MATERIA

AUDITORÍA
INFORMÁTICA
 UNIDAD I

Introducción a la
Auditoría Informática.
 Subtemas:
1.1 Conceptos de Auditoría y Auditoría Informática.
1.2 Tipos de Auditoría.
1.2.1 Auditoría Interna y Externa.
1.3 Campo de la Auditoría Informática.
1.4 Control Interno.
1.5 Modelos de control utilizados en auditoría informática.
1.6 Principios aplicados a los auditores informáticos.
1.7 Responsabilidades de los administradores y del
auditor.
 Objetivo:

El estudiante conocerá la naturaleza y

alcance de la auditoría Informática, los
conceptos básicos de la auditoría y
distinguirá las responsabilidades del
administrador y las del auditor.
 Criterios de Evaluación:

Examen 50%
Participación 10%
Trabajos de Investigación 20%
Prácticas o Tareas 20%
 Bibliografía

Auditoria Informática. Un enfoque

práctico.(2ª edición ampliada y revisada).
Piattini Velthuis, Mario G., Peso Navarro,
Emilio del

Auditoria Informática
José Antonio Echenique
Mc-Graw Hill.
 Antes de empezar…

¿Dónde hemos escuchado la palabra auditoría?

¿Qué entendemos por auditoría?
¿Por qué cree que debemos realizar una auditoría?
¿Cuándo debemos realizar una auditoría? Antes o
después de detectar un problema.
¿Alguna vez ha participado en una auditoría?
1.1 Conceptos de Auditoría y Auditoría Informática.
– Introducción

En su sentido más general, se puede entender a la auditoría como la

investigación, consulta, revisión, verificación, comprobación y obtención de
evidencia, desde una posición de independencia, sobre la documentación e
información de una organización, realizadas por un profesional, el auditor,
designado para desempeñar tales funciones.

El auditor, cuando actúa como tal, no es responsable

ni de la operación del organismo ni del control de su
funcionamiento. Tales funciones son responsabilidad
de los órganos directivos del organismo auditado. La
función del auditor es la de examinar e informar
sobre la documentación elaborada por los órganos
directivos.
1.1 Conceptos de Auditoría y Auditoría Informática.

– Concepto de Auditoría

Hay diversas definiciones del concepto de Auditoría, entre ellas

podemos tener en cuenta las siguientes:

Norma AENOR X50-109:

Examen metódico de una situación relativa a

un producto, proceso, organización, en materia
de calidad, realizado en cooperación con los
interesados, a fin de verificar la concordancia
de la realidad con lo preestablecido, y la
adecuación al objetivo buscado.
1.1 Conceptos de Auditoría y Auditoría Informática.

– Concepto de Auditoría:

Ley 19/1988 de Auditoría de Cuenta:

"... la actividad que, mediante la utilización de

determinadas técnicas de revisión, tiene por
objeto la emisión de un informe acerca de la
fiabilidad de los documentos contables auditados;
delimitándose, pues, a la mera comprobación de
que los saldos que figuran en sus anotaciones
contables concuerdan con los ofrecidos en el
balance y en la cuenta de resultados, ...".
1.1 Conceptos de Auditoría y Auditoría Informática.

– Concepto de Auditoría:

Real Decreto 1636/1990 del Reglamento que desarrolla

la Ley de Auditoria de Cuentas, Artículo 1°:

" 1.- Se entenderá por auditoria de cuentas la actividad,

realizada por una persona cualificada e independiente,
consistente en analizar, mediante la utilización de las
técnicas de revisión y verificación idóneas, la
información económico-financiera deducida de los
documentos contables examinados, y que tiene por
objeto la emisión de un informe dirigido a poner de
manifiesto su opinión responsable sobre la fiabilidad de
la citada información, a fin de que se pueda conocer y
valorar dicha información por terceros".
1.1 Conceptos de Auditoría y Auditoría Informática.
– Objetivo de la Auditoría:

El objetivo fundamental de un trabajo de auditoría es permitir que

el auditor llegue a estar en condiciones de informar fundadamente
sobre la fidelidad y razonabilidad de la situación que refleja la
documentación aportada por la empresa.

El auditor está obligado a establecer de forma

inequívoca, según su criterio, si la imagen de la empresa
es fiel y razonable en la documentación aportada. Si no
ha podido confirmar estos términos, debe calificar su
informe justificando las razones que le han llevado a
considerar las desviaciones de fidelidad y razonabilidad,
y en qué aspectos, y en qué medida, se ha incurrido en
una formulación errónea. El auditor debe expresar con
independencia su opinión.
1.1 Conceptos de Auditoría y Auditoría Informática.

– En resumen:

En todas las definiciones anteriores de auditoria

podemos encontrar varios puntos comunes:

• La realización de un examen ordenado y

planificado,
• La comprobación de la calidad de lo
examinado,
• La verificación de la fiabilidad de lo examinado
en cuanto a los hechos reales que refleja, y
• La obligación de informar a terceros con una
opinión fundada.
1.1 Conceptos de Auditoría y Auditoría Informática.

– Concepto de Auditoría Informática:

Es el proceso de recoger, agrupar y evaluar evidencias para determinar

si un sistema de información salvaguarda los activos, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la
organización y utiliza eficientemente los recursos.

De esta forma la auditoría informática sustenta y

confirma la consecución de los objetivos tradicionales
de auditoría.

El auditor evalúa y comprueba en determinados

momentos del tiempo los controles y procedimientos
informativos mas complejos, desarrollando y aplicando
técnicas mecanizadas de auditoría, incluyendo el uso de
software.
1.1 Conceptos de Auditoría y Auditoría Informática.

– Principales objetivos que constituyen a la

Auditoría Informática

 El control de la función informática.

 El análisis de la eficacia del Sistema
Informático.
 La verificación de la implantación de la
Normativa.
 La revisión de la gestión de los recursos
informáticos.
1.1 Conceptos de Auditoría y Auditoría Informática.

La auditoría informática sirve para mejorar ciertas

características en la empresa como:

 Eficiencia

 Eficacia

 Rentabilidad

 Seguridad
1.2 Tipos de Auditoría

La Auditoría puede clasificarse desde diversos puntos de vista,

según el sujeto que la efectúa, según el contenido y los fines,
por su amplitud y por su frecuencia.

– Por el sujeto que la efectúa:

• Auditoría interna: Está a cargo de empleados

de la propia empresa, encuadrados en un
departamento directamente dependiente de la
dirección general.
• Auditoría externa: Está a cargo de auditores
profesionales, ajenos a la empresa y totalmente
independientes.
 1.2 Tipos de Auditoría

– Por su contenido y fines

• Auditoría de gestión: Afecta a la situación global de la empresa.

• Auditoría organizativa: Analiza si la estructura organizativa de la empresa es la
adecuada, según las necesidades y problemas de la misma.
• Auditoría operacional: Para determinar hasta qué punto una organización, una
unidad o función dentro de una organización, está cumpliendo los objetivos
establecidos por la gerencia; así como identificar las condiciones que necesiten
mejora.
• Auditoría financiera: Examen y verificación de los estados financieros de la
empresa, para emitir una opinión fundada sobre el grado de fiabilidad de dichos
estados.
• Auditoría contable: Analiza la adecuación de los criterios empleados para recoger
los hechos derivados de la actividad de la empresa y su representación, mediante
apuntes contables, en los estados financieros.
• Auditoría informática: Examen y verificación del correcto funcionamiento y control
del sistema informático de la empresa.
1.2 Tipos de Auditoría

– Por su amplitud:

• Auditoría total: Afecta a todos los elementos de la empresa.

• Auditoría parcial: Se concentra en determinados elementos de la
empresa.

– Por su frecuencia:

• Auditoría permanente: Se realiza

periódicamente a lo largo del ejercicio económico.
• Auditoría ocasional: Se realiza de forma
esporádica.
1.2 Tipos de Auditoría

– Beneficios de la Auditoría:

Los beneficiarios de la auditoría son los que tienen relación con

la empresa y necesitan información correcta y auténtica sobre la
situación y actividades de la misma.

• Auditoría interna: • Auditoría externa:

Es la propia empresa Accionistas o socios.
y todos los órganos Consejeros y ejecutivos.
de gobierno y Proveedores, acreedores y otros.
ejecutivos. Inversores.
La Banca.
La Hacienda Pública.
Los empleados de la empresa.
Otros organismos públicos e institucionales.
1.2 Tipos de Auditoría

– Diferencia entre Auditoría Interna y Externa:

1. En la auditoría interna, el sujeto que la realiza es un empleado de la empresa; mientras

que en la auditoría externa, es un profesional independiente.
2. En la auditoría interna, la independencia está limitada; mientras que en la auditoría
externa, la independencia es total.

3. En la auditoría interna, la responsabilidad del sujeto que la realiza es de tipo

laboral; mientras que en la auditoría externa, es de tipo profesional, que puede
llegar a ser penal.
4. En la auditoría interna, el objetivo de la auditoría es el examen de la gestión;
mientras que en la auditoría externa, el objetivo es el examen de los estados
financieros para determinar si representan la situación real de la entidad auditada.
5. En la auditoría interna, el informe emitido es un informe con recomendaciones
para la gerencia; mientras que en la auditoría externa, está dirigido también a
terceros.
6. En la auditoría interna, el uso del informe está restringido al ámbito de la propia
empresa; mientras que en la auditoría externa, el uso trasciende la propia
empresa.
1.3 Campo de la Auditoría Informática

Generalmente se puede desarrollar en alguna o

combinación de las siguientes áreas:

 Gobierno corporativo.
 Administración del Ciclo de vida de los
sistemas.
 Servicios de Entrega y Soporte.
 Protección y Seguridad.
 Planes de continuidad y Recuperación de
desastres.
1.4 Control Interno

Una de las formas de definir el concepto de control interno es la siguiente

El control interno es un proceso que lleva a

cabo el Consejo de Administración, la dirección
y el resto de los miembros de una entidad, con
el objeto de proporcionar un grado razonable
de confianza en la consecución de objetivos de
fiabilidad de la información financiera, eficacia
y eficiencia de las operaciones y cumplimiento
de las leyes y las normas aplicables.
1.4 Control Interno

La dirección de la organización tiene la responsabilidad de decidir el

alcance adecuado del sistema de control interno. La naturaleza de los
controles depende de la clase de grado de control, distribución
geográfica y estructura de la organización, entre los factores más
importantes.

El control interno tiene limitaciones, puesto

que no garantiza, por si mismo, una
administración eficiente y tampoco puede
evitar el fraude, cuando se da la complicidad
entre los cargos de confianza.
1.4 Control Interno
– Componentes de un Sistema de Control
interno:

Tradicionalmente, los principales componentes de un sistema

de control interno han incluido:

(1)la segregación de funciones, (2) la delegación de la

responsabilidad y de la autoridad, (3) existencia de
personal competente y de confianza, (4) el sistema
de autorizaciones, (5) documentación y registros
adecuados, (6) el control físico sobre activos y
registros, (7) la adecuada supervisión de la gestión,
(8) la verificación independiente de las operaciones
y (9) la comparación periódica de los registros
contabilizados con los activos.
1.5 Modelos de control utilizados en Auditoría Informática.

Las metodologías son necesarias para desarrollar cualquier

proyecto que nos propongamos de manera ordenada y eficaz.

La auditoria informática solo identifica el nivel de

“exposición” por la falta de controles mientras el análisis
de riesgos facilita la evaluación de los riesgos y
recomienda acciones en base al costo-beneficio de la
misma. Todas las metodologías existentes en seguridad
de sistemas van encaminadas a establecer y mejorar un
entramado de contramedidas que garanticen que la
productividad de que las amenazas se materialicen en
hechos sea lo mas baja posible o al menos quede
reducida de una forma razonable en costo-beneficio.
1.5 Modelos de control utilizados en Auditoría Informática.

Todas las metodologías existentes desarrolladas y utilizadas en la

auditoría y el control informático, se puede agrupar en dos
grandes familias:

Cuantitativas: Basadas en un modelo matemático numérico que ayuda a

la realización del trabajo, están diseñadas par producir una lista de riesgos
que pueden compararse entre sí con facilidad por tener asignados unos
valores numérico. Estos valores son datos de probabilidad de ocurrencia
de un evento que se debe extraer de un riesgo de incidencias donde el
numero de incidencias tiende al infinito.
Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir
un proceso de trabajo, para seleccionar en base a la experiencia
acumulada. Puede excluir riesgos significantes desconocidos (depende de
la capacidad del profesional para usar el check-list/guía). Basadas en
métodos estadísticos y lógica borrosa, que requiere menos recursos
humanos / tiempo que las metodologías cuantitativas.
 TRABAJO DE INVESTIGACIÓN

Realizar una investigación sobre los diferentes modelos de control

aplicados a la auditoría informática.

Estructura del trabajo.

* Márgenes:
Derecho, inferior y superior 3 cm.
Izquierdo 4 cm.
* Letra: Arial 12 para contenido y 14 para título.
* Hoja de presentación.
* Índice.
* Introducción.
* Desarrollo del Tema.
* Conclusión.
* Bibliografía y/o referencias de internet.
1.6 Principios aplicados a los auditores informáticos

– Principio de beneficio de auditado.

– Principio de calidad.
– Principio de capacidad.
– Principio de comportamiento profesional.

– Principio de concentración en el trabajo.

– Principio de confianza.
– Principio de criterio propio.
– Principio de discreción.
1.6 Principios aplicados a los auditores informáticos

– Principio de economía.
– Principio de formación continua.
– Principio de fortalecimiento y respeto a la
profesión.

– Principio de independencia.

– Principio de información suficiente.

– Principio de integridad moral.

– Principio de legalidad.
1.6 Principios aplicados a los auditores informáticos

– Principio de libre competencia.

– Principio de no discriminación.
– Principio de no injerencia.
– Principio de precisión.

– Principio de publicidad adecuada.

– Principio de responsabilidad.
– Principio de secreto profesional.

– Principio de servicio público.

– Principio de veracidad.
ACTIVIDAD:

• Integrarse en equipos de 4 personas.

• Leer y comprender “Los principios aplicados
a los auditores”.
• Exponer el tema con ayuda de una lámina o
dispositivas.
 TAREA

Desarrollar en un máximo de 3 cuartillas, un ensayo sobre

“Las responsabilidades de los administradores y del
auditor”, el ensayo deberá enviarse al correo electrónico
josealdominguez@hotnmail.com a mas tardar el día miércoles
23 de marzo.

Nota: Coloque una hoja de

presentación para saber quien
elaboró el ensayo.