JORGE MÉNDEZ DELGADO

AUDITORIA INFORMATICA
Alberto Valverde López

NORMATIVIDAD APLICADA A LA
AUDITORÍA INFORMÁTICA
TIPOS DE NORMATIVIDAD

empresarial.  Cuando existiera otra causa que. Ello implica una actitud mental objetiva..en los siguientes casos:  Cuando fuera cónyuge pariente por consanguinidad. las normas de auditoria son los requisitos mínimos de calidad relativos a la personalidad del auditor. al trabajo que desempeña ya la información que rinde como resultado de este trabajo. o por afinidad hasta el segundo grade. hubiera estado en relación de dependencia o haya tenido algún tipo de vinculación profesional. a juicio del funcionario o agente o del propio Tribunal de cuentas. que debe apoyarse en la convicción íntima de poseer independencia de criterio. Normas personales: Son cualidades que el auditor debe tener para ejercer sin dolo una auditoria. administrativa. etc. no son independientes -debiendo abstenerse de actuar.  Normas de ejecución del trabajo. basados en sus conocimientos profesionales así como en un entrenamiento técnico. .  Cuando en el año fiscal a examinar o un período de hasta cuatro años anteriores al mismo. en línea recta o colateral hasta el cuarto grado inclusive.  Normas de información. de alguno de los responsables de rendir cuentas del ente bajo examen. Condición básica: Independencia: el auditor y sus colaboradores deben tener independencia con relación al ente objeto de la auditoria. que le permita ser imparcial a la hora de dar sus sugerencias.respecto del ente auditado. Las normas de auditoria se clasifican en:  Normas personales.Tipos de Normatividad Normas de la Auditoria Informática Según se describe. le imposibilite actuar con independencia de criterio. Falta de independencia: El auditor y sus colaboradores.

En los casos que sean posible de acuerdo con la naturaleza del objeto del examen el Auditor puede aplicar procedimientos sobre bases selectivas.Reglas básicas El Auditor y su equipo de colaboradores deben actuar con responsabilidad. el Auditor debe obtener elementos de juicio válidos. ser claras. teniendo presente además que el principio de legalidad. ser disciplinados y mantener absoluta confidencialidad sobre los sistemas e información examinada y los papeles de trabajo. pertinente y suficiente. precisas y surgir de elementos de juicio válido. así como de la efectiva aplicación de lo programado. honradez y dignidad. pertinentes y suficiente s que permitan informar fundadamente sobre el objeto del examen. o formular denuncia. En todo momento. Las observaciones del Auditor deben tener vida propia. cumplimiento de las normas vigentes. El Auditor es responsable de la elección cuidadosa de los procedimientos de auditoria. relacionados con la integridad del patrimonio público y la eficiencia administrativa. teniendo presente los objetivos y metas fijados en cada caso. Las opiniones del Auditor deben quedar claramente separadas de cualquier otro tipo de información. más allá de las actuaciones que deriven del cumplimiento de sus funciones y de las normas vigentes. En especial. ante la Justicia. Cuando de las verificaciones realizadas por el Auditor surjan irregularidades que. A través del desarrollo de la tarea. Para ello. . idoneidad y corrección. En particular no debe omitir procedimiento alguno que le permita obtener evidencias. En la ejecución de las auditorias deben priorizarse los aspectos de fondo. con su informe en forma inmediata deberá comunicar a las autoridades jerárquicas proponiendo que se efectúen las actuaciones pertinentes. sea necesario ponerlas en conocimiento. constituyen la prueba del desarrollo de la tarea. precisando su alcance y oportunidad. a su criterio. Las actas e informes del Auditor deben cumplir con los requisitos o características que corresponden a toda información. siempre que no corresponda su a-regado a un expediente. poder interpretarse sin recurrir a otros elementos. debe apoyarse en los resultados de la evaluación del control interno de los entes respectivos. El Auditor debe conservar por un plazo no menor de seis años los papeles de trabajo que. sin perjuicio de proponer que el Tribunal de Cuentas adopte las medidas necesarias para prevenir corregir cualquier irregularidad. reflejar las Normas más elevadas de moralidad. el Auditor debe ejercer la función de asesoramiento a los funcionarios y cuentadantes a través del Fiscal que tenga asignado el control del ente respectivo. se deben evitar vocablos o expresiones ambiguas o que pudieran inducir a error a los interesados. es esencial en la administración pública. juntamente con las actas e informes.

 El Plan estructura las tareas a realizar por cada integrante del grupo. se procede a la programación del mismo.  En el Plan se establecen las prioridades de materias auditables. El volumen determina no solamente el número de auditores necesarios. b) Si la auditoria es global. Esta ha de ser lo suficientemente como para permitir modificaciones a lo largo del proyecto.  El Plan establece disponibilidad futura de los recursos durante la revisión. En el primer caso. la elaboración es más compleja y costosa.  En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado. Una vez elaborado el Plan. El plan se elabora teniendo en cuenta. Una vez asignados los recursos. tanto como papeles de trabajo a aplicar dentro de la auditoria. de acuerdo siempre con las prioridades del cliente. se procede a la Programación de actividades. . o parcial.Normas de ejecución del trabajo Son la planificación de los métodos y procedimientos. el responsable de la auditoria y sus colaboradores establecen un plan de trabajo. porque se manejan recursos genéricos y no específicos. de toda la Informática.  En el plan no se consideran calendarios. entre otros criterios. los siguientes: a) Si la Revisión debe realizarse por áreas generales o áreas específicas.  En el Plan se establecen los recursos y esfuerzos globales que van a ser necesarios. Decidido éste. sino las especialidades necesarias del personal.

se abarcan de una vez todas las peculiaridades que afectan a la misma.Actividades de la auditoria Informática Auditoria por temas generales o por áreas específicas: La auditoría Informática general se realiza por áreas generales o por áreas específicas.  Simulación.  Cruzamiento de las informaciones anteriores.  Análisis de la información propia.  Simuladores (Generadores de datos). Herramientas:  Cuestionario general inicial.  Estándares.  Muestreos. Si se examina por grandes temas. Técnicas de Trabajo:  Análisis de la información recabada del auditado. . resulta evidente la mayor calidad y el empleo de más tiempo total y mayores recursos.  Paquetes de auditoria (Generadores de Programas).  Matrices de riesgo. Cuando la auditoria se realiza por áreas específicas.  Cuestionario Checklist. de forma que el resultado se obtiene más rápidamente y con menor calidad.  Entrevistas.  Monitores.

los que son elementos de contraste entre opinión entre auditor y auditado y que pueden descubrir fallos de apreciación en el auditor. con indicación de la jefatura. Enumeración de temas considerados: Antes de tratarlos con profundidad. d) Recomendaciones y planes de acción. e) Redacción posterior de la Carta de Introducción o Presentación. también es conocido como informe o dictamen. Modelo conceptual de la exposición del informe final:  El informe debe incluir solamente hechos importantes. Cuerpo expositivo: Para cada tema. Definición de objetivos y alcance de la auditoria. se seguirá el siguiente orden a saber: a) Situación actual.  El Informe debe consolidar los hechos que se describen en el mismo. responsabilidad y puesto de trabajo que ostente. La función de la auditoria se materializa exclusivamente por escrito. Constituyen junto con la exposición de puntos débiles. el verdadero objetivo de la auditoria informática.Normas de información Son el resultado que el auditor debe entregar a los interesados para que se den cuenta de su trabajo. se expondrá la situación prevista y la situación real. Se tratarán de hallar parámetros que permitan establecer tendencias futuras. c) Puntos débiles y amenazas. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas. Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final.  La inclusión de hechos poco relevantes o accesorios desvía la atención del lector. en la que se analiza no solamente una situación sino además su evolución en el tiempo. se enumerarán lo más exhaustivamente posible todos los temas objeto de la auditoria. Estructura del informe final: El informe comienza con la fecha de comienzo de la auditoria y la fecha de redacción del mismo. b) Tendencias. Cuando se trate de una revisión periódica. . Por lo tanto la elaboración final es el exponente de su calidad.

Conclusión del hecho. La recomendación del auditor sobre el hecho debe mantener o mejorar las normas y estándares existentes en la instalación. Repercusión del hecho. IV. La aparición de un hecho en un informe de auditoría implica necesariamente la existencia de una debilidad que ha de ser corregida.  No deben existir hechos repetidos. La consolidación de los hechos debe satisfacer.  No deben redactarse conclusiones más que en los casos en que la exposición haya sido muy extensa o compleja. Flujo del hecho o debilidad: 1. Se destina exclusivamente al responsable máximo de la empresa.  La recomendación se redactará de forma que vaya dirigida expresamente a la persona o personas que puedan implementarla. 5. para que pueda ser verificada su implementación. al menos los siguientes criterios: I.  Ha de ser relevante para el auditor y pera el cliente. La carta de introducción poseerá los siguientes atributos: . Recomendación del auditor informático.  Las consecuencias deben redactarse de modo que sean directamente deducibles del hecho. o a la persona concreta que encargo o contrato la auditoria. por simple lectura. II.  Deberá ser concreta y exacta en el tiempo. Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situación. 2.  Deberá estar suficientemente soportada en el propio texto. 3. y además convincente. III.  Deberá entenderse por sí sola. El hecho debe poder ser sometido a cambios. carta de introducción o presentación del informe final: la carta de introducción tiene especial importancia porque en ella ha de resumirse la auditoría realizada. No deben existir alternativas viables que superen al cambio propuesto.El término de "hechos consolidados" adquiere un especial significado de verificación objetiva y de estar documentalmente probados y soportados.  Ha de ser exacto.  Se redactará las influencias directas que el hecho pueda tener sobre otros aspectos informáticos u otros ámbitos de la empresa. 4. Hecho encontrado. Consecuencias del hecho.

 Presentará las debilidades en orden de importancia y gravedad. concretando las áreas de gran debilidad.  Incluirá fecha. Tipos de Normas de Auditoria en México . naturaleza. objetivos y alcance.  Tendrá como máximo 4 folios.  Cuantificará la importancia de las áreas analizadas.  Proporcionará una conclusión general.  En la carta de introducción no se escribirán nunca recom.

a) Entrenamiento técnico y capacidad profesional: el auditor debe tener conocimientos técnicos adquiridos en Universidades o Institutos superiores del país.Clasificación de las normas de auditoría generalmente aceptadas. b) Estudio y evaluación del control interno: el contador público independiente debe analizar a la entidad sujeta a ser auditada. que su opinión es objetiva. 2) Relativas a la ejecución del trabajo. 3) Relativas a la información. a) Planeación y supervisión: antes de que el contador público independiente se responsabilice de efectuar cualquier trabajo debe conocer la entidad sujeta a la investigación con la finalidad de planear su trabajo. 1) Personales. El profesional de la Contaduría Pública. que le permita ejercer un juicio sólido y sensato para aplicar los procedimientos y valorar sus efectos o resultados. ya que su opinión no este influenciada por nadie. Relativas a la ejecución del trabajo: Estas normas se refieren a elementos básicos en el que el contador público debe realizar su trabajo con cuidado y diligencia profesionales para lo cual exigen normas mínimas a seguir en la ejecución del trabajo. éste debe ser: experto en la materia. es evaluar y estudiar el control . estos se eliminan o se reducen cuando el contador público pone a su trabajo (cuidado y diligencia profesional). debe asignar responsabilidades a sus colaboradores y determinar que pruebas debe efectuar y que alcance dará a las mismas. así como la oportunidad en que serán aplicadas. al ofrecer sus servicios profesionales debe estar consciente de la responsabilidad que ello implica. además se requiere que el joven profesional adquiera una adecuada práctica o experiencia. Es cierto que los profesionales son humanos y que por lo tanto se encuentra al margen de cometer errores. es decir. Personales: Se refiere a la persona del contador público como auditor independiente. libre e imparcial. esto. siendo profesional a su actuación y observando siempre principios éticos. gracias a ella se forma y a ella debe servir. habiendo culminado sus estudios con recepción profesional de Contador Público. c) Independencia mental: Para que los interesados confíen en la información financiera este debe ser dictaminado por un contador público independiente que de antemano haya aceptado el trabajo de auditoría . b) Cuidado y diligencia profesional: todo profesional forma parte de la sociedad.

se considera que el producto terminado de dicho trabajo es el dictamen. d) Consistencia en la aplicación de los principios de contabilidad: para que la información financiera pueda ser comparable con ejercicios anteriores y posteriores. a) Normas de dictamen e información: el profesional que presta estos servicios debe apegarse a reglas mínimas que garanticen la calidad de su trabajo. ya que. la oportunidad en que serán aplicadas. por lo que debe de revelar toda información importante de acuerdo con el principio de "revelación suficiente". su opinión debe estar respaldada por elementos de prueba que serán sustentables. así como. con la finalidad de determinar que pruebas debe efectuar y que alcance dará a las mismas. interno. ha recomendado una serie de criterios. c) Obtención de la evidencia suficiente y competente: el contador público al dictaminar Estados Financieros adquiere una gran responsabilidad con terceros. Relativas a la información: El objetivo de la auditoría de Estados Financieros es que el contador Público independiente emita su opinión sobre la razonabilidad de los mismos. estos hechos deben ser comprobables a satisfacción del auditor. . en caso contrario. eliminar discrepancias. por lo tanto. b) Debe aclarar que el contador público independiente: al realizar cualquier trabajo debe expresar con claridad en que estriba su relación y cuál es su responsabilidad con respecto a los estados financieros. c) Base de opinión sobre estados financieros: con la finalidad de unificar criterios. es necesario que se considere el mismo criterio y las mismas bases de aplicación de principios de contabilidad generalmente aceptados. la información que proporcionan los estados financieros deben ser suficiente. el IMCP por medio de su comisión de principios de contabilidad. es decir. el auditor debe expresar con toda claridad la naturaleza de los cambios habidos. objetivos y de certeza razonables. al procesar y elaborar la información. a los que los profesionales se deben de apegar y así. e) Suficiencia de las declaraciones informativas: la contabilidad controla las operaciones e informa a través de los Estados financieros que son los documentos sobre los cuales el contador público va a opinar.

por lo tanto. La organización ISO está compuesta por tres tipos de miembros: Miembros simples. es el organismo encargado de promover el desarrollo de normas internacionales de fabricación (tanto de productos como de servicios). sobre la base de un miembro por país. Miembros correspondientes. no tiene autoridad para imponer sus normas a ningún país. Miembros suscritos. Está compuesta por delegaciones gubernamentales y no gubernamentales subdivididos en una serie de subcomités encargados de desarrollar las guías que contribuirán al mejoramiento. con una Secretaría Central en Ginebra (Suiza) que coordina el sistema.Tipos de Normas de Auditoria Internacionales La Organización Internacional de Normalización o ISO (del griego ἴσος. recayendo la representación en el organismo nacional más representativo. La Organización está compuesta por representantes de los organismos de normalización (ON) nacionales. «isos». . países con reducidas economías a los que se les exige el pago de tasas menores que a los correspondientes. el intercambio de información y contribuir con normas comunes al desarrollo y a la transferencia de tecnologías. que significa «igual»). Las normas desarrolladas por ISO son voluntarias. comprendiendo que ISO es un organismo no gubernamental y no depende de ningún otro organismo internacional. de los organismos de países en vías de desarrollo y que todavía no poseen un comité nacional de normalización. uno por país. nacida tras la Segunda Guerra Mundial (23 de febrero de 1947). con el propósito de facilitar el comercio. Dichas normas se conocen como «normas ISO» y su finalidad es la coordinación de las normas nacionales. No toman parte activa en el proceso de normalización pero están puntualmente informados acerca de los trabajos que les interesen. El contenido de los estándares está protegido por derechos de copyright y para acceder a ellos el público corriente debe comprar cada documento. que produce diferentes normas internacionales industriales y comerciales. La ISO es una red de los institutos de normas nacionales de 161 países. en consonancia con el Acta Final de la Organización Mundial del Comercio. Su función principal es la de buscar la estandarización de normas de productos y seguridad para las empresas u organizaciones (públicas o privadas) a nivel internacional. comercio y comunicación para todas las ramas industriales.

 Auditoria Externa.  Auditoría Administrativa. (Caso de Estudio de esta investigación). Auditoria por su área de aplicación  Auditoría financiera.  Auditoría a los sistemas de redes. Auditoria de sistemas computacionales  Auditoría informática.  Auditoría sin la computadora. De acuerdo a lo anterior.  Auditoría a la gestión informática. (Caso de Estudio de esta investigación). existe una clasificación de los tipos de auditoria. (Caso de Estudio de esta investigación). .  Auditoría alrededor de la computadora.Auditoria por su lugar de aplicación  Auditoria interna.  Auditoría con la computadora.  Auditoría integral.  Auditoría de sistema de cómputo.  Auditoría de sistemas. los cuales se desarrollan a continuación. (Caso de Estudio de esta investigación). Sin embargo para esta investigación solo se trataran los tipos de auditoria por su lugar de aplicación.  Auditoría ocupacional. con el fin de identificar criterios. y especificaciones de esta disciplina profesional. características.  Auditoría gubernamental.

apoyadas por una mayor independientemente del experiencia por parte de resultado. áreas y auditores internos. carácter interno y por lo debido a que utiliza tanto no sale de la técnicas y herramientas empresa. es solo de los auditores externos. erogación adicional. por lo tanto vinculaciones de otro tipo no representan ninguna con la empresa. funciones. Desventajas Posible falta de Dado por el alejamiento objetividad de las de la problemática de la . estas El informe que rinde el auditorías pueden estar auditor. comparación con los actividades. En su realización. siempre a sus dirigentes en la que sean realizadas por evaluación y la toma de auditores de prestigio que decisiones. institución. puesto que no los recursos solo son tendrá condicionantes de internos para dependencia jerárquica o organización.Ventajas y Desventajas de Normas Internacionales de Auditoria VS Normas Aplicadas en México Normas Nacionales Internacionales Ventajas Debido a que el auditor Alto grado de objetividad permanece conoce las que se consigue en problemática. que es realizada por un Por otra parte el coste personal ajeno a la será menor puesto que empresa. Sus dictámenes pueden Puede llevar un programa ser válidos para las concreto de evaluación autoridades impositivas. ya que que ya fueron probadas únicamente le sirve a las en otras empresas con autoridades de la características similares. lo cual ayudara de carácter legal. y en apoyo a las con ello pueden autoridades de la satisfacer requerimientos empresa. tengan el reconocimiento público. dado operaciones.

sistema de información. puesto que pueden asumen la estar directamente responsabilidad de llevar implicados en el propio a cabo la auditoria. de quienes asumen la compromisos y ciertos auditoria deben superar intereses al realizar la estos inconvenientes evaluación. Se pueden presentar En algunos casos son vicios de trabajo del sumamente costosas auditor con relativa para la empresa. alcances institución sobre la forma y resultados pueden ser de evaluar y emitir muy limitados. representan. informes. la empresa donde realiza la profesionalidad y auditoria. formas de utilizar las sino por el tiempo y técnicas y herramientas trabajo adicional que para aplicar la auditoria. al laborar en la misma No obstante. ya sea en las en el aspecto numérico. puede experiencia de quienes presentar presiones. Su veracidad. no solo frecuencia. debido a que la cooperación que el puede haber injerencias auditor pueda obtener de por parte de las parte de los auditados. . autoridades de la Su evaluación. alcance y confiabilidad pueden ser Depende en absoluto de limitados.personas que la llevan a empresa de quienes cabo. como en la forma de evaluar y emitir su informe sobre la misma. para llevar a cabo un trabajo adecuado.

tanto en su concepto general. Evitar romper con las reglas informáticas cuando usemos tanto el Equipo de software como el hardware dentro de nuestra casa. . Creo que hoy en día hay muchas violaciones en la seguridad informática y pues nos daremos cuenta de las sanciones que también nos rigen como informáticos. en lo científico. en lo técnico.Conclusión Estos temas son muy importantes en el mundo de la informática. La informática esta hoy presente en casi todos los campos de la vida moderna así como sus leyes que deben ser seguidas punto a punto en las más diversas esferas como el conocimiento humano. en lo profesional y en lo personal. Aplicar las leyes y sanciones que rige la normatividad y legislación que se utiliza en la informática. trabajo o escuela. pues con base en ellos aprendemos las reglas y normas con las que el mundo informático trabaja y se organiza. procesos electrónicos. su propósito y las leyes y sanciones que se aplican a los usuarios en cada uno de los casos en los que estos violen.