guia de auditoria de ti (1)

GUA DE LA AUDITORA DE TECNOLOGAS DE INFORMACIN Pgina 1

AUDITORA DE TECNOLOGAS DE INFORMACIN

ndice

I. GENERALIDADES DE LA GUA DE AUDITORA DE TECNOLOGAS DE INFORMACIN ....... 4

I.1. Antecedentes .................................................................................................................................... 4

I.2. Marco Legal ....................................................................................................................................... 5

I.2.1 Legislacin e instituciones nacionales .................................................................................... 6

I.2.2 Legislacin e instituciones internacionales .......................................................................... 10

I.3. Objetivos de la Gua ...................................................................................................................... 15

I.4. Campo de Aplicacin de la Gua ................................................................................................. 15

I.5. Alcance de la Gua ......................................................................................................................... 15

I.6. Metodologa Utilizada en la Elaboracin de la Gua ................................................................ 16

II. AUDITORA DE TECNOLOGAS DE INFORMACIN .............................................................. 19

II.1. Tipos de Auditora de Tecnologas de Informacin ................................................................. 19

II.2. Consideraciones para Establecer el rea de Auditora de Tecnologas de Informacin ... 20

II.3. Definicin de Auditora de Tecnologas de Informacin ....................................................... 22

II.4. Principios ........................................................................................................................................ 23

II.5. Objetivo de la Auditora de Tecnologas de Informacin ....................................................... 24

II.5.1. Objetivo general .................................................................................................................... 24

II.5.2. Objetivos especficos ............................................................................................................. 24

II.6. Caractersticas del Proceso de Auditora ................................................................................... 25

III. GUA DE AUDITORA DE TECNOLOGAS DE INFORMACIN ............................................. 27

III.1. Conocimiento Preliminar ............................................................................................................. 28

III.2. Planeacin ..................................................................................................................................... 28

III.2.1.1 Riesgo y materialidad de la auditora ............................................................................... 30

III.2.2. Solicitud de informacin ...................................................................................................... 31

III.2.3. Estudio y evaluacin del control interno ........................................................................... 37

III.2.4. Programacin ......................................................................................................................... 38

III.2.5. Integracin ............................................................................................................................. 38

III.3. Ejecucin de la Auditora ............................................................................................................ 39

III.3.1. Inicio de la auditora ............................................................................................................. 40

III.3.2. Desarrollo de procedimientos ............................................................................................. 41

III.3.3. Formulacin de posibles observaciones y/o recomendaciones .................................... 47

III.3.4. Comunicacin de posibles observaciones y/o recomendaciones ................................. 48

III.3.5. Archivo de papeles de trabajo ............................................................................................ 48



III.3.6. Cierre de auditora ................................................................................................................ 49

III.4. Elaboracin del Informe de Resultados .................................................................................... 49

III.4.1. Evaluacin de observaciones y/o recomendaciones ....................................................... 50

III.4.1.1. Documentacin e informacin ......................................................................................... 50

III.4.1.2. Procedimientos anlisis y evaluacin de aclaraciones y comentarios ........................ 51

III.4.1.3 Resultados de informes tcnicos ...................................................................................... 51

III.4.2. Elaboracin del informe ....................................................................................................... 51

III.4.3. Aprobacin............................................................................................................................. 52

GLOSARIO ..................................................................................................................................... 54

ANEXOS

Diagrama de Flujo de la Auditora de Tecnologas de Informacin



I. GENERALIDADES DE LA GUA DE AUDITORA DE TECNOLOGAS DE INFORMACIN

I.1. Antecedentes

La Auditora Superior del Estado es el rgano del Poder Legislativo del Estado de

Chihuahua que por disposicin de la Constitucin Estatal y de conformidad con la ley

que la crea, tiene la funcin de auditar el ingreso y la aplicacin de los recursos pblicos

de los tres poderes de Gobierno del Estado, los Ayuntamientos, los organismos que por

disposicin constitucional estn dotados de autonoma, los organismos pblicos

descentralizados, empresas de participacin y fideicomisos de la administracin pblica

o privada, que reciba, maneje, recaude o administre recursos pblicos, con la finalidad

de coadyuvar al desarrollo permanente de la eficiencia, eficacia, economa y

transparencia de la gestin pblica.

La fiscalizacin de los recursos pblicos debe realizarse desde el punto de vista

financiero, contable, presupuestal, tcnico de obra, legalidad y de gestin; la revisin

de las cuentas pblicas se realizaba de manera bidireccional, es decir solo desde el

punto de vista financiero y de obra, lo que ocasionaba que la gestin gubernamental

dejara de ser evaluada bajo la ptica de otras varias disciplinas para cumplir con mayor

eficiencia la funcin que nos han encomendado, es indispensable incorporar en los

procesos de auditora, disciplinas tales como: Tecnologas de la Informacin, Ambiental,

Legalidad y Desempeo, logrando as que el recurso pblico sea auditado y fiscalizado

bajo la perspectiva multidisciplinaria, dando pauta a la fiscalizacin multidireccional.

Con el modelo multidireccional que la Auditora Superior del Estado de Chihuahua est

implementando para desarrollar su facultad de fiscalizacin de la cuenta pblica,

incorpora el rea de auditora de tecnologas de informacin, en donde una de las

funciones de sta rea, es conocer la situacin en la cual se encuentran las tecnologas

de informacin de los entes pblicos.



El rea de auditora de tecnologas de informacin tiene como uno de sus objetivos;

promover y elevar la cultura del aprovechamiento en el uso de las tecnologas de

informacin en los entes a fiscalizar, constatando que se lleven a cabo las mejores

prcticas y se sigan los procedimientos que aseguren la veracidad, confidencialidad,

confiabilidad y disponibilidad de la informacin, garantizando de esta manera la

prevencin ante posibles contingencias que puedan impedir la continuidad del uso de

los recursos informticos.

Realizar las actividades correspondientes a la verificacin de los controles internos

establecidos en el rea de sistemas, as como el estudio de seguridad fsica y lgica, el

anlisis de los riesgos a que est expuesta la informacin y los equipos de cmputo.

Para el cumplimiento de los objetivos contenidos en sus planes y programas, el artculo

11 fraccin XIV de la Ley de Auditora Superior del Estado de Chihuahua; cita Artculo

11. Son facultades del Auditor Superior del Estado de Chihuahua fraccin XIV

establecer las reglas tcnicas, procedimientos, mtodos y sistemas de contabilidad y

de archivo de los libros y documentos justificativos y comprobatorios del ingreso y del

gasto pblico, as como todos aquellos elementos que permitan la prctica idnea de

las auditoras y revisiones.

I.2. Marco Legal

En este punto se describen la regulacin y las mejores prcticas de Auditora en

Informtica sobre la administracin de los riesgos en la misma, en base a los

organismos nacionales e internacionales, las cuales se han convertido en una pauta a

seguir por diversos organismos.



En este captulo se abordan las principales leyes existentes en materia informtica as

como las mejores prcticas que pueden ser aplicadas en el sector pblico o privado o

cualquier organizacin que utilice la auditora informtica.

I.2.1 Legislacin e instituciones nacionales

El Cdigo Penal de la Federacin, en el ttulo noveno Revelacin de secretos y acceso

ilcito a sistemas y equipos de informtica establece lo siguiente:

TTULO NOVENO

Revelacin de secretos y acceso ilcito a sistemas y equipos de informtica

CAPITULO I

Revelacin de secretos

Artculo 210.- Se impondrn de treinta a doscientas jornadas de trabajo en favor de la

comunidad, al que sin justa causa, con perjuicio de alguien y sin consentimiento del que

pueda resultar perjudicado, revele algn secreto o comunicacin reservada que conoce

o ha recibido con motivo de su empleo, cargo o puesto.

Artculo 211.- La sancin ser de uno a cinco aos, multa de cincuenta a quinientos

pesos y suspensin de profesin en su caso, de dos meses a un ao, cuando la

revelacin punible sea hecha por persona que presta servicios profesionales o tcnicos

o por funcionario o empleado pblico o cuando el secreto revelado o publicado sea de

carcter industrial.

Artculo 211 Bis.- A quien revele, divulgue o utilice indebidamente o en perjuicio de

otro, informacin o imgenes obtenidas en una intervencin de comunicacin privada,



se le aplicarn sanciones de seis a doce aos de prisin y de trescientos a seiscientos

das multa.

Captulo II

Acceso ilcito a sistemas y equipos de informtica

Artculo 211 bis 1.- Al que sin autorizacin modifique, destruya o provoque prdida de

informacin contenida en sistemas o equipos de informtica protegidos por algn

mecanismo de seguridad, se le impondrn de seis meses a dos aos de prisin y de

cien a trescientos das multa.

Al que sin autorizacin conozca o copie informacin contenida en sistemas o equipos

de informtica protegidos por algn mecanismo de seguridad, se le impondrn de tres

meses a un ao de prisin y de cincuenta a ciento cincuenta das multa.


informacin contenida en sistemas o equipos de informtica del Estado, protegidos por

algn mecanismo de seguridad, se le impondrn de uno a cuatro aos de prisin y de

doscientos a seiscientos das multa.


de informtica del Estado, protegidos por algn mecanismo de seguridad, se le

impondrn de seis meses a dos aos de prisin y de cien a trescientos das multa.

A quien sin autorizacin conozca, obtenga, copie o utilice informacin contenida en

cualquier sistema, equipo o medio de almacenamiento informticos de seguridad

pblica, protegido por algn medio de seguridad, se le impondr pena de cuatro a diez

aos de prisin y multa de quinientos a mil das de salario mnimo general vigente en el

Distrito Federal. Si el responsable es o hubiera sido servidor pblico en una institucin



de seguridad pblica, se impondr adems, destitucin e inhabilitacin de cuatro a diez

aos para desempearse en otro empleo, puesto, cargo o comisin pblica.

Artculo 211 bis 3.- Al que estando autorizado para acceder a sistemas y equipos de

informtica del Estado, indebidamente modifique, destruya o provoque prdida de

informacin que contengan, se le impondrn de dos a ocho aos de prisin y de

trescientos a novecientos das multa.

Al que estando autorizado para acceder a sistemas y equipos de informtica del Estado,

indebidamente copie informacin que contengan, se le impondrn de uno a cuatro

aos de prisin y de ciento cincuenta a cuatrocientos cincuenta das multa.

A quien estando autorizado para acceder a sistemas, equipos o medios de

almacenamiento informticos en materia de seguridad pblica, indebidamente

obtenga, copie o utilice informacin que contengan, se le impondr pena de cuatro a

diez aos de prisin y multa de quinientos a mil das de salario mnimo general vigente

en el Distrito Federal. Si el responsable es o hubiera sido servidor pblico en una

institucin de seguridad pblica, se impondr adems, hasta una mitad ms de la pena

impuesta, destitucin e inhabilitacin por un plazo igual al de la pena resultante para

desempearse en otro empleo, puesto, cargo o comisin pblica.


informacin contenida en sistemas o equipos de informtica de las instituciones que

integran el sistema financiero, protegidos por algn mecanismo de seguridad, se le

impondrn de seis meses a cuatro aos de prisin y de cien a seiscientos das multa.


de informtica de las instituciones que integran el sistema financiero, protegidos por



algn mecanismo de seguridad, se le impondrn de tres meses a dos aos de prisin y

de cincuenta a trescientos das multa.

Artculo 211 bis 5.- Al que estando autorizado para acceder a sistemas y equipos de

informtica de las instituciones que integran el sistema financiero, indebidamente

modifique, destruya o provoque prdida de informacin que contengan, se le

impondrn de seis meses a cuatro aos de prisin y de cien a seiscientos das multa.

Al que estando autorizado para acceder a sistemas y equipos de informtica de las

instituciones que integran el sistema financiero, indebidamente copie informacin que

contengan, se le impondrn de tres meses a dos aos de prisin y de cincuenta a

trescientos das multa.

Las penas previstas en este artculo se incrementarn en una mitad cuando las

conductas sean cometidas por funcionarios o empleados de las instituciones que

integran el sistema financiero.

Artculo 211 bis 6.- Para los efectos de los artculos 211 Bis 4 y 211 Bis 5 anteriores, se

entiende por instituciones que integran el sistema financiero, las sealadas en el artculo

400 Bis de este Cdigo.

Artculo 211 bis 7.- Las penas previstas en este captulo se aumentarn hasta en una

mitad cuando la informacin obtenida se utilice en provecho propio o ajeno.

Instituto Mexicano de Auditores Internos, IMAI Dedicado a la capacitacin e investigacin en de Auditora Interna y Control.

De acuerdo al IMAI su misin es promover el mejoramiento constante de la Prctica

Profesional de la Auditora Interna, para fortalecer el prestigio de esta profesin y de

quienes la practican.



Marco jurdico que sirve de referencia para la realizacin de pruebas sustantivas y de

cumplimiento, entre otras disposiciones legales, son las siguientes:

- Constitucin Poltica de los Estados Unidos Mexicanos

- Constitucin Poltica del Estado de Chihuahua

- Ley Orgnica del Poder Ejecutivo del Estado de Chihuahua

- Ley de Entidades Para Estatales del Estado de Chihuahua

- Ley de la Auditora Superior del Estado de Chihuahua

- Cdigo Municipal del Estado de Chihuahua

- Presupuestos de Egresos de Gobierno del Estado y sus Municipios

- Ley de Ingresos de Gobierno del Estado y sus Municipios

I.2.2 Legislacin e instituciones internacionales

INTOSAI ISSAI 5310 Information System Security Review Methodology (Directriz sobre el Control de Sistemas de Seguridad de la Tecnologa de Informacin)

Institute of System Audit and Association, ISACA Asociacin de Auditora y Control de Sistemas de Informacin, lleva a cabo proyectos

de investigacin de gran escala para expandir los conocimientos y el valor del campo

de gobernacin y control de TI.

Institute of Internal Auditors, IIA Organizacin profesional, reconocida mundialmente como una autoridad, pues es el

principal educador y el lder en la certificacin, la investigacin y la gua tecnolgica

en la profesin de la auditora interna.



Control Objectives for Information and related Technology, COBIT Herramienta que permite evaluar la calidad del soporte de TI actual de la

organizacin, vinculando los distintos procesos del negocio con los recursos

informticos que los sustentan.

Figura 1. Estructura del marco de control COBIT.

BS 7799 e ISO 17799

British Standard Institute (BSI) publica la norma BS 7799, un cdigo de buenas

prcticas para la gestin de la seguridad de la informacin. En 1998 tambin el BSI

publica la norma BS 7799-2 con especificaciones para los sistemas de gestin de la

seguridad de la informacin. Actualmente las empresas deben asegurar que sus

recursos y la propiedad intelectual estn protegidos.



Committee of Sponsoring Organizations, COSO Marco de control interno que plantea el informe COSO consta de cinco componentes

interrelacionados, derivados del estilo de la direccin, e integrados al proceso de

gestin:

Ambiente de control

Evaluacin de riesgos

Actividades de control

Informacin y comunicacin

Supervisin

Figura 2. Cubo de los procesos y actividades del COSO



Metodologa de anlisis y gestin de riesgos de los sistemas de informacin, MAGERIT

Esta metodologa presenta un objetivo definido en el estudio de los riesgos que

afectan los sistemas de informacin y el entorno de ellos haciendo recomendaciones

de las medidas apropiadas que deberan adoptarse para conocer, prevenir, evaluar y

controlar los riesgos investigados.

Sarbanes-Oxley, SOX Actualmente las organizaciones estn expuestas a ataques que propicien la prdida

de informacin y fraudes, para minimizar los riesgos de fraude, las empresas se

requieren revisar, evaluar y fortalecer sus propios controles internos.

La ley Sarbanes-Oxley, emitida por el gobierno estadounidense el 30 de julio de 2002,

fue preparada a partir de los escndalos financieros de los ltimos aos y establece

una serie de nuevos requisitos tanto para las empresas estadounidenses como para

las extranjeras, tenedoras y subsidiarias, que cotizan en la bolsa de valores

estadounidense (New York Stock Exchange, NYSE), con la idea de regular el gobierno

corporativo.



Normas Internacionales de Auditora, NIA Emitidas por el International Federation of Accountans (IFAC) a travs del International

Auditing and Assurance Standars Boards (IAASB). Son los requisitos mnimos de calidad

relativos a la personalidad del auditor, al trabajo que desempea y a la informacin que

rinde como resultado de dicho trabajo.

Figura 3. Estructura general de las normas internacionales de auditoria

Figura 4. Normas donde se mencionan los expertos para las revisiones.

Normas personales

Entrenamiento tcnico y capacidad profesional Cuidado y diligencia profesional Independencia de criterio

Normas de ejecucin

Planeacin y supervisin Estudio y evaluacin del control interno Obtencin de evidencia suficiente y competente

Normas de informacion

Aplicacin de las NIF Revelacin suficiente Opinin del auditor

3140 Efectos de la Tecnologa de Informacin (TI) en el desarrollo de una auditora de

estados financieros.

Normas y Procedimientos de Auditora y Normas para

Atestiguar

620 Utilizacin del trabajo de un experto Normas Internacionales de Auditoria



I.3. Objetivos de la Gua

Son objetivos de la presente Gua:

a. Establecer los Procedimientos que faciliten la realizacin de la auditora de

tecnologas de informacin

b. Establecer los procedimientos que permitan interactuar con las diversas reas de

la Auditora Superior.

c. Estandarizar los procedimientos y alcances en la prctica de la auditora de

tecnologas de informacin.

d. Garantizar a los entes fiscalizables que la actuacin de la Auditora Superior del

Estado en la auditora de tecnologas de informacin se regir, entre otros por lo

principios de: Igualdad, Imparcialidad, Buena Fe, Transparencia y Confiabilidad.

I.4. Campo de Aplicacin de la Gua

Esta gua se realiz para uso de la Auditora Superior del Estado de Chihuahua, para su

aplicacin en el universo de entes pblicos sujetos a auditar en el Estado, mismos que

apliquen recursos pblicos de manera directa e indirecta en acciones tecnolgicas; as

como en sus diferentes reas, programas, planes, proyectos, operaciones y resultados

que se generen en el proceso de gestin informtica, y en sus aspectos administrativos,

financieros y tcnicos.

I.5. Alcance de la Gua

La presente gua est dirigida a los auditores de la Auditora Superior que realicen

funciones de auditora de tecnologas de informacin a los diferentes entes pblicos de

la administracin central, descentralizada ya sea estatal y municipal, autnomos,



fideicomisos y personas fsicas o morales que manejen, recauden o administren recursos

pblicos. Adems, el desarrollo de los procesos generales establecidos en la presente

gua es de aplicacin general y flexible de acuerdo a la naturaleza del ente.

I.6. Metodologa Utilizada en la Elaboracin de la Gua

La gua de auditora de tecnologas de informacin, se nutre entre otros de los

resultados y experiencias de los procedimientos de auditora y acciones tecnolgicas

realizados en el ejercicio anterior y de la normatividad antes mencionada.

Para la elaboracin de la presente gua, se consideraron los siguientes puntos:

a. Planear: se convoc a un grupo de auditores involucrados en la ejecucin de

auditoras de tecnologas de informacin para evaluar y mejorar la metodologa

utilizada en esta rea, para lo cual se recopil informacin en la materia con los

entes auditados, as como de procedimientos aplicables en otros pases en

relacin a auditoras a las tecnologas de informacin.

b. Organizar: una vez concluida la fase de planeacin, se define el plan de trabajo y

los aspectos a considerar para el proceso de la auditora, se procedi a elaborar

la presente gua.

c. Verificar: se remiti el documento de trabajo al personal involucrado en el

proceso de auditora de tecnologas de informacin, a fin de que se comente y

determine el contenido de la presente gua y se aporte un producto til para la

ejecucin de las auditoras.

d. Control: con el propsito de evaluar y encontrar reas de oportunidad para la

mejora en los distintos procesos considerados en esta metodologa, se procede

a revisar anualmente los aspectos considerados en la Gua de Auditora de

Tecnologas de Informacin



La presente gua ha sido redactada bajo el enfoque de procesos, presentando el

desarrollo de una secuencia lgica de actividades para la obtencin de un producto

final, el mismo que proporcionar informacin sobre posibles efectos tecnolgicos.

Las cuatro etapas del proceso de revisin de la auditora de tecnologas de informacin

son:

I. El conocimiento preliminar

II. La planeacin

III. Ejecucin de la auditora

IV. La elaboracin del informe

Figura 6. Desarrollo del Proceso de la auditora de tecnologas de informacin

Conocimiento preliminar

Desarrollo de procedimientos Formulacin de posibles observaciones

y/o recomendaciones Comunicacin de posibles observaciones

y/o recomendaciones

Evaluacin de observaciones y/o recomendaciones

Resultados de informes tcnicos

Solicitud de requerimientos Estudio y evaluacin del control

interno

Acuerdo fechas

Estudio y revisin del archivo permanente

Seguimiento informe del ejercicio inmediato anterior

I CONOCIMIENTO

PRELIMINAR II PLANEACIN

III EJECUCIN DE LA

AUDITORA

IV ELABORACIN DEL INFORME



II. AUDITORA DE TECNOLOGAS DE INFORMACIN

II.1. Tipos de Auditora de Tecnologas de Informacin

Llevar a cabo una auditora de tecnologas de informacin requiere un mnimo de

conocimientos sobre temas tecnolgicos y sus impactos.

Existen diferentes tipos de auditoras:

Al ciclo de vida de sistemas

A un sistema en operacin

A controles generales del computador

A la administracin de la funcin informtica

Auditora a las microcomputadoras aisladas

Auditora de redes

Auditoras en las que pueden abordarse temas tecnolgicos

1. En la Auditora financiera o de estados contables, pueden incluirse, entre otros,

los siguientes asuntos informticos:

Iniciativas para prevenir, disminuir o remediar daos a la informacin.

La aplicacin de recursos informticos aprobados en los presupuestos

correspondientes.

Automatizacin de pruebas sustantivas.

2. En la Auditora de Normatividad, los criterios que utilice el auditor deben ayudar

a determinar si la entidad ha ejecutado las actividades relacionadas con el

cuidado de los recursos informticos. La auditora de normatividad, en el

contexto informtico se encargar de evaluar:

MayraResaltado



La verificacin del cumplimiento normativo de aplicacin a lo

tecnolgico.

II.2. Consideraciones para Establecer el rea de Auditora de Tecnologas de

Informacin

La Informtica en la actualidad, est subsumida en la gestin integral de las

organizaciones, por eso las normas y estndares propiamente informticos deben estar,

por lo tanto, sometidos a los estndares generales de la misma. En consecuencia, las

organizaciones informticas forman parte de lo que se ha denominado gestin de la

organizacin.

La Informtica no gestiona propiamente a la organizacin, ayuda a la toma de

decisiones, pero no decide por s misma. Por ende, debido a su importancia en el

funcionamiento de la misma, existe la Auditora Informtica o de tecnologas de

informacin. Las organizaciones acuden a las auditoras externas e internas cuando

existen sntomas perceptibles de debilidad. Estos pueden agruparse en clases:

a. Sntomas de descoordinacin y desorganizacin:

No coinciden los objetivos de la gerencia de TI con los de la propia

organizacin.

Los estndares de productividad se desvan sensiblemente de los

promedios conseguidos habitualmente.

MayraResaltado



b. Sntomas de mala imagen e insatisfaccin de los usuarios:

No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios

de software en los terminales de usuario, variacin de los archivos que deben

ponerse diariamente a su disposicin, etc.

No se reparan las averas de hardware ni se resuelven incidencias en plazos

razonables. El usuario percibe que est abandonado y desatendido

permanentemente.

No se cumplen en todos los casos los plazos de entrega de resultados

peridicos. Pequeas desviaciones pueden causar importantes desajustes en

la actividad del usuario, en especial en los resultados de aplicaciones crticas y

sensibles.

c. Sntomas de debilidades econmico-financieras:

Incremento desmesurado de costos.

Necesidad de justificacin de inversiones informticas.

Desviaciones presupuestarias significativas.

Costos y plazos de nuevos proyectos.

d. Sntomas de Inseguridad:

Evaluacin de nivel de riesgos

Seguridad lgica.

Seguridad fsica.

Confidencialidad.

MayraResaltado

MayraResaltado

MayraResaltado



II.3. Definicin de Auditora de Tecnologas de Informacin

Una auditora a tecnologas de la informacin es un examen profesional, objetivo y

sistemtico de las operaciones y actividades efectuadas por una organizacin, proyecto

o programa, para determinar el grado de cumplimiento y eficacia de:

La planificacin, el desarrollo y la implantacin de los sistemas utilizados.

La informacin producida por los sistemas, su pertinencia y confiabilidad.

La documentacin bsica de cada sistema, su implantacin y la divulgacin

de la misma entre los usuarios.

Los mecanismos de control incorporados en los sistemas.

Los recursos idneos identificados y disponibles para garantizar la

continuidad de las operaciones en caso de desastres.

El programa de adiestramiento al personal de sistemas de informacin, sus

usuarios y los auditores.

Entonces, se entiende por auditora a tecnologas de la informacin a aquella actividad

auditora que trata de evaluar la adecuada utilidad, eficiencia y fiabilidad de la

informacin mecanizada que se produce en una determinada organizacin pblica o

privada, as como los servicios que la elaboran y procesan.

Engloba el anlisis de la organizacin, seguridad, segregacin de funciones y gestin

de las actividades de proceso de datos.

MayraResaltado

MayraResaltado



II.4. Principios

La Auditora Superior, en el ejercicio de sus atribuciones, se regir por los principios de

posterioridad, anualidad, legalidad, imparcialidad, eficiencia, eficacia, economa y

transparencia.

a. Posterioridad: las acciones de la Auditora se llevarn a cabo una vez que los entes

pblicos hayan presentado su cuenta pblica anual, conforme lo establece la norma

vigente aplicable.

b. Anualidad: el perodo de revisin debe estar acotado a un ejercicio fiscal de los

entes, con salvedad de las hiptesis previstas en la propia normatividad.

c. Legalidad: la operacin de los entes pblicos se rige por la normatividad que

establece el marco jurdico que le aplica.

d. Imparcialidad: las auditoras se realizarn a los entes pblicos de una manera objetiva

y veraz.

e. Eficacia: capacidad de lograr los objetivos y metas programadas con los recursos

disponibles en un tiempo predeterminado.

f. Eficiencia: uso racional de los medios con que se cuenta para alcanzar un objetivo

predeterminado; es el requisito para evitar o cancelar dispendios y errores.

g. Economa: la adquisicin de bienes y servicios en mejores condiciones de precio,

calidad, cantidad y oportunidad, as como la ptima aplicacin de los recursos utilizados

en la administracin para la reduccin al mnimo de los costos.

MayraResaltado



h. Transparencia: est referida a la difusin de la labor de auditora, con la finalidad de

sensibilizar y concientizar a funcionarios y pobladores sobre la necesidad de conservar

el ambiente y propender a su desarrollo sostenible.

II.5. Objetivo de la Auditora de Tecnologas de Informacin

II.5.1. Objetivo general

Promover y elevar la cultura del aprovechamiento en el uso de las Tecnologas de

Informacin en los Entes a fiscalizar, constatando que se lleven a cabo las mejores

prcticas y se sigan los procedimientos que aseguren la veracidad, confidencialidad,

confiabilidad y disponibilidad de la informacin, garantizando de esta manera la

prevencin ante posibles contingencias que puedan impedir la continuidad del uso de

los recursos informticos.

Realizar las actividades correspondientes a la verificacin de los controles internos

establecidos en el rea de Sistemas, as como el estudio de seguridad fsica y lgica, el

anlisis de los riesgos a que est expuesta la informacin y los equipos de cmputo.

II.5.2. Objetivos especficos

Determinar la situacin actual del rea informtica, las actividades y esfuerzos

necesarios para lograr los objetivos propuestos.

Minimizar existencias de riesgos en el uso de tecnologa de informacin.

Evaluar la dependencia de los sistemas y las medidas tomadas para garantizar su

disponibilidad y continuidad.

Revisar la seguridad de los entornos y sistemas.

MayraResaltado

MayraResaltado



Evaluar la suficiencia y eficacia de los planes de contingencia.

Analizar la garanta de calidad de los Sistemas de Informacin

Brindar una opinin y recomendaciones sobre la utilizacin eficiente de los

recursos informticos.

Analizar los controles y procedimientos tanto organizativos como operativos.

Apoyar a las dems reas de auditora con la realizacin de pruebas sustantivas y

de cumplimiento con el uso de las herramientas informticas.

II.6. Caractersticas del Proceso de Auditora

El proceso de auditora debe cumplir las siguientes caractersticas:

a. Objetividad: el auditor debe contar con actitud mental independiente sin

influencias personales, debiendo prevalecer en todo momento el juicio

profesional para analizar, interpretar y evaluar el cumplimiento normativo y el

registro de las operaciones realizadas.

b. Sistematicidad: porque a travs de una metodologa, se permite que el auditor

exprese y sustente una opinin sobre la gestin desarrollada por la entidad.

c. Especializacin: contando con los conocimientos en auditora, tecnologas de

informacin y disciplinas afines, respaldados por la experiencia.

d. Oportunidad: la ejecucin de la auditora, as como la presentacin del Informe

Tcnico de Resultados, que integra las observaciones y recomendaciones al ente

auditado, debern presentarse en los tiempos establecidos por la Legislacin

aplicable.

MayraResaltado

MayraResaltado



III. GUA DE AUDITORA DE TECNOLOGAS DE INFORMACIN

La auditora de tecnologas de informacin es un proceso que comprende cuatro fases:

Conocimiento Preliminar, Planeacin, Ejecucin de la Auditora y Elaboracin del

Informe de Resultados. Adicionalmente, se considera una fase de seguimiento posterior

a la conclusin de la auditora; tal como se muestra a continuacin:

Figura 7. Proceso de auditora de tecnologas de informacin

La secuencia del proceso de actividades que comprende cada fase, es flexible y

aplicable de acuerdo a la naturaleza de la entidad, as como al plan, programa,

proyecto, obra, actividad o problema informtico que se va a auditar. El proceso

completo de la auditora se grafica en el Anexo 1 Diagrama de Flujo del Proceso de

auditora de tecnologas de informacin.

Conocimiento preliminar

Planeacin

Ejecucin de la auditora

Elaboracin del Informe Tcnico de

Resultados



A continuacin, se analiza cada fase del proceso de auditora de tecnologas de

informacin.

Enfoque metodolgico

El enfoque metodolgico propuesto integra el conocimiento aportado por las

organizaciones que lideran el desarrollo de los estndares y mejores prcticas en el

mbito de las tecnologas de la informacin reconocidas a nivel internacional,

entregando un marco referencial para realizar auditoras a las tecnologas de

informacin centradas en los procesos de la organizacin, los sistemas de informacin

que los soportan y sus actividades de control.

III.1. Conocimiento Preliminar

Es la fase inicial del proceso de auditora de tecnologas de informacin, se considera el

archivo permanente que contiene la informacin general para el estudio y comprensin

de los entes a revisar en caso de que se hayan realizado auditoras en aos anteriores,

as como, revisar el informe del ejercicio anterior para darle seguimiento a las

observaciones.

III.2. Planeacin

La Planeacin es la primera fase del proceso de auditora, en ella se identifican las reas

crticas e informacin del rea de tecnologas de informacin, a partir del cual se

determina el alcance, procedimientos de revisin y el equipo auditor comisionado, con

el propsito de definir los objetivos de auditora teniendo como resultado la Planeacin

de la Auditora.



Para el desarrollo de la planeacin de auditora de tecnologas de informacin, se

debern considerar el desarrollo de los siguientes procesos:

Solicitud de informacin al rea del ndice de Rendicin de Cuentas (IRC) y

validacin de la misma.

Estudio y evaluacin del control interno en las reas de tecnologas de

informacin del ente a auditar, se aplica a travs de la herramienta SIDATI.

Solicitar informacin del contenido tecnolgico mediante instrumentos de

recopilacin como son: cuestionarios, entrevistas, inspeccin, etc.

Coordinarse con el resto de las reas de la ASE a efecto de compartir

informacin del tipo informtica que stas hayan considerado en sus

procedimientos de revisin.

Bases de datos de los sistemas a revisar.

Procedimientos a revisar por las diferentes reas de la ASE.

Coordinacin con el Sndico Municipal para el desarrollo de procedimientos

tcnicas e inspecciones de auditora de tecnologas de informacin.

Figura 8. Proceso de planeacin de la auditora de tecnologas de informacin

Informacin Preliminar

Solicitud de informacin

Estudio y Evaluacin de CI

Programacin

Integracin

Planeacin CATI



III.2.1.1 Riesgo y materialidad de la auditora

Se puede definir los riesgos de auditora como aquellos riesgos de que la informacin

pueda tener errores materiales o que el auditor de TI no pueda detectar un error que ha

ocurrido. Los riesgos en auditora pueden tener diversas clasificaciones.

El auditor puede llegar a la conclusin de que no existen errores materiales cuando en

realidad los hay. La palabra material utilizada con cada uno de los riesgos evaluados, se

refiere a un error que debe considerarse significativo cuando se lleva a cabo una

auditora. En una auditora de TI, la definicin de riesgos materiales depende del

tamao o importancia del objeto auditado as como de otros factores. El auditor de TI

debe tener una cabal comprensin de los riesgos de auditora al planificar.

Una auditora tal vez no detecte cada uno de los potenciales errores en un universo,

pero, s el tamao de la muestra es lo suficientemente grande, o se utilizan

procedimientos estadsticos adecuados, se llega a minimizar la probabilidad del riesgo

de deteccin.

De manera similar al evaluar los controles internos, el auditor de TI debe percibir que en

un sistema dado se puede detectar un error mnimo, pero ese error combinado con

otros, puede convertirse en un error material para todo el objeto auditado.

a. Tcnicas de evaluacin de riesgos

Al determinar que reas funcionales o temas de auditora que deben auditarse, el

auditor de TI puede enfrentarse a una gran variedad de temas candidatos a ser

auditados, el auditor debe evaluar esos riesgos y determinar cules de esas reas de

alto riesgo debe ser auditada.



b. Objetivos de controles y objetivos de auditora

El objetivo de un control es anular el riesgo siguiendo alguna metodologa, el

objetivo de auditora es verificar la existencia de estos controles y que estn

funcionando de manera eficaz, respetando las polticas del ente y los objetivos del

ente.

III.2.2. Solicitud de informacin

Este procedimiento deber realizarse de manera formal utilizando las herramientas

como son: oficios, cuestionarios, entrevistas, layouts, entre otros, con la finalidad de

documentar y soportar la auditora de tecnologas de informacin.

III.2.2.1. Documentacin e informacin

a. Normatividad: los auditores, entes auditados y el mismo proceso de auditora;

estn sometidos a un marco normativo que debe ser considerado a lo largo de

toda la auditora.

b. Lineamientos establecidos en la que contiene: el objetivo general, objetivos

especficos, metas y acciones, nmero de integrantes, planeacin general de la

auditora de tecnologas de informacin. A partir del plan se establece el

personal responsable. Cualquier otra accin no contemplada en la planeacin

estratgica se adicionar a los procedimientos aplicables para su ejecucin.

c. Archivo Permanente: est integrado por informacin general como es: ley

orgnica o decreto de creacin del ente, informes de auditoras y cdulas de



seguimiento, nombre del titular, domicilio, colindancia, telfono, etc., normativa

y documentos de gestin desarrollados por el ente auditado.

d. Informacin General: comprende el conocimiento del ente auditar, es decir, su

naturaleza, actividades y operaciones, obtenido a partir de decreto de creacin y

regulacin normativa que le aplique.

e. Antecedentes: incluye informes de auditoras anteriores, internos o externos,

denuncias de ciudadanos por aspectos tecnolgicos, requerimientos del titular

de la ASE, as como cualquier otra documentacin relacionada con la auditora.

f. Restricciones: tales como personal, tiempos, disponibilidad de equipos,

comunicaciones y otras que puedan interferir en la realizacin del proceso de

planificacin.

III.2.2.2. Procedimientos

El auditor de TI responsable, deber incluir de manera escrita o medios magnticos los

mtodos que utilizar para el desarrollo de los trabajos correspondientes de acuerdo

con el programa detallado de actividades y los alcances definidos para la Auditora.

a. Revisin del archivo permanente:

De existir una auditora realizada con anterioridad a la entidad o rea a evaluar,

se debe contar con un archivo permanente que contiene normas generales,

especficas y documentos de gestin de la entidad que pueden ser revisados

inicialmente como referencia. Es el archivo con los antecedentes que reflejan el

estado de organizacin y funcionamiento de los procesos y sistemas auditados

en una entidad. Este archivo contiene informacin de la organizacin que es

poco cambiante y, por consiguiente, tiene validez continua a travs del tiempo.



b. Reuniones interinstitucionales:

Como parte del ente pblico a auditar y de la problemtica a ser considerada en

el diagnstico inicial, los auditores realizarn reuniones, de ser posible, con los

funcionarios del ente, con el fin de conocer su forma de trabajo, establecer el

contacto inicial con los responsables de rea, con la finalidad de obtener una

mayor eficiencia en la revisin.

c. Sistematizacin y bsqueda de la informacin:

Comprende la revisin de informacin que se obtiene a partir de publicaciones,

estudios de investigacin, Internet, sistemas de informacin y otras adicionales a

la informacin obtenida del ente a auditar.

d. Anlisis de hechos:

Para identificar el problema principal o rea crtica objeto del desarrollo de la

auditora, es necesario que los auditores se basen en hechos y no se dejen guiar

solamente por el sentido comn, la experiencia o la habilidad; lo cual podra

ocasionar un resultado contrario al esperado.

e. Levantamiento de la informacin bsica y detallada:

El levantamiento de informacin que se realiza en esta etapa, tiene como

finalidad asegurar que el auditor comprenda la filosofa y las caractersticas de

funcionamiento de los procesos de negocio y sistemas de informacin en

estudio. Esto es imperativo dentro del proceso de la auditora, puesto que toda

la pericia y el conocimiento tcnico del auditor seran inaplicables si antes no

obtiene la comprensin de aspectos claves del universo que ser auditado.



Como resultado de esta actividad, el auditor obtiene la siguiente informacin:

1. De los procesos de negocio

Estructura organizacional.

Estructura de las reas propietarias de la informacin de los procesos

de negocio.

Clientes internos y externos.

Dependencias de la organizacin.

Tareas o actividades que realiza cada dependencia.

Terceros que intervienen en el manejo de la informacin.

Cuantificacin de las cifras de operaciones que manejan los procesos

de negocio (promedio durante un ao).

Polticas y procedimientos establecidos en la organizacin relacionados

con los procesos de negocio.

Normas legales e institucionales que rigen el funcionamiento del

servicio.

Informacin sobre fraudes y otros antecedentes en las operaciones del

servicio.

2. De las tecnologas de informacin que soportan los procesos de negocio

Funciones y operaciones del negocio que ejecutan los sistemas.

Modelo entidad/relacin de las bases de datos de los sistemas.

Diccionario de datos de los modelos entidad/relacin.

Inventario de documentos fuentes y otros medios de entrada de datos.

Personas claves que dan soporte tcnico a la operacin y

mantenimiento de los sistemas para cada dependencia.

Terceros que prestan servicios de tecnologas de informacin para los

procesos de negocio.



Inventario de informes que producen los sistemas y destinatarios de los

mismos.

Interfaces entre sistemas (informacin que reciben o proporcionan a

otros sistemas).

Manuales existentes con la documentacin tcnica y del usuario.

Plataforma en la que funcionan los sistemas de informacin (sistema

operativo, software de desarrollo y motor de base de datos utilizados).

Si el sistema de informacin fue adquirido; datos del proveedor, ao de

adquisicin, versin en produccin, cantidad de usuarios con licencia,

poseen programas fuentes y contrato de mantencin).

Si el sistema de informacin fue desarrollado internamente (tipo de

lenguaje utilizado, archivos fuentes y ejecutables, fecha de ingreso a

produccin, versin actual en produccin).

f. Ficha tcnica de los sistemas de informacin

La ficha tcnica es un documento con el resumen gerencial de las principales

caractersticas del proceso de negocio y de las tecnologas de informacin que

soportan sus operaciones.

III.2.2.3. Resultados de la planeacin

a. Diagnstico de Materialidad en la Auditora, segn el punto III.2.1.1:

Documento donde los auditores responsables de la planeacin efectan un

primer anlisis de la problemtica a ser evaluada, identificando las reas de

oportunidad, provenientes de la aplicacin de las herramientas de identificacin

de problemas, de la revisin de la documentacin y realizacin de las reuniones

interinstitucionales. Este diagnstico ayudar a identificar la problemtica

tecnolgica del ente para establecer los procedimientos a aplicar. Dicho



documento es aprobado por el equipo supervisor e instancia superior

correspondiente.

b. Determinacin de reas de oportunidad:

Los pasos anteriores ayudan a definir las unidades de la entidad y los temas de

inters a ser examinados. Esto no exime la posibilidad de que el auditor revise

otras reas no consideradas en la planeacin.

c. Informacin adicional:

Si existe la necesidad de informacin complementaria se procede a requerirla de

manera formal, utilizando medios telefnicos y correo electrnico. Asimismo, a

travs de la ASE mediante formatos internos de requerimientos del ndice de

Rendicin de Cuentas (IRC).

d. Inspecciones:

Extraordinarias: igualmente y solo de ser necesario, el auditor responsable de la

planeacin elaborar un documento proponiendo y justificando estas visitas, dicho

documento deber contener como mnimo lo siguiente:

Justificacin: la necesidad de la realizacin de la inspeccin.

Objetivo: qu se desea obtener como resultado de la inspeccin.

Puntos de inters: qu se requiere revisar durante la inspeccin.

Actividades: rutas, tiempos, responsables etc.

Necesidades: movilidad, equipos logsticos, costos (viticos en el caso de

realizarse fuera del mbito geogrfico de la entidad auditora).

El documento final ser remitido a la instancia superior correspondiente para su

aprobacin y posterior archivo en los papeles de trabajo de la fase de planeacin.



III.2.3. Estudio y evaluacin del control interno

El estudio y evaluacin del control interno se efectuar con el objeto de cumplir con la

norma de ejecucin del trabajo que requiere el auditor, que le sirva de base y

determine el grado de confianza que va a depositar sobre el control interno y que esto

le permita determinar la naturaleza, el alcance y la oportunidad en los procedimientos

de auditora.

Esta etapa tiene como objetivos conocer y comprender el ambiente de organizacin,

tecnolgico y operativo de los procesos de negocio y los sistemas de informacin que

los soportan. Implica para el auditor realizar un levantamiento de la informacin

detallada a travs de entrevistas con las personas apropiadas, de observacin de la

forma como se ejecutan las operaciones y de la comprensin de la lgica del negocio,

los flujos de informacin, el rol de las personas y dependencias que intervienen en el

manejo de las operaciones y otros aspectos que el auditor considere importantes.

Cuando se realiza por primera vez la auditora en un servicio, la informacin relevante

obtenida en esta etapa se organiza en un documento conocido como archivo

permanente o expediente continuo de auditora. Si el archivo ya existe, es necesario su

revisin y actualizacin con los cambios efectuados desde la ltima auditora.

Este documento contiene informacin sobre los objetivos y procesos que soportan los

sistemas de informacin y sobre los recursos de tecnologa utilizados (instalaciones de

procesamiento, infraestructura, personal, contratos, etc.) y la importancia relativa de las

cifras que se procesan y otros datos de inters.



III.2.4. Programacin

El Programa Anual de Auditora que al efecto se elabore por la ASE, establecer el

universo de entes pblicos a auditar durante el ejercicio fiscal que corresponda,

asimismo establece la calendarizacin dentro de la programacin de las auditoras.

De igual forma se comisiona al equipo de auditores de TI para llevar a cabo las

auditoras del Programa Anual de Auditora. El programa de trabajo se formula en

papeles o medios magnticos en los cuales generalmente se anotarn los siguientes

encabezados:

Procedimiento: Para describirlo lo ms claro y breve posible.

Extensin: Deber incluirse y describirse su tcnica.

Oportunidad: Donde se aclara la poca o fecha que debe efectuarse el

trabajo especfico.

Auditor: Donde se asigna el responsable y equipo auditor de la revisin.

Tiempo estimado: Donde se anota el tiempo en horas que se estima

concluir la revisin.

Tiempo real: Para anotar el tiempo realmente empleado

Variacin: Para anotar los tiempos reales respecto a los estimados y hacer

las explicaciones pertinentes.

Observaciones: Para aclarar aspectos especiales en relacin con el trabajo

o la cuenta a revisar.

III.2.5. Integracin

Considerado como el ltimo de los procesos en la fase de planeacin. Es aqu donde se

consolida la informacin generada y que documentalmente establece la evidencia del



proceso de planeacin, del estudio y evaluacin del control interno, de los

procedimientos a aplicar en la auditora, de la supervisin a realizar, as como la

programacin de las auditoras.

III.3. Ejecucin de la Auditora

La fase de ejecucin de la Auditora se lleva a cabo en dos vertientes, el trabajo de

campo que se realiza generalmente en el domicilio del ente, y otros procedimientos de

la auditora se realizan de gabinete en las oficinas de la Auditora Superior. En la etapa

de ejecucin se realizan las pruebas de evaluacin de cumplimiento normativo, el

examen documental y la obtencin de evidencias suficientes, competentes y relevantes

que permitan cumplir los objetivos generales y especficos considerados en la

planeacin de auditora de tecnologas de informacin.

Figura 9. Proceso de Ejecucin de Auditora

Inicio de la auditora

Desarrollo de procedimientos

Formulacin de posibles observaciones

Comunicacin de observaciones

Planeacin CATI

Cierre de auditora Informe previo

Archivo de papeles de trabajo



En esta fase, el equipo auditor realizar de ser necesario los ajustes al programa de

auditora, con el fin de lograr el objetivo de la misma, registrando los cambios.

III.3.1. Inicio de la auditora

III.3.1.1. Acreditacin

Es aqu donde se apersonan los auditados comisionados del rea informtica ante el

titular y/o funcionario facultado, para dar inicio a la auditora en el domicilio del ente a

quienes se le presenta el Oficio de Comisin emitido por funcionario facultado de la

Auditora Superior para la realizacin de la auditora procediendo a acreditarse los

auditores comisionados con las credenciales de identificacin correspondiente y el

oficio de comisin. Posteriormente se solicita el nombramiento de testigos y la

identificacin y/o acreditacin de los funcionarios y testigos con la finalidad de levantar

el acta de inicio respectiva, firmando en dicho documento las partes que en ella

intervienen.

III.3.1.2. Actividades

a. Reunin inicial:

La reunin inicial es presidida por el auditor encargado, haciendo la presentacin

del equipo de auditora a los funcionarios del ente auditado, ante quien exponen

los objetivos, alcance y naturaleza de la misma y hacen entrega del documento

original de acreditacin ante el titular de la entidad.

b. Acta de inicio:

Posterior a la presentacin del oficio de comisin y explicado el objeto del

mismo, se proceder a solicitar al titular la designacin de dos testigos a afecto

MayraResaltado

MayraResaltado

MayraResaltado

MayraResaltado



de elaborar el acta de inicio, firmando al trmino de la misma los actuantes en el

proceso de inicio de la auditora.

En caso de no designar a los testigos antes citados, se har constar dicha

circunstancia en el acta de inicio, y se proceder al inicio de la auditora.

c. Lugar de trabajo:

Solicitar al titular del ente auditado un espacio adecuado para el desarrollo de

los trabajos de auditora, asimismo las herramientas y equipo requerido por los

auditores para el mejor desempeo de su comisin.

III.3.2. Desarrollo de procedimientos

De acuerdo a las tareas asignadas en la planeacin de la auditora, el equipo asignado

se orientar al logro de los objetivos de la revisin, a travs del examen documental, la

inspeccin y la verificacin de la informacin del ente en lo referente a programas,

planes y acciones, aplicando los procedimientos y tcnicas de auditora necesarios.

III.3.2.1. Actividades

a. Evaluacin del control interno:

Todos los tipos de auditora ejecutados en la ASE, deben evaluar la estructura de

control interno de los entes a auditar, que sirva de apoyo en la toma de

decisiones de los auditores y establecer los pronunciamientos normativos

aplicables a su estudio y evaluacin como un aspecto fundamental al establecer

la estrategia de la auditora.

MayraResaltado

MayraResaltado

MayraResaltado

MayraResaltado



Particularmente, el rea de auditora de tecnologas de informacin desarroll un

software en web que permiti la aplicacin de un cuestionario de control interno

y la solicitud de inventarios de tecnologas de informacin a cada uno de los

entes que conforman el sector gubernamental con la finalidad de obtener un

diagnstico general de los recursos informticos (humano, tcnico, y de sistemas)

del sector pblico del Estado de Chihuahua. Este sistema fue desarrollado y

fundamentado en el Marco de Control COBIT.

Figura 10. Sistema WEB SIDATI

En esta etapa los auditores deben evaluar el sistema de control interno existente

en los procesos de negocio y sistemas de informacin objeto de la auditora,

como base para determinar la naturaleza y extensin de las pruebas de auditora

que se requieran. Evaluar el sistema de control interno significa: Determinar si

los controles establecidos en los procesos de negocio y los sistemas de



informacin, ofrecen la proteccin apropiada para reducir los riesgos a niveles

aceptables para la organizacin.

El propsito de la evaluacin de control interno, es determinar si es suficiente y

efectiva para proteger a la organizacin, contra los riesgos que podran afectarla

en los procesos de negocio y sistemas de informacin que se estn auditando.

Esto es, evaluar la confiabilidad de los controles utilizados para prevenir o

detectar y corregir las causas de los riesgos y minimizar el impacto que estos

tendran en caso de llegar a materializarse.

La evaluacin del sistema de control interno produce resultados intermedios, de

valor importante para las etapas restantes del proceso de auditora, estos son:

1) El auditor fundamenta su opinin sobre la confiabilidad que ofrecen los

controles utilizados, para reducir la probabilidad de ocurrencia o el impacto de

los riesgos. Los resultados de esta evaluacin sirven al auditor como base para

determinar la naturaleza y extensin de las pruebas de auditora que se

consideren necesarias y apropiadas a las circunstancias.

2) El auditor identifica y soporta debilidades y oportunidades de mejoramiento

(observaciones de auditora) en la estructura de los controles. Estas

observaciones son insumos para el informe de auditora.

3) El auditor identifica los controles que debern verificarse en la etapa de

ejecucin de pruebas de auditora, para determinar que realmente existen, estn

operando y son entendidos por las personas encargadas de ejecutarlos (pruebas

de cumplimiento).



4) El auditor identifica los datos crticos y actividades sobre las cuales es

necesario aplicar pruebas para verificar la exactitud y confiabilidad de los clculos

y de la informacin que producen los sistemas de informacin para apoyar el

desarrollo de las operaciones del negocio (pruebas sustantivas).

5) El auditor documenta las observaciones de auditora para los procesos de

negocio y los sistemas de informacin que los soportan. Esta presenta las

debilidades y deficiencias de control interno y seguridad identificadas en la

evaluacin de controles.

Los controles internos comprenden planes, mtodos, procedimientos y otras medidas,

incluyendo la actitud de funcionarios y dems personal de la entidad, encargados de

lograr los objetivos de efectividad, eficiencia y economa; proteger y conservar los

recursos pblicos; y cumplir leyes, reglamentos y otras normas.

b. Obtencin de pruebas de auditora:

Aplicando los procedimientos y tcnicas de auditora, el auditor debe obtener

evidencia suficiente, competente, relevante y aplicar pruebas de control y

procedimientos sustantivos, que le permitan fundamentar razonablemente los

juicios y conclusiones que le formule al ente auditado.

c. Las pruebas a realizar son:

De control: para confirmar que los programas o acciones han operado

efectivamente durante el perodo examinado.

De cumplimiento: Sobre la observancia de las disposiciones legales y

reglamentarias vigentes. Todas las pruebas deben incorporarse en los papeles

de trabajo de la comisin de auditora, con su respectivo anlisis y conclusin.

MayraResaltado



d. Las tcnicas de auditora son:

Verificacin ocular: Los auditores se cerciorarn personalmente, sobre los hechos

y circunstancias, cmo el personal de la entidad ejecuta las operaciones.

Verificacin oral: Indagacin, averiguaciones o conversaciones con el personal

del ente auditado. Varias respuestas relacionadas entre s, razonables y

consistentes, suministran un elemento de juicio satisfactorio.

Entrevistas: Con beneficiarios de programas o proyectos, deber prepararse

apropiadamente, e identificar quines sern los entrevistados, as como definir el

propsito y los puntos a abordar.

Verificacin escrita: Radica en corroborar la verdad, certeza o probabilidad de

hechos, situaciones, sucesos u operaciones mediante documentacin certificada,

datos e informacin obtenidos de manera directa de los funcionarios o terceros

que participan o ejecutan las operaciones sujetas a verificacin.

Confirmacin: Permite comprobar la autenticidad de los registros y documentos

a travs de la informacin directa o escrita otorgada por una persona

independiente del ente auditado y que se encuentre en posibilidades de

conocer la naturaleza y condiciones de la operacin y por lo tanto confirmar de

una manera valida esta tcnica.

Verificacin documental: Se aplica para constatar la existencia, legalidad,

autenticidad y legitimidad de las operaciones efectuadas por el ente, mediante la

verificacin de los documentos que las justifiquen.

MayraResaltado



Verificacin fsica: La Inspeccin es el examen fsico presencial de activos, obras,

documentos, escenarios, con el objeto de establecer su existencia, estado y

autenticidad.

Inspecciones: Si bien las inspecciones forman parte de las tcnicas de verificacin

fsica, su realizacin debe ser selectiva. Deben contar con un plan que contenga

como mnimo:

Objetivo

Actividades a desarrollar

Lugares a visitar

Recursos humanos

Apoyo logstico

Duracin

Responsable

Certificacin: Obtencin de un documento de que se asegura la verdad de un

hecho, legalizado por la firma de una autoridad facultada para hacerlo.

Reuniones de avances de auditora: Durante la fase de ejecucin de la auditora,

se realizan reuniones de avances. Estas reuniones deben ser presididas y guiadas

por la supervisin.

Cruce de informacin: En la auditora de las tecnologas de informacin por ser

parte de la estructura multidisciplinaria de la ASE, es necesario crear los canales

y filtros de informacin entre comisiones de auditora que ayuden al logro del

xito de la misma.

MayraResaltado

MayraResaltado

MayraResaltado

MayraResaltado

MayraResaltado



III.3.3. Formulacin de posibles observaciones y/o recomendaciones

Las posibles observaciones y/o recomendaciones determinadas o formuladas como

resultado de los procedimientos de auditoras de tecnologas de informacin aplicados

al ente auditado, los cuales estn referidos al incumplimiento de la normatividad

aplicable, por desvi de recursos destinados a programas tecnolgicos.


Fuentes de criterio: Normativa general y especfica, documentos diversos que sustenten

el incumplimiento normativo y desviaciones detectadas.

Riesgos en el proceso de auditora: Derivado de la supervisin en el proceso de

ejecucin de la auditora, existen situaciones de irregularidad que pueden alterar o

modificar el desarrollo de los procedimientos y alcances considerados en la planeacin

de la auditora.


Desarrollo: El auditor al momento de ejecutar los procedimientos de auditora debe

tener en cuenta las siguientes caractersticas:

Debe estar basado en hechos y evidencias precisas debidamente

documentadas.

Debe ser objetivo y completo.

Debe estar basado en una razn suficiente para respaldar las conclusiones.

Debe ser convincente y claro para una persona que no haya participado

en la auditora.



De contener las caractersticas y atributos sealados, la observacin se redacta segn la

estructura: rubro, cuenta o concepto, descripcin de la falta normativa o determinacin

de diferencias encontradas, as como la fundamentacin de la legislacin que se

incumpli.

Anlisis de la observacin: El auditor debe considerar los siguientes criterios para

analizar la viabilidad de una observacin. Materialidad: para que una observacin sea

significativa debe garantizar la recoleccin de evidencias. Asimismo se debe tener en

cuenta la relevancia en la desviacin de recursos.

Revisin y Supervisin: Las observaciones deben ser revisadas como mnimo en dos

niveles, el de la jefatura de la auditora y el de la supervisin, los cuales deben asegurar

el cumplimiento de los puntos anteriores.

III.3.4. Comunicacin de posibles observaciones y/o recomendaciones

El auditor encargado es el responsable de comunicar oportunamente las posibles

observaciones y/o recomendaciones al jefe inmediato superior, a fin de que puedan

presentar sus comentarios y aclaraciones sustentados documentadamente en el plazo

fijado, para su oportuna evaluacin y consideracin en el informe final correspondiente.

III.3.5. Archivo de papeles de trabajo

Es el archivo con las hojas de trabajo que contienen las evidencias del desarrollo de

cada una de las etapas de la auditora. Los documentos de este archivo tienen validez

por una sola vez, es decir, para cada auditora realizada a las aplicaciones que estn en

proceso de evaluacin. Por consiguiente, cada vez que se efecte una auditora se

debe elaborar un nuevo archivo con la informacin recopilada.



III.3.6. Cierre de auditora

Es la culminacin de la fase de ejecucin o el trabajo de campo; aqu se sustentan los

objetivos y procedimientos de las observaciones y/o recomendaciones, asimismo el

auditor tiene que hacer uso de sus conocimientos del rea y de su juicio profesional

aplicando en gran medida la experiencia para lograr la evidencia de auditora suficiente

que permita determinar que el ente auditado cumpli con las expectativas.

Concluida la fase de ejecucin, el equipo de auditora se prepara para iniciar la etapa

de la elaboracin del informe tcnico de resultados.

III.4. Elaboracin del Informe de Resultados

El informe tcnico de resultados es el documento ms importante del trabajo de la

auditora de tecnologas de informacin, por presentar los resultados obtenidos en la

revisin al ente. El informe de auditora debe contener la expresin de razonamientos o

juicios fundamentados en las evidencias obtenidas en relacin a los objetivos de la

auditora.

MayraResaltado

MayraResaltado



Figura 11. Proceso de Informe Tcnico de Resultados

III.4.1. Evaluacin de observaciones y/o recomendaciones

El titular de la auditora tecnologas de informacin deber evaluar las observaciones

y/o recomendaciones resultantes de la auditora al ente. Dichos informes deben

redactarse de manera clara para facilitar su comprensin, por lo tanto deben estar libres

de imprecisiones y ambigedades y conservar las caractersticas de independencia,

objetividad, etc.


Aclaraciones y Comentarios: producto de las observaciones, se proceder a la

realizacin de las aclaraciones y comentarios correspondientes del ente auditado,

dentro de los plazos establecidos en la Ley de la Auditora Superior del Estado de

Chihuahua.

Evaluacin de observaciones y comentarios

Elaboracin del ITR Aprobacin del ITR

Entrega a Comisin de Fiscalizacin

Informe Previo

Publicacin del ITR

Informe Tcnico de Resultados (ITR)



III.4.1.2. Procedimientos anlisis y evaluacin de aclaraciones y comentarios

Permite diferenciar con la mayor objetividad, si lo plasmado en las observaciones y las

aclaraciones o comentarios que efecten los funcionarios del ente respecto de la

observacin. Lo realiza el equipo de auditora bajo responsabilidad del auditor

encargado.

III.4.1.3 Resultados de informes tcnicos

Documentos Evaluados: es el resultado del anlisis efectuado por el equipo auditor y

deber ser considerado en el resultado final de cada observacin y/o recomendacin e

incluido en el informe de auditora a manera de anexo.

III.4.2. Elaboracin del informe

El informe tcnico de auditora de conformidad con la Ley de la Auditora Superior, es el

resultado de la auditora practicada al ente auditado, dicho documento se estructura

con los conceptos revisados, resaltando las irregularidades detectadas y la

cuantificacin de las mismas, asimismo se integrar con recomendaciones de acciones y

programas encaminados a mejorar el desempeo del ente auditado.

De considerarse pertinente, se incluirn grficos, fotos, tablas y cuadros que apoyen al

informe Tcnico de Resultados.


Programa Anual de Auditora: Que el ente auditado se encuentre integrado en el

programa anual de auditora de conformidad a lo que establece la norma.




Desarrollo de la Estructura y Contenido del Informe: la elaboracin del informe, est a

cargo del equipo de auditora conjuntamente con la supervisin y debe ser redactado

en base al ndice de reas auditadas, integrando las observaciones encontradas, as

como a las recomendaciones segn las mejores prcticas.

Revisin del Informe: recae en el titular del rea la revisin del informe realizado por el

auditor encargado, para obtener un producto final de calidad.

III.4.2.3. Resultado de la elaboracin del informe

Informe de Auditora: es el producto principal de la auditora de tecnologas de

informacin y contiene las observaciones, conclusiones y recomendaciones orientadas a

la mejora de los procesos y actividades de la entidad auditada.

Ficha Tcnica: Es aquella que concentra los asuntos ms importantes de la auditora,

debe ser breve y contener la posicin de la ASE frente a la problemtica evaluada.

III.4.3. Aprobacin

Concluida la elaboracin del informe del rea de auditora de tecnologas de

informacin, es revisado por la instancia de normatividad para su aprobacin legal y

posteriormente remitirlo al ente auditado para la respuesta a las observaciones que

integra el mismo, con la finalidad de agotar el derecho de audiencia del auditado.

III.4.3.1. Remisin a la entidad:

La remisin del informe de auditora deber estar acorde a los plazos establecidos en el

programa anual de auditora y disposiciones legales aplicables, permitiendo as que la

informacin motivo del informe, sea utilizada oportunamente por el titular de la entidad



Anexo 1: Diagrama de Flujo de la auditora de tecnologas de informacin

Cierre

?

?

?

? Conocimiento Preliminar

Planeacin Informe Previo

Publicacin del ITR

Solicitud de Informacin

Estudio y Evaluacin del CI

Programacin

Integracin

Inicio de la Auditora

Desarrollo de Procedimientos

Formulacin de posibles observaciones

Comunicacin de observaciones

Evaluacin de observaciones y

comentarios

Elaboracin del ITR

Conclusin ITR

Aprobacin del ITR

Entrega a la Comisin de Fiscalizacin



GLOSARIO

Aplicacin: Aunque se suele utilizar indistintamente como sinnimo genrico de

'programa' es necesario subrayar que se trata de un tipo de programa especficamente

dedicado al proceso de una funcin concreta dentro de la empresa.

Aplicacin Web: Aplicaciones que los usuarios pueden utilizar accediendo a un servidor

web a travs de Internet o de una intranet mediante un navegador.

ASE: Auditora Superior del Estado de Chihuahua.

Auditor: Persona que efecta una auditora

Auditora: Examen de las operaciones de una empresa por especialistas ajenos a la

operacin y con objetivos de evaluar el ambiente de control y la situacin de la misma.

Bases de Datos: Coleccin de datos organizados para que a travs de las aplicaciones y

programas la computadora pueda acceder rpidamente a ella.

COBIT: Objetivos de Control para la Informacin y las Tecnologas Relacionadas.

Confidencialidad: Se refiere a que la informacin solo puede ser conocida por

individuos autorizados.

Control Interno: Conjunto de objetivos, polticas, procedimientos y registros con el

propsito de:

I. Procurar mecanismos adecuados de operacin, acordes con las estrategias y

fines de las instituciones, que permitan identificar, dar seguimiento y evaluar los

riesgos que puedan derivarse de las actividades del negocio, con propsito de



reducir las prdidas en que puedan incurrir en la realizacin de actos o hechos

voluntarios o involuntarios.

II. Delimitar las diferentes funciones y responsabilidades entre sus rganos

sociales, unidades administrativas y personal, a fin de obtener eficiencia y eficacia

en la realizacin de sus actividades.

III. Disear sistemas de informacin administrativa y financiera, correcta, precisa,

ntegra, confiable y oportuna.

IV. Coadyuvar permanentemente a la observancia de la normatividad aplicable a

las actividades de las instituciones.

COSO: Committee of Sponsoring Organizations of the Treadway Commission.

Costo: Desembolso en efectivo o en especie por algn beneficio.

Hardware: Conjunto de dispositivos fsicos de los que consiste un sistema. Comprende

componentes tales como el teclado, el mouse, las unidades de disco, el monitor, cada

una de las partes fsicas que forman un ordenador, incluidos sus perifricos, etc.

I.I.A: Institute of Internal Auditors.

I.M.A.I.: Instituto Mexicano de Auditores Internos, A.C.

Integridad: Totalidad, plenitud. La habilidad de determinar que la informacin recibida

es la misma que la informacin enviada.

Investigacin: Representa la obtencin de informacin, datos y comentarios de los

funcionarios y empleados de la empresa.

IRC: Sistema de ndice de Rendicin de Cuentas ASE.



I.S.A.C.A: Information Systems Audit and Control Association (Asociacin de Auditora y

Control de Sistemas de Informacin).

ISO: (Organizacin Internacional para la Normalizacin) Organizacin de carcter

voluntario fundada en 1946 que es responsable de la creacin de estndares

internacionales en muchas reas, incluyendo la informtica y las comunicaciones. Est

formada por las organizaciones de normalizacin de sus 89 pases miembro.

Lenguaje: En informtica, conjunto de caracteres e instrucciones utilizadas para escribir

programas de ordenador.

Management: La administracin de empresas (Management), o ciencia administrativa es

una ciencia social que estudia la organizacin de las empresas y la manera como se

gestionan los recursos, procesos y resultados de sus actividades.

Medidas: Son medidas cuantitativas del desempeo del negocio utilizado por la alta

gerencia para supervisar el negocio, obtener informacin y proporcionar

retroalimentacin. Una medida es efectiva cuando es parte de un proceso de

supervisin que incluye objetivos y parmetros de accin o de excepcin.

Metodologa: Conjunto de pasos utilizados para lograr un objetivo.

NAGAS: Normas de Auditora Generalmente Aceptadas.

Norma: Principio que se impone o se adopta para dirigir la conducta o la correcta

realizacin de una accin o el correcto desarrollo de una actividad.

Observacin: Presencia fsica de cmo se realizan ciertas operaciones o hechos.



Papeles de trabajo: Registro del trabajo del auditor, el cual contiene la evidencia del

trabajo realizado, sus observaciones y los resultados y conclusiones extradas a la

evidencia obtenida. Se utilizan para controlar el progreso del trabajo realizado y para

respaldar la opinin del auditor. Los papeles de trabajo pueden estar constituidos por

datos conservados en papel, pelcula, medios electrnicos u otros medios.

Planeacin: Consiste en prever cuales procedimientos de auditoria va a emplearse, la

extensin y oportunidad en que van a ser utilizados y el personal que debe intervenir en

el trabajo.

Poltica: Orientaciones o directrices que rigen la actuacin de una persona o entidad en

un asunto o campo determinado.

Procedimiento: Mtodo o sistema estructurado para la ejecucin de actividades.

Proceso: Conjunto de operaciones lgicas y aritmticas ordenadas, cuyo fin es la

obtencin de resultados.

Programa: Secuencia de instrucciones que obliga al ordenador a realizar una tarea

determinada.

Seguridad de la Informacin: Se refiere a la confidencialidad, integridad y

disponibilidad de la informacin y datos, independientemente de la forma, los datos

pueden ser: electrnicos, impresos, audio u otras formas.

Servidor o server: Ordenador que ejecuta uno o ms programas simultneamente con

el fin de distribuir informacin a los ordenadores que se conecten con l para dicho fin.



SIDATI: Sistema de Diagnstico de Auditora de Tecnologas de Informacin.

Sistema de Informacin: Se denomina Sistema de Informacin al conjunto de

procedimientos manuales y/o automatizados que estn orientados a proporcionar

informacin para la toma de decisiones.

Software: Componentes inmateriales del ordenador: programas, sistemas operativos,

etc. Son aquellos programas que nos ayudan a tareas especficas como edicin de

textos, imgenes, clculos, etc. tambin conocidos como aplicaciones.

SOX: La ley Sarbanes-Oxley.

TI: Tecnologas de Informacin. Conjunto de servicios, redes, software y dispositivos

que tienen como fin la mejora de la calidad de vida de las personas dentro de un

entorno, y que se integran a un sistema de informacin interconectado y

complementario.

Auditora de Tecnologas de Informacin: Se encarga de la verificacin de los controles

internos establecidos en el rea de sistemas del ente, as como estudios de seguridad

de la Informacin, Hardware y Software.

Recursos Informticos: Son todos aquellos componentes de hardware y software, as

como el personal que labora en l, o para el rea de sistemas.

guia de auditoria de ti (1)

Documents