Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Al finalizar el curso, el alumno ser capaz de ejecutar auditoras sobre los recursos
informticos de las organizaciones y tomar decisiones a partir del dictamen.
|1
Temario Oficial (64 horas sugeridas)
Introduccin
La Auditora en Informtica se ocupa de la revisin del uso de las TI, sus inicios se
remontan a las auditoras financieras cuyo objetivo primordial es emitir una opinin
profesional acerca de los estados financieros de una entidad a partir de una
revisin de estos. Como todas las ramas del conocimiento, la Auditora en
Informtica ha tomado su propia direccin, tanto a nivel nacional como
|2
internacional, a travs de los diferentes Organismos Internacionales de Auditora
en Informtica, as como de las instituciones educativas.
|3
TEMA 1. FUNDAMENTOS DE AUDITORA EN INFORMTICA
Objetivo particular
El alumno reconocer:
El concepto de auditora en informtica y sus diferencias con auditora
administrativa y contable.
La importancia de la auditora en informtica, sus antecedentes, las reas
por auditar en las organizaciones, as como sus beneficios y limitaciones.
Temario detallado
Introduccin
El ser humano puede percibir su entorno por medio de los sentidos del gusto, el
tacto, la vista, el olfato y el odo, y es precisamente a travs de los odos que
podemos percibir ondas sonoras, donde estas se transforman en vibraciones para
despus codificarse en el cerebro como informacin. La facultad de or del ser
humano se queda en el simple acto de percibir los sonidos, pero trasciende
cuando a esta facultad se le aade la disposicin y el entendimiento, es decir
escuchar.
Los orgenes de la palabra Auditora provienen del latn auditorius cuyo origen
etimolgico es auditor, precisamente el que escucha, nosotros consideramos que
un Auditor no solamente se limita a escuchar, el despliegue facultativo que realiza
el auditor est encaminado a percibir su entorno con todos sus sentidos, a
evaluarlo y a opinar acerca de l.
Como hemos comentado la actividad conocida como Auditora tiene sus inicios en
las prcticas de auditoras financieras y, en este mbito, Mxico cuenta con el
Instituto Mexicano de Contadores Pblicos (IMCP) que nos define a la Auditora de
la siguiente manera:
Representa el examen de los estados financieros de una entidad, con el
objeto de que el contador pblico independiente emita una opinin
profesional respecto a si dichos estados representan la situacin
financiera, los resultados de la operaciones, las variaciones en el capital
contable y los cambios en la situacin financiera de una empresa, de
acuerdo con los principios de contabilidad generalmente aceptados.
(2008)
|5
1.1. Concepto de auditora en informtica
|6
1.2. Diferencias entre la auditora administrativa, auditora contable y,
auditora en informtica
|7
El siguiente cuadro contrapone las tres auditoras para hacer una comparacin de
diferencias y similitudes segn sus propiedades.
|8
1.3. Importancia de la auditora en informtica
|9
1.4. Antecedentes de la auditora en informtica
La actividad de auditora tiene sus orgenes con los intercambios comerciales que
se hacan en la antigedad, al surgir el registro en papel de todos los movimientos
comerciales, tambin surge la necesidad de verificar dicha accin.
En Mxico los oidores de la corona espaola, que con el paso del tiempo se
transformaran en auditores, vigilaban el pago de quinto real a los reyes de
Espaa, ellos cumplan con verificar el pago de este impuesto.
Por otra parte en nuestro pas en 1988, el maestro Jos Antonio Echenique Garca
public su libro Auditora de Sistemas, donde establece las bases para el
desarrollo de una auditora de sistemas computacionales, dando un enfoque
terico-prctico.
| 10
Cabe mencionar que en otros pases tambin se han hecho esfuerzos acadmicos
como el realizado por Mario G. Piattini y Emilio Peso en Espaa en el ao de 1998
cuando publicaron su obra Auditora Informtica un enfoque prctico, donde
mencionan diversos enfoques y aplicaciones de la disciplina.
| 11
1.5. reas a auditar en informtica
| 12
1.6. Beneficios y limitaciones de la auditora en informtica
| 13
Bibliografa bsica del tema 1
Piattini Velthuis, Mario G., Peso Navarro, Emilio del. (1997). Auditora Informtica:
un enfoque prctico. Madrid: Ra-Ma.
| 14
Bibliografa complementaria
Cohen, Daniel (2000). Sistemas de informacin para los negocios. (3 ed.) Mxico:
McGraw-Hill.
Sitios electrnicos
Sitio Descripcin
http://www.audit.gov.tw/span/span2-2.htm Ministerio de la Auditora
General de la Repblica China
(NAO). (2004). Auditora
informtica
http://www.mitecnologico.com/Main/AuditoriaInf Mitecnolgico. (2004). Auditora
ormatica Informtica
http://www.oocities.org/mx/acadentorno/aui1.pdf Aguilar Castillo, Gil. (2009).
Captulo 1 de Auditora
Informtica, Facultad de
Estadstica e Informtica.
Universidad Veracruzana.
| 15
Actividades de aprendizaje
A.1.2. Elabora un mapa conceptual de las diferentes reas donde se puede aplicar
una Auditora en Informtica.
A.1.3. Investiga las diferencias entre Auditora Interna y Auditora Externa (indica
tus fuentes de consulta).
Cuestionario de autoevaluacin
1. Qu es la auditora?
2. Cules son los recursos informticos?
3. Cul es la diferencia entre informe y dictamen de auditora?
4. Cul es la diferencia entre auditora contable y auditora informtica?
5. Cul es la diferencia entre auditora en sistemas y auditora a la funcin
Informtica?
6. Cmo defines la importancia de la auditora en informtica?
7. Qu reas de conocimiento se relacionan con la auditora?
8. Consideras que la auditora es necesaria para la seguridad?
9. Cules son los beneficios de la auditora en informtica?
10. Cules son las caractersticas que debe de poseer un Auditor?
| 16
Examen de autoevaluacin
| 17
5. Se define como la revisin sistemtica a la administracin de una empresa,
considerando todas las actividades relacionadas con sus operaciones:
a) auditora contable
b) auditora en informtica
c) auditora administrativa
d) auditora operativa
| 18
9. Proveer oportunidad de mejora es un (a) _______ de la auditora en informtica:
a) proyeccin
b) limitacin
c) misin
d) beneficio
| 19
TEMA 2. MUESTREO ESTADSTICO EN LA AUDITORA
Objetivo particular
Temario detallado
Introduccin
El auditor trabaja o aplica las pruebas para realizar una auditora a travs de
muestras, difcilmente se realizarn al 100%, entonces derivado de ello, se auxilia
del muestreo estadstico para que el trabajo de auditora sea ms expedito y
contundente; asimismo, en este tema se desarrollarn solo algunos ejemplos de lo
que es el muestreo y las caractersticas de cada uno de ellos.
| 20
2.1. Conceptos bsicos de muestreo
Ejemplo
Poblacin: es el conjunto de todos Todas las computadoras adquiridas
los elementos de inters en un durante 2010
estudio.
Una muestra: es un subconjunto de Las computadoras adquiridas en 2010
una poblacin. destinadas para la administracin.
Existen varios tipos de muestras que se utilizan en auditora, si bien el IMCP solo
menciona el muestreo de atributos y muestreo de variables, existen otros tipos de
muestreo, que dependiendo del auditor pueden ser tiles para desarrollar los
procedimientos de auditora, entre ellos encontramos:
Muestreo aleatorio simple
Muestreo estratificado
Muestreo de atributos
Muestreo de aceptacin
Muestreo por conglomerados
Muestreo sistemtico
| 21
Muestreo por conveniencia
Muestreo por juicio
Supngase que una poblacin tiene 400 elementos. Con los tres ltimos dgitos de
los siguientes nmeros aleatorios de cinco dgitos (601, 022, 448,),
| 22
Determnese los cuatro primeros elementos que se seleccionarn para la muestra
aleatoria simple.
Ejemplo
Supngase que realizamos un estudio sobre la poblacin de estudiantes de la
FCA, de la licenciatura en Informtica, en el que a travs de una muestra de 10 de
ellos queremos obtener informacin sobre el uso de Equipo de cmputo en la
Biblioteca.
| 23
De modo que se repartan proporcionalmente ambos grupos el nmero total de
muestras, en funcin de sus respectivos tamaos (6 varones y 4 mujeres). Esto es
lo que se denomina asignacin proporcional.
Dado que se basa en una muestra, sin embargo, existe una probabilidad
significativa de que la tasa de excepcin de la muestra y la tasa de excepcin de
| 24
la poblacin real difieran. Los mtodos estadsticos permiten al auditor indicar la
medida en que los dos ndices de excepcin probablemente difieran y la
confiabilidad del clculo. Lo primero recibe el nombre de precisin y lo segundo
riesgo de muestreo. As pues una vez que se calcula el ndice de excepcin de la
muestra, el auditor determinar la precisin del clculo, lo sumar y lo restar del
ndice de excepcin de la poblacin. El auditor llegar a la conclusin de que el
clculo del intervalo contiene el ndice de excepcin real de la poblacin en
determinado riesgo de muestreo. El riesgo de muestreo se relaciona con la
posibilidad de que una muestra debidamente extrada pueda no ser
representativa del Universo.
Ejemplo
Cuando se han revisado los expedientes del activo fijo, en este caso, de un
universo de 100 computadoras, aproximadamente se han revisado 30, y contiene
cada uno de ellos lo que es necesario para su control, podemos dar por aceptado
el procedimiento de guarda y custodia de los expedientes de computadoras.
| 25
Algunos requerimientos son:
Justificacin de uso del rea solicitante.
Requisicin o solicitud de compra.
Cotizaciones.
Cuadros comparativos.
Justificacin tcnica, econmica u operativa.
Factura.
Entrada y salida del almacn.
Nmero de inventario.
Resguardo de bienes.
| 26
2.3.1. Nivel de confianza y nivel de precisin
| 27
Se tiene que los laboratorios FCA lanzarn un nuevo producto contra todos los
virus informticos solamente si en las pruebas, resulta mejor que los antivirus que
actualmente se comercializan. El antivirus actual quita un 78% de virus conocidos,
se planea hacer un estudio con 10,000 computadoras con un nivel de confianza
del 97.5%.
El Universo
Es el total de las operaciones que realiza una entidad o bienes tangibles o
intangibles que en ella se encuentran, asimismo es un todo de un conjunto que
nos interesa en particular al realizar la revisin.
Si fuera el caso de una revisin a la Direccin de Informtica, se podra tomar
como universo el total de Software que se ha desarrollado en esa Direccin, o el
total de software que se ha adquirido.
Riesgo y Certidumbre
Cuando se acepta realizar algn tipo de auditora, existe como consecuencia de
cualquier actividad practicada, la posibilidad de dejar de evaluar algunos aspectos
que pueden ser o no relevantes para la aplicacin de la auditora y que, por lgica,
repercute en las observaciones e informe del auditor.
Riesgo Inherente
Este tipo de riesgo se da por la prctica misma de la auditora.
| 28
Riesgo de Control
El riesgo de control se da por no contar con los controles internos adecuados al
realizar las actividades, ya sea por ausencia, debilidad o incumplimiento de los
controles establecidos por la Institucin.
Riesgo de deteccin
Es el riesgo que se tiene implcito al realizar el muestreo de auditora, ya que al
trabajar con pruebas selectivas se puede incurrir en el riesgo de no detectar un
hecho importante que pueda traducirse en fraude.
Error tolerable
Es el error que un auditor considera dentro de sus parmetros muestrales, es
decir, es el nivel de sesgo mximo permitido para alcanzar resultados
satisfactorios que de manera slida tiene el auditor al realizar sus pruebas de
auditora. Fuera de ese margen se tendr que aumentar el tamao de la muestra
para elevar el nivel de confianza y se reduzca el margen de error.
| 29
Bibliografa bsica del tema 2
| 30
Bibliografa complementaria
Cohen, Daniel (2000). Sistemas de informacin para los negocios. (3 ed.) Mxico:
McGraw-Hill.
Kell, Walter G.; Ziegler, Richard E. Boynton William. (1995). Auditora Moderna. (2
ed.) Mxico: CECSA.
Sitios electrnicos
Sitio Descripcin
http://www.audit.gov.tw/span/span2-2.htm Ministerio de la Auditora
General de la Repblica
China (NAO). (2004).
Auditora informtica
http://www.mitecnologico.com/Main/AuditoriaInformatica Mitecnolgico. (2004).
Auditora Informtica
| 31
Actividades de aprendizaje
A.2.2. Elabora un mapa conceptual de las diferentes reas donde se puede aplicar
el muestreo estadstico en una Auditora en Informtica.
Justifica:
1.- Qu tipo de muestreo utilizaras y por qu?
2.- Cul sera su nivel de confianza y por qu?
3.- Cul sera el error tolerable y por qu?
4.- Cul sera el riesgo de deteccin y por qu?
Cuestionario de autoevaluacin
1. Qu es el Muestreo Estadstico?
2. Cules son los mtodos estadsticos utilizados en auditora?
3. En qu consiste el muestreo aleatorio simple.
4. Qu es una poblacin?
5. Qu es muestreo estratificado?
6. Qu es el riesgo de auditora?
7. Qu es el muestreo de aceptacin?
8. Qu es el universo?
9. Qu es el error en el muestreo estadstico?
10. Qu es la hiptesis?
| 33
Examen de autoevaluacin
| 34
5. Es un mtodo estadstico que se utiliza para calcular la proporcin de partidas
de una poblacin que contiene una caracterstica en especfico.
a) aceptacin
b) compuesto
c) estratificado
d) atributos
| 35
9. Es el error mximo en el Universo que el auditor estara dispuesto a aceptar y a
pesar de eso concluir que el resultado del muestreo ha alcanzado su objetivo de
auditora.
a) error por no muestrear
b) error tolerable
c) error permitido
d) error de asignacin
| 36
TEMA 3. METODOLOGA GENERAL PARA LA AUDITORA EN INFORMTICA
Objetivo particular
Temario detallado
Introduccin
Estudio General
Es la apreciacin y juicio de las caractersticas generales de la empresa, las
cuentas o las operaciones, a travs de sus elementos ms significativos para
concluir se ha de profundizar en su estudio y en la forma que ha de hacerse,
adems de inspeccin fsica, nmero de empleados, recursos humanos
financieros, y tecnolgicos, aos de antigedad, capacidad instalada, etc.
| 38
Despus de esto se estar en posibilidades de hacer una mejor estimacin del
trabajo, tiempo y de los honorarios, si es que no se pudo hacer en la primera fase.
Elaboracin del programa de la AI. Todo buen administrador debe planear sus
actividades y el auditor no debe ser la excepcin, el programa seala las
actividades que han de realizarse, fechas de inicio y trmino, as como los
tiempos.
| 39
Anlisis, clasificacin y evaluacin de la informacin
El anlisis y clasificacin de la informacin podrn realizarse por mtodos
estadsticos.
Evaluacin: es aqu donde se pone a prueba el talento del auditor, porque se
requiere para entender e interpretar la informacin y continuar con el siguiente
paso.
Software de aplicacin
Para soportar esta informacin necesitamos solicitar lo siguiente:
| 40
Manuales
De usuario
El manual de usuario contiene los requisitos para la instalacin del sistema, la
introduccin, objetivos, mdulos, caractersticas del sistema, y sus procesos para
el uso adecuado del mismo.
De sistema
Este manual se refiere a las caractersticas del sistema, los mdulos que contiene,
el lenguaje utilizado, los comentarios y las versiones del mismo, las pruebas que
fueron realizadas, la bitcora y mantenimiento.
Tcnico
Se refiere a los recursos tcnicos utilizados y que le son tiles para su
mantenimiento y soporte.
Hardware
La documentacin del Hardware abarca los siguientes aspectos:
Necesidades del rea solicitante
Caractersticas del hardware
Solicitud de compra
Cotizaciones
| 41
Cuadros comparativos
Justificaciones, tcnica, econmica, operativa y legal.
Valores agregados, etc.
Documentacin de bibliotecas.
Biblioteca
Al realizar la programacin tendremos que validar las caractersticas y
documentacin integrada de las bibliotecas, y verificar que estas hayan sido
incluidas de manera puntual en el sistema. Tendremos que verificar lo siguiente.
Biblioteca Esttica
Consiste en un conjunto de rutinas que se copian en una aplicacin por un
compilado.
Biblioteca Dinmica
Significa que las subrutinas de una biblioteca son cargadas en un programa en
tiempo de ejecucin, en lugar ser enlazadas en tiempo de compilacin, y se
mantienen como archivos independientes separados del fichero ejecutable del
programa principal.
| 42
La certificacin se da a travs de las tcnicas de auditora, as como el estudio y
evaluacin del control interno, en donde se evala, pondera y califica cada
proceso de auditora.
Operacin
Representacin grfica de la estructura del sistema.
Funcin de cada programa.
Requerimientos de equipo.
Tamao estimado de archivos (normal y mximo).
Explicacin de los mensajes de la consola, junto con la respuesta adecuada
del operador.
Instrucciones de corrida y listado de procedimientos de ejecucin.
Calendarizacin de procesos.
Parmetros a alimentar.
Creacin de salida y su distribucin.
Identificacin adecuada de las etiquetas de los archivos de salida.
Puntos de reinicio y recuperacin.
Procedimientos para notificar errores o condiciones defectuosas.
Procedimientos para casos de emergencia.
| 43
Usuario
Representacin grfica de la estructura del sistema.
Procedimientos de preparacin de datos.
Asignacin de prioridades.
Tiempo probable de respuesta y recepcin de productos finales.
Especificaciones de diseo de entrada de datos (formatos y pantallas de
captura).
Especificaciones de diseo de salida de datos (reportes / pantallas de
consulta).
Controles de usuario.
Procedimientos para resolver errores e incongruencias.
Controles sobre la entrada y salida.
Sistema
Representacin grfica de la estructura del sistema.
Documentacin de cada programa de cmputo.
| 44
3.3.3. Organigrama y descripcin de puestos del rea de informtica
Director de
Informtica
Por ejemplo
Para Director de Informtica tenemos las siguientes caractersticas, siendo estas
de manera enunciativa:
Calificacin 80
Tcnica
Comentarios
| 45
Para los gerentes
Calificacin Tcnica 80
Comentarios
| 46
3.4. Anlisis, evaluacin y presentacin de la auditora
| 47
3.5. Dictamen de la Auditora en Informtica
Principio
Lugar y fecha de emisin
Destinatario
Antecedentes
Alcance de la auditora
Limitaciones al trabajo
Personal asignado
Cuerpo
Hallazgos y observaciones
Secciones o apartados especiales
Resumen evaluativo de correcciones operadas durante la auditora
Final
Opinin y conclusiones del auditor
Comentarios y puntos de vista de los auditores
Sugerencias y recomendaciones
Prrafo de cierre; mencionar las facilidades y atenciones brindadas al
auditor
Firma
| 48
A continuacin se presenta un ejemplo de un Dictamen corto de Auditora.
| 49
equipos establecidos por los proveedores, referentes a la
utilizacin de recursos informticos, toda auditora requiere
que sea planeada y realizada de tal manera que permita
obtener una seguridad razonable de que el manejo de recursos
informticos y las metodologas auditadas no contengan
errores importantes, y de que se estn utilizando de acuerdo
con las polticas y normatividad internas, as como
estndares de uso informtico. La auditora consiste en el
examen, con base en pruebas selectivas, de la evidencia que
soporta las cifras y revelaciones de los recursos
informticos; asimismo, incluye la evaluacin de los bienes
informticos utilizados, de las estimaciones significativas
efectuadas por la administracin. Consideramos que nuestros
exmenes proporcionan una base razonable para sustentar mi
opinin.
| 50
razonablemente en todos los aspectos importantes, la
situacin informtica de la dependencia, por el periodo
comprendido del 1 de enero al 31 de diciembre del 2010, y los
resultados de sus operaciones, y sus etapas que constan de
adquisiciones, sistema operativo, seguridad fsica, seguridad
lgica y plan de contingencias, por el periodo terminado en
esa fecha que le son relativos, de conformidad con los
estndares nacionales e internacionales existentes para la
auditora de controles generales de recursos informticos.
| 51
Bibliografa bsica del tema 3
| 52
Bibliografa complementaria
Kell, Walter G.; Ziegler, Richard E. Boynton William. (1995). Auditora Moderna. (2
ed.) Mxico: CECSA.
Sitios electrnicos
Sitio Descripcin
http://www.audit.gov.tw/span/span2-2.htm Ministerio de la Auditora General de
la Repblica China (NAO). (2004).
Auditora informtica
http://www.mitecnologico.com/Main/AuditoriaInfor Mitecnolgico. (2004). Auditora
matica Informtica
http://www.oocities.org/mx/acadentorno/aui.htm Aguilar Castillo, Gil. (2009).
Auditora Informtica, Facultad de
Estadstica e Informtica.
Universidad Veracruzana.
| 53
Actividades de aprendizaje
A.3.2. Investiga las diferencias entre la metodologa para efectuar una Auditora en
Informtica y Auditora financiera (indica tus fuentes de consulta).
A.3.3. Investiga las diferencias que existen entre un dictamen o informe limpio, con
salvedad, negativo o con abstencin de opinin, de la Auditora en
informtica.
| 54
Cuestionario de autoevaluacin
1. Qu es Metodologa?
2. Cules son sus etapas?
3. Qu es Investigacin Preliminar?
4. Qu es Planeacin?
5. Qu documentacin contiene el software de aplicacin?
6. Qu es la Biblioteca en informtica?
7. Qu contiene un manual informtico?
8. Cul es la estructura de un departamento de informtica?
9. Qu es un hallazgo en auditora en informtica?
10. Cul es la estructura de un dictamen informtico?
| 55
Examen de autoevaluacin
| 56
5. En esta etapa es donde se pone a prueba el talento del auditor, porque es
indispensable para entender e interpretar la informacin y as continuar con el
siguiente paso.
a) planeacin
b) metodologa
c) evaluacin
d) estudio general
| 57
9. Cuando se plasman las limitaciones al alcance del trabajo nos referimos a la
estructura del informe o dictamen en cuanto a:
a) cuerpo
b) opinin
c) principio
d) final
| 58
TEMA 4. AUDITORA DE SISTEMAS
Objetivo particular
Temario detallado
Antes de iniciar la revisin de los sistemas debemos saber que para poder
automatizar cualquier proceso, es necesario primero reconocer si este proceso
est sistematizado, es decir, si lo que vamos a realizar o revisar cuenta con un
procedimiento lgico y secuencial y adems es estndar, es conocido y
reconocido por todos los participantes de la elaboracin del sistema.
Ya que este debe estandarizar las etapas para la realizar los sistemas, que son:
planeacin, anlisis, diseo, desarrollo e implementacin.
Planeacin
Requisicin de servicios.
Anlisis
Estudio de factibilidad.
| 60
Diseo
Diseo general del sistema.
Diseo detallado del sistema.
Desarrollo
Programacin.
Prueba modular y prueba del sistema integral.
Desarrollo de manuales.
Entrenamiento.
Implantacin
Conversin.
Revisin de la post-implantacin.
Ejemplo
a) Planeacin
Requisicin de servicios
Procedimiento por el cual se requiere el servicio del desarrollo del sistema.
| 61
Aprobacin del proyecto. Se espera que lo haya realizado el Comit interno
de informtica.
b) Anlisis
Estudio de factibilidad
En esta fase se analizan los diversos escenarios para llevar a cabo el sistema.
Estudio de los procedimientos existentes. Como el lder del proyecto,
diagramas, narrativas, etc.
Formulacin de cursos alternativos de accin. Planteamiento de diversos
escenarios, plan A y plan B y en algunos casos plan C.
Factibilidad tecnolgica.
Disponibilidad de la tecnologa que satisfaga las necesidades del usuario, y
de la empresa, as como actualizacin o complemento a los recursos
actuales.
Factibilidad econmica.
Relacin costo-beneficio de la alternativa sugerida o planteada, (personal
de desarrollo, equipo software, entrenamiento, preparacin de la entrada,
conversin de archivos de prueba, operacin, costo del software, etc.).
Factibilidad operativa
Determinar qu se operar, utilizar?; tomando en cuenta factores como la
resistencia al cambio, debido a su rea de comodidad, caractersticas del
personal, ubicacin de las instalaciones, etc.
Plan de desarrollo informtico (puntos de control y calendarizacin de
actividades). Controlados a travs de flujogramas. Rutas crticas, etc.
Personal que lo utilizar, su disponibilidad, carga de trabajo todo ello ser el
estado general de la funcin de desarrollo.
Eleccin de la mejor alternativa y aprobacin del proyecto.
| 62
c) Diseo de sistemas
Este debe de realizarse despus de haber aprobado el estudio de factibilidad, si
no es as, no se puede realizar el diseo.
| 63
Especificacin de procedimientos programados de clculo, clasificacin,
etc.
Estimacin de tiempos de respuesta.
Normatividad.
Interfaces.
Niveles de seguridad.
Diseo de documentos fuente.
En esta parte se determinan las especificaciones del usuario, es decir todo aqul
que dentro del contexto de la organizacin se relaciona con el sistema. Existen
usuarios primarios y usuarios secundarios.
Usuario primario: Es aqul que usa directamente en sus tareas los resultados del
sistema de informacin y que lo ayudar en la toma de decisiones.
Otro factor importante por considerar son las relaciones humanas, ya que los
sistemas de informacin pueden cambiar las relaciones interpersonales y las
interacciones.
| 64
Permeabilidad. Es necesario identificar si el estilo de liderazgo es autcrata o
demcrata.
| 65
Formatos de archivos de salida.
Diseo y muestra de reportes.
Diseo y muestra de pantallas.
Descripcin detallada de los principales procedimientos de clculo,
clasificacin, etc., incorporados al programa.
Criterios de seleccin.
Procedimientos de conexin de cifras.
Instrucciones de corrida y listado de procedimientos de ejecucin.
Medio de almacenamiento y localizacin del programa.
Requerimientos de equipo.
Listado del programa fuente (ltima compilacin, con comentarios a la
lgica).
Estndares para la prueba de programas y del sistema total.
Procedimiento para establecer datos de prueba.
Asignacin de responsabilidades para la preparacin de datos y evaluacin
de los resultados.
Autorizacin y aceptacin escrita.
| 66
d) Desarrollo
En esta fase ya se debe tener un bosquejo de lo que es el sistema, para pasar a la
parte de lenguajes a ejecutables.
Desarrollo y programacin
Desarrollo y elaboracin de la documentacin de programas.
| 67
Plan de instalacin
En el caso de proyectos grandes conviene desarrollar un plan de instalacin piloto
o por mdulos, asignando responsabilidades.
4.1.1. Entrada
4.1.3. Proceso
| 68
4.1.4. Salida
4.1.5. Archivos
Los archivos fuente del sistema se deben manejar de forma confidencial y segura,
la funcin del auditor es evaluar el control que se tenga para la salvaguarda de los
archivos generados para el sistema.
4.1.6. Respaldos
| 69
4.1.7. Controles, operacin, mantenimiento y cambios correctivos
Operacin
La operacin del sistema lleva un proceso de adaptacin e implementacin por tal
motivo siempre ser lo ms viable que se trabaje en paralelo y se lleven a cabo
pistas de auditora, para que se trabajen con datos reales e inventados para tratar
de reventar el sistema, es decir ponerlo a prueba de cualquier intromisin y por
ende validar la fiabilidad de datos y la capacidad de los controles establecidos.
Mantenimiento
Siempre se buscar que todos los sistemas auditados o desarrollados cumplan
con los requisitos de mantenimiento y auditabilidad debido a las mejoras que se
puedan hacer para obtener lo que se requiera del sistema.
Cambios correctivos
Todos los cambios que se realicen al sistema derivados de su operacin deben
quedar plenamente identificados y documentados y aprobados por los
responsables, ya que stos se encargarn de la difusin de los mismos, ya que los
cambios deben de darse a conocer en tiempo y forma para que sea homognea la
versin de trabajo del sistema para toda la empresa.
| 70
4.1.8. Control de estndares
La revisin del ciclo de vida del desarrollo de sistemas parte de los estndares o
metodologa requerida para el desarrollo de los nuevos sistemas y las
modificaciones a los mismos. El propsito de la revisin efectuada por el auditor
de sistemas de informacin es asegurar que la organizacin tiene y usa la
metodologa adecuada de desarrollo.
La integridad de los datos se basa mucho en la seguridad tanto fsica como lgica,
debido a ello el estableciendo de controles de acceso de acuerdo con el nivel
jerrquico se vuelve parte fundamental del proceso seguro de los datos, porque
podemos identificar quines cargaron datos, quines accedieron a esos datos y
quines utilizaron la informacin proporcionada por el sistema, el manejo de las
cifras control nos da la garanta de que se introducen todos los datos, su
integridad, su totalidad, su exactitud, su autentificacin, su autorizacin, su
mantenimiento, su oportunidad y la utilidad de los datos traducidos en informacin.
| 71
4.1.10. Controles en el desarrollo de sistemas
| 72
4.2. Confidencialidad de los sistemas
| 73
al cambio, aunque exista capacitacin y manuales respectivos del nuevo sistema,
el periodo de adaptacin tambin debe estar contemplado desde la etapa de
planeacin.
Desde que se determina el desarrollo del sistema se toman en cuenta los estudios
de factibilidad econmica, tecnolgica, operativa y legal, sera muy arriesgado en
estos tiempos emprender un proyecto sin contemplar estos estudios de
factibilidad, ya que los recursos que son escasos, se deben administrar
correctamente y con un mximo grado de eficiencia.
Sin embargo el beneficio se debe traducir en tiempo y esfuerzo, es decir, que los
procesos sean ms rpidos y la informacin sea contundente para minimizar
riesgos y poder tomar decisiones y mejorar en los controles.
Cuestionarios
Las auditoras en informtica se realizan recopilando informacin y documentacin
de todo tipo. Los informes finales de los auditores dependen de sus capacidades
para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El
trabajo de campo del auditor consiste en lograr que toda la informacin necesaria
para la emisin de la opinin, siempre se ampare en hechos demostrables, es
decir, obtencin de evidencia suficiente y competente.
| 74
especfico, auditora a redes y auditora a la administracin de la funcin de
informtica, ya que cada empresa y cada tipo de auditora son diferentes y muy
especficos para cada situacin, y muy cuidados en su fondo y su forma.
Sobre esta base, se estudia y analiza la documentacin recibida, de modo que tal
anlisis determine a su vez la informacin que deber elaborar el propio auditor. El
cruzamiento de ambos tipos de informacin es una de las bases fundamentales de
la auditora.
| 75
Ejemplo de cuestionario de Aplicado a un centro de computo en la UNAM.
| 76
contempladas en el
informe enviado al
Comit Asesor de
Cmputo de la UNAM.
1.1.4 Quin es el 3 3
responsable de las
adquisiciones de
bienes informticos de
la dependencia
atendiendo al origen
de los recursos?
(PAPIIT, CONACYT,
Fundacin UNAM,
Fondo Fijo, etc.)
1.1.5 Se solicitan 3 2
anticipadamente los
requerimientos de
informacin?, se
evalan y
documentan.
1.1.6 Se realizan estudios 3 1 Esto no siempre se
de factibilidad sigue ya que solo se
completos (tcnico, guan por el factor
operativo y econmico
econmico) en el que
se analicen y evalen
las alternativas ms
adecuadas para la
adquisicin de bienes
informticos (hardware
y software)?
| 77
Entrevistas
El auditor comienza a continuacin las relaciones personales con el auditado. Lo
hace de tres formas:
| 78
4.5.1. Ventajas obtenidas
| 79
Expectativas no cumplidas, insatisfechas de los usuarios.
| 80
Bibliografa bsica del tema 4
| 81
Bibliografa complementaria
Kell, Walter G.; Ziegler, Richard E. Boynton William. (1995). Auditora Moderna. (2
ed.) Mxico: CECSA.
Sitios electrnicos
Sitio Descripcin
http://www.audit.gov.tw/span/span2-2.htm Ministerio de la Auditora
General de la Repblica
China (NAO). (2004).
Auditora informtica
http://www.mitecnologico.com/Main/AuditoriaInform Mitecnolgico. (2004).
atica Auditora Informtica
http://www.oocities.org/mx/acadentorno/aui.htm Aguilar Castillo, Gil. (2009).
Auditora Informtica,
Facultad de Estadstica e
Informtica. Universidad
Veracruzana.
| 82
Actividades de aprendizaje
Cuestionario de autoevaluacin
| 83
Examen de autoevaluacin
| 84
5. En esta etapa se realiza la conversin del sistema:
a) planeacin
b) anlisis
c) diseo
d) implantacin
7. Proporciona los datos suficientes para dar un panorama del sistema para que
con esa informacin se puedan tomar decisiones, es entonces cuando
demuestra su utilidad, ya que validaremos la efectividad del sistema. Este
manual contiene los requisitos para la instalacin del sistema:
a) entrada
b) flujo de informacin
c) proceso
d) salida
| 85
8. Se puede desde adquirir sistemas en especfico para su proteccin, con el
objeto de prevenir accesos prohibidos, planes de contingencias, respaldos,
controles de acceso a las bases de datos a travs de claves de acceso.
a) controles en la base de datos
b) seguridad de los sistemas
c) confidencialidad de los sistemas
d) anlisis costo/beneficio
| 86
TEMA 5. AUDITORA DEL EQUIPO DE CMPUTO
Objetivo particular
Temario detallado
| 87
5.5.1. Aprovechamiento y uso de la capacidad instalada
Introduccin
5.1.1 De bibliotecas
| 88
5.1.2. De adquisiciones
Entre los aspectos importantes que tenemos que observar al realizar la auditora
se encuentran:
Economa y factibilidad del posible proyecto de inversin, para la solucin
de los requerimientos planteados por la entidad evaluando su efectividad de
acuerdo con las metas y objetivos previamente planeados.
| 89
Factibilidad Legal, bsicamente se tendrn que evaluar aspectos como
derechos y responsabilidades de las partes.
Factibilidad tecnolgica, por las restricciones que esto pudiera tener para
aprovechar ntegramente la inversin que est realizando. Existen muchos
casos en que se obliga a la institucin a adquirir otro tipo de dispositivos
para poder hacer operativo el equipo inicialmente contratado.
Con base en lo anterior se iniciar el siguiente paso del proceso que es el envo
de solicitudes de propuestas a diferentes proveedores.
| 90
Es necesaria una revisin minuciosa del contrato con el proveedor (Estudios de
factibilidad). Es recomendable solicitar la opinin del departamento legal de la
institucin o en su ausencia de un especialista externo, que valide la formulacin
del mismo.
| 91
Objetivos de la revisin
- Que los recursos y el capital sean efectivas y eficientemente aplicados.
- Que se cumpla con las polticas y procedimientos establecidos por la
institucin.
Los respaldos del software adquirido, as como de los archivos trabajados, son de
vital importancia debido a que la aplicacin de stos como poltica y norma nos
ayudar a disminuir el riesgo de que suframos alguna contingencia.
| 92
Tpicamente el sistema operativo lo proporciona el fabricante al que le
adquirimos el equipo en la fase anterior, pero el trabajo de implantacin
abarca el seleccionar las opciones apropiadas del sistema operativo y
generar un sistema o sea respaldo, que cumpla con los requerimientos
especficos de la institucin, tomando en cuenta factores como:
Este trabajo puede ejecutarse por el proveedor, por cuenta de la entidad o por la
entidad misma. En cualquiera de los casos deber verse involucrado como
responsable un funcionario de procesamiento electrnico de datos que ayude a
determinar que las opciones se han de seleccionar, probar, documentar e
implantar apropiadamente.
| 93
La guarda se puede hacer dentro de la oficina o se sugiere que se realice de
forma independiente en un banco, en donde estemos seguros de la integridad
tanto fsica como lgica de la informacin contenida en los diferentes medios de
almacenamiento.
| 94
Fecha y firma de quien recibe y quien entrega el equipo
5.1.5. De equipo
| 95
As como una bitcora de mantenimiento y soporte tcnico que haya recibido el
equipo.
Es una realidad que cada vez ms los recursos informticos (equipo, programas y
datos) son compartidos por un gran nmero de personas fsicamente dispersas lo
cual hace necesario implantar controles que garanticen que el acceso a ellos se
realiza de acuerdo con el nivel jerrquico y funciones del personal. Protegiendo a
la instalacin de:
Destruccin accidental o intencional
Mal uso
Consulta no autorizada de datos
| 96
5.1.7. De operacin
| 97
5.2. Seguridad de los equipos
La informacin y los recursos informticos son activos que deben ser protegidos
del acceso no autorizado. La manipulacin y la destruccin. La seguridad fsica
debe establecerse para prevenir accesos innecesarios y/o no autorizados y
registrar los hechos.
| 98
Impresoras
Equipo de teleproceso
Fuentes de poder
Lugar donde se guardan discos duros externos o de respaldo
Bvedas de respaldos
Oficina de control de entradas y salidas
Closet de comunicaciones
Microcomputadoras y terminales remotas
rea de programacin
| 99
Registro de visitante y gafetes de identificacin.
Uso de credenciales gafetes con fotografas.
| 100
Extras
Salidas de emergencias
Planta de energa, reguladores de voltaje y sistema no-break
Respaldos
Contratos de mantenimiento preventivo y correctivo a todos los equipos e
instalaciones del rea de informtica.
5.2.2. Confidencialidad
| 101
Controles mediante criptografa
La criptografa derivada de dos palabras griegas: kriptos (oculto o secreto) y
grafos (escritura). Es un mtodo de proteccin de informacin mediante un
proceso en el cual datos entendibles o legibles son transformados en cdigos
secretos (criptogramas) para prevenir accesos no autorizados y mantener la
privacidad de la informacin por lo tanto la criptografa convierte los datos
originales en mensajes que no tienen significados para los que no conocen el
sistema para recobrar los datos iniciales.
| 102
No menores de cuatro caracteres
Alfanumricos para incrementar el nmero de combinaciones
No debe tener el nombre del usuario o cualquier dato personal asignados
por el propio usuario
Debe ser intransferible. Cada usuario es responsable del buen o mal uso.
No debe permitirse usar palabras anteriormente utilizadas
Fciles de recordar, difciles de recordar
Nmero limitado de intentos
Internamente transformados en un cdigo secreto encriptados
No desplegables en pantalla
Cambiados peridicamente y de manera automtica por el sistema
5.3.1. Contratos
| 103
deber cerciorarse de que se han seguido los procedimientos apropiados para
garantizar que se han considerado los aspectos ms importantes como son la
ejecucin del sistema operativo y los cambios que afectan a los usuarios, as
mismo se debern obtener las aprobaciones requeridas y cerciorarse de que el
personal implicado ha sido notificado por escrito respecto a la fecha en que
entrar en vigor la versin modificada del sistema operativo.
Algunos de los aspectos por incluir en la revisin del sistema operativo son:
Documentacin
Tablas de configuracin del sistema operativo, guas, procedimientos, etc.
Procedimientos
Carga inicial del sistema
Aplicacin de actualizaciones o modificaciones.
Retencin del registro de la actividad en consola y contabilidad del trabajo
(job accounting)
Restricciones para el uso de comandos crticos.
Ejecucin del sistema (software para monitoreo).
Tiempo de respuesta en lnea.
Costos/gastos excesivos.
Sistema operativo.
5.3.2. Preventivo
| 104
mantenimiento preventivo por el cual fue contratado, ya que el contrato debe
estipular en qu consiste el mantenimiento preventivo.
O que tal vez el software que utiliz esta cada vez ms en desuso y se est
cambiando por otras tecnologas, etc.
5.3.3. Correctivo
| 105
5.4. Orden en el centro de cmputo
5.4.1. Aseo
El aseo dentro del rea de cmputo debe realizarse con sumo cuidado y lo deben
hacer personas que estn preparadas para ejercer la limpieza de este equipo y
lugar, ya que no es un rea comn donde se pueda limpiar el equipo con una
franela mojada, sino que debe hacerse con material especial para no daar el
equipo y que conserve su ptimo funcionamiento, asimismo al limpiar los pisos se
debe evitar al mximo levantar el polvo que daara los equipos
5.4.2. Almacn
| 106
reducir el acceso solo a los que realmente deben de estar all debido al grado de
importancia del centro y el grado de confidencialidad de la informacin que se
maneja debe ir en funcin del control establecido para evitar vulnerabilidad al
mximo.
5.4.4. Mobiliario
El mobiliario del centro de cmputo debe contar mnimo con las siguientes
caractersticas.
Material de construccin y mobiliario
Materiales de construccin. Las paredes, techos y pisos deben estar
construidas de material difcil de romper, resistente al fuego y no
combustibles y que adems no genere partculas de polvo, ya que pueden
daar los recursos informticos.
Evitar las alfombras ya que causan electricidad esttica, sobre todo cuando
la humedad es baja.
Se debe mantener al mismo el nmero de puertas y ventanas.
El centro de cmputo debe instalarse dentro de un edificio lejos de ventanas
y paredes que den a la calle.
No deben existir grandes rboles u otras estructuras que pongan en peligro
el rea de cmputo
Bvedas resistentes al calor y humedad.
Barreras para cortar o aislar incendios.
Se deben vigilar la instalacin de detectores y controles de acceso. Los
detectores pueden ser de: humo, calor, agua, combustin, controles de
temperatura, controles de humedad, sistemas de deteccin de intrusos.
El lugar debe acatarse a los cdigos de seguridad.
Debe evitarse el uso de ventiladores en las reas en donde se encuentra
ubicado el equipo, ya que es un elemento para propagar el polvo con el
riesgo de daar los equipos.
| 107
El mobiliario debe ser resistente al fuego y no se debe permitir fumar
alrededor o cerca ya que puede daar los equipos.
El mobiliario debe ser resistente al fuego y no se debe permitir fumar
alrededor o cerca de los equipos.
5.5. Productividad
| 108
Carencia de metodologa, o bien de metodologa incompleta y no estndar,
para el desarrollo de los sistemas, en la que se sealen con precisin
actividades, tiempo estimado y responsable.
Administracin insuficiente de los proyectos.
Inoportunidad en la transferencia de sistemas en desarrollo a operacin
normal.
Desaprovechamiento tecnolgico.
Pruebas del sistema incompletas, inadecuadas, desorganizadas, sin
documentar y/o mal diseadas, las cuales garanticen que los errores e
irregularidades se detectan oportunamente por sistema. Pruebas no
siempre controladas por usuario.
| 109
La mayora de las organizaciones destinan enormes recursos al desarrollo de
nuevos sistemas o a la modificacin de los mismos. A la luz del incremento en el
porcentaje de fallas en las fechas de terminacin, costos estimados y la
satisfaccin del usuario, las organizaciones deben seguir un enfoque estructurado
para el desarrollo de nuevos sistemas y el mantenimiento de los mismos. La
combinacin de tcnicas efectivas de administracin del proyecto, la participacin
activa del usuario y especialistas, y la utilizacin de una metodologa estructurada
para el desarrollo del centro de cmputo puede minimizar los riesgos en cuanto a
aplicaciones inapropiadas, errneas, con datos sin uso o bien a las que se
efectan cambios injustificados
| 110
Bibliografa complementaria
Kell, Walter G.; Ziegler, Richard E. Boynton William. (1995). Auditora Moderna. (2
ed.) Mxico: CECSA.
Sitios electrnicos
Sitio Descripcin
http://www.enterate.unam.mx/Ar Cosso Ortiz, Saidd Gerardo; Palomino
ticulos/2005/noviembre/itil.htm Martnez, Damin F.J. (2005). ITIL: servicios
de tecnologas de informacin. Entr@te en
lnea. Internet, cmputo y
telecomunicaciones, UNAM, ao 4, Nmero
44, Noviembre de 2005.
http://www.audit.gov.tw/span/sp Ministerio de la Auditora General de la
an2-2.htm Repblica China (NAO). (2004). Auditora
informtica
http://www.mitecnologico.com/ Mitecnolgico. (2004). Auditora Informtica.
Main/AuditoriaInformatica
http://www.oocities.org/mx/acad Aguilar Castillo, Gil. (2009). Auditora
entorno/aui.htm Informtica, Facultad de Estadstica e
Informtica. Universidad Veracruzana.
| 111
Actividades de aprendizaje
A.5.3. Elabora un cuadro comparativo que contenga al menos 3 cotizaciones para abrir
un caf Internet con 10 equipos de cmputo, y justifica a qu le daras ms
peso especfico, ya sea a la factibilidad tcnica, econmica, operativa o legal.2
Cuestionario de autoevaluacin
| 112
Examen de autoevaluacin
| 113
5. Este manual contiene la representacin grfica de la estructura del sistema, la
funcin de cada programa, requerimiento de equipo entre otras cosas.
a) sistema
b) operacin
c) usuario
d) organizacin
| 114
9. Es un mtodo de proteccin de informacin mediante un proceso en el cual datos
entendibles o legibles son transformados en cdigos secretos:
a) ocultacin
b) criptografa
c) cdigos
d) grafologa
10. Este tipo de contratos deben contener el costo el tiempo y la forma de revisin as
como una calendarizacin de visitas que deben hacer los proveedores del servicio
as como en qu consisten dichas visitas:
a) mantenimiento
b) preventivo
c) correctivo
d) detectivo
| 115
TEMA 6. AUDITORA ADMINISTRATIVA PARA EL REA DE CMPUTO
Objetivo particular
Temario detallado
Introduccin
| 116
6.1. Estructura orgnica del rea
JEFE DE SISTEMAS
JEFE DE TELECOMUNICACIONES
| 117
6.2 Personal
En esta fase vamos a evaluar cmo lo va a hacer? Es decir, cul es el personal con
que se cuenta o se reclutar, as como las funciones que debe realizar cada uno de
ellos para alcanzar el objetivo previamente trazado.
Jerarquas: autoridad-responsabilidad
Funciones: divisin de actividades
Obligaciones: por unidad de trabajo y persona.
reas de revisin:
Estructura orgnica
Situacin del personal
Situacin financiera
| 118
Normas, polticas, planes y procedimientos
6.3. Capacitacin
| 119
6.4. Presupuesto
En esta fase verificaremos el cumplimiento de las fases anteriores, es decir, es ver que
se haga o se realice y bsicamente te enfrentas a la realidad de las cosas y tienes que
observar los siguientes principios:
| 120
Es necesario erradicar el fantasma de la informtica y la resistencia al cambio, no se
pretende crear especialistas en el personal no informtico, si no que se conozca la
filosofa en informtica; para ello nos vamos a auxiliar de la capacitacin.
El auditor debe analizar los ndices de rotacin de personal y sus prestaciones para
poder evaluar posible inconformidad del personal y disminuir el grado de ocurrencia de
un fraude.
6.5. Costos
Es la medicin de los resultados obtenidos contra los planeados y aqu vamos a evaluar
cmo se hicieron las cosas, con el fin de corregir, mejorar y formular nuevos planes.
| 121
referentes a calidad y eficiencia de las
actividades de la Institucin por auditar.
Consiste en evaluar los procedimientos para
realizar la administracin de la funcin de
Anlisis de procedimientos
informtica, a travs de flujogramas, y anlisis
de procedimientos.
Aqu se va a evaluar que los controles
Utilidad del control establecidos sean oportunos para que detecten
el riesgo de ocurrencia.
Cuando se realizan las actividades cotidianas y
se plasman en un manual y estos estn
debidamente autorizados, actualizados y
Seguridad en la accin seguida
verificados al llevarse a cabo, se tiene la certeza
que la accin seguida en la actividad es
adecuada.
Son los riesgos externos que pueda tener la
administracin de la funcin de informtica,
Correccin de debilidades
como enfrentarse a la obsolescencia de los
bienes informticos.
Es conocer dnde estn ms fuertes nuestros
Conocimiento de fortalezas controles y existe menor riesgo de ocurrencia de
un evento.
Es aprender de la experiencia y el riesgo que se
haya suscitado al realizar la actividad y
Mejoramiento de lo obtenido
reorganizar una nueva actividad o accin para
minimizar el impacto de ocurrencia.
Todo lo anterior nos debe llevar a mejorar o
Bases para nueva planeacin rearmar nuestra forma de ejercer la
administracin de la funcin de informtica.
| 122
Al terminar la evaluacin de stas fases, estaremos en posibilidad de conocer cmo
lleva a cabo la institucin la administracin de la funcin de informtica y as, poder
evaluar su plan de desarrollo informtico, si es que existe, o si no, dejar las bases para
que se prepare lo ms pronto posible.
Control
En esta fase se verifica si se cumpli con los objetivos planeados, analizando los
resultados obtenidos.
Solicitar
Informe anual de actividades del jefe de la Divisin de Informtica.
ltimo informe de cada departamento con la finalidad de verificar su existencia y
periodicidad de realizacin.
Registros y bitcoras de actividades desarrolladas por todas y cada una de las
personas del rea.
Como resultado de este tipo de auditora daremos un informe de cada fase que
compone la auditora a la funcin de la administracin de informtica y podremos
identificar en dnde existen debilidades de control para poder emitir las sugerencias
pertinentes y poder minimizar el riesgo de la funcionalidad en cuanto a recursos
informticos se refiere.
| 123
Hernndez Hernndez, Enrique. (2002). Auditora en informtica. (2 ed.) Mxico:
CECSA.
Bibliografa complementaria
Kell, Walter G.; Ziegler, Richard E. Boynton William. (1995). Auditora Moderna. (2 ed.)
Mxico: CECSA.
| 124
Sitios electrnicos
Sitio Descripcin
http://www.audit.gov.tw/span/span2-2.htm Ministerio de la Auditora General
de la Repblica China (NAO).
(2004). Auditora informtica
http://www.mitecnologico.com/Main/Auditori Mitecnolgico. (2004). Auditora
aInformatica Informtica
http://www.oocities.org/mx/acadentorno/aui. Aguilar Castillo, Gil. (2009).
htm Auditora Informtica, Facultad de
Estadstica e Informtica.
Universidad Veracruzana.
Actividades de aprendizaje
A.6.3. Investiga cul es el perfil del puesto con que debe contar un director de centro de
cmputo, asimismo, sustenta cules son los artculos constitucionales que hacen
obligatoria la capacitacin del personal.
Cuestionario de autoevaluacin
| 125
Responde las siguientes preguntas
Examen de autoevaluacin
| 126
2. En este proceso se observa la jerarqua, autoridad-responsabilidad, funciones son
caractersticas de la etapa de:
a) planeacin
b) organizacin
c) direccin
d) control
5. Al llevar a cabo esta etapa se debe cuidar que la asignacin presupuestal sea
con base en funciones y no a nivel jerrquico.
a) impersonalidad de mando
b) utilizacin de la va jerrquico
c) resolucin y aprovechamiento de conflictos
d) coordinacin de intereses
| 127
6. Que la asignacin presupuestal est autorizada por un funcionario que tenga el
nivel de hacerlo, se refiere a:
a) impersonalidad de mando
b) utilizacin de la va jerrquico
c) resolucin y aprovechamiento de conflictos
d) coordinacin de intereses
| 128
9. Aqu se va a evaluar que los controles establecidos sean oportunos para que
detecten el riesgo de ocurrencia:
a) Establecimientos de Normas
b) Anlisis de Procedimientos
c) Utilidad del control
d) Seguridad en la accin seguida
| 129
TEMA 7. INTERPRETACIN DE LA INFORMACIN
Objetivo particular
El alumno podr interpretar los hallazgos obtenidos durante la revisin para plasmarlos
en un informe, que sirva de base para prevenir riesgos y en la toma de decisiones.
Temario detallado
Introduccin
| 130
7.1. Tcnicas para la interpretacin de la informacin
Estudio General
Es la apreciacin y juicio de las caractersticas generales de la empresa, las cuentas o
las operaciones, a travs de sus elementos ms significativos para concluir se ha de
profundizar en su estudio y en la forma que ha de hacerse.
Bsicamente con esta tcnica se tiene nuestro primer diagnstico sobre lo que el cliente
requiere y las caractersticas de la empresa.
| 131
Anlisis
Es el estudio de los componentes de un todo para concluir con base en aquellos
respecto de este. Esta tcnica se aplica concretamente al estudio de las cuentas o
rubros genricos de los estados financieros.
Del universo de operaciones que realiza la institucin, se determina una muestra que
tiene que ser significativa y con base en ella se realizan los anlisis correspondientes
sobre cada situacin especifica que se requiera conocer con detalle.
Inspeccin
Es la verificacin fsica de las cosas materiales en las que se tradujeron las
operaciones, se aplica a las cuentas cuyos saldos tienen una representacin material,
(efectivos, mercancas, bienes, etc.).
Confirmacin
Es la ratificacin por parte de una persona ajena a la empresa, de la autenticidad de un
saldo, hecho u operacin, en la que particip y por la cual est en condiciones de
informar vlidamente sobre ella.
Investigacin
Es la recopilacin de informacin mediante plticas con los funcionarios y empleados de
la empresa.
| 132
Para el caso de informtica, se realiza esta misma funcin pero, con los responsables
de la funcin de informtica y las reas usuarias.
Declaraciones y Certificaciones
Es la formalizacin de la tcnica anterior, cuando, por su importancia, resulta
conveniente que las afirmaciones recibidas deban quedar escritas (declaraciones) y en
algunas ocasiones certificadas por alguna autoridad (certificaciones).
Las declaraciones obtenidas con la tcnica de investigacin para que sea vlida como
evidencia tiene que estar firmada por aquella persona que proporcion dicha
informacin y en caso de ser necesario obtener las certificaciones correspondientes que
se incluyen en la protesta de decir verdad.
Observacin
Es una manera de inspeccin, menos formal, y se aplica generalmente a operaciones
para verificar cmo se realiza en la prctica.
Clculo
Es la verificacin de las correcciones aritmticas de aquellas cuentas u operaciones que
se determinan fundamentalmente por clculos sobre bases precisas. Simplemente es
verificar matemticamente cualquier operacin que se requiera para validar alguna cifra
o calculo.
Clasificacin de acuerdo con el Libro de Normas y procedimientos de auditora emitida
por el Instituto Mexicano de Contadores Pblicos. Boletn 5010.
| 133
7.2. Evaluacin de los sistemas
Los sistemas finalmente van a ser evaluados por los usuarios de los mismos, donde
evaluarn su capacidad y necesidad de informacin, sobre si se obtiene de ellos lo
necesario para la toma de decisiones.
| 134
7.3. Controles
Los controles de la informacin que emanan del sistema deben estar perfectamente
establecidos de acuerdo con la utilidad y orden jerrquico de quien lo solicita o emite, se
deben evaluar que existan reglas o normatividad clara en materia de emisin, uso y
resguardo de los mismos, el resultado final del sistema es la informacin que de l
resulta, recordando que todos los controles deben pasar por los siguientes elementos:
Todos los controles deben mostrar su vala y existencia con base en su oportunidad y
su costo-beneficio. Los controles no deben ser exagerados (en sentido figurado llegar a
la controlitis), ni tan ligeros que daran lo mismo tenerlos o no, es decir llegar a una
total ausencia de control, sin embargo de nada valen si no existe una figura que vea
que se cumplan todos los controles establecidos para la salvaguarda de la informacin,
que nos ayudar para la toma de decisiones.
| 135
7.4. Presentacin del dictamen
Informe de auditora
Elementos bsicos del Informe de Auditora
La materializacin final del trabajo llevado a cabo por los auditores independientes se
documenta en el dictamen, informe u opinin de auditora. Adems, para aquellas
entidades sometidas a auditora legal, este documento junto con las cuentas anuales
del ejercicio.
El ttulo o identificacin.
A quin se dirige y quines lo encargaron.
El prrafo de "Alcance".
El prrafo de "Opinin".
El prrafo o prrafos de "nfasis".
El prrafo o prrafos de "Salvedades".
El prrafo sobre el "Informe de Gestin".
La firma del informe por el auditor.
El nombre, direccin y datos registrables del auditor.
La fecha del informe.
El prrafo legal o comparativo
| 136
Objetivos, caractersticas y afirmaciones que contiene el informe de auditora
El informe de auditora en informtica tiene como objetivo expresar una opinin tcnica
sobre el uso de los recursos informticos, sobre si esta muestra la imagen fiel del
recurso informtico, y su aplicacin correcta dentro de la Institucin que se audite.
Tipos de opinin
Existen cuatro tipos de opinin en auditora:
Opinin Limpia o en blanco o sin salvedades.
Opinin con Salvedades.
Opinin Negativa.
Opinin con abstencin.
La opinin favorable, limpia o sin salvedades significa que el auditor est de acuerdo,
sin reservas, sobre la presentacin y contenido de los procedimientos que se llevan a
cabo para verificar la utilizacin adecuada en los recursos Informticos.
| 137
La opinin con salvedades, significa que el auditor est de acuerdo con los
procedimientos y utilizacin de los recursos informticos, pero con ciertas reservas.
La opinin negativa significa que el auditor est en desacuerdo con los procedimientos
utilizados para el manejo de los recursos informticos y afirma que stos no se realizan
conforme a estndares nacionales o determinados por la empresa.
Por ltimo, la abstencin de opinin significa que el auditor no expresa ningn dictamen
sobre el manejo de los recursos informticos. Esto no significa que est en desacuerdo
con ellos, significa simplemente que no tiene suficientes elementos de juicio para
formarse ninguno de las tres anteriores tipos de opinin.
Observaciones
El auditor debe realizar procedimientos diseados para obtener suficiente y apropiada
evidencia de auditora, en que puedan, todos los elementos hasta la fecha del informe
del auditor, requerir de ajustes o exposiciones en las metodologas que hayan sido
identificados.
| 138
Los objetivos de los procedimientos de finalizacin de la auditora para asegurar que:
S ha sido obtenida suficiente evidencia de auditora para apoyar la opinin de
auditora.
Todas las decisiones tomadas han sido documentadas.
El archivo de auditora ha sido complementado.
Cualquier tema estratgico ha sido documentado y discutido con el cliente.
Sugerencias
Los programas principales de auditora deben mostrar claramente el objetivo de
auditora, el trabajo realizado y las conclusiones alcanzadas y ser sustentados por todos
los papeles de trabajo de referencia cruzada.
Cada programa principal auditado debe ser comparado con las hojas de trabajo de
auditora relevantes y con las cifras de los recursos ejercidos en informtica.
Correctivas
Conclusiones del rea de Auditora:
Se debe obtener una conclusin para cada rea de auditora.
Antes de obtener una conclusin, debe asegurarse que el programa de auditora
fue llevado a cabo como se plante, o que los cambios acerca de las decisiones
hechos en la etapa de la planificacin estn documentados.
| 139
Cualquier problema importante u otros asuntos no aclarados deben ser anotados
por la gerencia o incluidos en el informe al socio. Cualquier asunto inusual, aun
cuando estn aclarados, deben ser incluidos en el informe al socio en manera de
informacin.
Cualquier debilidad u otros asuntos relacionados con el rea de auditora, que
resulten apropiados reportar al cliente, deben ser resumidos e incluidos en la
carta de gerencia.
Cualquier rea donde el auditor haya tenido que depender de representaciones,
stas deben ser incluidas en la carta de representacin.
Informe al socio
El informe al socio engloba todos los asuntos que tienen un efecto en la opinin de
auditora, o que necesitan ser discutidos con al cliente.
Dependiendo de la estructura del equipo de auditora debe ser hecho en borrador por el
auditor responsable, para comentar los hallazgos, mientras la auditora avanza y
completado cuando la auditora termine.
Aunado a todo lo anterior, el auditor en informtica debe tener en cuenta que su trabajo,
es profesional y de una fuerte independencia mental ya que al realizar auditoras a
informacin o procedimientos informticos estos son la mdula espinal de la empresa y
con riesgos altos.
Y conlleva a que la fragilidad de los sistemas es de alto riesgo y que normalmente las
instituciones no le dan importancia a este tipo de auditoras porque no son obligatorios,
sino voluntarios y las empresas ven a la auditora como un gasto y no como una
inversin.
| 140
El auditor debe, con su trabajo, motivar a que ese supuesto gasto se convierta en
beneficios para la empresa y aumente su nivel de confianza en la seguridad de sus
recursos informticos.
Bibliografa complementaria
Kell, Walter G.; Ziegler, Richard E. Boynton William. (1995). Auditora Moderna. (2 ed.)
Mxico: CECSA.
| 141
Sitios electrnicos
Sitio Descripcin
http://www.audit.gov.tw/span/span2-2.htm Ministerio de la Auditora General
de la Repblica China (NAO).
(2004). Auditora informtica
http://www.mitecnologico.com/Main/Auditori Mitecnolgico. (2004). Auditora
aInformatica Informtica
http://www.oocities.org/mx/acadentorno/aui. Aguilar Castillo, Gil. (2009).
htm Auditora Informtica, Facultad de
Estadstica e Informtica.
Universidad Veracruzana.
Actividades de aprendizaje
A.7.1. Busca sobre los diferente tipos de informe que se presentan en la auditora en
informtica, en diversos pases y continentes, asimismo realiza un cuadro
comparativo entre ello y fundamenta cul de ellos te parece el ms completo y
por qu?
A.7.2. Analiza la pelcula Los piratas del Valle de los Silicones (Martyn Burke, 1999,
[TV], 95 min) y analiza su aplicacin en el mbito de la auditora en informtica y
en el informe que presenta.
| 142
Cuestionario de autoevaluacin
Examen de autoevaluacin
1. Cules son los elementos de ayuda con que el auditor cuenta, debido a que
mediante la utilizacin de las mismas formarn el soporte de los papeles de trabajo?
a) procedimientos de auditora
b) normas de auditora
c) proceso administrativo
d) tcnicas de auditora
| 143
2. La Comisin de Normas y Procedimientos de Auditora del Instituto Mexicano de
Contadores Pblicos emiti este boletn que habla sobre las tcnicas y
procedimientos de auditora, es el nmero:
a) 3140
b) 5010
c) 6080
d) 5030
3. Bsicamente con esta tcnica se tiene nuestro primer diagnstico sobre lo que el
cliente requiere y las caractersticas de la empresa:
a) confirmacin
b) anlisis
c) estudio general
d) inspeccin
| 144
5. En informtica es percatarse de los procedimientos que se llevan a cabo para
realizar una rutina o instruccin y validar si esta se realiza conforme lo establece
algn manual, por ejemplo observar que todas las personas que accedan a un rea
donde se encuentran bienes informticos claves o sensibles se registran y se
controlan de forma ms estricta.
a) observacin
b) clculo
c) investigacin
d) anlisis
7. Por quines sern evaluados los sistemas de informacin una vez terminado este?
a) direccin
b) usuarios
c) sistemas
d) soporte tcnico
8. Tiene como objetivo expresar una opinin tcnica sobre el uso de los recursos
informticos:
a) informe o dictamen
b) anlisis de informacin
c) papeles de trabajo
d) cuestionario de control interno
| 145
9. Significa que el auditor est de acuerdo, sin reservas, sobre la presentacin y
contenido de los procedimientos que se llevan a cabo para verificar la utilizacin
adecuada en los recursos Informticos:
a) opinin con salvedad
b) abstencin de opinin
c) opinin limpia
d) opinin negativa
10. Significa que el auditor est de acuerdo con los procedimientos y utilizacin de los
recursos informticos, pero con ciertas reservas.
a) opinin con salvedad
b) abstencin de opinin
c) opinin limpia
d) opinin negativa
| 146
Bibliografa bsica
Piattini Velthuis, Mario G., Peso Navarro, Emilio del. (1997). Auditora Informtica: un
enfoque prctico. Madrid: Ra-Ma.
| 147
Bibliografa complementaria
Cohen, Daniel (2000). Sistemas de informacin para los negocios. (3 ed.) Mxico:
McGraw-Hill.
Kell, Walter G.; Ziegler, Richard E. Boynton William. (1995). Auditora Moderna. (2 ed.)
Mxico: CECSA.
| 148
RESPUESTAS A LOS EXMENES DE AUTOEVALUACIN.
AUDITORA EN INFORMTICA
| 149