INTRODUCCIN

La auditoria en informtica es de vital importancia para el buen desempeo de los

sistemas de informacin, ya que proporciona los controles necesarios para que los
sistemas sean confiables y con un buen nivel de seguridad. Adems debe evaluar
todo (informtica, organizacin de centros de informacin, hardware y software).
Por lo tanto se debe organizar como se llevara a cabo una auditoria en informtica
la cual requiere una planeacin que inherentemente tiene una serie de pasos
previos, los cuales permiten identificar el conjunto de planes relacionados con la
funcin de procesamiento de datos. Cada plan debe estar orientado a objetivos y
estrategias especficas de acuerdo al tipo de organizacin.
Dentro de la auditora en general, la planeacin es uno de los pasos ms
importantes, ya que una inadecuada planeacin provocar una serie de problemas
que pueden impedir que se cumpla con la auditora o bien hacer que no se efecte
con el profesionalismo que debe tener cualquier auditor. Por tal motivo las
organizaciones de la actualidad deben contar con una planeacin adecuada para
que el resultado de la auditoria ejecutada sea ms eficaz y por ende obtener
mejores beneficios.
Planeacin es la seleccin y relacin de hechos, as como la formulacin y uso de
suposiciones respecto al futuro en la visualizacin y formulacin de las actividades
propuestas que se cree sean necesarias para alcanzar los resultados esperados.
Consiste en definir un conjunto de proyectos de evaluacin y verificacin de
polticas, controles y procedimientos Plan de propios de las reas administrativas,
auditoria financieras, operativas, etc., del negocio con objeto de asegurar el buen
manejo y administracin de los recursos de la organizacin. (Delgado Xiomar
1998).
Una planeacin adecuada es el primer paso necesario para realizar auditoras de
sistemas eficaces. El auditor de sistemas debe comprender el ambiente del
negocio en el que se ha de realizar la auditora as como los riesgos del negocio y
control asociado. Tambin se deben considerar las necesidades o prioridades que
tenga la alta direccin de auditar o evaluar un rea especfica de informtica. Este
proceso de planeacin depende en gran medida del diagnstico previo que lleve a
cabo el auditor en informtica sobre la situacin que prevalece en cada una de las
reas o servicios de la funcin de informtica.

PLANEACIN DE LA AUDITORIA EN INFORMTICA

Objetivos: al finalizar este captulo usted:
1. Conocer las distintas fases que comprende la auditoria en informtica
2. Comprender la importancia en el trabajo de auditoria de la planeacin el
examen y la evaluacin de la informacin.
3. Explicar el valor de la evaluacin de los sistemas de acuerdo al riesgo.
4. Describe las fases que deben seguirse para para realizar una adecuada
investigacin.
5. Definir cuales son las principales caractersticas que requiere el personal.
6. Conocer como se elabora una carta- convenio de servicio profesional de
auditoria.

FASES DE LA AUDITORIA
La auditora en informtica es el proceso de recoleccin y evaluacin de
evidencias para determinar cuando son salvaguardados los activos de los
sistemas computarizados, de qu manera se mantiene la integridad de los datos y
como se logran los objetivos de la organizacin eficazmente y se usan los
recursos consumidos eficientemente.
La auditora interna es una funcin independiente de la evaluacin que se
establece dentro de una organizacin para examinar y evaluar sus actividades. El
objetivo de la auditoria interna consiste en apoyar a los miembros de la
organizacin en el desempeo de sus responsabilidades, para ello proporciona
anlisis, evaluaciones, recomendaciones, asesora e informacin concerniente a
las actividades realizadas.
Los auditores internos son responsables de proporcionar informacin acerca de la
adecuacin y efectividad del sistema de control interno de la organizacin y de la
calidad de gestin. El auditor interno debe ser independiente de las actividades
que audita esta independencia permite que el auditor interno realice su trabajo
libre y objetivamente ya que sin esta independencia no se pueden btener los
resultados deseados.
Las normas de la auditora interna comprenden:
Las actividades auditadas y la objetividad de los auditores internos.
El conocimiento tcnico, la capacidad y el cuidado profesional de los
auditores internos con los que debe ejercer su funcin.
El alcance del trabajo de auditoria interna en el rea de informtica.

 El desarrollo de las responsabilidades asignadas a los auditores internos

responsables de la auditoria informtica.
Los auditores internos deben ser independientes de las actividades que
auditan y deben de tener un amplio criterio para no tomar decisiones subjetivas
basadas en preferencias personales sobre determinado equipo o software, sin
analizar a profundidad las opiniones.
La objetividad es una actitud de independencia mental que los auditores internos
deben mantener al realizar las auditorias. Tambin requiere que los auditores
internos realicen sus auditoras de tal manera que tenga una honesta confianza en
el producto de su trabajo y que no hayan creado compromisos significativos en
cuanto a la calidad. Los resultados del trabajo de auditoria deben ser revisados
antes de emitir el respectivo informe de auditora, para proporcionar una razonable
seguridad de que el trabajo se realiz objetivamente.
El auditor en informtica debe contar con los conocimientos tcnicos y con
capacidad profesional.
El departamento de auditorio interna deber contar u obtener los conocimientos,
experiencias y disciplinas necesarias para llevar a cabo sus responsabilidades de
auditoria en informtica.
El departamento de auditoria interna deber asegurarse:
Que las auditorias sean supervisadas en forma apropiada. La supervisin
es un proceso continuo que comienza con la planeacin y termina con el
trabajo de auditoria.
Que los informes de auditora sean precisos, objetivos, claros, concisos,
constructivos oportunos.
Que se cumplan los objetivos de la auditoria.
Que la auditoria cumpla con las normas profesionales de conducta.
Que la auditora sea debidamente documentada y que se conserve a
evidencia apropiada de la supervisin.
Cada auditor interno requiere de ciertos conocimientos y experiencias:
Se requiere pericias en la aplicacin de las normas, procedimientos y
tcnicas de auditoria interna para el desarrollo de las revisiones.
Tener habilidad para: aplicar amplio conocimientos a situaciones que
posiblemente se vayan encontrando, reconocer las desviaciones
significativas y poder llevar a cabo las investigaciones necesarias para
alcanzar soluciones razonables.

Entre las habilidades que deben tener los auditores estn:

Habilidad para comunicarse efectivamente y dar un trato adecuado a las
personas.
Los auditores deben tener habilidad para comunicarse tanto de manera
oral como escrita de tal manera que puedan trasmitir clara y efectivamente:
los objetivos de la auditora, las evaluaciones, las conclusiones y las
recomendaciones.
Los auditores en informtica deben ejercer el debido cuidado profesional al
realizar sus auditoras.
El auditor no puede dar una absoluta seguridad de que no existan incumplimiento
o irregularidad. Sin embargo, la posibilidad de que exista irregularidad material o
que no se cumplan las disposiciones debe ser considerada siempre que el auditor
emprende una auditoria.
El propsito de revisar la adecuacin del sistema de control interno es de
cerciorarse si el sistemas establecido proporciona una razonable seguridad de
que los objetivos y metas de la organizacin se cumplan eficiente y
econmicamente.

PLANEACIN DE LA AUDITORIA EN INFORMTICA

Para hacer una adecuada planeacin de la auditoria en informtica hay que
seguir una serie de pasos previos que permitirn dimensionar el tamao y
caractersticas de rea dentro del organismo a auditar, sus sistemas, organizacin
y equipo.
Dentro de la auditora en general, la planeacin es uno de los pasos ms
importantes, ya que una inadecuada planeacin provocar una serie de
problemas que pueden impedir que se cumpla con la auditoria o bien que no se
efecte con el profesionalismo que debe tener cualquier auditor.
La planeacin deber ser documentada e incluir:
El establecimiento de los objetivos y el alcance del trabajo
La obtencin de informacin de apoyo sobre las actividades que se
auditaran.
La determinacin de los recursos necesarios para realizar la auditoria.

 La determinacin de cmo, cundo y a quien se le comunicaran los

resultados de la auditora.

Para lograr una adecuada planeacin, lo primero que se requiere es obtener

informacin general sobre la organizacin y sobre la funcin de informtica a
evaluar. Para ello es preciso hacer una investigacin preliminar y algunas
entrevistas previas, y con base en esto planear el programa de tarbajo, el cual
deber incluir costos ,tiempos, personal necesario y documentos auxiliares a
solicitar o formular durante el desarrollo de la auditoria.
El proceso de planeacin comprende el establecer:

Metas.
Programas de trabajo.
Informes de actividades.
Planes de contratacin de personal y presupuesto financiero.

Las metas se debern establecer de tal manera que se pueda lograr su

cumplimiento, sobre la base de los planes especficos de operacin y de los
presupuestos, los que hasta donde sea posible ser cuantificables.
Los planes de contratacin de empleados y los presupuestos financieros incluye el
nmero de auditores, su conocimiento, su experiencia y las disciplinas requeridas
para realizar su trabajo, debern contemplarse al elaborar los programas de
trabajo de auditoria, as como las actividades administrativas.

REVISIN PRELIMINAR
El primer paso en el desarrollo de la auditora, despus de la planeacin, es la
revisin preliminar del rea de informtica. El objetivo de la revisin preliminar es
el de obtener la informacin necesaria para que el auditor pueda tomar la decisin
de cmo proceder en la auditoria.
Auditor puede proceder en uno de los tres caminos siguientes:
Diseo dela auditoria
Realizar una revisin detallada de los controles de los sistemas con la
esperanza de que se deposite la confianza en los controles de los
sistemas.
Decidir el no confiar en los controles internos del sistema. Existen dos
razones posibles para esta decisin.

Primero: puede ser ms eficiente desde el punto de vista de costo-beneficio el

realizar pruebas sustantivas directamente.
Segundo: los controles del rea de informtica pueden duplicar los controles
existentes en el rea del usuario.
La revisin preliminar significa la recoleccin de evidencias por medio de
entrevistas con el personal de la instalacin, la observacin de las actividades en
la instalacin y la revisin de documentacin preliminar.

REVISIN DETALLADA
Los objetivos de la fase detallada son los de obtener la informacin necesaria para
que el autor tenga un profundo entendimiento de los controles usados dentro del
area de informacin.
El auditor debe decidir si debe de continuar elaborando pruebas de consentimiento
,con la esperanza de obtener mayor confianza por media del sistema de control
interno, o a las pruebas sustantivas , en algunos casos el auditor puede, despus
de hacer un anlisis detallado, decidir que con los controles internos se tiene
suficiente confianza, y en otros casos que los procedimientos alternos de auditoria
puede ser ms apropiados.
Como en el caso de la investigacin preliminar, se tienen diferentes formas de
lograr los objetivos desde el punto de vista del auditor interno o externo. El auditor
interno debe considerar las causas de las prdidas que afectan la eficiencia y
eficacia, adems de evaluar por que los controles escogidos son o no suficientes
para reducir la perdidas esperadas a un nivel aceptable.

EXAMEN Y EVALUACION DE LA INFORMACION

Los auditores internos debern obtener, analizar, interpretar y documentar la
informacin para apoyar los resultados de la auditoria.
El proceso de examen y evaluacin de la informacin es el siguiente:
Se debe obtener la informacin de todos los asuntos relacionados con los
objetivos y alcances de la auditoria.
La informacin deber ser suficiente, competente, relevante y til para que
proporcione bases slidas en relacin con los hallazgos y recomendaciones
de la auditoria.
Los procedimientos de auditoria, incluyendo el empleo de las tcnicas de
pruebas selectivas y el muestreo estadstico, debern ser elegidos con
anterioridad, cuando esto sea posible y ampliarse o modificarse.

Los auditores debern reportar los resultados del trabajo de auditoria. El auditor
deber discutir las conclusiones y recomendaciones en los niveles apropiados de
la administracin antes de emitir su informe final.
Los informes pueden incluir recomendaciones para mejoras potenciales y
reconocer el trabajo satisfactorio y las medidas correctivas .los puntos de vista de
los auditores respecto a las conclusiones y recomendaciones puedan ser
incluidas en el informe de auditora.

PRUEBAS DE CONSENTIMINETO
El objetivos de esta fase de prueba de consentimiento es el de determinar si los
controles internos operan como fueron diseados para operar. El auditor debe
determinar si los controles declarados en realidad existen y si realmente trabajan
confiablemente.
El auditor debe recurrir a tcnicas de recoleccin de informacin asistidas por
computadora, para determinar la existencia y confiablidad de los controles.

PRUEBAS DE CONTROL DEL USUARIO

En algunos casos el auditor puede decidir el no confiar en los controles inteenos
dentro de las instalaciones informticas, porque el usuario ejerce controles que
compensan cualquier debilidad dentro de los controles internos de informtica.
Las deficiencias de los controles internos se pueden realizar mediante
cuestionarios, entrevistas, vistas y evaluaciones hechas directamente con los
usuarios.

PRUEBAS SUSTANTIVAS
El objetivo de la fase de pruebas sustantivas es obtener evidencias suficientes que
permiten al auditor emitir su juicio en las conclusiones acerca de cuando pueden
ocurrir prdidas materiales durante el procesamiento de la informacin.
Se pueden identificar ocho pruebas sustantivas:
Prueba para identificar errores en el procedimiento o de falta de seguridad o
confidencialidad.
Pruebas para asegurar la calidad de los datos.
Prueba para identificar la consistencia de los datos.
Pruebas para comparar con los datos o contadores fsicos
Confirmacin de datos con fuente externa.
Pruebas para confirmar la adecuada comunicacin.

 Pruebas para determinar falta de seguridad.

Pruebas para determinar problemas de legalidad.
Debemos cuestionarnos el beneficio de tener un excesivo control o bien evaluar el
beneficio marginal de tener mayor control contra el costo que representa este.
el auditor debe participar en tres estados del sistema
Durante la fase de diseo del sistema.
Durante la fase de operacin.
Durante la fase posterior a la auditoria.
Realizar una auditoria en informtica es un trabajo complejo. Por ello, para lograr
los objetivos, el auditor necesita dividir los sistemas en una serie de subsistemas,
identificando los componentes que realiza las actividades bsicas de cada
subsistema, evaluar la confianza de cada componente, y la de los subsistemas, y
en forma agregada evaluar cada subsistema hasta llegar a una evaluacin global
sobre la confianza total del sistema. Durante la auditoria en informtica deben
tomarse muchas decisiones difciles.

EVALUACION DE LOS SITEMAS DE ACUERDO AL

RIESGO
Una de las formas de evaluar la importancia que puede tener para la organizacin
un determinado sistema, es considerar el riesgo que implica el que no sea
utilizado adecuadamente, la perdida de la informacin o bien el que sea usado por
personas ajenas a la organizacin.
Algunos sistemas de aplicacin son ms alto riesgo que otros debido a que:
Son susceptibles a diferentes tipos de prdida econmica
Fraudes y desfalcos entre los cuales estn los sistemas financieros.
El auditor debe poner especial atencin a aquellos sistemas que requieran
de un adecuado control financiero.
Flujo de caja, inversiones cuentas por pagar y cobrar, nmina.
Las fallas pueden impactar grandemente a la organizacin.
Una falla en el procesamiento de la nmina puede tener como
consecuencia el que se tenga una huelga.
Una falla en
el procesamiento de la nomina puede tener como
consecuencia el que se tenga una huelga

INVESTIGACIN PRELIMINAR
La investigacin preliminar debe incorporar fases de evaluacin del control
gerencial y del control de la aplicacin. Durante la revisin de los controles de la
aplicacin, el auditor debe entender los controles ejercidos sobre el mayor tipo de
transacciones que fluyen a travs de los sistemas de aplicaciones ms
significativos dentro de la instalacin de computadoras.
Se debe recopilar informacin para tener una visin general del departamento por
medio de observaciones, entrevistas preliminares y solicitudes de documentos; la
finalidad es definir el objetivo y alcance del estudio as como el programa detallado
de la investigacin.
En el caso de la auditoria en informtica debemos comenzar la investigacin
preliminar con una vista al organismo, al rea de informtica y a los equipos de
cmputo, y solicitar una serie de documentos.
Administracin: Se recopila la informacin para obtener una visin general del
departamento por medio de observaciones, entrevistas preliminares y solicitud de
documentos para poder definir el objetivo y alcances del departamento
Para poder analizar y dimensionar la estructura a auditar se debe solicitar:
A nivel organizacin total:

Objetivos a corto y largo plazos

Manual de la organizacin
Antecedentes o historia del organismo
Polticas generales

A nivel del rea de informtica:

Objetivos a corto y largo plazos.
Manual de organizacin del rea que incluye puestos, funciones, niveles
jerrquicos y tramos de mando.
Manual de polticas, reglamentos internos y lineamientos generales.
Nmero de personas y puestos en el rea.
Procedimientos administrativos del rea.
Presupuestos y costos del rea.

Recursos materiales y tcnicos:

Solicitar documentos sobre los equipos, as como el nmero de ellos, su
localizacin y sus caractersticas.
Estudios de viabilidad
Fechas de instalacin de los equipos y planes de instalacin.
Contratos vigentes de compra, renta y servicio de mantenimiento.
Contrato de seguros.
Covenios que se tienen con otras instalaciones.
Configuracin de los equipos y capacidades actuales y mximas.
Configuracin de equipos de comunicacin y localizacin de los equipos.
Planes de expansin
Ubicacin general de los equipos.
Polticas de operacin
Polticas de uso de los equipos
Polticas de seguridad fsica y prevencin contra contingencias internas y
externas.

Sistemas:
Descripcin general de los sistemas instalados y de los que estn por
instalarse, que contengan volmenes de informacin.
Manual de formas.
Manual de procedimientos de los sistemas.
Descripcin genrica.
Diagramas de entrada, archivos, salida.
Fecha de instalacin de los sistemas.
Proyecto de instalacin de nuevos sistemas.
Bases de datos, propietarios de la informacin y usuarios de la misma.
Procedimientos y polticas en casos de desastre.
Sistemas propios, rentados y adquiridos.
En el momento de hacer la planeacin de la auditora o bien en su realizacin
debemos evaluar que pueden presentarse las siguientes situaciones:
Se solicita la informacin y se ve que:

No se tiene y se necesita.
No se tiene y no se necesita.

Se tiene la informacin pero:

No se usa
Es incompleta
No est actualizada
No es la adecuada
Se usa, est actualizada, es la adecuada y est completa.

El xito del anlisis crtico depende de las consideraciones siguientes:

Estudiar hechos y no opiniones. Investigar las causas, no los efectos.

Atender razones, no excusas.
No confiar en la memoria, preguntar constantemente.
Criticar objetivamente y a fondo todos los informes y los datos recabados.

PERSONAL PARTICIPANTE
Una de las partes ms importantes en la planeacin de la auditoria en informtica
es el personal que deber participar.
En este punto no veremos el nmero de personas que deben participar ya que
esto depende de las dimensiones de la organizacin, de los sistemas y de los
equipos; lo que se deber considerar son las caractersticas del personal que
habr de participar en la auditoria. Con estas bases debemos considerar los
conocimientos, la prctica profesional y la capacitacin que debe tener el personal
que intervendr en la auditoria.
En primer lugar debemos pensar que hay personal asignado por la organizacin
que debe tener el suficiente nivel para poder coordinar el desarrollo de la auditoria
proporcionamos toda la informacin que se solicite y programar las reuniones y
entrevistas requeridas.
Para complementar el grupo ,como colaboradores directos en la realizacin de la
auditoria se deben tener personas con la siguiente caractersticas.

Tcnicos en informtica.
Conocimientos de administracin contadura y finanzas.
Experiencias en el rea de informtica.
Conocimiento y experiencia en psicologa industrial.
Conocimiento de los sistemas ms importantes.
Experiencia en operacin y anlisis de sistemas.

Una vez planeada la forma de llevar a cabo la auditoria estaremos en posibilidad

de presentar la carta-convenio de servicios profesionales (en el caso de auditores
externos)-y el plan de trabajo.

La carta convenio es un compromiso que el auditor dirige a su cliente para su

confirmacin de aceptacin.