República Bolivariana de Venezuela

Ministerio del Poder Popular para la Educación

Vicerrectorado Académico de Puerto Ordaz
Carrera: Ingeniería en Informática
Cátedra: Auditoría en Informática
Integrantes: García Klever C.I:24.890.842; Shing Eric C.I:20.035.860

Planeación de la Auditoría

Fases de la Auditoría

La auditoría en informática sigue los objetivos tradicionales de la auditoría: aquellos que

son de la auditoría externa, de salvaguarda de los activos y la integridad de los datos, y
los gerenciales, aquellos propios de la auditoría interna que no solo logran los objetivos
señalados sino también los de eficiencia y eficacia.

Las normas de auditoría interna comprenden:

 Las actividades y la objetividad de los auditores internos.

 El conocimiento técnico, la capacidad y el cuidado profesional de los auditores
internos con los que deben ejercer su función.
 El alcance del trabajo de auditoría interna en el área de informática.
 El desarrollo de las responsabilidades asignadas a los auditores internos
responsables de la auditoria a informática.

El departamento de auditoría interna deberá asegurarse de que:

 Las auditorias sean supervisadas en forma apropiada. Entiéndase desde la

planeación.
 Los Informes de auditorías sean precisos, objetivos, claros, constructivos y
oportunos.
 Se cumplan los objetivos de la auditoría.
 La auditoría sea debidamente documentada y que se conserve la evidencia
apropiada de la supervisión.
 Los auditores cumplan con las normas profesionales de conducta.
  Los auditores en informática posean conocimientos, experiencias y disciplinas
esenciales.

Cada auditor interno requiere de ciertos conocimientos y experiencias:

 Se requiere pericia en la aplicación de las normas, procedimientos y técnicas.

 Tener habilidad para:
o Aplicar amplios conocimientos a situaciones que se vayan encontrando.
o Reconocer desviaciones significativas para poder llegar a soluciones
razonables.
 Cada auditor debe estar atento a:
o La posibilidad de errores intencionales, de errores por omisiones, la
ineficiencia, del desperdicio, de la inefectividad, conflicto de intereses
o Condiciones y actividades donde es más probable que existan
irregularidades.

El alcance de la auditoria debe abarcar el examen y evaluación de la adecuación y

efectividad del sistema de control interno de la organización y la calidad en el
cumplimiento de las responsabilidades asignadas. Los objetivos elementales del control
interno son para asegurar:

 Los auditores deben revisar la confiabilidad e integridad de la información y los

métodos empleados para identificar, medir, clasificar y reportar dicha información.
 El cumplimiento de las políticas, planes, procedimientos, leyes y reglamentos.
 La salvaguarda de los activos.
 El uso eficiente y económico de los recursos.
 EL logro de los objetivos y metas establecidos para las operaciones o programas.

Debido a que un sistema de información proporciona datos para la toma de decisiones,

los auditores deben examinar los sistemas de información y cuando sea apropiado
asegurarse:

 Que los registros e informes contengan información precisa, confiable, completa y

útil.
 Que los controles sobre los registros e informes sean adecuados y efectivos.
Los auditores deberán revisar:

 La corrección de los métodos de salvaguarda de los activos y verificar la existencia

de estos activos.
 Los métodos empleados para salvaguardar los activos de diferentes tipos de
riesgos tales como: robo, incendios, actividades impropias o ilegales, así como los
elementos naturales como terremotos, inundaciones, etcétera.

Los auditores internos son responsables de determinar si:

 Los estándares para medir la economía y eficiencia en el uso de los recursos

sean los adecuados.
 Los estándares de operación establecidos han sido entendidos y se cumplen.
 Las desviaciones a los estándares de operación se identifican, analizan y se
comunican a los responsables para que tomen las medidas correctivas.
 Se toman las medidas correctivas.

Las auditorias relacionadas con el uso económico y eficiente de los recursos deberán
identificar situaciones tales como:

 Subutilización de instalaciones.
 Trabajo no productivo.
 Procedimiento que no justifican su costo.
 Exceso o insuficiencia de personal.
 Uso indebido de las instalaciones.

Los auditores deberán revisar las operaciones o programas para cerciorarse si los
resultados son consistentes con los objetivos y metas establecidos y si las operaciones o
programas se llevan a cabo como se planearon.

Planeación de la auditoría en informática

Dentro de una auditoria en general, la planeación es uno de los pasos más importantes,
ya que una inadecuada planeación provocara una serie de problemas más que pueden
impedir que se cumpla con la auditoria o bien hacer que no se efectué con el
profesionalismo que debe tener cualquier auditor
La planeación deberá ser documentada e incluirá:

 El establecimiento de los objetivos y el alcance del trabajo.

 La determinación de información de apoyo sobre las actividades que se auditaran
 La determinación de los recursos necesarios para realizar la auditoria.
 El establecimiento de la comunicación necesaria con todos los que estarán
involucrados.
 La realización, en la forma más apropiada, de una inspección física para
familiarizarse con las actividades y controles a auditar.
 La preparación por escrito del programa de auditoria
 La determinación de cómo, cuándo y a quien se le comunicaran los resultados de
la auditoría
 La obtención de la aprobación del plan de trabajo de la auditoria.

Debido a que la planeación en la auditoría en informática es fundamental habrá que

considerar:

 Evaluación administrativa del área de procesos electrónicos.

 Evaluación de los sistemas y procedimientos.
 Evaluación de los equipos de cómputo.
 Evaluación del proceso de datos, de los sistemas y de los equipos de cómputo
(Software, hardware, redes, base de datos, comunicaciones)
 Seguridad y confidencialidad de la información.
 Aspectos legales de los sistemas y de la información.

Para lograr una adecuada planeación, lo primero que se requiere es obtener información
general sobre la organización y sobre la función informática a evaluar. Para ello es preciso
hacer una investigación preliminar y algunas entrevistas previas, y con base en esto
plantear el programa de trabajo, el cual deberá incluir tiempos, costos, personal necesario
y documentos auxiliares a solicitar o formular durante el desarrollo de la auditoria.

El proceso de planeación comprende el establecer:

 Metas
 Programas de trabajo de auditoría
  Planes de contratación de personal y presupuesto financiero
 Informes de actividades

Revisión Preliminar

El primer paso en el desarrollo de la auditoria, después de la planeación, es la revisión

preliminar, en nuestro caso del área de informática. El objetivo de la revisión preliminar es
el de obtener la información necesaria para que el auditor pueda tomar la decisión de
cómo proceder en la auditoria. Al terminar la revisión preliminar el auditor puede proceder
en uno de los tres caminos siguientes:

 Diseño de la auditoria. Puede haber problemas debido a la falta de competencia

técnica para realizar la auditoria.
 Realizar una revisión detallada de los controles internos de los sistemas con la
esperanza de que deposite la confianza en los controles de los sistemas y de que
una serie de pruebas sustantivas puedan reducir las consecuencias.
 Decidir el no confiar en los controles internos del sistema. Existe dos razones
posibles para esta decisión:
1. Puede ser más eficiente desde el punto de vista de costo-beneficio el
realizar pruebas sustantivas directamente.
2. Los controles del área de informática pueden duplicar los controles
existentes en el área del usuario.

Revisión Detallada

En esta fase se busca obtener la información necesaria para que el auditor tenga un
profundo entendimiento de los controles utilizados dentro del área de informática. Es
importante para el auditor identificar las causas de las perdidas existentes dentro de la
instalación y los controles para reducir las pérdidas y los efectos causados por éstas. Al
terminar el proceso detallado el auditor deberá decidir en qué momento los controles
establecidos reducen las perdidas esperadas a un nivel aceptable. Cabe destacar que los
métodos utilizados para la obtención de información al momento de realizar la evaluación
detallada son los mismo que en la investigación preliminar, y lo único que difiere es la
profundidad con que se obtiene la información y se evalúa.
Examen y Evaluación de la Información

Todo auditor interno deberá obtener, analizar, interpretar y documentar la información

para apoyar los resultados de la auditoria.

El proceso de examen y evaluación de la información en esta fase es el siguiente:

 Se debe obtener la información de todos los asuntos relacionados con los

objetivos y alcances de la auditoria
 La información deberá ser suficiente, competente, relevante y útil para que
proporción bases sólidas en relación con los hallazgos y recomendaciones de la
auditoria
 Los procedimientos de auditoria, incluyendo el empleo de las técnicas de pruebas
selectivas y el muestreo estadístico, deberían ser elegidos con anterioridad,
cuando esto sea posible, y ampliarse o modificarse cuando las circunstancias lo
requieran
 Los documentos de trabajo de la auditoria deberán ser preparados por los
auditores y revisados por la gerencia de auditoria

Los auditores deberán reportar los resultados del trabajo de auditoria. El auditor deberá
discutir las conclusiones y recomendaciones en los niveles apropiados de la
administración antes de emitir su informe final.

Los informes deberán ser objetivos, claros, concisos, constructivos y oportunos. Los
informes presentaran el propósito, alcance y resultados de la auditoria y, cuando se
considere apropiado, contendrá la opinión del auditor.

Pruebas de Consentimiento

En las pruebas de consentimiento, su objetivo se basa en determinar si los controles

internos operan como fueron diseñados para ejecutarse. El auditor debe determinar si los
controles declarados en realidad existen y si realmente trabajan de manera confiable.

Además de las técnicas manuales de recolección de evidencias, muy constantemente el

auditor debe recurrir a técnicas de recolección de información asistidas por computador,
con la finalidad de determinar la existencia y confiabilidad de los controles.
Pruebas de Controles del Usuario

En algunos casos el auditor puede decidir el no confiar en los controles internos dentro de
las instalaciones informáticas, debido a que el usuario ejerce controles que compensan
cualquier debilidad dentro de los controles internos de informática. En ocasiones como
esta, se pueden realizar cuestionarios, entrevistas y evaluaciones hechas directamente
con los usuarios que ayuden a compensar dichas deficiencias.

Pruebas Sustantivas

El objetivo de esta fase es obtener evidencia suficiente que permita al auditor emitir su
juicio en las conclusiones acerca de cuándo pueden ocurrir pérdidas materiales durante el
procesamiento de la información. Se pueden identificar ocho diferentes pruebas
sustantivas

 Pruebas para identificar errores en el procesamiento o falta de seguridad o

confidencialidad
 Pruebas para asegurar la calidad de los datos
 Pruebas para identificar la inconsistencia de los datos
 Pruebas para comparar con los datos o contadores físicos
 Confirmación de datos con fuentes externas
 Pruebas para confirmar la adecuada comunicación
 Pruebas para determinar la falta de seguridad
 Pruebas para determinar problemas de legalidad

Evaluación de los Sistemas de Acuerdo al Riesgo

Una de las maneras de evaluar la importancia que puede llegar a tener para la
organización un determinado sistema, es considerar el riesgo que implica el no utilizarlo
adecuadamente, como puede ser la pérdida de información o la mala manipulación del
sistema por parte de personas ajenas a la organización.

Algunos sistemas de aplicaciones son de más alto riesgo que otros debido a lo siguiente:

 Son susceptibles a diferentes tipos de pérdida económica. Fraudes y desfalcos

entre los cuales están los sistemas financieros.
  Las fallas pueden impactar grandemente a la organización. Una falla en el
procesamiento de la nómina puede tener como consecuencia el que se tenga una
huelga.
 Sistemas de tecnología de punta. Sistemas de bases de datos, sistemas
distribuidos, sobre el cual la organización tenga muy poco experiencia o respaldo,
lo que conlleva a una fuente de problemas de control.
 Sistemas de alto costo. Sistemas que son muy costosos de desarrolla, los cuales
son sistemas muy complejos que pueden acarrear muchos problemas de control.

Investigación Preliminar

Antes de iniciar cualquier trabajo de auditoría, es necesario realizar como primer contacto,
un trabajo que permita la obtención de datos para tener una idea global de lo que se vaya
hacer, en este caso auditar. El objetivo de esto, es percibir rápidamente las estructuras
fundamentales y diferencias entre el organismo a auditar y otras organizaciones que sea
hayan investigado.

La investigación preliminar consta de dos fases: evolución del control gerencial y del
control de las aplicaciones. Durante la revisión de los controles gerenciales el auditor
debe tomar en cuenta la organización, las políticas y prácticas gerenciales usadas en
cada uno de los niveles, dentro de la jerarquía de la instalación en la cual se encuentran
los equipos de cómputo. Durante la revisión de los controles de las aplicaciones, el auditor
deberá conocer los controles ejercidos sobre el mayor tipo de transacciones que fluyen a
través de los sistemas de aplicaciones más significativos dentro de la instalación de
dichos equipos.

Se debe recolectar información para obtener una visión general del departamento por
medio de herramientas tales como: la observación, las entrevistas y solicitudes de
documentos; con la finalidad de definir el objetivo y alcance del estudio, así como el
programa detallado de la investigación.

Para poder analizar y dimensionar la estructura a auditar se debe solicitar:

A nivel organizacional total:

 Objetivos a corto y largo plazo

  Manual de la organización
 Antecedentes o historia del organismo
 Políticas generales

A nivel del área de informática:

 Objetivos a corto y largo plazo

 Manual de organización del área que incluya puestos, funciones, niveles
jerárquicos.
 Manual de políticas, reglamentos internos y lineamientos generales
 Número de personas y puestos en el área.
 Procedimientos administrativos del área.
 Presupuestos y costos del área

Personal Participante

Una de las partes más esenciales para lo que es la planeación de la auditoría en

informática es el personal participante. No es de relevancia saber el número de personas
que participaran, ya que esto dependerá de las dimensiones de la organización, de los
sistemas y de los equipos; sino de las características del personal que colaboraran en la
auditoria.

Uno de los diagramas aceptados para tener un adecuado control es que el personal que
intervenga esté debidamente capacitado, que posea un alto sentido de moralidad, al cual
se le exija la optimización de recursos (eficiencia) y se le retribuya justamente por su labor
realizada.

Con estas bases debemos considerar los conocimientos, la práctica y la capacitación que
debe tener el personal que participara en la auditoria. Hay que tomar en cuenta que hay
personal asignados por la organización y personal asignados por los usuarios; estos
primeros deberán tener el suficiente nivel para poder coordinar el desarrollo de la
auditoria, en tal sentido, proporcionar toda información que se solicite y programar las
reuniones y entrevistas requerida; y los segundos, para el instante que se requiera
alguna información, o bien sea, efectuar alguna entrevista de comprobación de hipótesis,
nos proporcionen aquello que se esté solicitando, ya que se debe analizar no solo el
punto de vista de la dirección de informática, sino también el del usuario de sistema.
Para completar el grupo, como colaboradores directos en la realización de la auditoria, se
deben tener personal con características como:

 Técnico en informática
 Conocimiento de administración, contaduría y finanzas
 Experiencia en el área de informática
 Experiencia en operación y análisis de sistemas
 Conocimiento de los sistemas más importantes.

Es de mencionar, que para el caso de sistemas más complejos se debe contar con
personal con conocimientos y experiencias en áreas más específicas tales como: base de
datos, redes, comunicaciones, entre otros.

Referencias bibliográficas

Echenique García, José Antonio: Auditoria en Informática, Mc Graw Hill, 2 edición, pp.25-
42