REPÚBLICA BOLIVARIANA DE VENEZUELA

INSTITUTO UNIVERSITARIO POLITÉCNICO

“SANTIAGO MARIÑO”
EXTENSIÓN CARACAS
INGENIERÍA DE SISTEMAS

AUDITORIA

Docente: Integrantes:
Aurimar Rodriguez
Meifer Llamas 14.123.926
Katiuska Ramírez 10.384.708
Daniel Zambrano 17.926.658

Caracas, Julio de 2013

Índice General
INTRODUCCION ................................................................................................................................. 4
NORMAS DE LA AUDITORIA.............................................................................................................. 5
NORMAS GENERALES DEL CONTROL PARA LA AUDITORIA DE SISTEMAS (CGR) .................... 6
NORMAS GENERALES PARA LA AUDITORÍA DE SISTEMAS DE INFORMACIÓN(ISACA) ............. 7
LEYES QUE RIGEN LA AUDITORIA INFORMÁTICA ......................................................................... 8
INSTITUCIONES QUE RIGEN LA AUDITORIA INFORMÁTICA.......................................................... 8
1. ISACA ....................................................................................................................................... 8
2. El IT Governance Institute® (ITGI®).......................................................................................... 9
3. La OAI ....................................................................................................................................... 9
DESARROLLARON CUATRO CERTIFICACIONES PROFESIONALES:......................................... 9
NORMAS Y ESTÁNDARES EDPAF (FUNDACIÓN DE AUDITORES DEL PROCESAMIENTO
ELECTRÓNICO DE DATOS). ............................................................................................................ 11
METODOLOGÍAS DESDE EL ENFOQUE DE CONTROL A NIVEL INTERNACIONAL. .................... 12
ISACA-COBIT ................................................................................................................................ 12
IFAC-NIA ........................................................................................................................................ 13
SAC................................................................................................................................................ 13
COSO ............................................................................................................................................ 14
RELACIÓN ENTRE COSO Y COBIT ............................................................................................. 14
REQUISITOS PARA SER UN AUDITOR ........................................................................................... 16
CONOCIMIENTOS GENERALES .................................................................................................. 17
HERRAMIENTAS ........................................................................................................................... 18
TÉCNICAS ..................................................................................................................................... 18
CODIGOS NACIONALES O INTERNACIONALES QUE RIGEN LA AUDITORIA .............................. 18
PRINCIPIOS DEONTOLÓGICOS APLICABLES A LOS AUDITORES INFORMÁTICOS ............... 20
PRINCIPIO DE BENEFICIO DEL AUDITADO ............................................................................ 20
PRINCIPIO DE CALIDAD ........................................................................................................... 20
PRINCIPIO DE CAPACIDAD ...................................................................................................... 20
PRINCIPIO DE CAUTELA .......................................................................................................... 21
PRINCIPIO DE COMPORTAMIENTO PROFESIONAL .............................................................. 21
PRINCIPIO DE CONCENTRACIÓN EN EL TRABAJO ............................................................... 21
PRINCIPIO DE CONFIANZA ...................................................................................................... 21
PRINCIPIO DE CRITERIO PROPIO ........................................................................................... 21
PRINCIPIO DE DISCRECIÓN .................................................................................................... 22
PRINCIPIO DE ECONOMÍA ....................................................................................................... 22

2
 PRINCIPIO DE FORTALECIMIENTO Y RESPETO DE LA PROFESIÓN ................................... 22
PRINCIPIO DE INDEPENDENCIA ............................................................................................. 22
PRINCIPIO DE INTEGRIDAD MORAL ....................................................................................... 23
PRINCIPIO DE LEGALIDAD ....................................................................................................... 23
PRINCIPIO DE NO DISCRIMINACIÓN....................................................................................... 23
PRINCIPIO DE RESPONSABILIDAD ......................................................................................... 23
CONCLUSION ................................................................................................................................... 24
BIBLIOGRAFIA .................................................................................................................................. 25

3
 INTRODUCCION

El continuo crecimiento de la dependencia hacia los sistemas tecnológicos que soportan

los procesos de negocio de las organizaciones, hacen que las organizaciones comprendan y
administren los riesgos asociados con la implantación y mantenimiento de las nuevas
tecnologías, cada vez más complejas y cambiantes.

La tecnología seguirá cambiando la forma de hacer negocios, la conectividad de

Internet entrando cada día más a nuestras vidas y cambiando la forma de hacer negocios

Estas nuevas tecnologías y la dinámica de cambio continuo que de ellas se deriva,

requieren una función de auditoría informática o de sistemas calificada, competente y
objetiva, que pueda entender y evaluar el riesgo en los sistemas de información y conlleve en
el mejoramiento del control interno, la eficacia de los procesos y la aplicación de MEJORES
PRACTICAS orientadas a una adecuada administración del riesgo tecnológico.

Revisión y evaluación de los Recursos Informáticos y de su ambiente.

La auditoria de los sistemas de información se define como cualquier auditoria que

abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los
sistemas automáticos de procesamiento de la información, incluidos los procedimientos no
automáticos relacionados con ellos y las interfaces correspondientes.

Recursos: Software, Hardware, Comunicaciones, Personal (Organización), Políticas y

Procedimientos, Controles y Seguridad

4
 NORMAS DE LA AUDITORIA

Las normas de Auditoría son las indicaciones que en forma obligatoria los auditores
tienen que cumplir en el desempeño de sus funciones de auditoría y presentan los requisitos
personales y profesionales del auditor, además de orientaciones para la uniformidad en el
trabajo con el propósito de lograr un buen nivel de calidad en el examen. Así mismo indican
lo concerniente a la elaboración del informe de auditoría. Las normas se clasifican en:
Capacidad Profesional: Establecen el ámbito y competencia de la auditoría, son de
naturaleza personal y están relacionadas con las cualidades morales, de conocimiento y
capacidad que debe tener el auditor y con la calidad en el trabajo de auditoría.

Objetividad e independencia: El auditor deberá estar libre de impedimentos e

influencias, mantener una actitud objetiva y absoluta independencia de criterios en la
elaboración del informe de su examen. La independencia objetiva y mental del auditor es la
exigencia y calidad más importante. La pérdida de tales condiciones elimina por completo la
validez de su informe y su cuestionamiento disminuye considerablemente su credibilidad.

Confidencialidad del trabajo de auditoría: El personal de auditoría mantendrá absoluta

reserva en el desempeño de sus funciones, aún después de haber concluido sus labores y
solo harán del conocimiento de su trabajo a su superior inmediato. En el caso de las
auditorías que se desarrollan en el Estado, la Constitución de la república obliga a la
Contraloría a hacer públicos los resultados.

Incompatibilidad de funciones: El personal de Auditoría no ejercerá ninguna labor

administrativa ni financiera en las entidades u organismos sujetos a su examen. Ni practicará
auditorias en lugares donde tenga intereses, ya sean económicos o personales.

Responsabilidad y cuidado profesional: Los auditores son responsables de cumplir

con todas las disposiciones legales y normativas existentes para el desarrollo de una
auditoría y emplear cuidadosamente su criterio profesional. Debe aplicar adecuadamente su
criterio para determinar el alcance de la auditoría, las técnicas y procedimientos de auditoría,
el equipo de trabajo y de elaborar o preparar los informes pertinentes.

5
 Designación de personal para la auditoria: Antes de iniciar una Auditoría o examen
especial, se designará por escrito, mediante una credencial, el equipo responsable de su
ejecución, el cual ejercerá su trabajo de acuerdo a los programas de auditoría elaborados y
preparados para ese fin.

Control de calidad: Se debe garantizar un adecuado control de calidad del trabajo, a

través de una supervisión constante del trabajo, de la preparación continua de los auditores,
capacitándolos y dándoles las herramientas necesarias para que puedan desarrollar su
trabajo sin presiones ni limitaciones.

NORMAS GENERALES DEL CONTROL PARA LA AUDITORIA DE

SISTEMAS (CGR)

6
NORMAS GENERALES PARA LA AUDITORÍA DE SISTEMAS DE INFORMACIÓN(ISACA)

Las normas promulgadas por la Asociación de Auditoría y Control de Sistemas de

Información son aplicables al trabajo de auditoría realizado por miembros de la Asociación de
Auditoría y Control de Sistemas de Información y por las personas que han recibido la
designación de Auditor Certificado de Sistemas de Información.

• S1 Estatuto:
• S2 Independencia
• S3 Ética y normas profesionales
• S4 Competencia profesional
• S5 Planeación
• S6 Realización de labores de auditoría
• S7 Reporte
• S8 Actividades de seguimiento
• S9 Irregularidades y acciones ilegales
• S10 Gobernabilidad de TI
• S11 Uso de la evaluación de riesgos en la planeación de auditoría
• S12 Materialidad de la auditoría
• S13 Uso del trabajo de otros expertos
7
• S14 Evidencia de auditoría
• S15 Controles de TI
• S16 Comercio electrónico

LEYES QUE RIGEN LA AUDITORIA INFORMÁTICA

1. El Decreto Nª 3390 fue realizado el 23 de Diciembre de 2004 y publicado en la gaceta

oficial nª 38.095 el 28/12/2004. "Artículo 5. El Ejecutivo Nacional fomentará la
investigación y desarrollo de software bajo modelo Software Libre desarrollado con
Estándares Abiertos, procurando incentivos especiales para desarrolladores."
2. DECRETO:Normas Generales de Auditoría de Estado Gaceta Oficial N° 40.172 del
22-05-13
3. DECRETO: Normas para la Ejecución de los Trabajos y Presentación de Resultados
por Auditores, (Gaceta Oficial Nº 39.827 del 23-12-11)
4. DECRETO: Lineamientos para la Organización y Funcionamiento de las Unidades de
Auditoría Interna. (Gaceta Oficial Nº 39.408 del 22-04-10)
5. LEY ORGÁNICA DE TELECOMUNICACIONES Publicada en Gaceta Oficial N°
36.970 de la República Bolivariana de Venezuela. Caracas, lunes 12 de junio de 2000
El reglamento de esta Ley podrá disponer que la solicitud se haga mediante
mecanismos electrónicos que garanticen su seguridad, privacidad y autenticidad.
6. Decreto con fuerza de ley nº , del de de 2.001, sobre mensajes de datos y firmas
electrónicas. Los Mensajes de Datos estarán sometidos a las disposiciones
constitucionales y legales que garantizan los derechos a la privacidad de las
comunicaciones y de acceso a la información personal.
7. Ley Especial Contra los Delitos Informáticos: La presente ley tiene por objeto la
protección integral de los sistemas que utilicen tecnologías de información, así como
la prevención y sanción de los delitos cometidos contra tales sistemas o cualquiera de
sus componentes o los cometidos mediante el uso de dichas tecnologías,

INSTITUCIONES QUE RIGEN LA AUDITORIA INFORMÁTICA

1. ISACA es el acrónimo de Information Systems Audit and Control Association

(Asociación de Auditoría y Control de Sistemas de Información), una asociación
internacional que apoya y patrocina el desarrollo de metodologías y certificaciones
8
 para la realización de actividades auditoría y control en sistemas de información.
RECONOCIMIENTO DE MARCAS COMERCIALES: COBIT es una marca registrada
de ISACA y el IT Governance Institute,.”COBIT es el acrónimo de Objetivos de Control
para la Información y Tecnologías Relacionadas. Es un estándar abierto para el
control y la seguridad de TI, y consta de 6 componentes: Resumen Ejecutivo ,
directrices de gestión , objetivos de control , COBIT Framework , Directrices para la
auditoría, y conjunto de herramientas de la aplicación .”
2. El IT Governance Institute® (ITGI®) (www.itgi.org) es una entidad sin fines de
lucro, de investigación independiente que proporciona orientación a la comunidad
mundial de negocios sobre temas relacionados con el gobierno empresarial de los
activos de TI. El ITGI fue establecido en 1998 por ISACA, asociación de miembros sin
fines de lucro. .
3. La OAI es un órgano de coordinación entre el Consejo General de Colegios de
Economistas de España y la Asociación de Doctores, Licenciados e Ingenieros en
Informática al servicio de la difusión y consolidación de la actividad de la Auditoría
Informática.

DESARROLLARON CUATRO CERTIFICACIONES PROFESIONALES:

• CISA - Certified Information Systems Auditor, certificación de auditores de sistemas de

información. Existen cerca de 90.000 personas certificadas (2012);
• CISM - Certified Information Security Manager, certificación de gestores de seguridad.
Existen cerca de 16.000 personas certificadas;
• CGEIT - Certified in the Governance of Enterprise IT, certificación de gestores de la
gobernanza empresarial TI. Existen cerca de 4.600 personas certificadas (2007);
• CRISC - Certified in Risk and Information Systems Control, certificación de gestores de
control

En lo que a su proyección internacional se refiere la OAI está vinculada con la ISACA

(InformationSystemAudit and Control Association) siendo un Capítulo (Chapter) de la
citada Asociación. Uno de los aspectos más relevantes de la OAI es el ayudar a
aquellos profesionales con el certificado internacional más prestigioso de auditor
informático:
9
"CertifiedInformationSystem Auditor" - CISA, emitido por la ISACA.

La "Information Systems Audit and Control Foundation", Inc. Fija el siguiente Código
de Ética Profesional para guiar la conducta profesional y personal de los miembros de
la Asociación y/o los poseedores del título de Auditor Certificado de Sistemas de
Información.

Los Auditores Certificados de Sistemas de Información deberán:

Apoyar el establecimiento y el cumplimiento de normas, procedimientos y controles de

sistemas de información.

Cumplir las Normas de Auditoría de Sistemas de Información según las adopte la

Fundación para Control y Auditoría de Sistemas de Información.

Actuar en interés de sus empleadores, accionistas, clientes y público en general en

forma diligente, leal y honesta y no contribuir a sabiendas en actividades ilícitas o
incorrectas.

Mantener la confidencialidad de la información obtenida en el curso de sus deberes.

La información no deberá ser utilizada en beneficio propio o divulgada a terceros no
legitimados.

Cumplir con sus deberes en forma independiente y objetiva y evitar toda actividad que
comprometa o parezca comprometer su independencia.

Mantener su capacidad en los campos interrelacionados a la auditoría y sistemas de

información mediante la participación en actividades de capacitación profesional.

Ejercer sumo cuidado al obtener y documentar material suficiente sobre el cual basar
sus conclusiones y recomendaciones.

Informar a las partes involucradas del resultado de las tareas de auditoría que se
hayan realizado.

Apoyar la entrega de conocimientos a la gerencia, clientes y al público en general para

mejorar su comprensión de la auditoría y los sistemas de información.

10
 Mantener altos estándares de conducta y carácter tanto en las actividades
profesionales como en las privadas.

NORMAS Y ESTÁNDARES EDPAF (FUNDACIÓN DE AUDITORES DEL

PROCESAMIENTO ELECTRÓNICO DE DATOS).

La Fundación de Auditores Informáticos, (EDPAF) propone las siguientes diez normas

generales que deberían encuadrar el que hacer de los auditores en lo referente a
independencia, competencia técnica, realización de los trabajos e informes:

1. Actitud y apariencia: En todas las cuestiones relacionadas con la auditoría, el Auditor de

SI debe ser independiente de quien es auditado en actitud y apariencia.

2. Relación en la organización: La función Auditoría de SI ha de estar lo suficientemente

independiente del área que se audita para permitir una realización objetiva de la auditoría.

3. Código de ética profesional: El Auditor debe cumplir el Código de Ética Profesional de la

EDPAF.

4. Destreza y conocimientos: El Auditor de SI ha de ser competente técnicamente, con las

destrezas y conocimientos necesarios para la realización de tareas de auditoría.

5. Educación profesional permanente: El Auditor de Si ha de mantener su competencia

técnica por medio de la correspondiente educación permanente.

6. Planificación y supervisión: Las Auditorias de SI han de ser planificadas y supervisadas

para brindar seguridad de que se alcanzan los objetivos de auditoría y se cumplen estas
normas.

7. Exigencia de evidencia: Durante la realización de la Auditoría, el Auditor de Si ha de

11
obtener evidencia que por su naturaleza y suficiencia respalden los hallazgos y conclusiones
informadas.

8. Debido cuidado profesional: Debe observarse el debido cuidado profesional en todos los
aspectos de la tarea del Auditor de SI, incluyendo el cumplimiento de las normas de auditoría
aplicables.

9. Informe de la extensión de la auditoria: Al preparar los informes, el Auditor de Sí debe

expresar los objetivos de la auditoría, el período que cubre y la naturaleza y extensión de las
tareas llevadas a cabo.

10. Informe de los hallazgos y conclusiones: Al preparar los informes, el Auditor de SI ha

de expresar las observaciones y conclusiones respecto de las tareas de auditoría llevadas a
cabo, y cualquier reserva o salvedad que el auditor tenga respecto de la auditoría.

METODOLOGÍAS DESDE EL ENFOQUE DE CONTROL A NIVEL

INTERNACIONAL.

Algunas de las más importantes para los profesionales de la contabilidad y la auditoría

son:

• ISACA (COBIT)
• COSO
• IFAC (NIA)
• SAC

ISACA-COBIT

TheInformationSystemsAudit and Control Foundation,ISACA Es la asociación líder en

Auditoría de Sistemas, con 23.000 miembros en 100 países.

12
 ISACA propone la metodologíaCOBIT ® (Control Objectives for Information and related
Technology). Es un documento realizado en el año de 1996 y revisado posteriormente,
dirigido a auditores, administradores y usuarios de sistemas de información, que tiene como
objetivos de control la efectividad y la eficiencia de las operaciones; confidencialidad e
integridad de la información financiera y el cumplimiento de las leyes y regulaciones.

IFAC-NIA

La Federación Internacional de Contables IFAC, emitió las Normas Internacionales de

Auditoría NIA 15, 16 y 20 en 1991.

IFAC muestra en la NIA 15 (Auditoría en Entornos Informatizados) una referencia de

controles para procesamiento electrónico de datos y la necesidad de estos cuando estamos
en ambientes donde los instrumentos tradicionales del papel y demás pistas de auditoría no
son visibles para los contables en el momento de realizar su trabajo.

La NIA 16 (Técnicas de Auditoría Asistida por Computador) describe técnicas y

procedimientos de auditoría que se pueden hacer en entornos informatizados con ayuda de
los computadores y otras tecnologías.

La NIA 20 nos presenta los efectos de un entorno informatizado en la evaluación de

sistemas de información contables. Junto con las demás normas da una guía al auditor de
los controles en general a tener en cuenta en un ambiente informatizado y en las
aplicaciones que procesan la información, así como técnicas de auditoría asistidas por
computador y su importancia.

SAC

The Institute of Internal Auditors Research Foundation’s Systems Auditability and

Control (SAC).

Realizado en 1991 y revisado posteriormente. Ofrece una guía de estándares y controles

para los auditores internos en el área de auditoría de sistemas de información y tecnología.
Tiene como objetivos de control la efectividad y eficiencia de las operaciones, la integridad de
la información financiera y el cumplimiento de normas y regulaciones que explica en el
ambiente de control, sistemas manuales y automatizados y procedimientos de control.
13
COSO

The Committee of Sponsoring Organizations of the Treadway Commission’s Internal

Control – Integrated Framework (COSO).

Publicado en 1992 hace recomendaciones a los contables de gestión de cómo

evaluar, informar e implementar sistemas de control, teniendo como objetivo de control la
efectividad y eficiencia de las operaciones, la información financiera y el cumplimiento de las
regulaciones que explica en los componentes del ambiente de control, valoración de riesgos,
actividades de control, información y comunicación, y el monitoreo.

RELACIÓN ENTRE COSO Y COBIT

La relación que existe es que ambos son modelos de control interno y además son los
más difundidos en la actualidad.

El Informe COSO(COMMITTEE OF SPONSORING ORGANIZATIONS), es un documento

que contiene las principales directrices para la implementación, gestión y control de un
sistema de Control Interno. Este informe surgió como respuesta a las inquietudes que
planteaban la diversidad de conceptos, definiciones e interpretaciones en torno al Control
Interno.

En la actualidad existen dos versiones del dicho informe, la primera de 1992 y la segunda
del año 2004.

El informe C.O.S.O consta de dos partes:

• En un resumen para la Dirección, que introduce los principales conceptos de

Control Interno.

• Un Marco Integrado de Referencia, donde se analizan los cinco principios del

Control Interno: Entorno de Control, Evaluación de Riesgos, Actividades de Control,
Información y Comunicación y Supervisión.

Los principales aportes del Informe C.O.S.O:

14
 • Tener una definición en común de Control Interno, que contemple las mejores
prácticas en la materia.
• Facilita un modelo en cual las organizaciones pueden evaluar su sistema de
Control Interno.
• Logra que el Control Interno, sea algo habitual en la empresa y que no sea
concebido como un formalismo.
• Se destaca la referencia explícita a que el control interno es parte del proceso
gerencial y no algo ajeno a él, colocado “por fuera” como un agregado, destinado sólo
a evitar posibles fraudes que perjudiquen el patrimonio empresarial o errores
contables y problemas que conspiran contra la exactitud de la información contable.
• Otro aporte es el sistematizar en una estructura a los controles que antes del
Informe C.O.S.O, se venían aplicando en las organizaciones de una manera
desvinculada una de otro.
• También, aporta en integrar metodologías y conceptos en todos los niveles de
las diversas áreas administrativas y operativas.

El COBIT(Control ObjectivesforInformation and Related Technologies) es un marco

de referencia para el control interno de IT, diseñado en parte sobre el esquema del Informe
COSO.

La primera diferencia es que le COSO está enfocado a toda la organización, mientras que
el COBIT se centra en el entorno IT.

La segunda es que el COBIT contempla de forma específica la seguridad de la

información como uno de sus objetivos, lo que el COSO no hace.

Por último el modelo de control interno que presenta el COBIT es más completo, en su
campo, a comparación con el COSO, pues contempla políticas, procedimientos y estructuras
organizativas, además de procesos para definir el modelo de control interno.

En resumen, mientras COSO es el marco conceptual del control interno de los procesos
financieros, y COBIT su complemento.

15
 REQUISITOS PARA SER UN AUDITOR

El ser auditor requiere de una serie de habilidades y destrezas además de un gran

conocimiento en diversas áreas. Debido a que usualmente los empleadores reconocen la
experiencia técnica y funcional basada en los dos requisitos mencionados anteriormente, es
importante que usted sepa y comprenda algunas características fundamentales. Sin
embargo, estas son sólo cualidades generales para el puesto de auditor, y no siempre son
imprescindibles.

Los auditores tienen que estar familiarizados con las matemáticas para solucionar
problemas, emplear la razón y la lógica para reconocer las ventajas y desventajas de las
soluciones alternativas y el enfoque de los problemas. También tienen que estar listos para
reconocer los indicadores del rendimiento de los sistemas usados y estar preparados para
tomar las medidas necesarias para mejorar o corregir el rendimiento con relación en los
objetivos para el sistema.

Son habilidades necesarias para este trabajo ponerse de acuerdo con otros para comunicar
la información eficazmente y entender oraciones escritas y párrafos relacionados al
trabajo. Además, ellos tienen que monitorear y evaluar su propio rendimiento, el de otros
empleados y el de las organizaciones para hacer mejoras y corregir lo que sea necesario.

Los auditores deben reconocer los problemas complejos y evaluar la información relacionada
para desarrollar y revisar las opciones e implementar soluciones. Un auditor siempre debe
prestar absoluta atención a lo que otros dicen, tomarse el tiempo para entender los
enunciados, hacer preguntas cuando corresponda, y no interrumpir en momentos
inapropiados.

También se requiere que los auditores tengan conocimientos en diferentes campos,

especialmente sobre los principios y prácticas de economía, contabilidad, banca, mercados
financieros, y análisis y reportes de información financiera. El auditor tiene que saber
aritmética, álgebra, cálculo, estadística, geometría, y sus aplicaciones respectivas, así como
también de los principios de administración y negocios relacionados a planeamientos

16
estratégicos, recursos humanos, asignación de recursos, coordinación de recursos y
personal, técnicas de liderazgo, y métodos de producción.

Asimismo, se le recomienda a los auditores que estén familiarizados con la estructura y el

contenido del idioma inglés, incluyendo significado, escritura, reglas de composición, y
gramática, además de códigos legales, leyes, procedimientos de los juzgados y las cortes,
ordenes ejecutivas, regulaciones gubernamentales, reglas administrativas y el proceso
político democrático.

CONOCIMIENTOS GENERALES

1. Todo tipo de conocimientos tecnológicos, de forma actualizada y especializada respecto

a las plataformas existentes en la organización;
2. Normas estándares para la auditoría interna;
3. Políticas organizacionales sobre la información y las tecnologías de la información.
4. * Características de la organización respecto a la ética, estructura organizacional, tipo de
supervisión existente, compensaciones monetarias a los empleados, extensión de la
presión laboral sobre los empleados, historia de la organización, cambios recientes
en la administración, operaciones o sistemas, la industria o ambiente competitivo en la
cual se desempeña la organización, aspectos legales.
17
HERRAMIENTAS
* Herramientas de control y verificación de la seguridad;
* Herramientas de monitoreo de actividades, etc.

TÉCNICAS
* Técnicas de Evaluación de riesgos
* Muestreo
* Cálculo pos operación
* Monitoreo de actividades
* Recopilación de grandes cantidades de información
* Verificación de desviaciones en el comportamiento de la data;
* Análisis e interpretación de la evidencia, etc.

CODIGOS NACIONALES O INTERNACIONALES QUE RIGEN LA AUDITORIA

1. A este respecto, en 1995 el International Accounting Standards Committee (IASC),

2. Actualmente International Accounting Standards Board (IASB)
3. Las Normas Internacionales de Contabilidad (NIC)
4. Las Normas Internacionales de InformaciónFinanciera (NIIF),
5. Electronic Data Procesing Auditors Foundation (EDPAF), cuyos objetivos van
enfocados a determinar la evaluación y fiabilidad de los controles
6. El ICAC publica la Norma Técnica de Auditoría sobre «la auditoría de cuentas en
entornos informáticos» mediante Resolución de 23 de junio de 2003 (BOICAC, n.º 54).
7. El Financial Accounting Standards Board (FASB) (el órgano emisor de las normas
contables norteamericanas) con el que se pretende una convergencia entre ambos
cuerpos de normas en el año 2010.

Los últimos cambios introducidos en el área de la auditoría se acometen a través de la

aprobación de la Ley 12/2010, con el objeto de: adaptar la legislación interna española
a la Directiva comunitaria 2006/43 CE, alcanzar una mayor armonización para el ejercicio
de la actividad de la auditoría en el ámbito de la Unión Europea, así como los principios
18
que deben regir el sistema de supervisión pública; además de recoger las reformas en la
legislación mercantil recientemente producida. La Ley 12/2010 de 30 de junio, introduce
modificaciones en: la Ley 19/1988, de 12 de julio de Auditoría de cuentas, la Ley
24/1988, del Mercado de Valores y el texto refundido de la Ley de Sociedades Anónimas
aprobado por RDL 1564/1989.

Todas estas normas, tanto las emitidas por instituciones profesionales como las demás,
forman la caja de herramientas del auditor de sistemas informáticos.

• Las NIAS
• Las Normas Internacionales de Auditoría son la base para realizar la práctica
de auditoría.
• Si se observa los diferentes países existen normas de contabilidad, que se
aplican en cada país. Para que exista un marco común en normas de
contabilidad entre los diferentes países, están las NIC. Normas Internacionales
de Contabilidad. Con lo cual se asegura que se siguen ciertas normas para
evaluar los activos, pasivos, patrimonio, y demás cuentas, así como también en
materia de exposición de los estados contables. De esta manera también
existen las NIA.
• Las NAGAS
• Las normas de Auditoría Generalmente aceptadas y cada país las regula por
sus leyes y normas. Las normas de auditoría constituyen los principios y
requisitos que debe seguir el auditor en el desempeño de su función.
• Si el auditor sigue estas normas, se estará garantizando los requisitos mínimos
de calidad que deben exigirse al auditor en cuanto a:
• a) Características personales del Auditor
• B) Realización del trabajo
c) Informe que emite
• Complementos y Diferencias de NIAS y NAGAS
• Las normas de auditoria contienen las reglas básicas que el auditor debe seguir
de manera estricta en la realización de una auditoría, revisoría fiscal o en el
examen de estados financieros.

19
 • Las normas de auditoria generalmente aceptadas, se relacionan con las
cualidades profesionales del Contador Público, con el empleo de su buen juicio
en la ejecución de su examen y en su informe referente al mismo.

PRINCIPIOS DEONTOLÓGICOS APLICABLES A LOS AUDITORES INFORMÁTICOS

Los principios deontológicos aplicables a los auditores deben necesariamente estar en

consonancia con los del resto de profesionales y especialmente con los de aquellos cuya
actividad presente mayores concomitancias con la de la auditoría, razón por la cual, en
equivalencia con los principios deontológicos adoptados por diferentes colegios y
asociaciones profesionales de nuestro entorno socio-cultural, y sin ánimo de exhaustividad,
se pueden indicar como básicos, en un orden meramente alfabético y ajeno, por tanto, a
cualquier ponderación de importancia, los siguientes:

PRINCIPIO DE BENEFICIO DEL AUDITADO

El auditor deberá ver cómo se puede conseguir la máxima eficacia y rentabilidad de los
medios informáticos de la empresa auditada, estando obligado a presentar recomendaciones
acerca del reforzamiento del sistema y el estudio de las soluciones más idóneas según los
problemas detectados en el sistema informático de esta última, siempre y cuando las
soluciones que se adopten no violen la ley ni los principios éticos de las normas
deontológicas.

PRINCIPIO DE CALIDAD

El auditor deberá prestar sus servicios a tenor de las posibilidades de la ciencia y medios a
su alcance con absoluta libertad respecto a la utilización de dichos medios y en unas
condiciones técnicas adecuadas para el idóneo cumplimiento de su labor.

PRINCIPIO DE CAPACIDAD

El auditor debe estar plenamente capacitado para la realización de la auditoría

encomendada, máxime teniendo en cuenta que, en la mayoría de los casos, dada su
20
especialización, a los auditados en algunos casos les puede ser extremadamente difícil
verificar sus recomendaciones y evaluar correctamente la precisión de las mismas.

PRINCIPIO DE CAUTELA

El auditor debe en todo momento ser consciente de que sus recomendaciones deben
estar basadas en la experiencia contrastada que se le supone tiene adquirida, evitando que,
por un exceso de vanidad, el auditado se embarque en proyectos de futuro fundamentados
en simples intuiciones sobre la posible evolución de las nuevas tecnologías de la
información.

PRINCIPIO DE COMPORTAMIENTO PROFESIONAL

El auditor, tanto en sus relaciones con el auditado como con terceras personas, deberá, en
todo momento, actuar conforme a las normas, implícitas o explícitas, de dignidad de la
profesión y de corrección en el trato personal.

PRINCIPIO DE CONCENTRACIÓN EN EL TRABAJO

En su línea de actuación, el auditor deberá evitar que un exceso de trabajo supere sus
posibilidades de concentración y precisión en cada una de las tareas a él encomendadas, ya
que la saturación y dispersión de trabajos suele a menudo, si no está debidamente
controlada, provocar la conclusión de los mismos sin las debidas garantías de seguridad.

PRINCIPIO DE CONFIANZA

El auditor deberá facilitar e incrementar la confianza del auditado en base a una actuación
de transparencia en su actividad profesional sin alardes científico-técnicos que, por su
incomprensión, puedan restar credibilidad a los resultados obtenidos y a las directrices
aconsejadas de actuación.

PRINCIPIO DE CRITERIO PROPIO

21
 El auditor durante la ejecución de la auditoría deberá actuar con criterio propio y no
permitir que éste esté subordinado al de otros profesionales, aun de reconocido prestigio,
que no coincidan con el mismo.

PRINCIPIO DE DISCRECIÓN

El auditor deberá en todo momento mantener una cierta discreción en la divulgación de

datos, aparentemente inocuos, que se le hayan puesto de manifiesto durante la ejecución de
la auditoría.

PRINCIPIO DE ECONOMÍA

El auditor deberá proteger, en la medida de sus conocimientos, los derechos económicos

del auditado evitando generar gastos innecesarios en el ejercicio de su actividad.

PRINCIPIO DE FORTALECIMIENTO Y RESPETO DE LA PROFESIÓN

La defensa de los auditados pasa por el fortalecimiento de la profesión de los auditores

informáticos, lo que exige un respeto por el ejercicio, globalmente considerado, de la
actividad desarrollada por los mismos y un comportamiento acorde con los requisitos
exigibles para el idóneo cumplimiento de la finalidad de las auditorías.

PRINCIPIO DE INDEPENDENCIA

Este principio, muy relacionado con el principio de criterio propio, obliga al auditor, tanto si
actúa como profesional externo o con dependencia laboral respecto a la empresa en la que
deba realizar la auditoría informática, a exigir una total autonomía e independencia en su
trabajo, condición ésta imprescindible para permitirle actuar libremente según su leal saber y
entender.

22
 PRINCIPIO DE INTEGRIDAD MORAL

Este principio, inherentemente ligado a la dignidad de persona, obliga al auditor a ser

honesto, leal y diligente en el desempeño de su misión, a ajustarse a las normas morales, de
justicia y probidad, y a evitar participar, voluntaria o inconscientemente, en cualesquiera
actos de corrupción personal o de terceras persona.

PRINCIPIO DE LEGALIDAD

En todo momento el auditor deberá evitar utilizar sus conocimientos para facilitar, a los
auditados o a terceras personas, la contravención de la legalidad vigente.

PRINCIPIO DE NO DISCRIMINACIÓN

El auditor en su actuación previa, durante y posterior a la auditoría, deberá evitar inducir,

participar o aceptar situaciones discriminatorias de ningún tipo, debiendo ejercer su actividad
profesional sin prejuicios de ninguna clase y con independencia de las características
personales, sociales o económicas de sus clientes.

PRINCIPIO DE RESPONSABILIDAD

El auditor deberá, como elemento intrínseco de todo comportamiento profesional,

responsabilizarse de lo que haga, diga o aconseje, sirviendo esta forma de actuar como
cortapisa de injerencias extraprofesionales.

23
 CONCLUSION

La auditoria de Sistemas debe hacerse por profesionales expertos, una auditoria mal
hecha puede acarrear consecuencias drásticas para la empresa auditada, principalmente
económicas.
El auditor de sistemas también tiene que correr para estar bien capacitado, necesita
recursos de conocimiento al alcance de su mano, el éxito logrado es mejor aun si es
acreditado por un tercero reconocido.

Por otro lado, la incorporación del estándar COBIT y la norma técnica ISOes una fortaleza
que ayuda a los auditores a orientarse de mejor forma respecto a los requisitos del
negocio que tienen relación con el uso de la tecnología. Cada día surgen nuevas
tendencias y productos que aparentemente ayudan a cumplir de forma más eficiente y
eficaz los objetivos planteados por la organización pero que, por otro lado, aumentan la
complejidad con la cual deben lidiar los directores y ejecutivos a cargo de la
administración.

El nivel de complejidad con el cual deben convivir las organizaciones ha aumentado en

los últimos años a raíz de la explosiva masificación del uso de sistemas de información
que soportan la mayoría los procesos del negocio. La adopción de nuevas tecnologías al
interior de una organización impacta directamente en la manera de hacer las cosas,
siendo común encontrar una gran cantidad de proyectos que fracasan debido a la
resistencia al cambio que manifiestan los empleados y usuarios en la organización.

Ahora bien, si esta problemática fuese abordada por auditores que conocen y entienden
los problemas y desafíos que conlleva el uso de tecnologías de información, la realidad
actual que viven los servicios públicos podría mejorar de manera positiva.

24
 BIBLIOGRAFIA

Guía COFAE: Instituto de Altos Estudios de Control fiscal y auditoria del Estado
Fcunacion “Gumersindo Torres”, Contraloria General de la Republica.

http://www.slideshare.net/cavv1420/decreto-3390-uso-del-software-libre-en-la-administracin-
pblica-de-venezuela
http://www.tsj.gov.ve/legislacion/dmdfe.htm

http://delitosinformaticos.com/legislacion/venezuela.shtml

25