AUIBITORIA ENAUDITORIA EN INFORMATICA Segunda edicién JOSE ANTONIO ECHENIQUE GARCIA Universidad Nacional Auténoma de México Universidad Autonoma Metropolitana McGraw-Hill MEXICO « BUENOS AIRES - CARACAS « GUATEMALA « LISBOA « MADRID NUEVA YORK « SAN JUAN + SANTAFE DE BOGOTA - SANTIAGO + SAO PAULO AUCKLAND « LONDRES « MILAN « MONTREAL » NUEVA DELHI + SAN FRANCISCO ‘SINGAPUR - ST. LOUIS - SIDNEY - TORONTOConTENIDO AGRADECIMIENTOS INTRODUCCION, CAPITULO 1: Concepto de auditoria en informatica y diversos tipos de auditorias .. Concepto de auditoria y concepto de informética .. Diversos tipos de auditoria y su relacién con la auditoria en informatica... ‘Auditoria interna/extema y auditorfa contable_/financiera Auditoria administrativa/ operacional Auditoria con informatica . Definicién de auditoria en informatica... Concepto de auditoria en informatica Campo de la auditoria en informa Auditoria de programas ... CAPITULO 2: Planeacién de Ia audiloria en informética sn Fases do la auditoria os “i PlaneaciGn de la auditoria en informatica Revisién preliminar... Revisién detallada Examen y evaluacidn de la informacion . Pruebas de consentimiento .... Pruebas de coniroles del usuario . Pruebas sustantivas.. Evaluacign de los sistemas de acuerdo al riesgo. Investigacién preliminar. Personal participante. CAPITULO 3: Auditoria de la funcién de informatica Recopilacién de la informacién organizacional PPrincipales planes que se requicren dentro de la organiizacicn de informatica Evaluacién de la estructura organica Estructura orgénica Funciones: Objetivos.. Anilisis de onganizaciones EvaluaciGn de los recursos humanos .. Entrevistes con el personal de informatica Situacién presupuestal y financiora ..conTENDO Presupuestos .. Recursos financieros... Recursos materiales CAPITULO 4: Evaluacién de los sistemas... Evaluecion de sistemas Evaluacisn del anlisi Andlisis y disefio estructirade vnesnn Evaluecisn ciel diseno ldgico del sistema... Programas de desarrollo... Bases de datos El administrador de bases de datos Comunicacién ‘ Informes Andlisis de informe’... Ruido, redundancia, entropia Evaluacisn del desarrollo del sistema Sistemas distribuidos, Internet, comunicacién entee oficinas Control de proyectos vemnsmn Control de disefo de sistemas y programadén Instructivos de operacisn .. Forma de implantacion Equipo y facilidades de Programadia Enirevistas a usuarios .. ct Entrevistas . Cuestionario Derechos ce autor y secretos industriales Intemet - - Proteccién de los derechos de autor... 144 Secretos industriales. eon oe CAPITULO 5: Evaluacién del proceso de datos y de los equipos de cémputo Controles: _ Control de datos fuente y manejo de cifras de control... snine LOL Control de operacion... Control de salida Control de asignacién de trabajo Control de medios de almacenamiento masivo Control de mantenimiento Orden en el centro de eSmputo ... de la configuracién del sistema de computo... Puntos a evaluar en los equipos .. CAPETULO 6: Evaluacion de la seguridad ..n. Seguridad ldgica y confidencialidad... Seguri Riesgo Encrip Seguridad Seguridad Ubicac Piso el Aire ac Instala Seguri Seguric Detece: ‘Tempe Seguridad. Protec Seguros . Conic Seguridad. Seguridad. Plan de con de desa Plan de Selecci CAPITULC ‘Técnicas pa Analisi Metodo Evaluaciéa | Anilisis Evaluacion Evaluag Evaluad Evaluad Evaluag Controles Presentacion Conclusion Bibliogratia Indice analitBRGRS S FA Seguridad 16g{¢€ soon Riesgos y controles a auditar Encriptamiento Seguridad en el personal... Seguridad fisica Ubicacién y construccién del centro de cémputo iso elevado o camara plena Aire acondicionado .. Instalacién eléctrica y suministro de energia =. Seguridad contra desastres provocados por agua . Seguridad de autorizacién de accesos. Deteccidn de humo y fuego, extintores ‘Temperatura y humedad. Seguridad en contra de virus Protecciones contra virus y elementos a auditar Seguros Condiciones generales del seguro de equipo electrénico.. Seguridad en la utilizacién del equipo Seguridad al restaurar el equipo Plan de contingencia y procedimientos de respaldo para casos de desastre Plan de contingencias.. Seleccion de la estrategia .. CAPETULO 7: Interpretacién de la informaciéa . ‘Técnicas para la interpretacién de Ia informacisn’ Analisis critico de los hechos Metodologia para obtener el grado de madurez del sistema Evaluacién de los sistemas Analisis Evaluacién de los sistemas de informacién Evaluacién en la ejecucién Evaluacion en el impacto Evaluacién econémica Evaluacién subjetiva . Controles Presentacién. Conclusiones Bibliografia nn. {ndice analiticoINTRODUCCION En la actualidad el costo de los equipos de eémputo ha disminuido considera blemente, mientras que sus capacidades y posibilidades de utilizacién han au- mentado en forma inversa a la reduceién de sus costos. Aunque los costos uni tarioshan disminuido (el de una computadora personal, “microcomputadora”), los costos totales de la computacién (de equipos, sistemas, paquetes, recursos humanos, consumibles, etc.) se han incrementado considerablemente. Ello se debe a que, si bien la relacién precio /memoria es menor, el tamaiio de la me- moria de los equipos y sus capacidades son mucho mayores, con procesadores y dispositivos que permiten acceso de més datos en mucho menos tiempo y que procesan la informacién en forma mas ripida (memorias RAM y ROM, fijos, etc.). Esto hace que, aunque se han reducido los costos, al aumentar sus capacidades y facilidades se ha incrementado el costo total, Io que ha tenido como consecuencia que os costos totales del uso no hayan disminuido en todos los casos. Las nuevas herramientas con que se cuenta (Intemet, Extranet, comu- nicacién, bases de datos, multimedia, etc.) hacen que también se pueda tener acceso a mayor informacién, aunque el costo total de los sistemas, asf como la confiabilidad y segurided con que se debe trabajar, sean muy altos. En algunas ocasiones ha disminuido el costo de las aplicaciones, pero se tiene poca productividad en relaciGn con la informacién y uso que se da a éstas. También se tiene poco control sobre la utilizacién de los equipos, existe un de- ficiente sistema de seguridad tanto fisica como logica y se presenta una falta de confidencialidad de la informaciGn. Lo que se debe incrementar es la producti- vidad, el control, la seguridad y Ia confidencialidad, para tener la informacién necesaria en el tiempo y en el Iugar adecuados para poder tomar las mejores decisiones. Los siguientes puntos de la tecnologia de informacién son particularmente notables: ‘+ Una gran disponibilidad de hardware de computadoras muy poderosos y baratos, incluyendo la incorporacién, a través de Ia miniaturizaci6n de po- derosas capacidades, en diferentes dispositivos disefiados para usos pers nales y profesionales Una gran dispordbilidad de software poderooo, btrato relativamente ac- cesible, con interfases de uso grafico. ‘Ala medida del cliente, cambio de sistemas a software preempacado. ‘Cambio de computadoras principales (mainframe) a computadoras de us0 individual aumentadas como parte de rectes dedicadas a compartir infor- macién, asi como computadoras corporativas con los correspondientes cam-xii irRoDUCCION bios en la naturaleza, organizacisn y localizacién de actividades de los si temas de informaci io final + _Incrementoen la habilidad de las computadoras para accesar datos en tiempo Feal 0 demorado, ambos en forma local 0 a través de acceso a facilidades Temotas, incluyendo via Intemet. + Captura de nuevos datos y el liderazgo en tecnologfa en almacenamiento maximo para incrementar la computarizaci6n, datos/ informacién en tex- tos, graficas y video, con énfasisen la adminisiracisn, presentacisn y comu- nicacidn de informacién, utilizando aproximaciones de multimedia + Lacobertura de informacion y as tecnologias de comunicacién afectan la forma en que se trabaja y se compra ‘+ Incremento del uso de Intemet para unir individuos, intraorganizaciones, a través de sistemas tales como correo electrOnico (E-mail), intemet, inclu- yendo world y wide web. + Elincremento en ol uso de Intornet para conducir comunicacién entre orga- nizaciones e individuos, a través de sistemas de comercio electrénico, tales como intercambio electrénico de datos (EDI)y sistema de transferenciae trSnica de fondos (EFTS). + Mercadeo masivo y distribucién de productos de tecnologia de informa: ida y servicios, tales como computadoras, software preempacado, servicio de recuperacisn de datos en linea, correo electrSnico y servicios financieros. + Reduccién de barreras de uso e sistemas, estimulando una gran penetra ion de sistemas de informacion dentro de organizaciones de todos los ta: mais, de lucto 0 no lucrativas, para contadores y consejos de administs cin, y para propésitos estratégicos ¢ incremento de papeles del usuario final de computadoras. * Una amplia penetracién de tecnologia de informacisn, tal como disefio manufactura por medio de asistencia computarizada (CAD/CAM), siste- ma de imagenes por computadora, sistemas de informacion para eecutivos (EIS) y sistemas de reuniones en forma electrénica (EMS), * Nuevas técnicas de desarrollo de sistemas, basados en tecnologias de infor macidn, tales como software de ingenierfa de asistencia computarizada (CASE), programacién orientada a objetos y temologia de flujos (WORK FLOW). * Desarrollo continuo de soporte de sistemas inteligentes, incorporando sis temas expertos, redes neuronales, agentes inteligentes y otras ayudas de solucién de problemas. + Acceso a reingenieria de nuevos negocios, basado en la integraci6n efectiva de tecnologia de informacién y procesos de negocios. mn, como el cambio a computadoras de usu Uno de los problemas més frecuentes en los centros de informatica es la falta de una adecuada organizacisn, que permita avanzar al ritmo de las exi sgencias de las organizaciones. A esto hay que agregar la situacion que presen- tan los nuevos equipas en cuanto al uso de bases de datos, rades y sistemas de informacién, Loantcrior, combinado con lanecesidad de una eficiente plancacivn cetratégica y corporativa de las organizaciones, y con una descentralizacion de equipos y centralizacidn de la informacién, ha provocado que la complejidad de las decisiones, y las dimensiones de los problemas en cuanto a la mejor for ma de org izar control y adminis En muchos « pleo de herramee Puestos, finanzas Tepercute en una nes con las caract hace que no se cu desvien de los ob La proliferaci manda de control vVacidad de la info Ademés, hay una dad de (a continui sistemas se caigan incompatibles y el Los sistemastt de las herramiont Para poder evaluai Iarlo desde su inic electrénico, 0 bien respaldos, seguride No basta, pues, con Pos de cémpato, qu ma total de informa La informatica Mos afios, En una g prendié hace alga €reaciGn del horno, década hemos visio era algo cominlata Femoto, y considera tedes. Esto ha provo uitica. Yo no poden con microcomputed conocia en detalles de tener especialisia informatica, y en ola rentes funciones que de la informitica yd EI principal obet Ios siguientes puntos La parte adminis! Tos recursos mat Los sistemes y pro necesidades delavio etre sta stra- lode tiste tivos afor vada IRK- sde ma de organizar el érea de emputo, requieran aplicar técnicas modemas de control y administracién. En muchos centros de informatica también se desconoce el adecuado em- pleo de herramientas administrativas, contables//financieras. tales como presu- puestos, finanzas, costos, recursos humanos, organizacién, control, etc. Esto repercute en una inadecuada drea de informatica que no permite tomar decisio- nes con las caracteristiras que deben tener las organizaciones actuales, lo cual hace que no se cuente con los controles para asegurar que esas decisiones no se desvien de los objetivos. La proliferacién de la tecnologia de informacién ha incrementado la de- manda de control de los sistemas de informacién, como el control sobre la pri- vacidad de la informaci6n y su integridad, y sobre los cambios de los sistemas. Ademés, hay una preocupacién sobre la caida de los sistemas y sobre la seguri- dad de la continuidad del procesamiento de la informacién, en caso de que los sistemas se caigan. Otra drea de preocupaciénes la proliferacién de subsistemas incompatible y el ineficiente uso de los recursos de sistemas. Los sistemas tienen diferentes etapas, y una de ellas puede ser la utilizacién de las herramientas que nos proporcionan los mismos sistemas electronicos. Para poder evaluar un sistema de informacién es necesario conocerio y contro- larlo desde su inicio, siguiendo su proceso, que puede ser manual, mecanico, electrGnico, o bien 1a combinaciGn de éstos, hasta llegar a su almacenamiento, respaldos, seguridad y eficiencia en el uso de la informacién que proporcionan. No basta, pucs, conocer una parte 0 fase del sistema, como pueden ser les equi- pes de cémputo, que tan sélo vienen a ser una herramienta dentro de un siste- ma total de informacién. La informatica ha sido un rea que ha cambiado drasticamente en los tilt mos aftos. En una generacidn, la tecnologfa ha cambiado tanto que Io que sor- prendié hace algunos afios, como la Ilegada del hombre a la Luna, o bien la creacién del horno de microondas, hoy nos parece algo muy familiar. En una década hemos visto el cambio en la organizacion de la informatica: st hace poco era algo comin la tarjeta perforada, hoy la vemos como algo de un pasado muy remoto, y consideramos como algo normal el uso de microcomputadoras y de reds. Esto ha provocado que se tengan especialistas dentro del érea de la infor- mitica. Yano podemos pensar en el personal de informatica que podia trabajar con microcomputadores y con grandes computadoras, o bien en la persona que conocia en detalle sobre bases de datos y de comunicaciones. Ahora se deben de tener especialistas en cada una de las reas. Una de éstas es la auditoria en informétiea, y en ella debemos de tener especialistas para cada una de las dife- rentes funciones que se reatizardn. Esto sin duda depende del tamano del area de la inforsnstica y de la organizacién. El principal objetivo del libro es evaluar la funcién de la informatica desde Jos siguientes puntos de vista La parte administrativa del departamento de informatica. Los recursos materiales y técnicos del drea de informética. Los sistemas y procedimientos, y laeficiencia de su uso y su relacién con las necesidades de la organizacién. mnTRopuccionxiv rRooUCCON inform dependiendo de su tamaiio Es conveniente precisar y aclarar que la funcién de la auditoria e1 sad con la que me relies dcpesera ‘ane de las caracteristicas y del mimero de equipos de cémputo con que se cuente. El Findizarde ecuerda.n h erggnizacion de que sc trate-e los equlposoFiven CaPiTUI y caracteristicas. La prot Os, Al finalizConcepto de auditoria carityco €N informatica te y diversos tipos de auditorias Obuetivos Al finalizar este capitulo, usted: 1. Analizaré lo 2. Conocera to: informética 3. Expondré cudles s con informatica 4. Descrbira las habi formética. 5. Detiniré cual es el campo de la auditoria en informatica. 6. Explicaré cudles son los principales objetivos de la auditoria en informatica 0s de auditoria e informatica, 0s tipos de auditoria y su relacion con la auditoria en sonicas avanzadas que se utiizan en la euditoria fades fundamentales que debe tener todo auditor de in2 : cari Concerto pe aupioria r Y CONCEPTO DE INFORMATICA Ste pe coe Nace in mnctsta El concapte Ue ecco eva coop ss = srgiaig" El raion tend -vsnl de ply coven atréanoner dese at SS ee nc cain aera qiseniaTes “ae | El Roletin C de normas de auditoria® del Instituto Mexicano de Contadores | ost ria debe ev, tivas de sol Informatie equipas de, conferencia tica dela Fa Nacional A) palabra 1a conjur facestim En 1966, del modo sig ndquin: Hacia pe cién, sobre fc por redefini Interguberna UNESCO. Es ello, formuld Aplicacisn La IBItan ca que, aungt Ciencia de En 1977, Mexicana de | Ciencia de En alguns proceso electr mas amplio, ytia debe evaluar par Informitica equipos d conferencia f de Ia Facult 1 ministracis Frectamerts al Auténoi amplio; no eevaluar la jjetivos pro e*auditor de cuentas debe estar intergubern: INESCO. F Allo, form: intos para | laauditoria sidera el total del sistem:DIVERSOS TIFOS DE AUDITOR: Niveles de informacion También es comtin confundir el concepto de dato con el de informacién. La Jenados con un objetivo co: min. El dato se refiere tinicamente a un simbolo, signo o a una serie de let nuimeros, sin un objetivo que dé un significado a esa serie de simbolos, signos letras o ntimeros, La informacion esté orientada a reducir la incertidumbre del receptor y tie- ne la caracteristica de poder duplicarse pricticamente sin costo, no se gasta Ademds no existe por si misma, sino que debe expresarse en algtin objeto (pa pel, cinta, etc.); de otra manera puede des: con la comunicacisn oral, Io cual hace que la inform: debidamente por medio de adecuados sist recer 0 deforn se, como sucede ién deba ser controlada mas de seguridad, confidencialidad y respaldo. La informacién puede comunicarse, y para ello hay que lograr que los me- dios de seguridad sean levados a cabo después de un adecuado examen de la forma de transmisisn, de la eficiencia de los canales de comunicacién{el trans misor, el receptor, el contenido de la comunicacién, la redundancia y el ruidg) La informacisn ha sido dividida en varios niveles. El primero es el nivel técnico, que considera los aspectos de eficiencia y capacidad de los canales de transmisidn; el segundo es el nivel semntico, que se ocupa de la info desde el punto de vista de su considera al rese xto dado, y el cuarto nivel analiza la informa cidn desde el punto de vista normativo y de la parte ética, o sea considera cuan do, dénde y a quién se destina la informacién 0 la@ikusiDquie se le dé abarcar los cuatro niveles de Thformacién, Enel cuarto nivel tenemos una serie de aspectos importantes, como la parte Jegal del uso de 2 iucidi ca ¥ la crevcidn de la ética en informatica, gue no sélo debe incluir a los profesionales t cnicos y especialistas en informatica, sino también a los usua rios tanto de gr indes computadoras como de computadaras personales, gnificado; el tercero es el pragmatic, el cual Ia informacién, los estudios que se han hecho sabre la Kan a de la infor. La informac in tradicional (oral y escrita) se ve afectada dentro de Ia infor mitica cuando se introduce el manejo de medios electronicos, lo cual la hace facilmente mod ficable y adaptable a las caracteristicas de cada receptor. La informacisn tambien tiene la capacidad de mangjarse en forma rdpida y en gran- des voltimenes, lo cual permite generar, localizar, duplicar y distribuir la infor macién de modo sorprendente a través de métodos, téenicas y herramientas como microcomputadoras, procesos distribuidos, redes de comunicacisn, ba ses de datos, etcetera, La nueva tecnologia permite que el usuario disponga de la informacién en cualg) momento, ya sea para su acceso, actualizacién, tacidn o para que pueda distribuirse como se desee. Aunqu mbio 0 explo e intercambiarse entre tantos usuarios mismo tiempo se plantea un gran problema en cuanto al cuarto nivel de la informacién, que es st parte étic el estudio de la posibilidades del buen o mal uso de la informacidn por parte de personas no autorizadas. La planeacién y control de la informacién nos ofrece nuevos aspectos im- portantes a consid 1, entre los que estén la teoria de sistemas, las bases datos, los sistemas de comunicacién y los sistemas de informacién, que van a complementar el concepto de informatica y su c: po de accisn. Dwer YSUR EN INF Avon Y AUDI EL Boletin E interno: stud la neem, estudio para det permitar procedir Lo procedir guardar ticas pre Objetivosb tro objetivor + Laprote © Laobter + Lapron © Lograr¢ blecidas Seha es! troles inte nistrativos, Objetivos g del plan de proteccidn dDiversos TIPOS DE AUDITORIA Y SU RELACION CON LA AUDITORIA EN INFORMATICA Avorroria INTERNA/EXTERNA Y AUDITORIA CONTABLE/FINANCIERA 22 del Instituto Mexicano de Contadores® sefiala respecto al control Detinicion y objetivos det control internoon lentificar d pjetivos de control interno apl de trarsaccon as diferentes ‘on sen Objetivos de autorizacion Objetivos dei procesamiento y clasificacién de transacciones haat evan pin obama? peepee lta i “laste en forma tal qué pertaitan la preps Las traraacek pstradas en el mismo peviodo contable Objetiv Elac administ Objetive desarrollay que se Elare no. La prin fen el logro decir, come 2 audi cién, proce da fisica, veObjetivo de salvaguarda fisica Objetivo de verificacion y evaluaciongeneral, al equipo de cémputo y al departamento de informatica, para lo cual se requieren conocimientos de contabilidad, finanzas, recursos humanos, ad. ministracién, etc,, asi como de experiencia y un saber profundo en informé tica La auditoria interna debe estar presente en todas y cada tuna de las partes de la organizacién. Ahora bien, la pregunt icual debe ser su participacién dentro del érea de informatie: La informatica es en primer lugar una herramienta muy valios que normalmente se plantea a que debe toner un adecuado control y es un auxiliar de Ia auditoria interna, Pero, sogtin este concepto, la auditor de informatica Se ha estudiado que los interna puede considerarse como un usuario del dre 4ivos generales del control intezno son: + Autorizacion, * Procesamiento y clasificacién de las transacciones. + Salvaguarda fisica, Con base en los objetivos y responsabilidades del control interno pademos hacer otras dos preguntas: ;De qué manera puede participar el personal de con. trol intemo en el disefio de los sistemas? {Qué conocimientos debe tener el per jones den: sonal de control intemo para poder cumplir adecuadamente sus fun tro del érea de informs Las respuestas a estas preguntas dependersn del nivel que tenga el control enel disefio general y detalla do de los sistemas se debe incluir'a personal de la contraloria interna, que habr: intemo dentro de la organizacién. Sin emb: de tener conocimientos de informatica, aunque no se requerird que sean espe cialistas, ya que s6lo intervendran en el disefio general del sistema, en el diseno decontroles, en los sistemas de seguridad, en el respaldo y confidencialidad del sistema y en les sistemas de verificaciéa. Se habrén de comprobar las férmul de obtencién del i seguro social, etc,, pero no debersn intervenit en la elaboracisn de los sistemas, probai esto sobre el producto del trabajo, el cdlculo del pago del alado en el bases de datos 0 programacién. Tendrin que © que lo diseno general sea igual a lo obtenido en el momento de implantacién, para que puedan dar su autorizaci6n a la corrida en paralelo. El auditor interno, en el momento en que se eatin claborando los sistemas, debe participar en estas * Asegurarse de verificar que los requerimientos de seguridad y de auditoria sean incorporados, y participar en la revisién de puntos de vorificacién + Revisar la aplicacién de los sistemas y de control tanto con el usuario como enel centro de informatica * Verificar que las politicas de eguridad y los procedimientos estin incorpo: -ades al plan en caso de desastre * Incorporar técnicas avanzadas de auditoria en los sistemas de computo. 1s sistemas de seguridad no pueden llevarse a cabo a menos que existan procedimientes de control y un ade 1ado plan en caso de desastre, elaborados { desde el momento en el que se disefia el sistema. El auditor planesa largo de tal manera dad sean incor Au DITO La tecnologia « estin estructu son dramatico administrative planeacisn ad: trol interno de de la tecnologi esta soportad nologia William P, Elexamen planes y ob des human Se lleva a ¢ presa con el fi Pérdidas y Mejores a Mejores fo Operacion Mejor uso La auditor del drea de inf auditoria en ini aplicarlos al ér El departa Objetivos, Organizac Estructura FuncionesAupiroria ADMINISTRATIVA/JOPERACIONAL esti afectando la forma en que lus organizaciones= siguientes factore +) Verifieae era reportes PTO OF informac jc organizacién). macenad = + Pruebasi auDToRIa la valida: © Clasificat * Seleccién + Llevaras compustac Con fines para Auorroria CON INFORMATICA es de softwa © Supervisa Concepto de auditoria con informatica auitorai x ‘equipo, q Los procedimientos de aud a tador o mi en la mayoria de los ambientes de informatica. necer bajo estn mito. nutales y métodos asistidc ‘cumentacisn,t ademas de los En Utilizaci6n de las técnicas de auditorias cece asistidas por computadora Jas instruccione desde la bibliot objeto de En general, cl auditor debe utilizarla computadora en la gjecucién de la audit od jue esta herramienta permitiré ampliar | ura del examen, reduciend * . €l tiempo/ costo de las pruebas y procedimientos de muestreo, que de otra mane ratendrian que zee manualmente. Existen paquetes de computadora(e are) gue permiten elaborar auditorias a sistemas financieros y contables que s encuentran en medios informaticos. Ademis, el empleo de la computed auditorle permit faliarcarscon a 0 enel centro ¢ aaa + Desorrollar Ee ne Sines smputadora del auditor, para ser trabe te, 0 bien acceso al siste ae a en red para que el auditor elabore las prus “re| i o1 cat 1 independiente una simu de tr ' sac '$ para verificar la conexion y cor gram + Ullizaci6n de paquetes para auditorfa; por ejemple P 1 1 fabricante ¢ firmas de contadores 08.0 bajo estricto control del departamento de auditoria. Por esto, toda la dc < Je auditoria pueden ser guardados utilizandc seria aceptable en tanto s el control d i » almacenados. Las programas desarrallados co deben estar cuidadosamente documentad: d : + Mantener el control basico sobre los programas que se encuentren cata & el sistema y llevar a cabo protecciones apropiad, + Desarrollar prog independientes de control que monitoreen el pro% samiento del programa de auditori iandos de control.2 + Controlar la integridad de los archivos que se estan procesando y las sal das generadas. vousnsoe res Técnicas avanzadas w° de auditoria con informética de datos y procesamiento computacién, como procesamiento en linea, bases distribuido, se podria evaluar el sistema empleando técnicas avanzadas de auditoria. Estos méiodes requieren un experto y, por lo tanto, pueden no ser apropiados si el departamento de auditoria no cuenta con el entrenamientoade cuado. Otra limitante, incluyenda el casto, puede ser la sobrecarga del sistem y la degradaci6n en el tiempo de respuesta. Sin embargo, cuando se usan apro- piadamente, estos métodos superan la utilizacién en una auditoria tradi Pruebas integrales. Consisten en el procesamiento de datos de un departamen to ficticio, comparando estos resultados con restiltados predeterminados otras palabras, las transacciones iniciadas por el auditor son independientes de laaplicacion normal, pero son procesadas al mismo tiempo. Se debe tener espe cial cuidado con las particiones que se estén utilizando en el sistema para prue ba de la contabilidad o balances, a fin de evitar situaciones anormale Simulacién. Consiste en desarrollar programas de aplicacién para determina da prueba y comparar los resultados de la simulacién con la aplicaci6n real Revisiones de acceso. Se conserva tin registro computarizado de todos los ac cesos a determinados archivos; por ejemplo, informacién de la identificacién tanto de la terminal como del usuario. Operaciones de la informacisr los resultados que paralelo. Consiste en verificar la exactit oduce un ma nuevo que sustituye a uno ya Evaluacidn de un sistema con datos de prueba. Esta verificaci6n consiste er probar los resultados produ én con datos de prueba co los resultados que fueron obtenidos inicialmente en las pruebas del progran (solamente aplicable cuando se hacen modificaciones a un sistema), aplicacién que Registros extendidos. Consisten en age determinado, como un campo datos de todos los progr: ampo de control a un registro stro extra, que pueda inclu sd forman parte del procesamien- to de determinada transac Totales aleatorios de ciertos programas. Se consi tuen totales en algunas p: fes del sistema para ir verificando su exactitud en forma parcial Seleccién de d deun archivo parcial el archi car en forma t Resultados de demos compar una metodolo Btaaimentc Gan losprobie dencia al audi Biter pores El empleo mienta que fac Trasladar I Llevar a cal Verificar la Visualizaci Ordenamie El auditor sistemas, cone con las politicas continua dencia que exis puede cambiar Transacciones ceso. En las apl Por ejemplo, el cuando el inve computadora s orden de repos blecido, El registro man Enlas aplicacioy do Ia informaci némina puede través de la red tener unaclaveden no ser adientes de tener espe para pruc determin dos los ac aformacisr tun registro fa inclu Selecci6n de determinado tipo de transacciones como auxiliar en el andlisis deun archive histérico. Por medio de este métado podemas analizar en forma parcial el archivo hist6rico de un sistema, el cual seria casi imposible de verif Resultados de ciertos edlculos para comparaciones posteriores. Con ellos po demos comparar en el futuro los totales en diferentes fechas. Las téenicas anteriormente descritas ayudan al auditor interno a establece ana metodologia para la revision de los sistemas de aplicacion de una institu actualmente se han desarzollado programas y sistemas de auditoria que elimi nan los problemas de responsabilidad del departamento de auditoria, al int enir en las actividades e informacién cuyo control corresponde estrictamente al departamento de informstica, lo cual proporciona una verdadera indeper dencia al auditor en la revisidn de los datos del sistema. En la actualidad, el auditor puede estar desarrollando algunas de sus funciones al intervenir en la El empleo de la microcomputadora en la auditoria constituye una herra: mienta que facilita la realizacidn de actividades de revisién como: Jadar los datos del sistema a un ambiente de control del au levar a cabo la seleccién de datos Verificar la exactitud de los célculos: muestreo estadistico. Visualizacién de datos. Ordenamiento de la informacién. Produccién de reportes e histogramas, El auditor intemo debe participar en el disefio general y especifico de los sistemas, con el fin de asegurar que se tengan todos los controles de acuerdo politicas internas antes de que se comience la programacién del sistema, A continuacién se muestran ejemplos de las formas tradicionales de evi dencia que existen en un proceso manual y las maneras en que la computadora puede cambiarla: Transacciones originadas por personas y accesadas a un sistema para su pro- e260. En las aplicaciones computarizadas, pueden generarse automaticamente Porejemplo, el sistema puede emitir automaticamente una orden de reposicién cuando el inventario esté a un nivel por debajo del punto de reorden. Sin la computadora se requerfa que una persona estuviera revisando y elaborara la den de reposicién cuando el inventario estuviera abajo del mfnimo ya esta: blecido. E registro manual de la informacién necesaria para originar una transaccién. En as aplicaciones computarizades no se producen documentos impresos cuan do la informacién es accesada. Por ejemplo, un cambio hecho a las tarifas de través de la red interna, sin dejar registro impreso del cambio, aunque se debe tener una clave de seguridad para poder accesarlo y llevar un registro histérico4 a La revisin de transacci s por el personal, que deja constancia con sus firmas, iniciales 0 sellos en los documentos para indicar la autorizacién de! proceso. En as aplicaciones computarizadas la autorizacién puede ser automa ica. For ejemplo, una venta a crédito puede ser automaticamente aprobada si limite de c previamente d D ninado no esté excedido. Otro: os de autorizacisn idad inica incluyen el acceso mediante claves de seg Anteriormente se tenian firm londe ahora sélo se tiene una clave ave de acceso, que ¢s equivalente a la autorizacién, dejando tinicamente egistro (en el mejor de los casos) de la Have de acceso utilizada, el lugar donde tuvo acceso y la hora y dia en que fue autorizada El transporte de documentos de una estacién de trabajo a otra por personas, correo 0 servicios similares de un lugar del negocioa otro sitio completamen- te distinto. tun documento fisicamente. En aplica formacion es transcrita, codificada, frecuentemente condensada y entonces en ro de cudndo recibié la informacion el recepte Procesamiento ma tienen espacio de trabajo para ejecutar el necesario. En la aplicaci snicamente dentro de la memori ;putarizadas, el proce Jel computador mediante p determinad roceso simplificado que facilita las ejecuciones repetitivas sin alta probabi: lidad de error, En les aplicaciones computarizadas, el proc de ser ext nadamente complejo debido a la velocidad y exactitud del computador. For jemplo, una compara puede utiliza mputadora para calcular la efectivi dad de cientos de posibles horarios 0 eSdulas de produccién a fin de seleccion 1 mas adecuado, mientras que en los métodos manuales esto seria casi impo- Mantenimiento en manuales de informacién de naturaleza fija que es nece saria para el proceso, como tarifas de néminas o precios de productos. E aplicaciones computarizadas, esta informacién se almacena en medio: computarizados o bien por medio de catélogos; en los métodos manuales es dificil tener catalo muy amplios y con actualizacién inmediata Listado de los resultados del proceso en documentos impresos, como che ques y reportes. Frecuentemer procesos intermedios. En las aplicaciones computarizadas el proceso puede n dar por resultado documentos impre: Por ejemplo, ransferidos electrénicamente. En algunos sistemas, la informacién ratinaria ¢ retenida de ren accién. Almacenam archivo 0 si recobrarsemr computariza ben utilizars dios, los cual de bases de Uso de doce nuales estos métodos de partir de las pistas de serviria de pi dos. Las pist roglas del pre gjecutar Unoo més m alas transac. cic y proces den set incl Revision de nes computar mente media dificil para | tacionales est Ladivision d la distribuciét pleadgs, sino! zado. Por eje partes fengar enel caso del Proceso de gr cruzamientod diticil y costosUno o mas manuales de procedimientos que contienen informacion relativa ransacciones del sistem: re Cn | F i in Jas ap es computarizadas, pue yas den ser incluidos en I mas mediante ayud. babi nar su razonabilidad, exactitud, totalidad y autorizacion. En las dificil para la gente monitorear los proces orme los sistemas compu integrados y son mas complejos y el Jel proceso se as nece Ladivisién de tareas entre los empleado plicaciones compu oceso de grandes cantidades de datos ue pueden requerir la repeticin 0 , ruzamiento de diversos elementos16 Habilidades del auditor aciones computarizadas, grandes cantidades de datos pue uusos secundarios de los datos Planeacién de los procedimientos de auditoria con informatica El propssito principal de la planeacién de las met didas de auditoria es incluir dentro de las aplicaciones las facilidades que per an realizar las actividade de auditorfa dela manera mas fl La planeacidn de los servicios establece las facilidades tanto actuales como El auditor debe examinar est futuras que ofrece la direccién de informatic plan para establecer los requerimientos de auditorfa necesarios. Para el funcionamiento de dichos procedimientos se requieren dentro de los programas rutinas que permitan accesar la informacion y sisten indepen: dientes para la selecci6n, sumarizacién, comparacidn y emisidn de reportes, El poder planear y realizar estas tareas implica un trabajo complicado pero que es necesario hacer. La computarizacién de I organizaciones ha dado por resultado una concentracién de datos y funciones, que son seleccionades, correlacionados, resumidos y dise pico, normalmente un dato puede nados. En un ambiente computarizado tt actualizar muchos archivos. Es necesario que el auditor cuente con las herramientas adecuadas del mismo y tambien verificar que el sist 2 poder seguir el fema esté realizando las funciones que supuestamente debe ejecutar; estas herramientas computarizadas le deben per mitir detectar los errores y corregirlos po rior mente 1 auditor no es un programador especializ do, por lo que es obligacisn de este grupo de proceso planear el desarrollo de estas herramientas de cémputo, atendiendo las solicitudes y Es comprensible pensar que recomendaciones, de los auditores y aportando su propia experiencia, También debe participar en las pruebas en paralelo y en la implantacién del nara asegurarse de que tod procedimientos, entradas y salidas son los solicitados por el usuario en el momento del diseno detallado, asi como para evaluar que los calculos realizados sean los correctos y, en general, para darla aprobacién del sistema una vez verificado que cumpla con los objetivos, flujo de informaci6n, controles y politicas del usuario y de la organizacion. La participacisn del auditor interno en el disefo e implementacién dk sistema es de suma importancia. Por ejemplo, la clasificacién de la evidene que se venia utilizando tradicionalmente, como la firma del funcionario pera autorizar una transaccién, se ve reemplazada por una clave de seguridad de acceso o la firma electrénice, aunque la introduccién de un computador no ne cesariamente cambia las formas de la evidencia de auditoria, El auditor interno debe estar presente en el desarrollo del sistema para eva: luar que la informacién requerida por el usuario quede cubierta y se cumpla conel grado dt acuerdo con le Existen cie Jas minimas qi + Hobilidad ‘+ Habilidadt + Hobilidad + Hobilidad ‘© Habilidad Como eval tre los proceso piadas para en rea de trabajo mientos de los contexto dela} y pricticas que tribucidn poter especifico. Las habilid implantar, ejeo de la tecnologi gobiemen el ot Dernic Concer Después de ana tipos de audito: ponder las sign campo de accid, Esta es lad Practice sobre at Es una fanci vvos de los sis los objetivos Mientras qu Auditoria en reas de laoinar este lento d indepen- alo pero dado por onados ado tt snrio que eialize rrollo de scion del lidas son ‘mo para fa dar la flujo de dad de 2rnone cumpla con el grado de control que necesita la informacién procesada por el sistema, de acuerdo con los objetivos y politicas de la organizacisn B eras habilidades fundamentales que deben ser consideradascomo lasminimas que todo auditor de informatica debe tener Hobilidad para manejar paquetes de procesadores de texto, + Habilidades para manejo de hojas de calculo. + Habilidad para el uso del E-mail y conocimiento de Internet + Habilidad para manejo de bases de dato: + Habilidad para el uso de al menos un p ete bisico de contabilidad. Como evaluador, el auditor de informatica debe ser capaz de distinguir en ttelos procesos de evaluacién de sistemas y las aproximaciones que son apro- piadas para encauzar los propésitos especificos de evaluacion relevante para el ea de trabajo. En este sentido, el auditor en informatica debe tener los conoci- nnientos de los pasos cequerides para aplicar una evaluacién particular en contexto de la tecnologia de la informacidn. Debe poser esténdares relevant y pricticas que gobiernen la conduccién de una evaluacién particular. Su con- ibucién potencial a una evaluacién particular puede ser hecha en un contexto speafico. Lashabilidades técnicas requeridas por el auditor en informatica son las de mplantar, ejecutar y comunicar los resulta os de la evaluacidn en el contexto de la tecnologia de informacién, de acuerdo con estandares profesionales que gobiemnen el objetivo de la auditoria DeriniciON DE AUDITORIA EN INFORMATICA Concerto DE AUDITORIA EN INFORMATICA Después de analizar los conceptos de auditoria y de informatica, los diferentes tipes de auditoria, asf como su interrelacién con la informética, debemos re ponder las siguientes p tuntas: Qué es auditorfa en informatica? gCudl es su es la definicién de Ron Weber en Auditing Conceptual Foundations and tice sobre auditoria informatica: Es una funcién que ha sido desarrellada para asegurar la salv uarda de los act wos de los sistemas de computadoras, mantener la integridad de los datos y logra Mientras que la definicion de Mair William es la siguiente: Auditoria en informatica es la verificacién de los controles en las siguientes trwate : El cont bido loin mas debi El abus informatica de informat informacisr robes horm tambien sor La audi equipos de mas habra ¢ das, proced (desarroll n incluir y el pers Ademé: se ro adec dafios consic inversién im dencial a la pérdidas en pro un recur estrenado, nuestra soci den ir des¢ bertad ode l Ademis es responsabgue mangjan estos dos tipos de problemas han sido mejor desarrolladas que aquellas que se relacionan con el abuso en las computadora H control en el abuso de las computadoras es normalmente més dificil de bio lo ineclecuado de las leyes. Es mas dificil condenar a alguien que hizo un inadecuado uso del tiempo de las computadoras, 0 copias ilegales de progra- mas, debido a que las leyes no consideran a Jas computadoras como una perso na, s6lolas personas pueden ser declaradas como culpables, o bien considerar 4a informacion como un bien tangible y un determinado cost 1s0 tiene una importante influencia en el desarrollo de la auditoria en informética, ya que ena mayoria de las ocasiones el propio personal de la orga~ hizaci6n es el principal factor que puede provocar las pérdidas dentro del area Gién del equipo en trabajos distintos « los de la organizacién, la obtencibn de informacion para fines personales (Internet), los juegos 0 pasatiempos, y los también son Ilevades a cabo por el propio personal de la organizacién, La auditoria en informatica debera comprender no sélo la evaluacién de lo das, procedimientos, comunicacidn, controles, archivos, seguridad, personal (esarrollador, operador, usuarias) y obtenciéa de informacidn. En esto se de- it los equipos de cSmputo, por ser la herramienta que permite obte ner una informaci6n adecuada y une organizacicn especifica (departamento de cimputo, departamento de informatica, gerencia de procesos electrénicos, etc), cl personal que hard posible el uso de los equipos de cémputo. Ademds de los datos, el hardware de computadora, el software y persor son recursos criticos de las organizaciones. Algunas organizaciones tienen in- versiones en equipo de hardware con un valor multimillonario, Aun con un seguro adecuado, las pérdidas intencionales 0 no intencionales pueden causar ios considerables, En forma similar, el software muchas veces constituye una inversiGn importante. Si el software es corrompido o destru psible que la organizacion no pueda continuar con sus operaciones, si no es prontamente recobrado. Si el software es robado, se puede proporcionar informacién confi- dencial a la competencia, y si el software es de su propiedad, pueden tenerse pérdidas en ganancias o bien en juicios legales. Finalmente, el personal es siem- pre un recurso valioso, sobre todo ante la falta de personal de informatica bien, s computadoras ejecutan automaticamente muchas funciones criticas en nuestra sociedad. Consecuentemente, las pérdidas pueden ser muy altas y pue- len ir desde pérdidas multimillonarias en lo econdmico, hasta pérdidas de li- ertad o de la vida en el caso de errores en laboratories médicos o en hospitales. Ademiés de los aspectos constitucionales y legales, muchos paises han con iderado la privacidad como parte de los derechos humanos. Consideran que responsabilidad de las personas que estén con las computadoras y con las edes de comunicaci6n, asegurar que el uso de Ia informacidn sea recolect integrada y entregada répidamente y con la privacidad y confidencialidad jveridas, Existe una responsabilidad adicional en el sentido de asegurarse de que la informacién sea usada solamente para los propésitos que fre elaborada Perdida do informacién20 capiruto 1 EPTO DE \UOITORIA Campo de la auditoria Eneste caso se encuentran las bases de datos, las cuales pueden ser usadas para nes ajenos para los que fueron disefiadas o bien entrar en la privacidad de las, La tecnologia es neutral, no es buena ni mala. El uso de la tecnologia es lo que puede producir problemas sociales. Por ejemplo, el mal uso de la tecnolo- giaen Internet no es problema de la tecnologia, sino de la forma y caracteristi cas sobre las cuales se usa esa tecnologia. Es una funcién del gobierno, de las asociaciones profesionales y delos grupos de presién evaluar cl uso de la teeno- logia; pero es bien aceptado el que las organizaciones en Jo individual tengan una conciencia social, que incluya el uso de la tecnologia en informatica. Debers de existir una legi la que se considere el andlisis y acién mas estricta en el uso de la tecnologia, en investigacion paraevitar el mal uso de Internet y otras tecnologias, para evitar situaciones como el suicidio colectivo de sectas religiosas, como sucedié en Estados Unidos. También se requiere de una tica por parte de las organizaciones y de los individuos que tis todo tipo de tecnologia, no sélo la de informatica. Campo DE LA AUDITORIA EN INFORMATICA Fl campo de accién de la auditoria en informstica es: * Laevaluaci6n administrativa del area de informatica, La evaluacién de los sistemas y procedimientos, y de la eficiencia que se tiene en el uso de la informacién. La evaluacién de la eficiencia y eficacia con la que se trabaja * La evaluacién del proceso de datos, de los sistemas y de los equipos de cémputo (software, hardware, redes, bases de dates, comunicaciones). ‘+ Seguridad y confidencialidad de la informacion. * Aspectos legales de los sistemas y de Ia informacién, Para lograr los puntos antes seftalados se necesita: A) Evaluacién administrativa de la evaluacién de lel departamento de informatica. Esto compren Los objetivos del departamento, direccién o gerencia Metas, planes, politicas y procedimientes de procesos electrdnicos estén- dares. © Organizacisn del drea y su estructura orgénica Funciones y niveles de autoridad y responsabilidad del drea de proce s0s electronicos, Integracisn de los recursos materiales y tenicos. Direceién, Costos y controles presupuestales Controies administrativos del area de procesos electrénicos. B) D) Evalu: se tien Ey Ey Ey Fa rosy co Ins For foi Co Uti ei cur Pro Der Evaluac prende: Con Con Con ‘Con Con Con Com Ord Seguride Sega Cont esp Segu Segu Segu Plan sastre + Resta Los prine = Salva ware © Integradas para 8) Evaluacisn de los sistemas y procedimientos, y de la eficiencia y eficacia qui a lad de las tienen en e! uso de la informacién, lo cual comprende saseacd ogfa es lo + Evaluacidn del anallisis de los sistemas y sus diferentes etapas. INFORMATICA vlecnolo- + Evaluacién del disefio Igico del sistema racterist + Evaluacién del desarrollo fisico del sistema, to, de + Facilidades para la elaboracién de los sistemas. Iatecno Control de proyectos. al tengan Control de sistemas y programacién. ic mentacir slogia, en Formas de implantacién Soguridad fisica y ISgica de los sistema: = Confide + Instructivos y doc cialidad de los sistemas. * Controles de mantenimiento y forma de respaldo de los sistemas. Utilizacién de los sistema Prevencidn de factores que p cuperacién en caso de desa: * Productividad. Jan causar contingencias; seguros y re Derechos de autor y secretos industriales. Evaluacién del praceso de datos y de los equipos de prende: ‘émputo que com- Controles de los datos ente y manejo de cifras de cor Control de operacién. = Control de salida, i. Control de asignaci6n de trabajo. | me © Control de medios de almacenamiento masivos. cc * Control de otros clementos de cémputo. B * Control de medios de comunicacién c © Orden en el centro de aémputo. D) Seguridad * Seguridad fisica y Kégica + Confidencialidad jmpren + Respaldos. «Seguridad del personal * Seguridad en la utilizacién de los equipos. os est + Plan de contingencia y procedimiento de respaldo para casos de de cast. + Restauracién de equipo y de sistemas. Ae prove Bed Los principales objetivos de la auditoria en informatica son los siguientes = Salvaguardar los activos. Se refiere a la proteccién del hardware, soft- ware y recursos humanos, ‘© Integridad de datos. Los datos deben mante plicarse22 © Efectividad de sistemas. Los sistemas deben cumplir con los abjetivos dela + Eficiencia de sistemas. Que se cumplan los objetivos con los menores recut * Seguridad y confidencialidac Para que sea eficiente la auditoria en informatica, ésta se debe realizar tam: bién durante el proceso de disedio del sistema, Los disefiadores de sistem: nen la dificil tarea de asegurarse que interpretan las necesidades de los usa ios, que disenan los controles requeridos por los auditores y que aceptan y entienden los isefios propuesto: La interrelacién que debe existir entre la auditoria en informatica y los dife rentes tipos de auditoria es la siguiente: el nuicleo o centro de la informatica so los programas, los cuales pueden ser auditados por medio de la auditor programas, Estos programas se usan en las computadoras de acuerdo con la organizacion del centro de cémputo (personal). La auditoria en informética debe evaluar todo (informatica, organizacié del centro de cémputo, computadoras, comunicacién y programas), con auxili de los principios de auditoria administrativa, auditorta interna, auditoria co table/financiera y, a su vez, puede proporcionar informacién a esos tipos de aurditorfa, Las comp adoras deben ser una herramienta para la realizacién di cualquiera de las auditorias. La adecuada salvaguarda de los activos, la integridad de los datos y la efi ciencia de los sistemas solamente se pueden | 1 si la administracidn de | organizacién desarrolla un adecuado sistema de control interno El tipo y caracteristicas del control interno dependeran de una serie de fa tores, por ejemplo, si se trata de un medio ambiente de minicomputadoras macrocomputadoras, si estén cone n en forma indivi dual, sie tiene Internet y Extranet. Sin embargo, la division de responsabilida: des y la delegacién de autoridad es cada vez mas dificil debi: usuarios comparten recursos, lo que dificulta el proceso de control inte Como se ve, la evaluacin que se debe desarrollar para la rea n de Ie nto en informatica y con mucha experiencia en el érea La informacion proporcionada debe ser confiable, oportuna, veridica, y debe manejarse en forma segura y con la suficiente confidencialidad, pero debe estar contenida dentro de parémetros legales y ética Aunrroria DE PROGRAMAS 2 auditoria de programas es la evaluacién de la eficiencia técnica, del uso de diversos recursos (cantidad de memoria) y del tiempo que utilizan los progra su seguridad y confiabilidad, con el objetivo de optimizarlos y evaluat e riesgo que tienen para la organizacién. La auditoria de programas tiene un mayor grado de profundidad y de de le que la auditoria en informatica, ya que analiza y evaliia Ia parte central de uso delas con parte dela at Para logn realicen han ¢ temas deadm bases de dato, el programa. cién del mism mas se neces tengan los res general se ca optimizar un) Para optit cidn del sistem mentacién dettives uso de las computadoras, quees el programa, aunque se puede considerar com parte de la auditoria en informatica ores recur Para lograr que la auditoria de programas sea eficiente, las personas que la mes deadministracién de base de datos, lenguajes de programaciGn, utilerias, datos, medios de comunicaci6n y acerca del equipo en que fue escrito tema Flaca Pars octerlicwas dae tre hutbcras wbctanta deen progr do con I mentaciGn detallada del sistema to $tipos de win de fede fac fadoras ta indiv isabilida: tmuchos temo, fo dePlaneacién de la auditoria en informatica CAPITULO Osuetivos Al finalizar este capitulo, usted: Conocera las distintas fases que comprende la auditoria en informatica Comprenderd la importancia en el trabajo de auditoria de la planeacién, el examen y la evaluacion de la informacion, la comunicacion de los resultados. y el seguimiento, . Explicard el valor de la evaluacién de los sistemas de acuerdo al riesgo . Desoribira las fases que deben sequirse para realizar una adecuada invest ‘gacién preliminar Definird cuales son las principales caracteristicas que requiere ol personal que habrd de panicipar en una aucitoria. Conocard cémo se elabora una carta-convenio de servicios profesionales de auditoria.26 capiTuLo 2 Auditoria interna Fases DE LA AUDITORIA ‘ecoleccisn y evaluacién de eviden. ar cudndc dos, de qué man: son salvaguardados los activos de los sistemas a se mantiene la integridad de los datos y cémc abjetivos de la organizacisn eficazn consumidos eficientemente. La auditoria en inforn dicionales de la auditorfa: aquellos que son de la auditoria externa, de salva sarda de los activos y la integridad de datos, y los objetivos gerenciales, aque ios pr 2 auditoria interna que no sdlo logran los objetivos sefialados ino también los de eficiencia y eficacia. auditoria interna es una funcidn independiente de la evaluacién que s establece dentro de una organizacidn para examinar y evaluar sus actividades El objetivo de la auditoria interna consiste en apoyar alos miembros de la orga nizacién en el desemperio de sus responsabilidad Para ello, proporciona. uaciones, recomendacione Los auditores internos son responsables de proporcionar informacién acer a de la adecuacién y efectividad del sistema de control interno de la organiza cin y de la calidad de la gestién El manual de org: izacion deberé establecer clai ame los propésitos del lepartamento de auditoria interna, especificar queel alcance del trabajo no debe tener restricciones y sefialar que los auditores internos no tendrén au Ly/e responsabilidad respecto de las actividades que auditan El auditor interno debe ser independiente de las actividades que audita. Esta independencia permite que el auditor interne realice su trabajo libre y ob- jetivamente, ya que sin esta independencia no se pueden obtener los resultados deseados, Las normas de auditoria interna comprenden: Las actividades auditadas y la objetividad de los auditores intemos, * El conocimiento técnico, la capacidad y el cuidado profesional de los audi toresinternos con los que deben ejercer su funcidn. En el casa de la audito de su a importancia el que el auditor cuente con Ic nocimientos técnicos alizados y con la experiencia necesaria en el * Elalcance del trabajo de auditoria interna en el Area de informatica EI desarrollo de las responsabilidades asi responsables de la auditorfa a informatica Jas a los auditores internos Los auditores internos deber auditan, ser independientes de las actividades que deben de tener un amplio criterio para no tomar decisiones subjeti vas basadas en preferencias personales sobre determinado equipo 0 sin analizar a profundidad las opiniones. Los auditores internos son indepen: dientes cuando pueden desempeiiar su trabajo con libertad y objetividad. La independencia permite a los auditores internos rendir juicios imparciale feware iales para una adecua La obje internos de deben subo La ot de tal mane que no hay auditores it posibilitade Los rest el respectivi de que el tr Elaudit ridos y con Eldepa, as persona disciplina mw berd aseguri ditores sean des y periciz Fl depar mientos, exp bilidades de tores califica las responsa mento non Que las es un pr trabajo d * Quelosi tructivos + Quesea © Quelaa dencia a} Que los Que los disciplin: Cada au + Se requie cas de aw pericia lapara la adecuada conduccién de las auditorias; esto se log! adecuada objetividad y criterio, a objetividad es una actitud de independencia mental que los auditor Interes deben mantener al realizar las auditorias. Los auditores internos no deben subordinar sus juicios en materia de auditoria al de otros. La objetividad requiere que los auditores internos realicen sus auditoria Je tal manera que tengan una honesta confianza en el producto de su trabajo y que no hayan creado compromisos significativos en cuanto a la calidad. 1 auditores internos no deben colocarse en situaciones en las que se sientan im. osiblitados para hacer juicios profesionales objetivos. del trabajo de auditoria deben ser revisados antes de emiti me de auditoria, para proporcionar una tazonable seguridad 1 trabajo se realiz6 objetivamente El auditor en informatica debe contar con los conocimientos técnicos reque idos y con capacidad profesios Ei departamento de auditoria interna deberd asignar a cada auditorfa a aque las personas que en su conjunto posean los conocimientos, la experiencia y la fisciplina necesarios para conducir apropiadamente la auditoria, También de berd asegurarse que la experiencia técnica y Ia formacién académica de los au ditores sean las apropiadas para realizar las auditorias en informatica simismo, se deberd obtener una razonable seguridad sobre las capaci: des y pericias de cada prospecto para auditor en informatica 1 departamento de auditoria interna deberd contar u obtener los conoci nientos, experiencias y disciplinas necesarias para llevar a cabo sus responsa- ilidades de auditorfa en informatica. Deberd tener personal o emplear consul ores calificados en las disciplinas de informatica necesarias para cumplir con as responsabilidades de auditoria; sin embargo, cada miembro del departa mento no necesita estar calificado en todas las disciplines, El departamento de auditoria interna debera asegurarse Que las auditorias sean supervisadas en forma apropiada. La supervision S un proceso continuo que comienza con la planeacién y termina con el trabajo de auditori (Que los informes de auditoria sean precisos, objetivos, cla tructivos y oportunos, Que se cumplan los objetivos de la auditors (Que la auditoria sea debidamente documentada y que se conserve la evi dencia apropiada de la supervisin Que los auditores camplan con las normas profesionales de conducta Que los auditores en informatica posean los conocimientos, experiencias y iplinas esenciales para realizar sus auditorias Cada auditor interno requiere de ciertos conocimientos y experiencia: Se requiere pericia en la aplicacién de las normas, procedimientos y técni cas de auditoria interna para el desarrollo de las revisiones. Se entiende por pericia la habilidad para aplicar los conocimientos que se poseen a las si- Habilidades de los auditores28 Cuidado profesional tuacion mente se encuentren, ocupandose de ellas sin tener que recurrir en exceso a ayudas o investigaciones técnicas, que posi + Tener habilidad para: aplicar amplios conocimientes a sittaciones que po siblemente se vayan encontrando, reconocer las desviaciones significativas y poder llevar a cabo las investigaciones necesarias para alcenzar solucic nes razonables Entre las habilidades que deben tener los auditores estar + Habilidad para comunicarse efectivamente y dar un trato adecuado a les personas, Los auditores intemos deben tener habilidad para comunicarse tanto de manera oral como escrita, de tal manera que puedan transmitir dlara y efectivamente asuntos como: los objetivos de la auditorfa, las eva Iuaciones, las conclusiones y las recomendaciones. * Los auditores en informatica son responsables de continuar su desarroll profesional para poder mantener st pericia profesional. Deberén mante nerse informados acerca de las mejoras y desarrollos recientes. * Los atsditores en informatica deben ejercer el debido c > profesional 4 realizar sus auditori Elcuidado profesional, deberd estar de acuerdo con 1a comple}idad de la auditoria que se realiza. Los auditores deben estar atentos ala posibilidad de errores intencionales, de errores omisiones, del ineficiencio, del desperdicio, de la inefectividad y del conflicto de interese También deberdn estar alertas ante aquellas condiciones y actividades en donde es més probable que existan irregularidades. Ademas, deberin d identificar los controles inadecuados y emitir .comendaciones para pro mover el cumplimiento con procedimientos y practicas aceptables. EI debido cuidado implica una razonable capacidad, no infalibilidad ni a ciones extraordinarias. Requiere nes con un alcance razonable, pero no requiere auditorias detalladas de todas r puede dar una absoluta se jaridades. Sin embai b no se cumplan posiciones debe ser considerada siempre gue el auditor emprende una auditoria Cuando el auditor detecte una irre deberd informarl: puede recomend. cunstancias. Pos las operaciones. Por consiguiente, el auditor no dad de queno existan incumplimientos o irregu idad de que existan irregularidades materiales 0 que ularidad que va en contra de lo estab a organizacién. El auditor eriormente, el auditor deberd efectuar su seguimiento para ver ficar que se ha cumplido con lo sefialado. a las autoridades adecuadas de El ejercicio del debido cuidado profesional significa el uso razonable delas experiencias y juicios en el desarrollo de la auditoria, Para este fin el auditor debera considerar * Elalcance del trabajo de auditoria necesario para lograr los objetivos de lt auditoria + Lamaterialidad o importancia relativa de los asuntos a los que se aplican los procedimientos de la auditoria. Laadea + Elcosto, Elcuida determinane plidos. Cuen Elalcan« cuacisn y ef lidad enel c revisar la ad sistema estat y metas de le Los objet © Laconfi sar la cot dos para © Elcumpl tos + La salvag El uso efi * Fllogro El sistem; control y el c eben examin + Quelosre tuna, com © Que losex Los audit cumplimiento que pueden te ben determin: La gerene mas disefiado politicas, plan res son respor y si las activi Piados. Los audit = La comece existencias sin tener es que po: nificativas ar solucio- transmitir desarrollo ofesional a cuerdo cor leben estar jones, ce | Je ntereses vidades en deberan de s para pro: es. dad ni ac verificacio- as de todas Juta seguri la las dis aauditoria establecido El auditor topare ve mable de las jelivos de la ese aplican + Laadecuacion y efectividad de los controles intemos, El costo de la auditoria en relacisn con los posibles beneficios. El cuidado profesional incluye la evaluacion de los estandares establecidos, determinando en consecuencia si tales esténdares son plidos. Cuando ést septables y si son cum son vages deberén solicitarse interpretaciones autorizada: El aleance de la auditoria debe abarcar el examen y evaluacién de la ade- uacion y efectividad del sistema de control interno de la organizacién y la ca- idad en el cumplimiento de las responsabilidades asignadas, El propésito de cevisar la adecuaciGn del sistema de control interno es el de cerciorarse si el sistema establecido proporciona una razonable seguridad de que los objetivos metas de la arganizacién se cumpli n eficiente y econémicamen Los objetivos elementales del control interno son para asegurar * Laconflabilidad e integridad de la informaci6n. Los auditores deben revi- sar la confiabilidad e integridad de la informacién y los métodos emplea: dos para identificar, medir, clasificar y reportar dicha informacién El cumplimiento de las politicas, planes, procedimientos, leyes y reglamen- + Lasalvaguarda de los activos. + Bluso eficiente y econdmico de les recursos. ELlogro de los objetivos y metas establecidos para las operaciones o progra- El sistema de informacién proporciona datos para la toma de decision control y el cumplimiento con requerimientos extemos. Por ello, los audi deben examinar los sistemas de informacién y cuando sea apropiado asegurarse: * Que los registros e informes contengan informacién precisa, confiable, opor- tuna, completa y titi * Que los controles sobre los registros e informes sean adecuados y efectivos, Los auditores deben revisar umplimiento de las pol que pueden tener un impacto significative en las operaciones e informes, y de- en determinar si la organizacién cumple con ellos. La gerencia de informa: sistemas establecidos para asegurarse del as, planes y procedimientos, leyes y reglamentos 2s responsable del establecimiento de los si nas disefiedos para asegusar el cumplimiento de requerimientos tales como Poiiticas, planes, procedimientos y leyes y reglamentos aplicables. Los atidito- ws son responsables de determinar si los sistemas son adecuados y efectivos si las actividades auditadas estar piados. Los auditores deberan revisai mpliendo con los requerimientos apro- + La correccisn de los métodos de salvaguarda de los activos y verificar la existencia de estes activos. 29