de

la herramienta informática y la utilización que se hace de ella en una organización.

En forma más amplia se analiza la aplicación de recursos informáticos a los

sistemas de información existentes en la empresa, en especial los orientados a

automatizar las tareas administrativo-contables, financieras de gestión, de soporte

de decisiones, etc. (p. 5).

Para Muñoz (2002) hablar de auditoría de sistemas computacionales es lo mismo que

de auditoría en sistemas. Sobre la auditoría informática al píe de la letra de su libro Muñoz

sistemas computacionales, software e información utilizados en una empresa, sean

individuales, compartidos y/o en redes, así como a sus instalaciones, telecomunicaciones,

mobiliario, equipos periféricos y demás componentes”. (p. 19).

Tomando en cuenta las definiciones de los expertos anteriormente mencionados, en esta

investigación auditoría lo conceptualizaremos como una revisión ética, estructurada y

sistemática de una o unas actividades para evaluar el cumplimiento de criterios objetivos

a que aquellas deben someterse.

b) Clasificación de auditoría. Castello (2006) explica que la auditoría informática

es una clase de auditoria, él clasifica a la auditoría según el campo de actuación, es decir

La clasificación llamada auditoría de sistemas, Muñoz (2002) la añade un término para

ser más claro y especifico llamándolo auditoría de sistemas computacionales y en ella se

encuentran según el experto las siguientes subclases de auditorías

− alrededor del computador,

− de la seguridad del sistema computacional,

− a los sistemas de redes,

− integral a los centros de cómputo,

− ISO 9000 a los sistemas de cómputo,

− ergonómica de sistemas de cómputo.

c) Procedimientos para realizar auditoría informática. Los académicos Piattini &

(hablamos del auditor), y su acción de auditar se demuestra por medio de procedimientos

específicos tendientes a proveer seguridad sensata a los que se afirma.

resumen en tres puntos:

a. La labor se planifica y se supervisará apropiadamente.

b. Estudiar y evaluar el control interno.

El auditor debe pasar por los tres puntos anteriores.

d) Control interno. Otro aspecto importante en la auditoria, no solo informática sino

Para Huesca (2011) de la Universidad Autónoma de Baja California lo explica diciendo

procedimientos y normas fijadas, evaluar su bondad y asegurarse del cumplimiento de las

normas legales.” (p. 20).

Peso (2001) nos da ciertos ejemplos sobre los controles

− sobre la producción del día a día,

− sobre eficiencia y calidad del mantenimiento y desarrollo del software,

− sobre las redes de comunicación,

− de los sistemas operativos,

− de los sistemas microinformáticos, y

− controles sobre la seguridad informática.

a. El elemento, es lo que se quiere controlar puede ser una condición o también

b. Sensor, es un instrumento que sirve para medir, cuantificar o acotar al elemento

c. Grupo de control, tan igual como en un experimento, el grupo control sirve

de apoyo para observar el rendimiento esperado.

e) Planeación de la auditoría. Es el momento de preguntarnos ¿cómo se planea o se

planeación de la auditoría informática se necesitan unos pasos previos que ayudaran a:

a. Dimensionar el tamaño de lo que se va a auditar.

b. Dimensionar las características del espacio dentro del organismo que se va

c. Sus sistemas involucrados en lo que se va a auditar.

d. La organización comprometida en lo que se va a auditar.