AUDITORA EN INFORMTICA

Introduccin
Podemos indicar que la auditoria informtica es el proceso de recoger, agrupar y
evaluar evidencias para determinar si un sistema informtico salvaguarda los activos,
mantiene la integridad de los datos, lleva a cabo los fines de la organizacin y utiliza
eficientemente los recursos. La Auditoria informtica debe comprender la evaluacin
de los equipos informticos evaluando entradas, procedimientos, controles, archivos,
seguridad y obtencin de informacin en cuanto a procedimientos en especfico ya
que proporciona los controles necesarios para que los sistemas sean confiables y con
un buen nivel de seguridad.

AUDITORA EN INFORMTICA
Existen muchos conceptos para definir lo que es una auditoria, a continuacin
detallaremos alguno de estos conceptos:

Son una serie de tcnicas y de un grupo de procedimientos, cuyo fin es evaluar
y controlar un sistema con el objetivo de proteger sus recursos y activos, as
como comprobar que las actividades que se realizan de forma eficiente y con la
normativa general de cada empresa para obtener la eficacia exigida en el
marco de la organizacin estableciendo planes de accin y recomendaciones.
Consiste en un examen detallado de la estructura de una empresa, en cuanto a
controles y mtodos, su forma de operacin, sus objetivos y planes, sus equipos
fsicos y humanos.
Es una visin sistemtica y formal con el fin de determinar hasta que parte
una organizacin cumple sus objetivos establecidos por la empresa, as como
para diferenciar los que necesitan mejorarse
Es una funcin cuyo objetivo es apreciar y analizar, con vistas a las acciones
correctivas eventuales, el control interno de la organizacin para cumplir la
integridad del patrimonio, la autenticidad de la informacin as como el
mantenimiento de la eficacia de los sistemas de gestin.

En si como pudimos observar la auditoria es una actividad en la cual se debe realizar
mediante el uso de conocimientos acadmicos, para lo cual se utiliza una serie de
tcnicas que nos lleven a la prestacin de un servicio con un grado alto de calidad y
responsabilidad social, no solo del cliente sino de todas las personas en general.

Dentro del mbito de la informtica podemos indicar que la Auditoria es algo muy
similar a un examen el cual se realiza con carcter objetivo, critico, sistemtico y
selectivo con la finalidad de realizar una avaluacin sobre el uso de los recursos
informticos, as como de la gestin informtica que realizan con un amplio soporte de
ayuda para mejorar los objetivos y las metas del negocio.



Tipos de auditoria y su relacin con la informtica

Desde el punto de vista de informtica la podemos clasificar as:

Auditora Informtica de Explotacin: La explotacin Informtica se ocupa de
producir resultados, tales como listados, archivos soportados magnticamente,
rdenes automatizadas, modificacin de procesos, etc. Para realizar la
explotacin Informtica se dispone de datos, las cuales sufren un
transformacin y se someten a controles de integridad y calidad. (Integridad
nos sirve a nosotros; la calidad es que sirven los datos, pero pueden que no
sirvan; estos dos juntos realizan un informacin buena

Auditora Informtica de Desarrollo de Proyectos o Aplicaciones: La funcin
de desarrollo de una evaluacin del llamado Anlisis de Programacin y
sistemas. As por ejemplo una aplicacin podra tener las siguientes fases:

o Prerrequisitos del usuario y del entorno
o Anlisis Funcional
o Diseo
o Anlisis orgnico (Pre-programacin y Programacin)
o Pruebas
o Explotacin.

Todas estas fases deben estar sometidas a un exigente control interno, de lo
contrario, pueden producirse insatisfacciones del cliente, insatisfaccin del
usuario, altos costos, etc. Por lo tanto la Auditora deber comprobar la
seguridad de los programas, en el sentido de garantizar que el servicio
ejecutado por la mquina, los resultados sean exactamente los previstos y no
otros (El nivel organizativo es medido por los usuarios, se da cuenta el
administrador Ej. La contabilidad debe estar cuadrada.

Auditora Informtica de Sistemas: Se ocupa de analizar la actividad que se
conoce como tcnica de sistemas, en todos sus factores. La importancia
creciente de las telecomunicaciones o propicia de que las comunicaciones,
lneas y redes de las instalaciones informticas se auditen por separado,
aunque formen parte del entorno general del sistema. (Ej. Auditar el cableado
estructurado, ancho de banda de una red LAN)

Auditora Informtica de Comunicacin de Redes: Este tipo de Auditora
deber inquirir o actuar sobre ndices de utilizacin de las lneas contratadas
con informacin sobre tiempos de uso, deber conocer la topologa de la red
de comunicaciones, ya sea la actual o la desactualizada. Deber conocer
cuantas lneas existen, como son, donde estn instaladas, y sobre ellas hacer
una suposicin de inoperatividad Informtica. Todas estas actividades deben
estar coordinadas y dependientes de una sola organizacin. (Debemos conocer
los tipos de mapas actuales y anteriores, como son las lneas, el ancho de
banda, suponer que todas las lneas estn mal, la suposicin mala confirmarlo)


Auditora de la Seguridad Informtica: Se debe tener presente la cantidad de
informacin almacenada en el computador, la cual en muchos casos puede ser
confidencial, ya sea individuos, las empresa o las instituciones, lo que significa
que se debe cuidar del mal uso de esta informacin, de los robos, los fraudes,
sabotajes y sobre todo de la destruccin parcial o total. En la actualidad se
debe tambin cuidar la informacin d los virus informticos, los cuales
permanecen ocultos y daan sistemticamente los datos.


Tipos de auditorias

Auditora Interna. La auditora Interna es el examen crtico, sistemtico y
detallado de un sistema de informacin de una unidad econmica, realizado
por un profesional con vnculos laborales con la misma, utilizando tcnicas
determinadas y con el objeto de emitir informes y formular sugerencias para el
mejoramiento de la misma. Estos informes son de circulacin interna y no
tienen trascendencia a los terceros pues no se producen bajo la figura de la Fe
Publica.

Las auditoras internas son hechas por personal de la empresa. Un auditor
interno tiene a su cargo la evaluacin permanente del control de las
transacciones y operaciones y se preocupa en sugerir el mejoramiento de los
mtodos y procedimientos de control interno que redunden en una operacin
ms eficiente y eficaz. Cuando la auditora est dirigida por Contadores Pblicos
profesionales independientes, la opinin de un experto desinteresado e
imparcial constituye una ventaja definida para la empresa y una garanta de
proteccin para los intereses de los accionistas, los acreedores y el Pblico. La
imparcialidad e independencia absolutas no son posibles en el caso del auditor
interno, puesto que no puede divorciarse completamente de la influencia de la
alta administracin, y aunque mantenga una actitud independiente como debe
ser, esta puede ser cuestionada ante los ojos de los terceros. Por esto se puede
afirmar que el Auditor no solamente debe ser independiente, sino parecerlo
para as obtener la confianza del Pblico.

La auditora interna es un servicio que reporta al ms alto nivel de la direccin
de la organizacin y tiene caractersticas de funcin asesora de control, por
tanto no puede ni debe tener autoridad de lnea sobre ningn funcionario de la
empresa, a excepcin de los que forman parte de la planta de la oficina de
auditora interna, ni debe en modo alguno involucrarse o comprometerse con
las operaciones de los sistemas de la empresa, pues su funcin es evaluar y
opinar sobre los mismos, para que la alta direccin toma las medidas
necesarias para su mejor funcionamiento. La auditora interna solo interviene
en las operaciones y decisiones propias de su oficina, pero nunca en las
operaciones y decisiones de la organizacin a la cual presta sus servicios, pues
como se dijo es una funcin asesora.

Auditoria Externa. Aplicando el concepto general, se puede decir que la
auditora Externa es el examen crtico, sistemtico y detallado de un sistema de
informacin de una unidad econmica, realizado por un Contador Pblico sin
vnculos laborales con la misma, utilizando tcnicas determinadas y con el
objeto de emitir una opinin independiente sobre la forma como opera el
sistema, el control interno del mismo y formular sugerencias para su
mejoramiento. El dictamen u opinin independiente tiene trascendencia a los
terceros, pues da plena validez a la informacin generada por el sistema ya que
se produce bajo la figura de la Fe Pblica, que obliga a los mismos a tener plena
credibilidad en la informacin examinada.

La Auditora Externa examina y evala cualquiera de los sistemas de
informacin de una organizacin y emite una opinin independiente sobre los
mismos, pero las empresas generalmente requieren de la evaluacin de su
sistema de informacin financiero en forma independiente para otorgarle
validez ante los usuarios del producto de este, por lo cual tradicionalmente se
ha asociado el trmino Auditora Externa a Auditora de Estados Financieros, lo
cual como se observa no es totalmente equivalente, pues puede existir
Auditora Externa del Sistema de Informacin Tributario, Auditora Externa del
Sistema de Informacin Administrativo, Auditora Externa del Sistema de
Informacin Automtico entre otros.

La Auditora Externa o Independiente tiene por objeto averiguar la
razonabilidad, integridad y autenticidad de los estados, expedientes y
documentos y toda aquella informacin producida por los sistemas de la
organizacin. Una Auditora Externa se lleva a cabo cuando se tiene la intencin
de publicar el producto del sistema de informacin examinado con el fin de
acompaar al mismo una opinin independiente que le d autenticidad y
permita a los usuarios de dicha informacin tomar decisiones confiando en las
declaraciones del Auditor.

Una auditora debe hacerla una persona o firma independiente de capacidad
profesional reconocidas. Esta persona o firma debe ser capaz de ofrecer una
opinin imparcial y profesionalmente experta a cerca de los resultados de
auditora, basndose en el hecho de que su opinin ha de acompaar el
informe presentado al trmino del examen y concediendo que pueda
expresarse una opinin basada en la veracidad de los documentos y de los
estados financieros y en que no se imponga restricciones al auditor en su
trabajo de investigacin.

Auditora contable. Es una evaluacin independiente por la cual los estados
financieros de una empresa se presentan para su revisin. Se lleva a cabo por
una persona competente que realizan auditoria en contabilidad, independiente
y objetivo, conocidos como los auditores o contadores, que luego emiten un
informe de auditora basado en los resultados de la auditoria.
La auditora contable es el anlisis crtico y sistemtico que practica una
persona o grupo de personas neutrales del sistema auditado. No obstante hay
muchos clases de auditoria, la auditora contable normalmente se denomina a
la auditoria externa de estados financieros que es una auditoria operada por un
profesional experto en libros de contabilidad y registros contables para verificar
la razonabilidad de la informacin comprendida en ellos y sobre si cumple o no
las normas contables.

La auditora de estados contables es el examen de los datos contable por parte
de un auditor independiente al ente emisor. El objetivo de este examen es
establecer si los mismos fueron preparados de conformidad a las normas
contables en vigor en cada pas o regin. Una vez hechos los procesos que el
auditor considere necesarios, debe expresar un dictamen sobre si los Estados
Contables reflejan lgicamente la situacin patrimonial y financiera del ente
auditado. Para cada anlisis se emitir una concepto favorable o negativo por
parte del auditor o Contador Pblico.

Auditora financiera. La auditora financiera tiene como finalidad el examinar
los estados financieros y a travs de ellos las transacciones contables realizadas
por la entidad, con la finalidad de emitir una opinin tcnica y profesional con
respecto a la razonabilidad de la posicin financiera de la empresa.

Objetivo General:
o Emitir una opinin sobre la razonabilidad de los estados financieros
preparados por la administracin de las entidades sujetas a auditora.

Objetivos especficos:
o Examinar el manejo de los recursos financieros y determinar si la
informacin financiera es oportuna, til, adecuada y confiable.

o Evaluar el cumplimiento de las metas y objetivos establecidos.

o Verificar que las entidades ejerzan eficientes controles sobre los
ingresos y gastos.

o Verificar el cumplimiento de las disposiciones legales, reglamentarias y
normativas aplicables en la ejecucin de las actividades desarrolladas.

o Formular recomendaciones dirigidas a mejorar el control interno y
contribuir al fortalecimiento de la gestin pblica y promover su
eficiencia operativa


Auditora administrativa. Auditoria administrativa es un examen y evaluacin
de actividades realizadas en un organismo para establecer el grado de
eficiencia, efectividad y economa con que se desenvuelven las operaciones de
planificacin, organizacin, direccin, control y mejoramiento de la condicin de
dichos factores, si es posible.
1


La auditora administrativa involucra una revisin de los objetivos, planes y
programas de la empresa, su estructura orgnica y funciones, sus
sistemas, procedimientos y controles, el personal y las instalaciones de la
empresa y el medio en que se desarrolla, en funcin de la eficiencia de
operacin y el ahorro en los costos.

Los principales objetivos de la auditoria administrativa son:
o Evaluar el nivel de desempeo de los recursos de la empresa y los
niveles de gestin funcional en la organizacin.
o Examinar los mtodos y procedimientos utilizados en el control
y operaciones de la empresa en las diversas reas, observando el grado
de confiabilidad y eficacia.
o Conocer el entorno o medio ambiente de la empresa, su interrelacin e
interactuacin con sta.
o Servir de base o plataforma para elaborar los planes empresariales
(tcticos y estratgicos) que pueden ser operativos y corporativos.
o Base para buscar un mayor desarrollo organizacional a fin de elevar
la cultura organizacional.
o Determinar los problemas y las potencialidades de la empresa a fin de
tomar medidas correctivas o tomar acciones que permitan elevar el
nivel de desempeo alcanzado.
o Establecer planes empresariales adecuados.
o Base fundamental para la toma de decisiones en la organizacin


Auditoria operacional. El trmino auditora operacional se refiere al anlisis
integral de una unidad operativa o de una organizacin completa para evaluar
sus sistemas, controles y desempeo, segn se miden en funcin de los
objetivos de la administracin. La auditora operacional es diferente a la
auditora financiera, la auditora financiera se centra en la medicin de la
posicin financiera, de los resultados de las operaciones y de los flujos de
efectivos de una entidad, una auditora operacional se centra en la eficacia, la
eficiencia y la economa de las operaciones.

El auditor operacional evala los controles operativos de la administracin y de
los sistemas sobre actividades tan diversas como las compras, procesamiento
de datos, recepcin, envi, servicios de oficina, publicidad, entre otros.


1
BAHAMONDE, Ivan. Auditoria Administrativa-Operativa, 1987.
PLANEACIN DE LA AUDITORA EN INFORMTICA
FASES DE LA AUDITORIA INFORMTICA
A continuacin detallaremos las diferentes fases para la planeacin de una auditoria
en informtica

Fase I: Conocimientos del Sistema
- Aspectos Legales y Polticas Internas: Sobre estos elementos est construido el
sistema de control y por lo tanto constituyen el marco de referencia para su
evaluacin.
- Caractersticas del Sistema Operativo:
o Organigrama del rea que participa en el sistema
o Manual de funciones de las personas que participan en los procesos del
sistema
o Informes de auditora realizadas anteriormente
- Caractersticas de la aplicacin de computadora
o Manual tcnico de la aplicacin del sistema
o Funcionarios (usuarios) autorizados para administrar la aplicacin
o Equipos utilizados en la aplicacin de computadora
o Seguridad de la aplicacin (claves de acceso)
o Procedimientos para generacin y almacenamiento de los archivos de la
aplicacin.

Fase II: Anlisis de transacciones y recursos
- Definicin de las transacciones: Dependiendo del tamao del sistema, las
transacciones se dividen en procesos y estos en subprocesos. La importancia de
las transacciones deber ser asignada con los administradores.
- Anlisis de las transacciones
o Establecer el flujo de los documentos
o En esta etapa se hace uso de los flujogramas ya que facilita la
visualizacin del funcionamiento y recorrido de los procesos.
- Anlisis de los recursos
o Identificar y codificar los recursos que participan en el sistemas
- Relacin entre transacciones y recursos

Fase III: Anlisis de riesgos y amenazas
- Identificacin de riesgos
o Daos fsicos o destruccin de los recursos
o Prdida por fraude o desfalco
o Extravo de documentos fuente, archivos o informes
o Robo de dispositivos o medios de almacenamiento
o Interrupcin de las operaciones del negocio
o Prdida de integridad de los datos
o Ineficiencia de operaciones
o Errores

- Identificacin de las amenazas
o Amenazas sobre los equipos:
o Amenazas sobre documentos fuente
o Amenazas sobre programas de aplicaciones

- Relacin entre recursos/amenazas/riesgos
o La relacin entre estos elementos deber establecerse a partir de la
observacin de los recursos en su ambiente real de funcionamiento.

Fase IV: Anlisis de controles
- Codificacin de controles
o Los controles se aplican a los diferentes grupos utilizadores de recursos,
luego la identificacin de los controles debe contener una codificacin
la cual identifique el grupo al cual pertenece el recurso protegido.
- Relacin entre recursos/amenazas/riesgos
o La relacin con los controles debe establecerse para cada tema
(Rec/Amz/Rie) identificado. Para cada tema debe establecerse uno o
ms controles.
- Anlisis de cobertura de los controles requeridos
o Este anlisis tiene como propsito determinar si los controles que el
auditor identific como necesarios proveen una proteccin adecuada de
los recursos.

Fase V: Evaluacin de Controles
- Objetivos de la evaluacin
o Verificar la existencia de los controles requeridos
o Determinar la operatividad y suficiencia de los controles existentes

- Plan de pruebas de los controles
o Incluye la seleccin del tipo de prueba a realizar.
o Debe solicitarse al rea respectiva, todos los elementos necesarios de
prueba.
- Pruebas de controles
- Anlisis de resultados de las pruebas

Fase VI: Informe de Auditoria
- Informe detallado de recomendaciones
- Evaluacin de las respuestas
- Informe resumen para la alta gerencia: Este informe debe prepararse una vez
obtenidas y analizadas las respuestas de compromiso de las reas.
o Introduccin: objetivo y contenido del informe de auditoria
o Objetivos de la auditora
o Alcance: cobertura de la evaluacin realizada
o Opinin: con relacin a la suficiencia del control interno del sistema
evaluado
o Hallazgos
o Recomendaciones

Fase VII: Seguimiento de Recomendaciones
- Informes del seguimiento
- Evaluacin de los controles implantados


REVISIN PRELIMINAR

El primer paso en el desarrollo de la auditora, despus de la planeacin, es la revisin
preliminar del rea de informtica. El objetivo de la revisin preliminar es el de
obtener la informacin necesaria para que el auditor pueda tomar la decisin de como
proceder en la auditora. Al terminar la revisin preliminar el auditor puede proceder
en uno de los tres caminos siguientes.

- Diseo de la auditora. Puede haber problemas debido a la falta de
competencia tcnica para realizar la auditora.

- Realizar una revisin detallada de los controles internos de los sistemas con la
esperanza de que se deposite la confianza en los controles de los sistemas y de
que una serie de pruebas sustantivas puedan reducir las consecuencias.

Decidir el no confiar en los controles internos del sistema. Existen dos razones posibles
para esta decisin. Primero, puede ser ms eficiente desde el punto de vista de costo-
beneficio el realizar pruebas sustantivas directamente. Segundo, los controles del rea
de informtica pueden duplicar los controles existentes en el rea del usuario. El
auditor puede decidir que se obtendr un mayor costo-beneficio al dar una mayor
confianza a los controles de compensacin y revisar y probar mejor estos controles

La revisin preliminar significa la recoleccin de evidencias por medio de entrevistas
con el personal de la instalacin, la observacin de las actividades en la instalacin y la
revisin de la documentacin preliminar. Las evidencias se pueden recolectar por
medio de cuestionarios iniciales, o bien por medio de entrevistas, o con
documentacin narrativa. Debemos considerar que sta ser slo una informacin
inicial que nos permitir elaborar el plan de trabajo, la cual se profundizar en el
desarrollo de la auditora.


REVISIN DETALLADA

El auditor debe decidir si debe de continuar elaborando pruebas de consentimiento,
con la esperanza de obtener mayor confianza por medio del sistema de control
interno, o proceder directamente a la revisin con los usuarios (pruebas
compensatorias), o a las pruebas sustantivas. En algunos casos el auditor puede,
despus de hacer un anlisis detallado, decidir que con los controles internos se tiene
suficiente confianza, y en otros casos que los procedimientos alternos de auditora
pueden ser ms apropiados.

En la fase de evaluacin detallada es importante para el auditor identificar las causas
de las prdidas existentes dentro de la instalacin y los controles para reducir las
prdidas y los efectos causados por stas. Al terminar la revisin detallada el auditor
debe evaluar en qu momento los controles establecidos reduce las prdidas
esperadas a un nivel aceptable.

PRUEBAS DE CONSENTIMIENTO

El proceso de la prueba de consentimiento es determinar si los controles internos
operan como fueron diseados para operar. El auditor debe determinar si los controles
en realidad existen y si realmente trabajan confiablemente.

Adems de las tcnicas manuales de recoleccin es muy frecuente que el auditor
recurra a tcnicas de recoleccin de informacin asistidas por computadora, para
determinar la existencia y confiabilidad de los controles. Por ejemplo para determinar
la existencia y confiabilidad de los controles de un sistema de red, se requerir el
entrar a la red y evaluar directamente al sistema.

PRUEBAS DE CONTROLES DEL USUARIO
Se puede presentar situaciones en las que el auditor no confi en los controles
internos de las instalaciones informticas, porque el usuario ejerce controles que
compensan cualquier debilidad dentro de los controles internos de informtica. Las
pruebas que compensan las deficiencias de los controles internos se pueden realizar
mediante cuestionarios, entrevistas, vistas y evaluaciones hechas directamente con los
usuarios.




Conclusiones
Las auditorias informticas como pudimos observar se conforman mediante la
informacin y la documentacin de todo tipo para poder generar los informes
necesarios de los cuales el auditor es el encargado. La auditora debe tener un enfoque
amplio y no solo basarse en la evaluacin de controles sino que en cierto sentido
tambin debe realizar una evaluacin de riesgos y logran un gran avance hacia una
auditoria preventiva.
Todas las personas que se dediquen a realizar las auditorias deben tener un alto grado
de conocimiento y estar capacitadas para poder ejecutar sus funciones de una manera
eficiente.


Bibliografa
- REVELO, Jorge. Modulo Auditoria Administrativa. 2012. Recuperado de
http://app.ute.edu.ec/content/3299-147-1-1-18-
18/MODULO%20DE%20AUDITORIA%20ADMINISTRATIVA.pdf
- Auditoria Informtica. Recuperado de
http://www.oocities.org/mx/acadentorno/mpaui1.pdf
- LARRONDO, Agustn. Uso de la norma ISO/IEC 27004 para Auditoria
Informtica. 2010. Recuperado de http://www.segu-
info.com.ar/tesis/iso_27004_auditoria_sgsi.zip
- The Institute of Internal Auditors. Normas internacionales para el ejercicio de la
auditoria interna. Recuperado de
http://www.ain.gub.uy/sector_publico/niepai.pdf