You are on page 1of 15

Universidad Nacional Autónoma de Honduras

U.N.A.H
Faculta Ingeniería en Sistemas

Auditoria Informática
Resumen de Capitulo II

Ingeniero: Hector Duarte

Presentado por:
Fredy Leonel Medina Matamoros
Número de Cuenta:
20091002303
Sección: 0700

Tegucigalpa M.D.C miércoles 05 de junio de 2015

INDICE                Introducción ---------------------------------------------------------------------------------1 Objetivos Generales ----------------------------------------------------------------------2 Objetivos específicos ---------------------------------------------------------------------2 Fases de Auditoria -------------------------------------------------------------------------3 Revisión Preliminar ------------------------------------------------------------------------6 Revisión Detallada-------------------------------------------------------------------------7 Examen y Evaluación de la Información --------------------------------------------7 Pruebas de Consentimiento ------------------------------------------------------------8 Pruebas de Control de Usuario --------------------------------------------------------9 Pruebas Sustantivas ----------------------------------------------------------------------9 Investigación Preliminar -----------------------------------------------------------------10 Personal Participante --------------------------------------------------------------------11 Conclusiones ------------------------------------------------------------------------------12 Recomendaciones -----------------------------------------------------------------------13 Bibliografía ---------------------------------------------------------------------------------14 .

De esta manera iremos evaluando y recopilando información y verificando que esta sea relevante para la auditoria. Encontraremos que para poder realizar una auditoría se deben de efectuar varios pasos previamente establecidos que rigen el orden en el que se debe de trabajar. empezando con un planeación y luego pasando por la revisión preliminar en donde no ocuparemos de obtener información necesaria para poder tomar decisiones de como se ha de proceder en la auditoria recompilando información por medio de entrevistas. Luego sigue la revisión detallada que es una indagación más profunda con respecto a la revisión detallada.INTRODUCCION En el siguiente informe detallaremos los conceptos más importantes que se lograron encontrar referente a auditoria donde tomamos referencia del libro de Echenique capítulo I. 1 .

Planeación de la auditoría en informática 2 .  Comprender los criterios tomados en cuenta para verificar que los controles de la empresa funcionan como deberían de funcionar.Objetivos Generales  Entender cuáles son cada uno de los procedimientos que se deberán llevar a cabo el proceso de una auditoria. Objetivos Específicos  Aprender lo que comprende cada una de las etapas en una auditoria  Identificar que tipos de pruebas se deben de realizar para permitir al auditor emitir un juicio respecto al procedimiento llevados a cabo por la organización.

 Que los auditores en informática posean los conocimientos.  Tener habilidad para: aplicar amplios conocimientos a situaciones que posiblemente se vallan encontrando. procedimientos y técnicas de auditoría interna para el desarrollo de las revisiones. experiencia y disciplinas para realizar las auditorias. El departamento de auditoría interna deberá asignar a cada auditoria a aquellas personas que en su conjunto posean los conocimientos.Fases de la Auditoria La Auditoría en informática es el proceso de recolección y evaluación de evidencias para determinar cuando son salvaguardados los activos de los sistemas computarizados. La auditoría en informática sigue los objetivos tradicionales de la auditoria.  Que se cumplan los objetivos de la auditoria. constructivos y oportunos. Cada auditor interno requiere de ciertos conocimientos y experiencias:  Se requiere pericia en la aplicación de las normas.  El desarrollo de las responsabilidades asignadas a los auditores internos responsables de la auditoria a informática.  Que los informes de auditoría sean precisos. la capacidad y el cuidado profesional de los auditores internos con los que deben ejercer su función.  El conocimiento técnico. Entre estas habilidades están: 3 . Los auditores internos son responsables de proporcionar información acerca de la adecuación y efectividad del sistema de control interno de la organización y de la calidad de la gestión. También deben de ser independientes de las actividades que auditan y un amplio criterio para no tomar decisiones subjetivas basadas en preferencias personales.  El alcance de trabajo de auditoría interna en el área de informática.  Que la auditoria sea debidamente documentada y se conserve la evidencia. objetivos. El departamento de auditoría interna deberá asegurarse de:  Que las auditorias sean supervisadas de forma apropiada. la experiencia y la disciplina necesarios para conducir apropiadamente la auditoria. Las normas de auditoría interna comprenden:  Las actividades auditadas y la objetividad de los auditores internos. concisos. claros.  Que los auditores cumplan con las normas profesionales de conducta. de qué manera se mantiene la integridad de los datos y como se logran los objetivos de la organización eficazmente.

 El logro de los objetivos y metas establecidos para las operaciones o programas. El ejercicio del debido cuidado profesional significa el uso razonable de las experiencias y juicios en el desarrollo de la auditoria. etc. planes. La gerencia informática es responsable del establecimiento de los sistemas diseñados para asegurar el cumplimiento de los requerimientos tales como políticas. 4 .El debido cuidado implica una razonable capacidad. actividades impropias o ilegales. el control y cumplimiento de los requerimientos externos. Para este fin el auditor deberá de considerar:  El alcance de trabajo de auditoría necesario para lograr los objetivos de la auditoria. Requiere que el auditor realice exámenes y verificaciones con un alcance razonable. así como de elementos naturales como terremotos. inundaciones. Los auditores deberán revisar:  La corrección de los métodos de salvaguarda de los activos y verificar la existencia de esos activos.  Los métodos empleados para salvaguardar los activos de diferentes tipos de riesgos tales como: robos. planes.  El costo de la auditoria en relación con los posibles beneficios. incendios.  La materialidad o importancia relativa de los asuntos a los que se aplican los procedimientos de la auditoria. leyes y reglamentos. El alcance de auditoría debe de abarcar el examen y evaluación de adecuación y efectividad del sistema de control interno de la organización y la calidad en el cumplimiento de las responsabilidades asignadas.  La adecuación y efectividad de los controles internos. Los objetivos elementales del control interno son para asegurar:  La confiabilidad e integridad de la información  El cumplimiento de las políticas. procedimientos y leyes y reglamentos aplicables. no infalibilidad ni acciones extraordinarias. El sistema de información proporciona datos para la toma de decisiones. Los auditores son responsables de determinar si los sistemas son adecuados y efectivos y si las actividades auditadas están cumpliendo con los requerimientos apropiados. procedimientos.  La salvaguarda de los activos. pero no requiere auditorias detalladas de todas las operaciones.  El uso eficiente y económico de los recursos.

organización y equipos. el cual deberá de incluir tiempos.Las auditorias relacionadas con el uso económico y eficiente de los recursos deberán identificar situaciones tales como:      Subutilización de instalaciones. Para lograr una adecuada planeación. costos.  La determinación de cómo. personal necesario y documentos auxiliares a solicitar y formular durante el desarrollo de auditoría. Dentro de la auditoria en general. El proceso de planeación comprende el establecer: 5 .  La realización. La planeación debe de ser documentada e incluirá:  El establecimiento de los objetivos y el alcance del trabajo  La obtención de información de apoyo sobre las actividades que se auditaran  La determinación de los recursos necesarios para realizar la auditoria  El establecimiento de la comunicación necesarias con todos los que estarán involucrados en la auditoria. la comunicación de los resultados y el seguimiento. lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar. ya que una inadecuada planeación provocara una serie de problemas que pueden impedir que se cumpla con la auditoria. la planeación es uno de los casos más importantes.  La preparación por escrito del programa de auditoría. Planeación de la auditoría en informática Para hacer una adecuada planeación de la auditoría en informática hay que seguir una serie de pasos previos que permitan dimensionar el tamaño y características del área dentro del organismo a auditar. de una inspección física para familiarizarse con las actividades y controles a auditar. cuándo y quien se le comunicaran los resultados de la auditoria. en la forma más apropiada. El trabajo de auditoría deberá incluir la planeación de la auditoria. sus sistemas.  La obtención de la aprobación del plan de trabajo de la auditoria. el examen y la evaluación de la información. Trabajo no productivo Procedimientos que no justifican su costo Exceso o insuficiencia del personal Uso indebido de las instalaciones. Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas y con base de esto planear el programa de trabajo.

En segundo lugar. El objetivo de la revisión preliminar es el de obtener la información necesaria para que el auditor pueda tomar la decisión de cómo proceder en la auditoria. ya que él es parte de la organización y está familiarizado con la misma. en lugar de proceder directamente con las pruebas sustantivas. La revisión preliminar elaborada por un auditor interno difiere en la realización por un auditor externo en tres aspectos. Al terminar la revisión preliminar el auditor puede proceder en uno de los tres caminos siguientes:  Diseño de la auditoria  Realizar una revisión detallada de los controles internos de los sistemas  Decidir en no confiar en los controles internos del sistema La revisión preliminar significa la recolección de evidencias por medio de entrevistas por el personal de la instalación. es la revisión preliminar del área de informática. deberá continuar con la fase de revisión detallada para señalar recomendaciones para mejorar los controles internos. la cual incorpora sobre la eficiencia y eficacia con la que se trabaja.  Programas de trabajo de auditoría. Revisión Preliminar El primer paso en el desarrollo de la auditoria. su experiencia y las disciplinas requeridas para realizar su trabajo. Las evidencias se pueden recolectar por medio de cuestionarios iniciales. Deberán incluir: las actividades que se van a auditar. el auditor externo se enfoca más en las causas de las perdidas y en los controles necesarios para justificar sus decisiones.  Planes de contratación de personal y presupuesto financiero. el auditor interno tiene una amplia perspectiva. la observación de las actividades en la instalación y la revisión de la documentación preliminar. el tiempo estimado requerido. Incluyendo el número de auditores. En tercero. después de la planeación. si el auditor interno supone ciertas debilidades en los controles internos. deberán contemplarse al elaborar los programas de trabajo de auditoría. Metas. Revisión Detallada 6 . especialmente en la parte gerencial y de organización. cuando serán auditadas. su conocimiento. Se deberán de establecer de tal manera que se pueda lograr su cumplimiento.  Informes de actividades. tomando en consideración el alcance del trabajo de auditoría planeado. En primer lugar el auditor interno requiere de menos revisiones y trabajos.

analizar.  La información deberá de ser suficiente. Es importante para el auditor identificar las causas de las perdidas existentes dentro de la instalación y los controles para reducir las pérdidas y los efectos causados por estas. relevante y útil  Los procedimientos de auditoría. El proceso de examen y evaluación de la información es la siguiente:  Se debe obtener la información de todos los asuntos relacionados con los objetivos y alcances de la auditoria. Los informes pueden incluir recomendaciones para mejoras potenciales y reconocer el trabajo satisfactorio y las medidas correctivas. Los métodos de obtención de información son los mismos que la investigación preliminar. interpretar y documentar la información para apoyar los resultados de la auditoria. cuando esto sea posible. Al terminar la revisión detallada el auditor debe de evaluar en qué momento los controles establecidos reducen las perdidas esperadas a un nivel aceptable. y ampliarse o modificarse cuando las circunstancias lo requieran.  El proceso de recabar. lo único de difiere es la profundidad con que se obtiene la información y se evalúa. En la fase de evaluación detallada es importante para el auditor identificar las causas de las perdidas existentes dentro de la instalación y los controles als causas de las perdidas existentes dentro de la instalación Examen y evaluación de la información Los auditores internos deberán obtener. analizar. incluyendo el empleo de las técnicas de pruebas selectivas y el muestreo estadístico. competente. El director de auditoría en 7 . interpretar y documentar la información deberá supervisarse para proporcionar una seguridad razonable de que la objetividad del auditor se mantuvo y que las metas de auditoría se mantienen.  Los documentos de trabajo de la auditoria deberán de ser preparados por los auditores y revisados por la gerencia de auditoría. Los auditores deberán de reportar los resultados del trabajo de auditoría. deberán ser elegidos con anterioridad.Los objetivos de la fase detallada son los de obtener la información necesaria para que el auditor tenga un profundo entendimiento de los controles usados dentro del área de informática.

entrevistas.  Revisiones Internas. Deberá llevarse a cabo continuamente para asegurarse de que están trabajando de acuerdo con las normas. el cual debe contemplar:     Descripciones del puesto por cada nivel de auditoría informática Selección de individuos calificados y competentes Entrenamiento y capacitación profesional continua Evaluación del trabajo de cada uno de los auditores. Pruebas de Control del Usuario Estas pruebas que compensan las deficiencias de los controles internos se pueden realizar mediante cuestionarios. Además de las técnicas manuales de recolección de evidencias. Un programa de control de calidad deberá incluir los siguientes elementos:  Supervisión. muy frecuentemente el auditor debe recurrir a técnicas de recolección de información asistidas por computadoras. Deberán realizarse periódicamente por el personal del departamento de auditoría interna para evaluar la calidad del trabajo de auditoría realizado. políticas y programas de auditoría informática.  Revisiones Externas. al menos una vez al año  Asesoría a los auditores en lo referente a su trabajo y a su desarrollo profesional El director de auditoría interna en informática deberá establecer y mantener un programa de control de calidad para poder evaluar las operaciones del departamento de auditoría interna. Pruebas de Consentimiento El objetivo de la fase de la prueba de consentimiento es el de determinar si los controles internos operan como fueran diseñados para operar. se requerirá el entrar a la red y evaluar directamente al sistema. Es para evaluar la calidad de trabajo en auditoria de información. vistas y evaluaciones hechas directamente con los usuarios.informática deberá de establecer un programa para seleccionar y desarrollar los recursos. Por ejemplo para evaluar la existencia y confiabilidad de los controles de un sistema en red. 8 .

especializado en auditoría en informática  Obtener mayor soporte de la alta gerencia Evaluación de los sistemas de acuerdo al riesgo Algunos sistemas de aplicaciones son de más alto riesgo que otros debido a que:  Son susceptibles a diferentes tipos de pérdida económica.Pruebas Sustantivas El objetivo de la fase de pruebas sustantivas es obtener evidencia suficiente que permita al auditor emitir su juicio en las conclusiones acerca de cuándo puedan ocurrir pérdidas materiales mediante el procesamiento de la información.  Las fallas pueden afectar grandemente a la organización. Mal 9 . Se pueden identificar ocho tipos de pruebas sustantivas:         Pruebas para identificar errores en el procesamiento Prueba para asegurar la calidad de los datos Pruebas para identificar la inconsistencia de los datos Pruebas para comprar con los datos o contadores físicos Confirmación de datos con fuentes externas Pruebas para confirmar la adecuada comunicación Pruebas para determinar la falta de seguridad Pruebas para determinar problemas de legalidad El auditor debe de participar en tres estados del sistema:  Durante la fase del diseño del sistema  Durante la fase de operación  Durante la fase posterior a la Auditoria En general. procesamiento de nóminas y esto puede llevar a huelgas. Fraudes y desfalcos. al trabajo de auditoría y al posterior de la auditoria  Crear una sección de auditoría en informática dentro del departamento de auditoría interna. la opinión del gerente de informática y de la alta gerencia considera que el que el auditor participe en la fase de diseño disminuye la independencia del auditor. existen varias formas que esto se puede eliminar:  Aumentando los conocimientos en informática del auditor  Asignar diferentes auditores a la fase de diseño.

Atender razones. Investigar causas y no efectos. Para poder analizar y dimensionar la estructura a auditar se debe solicitar:     A nivel organizacional total A nivel del área de informática Recursos materiales y técnicos Sistemas El éxito de del análisis crítico depende de las siguientes consideraciones:     Estudiar hechos y no opiniones. La investigación preliminar debe de incorporar fases de evaluación del control gerencial y del control de las aplicaciones. El personal que intervenga debe de estar calificado. entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcance del departamento. no excusas. Investigación Preliminar El objetivo de este primer contacto es percibir rápidamente las estructuras fundamentales y diferencias principales entre el organismo a auditar y otras organizaciones que se hayan investigado. derechos de autor. preguntar constantemente.  Daños en la competencia. La investigación preliminar se debe hacer solicitando y revisando la información de cada una de las áreas. que tenga un alto 10 . Se recopila la información para obtener una visión general del departamento por medio de observaciones. No confiar en la memoria. basándose en los siguientes puntos: Administración. patentes. los errores generados permean a otros sistemas. Algunos sistemas le dan a la organización un nivel competitivo muy alto dentro de un mercado (sistemas de planeación estratégica. Criticar objetivamente y a fondo todos los informes y los datos recabados Personal Participante Se deberá considerar las características del personal que habrá de participar en la auditoria. Otros a través de los cuales su pérdida puede destruir la imagen de la organización). Interfieren con otros sistemas.

contaduría e informática Experiencia en el área de informática Experiencia en la operación y análisis de sistemas Conocimientos en la experiencia de psicología industrial Conocimientos de S.O. como colaboradores directos en la realización de auditoría.  La capacidad del auditor para poder interpretar los datos obtenidos durante la auditoria resultan determinantes para la correcta evaluación y diagnósticos. Para complementar el grupo. al cual se le exija la optimización de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo. redes..sentido de moralidad. bases de datos. comunicaciones dependiendo del área  Conocimiento de los sistemas más importantes Conclusiones  La etapa que incluye la recopilación de información es la base para poder realizar con éxito una auditoria.  Es importante la realización de pruebas a los sistemas para poder determinar el correcto funcionamiento del mismo. se deben de tener personas con las siguientes características:       Técnico en informática Conocimientos en administración. 11 .

 La constante revisión en la seguridad en los sistemas debe de ser una acción recurrente en la organización.Recomendaciones  Se debe de tener la habilidad de indagar de manera que la información recopilada sea relevante. 12 .  El manejo de un plan de contingencia en caso de que algo no funcione como debería es algo que debe de tomar en cuenta la organización.

Bibliografía Libro: Auditoría en Informática Autor: José Antonio Echenique García 13 .