UNIVERSIDAD NACIONAL DE CHIMBORAZO

FACULTAD DE CIENCIAS POLITICAS Y ADMINISTRATIVAS

CARRERA DE CONTABILIDAD Y AUDITORIA

INTEGRANTES

HERNÁNDEZ SHEYLA

LEMA LILIANA

NARVAEZ LUIS

YUPANQUI NELLY

Temas Planteados:

Metodología de la Auditoría Informática y la Auditoría Sistemas

Preparar una Tabla comparativa de la Planificación de la Auditoría

DOCENTE

Ing. JORGE CRUZ

 Auditoria Informática

La auditoría informática es un proceso llevado a cabo por profesionales especialmente

capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para

determinar si un sistema de información salvaguarda el activo empresarial, mantiene la

integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza

eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten

detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una

organización y determinar qué información es crítica para el cumplimiento de su misión y

objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan

flujos de información eficientes. [ CITATION Aud18 \l 3082 ]

Metodología de la Auditoría Informática

Como auditor se debe recolectar toda la información general, que permita así mismo

definir un juicio global objetivo siempre amparadas en pruebas o hechos demostrables. Dar

como resultado un informe claro, conciso y a la vez preciso depende del análisis y

experiencia del auditor, frente a diferentes entornos a evaluar, dependiendo de las debilidades

y fortalezas encontradas en dicha empresa auditada. La recolección de información, el

análisis, la aplicación de diferentes normas de acuerdo al tipo de auditoria, los hallazgos

encontrados y pruebas que avalen estos resultados son indispensables en la realización de una

auditoria. Para llegar al resultado hay que seguir una serie de pasos que permiten tener

claridad y orden de la auditoria a aplicar.

El método de trabajo del auditor pasa por las siguientes etapas:

1. Alcance y objetivos de la auditoria informática.

2. Estudio inicial del entorno auditable.

3. Determinación de los recursos necesarios para realizar la auditoria.

 4. Elaboración del plan y de los programas de trabajo.

5. Actividades propiamente dichas de la auditoria.

6. Confección y redacción del informe final.

7. Redacción de la carta de introducción o carta de presentación del informe final.

Alcance y objetivos de la auditoria informática

El alcance de la auditoria expresa los límites de la misma. Debe existir un acuerdo

muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a

auditar. A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar

las excepciones de alcance de la auditoria, es decir cuales materias, funciones u

organizaciones no van a ser auditadas. Tanto los alcances como las excepciones deben figurar

al comienzo del informe final.

Estudio inicial del entorno auditable

Esta etapa es una de las más importantes en el desarrollo de la auditoria, ya que el

auditor debe conocer todos los procesos desarrollados, relacionado con el área tomada como

caso de estudio. Para realizar dicho estudio ha de examinarse las funciones y actividades

generales de la informática. Para su realización el auditor debe conocer lo siguiente:

Organización: para el auditor, el conocimiento de quién ordena, quién diseña y quién ejecuta

es fundamental. El Auditor debe enfocarse en el organigrama, departamentos, relaciones

jerárquicas, flujos de información, entorno operacional.

Determinación de los recursos necesarios para realizar la auditoria

Mediante los resultados del estudio inicial realizado se procede a determinar los recursos

humanos y materiales que han de emplearse en la auditoria. Enfocándose en los recursos

materiales estos pueden ser: Recurso software programa propio de la auditoria -Recurso

hardware recurso proporcionado por el cliente, recursos humanos.

Elaboración del plan y de los programas de trabajo

Una vez asignados los recursos, el responsable de la auditoria y sus colaboradores

establecen un plan de trabajo y así, se procede a la programación del mismo.

Actividades propiamente dichas de la auditoria informática

La auditoría informática general se realiza por áreas generales o por áreas específicas. Si se

examina por grandes temas, resulta evidente la mayor calidad y el empleo de más tiempo

total y mayores recursos.

Confección y redacción del informe final

La función de la auditoria se materializa exclusivamente por escrito. Por lo tanto, la

elaboración final es el exponente de su calidad. Resulta evidente la necesidad de redactar

borradores e informes parciales previos al informe final, los que son elementos de contraste

entre opinión entre auditor y auditado y que pueden descubrir fallos de apreciación en el

auditor.

Redacción de la carta de introducción o carta de presentación del informe final

La carta de introducción tiene especial importancia porque en ella ha de resumirse la

auditoría realizada. Se destina exclusivamente al responsable máximo de la empresa, o a la

persona concreta que encargó o contrató la auditoria.

Existen diversas metodologías de Auditorias Informáticas y todas dependen de lo que se

pretenda revisar o analizar, pero como estándar analizaremos las cuatro fases básicas de un

proceso de revisión. [ CITATION Met \l 3082 ]

 1. Estudio preliminar: Incluye definir el grupo de trabajo, el programa de auditoria,

efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar un

cuestionario para la obtención de información para evaluar preliminarmente el control

interno, solicitud de plan de actividades, Manuales de política, reglamentos,

Entrevistas con los principales funcionarios de la Organización y de la Departamento

de Informática.

2. Revisión y evaluación de controles y seguridades: Consiste de la revisión de los

diagramas de flujo de procesos, realización de pruebas de cumplimiento de las

seguridades, revisión de aplicaciones de las áreas críticas, revisión de procesos

históricos (backups), revisión de documentación y archivos, entre otras actividades.

3. Examen detallado de áreas críticas: Con las fases anteriores el auditor descubre las

áreas críticas y sobre ellas hace un estudio y análisis profundo en los que definirá

concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá

los motivos, objetivos, alcance y recursos que usará, definirá la metodología de

trabajo, la duración de la auditoria, presentará el plan de trabajo y analizará

detalladamente cada problema encontrado con todo lo anteriormente analizado.

4. Comunicación de resultados: Se elaborará el borrador del informe a ser discutido

con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual se

presentará esquemáticamente en forma de matriz, cuadros o redacción simple y

concisa que destaque los problemas encontrados, los efectos y las recomendaciones de

la Auditoria.

El informe debe contener lo siguiente:

 Motivos de la auditoria
  Objetivos

 Alcance

 Estructura Orgánico-Funcional del área Informática

 Configuración del Hardware y Software instalado

 Control Interno

 Resultados de la Auditoria

Auditoria de sistemas

Según la definición Euripides Rojas “La Auditoria de sistemas es la parte de la auditoria

interna que se encarga de llevar a cabo la evaluación de normas, controles, técnicas y

procedimientos que se tienen establecidos en una empresa para lograr la confiabilidad,

oportunidad, seguridad y confidencialidad de información que se procesa a través de

computadores; es decir, en estas evaluaciones se está involucrando tanto los elementos

técnicos como humanos que intervienen en el proceso de la información. [ CITATION Alo01

\l 3082 ]

Metodología de la Auditoria de Sistemas

Existen 4 fases básicas para realizar una Auditoria

1. Estudio preliminar

2. Revisión y evaluación de controles y la seguridad

3. Examen detallado de áreas críticas

4. Comunicación de los resultados

Estudio preliminar

Estudio preliminar• Define grupo de trabajo y el programa de auditoria.

Realizar visitas a la unidad de informática para conocer la gestión.

Se evalúa el control interno a través de entrevistas y cuestionarios al personal para obtener

información.

Ser evalúan plan de actividades, manuales, políticas y reglamentos.

Revisión y evaluación de controles y la seguridad

Revisión de diagramas de flujos de procesos

Realización de pruebas de cumplimiento de las seguridades

Revisión de aplicaciones de áreas criticas

Revisión de procesos históricos (backups y logs)

Revisión de documentación y archivos

Examen detallado de áreas criticas

En base a las fases anteriores y los puntos de control básicos se definen los puntos

vulnerables a los que hay que hacer un análisis profundo.

Establece definitivamente el grupo de trabajo y la distribución del mismo.

Establece objetivos y recursos que usara, así como metodología y duración.

En base a lo anterior se elabora el plan de trabajo.

Comunicar los resultados

Se elabora un borrador del informe, el cual antes debe ser discutido y analizado con los

ejecutivos de la empresa.

Después del análisis se llega a un informe definitivo, el cual se puede presentar en forma de

matriz, cuadros o redacción lineal (viñetas).

Se destacan los problemas encontrados, los efectos y las recomendaciones.

Bibliografía
Alzate, A. T. (2001). Auditoria de sistemas. Colombia : Sede Manizales.

Auditoria Informatica,objetivos,alcance, metodología. (25 de enero de 2018). Obtenido de

https://gsitic.wordpress.com/2018/01/25/bii11-auditoria-informatica-objetivos-

alcance-y-metodologia-tecnicas-y-herramientas-normas-y-

estandares/#:~:text=Metodolog%C3%ADa%20de%20auditoria%20inform

%C3%A1tica&text=La%20recolecci%C3%B3n%20de%20informaci%C3%B3

Metodologis de una Auditoria Informatica. (s.f.). Obtenido de

https://sites.google.com/site/auditoriaeninformaticacun/planeacion