CONCEPTO DE AUDITORIA EN INFORMATICA Y DIVERSOS TIPOS DE AUDITORIAS.

PLANEACION DE LA AUDITORIA EN INFORMATICA.

AUDITORIA DE LA FUNCION DE INFORMATICA.
EVALUACION DE LOS SISTEMAS.

MATERIAL PARA USOS DIDÁCTICOS.

Lic. Francisco Escobar

1 CONCEPTO DE AUDITORIA EN INFORMATICA Y DIVERSOS TIPOS DE

AUDITORIAS.

1.1 Concepto de Auditoria y Concepto de Informática

AUDITORIA es el examen crítico y sistemático que realiza una persona o grupo

de personas independientes del sistema auditado, que puede ser una persona,
organización, sistema, proceso, proyecto o producto.

Aunque hay muchos tipos de auditoría, la expresión se utiliza generalmente para

designar a la «auditoría externa de estados financieros», que es una auditoría
realizada por un profesional experto en contabilidad, de los libros y registros
contables de una entidad, para opinar sobre la razonabilidad de la información
contenida en ellos y sobre el cumplimiento de las normas contables.

Auditoría es un término que puede hacer referencia a tres cosas diferentes pero
conectadas entre sí: puede referirse al trabajo que realiza un auditor, a la tarea de
estudiar la economía de una empresa, o a la oficina donde se realizan estas
tareas (donde trabaja el auditor). La actividad de auditar consiste en realizar un
examen de los procesos y de la actividad económica de una organización para
confirmar si se ajustan a lo fijado por las leyes o los buenos criterios.

INFORMATICA también llamada computación en| América,1 es una ciencia que estudia
métodos, técnicas, procesos, con el fin de almacenar, procesar y transmitir información y
datos en formato digital. La informática se ha desarrollado rápidamente a partir de la
segunda mitad del siglo XX, con la aparición de tecnologías tales como el circuito
integrado, el Internet, y el teléfono móvil. Se define como la rama de la tecnología que
estudia el tratamiento automático de la información.
 1.2 Diversos tipos de Auditoria y su relación con la informática

Es importante conocer que la auditoría de sistemas tiene algunos de sus fundamentos en

otras auditorías y que toma diferentes herramientas de ellas para conformarse. A
continuación se presenta una clasificación de diferentes tipos de auditorías, las cuales se
encuentran clasificadas por diferentes factores.

Por el origen de quien hace su aplicación:

Externa
Interna

Por el área en donde se hacen

Auditoría Financiera
Auditoría Administrativa
Auditoría Operacional
Auditoría Gubernamental
Auditoría Integral
Auditoría de Sistemas

Por área de especialidad

Auditoría Fiscal
Auditoría Laboral
Auditoría Ambiental
Auditoría Médica
Auditoría a Inventario
Auditoría a Caja Chica
Auditoría en Sistemas

Especializadas en Sistemas Computacionales

Auditoría Informática
Auditoría con la Computadora
Auditoría sin la Computadora
Auditoría a la Gestión Informática
Auditoría alrededor de la computadora
Auditoría en seguridad de sistemas
Auditoría a sistemas de redes
El concepto de auditoria es un examen crítico que se realiza con el fin de evaluar la
eficacia y eficiencia de una sección, un organismo, una entidad, etc. La Informática hoy,
está dentro de la gestión integral de la empresa, y por eso, las normas y estándares
propiamente informáticos deben estar, sometidos a los generales de la misma. En
consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado
el “management” o gestión de la empresa. Cabe aclarar que la Informática no gestiona
propiamente la empresa, ayuda a la toma de decisiones, desde el momento en que es
una herramienta adecuada de colaboración. En este sentido y debido a su importancia en
el funcionamiento de una empresa, existe la Auditoria Informática.

Los principales objetivos que constituyen a la auditoria Informática son el control de la

función informática, el análisis de la eficiencia de los Sistemas Informáticos que comporta,
la verificación del cumplimiento de la Normativa general de la empresa en este ámbito y la
revisión de la eficaz gestión de los recursos materiales y humanos informáticos.

El auditor informático ha de velar por la correcta utilización de los amplios recursos que la
empresa pone en juego para disponer de un eficiente y eficaz sistema de Información.
Claro está, que para la realización de una auditoria informática eficaz, se debe entender a
la empresa en su más amplio sentido, ya que una Universidad, un Ministro o un Hospital
son tan empresas como una sociedad anónima o empresa pública. Todos utilizan la
informática para gestionar sus “negocios” de forma rápida y eficiente con el fin de obtener
beneficios económicos y de coste.

Los Sistemas Informáticos están sometidos al control correspondientes. El auditor

informático ha de velar por la correcta utilización de los amplios recursos que la empresa
pone en juego para disponer de un eficiente y eficaz herramienta de colaboración en el
sistema de información.Por eso, al igual que los demás órganos de la los Sistemas
Informáticos están sometidos al control correspondiente, circunstancia que no se debe
olvidar . La importancia de llevar un control de esta herramienta se puede deducir de
varios aspectos que pasamos a citar:

- Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos

apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este
caso interviene la Auditoria Informática de Seguridad.

- Las computadoras creadas para procesar y difundir resultados o información elaborada

pueden producir resultados o información errónea si dichos datos son, a su vez, erróneos.
Este concepto obvio es a veces olvidado por las mismas empresas que terminan
perdiendo de vista la naturaleza y calidad de los datos de entrada a sus Sistemas
Informáticos, con la posibilidad de que se provoque un efecto cascada y afecte a
Aplicaciones independientes. En este caso interviene la Auditoria Informática de Datos.

- Un Sistema Informático mal diseñado puede convertirse en una herramienta harto

peligrosa para la empresa: como las maquinas obedecen ciegamente a las órdenes
recibidas y la modelización de la empresa está determinada por las computadoras que
materializan los Sistemas de Información, la gestión y la organización de la empresa no
puede depender de un Software y Hardware mal diseñados.

Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema
Informático, de ahí, la necesidad de la Auditoría de Sistemas.
 1.2.1 Auditoria Interna y Externa.

Auditoría Interna

Es un elemento importante del control, independiente y objetiva está destinada para

incrementar valor y mejorar todas las operaciones de una organización, todo ello se
realiza a través de un análisis profesional, sistemático, objetivo y disciplinado en las
operaciones financieras y administrativas después de que han sido ejecutadas.

Su finalidad es ayudar a cumplir las metas, mejorando la eficiencia de los procesos de

gestión y sus riesgos, mediante las evaluaciones llegando al control y gobierno de las
mismas.

En ese entendido diremos que el objetivo de la auditoría interna, es comprobar el

cumplimiento de los planes y programas y evaluar los controles internos.

Los usuarios que necesitan de esta información de manera oportuna son la gerencia y sus
colaboradores

Los campos que cubre este tipo de auditoría, son todas las áreas de la organización de
forma selectiva, que estén de acuerdo a prioridades.

La auditoría interna para cumplir con su objetivo, responde a procedimientos específicos

como: previa identificación de áreas y planeación de trabajo, se aplican los programas de
auditoría interna a áreas específicas, ejecución de pruebas sobre transacciones e
informes de realización.

Esta auditoría es realizada por un el departamento de auditoría interna con un personal

vinculado a la empresa de tiempo completo, que deberá depender jerárquicamente de la
gerencia a nivel Staff.
Auditoría Externa

Es el examen realizado para expresar un criterio profesional sobre el funcionamiento y

eficiencia que tiene una organización en el desarrollo de una determinada gestión, este
trabajo lo elabora personal independiente, ya sea que trabaje en forma lucrativa o no, las
entidades dedicadas a estas evaluaciones son independientes sin importar su tamaño o
forma legal.

En ese entendido diremos que el objetivo de la auditoría externa, es emitir una opinión
sobre la razonabilidad de la información financiera, dando confianza a los usuarios de
dicha información

Los usuarios que hacen uso de la información que contiene el dictamen de auditoría
externa son, los propietarios y cualquier otro que tenga interés en el desarrollo de
actividades de la empresa como: Bancos, inversionistas, etc.

Los campos que cubre una auditoría externa son los estudios y evaluación de los
controles existentes. Variación de aspectos importantes del sistema de información
contable, evaluación de controles en el procesamiento electrónico de datos.

La auditoría externa para cumplir con su objetivo debe de seguir los siguientes
procedimientos específicos como: planeación, evaluación de controles y aplicación de
pruebas sustantivas y de cumplimiento. Mediante programas de trabajo y papeles de
trabajo como: Soportes y aplicación de muestreo.
 1.2.2 Auditoria Contable y Financiera.

Auditoría Contable

La auditoría contable o auditoría de estados contables consiste en el examen de la

información contenida en estos por parte de un auditor independiente al ente emisor. El
propósito de este examen es determinar si los mismos fueron preparados de acuerdo a
las normas contables vigentes en cada país o región. Originalmente surge de la
necesidad de las empresas de validar su información económica, por parte de un servicio
o empresa independiente. En las empresas grandes es habitual la existencia de un
departamento de auditoría interna, pero también existen numerosas empresas dedicadas
a la auditoría.

Una vez realizados los procedimientos que el auditor considere oportunos, debe emitir
una opinión sobre si los Estados Contables reflejan razonablemente la realidad
patrimonial y financiera del ente auditado. En cada caso emitirá una opinión favorable o
desfavorable por parte de un Auditor.

Auditoría Financiera

Una auditoria financiera, o más exactamente, una auditoria de estados financieros, es la

revisión de los estados financieros de una empresa o cualquier otra persona jurídica
(incluyendo gobiernos) en base a una serie de normas previamente establecidas, dando
como resultado la publicación de una opinión independiente sobre si los estados
financieros son relevantes, precisa, completa y presentada con justicia. Las auditorias
financieras, se suelen llevar a cabo por las empresas, debido al especial conocimiento de
información financiera que necesitan. Para llevarse a cabo, y como hemos enunciado
previamente, existen una serie de normas o principios que regulan las auditorias que
emiten las autoridades de los países conforme a una principios enunciados
internacionales.

Además, la auditoria financiera es uno de las muchas funciones proporcionadas por las
firmas de contabilidad y auditoria, según el cual la empresa puede emitir una opinión
independiente sobre la información publicada. Muchas organizaciones por separado
emplean o contratan auditores internos, que no dan fe de los informes financieros, pero se
centran principalmente en los controles internos de la organización. Los auditores
externos pueden optar por depositar una confianza limitada en la labor de los auditores
internos y realizar de nuevo pruebas basadas en las normas anteriormente mencionadas
o confiar en la labor de los auditores internos.
1.2.3 Auditoria Administrativa y Operacional

Auditoria Operativa
Es el análisis a los procesos operativos de cualquier departamento, área, etc., con la
finalidad de verificar que estos sean adecuados, eficaces, como también cumplan con
las políticas y procedimientos establecidos para alcanzar sus objetivos,
proporcionando comentarios y recomendaciones que tiendan a mejorar el buen
funcionamiento de la entidad. Este tipo de auditoría se puede aplicar a cualquier ente
económico.

Auditoria Administrativa
Es elexamen completo o parcial de una organización, desde la planeación,
organización, ejecución y control administrativo, con el propósito de especificar el nivel
de desempeño y señalar debilidades que quieren atención por parte de las personas
que toman decisiones.

1.2.4 Auditoria con Informática

La auditoría informática es un proceso llevado a cabo por profesionales

especialmente capacitados para el efecto, y que consiste en recoger, agrupar y
evaluar evidencias para determinar si un sistema de información salvaguarda el activo
empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de
la organización, utiliza eficientemente los recursos, y cumple con las leyes y
regulaciones establecidas. Permiten detectar de forma sistemática el uso de los
recursos y los flujos de información dentro de una organización y determinar qué
información es crítica para el cumplimiento de su misión y objetivos, identificando
necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de
información eficientes.
1.7 Definición de Auditoria en Informática

La Auditoría en informática se refiere a la revisión práctica que se realiza sobre los

recursos informáticos con que cuenta una entidad con el fin de emitir un informe o
dictamen sobre la situación en que se desarrollan y se utilizan esos recursos.

Disciplina incluida en el campo de la auditoría que se refiere al análisis de las condiciones

de una instalación informática por un auditor externo e independiente que realiza un
dictamen sobre diferentes aspectos.

Conjunto de procedimientos y técnicas para evaluar y controlar, total o parcialmente, un

sistema informático, con el fin de proteger sus activos y recursos, verificar si sus
actividades se desarrollan eficientemente y de acuerdo con la normativa informática y
general existentes en cada empresa y para conseguir la eficacia exigida en el marco de la
organización correspondiente.

La Auditoría Informática es de reciente desarrollo y su aparición se debe a la creciente

automatización de la información en todos los niveles de las organizaciones.

1.8 Concepto de Auditoria en Informática

La Auditoría Informática ha sido erróneamente denominada Auditoría de Sistemas, por el

hecho que vulgarmente se considera la palabra "sistemas" como sinónimo de
"computador". Pero a lo largo de lo desarrollado hasta el momento, ha quedado claro que
toda Auditoría es de sistemas, pues su objeto son los sistemas de información.

José Antonio Echenique conceptualiza así la Auditoría en Informática:

Auditoría en Informática es la revisión y evaluación de los controles, sistemas,

procedimientos de informática, de los equipos de cómputo, su utilización, eficiencia
y seguridad, de la organización que participan en el procesamiento de la
información, a fin de que por medio del señalamiento de cursos alternativos se
logre una utilización más eficiente y segura de la información que servirá para la
adecuada toma de decisiones

Es el examen crítico y sistemático que hace un Contador Público para evaluar el

sistema de procesamiento electrónico de datos y sus resultados, el cual, le ofrece
al auditor las oportunidades de llevar a cabo un trabajo más selectivo y de mayor
penetración sobre las actividades, procedimientos que involucran un gran número
de transacciones.

El examen de los objetivos de la auditoría, sus normas, procedimientos y sus relaciones

con el concepto de la existencia y evaluación, nos lleva a la conclusión de que el papel del
computador afecta significativamente las técnicas a aplicar. Mediante una revisión
adecuada del sistema de procesamiento electrónico de datos del cliente, y el uso de
formatos bien diseñados para su captura, el auditor puede lograr un mejor conocimiento
de los procedimientos para control del cliente. Recreando programas de auditoría por
computador, el auditor cubre una actividad más grande de la utilidad mercantil tanto
financiera como operacional; y puede utilizar recursos para analizar y evaluar campos de
problemas de evaluación en las operaciones del cliente. Tal método incrementa su aptitud
para remitir óptimos servicios a los mismos. La evaluación de un sistema informático,
estriba primero en la revisión del mismo para obtener un conocimiento de como se dice
que funciona, y ponerlo a prueba para acumular evidencias que demuestren como es el
funcionamiento en la realidad.

Al evaluar la información automática, el auditor debe revisar varios documentos, como

diagramas de flujo y documentos de programación, para lograr un mejor entendimiento
del sistema y los controles que se diseñaron en él. En el sistema de procesamiento
electrónico de datos, el auditor probablemente, encuentre nuevos controles, algunos de
ellos necesarios para la automatización del proceso, y algunos que sustituyen aquellos
que en los métodos manuales se basaron en juicios humanos y la división de labores.
Muchos de los controles en ambientes informáticos, pueden combinarse en los programas
de computadoras con en el proceso manual.

Para ayudar en la revisión de los sistemas de procesamiento de datos y los controles

internos, en ocasiones de suma utilidad los cuestionarios para obtener información
respecto al sistema. Una vez obtenida la información, el auditor debe proceder a obtener
evidencias de la existencia y efectividad de los procedimientos para él.

Una parte significativa del sistema de control interno está comprendida en el programa de
la computadora.

 Existen baches en la ruta de auditoría, haciendo difícil e poco práctico obtener

resultados o verificar cálculos. Esta situación es posible tanto en aplicaciones
sencillas, como en sistemas integrados complejos.
 -El volumen de registros que quizás sea más económico y efectivo usar métodos
de datos de prueba, en vez de métodos de prueba manual.

1.9 Campo de la Auditoria en Informática

Generalmente se puede desarrollar en alguna o combinación de las siguientes áreas:

 Gobierno corporativo.
 Administración del Ciclo de vida de los sistemas.
 Servicios de Entrega y Soporte.
 Protección y Seguridad.
 Planes de continuidad y Recuperación de desastres.
1.10 Auditoria de Programas

La Auditoría de Software es un término general que se refiere a la investigación y al

proceso de entrevistas que determina cómo se adquiere, distribuye y usa el software en la
organización.

Conducir la auditoría es una de las partes más críticas de un Programa de Administración

de Software, porque la auditoría ayuda a la organización a tomar decisiones que
optimicen sus activos de software.

Un estudio de Print UK Limited, firma de Administración de auditoría, descubrió que una

organización típica con más de 500 PCs muchas veces tiene un 20% más de
computadoras de lo que cree. El Gartner Group también descubrió que más de un 90% de
las organizaciones han incrementado su base de activos de TI sin haber hecho ningún
proceso para su seguimiento.

Una de las razones por las que las organizaciones no maximizan su inversión en activos
de software es que no hay información exacta disponible. La recopilación de toda la
información necesaria es un proceso intenso, especialmente cuando se hace por primera
vez. Otro problema es que la perspectiva de una auditoría puede ser vista con algunas
reservas por algunos directivos de la organización, preocupados porque pueda interrumpir
el flujo de trabajo, y por algunos usuarios finales que pueden ser forzados a abandonar
sus programas o procedimientos favoritos.

Una de las formas de evitar las objeciones y dejar de lado estos problemas es planificar
cuidadosamente la Auditoría de Software y comunicar su valor por adelantado.

Los siguientes factores favorecerán la colaboración entre la gerencia y el personal a

través del proceso de planificación, el cual es una llave para el éxito de cualquier auditoría
de software.

 Establecer y acordar una serie clara de objetivos y comunicarla a todos los

empleados asociados con la auditoría.
 Focalizarse en los resultados que se requieran de la auditoría y discutir las áreas
donde se crea pueda haber problemas.
 Identificar las áreas simples pero muchas veces olvidadas que necesitan ser
consideradas, tales como:
o Acceso a sitios y creación de mapas de esas locaciones
o Conocer con anticipación los log-on scripts de seguridad o claves.
o Horario de la auditoría (durante el día, noche o fin de semana).
 Diseñar el plan y el cronograma de la auditoría, así como también las herramientas
de auditoría que serán usadas.
 Asignar recursos para cada elemento específico de la auditoría.
2 PLANEACION DE LA AUDITORIA EN INFORMATICA

2.1 Fases de la Auditoria

La práctica de la Auditoria se divide en tres fases:

1. Planeación y programación
2. Ejecución de la Auditoría
3. Informe y Plan de Acción

Planeación y programación

En esta fase se establecen las relaciones entre auditores y la entidad, es el

conocimiento global de la empresa por parte del auditor en donde se determina el
alcance y objetivos. Se hace un bosquejo de la situación de la entidad, acerca de su
organización, sistema contable, controles internos, estrategias, metodologías y demás
elementos que le permitan al auditor elaborar el programa de auditoria que se llevará
a efecto.

Ejecución de la Auditoría

El objetivo de esta etapa es obtener y analizar toda la información del proceso que se
audita, con la finalidad de obtener evidencia suficiente, competente y relevante, es
decir, contar con todos los elementos que le aseguren al auditor el establecimiento de
conclusiones fundadas en el informe acerca de las situaciones analizadas en terreno,
que entre otras incluyan: el nivel efectivo de exposición al riesgo; las causas que lo
originan; los efectos o impactos que se podrían ocasionar al materializarse un riesgo
y, en base a estos análisis, generar y fundamentar las recomendaciones que debería
acoger la Administración.

Informe y Plan de Acción

Es el resultado de la información, estudios, investigación y análisis efectuados por los

auditores durante la realización de una auditoría, que de forma normalizada expresa
por escrito su opinión sobre el área o actividad auditada en relación con los objetivos
fijados, señalan las debilidades de control interno, si las ha habido, y formula
recomendaciones pertinentes para eliminar las causas de tales deficiencias y
establecer las medidas correctoras adecuadas.
2.1.1 Planeación de la Auditoría en Informática

Planificación Es el proceso consciente de selección y desarrollo del mejor curso de acción

para lograr el objetivo .L a p l a n i f i c a c i ó n d e l a a u d i t o r í a : e s u n c o n j u n t o
d e p r o c e d i m i e n t o s d o c u m e n t a d o s y diseñados para alcanzar los objetivos
de auditoría planificados. En la Planificación se identifica los recursos,
procedimientos y acciones que se necesitan para realizar el trabajo Una
planificación adecuada es el primer paso necesario para realizar auditorías de
sistema eficaces. El auditor de sistemas debe comprender el ambiente del negocio
en el que se ha de realizar la auditoría así como los riesgos del negocio y control
asociado.

2.1.2 Revisión Preliminar

En esta fase el auditor debe de armarse de un conocimiento amplio del área que va a
auditar, los objetivos que debe cumplir, tiempos (una empresa no pude dejar sus equipos
y personal que lo opera sin trabajar porque esto le genera perdidas sustanciosas),
herramientas y conocimientos previos, así como de crear su equipo de auditores expertos
en la materia con el fin de evitar tiempos muertos a la hora de iniciar la auditoria. La
revisión preliminar significa la recolección de evidencias por medio de entrevistas con el
personal de la instalación, la observación de las actividades en la instalación y la revisión
de la documentación preliminar. El primero paso en el desarrollo de la auditoria, después
de la planeación, es la revisión preliminar del área de informática. el objetivo de la revisión
preliminar es el de obtener la información necesaria para que el auditor pueda tomar la
decisión de cómo proceder en la auditoria.

La revisión preliminar elaborada por un audito interno difiere de la realizada por un auditor
externo en tres aspectos. en primero lugar, el auditor interno normalmente requiere de
menos remisiones y trabajos, especialmente en la parte gerencia y de organización, ya
que él es parte de la organización y está familiarizado con la misma. en segundo, el
auditor externo se enfoca más en las causas de las perdidas y en los controles necesarios
para justificar su decisiones; el auditor interno tiene una amplia perspectiva, la cual
incorpora en sus consideraciones sobre la eficiencia y eficacia con la que se trabaja.

2.1.3 Revisión Detallada

El auditor debe decidir si se debe continuar elaborando pruebas de consentimiento, con la

esperanza de obtener mayor confianza por medio del sistema de control interno, o
proceder directamente a la revisión con los usuarios (pruebas compensatorias), o a las
pruebas sustantivas. en la fase de evaluación detallada es importante para el auditor
identificar las causas de las pérdidas y los efectos causados por estas. al terminar la
revisión detallada el auditor debe evaluar en que momento los controles establecidos
reducen las perdidas esperadas a un nivel aceptable.
2.1.4 Examen y evaluación de la información.

Es el examen crítico y sistemático que hace un Contador Público para evaluar el sistema
de procesamiento electrónico de datos y sus resultados, el cual, le ofrece al auditor las
oportunidades de llevar a cabo un trabajo más selectivo y de mayor penetración sobre las
actividades, procedimientos que involucran un gran número de transacciones.mayor
penetración sobre las actividades, procedimientos que involucran un gran número de
transacciones.

El examen de los objetivos de la auditoría, sus normas, procedimientos y sus relaciones

con el concepto de la existencia y evaluación, nos lleva a la conclusión de que el papel del
computador afecta significativamente las técnicas a aplicar. Mediante una revisión
adecuada del sistema de procesamiento electrónico de datos del cliente, y el uso de
formatos bien diseñados para su captura, el auditor puede lograr un mejor conocimiento
de los procedimientos para control del cliente.

Para ayudar en la revisión de los sistemas de procesamiento de datos y los controles

internos, en ocasiones de suma utilidad los cuestionarios para obtener información
respecto al sistema. Una vez obtenida la información, el auditor debe proceder a obtener
evidencias de la existencia y efectividad de los procedimientos para él

Una parte significativa del sistema de control interno está comprendida en el programa de
la computadora. Existen baches en la ruta de auditoría, haciendo difícil e poco práctico
obtener resultados o verificar cálculos. Esta situación es posible tanto en aplicaciones
sencillas, como en sistemas integrados complejos

2.1.5 Pruebas de Consentimiento.

El objetivo de esta fase es comprobar que los controles internos funcionan como lo deben
de hacer, es decir, que los controles que se suponía que existían, existen realmente y
funcionan bien. Las técnicas utilizadas, además de la recogida manual de evidencias ya
descrita, contemplan el uso del ordenador para verificar los controles.

2.1.6 Pruebas de Controles del Usuario.

El auditor puede decidir que no hace falta confiar en los controles internos porque existen
controles del usuario que los sustituyen o compensan. Para un auditor externo, revisar
estos controles del usuario puede resultar más costoso que revisar los controles internos.
Para un auditor interno, es importante hacerlo para eliminar posibles controles duplicados,
bien internos o bien del usuario, para evitar la redundancia.
2.1.7 Pruebas Sustantivas

El objetivo de las pruebas sustantivas es obtener evidencia suficiente que permita al

auditor emitir su juicio en las conclusiones acerca de cuándo pueden ocurrir perdidas
materiales durante el proceso de la información.

se pueden identificar 8 diferentes pruebas sustantivas:

1 pruebas para identificar errores en el procesamiento o de falta de seguridad o

confidencialidad.

2 prueba para asegurar la calidad de los datos.

3 pruebas para identificar la inconsistencia de datos.

4 prueba para comparar con los datos o contadores físicos.

5 confirmación de datos con fuentes externas

6 pruebas para confirmar la adecuada comunicación.

7 prueba para determinar falta de seguridad

8 pruebas para determinar problemas de legalidad.

3 AUDITORIA DELA FUNCION DE INFORMATICA

3.1 Recopilación de la información organizacional.

Una vez elaborada la planeación de la auditoría, la cual servirá como plan maestro de los
tiempos, costos y prioridades, y como medio de control de la auditoría, se debe empezar
la recolección de la información.

Se procederá a efectuar la revisión sistematizada del área a través dela observación y

entrevistas de fondo en cuanto a:

A) Estructura Orgánica
B) Se deberá revisar la situación de los recursos humanos.
C) Entrevistas con el personal de procesos electrónicos.
D) Se deberá conocer la situación presupuestal y financiera.
E) Se hará un levantamiento del censo de recursos humanos y análisis de situación.
F) Por último, se deberá revisar el grado de cumplimiento de los documentos
administrativos.

3.1.1 Principales planes que se requieren dentro de la organización de informática

 Estudio de viabilidad

Investiga los costos y beneficios de los usos a largo plazo de las computadoras, y
recomienda cuando debe o no usarse. en caso de requerirse el uso de la computación,
sirve para definir el tipo de hardware, software y el quipo periférico y de comunicación
necesarios para lograr los objetivos de organización.

 Planeación de cambios, modificaciones y actualización

Especifica las metas y las actividades que se deban realizar para lograr los cambios y
modificaciones, su independencia, tiempos, responsables y restricciones, cuando la
organización toma la decisión de hacer cambios sustanciales de software, hardware ,
comunicación o equipos periféricos.

 Plan maestro

El plan maestro de una instalación informática define los objetivos a largo plazo y las
metas necesarias para lograrlo. puede comprender cuatro subplanes:

1. el plan estratégico de la organización.

2. el plan estratégico de sistemas de información.
3. el plan de requerimientos.
4. el plan de aplicación es de sistemas.
  Plan de proyectos

Es el plan básico para desarrollar determinado sistema y para asegurarse que el proyecto
es consistente con las metas y objetivos de la organización y con aquellos señalados en
el plan maestro.

 Plan de seguridad: seguros, contingencias y recuperación encaso de

siniestro.

Se debe contar con una adecuada planeación sobre los seguros que se deben tener en
caso de desastre, así mismo se debe tener un plan de recuperación para la instalación s
encuentre en funcionamiento en el menor tiempo posible.

3.2 Evaluación de la estructura orgánica.

 Organigrama con jerarquías

 Funciones
 Objetivos y políticas
 Análisis, descripción y evaluación de puestos
 Manual de procedimientos
 Manual de normas
 Objetivos de la dirección
 Políticas y normas de la dirección

3.2.1 Estructura Orgánica

Los auditores deben contar con:

Independencia funcional.
Libertad de acción.
Facultad para la toma de decisiones.
Negociación con los niveles gerenciales.
Involucramiento en proyectos de alto impacto en el negocio.

3.2.2 Funciones

Evaluación, verificación e implantación oportuna de los controles y procedimientos que se

requieren para el aseguramiento del buen uso y aprovechamiento de la función de
informática.

Evaluar las áreas de riesgo de la función de informática y justificar su evaluación con la

alta dirección del negocio.

Elaborar un plan de auditoría en informática en los plazos determinados por el

responsable de la función.
3.2.3 Objetivos

 Asegurar que la función de auditoría cubra y proteja los mayores riesgos y

exposiciones existentes en el medio informático en el negocio.
 Asegurar que los recursos de informática (hardware, software,
telecomunicaciones, servicios, personal, etc.) sean orientados al logro de los
objetivos y las estrategias de las organizaciones.

 Asegurar la formulación, elaboración y difusión formal de las políticas, controles y

procedimientos inherentes a la auditoría en informática que garanticen el uso y
aprovechamiento óptimo y eficiente de cada uno de los recursos de informática en
el negocio.
 Asegurar el cumplimiento formal de las políticas, controles y procedimientos
definidos en cada proyecto de auditoría en informática mediante un seguimiento
oportuno.

 Agrupar funciones similares y relacionarlas entre sí. Agrupar funciones que sean
compatibles.
Localizar la actividad cerca de la función a la que sirva. Localizar la actividad cerca
o dentro de la función mejor preparada para realizarla.

 No asignar la misma función a dos personas o entidades diferentes. Separar las

funciones de control y aquellas que serán objeto del mismo. Ningún puesto debe
tener dos o más líneas de dependencia jerárquica .El tramo de control no debe ser
exagerado, ni muy numerosos los niveles jerárquicos.

3.3 Evaluación de los Recursos Humanos

Patrones de evaluación y control en recursos humanos

La auditoria de recursos humanos puede definirse como el análisis de las políticas y

prácticas de personal de una empresa y la evaluación de su funcionamiento actual,
seguida de sugerencias para mejorar. El propósito principal de la auditoria de recursos
humanos es mostrar como está funcionado el programa, localizando prácticas y
condiciones que son perjudiciales par la empresa o que no están justificando su costo, o
prácticas y condiciones que deben incrementarse.

La auditoria es un sistema de revisión y control para informar a la administración sobre la

eficiencia y la eficacia del programa que lleva a cabo.

El sistema de administración de recursos humanos necesita patrones capaces de permitir

una continua evaluación y control sistemático de su funcionamiento.
Patrón en in criterio o un modelo que se establece previamente para permitir la
comparación con los resultados o con los objetivos alcanzados. Por medio de la
comparación con el patrón pueden evaluarse los resultados obtenidos y verificar que
ajustes y correcciones deben realizarse en el sistema, con el fin de que funcione mejor.

Se utilizan varios patrones, esto pueden ser:

1) Patrones de cantidad: son los que se expresan en números o en cantidades, como

número de empleados, porcentaje de rotación de empleados, numero de admisiones,
índice de accidentes, etc.

2) Patrones de calidad: son los que se relacionan con aspectos no cuantificables, como
métodos de selección de empleados, resultados de entrenamiento, funcionamiento de la
evaluación del desempeño. Etc.,

3) Patrones de tiempo: consisten en la rapidez con que se integra e personal recién

admitido, la permanencia promedio del empleado en la empresa, el tiempo de
procesamiento de las requisiciones de personal, etc.

4) Patrones de costo: son los costos, directos e indirectos, de la rotación de personal, de

los accidentes en el trabajo, de los beneficios sociales, de las obligaciones sociales, de la
relación costo-beneficio del entrenamiento.

Los patrones permiten la evaluación y el control por medio de la comparación con:

1) Resultados finales: cuando la comparación entra el patrón y la variable se hace

después de realizada la operación. La medición se realiza en términos de algo rápido y
acabado, en el fin de la línea, lo cual presenta el inconveniente de mostrar los aciertos y
las fallas de una operación ya terminada, una especie de partida de defunción de algo que
ya sucedió.

2) Desempeño: cuando la comparación entre el patrón y la variable se hace

simultáneamente con la operación, es decir, cuando la comparación acompaña ala
ejecución de la operación. La medición es concomitante con el procesamiento de
operación. A pesar de que se realiza en forma simultanea, lo que quiere decir es que es
actual, la medición se realiza sobre una operación en proceso y no terminada aún.

La comparación es la función de verificar el grado de concordancia entra una variable u su

patrón. La ARH se encarga de planear, organizar y controlar las actividades relacionadas
con la vida del personal en la empresa. Parte de la ejecución de estas actividades al
realizan los organismos de recursos humanos, en tantos que alguna parte de ella la
realizan diversos organismos de línea. De este modo las actividades de recursos
humanos planeadas y organizadas con antelación muestran durante su ejecución y
control algunas dificultades y distorsiones que requieren ser diagnosticadas y superadas,
con el fin de evitar mayores problemas. La rapidez con que esto se haga depende de una
revisión y auditoria permanentes, capaces de suministrar una adecuada retroalimentación
para que los aspectos positivos puedan mejorarse y los negativos, corregirse y ajustarse.
La función de auditoría no es solo señalar las fallas y los problemas, sino también
presentar sugerencias y soluciones. En este sentido, el papel de la auditoria de
recursos humanos es fundamentalmente educativo.

3.4 Entrevistas con el Personal de Informática

Puede entrevistarse a un grupo de personas elegidas, sus opiniones deben ser

debidamente fundamentadas. Las opiniones determinan:

1. Grado de cumplimiento de la estructura organizacional administrativa.

2. Grado de cumplimiento de las políticas y
3. los procesos administrativos
4. Satisfacción e insatisfacción
5. Capacitación
6. Observaciones generales

3.5 Situación Presupuestal y Financiera

Consiste en medir los resultados de la gestión presupuestaria y financiera y la posibilidad

de aplicar las medidas correctivas que permitan alcanzar las metas establecidas.

3.6 Presupuestos

 Costos del departamento, desglosado por áreas y controles.

 Presupuesto del departamento, desglosado por áreas.
 Características de los equipos, numero de ellos y contratos.

3.7 Recursos Financieros

Se evalúa la situación actual de los recursos financieros que la empresa u organización

tiene disponible en el momento.

3.8 Recursos Materiales

La administración de recursos materiales consiste en:

Obtener oportunamente, en el lugar preciso, en las mejores condiciones de costo, y en la

cantidad y calidad requerida, los bienes y servicios para cada unidad orgánica de la
empresa de que se trate, con el propósito de que se ejecuten las tareas y de elevar la
eficiencia en las operaciones.
4 EVALUACION DE LOS SISTEMAS

4.1 Evaluación de Sistemas.

La elaboración de sistemas debe ser evaluada con mucho detalle, para lo cual se debe
revisar si existen realmente sistemas entrelazados como un todo o bien si existen
programas aislados. Otro de los factores a evaluar es si existe un plan estratégico para la
elaboración de los sistemas o si se están elaborados sin el adecuado señalamiento de
prioridades y de objetivos.

Los sistemas deben evaluarse de acuerdo con el ciclo de vida que normalmente siguen:
requerimientos del usuario, estudio de factibilidad, diseño general, análisis, diseño lógico,
desarrollo físico, pruebas, implementación, evaluación, modificaciones, instalación,
mejoras. Y se vuelve nuevamente al ciclo inicial, el cual a su vez debe comenzar con el de
factibilidad.

La primera etapa a evaluar del sistema es el estudio de factibilidad, el cual debe analizar
si el sistema es factible de realizarse, cuál es su relación costo/beneficio y si es
recomendable elaborarlo.

Se deberá solicitar el estudio de factibilidad de los diferentes sistemas que se encuentren

en operación, así como los que estén en la fase de análisis para evaluar si se considera la
disponibilidad y características del equipo, los sistemas operativos y lenguajes
disponibles, la necesidad de los usuarios, las formas de utilización de los sistemas, el
costo y los beneficios que reportará el sistema, el efecto que producirá en quienes lo
usarán y el efecto que éstos tendrán sobre el sistema y la congruencia de los diferentes
sistemas.

En el caso de sistemas que estén funcionando, se deberá comprobar si existe el estudio

de factibilidad con los puntos señalados y compararse con la realidad con lo especificado
en el estudio de factibilidad

Por ejemplo en un sistema que el estudio de factibilidad señaló determinado costo y una
serie de beneficios de acuerdo con las necesidades del usuario, debemos comparar cual
fue su costo real y evaluar si se satisficieron las necesidades indicadas como beneficios
del sistema.

Para investigar el costo de un sistema se debe considerar, con una exactitud razonable, el
costo de los programas, el uso de los equipos (compilaciones, programas, pruebas,
paralelos), tiempo, personal y operación, cosa que en la práctica son costos directos,
indirectos y de operación.

Los beneficios que justifiquen el desarrollo de un sistema pueden ser el ahorro en los
costos de operación, la reducción del tiempo de proceso de un sistema. Mayor exactitud,
mejor servicio, una mejoría en los procedimientos de control, mayor confiabilidad y
seguridad.
4.2 Evaluación del Análisis.

En esta etapa se evaluarán las políticas, procedimientos y normas que se tienen para
llevar a cabo el análisis.

Se deberá evaluar la planeación de las aplicaciones que pueden provenir de tres

fuentes principales:

 La planeación estratégica: agrupadas las aplicaciones en conjuntos

relacionados entre sí y no como programas aislados. Las aplicaciones deben
comprender todos los sistemas que puedan ser desarrollados en la
dependencia, independientemente de los recursos que impliquen su desarrollo
y justificación en el momento de la planeación.
 Los requerimientos de los usuarios.
 El inventario de sistemas en proceso al recopilar la información de los cambios
que han sido solicitados, sin importar si se efectuaron o se registraron.

La situación de una aplicación en dicho inventario puede ser alguna de las

siguientes:

 Planeada para ser desarrollada en el futuro.

 En desarrollo.
 En proceso, pero con modificaciones en desarrollo.
 En proceso con problemas detectados.
 En proceso sin problemas.
 En proceso esporádicamente.

4.2.1 Análisis y Diseño Estructurado.

El mayor objetivo del análisis y diseño estructurado es determinar los requerimientos

exactos, de tal forma que se diseñe el sistema correcto. El diseño estructurado emplea
una serie de herramientas gráficas y técnicas que permiten el análisis de tal forma que
sea posible conocer errores antes de que ocurran.

4.3 Evaluación del Diseño Lógico del Sistema.

En esta etapa se deberán analizar las especificaciones del sistema.

¿Qué deberá hacer?, ¿Cómo lo deberá hacer?, ¿Secuencia y ocurrencia de los datos, el
proceso y salida de reportes?

Una vez que hemos analizado estas partes, se deberá estudiar la participación que tuvo el
usuario en la identificación del nuevo sistema, la participación de auditoría interna en el
diseño de los controles y la determinación de los procedimientos de operación y decisión.
 Al tener el análisis del diseño lógico del sistema debemos compararlo con lo que
realmente se está obteniendo en la cual debemos evaluar lo planeado, cómo fue
planeado y lo que realmente se está obteniendo.

Los puntos a evaluar son:

 Entradas.
 Salidas.
 Procesos.
 Especificaciones de datos.
 Especificaciones de proceso.
 Métodos de acceso.
 Operaciones.
 Manipulación de datos (antes y después del proceso electrónico de datos).
 Proceso lógico necesario para producir informes.
 Identificación de archivos, tamaño de los campos y registros.
 Proceso en línea o lote y su justificación.
 Frecuencia y volúmenes de operación.
 Sistemas de seguridad.
 Sistemas de control.
 Responsables.
 Número de usuarios.

4.3.1 Programas de Desarrollo.

Los programas de desarrollo incluyen software que sólo puede ser usado por el personal
que ha tenido entrenamiento y experiencia; este software incluye:

A) Lenguajes de programación:
•Lenguaje de máquina. .
•Ensambladores.
•De tercera generación. .
•De cuarta generación:
• 4GLS. .
• Query lenguajes.
•Generadores de reportes. .
• Lenguajes naturales. .
• Generadores de aplicaciones. .
B) CASE computer aided software engineering)
C) Programación orientada a objetos. .
4.3.2 Base de Datos.

El banco de datos es el conjunto de datos que guardan entre sí una coherencia temática
independiente del medio de almacenamiento. .

Se considera que una base de datos es la organización sistemática de archivos de datos

para facilitar su acceso, recuperación y actualización, los cuales están relacionados unos
con otros y son tratados como una entidad. Puede decirse que una base de datos es un
banco de datos organizado como un tipo estructurado de datos. En las bases de datos se
debe evaluar:

• La independencia de los datos. Muchos de los programas elaborados internamente eran

dependientes de los archivos creados por ellos mismos, o sea que carecían de
independencia.

• Redundancia de los datos. Se deben evitar las redundancias en las bases de datos .

• Si tuviésemos el nombre completo de los alumnos en cada una de las bases de datos en
las que se acceso, la cantidad de datos redundantes sería muy alta..

• Consistencia de los datos. El problema de redundancia en los datos no sólo provoca que
se ocupe demasiado espacio en los discos, sino que también puede causar el problema
de inconsistencia en los datos, ya que se puede cambiar en un archivo pero omitirse en
algún otro de los archivos. .

• Un sistema de bases de datos es un conjunto de programas que: .

• Almacena los datos en forma uniforme y de manera consistente, Organiza los datos en
archivos en forma uniforme y consistente.

4.3.3 El Administrador de Base de Datos.

El desarrollo de las bases de datos ha creado la necesidad dentro de la organización de

contar con un organismo encargado de administrar las bases de datos, cuyas funciones
son las de planear, diseñar, organizar, operar, entrenar, así como dar soporte a los
usuarios, seguridad y mantenimiento.

Problemas de los sistemas de administración de bases de datos

Cuando varios usuarios utilizan una base de datos, pueden existir problemas si no fue
diseñada para usuarios múltiples. Uno de estos problemas surge cuando no existe un
control sobre la actualización inmediata.

4.3.4 Comunicación.

El medio de comunicación es también un factor importante a evaluar, y éste dependerá de

la velocidad y capacidad de transmisión, lo cual está directamente relacionado con el
costo (cables trenzados, cable coaxial, fibra óptica, microondas, ondas de radio,
infrarrojas).
4.3.5 Informes

Cuando se analiza un sistema de informática es muy común pensar exclusivamente en la

parte relacionada con la informática, olvidándonos de que un sistema comprende desde el
momento en que se genera un dato, así Como su semiento retroalimentación y salida.

4.3.6 Análisis de Informes

Una vez que se han estudiado los formatos de entrada debemos analizar los informes
para posteriormente evaluarlos con la información proporcionada por la encuesta a los
usuarios.

4.3.7 Ruido, Redundancia, Entropía.

En la auditoria de sistemas hay que estudiar la redundancia, el ruido y la entropía que

tiene cada uno de los sistemas.

El ruido es todo aquello que interfiere en una adecuada comunicación; no solamente los
sonidos sino todo aquello que impida la adecuada comunicación.

En el caso de un sistema computarizado, el error en una captura, tina pantalla de la

terminal demasiado llena de información y poco entendible o un reporte inadecuado se
deben considerar como ruido en el sistema, ya que impiden una buena comunicación de
la información. En el caso de los sistemas se debe evaluar lo que se conoce como
"sistema amigable".

Entropía

El diccionario la define como:

Cantidad de energía que por su degradación no puede aprovecharse.

La entraste en un sistema, por ejemplo de un motor, es el calor que genera, el cual es

energía que por sus características no puede aprovecharse. En el caso del sistema
llamado motor se utiliza esta entropía.

En la calefacción del automóvil o bien para calentar el aire y la gasolina que entra al motor
(en el caso de motores turbo).

En un sistema computarizado debemos procurar reducir al máximo esta entraste, y una

de las formas de reducirla es interconectar sistemas, de tal manera que esa cantidad de
energía no usada en un sistema pueda ser utilizada en otro sistema.

Al capturar el catálogo de clientes para el sistema de cobranzas, con un poco de

información adicional lo podemos utilizar en contabilidad.
 BIBLIOGRAFIA

 https://sites.google.com/site/aisadith/unidad-1

 http://members.tripod.com/~Guillermo_Cuellar_M/informatica.html

 http://www.microsoft.com/argentina/public/kit_base/licenciamiento/licsemgt/softaud
t/intro.htm

 http://definicion.de/auditoria/#ixzz3zd3ezHxv

 https://prezi.com/pv1hyewqum7z/auditoria-administrativa-operacional-y-financiera-
procedimientos-y-elementos-comunes/

 https://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica

 http://es.scribd.com/doc/22224605/2-Tipos-de-Auditoria#scribd

 http://www.eumed.net/cursecon/libreria/rgl-genaud/1x.htm

 http://sofia-loza.blogspot.com/2013/04/fases-de-auditoria-la-practica-de-la.html

 http://es.scribd.com/doc/50062305/Planeacion-Auditoria-en-informatica#scribd

 http://auditorsistematicoempresarial.blogspot.com/2015/03/evaluacion-de-la-
estructura-organica.html

 http://saralix.galeon.com/prac06.html#marca2
ANEXOS
ESTRUCTURA ORGANICA

FUNCIONES

OBJETIVOS
ANALISIS DE ORGANIZACIONES
ENTREVISTAS CON PERSONAL DE INFORMATICA