Professional Documents
Culture Documents
C ARRERA
INGENIERA INFORMTICA
M ATERIA
AUDITORIA INFORMATICA
C AT E D R AT I C O
Lic. JOS MANUEL DAZ RIVERA
P RESENTA
LUIS ENRIQUE MNDEZ AGUILA
I N D I C E
Contenido
Pgina
III
Justificacin
III
Objetivo General
III
Objetivos Especficos
III
Introduccin
IV
1.
Definicin y clasificacin...
1.2.
Informtica...
1.3.
10
1.4
12
1.5
14
1.6
desviaciones
16
1.7
18
1.8
Documentacin de la auditora..
19
1.9
Evidencia Comprobatoria
19
22
1.11 Resumen...
23
26
26
Conclusin
28
Bibliografa
30
1.
auditoria.
2. JUSTIFICACIN
Aprender el proceso de auditora en el campo de las aplicaciones informticas,
permitindoles tener una visin integral del control interno informtico en una
organizacin. Se revisan estndares internacionales que establecen buenas prcticas en
la gestin de la seguridad de la informacin, anlisis de riesgos desde el punto de vista
tecnolgico y gestin continuidad de negocios. Adems aprender a utilizar una aplicacin
de anlisis de datos para realizar las pruebas de auditora. Es importante para
complementar un enfoque global de la auditora en una organizacin considerando la vital
de garantizar una seguridad razonable de la informacin de la misma.
3. OBJETIVO GENERAL
Desarrollo de criterios prcticos y tericos para la auditora en el campo de las
aplicaciones informticas, permitindoles tener una visin integral del control interno
informtico en una organizacin.
4. OBJETIVOS ESPECIFICOS
Describir las habilidades fundamentales que debe tener todo auditor de informtica.
I N TRO DU CCI N
La Auditora juega un papel fundamental en el mantenimiento de las empresas, ya que
implica el control de los recursos de los cuales ellas disponen, a su vez la calidad de las
Auditoras es uno de los temas ms importantes a perfeccionar en esta rama, pues de esto
depende la confiabilidad de los estados de control de las empresas.
La Supervisin de las Auditorias constituye un aspecto de vital de importancia segn las
tendencias actuales, por cuanto significa la comprobacin y seguridad de que stas se hayan
realizado cumpliendo con los principios y normas establecidos para el ejercicio de la Auditoria
y permiten evaluar la correspondencia del dictamen emitido por el grupo de auditores con la
situacin real de la entidad auditada. Este tema ha constituido una necesidad identificada a
nivel internacional y en el contexto nacional se ha pronunciado el Ministerio de Auditoria y
Control por disear un procedimiento que permita determinar la confiabilidad y calidad del
trabajo realizado por entidades fiscalizadoras.
A nivel mundial se han presentado situaciones que han puesto en crisis el criterio y el trabajo
realizado por auditores que generan un deterioro del prestigio del auditor y su independencia
causados por la corrupcin y otros tipos de fraudes de los cuales no deja de estar exento
ningn pas.
Auditora Externa:
Es el examen o verificacin de las transacciones, cuentas, informaciones, o estados
financieros, correspondientes a un perodo, evaluando la conformidad o cumplimiento de las
disposiciones legales o internas vigentes en el sistema de control interno contable. Se
practica por profesionales facultados, que no son empleados de la organizacin cuyas
afirmaciones o declaraciones auditan.
Adems, examina y evala la planificacin, organizacin, direccin y control interno
administrativo, la economa y eficiencia con que se han empleado los recursos humanos,
materiales y financieros, as como el resultado de las operaciones previstas a fin de
determinar si se han alcanzado las metas propuestas.
Fiscal: Se denomina fiscal a la Auditora externa que se efecta por el Ministerio de Finanzas
y Precios, sus dependencias u otras entidades expresamente facultadas por ste, con el
objetivo de determinar si los tributos al fisco, se efectan en la cuanta debida y dentro de los
plazos y formas, establecidos. (Corresponde a la Oficina Nacional de Administracin
Tributaria ONAT ejercer estas funciones).
Auditora Interna:
Se denomina Auditora interna al control que se desarrolla como instrumento de la propia
administracin y consiste en una valoracin independiente de sus actividades; que
comprende el examen de los sistemas de control interno, de las operaciones contables y
financieras y de la aplicacin de las disposiciones administrativas y legales que corresponda;
con la finalidad de mejorar el control y grado de economa, eficiencia y eficacia en la
utilizacin de los recursos; prevenir el uso indebido de stos y coadyuvar al fortalecimiento
de la disciplina en general. De acuerdo con los objetivos fundamentales que se persigan, las
Auditoras pueden ser:
De gestin u operacional: Consiste en el examen y evaluacin que se realiza a una entidad
para establecer el grado de economa, eficiencia y eficacia en la planificacin, control y uso
de los recursos y comprobar la observancia de las disposiciones pertinentes, con el objetivo
de verificar la utilizacin ms racional de los recursos y mejorar las actividades y materias
examinadas.
Especial: Consiste en la verificacin de asuntos y temas especficos, de una parte de las
operaciones financieras o administrativas, de determinados hechos o situaciones especiales
y responden a una necesidad especfica. As mismo, comprenden trabajos de investigacin, y
la auditora que se realiza con el objetivo de conocer en qu medida se ha erradicado las
deficiencias detectadas con anterioridad. Estos casos comnmente se identifican como
Auditoras Recurrentes o de Seguimiento.
Fiscal: Consiste en el examen de las operaciones relacionadas con los tributos al fisco, a los
que est obligada la entidad estatal o persona natural o jurdica del sector no estatal, con el
objetivo de determinar si se efectan en la cuanta que corresponda, dentro de los plazos y
formas establecidas, y proceder conforme a derecho.
Observacin
Realizacin de cuestionarios
Muestreo estadstico
Flujogramas
Listas de chequeo
1.3
contratan sus servicios, sino con un nmero de personas desconocidas para l que van a
utilizar el resultado de su trabajo como base para tomar decisiones.
Normas de informacin.
Normas personales
Son cualidades que el auditor debe tener para ejercer sin dolo una
auditora, basados en un sus conocimientos profesionales as como en un
entrenamiento tcnico, que le permita ser imparcial a la hora de dar sus
sugerencias.
Normas de ejecucin del trabajo
Son la planificacin de los mtodos y procedimientos, tanto como papeles
de trabajo a aplicar dentro de la auditora.
Normas de informacin
son el resultado que el auditor debe entregar a los interesados para que se
den cuenta de su trabajo, tambin es conocido como informe o dictamen.
Procedimientos.
Por esta razn el auditor deber aplicar su experiencia y decidir cul tcnica o
procedimiento de auditora sern los ms indicados para obtener su opinin.
para
aqullas
que
discrecionalmente
le
corresponda
realizar.
El auditor deber valorar las disposiciones adoptadas por el ente fiscalizado como
consecuencia de las conclusiones y recomendaciones de informes anteriores, as como
proveer la realizacin de comprobaciones posteriores sobre la auditoria planificada.
La supervisin del trabajo realizado por todos y cada uno de los miembros del equipo
es esencial para asegurar el cumplimiento de los objetivos de la auditoria y el mantenimiento
de la calidad del trabajo.
Las normas que desarrollan este principio se refieren al sujeto que en cada caso debe
supervisar, al trabajo que debe ser supervisado y a los fines que se quieren lograr con la
supervisin.
1.5
Las tcnicas de auditora asistidas por computadora son de suma importancia para el auditor,
cuando realiza una auditora. CAAT (Computer Audit Assisted Techniques) incluyen distintos
tipos de herramientas y de tcnicas, las que ms se utilizan son los software de auditora
generalizado, software utilitario, los datos de prueba y sistemas expertos de auditora. Se
pueden utilizar para realizar varios procedimientos de auditora incluyendo:
Tcnicas:
Datos de Prueba: Las tcnicas de datos de prueba se usan para conducir los
procedimientos de auditoria cuando se registran los datos en el sistema de cmputo de
una dependencia (por ejemplo, una muestra de transacciones), y los resultados obtenidos
1 Datos de prueba que se hayan usado para verificar los controles especficos en los
programas de cmputo, como son la clave de acceso en lnea y los controles para el
acceso a datos.
2 Transacciones de prueba seleccionadas a partir de transacciones anteriores o creadas
por el auditor para verificar las caractersticas especficas de procesamiento del
sistema de cmputo de una dependencia. En general, estas transacciones se
procesan fuera del procesamiento normal que utilice la dependencia.
Anlisis de Bitcoras: Hoy en da los sistemas de cmputo se encuentran expuestos a
distintas amenazas, las vulnerabilidades de los sistemas aumentan, al mismo tiempo que
se hacen ms complejos, el nmero de ataques tambin aumenta, por lo anterior las
organizaciones deben reconocer la importancia y utilidad de la informacin contenida en
las bitcoras de los sistemas de cmputo as como mostrar algunas herramientas que
ayuden a automatizar el proceso de anlisis.
El crecimiento de Internet enfatiza esta problemtica, los sistemas de cmputo
generan una gran cantidad de informacin, conocidas como bitcoras o archivos logs, que
pueden ser de gran ayuda ante un incidente de seguridad, as como para el auditor.
Una bitcora puede registrar mucha informacin acerca de eventos relacionados con
el sistema que la genera los cuales pueden ser:
Fecha y hora
Direcciones IP origen y destino
Direccin IP que genera la bitcora
Usuarios
Errores
Las bitcoras contienen informacin crtica es por ello que deben ser analizadas, ya
que estn teniendo mucha relevancia, como evidencia en aspectos legales.
Simulacin paralela: Tcnica muy utilizada que consiste en desarrollar programas o
mdulos que simulen a los programas de un sistema en produccin. El objetivo es
procesar los dos programas o mdulos de forma paralela e identificar diferencias entre los
resultados de ambos.
Ventajas de su uso en trminos generales:
1 Incrementan el alcance y calidad de los muestreos, verificando un gran nmero de
elementos.
2 Se puede ver como los recursos han sido utilizados y detectar parmetros de uso o
desviaciones en cuanto a los procedimientos y polticas de la empresa.
3 Recuperar informacin ante incidentes de seguridad, deteccin de comportamiento
inusual, informacin para resolver problemas, evidencia legal.
4 Es de gran ayuda en las tareas de cmputo forense.
1.6
Responsabilidad
del
auditor
frente
al
descubrimiento
de
fraudes
otras
irregularidades.
Es norma internacionalmente establecida que los estados financieros representan
manifestaciones de la direccin de la compaa, no obstante que el auditor pueda cooperar
en su preparacin y en la de las notas a los mismos. La funcin del auditor es examinar los
estados financieros y expresar su opinin profesional e independiente sobre dichos estados.
El examen normal de los estados financieros no tiene como objetivo expreso descubrir
fraudes y no puede depender del mismo para ello.
Sin embargo, al planificar y efectuar su examen y al emitir su opinin sobre la
responsabilidad de los estados financieros, el auditor debe tener en cuenta la posibilidad de
que puedan existir irregularidades (incluyendo desfalco y otros semejantes), as como
tambin el hecho de que en algunos casos el fraude o irregularidad sea de tal magnitud que
afecte la presentacin justa de la posicin financiera o de los resultados de operaciones.
El examen, hecho de acuerdo con normas de auditoria generalmente aceptadas considera
esta posibilidad.
Papeles de trabajo.
Fuente de datos de referencia (por ejemplo discusin de asuntos relacionados con el
negocio del cliente, asuntos impositivos, etc.)
1.7
Para las auditorias del sector pblico, el nivel de riesgo aceptado puede ser menor
que el de auditorias similares en el sector privado, porque existe en aqul la obligacin de
rendir cuenta y de cumplir obligaciones legales reglamentarias, as como por el carcter
particular de los programas, actividades y funciones del sector pblico.
1.8
Documentacin de la auditora
Carta de Presentacin del Informe Final
Carta de Manifestaciones
Pronunciamientos normativos.
Para obtener la evidencia comprobatoria que respalda las aseveraciones hechas en
los estados financieros por la administracin, el auditor debe establecer los objetivos
especficos de auditora que confirmen la razonabilidad de dichas aseveraciones.
Las aseveraciones hechas en los estados financieros, que estn relacionados con los
objetivos de auditoria son declaraciones de la administracin que se incluyen como parte
integrante de los mismos y que por su naturaleza, pueden ser explcitas o implcitas y se
refieren a lo siguiente:
Existencia u ocurrencia.
Significa que los activos y pasivos de la entidad existen a una fecha especfica y que
las transacciones registradas han ocurrido durante cierto periodo.
Integridad.
Significa que todas las transacciones y saldos que deben presentarse en los estados
financieros se han incluido.
Derechos y obligaciones.
Significa que los activos representan los derechos de la entidad y los pasivos las
obligaciones de la misma, a una fecha determinada.
Valuacin.
Significa que los conceptos del activo, pasivo, capital, ingresos y gastos, han sido
incluidos en los estados financieros por los importes apropiados.
Presentacin y revelacin.
Significa
que
los
renglones
particulares
de
los
estados
financieros
estn
realizadas, ya sea por los resultados de una sola o por la concurrencia de varias, son vlidas
y apropiadas para que el auditor llegue a adquirir la certeza moral (grado de seguridad y
confianza para emitir su opinin sobre los estados financieros) de que los hechos que est
tratando
de
probar
los
criterios
cuya
correccin
est
juzgando,
han
quedado
satisfactoriamente comprobados.
La confiabilidad de la evidencia comprobatoria se ve influenciada por su fuente,
interna o externa y por su naturaleza visual, oral o documental.
La evidencia obtenida de fuentes independientes fuera de la entidad, proporciona
mayor seguridad que la obtenida en la entidad.
La contabilidad y los estados financieros elaborados bajo condiciones satisfactorias de
control interno, son ms confiables que las elaboradas bajo condiciones poco satisfactorias.
El conocimiento directo del auditor obtenido a travs de exmenes fsicos,
observacin, clculos e inspeccin, es ms conveniente que la informacin obtenida
indirectamente.
La evidencia en forma de documentos y confirmaciones escritas es ms confiable que
las confirmaciones verbales.
La necesidad de valorar los procedimientos de control interno y los puntos sobre los
que debe centrarse esta evaluacin, varan segn los objetivos de la auditoria.
El examen recaer sobre los dispositivos establecidos para proteger los activos y los
recursos y asegurar que los apuntes contables se efecten de forma adecuada.
Auditoria de cumplimiento de la legalidad
Se valorarn los mtodos y procedimientos establecidos para ayudar a los gestores en
el cumplimiento de las leyes y reglamentos.
Auditoria operativa
Se debern valorar los sistemas y procedimientos establecidos que sirvan de apoyo para
que el ente auditado realice sus actividades de forma eficaz, eficiente y econmica. Para
dicha valoracin es importante asegurarse de que el control interno analiza:
1.11 Resumen
El nacimiento de metodologa en el mundo de la auditoria y el control informtico se puede
observar en los primeros aos de los ochenta, naciendo a la par con la informtica.
La cual utiliza la metodologa en disciplinas como la seguridad de los sistemas de
informacin, la cual la definimos como la doctrina que trata de los riesgos informticos.
En donde la auditoria se involucra en este proceso de proteccin y preservacin de la
informacin y de sus medios de proceso.
La auditoria informtica es el proceso de recoger, agrupar y evaluar evidencias para
determinar si un sistema informatizado salvaguarda los activos.
Mantiene la integridad de los datos, lleva a cabo los eficazmente los fines de la
organizacin y utiliza eficiente mente los recursos. Es una herramienta enfocada a la
adecuada gestin de los Sistemas de la Informacin.
Bsicamente todos los cambios que se realizan en una organizacin someten a una
gran tensin a los controles internos existentes. Cuando un auditor profesional se somete a
auditar una empresa, lo primero que se le viene a la cabeza es mejorar todos los procesos
que se llevan en la misma.
Para ello se empieza ya bien sea por reas o departamentos o mejor dicho se
empieza a trabajar internamente.
Por ello es cada vez ms necesario un completo anlisis del trfico de:
Los correos electrnicos corporativos.
Las pginas Web que se visitan desde los ordenadores de la empresa.
El control interno informtico controla diariamente que todas las actividades de
sistemas de informacin sean realizadas cumpliendo los procedimientos, estndares y
normas fijados por la direccin de la organizacin y/o la direccin informtica.
La funcin del control interno informtico es asegurarse de que las medidas que se
obtienen de los mecanismos implantados por cada responsable sean correctas y vlidas.
Como principales objetivos podemos indicar los siguientes:
Controlar que todas las actividades se realicen cumpliendo los procedimientos y
normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.
Asesorar sobre el conocimiento de las normas.
al
grupo.
forman
parte
de
la gestin de la
empresa.
resultados
o informacin elaborada
pueden
producir
resultados
o informacin errnea si dichos datos son, a su vez, errneos. En este caso interviene
la Auditora Informtica de Datos.
Hecho encontrado
Consecuencias del hecho
Repercusin del hecho (influencias sobre otros aspectos)
Conclusin del hecho
Recomendaciones
Redaccin de la Carta de Presentacin
Funcin de opinin del auditor respecto a los objetivos de la auditora
Favorable o sin salvedades: trabajo realizado
Sin limitaciones de alcance y sin incertidumbre
De acuerdo con la normativa legal y profesional
Con salvedades
Desfavorable
Identificacin de irregularidades
Incumplimiento de la normativa legal y profesional que
afecte
CONCLUSIN
La Auditora Informtica, hoy en da es de vital importancia para las empresas modernas con
visin de futuro, sobre todo inmersas en el mundo globalizado, porque si no se prevee los
mecanismos de control, seguridad y respaldo de la informacin dentro de una institucin se
ver sumida a riesgos lgicos, fsicos y humanos, que conlleven a fraudes no solamente
econmicos sino de informacin, es decir, prdidas para la empresa.
Evitar fraudes es responsabilidad de todos los empleados, por ello es importante crear
una cultura empresarial encaminada a minimizar el riesgo de fraude.
El auditor debe estar capacitado para comprender los mecanismos que se desarrollan
en un procesamiento electrnico. Tambin debe estar preparado para enfrentar sistemas
computarizados en los cuales se encuentra la informacin necesaria para auditar.
Informticos,
de
aqu,
la
vital
importancia
que
los sistemas
de
La auditoria de Sistemas debe hacerse por profesionales expertos, una auditoria mal
hecha puede acarrear consecuencias drsticas para la empresa auditada, principalmente
econmicas.
BIBLIOGRAFA
Audinet : http://www.audinet.org
Sans Institute : http://www.sans.org AUDITORIA INFORMATICA. Un enfoque prctico
Mario Piatini Emilio del Peso Ed. Rama
AUDITORIA DE LOS SISTEMAS DE INFORMACIN Rafael Bernal y scar Coltell Univ.
Politcnica de Valencia