El Com ité Inte rnac iona l de Prá ctic as de Auditoría , in stitució n re s- ponsabilizada con las

normas y estándares de esta actividad, en el documento 110, “Glosario d e Términos”,

expresa: Auditoría: El ob jetivo de una auditoría de estados financieros es hacer posible al
auditor el expresar una opin ión sobre si los estados financie ros están preparados, respecto
de todo lo sustancial, de acue rdo a un marco de referencia p ara reportes financieros identif
icado o a otros criterios. Las f rases usadas para expresar la opin ión del auditor son “dar un
pun to de vista verdadero y justo” o “presentar en forma apropiad a, en todos los aspectos
susta nciales”, que son términos equivalentes.

1
Blanco, Encinosa, Lázaro J.. Auditoría y sistemas informáticos, edited by López, Deborah
Prats, Editorial Félix Varela, 2005. ProQuest Ebook Central,
http://ebookcentral.proquest.com/lib/bibliouniminutosp/detail.action?docID=3191643.
Created from bibliouniminutosp on 2019-08-22 13:22:31.
La American Accou nting Association ha preparado la siguiente definición de a uditoría: 1
Comité Internacional de Prácticas de Auditoría. Codificación de Normas Internacionales de
Auditoría (NIAs) y Declaraciones Internacionales de Auditoría, pp. 18-19.
Blanco, Encinosa, Lázaro J.. Auditoría y sistemas informáticos, edited by López, Deborah
Prats, Editorial Félix Varela, 2005. ProQuest Ebook Central,
http://ebookcentral.proquest.com/lib/bibliouniminutosp/detail.action?docID=3191643.
Created from bibliouniminutosp on 2019-08-22 13:23:41.

La American Accou nting Association ha preparado la siguiente definición de a uditoría: 1

Comité Internacional de Prácticas de Auditoría. Codificación de Normas Internacionales de
Auditoría (NIAs) y Declaraciones Internacionales de Auditoría, pp. 18-19.
Blanco, Encinosa, Lázaro J.. Auditoría y sistemas informáticos, edited by López, Deborah
Prats, Editorial Félix Varela, 2005. ProQuest Ebook Central,
http://ebookcentral.proquest.com/lib/bibliouniminutosp/detail.action?docID=3191643.
Created from bibliouniminutosp on 2019-08-22 13:23:41.

En esas definic iones se destacan los siguie ntes aspectos: • • La auditoría com o proceso
sistemático de obtención de evidencias sobre hechos eco nómicos que se encuentran
reflejados en informes y estados f inancieros. La auditoría como un necesario conjunto de
proced imientos y métodos lógicos y or ganizados de la mejor manera posible, y que debe
seguir el au ditor para recopilar la información. La existencia de estándares y normas a seguir
por el auditor. La necesidad de o btener la evidencia y de evaluar la misma de manera
objetiva. La independencia del auditor, administrativa y le gal, pero también mental. El auditor
debe usar su criterio selectivo para sele ccionar la evidencia apropiada. Las definiciones
permiten que se considere cualquier tipo de informe económico-financiero, incluyendo
fundamentalmente, los estados financieros, las declaraciones de impuestos, los contratos, los
informes de funcionamiento, los estudios de factibilidad, etc. El auditor debe determinar el gr
ado de correspondencia entre los que ocurrió en rea lidad y lo reflejado en los inform es; y
asegurarlo a los usuarios d e los mismos. La comprobación de los hechos, la medición y la
comparación con lo reflejado en los informes, debe estar acorde a principios metodológicos ,
que garanticen la estandar ización de procedimie ntos y métodos. Lo no rmal es que el auditor
se base en los “Principios de contabilidad genera lmente aceptados” , pero también debe
hacerlo en ley es, reglame ntos, reso luciones, c onvenios co ntractuale s, manuales de
normas y p rocedimientos, etc.
Blanco, Encinosa, Lázaro J.. Auditoría y sistemas informáticos, edited by López, Deborah
Prats, Editorial Félix Varela, 2005. ProQuest Ebook Central,
http://ebookcentral.proquest.com/lib/bibliouniminutosp/detail.action?docID=3191643.
Created from bibliouniminutosp on 2019-08-22 13:24:18.

Zaba ro y Mar tínez, en su ob ra Audito ría informá tica distinguen dos tér mino s: Auditoría
Infor mática: “Conjunto de procedim ientos y técnicas que permiten en una entidad: evaluar,
total o parcialmente, el grado en que se cumplen la observancia de los controles
Blanco, Encinosa, Lázaro J.. Auditoría y sistemas informáticos, edited by López, Deborah
Prats, Editorial Félix Varela, 2005. ProQuest Ebook Central,
http://ebookcentral.proquest.com/lib/bibliouniminutosp/detail.action?docID=3191643.
Created from bibliouniminutosp on 2019-08-22 13:25:02.

Los servicios que involucre la disciplina contable, pueden ser ofrecidos por personas naturales en
forma directa, o por personas jurídicas que contemplen dentro del objeto social tal posibilidad.
Ahora bien, acerca de que las personas jurídicas en forma simultánea y a través de diferentes
personas naturales a ellas vinculadas, presten servicios de revisoría fiscal y otros propios de la
disciplina contable, tales como contabilidad por outsourcing, auditoría y asesoría tributaria, la
Junta Central de Contadores se pronunció en contra de dicha práctica. Por una parte, en
consideración a la necesidad de proteger el principio de independencia que garantiza la
objetividad e integridad que debe observar el contador público para el cumplimiento de sus
funciones y, en especial para garantizar que la labor de fiscalización ejercida por el revisor fiscal se
encuentre libre de cualquier conflicto de intereses que comprometa la imparcialidad de quien está
llamado a dar fe pública de las operaciones y actuaciones del ente económico supervisado y por
otra, en salvaguarda del régimen de inhabilidades e incompatibilidades que se encuentra expreso
en el Código de Comercio, en la Ley 43 de 1990 y en los estatutos particulares de cada sociedad

Para lograr una comprensión del ente económico y aplicar procedimientos adicionales en
respuesta a los riesgos evaluados, el revisor fiscal puede obtener, conjuntamente con éste o
independientemente, evidencia de auditoría a manera de informes, opiniones, valuaciones y
declaraciones de un experto.

Normas de Auditoría Generalmente Aceptadas Como lo dispone la ley 43 de 1990 en su artículo

7º, las normas de auditoría generalmente aceptadas se relacionan con las cualidades profesionales
del contador público, con el empleo de su buen juicio en la ejecución de su examen y en su
informe referente al mismo. Disposición que es de obligatoria aplicación por parte del contador
público y por ende del Revisor Fiscal, tal como lo consagra el numeral 2º del artículo 8º de la
misma ley. Teniendo en cuenta lo anotado en el párrafo precedente, en atención a que en el
artículo 13 ibídem se establece de manera expresa, así como en el Estatuto Mercantil, que se
requiere tener la calidad de contador público para desempeñar las funciones de revisor fiscal, es
pertinente precisar que el adecuado cumplimiento de las labores previstas en el artículo 207 del
Código de Comercio, supone en el revisor fiscal por lo menos el cumplimiento de las normas de
auditoría de general aceptación en Colombia que contienen las reglas básicas que él debe seguir
en la realización de su trabajo

Cuando el Revisor Fiscal utilice la asesoría de especialistas cuya opinión sea básica para el ejercicio
de su función, deberá asegurarse de su competencia y capacidad, en forma previa a su vinculación
al grupo de trabajo. Así mismo, para poder apoyarse en auditorías realizadas por terceros, es
necesario verificar la competencia profesional de los auditores respectivos, su independencia y la
calidad del trabajo por ellos realizado. El Revisor Fiscal debe aceptar únicamente los trabajos que
pueda efectuar con la debida diligencia profesional.

El revisor fiscal debe tener evidencia suficiente y apropiada, obtenida de fuentes confiables, tanto
internas como externas, para poder llegar a conclusiones razonables en las cuales basa su opinión.
-La evidencia de auditoría es más confiable cuando se obtiene de fuentes independientes fuera de
la entidad. -La evidencia de auditoría que se genera internamente es más confiable cuando son
efectivos los controles impuestos por la entidad. -La evidencia de auditoría que se obtiene
directamente por el revisor fiscal es más confiable que la evidencia de auditoría que se obtiene de
manera indirecta. -La evidencia de auditoría es más confiable cuando existe en forma documental,
ya sea en papel, en forma electrónica, o en otro medio. -La evidencia de auditoría que proporciona
los documentos originales es más confiable que la obtenida en fotocopias o facsímiles. La
evidencia deberá documentarse en papeles de trabajo o aplicativos de sistemas que
comprenderán la totalidad de los documentos preparados o recibidos por el Revisor Fiscal, de
manera que en conjunto constituyen un compendio de la información utilizada y de las pruebas
efectuadas en la ejecución de su trabajo, junto con las decisiones que ha adoptado para llegar a
formarse una opinión sobre los estados financieros, o sobre la información relacionada con las
certificaciones por él emitidas. El revisor fiscal debe adoptar procedimientos apropiados que
permitan mantener la confidencialidad y salvaguarda de la información, de acuerdo con los
requisitos legales y profesionales. Ningún aspecto o área de operación de la empresa debe estar
vedada al Revisor Fiscal. Todas las operaciones o actos de la sociedad, como todos sus bienes, sin
reserva alguna, son objeto de su fiscalización. Si bien la evidencia obtenida en el desarrollo del
trabajo de revisoría y los papeles de trabajo son de propiedad del Revisor Fiscal, los mismos deben
estar a disposición de la Superintendencia de Sociedades, al igual que la documentación por
medios electrónicos, los archivos y manuales de usuario, cuando éste organismo lo requiera en
ejercicio de sus atribuciones legales.

Alcance de las funciones del Revisor Fiscal. El revisor fiscal en cumplimiento de sus funciones debe
realizar las labores de auditoría que a continuación se mencionan: 9.1. Auditoría Financiera:
Consiste en el proceso de revisión del registro de las operaciones realizadas por el ente
económico, con el objetivo de obtener los elementos de juicio necesarios para emitir una opinión
profesional, respecto de la razonabilidad de los estados financieros y sobre la presentación de los
mismos, de acuerdo con los principios de contabilidad y normas de auditoría generalmente
aceptados. La auditoría financiera proporciona a los usuarios de la información financiera
seguridad frente a los estados financieros. 9.2. Auditoría de Cumplimiento: Corresponde al
proceso de verificar si las operaciones realizadas por el ente económico resultan conformes a las
disposiciones legales y estatutarias, principalmente de tipo financiero y contable, que les son
aplicables, con el fin de emitir una opinión sobre el particular. 9.3. Auditoría del Sistema de
Control Interno. Obedece a la valoración que efectúa la revisoría fiscal de los sistemas de control
interno, en materia contable, financiera y administración de riesgos implementados por los entes
económicos, con el fin de emitir una opinión profesional sobre si hay y son adecuadas las medidas
de control interno.

Concepto
El concepto de auditoría es mucho más que esto. Es un examen crítico que se
realiza con el fin de evaluar la eficacia y eficiencia de una sección, un
organismo, una entidad, etc.
La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra
auditor, que se refiere a todo aquel que tiene la virtud de oír.
Los objetivos de la auditoría Informática son:
 El control de la función informática.
 El análisis de la eficiencia de los Sistemas Informáticos
 La verificación del cumplimiento de la Normativa en este ámbito
 La revisión de la eficaz gestión de los recursos informáticos.
 Verificar el control interno de la función informática.
 Asegurar a la alta dirección y al resto de las áreas de la empresa que la
información que les llega es la necesaria en el momento oportuno, y es fiable,
ya que les sirve de base para tomar decisiones importante
 Eliminar o reducir al máximo la posibilidad de pérdida de la información
por fallos en los equipos, en los procesos o por una gestión inadecuada de los
archivos de datos
 Detectar y prevenir fraudes por manipulación de la información o por acceso
de personas no autorizadas a transacciones que exigen trasvases de fondos
Hoy la auditoría interna es:

 Una unidad con atribuciones y facultades para auditar todas las

operacionesTIC de las organizaciones.
 Se define como una función de valoración independiente establecida dentro
de una organización para examinar y evaluar sus actividades como
un servicio a la organización
  Su objetivo es asistir a los miembros de la organización en el cumplimiento
efectivo de sus responsabilidades
 El alcance de la auditoria interna debe abarcar el examen y evaluación de la
adecuación y efectividad del sistema de control interno y la calidad de la de
ejecución en la realización de las responsabilidades asignadas.
La auditoría externa se puede definir como un servicio público o privado prestado
por profesionales calificados en Auditoría Informática,
que consiste en la realización, según normas y técnicas específicas, de una revisión
de las TIC, a fin de expresar su opinión independiente sobre si lo auditado
presentan violaciones, irregularidades,fraudes u errores en un momento dado,
sus resultados y hallazgos durante un periodo determinado, de acuerdo con las
normas de control interno, normas ISO, de la Contraloría General de la República y
otras que sea de competencias

El auditor informático
El auditor informático ha de velar por la correcta utilización de los amplios
recursos que la empresa pone en juego para disponer de un eficiente y eficaz
sistema de Información.

Características del auditor informático

1) Se deben poseer una mezcla de conocimientos de auditoría financiera y de
informática en general. En el área informática, se debe tener conocimientos básicos
de: Desarrollo de SI, Sistemas operativos, Telecomunicaciones, Administración de
Bases de Datos, Redes locales, Seguridad física, Administración de Datos,
Automatización de oficinas (ofimática), Comercio electrónico, de datos, etc.
2) Especialización en función de la importancia económica que tienen distintos
componentes financieros dentro del entorno empresarial.

3) Debe conocer técnicas de administración de empresas y de cambio, ya que las

recomendaciones y soluciones que aporte deben estar alineadas a los objetivos de la
empresa y a los recursos que se poseen.

4) Debe tener un enfoque de Calidad Total, lo cual hará que sus conclusiones y
trabajo sean reconocidos como un elemento valioso dentro de la empresa y que los
resultados sean aceptados en su totalidad.

Responsabilidades del auditor informático

1. Verificación del control interno tanto de las aplicaciones como de los SI,
periféricos, etc.
2. Análisis de la administración de Sistemas de Información, desde un punto de
vista de riesgo de seguridad, administración y efectividad de la administración.
3. Análisis de la integridad, fiabilidad y certeza de la información a través del
análisis de aplicaciones.
4. Auditoría del riesgo operativo de los circuitos de información
5. Análisis de la administración de los riesgos de la información y de la seguridad
implícita.
6. Verificación del nivel de continuidad de las operaciones.
7. Análisis del Estado del Arte tecnológico de la instalación revisada y las
consecuencias empresariales que un desfase tecnológico puede acarrear.
8. Diagnóstico del grado de cobertura que dan las aplicaciones a las necesidades
estratégicas y operativas de información de la empresa
9. También el auditor informático es responsable de establecer
los objetivos de control que reduzcan o eliminen la exposición al riesgo de
control interno.
Principios éticos del auditor informático
Principio de beneficio del auditado

 El auditor deberá conseguir la máxima eficiencia y rentabilidad de los

medios informáticos de la empresa auditada

 El auditor deberá evitar estar ligado a determinados intereses

Principio de calidad

 El auditor deberá prestar servicios con los medios a su alcance

 Libertad de utilización de los mismos
 Condiciones técnicas adecuadas
Principio de capacidad

 El auditor debe estar plenamente capacitado para la realización de la

auditorıa encomendada

 Debe ser plenamente consciente del alcance de sus conocimientos y de

su capacidad y aptitud para desarrollar la auditoría (sobreestima o

subestima)

Principio de cautela:

 El auditor debe evitar que el auditado se embarque en proyectos de futuro

fundamentados en intuiciones sobre la evolución de las nuevas tecnología de
la información
Principio de comportamiento profesional

 Exige al auditor una seguridad en sus conocimientos técnicos y una clara

percepción de sus carencias (acudiendo a expertos si necesario) dejando

constancia de esa circunstancia y reflejando en forma diferenciada, en

sus informes y dictámenes, las opiniones y conclusiones propias y las

 emitidas por los mismo

 Debe guardar un escrupuloso respeto por la política de la empresa que

audita

Principio de concentración en el trabajo

 El auditor deberá evitar que un exceso de trabajo supere sus posibilidades de

concentración y precisión en cada una de las tareas
 Nunca copiar conclusiones de otros informes de auditorías pasadas por la
acumulación de trabajo
Principio de confianza:

 El auditor deberá facilitar e incrementar la confianza del auditado en base a

una actuación de transparencia en su actividad profesional
Principio de criterio propio:

 El auditor deberá actuar con criterio propio y no permitir que este este
subordinado al de otros profesionales
Principio de discreción:

 El auditor deberá mantener una cierta discreción en la divulgación de datos

Principio de economía:

 El auditor debera proteger los derechos economicos del auditado evitando

generar gastos innecesarios
Principio de formación continuada:

 Impone al auditor la obligacion de estar en cont´ınua formación

Principio de fortalecimiento y respeto a la profesión:

 Los auditores han de cuidar del valor de trabajo realizado y de las

conclusiones obtenidas
Principio de independencia:

 El auditor debe exigir una total autónoma e independencia en su trabajo

Principio de información suficiente:

 Obliga al auditor aportar en forma clara, precisa e inteligible para el auditado

la información
Principio de integridad moral:

 Obliga al auditor a ser honesto, leal y diligente en el desempeño de su misión,

a ajustarse a las normas morales, de justicia y probidad, y a evitar participar
en actos de corrupción personal o a terceras personas.
Principio de legalidad:
  El auditor deberá evitar utilizar sus conocimientos para facilitar, a los
auditados o a terceras personas, la contravención de la legalidad vigente
Principio de libre competencia:

 Exige que el ejercicio de la profesión se realice en el marco de la libre

competencia
Principio de no discriminación:

 El auditor en su actuacion antes, durante y después de la auditoría, deberá

evitar inducir, participar o aceptar situaciones discriminatorias de ningún
tip0
Principio de no injerencia:

 El auditor deberá evitar injerencias en los trabajos de otros profesionales,

respetar su labor y eludir hacer comentarios que pudieran interpretarse como
despreciativos de la misma o provocar cierto desprestigio de su calificación
profesional
Principio de precisión:

 Exige del auditor la no conclusion de su trabajo hasta estar convencido de la

viabilidad de sus propuestas
Principio de secreto profesional:

 La confidencia y la confianza son características esenciales de las relaciones

entre el auditor y el auditado, e imponen al primero la obligación de guardar
en secreto los hechos e informaciones que conozca en el ejercicio de su
actividad profesional
Principio de veracidad:

 El auditor en sus comunicaciones con el auditado deberá tener siempre

presente la obligación de asegurar la veracidad de sus manifestaciones con los
límites impuestos por los deberes de respeto, corrección y secreto
Principio de servicio público:

 Incitar al auditor a hacer lo que esté en su mano y sin perjuicio de los

intereses de su cliente, para evitar daños sociales como los que pueden
producirse en los casos en que, durante la ejecución de la auditoría, descubra
elementos de software dañinos (virus) que puedan propagarse a otros
sistemas informáticos diferentes al auditado.
 Fase I: Conocimientos del Sistema: Aspectos Legales y Políticas
Internos. Sobre estos elementos está construido el sistema de control y por
lo tanto constituyen el marco de referencia para su evaluación.
Características del Sistema Operativo. Organigrama del área que participa
en el sistema Manual de funciones de las personas que participan en los
procesos del sistema Informes de auditoría realizadas anteriormente
Características de la aplicación de computadora Manual técnico de la
 aplicación del sistema Funcionarios (usuarios) autorizados para administrar
la aplicación Equipos utilizados en la aplicación de computadora Seguridad
de la aplicación (claves de acceso) Procedimientos para generación y
almacenamiento de los archivos de la aplicación.
 Fase II: Análisis de transacciones y recursos: Definición de las
transacciones. Dependiendo del tamaño del sistema, las transacciones se
dividen en procesos y estos en subprocesos. La importancia de las
transacciones deberá ser asignada con los administradores. Análisis de las
transacciones Establecer el flujo de los documentos En esta etapa se hace
uso de los flujo gramas ya que facilita la visualización del funcionamiento y
recorrido de los procesos. Análisis de los recursos Identificar y codificar los
recursos que participan en el sistemas Relación entre transacciones y
recursos
 Fase III: Análisis de riesgos y amenazas: Identificación de riesgos
Daños físicos o destrucción de los recursos Pérdida por fraude o desfalco
Extravío de documentos fuente, archivos o informes Robo de dispositivos o
medios de almacenamiento Interrupción de las operaciones del negocio
Pérdida de integridad de los datos Ineficiencia de operaciones Errores
.Identificación de las amenazas sobre los equipos, sobre documentos fuente,
sobre programas de aplicaciones Relación entre recursos/amenazas/riesgos
La relación entre estos elementos deberá establecerse a partir de la
observación de los recursos en su ambiente real de funcionamiento.
 Fase IV: Análisis de controles: Los controles de seguridad informática
usualmente se clasifican en tres categorías: controles físicos, controles
lógicos o técnicos y controles administrativos
 Fase V: Evaluación de Controles: Objetivos de la evaluación, Verificar
la existencia de los controles requeridos, Determinar la operatividad y
suficiencia de los controles existentes, Plan de pruebas de los controles,
Incluye la selección del tipo de prueba a realizar. Debe solicitarse al área
respectiva, todos los elementos necesarios de prueba. Pruebas de controles
Análisis de resultados de las pruebas
 Fase VI: El Informe de auditoría: Informe detallado de
recomendaciones, Evaluación de las respuestas, Informe resumen para la
alta gerencia. Este informe debe prepararse una vez obtenidas y analizadas
las respuestas de compromiso de las áreas.
 Fase VII: Seguimiento de las Recomendaciones Informes del
seguimiento Evaluación de los controles implantados
 CRIMEN Y FRAUDE COMPUTACIONAL
 Cualquier entrada ilegal en un sistema de cómputo con fines de lucro se
considera como un crimen y fraude computacional

 MOTIVOS DE LOS DELITOS POR COMPUTADORA

 — Beneficio personal

 — Beneficio para la organización

 — Síndrome de Robín Hood (por beneficiar a otras personas)

 — usando a jugar

 — Fácil de detectar, desfalcar

 — El departamento es deshonesto

 — Odio a la organización (revancha)

 — El individuo tiene problemas financieros

 — La computadora no tiene sentimientos ni delata

 — Equivocación de ego (deseo de sobresalir en alguna forma)

 — Mentalidad turbada

 FACTORES QUE HAN PERMITIDO EL INCREMENTO EN

LOS CRIMENES POR COMPUTADORAS.
 — El aumento de números de personas que se encuentran estudiando
computación.

 — El aumento de números de empleados que tienen acceso a los equipos.

 — La facilidad en el uso de los equipos de computo.

 — El incremento en la concentración del numero de aplicaciones y de la

informática.

 Se definen tres tipos de delitos informáticos:

 * Fraudes cometidos mediante manipulación de computadoras.
* Manipulación de los datos de entrada.
* Daños o modificaciones de programas o datos computarizados.

 — Manipulación de los datos de entrada: Este tipo de fraude

informático conocido también como sustracción de datos, representa el
delito informático más común ya que es fácil de cometer y difícil de
descubrir.
 — La manipulación de programas: modificación de programas
existentes en un sistema o la inserción de nuevos programas.
 — Manipulación de los datos de salida: Se efectúa fijando un objetivo
al funcionamiento del sistema informático.
 Entre otros delitos que se caracterizan por la alteración no
autorizada de programas o de datos dentro de la computadora
para fines ilegales tenemos.
 — Los virus informáticos : Los virus más benévolos son capaces de
dejar sin trabajar durante horas e incluso días enteros a numerosas
 personas, y en los casos más dramáticos, dejar sin información a cientos
de empresas y corporaciones, al entrar en acción su fatal programación.
 Ejemplo de virus viernes 13, el caballo de troya, etc.

 — El sabotaje informático: El término sabotaje informático comprende

todas aquellas conductas dirigidas a causar daños en el hardware o en el
software de un sistema.
 Acción de eliminar o modificar funciones o datos en una computadora sin
autorización, para obstaculizar su correcto funcionamiento.

 — Los hackers: Son individuos capaces de manejar con habilidad

cualquier lenguaje de programación, además de trabajar intensamente en el
entorno UNÍS, y tienen un firme conocimiento sobre el protocolo TCP/IP y
su implementación.
 Los ataques de los hackers están a la orden del día. Exploran Internet en
busca de servidores que, por la negligencia o desconocimiento de su
administrador, cuentan con programas obsoletos que son vulnerables. Una
vez que se introducen en los objetivos fijados, desencadenan el ataque
dejándolos fuera de servicio.

 — La piratería: La piratería informática consiste en:

La reproducción ilegal de programas o Software. Los fabricantes de software
estiman que por cada paquete vendido los piratas ya han hecho cuatro
copias no autorizadas. La piratería informática cuesta a los desarrolladores
de software miles de millones de dólares al año.
Clasificación de los tipos de auditorías Para iniciar nuestro estudio, aquí proponemos que el
análisis de los conceptos anteriores se realice al amparo de la siguiente clasificación de los tipos de
auditorías, con el fin de identificar los criterios, características y especificaciones de esta disciplina
profesional. Posteriormente nos concentraremos exclusivamente en los conceptos y definiciones
de la auditoría de sistemas computacionales. La clasificación que se propone está integrada por el
siguiente cuadro: Auditorías por su lugar de aplicación • Auditoría externa • Auditoría interna
Auditorías por su área de aplicación • Auditoría financiera • Auditoría administrativa • Auditoría
operacional • Auditoría integral • Auditoría gubernamental • Auditoría de sistemas Auditorías
especializadas en áreas específicas • Auditoría al área médica (evaluación médico-sanitaria) •
Auditoría al desarrollo de obras y construcciones (evaluación de ingeniería) • Auditoría fiscal •
Auditoría laboral • Auditoría de proyectos de inversión • Auditoría a la caja chica o caja mayor
(arqueos) • Auditoría al manejo de mercancías (inventarios) • Auditoría ambiental • Auditoría de
sistemas Auditoría de sistemas computacionales • Auditoría informática • Auditoría con la
computadora • Auditoría sin la computadora • Auditoría a la gestión informática • Auditoría al
sistema de cómputo • Auditoría alrededor de la computadora • Auditoría de la seguridad de
sistemas computacionales • Auditoría a los sistemas de redes • Auditoría integral a los centros de
cómputo 12 Auditoría en sistemas computacionales • Auditoría ISO-9000 a los sistemas
computacionales • Auditoría outsourcing • Auditoría ergonómica de sistemas computacionales
Clasificación de auditorías por su área de aplicación La clasificación aquí propuesta se refiere al
ámbito específico donde se llevan a cabo las actividades y operaciones que serán auditadas,
ubicando a cada tipo de auditoría de acuerdo con el área de trabajo e influencia de la rama o
especialidad que será evaluada. En atención a dicho criterio, y debido a que podemos encontrar
un sinnúmero de clasificaciones de estos tipos de auditorías, todas válidas, para nuestro análisis de
los conceptos generales sólo nos concentraremos en presentar su clasificación y una breve
definición de cada uno de los tipos, tomando en cuenta solamente su área de aplicación sin ir más
allá, es decir, no se analizarán sus ventajas ni desventajas

Auditoría informática Motivada por lo especializado de las actividades de cómputo, así como por
el espectacular avance que han tenido estos sistemas en los últimos años, ha surgido una nueva
necesidad de evaluación para los auditores, quienes requieren una especialización cada vez más
profunda en sistemas computacionales para dedicarse a este tipo de auditorías. Por ello nació la
necesidad de evaluar no sólo los sistemas, sino también la información, sus componentes y todo lo
que está relacionado con dichos sistemas. La definición propuesta es la siguiente: Es la revisión
técnica, especializada y exhaustiva que se realiza a los sistemas computacionales, software e
información utilizados en una empresa, sean individuales, compartidos y/o de redes, así como a
sus instalaciones, telecomunicaciones, mobiliario, equipos periféricos y demás componentes.
Dicha revisión se realiza de igual manera a la gestión informática, el aprovechamiento de sus
recursos, las medidas de seguridad y los bienes de consumo necesarios para el funcionamiento del
centro de cómputo. El propósito fundamental es evaluar el uso adecuado de los sistemas para el
correcto ingreso de los datos, el procesamiento adecuado de la información y la emisión oportuna
de sus resultados en la institución, incluyendo la evaluación en el cumplimiento de las funciones,
actividades y operaciones de funcionarios, empleados y usuarios involucrados con los servicios
que proporcionan los sistemas computacionales a la empresa. Las definiciones anteriores son las
más comunes y conocidas en el ambiente de la auditoría; sin embargo, existen otros tipos de
auditorías más especializados, por lo que es de suma importancia conocer las definiciones de esos
modelos, mismas que se presentan a continuación. Con esto se pretende establecer los diferentes
criterios y áreas especializadas de evaluación que existen en esta materia para que el lector
conozca dichos tipos de auditorías y pueda llegar a dominar su aplicación.

Auditoría de sistemas computacionales (Auditoría informática) Motivados por la importancia de

continuar con la exposición de las definiciones de cada uno de los tipos de auditorías, y debido a
que la esencia de este libro es enfatizar la trascendencia, utilidad y especialidad de la auditoría de
sistemas computacionales (ASC), a continuación presentamos cada una de las definiciones de
auditorías especializadas de los sistemas computacionales, las cuales se aplican para las diferentes
áreas y disciplinas de este ambiente informático. Estas definiciones contendrán únicamente la
exposición de los principales conceptos de esta auditoría y, si es el caso, un breve comentario, ya
que en los siguientes capítulos profundizaremos en su estudio y aplicaciones. Las definiciones
propuestas para la auditoría de sistemas computacionales son las siguientes: 22 Auditoría en
sistemas computacionales • Auditoría informática • Auditoría con la computadora • Auditoría sin
la computadora • Auditoría a la gestión informática • Auditoría al sistema de cómputo • Auditoría
en el entorno de la computadora • Auditoría sobre la seguridad de sistemas computacionales •
Auditoría a los sistemas de redes • Auditoría integral a los centros de cómputo • Auditoría ISO-
9000 a los sistemas computacionales • Auditoría outsorcing • Auditoría ergonómica de sistemas
computacionales A continuación, únicamente se hace la presentación de las definiciones de cada
uno de los tipos de auditoría que se proponen en este estudio. Posteriormente se tratarán las
aplicaciones específicas de cada clasificación.* 1.3.4.1 Auditoría informática Esta primera
definición se cita sólo de manera general, debido a que alrededor de esta conceptualización se
engloban todas las demás definiciones de auditoría de sistemas, la cual se conoce también como
auditoría en sistemas, auditoría en informática o con otros nombres similares. Esta auditoría se
presenta en esta parte con el fin de completar las definiciones de auditoría, ya que a lo largo de
este libro no se utilizará más este concepto de auditoría global, sino que se particularizará de
acuerdo con cada especialidad. La definición de auditoría de sistemas es la siguiente: Es la revisión
técnica, especializada y exhaustiva que se realiza a los sistemas computacionales, software e
información utilizados en una empresa, sean individuales, compartidos y/o de redes, así como a
sus instalaciones, telecomunicaciones, mobiliario, equipos periféricos y demás componentes.
Dicha revisión se realiza de igual manera a la gestión informática, el aprovechamiento de sus
recursos, las medidas de seguridad y los bienes de consumo necesarios para el funcionamiento del
centro de cómputo.** El propósito fundamental es evaluar el uso adecuado de los sistemas para el
correcto ingreso de los datos, el procesamiento adecuado de la información y la emisión oportuna
de sus Conceptos generales 23 * Aunque a primera vista pareciera que estas definiciones son
repetitivas, tanto en sus conceptos, alcances y contenidos, me tomé la libertad literaria para
presentar en esta parte cada una de las definiciones tal y como es, con el único propósito de que
sirvan de referencia e identificación para un mejor entendimiento de cada una de las
descripciones de auditoría. Espero que usted, amigo lector, me otorgue la dispensa necesaria para
tolerar la aparente repetición de conceptos. ** La letra cursiva de los párrafos nos indica los
aspectos más relevantes de la clasificación. resultados en la institución, incluyendo la evaluación
en el cumplimiento de las funciones, actividades y operaciones de funcionarios, empleados y
usuarios involucrados con los servicios que proporcionan los sistemas computacionales a la
empresa. 1.3.4.2 Auditoría con la computadora En este tipo de auditoría se puede distinguir como
factor fundamental que su evaluación se realiza con el apoyo de los sistemas computacionales,
aunque pudiera darse el caso de que la auditoría no se refiera a la evaluación de estos sistemas,
sino a cualquier otra disciplina ajena a ellos. Lo relevante es que dichos sistemas se utilizan para
ayudar en tal evaluación. Su definición es la siguiente: Es la auditoría que se realiza con el apoyo
de los equipos de cómputo y sus programas para evaluar cualquier tipo de actividades y
operaciones, no necesariamente computarizadas, pero sí susceptibles de ser automatizadas; dicha
auditoría se realiza también a las actividades del propio centro de sistemas y a sus componentes.
La principal característica de este tipo de auditoría es que, sea en un caso o en otro, o en ambos,
se aprovecha la computadora y sus programas para la evaluación de las actividades a revisar, de
acuerdo con las necesidades concretas del auditor, utilizando en cada caso las herramientas
especiales del sistema y las tradicionales de la propia auditoría. 1.3.4.3 Auditoría sin la
computadora En este tipo de auditoría se busca evaluar a los sistemas desde una óptica
tradicional, contando con el apoyo de las técnicas y procedimientos de evaluación acostumbrados
y sin el uso de los sistemas computacionales, aunque éstos sean los que se evalúen. Por lo general,
esta auditoría se enfoca en los aspectos operativos, financieros, administrativos y del personal de
los centros de sistemas computacionales. Su definición es la siguiente: Es la auditoría cuyos
métodos, técnicas y procedimientos están orientados únicamente a la evaluación tradicional del
comportamiento y validez de las transacciones económicas, administrativas y operacionales de un
área de cómputo, y en sí de todos los aspectos que afectan a las actividades en las que se utilizan
sistemas informáticos, pero dicha evaluación se realiza sin el uso de los sistemas computacionales.
Es también la evaluación tanto a la estructura de organización, funciones y actividades de
funcionarios y personal de un centro de cómputo, así como a los perfiles de sus puestos, como de
los reportes, informes y bitácoras de los sistemas, de la existencia y aplicación de planes,
programas y presupuestos en dicho centro, así como del uso y aprovechamien24 Auditoría en
sistemas computacionales to de los recursos informáticos para la realización de actividades,
operaciones y tareas. Asimismo, es la evaluación de los sistemas de seguridad y prevención de
contingencias, de la adquisición y uso del hardware, software y personal informático, y en sí de
todo lo relacionado con el centro de cómputo, pero sin el uso directo de los sistemas
computacionales. 1.3.4.4 Auditoría a la gestión informática Esta auditoría es, por lo general, de
carácter administrativo y operacional; con su realización se busca evaluar la actividad
administrativa de los centros de cómputo, con todo lo que conlleva esta gestión. La definición
propuesta es la siguiente: Es la auditoría cuya aplicación se enfoca exclusivamente a la revisión de
las funciones y actividades de tipo administrativo que se realizan dentro de un centro de cómputo,
tales como la planeación, organización, dirección y control de dicho centro. Esta auditoría se
realiza también con el fin de verificar el cumplimiento de las funciones y actividades asignadas a
los funcionarios, empleados y usuarios de las áreas de sistematización, así como para revisar y
evaluar las operaciones del sistema, el uso y protección de los sistemas de procesamiento, los
programas y la información. Se aplica también para verificar el correcto desarrollo, instalación,
mantenimiento y explotación de los sistemas de cómputo, así como sus equipos e instalaciones.
Todo esto se lleva a cabo con el propósito de dictaminar sobre la adecuada gestión administrativa
de los sistemas computacionales de una empresa y del propio centro informático.* 1.3.4.5
Auditoría al sistema de cómputo Esta auditoría es más especializada y concreta, y está enfocada
hacia la actividad y operación de sistemas computacionales, con mucho más de evaluación técnica
y especializada de éstos y de todo lo relacionado con esta especialidad. Su definición es la
siguiente: Es la auditoría técnica y especializada que se enfoca únicamente a la evaluación del
funcionamiento y uso correctos del equipo de cómputo, su hardware, software y periféricos
asociados. Esta auditoría también se realiza a la composición y arquitectura de las partes físicas y
demás componentes del hardware, incluyendo equipos asociados, instalaciones y comunicaciones
internas o exConceptos generales 25 * Aunque aparentemente esta definición y la siguiente son
muy similares a la anterior, cada una tiene diferencias sustanciales, aunque también similitudes. La
intención de presentarla así, con aparentes repeticiones, es que el lector capte la esencia de cada
auditoría, la cual se utilizará de acuerdo a las necesidades concretas de evaluación, eligiendo el
tipo de auditoría más adecuado a sus requerimientos de evaluación, a fin de que sea más
completa y de mayor alcance. ternas, así como al diseño, desarrollo y uso del software de
operación, de apoyo y de aplicación, ya sean sistemas operativos, lenguajes de procesamiento y
programas de desarrollo, o paquetería de aplicación institucional que se utiliza en la empresa
donde se encuentra el equipo de cómputo que será evaluado. Se incluye también la operación del
sistema. 1.3.4.6 Auditoría alrededor de la computadora En este tipo de auditoría se trata de
evaluar todo lo que involucra la actividad de los sistemas computacionales, procurando, de ser
posible, dejar a un lado todos los aspectos especializados, técnicos y específicos de los sistemas, a
fin de evaluar únicamente las actividades vinculadas que se llevan a cabo alrededor de éstos. La
definición propuesta es la siguiente: Es la revisión específica que se realiza a todo lo que está
alrededor de un equipo de cómputo, como son sus sistemas, actividades y funcionamiento,
haciendo una evaluación de sus métodos y procedimientos de acceso y procesamiento de datos, la
emisión y almacenamiento de resultados, las actividades de planeación y presupuestación del
propio centro de cómputo, los aspectos operacionales y financieros, la gestión administrativa de
accesos al sistema, la atención a los usuarios y el desarrollo de nuevos sistemas, las
comunicaciones internas y externas y, en sí, a todos aquellos aspectos que contribuyen al buen
funcionamiento de un área de sistematización. 1.3.4.7 Auditoría de la seguridad de los sistemas
computacionales Hablar de seguridad es un aspecto muy importante en los sistemas
computacionales, lo cual en algunos casos puede estar relacionado con otras auditorías aquí
presentadas. Sin embargo, por lo especializado y profundo del tema, es indispensable que se
evalúe por separado; por esta razón se propone la siguiente definición: Es la revisión exhaustiva,
técnica y especializada que se realiza a todo lo relacionado con la seguridad de un sistema de
cómputo, sus áreas y personal, así como a las actividades, funciones y acciones preventivas y
correctivas que contribuyan a salvaguardar la seguridad de los equipos computacionales, las bases
de datos, redes, instalaciones y usuarios del sistema. Es también la revisión de los planes de
contingencia y medidas de protección para la información, los usuarios y los propios sistemas
computacionales, y en sí para todos aquellos aspectos que contribuyen a la protección y
salvaguarda en el buen funcionamiento del área de sistematización, sistemas de redes o
computadoras personales, incluyendo la prevención y erradicación de los virus informáticos. 26
Auditoría en sistemas computacionales 1.3.4.8 Auditoría a los sistemas de redes Es reciente el
crecimiento e importancia que han cobrado las redes de cómputo, razón por la cual es necesario
enfocar la auditoría hacia este campo específico; no obstante, en ciertos casos, esta evaluación
parecería estar contemplada en algunos tipos de auditoría aquí señalados. Su definición es la
siguiente: Es la revisión exhaustiva, específica y especializada que se realiza a los sistemas de redes
de una empresa, considerando en la evaluación los tipos de redes, arquitectura, topología, sus
protocolos de comunicación, las conexiones, accesos, privilegios, administración y demás aspectos
que repercuten en su instalación, administración, funcionamiento y aprovechamiento. Es también
la revisión del software institucional, de los recursos informáticos e información de las
operaciones, actividades y funciones que permiten compartir las bases de datos, instalaciones,
software y hardware de un sistema de red. 1.3.4.9 Auditoría integral a los centros de cómputo Esta
definición trata de agrupar a todos los tipos de auditoría que se analizan en estas
conceptualizaciones, buscando concentrar todas las evaluaciones bajo una misma auditoría con un
enfoque global del área de sistemas, según su tipo y tamaño. La definición que se propone es la
siguiente: Es la revisión exhaustiva, sistemática y global que se realiza por medio de un equipo
multidisciplinario de auditores, de todas las actividades y operaciones de un centro de
sistematización, a fin de evaluar, en forma integral, el uso adecuado de sus sistemas de cómputo,
equipos periféricos y de apoyo para el procesamiento de información de la empresa, así como de
la red de servicios de una empresa y el desarrollo correcto de las funciones de sus áreas, personal
y usuarios. Es también la revisión de la administración del sistema, del manejo y control de los
sistemas operativos, lenguajes, programas y paqueterías de aplicación, así como de la
administración y control de proyectos, la adquisición del hardware y software institucionales, de la
adecuada integración y uso de sus recursos informáticos y de la existencia y cumplimiento de las
normas, políticas, estándares y procedimientos que regulan la actuación del sistema, del personal
y usuarios del centro de cómputo. Todo esto hecho de manera global por medio de un equipo
multidisciplinario de auditores. 1.3.4.10 Auditoría ISO-9000 a los sistemas computacionales Las
empresas en el mundo han adoptado la calidad ISO-9000 como parte fundamental de sus
actividades. Por esta razón, los sistemas están relacionados también con esConceptos generales
27 te tipo de auditorías de certificación de calidad, las cuales son muy especializadas y específicas
en cuanto a los requerimientos establecidos en ellas. La definición propuesta es la siguiente: Es la
revisión exhaustiva, sistemática y especializada que realizan únicamente los auditores
especializados y certificados en las normas y procedimientos ISO-9000, aplicando exclusivamente
los lineamientos, procedimientos e instrumentos establecidos por esta asociación. El propósito
fundamental de esta revisión es evaluar, dictaminar y certificar que la calidad de los sistemas
computacionales de una empresa se apegue a los requerimientos del ISO-9000.

Objetivos generales de la auditoría A continuación, como complemento de los conceptos

generales, se señalarán de manera muy general los objetivos que se pretende alcanzar con una
auditoría, con la única intención de que el lector empiece a comprender las bases sobre las que
descansa el desarrollo de una auditoría, cualquiera que ésta sea. Entre esos objetivos
encontramos los siguientes: • Realizar una revisión independiente de las actividades, áreas o
funciones especiales de una institución, a fin de emitir un dictamen profesional sobre la
razonabilidad de sus operaciones y resultados. • Hacer una revisión especializada, desde un punto
de vista profesional y autónomo, del aspecto contable, financiero y operacional de las áreas de
una empresa. • Evaluar el cumplimiento de los planes, programas, políticas, normas y
lineamientos que regulan la actuación de los empleados y funcionarios de una institución, así
como evaluar las actividades que se desarrollan en sus áreas y unidades administrativas. •
Dictaminar de manera profesional e independiente sobre los resultados obtenidos por una
empresa y sus áreas, así como sobre el desarrollo de sus funciones y el cumplimiento de sus
objetivos y operaciones

Marco esquemático de la auditoría de sistemas computacionales Evaluación a: Hardware

Plataforma de hardware Tarjeta madre Procesadores Dispositivos periféricos Arquitectura del
sistema Instalaciones eléctricas, de datos y de telecomunicaciones Innovaciones tecnológicas de
hardware y periféricos Software Plataforma del software Sistema operativo Lenguajes y
programas de desarrollo Programas, paqueterías de aplicación y bases de datos Utilerías,
bibliotecas y aplicaciones Software de telecomunicación Juegos y otros tipos de software Gestión
informática Actividad administrativa del área de sistemas Operación del sistema de cómputo
Planeación y control de actividades Presupuestos y gastos de los recursos informáticos Gestión de
la actividad informática Capacitación y desarrollo del personal informático Administración de
estándares de operación, programación y desarrollo Información Administración, seguridad y
control de la información Salvaguarda, protección y custodia de la información Cumplimiento de
las características de la información Diseño de sistemas Metodologías de desarrollo de sistemas
Estándares de programación y desarrollo Documentación de sistemas Bases de datos
Administración de bases de datos Diseño de bases de datos 30 Auditoría en sistemas
computacionales Metodologías para el diseño y programación de bases de datos Seguridad,
salvaguarda y protección de las bases de datos Seguridad Seguridad del área de sistemas
Seguridad física Seguridad lógica Seguridad de las instalaciones eléctricas, de datos y de
telecomunicaciones Seguridad de la información, redes y bases de datos Administración y control
de las bases de datos Seguridad del personal informático Redes de cómputo Plataformas y
configuración de las redes Protocolos de comunicaciones Sistemas operativos y software
Administración de las redes de cómputo Administración de la seguridad de las redes
Administración de las bases de datos de las redes Especializadas Outsourcing Helpdesk Ergonomía
en sistemas computacionales ISO-9000 Internet/intranet Sistemas multimedia

Normas generales de auditoría emitidas por el AICPA* 2.4.1.1 Normas generales • La auditoría
debe ser realizada por personal que cuente con la capacitación técnica adecuada y la competencia
para ejercer como auditor. • El auditor debe conservar una actitud mental independiente en todos
los aspectos. • El auditor debe ser diligente en la presentación de los resultados de su auditoría.
2.4.1.2 Normas para el trabajo • Para que una auditoría sea eficiente y eficaz, se debe planear y
supervisar cabalmente. • El control interno se debe entender en estructura y contenido a fin de
aplicarlo en la planeación y determinación de la naturaleza, duración, extensión y profundidad de
la realización de una auditoría. • La evidencia que soporta el informe del auditor debe ser
suficiente, competente y oportuna, esto se logra mediante las técnicas, métodos y procedimientos
de auditoría. 2.4.1.3 Normas de la información • El informe de la auditoría debe presentarse en
estricto apego a las normas de auditoría y contabilidad generalmente aceptadas. • En el informe
de la auditoría se deben señalar las observaciones que se hayan detectado durante el periodo de
evaluación, destacando aquellas desviaciones de los procedimientos normales de la operación de
la empresa y de los principios generalmente aceptados. • Los informes de auditorías financieras
deberán contener la opinión razonada del auditor. 2.4.2 Normas generales de auditoría emitidas
por el IMCPAC** Este instituto es el que agrupa a los contadores públicos de México y, como
asociación de profesionales en esta materia, es el que ha emitido una serie de normas, principios y
criterios relacionados con la auditoría, principalmente de carácter contable y financiera, con el
propósito de homogeneizar la actuación de estos profesionales al realizar sus auditorías. Dichas
normas se presentan a continuación.

Normas de auditoría • Normas personales 44 Auditoría en sistemas computacionales *AICPA

(American Institute Certified Public Accounting; Instituto Estadounidense de Contadores Públicos
Certificados). ** IMCPAC (Instituto Mexicano de Contadores Públicos Asociación Civil). • Normas
de ejecución del trabajo • Normas de información Normas personales • Entrenamiento técnico y
capacidad profesional • Cuidado y diligencia profesional • Independencia Normas de ejecución del
trabajo • Planeación y supervisión • Estudio y evaluación del control interno • Obtención de
evidencia suficiente y competente Normas de información • Declaración de la relación de estados
o información financiera y expresión de opinión • Bases de opinión sobre estados financieros •
Vigencia 2.4.3 Normas para todos los auditores1 En la enciclopedia de la auditoría, William F.
Messier propone que todos los auditores deben seguir las siguientes normas, mismas que
presentamos sin hacer ningún comentario al respecto: Independencia Integridad profesional
Fiabilidad de los estados y registros Mantenimiento del control interno Obtención y evaluación de
evidencia Rango de conocimiento • Conocimiento completo • Buen conocimiento • Conocimiento
adecuado Podríamos seguir citando más normas de auditoría emitidas por asociaciones, colegios o
autores en la materia; sin embargo, para el propósito que se busca en este capítulo, sería
inadecuado continuar con estas exposiciones a riesgo de parecer desactualizados en las citas de
dichas normas. Por esta razón, hasta aquí dejamos los comentarios al respecto; sin embargo, a
continuación proponemos normas generales de auditoría y sugerimos profundizar en su
contenido, ya que así podremos analizar Elementos fundamentales en el estudio de la auditoría 45
los principales aspectos a utilizar en la emisión de las normas de auditoría, cualesquiera que sean
las áreas donde se apliquen. 2.4.4 Normas generales Las normas que se presentan a continuación
pueden considerarse como las regulaciones formales que, como mínimo, debe considerar el
auditor para desarrollar esta actividad profesional, cualquiera que sea su especialidad. Debido a la
importancia de estas normas, se da una explicación breve y general de su aplicación. 2.4.4.1
Normas para la capacitación del auditor Éstas son las normas relacionadas con la capacitación,
adiestramiento y profesionalización de quienes trabajan en la auditoría de sistemas
computacionales, debido a que con su adopción se pretende regular los conocimientos,
habilidades y requerimientos técnicos de los profesionales que actúan en esta disciplina
especializada. Dichas normas se agrupan en dos grandes aspectos: • Capacitación adecuada a las
necesidades de auditoría • Capacitación permanente del profesional dedicado a esta actividad
2.4.4.2 Normas para la conducta observable del auditor Debido a que la auditoría es una
ocupación profesional que tiene un gran reconocimiento entre las empresas, trabajadores e
incluso autoridades, su realización reclama una considerable responsabilidad, mucho prestigio y
una gran capacidad laboral y moral por parte del auditor. Para que esto sea así, es necesario que
se regule la intervención del auditor en este campo profesional, mediante una serie de normas
que determinarán su actuación. Estas normas se pueden agrupar como sigue: • Para la
independencia y actitud mental del auditor • Para la actuación profesional del auditor • Para la
actividad de auditoría 2.4.4.3 Normas para el desarrollo del trabajo del auditor Para que la
actuación profesional del auditor se realice de la mejor manera y con la eficacia que requieren las
empresas y áreas de sistemas, es necesario que esta actividad sea regulada por una serie de
normas, criterios y lineamientos que ayuden a uniformar estos trabajos. Para establecer, difundir y
aplicar dichas normas, primero deben ser reguladas por algún organismo especializado, el cual
previamente las estudia, explica y, ya debidamente comprobadas, las difunde y establece. Estas
normas se pueden aplicar en los siguientes rubros: 46 Auditoría en sistemas computacionales • En
la planeación de las actividades de auditoría • En la supervisión de las actividades del auditor • En
la aplicación del control interno • En la aplicación de las herramientas, técnicas y procedimientos
de auditoría • En la obtención de las evidencias de la auditoría
Naranjo, A., & e-libro, C. (2009). Conceptos de la auditoria de sistemas. Santa Fe, Argentina: El Cid
Editor | apuntes

https://201950.aulasuniminuto.edu.co/pluginfile.php/111937/mod_resource/content/1/CIRCULA
R%20115-000011.pdf
Blanco, E. L. J. (2005). Auditoría y sistemas informáticos. Retrieved from
https://ebookcentral.proquest.com

file:///D:/DOCUMENTOS/DESCARGAS/libro%20Auditoria%20en%20Sistemas%20Computacionales.
pdf