AUDITORÍA

INFORMÁTICA

M.Sc. Daniel Minaya Gutiérrez

 AUDITORÍA

En primer lugar, vamos a definir el concepto de auditar, que es el

proceso mediante el cual una empresa o profesional (auditor)
independiente es contratado para recopilar información contable.

Esta información es de valor para verificar que la empresa que está

siendo auditada haya cumplido las normas contables.
INFORMÁTICA
AUDITORÍA INFORMÁTICA
 AUDITORÍA INFORMÁTICA

Auditoría es la revisión independiente que realiza un auditor

profesional, aplicando técnicas , métodos y procedimientos
especializados , a fin de evaluar el cumplimiento de las
funciones, actividades, tareas y procedimientos de una
entidad administrativa, así como dictaminar sobre el
resultado de dicha evaluación.
 AUDITORÍA INFORMÁTICA

Verificar de qué manera se están aplicando los controles en el área de

actuación de la Informática.

Examen y evaluación de los procesos y del uso de los recursos que en ellos
intervienen, determinado el grado de eficiencia, efectividad y economía de
los sistemas de la empresa, presentando conclusiones y recomendaciones
encaminadas a corregir las deficiencias existentes y mejorar los procesos
 AUDITORÍA INFORMÁTICA

Proceso de recolección y evaluación de evidencia para:

• Determinar daños, proteger activos.

• Evitar destrucción de datos, uso no autorizado , robos.
• Mantener integridad de información , presentar datos completos,
oportunos, confiables.

• Alcanzar metas organizacionales, contribución de la función informática.

 AUDITORÍA INFORMÁTICA
Es un proceso o revisión, de carácter objetivo (independiente), crítico (evidencia),
sistemático (normas), selectivo (muestras) de las políticas, normas, prácticas,
funciones, procesos, procedimientos e informes relacionados con la tecnología de la
información, con el fin de emitir una opinión profesional (imparcial) con respecto:

• Eficiencia en el uso de los recursos informáticos

• Validez de la información procesada

• Efectividad de los controles establecidos

OBJETIVOS DE LA AUDITORÍA INFORMÁTICA
• Realizar una evaluación con personal multidisciplinario y capacitado en el
área de sistemas, con el fin de emitir un dictamen independiente sobre la
razonabilidad de las operaciones del sistema y la gestión administrativa
del área de informática.

• Hacer una evaluación sobre el uso de los recursos financieros en las áreas
del centro de información, así como del aprovechamiento del sistema
computacional, sus equipos periféricos e instalaciones
OBJETIVOS DE LA AUDITORÍA INFORMÁTICA

• Evaluar el uso y aprovechamiento de los equipos de cómputo, sus periféricos,

las instalaciones y mobiliario del centro de cómputo, así como el uso de sus
recursos técnicos y materiales para el procesamiento de información.

• Evaluar el aprovechamiento de los sistemas de procesamiento, sus sistemas

operativos, los lenguajes, programas y paqueterías de aplicación y desarrollo,
así como el desarrollo e instalación de nuevos sistemas.
OBJETIVOS DE LA AUDITORÍA INFORMÁTICA
• Evaluar el cumplimiento de planes, programas, estándares, políticas, normas y
lineamientos que regulan las funciones y actividades de las áreas y de los sistemas
de procesamiento de información, así como de su personal y de los usuarios del
centro de información.

• Realizar la evaluación de las áreas, actividades y funciones de una empresa,

contando con el apoyo de los sistemas computacionales, de los programas
especiales para auditoría y de la paquetería que sirve de soporte para el desarrollo
de auditorías por medio de la computadora.
 CLASES DE AUDITORÍA
Auditorías por su lugar de aplicación

Auditoría interna: Es la revisión que realiza un profesional de la auditoría, cuya relación de

trabajo es directa y subordinada a la institución donde se aplicará la misma, con el propósito
de evaluar en forma interna el desempeño y cumplimiento de las actividades, operaciones y
funciones que se desarrollan en la empresa y sus áreas administrativas. El objetivo final es
contar con un dictamen interno sobre las actividades de toda la empresa, que permita
diagnosticar la actuación administrativa, operacional y funcional de empleados y funcionarios
de las áreas que se auditan.
 CLASES DE AUDITORÍA

Auditoría interna ventajas:

• Debido a que el auditor pertenece a la empresa, casi siempre conoce integralmente sus
actividades, operaciones y áreas; por lo tanto, su revisión puede ser más profunda y con un
mayor conocimiento de las actividades, funciones y problemas de la institución.

• Por esta razón, el contenido de su informe es mucho más valioso . El informe que rinde el
auditor, independientemente del resultado, es sólo de carácter interno y por lo tanto no
sale de la empresa, ya que únicamente le sirve a las autoridades de la institución.
 CLASES DE AUDITORÍA
Auditoría interna ventajas:

• Esta auditoría consume sólo recursos internos , por lo tanto no representa ninguna
erogación adicional para la empresa en la cual se realiza.

• Es de gran utilidad para la buena marcha de la empresa, ya que permite detectar problemas
y desviaciones a tiempo.

• Puede llevarse un programa concreto de evaluación en apoyo a las autoridades de la

empresa, lo cual ayudará a sus dirigentes en la evaluación y la toma de decisiones.
 CLASES DE AUDITORÍA
Auditoría interna desventajas:

• Su veracidad, alcance y confiabilidad pueden ser limitados, debido a que puede

haber cierta injerencia por parte de las autoridades de la institución sobre la forma
de evaluar y emitir el informe.

• En ocasiones la opinión del auditor tal vez no sea absoluta, debido a que, al laborar
en la misma empresa donde realiza la auditoría, se pueden presentar presiones,
compromisos y ciertos intereses al realizar la evaluación
 CLASES DE AUDITORÍA

Auditorías por su lugar de aplicación

Auditoría externa: Es la revisión independiente que realiza un profesional de la

auditoría, con total libertad de criterio y sin ninguna influencia , con el
propósito de evaluar el desempeño de las actividades, operaciones y funciones
que se realizan en la empresa que lo contrata, así como de la razonabilidad en
la emisión de sus resultados.
 CLASES DE AUDITORÍA

Auditoría externa ventajas

• Al no tener ninguna dependencia de la empresa, el trabajo de estos auditores es

totalmente independiente y libre de cualquier injerencia por parte de las autoridades de la
empresa auditada.

• En su realización, estas auditorías pueden estar apoyadas por una mayor experiencia por
parte de los auditores externos, debido a que utilizan técnicas y herramientas que ya fueron
probadas en otras empresas con características similares
 CLASES DE AUDITORÍA

Auditoría externa ventajas

• Estas auditorías tienen gran aceptación en las empresas para certificar

registros contables , impuestos y resultados financieros. Además, sus
dictámenes pueden ser válidos para las autoridades impositivas, y con ello
pueden satisfacer requisitos de carácter legal, siempre que sean realizadas
por auditores de prestigio que tengan el reconocimiento público.
 CLASES DE AUDITORÍA
Auditoría externa desventajas

• La principal desventaja es que, como el auditor conoce poco la empresa, su evaluación puede estar limitada
a la información que pueda recopilar. Dependen en absoluto de la cooperación que el auditor pueda
obtener de parte de los auditados.

• Su evaluación, alcances y resultados pueden ser muy limitados . Muchas auditorías de este tipo se derivan
de imposiciones fiscales y legales que pueden llegar a crear ambientes hostiles para los auditores que las
realizan.

• En algunos casos son sumamente costosas para la empresa, no sólo en el aspecto numerario, sino por el
tiempo y trabajo adicional que representan.
 CLASES DE AUDITORÍA
Auditorías por su área de aplicación
• Auditoría financiera

• Auditoría administrativa

• Auditoría operacional

• Auditoría integral

• Auditoría gubernamental

• Auditoría de sistemas
 CLASES DE AUDITORÍA

Auditorías especializadas en áreas específicas

• Auditoría al área médica (evaluación médico sanitaria) • Auditoría de proyectos de inversión

• Auditoría al desarrollo de obras y construcciones (evaluación de • Auditoría a la caja chica o caja mayor (arqueos)
ingeniería)
• Auditoría al manejo de mercancías (inventarios)
• Auditoría fiscal
• Auditoría ambiental
• Auditoría laboral
• Auditoría de sistemas
 CLASES DE AUDITORÍA
Auditoría de sistemas computacionales
• Auditoría informática • Auditoría a los sistemas de redes
• Auditoría con la computadora • Auditoría integral a los centros de cómputo
• Auditoría sin la computadora • Auditoría ISO 9000 a los sistemas computacionales
• Auditoría a la gestión informática • Auditoría outsourcing
• Auditoría al sistema de cómputo • Auditoría ergonómica de sistemas computacionales
• Auditoría alrededor de la computadora

• Auditoría de la seguridad de sistemas computacionales

 MOTIVOS PARA REALIZAR UNA AUDITORÍA
• Obtienes conocimiento y opinión experta de una persona externa, independiente, y que ve
las cosas sin estar “contaminado” por del día a día de tu empresa. Además, si esa persona
es experta en aquello que audita, aporta muchas ideas, ya que normalmente los auditores
han visto decenas de empresas y decenas de maneras de afrontar un problema.

• Fijas un hito en el tiempo (anual, semestral, etc.) para tener listas las mejoras. Sabemos que
tenemos cosas que mejorar pero muchas veces las vamos postergando por las cosas
urgentes que van saliendo. Cuando fijamos una auditoría, fuerzas a todo el equipo para
tener las mejoras antes de la fecha de la auditoría.
 MOTIVOS PARA REALIZAR UNA AUDITORÍA
• Motivación. Sí, porque aunque la gente se asuste frente a una auditoría, no
hay nada más motivador que superarla, y que alguien externo y objetivo
reconozca el trabajo este bien hecho, refuerza la confianza y motivación de
tu equipo.

• Reconocimiento. Ya que si tu auditor y/o organización que te audita tienen

nombre en el sector, superar una auditoría es un reconocimiento para tu
empresa y un valor añadido que mostrar a tus clientes.
FASES DE LA AUDITORÍA INFORMÁTICA
Fase I:
Conocimientos del
Sistema

Fase VII: Fase II: Análisis de

Seguimiento de transacciones y
Recomendaciones recursos

Fase III: Análisis

Fase VI: Informe
de riesgos y
de Auditoria
amenazas

Fase V: Evaluación Fase IV: Análisis

de Controles de controles
 FASES DE LA AUDITORÍA INFORMÁTICA
Fase I: Conocimientos del Sistema

• Aspectos Legales y Políticas Internas.

• Sobre estos elementos está construido el sistema de control y por lo tanto constituyen el marco de
referencia para su evaluación.

• Características del Sistema Operativo.

• Organigrama del área que participa en el sistema

• Manual de funciones de las personas que participan en los procesos del sistema

• Informes de auditoría realizadas anteriormente

 FASES DE LA AUDITORÍA INFORMÁTICA
Fase I: Conocimientos del Sistema

• Características de la aplicación de computadora

• Manual técnico de la aplicación del sistema

• Funcionarios (usuarios) autorizados para administrar la aplicación

• Equipos utilizados en la aplicación de computadora

• Seguridad de la aplicación (claves de acceso)

• Procedimientos para generación y almacenamiento de los archivos de la aplicación.

 FASES DE LA AUDITORÍA INFORMÁTICA
Fase II: Análisis de transacciones y recursos

• Definición de las transacciones.

• Dependiendo del tamaño del sistema, las transacciones se dividen en
procesos y estos en subprocesos. La importancia de las transacciones
deberá ser asignada con los administradores.

• Análisis de las transacciones

 FASES DE LA AUDITORÍA INFORMÁTICA
Fase II: Análisis de transacciones y recursos

• Establecer el flujo de los documentos

• En esta etapa se hace uso de los flujogramas ya que facilita la visualización del
funcionamiento y recorrido de los procesos.

• Análisis de los recursos

• Identificar y codificar los recursos que participan en el sistema

• Relación entre transacciones y recursos

 FASES DE LA AUDITORÍA INFORMÁTICA
Fase III: Análisis de riesgos y amenazas

• Identificación de riesgos

• Daños físicos o destrucción de los recursos

• Pérdida por fraude o desfalco

• Extravío de documentos fuente, archivos o informes

• Robo de dispositivos o medios de almacenamiento

• Interrupción de las operaciones del negocio

• Pérdida de integridad de los datos

 FASES DE LA AUDITORÍA INFORMÁTICA
Fase III: Análisis de riesgos y amenazas

• Ineficiencia de operaciones

• Errores

• Identificación de las amenazas

• Amenazas sobre los equipos:

• Amenazas sobre documentos fuente

• Amenazas sobre programas de aplicaciones

• Relación entre recursos/amenazas/riesgos

• La relación entre estos elementos deberá establecerse a partir de la observación de los recursos en su ambiente real de funcionamiento.
 FASES DE LA AUDITORÍA INFORMÁTICA
Fase IV: Análisis de controles

• Codificación de controles

• Los controles se aplican a los diferentes grupos utilizadores de recursos, luego la identificación de los controles debe
contener una codificación la cual identifique el grupo al cual pertenece el recurso protegido.

• Relación entre recursos/amenazas/riesgos

• La relación con los controles debe establecerse para cada tema (Rec/Amz/Rie) identificado. Para cada tema debe
establecerse uno o más controles

• Análisis de cobertura de los controles requeridos

• Este análisis tiene como propósito determinar si los controles que el auditor identificó como necesarios proveen una
protección adecuada de los recursos.
 FASES DE LA AUDITORÍA INFORMÁTICA
Fase V: Evaluación de Controles

• Objetivos de la evaluación

• Verificar la existencia de los controles requeridos

• Determinar la operatividad y suficiencia de los controles existentes

• Plan de pruebas de los controles

• Incluye la selección del tipo de prueba a realizar.

• Debe solicitarse al área respectiva, todos los elementos necesarios de prueba.

• Pruebas de controles
 FASES DE LA AUDITORÍA INFORMÁTICA

Fase VI: Informe de Auditoria

• Informe detallado de recomendaciones

• Evaluación de las respuestas
• Informe resumen para la alta gerencia
 FASES DE LA AUDITORÍA INFORMÁTICA

Fase VII: Seguimiento de Recomendaciones

• Informes del seguimiento

• Evaluación de los controles implantados