UNIDAD 1: INTRODUCCION
OBJETIVO o competencia a desarrollar:
OBJETIVOS GENERALES DEL CURSO
Utilizar tcnicas y herramientas en la evaluacin de las diferentes reas relacionadas con la
informtica en las organizaciones.
COMPETENCIAS ESPECFICAS A DESARROLLAR
Identificar las reas de oportunidad en aplicacin de la auditora informtica.
Realizando una planificacin del proceso de la auditora informtica.
TEMARIO:
1.1. Definicin y clasificacin.
1.2. Tipos de auditora y su relacin con la auditora en Informtica.
1.3. Normas y procedimientos de auditora.
1.4. Planeacin y supervisin del trabajo de auditora.
1.5. Uso de tcnicas asistidas por computadora.
1.6. Responsabilidad del auditor en el descubrimiento de errores y desviaciones.
1.7. Importancia relativa y riesgo de auditora.
1.8. Documentacin de la auditora.
1.9. Evidencia comprobatoria.
1.10. Control interno.
1.11. Resumen.
1.12. Metodologa para el desarrollo e implantacin de auditora.
1.13. Informe final de la auditora.
ACTIVIDADES DE APRENDIZAJE
Investigar en distintas fuentes de informacin los tipos, ventajas y desventajas de la auditora
informtica junto con las consideraciones para llevarla a cabo, identificando las reas de
oportunidad en aplicacin de la auditora informtica.
Considerando la finalidad y requerimientos para evaluar los rubros del rea informtica: realizar la
planificacin del proceso de la auditora informtica.
contenido de la unidad
TEMA 1: DEFINICION Y CLASIFICACION
El trmino auditoria proviene del verbo latino audire que significa or, su sustantivo latino es
auditor,que significa el que oye. Es decir que, escuchando los argumentos de aquellos a quienes
deban controlar. Se dice que esto sucedi en tiempo pasados por lo primitivo de los registros.
En ese entendido, se puede dar la siguiente definicin de Auditoria.
Auditoria es el examen objetivo y sistemtico de las operaciones financieras y administrativas,
realizadas por profesionales independientes, con posterioridad a su ejecucin, con la finalidad de
evaluarlas, verificarlas y elaborar un informe que contenga observaciones, conclusiones,
recomendaciones y el correspondiente dictamen cuando corresponda.
Debido a la amplia actividad que poseen las empresas hoy en da y de acuerdo a la necesidad de
orden y control especficos por reas, la auditoria se ha dividido o clasificado para cubrir estas
necesidades especficas, con la finalidad de asegurar a los empresarios en un alto porcentaje que
las actividades de su empresa se estn desempeando correctamente en su integridad. Es as que
dicha clasificacin es la siguiente:
* Segn el sujeto. Hace referencia a quien o quienes efectan la auditoria y se sub divide:
- Auditores Externos (Profesionales Independientes)
- Auditores Internos (Profesionales Dependientes de la empresa)
* Segn el objeto. Hace referencia al alcance del trabajo, es decir a un rea especfica de la
empresa y se sub divide:
- Auditora Interna Integral o Gubernamental.
- Auditora Financiera.
- Auditoria Administrativa.
- Auditoria Operativa.
- Auditoria Social.
- Auditoria de Sistemas Computarizados.
- Auditoria Econmica.
- Auditoria de Efectividad.
- Auditoria de Calidad.
- Auditoria Medioambiental
- Auditoria de Costos.
-Auditoria de seguridad industrial.
- Otras reas de la empresa que por su magnitud necesiten de una un control y evaluacin.
Se define a las tcnicas de auditora como los mtodos prcticos de investigacin y prueba que
utiliza el auditor para obtener la evidencia necesaria que fundamente sus opiniones y
conclusiones, su empleo sebasa en su criterio o juicio, segn las circunstancias.
Al aplicar su conocimiento y experiencia el auditor, podr conocer los datos de la empresa u
organizacin a ser auditada, que pudieran necesitar una mayor atencin.
Las tcnicas procedimientos estn estrechamente relacionados, si las tcnicas no son elegidas
adecuadamente, la auditora no alcanzar las normas aceptadas de ejecucin, por lo cual las
tcnicas as como los procedimientos de auditora tienen una gran importancia para el auditor.
Segn el IMCP en su libro Normas y procedimientos de auditora las tcnicas se clasifican
generalmente con base en la accin que se va a efectuar, estas acciones pueden ser oculares,
verbales, por escrito, por revisin del contenido de documentos y por examen fsico.
Siguiendo esta clasificacin las tcnicas de auditora se agrupan especficamente de la siguiente
manera:
Estudio General
Anlisis
Inspeccin
Confirmacin
Investigacin
Declaracin
Certificacin
Observacin
Clculo
PROCEDIMIENTOS
Al conjunto de tcnicas de investigacin aplicables a un grupo de hechos o circunstancias que nos
sirven para fundamentar la opinin del auditor dentro de una auditora, se les dan el nombre de
procedimientos de auditora en informtica.
La combinacin de dos o ms procedimientos, derivan en programas de auditora, y al conjunto de
programas de auditora se le denomina plan de auditora, el cual servir al auditor para llevar una
estrategia y organizacin de la propia auditora.
El auditor no puede obtener el conocimiento que necesita para sustentar su opinin en una sola
prueba, es necesario examinar los hechos, mediante varias tcnicas de aplicacinsimultnea.
En General los procedimientos de auditora permiten:
Obtener conocimientos del control interno.
Analizar las caractersticas del control interno.
Verificar los resultados de control interno.
Fundamentar conclusiones de la auditora.
Por esta razn el auditor deber aplicar su experiencia y decidir cul tcnica o procedimiento de
auditora sern los ms indicados para obtener su opinin.
Anlisis de datos.
Dentro de este trabajo, desarrollaremos diversos tipos de tcnicas y procedimientos de auditora,
de los cuales destacan el anlisis de datos, ya que para las organizaciones el conjunto de datos o
informacin son de tal importancia que es necesario verificarlos y comprobarlos, as tambin tiene
la misma importancia para el auditar ya que debe de utilizar diversas tcnicas para el anlisis de
datos, basados en [bib-solis-2002], las cuales se describen a continuacin.
Comparacin de programas
Esta tcnica se emplea para efectuar una comparacin de cdigo (fuente, objeto o comandos de
proceso) entre la versin de un programa en ejecucin y la versin de un programa piloto que ha
sido modificado en forma indebida, para encontrar diferencias.
Mapeo y rastreo de programas.
Esta tcnica emplea un software especializado que permite analizar los programas en ejecucin,
indicando el nmero de veces que cada lnea de cdigo es procesada y las de las variables de
memoria que estuvieron presentes.
Anlisis de cdigo de programas
Se emplea para analizar los programas de una aplicacin. El anlisis puede efectuarse en forma
manual (en cuyo caso slo se podra analizar el cdigo ejecutable).
Datos de prueba
Se emplea para verificar que losprocedimientos de control incluidos los programas de una
aplicacin funcionen correctamente. Los datos de prueba consisten en la preparacin de una serie
de transacciones que contienen tanto datos correctos como datos errneos predeterminados.
Datos de prueba integrados
Tcnica muy similar a la anterior, con la diferencia de que en sta se debe crear una entidad, falsa
dentro de los sistemas de informacin.
Anlisis de bitcoras
Existen varios tipos de bitcoras que pueden ser analizadas por el auditor, ya sea en forma manual
o por medio de programas especializados, tales como bitcoras de fallas del equipo, bitcoras de
accesos no autorizados, bitcoras de uso de recursos, bitcoras de procesos ejecutados.
Simulacin paralela
Tcnica muy utilizada que consiste en desarrollar programas o mdulos que simulen a los
programas de un sistema en produccin. El objetivo es procesar los dos programas o mdulos de
forma paralela e identificar diferencias entre los resultados de ambos.
Monitoreo
Dentro de las organizaciones todos los procesos necesitan ser evaluados a travs del tiempo para
verificar su calidad en cuanto a las necesidades de control, integridad y confidencialidad, este es
precisamente el mbito de esta tcnica, a continuacin se muestran los procesos de monitoreo:
M1 Monitoreo del proceso.
M2 Evaluar lo adecuado del control Interno.
M3 Obtencin de aseguramiento independiente.
M4 Proveer auditora independiente.
M1 Monitoreo del proceso
Asegura el logro de los objetivos para los procesos de TI, lo cual se logra definiendo por parte de la
gerencia reportes e indicadores de desempeo y la implementacin de sistemas de soporte as
como laatencin regular a los reportes emitidos.
Para ello la gerencia podr definir indicadores claves de desempeo y factores crticos de xito y
compararlos con los niveles propuestos para evaluar el desempeo de los procesos de la
organizacin.
M2 Evaluar lo adecuado del control Interno
Asegura el logro de los objetivos de control interno establecidos para los procesos de TI, para ello
se debe monitorear la efectividad de los controles internos a travs de actividades administrativas,
de supervisin, comparaciones, acciones rutinarias, evaluar su efectividad y emitir reportes en
forma regular.
M3 Obtencin de aseguramiento independiente
Incrementa los niveles de confianza entre la organizacin, clientes y proveedores, este proceso se
lleva a cabo a intervalos regulares de tiempo.
Para ello la gerencia deber obtener una certificacin o acreditacin independiente de seguridad y
control interno antes de implementar nuevos servicios de tecnologa de informacin que resulten
crticos, as como para trabajar con nuevos proveedores de servicios de tecnologa de informacin,
luego la gerencia deber adoptar como trabajo rutinario tanto hacer evaluaciones peridicas
sobre la efectividad de los servicios de tecnologa de informacin, de los proveedores de estos
servicios as como tambin asegurarse el cumplimiento de los compromisos contractuales de los
servicios de tecnologa de informacin y de los proveedores de dichos servicios.
M4 Proveer auditora independiente.
Incrementa los niveles de confianza de recomendaciones basadas en mejores prcticas de su
implementacin, lo que se logra con el uso de auditoras independientes desarrolladas a
intervalosregulares de tiempo.
Para ello la gerencia deber establecer los estatutos para la funcin de auditora, destacando en
este documento la responsabilidad, autoridad y obligaciones de la auditora.
El auditor deber ser independiente del auditado, esto significa que los auditores no debern estar
relacionados con la seccin o departamento que est siendo auditado y en lo posible deber ser
independiente de la propia empresa, esta auditora deber respetar la tica y los
estndares profesionales, seleccionando para ello auditores que sean tcnicamente competentes,
es decir que cuenten con habilidades y conocimientos que aseguren tareas efectivas y eficientes
de auditora informtica.
La funcin de la auditora informtica deber proporcionar un reporte que muestre los objetivos,
perodo de cobertura, naturaleza y trabajo de auditora realizado, as como tambin la
organizacin, conclusin y recomendaciones relacionadas con el trabajo de auditora informtica
llevado a cabo.
Anlisis de bitcoras.
Hoy en da los sistemas de cmputo se encuentran expuestos a distintas amenazas, las
vulnerabilidades de los sistemas aumentan, al mismo tiempo que se hacen ms complejos, el
nmero de ataques tambin aumenta, por lo anterior las organizaciones deben reconocer la
importancia y utilidad de la informacin contenida en las bitcoras de los sistemas de cmputo as
como mostrar algunas herramientas que ayuden a automatizar el proceso de anlisis de las
mismas.
El crecimiento de Internet enfatiza esta problemtica, los sistemas de cmputo generan una gran
cantidad de informacin, conocidas como bitcoras o archivos logs, que pueden ser de gran ayuda
ante un incidente deseguridad, as como para el auditor.
Una bitcora puede registrar mucha informacin acerca de eventos relacionados con el sistema
elementos comunes.
Para empezar en la mayora de ellas se resalta el hecho de que benchmarking es un proceso
continuo que al aplicarla en nuestra empresa resuelva los problemas de la misma, sino que es un
proceso que se aplicar una y otra vez ya que dicho proceso est en bsqueda constante de las
mejores prcticas de la industria, y como sabemos la industria est en un cambio constante y para
adaptarse a dicho cambio desarrolla nuevas prcticas, por lo que no se puede asegurar que las
mejores prcticas de hoy lo sern tambin de maana.
Tambin se vio en las diferentes definiciones que este proceso no slo es aplicable a las
operaciones de produccin, sino que puede aplicarse a todas lafases de las organizaciones, por lo
que benchmarking es una herramienta que nos ayuda a mejorar todos los aspectos y operaciones
del negocio, hasta el punto de ser los mejores en la industria, observando aspectos tales como la
calidad y la productividad en el negocio.
De igual manera podemos concluir que es de suma importancia como una nueva forma de
administrar ya que cambia la prctica de compararse slo internamente a comparar nuestras
operaciones en base a estndares impuestos externamente por las organizaciones conocidas
como las de excelencia dentro de la industria.
Dentro del benchmarking existen los siguientes tipos:
Benchmarking interno
En la mayor parte de las grandes organizaciones con mltiples divisiones o internacionales hay
funciones similares en diferentes unidades de operacin, una de las investigaciones de
benchmarking ms fcil es comparar estas operaciones internas, tambin debe contarse con
facilidad con datos e informacin y no existir problemas de confidencialidad y los datos ser tan
amplios y completos como se desee.
Este primer paso en las investigaciones de benchmarking es una base excelente no slo para
descubrir diferencias de inters sino tambin centrar la atencin en los temas crticos a que se
enfrentara o que sean de inters para comprender las practicas provenientes de investigaciones
externas, tambin pueden ayudar a definir el alcance de un estudio externo.
Benchmarking competitivo
Los competidores directos de productos son contra quienes resulta ms obvio llevar a cabo el
benchmarking, ellos cumpliran, o deberan hacerlo, con todas las pruebas de comparabilidad, en
definitiva cualquier investigacin de benchmarkingdebe mostrar cuales son las ventajas y
desventajas comparativas entre los competidores directos.
Uno de los aspectos ms importantes dentro de este tipo de investigacin a considerar es el hecho
que puede ser realmente difcil obtener informacin sobre las operaciones de los competidores,
quiz sea imposible obtener informacin debido a que est patentada y es la base de la ventaja
competitiva de la empresa.
Benchmarking genrico
Algunas funciones o procesos en las organizaciones son las mismas, el beneficio de esta forma de
benchmarking, es que se pueden descubrir prcticas y mtodos que no se implementan en la
organizacin propia del investigador. Este tipo de investigacin tiene la posibilidad de revelar lo
mejor de las mejores prcticas, la necesidad de objetividad y receptividad por parte del
investigador.
Que mejor prueba que la posibilidad de ponerlo en prctica si se pudiera obtener que el hecho de
que la tecnologa ya se ha probado y se encuentra en uso en todas partes, el benchmarking
genrico requiera de una amplia conceptualizacin, pero con una comprensin cuidadosa del
proceso genrico.
estuvieran representados errneamente con una importancia relativa. La evaluacin del auditor
de la importancia relativa, relacionada con saldos de cuentas y clases de transacciones especficas,
ayuda al auditor a decidir sobre aspectos como qu partidas examinar y si aplicar procedimientos
de muestreo y analticos. Esto da capacidad al auditor para seleccionar procedimientos de
auditora que, en combinacin, pueda esperarse que reduzcan el riesgo de auditora a un nivel
aceptablemente bajo.
Hay una relacin inversa entre la importancia relativa y el nivel de riesgo de auditora, que es que
mientras ms alto sea el nivel de importancia relativa, ms bajo es el riesgo de auditora y
viceversa. El auditor toma en cuenta la relacin inversa entre importancia relativa y riesgo de
auditora cuando determina la naturaleza, oportunidad y alcance de los procedimientos de
auditora. Por ejemplo, si despus de planear procedimientos de auditora especficos, el auditor
determina que el nivel de importancia relativa aceptable es ms bajo, el riesgo de auditora
aumenta.
El auditor compensar esto:
(a) Reduciendo el nivel evaluado de riesgo de control, cuando esto sea factible, y apoyando el
nivel reducido desarrollando pruebas de control extensas o adicionales; o
(b) Reduciendo el riesgo de deteccin al modificar la naturaleza, oportunidad y alcance de los
procedimientos sustantivos planeados.
Evaluacin del efecto de representaciones errneas
Al evaluar la apropiada presentacin de los estados financieros, el auditor deber evaluar si el
valor acumulado de lasrepresentaciones errneas no corregidas que han sido identificadas
durante la auditora, es de importancia relativa.
Si la administracin se niega a ajustar los estados financieros y los resultados de los
procedimientos de auditora ampliados no capacitan al auditor para concluir que el valor
acumulado de las representaciones errneas no corregidas no es de importancia relativa, el
auditor deber considerar la modificacin apropiada de su dictamen de acuerdo con la NIA El
Dictamen del Auditor sobre Estados Financieros.
Es una caracterstica cuantitativa de la evidencia, se entiende por tal el nivel el nivel de evidencia
que el auditor debe obtener a travs de sus pruebas de auditoria para llegar a conclusiones
razonables.
2. Evidencia Inadecuada
Esta es una caracterstica cualitativa de la evidencia. La evidencia es adecuada cuando es til para
que el auditor pueda emitir su opinin profesional.
3. Obtencin de evidencia
Sin que la siguiente relacin tenga carcterexclusivo, la evidencia suele obtenerse de:
Manuales de organizacin de la empresa
Los manuales de procedimiento del C.D.P
El manual de auditoria interna de la empresa
De confirmaciones externas
Del archivo permanente de los auditores internos
De entrevistas con el personal de la empresa
TEMA 10: CONTROL INTERNO
Control: actividad realizada manual o automticamente para prevenir, corregir errores o
irregulares que puedan afectar al funcionamiento de un sistema a la hora de conseguir sus
objetivos.
El Control Interno Informtico controla diariamente que todas las actividades de los sistemas de
informacin sean realizadas cumpliendo los procedimientos, estndares y normas fijados por la
Direccin de la Organizacin y/o la Direccin de Informtica, as como los requerimientos legales.
La misin del Control Interno Informtico es asegurarse de que las medidas que se obtienen de los
mecanismos implantados por cada responsable sean correctas y vlidas.
Cada funcin juega un papel importante en las distintas etapas que son, bsicamente, las
siguientes:
Direccin de Negocio o Direccin de Sistemas de Informacin (S.I.): han de definir la poltica y/o
directrices para los sistemas de informacin en base a las exigencias del negocio, que podrn ser
internas o externas.
Direccin de Informtica: ha de definir las normas de funcionamiento del entorno informtico y de
cada una de las funciones de informtica mediante la creacin y publicacin de procedimientos,
estndares, metodologa y normas, aplicables a todas las reas de informtica,as como a los
usuarios que establezcan el marco de funcionamiento.
Control Interno Informtico: ha de definir los diferentes controles peridicos a realizar encada una
de las funciones informticas, de acuerdo al nivel de riesgo de cada una de ellas, y ser diseados
conforme a los objetivos de negocio y dentro del marco legal aplicable (estos se plasmarn en los
oportunos procedimientos de control interno y podrn ser preventivos o de deteccin). Realizar
peridicamente la revisin de los controles establecidos de Control Interno Informtico,
informando de las desviaciones a la Direccin de Informtica y sugiriendo cuantos cambios crea
convenientes en los controles.
y externa, de acuerdo al nivel de riesgo y conforme a los objetivos definidos por la Direccin de
Negocio y la Direccin de Informtica. Informar tambin a la Alta Direccin, de los hechos
observados y al detectarse deficiencias o ausencias de controles recomendarn acciones que
minimicen los riesgos que pueden originarse. La creacin de un sistema de control informtico es
una responsabilidad de la Gerencia y un punto destacable de la poltica en el entorno informtico.
A continuacin algunos controles internos, agrupados por secciones funcionales, y que seran los
que el Control Interno Informtico y la Auditora Informtica deberan verificar para determinar su
cumplimiento y validez:
1. Control generales organizativos: engloba una serie de elementos, tales como:
a. Polticas generales.b. Planificacin (plan estratgico de informacin, plan informtico, plan
general de seguridad y plan de emergencia ante desastres).
c. Estndares de adquisicin.
d. Procedimientos.
e. Organizar el departamento de informtica.
f. Descripcin de las funciones y responsabilidades dentro del departamento.
g. Polticas de personal.
h. Asignacin de funciones y responsabilidades.
i. Asegurar que la direccin revisa todos los informes de control y resuelve las excepciones que
ocurran.
j. Asegurar que existe una poltica de clasificacin de la informacin.
k. Designar oficialmente la figura del Control Interno Informtico y de la Auditora Informtica
2. Controles sobre desarrollo, adquisicin y mantenimiento de sistemas de informacin: se
utilizan para que se puedan alcanzar la eficacia del sistema, economa y eficiencia, integridad de
los datos, proteccin de los recursos y cumplimiento con las leyes y regulaciones. Se compone de:
a. Metodologa del ciclo de vida del desarrollo de sistemas (como especificaciones, estndares
de pruebas, pases a produccin, roll-back, etc).
b. Explotacin y mantenimiento.
3.