AUDITORIA III (AUDITORÍA INFORMÁTICA

TEMA V.- AUDITORIA A SISTEMAS EN FUNCIONAMIENTO

4.1.- Planeación del proyecto a auditar.
4.2.- Identificación de transacciones y recursos.
4.3.- Análisis de riesgos y amenazas.
4.4.- Clasificación de los controles.
4.5.- Prueba de los controles.
4.1.- Planeación del proyecto a auditar.
• Justificación.
• Ambiente.
• Alcance.
• Restricciones.
• Beneficios.
• Integración del equipo de trabajo y sus responsabilidades.
• Definición de requisitos de información, nuevos y existentes.
• Aprobación del proyecto
 4.2.- Identificación de transacciones y recursos
Transacciones. En su definición más simple se puede decir que una
transacción es un conjunto de eventos que deben ser llevados a
cabo como una unidad indivisible de trabajo, en la que todos y cada
uno de ellos tienen éxito o todos y cada uno de ellos son
rechazados.

Transacción. Órdenes de compra, ventas, cambios, altas y bajas con

ejemplos de transacciones que se registran en un entorno de
información de negocios. Las consultas y demás solicitudes son
también transacciones para la computadora, pero normalmente se
las procesa sin registrarlas en el sistema.
 Características
• 1. Atomicidad. Una transacción debe ser atómica. A pesar de que una transacción está
compuesta por un número cualquiera de eventos, el sistema las debe considerar como
una única operación, la cual puede tener éxito; en tal caso se hacen permanentes los
cambios generados por cada evento componente de la transacción.
• 2. Consistencia. Todos los cambios provocados por la transacción deben dejar al sistema
en un estado correcto. El sistema es llevado desde un estado válido a otro estado válido,
producto de la acción de una transacción.
• 3. Aislamiento. Las transacciones que se ejecutan concurrentemente no se ven
afectadas unas con otras.
• 4. Durabilidad. Si una transacción es terminada en forma exitosa los efectos serán
permanentes.
Estructura de una transacción
 4.3.- Análisis de riesgos y amenazas.
• El análisis de riesgos informáticos es la evaluación de los distintos peligros que
afectan a nivel informático y que pueden producir situaciones de amenaza al
negocio, como robos o intrusiones que comprometan los datos o ataques
externos que impidan el funcionamiento de los sistemas propiciando periodos
de inactividad empresarial.
• El análisis y gestión de los riesgos previene a las empresas de este tipo de
situaciones negativas para su actividad y recoge una serie de factores
fundamentales para su consecución.
Identificación de activos
Para realizar un análisis de riesgos efectivo, el primer paso es identificar todos
los activos de la empresa. Estos activos incluyen todos los recursos relacionados
con la gestión e intercambio de información de la empresa, como software,
hardware, vías de comunicación, documentación digital y manual e incluso de
recursos humanos.
 Riesgos y Amenazas
Una vez se identifiquen todos los activos de información que componen la empresa, deben
definirse las amenazas a las que pueden estar expuestos. Estas amenazas pueden ser de
diferente índole, como ataques externos, desastres naturales o errores humanos
Ataques externos. Los ciber-delincuentes siempre tienen en su punto de mira a las empresas y
sus sistemas, con el objetivo de robar información (bancaria o de otra índole comercial o
personal).
Errores humanos. La intervención humana en los procesos informáticos siempre está expuesta a
que se cometan errores (intencionados o no intencionados). Por ejemplo, un empleado sin los
conocimientos suficientes, o con privilegios superiores a los de su función, puede realizar
acciones que comprometan los datos o produzcan un malfuncionamiento en los sistemas.
Desastres naturales. Es posible que se den situaciones que pongan en peligro los activos
informáticos de la empresa como inundaciones o sobrecargas en la red eléctrica.
Situaciones extraordinarias, como la pandemia del COVID-19. Las crisis a menudo reducen los
niveles de alerta y protección y llevan a los ciberdelincuentes a aprovecharse de esta situación
operando bajo esquemas maliciosos.
4.4.- Clasificación de los controles.
El control interno se materializa fundamentalmente en controles de dos tipos:
• Controles manuales. Son aquellos que son ejecutados por el personal del área
usuaria o de informática sin la utilización de herramientas computacionales.
• Controles Automáticos: son generalmente los incorporados en el software,
llámense estos de operación, de comunicación, de gestión de base de datos,
programas de aplicación, etc.
 4.5.- Prueba de los controles.
Son pruebas que realiza el auditor con el objeto de conseguir evidencia que permita tener seguridad
razonable de que los controles internos establecidos por la empresa auditada están siendo aplicados
correctamente y son efectivos.
De acuerdo a la NIA 330: el auditor debe diseñar y ejecutar pruebas de control en caso de que:
El auditor tenga previsto confiar en la eficacia operativa de los controles y esto sea un factor que
determine la naturaleza y extensión de los procedimientos sustantivos.
Los procedimientos sustantivos por sí mismos no puedan proporcionar evidencia de auditoría
suficiente y adecuada.
Normalmente, en las pruebas de control se selecciona una muestra representativa de
transacciones para:
 Observar la operación de un procedimiento del control interno.

 Indagar sobre cómo y cuándo se desarrolló el procedimiento.

 Re-ejecutar la operación del procedimiento de control.