7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 9/134
Identificar los conceptos básicosrequeridos para la práctica deauditoría de redes de voz y
datos.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 10/134
CONCEPTO DE AUDITORÍA A LASTECNOLOGÍAS DE LA INFORMACIÓN
TIPOS DE AUDITORÍA
ORGANIZACIÓN DE LA FUNCIÓN DEAUDITORÍA
ESTÁNDARES, DIRECTRICES,PROCEDIMIENTOS Y GUÍAS DE AUDITORÍA
CÓDIGO DE ÉTICA PROFESIONAL DELAUDITOR
EL CONTROL INTERNO
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 11/134
COBIT
DETECCIÓN DE FRAUDES
AUTOEVALUACIÓN DEL CONTROL
RIESGOS DE AUDITORÍA YMATERIALIDAD
ITIL
MARCO JURÍDICO NORMATIVO DE LAFUNCIÓN DE AUDITORÍA
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 12/134
La Auditoría Informática constituye unaserie de exámenes que se realizan en unsistema informático de manera periódica oesporádica, con el propósito de analizar yevaluar la planificación, la eficacia, sus
objetivos de control, la seuridad,economía y por supuesto la detección deirreularidades que se podrían manifestaren el procesamiento de la información.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 13/134
La Auditoría Informática comprende la revisión yla evaluación independiente y objetiva, del
ambiente y del entorno informático de unaoranización. !omprende la evaluación de todaso alunas de sus áreas, los estándares yprocedimientos en vior, su calidad y el
cumplimiento de ellos, de los objetivos fijados, delos contratos y las normas leales aplicables" elrado de satisfacción de usuarios y directivos" loscontroles existentes y un análisis de los riesos.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 14/134
#l curso está centrado en el análisis de losaspectos teóricos, metodolóicos y t$cnicos de
los diversos temas que comprende la auditoríainformática. #l propósito fundamental es el deofrecer a los estudiantes, m$todos yprocedimientos que apoyados en tecnoloías
de la información fortalezcan el aprendizajesinificativo.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 15/134
!omprende la ense%anza & aprendizaje de 'unidades didácticas que tendrán comodiferentes recursos para lorar laconstrucción del conocimiento de losestudiantes.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 16/134
Definien! A"i#!$%&
La palabra auditoría viene del latín “auditorius”, y deesta proviene auditor el que tiene la virtud de oír"(revisor de cuentas coleiado)
#l auditor tiene la virtud de oír y revisar cuentas,encaminado a un objetivo específico, evaluar laeficiencia y eficacia con que se está operando para
que por medio de se%alamientos , se tomendecisiones que permitan correir los errores en casode que existan o mejorar la forma de actuación.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 17/134
Definien! A"i#!$%&
con frecuencia la palabra auditoría se *aempleado incorrectamente y se le *a
considerado una evaluación cuyo +nico fín esdetectar errores y se%alar fallas, por eso lafrase tan utilizada (tiene auditoría) comosinónimo de que antes de realizarse, ya se
encontraron fallas y por lo tanto se está*aciendo la auditoría.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 18/134
Definien! A"i#!$%&
#l concepto de auditoría es más amplio" nosolo detecta errores
es un examen crítico con la finalidad deevaluar la eficiencia y eficacia de unasección o un oranismo,
-eterminar cursos alternativos de acciónpara mejorar la oranización y lorar losobjetivos propuestos
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 19/134
CONCEPTO DEAUDITORÍA A LAS
TECNOLOGÍAS DE LAINFORMACIÓN
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 20/134
La Auditoria de #!/0L01IA2 -# I/3045A!I0/ 6.I.7, como se le conoce actualmente, 6Auditoria informática o
Auditoria de sistemas en nuestro medio7.
#n alunos países altamente desarrollados es cataloadacomo una actividad de apoyo vital para el mantenimiento de
la infraestructura crítica de una nación, tanto en el sectorp+blico como privado, en la medida en que laINFORMACION es considerada un activo tan o másimportante que cualquier otro en una oranización.
C!n'e(#! e A"i#!$%&& )&* #e'n!)!+%&* e )& Inf!$&'i-n
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 21/134
C!n'e(#! e A"i#!$%&& )&* #e'n!)!+%&* e )& Inf!$&'i-n
#xisten, normas, t$cnicas y buenas practicasdedicadas a la evaluación y aseuramiento de lacalidad, seuridad, razonabilidad, y disponibilidadde la INFORMACION tratada y almacenada atrav$s de la computadora y equipos afines, asícomo de la eficiencia, eficacia y economía con quela administración de un ente están manejando dic*a
INFORMACION y todos los recursos físicos y*umanos asociados para su adquisición, captura,procesamiento, transmisión, distribución, uso yalmacenamiento.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 22/134
C!n'e(#! e A"i#!$%&& )&* #e'n!)!+%&* e )& Inf!$&'i-n
!uyo objetivo es una opinión o juicio,para lo cual se aplican t$cnicas deauditoria de eneral aceptación yconocimiento t$cnico específico.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 23/134
C!n'e(#! e A"i#!$%&& )&* #e'n!)!+%&* e )& Inf!$&'i-n
apoyada por un conjunto de conocimientosacerca de la tecnoloía informática, de
t$cnicas y procedimientos de auditoría yde conocimientos contables, paraevaluar la calidad, fiabilidad y seuridadde un entorno informático dado, asícomo brindar seuridad razonableacerca de la utilidad de la informaciónalmacenada y procesada en ellos, con elfin de emitir un juicio al respecto.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 24/134
C!n'e(#! e A"i#!$%&
3inalmente, deberá expresar su opiniónacerca del rado de eficiencia, eficacia y
economía con que están siendo usados8 administrados todos los recursos detecnoloía informática a caro de laadministración, incluido el factor
*umano.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 25/134
Auditoría de 4ed
La lobalización, la competencia y los avancestecnolóicos están aumentando la importancia de lasredes corporativas en todos los sectores empresariales.
Las empresas con mayor visión deben estar preparadaspara una creciente dependencia de sus redes y, enconsecuencia, para un crecimiento de red exponencial.
Además, La infraestructura de las ecnoloías de laInformación y de las !omunicaciones 6I!7 se *aconvertido en un activo empresarial estrat$ico y la redconstituye su n+cleo.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 26/134
!oncepto
9na Auditoria de 4edes es, en esencia,una serie de mecanismos mediante los
cuales se pone a prueba una redinformática, evaluando su desempe%o yseuridad, a fin de lorar una utilizaciónmás eficiente y seura de la información.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 27/134
!oncepto
#l primer paso para iniciar unaestión responsable de la seuridad esidentificar la estructura física 6*ard:are,topoloía7 y lóica 6soft:are, aplicaciones7del sistema 6sea un equipo, red, intranet,extranet7, y *acerle una Análisis de;ulnerabilidad, para saber en qu$ radode exposición nos encontramos.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 30/134
ipos de Auditoría
A"i#!$%& In#e$n& . A"i#!$%& E/#e$n&0
La auditoría interna es la realizada con recursosmateriales y personas que pertenecen a la empresaauditada.
Los empleados que realizan esta tarea sonremunerados económicamente. La auditoría internaexiste por expresa decisión de la #mpresa, o sea, quepuede optar por su disolución en cualquier momento.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 31/134
Auditoría externa
4ealizada por personas afines a la empresaauditada" es siempre remunerada.
2e presupone una mayor objetividad que en la Auditoría Interna, debido al mayordistanciamiento entre auditores y auditados.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 32/134
Auditoría informática interna
La auditoría informática interna cuenta con alunasventajas adicionales muy importantes respecto de laauditoría externa, las cuales no son tan perceptibles
como en las auditorías convencionales. La auditoría interna tiene la ventaja de que puedeactuar periódicamente realizando 4evisioneslobales, como parte de su =lan Anual y de su
actividad normal. Los auditados conocen estosplanes y se *abit+an a las Auditorías, especialmentecuando las consecuencias de las 4ecomendaciones*abidas benefician su trabajo.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 33/134
Auditoría informática interna
#n una empresa, los responsables de Informáticaescuc*an, orientan e informan sobre las posibilidadest$cnicas y los costeo de tal 2istema. !on voz, pero a
menudo sin voto, Informática trata de satisfacer lo másadecuadamente posible aquellas necesidades. Laempresa necesita controlar su Informática y $stanecesita que su propia estión est$ sometida a losmismos =rocedimientos y estándares que el resto de
aquella.La conjunción de ambas necesidades cristaliza en lafiura del auditor interno informático.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 34/134
Auditoría informática interna
#n cuanto a empresas se refiere, solamente las másrandes pueden poseer una Auditoría propia y
permanente, mientras que el resto acuden a las auditoríasexternas. =uede ser que al+n profesional informático seatrasladado desde su puesto de trabajo a la AuditoríaInterna de la empresa cuando $sta existe. 3inalmente, lapropia Informática requiere de su propio rupo de !ontrolInterno, con implantación física en su estructura, puestoque si se ubicase dentro de la estructura Informática yano sería independiente.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 35/134
Auditoría informática interna
>oy, ya existen varias oranizacionesInformáticas dentro de la misma
empresa, y con diverso rado deautonomía, que son coordinadas poróranos corporativos de 2istemas deInformación de las #mpresas.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 36/134
Auditoría informática interna
9na #mpresa o Institución que posee auditoría internapuede y debe en ocasiones contratar servicios deauditoría externa. Las razones para *acerlo suelen ser
?7 /ecesidad de auditar una materia de ranespecialización, para la cual los servicios propios noestán suficientemente capacitados.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 37/134
Ausitoría informática interna
@7 !ontrastar al+n Informe interno con el queresulte del externo, en aquellos supuestos de
emisión interna de raves recomendacionesque c*ocan con la opinión eneralizada de lapropia empresa.
7 2ervir como mecanismo protector deposibles auditorías informáticas externasdecretadas por la misma empresa.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 38/134
Auditoría informática interna
Aunque la auditoría interna sea independiente del -epartamento de2istemas, siue siendo la misma empresa, por lo tanto, es necesarioque se le realicen auditorías externas como para tener una visióndesde afuera de la empresa.
La auditoría informática, tanto externa como interna, debe ser unaactividad exenta de cualquier contenido o matiz <político< ajeno a lapropia estrateia y política eneral de la empresa.
La función auditora puede actuar de oficio, por iniciativa del propioórano, o a instancias de parte, esto es, por encaro de la direccióno cliente.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 39/134
ipos y clases de auditoría
-entro de las áreas enerales, seestablecen las siuientes divisiones de
Auditoría Informática de #xplotación,de 2istemas,de !omunicaciones y
de -esarrollo de =royectos.#stas son las Breas #specificas de la
Auditoría Informática más importantes.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 40/134
ipos y clases de auditoría
!ada Brea #specifica puede ser auditadadesde los siuientes criterios enerales
-esde su propio funcionamiento interno.
-esde el apoyo que recibe de la -ireccióny, en sentido ascendente, del rado decumplimiento de las directrices de $sta.
-esde la perspectiva de los usuarios,destinatarios reales de la informática.
-esde el punto de vista de la seuridad queofrece la Informática en eneral o la ramaauditada.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 41/134
ipos y clases de auditoría
entre otras3inanciera Informática
1estión!umplimiento
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 42/134
041A/ICA!ID/ -# LA39/!ID/ -# A9-I04EA
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 43/134
0ranización de la función deauditoría
La función de auditoría informática paso de ser una función de ayuda alauditor financiero a ser una función que desarrolla un trabajo, y seuirá*aci$ndolo en el futuro.
#n acuerdo con la importancia que tienen los sistemas informáticos y deinformación para las oranizaciones. #l auditor informático pasa a serauditor y consultor y asesor enseuridad,control interno,eficiencia y eficacia,tecnoloía informática,continuidad de operaciones,estión de riesos.
5as allá de los sistemas informáticos sino en el contexto empresarial.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 44/134
0ranización de la función deauditoría
Fcómo se debe oranizar la función de auditoría informática dentrode la empresaG
>istóricamente la función de auditoría informática se consideradentro de la función de auditoría interna, pero debe serindependiente de los objetivos de la auditoría interna operativa yfinanciera.
-ebe tener accesibilidad total a los sistemas informáticos y de
información.
-ebe estar bajo la dirección del director de auditoría interna, paraevitar que otras dependencias cambien o disminuyan su imaen.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 45/134
0ranización de la función deauditoría
/o debe depender del encarado de sistemas nidel departamento de oranización, financiero o
administrativo 6debe ser independiente7.#l departamento de auditoría informática debetener una oranzación interna basada en
Hefe del departamento
1erente o supervisor de auditoría informática
2taff de auditores informáticos
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 46/134
0ranización de la función deauditoría
#l tama%o debe estar en función de losobjetivos de la función, con especialistas
en entorno informático en comunicacionesy o redes, responsable de estión derieso operativo, responsable de laauditoría de sistemas y de ser posible un
especialista para la elaboracíón deproramas trabajos conjuntos con laauditoría financiera.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 47/134
#2B/-A4#2,
-I4#!4I!#2,=40!#-I5I#/02 19EA2-# A9-I04EA
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 48/134
#stándares
La 0ranización Internacional para la #standarización, I20 por sussilas en inl$s 6International 0ranization for 2tandardization7, esuna federación mundial que arupa a representantes de cada unode los oranismos nacionales de estandarización 6como lo es elI4A5 en la Arentina7, y que tiene como objeto desarrollarestándares internacionales que faciliten el comercio internacional.
!uando las oranizaciones tienen una forma objetiva de evaluar lacalidad de los procesos de un proveedor, el rieso de *acerneocios con dic*o proveedor se reduce en ran medida, y si losestándares de calidad son los mismos para todo el mundo, el
comercio entre empresas de diferentes países puede potenciarseen forma sinificativa & y de *ec*o, así *a ocurrido &.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 49/134
#stándares
-urante las +ltimas d$cadas, oranizaciones de todoslos luares del mundo se *an estado preocupando cadavez más en satisfacer eficazmente las necesidades desus clientes, pero las empresas no contaban, en eneral,
con literatura sobre calidad que les indicara de qu$forma, exactamente, podían alcanzar y mantener lacalidad de sus productos y servicios.
-e forma paralela, las tendencias crecientes delcomercio entre naciones reforzaba la necesidad decontar con estándares universales de la calidad. 2inembaro, no existía una referencia estandarizada paraque las oranizaciones de todo el mundo pudierandemostrar sus prácticas de calidad o mejorar susprocesos de fabricación o de servicio.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 50/134
#stándares
eniendo como base diferentes antecedentes sobre normas deestandarización que se fueron desarrollando principalmente en1ran Jreta%a, la I20 creó y publicó en ?KM sus primerosestándares de dirección de la calidad los estándares decalidad de la serie I20 KNNN.
!on base en 1inebra, 2uiza, esta oranización *a sido desdeentonces la encarada de desarrollar y publicar estándaresvoluntarios de calidad, facilitando así la coordinación yunificación de normas internacionales e incorporando la ideade que las prácticas pueden estandarizarse tanto parabeneficiar a los productores como a los compradores de bienesy servicios. =articularmente, los estándares I20 KNNN *an
juado y juean un importante papel al promover un +nicoestándar de calidad a nivel mundial.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 51/134
#stándares LA FAMILIA ISO
Las series de normas I20 relacionadas con la calidad constituyen lo que sedenomina familia de normas, las que abarcan distintos aspectos relacionados conla calidad
ISO 12220 2istemas de 1estión de !alidad3undamentos, vocabulario, requisitos, elementos del sistema de calidad, calidaden dise%o, fabricación, inspección, instalación, venta, servicio post venta,directrices para la mejora del desempe%o.
ISO 322220 1uías para implementar 2istemas de 1estión de !alidadO 4eportes$cnicos1uía para planes de calidad, para la estión de proyectos, para la documentaciónde los 21!, para la estión de efectos económicos de la calidad, para aplicaciónde t$cnicas estadísticas en las /ormas I20 KNNN. 4equisitos de aseuramientode la calidad para equipamiento de medición, aseuramiento de la medición.
ISO 342220 2istemas de 1estión Ambiental de las 0ranizaciones.=rincipios ambientales, etiquetado ambiental, ciclo de vida del producto,proramas de revisión ambiental, auditorías.
ISO 312330 Di$e'#$i'e* (&$& )& A"i#!$%& e )!* SGC .5! A6ien#&)
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 52/134
I73 A()i'&'i-n La I20 KNN? & @NNN se puede aplicar en cualquier tipo de
oranización, ya sea con o sin fines de lucro, manufacturerao de servicios, rande, mediana o peque%a.
I78 9:"; *e ne'e*i#& (&$& ini'i&$ "n ($!'e*! eA*e+"$&ien#! e )& C&)i& *5N!$&* ISO *e$ie 1223<8222=
P !ompromiso real y participación de los directivosP Involucramiento de todos los empleadosP !omunicaciónP !apacitación de todas las áreas de la oranizaciónP -isponibilidad de recursos dedicados a la implementación
del 21! 6responsables, tiempos, dinero, espacios físicospara reuniones, etc.7P -efinición clara de responsabilidades
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 53/134
P 4ealización de un dianóstico de calidad
P !omprensión de los requerimientos de los clientesP 3ijación de políticas y objetivos de calidadP #stablecimiento de un plan de calidadP 0rdenamiento de la documentación existenteP !reación de la documentación del 21! sO norma I2065anual de !alidad, procedimientos, instrucciones de
trabajo7P =uesta a punto o calibración de máquinas, equipos, etc.P -ise%o e implementación de mecanismos de mejoracontinuaP -efinición, planificación e implementación deactividades de medición y seuimiento necesarias para
aseurar el cumplimiento de las exiencias de la norma
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 54/134
-irectrices
9na auditoría se realiza con base a un patrón o conjunto dedirectrices o buenas practicas sueridas. #xisten estándaresorientados a servir como base para auditorías de informática. 9node ellos es !0JI 60bjetivos de !ontrol de la ecnoloías de laInformación7, dentro de los objetivos definidos como parámetro, se
encuentra el <1arantizar la 2euridad de los 2istemas<. Adicionala este estándar podemos encontrar el standard I20 @MNN@, el cualse conforma como un códio internacional de buenas prácticas deseuridad de la información, este puede constituirse como unadirectriz de auditoría apoyándose de otros estándares deseuridad de la información que definen los requisitos de auditoría
y sistemas de estión de seuridad, como lo es el estándarI20 @MNN?.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 55/134
=rocedimientos
Al conjunto de t$cnicas de investiación aplicables a un rupo de*ec*os o circunstancias que nos sirven para fundamentar la opinióndel auditor dentro de una auditoría, se les dan el nombre deprocedimientos de auditoría en informática.
La combinación de dos o más procedimientos, derivan en proramasde auditoría, y al conjunto de proramas de auditoría se le denominaplan de auditoría, el cual servirá al auditor para llevar una estrateia yoranización de la propia auditoría.
#l auditor no puede obtener el conocimiento que necesita parasustentar su opinión en una sola prueba, es necesario examinar los*ec*os, mediante varias t$cnicas de aplicación simultánea.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 56/134
=rocedimientos
An>)i*i* e &#!*7 -entro de este trabajo, desarrollaremos
diversos tipos de t$cnicas y procedimientos de
auditoría, de los cuales destacan el análisis dedatos, ya que para las oranizaciones elconjunto de datos o información son de talimportancia que es necesario verificarlos ycomprobarlos, así tambi$n tiene la misma
importancia para el auditar ya que debe deutilizar diversas t$cnicas para el análisis dedatos, basados en Qbib8solis8@NN@R, las cualesse describen a continuación.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 57/134
=rocedimientos
#n 1eneral los procedimientos de auditoría permiten0btener conocimientos del control interno. Analizar las características del control interno.;erificar los resultados de control interno.3undamentar conclusiones de la auditoría.=or esta razón el auditor deberá aplicar su experiencia
y decidir cuál t$cnica o procedimiento de auditoría seránlos mas indicados par obtener su opinión.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 58/134
=rocedimientos
!omparación de proramas esta t$cnica se emplea para efectuar una
comparación de códio 6fuente, objeto o comandosde proceso7 entre la versión de un prorama en
ejecución y la versión de un prorama piloto que*a sido modificado en forma indebida, paraencontrar diferencias.
5apeo y rastreo de proramas esta t$cnica emplea un soft:are especializado que
permite analizar los proramas en ejecución,indicando el n+mero de veces que cada línea decódio es procesada y las de las variables dememoria que estuvieron presentes.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 59/134
=rocedimientos
Análisis de códio de proramas 2e emplea para analizar los proramas de una
aplicación. #l análisis puede efectuarse en forma
manual 6en cuyo caso sólo se podría analizar elcódio ejecutable7. -atos de prueba
2e emplea para verificar que los procedimientos decontrol incluidos los proramas de una aplicación
funcionen correctamente. Los datos de pruebaconsisten en la preparación de una serie detransacciones que contienen tanto datos correctoscomo datos erróneos predeterminados.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 60/134
=rocedimientos
-atos de prueba interados $cnica muy similar a la anterior, con la diferencia
de que en $sta se debe crear una entidad, falsa
dentro de los sistemas de información. Análisis de bitácoras
#xisten varios tipos de bitácoras que pueden seranalizadas por el auditor, ya sea en forma manualo por medio de proramas especializados, talescomo bitácoras de fallas del equipo, bitácoras deaccesos no autorizados, bitácoras de uso derecursos, bitácoras de procesos ejecutados.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 61/134
=rocedimientos
2imulación paralela $cnica muy utilizada que consiste en
desarrollar proramas o módulos quesimulen a los proramas de un sistema enproducción. #l objetivo es procesar los dosproramas o módulos de forma paralela eidentificar diferencias entre los resultados
de ambos.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 62/134
=rocedimientos
M!ni#!$e!7-entro de las oranizaciones todos los
procesos necesitan ser evaluados atrav$s del tiempo para verificar sucalidad en cuanto a las necesidades decontrol, interidad y confidencialidad,
este es precisamente el ámbito de estat$cnica, a continuación se muestran losprocesos de monitoreo
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 63/134
=rocedimientos
5? 5onitoreo del proceso.5@ #valuar lo adecuado del control
Interno.5 0btención de aseuramiento
independiente.5S =roveer auditoría independiente.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 64/134
=rocedimientos
M3 M!ni#!$e! e) ($!'e*! Aseura el loro de los objetivos para los
procesos de I, lo cual se lora definiendo por
parte de la erencia reportes e indicadores dedesempe%o y la implementación de sistemasde soporte así como la atención reular a losreportes emitidos.
=ara ello la erencia podrá definir indicadoresclaves de desempe%o y factores críticos de$xito y compararlos con los niveles propuestospara evaluar el desempe%o de los procesos dela oranización.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 65/134
=rocedimientos
M8 E?&)"&$ )! &e'"&! e) '!n#$!) In#e$n! Aseura el loro de los objetivos de control
interno establecidos para los procesos de I,
para ello se debe monitorear la efectividad delos controles internos a trav$s de actividadesadministrativas, de supervisión,comparaciones, acciones rutinarias, evaluar su
efectividad y emitir reportes en forma reular
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 66/134
M@ O6#en'i-n e &*e+"$&ien#! ine(enien#e Incrementa los niveles de confianza entre la
oranización, clientes y proveedores, este proceso se
lleva a cabo a intervalos reulares de tiempo. =ara ello la erencia deberá obtener una certificación o
acreditación independiente de seuridad y control internoantes de implementar nuevos servicios de tecnoloía deinformación que resulten críticos, así como para trabajar
con nuevos proveedores de servicios de tecnoloía deinformación, lueo la erencia deberá adoptar comotrabajo rutinario tanto *acer evaluaciones periódicassobre la efectividad de los servicios de tecnoloía deinformación, de los proveedores de estos servicios asícomo tambi$n aseurarse el cumplimiento de los
compromisos contractuales de los servicios detecnoloía de información y de los proveedores dedic*os servicios.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 67/134
=rocedimientos M4 P$!?ee$ &"i#!$%& ine(enien#e7 Incrementa los niveles de confianza de
recomendaciones basadas en mejoresprácticas de su implementación, lo que se loracon el uso de auditorías independientes
desarrolladas a intervalos reulares de tiempo. =ara ello la erencia deberá establecer los
estatutos para la función de auditoría,destacando en este documento la
responsabilidad, autoridad y obliaciones de laauditoría.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 68/134
#l auditor deberá ser independiente del auditado, esto
sinifica que los auditores no deberán estar relacionadoscon la sección o departamento que est$ siendo auditadoy en lo posible deberá ser independiente de la propiaempresa, esta auditoría deberá respetar la $tica y losestándares profesionales, seleccionando para elloauditores que sean t$cnicamente competentes, es decir
que cuenten con *abilidades y conocimientos queaseuren tareas efectivas y eficientes de auditoríainformática.
La función de la auditoría informática deberáproporcionar un reporte que muestre los objetivos,período de cobertura, naturaleza y trabajo de auditoría
realizado, así como tambi$n la oranización, conclusióny recomendaciones relacionadas con el trabajo deauditoría informática llevado a cabo.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 69/134
=rocedimientos
An>)i*i* e 6i#>'!$&*7 >oy en día los sistemas de cómputo se
encuentran expuestos a distintas amenazas, las
vulnerabilidades de los sistemas aumentan, almismo tiempo que se *acen más complejos, eln+mero de ataques tambi$n aumenta, por loanterior las oranizaciones deben reconocer laimportancia y utilidad de la información
contenida en las bitácoras de los sistemas decomputo así como mostrar alunas*erramientas que ayuden a automatizar elproceso de análisis de las mismas.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 70/134
=rocedimientos
#l crecimiento de Internet enfatiza esta problemática, lossistemas de cómputo eneran una ran cantidad deinformación, conocidas como bitácoras o arc*ivos los,que pueden ser de ran ayuda ante un incidente de
seuridad, así como para el auditor. 9na bitácora puede reistrar muc*a información acerca
de eventos relacionados con el sistema que la enera loscuales pueden ser
3ec*a y *ora.
-irecciones I= orien y destino. -irección I= que enera la bitácora. 9suarios. #rrores.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 71/134
=rocedimientos
La importancia de las bitácoras es la derecuperar información ante incidentes deseuridad, detección de comportamiento
inusual, información para resolver problemas,evidencia leal, es de ran ayuda en las tareasde cómputo forense.
Las >erramientas de análisis de bitácoras mas
conocidas son las siuientes =ara 9/IT, Loc*ecU, 2VA!>. =ara Vindo:s, LoAent
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 72/134
=rocedimientos
Las bitácoras contienen información crítica espor ello que deben ser analizadas, ya que estánteniendo muc*a relevancia, como evidencia en
aspectos leales. #l uso de *erramientas automatizadas es de
muc*a utilidad para el análisis de bitácoras, esimportante reistrar todas las bitácoras
necesarias de todos los sistemas de cómputopara mantener un control de las mismas.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 73/134
=rocedimientos
T;'ni'&* e &"i#!$%& &*i*#i& (!$ '!("#&!$& La utilización de equipos de computación en las
oranizaciones, *a tenido una repercusión importante enel trabajo del auditor, no sólo en lo que se refiere a los
sistemas de información, sino tambi$n al uso de lascomputadoras en la auditoría.
Al llevar a cabo auditorías donde existen sistemascomputarizados, el auditor se enfrenta a muc*osproblemas de muy diversa condición, uno de ellos, es larevisión de los procedimientos administrativos de controlinterno establecidos en la empresa que es auditada.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 74/134
=rocedimientos
La utilización de paquetes de proramaseneralizados de auditoría ayuda en ranmedida a la realización de pruebas de
auditoría, a la elaboración de evidenciasplasmadas en los papeles de trabajo. 2e+n Qbib8zavaro8martinezR las t$cnicas de
auditoría Asistidas por !omputadora 6!AA7son la utilización de determinados paquetes de
proramas que act+an sobre los datos,llevando a cabo con más frecuencia lostrabajos siuientes
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 75/134
=rocedimientos
2elección e impresión de muestras deauditorías sobre bases estadísticas o noestadísticas, a lo que areamos, sobre labase de los conocimientos adquiridos por losauditores.
5anipulación de la información al calcular
subtotales, sumar y clasificar la información,volver a ordenar en serie la información, etc.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 76/134
=rocedimientos
!onsecuentemente, se *ace indispensable elempleo de las !AA que permiten al auditor,evaluar las m+ltiples aplicaciones específicas
del sistema que emplea la unidad auditada, elexaminar un diverso n+mero de operacionesespecíficas del sistema, facilitar la b+squeda deevidencias, reducir al mínimo el rieso de laauditoría para que los resultados expresen larealidad objetiva de las deficiencias, así comode las violaciones detectadas y elevarnotablemente la eficiencia en el trabajo.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 77/134
=rocedimientos
eniendo en cuenta que se *acíaimprescindible auditar sistemas informáticos"así como dise%ar proramas auditores, se
deben incorporar especialistas informáticos,formando equipos multidisciplinarios capacesde incursionar en las auditorías informáticas ycomerciales, independientemente de lascontables, donde los auditores que cumplen lafunción de jefes de equipo, están en laobliación de documentarse sobre todos lostemas auditados.
= di i
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 78/134
=rocedimientos
-e esta forma los auditores adquieren másconocimientos de los diferentes temas,pudiendo incluso, sin especialistas de las
restantes materias realizar análisis de esostemas, aunque en ocasiones es necesario queel auditor se asesore con expertos, tales como,inenieros industriales, aboados, especialistas
de recursos *umanos o de normalización deltrabajo para obtener evidencia que le permitareunir elementos de juicio suficientes.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 79/134
#xamen de reistros de acuerdo con loscriterios especificados.
J+squeda de aluna información enparticular, la cual cumpla ciertoscriterios, que se encuentra dentro de las
bases de datos del sistema que seaudita.
= di i t
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 80/134
=rocedimientos
Ben'&$in+ Las empresas u oranizaciones deben buscar
formas o fórmulas que las dirijan *acia una
mayor calidad, para poder ser competitivos,una de estas *erramientas o fórmulas es elJenc*marUin.
#xisten varios autores que *an estudiado eltema, y de iual manera existen una ran
cantidad de definiciones de lo que esbenc*marUin, a continuación se presentanalunas definiciones.
= di i t
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 81/134
=rocedimientos
Jenc*marUin es el proceso continuo demedir productos, servicios y prácticascontra los competidores o aquellascompa%ías reconocidas como líderes enla industria 6?7
6?7 Qbib8imcpR Normas y procedimientos de auditoría. Instituto 5exicano de !ontadores =+blicos 6I5!=7.
= di i t
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 82/134
=rocedimientos
#sta definición presenta aspectos importantestales como el concepto de continuidad, ya quebenc*marUin no sólo es un proceso que se*ace una vez y se olvida, sino que es un
proceso continuo y constante. 2e+n la definición anterior podemos deducir
que se puede aplicar benc*marUin a todas lasfacetas de las oranizaciones, y finalmente ladefinición implica que el benc*marUin se debe
diriir *acia aquellas oranizaciones yfunciones de neocios dentro de lasoranizaciones que son reconocidas como lasmejores.
= di i t
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 83/134
=rocedimientos
#ntre otras definiciones tenemos la extraída dellibro Benchmarking de Jent, la cual es(benc*marUin es un proceso sistemático ycontin+o para comparar nuestra propia
eficiencia en t$rminos de productividad, calidady prácticas con aquellas compa%ías yoranizaciones que representan la excelencia).
!omo vemos en esta definición se vuelve amencionar el *ec*o de que benc*marUin es
un proceso continuo, tambi$n se presenta elt$rmino de comparación y por ende remarca laimportancia de la medición dentro delbenc*marU.
= di i t
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 84/134
=rocedimientos
#stos autores se centran, a parte de laoperaciones del neocio, en la calidad y en laproductividad de las mismas, considerando elvalor que tienen dic*as acciones en contra de
los costos de su realización lo cual representala calidad, y la relación entre los bienesproducidos y los recursos utilizados para suproducción, lo cual se refiere a la productividad.
=or lo que podemos ver existen varias
definiciones sobre lo que es benc*marUin, yaunque difieren en alunos aspectos tambi$nse puede notar que concuerdan o presentanuna serie de elementos comunes.
= di i t
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 85/134
=rocedimientos
=ara empezar en la mayoría de ellas se resaltael *ec*o de que benc*marUin es un procesocontinuo que al aplicarla en nuestra empresa
resuelva los problemas de la misma, sino quees un proceso que se aplicará una y otra vez yaque dic*o proceso está en b+squeda constantede las mejores prácticas de la industria, y comosabemos la industria está en un cambio
constante y para adaptarse a dic*o cambiodesarrolla nuevas practicas, por lo que no sepuede aseurar que las mejores prácticas de*oy lo serán tambi$n de ma%ana.
= di i t
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 86/134
=rocedimientos
ambi$n se vio en las diferentes definicionesque este proceso no sólo es aplicable a lasoperaciones de producción, sino que puede
aplicarse a todas la fases de lasoranizaciones, por lo que benc*marUin esuna *erramienta que nos ayuda a mejorartodos los aspectos y operaciones del neocio,*asta el punto de ser los mejores en laindustria, observando aspectos tales como lacalidad y la productividad en el neocio.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 87/134
-e iual manera podemos concluir quees de suma importancia como unanueva forma de administrar ya que
cambia la práctica de compararse sólointernamente a comparar nuestrasoperaciones en base a estándaresimpuestos externamente por las
oranizaciones conocidas como las deexcelencia dentro de la industria.Q@R*ttpOO5onorafias.comOrabajosS.*tml
1 í
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 88/134
1uías
9na uía de auditoría es un manual escrito que contienedirectrices específicas o instrucciones para llevar a cabo unaauditoría. #stas uías están eneralmente específicas deneocio industrias o sectores, tales como las compa%ías de
seuros, corredurías y compa%ías de financiamiento. 1uíasde auditoría pueden basarse en los principios de marco decontabilidad nacionales o relamentaciones ubernamentalesrelativas a industrias específicas del neocio osectores.Auditores utilicen dic*as uías para evaluar lafinanciera o las operaciones de neocios de una empresa y
determinan si cualquier violaciones o debilidades importantesexisten en información interna o externa de la empresa.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 89/134
9na uía de auditoría puede desarrollarse para cada tipode auditoría llevada a cabo por una firma de contabilidadp+blica u otra oranización. ipos más comunes de lasauditorías incluyen financiera, cumplimiento de normas,o las auditorías operacionales. La 1uía de auditoríapuede utilizarse por auditores internos empleados
directamente por la empresa o por auditores p+blicosque realizan auditorías externas. 1uías de auditoríainterna y auditoría externa usualmente difieren en suámbito de aplicación para la evaluación de la informaciónde la empresa. Las auditorías internas suelen ser menosformal y destinados a uso de estión sólo. 9na uía de
auditoría externa a menudo se utiliza para evaluar lainformación de la empresa de despac*o a losinteresados de neocios externos.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 90/134
9na uía de auditoría interna normalmentecomprueba la implementación de las empresas
de controles internos para proteer suinformación financiera y de neocios. !ontrolesinternos podrán limitar el n+mero de funcionesde un individuo puede completar en laempresa, restrinir el acceso a informaciónconfidencial de la empresa o del cliente,arantizar que la compa%ía cumple requisitospara las desinaciones profesionales, o reuniónespecífica ubernamentales y leales. Losdirectores de contabilidad a menudo sonresponsables de desarrollar a la 1uía de
auditoría interna y aseurar que la uía cubretodas las funciones importantes del neocio dela empresa.
P)&ne&'i-n e )& A"i#!$i&
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 91/134
Inf!$>#i'&
2e debe recopilar información para obtener una visióneneral del área a auditar por medio deobservaciones,entrevistas preliminares ysolicitudes de documentos.
La finalidad es definir el objetivo y alcance del estudio, asícomo el prorama detallado de la investiación.
La planeación de la auditoría debe se%alar en formadetallada el alcance y dirección esperados y debecomprender un plan de trabajo para que, en caso de queexistan cambios o condiciones inesperadas que ocasionenmodificaciones al plan eneral, sean justificadas por escrito.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 92/134
2e debe *acer una investiación preliminar
solicitando y revisando la información de cada unade las áreas de la oranización.
=ara poder analizar y dimensionar la estructura
por auditar se debe solicitar?8 A nivel 0ranización otal
0bjetivos a corto y laro plazo
5anual de la 0ranización
Antecedentes o *istoria del 0ranismo=olíticas enerales
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 93/134
@. A nivel Brea informática0bjetivos a corto y laro plazo5anual de oranización del área queincluya puestos, niveles jerárquicos ytramos de mando.
5anual de políticas, relamentosinternos y lineamientos enerales./+mero de personas y puestos en elárea
=rocedimientos administrativos en elárea.=resupuestos y costos del área.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 94/134
. 4ecursos materiales y t$cnicos2olicitar documentos sobre los equipos, n+mero 6de los
equipos por instalados, por instalar y proramados7,localización y características.3ec*as de instalación de los equipos y planes deinstalación.!ontratos vientes de compra, renta y servicio demantenimiento.!ontrato de seuros!onvenios que se mantienen con otras instalaciones!onfiuración de los equipos, capacidades actuales ymáximas.=lanes de expansión9bicación eneral de los equipos=olíticas de operación=olíticas de uso o de equipos
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 95/134
S8 2istemas 5anual de formularios. 5anual de procedimientos de los
sistemas
-escripción en$rica -iarama de entrada, arc*ivo y salida. 2alidas impresas 3ec*a de instalación de los sistemas =royectos de instalación de nuevos
sistemas.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 96/134
!omo resultado de los trabajospreliminares se debe explicitar
objetivo
alcance
limitaciones y colaboración necesarias
rado de responsabilidad
Informes que se entrearan
F&*e* e )& A"i#!$%&
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 97/134
F&*e* e )& A"i#!$%&Inf!$>#i'&
05A -# !0/A!0
=LA/I3I!A!I0/ -# LA 0=#4A!I0/ -#2A440LL0 -# LA A9-I04IA 3A2# -# -IA1/02I!0 =4#2#/A!I0/ -# LA2
!0/!L92I0/#2 30459LA!I0/ -#L =LA/ -#
5#H04A2
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 98/134
Toma de Contacto #n esta etapa se deberán
establecer 8 -efinitivamente el objetivo de la AI 8 Las áreas a cubrir 8 =ersonas de la 0ranización que *abrán de
colaborar y en que momentos de la auditoria 8 =lan de trabajo 8 tareas 8 calendario 8 resultados parciales 8 presupuesto 8 equipo auditor necesario
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 99/134
Planificación de la Operación
Desarrollo de la Auditoria Informática #s el momento de ejecutar las tareas
que se enunciaron en la fase anterior.
#s esta una fase de observación, derecolección de datos, situaciones,deficiencias, en resumen un período enel que
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 100/134
se efectuarán las entrevistas previstas en lafase de planificación.
se completarán todos los cuestionarios quepresente el auditor
se observarán las situaciones deficientes, nosolo las aparentes, sino las que *asta a*ora no
*ayan sido detectadas, para lo que se podrállear a simular situaciones límites.
se observarán los procedimientos, tanto losinformáticos como los de usuarios.
se ejecutarán por lo tanto, todas las previsionesefectuadas en la etapa anterior con el objeto dellear a la siuiente etapa en condiciones dedianosticar la situación encontrada.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 101/134
Fase de Diagnóstico
!uando ya se *ayan efectuado todas losestudios y revisiones, se debe elaborar eldianóstico. !omo resultados de esta etapa *an
de quedar claramente definidos los puntosd$biles, y por contrapunto los fuertes, los riesoseventuales, y en primera instancia los posiblestipos de solución o mejoras de los problemasplanteados.
#stas conclusiones se discutirán con laspersonas afectadas por lo que seránsuficientemente arumentadas y probadas.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 102/134
#s un momento delicado en el trato con
las áreas, los auditores deben presentarestas conclusiones como un plan demejoras en beneficio de todos, en luarde una reprobación de los afectados,salvo en el caso de que esto seaestrictamente necesario.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 103/134
Presentación de las Conclusiones
Formulación del Plan de Mejoras Lleados a este +ltimo punto, la dirección
conoce ya las deficiencias que el equipoauditor *a observado en su departamentoinformático, $stas *an sido discutidas. 5as nobasta con quedarse a*í, a*ora es cuando losauditores *an de demostrar su experiencia ensituaciones anteriores lo suficientementecontrastadas y exitosas y ser capaces deadjuntar, al informe de auditoría, el plan demejoras que permitirá solventar lasdeficiencias encontradas.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 104/134
#l plan de mejoras abarcará todas lasrecomendaciones derivadas de lasdeficiencias detectadas en la realización
de la auditoria. =ara ello se tendrán encuenta los recursos disponibles, o almenos potencialmente disponibles, por
parte de la #mpresa objeto de la Auditoria.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 105/134
#ntre las primeras se incluirán aquellasmejoras puntuales y de fácil realización comoson las mejoras en plazo, calidad, planificación
o formación. Las medidas de mediano plazonecesitaran de uno a dos a%os para poderseconcretar. Aquí pues caben mejoras másprofundas y con mayor necesidad de recursos,como la optimización de proramas, o de ladocumentación, e incluso de alunos aspectosde dise%o de los sistemas.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 106/134
=ara finalizar, las consideraciones alaro plazo, pueden llevar cambiossustanciales en las políticas, medios o
incluso estructuras del servicio deinformática. #stas mejoras pueden pasarpor la reconsideración de los sistemasen uso o de los medios, *umanos y
materiales, con que se cuenta, lleandosi es preciso a una seria reconsideracióndel plan informático.
ALGUNAS RECOMENDACIONES A TENER EN
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 107/134
CUENTA
?8 /o *acer juicios sin la suficientefundamentación@8 !uidar los aspectos de imaen, presentación
y protocolo8 /o adelantar resultados parciales quepueden distorsionar el resultado final
S8 Las entrevistas iniciales son un aspecto muya cuidar. >ay que prepararlas muy bien paraque surtan el efecto que de ellas se espera.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 108/134
'8 #n todo momento, por cordiales que resultenlas relaciones con los auditados, no perder de
vista el papel de consultores experimentados que*an de tener los auditores informáticos. W8 #xponer la idea que los resultados de laauditoria no *arán más que intentar mejorar, a
todos los efectos, el servicio de informática con elbeneficio que ello supondría para todos losimplicados en el área.
M8 #xponer la idea que al final de la auditoria no
se trata de castiar a nadie. #l objetivofundamental es el de encontrar deficiencias ycorreirlas.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 109/134
8 #studiar *ec*os y no opiniones. 6no setoman en cuenta rumores ni informaciónsin fundamento7
K8 Investiar las causas, no los efectos.
?N8 Atender razones, no excusas.
??8 !riticar objetivamente y a fondo todoslos informes y los datos recabados.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 110/134
!D-I10 -# #I!A
=403#2I0/AL -#L A9-I04
#laborar resumen capítulo M
=iattini
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 112/134
#l control interno informático controladiariamente que todas las actividades desistemas de información sean realizadas
cumpliendo los procedimientos,estándares y no normas fijados por la-irección de la oranización yOo a ladirección de informática así como losrequerimientos leales.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 113/134
5isión del control interno informático Aseurarse de que las medidas que seobtienen de los mecanismos implantadospor cada responsable sean correctas yválida.
2uele ser un órano staff, dotado de laspersonas y medios materiales
proporcionados para tareasencomendadas.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 114/134
0bjetivos
!ontrolar que todas las actividades quese realicen cumplan con normas yprocedimientos, evaluar sus beneficios yaseurarse de cumplimiento de normasleales.
Asesorar sobre el conocimientos de lasnormas
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 115/134
-ebido a que cada día es mas frecuente el uso de redes enlas instituciones, las cuales que van desde simples redesinternas y redes locales 6LA/s7, *asta las redes
metropolitanas 65A/s7 o las redes instaladas a escalamundial 6VA/s7. #l establecimientos para estos controlespara la seuridad en sistemas de redes y sistemasmultiusuario de una empresa es de vital importancia. 4azónpor la cual se debe tomar medidas muy especificas para la
protección, resuardo y uso de proramas, arc*ivos einformación compartida de la empresa.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 116/134
4especto a la seuridad en redes, existe un sinn+mero demedidas preventivas y correctivas, las cuales constantementese incrementan en el mundo de los sistemas.
-ebido a la características de los propios sistemas
computacionales , a las formas de sus instalaciones , elnumero de terminales y a sus tipos de conexión , esnecesario adaptarse a los constantes cambios tecnolóicosque buscan arantizar la seuridad en el funcionamiento delas propias redes, de sus proramas de uso colectivo, de su
arc*ivos de información y de su demás características.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 117/134
La seuridad en las redes es muy eficiente y con unaprofundidad dina de se%alarse debido a que constantementese establecen y actualizan sus controles, los cuales van
desde restricción de las accesos para usuarios, *asta el usode palabras claves para el inreso a los proramas y arc*ivosde la empresa , así como el monitoreo de actividades, rutinasde auditoria para identificar comportamientos, con elpropósito de salvauardar la información y los proramas deestos sistemas.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 118/134
Lo mismo ocurre respecto a los planes yproramas de continencias dise%ados para la
salvauarda de la información, de losproramas y de los mismos sistemas de redestablecidos en la empresa.
!0/40L#2
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 119/134
!0/40L#2
041A/ICA!ID/ 4eistro de los intercambios !ustodia de activos que no sean los del propio departamento !orrección de errores que no provenan de los oriinados por el
propio dpto.
#n cuanto a la oranización dentro del mismo departamento , lassiuiente funciones deben estar sereadas proramación del sistema operativo análisis , proramación y mantenimiento operación inreso de datos
control de datos de entrada O salida arc*ivos de proramas y datos.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 120/134
-#2A440LL0 5A/#/I5I#/0 -# 2I2#5A2 Las tecnicas de mantenimiento y proramación
operativos del sistema deben estar normalizados ydocumentados.
0=#4A!ID/ =40!#-I5I#/02 -eben existir controles que aseuren elprocesamiento exacto y oportuno de la informacióncontable.
instrucciones por escrito sobre procedimiento parapara preparar datos para su inreso y procesamiento
La función de control debe ser efectuada por unrupo específico e independiente.
Instrucciones por escrito sobre la operación de losequipos.
2olamente operadores de computador deben
procesar los 2I2 0=
!0/40L#2 -# #X9I=02 =4014A5A2 -#L
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 121/134
2I2#5A -ebe efectuarse un control de los equipos
proramación del mantenimiento preventivo yperiódico reistro de fallas de equipos Los cambios del sist. 0p. la proramación. !0/40L#2 -# A!!#20
#l acceso al =#- debe estar restrinido en todomomento. ambi$n debe controlarse el acceso los equipos debe estar restrinido a
aquellos autorizados el acceso de documentación solo aquellos
autorizados el acceso a los arc*ivos de datos y proramas sololimitado a operadores
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 122/134
Y#l funcionamiento adecuado de los protocolos de red
Y#l funcionamiento corrector de direcciones ya sean por un nivel o jerárquicas.
Y#l manejo de los tama%os de paquetes que se manejan en la red, se+n sumáximo.
Y#l control de errores para la entrea confiable y en orden o sin orden de lainformación que se trasmite en la red.
Y!ontrol de flujo y de velocidad de trasmisión de los datos de la red.
Y!ontrol de conestión del manejo de la información, trasmisión y protocolode la red.
Administración y control de la problemática de seuridad de la red, lainformación, los usuarios, los sistemas computacionales y de lasinstalaciones físicas.
!ontabilidad de los tiempos de uso del sistema, ya sea por conexión de lasterminales, por paquetes, por byte, por proceso o por cualqu
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 123/134
Y Análisis del funcionamiento de los mecanismos de control de accesoa las instalaciones, información y soft:are institucional.Y Análisis de prevención de accesos m+ltiples, sin permisos, dolosos yde todas aquellas acciones para inresar al sistema sin laautorización correspondiente.
Y Análisis del procesamiento de información en los sistemas de red.Y Análisis de la administración y el control de la asinación de losniveles de acceso, privileios y contrase%a para los usuarios parainresar al sistema de la información.Y Análisis del monitoreo de las actividades de los usuarios.
Y Análisis de las medidas correctivas y preventivas para evitar lapiratería de información, soft:are, activos informáticos y consumiblesdel área de sistemas.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 124/134
4I#2102 -# A9-I04EA
5A#4IALI-A-
Análisis de riesos y
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 125/134
ymaterialidad
#l 4ieso en auditoría representa la posibilidad de que el auditorexprese una opinión errada en su informe debido a que losestados financieros o la información suministrada a $l est$nafectados por una distorsión material o normativa.
Análisis de riesos y
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 126/134
ymaterialidad
#n auditoría se conocen tres tipos de rieso In*erente, de!ontrol y de -etección. #l rieso in*erente es la posibilidad deque existan errores sinificativos en la información auditada, almaren de la efectividad del control interno relacionado" son
errores que no se pueden prever. #l rieso de control estárelacionado con la posibilidad de que los controles internosimperantes no preveen o detecten fallas que se están dando ensus sistemas y que se pueden remediar con controles internosmás efectivos. #l rieso de detección están relacionados con eltrabajo del auditor, y es que $ste en la utilización de losprocedimientos de auditoría, no detecte errores en la informaciónque lesuministran. #l rieso de auditoria se encuentra así 4A Z4I x 4! x 4-
!lasificación de los riesos
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 127/134
!lasificación de los riesos
#sta clasificación de los riesos en auditoría puede tenersus variantes" por ejemplo, en aylor y 1lezze semencionan el rieso alfa6rieso del rec*azo indebido7 y elrieso beta6rieso de la aceptación indebida7
La 2A2 /o K. 5enciona el 4ieso 9ltimo como unacombinación de dos riesos el que se cometan errores deimportancia en el proceso contable y el de que estoserrores no sean detectados por el auditor. 2e describe
tambi$n como el rieso de que en el saldo de una cuenta,exista un error monetario mayor que el que se puedatolerar65aterialidad7 y que el auditor no pueda detectarlo.
La materialidad
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 128/134
La materialidad
La 5aterialidad es el error monetario máximo que puedeexistir en el saldo de una cuenta sin dar luar a que losestados financieros est$n sustancialmente deformados. A la
materialidad tambi$n se le conoce como Importancia4elativa.
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 129/134
-##!!ID/ -# 34A9-#2
3raude
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 130/134
3raude
-efinición.8 =odemos afirmar que es un ena%o *acia un tercero, abuso deconfianza, dolo, simulación, etc. #l t$rmino <fraude< se refiere al actointencional de la Administración, personal o terceros, que da comoresultado una representación equivocada de los estados financieros,pudiendo implicar
[ 5anipulación, falsificación o alteración de reistros o documentos.
[ 5alversación de activos
[ 2upresión u omisión de los efectos de ciertas transacciones en los
reistros o documentos. [ 4eistro de transacciones sin sustancia o respaldo
[ 5ala aplicación de políticas contables.
ipos de fraude
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 131/134
ipos de fraude
2e considera que *ay dos tipos de fraudes el primero de ellosse realiza con la intención financiera clara de malversación deactivos de la empresa.
#l seundo tipo de fraude, es la presentación de informaciónfinanciera fraudulenta como acto intencionado encaminado a
alterar las cuentas anuales.
[ Los fraudes denominados internos son aquellosoranizados por una o varias personas dentro de unainstitución, con el fin de obtener un beneficio propio.
[ Los fraudes conocidos como externos son aquellos que seefect+an por una o varias personas para obtener un beneficio,utilizando fuentes externas como son bancos, clientes,proveedores, etc.
=orque *ay fraudes
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 132/134
=orque *ay fraudes
=or Xue >ay 3raudes
2e considera que *ay fraudes por
[ 3alta de controles adecuados.
[ =oco y mal capacitado personal. [ Jaja O alta rotación de puestos.
[ -ocumentación confusa.
[ 2alarios bajos.
[ #xistencia de activos de fácil conversión bonos, paares, etc.
[ Leislación deficiente. [ Actividades incompatibles entre sí.
!omo se evita un fraude
La respuesta más sencilla es la de mejorar el control
7/25/2019 Auditori a 2
http://slidepdf.com/reader/full/auditori-a-2 133/134
administrativo, implementar practicas y políticas de control, analizarlos riesos que motiven a un fraude, tener la mejor ente posible,
bien remunerada y motivada.
!omo se detecta un fraude
#xiste una infinidad de respuestas a esta preunta las más
comunes son [ 0bservar, probar o revisar los riesos específicos de control,
identificar los mas importantes y viilar constantemente suadecuada administración.
[ 2imular operaciones.
[ 4evisar constantemente las conciliaciones de saldos conbancos, clientes, etc.
[ Llevar acabo pruebas de cumplimiento de la eficacia de loscontroles.