ETAPAS DE LA AUDITORÍA

INFORMÁTICA
Equipo:
Jessicka Nickole Bañuelos Sánchez
Aníbal Moises Rosas Silva
Tania Soto Pineda
• La auditoría en informática es el proceso de recolección y evaluación
de evidencias para determinar cuando son salvaguardados los activos
de los sistemas computarizados, de que manera se mantiene la
integridad de los datos y como se logran los objetivos de la
organización eficazmente y se usan los recursos consumidos
eficientemente.
Auditoría interna
• Es una función independiente de la evaluación que se establece
dentro de una organización para examinar y evaluar sus actividades.
• Su objetivo es apoyar a los miembros de la organización en el
desempeños de sus responsabilidades.
• Los auditores internos son responsables de proporcionar información
acerca de la adecuación y efectividad del sistema de control interno
de la organización.
• El auditor interno deber ser independiente de las actividades que
audita.
Normas de auditoría interna:
• Las actividades auditadas y la objetividad de los auditores internos.
• El conocimiento técnico, la capacidad y el cuidado profesional de los
auditores internos.
• El alcance del trabajo de auditoría interna en el área de informática.
• El desarrollo de las responsabilidades asignadas a los auditores
internos.
• Los resultados del trabajo de auditoría deben ser revisados antes de
emitir el respectivo informe de auditoría.
• El auditor en informática debe contar con los conocimientos técnicos
requeridos y con capacidad profesional.
• El departamento de auditoría interna deberá asegurarse:
• Que las auditorías sean supervisadas en forma apropiada.
• Que los informes de auditorías sean precisos, objetivos, claros, concisos,
constructivos y oportunos.
• Que se cumplan los objetivos de la auditoría.
• Que este debidamente documentada.
Conocimientos y experiencias para un auditor.
• Se requiere pericia en la aplicación de las normas, procedimientos y
técnicas de auditoría para el desarrollo de revisiones.
• Tener habilidad para: aplicar cambios conocimientos a situaciones
que posiblemente se vayan encontrando.
Habilidades que deben poseer los auditores.
• Habilidad para comunicarse efectivamente y dar un trato adecuado a
las personas.
• Los auditores en informática son responsables de continuar su
desarrollo profesional para poder mantener su pericia profesional.
• Los auditores en informática deben ejercer el debido cuidado
profesional al realizar sus auditorías.
Cuidado personal
• El ejercicio del debido cuidado profesional significa el uso razonable
de las experiencias y juicios en el desarrollo de la auditoría.
• Para este fin el auditor debe considerar:
• El alcance del trabajo de auditoría necesario para lograr los objetivos de la
auditoría.
• La materialidad o importancia relativa de los asuntos a los que se aplican los
procedimientos de la auditoría.
• La adecuación y efectividad de los controles internos.
• El costo de la auditoría en relación con los posibles beneficios.
• El cuidado profesional incluye la evaluación de los estándares
establecidos, determinando en consecuencia si tales estándares son
aceptables y son cumplidos.
• El alcance de la auditoría debe abarcar el examen y evaluación de la
adecuación y efectividad del sistema de control interno de la
organización y la calidad en el cumplimiento de las responsabilidades
asignadas.
Objetivos del control interno
• La confiabilidad e integridad de los datos.
• El cumplimiento de las políticas, planes, procedimientos, leyes y
reglamentos.
• La salvaguarda de los activos.
• El uso eficiente y económico de los recursos.
• El logro de los objetivos y metas establecidos para las operaciones o
programas.
¿Por qué auditar los sistemas de información?
• Un sistema de información proporciona datos para la toma de
decisiones, el control y el cumplimiento con requerimientos externos.
• Los auditores deben revisar los sistemas establecidos para asegurarse
del cumplimiento de las políticas, planes y procedimientos, leyes y
reglamentos que pueden tener un impacto significativo en las
operaciones e informes, y deben determinar si la organización cumple
con ellos.
• Los auditores son responsables de determinar si los sistemas son
adecuados y efectivos y si las actividades están cumpliendo con los
requerimientos apropiados.
Uso eficiente de los recursos
• Evaluar si el empleo de los recursos se realiza en forma económica y
eficiente.
• Los auditores son responsables de determinar si:
• Los estándares para medir el uso de los recursos son adecuados.
• Los estándares de operación han sido entendidos y se cumplen.
• Las desviaciones a los estándares de operación se identifican, analizan y se
comunican a los responsables para que tomen las medidas correctivas.
• Se toman las medidas correctivas.
Identificar situaciones relacionadas con el uso
económico y eficiente de los recursos.
• Subutilización de instalaciones.
• Trabajo no productivo.
• Procedimientos que no justifican su costo.
• Exceso o insuficiencia de personal.
• Uso indebido de las instalaciones.

• Los auditores deberán revisar las operaciones o programas para

cerciorarse si los resultados son consistentes con los objetivos y
metas establecidos y si las operaciones o programas se llevan a cabo
como se planearon.
Planeación de la auditoría en informática
• Hay que seguir una serie de pasos previstos que permitirán
dimensionar el tamaño y características del área dentro del
organismo a auditar, sus sistemas, organización y equipo.

• Es una actividad fundamental dentro de la auditoría informática.

La planeación deberá ser documentada e
incluirá:
• El establecimiento de los objetivos y alcance del trabajo.
• La obtención de información de apoyo sobre las actividades que auditaran.
• La determinación de los recursos necesarios.
• El establecimiento de la comunicación.
• La realización, en forma más apropiada, de una inspección física para
familiarizarse con las actividades y controles a auditar.
• La preparación por escrito del programa de auditoria.
• La determinación de cómo, cuándo y a quién se le comunicarán los
resultados de auditoría.
• La obtención de la aprobación del plan de trabajo de la auditoría.
Puntos de vista de realizar la planeación.
• Evaluación administrativa del área de procesos electrónicos.
• Evaluación de los sistemas y procedimientos.
• Evaluación de los equipos de cómputo.
• Evaluación del proceso de datos, de los sistemas y de los equipos de
cómputo.
• Seguridad y confidencialidad de la información.
Pasos para lograr una adecuada planeación.
• Obtener información general sobre la organización y sobre la función
de informática a evaluar.
• Investigación preliminar y algunas entrevistas previas.
• Planear el programa de trabajo (tiempos, costos, personal necesario y
documentos auxiliares).
Se deben establecer…
• Metas.
• Programas de trabajo de auditoría.
• Planes de contratación de personal y presupuesto financiero.
• Informe de actividades.
Revisión preliminar
• El objetivo es obtener la información necesaria para que el auditor
pueda tomar la decisión de cómo proceder en la auditoría.

• Significa la recolección de evidencias por medio de entrevistas con el

personal de la instalación, la observación de las actividades en la
instalación y la revisión de la documentación preliminar.
• La revisión preliminar elaborada por un auditor interno difiere de la
realizada por un auditor externo en tres aspectos:
• El auditor interno requiere de menos revisiones y trabajos.
• El auditor externo se enfoca más en las causas de las pérdidas y en los
controles necesarios para justificar sus decisiones.
• Si el auditor interno supone debilidades en los controles internos, en lugar de
proceder directamente con las pruebas sustantivas, deberá continuar con la
fase de revisión detallada para señalar recomendaciones para mejorar los
controles internos.
Resultados de la revisión preliminar.
• El auditor puede proceder en uno de los tres caminos siguientes:
• Diseño de la auditoria. Puede haber problemas debido a la falta de
competencia técnica para realizar la auditoría.
• Realizar una revisión detallada de los controles internos de los sistemas con la
esperanza de que se deposite la confianza en los controles de los sistemas y
de que una serie de pruebas sustantivas puedan reducir las consecuencias.
• Decidir el no confiar en los controles internos del sistema. Pueden ser más
eficiente desde el punto de vista costo-beneficio o puede duplicar los
controles existentes en el área del usuario.
Revisión detallada
• Objetivo: Obtener información necesaria para que el auditor pueda
tener un profundo entendimiento de los control usados dentro del
área de informática.
• Identificar las causas de las pérdidas existentes dentro de la
instalación y los controles para reducir las pérdidas y los efectos
causados por éstas.
• Al terminar, evaluar el momento en qué los controles establecidos
reducen las pérdidas esperadas a un nivel aceptable
Revisión detallada (cont..)
• El auditor interno debe:
• Considerar las causas de las pérdidas que afectan la eficacia y la eficiencia
• Evaluar por qué los controles escogidos son o no suficientes para reducir las
pérdidas
• Evaluar si los controles son óptimos , si provocan un sobre control , o bien si
se logra un satisfactorio nivel de control usando menos controles o controles
menos costosos.
• Debe señalar las recomendaciones para mejorar los controles de los sistemas
Examen y evaluación de la información
• Objetivo: Obtener analizar, interpretar y documentar la información
para apoyar los resultados de la auditoría.
• Proceso:
• Obtener la información de todos los asuntos relacionados con los objetivos y
alcances de la auditoría.
• La información deberá ser suficiente, competente, relevante y útil para que
proporcione bases sólidas en relación con los hallazgos y recomendaciones de
la auditoría.
• Los procedimientos de auditoría deberán ser elegidos con anterioridad,
cuando esto sea posible, y ampliarse o modificarse cuando las circunstancias
lo requieran.
Examen y evaluación de la información
(cont..)
• El proceso de recabar, analizar, interpretar y documentar la información
deberá supervisarse para proporcionar una seguridad razonable de que la
objetividad del auditor se mantuvo y que las metas de la auditoría se
cumplieron.
• Los documentos de trabajo de la auditoría deberán se preparados por los
auditores y revisados por la gerencia de auditoría.

• Los auditores deberán reportar los resultados del trabajo de

auditoría. El auditor deberá discutir las conclusiones y
recomendaciones en los niveles apropiados de la administración
antes de emitir su informe final.
Examen y evaluación de la información
(cont..)
• Los informes presentarán el propósito, alcance y resultados . Deben
ser objetivos, claros, concisos, constructivos y oportunos. Pueden
tener recomendaciones para mejoras potenciales y reconocer el
trabajo satisfactorio y las medidas correctivas.
• Los auditores internos realizarán el seguimiento de las
recomendaciones para asegurarse que se tomaron las acciones
apropiadas sobre los hallazgos de auditoría reportados
• El director de auditoría en informática deberá establecer un
programa para seleccionar y desarrollar los recursos.
Examen y evaluación de la información
(cont..)
• El director de auditoría interna en informática deberá establecer y
mantener un programa de control de calidad para evaluar las
operaciones del departamento de auditoría interna:
• Supervisión del trabajo de los auditores en informática
• Revisiones internas
• Revisiones externas
Pruebas de consentimiento
• Objetivo: Determinar si los controles internos operan como fueron
diseñados para operar.
• El auditor debe determinar si los controles declarados en realidad
existen y si realmente trabajan confiablemente.
• Además de las técnicas manuales de recolección de evidencias, muy
frecuentemente el auditor debe recurrir a técnicas de recolección de
información asistidas por computadora, para determinar la existencia
y confiabilidad de los controles
Pruebas de controles del usuario
• En algunos casos el auditor puede decidir no confiar en los controles
internos dentro de las instalaciones informáticas, porque el usuario
ejerce controles que compensan cualquier debilidad dentro de los
controles internos de informática.
• estas pruebas se pueden realizar mediante cuestionarios, entrevistas,
vistas y evaluaciones hechas directamente con los usuarios.
Pruebas sustantivas
• Objetivo: Obtener evidencia suficiente que permita al auditor emitir
su juicio en las conclusiones acerca de cuándo pueden ocurrir
pérdidas materiales durante el procesamiento de la información.
• Hay ocho diferentes pruebas sustantivas:
• Pruebas para identificar errores en el procesamiento o falta de seguridad o
confidencialidad.
• Pruebas para asegurar la calidad de los datos.
• Pruebas para identificar la inconsistencia de los datos.
• Pruebas para comparar con los datos o contadores físicos.
• Confirmación de datos con fuentes externas
Pruebas sustantivas (cont..)
• Pruebas para confirmar la adecuada comunicación.
• Pruebas para determinar falta de seguridad.
• Pruebas para determinar problemas de legalidad.

• Debemos cuestionarnos el beneficio de tener un excesivo control o

bien evaluar el beneficio de tener mayor control contra el costo que
representa éste. Para esto hay que evaluar el costo por falla de
sistema, determinar el grado de riesgo y el costo de la recuperación
de la información.
Pruebas sustantivas (cont..)
• El auditor debe participar en:
• La fase de diseño del sistema.
• La fase de operación.
• La fase posterior a la auditoría.
• Hay formas de evitar que la participación del auditor en la fase de
diseño disminuya la independencia de éste:
• Aumentando los conocimientos en informática del auditor
• Asignar diferentes auditores a la fase de diseño, al trabajo de auditoría y al
posterior a la auditoría
• Crear una sección de auditoría en informática dentro del departamento de
auditoría interno, especializado en auditoría informática.
• Obtener mayor soporte de la alta gerencia.
Pruebas sustantivas (cont..)
• Para lograr los objetivos de una auditoría en informática es necesario
dividir los sistemas en una serie de subsistemas, identificando los
componentes que realizan las actividades básicas de cada subsistema,
evaluar la confianza de cada componente y la de los subsistemas para
llegar a una evaluación global sobre la confianza total del sistema.
• Los pasos que involucran una auditoría en informática son similares a
aquellos que se realizan para auditar un sistema manual:
• Primero se realiza una investigación preliminar del área de informática, para
lograr un entendimiento de cómo está siendo administrada la instalación y de
los principales sistemas que son procesados.
Pruebas sustantivas (cont..)
• En segundo lugar, si el auditor determina confiar en los controles internos del
sistema, se realiza una investigación detallada.
• En tercero, el auditor prueba la confianza sobre aquellos controles que son
críticos.
• En cuarto, se realizan pruebas sustantivas de los procedimientos.
• Finalmente, el auditor debe dar una opinión.

• Después de estos pasos el auditor evalúa los controles internos del

sistema y decide si debe proceder con pasos alternativos.
Evaluación de los sistemas de acuerdo al
riesgo
Una de las formas de evaluar la importancia que puede tener para la
organización un determinado sistema, es considerar:
• el riesgo que implica que no sea utilizado adecuadamente.
• La perdida de información.
• que sea usado por una persona ajena a la organización.

• Algunos sistemas de aplicaciones son de más alto riesgo que otros

debido a que:
Evaluación de los sistemas de acuerdo al
riesgo (cont..)
• Son susceptibles a diferentes tipos de pérdida económica.
• Las fallas pueden impactar grandemente a la organización.
• Interfieren con otros sistemas, y los errores generados permean a
otros sistemas.
• Potencialmente, alto riesgo debido a daños en la competencia.
• Sistemas de tecnologías de punta o avanzadas.
• Sistema de alto costo.
Investigación preliminar
• Obtener una primera idea global.
• Debe incorporar fases de evaluación del control gerencial y del
control de las aplicaciones.
• Se debe recopilar información par obtener una visión general del
departamento por medio de observaciones, entrevistas preliminares
y solicitudes de documentos; la finalidad es definir el objetivo y
alcance del estudio, así como el programa detallado de la
investigación.
• Observar el estado general del departamento o área.
Investigación preliminar (cont..)
En el caso de la auditoría en informática debemos comenzar la
investigación preliminar con una vista de:
• El organismo.
• El área de informática.
• Equipos de computo.
• Solicitar una serie de documentos.

La investigación preliminar se debe hacer solicitando y revisando la

información de cada una de las áreas, basándose en los siguientes
puntos:
Investigación preliminar (con)
• Administración: Se recopila la información para obtener una visión
general del departamento por medio de observaciones, entrevistas
preliminares y solicitud de documentos para poder definir el objetivo
y alcances del departamento.
• Eficiencia en el departamento sólo se logra si los objetivos están
integrados con los de la institución.
• El éxito de la dirección de informática dentro de una organización
depende finalmente de que todas las personas responsables adopten
una actitud positiva respecto a su trabajo y evalúen constantemente
la eficiencia en su propio trabajo.
Investigación preliminar (con)
• La dirección de informática, según las diferentes áreas de la
organización, es evaluada desde diferentes puntos de vista:
• Usuarios a nivel operativo: como una herramienta para incrementar
su eficiencia.
• Altos ejecutivos: una inversión importante
• Para poder analizar y dimensionar la estructura a auditar se debe
solicitar:
Investigación preliminar (cont..)
• A nivel organizacional:
• Objetivos a corto y largo plazo
• Manual de la organización
• Antecedentes o historia del organismo
• Políticas generales
• A nivel del área de informática:
• Objetivos a corto y largo plazo
• Manual de organización del área que incluya puestos, funciones, niveles jerárquicos y
tramos de mando
• Manual de políticas, reglamentos internos y lineamientos generales.
• Número de personas y puestos en el área
• Procedimientos administrativos del área
• Presupuestos y costos del área
Investigación preliminar (cont.)
• Recursos materiales y técnicos:
• Solicitar documentos sobre los equipos, así como el número de ellos, su localización
y sus características (de los equipos instalados, por instalar y programados)
• Estudios de viabilidad
• Fechas de instalación de los equipos y planes de instalación
• Contratos vigentes de compra, renta y servicio del mantenimiento
• Contratos de seguros
• Convenios que se tienen con otras instalaciones
• Configuración de los equipos y capacidades actuales y máximas
• Configuración de equipos de comunicación (redes internas y externas) y localización
de los equipos
• etc.
Investigación preliminar (cont.)
• Sistemas:
• Descripción general de los sistemas instalados y de los que estén por
instalarse, que contengan volúmenes de información
• Manual de formas
• Manual de procedimientos de los sistemas
• Descripción genérica
• Diagramas de entrada, archivos, salida
• Fecha de instalación de los sistemas
• Proyecto de instalación de nuevos sistemas
• Bases de datos, propietarios de la información y usuarios de la misma
• Procedimientos y políticas en casos de desastre
• Sistemas propios, rentados y adquiridos
Investigación preliminar (cont.)
• En el momento de hacer la planeación de la auditoría o bien en su
realización, debemos evaluar que pueden presentarse las siguientes
situaciones.
• Se solicita la información y se ve que:
• No se tiene y se necesita
• No se tiene y no se necesita

• Se tiene la información pero

• No se usa
• Es incompleta
• No está actualizada
• No es la adecuada
• Se usa, está actualizada, es la adecuada y está completa
Investigación preliminar (cont.)
• El éxito del análisis crítico depende de las consideraciones siguientes:
• Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la
información sin fundamento). Investigar las causas, no los efectos
• Atender razones, no excusas
• No confiar en la memoria, preguntar constantemente
• Criticar objetivamente y a fondo todos los informes y los datos recabados
Personal participante
• Como colaboradores directos en la realización de la auditoria, se
deben tener personas con las siguientes características:
• Técnico en informática
• Conocimientos de administración, contaduría y finanzas
• Experiencia en el área de informática
• Experiencia en operación y análisis de sistemas
• Conocimientos y experiencia en psicología industrial
• Conocimiento de los sistemas operativos, bases de datos, redes y
comunicaciones, dependiendo del área y características a auditar.
• Conocimientos de los sistemas más importantes
Personal participante (cont.)
• La carta convenio es un compromiso que el auditor dirige a su cliente
para su confirmación de aceptación. En ella se especifican el objetivo
y alcance de la auditoría, las limitaciones y la colaboración necesaria,
el grado de responsabilidad y los informes que se han de entregar.