Que es auditoria

Es la Acumular Evidencia y comparar con Criterios Preestablecidos

LOS COMPONENTES DEL CONTROL INTERNO

1. AMBIENTE DE CONTROL
2. EVALUACION DE RIESGOS
3. ACTIVIDADES DE CONTROL
4. INFORMACION Y COMUNICACIÓN
5. SUPERVISION Y MONITOREO
ESTUDIO Y EVALUACION DEL CONTROL INTERNO
Para determinar la cantidad de procedimientos que va aplicar el auditor en su trabajo
Buen control interno Menor cantidad de procedimiento
Mal control interno Mayor cantidad de procedimientos
COMO SE HACE UNA AUDITORIA

LAS 4 FASES DE LA AUDITORIA

 Planificación
 Estudio y evaluación del control interno
 Obtención de evidencias
 Comunicación de resultados

Cuales son las Nagas

LAS NORMAS DE AUDITORIA SON 10 Y SE DIVIDEN EN 3 GRUPOS

1. Normas generales
2. Normas de trabajo de campo
3. Normas relativas al informe

Garantiza la calidad de trabajo profesional del auditor

NAGA 10 y se dividen en 3 grupos le sirve al auditor para realizar su trabajo
Normas generales

 Entrenamiento y capacidad profesional

 Independencia
 Cuidado y esmero profesional
NORMAS DE EJECUCION DEL TRABAJO

 Planeamiento y supervisión
 Estudio y evaluación del control interno
  Evidencia suficiente y apropiada
NORMAS DE INFORMACION O PREPARACION DEL INFORME

 Aplicación de los principios de contabilidad generalmente aceptados

 Consistencia
 Revelación suficiente
 Opinión del auditor
TEMA 1 INTRODUCCION A LA AUDITORIA DE SISTEMAS

INTRODUCCION

CAAT Computer Asissted Audit technics TAAC Tecnicas de Auditoria Asistidas por Computadora ACL
IDEA

Auditoria operativa. - PCGA

Auditoria Especial. - Disposiciones legales

Auditoria de Sistemas. - Eficiencia Eficacia Seguimiento y Cumplimiento

Normas técnicas

Auditoria “Es la acumulación de evidencias y comparar con criterios preestablecidos”

EL AUDITOR NO PUEDE MODIFICAR LOS CRITERIOS PREESTABLECIDOS Y SI PUEDE ACUMULAR

EVIDENCIAS

LAS DISPOSICIONES LEGALES SI PUEDEN SER CRITERIOS PREESTABLECIDOS

Las normas de auditoria no son criterios preestablecidos porque son las pautas que le dice al auditor
como tiene que realizar su trabajo y es de cumplimiento obligatorio

CLASES DE AUDITORIA Y SU OBJETO

1. POR SU ORIGEN
AUDITORIA INTERNA: Lo realizan los auditores que trabajan dentro de la entidad o dentro
de una empresa que conforman la unidad de auditoria interna que se conoce como la UAI
Estos auditores tienen que ser independientes de criterio.
AUDITORIA EXTERNA Son profesional auditores que no trabajan en la entidad los cuales
son los auditores de la contraloría, las consultoras, organismos internacionales.
Estos auditores tienen que ser independientes de criterio.

Si los auditores internos y externos realizan mal su trabajo y vulneran su derecho a otras personas
pueden llegar a un proceso judicial que está permitido en la ley 23318-A

2. AREA DE APLICACIÓN (CLASE OBJETO Y FINALIDAD)

 AUDITORIA FINANCIERA
CLASE - FINANCIERA
OBJETO - ESTADOS FINANCIEROS
FINALIDAD - PRESENTAN LA REALIDAD
  AUDITORIA OPERATIVA
CLASE OPERATIVA
OBJETO ADMINISTRACION
FINANLIDAD LAS E.E.E.E. la eficacia, la eficiencia, la economicidad y la efectividad.
 AUDITORIA DE SISTEMAS
CLASE SISTEMAS
OBJETO APLICACIONES, RECURSOS INFORMATICOS, PLANES DE CONTINGENCIA
(tomar previsiones a futuro contra posibles incidentes que puedan ocurrir), PLAN
DE RECUPERACION DE DESASTRES, PLAN DE CONTINUIDAD DEL NEGOCIO
FINALIDAD OPERATIVIDAD EFICIENTE, SEGÚN NORMAS ESTABLECIDAS
 AUDITORIA AMBIENTAL
 AUDITORIA DE PROYECTOS
 AUDITORIA DE TIC

ASPECTOS GENERALES DE LA TEORIA GENERAL DE SISTEMAS (TGS)

- ELEMENTOS E INTERACCION
- COMPORTAMIENTO HOLISTICO

CARACTERISTICAS DE LOS SISTEMAS

-ELEMENTOS – FISICOS (EL MOTOR UN PARTIDO DE FUTBOL) O ABSTRACTOS ( LAS HIPOTESIS

LAS TEORIAS)

-LA INTERACCION – A LA FORMA DE COMO INTERACTUAN LOS ELEMENTOS

-HOLISMO O SINERGIA – EL TODO ES SUPERIOR A LA SUMA DE LAS PARTES, UN SISTEMA

GENERA SIEMPRE ALGO NUEVO

-ESTRUCTURA – CADA ELEMENTO TIENE SU RESPECTIVO LUGAR

-ENTORNO – TODO SISTEMAS FORMA PARTE DE OTRO SISTEMA DE MAYOR MAGNITUD (SU
ENTORNO ES LA MOVILIDAD Y TIENE OTROS SISTEMAS)

-ENTROPIA – SE REFIERE A LA CANTIDAD DE ENERGIA QUE PIERDE UN SISTEMA

CLASES DE SISTEMAS

 CRITERIO DE CLASIFICACION CLASES DE SISTEMAS

POR EL GRADO DE COMPLEJIDAD SIMPLES A COMPLEJOS
POR EL COMPORTAMIENTO DE LOS SISTEMAS DETERMINISTAS (SABEN HACER UNA
SOLA COSA EJEMPLO UNA TIJERA O MAQUINA DE ESCRIBIR) Y PROBABILISTAS (QUE
FUNCIONAN EN BASE DE PROBABILIDADES EJEMPLO SISTEMA ECONOMICO
CONSTITUCION FISICOS ( UN MOTOR UN EQUIPO DE FURBOL) Y ABSTRACTOS
(LAS HIPOTESIS EN LAS INVESTIGACIONES Y DIFERENTES TEORIAS)
CAPACIDAD DE AUTODIRIGIRSE GOBERNADOS (REQUIEREN LA PARTICIPACION DEL
HOMBRE EJEMPLO LA COMPUTADORA) Y AUTOGOBERNADOS (REQUIEREN UNA
MINIMA PARTICIPACION DEL HOMBRE EJEMPLO LOS ROBOTS)
 MOTIVOS O JUSTIFICATIVOS PARA EFECTUAR UNA AUDITORIA DE SISTEMAS
-CUANDO LOS DATOS ESTAN ALMACENADOS EN MEDIOS MAGNETICOS
-AUMENTO IMPORTANTE DEL PRESUPUESTO DEL DEPARTAMENTO DE SISTEMAS
-DESCONTENTO DE LOS USUSARIOS SOBRE LA APLICACIONES
-FALTA TOTAL O PARCIAL DE SEDURIDADES FISICAS Y LOGICAS

TIPOS DE SISTEMAS DE INFORMACION

TEMA 2 LA INFORMATICA COMO HERRAMIENTA DEL AUDITOR/CONTADOR

PRONUNCIAMIENTOS Y NORMAS

AICPA (American Institute of Certified Public Accountants)

SAS (Statement on auditing standards) (Declaraciones sobre las normas de auditoria)

Principio de control interno es la segregación de funciones quiere decir que el propietario no puede
realizar otras funciones como Contador cajero nada de eso porque so si o si debe de tener su
personal capacitado

Cuando se incrementó las computadoras existió reducción de personal

Cuando los auditores querían evaluar el control interno tenían deficiencia por no saber manejar las
computadoras y asi realizar el control interno

El AICPA fue quien resolvió el problema y ya estaba publicado en 1974 SAS 3 que es LOS EFECTOS
DEL PROCESAMIENTO ELECTRONICO DE DATOS EN EL ESTUDIO Y EVALUACION DEL AUDITOR
SOBRE EL CONTROL INTERNO

HOY EN DIA SE LLAMA LAS TIC

EL PROBLEMA ERA CUAL ERA EL EFECTO DEL PROCESAMIENTO ELECTRONICO DE DATOS, PERO EL
AICPA LE RESUELVE EL PROBLE Y ES EL SAS 48 EN 1984 QUE SON LOS EFECTOS DEL
PROCESAMIENTOS DE DATOS EN UN EXAMEN DE ESTADOS FINANCIEROS

Como evaluamos esa estructura de control interno el AICPA les resuelve el problema en la SAS 55
en 1988 que trata sobre la EVALUACION DE LA ESTRUCTURA DEL CONTROL INTERNO EN LOS
ESTADOS FINANCIEROS

TECNOLOGIAS DE LA INFORMACION el AICPA LES DICE QUE LEAN LAS SAS 82 EN 1996 QUE TRATA
SOBRE LAS CONSIDERACIONES DE FRAUDE EN LOS ESTADOS FINANCIEROS

SAS 94 Los efectos de las tecnologías de la información en las consideraciones del auditor hacia el
control interno en una auditoria de estados financieros

COMO DETECTAR EL FRAUDE CUALES SON SUS CARACTERIASTICAS SAS 99 2002 FRAUDE Y SUS
CARACTERISTICAS EN LOS ESTADOS FINANCIEROS

COMERCIO ELECTRONICO COMO HACER UNA AUDITORIA

ISACA (Information Systems Audit and Control Association) Asociacion de Auditoria y Control de
Sistemas de Informacion
Es una agrupación de diversos profesionales sacan publicaciones sobre auditorias de sistemas\

COBIT (Control Objetives For Information adn related Technology)

OBJETIVOS DE CONTROL PARA LAS TECNOLOGIAS DE LA INFORMACION Y RELACIONADAS

ESTE COBIT ES UNA ERRAMIENTA PARA LA MAE que le menciona que realizar (COBIT VA SER LOS
CRITERIOS PREESTABLECIDOS lo que la MAE debe de cumplir)

ISACA capacita a los profesionales dando cursos sobre tecnologías de información cursos sobre
AUDITORIAS DE SISTEMAS

EXISTE ALREDEDOR DE 170 CAPITULOS DE ISACA EN BOLIVIA EXISTE ISACA

CISA( CERTIFICADO DE AUDITOR DE SISTEMAS DE INFORMACION)

1975 Objetivos de control EDP

1996 Objetivos de control para las tecnologías de la información y relacionadas COBIT

-Normas de ISACA para la auditoria de sistemas de información

-Directrices de ISACA para la auditoria de sistemas de información

-Procedimientos de ISACA para la AS

ISO (Organización Internacional para la Estandarizacion0

ISO 27001:2005 Sistema de la seguridad de la información

ISO 27202 Codigo de buenas practicas para la seguridad de información

CGE (Contraloria general del estado)

Norma de Auditoria Gubernamental 270 que trata sobre la Tic

Normas Internacionales de Auditoria

NIA 15 Auditoria en un ambiente de sistema de información por computadora

NIA 16 Tecnicas de auditoria asistidas por computadoras

NIA 20 Efectos de un entorno informatizado en la evaluación de sistemas de información contables

PRACTICA ( AMPLIAR LAS SAS, ISO 27001, Gub 270, NIA 15, NIA 16 Y NIA 20 y también buscar
modelos de control interno en el mundo algunos modelos

MODELOS DE CONTROL INTERNO

COBIT, COSO I y COSO II, Kontrag, COCO, CADBURY, MICIL, MECI, VIENOT, PETERS, KING, SAC, TURN
BULL, AEC (que hace esos modelos donde se aplica en que países)

REALIZAR UN VIDEO DE 3 A 4 MINUTOS CADA UNO ( RUSIA CHINA CORREA UN MINUTO POR
INTEGRANTE)

Normas de Auditoría Generalmente Aceptadas –Naga

PLANIFICACION NOS EMOS TRASADO UN NORTE Y SI O SI TENEMOS QUE LLEGAR

RAZONES PARA PLANIFICACION
PLAN PREVIO tendrán que ver si se acepta o no la auditoria
Obtención de antecedentes significa conocer la entidad como si hubiéramos trabajado
unos 5 años
Evaluar la estructura de control interno El auditor tiene que ver las debilidades de la
empresa donde no hay un buen control interno y tenemos que atacar donde no hay un buen
control interno
Pruebas globales se puede aplicar hasta en los ingresos, pero tiene que ser ingresos fijos
ALQUILERES 37000.-
Programa
ESTUDIO Y EVALUACION DEL CONTROL INTERNO
El control lo implanta la MAE pero ese control puede tener una serie de riesgos
Para determinar la cantidad de procedimientos que va aplicar el auditor en su trabajo
Buen control interno Menor cantidad de procedimiento
Mal control interno Mayor cantidad de procedimientos

OBTENCION DE EVIDENCIA

Realizar un estudio para hacer la evaluación del control interno

Cuestionario personalizado
Cuestionario estándar
Después de realizar los cuestionarios
Se hace o existe un documento que respalde la salida de algún material
La unidad de almacenes registra el ingreso de materiales
Los procedimientos salen
6. La unidad
ACTIVIDADES DE CONTROL
- SEGREGACION DE FUNCIONES
- AUTORIZACION DE OPERACIONES Y ACTIVIDADES
- CONTROL FISICO SOBRE ACTIVOS Y REGISTROS ( PUEDE HACER EL
CONTADOR O EL AUDITOR
MATRIZ DE EVALUACION DEL CONTROL INTERNO

DEFICIENCIA RIESGO OBJETIVOS ALCANCE PROCEDIMIENTOS

FALTA DE -COMPRAS DE -COMPRAS GESTION -VERIFICAR LA
COMISION BAJAS DE CALIDAD 2019 CALIDAD DEL BIEN
CALIFICADORA CALIDAD -PRECIOS Y RECOTIZAR EN
-COMPRAS RAZONABLES OTRAS CASAS
CON SOBRE COMERCIALES
PRECIO

Bs 4000.-
ART. X

EMP A EMP B EMP C

ART X ART X ART X

4500.- 4800.- 4650.-

Obtencion de evidencia suficiente y competente

Cualquier tipo de información que utilice el auditor y que le guie hacia las conclusiones
Clasificación-fisica-documental-analitiva-informatica
-COMPETENTE.- CREIBLE Y DIGNA DE CONFIANZA
-SUFICIENTE .- Debemos de tener la mayor cantidad de evidencias RENE R
Bs 300.- Bs 300.-

JUAN JUAN JUAN

JOSE JOSE JOSE

RENE R RENE P RENE P

Comunicación de resultados
COMUNICACIÓN DE RESULTADOS

La comunicación de resultados es el informe de auditoría y el informe de auditoría se considera

como el producto principal del proceso de auditoría, cualquier trabajo de auditoria siempre va
terminar con un informe de auditoría (es un documento escrito).

ESTRUCTURA DEL INFORME

-ANTECEDENTES: los motivos que han originado la auditoria

-OBJETIVOS: que quiero lograr mediante la realización de una auditoria

-OBJETO: el objeto es sobre lo que vamos a opinar (sobre almacenes, unidad de almacenes
planillas activos fijos)

-ALCANCE: se refiere al periodo que vamos auditar, puede ser una gestión un semestre

-METODOLOGIA: nos referimos a las técnicas y procedimientos que sean aplicado en el trabajo de
auditoria (metodología COBIT y el uso del sowart generalizado de auditoria)

-RESULTADOS:

-CONCLUSIONES: (como sacan las conclusiones en los trabajos dirigidos nos va mostrar en la
pantalla vamos a sacar las conclusiones ya sin los errores la próxima clase)

son inferencias lógicas sobre el objeto de auditorías basadas en los hallazgos, deben ser
expresadas explícitamente de manera convincente y persuasiva, evitando el riesgo de
interpretaciones por parte de los lectores.

VENTAJAS DE LA INFORMATICA COMO HERRAMIENTA PARA EL AUDITOR-CONTADOR

Grado de informalización

-comparar archivos

cuando un sistema esta computarizado (contabilidad, planillas, presupuestos y otros) es mucho

más fácil aplicar algunos procedimientos por ejemplo podemos comparar dos archivos de
diferentes meses como ser de enero y diciembre también puede comparar las columnas para
establecer diferencias

-cálculos

otra ventaja cuando el sistema esta computarizado se puede efectuar una serie de cálculos
aritméticos, en contabilidad no se necesita nada de derivadas ni integrales solo suma y resta las
cuatro operaciones aritméticas
-selección y emisión de muestreo

Estamos hablando del muestreo estadístico, cuando esta computarizado podemos recuperar
desde un programa estadístico (sp edius ss) y podemos aplicar el muestreo estadístico el ACL hace
el muestreo estadístico

3000 comprobantes selecciono 400 por el muestreo estadístico y debo de sacar los 400
estatificando

Mejora de las técnicas habituales

Tipo planificación de aud ejecución de la aud

General procesadores de texto Hojas electrónicas

Específicos ACL, IDEA, arbutus

team mates
Sistemas expertos

Sistemas expertos. - Es una aplicación informática que simula el comportamiento de un experto

humano. TICOM (the internal control model), RICE, AUDIT EXPERT

Probabilísticos. -

Basados en reglas. –

TRIADA DE LA SEGURIDAD DE LA INFORMACION

Son tres componentes que contribuyen a la seguridad y a la confiabilidad de la información

-DISPONIBILIDAD. - Se refiere a que la información siempre este accesible para todas las personas
autorizadas

-INTEGRIDAD. - Se refiere a que los datos no sean alterados y que sean los datos que
corresponden a la realidad

-CONFIDENCIALIDAD. - Se refiere a que no se revele información a quien no está autorizado

INTEGRIDAD

SEGURIDAD
 DISPONIBILIDAD CONFIDENCIALIDAD

CONFIABILIDAD

AMBIENTE DE TRABAJO. – El ambiente de trabajo del auditor de sistemas es el siguiente en el cual

va trabajar en una red de computadores

Sistemas Operativos. – (las redes funcionan con sistemas operativos)

- Windows (tenemos que informarnos de que trata el sistema operativo Windows)

- Linux (tenemos que informarnos de que trata el sistema operativo Linux)

Lenguajes. – tenemos que saber que lenguajes de programación utilizan esta red (tiene que tener
un sistema de cómputo)

- C++
- Visual Fox

Activos de información. – es un recurso de información (cuales son esos recursos de información:

el hardware y el personal informativo esos son activos de información

- Amenazas. – Son los eventos que pueden provocar incidentes (Virus) los hackers y los
crackers pueden ingresar a la red, pueden estar dentro la empresa o también están fuera
de la empresa en otros países ellos quieren ingresar a una red de computadoras con la
finalidad de sacar información
- Vulnerable. – es una debilidad que tiene el sistema
- Impacto. – es la magnitud de las consecuencias de un incidente (el virus puede ocasionar
un impacto que perjudique a la empresa por varios días o por unas horas)
- Riesgos. – es la probabilidad de ocurrencia de un incidente

Hackers. – los hackers son personas expertas en tecnologías de la información y los hackers no
destruyen más bien buscan soluciones a diferentes problemas informáticos

Crackers. – los crackers son expertos en tecnología de la información igual que los hackers, pero
violan la seguridad de un sistema informático quienes entran a destruir

Lamers. – Son personas que presumen tener conocimientos que realmente no los tienen son
charlatanes, pero en realidad no tienen la menor idea

Phreahackers. – Los pherahackers son los crackers de los teléfonos, ingresaban a los teléfonos
fijos donde realizaban llamadas internacionales eso hacía que las cuentas sean elevadas
Carder. – También son personas que conocen las tecnologías de la información, pero se dedican a
actividades fraudulentas con tarjetas de crédito, logran conseguir el número de la tarjeta y la
contraseña y sacan dinero de una determinada cuenta

Stalker. – Son personas que utilizan las redes sociales para espiar o vigilar a otras personas de
manera anónima todo a través de internet por supuesto utilizando datos falsos

Puede haber un hacker dentro la empresa que puede amenazar nuestro ambiente de
trabajo pueden utilizar diferentes programas

Malware. – Software malicioso (que se infiltran en la computadora y dañan sin darnos cuenta
algunos de esos programas son:

- Adware. – Los Adware muestran anuncios publicitarios en forma sorpresiva y cuando se

accede se puede instalar un programa espía en la computadora
- Spyware. – Estos programas son programas espías que recopilan información de la
computadora y transmiten a otra computadora, pero solamente realizan eso mediante un
correo, pero no se replican no van a otras computadoras solo existe la comunicación entre
dos computadoras
- Caballo de Troya. – Estos son los más peligrosos
- Phishing. – Este programa suplanta la identidad de las páginas web
- Keylogger. – Son programas que registran y graban todo lo que se escribe en el teclado y
se almacena en un archivo de texto y cada cierto tiempo ese archivo de texto es enviado a
la persona que ha instalado el Keylogger y sirve para sacar contraseñas y enterarse de que
se está haciendo en una computadora o celular
- Spam. – Estos programas envían mensajes no solicitados de tipo publicitario y son
enviados de forma masiva generalmente por correo electrónico
- Hoax. – Son mensajes de correo electrónico con contenido falso y los distribuyen en
cadenas la finalidad de estos programas es de cambiar direcciones de correo y saturar los
sistemas

Cuáles son las amenazas más comunes:

- Usuarios deshonestos. – eso ocurre en todas partes siempre van a existir, en caso de los
sistemas informáticos estos sustraen datos, archivos, programas los que piden eso son la
competencia, para proteger el sistema de esta red ante los usuarios deshonestos, primero
siempre deberían tener Password en los programas, los datos siempre deben estar
encriptados, los programas siempre deben de estar compilados
- Virus. – Son programas que dañan la computadora se puede combatir con un antivirus
- Caballo de Troya. – Son muy peligrosos porque pueden ingresar a una computadora y
pueden controlar la computadora y eso se puede hacer en una red de computadoras
enviando un troyano de una computadora a otra, el hacker puede sacar información para
evitar eso se puede proteger colocando una pared delante de una computadora y esa
pared se llama el corta fuegos y antivirus actualizado, (DEEP WEB es una página muy
peligrosa como el mercado negro)
- Ataque automatizado. – se conoce como bombas lógicas son programas insertados a un
determinado programa y funcionan por lo general a una determinada fecha que se ha
 dado, supongamos colocar una bomba lógica a un programa para que se active el 21 de
septiembre se activa ese programa y comenzara a borrar archivos (no puede colocar la
bomba lógica cualquier persona, solo podría colocar uno del departamento de sistemas
uno que desarrolla y maneja los programas mayormente lo colocan por venganza) para
evitar ese tipo de inconvenientes al momento que se le entrega el memorándum de retiro
al personal de sistemas ya no debe de manejar ninguna computadora y se debe de
cambiar las contraseñas debe de ser sorpresivo ( TENER MUCHO CUIDADO CON EL
PERSONAL INFORMATICO )
- Violación de contraseñas. – Existen dos formas de conseguir las contraseñas
Fuerza bruta. – consiste en realizar N intentos, pero tiene que ser siempre en base
a una pista (todos los programas deberían de tener control de intentos para que
no apliquen la técnica de la fuerza bruta)
Ingeniería social. – no es nada más que hacer un seguimiento a la persona
propietaria de la contraseña hay que hacerle un seguimiento (que tenemos que
hacer para que nonos aplique esto debemos de CREAR CONTRASEÑAS ROBUSTAS
con la combinación de números letras mayúsculas y minúsculas
- Keylogging. – son programas que se instalan en una computadora y que almacenan en un
archivo toso lo que se hace en el teclado la forma de protegernos es a través del
Antikeyloger y ejecutamos y nos dará a conocer si es que existe un Keylogging

Vulnerabilidades más comunes:

- Personal no capacitado. – Persona que no tiene ni idea del trabajo que está realizando
(para evitar eso tenemos que aplicar el sistema del personal)
- Ausencia de controles físicos y lógicos. – Cuando decimos físicos nos referimos a los
equipos hardware y cuando decimos lógicos nos referimos a los programas y datos y
cuando decimos ausencia de estos controles quiere decir que nadie controla por ejemplo
lo que sale la computadora o impresoras cosa que no debe de suceder porque se maneja
información confidencial
- Ausencia de reportes de incidentes. – este reporte de incidentes no es nada más que un
registro de lo que ha ocurrido en algún momento determinado de la entidad, en el
departamento de sistemas tendrán que llenar este registro

Cuáles son los efectos de estas amenazas y vulnerabilidades

Van a ocasionar un fraude informático

Accesos no autorizados, cualquier persona ajena ingresara a una computadora por lo cual
va existir perdida daño y van a destruir la información

Cambios, modificaciones en los datos que ocasionara con seguridad interrupción de las
operaciones puede ser una tarde un día varios días que ocasionara a la empresa pérdida
económica
TEMA 3

EVALUACION DEL CONTROL INTERNO Y AUDITORIA DE SISTEMAS

Introducción. – si nos preguntamos qué hacían con las computadoras cuando aparecieron en
nuestro medio las primeras que en ORURO llegaron fueron unas dos primeras computadoras que
aparecieron los años 70 y 75, los costos de las computadoras eran muy elevados, pasando unos
años llegaron las micro computadoras que el costo era a 2 mil dólares, se elaboraban planillas de
sueldos los costos de las computadoras eran muy elevadas (PDP 1145 tenía una capacidad de
memoria de 128 k), para poder manejar las computadoras teníamos que saber la programación
para todo

Gobierno de TI (normas cobit) no es nada mas que uno o varios procesos que le permite al
personal de tecnología de información administrar mejor de una manera eficiente

Esta alineado con las TIC

COBIT (Se debe de capacitar al personal en toda actualización que se realice en los sistemas)

ISACA prepara en la tecnología de la información en auditoria de sistemas

270

Normas de auditoria de tecnología de la información y la comunicación

270 norma de auditoria de las tecnologías de la información y la comunicación

271 Planificación. – “”la auditoria de tecnologías de la información y la comunicación se debe

planificar en forma metodología, para alcanzar eficientemente los objetivos de la misma

Áreas criticas

Por falta de controles tendremos los Procedimientos de auditoria

Se diseñarán programas de trabajo que se aplicarán durante la ejecución del trabajo de campo,
para el efecto, en función a la evaluación del control interno y evaluación de riesgos, se
determinará la naturaleza, oportunidad y extensión de los procedimientos de auditoría que se
aplicarán para la obtención de evidencia competente y suficiente.

Las modificaciones que ameriten, deben ser expuestas en una adenda al Memorándum de
Planificación de Auditoría, que refleje los aspectos ajustados, así como su justificación.

272 Supervisión

Personal competente debe supervisar sistemática y oportunamente el trabajo realizado por los
profesionales que conformen el equipo de auditoría.

Grupos de profesionales

1 yúnior sin experiencia

2 señor 10 años con experiencia

Los supervisores deben de tener todas las disposiciones legales vigentes

02. La supervisión implica dirigir los esfuerzos del equipo de auditores gubernamentales hacia la
consecución de los objetivos de auditoría.

03. La supervisión debe ser realizada en cada una de las etapas de la auditoría, la misma incluye:

- Examinar la factibilidad y/o razonabilidad técnica de los objetivos y alcances de la auditoría

propuestos.

- Asegurar que los miembros del equipo comprendan los objetivos de la auditoría. En particular se
debe asegurar que entiendan claramente el trabajo a realizar, por qué se va efectuar y qué se
espera lograr.

- Guiar a los miembros del equipo de auditoría a lo largo del desarrollo de las tareas asignadas.

- Revisar oportunamente el trabajo realizado, a través de los respectivos papeles de trabajo en

medios físicos y/o electrónicos.

- Ayudar a absolver problemas técnicos y administrativos.

- Asegurar que la evidencia obtenida sea suficiente y competente.

- Detectar debilidades del personal asignado y proporcionar en consecuencia la capacitación

necesaria o requerir que la misma sea proporcionada por terceros.

04. La supervisión efectuada durante el desarrollo de la auditoría, debe estar evidenciada en los
papeles de trabajo en medios físicos y/o electrónicos, acumulados durante la misma.

273 Control interno

Debe obtenerse una comprensión del control interno relacionado con el objeto del examen.

CONTROLES DE VALIDACION

Contraseña compartida

SUPERVISOR

08. El estudio y evaluación del control interno incluye dos fases:

a) Conocimiento y comprensión de los procedimientos establecidos en la entidad referente a los

sistemas de información, al término del cual, el auditor gubernamental debe ser capaz de emitir
una opinión preliminar presumiendo un satisfactorio cumplimiento del control interno.

b) Comprobación de que los procedimientos relativos a los controles internos están siendo
aplicados tal como fueron observados en la primera fase.
Ejemplo:

274

La evidencia obtenida por el auditor gubernamental debe conservarse en papeles de trabajo

físicos y si fuera el caso como respaldo en papeles de trabajo electrónicos.

275 COMUNICACIÓN DE RESULTADOS

TAAC: TECNICAS DE AUDITORIA CON AYUDA DE COMPUTADORA

WO

APLICACIÓN DE COBIT
Cobit es un marco de trabajo y un conjunto de herramientas de gobierno de TI que permite
gestionar TI.
Principio básico de COBIT

Requerimientos de negocios

Procesos TI Recursos TI

ES UN MANUAL PARA LA MAE

Cobit nos dice que comprar

Esta organizado de la siguiente forma

Cobit, tiene Dominios, Procesos y Actividades

Dominio. - Agrupación de procesos

Proceso. - Conjunto de actividades

Actividad. - Acciones para lograr resultados

1. Planear y organizar
2. Adquirir e implantar
3. Entregar y dar soporte
4. Monitorear y evaluar

TEMA No. 4
 SOFTWARE GENERALIZADO DE AUDITORIA (ACL)

Objetivo. Lograr que el alumno al finalizar el tema pueda efectuar sus procedimientos de auditoria
y obtener evidencia informática utilizando un paquete de auditoria

Introducción. Son programas que el auditor como parte de los procedimientos de auditoria para
procesar datos significativos en un sistema de información

Tienen la capacidad de leer y acceder a datos directamente de diversas plataformas de bases de

datos.

Sirven para procesos generales tales como: Seleccionar registros, comparar datos, efectuar cálculos,
verificación de duplicados, verificación de secuencias y otros.

Ventajas.

1. Trabaja con el 100% de los datos

2. Provee independencia al auditor
3. Da la posibilidad de detectar fraude informático o manipulación intencionada de la
información
- El auditor puede construir sus propias consultas
ACL V.9
ACL (Audit Command Language) Lenguaje de Comandos para Auditoria. Es un paquete de
auditoria que permite hacer trabajos de consultas, análisis y generación de informes de
datos.

INSTALACION

Que es auditoria
Acumular Evidencia y comparar con Criterios Preestablecidos

LOS COMPONENTES DEL CONTROL INTERNO

7. AMBIENTE DE CONTROL
8. EVALUACION DE RIESGOS
9. ACTIVIDADES DE CONTROL
10. INFORMACION Y COMUNICACIÓN
11. SUPERVISION Y MONITOREO
ESTUDIO Y EVALUACION DEL CONTROL INTERNO
Para determinar la cantidad de procedimientos que va aplicar el auditor en su trabajo
Buen control interno Menor cantidad de procedimiento
Mal control interno Mayor cantidad de procedimientos
COMO SE HACE UNA AUDITORIA

LAS 4 FASES DE LA AUDITORIA

  Planificación
 Estudio y evaluación del control interno
 Obtención de evidencias
 Comunicación de resultados

Cuales son las Nagas

LAS NORMAS DE AUDITORIA SON 10 Y SE DIVIDEN EN 3 GRUPOS

4. Normas generales
5. Normas de trabajo de campo
6. Normas relativas al informe

Garantiza la calidad de trabajo profesional del auditor

NAGA 10 y se dividen en 3 grupos le sirve al auditor para realizar su trabajo
Normas generales

 Entrenamiento y capacidad profesional

 Independencia
 Cuidado y esmero profesional
NORMAS DE EJECUCION DEL TRABAJO

 Planeamiento y supervisión
 Estudio y evaluación del control interno
 Evidencia suficiente y apropiada
NORMAS DE INFORMACION O PREPARACION DEL INFORME

 Aplicación de los principios de contabilidad generalmente aceptados

 Consistencia
 Revelación suficiente
 Opinión del auditor

COMUNICACIÓN DE RESULTADOS

La comunicación de resultados es el informe de auditoría y el informe de auditoría se considera

como el producto principal del proceso de auditoría, cualquier trabajo de auditoria siempre va
terminar con un informe de auditoría (es un documento escrito).

ESTRUCTURA DEL INFORME

-ANTECEDENTES: los motivos que han originado la auditoria

-OBJETIVOS: que quiero lograr mediante la realización de una auditoria

-OBJETO: el objeto es sobre lo que vamos a opinar (sobre almacenes, unidad de almacenes
planillas activos fijos)

-ALCANCE: se refiere al periodo que vamos auditar, puede ser una gestión un semestre

-METODOLOGIA: nos referimos a las técnicas y procedimientos que sean aplicado en el trabajo de
auditoria (metodología COBIT y el uso del sowart generalizado de auditoria)

-RESULTADOS:

-CONCLUSIONES: (como sacan las conclusiones en los trabajos dirigidos nos va mostrar en la
pantalla vamos a sacar las conclusiones ya sin los errores la próxima clase)

son inferencias lógicas sobre el objeto de auditorías basadas en los hallazgos, deben ser
expresadas explícitamente de manera convincente y persuasiva, evitando el riesgo de
interpretaciones por parte de los lectores.

VENTAJAS DE LA INFORMATICA COMO HERRAMIENTA PARA EL AUDITOR-CONTADOR

Grado de informalización

-comparar archivos

cuando un sistema esta computarizado (contabilidad, planillas, presupuestos y otros) es mucho

más fácil aplicar algunos procedimientos por ejemplo podemos comparar dos archivos de
diferentes meses como ser de enero y diciembre también puede comparar las columnas para
establecer diferencias

-cálculos

otra ventaja cuando el sistema esta computarizado se puede efectuar una serie de cálculos
aritméticos, en contabilidad no se necesita nada de derivadas ni integrales solo suma y resta las
cuatro operaciones aritméticas

-selección y emisión de muestreo

Estamos hablando del muestreo estadístico, cuando esta computarizado podemos recuperar
desde un programa estadístico (sp edius ss) y podemos aplicar el muestreo estadístico el ACL hace
el muestreo estadístico

3000 comprobantes selecciono 400 por el muestreo estadístico y debo de sacar los 400
estatificando

Mejora de las técnicas habituales

Tipo planificación de aud ejecución de la aud

General procesadores de texto Hojas electrónicas

Específicos ACL, IDEA, arbutus

 team mates
Sistemas expertos

Sistemas expertos. - Es una aplicación informática que simula el comportamiento de un experto

humano. TICOM (the internal control model), RICE, AUDIT EXPERT

Probabilísticos. -

Basados en reglas. –

TRIADA DE LA SEGURIDAD DE LA INFORMACION

Son tres componentes que contribuyen a la seguridad y a la confiabilidad de la información

-DISPONIBILIDAD. - Se refiere a que la información siempre este accesible para todas las personas
autorizadas

-INTEGRIDAD. - Se refiere a que los datos no sean alterados y que sean los datos que
corresponden a la realidad

-CONFIDENCIALIDAD. - Se refiere a que no se revele información a quien no está autorizado

INTEGRIDAD

SEGURIDAD

DISPONIBILIDAD CONFIDENCIALIDAD

CONFIABILIDAD

AMBIENTE DE TRABAJO. – El ambiente de trabajo del auditor de sistemas es el siguiente en el cual

va trabajar en una red de computadores

Sistemas Operativos. – (las redes funcionan con sistemas operativos)

- Windows (tenemos que informarnos de que trata el sistema operativo Windows)

- Linux (tenemos que informarnos de que trata el sistema operativo Linux)
Lenguajes. – tenemos que saber que lenguajes de programación utilizan esta red (tiene que tener
un sistema de cómputo)

- C++
- Visual Fox

Activos de información. – es un recurso de información (cuales son esos recursos de información:

el hardware y el personal informativo esos son activos de información

- Amenazas. – Son los eventos que pueden provocar incidentes (Virus) los hackers y los
crackers pueden ingresar a la red, pueden estar dentro la empresa o también están fuera
de la empresa en otros países ellos quieren ingresar a una red de computadoras con la
finalidad de sacar información
- Vulnerable. – es una debilidad que tiene el sistema
- Impacto. – es la magnitud de las consecuencias de un incidente (el virus puede ocasionar
un impacto que perjudique a la empresa por varios días o por unas horas)
- Riesgos. – es la probabilidad de ocurrencia de un incidente

Hackers. – los hackers son personas expertas en tecnologías de la información y los hackers no
destruyen más bien buscan soluciones a diferentes problemas informáticos

Crackers. – los crackers son expertos en tecnología de la información igual que los hackers, pero
violan la seguridad de un sistema informático quienes entran a destruir

Lamers. – Son personas que presumen tener conocimientos que realmente no los tienen son
charlatanes, pero en realidad no tienen la menor idea

Phreahackers. – Los pherahackers son los crackers de los teléfonos, ingresaban a los teléfonos
fijos donde realizaban llamadas internacionales eso hacía que las cuentas sean elevadas

Carder. – También son personas que conocen las tecnologías de la información, pero se dedican a
actividades fraudulentas con tarjetas de crédito, logran conseguir el número de la tarjeta y la
contraseña y sacan dinero de una determinada cuenta

Stalker. – Son personas que utilizan las redes sociales para espiar o vigilar a otras personas de
manera anónima todo a través de internet por supuesto utilizando datos falsos

Puede haber un hacker dentro la empresa que puede amenazar nuestro ambiente de
trabajo pueden utilizar diferentes programas

Malware. – Software malicioso (que se infiltran en la computadora y dañan sin darnos cuenta
algunos de esos programas son:

- Adware. – Los Adware muestran anuncios publicitarios en forma sorpresiva y cuando se

accede se puede instalar un programa espía en la computadora
- Spyware. – Estos programas son programas espías que recopilan información de la
computadora y transmiten a otra computadora, pero solamente realizan eso mediante un
correo, pero no se replican no van a otras computadoras solo existe la comunicación entre
dos computadoras
- Caballo de Troya. – Estos son los más peligrosos
 - Phishing. – Este programa suplanta la identidad de las páginas web
- Keylogger. – Son programas que registran y graban todo lo que se escribe en el teclado y
se almacena en un archivo de texto y cada cierto tiempo ese archivo de texto es enviado a
la persona que ha instalado el Keylogger y sirve para sacar contraseñas y enterarse de que
se está haciendo en una computadora o celular
- Spam. – Estos programas envían mensajes no solicitados de tipo publicitario y son
enviados de forma masiva generalmente por correo electrónico
- Hoax. – Son mensajes de correo electrónico con contenido falso y los distribuyen en
cadenas la finalidad de estos programas es de cambiar direcciones de correo y saturar los
sistemas

Cuáles son las amenazas más comunes:

- Usuarios deshonestos. – eso ocurre en todas partes siempre van a existir, en caso de los
sistemas informáticos estos sustraen datos, archivos, programas los que piden eso son la
competencia, para proteger el sistema de esta red ante los usuarios deshonestos, primero
siempre deberían tener Password en los programas, los datos siempre deben estar
encriptados, los programas siempre deben de estar compilados
- Virus. – Son programas que dañan la computadora se puede combatir con un antivirus
- Caballo de Troya. – Son muy peligrosos porque pueden ingresar a una computadora y
pueden controlar la computadora y eso se puede hacer en una red de computadoras
enviando un troyano de una computadora a otra, el hacker puede sacar información para
evitar eso se puede proteger colocando una pared delante de una computadora y esa
pared se llama el corta fuegos y antivirus actualizado, (DEEP WEB es una página muy
peligrosa como el mercado negro)
- Ataque automatizado. – se conoce como bombas lógicas son programas insertados a un
determinado programa y funcionan por lo general a una determinada fecha que se ha
dado, supongamos colocar una bomba lógica a un programa para que se active el 21 de
septiembre se activa ese programa y comenzara a borrar archivos (no puede colocar la
bomba lógica cualquier persona, solo podría colocar uno del departamento de sistemas
uno que desarrolla y maneja los programas mayormente lo colocan por venganza) para
evitar ese tipo de inconvenientes al momento que se le entrega el memorándum de retiro
al personal de sistemas ya no debe de manejar ninguna computadora y se debe de
cambiar las contraseñas debe de ser sorpresivo ( TENER MUCHO CUIDADO CON EL
PERSONAL INFORMATICO )
- Violación de contraseñas. – Existen dos formas de conseguir las contraseñas
Fuerza bruta. – consiste en realizar N intentos, pero tiene que ser siempre en base
a una pista (todos los programas deberían de tener control de intentos para que
no apliquen la técnica de la fuerza bruta)
Ingeniería social. – no es nada más que hacer un seguimiento a la persona
propietaria de la contraseña hay que hacerle un seguimiento (que tenemos que
hacer para que nonos aplique esto debemos de CREAR CONTRASEÑAS ROBUSTAS
con la combinación de números letras mayúsculas y minúsculas
 - Keylogging. – son programas que se instalan en una computadora y que almacenan en un
archivo toso lo que se hace en el teclado la forma de protegernos es a través del
Antikeyloger y ejecutamos y nos dará a conocer si es que existe un Keylogging

Vulnerabilidades más comunes:

- Personal no capacitado. – Persona que no tiene ni idea del trabajo que está realizando
(para evitar eso tenemos que aplicar el sistema del personal)
- Ausencia de controles físicos y lógicos. – Cuando decimos físicos nos referimos a los
equipos hardware y cuando decimos lógicos nos referimos a los programas y datos y
cuando decimos ausencia de estos controles quiere decir que nadie controla por ejemplo
lo que sale la computadora o impresoras cosa que no debe de suceder porque se maneja
información confidencial
- Ausencia de reportes de incidentes. – este reporte de incidentes no es nada más que un
registro de lo que ha ocurrido en algún momento determinado de la entidad, en el
departamento de sistemas tendrán que llenar este registro

Cuáles son los efectos de estas amenazas y vulnerabilidades

Van a ocasionar un fraude informático

Accesos no autorizados, cualquier persona ajena ingresara a una computadora por lo cual
va existir perdida daño y van a destruir la información

Cambios, modificaciones en los datos que ocasionara con seguridad interrupción de las
operaciones puede ser una tarde un día varios días que ocasionara a la empresa pérdida
económica

TEMA 3

EVALUACION DEL CONTROL INTERNO Y AUDITORIA DE SISTEMAS

Introducción. – si nos preguntamos qué hacían con las computadoras cuando aparecieron en
nuestro medio las primeras que en ORURO llegaron fueron unas dos primeras computadoras que
aparecieron los años 70 y 75, los costos de las computadoras eran muy elevados, pasando unos
años llegaron las micro computadoras que el costo era a 2 mil dólares, se elaboraban planillas de
sueldos los costos de las computadoras eran muy elevadas (PDP 1145 tenía una capacidad de
memoria de 128 k), para poder manejar las computadoras teníamos que saber la programación
para todo

Gobierno de TI (normas cobit) no es nada mas que uno o varios procesos que le permite al
personal de tecnología de información administrar mejor de una manera eficiente

Esta alineado con las TIC

COBIT (Se debe de capacitar al personal en toda actualización que se realice en los sistemas)

ISACA prepara en la tecnología de la información en auditoria de sistemas

270
Normas de auditoria de tecnología de la información y la comunicación

270 norma de auditoria de las tecnologías de la información y la comunicación

271 Planificación. – “”la auditoria de tecnologías de la información y la comunicación se debe

planificar en forma metodología, para alcanzar eficientemente los objetivos de la misma

Áreas criticas

Por falta de controles tendremos los Procedimientos de auditoria

Se diseñarán programas de trabajo que se aplicarán durante la ejecución del trabajo de campo,
para el efecto, en función a la evaluación del control interno y evaluación de riesgos, se
determinará la naturaleza, oportunidad y extensión de los procedimientos de auditoría que se
aplicarán para la obtención de evidencia competente y suficiente.

Las modificaciones que ameriten, deben ser expuestas en una adenda al Memorándum de
Planificación de Auditoría, que refleje los aspectos ajustados, así como su justificación.

272 Supervisión

Personal competente debe supervisar sistemática y oportunamente el trabajo realizado por los
profesionales que conformen el equipo de auditoría.

Grupos de profesionales

1 yúnior sin experiencia

2 señor 10 años con experiencia

Los supervisores deben de tener todas las disposiciones legales vigentes

02. La supervisión implica dirigir los esfuerzos del equipo de auditores gubernamentales hacia la
consecución de los objetivos de auditoría.

03. La supervisión debe ser realizada en cada una de las etapas de la auditoría, la misma incluye:

- Examinar la factibilidad y/o razonabilidad técnica de los objetivos y alcances de la auditoría

propuestos.

- Asegurar que los miembros del equipo comprendan los objetivos de la auditoría. En particular se
debe asegurar que entiendan claramente el trabajo a realizar, por qué se va efectuar y qué se
espera lograr.

- Guiar a los miembros del equipo de auditoría a lo largo del desarrollo de las tareas asignadas.

- Revisar oportunamente el trabajo realizado, a través de los respectivos papeles de trabajo en

medios físicos y/o electrónicos.

- Ayudar a absolver problemas técnicos y administrativos.

- Asegurar que la evidencia obtenida sea suficiente y competente.

- Detectar debilidades del personal asignado y proporcionar en consecuencia la capacitación
necesaria o requerir que la misma sea proporcionada por terceros.

04. La supervisión efectuada durante el desarrollo de la auditoría, debe estar evidenciada en los
papeles de trabajo en medios físicos y/o electrónicos, acumulados durante la misma.

273 Control interno

Debe obtenerse una comprensión del control interno relacionado con el objeto del examen.

CONTROLES DE VALIDACION

Contraseña compartida

SUPERVISOR

08. El estudio y evaluación del control interno incluye dos fases:

a) Conocimiento y comprensión de los procedimientos establecidos en la entidad referente a los

sistemas de información, al término del cual, el auditor gubernamental debe ser capaz de emitir
una opinión preliminar presumiendo un satisfactorio cumplimiento del control interno.

b) Comprobación de que los procedimientos relativos a los controles internos están siendo
aplicados tal como fueron observados en la primera fase.

Ejemplo:

274

La evidencia obtenida por el auditor gubernamental debe conservarse en papeles de trabajo

físicos y si fuera el caso como respaldo en papeles de trabajo electrónicos.

INSTALACION

OPERACIONES BASICAS

1. Ingreso al programa
Crear nuevo proyecto
ARCHIVO – NUEVO – PROYECTO – ASIGNAR NOMBRE – SIGUIENTE – ADJUNTAR ARCHIVO
– SIGUIENTE – FINALIZAR – ACEPTAR

COMPONENTES DE LA PANTALLA

Lo que más vamos a utilizar será

EDICION – DATOS – ANALIZAR

EXTENCION DE LOS ARCHIVOS.- Nombre. Extension

 Tipos de archivo Extensiones

Archivos de proyecto .ACL

Archivos de datos de salida .FIL

Archivos de Log .LOG

Archivos de índices .INX

Formato de tabla.- Permite ver los campos de la tabla

EDICION – DORMATO DE TABLA

Contar registros (contar las filas)

Totalizar campos (suma campos numéricos)