TRABAJO DE AUDITORIA DE SISTEMAS

GRUPO 4

ADRIANA MILENA ALARCÓN BAUTISTA Cód. 1134428

ANDREA BARRAGÁN Cód. 66-059697
ANA MARCELA CHINOME AVELLANEDA Cód. 1131634
JUAN DANIEL FONSECA Cód. 1124416
NESTOR MAURICIO FRESNO PIRABAGUEN Cód. 1126267
CYNDY GISELLA MARTÍNEZ RUÍZ Cód. 1124444
YULI LISBETH PACHECO Cód. 66-064580
ANA VICTORIA ORTIZ ORTIZ Cód. 1126205

UNIVERSIDAD PEDAGODICA Y TECNOLOGICA DE COLOMBIA

FACULTAD DE CIENCIAS ECONOMICAS Y ADMINISTRATIVAS
ESCUELA DE CONTADURIA PÚBLICA
TUNJA
2012
 TRABAJO DE AUDITORIA DE SISTEMAS
GRUPO 4

ADRIANA MILENA ALARCÓN BAUTISTA Cód. 1134428

ANDREA BARRAGÁN Cód. 66-059697
ANA MARCELA CHINOME AVELLANEDA Cód. 1131634
JUAN DANIEL FONSECA Cód. 1124416
NESTOR MAURICIO FRESNO PIRABAGUEN Cód. 1126267
CYNDY GISELLA MARTÍNEZ RUÍZ Cód. 1124444
YULI LISBETH PACHECO Cód. 66-064580
ANA VICTORIA ORTIZ ORTIZ Cód. 1126205

Trabajo presentado al Contador Público Luis Edgar Rodríguez en la

signatura de Auditoria de Sistemas.

UNIVERSIDAD PEDAGODICA Y TECNOLOGICA DE COLOMBIA

FACULTAD DE CIENCIAS ECONOMICAS Y ADMINISTRATIVAS
ESCUELA DE CONTADURIA PÚBLICA
TUNJA
2012
 OBJETIVO GENERAL

Conocer los conceptos propios usados dentro de la auditoria de sistemas y

sus enfoques y así determinar su aplicación práctica dentro del ejercicio del
contador público.

OBJETIVOS ESPECIFICOS

Contextualizar la realidad de la auditoria informática dentro del

ejercicio contable.

Investigar términos relacionados con la auditoria informática.

Comprender la planeación de una auditoria de sistemas desde un

punto de partida, su enfoque frente al PED.

Conocer los estándares generales para la auditoria de sistemas.

Comprender el resultado final de una auditoria financiera.

 TABLA DE CONTENIDO

INTRODUCCIÓN 6
1. ENFOQUES DE AUDITORIA PARA PROBAR EL PED 7
2. TIPOS DE PRUEBAS EN AUDITORIA DE SISTEMAS 10
3. ALCANCE DE LAS PRUEBAS DE AUDITORIA 15
4. ENFOQUE DE LA AUDITORIA PAR LOS SISTEMAS DE
APLICACIÓN 18
5. PROCEDIMIENTO DE SISTEMAS PARA SU FUNCIONAMIENTO 19
6. PROCEDIMIENTOS DE AUDITORIA PARA CENTROS DE
SERVICIO DE COMPUTADOR 26
7. ESTANDARES GENERALES DE AUDITORIA DE SISTEMAS DE
INFORMACIÓN 34
8. NECESIDADES DE LAS EMPRESAS 50
9. FLEXIBILIDAD DE CAMBIO EN AUDITORIA FINANCIERA 51
10. RESULTADOS Y ANALISIS 52
CONCLUSIONES 53
 JUSTIFICACIÓN

Los avances constantes que se producen gracias a la globalización hacen

que el desarrollo tecnológico sea un arma de doble filo frente al desarrollo de
la información contable y financiera en una entidad.

Así el panorama, descubrimos que dentro de estos cambios, va surgen la

necesidad de defender los sistemas de información frente a posibles
amenazas que se producen gracias al contante acoso de hakers y terceros
interesados en obtener información informática a cualquier precio.

Por eso los auditores y revisores fiscales deben perfeccionar constantemente

sus métodos de defensa y llevar a las entidades por un camino mediante el
cual, el desarrollo de sistemas de protección de información sea una
responsabilidad de cada miembro que tiene que ver con el manejo de dicha
información y asi crear conciencia frente al delicado e importante papel que
tiene los datos financieros de una entidad.

Este trabajo se desarrolla dentro de este entorno e invita a implementar la

protección de la información de cada entidad, observando la necesidad de
analizar este tipo de protección y el método con que se realiza por el bien de
cada ente económico.
 INTRODUCCIÓN

Este trabajo lleva por el camino de la auditoria informática desarrollada a

través del análisis de cada empresa como una entidad única en la cual debe
crearse un plan de trabajo único y aplicado a las necesidades de cada ente.

Por ello, se busca mediante esta la investigación el desarrollo de conceptos

que se lleven a la práctica por medio del conocimiento que se tiene frente a
los enfoques de auditoria, su desarrollo en un empresa, los procedimientos
que se deben llevar a cabo para el desarrollo de la auditoria en sí, el
conocimiento de estándares generales de auditoria, las necesidades de las
empresas frente al desarrollo de la auditoria informática y el análisis de datos
resultado del proceso de auditoria informática en una empresa.

Todo esto para consolidar el desarrollo del conocimiento frente a la

asignatura de Auditoria de sistemas y lograr exponer este tema de forma
clara ante un auditorio.
 1. ENFOQUES DE AUDITORIA PARA PROBAR EL PED

Los enfoques de auditoría que se utilizan en ambientes en los que una parte
significativa de los procesos administrativos son procesados
electrónicamente han evolucionado con el tiempo. Se pueden clasificar así:

a. Enfoque tradicional o externo: Consiste en realizar los

procedimientos de verificación utilizando los datos de entrada al
sistema y someter estos datos al proceso lógico que se realiza
en esa etapa específica de procesamiento. Con estos
elementos se obtienen datos de salida procesados
manualmente; se comparan con los generados por el sistema y
se concluye si el procesamiento electrónico llega a resultados
razonables (por muestreo).

b. Enfoque moderno: consiste en realizar los procedimientos de

verificación del correcto funcionamiento de los procesos
computarizados “utilizando la computadora”  se seleccionan
técnicas de auditoría que controlan la forma en que la aplicación
contable computarizada funciona. Las técnicas son variadas pero
todas ellas tienen en común que no consideran el procedimiento como
una “caja negra”. Consisten en revisar pasos de programas, la lógica
del lenguaje utilizado, re-procesar una serie de operaciones a través
del propio sistema computarizado, etc.

También encontramos los enfoques de auditoria para sistemas de aplicación

de la siguiente forma.

c. Para sistemas existentes (aplicaciones en producción)

a. Si el auditor no estuvo ivolucrado en el desarrollo de la aplicación:
Se busca el uso de herramientas aplicables “después del evento”,
paquetes, ITF, Datos de Prueba, caso base, simulación paralela
entre otros. El auditor se encuentra con manuales, generalmente
anticuados e inactualizados frente a los cuales se deben
desarrollar nuevas herramientas de trabajo ya que es un trabajo
realizado por otros auditores o nunca adaptado para los trabajos
de una auditoria.
b. El auditors estuvo involucrado en el desarrollo de la aplicación: En
este caso el auditor emplea provisiones de Auditabilidad
construidas como parte del sistema, con un enfoque de momento,
on-line simultaneo, y sigue complementando y nutriendo el trabajo
de auditoria con técnicas aplicables para después del evento.
 d. Para nuevos sistemas:
a. Plan de auditabilidad externa para los sistemas de aplicación: Que
tiene un enfoque después del evento y a su vez un enfoque al
momento, simulación paralela, no encajada, pero simultánea.
b. Creación de auditabilidad en el sistema de módulos incorporados y
componentes dinámicos: Se maneja un sistema de auditoria por
computador, con módulos incorporados, registros extendidos, ITF,
señalización y rastreo (snapshot y trasing), sistemas duales entre
otros.

e. Auditoria Alrededor Del Computador: En este enfoque de auditoría,

los programas y los archivos de datos no se auditan. La auditoría
alrededor del computador concentra sus esfuerzos en la entrada de
datos y en la salida de información. Es el más cómodo para los
auditores de sistemas, por cuanto únicamente se verifica la
efectividad del sistema de control interno en el ambiente externo de
la máquina. Naturalmente que se examinan los controles desde el
origen de los datos para protegerlos de cualquier tipo de riesgo que
atente contra la integridad, completitud, exactitud y legalidad.
La auditoría alrededor del computador concentra sus esfuerzos en la
entrada de datos y en la salida de información. Es el más cómodo
para los auditores de sistemas, por cuanto únicamente se verifica la
efectividad del sistema de control interno en el ambiente externo de
la máquina. Naturalmente que se examinan los controles desde el
origen de los datos
para protegerlos de cualquier tipo de riesgo que atente contra la
integridad, completitud, exactitud y legalidad.

f. Auditoria A Través Del Computador: Este enfoque está orientado a

examinar y evaluar los recursos del software, y surge como
complemento del enfoque de auditoría alrededor del computador, en
el sentido de que su acción va dirigida a evaluar el sistema de
controles diseñados para minimizar los fraudes y los errores que
normalmente tienen origen en los programas.

Este enfoque es más exigente que el anterior, por cuanto es

necesario saber con cierto rigor, lenguajes de programación o
desarrollo de sistemas en general, con el objeto de facilitar el
proceso de auditaje.
 Este enfoque está orientado a examinar y evaluar los recursos del
software, y surge como complemento del enfoque de auditoría
alrededor del computador, en el sentido de que su acción va dirigida
a evaluar el sistema de controles diseñados para minimizar los
fraudes y los errores que normalmente tienen origen en los
programas.
Este enfoque es más exigente que el anterior, por cuanto es
necesario saber con cierto rigor, lenguajes de programación o
desarrollo de sistemas en general, con el objeto de facilitar el
proceso de auditaje.

g. Auditoria Con El Computador: Este enfoque va dirigido

especialmente, al examen y evaluación de los archivos de datos en
medios magnéticos, con el auxilio del computador y de software de
auditoría generalizado y /o a la medida. Este enfoque es
relativamente completo para verificar la existencia, la integridad y la
exactitud de los datos, en grandes volúmenes de transacciones.

Este enfoque va dirigido especialmente, al examen y evaluación de

los archivos de datos en medios magnéticos, con el auxilio del
computador y de software de auditoría generalizado y /o a la medida.

Este enfoque es relativamente completo para verificar la existencia,

la integridad y la exactitud de los datos, en grandes volúmenes de
transacciones. La auditoría con el computador es relativamente fácil
de desarrollar porque los programas de auditoría vienen
documentados de tal manera que se convierten en instrumentos de
sencilla aplicación.
 2. TIPOS DE PRUEBAS EN AUDITORIA DE SISTEMAS

a. PRUEBAS DE AUDITORIA DE SISTEMAS A TRAVEZ DE LA

HISTORIA

La Auditoría de los Sistemas de Información ha surgido cuando las empresas

e instituciones han tomado conciencia de que la información que adquieren,
conservan, procesan y emiten, es vital para su propia supervivencia diaria y
proyección de progreso.

Por tanto, han elevado a la categoría de sistemas críticos prácticamente

todos los sistemas internos que manejan información, agregándolos en uno
solo denominado sistema de información. En consecuencia, por su
naturaleza crítica, el enfoque de auditoría debe adoptar una perspectiva que
se adecue absolutamente a estos sistemas, sea mediante la transformación
de métodos, técnicas y procedimientos de la auditoría tradicional, o sea
mediante la creación de unos nuevos.

A principios de los años 80, se empieza a aplicar técnicas de tratamiento de

la información por medio de ordenadores, como apoyo a la labor de los
auditores. El auditor de sistemas de información empieza a ser también
experto en el uso de lenguajes informáticos que le sirven para escribir,
compilar y ejecutar programas para la consecución de pruebas y obtención
de evidencia. Surge de este modo la denominada auditoría con el ordenador.

En la misma década se empieza a aplicar los principios básicos de la

auditoría operativa a la auditoría de los sistemas de información, dando lugar
a la auditoría operativa de proceso de datos, que se centra principalmente en
la eficacia y eficiencia del tratamiento automático de los datos.

b. EL PROCESO DE AUDITORIA

La práctica de la Auditoria se divide en tres fases:

1- Planeación
2- Ejecución
3- Informe
Primera Fase Planeación: En esta fase se establecen las relaciones entre
auditores y la entidad, para determinar alcance y objetivos. Se hace un
bosquejo de la situación de la entidad, acerca de su organización, sistema
contable, controles internos, estrategias y demás elementos que le permitan
al auditor elaborar el programa de auditoría que se llevará a efecto.

Segunda fase Ejecución: En esta fase se realizan diferentes tipos de pruebas

y análisis a los estados financieros para determinar su razonabilidad. Se
detectan los errores, si los hay, se evalúan los resultados de las pruebas y se
identifican los hallazgos. Se elaboran las conclusiones y recomendaciones y
se las comunican a las autoridades de la entidad auditada.

Aunque las tres fases son importantes, esta fase viene a ser el centro de lo
que es el trabajo de auditoría, donde se realizan todas las pruebas y se
utilizan todas las técnicas o procedimientos para encontrar las evidencias de
auditoría que sustentarán el informe de auditoría.

Elementos de la fase de ejecución:

1. Las Pruebas de Auditoria

2. Técnicas de Muestreo
3. Evidencias de Auditoria
4. Papeles de Trabajo
5. Hallazgos de Auditoria

Principales pruebas para efectuar una auditoría informática

Son técnicas o procedimientos que utiliza el auditor para la obtención de

evidencia comprobatoria.

En la realización de una auditoría informática el auditor puede realizar las

siguientes pruebas:

 Sustantivas:
 Con el computador
 Sin el computador

Este tipo de pruebas, verifican el grado de confiabilidad del SI del organismo.

Se suelen obtener mediante observación, cálculos, muestreos, entrevistas,
técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo
la exactitud, integridad y validez de la información.
  De cumplimiento:
 Con el computador
 Sin el computador

Este tipo de pruebas, verifican el grado de cumplimiento de lo revelado

mediante el análisis de la muestra. Proporciona evidencias de que los
controles claves existen y que son aplicables efectiva y uniformemente.

c. PROCEDIMIENTOS DE AUDITORIA RELACIONADOS CON

LAS PRUEBAS

Procedimientos de auditoría para:

 Recopilación de datos.
 Identificación de lista de personas a entrevistar.
 Identificación y selección del enfoque del trabajo
 Identificación y obtención de políticas, normas y directivas.
 Desarrollo de herramientas y metodología para probar y verificar los
controles existentes.
 Procedimientos para evaluar los resultados de las pruebas y
revisiones.
 Procedimientos de comunicación con la gerencia.
 Procedimientos de seguimiento.

Los procedimientos involucran pruebas de cumplimiento o pruebas

sustantivas, las de cumplimiento se hacen para verificar que los
controles funcionan de acuerdo a las políticas y procedimientos
establecidos y las pruebas sustantivas verifican si los controles
establecidos por las políticas o procedimientos son eficaces.

d. TÉCNICAS DE RECOPILACIÓN DE EVIDENCIAS EN

RELACION A LAS PRUEBAS.

La recopilación de material de evidencia es un paso clave en el proceso de la

auditoría, el auditor de sistemas debe tener conocimiento de cómo puede
recopilar la evidencia examinada. Algunas formas son las siguientes:
 Revisión de las estructuras organizacionales de sistemas de
información.
 Revisión de documentos que inician el desarrollo del sistema,
especificaciones de diseño funcional, historia de cambios a programas
manuales de usuario, especificaciones de bases de
datos, arquitectura de archivos de datos, listados de programas, etc.;
estos no necesariamente se encontrarán en documentos, si no
en medios magnéticos para lo cual el auditor deberá conocer las
formas de recopilarlos mediante el uso del computador.
 Entrevistas con el personal apropiado, las cuales deben tener
una naturaleza de descubrimiento no de acusatoria.
 Observación de operaciones y actuación de empleados, esta es una
técnica importante para varios tipos de revisiones, para esto se debe
documentar con el suficiente grado de detalle como para presentarlo
como evidencia de auditoría.
 Auto documentación, es decir el auditor puede preparar narrativas en
base a su observación, flujogramas, cuestionarios de entrevistas
realizados.
 Aplicación de técnicas de muestreo para saber cuándo aplicar un tipo
adecuado de pruebas (de cumplimiento o sustantivas) por muestras.
 Plan de muestreo El auditor establecerá su plan de muestreo según el
siguiente procedimiento:

1- Establecer el Nivel de Confianza de la prueba.

Se refiere a la probabilidad de que el auditor no se equivoque al
depositar su confianza en un sistema de control interno. Si se
selecciona un nivel de confianza del 95%, para un límite superior de
precisión establecido, entonces tiene un 5% de riesgo de aceptar el
control interno cuando el sistema no es efectivo.

2- Establecer la tasa de error tolerable o límite superior de precisión.

El límite máximo de precisión que represente el valor crítico definido
por el auditor, de tal forma que las desviaciones que lo excedan le
llevarían a modificar la confianza en el control interno que se está
evaluando.

3- Estimar el Tamaño de la Muestra.

El tamaño de la muestra se ve afectado por el nivel de confianza que
el auditor tiene intención de depositar en los sistemas contables y de
control interno y por la tasa de error que está dispuesto a aceptar en la
aplicación del control.

A título de ejemplo, el tamaño mínimo de la muestra necesario para un

plan de muestreo en que el auditor ha determinado un límite superior
de precisión del 4% y un nivel de confianza del 95% es de 75
elementos.

4- Selección de los elementos de la muestra.

Todos los elementos integrantes de la muestra deben tener la misma
posibilidad de ser seleccionados. Las unidades de muestreo pueden
ser elementos físicos (tales como facturas) o unidades monetarias.
Puesto que el objetivo del muestreo es alcanzar conclusiones acerca
de toda la población, el auditor intentará seleccionar una muestra
representativa mediante la elección de elementos que tengan
características típicas de la población y en caso de utilizar el muestreo
no estadístico, el auditor aplica su juicio profesional en la selección.
Los principales métodos de selección son la utilización de tablas de
números aleatorios y la selección sistemática, sus características son
las siguientes:
- Los números aleatorios se generan por ordenador o mediante tablas.
- La selección sistemática consiste en dividir el número de elementos
de la población por el número de elementos de la muestra para
obtener un intervalo de muestreo.

5- Evaluación de los resultados

A partir de los errores encontrados, el auditor determina la fiabilidad
que atribuye al control verificado mediante pruebas de cumplimiento.

Tasa de error Fiabilidad

<= al 5% Muy buena
5% al 8% Buena
8% al 12% Normal
12% al 20% Mala
> 20% Nula

Dicha fiabilidad afectará al alcance de la prueba sustantiva asociada,

de tal forma que cuanto mayor sea la fiabilidad del control interno que
procesa las transacciones, menor será el alcance de las pruebas
sustantivas necesarias para controlar el riesgo de detección
correspondiente.
 3. ALCANCE DE LAS PRUEBAS DE AUDITORIA

 Comportamiento del sistema ante situaciones normales:

 De normal ocurrencia para la operación o negocio

 Previstas y establecidas para el funcionamiento normal del
sistema

 Comportamiento del sistema ante situaciones “fuera de lo normal”.

 Generalmente no consideradas ni previstas en el diseño del

sistema por ser obvias, de sentido común.
 Exóticas o extremas, como por ejemplo:

 Fechas inválidas
 Insuficiencia de tamaño en campos de valor
 Pérdida de dígitos en cargue o traslado de
acumuladores
 Validez de campos
 Valores negativos
 Inconsistencias entre diferentes campos de un
mismo archivo.

a. ENFOQUES PARA APLICAR PRIEBAS DE AUDITORIA

I. HISTORICO / ESTATICO

 Tiempo de la prueba posterior al tiempo de los eventos

 Auditoria de la información sobre hechos cumplidos
 Generalmente se limita a revisar “lo conocido” auditoria “detrás de lo
desconocido”.

¿Por qué ha ocurrido?

¿Se cumplieron los controles establecidos?
 ¿La información sobre las transacciones que ocurrieron durante un
periodo de tiempo se proceso en forma completa, exacta y
oportuna?

 Aplicable en sistemas Batch y On-line.

 Técnicas aplicables:

Datos de prueba
Sistemas de evaluación de un caso base
Software de auditoría (paquetes o hecho a la medida):

 Selección de transacciones
 Confirmación de saldos
 Registros extendidos
 Simulación paralela
 Examen de archivos
 Reportes de excepción

Programas de utilidad
Otras sin utilizar el computador

II. ON-LINE / SIMULTANEO / SOBRE LA MARCHA

 Tiempo de prueba = Tiempo de los eventos

 Auditoria en tiempo real, simultanea a los hechos que son objeto de la
auditoria
 Permite un enfoque “más dinámico de la auditoria”, porque la
oportunidad de las pruebas y el trabajo de la auditoria se ejecuta
sobre información “actual”, no “histórica”.
¿la información cumple con los controles establecidos para su
procesamiento?
¿la información refleja un hecho económico normal o
permisible?

 La auditoria puede actuar más oportunamente, anticiparse a los

acontecimientos
 Aplicable en sistemas on-line, tiempo real.
 Técnicas aplicables:

ITF (Facilidad de la Prueba Integrada o enfoque de la Mini

compañía o Entidad Ficticia).
Módulos de Auditoria Encajados en los programas de
Aplicación (SARF Y SCARF).
Simulación paralela encajada en la aplicación on-line.
Segmento de Base de Datos del Auditor
En general, requiere el uso de Software de Auditoria:

 Paquetes de Software de Auditoria

 Programas de computador hechos a la medida
 Uso de programas de utilidad.
 4. ENFOQUE DE LA AUDITORIA PAR LOS SISTEMAS DE
APLICACIÓN

Auditoria alrededor del computador y auditoria a través del computador; de

acuerdo así el auditor considere al procesamiento como una caja negra en
donde el no puede influir o que el auditor analice y evalúe el sistema
estableciendo si su funcionamiento es correcto o no. Cualquiera sea el
enfoque el auditor siempre deberá considerar el control en el cual se lleva a
cabo el procesamiento de la información; un aspecto muy importante que
debe tener en cuenta es lo referido a la seguridad informática aplicada al
sistema, se debería verificar en que grado se están cumpliendo los objetivos
de integridad, privacidad (veracidad) y operatividad del sistema.

Todo proceso sustantivo involucra a varias áreas funcionales que realizan

determinadas actividades. Algunas de ellas son críticas en cuanto como
influyen en la obtención del resultado en el tiempo deseado y en la forma
esperada por el cliente externo (aunque pudiese también ser interno). Los
sistemas de aplicación brindan soporte para realizar de un modo mas
eficiente y eficaz algunas de las operaciones. Considerando un nivel de
análisis mas atómico encontramos el concepto de transacción, considerado
como la unidad elemental de ejecución simple en una aplicación. Existe una
relación en cuanto la criticidad de la operación que ha de realizarse por un
usuario y la importancia que cobra la transacción que le permite realizarla. Y
que el auditor debe asegurar que funcione de modo efectivo, se actualicen
las tablas correspondientes, etc. Este análisis realizado toma la óptica de
transacción desde el punto de vista del sistema. Sin embargo si tomamos la
óptica mas general de la transacción como el intercambio producido entre un
cliente y una organización podemos arribar a una visión mas general y
completa de todo el ciclo donde no solo se tiene el dato que respalda ese
intercambio y visualiza el producto (bien o servicio) sino también la
incorporación a la visión del proceso en su totalidad
El auditor de sistemas debe poder tener esa visión amplia del objeto de
análisis para que desde su propio proceso de planificación se base en un
conocimiento completo del objeto de examen y una evaluación correcta de
los riesgos a nivel integral. Y el auditor de sistemas en su propio proceso de
ejecución de las actividades de auditoria pueda abordar las pruebas de un
modo correcto y completo.
 5. PROCEDIMIENTO DE SISTEMAS PARA SU FUNCIONAMIENTO

Para hacer una adecuada planeación de la auditoría en informática, hay que

seguir una serie de pasos previos que permitirán dimensionar el tamaño y
características de área dentro del organismo a auditar, sus sistemas,
organización y equipo. En el caso de la auditoría en informática, la
planeación es fundamental, pues habrá que hacerla desde el punto de vista
de los dos objetivos:
 Evaluación de los sistemas y procedimientos.
 Evaluación de los equipos de cómputo.

Para hacer una planeación eficaz, lo primero que se requiere es obtener

información general sobre la organización y sobre la función de informática a
evaluar. Para ello es preciso hacer una investigación preliminar y algunas
entrevistas previas, con base en esto planear el programa de trabajo, el cual
deberá incluir tiempo, costo, personal necesario y documentos auxiliares a
solicitar o formular durante el desarrollo de la misma.

AUDITORIA AL AREA DE SISTEMAS EN FUNCIONAMIENTO

En auditoria informática, el área más dispendiosa es la constituida por los

sistemas de funcionamiento especialmente cuando los procesos están en
línea y en tiempo real.
Se puede hablar de un estándar metodológico para auditar los sistemas en
funcionamiento, que es lo que vamos a exponer a continuación. Sin
embargo, debe tenerse en cuenta que la naturaleza de cada aplicación
exige, su propio sistema de control interno y de auditoria. En consecuencia,
el auditor debe tener presente esta circunstancia para definir y abordar el
auditaje de los sistemas en funcionamiento. No es igual auditar una empresa
de producción, una empresa de servicios o una empresa comercial cuyos
procesos pueden estar dándose en ambientes de computación, tipo Batch o
en línea, a través de modalidades de baja, mediana o alta complejidad.

CONOCIMIENTO DEL AREA DE SISTEMAS EN FUNCIONAMIENTO

A partir de un estudio preliminar del área de sistemas en funcionamiento, el

auditor definirá el orden de prioridades a seguir en el proceso de auditoria.

Para conocer cada uno de los sistemas en funcionamiento es necesario

examinar la correspondiente documentación expresada por lo menos los
siguientes manuales:
 1. Del sistema.
2. Del programa.
3. De conversión.
4. De operación.
5. De biblioteca.
6. Del usuario.
7. De control.

PROCEDIMIENTO DE AUDITORIA

Los procedimientos de auditoria se definen con base en los resultados de la

evaluación del sistema de control interno. No se puede hablar de un modelo
estándar de procedimientos de auditoria, porque las empresas presentan
diferentes grados de confiabilidad de sus sistemas de control. En
consecuencia, presentamos la siguiente guía general relacionada con los
procedimientos de auditoria, que normalmente se practican en el auditaje de
los sistemas de funcionamiento.

PROCEDIMIENTOS DE AUDITORIA PARA SITEMAS EN

FUNCIONAMIENTO

Áreas de Exposición

1. Generación de Transacciones en las fuentes de información.

Alcance

Preparación manual y el procesamiento de las transacciones antes de ser

entradas a computador.

Puntos de Control

a) Registro de datos en los documentos fuente.

b) Autorización de transacciones.
c) Preparación de entradas para la PED.
d) Retención de documentos fuente.
e) Manejo de errores.
f) Las personas: Identificación, autorización, autenticación.
 Métodos de Auditoria

 Revisión de procedimientos utilizados.

 Observaciones en las áreas de usuarios.
 Rastreo manual de transacciones.
 Revisión del transporte de documentos y registros.
 Revisión de reportes de errores en input, preparados por el
computador.
 Verificación de documentos fuente.
 Comparación de datos fuente con registros del computador.
 Software generalizado de auditoria ( para seleccionar transacciones y
batches)
 Módulos (Subrutinas) de auditoria encargados dentro de los
programas de aplicación, para seleccionar transacciones
continuamente.
 Revisión a separación de funciones.

2. Transporte de Documentos frente al centro de PD

Alcance
Traslado de documentos desde las fuentes de la información al centro de
Pd y viceversa.

Puntos de Control

a) Seguridades previstas para el trasporte físico.

b) Medidas para prevenir pérdida o extravío de documentos.
c) Planeación del trasporte.
d) Las personas

Métodos de Auditoria

 Observaciones en las fuentes de la información y en el área

recepción de documentos en PD
 Examen de registros y documentos de control que se utilicen.
 Revision y análisis de procedimientos establecidos.
3. Entrada de transacciones a Procesamiento Electronico de Datos ( Batch y
on-line).

Alcance

Grabación (captura), entrada de datos por terminal, validación del input,

procedimientos para manejo y corrección de errores en PD.

Puntos de Control

a) Entrada de datos on-line.

b) Entrada de datos en forma. Batch.
c) Validación de datos de las transacciones.
d) Manejo de errores en los datos. De las transacciones.
e) Las personas.

Métodos de Auditoria

 Revisión y evaluación de procedimientos escritos ( en las áreas

del usuario y en PD).
 Selección de transacciones y rastreo manual y varificación.
 Revisión a separación de funciones.
 Observaciones y revisiones de hoja de control de lote, hojas de
ruta y registros usados en el balanceamiento y reconciliación del
procesamiento de entradas.
 Software generalizado de auditoria para seleccionar transacciones
y batches.
 Módulos de auditoria encajados para seleccionar transacciones.
 Paquete de datos de prueba.
 Facilidad de la prueba integrada (Minicompañía).

4. Comunicación de Datos

Alcance
 El flujo de datos entre las localizaciones de terminales remotas y el
centro de procesamiento de datos.

Puntos de Control

a) Entrada de Mensajes.
b) Trasmisión de Mensajes.
c) Recepción y contabilización de mensajes.
d) Las personas.
e) Las líneas de comunicación.
f) Modems.
g) Software de comunicación.
h) Log de comunicaciones.

Métodos de Auditoria

 Verificar mantenimiento preventivo a los equipos y a la red de

comunicación de datos.
 Revisar procedimientos de reporte de fallas de operación de la red.
 Rastreo de logs y reportes de errores.
 Entrevistas con los usuarios de red.
 Uso de la ITF o enfoque de minicompañia.
 Software generalizado de auditoria para seleccionar transacciones.
 Revisión a separación de funciones.

5. Procesamiento de las transacciones en el computador.

Alcance

Programas de computador que procesan los datos después de ser

validados en el input.

Puntos de Control

a) Controles para prevenir errores y omisiones ( Integridad del

procesamiento)
 b) Restauración y recuperación del procesamiento.
c) Controles para asegurar exactitud y confiabilidad de los cálculos
que se efectúen.
d) El operador del computador.
e) Controles para garantizar seguridad y privacidad.
f) Manejo de errores.
g) Las personas.
h) Mantenimiento y actualización de archivos maestros.
i) Reorganización de archivos maestros y cargue/actualización de
acumuladores en fechas de corte.
j) Transacciones generales internamente.

Métodos de Auditoria

 Observaciones al área de operación del computador.

 Revisión del log de consola.
 Método de datos de prueba.
 Método de caso base.
 ITF o minicompañia.
 Tagging, Mapping y Tracing.
 Programas de selección de transacciones en listados o por
pantalla.
 Módulos de auditoria incorporados (subrutinas).
 Software de Auditoria Generalizado. Para examinar archivos y
obtener evidencias.
 Simulación paralela.
 Revisión a separación de funciones.

6. Almacenamiento y recuperación de Datos de Programas.

Alcance

Almacenamiento de programas y de archivos de datos (maestros y de

transacciones)

Puntos de Control
 a) Identificación, localización y control de archivos de datos y de
programas.
b) Procedimiento de respaldo (Backnps) de archivos maestros y de
transacciones fechadas de corte.
c) Acceso lógico y físico a los archivos y librerías de programas.
d) Manejo de errores.
e) Las personas.
f) Las bibliotecas de medios magnéticos.
g) Procedimiento de transporte de archivos a las bibliotecas.

Métodos de Auditoria

 Software generalizado de auditoria para extraer y rastrear

registros.
 Examen de procedimientos de backnps y manejo de archivos en
biblioteca.
 Revisión de logs de seguridad y de registros de librería de medios.
 Revisión de salidas del SMF.
 Revisión de separación de funciones.
 Observación e inspección de las áreas de biblioteca.

6. PROCEDIMIENTOS DE AUDITORIA PARA CENTROS DE

SERVICIO DE COMPUTADOR
Estos procedimientos de auditoria son un conjunto de técnicas de
investigación aplicables a diferentes áreas de auditoria; mediante los cuales
un auditor obtiene las bases necesarias para fundamentar su opinión. Y en
cuanto a los procedimientos de auditoria para centros de servicios para
computador tenemos loa siguientes en las siguientes áreas 1:

a. Control de entradas y salidas de información: es importante

verificar si los controles de entrada y salida de datos son
adecuados; así como los estándares para retención y archivo
de documentos fuentes y reportes.

b. Biblioteca de medios magnéticos:

1
Mario G.Piattini, Emilio del Peso Navarro. Auditoria Informática Un Enfoque Practico
Madrid España: Editorial RA-MA ,2008, p 220
c. Separación de funciones: para detallar las responsabilidades es
necesario realizar una separación de las funciones entre:

d. Controles ambientales y seguridad física: efectuar un adecuado

análisis de riesgo y en función a ello plantear una seria de
 estrategias de control de los objetivos del negocio y sus
contramedidas tales como2

Puntos de control

1. Temperatura y humedad
2. Fuente de potencia estable
3. Fuente de potencia alternativa
4. Protección contra incendios
5. Control de acceso físico
6. Procedimientos para liberación de datos, reportes y programas de
computador
7. Seguros contra accidentes o interrupción del negocio

Procedimientos de auditoria

- Observación dentro del centro de procesamiento

- Examen de logs y de registros de control
- Examen de documentos
- Revisión de acceso al Centro de Servicios de Computador
- Examen de pólizas de seguro y contratos de mantenimiento

e. Planes para la recuperación de desastres:

Puntos de control
 Asignación de responsabilidades
 Planes de acción de emergencia
 Uso de instalaciones y archivos de backup
 Puntos y técnicas de control para asegurar la integridad de los datos y
programas durante la transición
 Procedimientos para el transporte de backups de datos, programas y
documentación desde el sitio de almacenamiento hasta el centro de
procesamiento

Procedimientos de auditoria
- Examen de documentos relativos a provisiones para contingencias
- Simular un desastre
- Examen de backups
2
http://www.soyasic.com/content/view/20/49/
- Examen de procedimientos establecidos
- Observación y entrevistas

f. Reportes de malfuncionamiento y mantenimiento preventivo de

los equipos

g. Planeación de la sistematización de la empresa

 h. Procedimientos de cargos y facturación de costos de
sistematización

Puntos de control

1. Job Accounting
2. Algoritmos de facturación
3. Reconciliación de facturación
4. Declaraciones periódicas de facturación del usuario

Procedimientos de auditoria

- Rastreo de la información generada por el software de Job Accounting

- Revisión del algoritmo de facturación
- Revisión de las tablas de porcentaje utilizadas
- Rastreo de las cuantas hacia atrás, hasta los registros de Job
Accounting
- Reconciliación de los costos totales de PD con los costos cargados
mensualmente
 - Revisión de tendencias de facturación para algunas aplicaciones

i. Seguridad lógica de los archivos de datos y de programas:

determinar si existen garantías suficientes para proteger la
información reservada y clasificada de la empresa y la
integridad de la misma3.

Puntos de control

1. Protección de archivos através del sistema

2. Procedimientos de control y administración de pass words
3. Software de control de acceso
4. Categorías de clasificación de la información
5. Niveles de autorización de usuario
6. Administrador de seguridad
7. Programas de utilidad de acceso restringido

Procedimientos de auditoria

- Observación
- Entrevistas
- Examen de la protección lógica establecida para archivos críticos
- Comprobación de la operación de controles proporcionados por el
sistema operacional
- Examen de procedimiento utilizado para el control y administración de
passwords
- Examen de procedimientos establecidos para el uso de útiles
- Examen de log de actividad del sistema

j. Documentación para el manejo de sistemas: con el fin de

garantizar que los documentos presentados contengan la
suficiente información técnica tanto para las aplicaciones como
para los programas.

3
Mario G.Piattini, Emilio del Peso Navarro. Auditoria Informática Un Enfoque Practico
Madrid España: Editorial RA-MA ,2008, p 204
Puntos de control

1. Documentación técnica de las aplicaciones

2. Documentación técnica de los programas
3. Instrucciones para la operación del computador
4. Instrucciones para el manejo de la biblioteca de medios
magnéticos
5. Instrucciones para el control de entrada y de salida de PD
6. Documentación técnica del software del sistema

Procedimientos de auditoria

- Entrevistas
- Examen de documentación existente
- Observación de las operaciones
- Elaboración de inventario de documentación
- Confirmación del nivel de actualización del software del sistema

6.11. Programa de control de cambios al software (de aplicación y del

sistema)
6.12. Estándares y guías de sistemas:

6.13. Otros controles Administrativos y Organizacionales

7. ESTANDARES GENERALES DE AUDITORIA DE SISTEMAS DE

INFORMACIÓN
Producido por el concejo de estándares de la Electronic Data Processing
Auditors Foundation (Fundación de Auditores del Procesamiento Electrónico
de datos )

Estos Estándares tienen como objetivo informar a los auditores el nivel del
mínimo de desempeño aceptable, necesario para satisfacer las
responsabilidades profesionales definidas en el Código de Ética Profesional
e informar a la administración y a otras partes interesadas sobre las
expectativas de la profesión concernientes al trabajo de sus practicantes.

ESTÁNDARES GENERALES PARA LA AUDITORIA DE SISTEMAS DE

INFORMACIÓN

Los diez (10) Estándares siguientes son aplicables para la auditoria de

Sistemas de Información , como se definió anteriormente.

 INDEPENDENCIA:

Estándar General No. 1 Actitud y Apariencia.

En todos los asuntos relacionados con auditoría, El Auditor de Sistemas de

Información. Deberá ser independiente del auditado en actitud y apariencia.

Estándar General No. 2. Relación Organizacional.

La función de auditoría de sistemas de información deberá ser lo

suficientemente independiente del área que está auditando, para permitir la
obtención del objetivo de la Auditoría.

Estándar General No. 3. Código de Ética Profesional

El auditor de Sistemas deberá adherirse al Código de Ética Profesional de

la Fundación de Auditores de E.D.P.

 COMPETENCIA TÉCNICA

Estándar General No. 4 Habilidades y Conocimiento.

El auditor de Sistemas de Información deberá ser técnicamente
competente, y poseerá las capacidades y conocimientos necesarios para
desempeñar su trabajo de Auditor.

Estándar General No. 5. Educación Profesional Continua.

El auditor de Sistemas de Información deberá mantener competencia

técnica mediante una apropiada educación continua.

 EJECUCIÓN DE TRABAJO.

Estándar General No. 6. Planeación y Supervisión.

Las Auditorias de Sistemas de Información deben ser planeadas y

supervisadas para asegurar que los objetivos de la auditoría se alcanzan y
se satisface el cumplimiento de estos estándares.

Estándar General No. 7. Requerimiento de Evidencia

Durante el curso de la auditoría, el auditor de Sistemas de Información

deberá obtener evidencia esencial y suficiente para soportar los hallazgos y
conclusiones reportados.

Estándar General No. 8. Debido cuidado Profesional.

El debido cuidado Profesional debe ser el ejercicio en todos los aspectos del
trabajo del Auditor de Sistemas de Información, incluyendo la observancia de
auditoria aplicables.

 REPORTE

Estándar General No. 9. Reporte del Alcance de la Auditoría.

En la preparación de reportes, el auditor de sistemas de información,

deberá plantear los objetivos de la auditoria, el periodo de cubrimiento y la
naturaleza y extensión del trabajo de auditoría ejecutado.

Estándar General No. 10. Reporte de hallazgos y conclusiones.

En la preparación de reportes, el auditor de sistemas de información

deberá plantear los hallazgos y conclusiones relacionados con el trabajo de
auditoría ejecutado, al igual que cualquier excepción ó calificación que el
auditor tenga con respecto a la auditoría.

DECLARACIÓN No. 1: INDEPENDENCIA

Actitud y apariencia en la Relación Organizacional.

El propósito de esta declaración es expandir el significado de “

independencia” con relación a los Estándares de la Auditoría de Sistemas de
Información.

DECLARACIÓN

El Auditor de Sistemas de Informació tiene la obligación de asumir una

actitud de independencia hacia la auditoría. Una actitud de independencia
está definida como un punto de vista imparcial que permite al auditor actuar
objetivamente y con imparcialidad ó justicia.

El trabajo y reporte del auditor debería representar una descarga de

responsabilidades profesionales que ejemplifiquen la integridad y objetividad.
Un auditor debe evitar situaciones que podrían perjudicar su
independencia.

DECLARACIÓN No. 2: INDEPENDENCIA.

Participación en el proceso de Desarrollo de Sistemas

El propósito de esta declaración es profundizar sobre el significado de la

independencia del auditor tal como se relaciona con la revisión de sistemas
en desarrollo.

DEFINICIONES
  Sistema de Aplicación- Un grupo integrado de programas de
computador diseñados para realizar una función particular que tiene
actividades especificas de entrada (imput) procesamiento y salida
(output) (ejemplos: contabilidad general, planeación de recursos de
manufactura y administración).

 Procesos de Desarrollo - Un enfoque usado para planear, diseñar,

desarrollar, probar, documentar e implementar un sistema de
aplicación. El proceso puede utilizar metodologias tales como un ciclo
de vida estructurado del desarrollo de sistemas ó al menos un
prototipo interactivo estructurado.

 Revisión del Desarrollo de una Aplicación - Una evaluación de un

sistema de aplicación bajo desarrollo, en el cual se consideran
materias tales como : controles apropiados son diseñados dentro del
sistema; la aplicación procesará información de una manera
completa, exacta y confiable la aplicación funcionará de conformidad
con las provisiones estatutarias aplicables, y el sistema se desarrolla
en concordancia con el proceso de sistemas de desarrollo establecido.

DECLARACIÓN

Al conducir una revisión del desarrollo de una aplicación, el auditor de

Sistemas de Información deberá mantener una actitud y apariencia de
independencia.

Los procedimientos usados para recolectar evidencia pueden variar,

dependiendo de los sistemas de información que sean auditadas. Estos
procedimientos pueden incluir averiguaciones, observaciones, inspección,
confirmación, reejecución pueden ser aplicados por medio de procedimientos
de auditoría, manuales técnicas de auditoría con una combinación de
ambos. Por ejemplo, un sistema que usa totales de control, manuales para
balancear operaciones de entrada de datos, podría suministrar evidencia de
los procedimientos de control utilizados mediante un reporte apropiadamente
reconciliado y comentado. El auditor podría obtener evidencia al revisar y
probar este reporte. Otros sistemas pueden exigir al auditor el uso de
diferentes métodos para reunir evidencia. Por ejemplo, un registro detallado
de transacciones, puede solamente estar disponible solamente en un
formato legible por el computador que requiere el uso de técnicas de
auditoría asistidas con el computador para obtener evidencia.

La evidencia reunida por el auditor deberá ser apropiadamente documentada

y organizada para soportar los hallazgos y conclusiones del auditor.
 DECLARACIÓN No. 4 EJECUCIÓN DE TRABAJO.
El débido cuidado profesional

El propósito de esta declaración es clarificar la expresión “ DEBIDO

CUIDADO PROFESIONAL para la auditoría de sistemas de información.

DECLARACIÓN

El Estándar de “ debido cuidado “ es ese nivel de diligencia que una

persona prudente podría ejercitar bajo un grupo de circunstancias dadas “ El
debido cuidado profesional” aplica al individuo que profesa habilidad para
ejecutar actividad tal como en sistemas de información. El debido Cuidado
Profesional le exige al individuo ejercitar esa destreza a un nivel que
comúnmente posee los practicantes de esa especialidad.

El debido cuidado profesional deberá extenderse a cada aspecto de la

auditoría, incluyendo la evaluación del un riesgo de auditoría, la formulación
de los objetivos.

Los destinatarios de los reportes de auditoría tienen la expectativa de que el

auditor ha ejercido el debido cuidado profesional en todo el curso de la
auditoría. El auditor no debería aceptar un empleo a menos que la adecuada
capacidad, conocimientos y otros recursos estén disponibles para completar
el trabajo de la manera esperada de un profesional.

Se espera que el auditor conduzca la auditoría con diligencia adhiriendose a

los estándares profesionales. El auditor debería divulgar las circunstancias
sobre cualquier incumplimiento con los estándares profesionales de manera
consistente con la comunicación de los resultados de Auditoría.

DECLARACIÓN No. 5 EJECUCIÓN DE TRABAJO.

El uso de valoración de riesgos en la Planeación de la Auditoría.

El propósito de esta declaración es describir la evaluación de los riesgos

para auditoría de sistemas de información.

DEFINICIONES
  Riesgos - La posibilidad de ocurrencia de un acto ó evento que
podría tener un efecto adverso sobre la organización y sus sistemas
de información.

 Exposición - El potencial de pérdida para un área a causa de la

ocurrencia de un evento adverso. La inhabilidad para procesar las
aplicaciones computarizadas durante un periodo de tiempo es una
exposición que podría resultar del incendio del centro de datos. La
exposición puede reducirse mediante la implementación de controles
apropiadamente diseñados. Por ejemplo, una alarma de incendio no
puede provenir el fuego, pero se establece para reducir los daños del
incendio.
 Valoraciones del Riesgo - Un proceso utilizado para identificar y
evaluar los riesgos y su impacto potencial.

DECLARACIÓN

El auditor de Sistemas de Información ( auditor), deberá utilizar técnicas de

valoración del Riesgo, en el desarrollo general de auditoría y en la
planeación de auditorias especificas. La valoración del riesgo, en
combinación con otras técnicas de auditoría, facilitan las decisiones de
planeación tales como:

a) La naturaleza extensión y oportunidad de los procedimientos de

auditoría

b) Las áreas o funciones de negocios que serán auditadas.

c) La cantidad de tiempo y recursos que serán asignados para una

auditoría

El auditor deberá documentar la técnica ó metodología de valoración del

riesgo utilizado para una auditoría especifica. La documentación debería
incluir.

a) Una descripción de la metodología utilizada por la valoración del

riesgo.

b) La identificación de expresiones significativas y los riesgos

correspondientes
 c) Los riesgos y exposiciones sobre los que enfatizará la auditoría.

d) La evidencia utilizada para soportar la valoración del riesgo del

Auditor.

No puede esperarse que una única metodología de valoración del riesgo sea
apropiada para todas las situaciones. Las condiciones que afectan las
auditorias, pueden cambiar a medida que pase el tiempo. Periódicamente el
auditor deberá reevaluar lo apropiado de las metodologías escogidas en la
valoración del riesgo.

DECLARACIÓN No. 6 Ejecución de Trabajo.

Documentación de la Auditoría

El propósito de esta declaración es describir la documentación que el

Auditor de Sistemas deberá preparar y retener para soportar los resultados
de la Auditoría.

DECLARACIÓN

La documentación de la Auditoría de Sistemas de Información

(documentación) es el registro del trabajo de Auditoría y la evidencia que
soporta los hallazgos y conclusiones del Auditor. La documentación
demuestra la extensión a la cual el auditor cumplió con los Estándares de
Sistemas de Información.

La documentación debería incluir, como mínimo, un registro de:

a) La planeación y preparación del alcance y objetivos de la Auditoría.

b) El programa de auditoría

c) Los pasos de auditoría ejecutados y reunidos.

d) Los hallazgos, conclusiones y recomendaciones de Auditoría

e) Cualquier reporte producido como resultado del trabajo de Auditores.

f) Las respuestas del auditado a las recomendaciones del Auditor.

La extensión de la documentación del auditor dependerá de las

necesidades para una auditoría particular y deberá incluir:
 a) El entendimiento del auditor sobre el área que fue auditada y su
ambiente.

b) El entendimiento del Auditor sobre los procesamiento de sistemas de

Información y el ambiente de control interno.

c) El preparador y la fuente de la documentación de Auditoría y la fecha

de su elaboración.

d) La evidencia de revisión y supervisión del trabajo de Auditoría.

La documentación debería incluir información de auditoría que es exigida

por ley, por las regulaciones del gobierno o cualquier estándar aplicable.

Las políticas y procedimientos que en efecto pueden estar para asegurar

custodia apropiada y retención de la documentación que soportan hallazgos
y conclusiones de auditoría, por un tiempo prudente para satisfacer los
requerimientos legales, profesionales y organizacionales.

La documentación debería ser organizada almacenada, asegurada de una

manera apropiada para el medio en el cual se retiene.

DECLARACIÓN No. 7: REPORTES DE AUDITORIA

El propósito de esta declaración es describir los requerimientos para

preparar y producir un reporte para la Auditoría de Sistemas de Información.

DECLARACIÓN

El reporte es el medio formal de comunicación de los objetivos de la

auditoría del cuerpo de estándares de auditoría utilizados para el alcance de
la auditoría y los hallazgos y conclusiones. Al preparar el reporte, el auditor
deberá considerar las necesidades de los destinatarios previsto, los cuales
pueden incluir al auditado, La administración ejecutiva, el concejo de
directores ó su comités de auditoría y el gobierno.

El reporte debería identificar al auditado e indicar la fecha de su emisión.

Cuando sea apropiado, el reporte deberá especificar que este es
únicamente para información y uso de las partes interesadas, tales como el
auditado, el concejo de directores, administración y otras partes
interesadas fuera de la organización (una agencia del gobierno). El reporte
deberá también establecer cualquier restricción sobre su distribución.

DECLARACIÓN No. 8: EJECUCION DE TRABAJO.

Consideración de Auditoría para irregularidades

El propósito de esta declaración es describir los requerimientos de los

Estándares Generales para la Auditoría de Sistemas de Información Nos. 6,
7, y 8.

DEFINICIÓN

Las irregularidades, para el propósito de esta declaración, son violaciones

intencionales de las políticas administrativas establecidas u omisiones de
información del área bajo una auditoría o de organización. Algunas
irregularidades pueden ser consideradas como actividades fraudulentas
dependen de la definición legal de fraude en la jurisdicción perteneciente a
la auditoría. Las irregularidades incluye, pero no están limitadas a engaños
deliberados de controles con la intención de encubrir la perpetuación de
irregularidades, fraude, uso no autorizado de activos y ayudas para encubrir
esos tipos de actividades.

DECLARACIÓN

La Administración tiene la responsabilidad de establecer un efectivo sistema

de controles internos diseñados e implementados para proporcionar
seguridad razonables de la prevención y detección de irregularidades.

Basados en la valoración del riesgo, el auditor tiene la responsabilidad de

diseñar y ejecutar pruebas de auditoría que puedan ser razonablemente
apropiadas para detectar irregularidades que pudieran tener impacto
significativo en el área de auditoría o en la organización.

Si la evidencia indica que una irregularidad podría involucrar un acto ilegal,

el auditor debería recomendar que la administración busque asesoría
jurídica o debería buscar directamente la asesoría jurídica.

La detección de irregularidades deberá comunicarse a las personas

apropiadas en la organización de una manera oportuna. La notificación debe
dirigirse a nivel administrativo superior al que se sospecha que ocurrieron
además las irregularidades deberán reportarse al consejo de directores, al
comité de auditoría del consejo o al un cuerpo equivalente, excepto por
cosas que son claramente insignificantes. Además de esto la auditoría
puede ser requerida para soportar actividades fraudalentas a las
organizaciones externas tales como una agencia gubernamental de
vigilancia.

DECLARACIÓN No. 9: EJECUCION DE TRABAJO.

Uso Herramientas de Sofware de Auditoría.

El propósito de esta declaración es definir las responsabilidades del Auditor

de Sistemas de Información en el control del desarrollo integridad y uso de
las herramientas Software de Auditoría

DEFINICIÓN

Las herramientas de Software de auditoría son programas de computador

que pueden ser utilizados para proporcionar información para el uso de
auditoría. Ejemplos de herramientas para el Software de auditoría usados
para propósitos de la auditoría incluyen:

a) Software encajado en los sistemas que están en producción.

b) Software escrito ó adquirido para propósitos de auditoría.

c) Softftware de utilidad (utilities).

DECLARACIÓN

El auditor deberá obtener razonable seguridad de la integridad y utilidad de

la herramienta en Software a través de la apropiada planeación, diseño,
prueba y reversión de la documentación . Estos deberá realizarse antes
que la confianza sea dada a la herramienta de software de auditoría.

El auditor deberá usar y documentar los resultados de procedimientos

apropiados para garantizar la integridad, confiabilidad y seguridad de la
herramienta de software de auditoría. Por ejemplo esto podría incluir una
revisión del programa de mantenimiento y controles de cambios de
programas sobre software de auditoría encajado para determinar que
solamente algunos cambios autorizados se hicieron a la herramienta de
software de auditoría.
Cuando la herramienta del software de auditoría reside en que no esta
bajo en control del auditor, un apropiado nivel de control debe efectuarse
para identificar cambios en la herramienta de software de auditoría. Cundo
una herramienta de software de auditoría. Cuando una herramienta de
software de auditoría es cambiada , el auditor debe obtener seguridad de su
integridad y utilidad a través de una apropiada planeación, diseño, prueba
y revisión de la documentación antes de dar confianza a la herramienta de
software de auditoría

ESTÁNDARES GENERALES SEGÚN ISACA

ESTÁNDAR N° 1: El Estatuto de Auditoría

El propósito, responsabilidad, autoridad y rendición de cuentas de la función

de auditoría de sistemas de información o de las asignaciones de auditoría
de sistemas de información deben documentarse de manera
apropiada en un estatuto de auditoría o carta de compromiso.

El estatuto de auditoría o la carta de compromiso deben ser aceptados y

aprobados en el nivel apropiado dentro de la organización.

ESTÁNDAR N° 2: INDEPENDENCIA

Independencia profesional: En todos los aspectos relacionados con la

auditoría, el auditor de SI debe ser independiente del auditado, tanto en
actitud como en apariencia.

Independencia organizacional: La función de auditoría de SI debe ser

independiente del área o actividad que se está revisando para permitir una
conclusión objetiva de la tarea que se audita.

ESTÁNDAR N° 3: ÉTICA Y ESTÁNDARES PROFESIONALES

El auditor de SI debe cumplir con el Código de Ética Profesional de ISACA al

realizar tareas de auditoría.

El auditor de SI debe ejercer el debido cuidado profesional, lo cual incluye

cumplir con los estándares profesionales de auditoría aplicables al realizar
tareas de Auditoría.
ESTÁNDAR N° 4: COMPETENCIA PROFESIONAL

El auditor de SI debe ser profesionalmente competente y tener las destrezas

y los conocimientos para realizar la tarea de auditoría.

El auditor de SI debe mantener competencia profesional por medio de una

apropiada educación y capacitación profesional contínua.

ESTÁNDAR N° 5: PLANEACIÓN

El auditor de SI debe planear la cobertura de la auditoría de sistemas de

información para cubrir los objetivos de la auditoría y cumplir con las leyes
aplicables y las normas profesionales de auditoría.

El auditor de SI debe desarrollar y documentar un enfoque de auditoría

basado en riesgos.

El auditor de SI debe desarrollar y documentar un plan de auditoría que

detalle la naturaleza y los objetivos de la auditoría, los plazos y alcance, así
como los recursos requeridos.

El auditor de SI debe desarrollar un programa y/o plan de auditoría

detallando la naturaleza, los plazos y el alcance de los procedimientos
requeridos para completar la auditoría.

ESTÁNDAR N° 6: EJECUCIÓN DE LA AUDITORÍA

Supervisión—El personal de auditoría de SI debe ser supervisado para

brindar una garantía razonable de que se lograrán los objetivos de la
auditoría y que se cumplirán las normas profesionales de auditoría
aplicables.

Evidencia—Durante el transcurso de la auditoría, el auditor de SI debe

obtener evidencia suficiente, confiable y pertinente para alcanzar los
objetivos de auditoría. Los hallazgos y conclusiones de la auditoría deberán
ser soportados mediante un apropiado análisis e interpretación de dicha
evidencia.
Documentación—El proceso de auditoría deberá documentarse,
describiendo las labores de auditoría realizadas y la evidencia de auditoría
que respalda los hallazgos y conclusiones del auditor de SI.

ESTÁNDAR N° 7: REPORTE

El auditor de SI debe suministrar un informe, en un formato apropiado, al

finalizar la auditoría. El informe debe identificar la organización, los
destinatarios previstos y respetar cualquier restricción con respecto a su
circulación.

El informe de auditoría debe indicar el alcance, los objetivos, el período de

cobertura y la naturaleza, plazo y extensión de las labores de auditoría
realizadas.

El informe debe indicar los hallazgos, conclusiones y recomendaciones, así

como cualquier reserva, calificación o limitación que el auditor de SI tuviese
en cuanto al alcance de la auditoría.

El auditor de SI debe tener evidencia de auditoría suficiente y apropiada para

respaldar los resultados reportados.

Al emitirse, el informe del auditor de SI debe ser firmado, fechado y

distribuido de acuerdo con los términos del estatuto de
auditoría o carta de compromiso.

ESTÁNDAR N° 8: ACTIVIDADES DE SEGUIMIENTO

Después de informar/reportar sobre los hallazgos y las recomendaciones, el

auditor de SI debe solicitar y evaluar la información relevante para concluir si
la gerencia tomó las acciones apropiadas de manera oportuna.

ESTÁNDAR N° 9: IRREGULARIDADES Y ACCIONES ILEGALES

Al planificar y realizar la auditoría para reducir el riesgo de auditoría a un

nivel bajo, el auditor de SI debe tener en cuenta el riesgo de irregularidades y
acciones ilegales.

El auditor de SI debe mantener una actitud de escepticismo profesional

durante la auditoría, reconociendo la posibilidad de que podrían existir
declaraciones materialmente incorrectas debido a irregularidades y acciones
ilegales, independientemente de su propia evaluación del riesgo de
irregularidades y acciones ilegales.
El auditor de SI debe obtener un entendimiento de la organización y su
entorno, incluidos los controles internos.

El auditor de SI debe obtener evidencia de auditoría suficiente y relevante

para determinar si la gerencia u otras personas dentro de la organización
tienen conocimientos de cualquier irregularidad y acción ilegal real,
sospechada o alegada.
Al realizar procedimientos de auditoría para obtener un entendimiento de la
organización y su entorno, el auditor de SI debe considerar relaciones
inusuales o inesperadas que pueden indicar un riesgo de declaraciones
materialmente incorrectas debido a irregularidades y acciones ilegales.

ESTÁNDAR N° 10: GOBERNABILIDAD DE TECNOLOGÍAS DE

INFORMACIÓN

El auditor de SI debe revisar y evaluar si la función de SI está alineada con la

misión, visión, valores, objetivos y estrategias de la organización.

El auditor de SI debe revisar si la función de SI tiene una declaración clara en

cuanto al desempeño esperado por la empresa (eficacia y eficiencia) y
evaluar su cumplimiento.

El auditor de SI debe revisar y evaluar la eficacia de los recursos de SI y el

desempeño de los procesos administrativos.

El auditor de SI debe revisar y evaluar el cumplimiento de los requisitos

legales, ambientales y de calidad de la información, así como de los
requisitos fiduciarios y de seguridad.

El auditor de SI debe utilizar un enfoque basado en riesgos para evaluar la

función de SI.

El auditor de SI debe revisar y evaluar el ambiente de control de la

organización.
El auditor de SI debe revisar y evaluar los riesgos que pueden afectar de
manera adversa el entorno de SI.

ESTÁNDAR N° 11: USO DE LA EVALUACIÓN DE RIESGOS EN LA

PLANEACION DE AUDITORIA
El auditor de SI debe utilizar una técnica o enfoque apropiado de evaluación
de riesgos al desarrollar el plan general de auditoría de SI y al determinar
prioridades para la asignación eficaz de los recursos de auditoría de SI.

Al planear revisiones individuales, el auditor de SI debe identificar y evaluar

los riesgos relevantes al área bajo revisión.

ESTÁNDAR N° 12: MATERIALIDAD DE LA AUDITORÍA

El auditor de SI debe considerar la materialidad de la auditoría y su relación

con el riesgo de auditoría a la vez que determina la naturaleza, los plazos y
el alcance de los procedimientos de auditoría.
Mientras planifica la auditoría, el auditor de SI debe considerar las posibles
debilidades o la ausencia de controles, y si tales debilidades o ausencias de
controles pueden ocasionar una deficiencia importante o una debilidad
material en el sistema de información.

El auditor de SI debe considerar el efecto acumulativo de las deficiencias o

debilidades menores de control y la ausencia de controles que pueden
traducirse en una deficiencia significativa o debilidad material en el sistema
de información.

El informe del auditor de SI debe divulgar los controles ineficaces o la

ausencia de controles, y el significado de estas deficiencias, así como la
posibilidad de que estas debilidades ocasionen una deficiencia importante o
debilidad material.

ESTÁNDAR N° 13: USO DEL TRABAJO DE OTROS EXPERTOS

El auditor de SI debe, donde resulte apropiado, considerar el uso del trabajo

de otros expertos para realizar la auditoría.

El auditor de SI debe evaluar y estar satisfecho con las credenciales

profesionales, competencias, experiencia relevante, recursos, independencia
y procesos de control de calidad de otros expertos, antes de su contratación.

El auditor de SI debe evaluar, revisar y calificar el trabajo de otros expertos

como parte de la auditoría y concluir el grado de utilidad y la fiabilidad del
trabajo del experto.

El auditor de SI debe determinar y concluir si el trabajo de otros expertos

resulta adecuado y suficiente para permitir que el auditor de SI saque sus
conclusiones con respecto a los objetivos actuales de la auditoría. Dicha
conclusión debe documentarse claramente.

El auditor de SI debe aplicar procedimientos de prueba adicionales para

lograr una evidencia de auditoría suficiente y apropiada en circunstancias en
las que el trabajo de otros expertos no la proporciona.

El auditor de SI debe proporcionar una opinión de auditoría apropiada e

incluir los límites del alcance cuando no se obtenga la evidencia requerida
mediante procedimientos de prueba adicionales.

ESTÁNDAR N° 14: EVIDENCIA DE AUDITORÍA

El auditor de SI debe obtener evidencias de auditoría suficientes y

apropiadas para llegar a conclusiones razonables sobre las que basar los
resultados de la auditoría.

El auditor de SI debe evaluar la suficiencia de las evidencias de auditoría

obtenidas durante la misma.

ESTÁNDAR N° 15: CONTROLES DE TECNOLOGÍAS DE INFORMACIÓN

El auditor de SI debe evaluar y supervisar los controles de TI que son parte

integral del entorno de control interno de la organización.

El auditor de SI debe asistir a la gerencia proporcionando consejos con

respecto al diseño, la implementación, la operación y la mejora de controles
de TI.

ESTÁNDAR N° 16: COMERCIO ELECTRÓNICO

El auditor de SI debe evaluar los controles aplicables, y cotejar los riesgos al

revisar entornos de comercio electrónico, para asegurar que las
transacciones de comercio electrónico están correctamente.
 8. NECESIDADES DE LAS EMPRESAS

Los riesgos de pérdidas en las empresas que no tienen implementados los

controles y medidas de seguridad en sus sistemas de procesamiento
electrónico de datos son cada día mayores. Algunas pueden ser: la
integridad de la información, uso inadecuado de la información obtenida en
medios magnéticos, fraude directo a través del computador, sanciones
legales, daño y destrucción de activos informáticos, desventaja competitiva,
entre otros, que al final representan pérdidas económicas para la
organización.

Son evidencias que crean la necesidad de la auditoria a sistemas

computarizados.

Administración de la información
Fraudes a través del computo
Inversión alta en Hardware y Software
Nuevos servicios
Modificación en los sistemas
Controles PED inadecuados
Cambios en los reglamentos y procedimientos
Avances en la tecnología
Volumen de la información
 9. FLEXIBILIDAD DE CAMBIO EN AUDITORIA FINANCIERA

El sistema de información debe ser revisado y, de corresponder, rediseñado

cuando se detecten deficiencias en su funcionamiento y productos. Cuando
el organismo cambie su estrategia, misión, política, objetivos, programa de
trabajo, etc., se debe contemplar el impacto en el sistema de información y
actuar en consecuencia.
Si el sistema de información se diseña orientado en una estrategia y un
programa de trabajo, es natural que al cambiar éstos, tenga que adaptarse.
Por otra parte, es necesario una atención especial para evitar que la
información que dejó de ser relevante siga fluyendo en detrimento de otra
que pasó a serlo.
Además, se debe vigilar que el sistema no se sobrecargue artificialmente,
situación que se genera cuando se adiciona la información ahora necesaria
sin eliminar la que perdió importancia.

CARACTERISTICAS PARA REVISAR EN LA AUDITORIA DE SISTEMAS

Se debe observar en qué medida la organización cumple estas

características

 El sistema de información está diseñado sobre la base de la estrategia

de información y comunicación.
 El sistema de información se rediseña ante cambios en la estrategia
de información y comunicación.
 Se revisa y rediseña el sistema de información cuando se detectan
deficiencias en su funcionamiento y resultados.
 10. RESULTADOS Y ANALISIS

Planeamiento, Control y Seguridad del Sistema de Computación: La

mayoría de las instituciones depende mucho en computadoras, y se
puede deducir que se necesita un control de seguridad para que el
manejo sea mucho más fácil de controlar y guardar, si no el de
promover la auditoria informativa tendrá sus dificultades.

Control en el almacenamiento de datos: El sueño de un perfecto

control seria el de poder registrar cada dato, la persona, fecha y si
este no tuviera la autorización denegarle la entrada, todo esto se esta
haciendo pero por la falta de personal y por el rápido cambio que
transcurre nos es difícil el de registrar y darle un código por ejemplo
en un sistema de IBM el RCF es el código de control y
almacenamiento.

Cambio en el control de datos: En la creación de sistemas uno no se

debe olvidar también la forma de guardar los datos en casos de
revisión.

La estabilidad del servicio y mantenimiento: Por el nuevo

enfrentamiento a Y2K el mantenimiento y servicio de recuperar las
posibles perdidas de datos es lo que impulsa a un nuevo cambio de
sistemas.

Control en el uso: En uno de los bancos en su ¨ Sistema de caja de

ahorros el personal de la caja de ahorros tiene acceso directo, pero
por falta de control puede ocurrir problemas muy drásticas también en
el caso del seguro medico, más de una persona usando el mismo
numero de serie, también en una transacción privada de moneda
extrajera en el banco por no haber mantenido un récord en el ( Log file
), causo lo perdida de datos de esta transacción para una revisión
futura. Esto son algunos de los casos que tenemos que seguir
promoviendo e impulsando en el futuro.

Resultados usando el sistema para revisiones: En el transcurso del

año pasado, las instituciones que utilizaron el sistema de revisión de la
auditoria fueron 8, los resultados fueron muy productivos. Por ejemplo:
En una revisión de una de las Instituciones de auditoria a los
impuestos de vivienda se ha dado el caso de que hay problemas con
más de 1000 casos en las cuales los impuestos no se ha dado
conforme a las regulaciones, todo esto gracias al sistema de ACL, si
 se desarrolla en el futuro el control y manejo del sistema, problemas
como estas no serán más problemas.

El progreso de la tecnología de la computación y la informática, esta

mejorando día a día, esto a la vez esta causando los problemas de las
oportunidades a cometer errores, el revisar e inspeccionar es el trabajo de la
auditoria para poder brindar un mejor trabajo de control a la sociedad.

La oficina de la auditoria en su trabajo de inspeccionar bajo las regulaciones

y leyes de la auditoria, construir sistemas de control en la auditoria
informática no permite el cometer ningún error en el proceso de control,
almacenamiento de datos, revisión. Debido a todo esto se sugiere a las
instituciones bajo inspección que por lo menos al año una vez tengan clases
sobre el control y manejo de sistemas, de esta forma se puede evitar la
perdida de datos por malmanejo y se puede poner también estas
regulaciones dentro de las normas de cada institución, esperando en el
futuro obtener un buen manejo y control de sistemas en la auditoria
informática.

Los informes de auditoría son el producto final del trabajo del auditor de
sistemas, este informe es utilizado para indicar las observaciones y
recomendaciones a la gerencia, aquí también se expone la opinión sobre lo
adecuado o lo inadecuado de los controles o procedimientos revisados
durante la auditoría, no existe un formato específico para exponer un informe
de auditoría de sistemas de información, pero generalmente tiene la
siguiente estructura o contenido.

Introducción al informe, donde se expresara los objetivos de la

auditoría, el período o alcance cubierto por la misma, y una expresión
general sobre la naturaleza o extensión de los procedimientos de
auditoría realizados.

Observaciones detalladas y recomendaciones de auditoría .

Respuestas de la gerencia a las observaciones con respecto a las
acciones correctivas.

Conclusión global del auditor expresando una opinión sobre los

controles y procedimientos revisados.

Seguimiento de las observaciones de auditoría. El trabajo de auditoría

es un proceso continuo, se debe entender que no serviría de nada el
trabajo de auditoría si no se comprueba que las acciones correctivas
tomadas por la gerencia, se están realizando, para esto se debe tener
un programa de seguimiento, la oportunidad de seguimiento
dependerá del carácter crítico de las observaciones de auditoría. El
nivel de revisión de seguimiento del auditor de sistemas dependerá de
diversos factores, en algunos casos el auditor de sistemas tal vez solo
necesite inquirir sobre la situación actual, en otros casos tendrá que
hacer una revisión más técnica del sistema
 CONCLUSIONES

La auditoria de sistemas se ha convertido en un reto para las

empresas, depende de ellas mismas, el estudio y desarrollo de armas
que defiendan la información contable y financiera de ellas mismas.

El desempeño de un auditor o revisor fiscal frente el área de sistemas

se hace cada día más importante, es por eso que la actualización
contante es una meta constante en el desarrollo de su actividad.

El enfoque que una empresa tenga frente a su auditoria facilitará el

trabajo del auditor, y el diseño de nuevas aplicaciones es una
responsabilidad global empresarial para tener óptimos resultados.

Las empresas tienes múltiples necesidades y esta en el auditor el

buscarlas y resolver problemas, proponer soluciones e implementar un
sistema de control interno apto para cada entidad.

El desarrollo de la auditoria informática en una empresa es un primer

paso, y en base a los resultados obtenidos, es necesario seguir
erfeccionando procesos y realizando una mejora continua.