Terminología de la auditoria

informática

1.Apegarse a técnicas de auditoria

establecidas por organismos generalmente
aceptados a nivel nacional e internacional.
2.Evaluación y verificación de las áreas
requeridas por la alta dirección.
3.Elaboración del informe de auditoria.
4.Estudiar y actualizar las áreas susceptibles
de revisión.
 Auditoria en informática
.-¿Qué es?
-Es un proceso formal ejecutado por especialistas de auditoria, lo
cual se orienta a la verificación y aseguramiento de una correcta
política y procedimientos en la organización.
-Las actividades realizadas por estos especialistas están encaminadas
a evaluar el cumplimiento de políticas, controles y procedimientos tal
que dicha evaluación deberá ser la pauta para la entrega del informe
de auditoria informática.
-Analizar la eficiencia de la utilización de recursos humanos y
materiales.
-Revisión constante de la estructura orgánica.
-Estudio constante de las operaciones de la empresa.
.-IMPORTANCIA

Es una herramienta estratégica que brinda

rentabilidad y ventaja competitiva a los negocios
frente a sus otros similares en el mercado, lo cual
puede generar gastos si no se administra
correctamente.
Para saber que se este administrando
correctamente es necesario que se evalúe por los
especialistas en auditoria
 .-Formas de llevar a cabo una
auditoria
• Auditoria interna:
La auditoría interna permite llevar a cabo un
seguimiento actualizado de la gestión de un negocio,
así como un método de control de las gestiones
financieras.
-Desventajas:
.Los ejecutores de la revisión podrían utilizarla como
medio de poder.
·Los ejecutores no tienen independencia profesional.
 • Auditoria externa
La auditoría externa consiste en que una empresa
ajena supervise los estados financieros de la empresa
cumplen las leyes o normas específicas. Los usuarios
de la información financiera de estas entidades son
inversores, agencias gubernamentales y el público en
general.
-Desventajas:
-Falta de cooperación por parte de los empleados.
-Falta de tiempo.
.-SINTOMAS DE NECESIDAD DE
UNA AUDITORIA INFORMATICA
• Síntomas de descoordinación y desorganización:
- No coinciden los objetivos de la Informática de la Compañía y
de la propia Compañía.
-Los estándares de productividad se desvían sensiblemente de
los promedios conseguidos habitualmente.
• Síntomas de mala imagen e insatisfacción de los
usuarios:
- No se atienden las peticiones de cambios de los usuarios.
- No se reparan las averías de Hardware ni se resuelven
incidencias en plazos razonables.
- No se cumplen en todos los casos los plazos de entrega de
resultados periódicos.
• Síntomas de debilidades económico-financiero:
- Incremento desmesurado de costos.
-Necesidad de justificación de Inversiones Informáticas.
-Desviaciones Presupuestarias significativas.
-Costos y plazos de nuevos proyectos.

• Síntomas de Inseguridad:
- Seguridad Lógica
- Seguridad Física
-Confidencialidad
-Continuidad del Servicio
-Centro de Proceso de Datos fuera de control
 .-Herramientas y técnicas para la
auditoria informática:
• Cuestionarios:
 El trabajo del auditor consiste en lograr toda la información
necesaria para la emisión de un juicio global objetivo, siempre
amparado en hechos demostrables, llamados también
evidencias.
 Es lo habitual comenzar solicitando la aplicación de
cuestionarios que se envían a las personas concretas que el
auditor cree adecuadas, sin que sea obligatorio que dichas
personas sean las responsables oficiales de las diversas áreas
a auditar.
 Estos cuestionarios no pueden ni deben ser repetidos para
instalaciones distintas, sino diferentes y muy específicos para
cada situación, y muy cuidados en su fondo y su forma.
• Entrevistas
 El auditor comienza a continuación las relaciones personales con
el auditado.
 Lo hace de tres formas:
· Mediante la petición de documentación concreta sobre alguna
materia de su responsabilidad.
· Mediante "entrevistas" en las que no se sigue un plan
predeterminado ni un método estricto de sometimiento a un
cuestionario.
· Por medio de entrevistas en las que el auditor sigue un método
preestablecido de antemano y busca unas finalidades concretas.
 La entrevista es una de las actividades personales más
importante del auditor; en ellas, éste recoge más información, y
mejor matizada, que la proporcionada por medios propios
puramente técnicos o por las respuestas escritas a cuestionarios.
• Checklist
• El auditor conversará y hará preguntas "normales", que en realidad servirán
para cumplir sistemáticamente con sus Cuestionarios, de sus Checklists.
• Estos deben ser contestadas oralmente, ya que superan en riqueza y
generalización a cualquier otra forma.
• Según la claridad de las preguntas y el talento del auditor, el auditado
responderá desde posiciones muy distintas y con disposición muy variable.
• Tener elaboradas listas de preguntas muy sistematizadas, coherentes y
clasificadas por materias, todavía lo es el modo y el orden de su
formulación.
• El auditor deberá aplicar el Checklist de modo que el auditado responda
clara y escuetamente.
• Los cuestionarios o Checklists responden fundamentalmente a dos tipos de
"filosofía" de calificación:
1. Checklist de rango: Contiene preguntas que el auditor debe puntuar
dentro de un rango preestablecido (por ejemplo, de 1 a 5, siendo 1 la
respuesta más negativa y el 5 el valor más positivo).
2. Checklists Binarios: Es constituido por preguntas con respuestas única y
excluyente: Si o No.
• Trazas y/o huellas
A. El auditor informático debe verificar que los programas, tanto de los
Sistemas como de usuario, realizan exactamente las funciones
previstas, y no otras.
B. Estas "Trazas" se utilizan para comprobar la ejecución de las
validaciones de datos previstas.
C. Las trazas no deben modificar en absoluto el Sistema.

• Software de interrogación
1) Se han utilizado productos software llamados genéricamente,
capaces de generar programas para auditores escasamente
cualificados desde el punto de vista informático.
2) Los productos Software especiales para la auditoria informática se
orientan principalmente hacia lenguajes que permiten la
interrogación de ficheros y bases de datos de la empresa auditada.
3) Estos productos son utilizados solamente por los auditores externos,
por cuanto los internos disponen del software nativo propio de la
instalación.
 •*log:

El log te permite analizar cronológicamente que

es lo que sucedió con la información que esta
en el sistema o que existe en la base de datos.
 Tipos de auditorias
• Campo de acción de la auditoría:
La evaluación administrativa del área de
informática.
La evaluación de los sistemas y procedimientos, y
de la eficiencia en el uso de la información.
La evaluación del procesamiento de datos, de los
sistemas y de los equipos de cómputo.
A. Evaluación administrativa del
departamento de informática
 los objetivos del departamento, dirección o gerencia
 procedimientos electrónicos, sus metas, planes y políticas
 organización de área y su estructura orgánica
 funciones y niveles de autoridad y responsabilidad del área y
procesos electrónicos
 integración de los recursos materiales y técnicos
 dirección del área
 controles administrativos del área de procesos electrónicos
B. Evaluación de los sistemas y procedimientos y
de la eficiencia que si tiene en el uso de la
información que comprende
 evaluación del análisis de los sistemas y sus diferentes etapas
 evaluación del diseño lógico del sistema
 evaluación del desarrollo y el control de los proyectos
 control de sistemas y programación
 instructivos y documentación
 formas de implementación
 evaluación de la seguridad de los sistemas
 confidencialidad de los sistemas
 controles de mantenimiento y formas de respaldo de los sistemas
 operatividad y utilización de los sistemas
C. Evaluación de los procesos de
datos y lo equipos de computo
 Los controles de los datos fuente y manejo de cifras de
control
 Los controles de operación
 Los controles de salida
 Los controles de asignación de trabajo
 Medios de almacenamiento masivo
 Controles de los equipos de computo
 Orden en el centro de computo
 Seguridad de los equipos
 Confidencialidad
 Respaldo.
 Auditoría interna y auditoría contable
financiera
"Deberá efectuarse un estudio y evaluación adecuada del control
interno como base fiable para la determinación del alcance,
naturaleza y momento de realización de las pruebas a las que deberán
concretarse los procedimientos de auditoría".

• Definición de control interno.

El control interno comprende el plan de organización y el conjunto de
métodos y procedimientos que aseguren que los activos están
debidamente protegidos, que los registros contables son fidedignos y
que la actividad de la entidad se desarrolla eficazmente y se cumplen
según las directrices marcadas por la Dirección.
 Objetivos del control interno
a) Básicos:

I. La protección de los activos de la empresa.

II. La obtención de información financiera veraz y
confiable.
III. La promoción de la eficiencia en la operación de
negocio.
IV. Lograr el cumplimiento de las políticas establecidas.