Unidad 1 Auditoria Informatica

Instituto Tecnolgico Superior de Apatzingn
Auditoria Informtica - 7 Sem. Ing. Informtica

Unidad 1: Introduccin de Auditoria Informtica
1.1. Definicin y clasificacin.

1.2. Tipos de auditora y su relacin con la auditora en Informtica.
1.3. Normas y procedimientos de auditora.
1.4. Planeacin y supervisin del trabajo de auditora.
1.5. Uso de tcnicas asistidas por computadora.
1.6. Responsabilidad del auditor en el descubrimiento de errores y desviaciones.
1.7. Importancia relativa y riesgo de auditora.
1.8. Documentacin de la auditora.
1.9. Evidencia comprobatoria.
1.10. Control interno.
1.11. Resumen.
1.12. Metodologa para el desarrollo e implantacin de auditora.
1.13. Informe final de la auditora.
TEMA 1: DEFINICION Y CLASIFICACION
El trmino auditoria proviene del verbo latino audire que significa or, su sustantivo latino es auditor,
que significa el que oye. Es decir que, escuchando los argumentos de aquellos a quienes deban controlar. Se dice
que esto sucedi en tiempo pasados por lo primitivo de los registros.
En ese entendido, se puede dar la siguiente definicin de Auditoria.
Auditoria es el examen objetivo y sistemtico de las operaciones financieras y administrativas, realizadas por
profesionales independientes, con posterioridad a su ejecucin, con la finalidad de evaluarlas, verificarlas y
elaborar un informe que contenga observaciones, conclusiones, recomendaciones y el correspondiente dictamen
cuando corresponda.
Debido a la amplia actividad que poseen las empresas hoy en da y de acuerdo a la necesidad de orden y control
especficos por reas, la auditoria se ha dividido o clasificado para cubrir estas necesidades especficas, con la
finalidad de asegurar a los empresarios en un alto porcentaje que las actividades de su empresa se estn
desempeando correctamente en su integridad. Es as que dicha clasificacin es la siguiente:
* Segn el sujeto. Hace referencia a quien o quienes efectan la auditoria y se sub divide:
- Auditores Externos (Profesionales Independientes)
- Auditores Internos (Profesionales Dependientes de la empresa)
* Segn el objeto. Hace referencia al alcance del trabajo, es decir a un rea especfica de la empresa y se sub
divide:
- Auditora Interna Integral o Gubernamental.
- Auditora Financiera.
- Auditoria Administrativa.
- Auditoria Operativa.
- Auditoria Social.
- Auditoria de Sistemas Computarizados.
- Auditoria Econmica.
- Auditoria de Efectividad.
Profesor: Rafael Cuevas Madrigal
Alumna: Tania Flor Cubillo Montiel

- Auditoria de Calidad.
- Auditoria Medioambiental
- Auditoria de Costos.
Auditoria de seguridad industrial.
- Otras reas de la empresa que por su magnitud necesiten de una un control y evaluacin.
TEMA 2: TIPOS DE AUDITORIA Y SU RELACION CON LA AUDITORIA INFORMATICA

La auditora informtica es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y
que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de informacin salvaguarda el
activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin,
utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma
sistemtica el uso de los recursos y los flujos de informacin dentro de una organizacin y determinar qu
informacin es crtica para el cumplimiento de su misin y objetivos, identificando necesidades, duplicidades,
costes, valor y barreras, que obstaculizan flujos de informacin eficientes. En si la auditoria informtica tiene 2
tipos las cuales son: AUDITORIA INTERNA: es aquella que se hace adentro de la empresa; sin contratar a
personas de afuera. AUDITORIA EXTERNA: como su nombre lo dice es aquella en la cual la empresa contrata a
personas de afuera para que haga la auditoria en su empresa. Auditar consiste principalmente en estudiar los
mecanismos de control que os o estrategias, estableciendo los cambios que se deberan realizar para la consecucin
de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de deteccin, correctivos o de
recuperacin ante una contingencia.
Los objetivos de la auditora Informtica son:
El anlisis de la eficiencia de los Sistemas Informticos
La verificacin del cumplimiento de la Normativa en este mbito
La revisin de la eficaz gestin de los recursos informticos.
Sus beneficios son:
Mejora la imagen pblica.
Confianza en los usuarios sobre la seguridad y control de los servicios de TI.
Optimiza las relaciones internas y del clima de trabajo.
Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre otros).
Genera un balance de los riesgos en TI.
Realiza un control de la inversin en un entorno de TI, a menudo impredecible.
La auditora informtica sirve para mejorar ciertas caractersticas en la empresa como:
* Desempeo
Fiabilidad
Eficacia
Rentabilidad
Seguridad
Privacidad
Generalmente se puede desarrollar en alguna o combinacin de las siguientes reas:
* Gobierno corporativo
Administracin del Ciclo de vida de los sistemas
Servicios de Entrega y Soporte
Proteccin y Seguridad

Planes de continuidad y Recuperacin de desastres
La necesidad de contar con lineamientos y herramientas estndar para el ejercicio de la auditora informtica ha
promovido la creacin y desarrollo de mejores prcticas como COBIT, COSO e ITIL.
Actualmente la certificacin de ISACA para ser CISA Certified Information Systems Auditor es una de las ms
reconocidas y avaladas por los estndares internacionales ya que el proceso de seleccin consta de un examen
inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la
certificacin.
Tipos de Auditora de Sistemas
Dentro de la auditora informtica destacan los siguientes tipos (entre otros):
Auditora de la gestin: la contratacin de bienes y servicios, documentacin de
los programas, etc.
Auditora legal del Reglamento de Proteccin de Datos: Cumplimiento legal de las medidas de seguridad exigidas
por el Reglamento de desarrollo de la Ley Orgnica de Proteccin de Datos.
Auditora de los datos: Clasificacin de los datos, estudio de las aplicaciones y anlisis de los flujo-gramas.
Auditora de las bases de datos: Controles de acceso, de actualizacin, de integridad y calidad de los datos.
Auditora de la seguridad: Referidos a datos e informacin verificando disponibilidad, integridad, confidencialidad,
autenticacin y no repudio.
Auditora de la seguridad fsica: Referido a la ubicacin de la organizacin, evitando ubicaciones de riesgo, y en
algunos casos no revelando la situacin fsica de esta. Tambin est referida a las protecciones externas (arcos de
seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.
Auditora de la seguridad lgica: Comprende los mtodos de autenticacin de los sistemas de informacin.
Auditora de las comunicaciones. Se refiere a la auditoria de los procesos de autenticacin en los sistemas de
comunicacin.
Auditora de la seguridad en produccin: Frente a errores, accidentes y fraudes.
Importancia de la Auditoria Informtica
La auditora permite a travs de una revisin independiente, la evaluacin de actividades, funciones especficas,
resultados u operaciones de una organizacin, con el fin de evaluar su correcta realizacin. Este autor hace nfasis
en la revisin independiente, debido a que el auditor debe mantener independencia mental, profesional y laboral
para evitar cualquier tipo de influencia en los resultados de la misma.
la tcnica de la auditora, siendo por
tanto aceptables equipos multidisciplinarios formados por titulados en Ingeniera Informtica e Ingeniera Tcnica
en Informtica y licenciados en derecho especializados en el mundo de la auditora.
TEMA 3: NORMAS, TECNICAS Y PROCEDIMIENTOS DE AUDITORIA
El desarrollo de una auditora se basa en la aplicacin de normas, tcnicas y procedimientos de auditora. Para
nuestro caso, estudiaremos aquellas enfocadas a la auditora en informtica.
Es fundamental mencionar que para el auditor en informtica conocer los productos de software que han sido
creados para apoyar su funcin aparte de los componentes de la propia computadora resulta esencial, esto por
razones econmicas y para facilitar el manejo de la informacin.
El auditor desempea sus labores mediante la aplicacin de una serie de conocimientos especializados que vienen a
formar el cuerpo tcnico de su actividad. El auditor adquiere responsabilidades, no solamente con la persona que
directamente contratan sus servicios, sino con un nmero de personas desconocidas para l que van a utilizar el
resultado de su trabajo como base para tomar decisiones.

La auditora no es una actividad meramente mecnica, que implique la aplicacin de ciertos procedimientos cuyos
resultados, una vez llevados a cabo son de carcter indudable. La auditora requiere el ejercicio de un juicio
profesional, slido maduro, para juzgar los procedimientos que deben seguirse y estimar los resultados obtenidos.
Tcnicas.
Se define a las tcnicas de auditora como los mtodos prcticos de investigacin y prueba que utiliza el auditor
para obtener la evidencia necesaria que fundamente sus opiniones y conclusiones, su empleo se
basa en su criterio o juicio, segn las circunstancias.
Al aplicar su conocimiento y experiencia el auditor, podr conocer los datos de la empresa u organizacin a ser
auditada, que pudieran necesitar una mayor atencin.
Las tcnicas procedimientos estn estrechamente relacionados, si las tcnicas no son elegidas adecuadamente, la
auditora no alcanzar las normas aceptadas de ejecucin, por lo cual las tcnicas as como los procedimientos de
auditora tienen una gran importancia para el auditor.
Segn el IMCP en su libro Normas y procedimientos de auditora las tcnicas se clasifican generalmente con base
en la accin que se va a efectuar, estas acciones pueden ser oculares, verbales, por escrito, por revisin del
contenido de documentos y por examen fsico.
Siguiendo esta clasificacin las tcnicas de auditora se agrupan especficamente de la siguiente manera:
Estudio General
Anlisis
Inspeccin
Confirmacin
Investigacin
Declaracin
Certificacin
Observacin
Clculo
PROCEDIMIENTOS
Al conjunto de tcnicas de investigacin aplicables a un grupo de hechos o circunstancias que nos sirven para
fundamentar la opinin del auditor dentro de una auditora, se les dan el nombre de procedimientos de auditora en
informtica.
La combinacin de dos o ms procedimientos, derivan en programas de auditora, y al conjunto de programas de
auditora se le denomina plan de auditora, el cual servir al auditor para llevar una estrategia y organizacin de la
propia auditora.
El auditor no puede obtener el conocimiento que necesita para sustentar su opinin en una sola prueba, es necesario
examinar los hechos, mediante varias tcnicas de aplicacin
simultnea.
En General los procedimientos de auditora permiten:
Obtener conocimientos del control interno.
Analizar las caractersticas del control interno.
Verificar los resultados de control interno.
Fundamentar conclusiones de la auditora.
Por esta razn el auditor deber aplicar su experiencia y decidir cul tcnica o procedimiento de auditora sern los
ms indicados para obtener su opinin.

Anlisis de datos.
Dentro de este trabajo, desarrollaremos diversos tipos de tcnicas y procedimientos de auditora, de los cuales
destacan el anlisis de datos, ya que para las organizaciones el conjunto de datos o informacin son de tal
importancia que es necesario verificarlos y comprobarlos, as tambin tiene la misma importancia para el auditar ya
que debe de utilizar diversas tcnicas para el anlisis de datos, basados en [bib-solis-2002], las cuales se describen
a continuacin.
Comparacin de programas
Esta tcnica se emplea para efectuar una comparacin de cdigo (fuente, objeto o comandos de proceso) entre la
versin de un programa en ejecucin y la versin de un programa piloto que ha sido modificado en forma indebida,
para encontrar diferencias.
Mapeo y rastreo de programas.
Esta tcnica emplea un software especializado que permite analizar los programas en ejecucin, indicando el
nmero de veces que cada lnea de cdigo es procesada y las de las variables de memoria que estuvieron presentes.
Anlisis de cdigo de programas.
Se emplea para analizar los programas de una aplicacin. El anlisis puede efectuarse en forma manual (en cuyo
caso slo se podra analizar el cdigo ejecutable).
Datos de prueba
Se emplea para verificar que los
procedimientos de control incluidos los programas de una aplicacin funcionen correctamente. Los datos de prueba
consisten en la preparacin de una serie de transacciones que contienen tanto datos correctos como datos errneos
predeterminados.
Datos de prueba integrados
Tcnica muy similar a la anterior, con la diferencia de que en sta se debe crear una entidad, falsa dentro de los
sistemas de informacin.
Anlisis de bitcoras
Existen varios tipos de bitcoras que pueden ser analizadas por el auditor, ya sea en forma manual o por medio de
programas especializados, tales como bitcoras de fallas del equipo, bitcoras de accesos no autorizados, bitcoras
de uso de recursos, bitcoras de procesos ejecutados.
Simulacin paralela
Tcnica muy utilizada que consiste en desarrollar programas o mdulos que simulen a los programas de un sistema
en produccin. El objetivo es procesar los dos programas o mdulos de forma paralela e identificar diferencias
entre los resultados de ambos.
Monitoreo


Dentro de las organizaciones todos los procesos necesitan ser evaluados a travs del tiempo para verificar su
calidad en cuanto a las necesidades de control, integridad y confidencialidad, este es precisamente el mbito de esta
tcnica, a continuacin se muestran los procesos de monitoreo:
M1 Monitoreo del proceso.
M2 Evaluar lo adecuado del control Interno.
M3 Obtencin de aseguramiento independiente.
M4 Proveer auditora independiente.
M1 Monitoreo del proceso
Asegura el logro de los objetivos para los procesos de TI, lo cual se logra definiendo por parte de la gerencia
reportes e indicadores de desempeo y la implementacin de sistemas de soporte as como la
atencin regular a los reportes emitidos.
Para ello la gerencia podr definir indicadores claves de desempeo y factores crticos de xito y compararlos con
los niveles propuestos para evaluar el desempeo de los procesos de la organizacin.
M2 Evaluar lo adecuado del control Interno
Asegura el logro de los objetivos de control interno establecidos para los procesos de TI, para ello se debe
monitorear la efectividad de los controles internos a travs de actividades administrativas, de supervisin,
comparaciones, acciones rutinarias, evaluar su efectividad y emitir reportes en forma regular.
M3 Obtencin de aseguramiento independiente
Incrementa los niveles de confianza entre la organizacin, clientes y proveedores, este proceso se lleva a cabo a
intervalos regulares de tiempo.
Para ello la gerencia deber obtener una certificacin o acreditacin independiente de seguridad y control interno
antes de implementar nuevos servicios de tecnologa de informacin que resulten crticos, as como para trabajar
con nuevos proveedores de servicios de tecnologa de informacin, luego la gerencia deber adoptar como trabajo
rutinario tanto hacer evaluaciones peridicas sobre la efectividad de los servicios de tecnologa de informacin, de
los proveedores de estos servicios as como tambin asegurarse el cumplimiento de los compromisos contractuales
de los servicios de tecnologa de informacin y de los proveedores de dichos servicios.
M4 Proveer auditora independiente.
Incrementa los niveles de confianza de recomendaciones basadas en mejores prcticas de su implementacin, lo
que se logra con el uso de auditoras independientes desarrolladas a intervalos
regulares de tiempo.
Para ello la gerencia deber establecer los estatutos para la funcin de auditora, destacando en este documento la
responsabilidad, autoridad y obligaciones de la auditora.
El auditor deber ser independiente del auditado, esto significa que los auditores no debern estar relacionados con
la seccin o departamento que est siendo auditado y en lo posible deber ser independiente de la propia empresa,
esta auditora deber respetar la tica y los
estndares profesionales, seleccionando para ello auditores que sean tcnicamente competentes, es decir que
cuenten con habilidades y conocimientos que aseguren tareas efectivas y eficientes de auditora informtica.
La funcin de la auditora informtica deber proporcionar un reporte que muestre los objetivos, perodo de
cobertura, naturaleza y trabajo de auditora realizado, as como tambin la organizacin, conclusin y
recomendaciones relacionadas con el trabajo de auditora informtica llevado a cabo.
Anlisis de bitcoras.
Hoy en da los sistemas de cmputo se encuentran expuestos a distintas amenazas, las vulnerabilidades de los
sistemas aumentan, al mismo tiempo que se hacen ms complejos, el nmero de ataques tambin aumenta, por lo
anterior las organizaciones deben reconocer la importancia y utilidad de la informacin contenida en las bitcoras

de los sistemas de cmputo as como mostrar algunas herramientas que ayuden a automatizar el proceso de anlisis
de las mismas.
El crecimiento de Internet enfatiza esta problemtica, los sistemas de cmputo generan una gran cantidad de
informacin, conocidas como bitcoras o archivos logs, que pueden ser de gran ayuda ante un incidente de
seguridad, as como para el auditor.
Una bitcora puede registrar mucha informacin acerca de eventos relacionados con el sistema que la genera los
cuales pueden ser:
Fecha y hora.
Direcciones IP origen y destino.
Direccin IP que genera la bitcora.
Usuarios.
Errores.
La importancia de las bitcoras es la de recuperar informacin ante incidentes de seguridad, deteccin de
comportamiento inusual, informacin para resolver problemas, evidencia legal, es de gran ayuda en las tareas de
cmputo forense.
Las Herramientas de anlisis de bitcoras mas conocidas son las siguientes:
Para UNIX, Logcheck, SWATCH.
Para Windows, LogAgent
Las bitcoras contienen informacin crtica es por ello que deben ser analizadas, ya que estn teniendo mucha
relevancia, como evidencia en aspectos legales.
El uso de herramientas automatizadas es de mucha utilidad para el anlisis de bitcoras, es importante registrar
todas las bitcoras necesarias de todos los sistemas de cmputo para mantener un control de las mismas.
TEMA 4: PLANEACION Y SUPERVISION DEL TRABAJO DE AUDITORIA
Como todo proyecto implantado dentro de una organizacin, el proyecto de auditora informtica debe iniciar con
una fase de planeacin en la cual participen todas las reas de la organizacin para identificar los recursos
necesarios que permitirn llevar a cabo este proyecto, como son, objetivos que se pretenden alcanzar con el
proyecto, anlisis costo/beneficio, personal humano que intervendr en el proyecto, marco de referencia de
Auditora Informtica que se va a utilizar, basndose en varios objetivos fundamentales que son:
Evaluacin de los sistemas y procedimientos.
Evaluacin de los equipos de cmputo
Evaluacin del proceso de datos
Lo cual se resume en obtener un conocimiento inicial de la organizacin a evaluar, con especial nfasis en sus
procesos informticos basados en evaluaciones administrativas realizadas a los procesos electrnicos, sistemas y
procedimientos, equipos de cmputo, seguridad y confidencialidad de la informacin, y aspectos legales de los
sistemas y la informacin. Cada proyecto de auditora en informtica respalda los objetivos y requerimientos de
tres entidades del negocio en alto o bajo grado:
1. Alta direccin
1. Seguimiento a proyectos relacionados con tecnologa informtica.
2. Verificacin y aseguramiento del cumplimiento de polticas tecnologa informtica.
3. Otros aspectos de inters para la alta direccin.
2. Auditoria
1. Apoyo en la definicin, implantacin y seguimiento de polticas, controles y procedimientos de auditoria,
relacionadas directa o indirectamente con la tecnologa de informtica (sistemas de informacin, equipos de
cmputo, comunicaciones, etc.).

2. Planes de capacitacin en el uso y entendimiento de software de auditora, herramientas de productividad (hojas
electrnicas, procesadores de palabras, graficadores, diagramadores, etc.), base de datos (consulta de informacin,
por ejemplo), equipos de cmputo (micros, terminales, porttiles, etc.); otros de inters para los auditores.
3. Otros de inters para el desarrollo eficiente de los auditores cuando evalen reas del negocio que se apoyan en
informtica.
3. Informtica
1. Apoyo en la definicin, implantacin y seguimiento de polticas, controles, procedimientos y estndares relativos
a la organizacin y administracin de
informtica, el proceso de planeacin, la evaluacin y adquisicin de nueva tecnologa, la evaluacin y adquisicin
de servicios, el desarrollo e implantacin de soluciones (EDI, CASE, base de datos, telecomunicaciones, sistemas
estratgicos, multimedia, etc.) y otros de inters para informtica.
Objetivos de la Planificacin de una auditoria
El proceso de planeacin de la auditoria tiene como objetivo fundamentar el establecimiento y definicin de
diferentes tpicos nombrados a continuacin:
Metodologa a ser usada
Polticas y reglas a seguir
Metas u objetivos de la auditoria
Programas de trabajo de auditoria
Personal que intervendr en el proyecto
Presupuesto financiero
Las fechas y la manera como se presentarn los informes de las actividades de cumplimiento del proyecto, basados
en la realidad de la organizacin evaluada.
Importancia de la Planeacin
De la adecuada Planeacin y Supervisin el auditor podr obtener los resultados satisfactorios que le sirvan de
base para sustentar su opinin manifestada en su dictamen. Por esto una de las Normas de Auditora le obliga a que
su trabajo deba ser tcnicamente planeado y ejercerse una supervisin apropiada sobre los asistentes si estos
participan en el examen, como una garanta de calidad hacia los usuarios. La Planeacin de la Auditora permite
establecer la extensin y el alcance de las pruebas a utilizar y la supervisin sobre el recurso humano que le
colaborar durante el desarrollo del trabajo.
Personal Participante
Una de las partes ms importantes dentro de la planeacin de la auditora en informtica es el personal que deber
participar y sus caractersticas. Uno de los esquemas
generalmente aceptados para tener un adecuado control es que el personal que intervengan est debidamente
capacitado, con alto sentido de moralidad, al cual se le exija la optimizacin de recursos (eficiencia) y se le
retribuya o compense justamente por su trabajo.
Con estas bases se debe considerar las caractersticas de conocimientos, prctica profesional y capacitacin que
debe tener el personal que intervendr en la auditora. En primer lugar se debe pensar que hay personal asignado
por la organizacin, con el suficiente nivel para poder coordinar el desarrollo de la auditora, proporcionar toda la
informacin que se solicite y programar las reuniones y entrevistas requeridas. ste es un punto muy importante ya
que, de no tener el apoyo de la alta direccin, ni contar con un grupo multidisciplinario en el cual estn presentes
una o varias personas del rea a auditar, sera casi imposible obtener informacin en el momento y con las
caractersticas deseadas.
Tambin se debe contar con personas asignadas por los usuarios para que en el momento que se solicite
informacin o bien se efecte alguna entrevista de comprobacin de hiptesis, nos proporcionen aquello que se
est solicitando, y complementen el grupo multidisciplinario, ya que se debe analizar no slo el punto de vista de la
direccin de informtica, sino tambin el del usuario del sistema. Para completar el grupo, como colaboradores
directos en la realizacin de la auditora se deben tener personas con las siguientes caractersticas:

Tcnico en informtica.
Experiencia en el rea de informtica.
Experiencia en operacin y anlisis de sistemas.
Conocimientos de los sistemas ms importantes.
En caso de sistemas complejos se deber contar con personal con conocimientos y experiencia en reas especficas
como base de datos, redes.
Lo anterior no significa que una sola persona tenga los conocimientos y experiencias sealadas, pero si deben
intervenir una o varias personas con las caractersticas apuntadas.
Documentos Resultantes de la planificacin de la Auditora Informtica
Dentro del proceso de planificacin de la Auditora Informtica se debe incluir y documentar por lo menos los
siguientes aspectos:
Se debe definir los objetivos y el alcance del trabajo.

El relevamiento de informacin de las actividades a auditarse en la que se apoyar el anlisis.
Los recursos que se necesitarn para llevar a cabo el proyecto de auditora.
Los canales de comunicacin necesarios entre los involucrados en el proyecto de auditora.
El procedimiento apropiado a utilizarse para realizar una inspeccin fsica que permita la obtencin del
conocimiento de la manera como se ejecutan las actividades y controles a auditar, as como de las reas
crticas en las que se debe poner mayor nfasis al realizar la auditora.
La declaracin por escrito del programa de auditora.
Determinar los responsables de analizar los resultados de la auditora, los plazos de tiempo en los que se
deber llevar a cabo el proyecto de auditora y la forma en la que se presentarn los resultados de la misma.
La aprobacin del plan de trabajo de auditora.
Consideraciones para la planificacin de una auditoria informtica

Diagnstico de la situacin actual de los sistemas de informacin en operacin
Debilidades que pueden motivar la auditora de un sistema de informacin
Clasificacin de riesgos que representa el uso de hardware y software en la organizacin
Evaluacin del nivel de riesgo que representa el uso inadecuado de los productos y servicios por el personal de
informtica y usuarios dentro de la organizacin
Otros aspectos: Telecomunicaciones, EDI (intercambio electrnico de datos), automatizacin de procesos
Clasificacin de los riesgos segn criterios establecidos por la funcin de auditora informtica
Elaboracin de una matriz de riesgos que muestre las reas de la funcin de informtica susceptibles de una
revisin por parte de auditora en el siguiente periodo
Elaboracin de un plan consolidado de proyectos
Revisin de la matriz de riesgos y del pronstico de proyectos de auditora en informtica con la gerencia o
direccin a la que reporta directamente la funcin de informtica
Presentacin del plan de proyectos de la funcin de auditora en informtica a la alta direccin
Realizacin de cada uno de los proyectos de acuerdo con el plan de auditora en informtica
Integracin y formalizacin de equipos de trabajo
Aprobacin formal de la alta direccin del informe final de la auditora en informtica realizada


TEMA 5: USO DE TECNICAS ASISTIDAS POR COMPUTADORA
La utilizacin de equipos de computacin en las organizaciones, ha tenido una repercusin importante en el trabajo
del auditor, no slo en lo que se refiere a los sistemas de informacin, sino tambin al uso de las computadoras en
la auditora.
Al llevar a cabo auditoras donde existen sistemas computarizados, el auditor se enfrenta a muchos problemas de
muy diversa condicin, uno de ellos, es la revisin de los procedimientos administrativos de
control interno establecidos en la empresa que es auditada.
La utilizacin de paquetes de programas generalizados de auditora ayuda en gran medida a la realizacin de
pruebas de auditora, a la elaboracin de evidencias plasmadas en los papeles de trabajo.
Segn [bib-zavaro-martinez] las tcnicas de auditora Asistidas por Computadora (CAAT) son la utilizacin de
determinados paquetes de programas que actan sobre los datos, llevando a cabo con ms frecuencia los trabajos
siguientes:
Seleccin e impresin de muestras de auditoras sobre bases estadsticas o no estadsticas, a lo que agregamos,
sobre la base de los conocimientos adquiridos por los auditores.
Verificacin matemtica de sumas, multiplicaciones y otros clculos en los archivos del sistema auditado.
Realizacin de funciones de revisin analtica, al establecer comparaciones, calcular razones, identificar
fluctuaciones y llevar a cabo clculos de regresin mltiple.
Manipulacin de la informacin al calcular subtotales, sumar y clasificar la informacin, volver a ordenar en serie
la informacin, etc.
Examen de registros de acuerdo con los criterios especificados.
Bsqueda de alguna informacin en particular, la cual cumpla ciertos criterios, que se encuentra dentro de las bases
de datos del sistema que se audita.
Consecuentemente, se hace indispensable el empleo de las CAAT que permiten al auditor, evaluar las mltiples
aplicaciones especficas del sistema que emplea la unidad auditada, el examinar un diverso nmero de operaciones
especficas del sistema, facilitar la bsqueda de evidencias, reducir al mnimo el riesgo de la auditora para que los
resultados expresen la realidad objetiva
de las deficiencias, as como de las violaciones detectadas y elevar notablemente la eficiencia en el trabajo.
Teniendo en cuenta que se haca imprescindible auditar sistemas informticos; as como disear programas
auditores, se deben incorporar especialistas informticos, formando equipos multidisciplinarios capaces de
incursionar en las auditoras informticas y comerciales, independientemente de las contables, donde los auditores
que cumplen la funcin de jefes de equipo, estn en la obligacin de documentarse sobre todos los temas auditados.
De esta forma los auditores adquieren ms conocimientos de los diferentes temas, pudiendo incluso, sin
especialistas de las restantes materias realizar anlisis de esos temas, aunque en ocasiones es necesario que el
auditor se asesore con expertos, tales como, ingenieros industriales, abogados, especialistas de recursos humanos o
de normalizacin del trabajo para obtener evidencia que le permita reunir elementos de juicio suficientes.
Evaluacin del control interno.
En un ambiente de evolucin permanente, determinado por las actuales tendencias mundiales, las cuales se centran
en el plano econmico soportadas por la evolucin tecnolgica, surge la necesidad de que la funcin de auditora
pretenda el mejoramiento de su gestin.
La prctica de nuevas tcnicas para evaluar el control interno a travs de las cuales, la funcin de auditora
informtica pretende mejorar la efectividad de su funcin y con ello ofrecer servicios ms eficientes y con un valor
agregado.
La evolucin de la teora del control interno se defini en base a los principios de los controles como mecanismos o
prcticas para prevenir,
10

identificar actividades no autorizadas, ms tarde se incluy el concepto de lograr que las cosas se hagan; la
corriente actual define al control como cualquier esfuerzo que se realice para aumentar las posibilidades de que se
logren los objetivos de la organizacin.
En este proceso evolutivo se considera actualmente, y en muchas organizaciones que el director de finanzas,
contralor o al director de auditora como los responsables principales del correcto diseo y adecuado
funcionamiento de los controles internos.
Benchmarking
Las empresas u organizaciones deben buscar formas o frmulas que las dirijan hacia una mayor calidad, para poder
ser competitivos, una de estas herramientas o frmulas es el Benchmarking.
Existen varios autores que han estudiado el tema, y de igual manera existen una gran cantidad de definiciones de lo
que es benchmarking, a continuacin se presentan algunas definiciones.
Benchmarking es el proceso continuo de medir productos, servicios y prcticas contra los competidores o aquellas
compaas reconocidas como lderes en la industria.
Esta definicin presenta aspectos importantes tales como el concepto de continuidad, ya que benchmarking no slo
es un proceso que se hace una vez y se olvida, sino que es un proceso continuo y constante.
Segn la definicin anterior podemos deducir que se puede aplicar benchmarking a todas las facetas de las
organizaciones, y finalmente la definicin implica que el benchmarking se debe dirigir hacia aquellas
organizaciones y funciones de negocios dentro de las organizaciones que son reconocidas como las mejores.
Entre otras definiciones tenemos la extrada del libro Benchmarking de Bengt, la cual es:
benchmarking es un proceso sistemtico y contino para comparar nuestra propia eficiencia en trminos de
productividad, calidad y prcticas con aquellas compaas y organizaciones que representan la excelencia.
Como vemos en esta definicin se vuelve a mencionar el hecho de que benchmarking es un proceso continuo,
tambin se presenta el trmino de comparacin y por ende remarca la importancia de la medicin dentro del
benchmark.
Estos autores se centran, a parte de la operaciones del negocio, en la calidad y en la productividad de las mismas,
considerando el valor que tienen dichas acciones en contra de los costos de su realizacin lo cual representa la
calidad, y la relacin entre los bienes producidos y los recursos utilizados para su produccin, lo cual se refiere a la
productividad.
Por lo que podemos ver existen varias definiciones sobre lo que es benchmarking, y aunque difieren en algunos
aspectos tambin se puede notar que concuerdan o presentan una serie de elementos comunes.
Para empezar en la mayora de ellas se resalta el hecho de que benchmarking es un proceso continuo que al
aplicarla en nuestra empresa resuelva los problemas de la misma, sino que es un proceso que se aplicar una y otra
vez ya que dicho proceso est en bsqueda constante de las mejores prcticas de la industria, y como sabemos la
industria est en un cambio constante y para adaptarse a dicho cambio desarrolla nuevas prcticas, por lo que no se
puede asegurar que las mejores prcticas de hoy lo sern tambin de maana.
Tambin se vio en las diferentes definiciones que este proceso no slo es aplicable a las operaciones de produccin,
sino que puede aplicarse a todas la
fases de las organizaciones, por lo que benchmarking es una herramienta que nos ayuda a mejorar todos los
aspectos y operaciones del negocio, hasta el punto de ser los mejores en la industria, observando aspectos tales
como la calidad y la productividad en el negocio.
De igual manera podemos concluir que es de suma importancia como una nueva forma de administrar ya que
cambia la prctica de compararse slo internamente a comparar nuestras operaciones en base a estndares
impuestos externamente por las organizaciones conocidas como las de excelencia dentro de la industria.
Dentro del benchmarking existen los siguientes tipos:
Benchmarking interno
En la mayor parte de las grandes organizaciones con mltiples divisiones o internacionales hay funciones similares
en diferentes unidades de operacin, una de las investigaciones de benchmarking ms fcil es comparar estas
11

operaciones internas, tambin debe contarse con facilidad con datos e informacin y no existir problemas de
confidencialidad y los datos ser tan amplios y completos como se desee.
Este primer paso en las investigaciones de benchmarking es una base excelente no slo para descubrir diferencias
de inters sino tambin centrar la atencin en los temas crticos a que se enfrentara o que sean de inters para
comprender las practicas provenientes de investigaciones externas, tambin pueden ayudar a definir el alcance de
un estudio externo.
Benchmarking competitivo
Los competidores directos de productos son contra quienes resulta ms obvio llevar a cabo el benchmarking, ellos
cumpliran, o deberan hacerlo, con todas las pruebas de comparabilidad, en definitiva cualquier investigacin de
benchmarking
debe mostrar cuales son las ventajas y desventajas comparativas entre los competidores directos.
Uno de los aspectos ms importantes dentro de este tipo de investigacin a considerar es el hecho que puede ser
realmente difcil obtener informacin sobre las operaciones de los competidores, quiz sea imposible obtener
informacin debido a que est patentada y es la base de la ventaja competitiva de la empresa.
Benchmarking genrico
Algunas funciones o procesos en las organizaciones son las mismas, el beneficio de esta forma de benchmarking,
es que se pueden descubrir prcticas y mtodos que no se implementan en la organizacin propia del investigador.
Este tipo de investigacin tiene la posibilidad de revelar lo mejor de las mejores prcticas, la necesidad de
objetividad y receptividad por parte del investigador.
Que mejor prueba que la posibilidad de ponerlo en prctica si se pudiera obtener que el hecho de que la tecnologa
ya se ha probado y se encuentra en uso en todas partes, el benchmarking genrico requiera de una amplia
conceptualizacin, pero con una comprensin cuidadosa del proceso genrico.
TEMA 6: RESPONSABILIDAD DEL AUDITOR EN EL DESCUBRIMIENTO DE ERRORES Y
DESVIACIONES
El auditor debe aceptar toda la responsabilidad por sus actos, pero no debe aceptar el asumir las responsabilidades
que corresponden a la gerencia de la empresa cliente, pues l es un regulador de los actos de la gerencia y no parte
de ella.
La responsabilidad del auditor se puede dividir en 4 partes:
1. Responsabilidad por incumplimiento de contrato
2. Responsabilidad por negligencia.
3. Responsabilidad por fraude
4. Responsabilidad con las leyes de regulacin.
Responsabilidad del auditor frente al descubrimiento de fraudes u otras irregularidades.
Es norma internacionalmente establecida que los estados financieros representan manifestaciones de la direccin
de la compaa, no obstante que el auditor pueda cooperar en su preparacin y en la de las notas a los mismos. La
funcin del auditor es examinar los estados financieros y expresar su opinin profesional e independiente sobre
dichos estados.
El examen normal de los estados financieros no tiene como objetivo expreso descubrir fraudes y no puede
depender del mismo para ello.
Sin embargo, al planificar y efectuar su examen y al emitir su opinin sobre la responsabilidad de los estados
financieros, el auditor debe tener en cuenta la posibilidad de que puedan existir irregularidades (incluyendo
desfalco y otros semejantes), as como tambin el hecho de que en algunos casos el fraude o irregularidad sea de tal
12

magnitud que afecte la presentacin justa de la posicin financiera o de los resultados de operaciones. El examen,
hecho de acuerdo con normas de auditoria generalmente aceptadas considera esta posibilidad.
Como el propsito del auditor al efectuar un examen de estados financieros no es la deteccin de irregularidades, al
auditor entonces no podr responsabilizarse en lo absoluto en el no descubrimiento de una irregularidad, siempre
que ella no proviniera de una negligencia profesional de su parte en la observacin de las normas y en la aplicacin
de las tcnicas o los procedimientos de auditoria aplicables de acuerdo con las circunstancias.
TEMA 7: IMPORTANCIA RELATIVA Y RIESGO DE AUDITORIA
El propsito de esta Norma Internacional de
Auditora (NIA) es establecer normas y proporcionar lineamientos sobre el concepto de importancia relativa y su
relacin con el riesgo de auditora.
El auditor deber considerar la importancia relativa y su relacin con el riesgo de auditora cuando conduzca una
auditora.
La Importancia relativa est definida dentro del Marco de Referencia para la Preparacin de Estados
Financieros preparado por el Comit Internacional de Normas de Contabilidad (IASC) en los trminos
siguientes:
La informacin es de importancia relativa si su omisin o representacin errnea pudiera influir en las decisiones
econmicas de los usuarios tomadas con base en los estados financieros. La importancia relativa depende del
tamao de la partida o error juzgado en las circunstancias particulares de su omisin o representacin errnea. As,
la importancia relativa ofrece un punto de separacin de la partida en cuestin, ms que ser una caracterstica
primordial cualitativa que deba tener la informacin para ser til.
Importancia relativa
El objetivo de una auditora de estados financieros es hacer posible al auditor expresar una opinin sobre si los
estados financieros estn preparados, respecto de todo lo importante, de acuerdo con un marco de referencia para
informes financieros identificado. La evaluacin de qu es importante es un asunto de juicio profesional.
Al disear el plan de auditora el auditor establece un nivel aceptable de importancia relativa a modo de detectar en
forma cuantitativa las representaciones errneas de importancia relativa. Sin embargo, debern considerarse tanto
el monto (cantidad) como la naturaleza (calidad) de las representaciones.
Ejemplos de representaciones errneas cualitativas sera la descripcin inadecuada e impropia de una poltica de
contabilidad cuando sea probable que un usuario de los estados financieros fuera guiado equivocadamente por la
descripcin, y el dejar de revelar la infraccin a requisitos reguladores cuando sea probable que la imposicin
consecuente de restricciones regulatorias har disminuir en forma importante la capacidad de operacin.
El auditor deber considerar la posibilidad de representaciones errneas de cantidades relativamente pequeas que,
acumulativamente podran tener un efecto importante sobre los estados financieros. Por ejemplo, un error en un
procedimiento de fin de mes podra ser una indicacin de una representacin errnea de importancia relativa si ese
error se repitiera cada mes.
El auditor considera la importancia relativa tanto al nivel global del estado financiero como en relacin a saldos de
cuentas particulares, clases de transacciones y revelaciones. La importancia relativa puede ser influida por
consideraciones como requerimientos legales y reguladores y consideraciones que se refieren a saldos de una
cuenta de los estados financieros y sus relaciones con otras cuentas. Este proceso puede dar como resultado
diferentes niveles de importancia relativa dependiendo del aspecto de los estados financieros que est siendo
considerado.
La importancia relativa deber ser considerada por el auditor cuando:
(a) determina la naturaleza, oportunidad y alcance de los procedimientos de auditora; y
(b) evala el efecto de las representaciones errneas
La relacin entre importancia relativa y el riesgo de auditora
13

Cuando el
auditor planea la auditora, deber considerar qu hara que los estados financieros estuvieran representados
errneamente con una importancia relativa. La evaluacin del auditor de la importancia relativa, relacionada con
saldos de cuentas y clases de transacciones especficas, ayuda al auditor a decidir sobre aspectos como qu partidas
examinar y si aplicar procedimientos de muestreo y analticos. Esto da capacidad al auditor para seleccionar
procedimientos de auditora que, en combinacin, pueda esperarse que reduzcan el riesgo de auditora a un nivel
aceptablemente bajo.
Hay una relacin inversa entre la importancia relativa y el nivel de riesgo de auditora, que es que mientras ms
alto sea el nivel de importancia relativa, ms bajo es el riesgo de auditora y viceversa. El auditor toma en cuenta la
relacin inversa entre importancia relativa y riesgo de auditora cuando determina la naturaleza, oportunidad y
alcance de los procedimientos de auditora. Por ejemplo, si despus de planear procedimientos de auditora
especficos, el auditor determina que el nivel de importancia relativa aceptable es ms bajo, el riesgo de auditora
aumenta.
El auditor compensar esto:
(a) Reduciendo el nivel evaluado de riesgo de control, cuando esto sea factible, y apoyando el nivel reducido
desarrollando pruebas de control extensas o adicionales; o
(b) Reduciendo el riesgo de deteccin al modificar la naturaleza, oportunidad y alcance de los procedimientos
sustantivos planeados.
Evaluacin del efecto de representaciones errneas
Al evaluar la apropiada presentacin de los estados financieros, el auditor deber evaluar si el valor acumulado de
las representaciones errneas no corregidas que han sido identificadas durante la auditora, es de importancia
relativa.
Si la administracin se niega a ajustar los estados financieros y los resultados de los procedimientos de auditora
ampliados no capacitan al auditor para concluir que el valor acumulado de las representaciones errneas no
corregidas no es de importancia relativa, el auditor deber considerar la modificacin apropiada de su dictamen de
acuerdo con la NIA El Dictamen del Auditor sobre Estados Financieros.
TEMA 8: DOCUMENTACION DE LA AUDITORIA
La documentacin de la auditoria de sistemas informticos es el registro del trabajo de auditoria realizado, la
evidencia que sirve de soporte a las debilidades encontradas y las conclusiones del auditor. En estos documentos,
se denominan papeles de trabajo.
Los papeles de trabajo se deben disear y organizar segn las circunstancias y las necesidades del auditor. Estos
han de ser completados, claros y concisos. Todo el trabajo de la auditoria debe quedar reflejado en papeles de
trabajo por los siguientes motivos:
Recogen la evidencia obtenida a lo largo del trabajo
Ayudan al auditor en el desarrollo de su trabajo
Ofrecen soporte al trabajo realizado para poder utilizarlo en auditorias sucesivas
Permiten que el trabajo pueda ser revisado por terceros
Sirve para fomentar un enfoque metdico de labor que se lleva
Para concluir la importancia que tienen los papeles de trabajo, digamos que una vez que el auditor ha finalizado su
trabajo son la nica prueba de que el auditor ha llevado a cabo un examen adecuado. Siempre existe la posibilidad
de que auditor tenga que demostrar la calidad de su anlisis
en un tribunal.
14

ARCHIVOS
Los papeles de trabajo que el auditor va elaborando se pueden organizar en dos archivos principales: el archivo
permanente o continuo de auditoria, y el archivo corriente o de auditoria en curso.
Archivo Permanente: El archivo permanente contiene todos aquellos papeles, que tienen un inters continuo, una
validez plurianual, tales como:
Consideraciones del negocio
Consideraciones del sector
Composicin del consejo de administracin
Caractersticas de los equipos
Manuales de los equipos y de las aplicaciones
Descripcin de los procedimientos contables
Descripcin del control interno
Organigramas del C.P.D y divisin de funciones
Cuadro de planificacin plurianual de auditoria
Escrituras y contratos
En general toda aquella informacin de importancia para auditorias posteriores
TEMA 9: EVIDENCIA COMPROBATORIA
El auditor debe de tener evidencia comprobatoria y adecuada, mediante la evaluacin y realizacin de las pruebas
de auditoria que se consideren necesarias, al objeto de obtener una
base de juicio razonable sobre los datos que se examinan y poder expresar una opinin al respecto de las mismas.
1. Evidencia Suficiente
Es una caracterstica cuantitativa de la evidencia, se entiende por tal el nivel el nivel de evidencia que el auditor
debe obtener a travs de sus pruebas de auditoria para llegar a conclusiones razonables.
2. Evidencia Inadecuada
Esta es una caracterstica cualitativa de la evidencia. La evidencia es adecuada cuando es til para que el auditor
pueda emitir su opinin profesional.
3. Obtencin de evidencia
Sin que la siguiente relacin tenga carcter
exclusivo, la evidencia suele obtenerse de:
Manuales de organizacin de la empresa
Los manuales de procedimiento del C.D.P
El manual de auditoria interna de la empresa
De confirmaciones externas
15

Del archivo permanente de los auditores internos
De entrevistas con el personal de la empresa
TEMA 10: CONTROL INTERNO
Control: actividad realizada manual o automticamente para prevenir, corregir errores o irregulares que puedan
afectar al funcionamiento de un sistema a la hora de conseguir sus objetivos.
El Control Interno Informtico controla diariamente que todas las actividades de los sistemas de informacin sean
realizadas cumpliendo los procedimientos, estndares y normas fijados por la Direccin de la Organizacin y/o la
Direccin de Informtica, as como los requerimientos legales.
La misin del Control Interno Informtico es asegurarse de que las medidas que se obtienen de los mecanismos
implantados por cada responsable sean correctas y vlidas.
El control es diario o muy frecuente cuyos principales objetivos son:
Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio
informtico.
Ver que todo se hace segn los procedimientos internos y normas legales: se debe controlar que todas las
actividades se realizan cumpliendo con los procedimientos y normas fijados, evaluar su bondad y asegurarse del
cumplimiento de las normas legales.
Asesorar sobre el conocimiento de las normas al resto de la organizacin.
Colaborar y apoyar al trabajo de la Auditora Informtica, as como de las auditoras externas al Grupo.
Esto se hace con diferentes pruebas y controles
(sistemas de control interno informtico). Adems, se debe realizar en los diferentes sistemas y entornos
informticos el control de las diferentes actividades operativa sobre:
El cumplimiento de procedimientos, normas y controles dictados.
Controles:
Sobre la produccin diaria.
Sobre la calidad y eficiencia del desarrollo y mantenimiento del software y del servicio informtico.
En las redes de comunicaciones
Sobre el software de base.
En los sistemas microinformticos.
La seguridad informtica.
Licencias y relaciones contractuales con terceros.
Asesor y transmitir cultura sobre el riesgo informtico.
La auditora suele acometerse con personal interno e informa la Direccin del Departamento de Informtica.
Auditoria Informtica.
Auditora: opinin profesional, sustentada en determinados procedimientos, sobre si el objeto sometido a anlisis
(normalmente con datos obtenidos sobre l) refleja y/o cumple las condiciones que le han sido prescritas
(fiabilidad).
16

La Auditora informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema
informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva al cabo eficazmente los fines de la
organizacin y utiliza eficientemente los recursos.
La Auditora Informtica es puntual, cuyos principales objetivos son:
-Objetivos de proteccin de activos y datos, e integridad de los datos.
-Objetivos de gestin sobre la eficacia y eficiencia de los procesos, as como de la utilidad, fiabilidad e integridad
de los equipos e informacin.
El auditor es responsable de revisar e informar a la Direccin de la Organizacin sobre el diseo y el
funcionamiento
de los controles implantados. Y sobre la fiabilidad de la informacin suministrada.
Se puede establecer tres grupos de funciones a realizar por un auditor informtico:
Participar en las revisiones durante y diseo.
Revisar y juzgar los controles implantados en los sistemas informticos para verificar su adecuacin a las rdenes e
instrucciones de la Direccin, as como requisitos legales, proteccin de confidencialidad y cobertura ante errores y
fraudes.
Revisar y juzgar el nivel de eficiencia, utilidad, fiabilidad y seguridad de los equipos y de la informacin.
La auditora suele acometerse con personal externo, adems del posible personal interno. E informa la Direccin
del Departamento de Informtica.
Control Interno y Auditoria Informtica
Similitudes: Lo puede acometer personal interno; conocimientos especializados en TI; verificacin del
cumplimiento de controles internos, normativas, y procedimientos establecidos por la Direccin de Informtica y la
Direccin General para los sistemas de informacin.
CONTROL INTERNO INFORMATICO
AUDITOR INFORMTICO
DIFERENCIAS
1.- Anlisis de los controles en el da a da.
2.- Informa a la Direccin del Departamento de Informtica.
3.- Solo persona interno.
4.- El alcance de sus funciones es nicamente sobre el Departamento de Informtica.
1.- Anlisis en un momento determinado
2.- Informa a la Direccin General de la Organizacin.
3.- Tanto personal interno como externo.
4.- El alcance de sus funciones tiene cobertura sobre todos los componentes de los sistemas de informacin de la
Organizacin.

17

SISTEMAS DE CONTROL INTERNO INFORMTICO
Definicin y tipos de controles
internos. Los controles cuando se diseen, desarrollen e implanten han de ser al menos completos, simples, fiables,
revisables, adecuados y rentables. Normalmente, estos controles son automticos, aunque sus resultados se revisan
de forma manual.
Los objetivos de los controles informticos se han clasificados en las siguientes categoras:
Controles preventivos: controles para tratar de evitar un hecho, como un software de seguridad que impida los
accesos no autorizados al sistema.
Controles detectivos: controles para cuando fallan los controles preventivos, se de tratar de conocer cuanto antes el
evento.
Controles correctivos: controles que facilitan la vuelta a la normalidad cuando se ha producido incidencias (por
ejemplo, copias de seguridad).
Se deben definir objetivos de control y mtodos de control interno, por ejemplo; como objetivo tenemos seguridad
de acceso y el mtodo de control en este caso ser identificacin de usuarios. Las relaciones no siempre son uno
a uno.
Y existen diversos objetivos de control como:
Objetivo de Control de mantenimiento
Objetivo de Control de seguridad de programas.
Implantacin de un sistema de controles internos informticos.
Los controles pueden implantarse a varios niveles diferentes.
Para llegar a conocer la configuracin del sistema es necesario documentar los detalles de la red, as como los
distintos niveles de control y elementos relacionados. Por tanto, se debe conocer a fondo y documentar:
Entorno de red.
Configuracin del ordenador/es central/es (hots).
Entorno de aplicaciones.
Productos y herramientas de desarrollo de software.
Seguridad (en especial del ordenador central y bases
de datos).
Para la implantacin de un sistema de controles internos informticos habr que definir objetivos, mtodos y
poltica de control para:
Gestin de sistemas de informacin: a travs de polticas, pautas y normas tcnicas que sirvan de base para el
diseo y la implantacin de los sistemas de informacin y de los controles correspondientes.
Administracin de sistemas.: a travs de controles sobre la actividad de los centros de datos y otras funciones de
apoyo al sistema, incluyendo la administracin de las redes.
Seguridad: que debe incluir las tres clases de controles fundamentales implantados en el software del sistema,
como integridad del sistema, confidencialidad (control de acceso) y disponibilidad.
Gestin de cambio: separacin de las pruebas y la produccin a nivel de software y controles de procedimientos,
para la migracin de programas software aprobados y probados.
18

La implantacin de una poltica y cultura sobre la seguridad, requiere que sea realizada por fases, como se puede
ver en la siguiente figura, y est respaldada por la Direccin.
Cada funcin juega un papel importante en las distintas etapas que son, bsicamente, las siguientes:
Direccin de Negocio o Direccin de Sistemas de Informacin (S.I.): han de definir la poltica y/o directrices para
los sistemas de informacin en base a las exigencias del negocio, que podrn ser internas o externas.
Direccin de Informtica: ha de definir las normas de funcionamiento del entorno informtico y de cada una de las
funciones de informtica mediante la creacin y publicacin de procedimientos, estndares, metodologa y normas,
aplicables a todas las reas de informtica,
as como a los usuarios que establezcan el marco de funcionamiento.
Control Interno Informtico: ha de definir los diferentes controles peridicos a realizar encada una de las funciones
informticas, de acuerdo al nivel de riesgo de cada una de ellas, y ser diseados conforme a los objetivos de
negocio y dentro del marco legal aplicable (estos se plasmarn en los oportunos procedimientos de control interno
y podrn ser preventivos o de deteccin). Realizar peridicamente la revisin de los controles establecidos de
Control Interno Informtico, informando de las desviaciones a la Direccin de Informtica y sugiriendo cuantos
cambios crea convenientes en los controles.
Auditor interno/externo informtico: ha de revisar los diferentes controles internos definidos en cada una de las
funciones informticas y el cumplimiento de la normativa interna
y externa, de acuerdo al nivel de riesgo y conforme a los objetivos definidos por la Direccin de Negocio y la
Direccin de Informtica. Informar tambin a la Alta Direccin, de los hechos observados y al detectarse
deficiencias o ausencias de controles recomendarn acciones que minimicen los riesgos que pueden originarse. La
creacin de un sistema de control informtico es una responsabilidad de la Gerencia y un punto destacable de la
poltica en el entorno informtico.
A continuacin algunos controles internos, agrupados por secciones funcionales, y que seran los que el Control
Interno Informtico y la Auditora Informtica deberan verificar para determinar su cumplimiento y validez:
1. Control generales organizativos: engloba una serie de elementos, tales como:
a. Polticas generales.
b.
Planificacin (plan estratgico de informacin, plan informtico, plan general de seguridad y plan de
emergencia ante desastres).
c. Estndares de adquisicin.
d. Procedimientos.
e. Organizar el departamento de informtica.
f.
Descripcin de las funciones y responsabilidades dentro del departamento.
g. Polticas de personal.
h. Asignacin de funciones y responsabilidades.
i. Asegurar que la direccin revisa todos los informes de control y resuelve las excepciones que ocurran.
j. Asegurar que existe una poltica de clasificacin de la informacin.
k. Designar oficialmente la figura del Control Interno Informtico y de la Auditora Informtica
2.
Controles sobre desarrollo, adquisicin y mantenimiento de sistemas de informacin: se utilizan para que se
puedan alcanzar la eficacia del sistema, economa y eficiencia, integridad de los datos, proteccin de los recursos y
cumplimiento con las leyes y regulaciones. Se compone de:
a. Metodologa del ciclo de vida del desarrollo de sistemas (como especificaciones, estndares de pruebas, pases
a produccin, roll-back, etc).
19

b.
Explotacin y mantenimiento.
3. Controles sobre la explotacin de los sistemas de informacin: consta de

a. Planificacin y gestin de recursos.
b. Presencia de personal en momentos crticos (calendario personal).
c. Reparto de costes informticos a la organizacin.
d. Controles propios (por ejemplo, accesos muy restringidos al host).
e. Revisiones tcnicas preceptivas.
f.
Controles para usar de manera efectiva los recursos en ordenadores.
g. Procedimientos de seleccin del software del
sistema, de instalacin, de mantenimiento, de seguridad y de control de cambios.
h. Seguridad fsica y lgica (como definir un grupo de seguridad de la informacin, controles fsicos, formacin
y concienciacin de procedimientos de seguridad, seguridad contra incendios/inundaciones, control de acceso
restringido, normas que regulen el acceso a los recursos informticos, existencia de un plan de contingencias, etc.)
4. Controles sobre las aplicaciones: cada aplicacin debe llevar controles incorporados para garantizar la entrada,
actualizacin, y mantenimiento de los datos:
a. Control de entrada de datos (validaciones, conversiones, formatos, procedencias).
b. Controles de tratamiento de datos (sobre usos no previstos).
c. Controles de salida de datos (dem entrada+seguridad).
5.
a.
b.
c.
d.
Controles especficos de ciertas tecnologas:

Controles en Sistemas de Gestin de Bases de Datos.
Controles en informtica distribuida y redes.
Controles sobre ordenadores personales (ofimtica) y redes de rea local.
Controles conexiones OPEN HOST.
6. Controles de Calidad.
a.
Existencia de un Plan General de Calidad basado en el Plan de la Entidad a Largo Plazo, y el Plan a Largo
Plazo de Tecnologa.
b.
Esquema General de Garanta de Calidad: debe abordar todos los mbitos empresariales, no slo la
Informtica y las TI.
c.
Compatibilidad de la revisin de Garanta de Calidad con las normas y procedimientos habituales en las
distintas funciones de Informtica.
d. Metodologa de Desarrollo de Sistemas.
e. Actualizacin de la Metodologa de Desarrollo de Sistemas respecto a cambios en la
tecnologa.
f.
Coordinacin y comunicacin.
g. Relaciones con proveedores que desarrollan sistemas.
h. Normas de documentacin de programas.
i.
Normas de pruebas de programas.
j.
Normas respecto a la Prueba de Sistemas,
k. Pruebas piloto o en paralelo.
l.
Documentacin de las pruebas de sistemas.
m. Evaluacin del cumplimiento de garanta de Calidad de las Normas de Desarrollo.

20

Unidad 1 Auditoria Informatica

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Unidad 1 Auditoria Informatica

Загружено:

Авторское право:

Доступные форматы

Instituto Tecnolgico Superior de Apatzingn

Auditoria Informtica - 7 Sem. Ing. Informtica

1.1. Definicin y clasificacin.

Instituto Tecnolgico Superior de Apatzingn

TEMA 2: TIPOS DE AUDITORIA Y SU RELACION CON LA AUDITORIA INFORMATICA

Instituto Tecnolgico Superior de Apatzingn

Instituto Tecnolgico Superior de Apatzingn

Instituto Tecnolgico Superior de Apatzingn

Profesor: Rafael Cuevas Madrigal

Instituto Tecnolgico Superior de Apatzingn

Instituto Tecnolgico Superior de Apatzingn

Instituto Tecnolgico Superior de Apatzingn

Instituto Tecnolgico Superior de Apatzingn

Se debe definir los objetivos y el alcance del trabajo.

Consideraciones para la planificacin de una auditoria informtica

Profesor: Rafael Cuevas Madrigal

Instituto Tecnolgico Superior de Apatzingn

Instituto Tecnolgico Superior de Apatzingn

Instituto Tecnolgico Superior de Apatzingn

Instituto Tecnolgico Superior de Apatzingn

Instituto Tecnolgico Superior de Apatzingn

Instituto Tecnolgico Superior de Apatzingn

Instituto Tecnolgico Superior de Apatzingn

Instituto Tecnolgico Superior de Apatzingn

Profesor: Rafael Cuevas Madrigal

Instituto Tecnolgico Superior de Apatzingn

Instituto Tecnolgico Superior de Apatzingn

Instituto Tecnolgico Superior de Apatzingn

3. Controles sobre la explotacin de los sistemas de informacin: consta de

Controles especficos de ciertas tecnologas:

Profesor: Rafael Cuevas Madrigal

Вам также может понравиться