Introducción a la Auditoría Informática

Andrés Florencia
andres.florencia2013@uteq.edu.ec

Resumen - En el presente documento se muestra un breve o caja mayor (arqueos), manejo de mercancías (inventarios),
resumen del Capítulo 1 acerca de la auditoría informática; ambiental [1].
conceptos, objetivos, clasificación, estructura, áreas de De sistemas computacionales aplicadas en diferentes áreas
aplicación y normas. y disciplinas del ambiente informático: informática, con la
computadora, sin la computadora, a la gestión informática, al
Palabras claves: auditoría, informática, sistemas sistema de cómputo, en el entorno de la computadora, sobre
computacionales. la seguridad de sistemas computacionales, a los sistemas de
redes, integral a los centros de cómputo, ISO-9000 a los
I. LITERATURA REVISADA sistemas computacionales, outsorcing, ergonómica de
sistemas computacionales [1].
Conforme el comercio se expandía y el volumen de
operaciones comerciales crecía las personas tuvieron la Objetivos generales de la auditoría
necesidad de establecer mecanismos rudimentales de registro
que les permitieran controlar las actividades que realizaban. Antes de citar los objetivos generales de auditoría cabe
mencionar que es una disciplina uniforme y que varía
La auditoría surgió con el propósito de evaluar y dar a únicamente en cuanto al objetivo que se pretende alcanzar
conocer los resultados de las actividades de una empresa de con su realización, así como las herramientas que se utilizarán
tal manera que esta evaluación, ya sea de agentes internos o de acuerdo con la especialidad a evaluar, por lo tanto Muñoz
externos, permita conocer el estado actual de una menciona lo siguiente [1]:
organización y así mejorar sus procesos.
 Realizar una revisión independiente de las actividades,
Muñoz en su libro Auditoría de Sistemas Computacionales áreas o funciones especiales de una institución, a fin de
clasifica a la auditoría de la siguiente manera [1]: emitir un dictamen profesional sobre la razonabilidad de
sus operaciones y resultados.
Por su lugar de origen pueden ser externo si el auditor no
tiene relación directa con la empresa lo cual supone cierta  Hacer una revisión especializada, desde un punto de vista
ventaja debido a que los resultados presentados no tienen profesional y autónomo, des aspecto contable, financiero
injerencias por las autoridades de la misma, por lo contrario y operacional de las áreas de una empresa.
al no estar inmerso en las operaciones de la empresa los  Evaluar el cumplimiento de los planes, programas,
resultados no podrían ser los esperados; y de origen interno políticas, normas y lineamientos que regulan la actuación
es aquella que tiene relación con la propia empresa y por ende de los empleados y funcionarios de una institución, así
conoce mejor los procedimientos y operaciones de la empresa como evaluar las actividades que se desarrollan en sus
lo cual ayuda en el análisis, pero presenta como desventaja de áreas y unidades administrativas.
que la veracidad, alcance y confiabilidad pueden ser limitados  Dictaminar de manera profesional e independiente sobre
debido a que las autoridades de dicha empresa injieran sobre los resultados obtenidos por una empresa y sus áreas, así
la forma de evaluar [1]. como sobre el desarrollo de sus funciones y el
cumplimiento de sus objetivos y operaciones.
Por su área de aplicación se refiere al ámbito específico
donde se llevan a cabo las actividades y operaciones que serán Marco esquemático de la auditoría de sistemas
evaluadas, de tal forma que cada tipo de auditoría sea de computacionales
acuerdo al área de trabajo e influencia de la rama o La Tabla 1 muestra el esquema de evaluación de la auditoría
especialidad, entre ellas se pueden destacar: financiera, según [1]:
administrativa, operacional, integral, gubernamental,
informática [1]. GESTIÓN
HARDWARE SOFTWARE
INFORMÁTICA
Especializadas en áreas específicas enfocadas a satisfacer  Plataforma de  Plataforma de  Planeación y
las necesidades concretas de revisión y dictamen en áreas hardware software control de
específicas, entre ellas se pueden citar: área médica,  Tarjeta madre  Sistema actividades
 Procesadores operativo  Presupuestos y
desarrollo de obras y construcciones (evaluación de  Dispositivos  Lenguajes y gastos de los
ingeniería), fiscal, laboral, proyectos de inversión, caja chica periféricos programas de recursos
desarrollo informáticos
  Arquitectura del  Utilerías,  Capacitación y INSTRUMENTOS DE TÉCNICAS
TÉCNICAS DE
sistema bibliotecas y desarrollo del RECOPILACIÓN DE ESPECIALES PARA
EVALUACIÓN
 Instalaciones aplicaciones personal DATOS LA AUDITORÍA
eléctricas, de datos  Base de datos, informático  Entrevista  Examen  Guías de evaluación
y programas y  Administración Cuestionario  Inspección  Ponderación
telecomunicaciones paquetería de de estándares de  Encuesta  Confirmación  Simulación
aplicaciones operación,  Observación  Comparación  Evaluación
programación y  Inventarios  Revisión  Diagramas de
desarrollo  Muestre documental sistemasSeguimiento
Tabla 1 Marco esquemático de la auditoría de sistemas computacionales  Experimentación de programación
Tabla 2 Métodos técnicas herramientas y procedimientos de auditoría
Principales áreas actividades y resultados que se auditan
Estructuras de organización de las empresas y áreas
Muñoz propone los siguientes puntos que conforman una
dedicadas a la auditoría
propuesta de las principales áreas, funciones, operaciones,
resultados y actividades de una empresa que se pueden A continuación se presentan dos grupos de organizaciones de
auditar, dependiendo del tipo de evaluación que se requiera. empresas de forma interna y externa, de igual manera cada
Estos puntos sirven como los puntos de referencia para grupo de divide en tres subgrupos que representan el tamaño
cualquier tipo de auditoría [1]: de la empresa:
 Evaluación de los estados de resultados financieros y Estructura de organización de las empresas dedicadas a
operaciones contables. la auditoría externa
 Evaluación de los objetivos, planes, programas y
PEQUEÑOS
presupuestos. DESPACHOS O
GRANDES DESPACHOS O
 Evaluación de la estructura organizacional, funciones, EMPRESAS
EMPRESAS
AUDITORES
MEDIANAS
perfil de puestos, líneas de autoridad y comunicaciones. INDEPENDIENTES
 Evaluación de la administración de los recursos  Director o gerente  Gerente de  Auditor Senior
general auditoría  Auditor Junior
humanos de una empresa o del área auditada.  Funcionarios de  Encargado de  Apoyo secretarial
 Evaluación de la administración de prestaciones, cuenta auditoría (Auditor
impuestos y obligaciones de una empresa, así como de  Gerente o jefes de Senior)
sus funcionarios y personal en general. departamento  Auditores Junior
 Supervisores de  Apoyo Secretarial
 Evaluación de las actividades y operaciones de una
auditoría
empresa, así como de sus funcionarios y personal en  Jefes de grupo o
general. responsables de
 Evaluación de las normas, políticas, métodos y auditoría (Auditores
procedimientos de operación. Senior)
 Auditores asignados
 Evaluación de los bienes y activos de una empresa. (Auditores Junior)
 Evaluación de otras áreas y actividades por auditar.  Apoyo administrativo
y secretarial
Normas generales de auditoría Tabla 3 Estructura de organización de las empresas dedicadas a la
auditoría externa
Messier propone que todos los auditores deben seguir las
siguientes normas [2]: Estructura de organización de las áreas de auditoría
interna
 Independencia
 Integridad profesional PARA AUDITORÍAS PARA PARA
 Fiabilidad de los estados y registros INTERNAS DE AUDITORÍAS AUDITORÍAS
MACROEMPRESAS INTERNAS DE INTERNAS DE
 Mantenimiento del control interno Y EMPRESAS EMPRESAS EMPRESAS
 Obtención y evaluación de evidencia GRANDES MEDIANAS MEDIANAS
 Rango de conocimiento  Director o gerente al  Gerente de  Auditor Senior
nivel de área auditoría  Auditor Junior
Métodos técnicas herramientas y procedimientos de funcional  Auditor Senior  Apoyo secretarial
auditoría  Gerente o jefes de  Auditores Junior
departamento, de área  Apoyo secretarial
Muñoz agrupa los métodos, técnicas y procedimientos en tres o de función a auditar 
grupos los cuales se muestran en la Tabla 2:
  Jefes de grupo o Los elementos que conforman el control interno de sistemas
encargados garantizan una mayor eficacia y eficiencia en la operación de
(Auditores Senior)
los sistemas [1]:
 Auditores internos
(Auditores Junior)
 Prevenir y corregir errores de operación
 Apoyo administrativo
o secretarial  Prevenir y evitar la manipulación fraudulenta de la
Tabla 4 Estructura de organización de las áreas de auditoría interna información
 Implementar y mantener la seguridad en la operación
Normas ético-morales que regulan la actuación del  Mantener la confiabilidad, oportunidad, veracidad y
auditor suficiencia en el procesamiento de la información de la
Debido a la gran responsabilidad que el auditor tiene ante la institución.
sociedad al momento de revisar documentos, información, CONCLUSIONES
activos y operaciones dentro de una empresa representa la
confianza que se le otorga como profesional especializado en Al igual que cualquier área de la organización, los sistemas
la materia. El auditor debe cumplir con normas y obligaciones de sistemas o TI deben estar sometidos a controles de calidad
que respalden su trabajo, a esto se le llama ética moral [3]. En y auditoría informática porque las computadoras y los centros
Ecuador la Contraloría General del Estado expone en el Art. de procesamiento de datos para así asegurar la información
32 del Código de Ética del Auditor lo siguiente: “El Código que hoy en día es el activo más importante de una empresa.
de Ética deberá ser observado por el auditor; su
quebrantamiento dará lugar a la determinación de La metodología empleada en la auditoría informática es
responsabilidades administrativas, civiles e indicios de similar a las fases que componen una auditoría tradicional:
responsabilidad penal, a que hubiere lugar”, en el mismo primero se planea para obtener y entender los procesos de
código menciona los valores y características que deberá negocio; en segundo lugar se analiza y evalúa el control
tener el auditor: honor, independencia, credibilidad y interno establecido para determinar la probable efectividad y
confianza, integridad, confidencialidad, cordialidad y buena eficiencia del mismo; posteriormente, se aplican pruebas de
conducta, expresión oral, neutralidad política, objetividad e auditorías para verificar la efectividad de los procedimientos
imparcialidad, secreto profesional, entre otros [4]. de control, o de los productos de los procesos de trabajo.

Control interno REFERENCIAS

El Control Interno Informático puede definirse como el
sistema integrado al proceso administrativo, en la planeación, [1] C. Muñoz Razo, Auditoría en sistemas
organización, dirección y control de las operaciones con el computacionales, México: Pearson Education de
objeto de asegurar la protección de todos los recursos México, 2002.
informáticos y mejorar los índices de economía, eficiencia y
efectividad de los procesos operativos automatizados. Tiene [2] W. Messier, Auditing and assurance services: A
como finalidad ayudar en la evaluación de la eficacia y systematic approach, New York: McGraw-Hill
eficiencia de la gestión administrativa dentro de la empresa, Education, 2016.
también ayuda a establecer la seguridad y protección de los
activos de la empresa, promover la confiabilidad, oportunidad [3] R. A. Weber, Information systems control and audit,
y veracidad de los registros contables, incrementar la New York: Pearson Education, 1998.
eficiencia y eficacia en el desarrollo de las operaciones y
actividades de la misma [1] [2]. [4] «Contraloría General del Estado,» 2002. [En línea].
Available:
Control interno informático
http://www.contraloria.gob.ec/documentos/normativid
El Control Interno Informático es una función del ad/CodEticaCge.pdf.
departamento de Informática de una organización, cuyo
objetivo es el de controlar que todas las actividades
relacionadas a los sistemas de información automatizados se
realicen cumpliendo las normas, estándares, procedimientos
y disposiciones legales establecidas interna y externamente
[1].