Professional Documents
Culture Documents
Grupo: _________
INDICE
Bloque I: Introducción a la
auditoría informática.
Instrucciones: Lee con atención la siguiente situación didáctica, analiza el problema y elabora una
reflexión acerca de qué hacer para evitarlo, en la que expreses tus opiniones y experiencias para
enriquecer el tema, mostrando tolerancia y respetando las reglas de convivencia social.
Instrucciones: Participado en la lluvia de ideas sobre los conceptos básico acerca de la Auditoria
Informática completa el siguiente cuadro:
Para crear una definición que te permita entender de lo que estás hablando es necesario:
1. Definir de una forma concreta (objeto, animal, ciencia, procedimiento, cosa, etc)
2. Actividad que realiza el objeto de estudio (única para el objeto).
3. Contexto en el que lo realiza
4. Referentes del objeto (ejemplos, comparaciones etc, si es posible).
AUDITORIA
Forma concreta Actividad que realiza
Contexto Referentes
AUDITORIA INFORMATICA
Forma concreta Actividad que realiza
Contexto Referentes
Contexto Referentes
NORMA
Forma concreta Actividad que realiza
Contexto Referentes
ESTANDAR
Forma concreta Actividad que realiza
Contexto Referentes
Empezaremos diciendo que tanto dentro del contexto estratégico como del operativo de las
organizaciones actuales, los sistemas de información y la arquitectura que los soporta
desempeñan un importante papel como uno de los soportes básicos para la gestión y el
control del negocio, siendo así unos de los requerimientos básicos de cualquier organización.
Por lo anterior, en este capítulo se incluyen lecturas que analizan en diferentes tipos de
auditoría, así como lo expuesto por Mario Piattini y Emilio del Peso en su obra Auditoría
Informática: un enfoque practico en lo relativo a la auditoría informática y su alcance.
La palabra auditoría viene del latín auditorius, y de ésta proviene auditor, que tiene la virtud
de oír, y el diccionario lo define como "revisor de cuentas colegiado". El auditor tiene la virtud
de oír y revisar cuentas, pero debe estar encaminado a un objetivo específico que es el de
evaluar la eficiencia y eficacia con que se está operando para que, por medio del
1
http://www.oocities.org/mx/acadentorno/aui1.pdf
El Boletín "C" de Normas de Auditoría del Instituto Mexicano de Contadores nos dice: "La
auditoría no es una actividad meramente mecánica que implique la aplicación de ciertos
procedimientos cuyos resultados, una vez llevados a cabo, son de carácter indudable. La
auditoría requiere el ejercicio de un juicio profesional, sólido y maduro, para juzgar los
procedimientos que deben de seguirse y estimar los resultados obtenidos” .
Es un proceso formal y necesario para las empresas con el fin de asegurar que todos sus
activos sean protegidos en forma adecuada. Asimismo, la alta dirección espera que de los
proyectos de auditoría surjan las recomendaciones necesarias para que se lleven a cabo de
manera oportuna y satisfactoria las políticas, controles y procedimientos y definidos
formalmente, con objeto de que cada individuo o función de la organización opere de modo
productivo en sus actividades diarias, respetando las normas generales de honestidad y
trabajo aceptadas. [Hernández, 1997].
Representa el examen de los estados financieros de una entidad, con el objeto de que el
contador público independiente emita una opinión profesional si dichos estados representan
la situación financiera, los resultados de las operaciones, las variaciones en el capital
contable y los cambios en la situación financiera de una empresa, de acuerdo a los principios
de la contabilidad generalmente aceptados.
Auditoría interna:
Es la realizada con recursos materiales y personas que pertenecen a la empresa auditada.
Los empleados que realizan esta tarea son remunerados económicamente. La auditoría
interna existe por expresa decisión de la Empresa, o sea, que puede optar por su disolución
en cualquier momento.
Por otro lado, la auditoría externa es realizada por personas afines a la empresa auditada; es
siempre remunerada. Se presupone una mayor objetividad que en la Auditoría Interna,
debido al mayor distanciamiento entre auditores y auditados.
La auditoría informática interna cuenta con algunas ventajas adicionales muy importantes
respecto de la auditoría externa, las cuales no son tan perceptibles como en las auditorías
convencionales. La auditoría interna tiene la ventaja de que puede actuar periódicamente
realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. Los
auditados conocen estos planes y se habitúan a las Auditorias, especialmente cuando las
consecuencias de las Recomendaciones habidas benefician su trabajo.
En una empresa, los responsables de Informática escuchan, orientan e Informan sobre las
posibilidades técnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto,
Informática trata de satisfacer lo más adecuadamente posible aquellas necesidades. La
empresa necesita controlar su Informática y ésta necesita que su propia gestión esté
sometida a los mismos procedimientos y estándares que el resto de aquella. La conjunción
de ambas necesidades cristaliza en la figura del auditor interno informático.
La auditoría informática, tanto externa como interna, debe ser una actividad exenta de
cualquier contenido o matiz "político" ajeno a la propia estrategia y política general de la
empresa. La función auditora puede actuar de oficio, por iniciativa del propio órgano, o a
instancias de parte, esto es, por encargo de la dirección o cliente. De acuerdo al objetivo de
la auditoría, tenemos:
Auditoría de cumplimiento:
Es la comprobación o examen de operaciones financieras, administrativas, económicas y de
otra índoIe de una entidad para establecer que se han realizado conforme a las normas
legales, reglamentarias, estatuarias y de procedimientos que le son aplicables.
Esta auditoría se practica mediante la revisión de documentos que soportan legal, técnica,
financiera y contablemente las operaciones para determinar si los procedimientos utilizados y
las medidas de control interno están de acuerdo con las normas que le son aplicables y si
dichos procedimientos están operando de manera efectiva y son adecuados para et logro de
los objetivos de la entidad.
Auditoría operativa:
Es el examen posterior, profesional, objetivo y sistemático de la totalidad o parte de las
operaciones o actividades de una entidad, proyecto, programa, inversión o contrato en
particular, sus unidades integrantes u operacionales específicas. Su propósito es determinar
los grados de efectividad, economía y eficiencia alcanzados por la organización y formular
recomendaciones para mejorar las operaciones evaluadas. Relacionada básicamente con los
objetivos de eficacia, eficiencia y economía.
Software Básico es fundamental para el auditor conocer los productos de software básico
que han sido facturados aparte de la propia computadora. Esto, por razones económicas y
por razones de comprobación de que la computadora podría funcionar sin el producto
adquirido por el cliente. En cuanto al software desarrollado por el personal informático de la
empresa, el auditor debe verificar que este no agreda ni condicione al Sistema Igualmente,
debe considerar el esfuerzo en términos de costes, por si hubiera alternativas más
económicas.
Auditoría financiera:
Es un proceso cuyo resultado final es la emisión de un informe, en el que el auditor da a
conocer su opinión sobre la situación financiera de la empresa, este proceso solo es posible
IIevarlo a cabo a través de un elemento llamado evidencia de auditoria, ya que el auditor
hace su trabajo posterior a las operaciones de la empresa. La Auditoría Financiera es la más
conocida de todas, pues es la requerida por las empresas y es la que ha presentado el
máximo desarrollo.
Auditoría de gestión:
La Auditoría de Gestión aunque no tan desarrollada como la Financiera, es si se quiere de
igualo mayor importancia que esta última, pues sus efectos tienen consecuencias que
mejoran en forma apreciable el desempeño de la organización. La denominación auditoría de
gestión funde en una, dos clasificaciones que tradicionalmente se tenían: auditoría
administrativa y auditoría operacional.
La integración de estos tres tipos de auditoría implica que examen se debe realizar sobre tres
grandes sistemas de información de la organización: sistema de información financiera,
sistema de información de gestión y sistema de información legal. El concepto de auditoría
integral realmente no es nuevo en nuestro país y por el contrario es si se quiere el más
antiguo, pues si se considera la figura de la institución de la Revisarla Fiscal, ésta cumple
con los requerimientos de una auditoría integral, pues en esencia el Revisor Fiscal debe
examinar los tres grandes sistemas objeto de examen por esta última. Por lo dicho
anteriormente se podría construir el siguiente concepto de auditoría integral:
Auditoría integral:
Es el examen crítico, sistemático y detallado de los sistemas de información financiero, de
gestión y legal de una organización, realizado con independencia y utilizando técnicas
especificas, con el propósito de emitir un informe profesional sobre la razonabilidad de la
información financiera, la eficacia eficiencia y economicidad en el manejo de los recursos y el
apego de las operaciones económicas a las normas contables, administrativas y legales que
le son aplicables, para la toma de decisiones que permitan la mejora de la productividad de la
misma.
Instrucciones: Después de haber leído con atención los conceptos de auditoría elabora un es
esquema (mapa mental, conceptual, cuadro sinóptico o de doble entrada, etc), acerca de la
información presentada.
Auditoría en informática
Auditoría informática:
Es un examen metódico del servicio informático, o de un sistema informático en particular,
realizado de- una forma puntual y objetiva, a instancias de 1a dirección y con la intención de
ayudar a mejorar conceptos como la seguridad, eficiencia y rentabilidad del servicio
informático.
En esta definición hay cuatro palabras que destacan: "examen", "metódico", "puntual" y
"objetivo":
La auditoría informática es un examen, pues se verifica o comprueba el sistema
informático actualmente en uso.
Este examen es metódico, ya que sigue un plan de trabajo, perfectamente diseñado,
que permite llegar a conclusiones suficientemente fundamentadas. Este examen es
puntual, ya que se realiza en un momento determinado y bajo petición de la dirección.
Este examen es objetivo, ya que se realiza por un equipo externo al servicio de
informática para buscar la objetividad requerida.
http://www.monografias.com/trabajos33/auditor/auditor.shtml
http://www.monografias.com/trabajos17/auditoria/auditoria.shtml
http://www.definicion.org/auditoria
www.soeduc.cl/apuntes/concepto%20de%20auditoria.doc
Instrucciones: Después de haber leído con atención los conceptos de auditoría informática elabora
un resumen que contenga las características de la auditoria informática, y una reflexión acerca de la
importancia de la misma en las organizaciones.
2
http://aabbccddee.galeon.com/winpy.htm
Para llegar a conocer la configuración del sistema es necesario documentar los detalles de la red, así
como los distintos niveles de control y elementos relacionados:
Entorno de red:esquema de la red, descripción de la configuración hardware de comunicaciones,
descripción del software que se utiliza como acceso a las telecomunicaciones, control de red,
situación general de los ordenadores de entornos de base que soportan aplicaciones críticas y
consideraciones relativas a la seguridad de la red.
Configuración del ordenador base: Configuración del soporte físico, en torno del sistema operativo,
software con particiones, entornos( pruebas y real ), bibliotecas de programas y conjunto de datos.
Entorno de aplicaciones: Procesos de transacciones, sistemas de gestión de base de datos y
entornos de procesos distribuidos.
Productos y herramientas: Software para desarrollo de programas, software de gestión de
bibliotecas y para operaciones automáticas.
Seguridad del ordenador base: Identificar y verificar usuarios, control de acceso, registro e
información, integridad del sistema, controles de supervisión, etc.
Para la implantación de un sistema de controles internos informáticos habrá que definir:
Gestión de sistema de información: políticas, pautas y normas técnicas que sirvan de base para el
diseño y la implantación de los sistemas de información y de los controles correspondientes.
Administración de sistemas: Controles sobre la actividad de los centros de datos y otras funciones
de apoyo al sistema, incluyendo la administración de las redes.
Seguridad: incluye las tres clases de controles fundamentales implantados en el software del
sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.
Gestión del cambio: separación de las pruebas y la producción a nivel del software y controles de
procedimientos para la migración de programas software aprobados y probados.
Instrucciones: Escucha con atención las indicaciones de tu maestro, realiza las intervenciones que
te ayuden a entender sus instrucciones para que en equipo de 3 a 5 personas, elabores una ficha que
contenga la información del equipo de trabajo para exponer acerca de control interno, de acuerdo al
orden establecido por el maestro.
1. Completa la siguiente nota en la que contenga a los integrantes del equipo y las actividades
que cada uno deberá realizar en la muestra.
Equipo: _________
Integrantes
Jefe:
1.-
2.-
3.-
4.-
Actividades:
Recursos informáticos
Función informática
Seguridad Informática
Desarrollo de Aplicaciones
Función operacional
Redes y comunicación
Bases de Datos
Datos de Identificación:
Alumno
Grupo
Evidencia Ev02: Control interno
Asignatura Auditoria Informática I
Bloque I: Introducción a la auditoria informática
Evalúa M.C. Gabriel Huesca Aguilar
Criterios Escala de 0 a 10
Presentación en Microsoft Power point 2007 en adelante
Presenta márgenes adecuados, pie de página, orientación de la
hoja, formato a fuentes, imágenes, gráficos, ortografía, formatos
Presentación
para el control.
La explicación es clara, sencilla y responde a las preguntas de sus
compañeros.
La información tiene estructura adecuada.
Explica claramente el control investigado
Contenido
Utiliza la creatividad
Los compañeros de grupo opinan que es buena.
Tiempo de entrega El día que se pide
Evaluación: ________
Observaciones y comentarios:
El Auditor
Es aquella persona que lleva a cabo una auditoria, capacitado con conocimiento necesario para
evaluar la eficacia de una empresa.
El auditor debe reunir, para el buen desempeño de su profesión características como: sólida cultura
general, conocimiento técnico, actualización permanente, capacidad para trabajar en equipo
multidisciplinario, creatividad, independencia, mentalidad y visión integradora, objetividad,
responsabilidad, entre otras. Además de esto, este profesional debe tener una formación integral y
progresiva.
Ética Profesional
La ética profesional del auditor, se refiere a la responsabilidad del mismo para con el público, hacia
los clientes y colegas y los niveles de conducta máximos y mínimos que debe poseer.
A tal fin, existen cinco (5) conceptos generales, llamados también “Principios de Ética” las cuales
son:
Independencia, integridad y objetividad.
Normas generales y técnicas.
Responsabilidades con los clientes.
Responsabilidades con los colegas.
3
http://www.monografias.com/trabajos33/auditor/auditor.shtml
Necesidad de confidencialidad:
Tanto el sentido común como el concepto de independencia requieren que sea el auditor, no el
cliente, quien decida qué información necesita el auditor para practicar una auditoria efectiva. En esa
decisión no debe influir la creencia, de parte del cliente, de que cierta información es confidencial.
Una auditoria eficiente y efectiva requiere que el cliente ponga en el auditor la confianza necesaria
para ser sumamente franco al proporcionar información.
Confidencialidad y privilegio:
Con las excepciones indicadas, las comunicaciones entre el cliente y el auditor son confidenciales; es
decir, el auditor no debe revelar la información contenida en la comunicación sin el permiso del
cliente. Normalmente, sin embargo, esa información no es “privilegiada”. La información es
privilegiada si el cliente puede impedir que un tribunal o dependencia del gobierno tenga acceso a ella
mediante un citatorio u orden de comparecencia.
Información Confidencial:
Los auditores y su personal tienen iguales responsabilidades que la administración en cuanto al
manejo de la información confidencial: no utilizarla para provecho personal, ni revelarla a quienes
pudieran hacerlo. Esas responsabilidades están claramente comprendidas en las estipulaciones
generales del código de ética profesional.
Conflicto de intereses:
El temor de algunos clientes de que sus secretos les sean comunicados a los competidores es tan
grande que se niegan a contratar a auditores entre cuyos clientes figure un competidor. Otros
quedan satisfechos con la seguridad de que el personal encargado de su trabajo no tenga contacto
con el personal del competidor. El precio de obtener tan alto grado de confidencialidad es la pérdida
de los beneficios de una experiencia en el ramo que pueden aportar los auditores familiarizados con
más de una empresa dentro del mismo giro. La experiencia indica que el riesgo de que se filtre
información que tenga valor competitivo es sumamente bajo.
Responsabilidad legal
Son muchas las responsabilidades generales por la profesión derivadas de estipulaciones legales.
Amanera de síntesis se trata de dar una idea de este tema a continuación:
Recomendaciones
El auditor debe realizar procedimientos diseñados a obtener suficiente y apropiada evidencia
de auditoría, en que puedan todos los elementos hasta la fecha del informe del auditor que
puedan requerir de ajustes o exposiciones en los estados financieros, hayan sido
identificados. Ciertos eventos y transacciones que ocurren después de cada fin de año, deben
ser examinados como parte del trabajo normal de verificación de auditoría.
Además debe de llevar a cabo una revisión completamente documentada, de eventos
subsecuentes la cual tiene como objetivo de obtener una seguridad razonable, de que todos
los eventos importantes han sido identificados y expuestos o registrados en los estados
financieros.
La revisión debe ser actualizada a una fecha lo mas cercanamente posible a la fecha del
informe de auditoría, hablando con la gerencia y realizando pruebas futuras de ser necesario.
Todos los procedimientos de auditoría emprendidos y las conclusiones alcanzadas deben
estar completamente documentadas las hojas de trabajo deben incluir notas, detalladas de
reuniones, incluyendo quien estaba presente, los asuntos discutidos y el resto de las
discusiones.
Conclusión
El auditor tiene la responsabilidad de mantener en completa integridad y objetividad la
información que se le a dado de manera confidencial para poder llevar a cabo los requerimientos que
se le han asignados y ofrecer una mejor calidad de sus servicios con el fin de que la organización
donde está desempeñando su labor quede conforme. Y obtener evidencia suficiente, confiable y útil
para lograr de manera eficaz los objetivos de la auditoria. Y tener responsabilidades que estén
claramente comprendidas en las estipulaciones generales del código de la ética profesional e inculcar
normas generales y técnicas de su competencia.
Instrucciones: Después de haber leído con atención la lectura anterior elabora un es esquema
(mapa mental, conceptual, cuadro sinóptico o de doble entrada, etc), acerca de la información
presentada.
Principio de Calidad.
El auditor informático debe prestar sus servicios tomando en consideración todos los medios a su
alcance con absoluta libertad y con condiciones técnicas adecuadas para el idóneo cumplimiento de
su deber.
Si el auditado no le proporcionara auditor informático la información o medios indispensables mínimos
para llevar a cabo su trabajo, dicho auditor informático deberá negarse a prestar su servicio
profesional, hasta que se le garantice un mínimo de condiciones necesarias técnicas que no
comprometa la calidad de los resultados del trabajo del auditor informático.
Si el auditor informático considera necesaria la intervención de otros especialistas más calificados
sobre algún aspecto en particular, podrán solicitar su dictamen para reforzar la calidad y fiabilidad de
su propia auditoría.
Principio de capacidad.
El auditor informático debe estar perfectamente capacitado profesionalmente para llevar a cabo una
auditoría encomendada, inclusive, dada su especialización, a los auditados en algunos casos les
puede ser extremadamente difícil verificar sus recomendaciones y evaluar correctamente la precisión
de las mismas.
El auditor debe estar consciente del alcance de sus conocimientos y de su experiencia profesional y
aptitud para llevar a cabo una auditoría informática, evitando que una sobreestimación personal de
sus capacidades pudiera provocar el incumplimiento parcial o total de su trabajo, aún cuando dicho
incumplimiento no pudiese ser detectado por las personas que lo contrataran dada su ignorancia
técnica. El auditor informático siempre deberá estar actualizado profesionalmente para evitar que una
obsolescencia en conocimiento de métodos y técnicas pudiesen inhabilitarle para el ejercicio de su
profesión como auditor informático.
Por lo tanto la conclusión es que el auditor informático siempre debe estar actualizado con los últimos
conocimientos de su profesión.
Principio de confianza.
El auditor debe incrementar la confianza del auditado en base a una actuación con transparencia en
su actividad profesional, sin alardes técnicos o científicos que por su incomprensión para el auditado
puedan restarle credibilidad de los resultados obtenidos. El auditor debe mantener una confianza en
las indicaciones del auditado, a no ser que encuentra evidencia que las contradiga, confirmándolo
personalmente con el auditado.
Principio de economía.
Es una obligación del auditor informático proteger la parte económica del auditado evitando generarle
gastos innecesarios en el ejercicio de su actividad. Tampoco por el simple hecho de cobrar más
dinero podrá alargar innecesariamente su trabajo de auditoría. Tampoco podrá incurrir en gastos no
justificados, ni inducir al cliente a erogarlos.
Principio de independencia.
Este principio validado con el principio de criterio propio, que exige una total autonomía en el ejercicio
de su trabajo, sin influencias que pueden demeritarlo. Este principio garantiza al auditado que los
intereses del propio auditado serán asumidos con gran objetividad profesional. Esta independencia
implica que debe rechazar aquellos criterios profesionales con los que no esté plenamente de
acuerdo.
Principio de legalidad.
En todo momento el auditor informático debe utilizar sus conocimientos para facilitar a sus auditados
para evitar caer en contraposición con las disposiciones legales vigentes. No podrá desactivar
dispositivos de seguridad, ni tampoco podrá intentar obtener códigos, claves, passwords, a sectores
restringidos de información elaborados para proteger derechos, obligaciones o intereses de terceros,
como lo son el derecho a la intimidad, secreto profesional, propiedad intelectual, etc.
Tampoco podrá intervenir líneas de comunicación o controlar actividades que puedan generar
vulneración a los derechos personales o empresariales dignos de protección.
Principio de no injerencia.
El auditor informático no podrá tener injerencia en el trabajo de otros profesionales, debiendo respetar
su trabajo, evitando hacer comentarios que pudieran interpretarse como de desprecio o provocar
desprestigio profesional a otros, a menos de que las actitudes de otros profesionales sean
fraudulentas o vayan en contra de la ley. Tampoco puede aprovechar los datos obtenidos de su
cliente para utilizarlos como una competencia desleal.
Principio de precisión.
Este principio está íntimamente relacionado con el principio de calidad. El auditor informático no
puede concluir su trabajo hasta que no esté plenamente convencido de la viabilidad de sus
propuestas, ampliando sus estudios informáticos cuando lo considere necesario, hasta estar
totalmente convencido.
El auditor sólo podrá indicar como evaluada un área que a través de sus colaboradores o por el
mismo haya podido comprobar exhaustivamente, estándole prohibido proporcionar opiniones
parciales o sesgadas o recabadas por terceras personas sin que él tenga constancia de ello.
Principio de publicidad adecuada. Los anuncios o publicidad de los auditores informáticos deberán
ser sobrias, sin ostentaciones o publicidad barata que vayan contra de la ética profesional, o bien
publicidad falsa o engañosa que tenga por objeto confundir a los lectores y posibles usuarios de sus
servicios profesionales. Debe evitar campañas publicitarias que puedan desvirtuar la realidad de sus
servicios profesionales y oscurezcan sus objetivos o prometan resultados de lo imprevisible.
Principio de responsabilidad.
El auditor informático deberá responsabilizarse de todo su comportamiento profesional en lo que diga,
haga o aconseje, evitando se produzcan daños de cualquier tipo para su cliente.
Por lo anterior se recomienda la contratación de seguros de responsabilidad civil u otro tipo de
seguros con la suficiente cobertura que protejan tanto al cliente como al propio auditor y así poder
acrecentar la confianza y solvencia de su actuación profesional.
Principio de veracidad.
El auditor siempre debe hablar con la verdad en sus criterios, dictámenes, opiniones y consejos,
únicamente con los límites impuestos por los deberes de respeto, corrección y secreto profesional.
Este principio exige al auditor informático informar a su cliente sobre todo el trabajo relevante
realizado, comunicando a través del dictamen sus conclusiones, evitando dar valoraciones
personales subjetivas, garantizando siempre el cumplimiento de su obligación de informar
verazmente.
Planeando un evento
4
http://www.mitecnologico.com/Main/FasesAuditoriaInformatica (24/Enero/2012)
Tipos
Interna: Aplicada con el personal que labora en la empresa.
Externa: Se contrata a una firma especializada para realizar la misma.
Auditoría Informática Externa
Las empresas recurren a la auditoría externa cuando existen:
• Síntomas de Descoordinación
• Síntomas de Mala Imagen
Informática II. Decanato de Administración y Contaduría • Síntomas de Debilidades Económicas
• Síntomas de Inseguridad
Aspectos Fundamentales en la Auditoría de los Sistemas de Información Informática II. Decanato de
Administración y Contaduría
Auditoría Informática de Desarrollo de Aplicaciones Cada una de las fases del desarrollo de las
nuevas aplicaciones informáticas deben ser sometidas a un minucioso control, a fin de evitar un
aumento significativo de los costos, así como también insatisfacción de los usuarios. Informática II.
Decanato de Administración y Contaduría
Auditoría de los Datos de Entrada Se analizará la captura de la información en soporte compatible
con los Sistemas, el cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la
correcta transmisión de datos entre entornos diferentes. Se verificará que los controles de integridad y
calidad de datos se realizan de acuerdo a las Normas establecidas.
Medidas de Control y Seguridad Mecanismos utilizados para garantizar la Seguridad Lógica de los
Datos. En los Sistemas Multiusuarios se deben restringir el acceso a la Información, mediante un
nombre de usuario (login) y una contraseña (password). Del mismo modo, se debe restringir el
acceso a los Sistemas en horas no laborables salvo casos excepcionales.
La Auditoría Informática es una parte integrante de la auditoría. Se preguntará por que se estudia por
separado, pues simplemente para abordar problemas más específicos y para aprovechar los recursos
del personal. Sin embargo, es bueno acotar que debe realizarse dentro de un marco de auditoría
general.
Para clarificar aún más la lámina, diremos entonces que la Auditoría Informática es el proceso de
revisión y evaluación de los controles y medidas de seguridad que se aplican a los recursos:
a) Tecnológicos.
b) Personal.
c) Software
d) Procedimientos. que se utilizan en los Sistemas de Información manejados en la empresa.
En este sentido, se deben revisar y evaluar si se han desarrollado e implementados controles
apropiados y adecuados en los sistemas de información.
La auditoría Informática va mucho más allá de la simple detección de errores. Si bien es cierto que la
Auditoría es un proceso que permite detectar fallas, es menester de la auditoría, el presentar algunas
sugerencias que puedan ser aplicadas para evitar de esta manera la repetición de las mismas en un
futuro.
Básicamente, el objetivo principal de la auditoría informática es garantizar la operatividad de los
procesos informáticos. En otras palabras, ofrecer la continuidad los procesos de generación,
distribución, uso y respaldo de información dentro de las organizaciones.
Ya puede ir formándose una idea entonces de la importancia que tiene la Auditoría Informática (si no
es así, ¿le parece poco el hecho de que permita mantener operativo todos los procesos relacionados
con el manejo de la información?). Importancia de la Auditoría Informática
Tal como se mencionó anteriormente su importancia radica en el hecho de garantizar la operatividad
de los procesos informáticos. Del mismo modo, la Auditoría es compatible con la calidad, ya que
mediante la auditoría, se buscan implantar mejoras en busca del perfeccionamiento de los procesos,
incorporando nuevas técnicas y tecnologías.
Tal como lo pudo apreciar, las definiciones anteriores son muy sencillas y no dejan lugar a ninguna
duda. Sin embargo, consideramos prudente ampliar nuestra exposición y ofrecerle algo más que una
mera definición. Auditoría Interna
La auditoría Interna ofrece algunas ventajas en relación a la externa, en primer lugar es menos
costosa, puesto que se realiza con el mismo personal, y por otro lado, no se corre el riesgo de que
personas extrañas conozcan la información generada dentro de la firma. Sin embargo, tiene sus
limitaciones, entre las cuales se mencionan: la poca especialización que tienen los integrantes en la
materia conlleva al hecho de que se escapen algunos detalles dentro del proceso (omisión de
detección de errores) y por otro lado se corre el riesgo de que se “encubran” deficiencias. Es factible
que dentro del proceso de auditoría, las personas no informen de alguna anomalía a fin “de no
perjudicar al amigo”. Auditoría Externa
Equipo: _____________________________________________________
Integrantes:
1.-
2.-
3.-
Domicilio:
1. Elabora un formato para verificar las instalaciones de la empresa donde estas llevando
la auditoria, incluyendo entre estos (Dirección física, ubicación en el mapa, edificios
que le rodea por los 4 puntos cardinales, etc).
2. Elabora un formato para verificar la distribución de los departamentos.
3. Elabora un formato para verificar el equipo de seguridad con los que cuenta tales
como botiquines, extinguidores, luces de emergencia etc.
4. Elabora un formato para verificar la señalización con la que cuenta la empresa
auditada tales como: direcciones de salida, emergencia, escape, riesgo eléctrico, zona
de evacuación etc.
5. Identifica los formatos de inventario físico, de recursos informáticos y de aplicaciones
en la organización seleccionada.
Marcas de Auditoría5
Las marcas de auditoría son signos que utiliza el auditor para señalar el tipo de procedimiento
que está aplicando, simplificando con ello su papel de trabajo.
5
Guía de auditoria
Adicionalmente a las marcas descritas, existe el uso de conectores y notas que permiten al auditor
referenciar y comentar la información contenida en sus papeles de trabajo:
Los conectores son números arábigos encerrados en círculo con una flecha que indica la dirección
donde se encuentra el conector correspondiente y se utiliza para identificar dos datos o cifras en una
cédula que dependen uno de otro, haciendo referencia en todos los casos al mismo dato o cifra, pero
con diferentes niveles de desagregación.
Por su parte, las notas son referencias alfabéticas dentro del papel de trabajo, que son explicadas al
calce de la cédula. Se utilizan para ampliar, explicar o hacer alguna acotación sobre un dato, cifra o
elemento incluido en la cédula.
1. Elabora una lista de marcas que serán necesarias utilizar en la tarea de la auditoria
que planean realizar.
2. Comenta con tu equipo las marcas comunes que van a realizar de manera que se
tengan todas las marcas de auditoría en un solo documento.
3. Elabora en forma individual un cuestionario que conocer las diferentes formas y
procedimientos para llevar a cabo la tarea que te corresponde auditar, de manera que
se establezca claramente.
A. Objetivo de la tarea
B. A quien va dirigido
C. Quien es el responsable
D. Tiempos que se utilizan
E. Formas para controlar
F. Quien revisa las actividades
G. Alguna otra información importante
Cuerpo expositivo:
1. Hecho encontrado.
Ha de ser relevante para el auditor y pera el cliente.
Ha de ser exacto, y además convincente.
No deben existir hechos repetidos.
Así como pueden existir tantas copias del informe Final como solicite el cliente, la auditoría no
hará copias de la citada carta de Introducción.
Instrucciones: Después de haber leído con atención la lectura anterior y el anexo 02, elabora un es
esquema (mapa mental, conceptual, cuadro sinóptico o de doble entrada, etc), acerca de la
información presentada.
ANEXOS