IMPORTANCIA DE LA

AUDITORÍA DE SISTEMAS
Publicado el 22 febrero, 2016

AUDITORÍA DE SISTEMAS
Es la revisión que se dirige a evaluar los métodos y procedimientos de uso en una entidad,
con el propósito de determinar si su diseño y aplicación son correctos; y comprobar el sistema
de procesamiento de Información como parte de la evaluación de control interno; así como
para identificar aspectos susceptibles de mejorarse o eliminarse.
A continuación se detallan algunos conceptos recogidos de algunos expertos en la materia:
 La Auditoría de Sistemas es la verificación de controles en el procesamiento de la
Información, desarrollo de sistemas e instalaciones.
 Actividad dirigida a verificar y juzgar la información.
 Examen y evaluación de los Procesos del área de Procesamiento automático de datos y de la
utilización de los recursos que en ello intervienen.
 Es la verificación en la eficiencia del uso de los Recursos informáticos.

FUNDAMENTOS DE LA AUDITORÍA DE SISTEMAS

Los fundamentos para la auditoría son:

 La Administración
 La Planeación
 Ejecución
 Supervisión
EL CONTROL DEL PROCESO DE AUDITORÍA
 El objetivo del control interno es asegurar la protección de todos los recursos informáticos
y mejorar los índices de economía, eficiencia y efectividad de los procesos, para corregir
errores o irregularidades que puedan afectar al funcionamiento de una entidad.
El control Interno está conformado por cinco elementos que son:
1. Ambiente de Control es el accionar de una entidad, sobre las conductas y los
procedimientos organizacionales.
2. Evaluación de Riesgo es en donde la entidad debe conocer los riesgos o puntos débiles que
afectan las actividades de una organización tanto interna como externa.
3. Actividad de Control es la medida necesaria, que debemos tomar para controlar los riesgos.
4. Información y Comunicación es el proceso de resumen e informe de los riesgos
organizacionales de una entidad.
5. Vigilancia y Supervisión sirve para asegurar que el control interno funcione adecuada
mente, a través de continuas evaluaciones.

PRINCIPIOS DE LA AUDITORÍA DE SISTEMAS

 La auditoría proporciona información que permite a las organizaciones tomar decisiones
pertinentes y suficientes, lo cual ayuda a mejorar su desempeño. Sin embargo, para ello es
necesario que se ejecute conforme a principios que facilitan a los auditores el llegar a
conclusiones similares en circunstancias similares, aun cuando trabajen independientemente
entre sí.
La norma ISO 19011:2011 proporciona directrices para la auditoría de sistemas de gestión
(capítulos 5 a 7), y la orientación que ofrece se basa en los siguientes principios:

 Integridad:
Obviamente, este es el principio número uno. La honestidad es un requisito tanto para los
auditores como para otras personas que gestionan el programa de auditoría. El desempeño
diligente y responsable del trabajo es necesario, así como observar y cumplir con los
requisitos legales aplicables. Además, los auditores deben demostrar su competencia y
desempeñar su trabajo de manera imparcial. Por último, tienen que estar atentos a cualquier
influencia que pudiera afectar su juicio.
 Presentación ecuánime:
La comunicación de los hallazgos debe ser veraz, precisa, objetiva, oportuna, clara y
completa. Las actividades de la auditoría tienen que describirse con veracidad y exactitud en
el informe, donde también es necesario que se den a conocer los obstáculos que hubo durante
la auditoría así como los puntos de conflicto que hayan quedado sin resolver entre el equipo
auditor y el auditado.
 Debido cuidado profesional:
La observancia de normas y reglamentos, así como el debido cuidado profesional son la base
para hacer juicios razonados en todas las situaciones de la auditoría.
 Confidencialidad:
En los últimos años el tema de la seguridad de la información ha cobrado mucha importancia
(el crecimiento de las certificaciones en la norma ISO/IEC 27001:2005 es una prueba de
ello). Por lo tanto, los auditores deberían proceder con discreción en el uso y protección de
información delicada o confidencial adquirida durante la auditoría, y no debería usarse para
beneficio personal o en perjuicio del auditado.
 Independencia:
El espíritu de este principio es evitar el conflicto de intereses; y para ello es recomendable
que los auditores sean independientes de la actividad que se audita (siempre que esto sea
factible).
 Los auditores deberían ser independientes de quienes gestionan operativamente la función
auditada, con el fin de que mantengan una actitud objetiva y para asegurarse de que los
hallazgos y conclusiones se basen solo en evidencias.

 Enfoque basado en la evidencias:

Con el fin de alcanzar conclusiones fiables y reproducibles, la auditoría debe seguir un
proceso sistemático y basado en evidencias verificables.
EL AUDITOR

El auditor informático ha de velar por la correcta utilización de los amplios recursos que la
empresa pone en juego para disponer de un eficiente y eficaz sistema de Información. Se
deben poseer una mezcla de conocimientos de auditoría financiera y de informática en
general.
DEONTOLOGÍA DEL AUDITOR

Trata por tanto de la moral o ética profesional en el manejo del activo mas importante que
tienen las empresas, que es la información que se maneja.
 Conseguir la máxima eficacia y rentabilidad de los medios informáticos de la empresa
auditada.
 Presentar recomendaciones acerca del reforzamiento del sistema.
 Dar soluciones a los problemas detectados en el sistema, sin que estos violen la ley y los
principios éticos de las normas deontológicas.
 Las ventajas y desventajas que el sistema ofrece en respecto a otros sistemas o marcas.
 PERFIL DEL AUDITOR INFORMÁTICO

A un auditor informático se le presupone cierta formación informática y experiencia en el

sector, independencia y objetividad, madurez, capacidad de síntesis y análisis y seguridad en
sí mismo.
EL ROL DEL AUDITOR

Los auditores ayudan a los altos dirigentes a gestionar temas corporativos, proporcionando
orientación sobre diversos asuntos que van desde la precisión financiera hasta los controles
internos de cumplimiento normativo. Los auditores también ayudan a los jefes de
departamento a identificar las herramientas y metodologías para mejorar las actividades de
operación, colocando a las empresas en un camino más sostenible financieramente.
PERSONAL INVOLUCRADO

Una de las partes más importantes dentro de la planeación de la auditoría en informática es

el personal que deberá participar y sus características.
 Alto sentido de la moralidad
 Debidamente Capacitados
 Técnico en informática.
 Experiencia en el área de informática.
 Experiencia en operación y análisis de sistemas.
 Conocimientos de los sistemas más importantes.
SABERES DEL AUDITOR

 Conocer los tipos de auditorías, las técnicas y procedimientos, las Normas de auditoría, la
función del auditor y los fundamentos legales de las auditorias.
 Prever y detectar errores y desviaciones en los procedimientos y registros contables.
 Analizar y sintetizar toda la información de auditoria.
TÉCNICAS E INSTRUMENTOS

 Evaluación
 Inspección
 Confirmación
 Observación
 Entrevistas
 Cuestionarios
 Encuestas
FUNCIONES DEL AUDITOR DE SISTEMAS
 Estudiar la normatividad, misión, objetivos, políticas, estrategias, planes y programas de
trabajo.
 Desarrollar el programa de trabajo de una auditoria.
 Definir los objetivos, alcance y metodología para instrumentar una auditoria.
 Captar la información necesaria para evaluar la funcionalidad y efectividad de los procesos,
funciones y sistemas utilizados.
 Recabar y revisar estadísticas sobre volúmenes y cargas de trabajo.
 Diagnosticar sobre los métodos de operación y los sistemas de información
 .Detectar los hallazgos y evidencias e incorporarlos a los papeles de trabajo.
 Respetar las normas de actuación dictadas por los grupos de filiación, corporativos,
sectoriales e instancias normativas y, en su caso, globalizadoras.
 Proponer los sistemas administrativos y/o las modificaciones que permitan elevar la
efectividad de la organización
 Analizar la estructura y funcionamiento de la organización en todos sus ámbitos y niveles
 Revisar el flujo de datos y formas.
 Considerar las variables ambientales y económicas que inciden en el funcionamiento de la
organización.
 Analizar la distribución del espacio y el empleo de equipos de oficina.
 Evaluar los registros contables e información financiera.
 Mantener el nivel de actuación a través de una interacción y revisión continua de avances.
 Proponer los elementos de tecnología de punta requeridos para impulsar el cambio
organizacional.
 Diseñar y preparar los reportes de avance e informes de una auditoria.
PAPEL DEL AUDITOR

El auditor es aquella persona que lleva a cabo una auditoria capacitado con conocimientos
necesarios para evaluar la eficacia de una empresa a la vez de poseer
El auditor debe revisar los sistemas establecidos para asegurarse del cumplimiento de las
políticas, planes y procedimientos, leyes y reglamentos que pueden tener de impacto
significativo en las operaciones e informes y deben determinar si la organización cumple con
ellos.
Así mismos son responsables de determinar si los sistemas son adecuados y efectivos y si las
actividades auditadas están cumpliendo con los requerimientos apropiados. También deben
revisar las operaciones o programas para cerciorarse si los resultados son consistentes con
los objetivos y metas establecidas y si las operaciones o programas se llevan a cabo como se
planearon.
La ética profesional del auditor, se refiere a la responsabilidad del mismo para con el público,
hacia los clientes y colegas y los niveles de conducta máximos y mínimos que debe poseer.
Responsabilidad legal

Son muchas las responsabilidades generales por la profesión derivadas de estipulaciones

legales. Amanera de síntesis se trata de dar una idea de este tema a continuación:
Responsabilidad ante los clientes: El auditor tiene una relación contractual “de carácter
derivado” con su cliente; en esta circunstancia es claro, de acuerdo con el derecho común,
que el profesional es responsable ante su cliente por negligencia en grado simple y, en
consecuencia, también lo será por negligencia en grado grave o por fraude.

Responsabilidad ante terceras personas: El problema de la responsabilidad ante terceras

personas, conceptualmente, es equilibrar el derecho que razonablemente tiene el auditor de
protegerse contra reclamaciones de personas desconocidas (y algunas veces innumerables),
de quienes el auditor no tiene razón para sospechar que contarán con los resultados de su
trabajo por un lado, y por el otro, lo que se considera como una importante política del Estado
de proteger a todas esas terceras personas que confían en los estados financieros dictaminados
contra los efectos adversos de la práctica profesional.
Recomendaciones: El auditor debe realizar procedimientos diseñados a obtener suficiente y
apropiada evidencia de auditoria, en que puedan todos los elementos hasta la fecha del
informe del auditor que puedan requerir de ajustes o exposiciones en los estados financieros,
hayan sido identificados. Ciertos eventos y transacciones que ocurren después de cada fin de
año, deben ser examinados como parte del trabajo normal de verificación de auditoria.

UNIDAD II
ESTÁNDARES Y LINEAMIENTOS
DE LA AUDITORÍA DE SISTEMAS
Publicado el 5 abril, 2016
 ESTÁNDARES DE AUDITORÍA DE SISTEMAS
Definen los requerimientos obligatorios para la auditoría de sistemas y la generación de
informes. Una auditoría se realiza con base a un patrón o conjunto de directrices o buenas
prácticas sugeridas. Existen estándares orientados a servir como base para auditorías de
informática. Uno de ellos es COBIT (Objetivos de Control de la Tecnologías de la
Información), dentro de los objetivos definidos como parámetro, se encuentra el “Garantizar
la Seguridad de los Sistemas”. Adicional a este estándar podemos encontrar el estándar ISO
27002, el cual se conforma como un código internacional de buenas prácticas de seguridad
de la información, este puede constituirse como una directriz de auditoría apoyándose de
otros estándares de seguridad de la información que definen los requisitos de auditoría y
sistemas de gestión de seguridad, como lo es el estándar ISO 27001
El objetivo de los Estándares de Auditoría es informar:
Informar a los auditores de sistemas el mínimo nivel aceptado para resolver las
responsabilidades profesionales precisadas en el código de ética profesional de ISACA para
auditores de sistemas de información.
A las gerencias y otras partes interesadas sobre las expectativas de la profesión concernientes
a quienes la practican. Proveer información sobre el cómo cumplir con los estándares de la
Auditoría de Sistemas.
NORMAS GENERALES DE LA AUDITORÍA DE SISTEMAS
La Asociación de Auditoría y Control de Sistemas de Información ha determinado que la
naturaleza especializada de la auditoría de los sistemas de in formación y las habilidades
necesarias para llevar a cabo este tipo de auditorías, requieren el desarrollo y la promulgación
de Normas Generales para la Auditoría de los Sistemas de Información. La auditoría de los
sistemas de información se define como cualquier auditoría que abarca la revisión y
evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos
de procesamiento de la información, incluidos los procedimientos no automáticos
relacionados con ellos y las interfaces correspondientes.
 OBJETIVOS

Los objetivos de estas normas son los de informar a los auditores del nivel mínimo de
rendimiento aceptable para satisfacer las responsabilidades profesionales establecidas en el
Código de Ética y de informar a la gerencia y a otras partes interesadas de las expectativas
de la profesión con respecto al trabajo de aquellos que la ejercen.
Título de auditoría: Responsabilidad, autoridad y rendimiento de cuentas La
responsabilidad, la autoridad y el rendimiento de cuentas abarcados por la función de
auditoría de los sistemas de información se documentarán de la manera apropiada en un
título de auditoría o carta de contratación.
Independencia:Independencia profesional En todas las cuestiones relacionadas con
la auditoría, el auditor de sistemas de información deberá ser independiente de la
organización auditada tanto en actitud como en apariencia.
La función de auditoría de los sistemas de información deberá ser lo suficientemente
independiente del área que se está auditando para permitir completar de manera objetiva la
auditoría.
Ética y normas profesionales: Código de Ética Profesional El auditor de sistemas de
información deberá acatar el Código de Ética Profesional de la Asociación de Auditoría y
Control de Sistemas de Información.
Idoneidad: Habilidades y conocimientos El auditor de sistemas de información debe
ser técnicamente idóneo, y tener las habilidades y los conocimientos necesarios para realizar
el trabajo como auditor.
Planificación: Planificación de la auditoría El auditor de sistemas de información
deberá planificar el trabajo de auditoría de los sistemas de información para satisfacer los
objetivos de la auditoría y para cumplir con las normas aplicables de auditoría profesional.
Ejecución del trabajo de auditoría: Supervisión El personal de auditoría de los sistemas
de información debe recibir la supervisión apropiada para proporcionar la garantía de que se
cumpla con los objetivos de la auditoría y que se satisfagan las normas aplicables de
auditoría profesional.
Informes: Contenido y formato de los informes En el momento de completar el trabajo de
auditoría,el auditor de sistemas de información deberá proporcionar un informe, de formato
apropiado, a los destinatarios en cuestión. El informe de auditoría deberá enunciar el alcance,
los objetivos, el período de cobertura y la naturaleza y amplitud del trabajo de auditoría
realizado.
Actividades de seguimiento: Seguimiento El auditor de sistemas de información
deberá solicitar y evaluar la información apropiada con respecto a hallazgos, conclusiones y
recomendacioneses relevantes anteriores para determinar si se han implementado las
acciones apropiadas de manera oportuna
 ORGANISMOS Y ESTÁNDARES INTERNACIONALES DE LA AUDITORÍA DE
SISTEMAS
Los organismos internacionales que se ocupan del control y de la auditoria de SI son
fuente de fuente de estándares: La regulación de las mejores prácticas de Auditoria
en informática como administrar los riesgos en tecnología Informática, la auditoria en base a
los organismos nacionales e internacionales.
 Institute of System and Association, ISACA.

La InformationSystemAudit and Control Association -Asociación de Auditoria y

Control de Sistemas de Información- ISACA, comenzó en 1967. En 1969, el grupo se
formalizo, incorporándose bajo el nombre de EDP AuditorsAssociation -
Asociación de Auditores de Procesamiento Electrónico de Datos. En 1976
la asociación formó una fundación de educación para llevar a cabo proyectos
de investigación de gran escala para expandir los conocimientos y el valor del
campo de gobernación y control de TI.
 Certified Information Security Auditor, CISA.
La Asociación de Auditores y Control de Sistemas de Información (ISACA), provee
una Certificación de Auditores en Sistemas de Información (CISA); por medio de un
examen anual que realiza el Instituto a los candidatos, el Cual cubre el conocimiento de
actividades requeridas para la función de Auditoria en TI, para lo cual presenta un
Manual de Información Técnica para la preparación de los Candidatos.
 CertifiedInformation Security Manager, CISM

También ISACA provee la Certificación para la Administración de la Seguridad de

la Información del cual intenta garantizar que existan administradores de seguridad de TI
que tengan los conocimientos necesarios para reducir el riesgo y proteger a la organización.
 Institute of InternalAuditors, IIA
El Intitute of InternalAuditors (IIA), -organización Profesional con sede en los
Estados Unidos, con mas de 70.000 miembros en todo el mundo y años de existencia-
anualmente organiza su Conferencia Internacional, la que habitualmente congrega a más de
un millar de auditores de todos los continentes. El IIA es reconocido mundialmente como
una autoridad, pues es el principal educador y líder en la certificación, la investigación y
la guía tecnológica en la profesión de la auditoria interna.
 CertifiedInternal Auditor, CIA
El IIA cuenta con su propia Certificación de Auditores Internos CIA, la cual se da
tanto a proveedores de estos servicios. Contar con profesionales certificados en auditoria
interna, para la organización significa contar con un valioso recurso para la dirección y el
consejo de administración, que ayuda a garantizar el avance en la dirección correcta para el
logro de sus metas y objetivos.

ESTÁNDARES O NORMAS INTERNACIONALES

A continuación se enuncian algunas de las Normas que el Auditor de Sistemas de
información debe conocer. El ajustarse a estas normas no es obligatorio, pero el auditor de
sistemas de información debe estar preparado para justificar cualquier incumplimiento a
estas.
Normas Internacionales de Auditoría
Emitidas por IFAC (International Federation of Accountants) en la NIA (Norma
Internacional de Auditoria o International StandardsonAuditing, ISA) 15 y 16, donde se
establece la necesidad de utilizar otras técnicas además de las manuales.
Norma ISA 401, sobre Sistemas de Información por Computadora. SAS No. 94 (TheEffect
of InformationTechnologyontheAuditor’sConsideration of Internal Control in a
FinancialStatementaudit) dice que en una organización que usa Tecnologías de Información,
se puede ver afectada en uno de los siguientes cinco componentes del control interno: el
ambiente de control, evaluación de riesgos, actividades de control, información,
comunicación y monitorio además de la forma en que se inicializan, registran, procesan y
reporta las transacciones.
La norma SAP 1009 (Statement of AuditingPractice) denominada
ComputerAssistedAuditTechniques (CAATs) o Técnicas de Auditoria Asistidas por
Computador, plantea la importancia del uso de CAAT en auditorias en un entorno de
sistemas de información por computadora.

ISO 9000 es un conjunto de normas sobre calidad y gestión de calidad, establecidas por
la Organización Internacional de Normalización (ISO). Se pueden aplicar en cualquier tipo
de organización o actividad orientada a la producción de bienes o servicios. Las normas
recogen tanto el contenido mínimo como las guías y herramientas específicas de
implantación como los métodos de auditoría. El ISO 9000 especifica la manera en que una
organización opera sus estándares de calidad, tiempos de entrega y niveles de servicio.
Existen más de 20 elementos en los estándares de esta ISO que se relacionan con la manera
en que los sistemas operan.
TIPOS Y CLASES DE AUDITORÍA
 A) Auditoría Informática de Explotación: se ocupa de producir resultados informáticos de
todo tipo: listados impresos, archivos magnéticos para otros informáticos, ordenes
automatizadas para lanzar o modificar procesos industriales, etc.
B) Auditoría Informática de Sistemas: Se ocupa de analizar la actividad que se conoce
como Técnica de Sistemas en todas sus facetas. Hoy en día, la importancia creciente de las
telecomunicaciones ha propiciado que las Comunicaciones, Líneas y Redes de las
instalaciones informáticas, se auditen por separado, aunque formen parte del entorno general
de Sistemas.
C) Auditoría Informática de Comunicaciones y Redes: Se ha producido un cambio
conceptual muy profundo en el tratamiento de las comunicaciones informáticas y en la
construcción de los modernos Sistemas de Información, basados en Redes de
Comunicaciones muy sofisticadas.
D) Auditoría Informática de Desarrollo de Proyectos o Aplicaciones: La función de
Desarrollo es una evolución del llamado Análisis y Programación de Sistemas y
Aplicaciones. A su vez, engloba muchas áreas, tantas como sectores informatizarles que tiene
la empresa.
E) Auditoría de la Seguridad informática: La seguridad en la informática abarca los
conceptos de seguridad física y seguridad lógica.La seguridad física se refiere a la protección
del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los
albergan.

HERRAMIENTAS Y TÉCNICAS PARA LA AUDITORÍA INFORMÁTICA

Las herramientas son el conjunto de elementos que permiten llevar a cabo las acciones
definidas en las técnicas. Las herramientas utilizadas son: cuestionarios, entrevistas,
checklist, trazas y software de interrogación.
 Los cuestionarios: es la herramienta punto de partida que permiten obtener información y
documentación de todo el proceso de una organización, que piensa ser auditado.El auditor debe
realizar una tarea de campo para obtener la información necesaria, basado en evidencias o hechos
demostrables.

 La segunda herramienta a utilizar es la entrevista: En la que llega a obtener información más

específica que la obtenida mediante cuestionarios, utilizando el método del interrogatorio, con
preguntas variadas y sencillas, pero que han sido convenientemente elaboradas.
 La tercera herramienta que se utiliza es el checklist: Conjunto de preguntas respondidas en la
mayoría de las veces oralmente, destinados principalmente a personal técnico. Por estos motivos
deben ser realizadas en un orden determinado, muy sistematizadas, coherentes y clasificadas por
materias, permitiendo que el auditado responda claramente.
Existen dos tipos de filosofía en la generación de checklists:
 De rango: las preguntas han de ser puntuadas en un rango establecido (por ejemplo de 1 a 5, siendo
1 la respuesta más negativa y 5 la más positiva)
 Binaria: las respuestas sólo tienen dos valores (de ahí su nombre) cuya respuesta puede ser Si o No.
La primera filosofía permite una mayor precisión en la evaluación, aunque depende, claro
está, del equipo auditor. Los binarios, con una elaboración más compleja, deben ser
más precisos.No existen checklists estándares, ya que cada organización y su auditoría tienen
sus peculiaridades.
 La siguiente herramienta que se utiliza, las trazas: Se basa en el uso de software, que permiten
conocer todos los pasos seguidos por la información, sin interferir el sistema. Además del uso de las
trazas, el auditor utilizará, los ficheros que el próximo sistema genera y que recoge todas las
actividades que se realizan y la modificación de los datos, que se conoce con el nombre de log.
El log almacena toda aquella información que ha ido cambiando y como ha ido cambiando, de forma
cronológica.
 En los últimos años se ha utilizado el software de interrogación: para auditar ficheros y bases de
datos de la organización.

UNIDAD III
AMENAZAS SOBRE LOS
ACTIVOS INFORMÁTICOS
Publicado el 15 abril, 2016

AMENAZAS
Son agentes capaces de explotar los fallos de seguridad que denominamos puntos débiles y,
como consecuencia de ello, causar pérdidas o daños a los activos de una empresa. Los activos
están constantemente sometidos a amenazas que pueden colocar en riesgo la integridad,
confidencialidad y disponibilidad de la información.
OBJETIVO DE LA SEGURIDAD INFORMÁTICA

La seguridad informática debe establecer normas que minimicen los riesgos a la información
o infraestructura informática. Estas normas incluyen horarios de funcionamiento,
restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de
emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad
informática minimizando el impacto en el desempeño de los trabajadores y de la organización
en general y como principal contribuyente al uso de programas realizados por programadores.
 DELITOS INFORMÁTICOS
Un delito informático es toda aquella acción ilícita llevada a cabo por vías informáticas con
el fin de perjudicar a personas naturales, jurídicas, medios y redes electrónicas. A pesar de
ser utilizada frecuentemente, los venezolanos tienen pocos conocimientos sobre esta
modalidad del crimen. Al desconocer los riesgos que implican el uso de las diferentes vías
electrónicas las personas se convierten en presas fáciles para los delincuentes cibernéticos.

PLATAFORMA DE LOS SISTEMAS

En el computador, la plataforma describe una cierta clase de arquitectura de hardware o
marco del software (incluyendo armazones del uso), eso permite software para funcionar.
Las plataformas típicas incluyen una computadora arquitectura, sistema operativo, lenguajes
de programación y relacionado tiempo de pasada bibliotecas o interfaz utilizador gráfico.
 AUDITORÍA INTERNA
Es un elemento importante del control, independiente y objetiva está destinada para
incrementar valor y mejorar todas las operaciones de una organización, todo ello se realiza a
través de un análisis profesional, sistemático, objetivo y disciplinado en las operaciones
financieras y administrativas después de que han sido ejecutadas.
AUDITORÍA EXTERNA
Es el examen realizado para expresar un criterio profesional sobre el funcionamiento y
eficiencia que tiene una organización en el desarrollo de una determinada gestión, este trabajo
lo elabora personal independiente, ya sea que trabaje en forma lucrativa o no, las entidades
dedicadas a estas evaluaciones son independientes sin importar su tamaño o forma legal.
SÍNTOMAS DE LA NECESIDAD DE UNA AUDITORIA INFORMÁTICA
 Descoordinación y desorganización
 Disminución del redimiendo en producción
 Insatisfacción de clientes internos/externos
 Problemas económicos
 Falta de seguridad
Cuando estas señales aparecen en una empresa, son indicadores de que puede haber
problemas con su tecnología informática y la gerencia debe de tomar cartas en el asunto lo
más pronto posible.
RIESGOS INFORMÁTICOS
El riesgo es una condición del mundo real, en el cual hay una exposición a la adversidad
conformada por una combinación de circunstancias del entorno donde hay posibilidad de
pérdidas. Los riesgos informáticos son exposiciones tales como atentados y amenazas a los
sistemas de información.
Es importante en toda organización contar con una herramienta, que garantice la correcta
evaluación de los riesgos, a los cuales están sometidos los procesos y actividades que
 participan en el área informática; y por medio de procedimientos de control que puedan
evaluar el desempeño del entorno informático.

TIPOS DE RIESGOS
1. Riesgos de integridad
2. Riesgos de relación
3. Riesgos de acceso
4. Riesgos de utilidad
5. Riesgos en la infraestructura
6. Riesgos de seguridad general
7. Concentración de procesamiento de aplicaciones más grandes y de mayor complejidad
8. Dependencia en el personal clave
9. Desaparición de los controles tradicionales
10. Huelgas, terrorismo e inestabilidad social
11. Mayor conciencia de los proveedores
FRAUDE INFORMÁTICO
Acción culpable realizada por un ser humano que causa un perjuicio a personas sin que
necesariamente se beneficie el autor o que por el contrario produzca un beneficio ilícito a su
autor aunque no perjudique en forma directa o indirecta a la víctima.
TIPOS DE DELITOS O FRAUDES INFORMÁTICOS

1. Sabotaje Informático
En lo referente a Sabotaje Informático podemos encontrar dos clasificaciones las cuales son
las siguientes:
 Conductas dirigidas a causar daños físicos
Esto es cuando la persona que comete el delito causa daños físicos al hardware del equipo
objeto del delito. Aquí el daño físico se puede ocasionar de muchas formas por la persona
que tiene la intención de causar daño.
 Conductas dirigidas a causar daños lógicos
Esto comprende los daños causados a la información y todos los medios lógicos de los
cuales se vale un Sistema de Cómputo para funcionar adecuadamente.
2. Fraude a través de Computadoras
3. Manipulación de los datos de entrada
4. Manipulación de Programas
5. Manipulación de los datos de salida
6. Estafas electrónicas
7. Pesca u olfateo de contraseñas
8. Juegos de Azar
9. Lavado de dinero
10. Copia ilegal de software
11. Espionaje Informático
12. Infracción del copyright en bases de datos
13. Uso ilegítimo de Sistemas Informáticos ajenos
14. Accesos no autorizados
15. Interceptación de E-mail
16.Falsificación Informática
LEY CONTRA LOS DELITOS INFORMÁTICOS EN VENEZUELA

En el 2010 se promulgó la Ley Especial Contra los Delitos Informáticos, la cual tiene como
función proteger, prevenir y sancionar los delitos que se cometan a través de las tecnologías
de la información (Internet, software, bases de datos, telecomunicaciones, celulares, etc.)
Esta Ley está compuesta por 32 artículos en los cuales se señalan cinco clases de delitos:
 Contra los sistemas que utilizan tecnologías de información
Contra la propiedad
Contra la privacidad de las personas y de las comunicaciones
Contra niños, niñas y adolescentes
Contra el orden económico.
POSICIÓN DEL AUDITOR ANTE LOS DELITOS INFORMÁTICOS
Es importante establecer claramente cuál es el papel que juega el auditor informático en
relación con la detección y minimización de la ocurrencia de delitos informáticos dentro de
la organización a que presta sus servicios. Para lograr establecer dicho rol se debe examinar
la actuación del auditor frente a la ocurrencia de delitos, estrategias para evitarlos,
recomendaciones adecuadas, conocimientos requeridos, en fin una serie de elementos que
definen de manera inequívoca el aporte que éste brinda en el manejo de los casos de delitos
informáticos.

SEGURIDAD Y CONTROL DE
LOS SISTEMAS
Publicado el 21 abril, 2016

 SEGURIDAD Y CONTROL DE LOS SISTEMAS

Es asegurar la Confidencialidad, Integridad, y Disponibilidad de sus sistemas y redes. La
seguridad se divide (groseramente) en seguridad física y seguridad lógica.
¿Cómo se define la seguridad física y lógica?
Seguridad física: Cuando se quiere tener un equipo seguro es importante considerar todos
los aspectos que están involucrados. Uno de ellos y sin duda, uno de los más importantes es
la seguridad que se brinda en el entorno donde está ubicado el equipo.
El punto más débil que tienen la mayoría de los equipos es su consola. Siempre se asume que
la persona que esté ubicada en frente de la consola, es la persona que administra el equipo o
tiene pleno conocimiento del funcionamiento del mismo. Desde la consola se pueden realizar
tareas como:
 Apagar el equipo y dejar sin servicio a los usuarios
 En el caso de Linux reiniciar el equipo en un modo en particular (nivel de ejecución
 Insertar un diskette dentro del equipo y arrancar el mismo leyendo del diskette, para acceder
con otro sistema operativo
 Acceder a la configuración de hardware del equipo (BIOS)
Todos estos puntos tienen que controlarse y tratar de eliminar todos los posibles puntos de
entrada. Llegado el caso de que un intruso logre estar personalmente en frente de la consola.
Estos puntos de entrada se pueden cerrar tomando las siguientes precauciones (algunas
aplican a servidores, otras a cualquier ordenador):
 Colocar el equipo en una sala cerrada bajo llave
 Eliminar cualquier periférico que no se utilice con frecuencia (como diskettera, CDROM,
etc.)
 Setear el arranque en la BIOS para permitirlo solamente desde el disco rígido primario
 Proteger el BIOS del equipo con clave (tomar en cuenta que algunas BIOS viejas tenían
password universal)
 Eliminar puertos seriales y/o paralelos que no se utilicen
 Desconectar teclado, ratón y video si estos no son utilizados
Seguridad lógica: Es la configuración adecuada del sistema para evitar el acceso a los
recursos y configuración del mismo por parte de personas no autorizadas, ya sea a nivel local
o vía red. Mucha gente considera que seguridad es solamente la seguridad lógica, pero este
concepto es erróneo.
Entre los puntos más importantes a tomar en cuenta para la seguridad lógica tenemos
(algunos aplican principalmente a servidores, otros a cualquier ordenador):
 Utilización de un sistema operativo relativamente seguro (NT, 2000, UNIX, Linux, etc.)
 ELECCION DE BUENOS PASSWORDS (es el principal)
 Activado del protector de pantalla con password cuando el equipo queda desatendido y hacer
logoff antes de retirse del mismo
 Utilización de un buen firewall
 Utilización de antivirus y detectores de troyanos
 Utilización de dispositivos de identificación por biométrica (huellas dactilares, escaneo de
retina, reconocimiento de voz, etc.)
NO EXISTE EL ORDENADOR 100% SEGURO, salvo que se encuentre completamente
aislado, tanto físicamente como vía red. Los ordenadores de la NSA de USA con nivel de
seguridad C2 según estándares, son simples sistemas UNIX en un cuarto cerrado, sin
conexión a red
 VULNERABILIDAD Y ABUSO DE LOS SISTEMAS
Antes de la automatización con computadoras, los datos acerca de individuos y
organizaciones se mantenían y protegían en forma de expedientes en papel dispersos en
distintas unidades de negocios o de organización. Los sistemas de información concentran
los datos en archivos de computadoras a los que podría tener fácil acceso un gran número de
personas y grupos externos a la organización. Por ello, los datos automatizados son más
susceptibles a destrucción, fraude, error y abuso.
Cuando los sistemas de computación fallan o no funcionan como es debido, las compañías
que dependen mucho de ellos experimentan una pérdida grave de su capacidad para operar.
Cuanto más tiempo permanezcan inactivos los sistemas de computación, más graves serán
las consecuencias para la compañía.
 ¿Por qué son vulnerables los sistemas?
Cuando se almacenan grandes cantidades de datos en forma electrónica, éstos son vulnerables
a muchos tipos de amenazas a las que no están expuestos los datos asentados en papel. En la
 Tabla siguiente se enumeran las amenazas más comunes que enfrentan los sistemas de
información computarizados. Su origen puede estar en factores técnicos, de organización y
del entorno, combinados con malas decisiones gerenciales.
Amenazas para los sistemas de información computarizados
Fallos de hardware
Incendio
Fallos de software
Problemas eléctricos
Acciones del personal
Errores de usuario
Penetración por terminales
Cambios de programas
 Los sistemas computarizados son especialmente vulnerables a dichas amenazas por las
siguientes razones:Un sistema de información complejo no se puede reproducir
manualmente
 Los procedimientos computarizados son invisibles y no es fácil entenderlos ni auditarlos.
Aunque la probabilidad de que ocurra un desastre a un sistema automatizado no es mayor
que en el caso de un sistema manual, su efecto puede ser mucho más extenso. En algunos
casos podrían destruirse y perderse irremediablemente todos los registros de un sistema.
Muchas personas tienen acceso directo a los sistemas de información en línea. Los usuarios
legítimos logran obtener fácilmente acceso a porciones de los datos computarizados que no
tienen permiso de ver. Personas no autorizadas también pueden obtener acceso a tales
sistemas.
 RIESGOS EN AUDITORIA
Un riesgo le auditoría es aquel que existe en todo momento por lo cual genera la posibilidad
de que un auditor emita una información errada por el hecho de no haber detectado errores
o faltas significativas que podría modificar por completo la opinión dada en un informe.
La posibilidad de existencia de errores puede presentarse en distintos niveles, por lo tanto se
debe analizar de la forma más apropiada para observar la implicación de cada nivel sobre
las auditorias que vayan a ser realizadas.
Son distintas las situaciones o hechos que conllevan a trabajar de diferentes formas y que
permiten determinar el nivel de riesgo por cada situación en particular.
Es así como se han determinado tres tipos de riesgos los cuales son: Riesgo inherente, riesgo
de control y riesgo de detección.
Riesgo inherente: Este tipo de riesgo tiene ver exclusivamente con la actividad económica
o negocio de la empresa, independientemente de los sistemas de control interno que allí se
estén aplicando.
Si se trata de una auditoría financiera es la susceptibilidad de los estados financieros a la
existencia de errores significativos; este tipo de riesgo está fuera del control de un auditor
por lo que difícilmente se puede determinar o tomar decisiones para desaparecer el riesgo ya
que es algo innato de la actividad realizada por la empresa.
Riesgo de control: Aquí influye de manera muy importante los sistemas de control interno
que estén implementados en la empresa y que en circunstancias lleguen a ser insuficientes
o inadecuados para la aplicación y detección oportuna de irregularidades. Es por esto la
necesidad y relevancia que una administración tenga en constante revisión, verificación y
ajustes los procesos de control interno.
Cuando existen bajos niveles de riesgos de control es porque se están efectuando o están
implementados excelentes procedimientos para el buen desarrollo de los procesos de la
organización.
Riesgo de detección: Este tipo de riesgo está directamente relacionado con los
procedimientos de auditoría por lo que se trata de la no detección de la existencia de erros
en el proceso realizado.
La Responsabilidad de llevar a cabo una auditoria con procedimientos adecuados es total
responsabilidad del grupo auditor, es tan importante este riesgo que bien
trabajado contribuye a debilitar el riesgo de control y el riesgo inherente de la compañía.
 EVALUACIÓN DEL PROCESAMIENTO DE DATOS A NIVEL ORGANIZACIÓN:
 Duplicidad de datos
 Clasificación e identidad de los datos
 Relación de los datos
 Responsabilidad de los datos
CONTROLES: Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de
Cómputo durante un proceso.
Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios
Garantizar la integridad de los recursos informáticos.
Asegurar la utilización adecuada de equipos acorde a planes y objetivos.
Controles: Una vez conseguida la Operatividad de los Sistemas, el segundo objetivo de la
auditoría es la verificación de la observancia de las normas teóricamente existentes en el
departamento de Informática y su coherencia con las del resto de la empresa. Para ello, habrán
de revisarse sucesivamente y en este orden:
1.-Las Normas Generales de la Instalación Informática. Se realizará una revisión inicial sin
estudiar a fondo las contradicciones que pudieran existir, pero registrando las áreas que
carezcan de normativa, y sobre todo verificando que esta Normativa General Informática no
está en contradicción con alguna Norma General no informática de la empresa.
2-.Los Procedimientos Generales Informáticos. Se verificará su existencia, al menos en los
sectores más importantes. Por ejemplo, la recepción definitiva de las máquinas debería estar
firmada por los responsables de Explotación. Tampoco el alta de una nueva Aplicación
Podría producirse si no existieran los Procedimientos de Backup y Recuperación
correspondientes.
3.-Los Procedimientos Específicos Informáticos. Igualmente, se revisara su existencia en las
áreas fundamentales. Así, Explotación no debería explotar una Aplicación sin haber exigido
a Desarrollo la pertinente documentación. Del mismo modo, deberá comprobarse que los
Procedimientos Específicos no se opongan a los Procedimientos Generales. En todos los
casos anteriores, a su vez, deberá verificarse que no existe contradicción alguna con la
Normativa y los Procedimientos Generales de la propia empresa, a los que la Informática
debe estar sometida.
ORGANIZACIÓN EN EL CENTRO DE CÓMPUTO:
Esta etapa del proceso administrativo encargada de coordinar y ordenar los recursos y tareas
del centro de cómputo con el fin de facilitar el logro de objetivos, para que estos tengan
significado y contribuyan a la eficiencia organizacional.
PRINCIPALES DEPARTAMENTOS:
Producción y control: verifica que los programas o sistemas que producen en el
departamento de sistema de cómputo estén correctamente estructurados. Operación: opera y
manipula el sistema, los datos del mismo, y el equipo con que cuenta la empresa; en otras
palabras el software y hardware
Administración de sistemas: administra los suplementos del software, dotar o instalar en
cada departamento del centro de cómputo, los requerimientos que para un buen desempeño
sean necesarios.
Programación: capturar, codificar y diseñar los programas, sistemas, base de datos. Soporte:
verificar que el software y hadware funcionen correctamente y en caso de que se localice
algún error, deberán repararlo. Implementación: implementar el software necesario de
manera que cada área del centro de cómputo se le destine el material que requiere para el
buen desempeño de sus funciones de la empresa.
PLANEACIÓN ESTRATÉGICA PARA QUE TENGA EXITO En todo centro de cómputo
existen varias variables para su planeación estratégica y es que todo el centro de cómputo
debe haber áreas de trabajo para cada una de las funciones que se realizan de entre las cuales
podemos mencionar. Supervisor de red área de programación área de captura operadores de
cómputo analista de sistemas programador capturista de datos operador de computadora
PLANEACIÓN OPERATIVA En esta etapa el administrador de centros de cómputo debe
seleccionar al personal de cómputo que se requiere para la operación del centro de sistemas
de acuerdo con el perfil profesional.
PLANEACION DE INSTALACIONES FISICAS Se refiere a todo lo que tiene que ver con
el equipo que debe de utilizar y debe estar contenido en el centro de cómputo. Conexión No
break Reguladores Aire acondicionado y Extinguidores.
Evaluación de la configuración del sistema de cómputo, productividad.
Los objetivos son evaluar la configuración actual tomando en consideración las aplicaciones
y el nivel de uso de sistema.
Productividad: La tecnología debería jugar un papel fundamental en el esfuerzo necesario
para aumentar la productividad, ya que permitiría abaratar la producción de bienes y la oferta
de servicios.
 UNIDAD V
FASES DE LA AUDITORÍA
DE SISTEMAS
Publicado el 4 mayo, 2016

1. PLANEACIÓN Y DOCUMENTACIÓN
La auditoría de sistema debe iniciar con una fase de planeación en la cual participen todas
las áreas de la organización para identificar los recursos necesarios que permitirán llevar a
cabo un proyecto, como son, objetivos que se pretenden alcanzar con el proyecto, análisis
costo/beneficio, personal humano que intervendrá en el proyecto, marco de referencia de
Auditoria de Sistema que se va a utilizar. Lo cual se resume en obtener un conocimiento
inicial de la organización a evaluar, con especial énfasis en sus procesos informáticos basados
en evaluaciones administrativas realizadas a los procesos electrónicos, sistemas y
procedimientos, equipos de cómputo, seguridad y confidencialidad de la información, y
aspectos legales de los sistemas y la información.

Planeamiento: Examinar la información preliminar correspondiente al área de informática,

la cual puede ser:
1. Interna: conocer los procesos que se realizan dentro de la empresa para las cuales es
utilizado el equipo informatico.se verifica si se lleva un control de la operaciones realizadas
y si queda un registro de los usuarios del área de informática y los horarios en los cuales, han
utilizados los equipos del centro. También se solicita información correspondiente si se ha
realizado en otras ocasiones auditoria de sistema.
2. Externa; conocimientos e identificación de los usuarios del área de informática así como
de los proveedores de materiales, accesorio y otros clientes.
• Conocimiento de las instalaciones física del negocio o empresa, materiales, mobiliario,
inmueble, equipos, inventarios y otros que tienen relación al área de informática.
• Verificar si los programas utilizados dentro de la entidad han sido diseñado específicamente
para la empresa.
• Verificar si todo el equipo o hardware se encuentra debidamente inventariado.
Documentación: Estos son los métodos aplicables para la documentación.
1. Descriptivo: la documentación utilizada durante la auditoria será en primer lugar de tipo
descriptiva o sea basada en la narración verbal de los procedimientos las cuales son conocidas
cédulas narrativas.
2. Cuestionario: en segundo lugar los documentos se documentaran a través de la pre
elaboración de preguntas contestadas por los directivos de la empresa o por el personal
encargado de los sistemas informáticos y por algunos usuarios dentro de la empresa que tenga
relación con el mismo.
2. ARCHIVO PERMANENTE
Para cada entidad u organismo se organizará un archivo permanente de papeles de trabajo
que contenga la información básica que pueda ser utilizada en futuras auditorias o exámenes
especiales.
El archivo permanente contendrá copias o extractos de la información aplicable a la empresa
u organismo y principalmente:
a) Disposiciones legales y normativas.
b) Manuales, organigramas y reglamentos internos.
c) Estatutos de constitución de la empresa.
d) Contrato a largo plazo.
e) Análisis del activo fijo.

3. EVALUACIÓN Y CONTROL INTERNO

El control interno comprende el plan de organización, los métodos y procedimientos que
tiene implantados una empresa o negocio, estructurados en un todo para la obtención de tres
objetivos fundamentales: a) la obtención de información financiera correcta y segura, b) la
salvaguarda de los activos y c) la eficiencia de las operaciones.
Es importante identificar los riesgos de control interno, y la forma en que afectan al mismo.
El riesgo de auditoría puede ser considerado como una combinación entre la posibilidad de
la existencia de errores significativos o irregularidades en los estados financieros y el hecho
de que los mismos no sean descubiertos por medio de procedimientos de control del cliente
o del trabajo de auditoría. El riesgo de auditoría está integrado así: a) Riesgo Inherente, b)
Riesgo de Control y c) Riesgo de Detección.
4. EVALUACIÓN DE HALLAZGOS
Se considera que los hallazgos en auditoria son las diferencias significativas encontradas en
el trabajo de auditoría con relación a lo normado o a lo presentado por la gerencia.
Atributos Del Hallazgo
1.Condición: la realidad encontrada
2. Criterio: cómo debe ser (la norma, la ley, el reglamento, lo que debe ser)
3. Causa: qué originó la diferencia encontrada.
4. Efecto: qué efectos puede ocasionar la diferencia encontrada.
Al plasmar el hallazgo el auditor primeramente indicará el título del hallazgo, luego los
atributos, a continuación indicarán la opinión de las personas auditadas sobre el hallazgo
encontrado, posteriormente indicarán su conclusión sobre el hallazgo y finalmente hará las
recomendaciones pertinentes. Es conveniente que los hallazgos sean presentados en hojas
individuales.

5. PROGRAMA DE AUDITORÍA DE SISTEMAS

Para cada auditoría específica se deberá elaborar el programa de auditoría que incluya los
procedimientos a aplicarse, su a alcance y personal designado para ejecutar la auditoria.
Los programas de auditoría deben ser los suficientemente flexibles para permitir en el
transcurso del examen, modificaciones, mejoras y ajustes, a juicio del encargado o supervisor
y con la debida aprobación por parte de los responsables o superiores.
El programa de auditoría, es el procedimiento a seguir, en el examen a realizarse el mismo
que es planeado y elaborado con anticipación y debe ser de contenido flexible, sencillo y
conciso, de tal manera que los procedimientos empleados en cada auditoria estén de acuerdo
con las circunstancias del examen.
El programa de trabajo se formula en papeles en los que generalmente se anotan los siguientes
encabezados:
-Procedimiento: Para describirla lo más clara y brevemente posible.
-Extensión: Que puede incluirse en la descripción del procedimiento.
-Oportunidad: Donde se aclara la época o fecha en que debe efectuarse el trabajo.
-Auditor: Donde se asigna el responsable de resolver el punto en particular.
-Tiempo estimado: Donde se anota el tiempo en horas que se espera tome la ejecución.
-Tiempo real: Para anotar el tiempo realmente empleado.
-Variación: Para anotar las desviaciones de los tiempos reales respectos de los estimados y
hacer las explicaciones pertinentes.
-Observaciones: Para aclarar aspectos especiales en relación con el trabajo o la cuenta a
revisar.
6. DOCUMENTOS DE LA AUDITORÍA
Documentación de la empresa: La documentación necesaria variará de una empresa a otra,
pero, a modo de indicación general, la empresa debe tener preparada con anterioridad al
inicio de la auditoría una copia de las escrituras de constitución y modificación de estatutos
sociales, balance de sumas y saldos al máximo detalle, Cuentas Anuales a la fecha del cierre
contable del ejercicio, balance de situación, cuenta de resultados, estado de cambios en el
patrimonio neto, estado de flujos de efectivo y memoria de la empresa, la relación de los
modelos de liquidación de impuestos del ejercicio auditado, así como haber puesto al día los
correspondientes libros de actas, tanto del Consejo de Administración (si tiene Consejo)
como de la Junta de Accionistas.
 Papeles de Trabajo: Los papeles de trabajo son el conjunto de documentos preparados por
el auditor, los cuales le permiten disponer de la información y de las pruebas efectuadas
durante su trabajo profesional en la empresa, así como también de las decisiones tomadas
para fundamentar su opinión, también permiten el registro eficiente de la información que se
recolecta en el proceso de evaluación, la planificación, la ejecución, supervisión y revisión
de la auditoria así como también suministrar la evidencia del trabajo llevado a cabo para
respaldar la opinión del auditor.
Forma y contenido de los papeles de trabajo: El auditor deberá preparar papeles de trabajo
que sean completos y detallados para proporcionar una comprensión global de la auditoría.
Información referente a la estructura organizacional.
Documentos legales o importantes.
Resumen de las principales leyes, reglamentos y normas de la entidad.
Información de la industria
Evidencia el proceso de planeación incluyendo programas de auditoría.
Evidencia de las pruebas realizadas en el control interno.
Evidencia de las evaluaciones de los riesgos de control.
7. DEFINICIÓN Y TIPOS DE INFORMES
Informe del auditor: El informe es el resultado de trabajo del auditor. Es un documento
elaborado por el auditor donde expresa de forma estándar, general y sencilla, una opinión
profesional. Presenta una serie de características fundamentales de carácter formal: es claro,
oportuno sintético y se encuentra bajo un esquema de exposición determinado por la doctrina.
Si bien el informe ha de expresar una opinión técnica (fundado en la planificación y el trabajo
de auditoría)

Tipos de Informes:
• Informe de auditoría informática sobre todo el sistema computarizado, aplicado a los
controles generales del computador.
• Informe de auditoría a los controles de aplicación.
• Informe de auditoría informática sobre un programa específico.
 Informe de auditor sin salvedades: Es la opinión favorable, sin salvedades o limpia, resultado de
un trabajo sin limitaciones de alcance y sin incertidumbres, de acuerdo con la normativa legal y
profesional.
Se emite en aquellas auditorías en las que habiéndose aplicado todos los procedimientos de auditoría,
los mismos han sido satisfactorios, no existiendo limitaciones al alcance del trabajo del auditor.
 Informe de auditor con salvedades: Es favorable pero presenta algunas limitaciones y restricciones,
ciertas incertidumbres y algunos posibles incumplimientos de la normativa legal y profesional.
 Informe de auditor desfavorable: Se refiere a la identificación del incumplimiento de la normativa
legal y profesional, incertidumbre e irregularidades que afectan significativamente el área
informática. El auditor debe indicar las razones por las que se expresa una opinión desfavorable.
 Informe de auditor adverso/rechazado: Se debe a limitaciones e incertidumbres significativas, de
modo que después de realizar la auditoría impiden al auditor el formarse de una opinión.
8. METODOLOGÍA PARA REALIZAR AUDITORÍAS INFORMÁTICAS
Planificación de la auditoría informática:
Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie
de pasos previos que permitirán dimensionar el tamaño y características de área dentro del
organismo a auditar, sus sistemas, organización y equipo. En el caso de la auditoría en
informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de
los dos objetivos:
1.-Evaluación de los sistemas y procedimientos.
2.-Evaluación de los equipos de cómputo.
Para hacer una planeación eficaz, lo primero que se requiere es obtener información general
sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer
una investigación preliminar y algunas entrevistas previas, con base en esto planear el
programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos
auxiliares a solicitar o formular durante el desarrollo de la misma.
Plan De Auditoría: Debe ser establecido y comunicado al cliente. El cliente debe revisar y
aprobar dicho plan. Debe incluir:
a) Los objetivos y alcance.
b) El criterio a ser usado.
c) La identificación de las unidades organizacionales y funcionales a ser auditadas.
d) La identificación de las funciones y/o individuos dentro dela organización del auditado.
e) Identificación de los aspectos de calidad que son de alta prioridad.
f) Identificación de los documentos de referencia.
g) El tiempo y duración esperados para las entrevistas e inspecciones.
h) Las fechas y lugares donde se va a realizar la auditoria.
i) El Cronograma de reuniones que se van a tener con la gerencia del auditado.
j) Requerimientos confidenciales.
k) El contenido, formato y estructura del informe
Normas De Auditoría: Las normas de Auditoría Generalmente Aceptadas (NAGAS) son
los principios fundamentales de auditoría a los que deben enmarcarse su desempeño los
auditores durante el proceso de la auditoría. El cumplimiento de estas normas garantiza la
calidad del trabajo profesional del auditor.
Pruebas En La Realización De Una Auditoría Informática: El auditor puede realizar las
siguientes pruebas:
 Pruebas clásicas: Consiste en probar las aplicaciones / sistemas con datos de prueba, observando la
entrada, la salida esperada, y la salida obtenida. Existen paquetes que permiten la realización de estas
pruebas.
 Pruebas sustantivas: Aportan al auditor informático suficientes evidencias para que se pueda
realizar un juicio imparcial. Verifican el grado de confiabilidad del SI (Sistema de Información) del
organismo. Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de
examen analítico, revisiones y conciliaciones. Verifican así mismo la exactitud, integridad y validez
de la información.
 Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el análisis
de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva
y uniformemente.
Herramientas: Las principales herramientas de las que dispone un auditor informático son:
a) Observación
b) Realización de cuestionarios
c) Entrevistas a auditados y no auditados
d) Muestreo estadístico
e) Flujogramas
f) Listas de chequeo
g) Mapas conceptuales
Datos De Prueba: El conjunto de datos de prueba consiste en un lote de transacciones
preparadas por el auditor, procesadas mediante el empleo de los programas de aplicaciones
de la entidad, con la finalidad de verificar el funcionamiento efectivo de los controles
programados previstos.