PLANEACIÓN DE LA AUDITORIA

EN INFORMÁTICA

Objetivos

• Conocerá las distintas fases que

comprende la auditoría en informática.

• Comprenderá la importancia en el
trabajo de auditoría de la planeación,
examen y la evaluación de la
información, la comunicación de los
resultados y el seguimiento.
FASES DE LA AUDITORÍA
La auditoría en informática es el
proceso de recolección y
evaluación de evidencias para
determinar cuándo son
salvaguardados los activos de
los sistemas computarizados,
de que manera se mantiene la
integridad de los datos y como
se logran los objetivos de la
organización eficazmente y se
usan los recursos consumidos
eficientemente.
FASES DE LA AUDITORÍA

La auditoría interna tiene el

objetivo de apoyar a los
miembros de la
organización en el
desempeño de sus
responsabilidades.
FASES DE LA AUDITORÍA

Los auditores internos son

responsables de
proporcionar información
acerca de la adecuación
y efectividad del sistema
de control interno de la
organización y de la
calidad de la gestión
FASES DE LA AUDITORÍA

El auditor interno debe ser

independiente de las
actividades que audita.

Las normas de auditoría

interna comprenden:
• Las actividades auditadas
y la objetividad de los
auditores internos.
FASES DE LA AUDITORÍA

• El conocimiento técnico, la
capacidad y el cuidado
profesional de los auditores
internos con los que deben
ejercer su función.
• El alcance del trabajo de
auditoría interna en el área de
informática.
• El desarrollo de las
responsabilidades asignadas a
los auditores internos
responsables de la auditoría a
informática
FASES DE LA AUDITORÍA
Los auditores deben ser
independiente y con un
buen criterio para no
tomar decisiones
subjetivas.

La objetividad es una actitud

de independencia mental
que los auditores internos
deben mantener al realizar
las auditorias.
FASES DE LA AUDITORÍA
El departamento de
auditoría interna deberá
asignar a cada auditoría a
aquellas personas que en
su conjunto posean los
conocimientos, la
experiencia y la disciplina
necesarios para conducir
apropiadamente la
auditoría.
FASES DE LA AUDITORÍA
El departamento de
auditoría interna deberá
asegurarse:
• Que las auditorias sean
supervisadas en forma
apropiada. La supervisión
es un proceso continuo
que comienza con la
planeación y termina con
el trabajo de auditoría.
FASES DE LA AUDITORÍA
• Que los informes de auditoría
sean precisos, objetivos, claros,
concisos, constructivos y
oportunos.
• Que se cumplan los objetivos
de la auditoría.
• Que la auditoría sea
debidamente documentada y
que se conserve la evidencia
apropiada de la supervisión.
FASES DE LA AUDITORÍA
• Que los auditores cumplan
con las normas
profesionales de
conducta.
• Que los auditores en
informática posean los
conocimientos,
experiencias y disciplinas
esenciales para realizar sus
auditorias.
FASES DE LA AUDITORÍA
Cada auditor interno
requiere de ciertos
conocimientos y
experiencias:
• Se requiere pericia en la
aplicación de las normas,
procedimientos y técnicas
de auditoría interna para
el desarrollo de las
revisiones.
FASES DE LA AUDITORÍA
• Tener la habilidad para
aplicar conocimiento a
posibles situaciones que se
presenten, reconocer las
desviaciones significativas
y poder llevar a cabo las
investigaciones necesarias
para alcanzar soluciones
razonables.
FASES DE LA AUDITORÍA
Los auditores deberán evaluar si
el empleo de los recursos se
realiza de forma económica y
eficiente.

La administración es responsable
de establecer los estándares
de operación para medir la
eficiencia y economía en el uso
de los recursos.
FASES DE LA AUDITORÍA
Los auditores internos son
responsables de determinar si:

• Los estándares para medir la

economía y la eficiencia en el
uso de los recursos son los
adecuados.
• Los estándares de operación
establecidos han sido
entendidos y se cumplen.
FASES DE LA AUDITORÍA

• Las desviaciones a los

estándares de operación se
identifican, analizan y se
comunican a los responsables
para que se tomen las medidas
correctivas.

• Se toman las medidas

correctivas.
FASES DE LA AUDITORÍA
Las auditorias relacionadas
con el uso económico y
eficiente de los recursos
deberán i9dentificar
situaciones tales como:

• Subutilización de
instalaciones.
• Trabajo no productivos.
FASES DE LA AUDITORÍA
• Procedimientos que no
justifican su costo.

• Exceso o insuficiencia de
personal.

• Uso indebido de las

instalaciones.
PLANEACIÓN DE LA AUDITORÍA EN
INFORMÁTICA

El trabajo de auditoría
deberá incluir la
planeación de la
auditoría, el examen y la
evaluación de la
información, la
comunicación de los
resultados y el
seguimiento.
PLANEACIÓN DE LA AUDITORÍA EN
INFORMÁTICA

La planeación deberá ser

documentada e incluirá:
• El establecimiento de los
objetivos y el alcance del
trabajo.
• La obtención de
información de apoyo
sobre las actividades que
se auditarán.
PLANEACIÓN DE LA AUDITORÍA EN
INFORMÁTICA

• La determinación de los
recursos necesarios para
realizar la auditoría.
• La determinación de los
recursos necesarios para
realizar la auditoría.
• El establecimiento de la
comunicación necesaria con
todos los que estarán
involucrados en la auditoría.
PLANEACIÓN DE LA AUDITORÍA EN
INFORMÁTICA

• La realización, en la forma más

apropiada, de una inspección
física para familiarizarse con las
actividades y controles a
auditar, así como identificación
de las áreas en las que se
deberá hacer énfasis al realizar
la auditoría y promover
comentarios y la promoción de
los auditados.
PLANEACIÓN DE LA AUDITORÍA EN
INFORMÁTICA

• La preparación por escrito

del programa de auditoría.
• La determinación de
cómo, cuándo y a quién
se le comunicarán los
resultados de la auditoría.
• La obtención de la
aprobación del plan de
trabajo de la auditoría.
PLANEACIÓN DE LA AUDITORÍA EN
INFORMÁTICA

En el caso de la auditoría en
informática, la planeación es
fundamental, pues habrá que
hacerla desde el punto de vista
de varios objetivos:
• Evaluación administrativa del
área de procesos electrónicos.
• Evaluación de los sistemas y
procedimientos.
PLANEACIÓN DE LA AUDITORÍA EN
INFORMÁTICA

• Evaluación de los equipos

de cómputo.
• Evaluación del proceso de
datos, de los sistemas y de
los equipos de cómputo
(software, hardware,
redes, bases de datos,
comunicaciones).
PLANEACIÓN DE LA AUDITORÍA EN
INFORMÁTICA

• Seguridad y
confidencialidad de la
información.

• Aspectos legales de los

sistemas y de la
información.
PLANEACIÓN DE LA AUDITORÍA EN
INFORMÁTICA

El proceso de planeación
comprende el establecer:

• Metas.
• Programas de trabajo de
auditoría.
• Planes de contratación de
personal y presupuesto
financiero.
• Informes de actividades.
REVISIÓN PRELIMINAR

El primer paso en el
desarrollo de la auditoría,
después de la planeación,
es la revisión preliminar del
área de informática.
REVISIÓN PRELIMINAR

El objetivo de la revisión
preliminar es el de obtener
la información necesaria
para que el auditor pueda
tomar la decisión de cómo
proceder en la auditoría.
REVISIÓN PRELIMINAR

Al terminar la revisión preliminar el

auditor puede proceder en
uno de los tres caminos
siguientes:

1. Diseño de la auditoría. Puede

haber problemas debido a la
falta de competencia técnica
para realizar la auditoría.
REVISIÓN PRELIMINAR

2. Realizar una revisión

detallada de los controles
internos de los sistemas con
la esperanza de que se
deposite la confianza en los
controles de los sistemas y
de que una serie de
pruebas sustantivas puedan
reducir las consecuencias.
REVISIÓN PRELIMINAR

3. Decidir el no confiar en
los controles internos del
sistemas.
REVISIÓN PRELIMINAR

La RP significa la recolección
de evidencias por medio
de: (1) entrevistas con el
personal de la instalación,
(2) la observación de las
actividades en la
instalación y (3) la revisión
de la documentación
preliminar.
REVISIÓN PRELIMINAR

Las evidencias se pueden

recolectar por medio de:

• Cuestionarios iniciales
• Entrevistas
• Documentación narrativa
REVISIÓN PRELIMINAR

Debemos considerar que

ésta será solo una
información inicial que
nos permitirá elaborar el
plan de trabajo, la cual
se profundizará en el
desarrollo de la auditoría.
REVISIÓN DETALLADA

Los objetivos de la fase

detallada son los de
obtener la información
necesaria para que el
auditor tenga un
profundo entendimiento
de los controles usados
dentro del área de
informática.
REVISIÓN DETALLADA

En la fase de evaluación
detallada es importante
para el auditor identificar
las causas de las pérdidas
existentes dentro de la
instalación y los controles
para reducir las pérdidas
y los efectos causados
por éstas.
EXAMEN Y EVALUACIÓN DE LA
INFORMACIÓN

Los auditores deberán

obtener, analizar,
interpretar y documentar
la información para
apoyar los resultados de
la auditoría.
EXAMEN Y EVALUACIÓN DE LA
INFORMACIÓN

El proceso de examen y
evaluación de la información
es el siguiente:

• Se deben obtener la
información de todos los
asuntos relacionados con los
objetivos y alcances de la
auditoría.
EXAMEN Y EVALUACIÓN DE LA
INFORMACIÓN

• La información deberá
ser suficiente,
competente, relevante y
útil para que proporcione
bases sólidas en relación
con los hallazgos y
recomendaciones de la
auditoría.
EXAMEN Y EVALUACIÓN DE LA
INFORMACIÓN

• Los procedimientos de
auditoría, incluyendo el
empleo de las técnicas de
pruebas selectivas y el
muestreo estadístico, deberán
ser elegidos con anterioridad,
cuando esto sea posible, y
ampliarse o modificarse
cuando las circunstancias lo
requieran.
EXAMEN Y EVALUACIÓN DE LA
INFORMACIÓN

• El proceso de recabar,
analizar, interpretar y
documentar la información
deberá supervisarse para
proporcionar una seguridad
razonable de que la
objetividad del auditor se
mantuvo y que las metas de
auditoría se cumplieron.
EXAMEN Y EVALUACIÓN DE LA
INFORMACIÓN

• Los documentos de trabajo

de la auditoría, deberán sewr
preparados por los auditores y
revisados por la gerencia de
auditoría. Estos documentos
deberán registrar la
información obtenida y el
análisis realizado, y deben
apoyar las bases de los
hallazgos de auditoría y las
recomendaciones que se
harán.
EXAMEN Y EVALUACIÓN DE LA
INFORMACIÓN

El auditor deberá discutir las

conclusiones y
recomendaciones en los
niveles apropiados de la
administración antes de
emitir su informe final.
La opinión de los auditados
respecto a este informe
se los puede incluir como
anexos.
EXAMEN Y EVALUACIÓN DE LA
INFORMACIÓN

El director de auditoría en
informática deberá
establecer un programa para
seleccionar y desarrollar los
recursos, el cual debe
contemplar:
• Descripciones de los puestos
de cada nivel de auditoría en
informática.
• Selección de los individuos
calificados y competentes.
EXAMEN Y EVALUACIÓN DE LA
INFORMACIÓN

• Entrenamiento y oportunidad
de capacitación profesional
continua para todos y cada
uno de los auditores.
• Evaluación del trabajo de
cada uno de los auditores por
lo menos una vez al año.
• Asesoría a los auditores en lo
referente a su trabajo y a su
desarrollo profesional.
EXAMEN Y EVALUACIÓN DE LA
INFORMACIÓN

La supervisión del trabajo de

los auditores en
informática deberá
llevarse a cabo
continuamente para
asegurarse de que está
trabajando de acuerdo
con las normas, políticas y
programas de auditoría
en informática.
PRUEBAS DE CONSENTIMIENTO

El objetivo de la fase de prueba

de consentimiento es el de
determinar si los controles
internos operan como fueron
diseñados para operar. El
auditor debe determinar si los
controles declarados en
realidad existen y si realmente
trabajan confiablemente.
PRUEBAS DE CONTROLES DEL
USUARIO

En algunos casos el auditor

puede decidir el no confiar en
los controles internos dentro
de las instalaciones
informáticas, porque el
usuario ejerce controles que
compensan cualquier
debilidad dentro de los
controles internos de
informática.
PRUEBAS DE CONTROLES DEL
USUARIO

Estas pruebas que

compensan las
deficiencias de los
controles internos se
pueden realizar mediante
cuestionarios, entrevistas,
vistas y evaluación
hechas directamente con
los usuarios.
PRUEBAS SUSTANTIVAS

El objetivo de la fase de pruebas

sustantivas es obtener
evidencia suficiente que
permita al auditor emitir su
juicio en las conclusiones
acerca de cuándo pueden
ocurrir pérdidas materiales
durante el procesamiento de
la información.
PRUEBAS SUSTANTIVAS

Se pueden identificar ocho

diferentes pruebas sustantivas:
• Pruebas para identificar
errores en el procesamiento o
de falta de seguridad o
confidencialidad.
• Pruebas para asegurar la
calidad de los datos.
PRUEBAS SUSTANTIVAS

• Pruebas para identificar la

inconsistencia de los datos.

• Pruebas para comparar con

los datos o contadores físicos.

• Confirmación de datos con

fuentes externas
PRUEBAS SUSTANTIVAS

• Pruebas para confirmar la

adecuada comunicación.

• Pruebas para determinar

falta de seguridad.

• Pruebas para determinar

problemas de legalidad.
PRUEBAS SUSTANTIVAS

El auditor debe participar en

tres estados del sistema:

• Durante la fase del diseño

del sistema.
• Durante la fase de
operación.
• Durante la fase posterior
a la auditoría.
PRUEBAS SUSTANTIVAS

El que el auditor participe en el

diseño del sistemas pueda
afectar a la independencia
del mismo, existen formas en
las cuales se puede eliminar
esto:

• Aumentando los
conocimientos en informática
del auditor.
PRUEBAS SUSTANTIVAS

• Asignar diferentes auditores a

la fase de diseño, al trabajo
de auditoría y al posterior a la
auditoría.
• Crear una sección de
auditoría en informática
dentro del departamento de
auditoría interna,
especializado en auditoría en
informática.
• Obtener mayor soporte de la
alta gerencia.
PRUEBAS SUSTANTIVAS

Realizar una auditoría en

informática es un trabajo
complejo. Para ello, para
lograr los objetivos, el auditor
necesita dividir los sistemas en
una serie de subsistemas,
identificando los
componentes que realizan las
actividades básicas de cada
subsistema.
PRUEBAS SUSTANTIVAS

Evaluar la confianza de
cada componente, y la
de los subsistemas, y en
forma agregada evaluar
cada subsistema hasta
llegara a una evaluación
global sobre la confianza
total del sistema.
PRUEBAS SUSTANTIVAS

“La suma de los óptimos

parciales de los
subsistemas no es igual al
óptimo del sistema, pero
nos da una buena
aproximación.”
PRUEBAS SUSTANTIVAS

Invesigación Investigación Prueba los Pruebas Conclusión

Preliminar detallada controles sustantivas
críticos
EVALUACIÓN DE LOS SISTEMAS DE
ACUERDO AL RIESGO

Una de las formas de evaluar la

importancia que puede tener
para la organización de un
determinado sistema, es
considerar el riesgo que
implica el que no sea utilizado
adecuadamente, la pérdida
de la información o bien el
que sea usado por personal
ajeno a la organización
EVALUACIÓN DE LOS SISTEMAS DE
ACUERDO AL RIESGO

Algunos sistemas de aplicaciones

son de más alto riesgo que
otros debido a que:

• Son susceptibles a diferentes

tipos de pérdida económica.

Ejemplo: Fraudes y desfalcos

entre los cuales están los
sistemas financieros
EVALUACIÓN DE LOS SISTEMAS DE
ACUERDO AL RIESGO

Las fallas pueden impactar

grandemente a la
organización.

Ejemplo: Una falla en el

procesamiento de la
nómina puede tener
como consecuencia una
huelga.
EVALUACIÓN DE LOS SISTEMAS DE
ACUERDO AL RIESGO

• Interfieren con otros

sistemas, y los errores
generados inciden a otros
sistemas.
EVALUACIÓN DE LOS SISTEMAS DE
ACUERDO AL RIESGO
• Potencialmente, alto riesgo debido
a daños en la competencia.
Algunos sistemas le dan a la
organización un nivel competitivo
muy alto dentro del mercado.

Ejemplo: Sistemas de planeación

estratégica. Patentes. Derechos de
autor, los cuales son las mayores
fuentes de recursos de la
organización. Otros a través de los
cuales su pérdida puede destruir la
imagen de la organización.
EVALUACIÓN DE LOS SISTEMAS DE
ACUERDO AL RIESGO
• Sistemas de tecnología de
punta o avanzada. Si los
sistemas utilizan tecnología
avanzada o de punta.

Ejemplo: Sistemas de base de

datos, sistemas distribuidos o
de comunicación, tecnología
sobre la cual la organización
tenga muy poca experiencia
o respaldo, la cual es más
probable que sea una fuente
de problemas de control.
EVALUACIÓN DE LOS SISTEMAS DE
ACUERDO AL RIESGO

• Sistemas de alto costo.

Sistemas que son muy
costosos de desarrollar,
los cuales son
frecuentemente sistemas
complejos que pueden
presentar muchos
problemas de control.