7-3-2014

INTRODUCCIÓN A LA AUDITORIA INFORMÁTICA…

ASIGNATURA:
AUDITORÍA INFORMÁTICA

PROFESORA:
JESSICA VICTORIA MALVAES

ONOFRE LOBATO JOSE LUIS
LICENCIATURA EN INFORMÁTICA

SEMESTRE
OCTAVO

ÍNDICE

PÁG.

UNIDAD 1. INTRODUCCIÓN A LA AUDITORIA INFORMÁTICA _ Error! Bookmark not defined. 1.1 Conceptos De Auditoria y Auditoria Informática. _____ Error! Bookmark not defined. 1.2 Tipos De Auditoria._______________________ Error! Bookmark not defined. 1.2.1 Auditoria Interna y Externa. ___________ Error! Bookmark not defined. 1.3 Campo de la Auditoria Informática. _________ Error! Bookmark not defined. 1.4 Control Interno. _________________________ Error! Bookmark not defined. 1.5 Modelos de Control Utilizados en Auditoria Informática. Error! Bookmark not defined. 1.6 Principios Aplicados a los Auditores Informáticos. ___ Error! Bookmark not defined. 1.7 Responsabilidades de los Administradores y del Auditor. _ Error! Bookmark not defined. CONCLUSIONES _________________________________________________ 211 BIBLIOGRAFÍA ___________________________________________________ 211

ajenos a la empresa y totalmente independientes. Introducción a la Auditoria Informática La auditoría es el examen crítico y sistemático que realiza una persona o grupo de personas independientes del sistema auditado. Aunque hay muchos tipos de auditoría. Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización. determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias. la expresión se utiliza generalmente para designar a la auditoría externa. estableciendo los cambios que se deberían realizar para la consecución de los mismos. lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. . La auditoría informática es el proceso de recoger. Auditoria externa: Está a cargo de auditores profesionales. mantiene la integridad de los datos. La auditoría informática sirve para mejorar ciertas características en la empresa como:     Eficiencia Eficacia Rentabilidad Seguridad Existen diferentes tipos de Auditoria Informática: Auditoria interna: Está a cargo de empleados de la propia empresa. encuadrados en un departamento directamente dependiente de la dirección general.UNIDAD 1. agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial.

verificación. La auditoría informática es el proceso de recoger. revisión. El auditor evalúa y comprueba en determinados momentos del tiempo los controles y procedimientos informativos más complejos. consulta.1 Conceptos De Auditoria y Auditoria Informática. El auditor debe expresar con independencia su opinión. se ha incurrido en una formulación errónea. La verificación de la implantación de la Normativa. Tales funciones son responsabilidad de los órganos directivos del organismo auditado. debe calificar su informe justificando las razones que le han llevado a considerar las desviaciones de fidelidad y razonabilidad. se puede entender a la auditoria como la investigación. .1. lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. según su criterio. En su sentido más general. y en qué aspectos. El auditor está obligado a establecer de forma inequívoca. La revisión de la gestión de los recursos informáticos. cuando actúa como tal. desarrollando y aplicando técnicas mecanizadas de auditoría. designado para desempeñar tales funciones. Si no ha podido confirmar estos términos. comprobación y obtención de evidencia. El análisis de la eficacia del Sistema Informático. desde una posición de independencia. La función del auditor es la de examinar e informar sobre la documentación elaborada por los órganos directivos. sobre la documentación e información de una organización. incluyendo el uso de software. Principales objetivos que constituyen a la Auditoría Informática     El control de la función informática. si la imagen de la empresa es fiel y razonable en la documentación aportada. no es responsable ni de la operación del organismo ni del control de su funcionamiento. El auditor. El objetivo fundamental de un trabajo de auditoría es permitir que el auditor llegue a estar en condiciones de informar fundamentalmente sobre la fidelidad y razonabilidad de la situación que refleja la documentación aportada por la empresa. agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda los activos. De esta forma la auditoría informática sustenta y confirma la consecución de los objetivos tradicionales de auditoría. y en qué medida. realizadas por un profesional. mantiene la integridad de los datos. el auditor.

Planes de continuidad y Recuperación de desastres. Auditoría organizativa: Analiza si la estructura organizativa de la empresa es la adecuada. por su amplitud y por su frecuencia. está cumpliendo los objetivos establecidos por la gerencia. encuadrados en un departamento directamente dependiente de la dirección general. Auditoria externa: Está a cargo de auditores profesionales.La auditoría informática sirve para mejorar ciertas características en la empresa como:     Eficiencia Eficacia Rentabilidad Seguridad Generalmente se puede desarrollar en alguna o combinación de las siguientes áreas:      Gobierno corporativo. Administración del Ciclo de vida de los sistemas. Auditoria interna: Está a cargo de empleados de la propia empresa. Por el sujeto que la efectúa: La Auditoría puede clasificarse desde diversos puntos de vista. Por su contenido y fines Auditoría de gestión: Afecta a la situación global de la empresa. Auditoría operacional: Para determinar hasta qué punto una organización. según el sujeto que la efectúa. . así como identificar las condiciones que necesiten mejora. Protección y Seguridad. una unidad o función dentro de una organización. según el contenido y los fines. ajenos a la empresa y totalmente independientes.2 Tipos De Auditoria. 1. Servicios de Entrega y Soporte. según las necesidades y problemas de la misma.

el sujeto que la realiza es un empleado de la empresa. . para emitir una opinión fundada sobre el grado de fiabilidad de dichos estados. Por su amplitud Auditoría total: Afecta a todos los elementos de la empresa. Otros organismos públicos e institucionales. mientras que en la auditoría externa. Auditoría externa: Accionistas o socios. Auditoría contable: Analiza la adecuación de los criterios empleados para recogerlos hechos derivados de la actividad de la empresa y su representación. Proveedores. Diferencia entre Auditoría Interna y Externa: 1) En la auditoría interna.2. Los empleados de la empresa. Auditoría ocasional: Se realiza de forma esporádica. acreedores y otros.Auditoría financiera: Examen y verificación de los estados financieros de la empresa. Auditoría parcial: Se concentra en determinados elementos de la empresa. mediante apuntes contables. 1. Consejeros y ejecutivos. La Banca. Beneficios de la Auditoría: Los beneficiarios de la auditoría son los que tienen relación con la empresa y necesitan información correcta y auténtica sobre la situación y actividades de la misma. es un profesional independiente. Inversores. Auditoría interna: Es la propia empresa y todos los órganos de gobierno y ejecutivos.1 Auditoria interna y externa. Por su frecuencia Auditoría permanente: Se realiza periódicamente a lo largo del ejercicio económico. La Hacienda Pública. Auditoría informática: Examen y verificación del correcto funcionamiento y control del sistema informático de la empresa. en los estados financieros.

3 Campo de la Auditoria Informática. la independencia está limitada. Algunas de estas operaciones:  Resolución de ecuaciones. Algunas de estas operaciones:     Análisis y diseño de circuitos de computadora. Minería. mientras que en la auditoría externa. el uso del informe está restringido al ámbito de la propia empresa. el objetivo es el examen de los estados financieros para determinar si representan la situación real de la entidad auditada. la independencia es total.  Análisis de datos de medidas experimentales. . 6) En la auditoría interna. mientras que en la auditoría externa.2) En la auditoría interna. que puede llegar a ser penal. es de tipo profesional. el objetivo de la auditoría es el examen de la gestión. la responsabilidad del sujeto que la realiza es de tipo laboral. 4) En la auditoría interna. está dirigido también a terceros. 1. encuestas etc. mientras que en la auditoría externa. recuentos numéricos. Cálculo de estructuras en obras de ingeniería.  Análisis automáticos de textos Aplicaciones técnicas: Usa la computadora para facilitar diseños de ingeniería y de productos comerciales. trazado de planos. Cartografía. el informe emitido es un informe con recomendaciones para la gerencia. 5) En la auditoría interna. 3) En la auditoría interna. Áreas de Aplicación de la Auditoria Informática Algunos campos de aplicación de la informática son las siguientes: Investigación Científica y Humanística: Se usan la las computadoras para la resolución de cálculos matemáticos. el uso trasciende la propia empresa. etc. mientras que en la auditoría externa. mientras que en la auditoría externa. etc.

Ejemplos de este campo de aplicación son:  Documentación científica y técnica. electro-medicina. Protección y Seguridad. 1. Control de existencias. robots industriales. Planes de continuidad y Recuperación de desastres. Instrumentación y control: Instrumentación electrónica. Estas se usan para el almacenamiento de grandes cantidades de datos y la recuperación controlada de los mismos en bases de datos. organización. dirección y control de las operaciones con el objeto de asegurar la protección de todos los recursos informáticos y mejorar .  Archivos automatizados de bibliotecas.  Bases de datos jurídicas. Aplicaciones como:  Reconocimiento del lenguaje natural. Existen programas que realizan las siguientes actividades:     Contabilidad.Documentación e información: Es uno de los campos más importantes para la utilización de computadoras. en la planeación.  Programas de juego complejos (ajedrez). El Control Interno Informático puede definirse como el sistema integrado al proceso administrativo. Inteligencia artificial: Las computadoras se programan de forma que emulen el comportamiento de la mente humana. Gestión administrativa: Automatiza las funciones de gestión típicas de una empresa. Generalmente se puede desarrollar en alguna o combinación de las siguientes áreas:      Gobierno corporativo. Nóminas. Los programas responden como previsiblemente lo haría una persona inteligente. Servicios de Entrega y Soporte. Administración del Ciclo de vida de los sistemas. entre otros. Facturación.4 Control Interno.

etc.  Definir. Los controles según su finalidad se clasifican en: . corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos. puesto que no garantiza. por sí mismo. También se puede definir el Control Interno como cualquier actividad o acción realizada manual y/o automáticamente para prevenir. Objetivos principales:  Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados. En el ambiente informático. llámense estos de operación. evaluar su bondad y asegurarse del cumplimiento de las normas legales. implantar y ejecutar mecanismos y controles para comprobar el grado de cumplimiento de los servicios informáticos. de comunicación. eficiencia y efectividad de los procesos operativos automatizados.  Colaborar y apoyar el trabajo de Auditoría Informática interna/externa. El control interno tiene limitaciones. distribución geográfica y estructura de la organización. el control interno se materializa fundamentalmente en controles de dos tipos: Controles manuales: Aquellos que son ejecutados por el personal del área usuaria o de informática sin la utilización de herramientas computacionales.  Realizar en los diferentes sistemas y entornos informáticos el control de las diferentes actividades que se realizan. cuando se da la complicidad entre los cargos de confianza. La naturaleza de los controles depende de la clase de grado de control.  Asesorar sobre el conocimiento de las normas. entre los factores más importantes.los índices de economía. Controles Automáticos: Son generalmente los incorporados en el software. una administración eficiente y tampoco puede evitar el fraude. de gestión de base de datos. La dirección de la organización tiene la responsabilidad de decidir el alcance adecuado del sistema de control interno. programas de aplicación.

procedimientos y disposiciones legales establecidas interna y externamente. estándares. Entre sus funciones específicas están:  Difundir y controlar el cumplimiento de las normas. Componentes de un Sistema de Control interno: Tradicionalmente. Controles Detectivos: Descubre posteriormente los errores o fraudes que no haya sido posible evitarlos con controles preventivos. Controles Correctivos: Asegura que se subsanen todos los errores identificados mediante los controles detectivos. Control interno informático (Función) El Control Interno Informático es una función del departamento de Informática de una organización. técnicos y operadores. los principales componentes de un sistema de control interno han incluido: 1) 2) 3) 4) 5) 6) 7) 8) 9) Segregación de Funciones Delegación de la Responsabilidad y de la Autoridad Existencia de Personal Competente y de Confianza Sistema de Autorizaciones Documentación y Registros Adecuados Control Físico sobre Activos y Registros Adecuada Supervisión de la Gestión Verificación Independiente de las Operaciones Comparación Periódica de los Registros Contabilizados con los Activos. como por ejemplo el software de seguridad que evita el acceso a personal no autorizado.  Explotación de servidores principales  Software de Base  Redes de Computación  Seguridad Informática  Licencias de software  Relaciones contractuales con terceros . estándares y procedimientos al personal de programadores.  Diseñar la estructura del Sistema de Control Interno de la Dirección de Informática en los siguientes aspectos:  Desarrollo y mantenimiento del software de aplicación. cuyo objetivo es el de controlar que todas las actividades relacionadas a los sistemas de información automatizados se realicen cumpliendo las normas.Controles Preventivos: Para tratar de evitar la producción de errores o hechos fraudulentos.

 Cultura de riesgo informático en la organización  Control interno informático (áreas de aplicación) 1. La auditoría informática solo identifica el nivel de “exposición” por la falta de controles mientras el análisis de riesgos facilita la evaluación de los riesgos y recomienda acciones en base al costo-beneficio de la misma. Basadas en métodos estadísticos y lógica borrosa.5 Modelos de Control Utilizados en Auditoria Informática. estando obligado a presentar .6 Principios Aplicados a los Auditores Informáticos. PRINCIPIO DE BENEFICIO DE AUDITADO El auditor deberá ver cómo se puede conseguir la máxima eficacia y rentabilidad de los medios informáticos de la empresa auditada. Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo. Estos valores son datos de probabilidad de ocurrencia de un evento que se debe extraer de un riesgo de incidencias donde el número de incidencias tiende al infinito. que requiere menos recursos humanos / tiempo que las metodologías cuantitativas. 1. para seleccionar en base a la experiencia acumulada. Las metodologías son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada y eficaz. se puede agrupar en dos grandes familias: Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la realización del trabajo. Todas las metodologías existentes en seguridad de sistemas van encaminadas a establecer y mejorar un entramado de contramedidas que garanticen que la productividad de que las amenazas se materialicen en hechos sea lo más baja posible o al menos quede reducida de una forma razonable en costo-beneficio. están diseñadas para producir una lista de riesgos que pueden compararse entre sí con facilidad por tener asignados unos valores numérico. Puede excluir riesgos significantes desconocidos (depende de la capacidad del profesional para usar el check-list “guía”). Todas las metodologías existentes desarrolladas y utilizadas en la auditoría y el control informático.

aconsejables y óptimos para su adecuación a la finalidad para la que ha sido diseñado. Si el auditado decidiera encomendar posteriores auditorías a otros profesionales. este último deberá evitar estar ligado en cualquier forma. este podrá proponer un cambio cualitativamente significativo de determinados elementos o del propio sistema informático globalmente contemplado. Para garantizar le beneficio del auditado como la necesaria independencia del auditor. En ningún caso está justificado que realice su trabajo el prisma del propio beneficio. Cualquiera actitud que se anteponga intereses personales del auditor a los del auditado deberá considerarse como no ética. deberá segarse a realizarla hasta que se garantice un mínimo de condiciones técnicas que no comprometan la calidad de sus servicios o dictámenes. En los casos en el que la precariedad de medios puestos a su disposición impida o dificulten seriamente la realización de la auditoría. Una de las cuestiones más controvertidas. Únicamente en los casos en el que el auditor dedujese la imposibilidad de que el sistema pudiera acomodarse a las exigencias propias de su cometido.recomendaciones acerca del reforzamiento del sistema y el estudio de las soluciones más idóneas según los problemas detectados en el sistema informático de esta última. dañinas o que generen riesgos injustificados para el auditado. éstos deberían poder tener acceso a los informes de los trabajos anteriormente realizados sobre el sistema del auditado. respecto de la aplicación de este principio. a fin de adquirir un conocimiento pormenorizado de sus características intrínsecas. a intereses de determinadas marcas. éstos deberías poder tener acceso a los informes de los trabajos profesionales. El auditor deberá lógicamente abstenerse de recomendar actuaciones innecesariamente onerosas. Una vez estudiado el sistema informático a auditar. es la referente a facilitar el derecho de las organizaciones auditadas a la libre elección del auditor. La adaptación del auditor al sistema del auditado debe implicar una cierta simbiosis con el mismo. el auditor deberá establecer los requisitos mínimos. PRINCIPIO DE CAPACIDAD . PRINCIPIO DE CALIDAD En el auditor deberá prestar sus servicios a tenor de las posibilidades de la ciencia y medios a su alcance con absoluta libertad respecto a la utilización de dichos medios y en unas condiciones técnicas adecuadas para el idóneo cumplimiento de su labor. productos o equipos compatibles con los de su cliente.

el auditor actuar con un cierto grado de humildad. en todo momento. con un casi absoluto grado de certeza. al unísono con el desarrollo de las tecnologías de la información. PRINCIPIO DE CAUTELA El auditor en todo momento debe ser consciente de que sus recomendaciones deben estar basadas en el experiencia contrastada que se le supone tiene adquirida. Esta certificación que deberá tener a plazo de validez acorde con la evolución de las nuevas tecnologías de la información de la información. por tanto. evitando dar la impresión de estar al corriente de una información privilegiada sobre el estado real de la evolución de los proyectos. implícitas o explícitas. Si bien es cierto que el auditor debe estar al corriente del desarrollo de dichas tecnologías de información e informar al auditado de su previsible evolución. por tanto. por un exceso de vanidad. en una forma dinámica. PRINCIPIO DE COMPORTAMIENTO PROFESIONAL El auditor. el auditado se embarque en proyectos de futuro fundamentos en simples intuiciones sobre la posible evolución de las nuevas tecnologías de la información. deberá. en la medida de lo posible. Debe. Para ello deberá cuidar . gracias a sus conocimientos. ser plenamente consciente del alcance de sus conocimientos y de su capacidad y aptitud para desarrollar la auditoría evitando que una sobreestimación personal pudiera provocar el incumplimiento parcial o total de la misma. la pertinencia de sus conocimientos. de dignidad de la profesión y de corrección en el trato personal. por el contrario. no es menos cierto que deben evitar la tentación de creer que. debería estar validada y garantizada por la metodología empleada para acreditar dicha especialización. a los auditados en algunos casos les puede ser extremadamente difícil verificar sus recomendaciones y evaluar correctamente la precisión de las mismas. actuar conforma a las normas. tanto en sus relaciones con el auditado como con terceras personas. Debe. Es deseable que se fortalezca la certificación profesional de la aptitud de los auditores para realizar unos trabajos de índole tan compleja. evitando que. puede aventurar. una subestimación de su capacidad de su capacidad profesional. Conviene indicar que en los casos de producirse. esta circunstancia podría afectar negativamente en la confianza del auditado sobre el resultado final de la auditoría. el auditor deberá procurar que éstos evolucionen. maximice teniendo en cuenta que. A efectos de garantizar.El auditor debe estar plenamente capacitado para la realización de la auditoría encomendada.

ya que este modo de actuar permite detectar posibles omisiones en el estudio. Igualmente debe evitarse realizar actos que simulen aplicaciones de tratamientos ficticios. en todo momento. aunque ésta difiera ostensiblemente de las del resto el sector en las que desarrolla su actividad. el auditor deberá sopesar las posibles consecuencias de una acumulación excesiva de trabajos a fin de no asumir aquellos que objetivamente no tengan tiempo de realizar con las debidas garantías de calidad. en temas relacionadas o que puedan incidir en el resultado da la auditoría. se contrasten las mismas a tenor de la experiencia adquirida y reflejada en anteriores informes. una vez analizados en profundidad los aspectos a tener en cuenta y obtenidas las correspondientes conclusiones. encubran comportamientos no profesionales o den publicidad a metodologías propias o ajenas insuficientemente contrastadas y garantizadas. PRINCIPIO DE CONCENTRACION EN EL TRABAJO En su línea de actuación. Por el contrario. . Este comportamiento profesional permitirá al auditor dedicar a su cliente la mayor parte de los recursos posibles obtenidos de sus conocimientos y experiencias previas con una completa atención durante la ejecución de la auditoría. El auditor debe asimismo guardar un escrupuloso respeto por la política empresarial del auditado. si es admisible el que. debiendo eludir las injerencias no solicitadas por él.la moderación en la exposición de sus juicios u opiniones evitando caer en exageraciones o atemorizaciones innecesarias procurando. provocar la conclusión de los mismos sin las debidas garantías de seguridad. si no está debidamente controlada. El comportamiento profesional exige del auditor una seguridad en sus conocimientos técnicos y una clara percepción de sus carencias. el auditor deberá evitar que un exceso de trabajo supere sus posibilidades de concentración y precisión en cada una de las tareas a él encomendadas. y a que la estructuración y dispersión de trabajos suele a menudo. A este efecto. transmitir una imagen de precisión y exactitud en sus comentarios. Asimismo deberá evitar la desaconsejable práctica de ahorro de esfuerzos basada en la reproducción de partes significativas de trabajos o conclusiones obtenidas de trabajos previos en otros posteriores elaborados como colofón de nuevas auditorías. de profesionales de otras áreas.

aparentemente inocuos. éstas pueden seguir influyendo en su trabajo. adecuar su lenguaje al nivel de comprensión del auditado. tiene otra finalidad ajena a la auditoría. a adoptar a sus propuestas deberá plantearse la continuidad de sus servicios en función de las razones y causas que considere puedan justificar dicho proceder. el auditado se niega. PRINCIPIO DE ECONOMÍA . si una vez analizadas continúa discrepando de las mismas. cuando lo considere necesario. Este principio exige asimismo del auditor una actitud casi beligerante en los casos en que llegue al convencimiento de que la actividad que se solicita. ya que la libertad de criterio impone al auditor la obligación de ética de actuar en todo momento. aun de reconocido prestigio. De igual forma cuando el auditor observe que. aunque el auditor debe evitar que. sin justificación alguna. descendiendo y detallando cuando haga falta en su explicación debiendo solicitar. PRINCIPIO DE CRITERIO PROPIO El auditor durante la ejecución deberá actuar con criterio propio y no permitir que esté subordinado al de otros profesionales. El auditor deberá. presuntamente para evaluar y mejorar un sistema informático. PRINCIPIO DE DISCRECIÓN El auditor deberá en todo momento mantener una cierta discreción en la divulgación de datos. Este principio requiere así mismo. la presencia de alguno de los colaboradores de confianza de su cliente.PRINCIPIO DE CONFIANZA El auditor deberá facilitar e incrementar la confianza del auditorio en base a una actuación de transparencia en su actividad profesional sin alardes científicostécnicos. La defensa a ultranza del propio criterio no es óbice para respetar las críticas adversas de terceros. el mantener una confianza en las indicaciones del auditado aceptándolas sin reservas como válidas. por parte del auditor. que se le hayan puesto de manifiesto durante la ejecución de la auditoria. de forma reiterada. que no coincidan con el mismo. en consonancia con esta forma de actuar.

muy relacionado con el principio de criterio propio. tanto si actúa como profesional externo o con dependencia laboral respecto a la empresa en la que deba realizar la auditoria informática. PRINCIPIO DE FORMACIÓN CONTINUADA Este principio impone a los auditores el deber y la responsabilidad de mantener una permanente actualización de sus conocimientos y métodos a fin de adecuarlos a las necesidades de la demanda y a las exigencias de la competencia de la oferta. Esta independencia implica así mismo el rechazo de criterios con los que no esté plenamente de acuerdo. condición esta imprescindible para permitirle actuar libremente según su leal saber y entender. . eludiendo utilizar aquellos que no se precisen. lo que exige un respeto por el ejercicio. a exigir una total autonomía e independencia en su trabajo. obliga al auditor. En las recomendaciones y conclusiones realizadas en base a su trabajo deberá así mismo eludir. lo que redundará en reducciones de gastos no justificados. debiendo reflejarse en su informe final tan solo aquellos que considere pertinentes evitando incluir en el mismo aquellos otros que según su entender pudieran producir perjuicios al auditado. en la medida de sus conocimientos. El auditor como integrante de un grupo profesional beberá promover el respeto mutuo y la no confrontación entre compañeros. globalmente considerado.El auditor deberá proteger. incitar o proponer actuaciones que puedan generar gastos innecesarios o desproporcionados. aunque este así se lo solicite. PRINCIPIO DE FORTALECIMIENTO Y RESPETO DE LA PROFESIÓN La defensa de los auditados pasa por el fortalecimiento de la profesión de los auditores informáticos. De igual forma. los derechos económicos del auditado evitando generar gastos innecesarios en el ejercicio de su actividad. En sus relaciones profesionales beberá exigir así mismo una reciprocidad en el comportamiento ético de sus colegas y facilitar las relaciones de confraternidad y mutuo apoyo cuando así se le soliciten. PRINCIPIO DE INDEPENDENCIA Este principio. el auditor deberá tener en cuenta la economía de medios materiales o humanos. de la actividad desarrollada por los mismos y un comportamiento acorde con los requisitos exigibles para el idóneo cumplimiento de la finalidad de las auditorias.

en forma pormenorizada. las prácticas colusorias tendentes a impedir o limitar la legitima competencia de otros profesionales y las prácticas abusivas consistentes en el aprovechamiento en beneficio propio. durante y posterior a la auditoria deberá evitar cualquier tipo de condicionantes personalizados y actuar en todos los casos con similar diligencia. PRINCIPIO DE NO DISCRIMINACIÓN El auditor en su actuación previa. obliga al auditor a ser honesto. tendente a infringir cualquier precepto integrado en el derecho positivo. información tanto sobre todos y cada uno de los puntos relacionados con la auditoria que puedan tener algún interés para él. clara. . inherentemente ligado a la dignidad de la persona. por parte del auditado o de terceras personas. como sobre las conclusiones a las que ha llegado. su actuación deberá mantener una igualdad de trato profesional con la totalidad de personas con las que en virtud de su trabajo tenga que relacionarse. leal y diligente en el desempeño de su misión. PRINCIPIO DE LEGALIDAD La primacía de esta obligación exige del auditor un comportamiento activo de oposición a todo intento. de posiciones predominantes. Es importante asimismo que la información transmitida al auditado ponga de manifiesto una prudencia y sentido de la responsabilidad. y a evitar participar. y en contra de los intereses de los auditados. precisa e inteligible para el auditado. PRINCIPIO DE LIBRE COMPETENCIA La actual economía de mercado exige que el ejercicio de la profesión se realice en el marco de la libre competencia siendo rechazables. PRINCIPIO DE INTEGRIDAD MORAL Este principio. voluntaria o inconscientemente. a ajustarse a las normas morales de justicia y prioridad.PRINCIPIO DE INFORMACIÓN SUFICIENTE Este principio obliga al auditor a ser plenamente consciente de su obligación de aportar. características estas que nunca deben estar reñidas con los principios de suficiencia informativa y de veracidad evitando recrear los aspectos negativos o los errores humanos detectados que deben quedar reflejados con un cierto tacto profesional. en cualquier acto de corrupción personal o de terceras personas. por tanto.

Deberá igualmente evitar aprovechar los datos obtenidos de la auditoria para entrar en competencia desleal con profesionales relacionados con ella de otras áreas del conocimiento. debido a errores humanos durante la ejecución de la auditoria. haya comprobado u observado de forma exhaustiva. respetar su labor y eludir hacer comentarios que pudieran interpretarse como despreciativos de la misma o provocar un cierto desprestigio de su cualificación profesional. Si bien este principio aparentemente puede resultar gravoso en auditorias de gran complejidad es preciso tenerlo presente a fin de poder garantizar su responsabilidad en los casos en que. PRINCIPIO DE PUBLICIDAD ADECUADA La oferta y promoción de los servicios de auditoria deberán en todo momento ajustarse a las características. de la viabilidad de sus propuestas. como elemento intrínseco de todo comportamiento profesional. se produzcan daños a su cliente que le pudieran ser imputados. o por medio de sus colaboradores. siendo contraria a la ética profesional la difusión de publicidad falsa o engañosa que tenga como objetivo confundir a los potenciales usuarios de dichos servicios. Es exigible asimismo del auditor que indique como evaluado únicamente aquello que directamente. PRINCIPIO DE RESPONSABILIDAD El auditor deberá. debiendo ampliar sus estudios de ser necesario. responsabilizarse de lo que haga. .PRINCIPIO DE NO INJERENCIA El auditor. en la medida de lo posible. deberá evitar injerencias en los trabajos de otros profesionales. PRINCIPIO DE PRECISIÓN Este principio estrechamente relacionado con el principio de calidad exige del auditor la no conclusión de su trabajo hasta estar convencido. condiciones y finalidad perseguidas. diga o aconseje. no eludiendo poner de manifiesto aquellos aspectos concretos que considere puedan tener una incidencia en la calidad y fiabilidad de la auditoria. En la exposición de sus conclusiones deberá ser suficientemente crítico. dada la injerencia que puede derivarse de su tarea.

PRINCIPIO DE VERACIDAD . Exige una continua elevación del arte de la ciencia en el campo de la auditoria informática. Solamente por imperativo legal podrá decaer esa obligación. Deberá poner de manifiesto sus opciones personales cuando entren en contradicción con la ética social que el auditado pueda presumir que esta implícitamente aceptada por el auditor. para evitar daños sociales. obtenida a lo largo de la auditoria. adaptados a las peculiares características de su actividad. PRINCIPIO DE SERVICIO PÚBLICO La aplicación de este principio debe incitar al auditor a hacer lo que esté en su mano y sin perjuicio de los intereses de su cliente. Establecimiento de las medidas y mecanismos de seguridad pertinentes para garantizar al auditado que la información documentada. o deducido durante el desarrollo de su trabajo que pudiera perjudicar a su cliente. La responsabilidad del auditor conlleva la obligación de resarcimiento de los daños o perjuicios que pudieran derivarse de una actuación negligente o culposa. va a quedar almacenada en entornos o soportes que impidan la accesibilidad a la misma por terceras personas no autorizadas. oído.Por ello es conveniente impulsar la formalización y suscripción de seguros. PRINCIPIO DE SECRETO PROFESIONAL La confidencia y confianza con características esenciales de las relaciones entre el auditor y el auditado e imponen al primero la obligación de guardar en secreto los hechos e informaciones que conozca en el ejercicio de su actividad profesional. Este principio obliga primero a no difundir a terceras personas ningún dato que haya visto. que cubran la responsabilidad civil de los auditores con una suficiente cobertura a fin de acrecentar la confianza y solvencia de su actuación profesional.

administración y efectividad de la administración.  Análisis de la administración de Sistemas de Información. puede actuar como consejero con la organización en la que está desarrollando su labor. El auditor puede actuar como consultor con su auditado. Es responsable de realizar las siguientes actividades:  Verificación del control interno tanto de las aplicaciones como de los SI. considerarse como constreñido a expresar únicamente aquello sobre lo que se tenga una absoluta y total certeza. comunique a este último sus conclusiones. La aplicación de este principio exige al auditor. y secreto profesional. debiendo actuar en la comprobación de los primeros y en la fundamentación de las restantes con una suficiente diligencia profesional para garantizar el cumplimiento de su obligación de informar verazmente.  Análisis de la integridad. Un entorno informático bien controlado puede ser ineficiente si no es consistente con los objetivos de la organización.7 Responsabilidades de los administradores y del auditor. Además. sin embargo. fiabilidad y certeza de la información a través del análisis de aplicaciones. periféricos. corrección. . El principio de veracidad no debe. desde un punto de vista de riesgo de seguridad. etc.El Auditor en sus comunicaciones con el auditado deberá tener siempre presente la obligación de asegurar la veracidad de sus manifestaciones con los límites impuestos por los deberes de respeto. propuestas y valoraciones personales. El auditor informático debe ser una persona con un alto grado de calificación técnica y al mismo tiempo estar integrado a las corrientes organizativas empresariales. en el marco de su obligación de informar al auditado sobre el trabajo realizado. sino que implica poner de manifiesto aquello que tenga el suficiente grado de fiabilidad como para ser considerado como veraz mientras no se aporten datos o pruebas que demuestren lo contrario. 1. diferenciando los hechos constatados de las opiniones. dándole ideas de cómo enfocar la construcción de los elementos de control y administración que le sean propios.

con independencia de objetivos. que son su objeto de estudio y análisis. Organización de la función de Auditoría Informática La función de la auditoría informática se ha convertido en una función que desarrolla un trabajo más acorde con la importancia que para las organizaciones tienen los SI. .  Análisis de la administración de los riesgos de la información y de la seguridad implícita. con acceso total a los SI y demás tecnología. Esto es para que no se pueda sospechar que existe sesgo al momento de realizar el trabajo de auditoría y ofrecer conclusiones y recomendaciones. El auditor informático pasa a ser auditor y consultor de empresas en materias de:       Seguridad Control interno operativo Eficiencia y eficacia Tecnologías de Información Continuidad de operaciones Administración de riesgos Su localización puede estar ligada a la auditoría interna operativa y financiera (aunque exista una coordinación lógica entre ambos departamentos). Debe ser un grupo independiente del de auditoría interna. que depende de la misma persona que la auditoría interna (Director General o Consejero) La dependencia debe ser del máximo responsable dela organización.  Verificación del nivel de continuidad de las operaciones. planes de formación y presupuestos. nunca del departamento de sistemas o del financiero. Auditoría del riesgo operativo de los circuitos de información.  Análisis del Estado del Arte tecnológico de la instalación revisada y las consecuencias empresariales que un desfase tecnológico puede acarrear. Los recursos humanos con los que debe contar el departamento debe ser una mezcla equilibrada de personas con formación en auditoría y organización y con perfil informático (especialidades).

html .google.com/site/aisadith/unidad-1  http://muziek-film-kunst. BIBLIOGRAFÍA  https://sites.mx/2010/11/unidad-1-introduccion-laauditoria.CONCLUSIONES La Auditoría Informática nos permite darnos cuenta el cómo se desarrolla la planeación de una auditoria en Informática y cuál es la metodología a seguir.blogspot.