UNIVERSIDAD MAYOR DE SAN ANDRÉS

FACULTAD DE CIENCIAS ECONÓMICAS Y FINANCIERAS

CARRERA CONTADURÍA PÚBLICA

MATERIA :
Gabinete de Auditoria de Sistemas
DOCENTE:
Lic. Trino Camacho Patricia
UNIVERSITARIOS :
Colque Pinto Gabriela
Dapara Huanca Josué Caleb
Herbas Rodriguez Franz Ronald
Lima Rodriguez Tatiana Sarahi
Rafael Mamani Gustavo Adolfo
PARALELO : “D”

LA PAZ – BOLIVIA
 UNIVERSIDAD MAYOR DE SAN ANDRÉS
FACULTAD DE CIENCIAS ECONÓMICAS Y FINANCIERAS
CARRERA CONTADURÍA PÚBLICA

Contenido
ORGANIZACIÓN DEL DEPARTAMENTO DE AUDITORIA INFORMATICA ..................... 2
ANTECEDENTES .................................................................................................................................... 2
LA TENDENCIA DE LA AUDITORIA INFORMÁTICA RADICA EN LOS
SIGUIENTES PRINCIPIOS: ............................................................................................................. 3
CLASES Y TIPOS DE AUDITORIA INFORMATICA .................................................................. 3
FUNCION DE AUDITORIA INFORMATICA ................................................................................. 4
DEFINICION.- ........................................................................................................................................ 4
PERFILES PROFESIONALES DE LA FUNCION DE AUDITORIA INFORMATICA .... 4
FUNCIONES A DESARROLLAR EN LA AUDITORIA INFORMATICA: ........................... 5
ORGANIZACION DE LA FUNCION DE AUDITORIA INFORMATICA: ............................. 7
PRINCIPIOS DEL AUDITOR INFORMÁTICO: ......................................................................... 7
LA ORGANIZACIÓN INTERNA ESTARÁ COMPUESTA POR: ........................................ 7
PARA UNA ORGANIZACIÓN TIPO, EL ABANICO DE RESPONSABILIDADES
DEBERÍA CUBRIR: ............................................................................................................................. 7
CUESTIONARIO DE REPASO ........................................................................................................... 8
APLICACIÓN DE ORGANIZACIÓN DEL DEPARTAMENTO DEL DE AUDITORIA
INFORMATICA ....................................................................................................................................... 10
ALCANCE............................................................................................................................................. 11
ORGANIGRAMA ................................................................................................................................ 11
POLÍTICA DE SEGURIDAD .......................................................................................................... 12
NORMAS DE SEGURIDAD............................................................................................................ 12
TRABAJO PREPARATORIO ........................................................................................................ 12
RECOPILACIÓN DE INFORMACIÓN ....................................................................................... 13
LA DOCUMENTACIÓN ................................................................................................................... 13
EL PERSONAL INVOLUCRADO ................................................................................................ 15
ANEXO ....................................................................................................................................................... 17
 UNIVERSIDAD MAYOR DE SAN ANDRÉS
FACULTAD DE CIENCIAS ECONÓMICAS Y FINANCIERAS
CARRERA CONTADURÍA PÚBLICA

CAPITULO 5
ORGANIZACIÓN DEL DEPARTAMENTO DE AUDITORIA
INFORMATICA

ANTECEDENTES
El concepto de auditaría informática ha estado siempre ligado al de auditoría en general y al de
auditoría interna en particular, y este ha estado unido desde tiempo históricos al de contabilidad,
control, veracidad de operaciones, etc. En tiempo de los egipcios ya se hablaba de contabilidad y de
control de los registros y de las operaciones. Aun algunos historiadores fijan el nacimiento de la
escritura como consecuencia de la necesidad de registrar y controlar operaciones.

Empezaremos diciendo que tanto dentro del contexto estratégico como del operativo de las
organizaciones actuales, los sistemas de información y la arquitectura que los soporta desempeñan
un importante papel como uno de los soportes básicos pea la gestión y el control del negocio, siendo
así uno de los requerimientos básicos de cualquier organización. Esto da lugar a los sistemas de
información de una organización.

Es evidente que para que dichos sistemas cumplan sus objetivos debe existir una función de gestión
de dichos sistemas, de los recursos que los manejan y de las que se ponen a disposición de dichos
recursos para que el funcionamiento y los resultados sean los esperados. Esto es lo que llamamos
el Departamento de Sistemas de Información.

Finalmente, y en función de lo anterior, debe existir una función de control de la gestión de los
sistemas y del departamento de sistemas de información. A esta función la llamamos auditoria
informática.

Alrededor de los años cincuenta las organizaciones empezaron a desarrollar aplicaciones

informáticas. Posteriormente, en función de que las organizaciones empezaron con sistemas cada
vez más complejos, se hizo necesario que parte del trabajo de auditoria empezara a tratar con
sistemas que utilizaban sistemas informáticos

En ese momento, los equipos de auditoria, tanto externos como internos, empezaron a ser mixtos,
con involucración de auditores informáticos junto coa auditores financieros. En ese momento se
comenzaron a utilizar dos tipos de enfoque diferentes que en algunos casos convergían:
 UNIVERSIDAD MAYOR DE SAN ANDRÉS
FACULTAD DE CIENCIAS ECONÓMICAS Y FINANCIERAS
CARRERA CONTADURÍA PÚBLICA

• Trabajos en los que el equipo de auditoría informática trabajaba bajo ya programa de

trabajo propio, aunque centrado sus objetivos con los de la auditoría financiera

• Revisiones en las que la auditoría informática consistía en la extracción de información para

el equipo de auditoría financiera.

LA TENDENCIA DE LA AUDITORIA INFORMÁTICA RADICA EN LOS

SIGUIENTES PRINCIPIOS:
1. Todos los auditores tendrán que tener conocimientos informáticos que les permitan trabajar
en el cada vez más fluctuante entorno de las tecnologías de la información dentro de las
organizaciones empresariales, culturales y sociales.

2. Este aspecto no eliminará la necesidad de especialistas en auditoría informática; antes al

contrario, los especialistas necesitarán cada vez más, unos conocimientos muy específicos,
que al igual que sucede en el entorno de los sistemas de información, les permitan ser
expertos en las diferentes ramas de la tecnología informática: comunicaciones, redes,
ofimática. Comercio electrónico, seguridad, gestión de bases de datos, etc.

3. El auditor informática dejará de ser un profesional procedente de otra área, con su

consiguiente reciclado, para pasar a ser un profesional formado y titulado en auditoria
informática que tendrá a su alcance diferentes medios de formación, externa
fundamentalmente, y que tendrá que formar una red de conocimientos compartidos con oíros
profesionales, tanto en su organización como con profesionales de otras organizaciones.

El futuro de la auditoría informática estará en la capacidad de cubrir adecuadamente, en cuanto a

experiencia y especialización, todas las áreas de los sistemas informáticos y de información de una
empresa y en saber de forma propia o con ayuda interna y externa, adecuarse a los cambios que
sucedan en la Tecnología de la Información.

CLASES Y TIPOS DE AUDITORIA INFORMATICA

Existe una gran confusión sobre que es la auditoria informática y en este punto se despejara toda
duda sobre lo mencionado anteriormente

• Auditoría informática como soporte a la auditoría tradicional, financiera, etc.

• Auditoría informática con el concepto anterior, pero añadiendo la función de auditoría

de la función de gestión del entorno informático.
 UNIVERSIDAD MAYOR DE SAN ANDRÉS
FACULTAD DE CIENCIAS ECONÓMICAS Y FINANCIERAS
CARRERA CONTADURÍA PÚBLICA

• Auditoría informática como función independiente, enfocada hacia la obtención de la

situación actual de un entorno de información e informático a aspectos de seguridad y
riesgo, eficiencia y veracidad e integridad.

• Las acepciones anteriores desde un punto de vista interno y externo.

• Auditoría como función de control dentro de un departamento de sistemas.

FUNCION DE AUDITORIA INFORMATICA

DEFINICION.-
Está claro a estas alturas que la auditoría, revisión, diagnóstico y control de los sistemas de
información y de los sistemas informativos que soportan éstos deben ser realizados por personas
con experiencia en ambas disciplinas, informática y auditoría (Auditor Informático General: AIG). A
esto se le debe añadir que además nuestro AIG debe completar su formación con conocimientos de
gestión del cambio y de gestión empresarial.

Para tratar de definir su perfil la definición más exacta es quizá que es un profesional dedicado al
análisis de sistemas de información e informáticos que está especializado en alguna de las múltiples
ramas de la auditoría informática, que tiene conocimientos generales de los ámbitos en los que ésta
se mueve, que tiene conocimientos empresariales generales, y que además:

Posee las características necesarias para actuar como consultor con su auditado, dándole ideas de
cómo enfocar la construcción de los elementos de control y de gestión que le sean propios.

Y que puede actuar como consejero con la organización en la que está desarrollando su labor.

PERFILES PROFESIONALES DE LA FUNCION DE AUDITORIA

INFORMATICA
De la función de auditoría informática, se deben contemplar las siguientes características para
mantener un perfil profesional adecuado y actualizado:

I. La persona o personas que integren esta función deben contemplar en su formación básica una
mezcla de conocimientos de auditoría financiera y de informática general. Estos últimos deben
contemplar conocimientos básicos en cuanto a:

• Desarrollo informático; gestión de proyectos y del ciclo de vida de un proyecto de desarrollo.

• Gestión del departamento de sistemas.

• Análisis de riesgos en un entorno informático.

 UNIVERSIDAD MAYOR DE SAN ANDRÉS
FACULTAD DE CIENCIAS ECONÓMICAS Y FINANCIERAS
CARRERA CONTADURÍA PÚBLICA

• Sistema operativo (este aspecto dependerá de varios factores, pero principalmente de si va

a trabajar en un entorno único -auditor interno- o. por el contrario, va a tener posibilidades de
trabajar en varios entornos como auditor externo).

• Telecomunicaciones.

• Gestión de bases de datos.

• Redes locales.

• Seguridad física.

• Operaciones y planificación informática: efectividad de las operaciones y del rendimiento de

los sistemas.

• Gestión de la seguridad de los sistemas y de la continuidad empresarial a través de planes

de contingencia de la información.

• Gestión de problemas y de cambios en entornos informáticos.

• Administración de datos.

• Ofimática.

• Comercio electrónico.

• Encriptación de datos.

2. A estos conocimientos básicos se les deberá añadir una especialización en función de la

importancia económica que distintos componentes financieros puedan tener en un entorno
empresarial.

3. Uno de los problemas que más han incidido en la escasa presencia de auditores informáticos en
nuestro país, es quizás que veces la escasa relación entre el trabajo de auditoría informática y las
conclusiones con el entorno empresarial donde se ubicaba la "entidad auditada"

4. El auditor informático debe tener siempre el concepto de Calidad Total

FUNCIONES A DESARROLLAR EN LA AUDITORIA INFORMATICA:

La función de la auditoria informática deberá mantener los objetivos de revisión que le demanda la
organización, a continuación vamos a precisar algo más de lo que sería un entorno ideal, que tiene
que ser auditado.
 UNIVERSIDAD MAYOR DE SAN ANDRÉS
FACULTAD DE CIENCIAS ECONÓMICAS Y FINANCIERAS
CARRERA CONTADURÍA PÚBLICA

Si nos referimos a una organización que produce componentes tecnológicos de audio tanto en
formato como en producto semi terminado y terminado, esta organización mantiene sus resultados
de investigación bajo el control informático. Además tiene las características propias de cualquier
empresa productora y comercial en cuanto a sistemas de información. Mantiene en internet un
sistema de información de sus productos con la posibilidad de que los usuarios de la red puedan
hacer consultas sobre diferentes características de los productos, gasta anualmente el 1% de su
facturación en el sistema de información y un 10% de cada investigación.

¿Cuáles serían los objetivos de revisión de la auditoria informática en este ejemplo?

Resp. Desde luego parece que la auditoria informática debería enfocarse hacia aspectos de
seguridad, de comercio electrónico y de control interno en general, en función de lo expuesto en
cuanto al gasto anual que debería realizarse en la revisión de la efectividad del departamento.

Con este ejemplo podemos ver el uso eficaz que le damos a la auditoria informática, esta abarca
campos de revisión más allá de los que tradicionalmente se han mantenido; esto es la revisión del
control interno informático de los servicios y aplicaciones.

En el mundo actual de hoy en día con la adición de empresas comerciales, industrias y nuevas
empresas se hace más necesario que los sistemas internos de la empresa sean eficaces. Se debe
tomar varias precauciones en cuanto a la información de la empresa, esta se debe manejar con la
mayor discreción posible, para que la empresa pueda crecer es necesario las inversiones, para que
la empresa pueda salir al mercado y ser competitiva a las demandas del mundo empresarial actual.

Es así que la auditoria informática debe realizar las siguientes actividades objetivas:

 Verificación del control interno, tanto de las aplicaciones como de los sistemas informáticos,
central y periféricos.
 Análisis de la gestión de los sistemas de información desde un punto de vista de riesgo de
seguridad, de gestión y de efectividad de la gestión.
 Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de las
aplicaciones. Esta función, que la vienen desempeñando los auditores informáticos, están
empezando ya a desarrollarla los auditores financieros.
 Auditoría del riesgo operativo de los circuitos de información.
 Análisis de la gestión de los riesgos de la información y de la segundad implícita.
 Verificación del nivel de continuidad de las operaciones (a realizar conjuntamente con los
auditores financieros).
 UNIVERSIDAD MAYOR DE SAN ANDRÉS
FACULTAD DE CIENCIAS ECONÓMICAS Y FINANCIERAS
CARRERA CONTADURÍA PÚBLICA

 Análisis del Estado del Arte tecnológico de la instalación revisada y de consecuencias

empresariales que un desfase tecnológico pueda acarrear.
 Diagnóstico sobre el grado de cobertura que dan las aplicaciones a las necesidades
estratégicas y operativas de información de la organización.

El auditor informático es responsable para establecer los objetivos de control que reduzcan o eliminen
la exposición al riesgo de control interno. Después de que los objetivos de la auditoría se hayan
establecido, el auditor debe revisar los controles y evaluar los resultados de su revisión para
determinar las áreas que requieran correcciones o mejoras."

ORGANIZACION DE LA FUNCION DE AUDITORIA INFORMATICA:

La auditoría informática pasó a convertirse en una herramienta de trabajo para el trabajo que
desempeña el auditor, el auditor informático pasa a ser consultor del ente empresarial, en el que será
analista en materias de seguridad, control interno operativo, eficiencia y eficacia, tecnología
informática, continuidad de operaciones, gestión de riesgos.

PRINCIPIOS DEL AUDITOR INFORMÁTICO:

 Su localización está ligada en la auditoria interna, operativa y financiera, pero con
independencia de objetivos
 Organización operativa en un grupo independiente con una accesibilidad a los sistemas
informáticos
 La gestión de la función, debe ser llevada a cabo por personal eficiente.

Los recursos humanos con los que deben contar el departamento deben contemplar una mezcla
equilibrada entre personas con formación donde se especifique no solo los objetivos de la función
sino también de la persona.

LA ORGANIZACIÓN INTERNA ESTARÁ COMPUESTA POR:

- Jefe del departamento: Desarrolla el plan operativo del departamento.
- Gerente supervisor de auditoria informática: Ayuda a la evaluación de riesgos, también es
responsable para obtener los mejores resultados.
- Auditor informático: Su trabajo consiste en la obtención de información, realización de
pruebas, documentación del trabajo, evaluación y diagnóstico de resultados

PARA UNA ORGANIZACIÓN TIPO, EL ABANICO DE RESPONSABILIDADES

DEBERÍA CUBRIR:
 Especialista en el entorno informático a auditar y en gestión de bases de datos.
 UNIVERSIDAD MAYOR DE SAN ANDRÉS
FACULTAD DE CIENCIAS ECONÓMICAS Y FINANCIERAS
CARRERA CONTADURÍA PÚBLICA

 Especialista en comunicaciones y/o redes. Responsable de gestión de riesgo operativo y

aplicaciones.
 Responsable de la auditoría de sistemas de información, tanto en explotación como en
desarrollo.

CUESTIONARIO DE REPASO
1. ¿Cuáles son las líneas de evolución de la Auditoría Informática?
Resp. La auditoría informática desde hace tiempos muy remotos está ligado a la auditoria
interna en particular, si hablamos de los egipcios podemos decir que, en esas épocas se
hablaba de contabilidad y de control de los registros, también se dicen que algunos
historiadores fijan el nacimiento de la escritura como la necesidad de registrar y controlar
operaciones. Con esto podemos ver la evolución histórica de la auditoria informática.
Si analizamos el nacimiento y la existencia de la auditoria informática, desde un punto de
vista empresarial, tendremos que analizar el contexto organizativo y ambiental en el que se
desenvuelve.
2. ¿Qué diferentes acepciones existen de la Auditoría Informática?
Resp. Dentro del contexto estratégico, como del operativo de las organizaciones actuales, los
sistemas de información y la arquitectura que lo soportan, desempeñan un importante papel
como uno de los soportes básicos de la gestión y el control del negocio, esto da lugar a los
sistemas de información de una organización.
3. ¿Cuál es el perfil del auditor informático general?
Resp. A tenor de lo que hemos dicho hasta ahora, se ve claramente que el auditor informático
debe ser una persona con un alto grado de calificación técnica y al mismo tiempo estar
integrado en las corrientes organizativas empresariales que imperan hoy.
La persona o personas que integren esta función deben contemplar en su formación básica
una mezcla de conocimientos de auditoría financien y de informática general.
4. ¿Qué formación debe poseer el auditor informático?
Resp. Deben contemplar conocimientos básicos en cuanto o:
• Desarrollo informático; gestión de proyectos y del ciclo de vida de un proyecto de desarrollo.
• Gestión del departamento de sistemas.
• Análisis de riesgos en un entorno informático.
 UNIVERSIDAD MAYOR DE SAN ANDRÉS
FACULTAD DE CIENCIAS ECONÓMICAS Y FINANCIERAS
CARRERA CONTADURÍA PÚBLICA

• Sistema operativo (este aspecto dependerá de varios factores, pero principalmente de si va

a trabajar en un entorno único -auditor interno- o. por el contrario, va a tener posibilidades de
trabajar en varios entornos como auditor externo
• Telecomunicaciones.
• Gestión de bases de datos.
• Redes locales.
• Seguridad física.
• Operaciones y planificación informática: efectividad de las operaciones y del rendimiento de
los sistemas.
• Gestión de la seguridad de los sistemas y de la continuidad empresarial a través de planes
de contingencia de la información.
• Gestión de problemas y de cambios en entornos informáticos.
• Administración de datos.
• Ofimática.
• Comercio electrónico.
• Encriptación de datos.

5. ¿Cuáles son las funciones de la Auditoría Informática?

Resp. La función de la auditoria informática son las siguientes:
• Verificación del control interno, tanto de las aplicaciones como de unos sistemas
informáticos, centrales« y periféricos
• Análisis de la gestión de los sistemas de información desde un punto de vista de riesgo de
seguridad, de gestión y de efectividad de la gestión.
• Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de las
aplicaciones. Esta función, que la vienen desempeñando los auditores informáticos, están
empezando ya a desarrollarla los auditores financieros.
• Auditoría del riesgo operativo de los circuitos de información.
• Análisis de la gestión de los riesgos de la información y de la segundad implícita.
• Verificación del nivel de continuidad de las operaciones (a realizar conjuntamente con los
auditores financieros).
• Análisis del Estado del Arte tecnológico de la instalación revisada y de I» consecuencias
empresariales que un desfase tecnológico pueda acarrear.
• Diagnóstico sobre el grado de cobertura que dan las aplicaciones a las necesidades
estratégicas y operativas de información de la organización.
 UNIVERSIDAD MAYOR DE SAN ANDRÉS
FACULTAD DE CIENCIAS ECONÓMICAS Y FINANCIERAS
CARRERA CONTADURÍA PÚBLICA

6. ¿Qué aspectos pueden hacer más compleja, en la actualidad, la función

de Auditoría Informática?
Resp. En un mundo complejo de las empresas en el que nos movemos, con industrias
emergentes y con una tendencia globalizadora en los negocio, hace muy necesario que los
sistemas de control interno sean lo más efectivos posibles, pero también conceptos más
amplios, como el riesgo de la información, la continuidad de las operaciones. La gestión del
centro de información o la efectividad y actualización de » inversiones realizadas son
necesaria* para poder mantener el nivel competitivo que el mundo empresarial demanda a
sus sistemas de información.
7. ¿Cuál debe ser la localización de la función de Auditoría Informática en
la empresa?
Resp. Su localización puede estar ligada a la localización de la auditoría interna operativa y
financiera, pero con independencia de objetivos (que haya una coordinación lógica entre
ambos departamentos), de planes de formación y de presupuestos.
8. ¿Cuáles son las tareas del Jefe del Departamento de Auditoría
Informática?
Resp. Desarrolla el plan operativo del departamento. U$ descripciones de los puestos de
trabajo del personal a su cargo, las planificaciones de actuación » gestiona los programas de
trabajo y los trabajos en sí, los cambios en lo» métodos de trabajo y evalúa la capacidad de
las personas a su cargo.
9. ¿Qué tamaño debe tener el Departamento de Auditoría Informática?
Resp. El tamaño sólo se puede precisar en función de los objetivos de la función. Pero en mi
opinión, para una organización, el abanico de responsabilidades debería cubrir
10. Defina un plan de formación para que un informático pueda
desempeñar sin problemas la función de auditor.
Resp. Un plan de formación puede ser que el informático conozca a la perfección la empresa,
conozca con precisión los sistemas que maneja la empresa, conozca a la perfección el papel
que desempeña el auditor en la empresa.

APLICACIÓN DE ORGANIZACIÓN DEL DEPARTAMENTO DEL DE

AUDITORIA INFORMATICA

Primeramente, deberemos preguntarnos qué es la seguridad física. Parece que siempre que
pensamos en seguridad informática nos estamos refiriendo a virus, intrusiones en el sistema, robos
 UNIVERSIDAD MAYOR DE SAN ANDRÉS
FACULTAD DE CIENCIAS ECONÓMICAS Y FINANCIERAS
CARRERA CONTADURÍA PÚBLICA

de contraseñas, pero eso no lo es todo. La seguridad física comprende todos estos factores además
de la integridad de los activos tanto materiales como humanos.

La seguridad 100% de un sistema de información no existe, si bien se puede realizar una tarea que
ofrezca un nivel de compromiso importante. También tenemos que considerar que la seguridad
conlleva un coste, y no debemos de superar los límites que consideremos adecuados. Las tareas de
la seguridad física comprenden:

Obtener y procurar mantener un nivel de seguridad física sobre los activos, ubicación de la oficina,
seguridad eléctrica y seguridad sobre los sistemas de información.

Analizar los siguientes recursos: riesgos de los sistemas y riesgos naturales.

ALCANCE
Siempre que hablamos de alcance en la seguridad física debemos de establecer unos ciertos límites
donde actuar, dependiendo del tamaño de la empresa, campo en el que actúa, nivel de riesgo, y en
función de ello, adoptar las medidas de seguridad necesarias.

Una vez realizada esta pequeña reflexión deberemos de explorar al máximo todos los posibles riegos
que podamos tener, siempre dentro de unos límites adecuados.

ORGANIGRAMA
Para la realización de una auditoría es esencial conocer desde el principio y tener claro el
organigrama de la empresa. Gracias a esto, podremos descubrir de un modo más profundo y
esquemático las funciones de cada individuo. Mostramos a continuación el organigrama existente en
EMPRESA X.
 UNIVERSIDAD MAYOR DE SAN ANDRÉS
FACULTAD DE CIENCIAS ECONÓMICAS Y FINANCIERAS
CARRERA CONTADURÍA PÚBLICA

POLÍTICA DE SEGURIDAD
La política de seguridad en una empresa es el producto de un acto imprescindible de diseño y puesta
en producción de todos los elementos básicos que aseguren la información y datos de un sistema
de información. Es nuestra garantía de que los datos o aplicaciones de todo nuestro sistema de
información estén a salvo y recuperables de cualquier contratiempo que pueda producirse por causas
accidentales o errores humanos.

Los aspectos referidos a la política de seguridad, deberán estar expresamente definidos en un

documento que debe ser creado conjuntamente por el Responsable de Seguridad y los técnicos.

Dentro de la política de seguridad, tendrá gran importancia la política de backup. En ella se definirá
con exactitud la periodicidad con la que el backup será realizado, de qué datos o aplicaciones se
realizará, tipo de copia y los responsables que lo llevarán a cabo.

NORMAS DE SEGURIDAD
Referidos a la política de backup, los soportes sobre los que se realiza la copia deberán de ser
etiquetados correctamente, aunque reconocibles sólo por los responsables y deberán de ser
almacenados de forma segura.

La recuperación de los datos deberá hacerse de forma segura y rápida, asegurándose que los datos
se recuperan correctamente.

TRABAJO PREPARATORIO
Será la primera toma de contacto con la empresa auditada, así que podremos tomar unos primeros
requerimientos que nos servirán para hacer la planificación inicial. Distinguiremos las siguientes
fases:

a) encargo del proyecto

Podemos diferenciar entre encargos específicos que nos pidan por alguna debilidad aparecida o
por la necesidad de realizar la auditoría que estaba programada. En ambos casos, tendremos
que tener el personal adecuado con los conocimientos pertinentes. Antes de realizar un proyecto
de auditoría debemos pensar si seremos capaces de llevarlo a cabo con la infraestructura y
personal que tenemos.

Después de analizar la propuesta, pasaremos a realizar una planificación por encima, en la que
se deben definir el ámbito, objetivos, plazos de tiempo y costes. Todo ello deberá quedar en un
contrato por escrito u otra forma legal.
 UNIVERSIDAD MAYOR DE SAN ANDRÉS
FACULTAD DE CIENCIAS ECONÓMICAS Y FINANCIERAS
CARRERA CONTADURÍA PÚBLICA

b) planificación
Procederemos a realizar una planificación que sea acorde con los requerimientos pedidos.
i) responsables
La entidad auditada deberá elegir un responsable del proyecto, que es el que se
encargará de la comunicación directa con los auditores, facilitándole todo lo que
necesiten. Es la persona que se encargará de establecer las acciones que sean
necesarias. También en la empresa auditora, se ha de elegir igualmente un responsable.
ii) código del proyecto
El proyecto debe ser identificable por algún código, según normativa de la entidad.
iii) análisis de objetivos La finalidad de la auditoría es que se cumplan los objetivos, aunque
bien se pueden alcanzar otros que en un principio no estaban planificados. Por tanto, se
deben analizar bien los requerimientos que la entidad nos facilita.

RECOPILACIÓN DE INFORMACIÓN
Este apartado tratará en conjunto sobre la recopilación de las fuentes de información de las que
disponemos. Dichas fuentes serán: documentación facilitada al auditor, la información dada por el
propio personal, las revisiones y las pruebas, y las fuentes externas a la entidad. Esta información
será la que trataremos para evaluar la seguridad física de la auditoría.

Para la búsqueda de información, será conveniente la realización de cuestionarios adaptables a cada

persona, según sea el objetivo, ámbito y profundidad de la auditoría. Detallaremos más adelante
mediante una pequeña aplicación, un modelo de cuestionario en el que se reflejarán todos los
aspectos relevantes de la Seguridad Física.

Estos cuestionarios deberán ser rellenados por el personal al que queramos auditar y que nos
servirán para conocer aspectos no detectados y que utilizará el auditor para realizar las preguntas
de forma directa.

LA DOCUMENTACIÓN
La documentación que se debe solicitar a la entidad auditada dependerá en función de los objetivos,
ámbito y profundidad de la auditoría en concreto, pero a rasgos generales, se deben solicitar los
siguientes documentos para más adelante proceder a su análisis y revisión. Estos documentos que
se pedirán serán:

1) organigrama de la entidad y funciones

Analizar cuál es la dependencia de la entidad informática y verificar que existe un
departamento o función de seguridad informática. Si existe departamento de auditoría,
 UNIVERSIDAD MAYOR DE SAN ANDRÉS
FACULTAD DE CIENCIAS ECONÓMICAS Y FINANCIERAS
CARRERA CONTADURÍA PÚBLICA

verificar que no depende del de informática, y que sus integrantes no se encargan del
desarrollo, mantenimiento, seguridad u otra tarea que se pueda auditar.
2) políticas y procedimientos
Se debe asegurar que existen políticas de gestión y actuación, y que los procedimientos que
se emplean en los sistemas informáticos son los adecuados. Si no existen estos, se
recomienda su creación.
3) planes de seguridad
Verificar que existe un plan de seguridad adecuado para la entidad que sea real y factible.
Además, quien lo lleve a cabo sea personal que esté en contacto y lo pueda llevar a cabo.
4) planes de contingencia
Verificar que existe un plan de contingencia adecuado y factible de ejecución, si no, deberá
de ajustarse a un valor real. De no existir, se deberá recomendar la creación de uno.
5) actas de Comités
Analizar las decisiones tomadas y que afecten para poder detectar el origen de las
debilidades.
6) memorando y comunicados
Es importante conocer los comunicados que la empresa manda a los empleados respecto a
las medidas de seguridad. Es importante que los empleados estén debidamente informados
sobre las materias de seguridad general y las de seguridad de la información. De no ser así,
correríamos un serio peligro.
7) planos de las instalaciones
La entidad deberá contar con unos planos sobre las instalaciones y deberán de ser accesibles
por cualquier trabajador para su consulta en la medida en que no requiera una protección
especial.
8) contratos
Se deberán conocer los contratos de los trabajadores que estén en contacto con los sistemas
de información, para saber si las cláusulas dispuestas como confidencialidad y tratamiento
de la información son suficientes.
9) pólizas de seguros
Se deberán presentar todas las pólizas que tenga la empresa y que afecten a la auditoría
para averiguar qué sistemas están protegidos, y asegurar que las coberturas son las
correctas. Se estudiará si la entidad tiene riesgos altos en algún apartado para un posible
refuerzo de seguridad.
10) informes anteriores
 UNIVERSIDAD MAYOR DE SAN ANDRÉS
FACULTAD DE CIENCIAS ECONÓMICAS Y FINANCIERAS
CARRERA CONTADURÍA PÚBLICA

Repasaremos informes o auditorías anteriores para averiguar si se ha mejorado en las

debilidades encontradas, y además añadir fuentes de información que nos puedan servir sin
perder la objetividad en nuestro análisis

EL PERSONAL INVOLUCRADO
Lo normal es que exista un equipo de trabajo para llevar a cabo el trabajo de auditoría, la forma de
actuar tiene que ser también en forma de grupo con un plan de trabajo y objetivos conjuntos. El
conocimiento mínimo de los componentes deberá ser amplio, si bien, sería conveniente que cada
componente estuviese especializado en un campo, para ampliar los conocimientos. Los
componentes que la realizarán serán los siguientes:

a) gerente
Normalmente, se designará un solo gerente, salvo que la entidad auditada sea muy amplia.
Las funciones que realizará serán:
i) Planificación del trabajo
Es esta fase se definirá la estrategia de trabajo a seguir. Deberá de estar planificado
por un estamento superior.
ii) Definición de los proyectos
De deben definir conjuntamente con la entidad superior los objetivos de la auditoría.
iii) Elaboración del programa de trabajo
Se definirá la planificación del trabajo de forma definitiva, estableciendo los tiempos y
asignación de las tareas.
iv) Dirección del proyecto de auditoría
Existirá un encargado general del proyecto, que llevará a cabo la dirección de la
auditoría y el que tomará las decisiones más importantes en caso de dudas.
v) Revisión del informe
La revisión del informe se realizará por todos los miembros del grupo, y tendrá la
ventaja del conocimiento de todos los participantes.
vi) Seguimiento de las recomendaciones
Sólo se aplicará un seguimiento si realizamos auditorías internas en el futuro, o si
quien realizará nuestra próxima auditoría externa esté formado por las mismas
personas.
b) jefe de equipo
 UNIVERSIDAD MAYOR DE SAN ANDRÉS
FACULTAD DE CIENCIAS ECONÓMICAS Y FINANCIERAS
CARRERA CONTADURÍA PÚBLICA

Puede haber varios jefes de equipo, siempre que tengamos más de un grupo de trabajo. Esto
puede ocurrir si la auditoría se realiza a una entidad grande y/o con varias ubicaciones. Sus
roles serán:
i) Colaboración con el gerente
Debe de estar en contacto permanente con el gerente para posibles dudas que surjan.
ii) Supervisión del trabajo de campo
Serán los encargados de la supervisión del trabajo, ayudando en todo lo posible.
iii) Coordinación y revisión del trabajo de los auditores
Encargados de establecer qué trabajo realizarán los auditores y el control que
llevarán.
iv) Detección de los puntos importantes para el informe
Deberán conocerse los puntos fuertes, débiles, consideraciones y errores sobre el
informe.
v) Propuesta de recomendaciones
Se deben de proponer las recomendaciones o soluciones a partir del informe que se
deberán ejecutar para buscar una solución.
vi) Elaboración del borrador del informe
Se elaborará el informe que será entregado a la entidad auditada, con las deficiencias,
consideraciones y errores indicados.
c) los auditores
Son los encargados de realizar el trabajo de campo y de realizar las entrevistas y
cuestionarios. Estarán en contacto con los gerentes y los jefes de grupo. Sus funciones serán:
i) Colaboración con los jefes de grupo
Tendrán una estrecha colaboración con los jefes de grupo Capítulo 8 Auditoría
informática y aplicación a un caso en una empresa real 74
ii) Realización del trabajo de campo
Como indicamos anteriormente, serán los encargados de la realización de entrevistas,
cuestionarios, y de pedir la documentación necesaria a los auditados.
iii) Propuesta de sugerencias
Al ser los primeros en realizar la tarea de campo, serán los encargados de proponer
sugerencias a los jefes de grupo para que las puedan estudiar.
iv) Propuesta de recomendaciones
Las recomendaciones las propondrán a los jefes de grupo para que éstos las puedan
estudiar.
 UNIVERSIDAD MAYOR DE SAN ANDRÉS
FACULTAD DE CIENCIAS ECONÓMICAS Y FINANCIERAS
CARRERA CONTADURÍA PÚBLICA

d) auditores junior
Puede haber o no auditores junior en un equipo de trabajo. Estos tendrán poca experiencia y
estarán acompañados de auditores profesionales para adquirir madurez y conocimientos. Por
tanto, serán una herramienta de apoyo a los grupos de trabajo existentes.

ANEXO

Dimensiones del Trabajo del Auditor Informático

Revisión de Controles de las Aplicaciones (19%)

Determinar que los sistemas producen la información a tiempo, exacta y completa

Revisión de Integridad de Datos (13%)

Compleción, consistencia y exactitud

Revisión de C.V. de Desarrollo (5%)

Determinar la adherencia a los estándares de CV de desarrollo aceptados

Revisión de Controles Generales de los Procedimientos Operacionales (12%)

Determinar que las aplicaciones se procesan en un entorno controlado

Revisión de Seguridad (14%)

Asegurar la protección adecuada de los programas, de los datos y de la instalación

de procesamiento de datos

Revisión Software de los Sistemas (5%)

Determinar el cumplimiento con las políticas de la organización

Revisión de Mantenimiento (6%)

Determinar que los sistemas se han modificado de acuerdo con las políticas de la
organización

Revisión de Adquisición (3%)

Determinar que los recursos de la organización se están utilizando de forma

económica
 UNIVERSIDAD MAYOR DE SAN ANDRÉS
FACULTAD DE CIENCIAS ECONÓMICAS Y FINANCIERAS
CARRERA CONTADURÍA PÚBLICA

Revisión de la Gestión de Recursos del Procesamiento de Datos (5%)

Determinar su adecuación en el cumplimiento de los objetivos organizativos

Gestión de Auditoría Informática (9%)

Utilizar de forma efectiva los recursos disponibles de la función de la auditoría

informática y para cumplir el requisito de auditoría informática de la organización