unidad i auditoria

7/17/2019 unidad I auditoria

http://slidepdf.com/reader/full/unidad-i-auditoria 1/32

Auditoria Informática

Clave IFM-0405

UNIDAD 1

INTRODUCCION A LA AUDITORIA INFORMATICA

1.0 Introducción

¿Para que nos sire !a auditoria in"or#$tica%

Nos permite detectar de forma sistemática el uso de los recursos informáticos ylos flujos de información que son críticos para el cumplimiento de los objetivos deuna organización, detectando necesidades, duplicidades, costos y barreras, queobstaculizan los flujos de información.

La auditoría informática sirve para mejorar ciertas características en la empresacomo:

• ficiencia• ficacia• !entabilidad• "eguridad

1.1 De"inición Auditoria

s el e#amen crítico y sistemático que realiza una persona o grupo de personasindependientes, generalmente es la revisión de estados financieros que es unaauditoría realizada por un profesional e#perto en contabilidad de los libros yregistros contables de una entidad para opinar sobre la razonabilidad de lainformación contenida en ellos y sobre el cumplimiento de las normas contables.

l origen etimológico de la palabra es el verbo latino $ Audire%, que significa $oír%.sta denominación proviene de su origen &istórico, ya que los primeros auditoresejercían su función juzgando la verdad o falsedad de lo que les era sometido a suverificación principalmente oyendo

Auditar consiste principalmente en estudiar los mecanismos de control que estánimplantados en una empresa u organización, determinando si los mismos sonadecuados y cumplen unos determinados objetivos o estrategias, estableciendolos cambios que se deberían realizar para la consecución de los mismos.

1.1.1 De"inición Auditoria In"or#$tica &AF'1 Instituto Tecnológico de Chihuahua II




Clave IFM-0405

La auditoría informática es el proceso de recoger, agrupar y evaluar evidenciaspara determinar si un "istema de 'nformación salvaguarda el activo empresarial,

mantiene la integridad de los datos, lleva a cabo eficazmente los fines de laorganización y utiliza eficientemente los recursos.

1.1.( O)*etios de !a Auditoria In"or#$tica

• l control de la función informática• l análisis de la eficiencia de los "istemas 'nformáticos• La verificación del cumplimiento de la Normativa en este ámbito• La revisión de la eficaz gestión de los recursos informáticos.

La necesidad de contar con lineamientos y &erramientas estándar para el ejerciciode la auditoría informática &a promovido la creación y desarrollo de mejoresprácticas como CO+IT, I-O, CO-O e ITIL.

(ctualmente la certificación de I-ACA para ser CI-A )Certified InformationSystems Auditor * es una de las más reconocidas y avaladas por los estándaresinternacionales ya que el proceso de selección consta de un e#amen inicialbastante e#tenso y la necesidad de mantenerse actualizado acumulando &oras)puntos* para no perder la certificación

1.( Tios de Auditorias

#isten muc&os tipos de auditoria vemos algunos:

Auditoria Conta)!e &/stados "inancieros'

• Interna s llevada acabo por un departamento de la organización en lacual e#iste una relación laboral.

• /terna La lleva acabo personal e#terno a la compa+ía, con el fin que los

resultados arrojados sean imparciales, no e#iste relación laboral con losauditados.

Auditoria Ad#inistratia &2i!!ia# P. Leonard'

s un e#amen completo y constructivo de la estructura organizativa de laempresa, institución o departamento gubernamental o de cualquier otra entidad y

2 Instituto Tecnológico de Chihuahua II




Clave IFM-0405

de sus mtodos de control, medios de operación y empleo que de a sus recursos&umanos y materiales.

Auditoria 3u)erna#enta!

• Auditoria Financiera -onsiste en una revisión e#ploratoria y critica de loscontroles subyacentes y los registros de contabilidad de una empresarealizada por un contador publico, cuya conclusión es un dictamen a cercade la corrección de los estados financieros de la empresa.

• Auditoria interna roviene de la auditoria financiera y consiste en: unaactividad de evaluación que se desarrolla en forma independiente dentro deuna organización, a fin de revisar la contabilidad, las finanzas y otrasoperaciones como base de un servicio protector y constructivo para laadministración. n un instrumento de control que funciona por medio de la

medición y evaluación de la eficiencia de otras clases de control, talescomo: procedimientos/ contabilidad y demás registros/ informes financieros/normas de ejecución etc.

Auditoria de oeraciones

"e define como una tcnica para evaluar sistemáticamente de una función o unaunidad con referencia a normas de la empresa, utilizando personal noespecializado en el área de estudio, con el objeto de asegurar a la administración,que sus objetivos se cumplan, y determinar que condiciones pueden mejorarse. (continuación se dan algunos ejemplos de la autoridad de operaciones:

• valuación del cumplimiento de políticas y procedimientos.• !evisión de practicas de compras

Auditor4a Fisca!

-onsiste en verificar el correcto y oportuno pago de los diferentes impuestos yobligaciones fiscales de los contribuyentes desde el punto de vista físico ) "0- *,direcciones o tesorerías de &acienda estatales o tesorerías municipales.

Auditoria de !e3a!idad:ste tipo de auditoria tiene como finalidad revisar si la dependencia o entidad, enel desarrollo de sus actividades, &a observado el cumplimiento de disposicioneslegales que sean aplicables )leyes, reglamentos, decretos, circulares, etc.*





Clave IFM-0405

C!asi"icación de !as nor#as de auditoria

Las normas de auditoria se clasifican en:

NORMA- P/R-ONAL/-.

"e refieren a las cualidades que el auditor debe tener para poder asumir, dentrode las e#igencias que el carácter profesional de la auditoria impone, un trabajo deeste tipo. 1entro de estas normas e#isten cualidades que el auditor debe tener preadquiridas antes de poder asumir un trabajo profesional de auditoria y cualidadesque debe mantener durante el desarrollo de toda su actividad profesional.

• /ntrena#iento t5cnico 6 caacidad ro"esiona!

1ebe tener un titulo profesional legalmente e#pedido y reconocido, tener entrenamiento tcnico adecuado y capacidad profesional como auditores.

• Cuidado 6 di!i3encia ro"esiona!es.

sta obligado a ejercitar con cuidado y diligencia razonables en larealización de su e#amen y en la preparación de su dictamen o informe.

• Indeendencia.

sta obligado a mantener una actitud de independencia mental en todos losasuntos relativos a su trabajo profesional.

NORMA- D/ /7/CUCI8N D/L TRA+A7O.

#isten ciertos elementos que, por su importancia, deben ser cumplidos. stoselementos básicos, fundamentales en la ejecución de trabajo, que constituyen laespecificación particular, por lo menos al mínimo indispensable, de la e#igencia decuidado y diligencia, son los que constituyen las normas denominadas deejecución del trabajo.

•

P!aneación 6 suerisión.

l trabajo debe estar planeado adecuadamente y, si se usan ayudantes,estos deben ser supervisados en forma apropiada.

• /studio 6 ea!uación de! contro! interno.





Clave IFM-0405

1ebe efectuar un estudio y evaluación adecuados del control internoe#istente, que le sirvan de base para determinar el grado de confianza queva depositar en el/ asimismo, que le permita determinar la naturaleza,

e#tensión y oportunidad que va dar procedimientos de auditoria.

• O)tención de eidencia su"iciente 6 co#etente.

2ediante sus procedimientos de auditoria, debe obtener evidenciacomprobatoria suficiente y competente en el grado que requiera suministrar una base objetiva para su opinión.

NORMA- D/ INFORMACI8N.

l resultado final del trabajo del auditor es su dictamen o informe. 2ediante el,

pone en conocimiento de las personas interesadas los resultados de su trabajo yla opinión que se &a formado a travs de su e#amen.

n este es en lo que va a reposar la confianza de los interesados en los estadosfinancieros para prestarles fe a las declaraciones que en ellos aparecen sobre lasituación financiera y los resultados de operaciones de la empresa.

or ultimo es, principalmente, a travs del informe o dictamen, como el p3blico y elcliente se dan cuenta del trabajo del auditor y, en muc&os casos, es la 3nica parte,de dic&o trabajo, que queda a su alcance.

1.(.1 Auditor4a Interna 6 /terna

1.(.1.1 La Auditor4a /terna &Indeendiente'.

#amina y eval3a cualquiera de los sistemas de información de una organizacióny emite una opinión independiente sobre los mismos, pero las empresasgeneralmente requieren de la evaluación de su sistema de información financieroen forma independiente para otorgarle validez ante los usuarios del producto deeste, por lo cual tradicionalmente se ha asociado el término Auditoría Externaa Auditoría de Estados Financieros, lo cual como se observa no es totalmenteequivalente, pues puede e#istir (uditoría #terna del "istema de 'nformación

4ributario, (uditoría #terna del "istema de 'nformación (dministrativo, (uditoría#terna del "istema de 'nformación (utomático etc.

4iene por objeto averiguar la razonabilidad, integridad y autenticidad de losestados, e#pedientes y documentos y toda aquella información producida por lossistemas de la organización. "e lleva a cabo cuando se tiene la intención depublicar el producto del sistema de información e#aminado con el fin deacompa+ar al mismo una opinión independiente que le d autenticidad y permita a





Clave IFM-0405

los usuarios de dic&a información tomar decisiones confiando en las declaracionesdel (uditor.

sta debe hacerla una persona o firma independiente de capacidad profesional reconocidas. La cual debe ser capaz de ofrecer una opiniónimparcial y profesionalmente e#perta a cerca de los resultados de auditoría,basándose en el &ec&o de que su opinión &a de acompa+ar el informe presentadoal trmino del e#amen y concediendo que pueda e#presarse una opinión basadaen la veracidad de los documentos y de los estados financieros y en que no seimponga restricciones al auditor en su trabajo de investigación.

1.(.1.( La Auditor4a Interna.

s el e#amen crítico, sistemático y detallado de un sistema de información de una

organización, realizado por un profesional con vínculos laborales con lamisma, utilizando tcnicas determinadas y con el objeto de emitir informes yformular sugerencias para el mejoramiento de la misma. stos informes son decirculación interna y no tienen trascendencia a los terceros pues no se producenbajo la figura de la 5e ublica.

La auditoría interna es un servicio que reporta al más alto nivel de la direcciónde la organización y tiene características de función asesora de control, por tantono puede ni debe tener autoridad de línea sobre ning3n funcionario de la empresa,a e#cepción de los que forman parte de la planta de la oficina de auditoría interna,ni debe en modo alguno involucrarse o comprometerse con las operaciones de los

sistemas de la empresa, pues su función es evaluar y opinar sobre los mismos,para que la alta dirección toma las medidas necesarias para su mejor funcionamiento.

La auditoría interna solo interviene en las operaciones y decisiones propias de suoficina, pero nunca en las operaciones y decisiones de la organización a la cualpresta sus servicios, pues como se dijo es una función asesora

1.9 Ca#o de !a Auditoria In"or#$tica

(lgunos campos de aplicación de la informática son las siguientes:

Inesti3ación cient4"ica 6 :u#an4stica "e usan la las computadoras para laresolución de cálculos matemáticos, recuentos numricos, etc. (lgunas de estasoperaciones:

• !esolución de ecuaciones.• (nálisis de datos de medidas e#perimentales, encuestas etc.





Clave IFM-0405

• (nálisis automáticos de te#tos

A!icaciones t5cnicas 6sa la computadora para facilitar dise+os de ingeniería y

de productos comerciales, trazado de planos, etc. (lgunas de estas operaciones:

• (nálisis y dise+o de circuitos de computadora.• -álculo de estructuras en obras de ingeniería.

• 2inería.

• -artografía.

Docu#entación e in"or#ación s uno de los campos más importantes para lautilización de computadoras. stas se usan para el almacenamiento de grandescantidades de datos y la recuperación controlada de los mismos en bases dedatos. jemplos de este campo de aplicación son:

• 1ocumentación científica y tcnica.• (rc&ivos automatizados de bibliotecas.

• 7ases de datos jurídicas.

;estión ad#inistratia (utomatiza las funciones de gestión típicas de unaempresa. #isten programas que realizan las siguientes actividades:

• -ontabilidad.• 5acturación.

• -ontrol de e#istencias.

• Nóminas.

Inte!i3encia arti"icia! Las computadoras se programan de forma que emulen elcomportamiento de la mente &umana. Los programas responden comoprevisiblemente lo &aría una persona inteligente. (plicaciones como:

• !econocimiento del lenguaje natural.• rogramas de juego complejos )ajedrez*.





Clave IFM-0405

Instru#entación 6 contro! 'nstrumentación electrónica, electro medicina, robotsindustriales, entre otros.

Otros ca#os de a!icación no istos anterior#ente video8juegos,aplicaciones en el arte, procesamiento de imágenes.

1.< Contro! Interno

l -ontrol 'nterno 'nformático puede definirse como el sistema integrado alproceso administrativo, en la planeación, organización, dirección y control de lasoperaciones con el objeto de asegurar la protección de todos los recursosinformáticos y mejorar los índices de economía, eficiencia y efectividad de los

procesos operativos automatizados. )(uditoría 'nformática 8 (plicaciones enroducción 8 9os 1agoberto inilla*

l 'nforme -" define el -ontrol 'nterno como $Las normas, los procedimientos,las prácticas y las estructuras organizativas dise+adas para proporcionar seguridad razonable de que los objetivos de la empresa se alcanzarán y que loseventos no deseados se preverán, se detectarán y se corregirán.

4ambin se puede definir el -ontrol 'nterno como cualquier actividad o acciónrealizada manual y;o automáticamente para prevenir, corregir errores oirregularidades que puedan afectar al funcionamiento de un sistema para

conseguir sus objetivos. )(uditoría 'nformática 8 6n nfoque ráctico 8 2ario <.lattini* 4ipos

n el ambiente informático, el control interno se materializa fundamentalmente encontroles de dos tipos:

• Contro!es #anua!es aquellos que son ejecutados por el personaldel área usuaria o de informática sin la utilización de &erramientascomputacionales.

• Contro!es Auto#$ticos son generalmente los incorporados en elsoft=are, llámense estos de operación, de comunicación, de gestión

de base de datos, programas de aplicación, etc.

Los controles seg3n su finalidad se clasifican en:

• Contro!es Preentios tratar de evitar la producción de errores o&ec&os fraudulentos, como por ejemplo el soft=are de seguridad queevita el acceso a personal no autorizado.





Clave IFM-0405

• Contro!es Detectios trata de descubrir a posteriores errores ofraudes que no &aya sido posible evitarlos con controles preventivos.

• Contro!es Correctios tratan de asegurar que se subsanen todos

los errores identificados mediante los controles detectivos.

O)*etios rincia!es

• -ontrolar que todas las actividades se realizan cumpliendo losprocedimientos y normas fijados, evaluar su bondad y asegurarse delcumplimiento de las normas legales.

• (sesorar sobre el conocimiento de las normas• -olaborar y apoyar el trabajo de (uditoría 'nformática interna;e#terna

• 1efinir, implantar y ejecutar mecanismos y controles para comprobar el grado ce cumplimiento de los servicios informáticos.• !ealizar en los diferentes sistemas y entornos informáticos el control

de las diferentes actividades que se realizan.

Contro! interno in"or#$tico &"unción'

s una función del departamento de 'nformática de una organización, cuyoobjetivo es el de controlar que todas las actividades relacionadas a los sistemas

de información automatizados se realicen cumpliendo las normas, estándares,procedimientos y disposiciones legales establecidas interna y e#ternamente.

ntre sus funciones específicas están:

• 1ifundir y controlar el cumplimiento de las normas, estándares yprocedimientos al personal de programadores, tcnicos yoperadores.

• 1ise+ar la estructura del "istema de -ontrol 'nterno de la 1irecciónde 'nformática en los siguientes aspectos:

• 1esarrollo y mantenimiento del soft=are de aplicación.

• #plotación de servidores principales• "oft=are de 7ase• !edes de -omputación• "eguridad 'nformática• Licencias de soft=are• !elaciones contractuales con terceros• -ultura de riesgo informático en la organización





Clave IFM-0405

-ontrol interno informático )áreas de aplicación*

Contro!es 3enera!es or3ani=atios "on la base para la planificación, control yevaluación por la 1irección <eneral de las actividades del 1epartamento de'nformática, y debe contener la siguiente planificación:

• lan stratgico de 'nformación realizado por el -omit de'nformática.

• lan 'nformático, realizado por el 1epartamento de 'nformática.• lan <eneral de "eguridad )física y lógica*.• lan de -ontingencia ante desastres.

Contro!es de desarro!!o 6 #anteni#iento de siste#as de in"or#aciónermiten alcanzar la eficacia del sistema, economía, eficiencia, integridad dedatos, protección de recursos y cumplimiento con las leyes y regulaciones a travsde metodologías como la del -iclo de >ida de 1esarrollo de aplicaciones.

Contro!es de e!otación de siste#as de in"or#ación 4ienen que ver con lagestión de los recursos tanto a nivel de planificación, adquisición y uso del

&ard=are así como los procedimientos de, instalación y ejecución del soft=are.

Contro!es en a!icaciones 4oda aplicación debe llevar controles incorporadospara garantizar la entrada, actualización, salida, validez y mantenimientocompletos y e#actos de los datos.

Contro!es en siste#as de 3estión de )ase de datos 4ienen que ver con laadministración de los datos para asegurar su integridad, disponibilidad yseguridad.

Contro!es in"or#$ticos so)re redes 4ienen que ver sobre el dise+o, instalación,

mantenimiento, seguridad y funcionamiento de las redes instaladas en unaorganización sean estas centrales y;o distribuidos.

Contro!es so)re co#utadores 6 redes de $rea !oca! "e relacionan a laspolíticas de adquisición, instalación y soporte tcnico, tanto del &ard=are como delsoft=are de usuario, así como la seguridad de los datos que en ellos se procesan





Clave IFM-0405

1.> Mode!os de contro! uti!i=ados en auditoria in"or#$tica

n la actualidad e#isten una gran cantidad de modelos de control interno. Losmodelos de control interno informe CO-O y CO+IT son los dos modelos másdifundidos en la actualidad, aun que podemos encontrar otros como el COCO,A/C y -AC.

l informe -" está enfocado a toda la organización, contempla políticas,procedimientos y estructuras organizativas además de procesos para definir elmodelo de control interno.

2ientras que -7'4 )Control Objectives for Information and Related Technology *

se centra en el entorno de tecnologías de información )TI*, contempla de formaespecífica la seguridad de la información como uno de sus objetivos, cosa que-" no &ace. (demás el modelo de control interno que presenta -7'4 es máscompleto, dentro de su ámbito.

1.>.1 In"or#e CO-O

l denominado ?'nforme -"? sobre control interno, publicado en .66. en@AAB, surgió como una respuesta a las inquietudes que planteaban la diversidad

de conceptos, definiciones e interpretaciones e#istentes en torno a la temáticareferida.

La redacción del informe fue encomendada a -oopers C Lybrand.

"e trataba entonces de materializar un objetivo fundamental: definir un nuevomarco conceptual del control interno, capaz de integrar las diversas definiciones yconceptos que venían siendo utilizados sobre este tema, logrando así que, al nivelde las organizaciones p3blicas o privadas, de la auditoria interna o e#terna, o delos niveles acadmicos o legislativos, se cuente con un marco conceptual com3n,una visión integradora que satisfaga las demandas generalizadas de todos lossectores involucrados.

Co#onentes

l marco integrado de control que plantea consta de cinco componentesinterrelacionados, derivados del estilo de la dirección, e integrados al proceso degestión:





Clave IFM-0405

a* A#)iente De Contro! 1efine al conjunto de circunstancias que enmarcanel accionar de una entidad desde la perspectiva del control interno y queson por lo tanto determinantes del grado en que los principios de este3ltimo imperan sobre las conductas y los procedimientos organizacionales.

Los principales factores del ambiente de control son:

• La filosofía y estilo de la dirección y la gerencia.• La estructura, el plan organizacional, los reglamentos y los manuales de

procedimiento.• La integridad, los valores ticos, la competencia profesional y el

compromiso de todos los componentes de la organización, así como suad&esión a las políticas y objetivos establecidos.

• Las formas de asignación de responsabilidades y de administración ydesarrollo del personal.

• l grado de documentación de políticas y decisiones, y de formulaciónde programas que contengan metas, objetivos e indicadores derendimiento.

l ambiente de control reinante será tan bueno, regular o malo como losean los factores que lo determinan. l mayor o menor grado de desarrolloy e#celencia de stos &ará, en ese mismo orden, a la fortaleza o debilidaddel ambiente que generan y consecuentemente al tono de la organización.

b* /a!uación de Ries3os ( travs de la investigación y análisis de losriesgos relevantes y el punto &asta el cual el control vigente los neutralizase eval3a la vulnerabilidad del sistema. ara ello debe adquirirse unconocimiento práctico de la entidad y sus componentes de manera deidentificar los puntos dbiles, enfocando los riesgos tanto al nivel de laorganización como de la actividad.

Los objetivos pueden ser e#plícitos o implícitos, generales o particulares.stableciendo objetivos globales y por actividad, una entidad puede

identificar los factores críticos del #ito y determinar los criterios para medir el rendimiento.

6na vez identificados, el análisis de los riesgos incluirá:

• 6na estimación de su importancia ; trascendencia.• 6na evaluación de la probabilidad ; frecuencia.





Clave IFM-0405

• 6na definición del modo en que &abrán de manejarse.

#isten circunstancias que pueden merecer una atención especial enfunción del impacto potencial que plantean:

• -ambios en el entorno.• !edefinición de la política institucional.• !eorganizaciones o reestructuraciones internas.• 'ngreso de empleados nuevos, o rotación de los e#istentes.• Nuevos sistemas, procedimientos y tecnologías.• (celeración del crecimiento.• Nuevos productos, actividades o funciones.

Los mecanismos para prever, identificar y administrar los cambios debenestar orientados &acia el futuro, de manera de anticipar los mássignificativos a travs de sistemas de alarma complementados con planespara un abordaje adecuado de las variaciones.

c* Actiidades De Contro! stán constituidas por los procedimientosespecíficos establecidos como un reaseguro para el cumplimiento de losobjetivos, orientados primordialmente &acia la prevención y neutralizaciónde los riesgos.

-onociendo los riesgos, se disponen los controles destinados a evitarlos ominimizarlos, los cuales pueden agruparse en tres categorías, seg3n elobjetivo de la entidad con el que estn relacionados:

• Las operaciones• La confiabilidad de la información financiera• l cumplimiento de leyes y reglamentos•

n muc&os casos, las actividades de control pensadas para un objetivosuelen ayudar tambin a otros: los operacionales pueden contribuir a los

relacionados con la confiabilidad de la información financiera, stas alcumplimiento normativo, y así sucesivamente.

• ( su vez en cada categoría e#isten diversos tipos de control:• reventivo ; -orrectivos• 2anuales ; (utomatizados o informáticos• <erenciales o directivos





Clave IFM-0405

s necesario remarcar la importancia de contar con buenos controles de lastecnologías de información, pues stas desempe+an un papel fundamental

en la gestión, destacándose al respecto el centro de procesamiento dedatos, la adquisición, implantación y mantenimiento del soft=are, laseguridad en el acceso a los sistemas, los proyectos de desarrollo ymantenimiento de las aplicaciones.

d* In"or#ación ? Co#unicación s imprescindible que todos los agentescuenten con la información periódica y oportuna que deben manejar paraorientar sus acciones en consonancia con los demás, &acia el mejor logro delos objetivos.

La información relevante debe ser captada, procesada y transmitida de tal

modo que llegue oportunamente a todos los sectores permitiendo asumir lasresponsabilidades individuales.

Los informes deben transferirse adecuadamente a travs de una comunicacióneficaz. sto es, en el más amplio sentido, incluyendo una circulaciónmultidireccional de la información: ascendente, descendente y transversal.

(demás de una buena comunicación interna, es importante una eficazcomunicación e#terna que favorezca el flujo de toda la información necesaria, yen ambos casos importa contar con medios eficaces, dentro de los cuales tanimportantes como los manuales de políticas, memorias, difusión institucional,

canales formales e informales, resulta la actitud que asume la dirección en eltrato con sus subordinados. 6na entidad con una &istoria basada en laintegridad y una sólida cultura de control no tendrá dificultades decomunicación. 6na acción vale más que mil palabras.

e* -uerisión l objetivo es asegurar que el control interno funcionaadecuadamente, a travs de dos modalidades de supervisión: actividadescontinuas o evaluaciones puntuales.

Las primeras son aquellas incorporadas a las actividades normales yrecurrentes que, ejecutándose en tiempo real y arraigadas a la gestión,

generan respuestas dinámicas a las circunstancias sobrevinientes.n cuanto a las evaluaciones puntuales, corresponden las siguientesconsideraciones:

'. "u alcance y frecuencia están determinados por la naturaleza eimportancia de los cambios y riesgos que stos conllevan, la





Clave IFM-0405

competencia y e#periencia de quienes aplican los controles, y losresultados de la supervisión continuada.

''. "on ejecutados por los propios responsables de las áreas de gestión

)autoevaluación*, la auditoría interna )incluida en el planeamiento osolicitada especialmente por la dirección*, y los auditores e#ternos.'''. -onstituyen en sí todo un proceso dentro del cual, aunque los enfoques

y tcnicas varíen, priman una disciplina apropiada y principiosinsoslayables. La tarea del evaluador es averiguar el funcionamientoreal del sistema: que los controles e#istan y estn formalizados, que seapliquen cotidianamente como una rutina incorporada a los &ábitos, yque resulten aptos para los fines perseguidos.

'>. !esponden a una determinada metodología, con tcnicas y&erramientas para medir la eficacia directamente o a travs de lacomparación con otros sistemas de control probadamente buenos.

>. l nivel de documentación de los controles varía seg3n la dimensión ycomplejidad de la entidad.>'. 1ebe confeccionarse un plan de acción que contemple:

• l alcance de la evaluación• Las actividades de supervisión continuadas e#istentes.• La tarea de los auditores internos y e#ternos.• Dreas o asuntos de mayor riesgo.• rograma de evaluaciones.• valuadores, metodología y &erramientas de control.• resentación de conclusiones y documentación de soporte•

"eguimiento para que se adopten las correcciones pertinentes.Las deficiencias o debilidades del sistema de control interno detectadas atravs de los diferentes procedimientos de supervisión deben ser comunicadas a efectos de que se adopten las medidas de ajustecorrespondientes.

"eg3n el impacto de las deficiencias, los destinatarios de la informaciónpueden ser tanto las personas responsables de la función o actividadimplicada como las autoridades superiores.

n conclusión/ n el marco de control postulado a travs del 'nforme -", lainterrelación de los cinco componentes genera una sinergia conformando unsistema integrado que responde dinámicamente a los cambios del entorno.

(tendiendo a necesidades gerenciales fundamentales, los controles se entrelazana las actividades operativas como un sistema cuya efectividad se acrecienta alincorporarse a la infraestructura y formar parte de la esencia de la institución.





Clave IFM-0405

2ediante un esquema de controles incorporados como el descripto:

• "e fomentan la calidad, las iniciativas y la delegación de poderes.

• "e evitan gastos innecesarios.• "e generan respuestas ágiles ante circunstancias cambiantes.

1.>.( CO+IT

s un modelo para auditar la gestión y control de los sistemas de información ytecnología, orientado a todos los sectores de una organización, es decir,administradores '4, usuarios y por supuesto, los auditores involucrados en el

proceso.Las siglas -7'4 significan bjetivos de -ontrol para 4ecnología de 'nformación y4ecnologías relacionadas )Control Objectives for Information Systems and related

Technology *. l modelo es el resultado de una investigación con e#pertos devarios países, desarrollado por '"(-( )Information Systems Audit and Control

Association*.

La estructura del modelo propone un marco de acción donde se eval3an loscriterios de información, como por ejemplo la seguridad y calidad, se auditan losrecursos que comprenden la tecnología de información, como por ejemplo el

recurso &umano, instalaciones, sistemas, entre otros, y finalmente se realiza unaevaluación sobre los procesos involucrados en la organización.

s un modelo de evaluación y monitoreo que enfatiza en el control de negocios yla seguridad 4' y que abarca controles específicos de 4' desde una perspectiva denegocios. $La adecuada implementación de un modelo -7'4 en unaorganización, provee una &erramienta automatizada, para evaluar de manera ágily consistente el cumplimiento de los objetivos de control y controles detallados,que aseguran que los procesos y recursos de información y tecnología contribuyenal logro de los objetivos del negocio en un mercado cada vez más e#igente,

complejo y diversificado%, se+aló un informe de /T/@.

-7'4, lanzado en @AAE, es una &erramienta de gobierno de 4' que &a cambiadola forma en que trabajan los profesionales de tecnología. >inculando tecnologíainformática y prácticas de control, el modelo -7'4 consolida y armonizaestándares de fuentes globales prominentes en un recurso crítico para la gerencia,los profesionales de control y los auditores.





Clave IFM-0405

"e aplica a los sistemas de información de toda la empresa, incluyendo loscomputadores personales y las redes. stá basado en la filosofía de que losrecursos 4' necesitan ser administrados por un conjunto de procesos naturalmente

agrupados para proveer la información pertinente y confiable que requiere unaorganización para lograr sus objetivos.

l conjunto de lineamientos y estándares internacionales conocidos como -7'4,define un marco de referencia que clasifica los procesos de las unidades detecnología de información de las organizaciones en cuatro $dominios% principales,a saber:

• lanificación y organización• (dquisición e implantación•

"oporte y "ervicios• 2onitoreo

Princiios

Requeri#ientos de !a In"or#ación de! Ne3ocio

• /"ectiidad 'nformación relevante y pertinente, proporcionada en formaoportuna, correcta, consistente y utilizable

• /"iciencia mpleo óptimo de los recursos.• -onfidencialidad: rotección de la información sensitiva contra divulgación

no autorizada• Inte3ridad 'nformación e#acta y completa, así como válida de acuerdo con

las e#pectativas de la organización.• Disoni)i!idad accesibilidad a la información y la salvaguarda de los

recursos y sus capacidades.• Cu#!i#iento Leyes, regulaciones y compromisos contractuales.• Con"ia)i!idad (propiada para la toma de decisiones adecuadas y el

cumplimiento normativo.

Recursos de TI

• Datos 4odos los objetos de información interna y e#terna, estructurada ono, gráficas, sonidos, etc.

• A!icaciones "istemas de información, que integran procedimientosmanuales y sistematizados.





Clave IFM-0405

• Tecno!o34a 0ard=are y soft=are básico, sistemas operativos, deadministración de bases de datos, de redes, telecomunicaciones,multimedia, etc.

• Insta!aciones !ecursos necesarios para alojar y dar soporte a lossistemas.

• Recurso u#ano 0abilidad, actitud y productividad del personal.

7ásicamente, apoya a la organización al proveer un marco que asegura que:

• La 4ecnología de 'nformación )4'* est alineada con la misión y visión.• L( 4' capacite y ma#imice los beneficios.• Los recursos de 4' sean usados responsablemente.•

Los riesgos de 4' sean manejados apropiadamente.

l modelo -7'4 &ace un estudio de estos elementos para conocer realmente laimportancia de cada uno y conocer el estado y situación general de laorganización completa.

1.>.9 Inesti3ación de otros #ode!os de contro! de auditoria

El alumno realizara una investigación de tres diferentes modelos de control de auditoria

informática, realizando un ensayó, el cual contendrá una introducción, desarrollo del tema,

conclusión y las referencias bibliográficas con el formato APA:

• Auto Evaluación de Control (AEC)

• emantic Access Control !odel (AC)

• Comisión de Criterios sobre el Control(C"C")

1.B Princiios a!icados a !os auditores in"or#$ticos

PRINCIPIO D/ +/N/FICIO D/ AUDITADO

• l auditor deberá ver como se puede conseguir la má#ima eficacia yrentabilidad de los medios informáticos de la empresa auditada, estandoobligado a presentar recomendaciones acerca del reforzamiento delsistema y el estudio de las soluciones más idóneas seg3n los problemasdetectados en el sistema informático de esta 3ltima.





Clave IFM-0405

• n ning3n caso está justificado que realice su trabajo el prisma del propiobeneficio.

• -ualquiera actitud que se anteponga intereses personales del auditor a losdel auditado deberá considerarse como no tica.

• ara garantizar le beneficio del auditado como la necesaria independenciadel auditor, este 3ltimo deberá evitar estar ligado en cualquier forma, aintereses de determinadas marcas, productos o equipos compatibles conlos de su cliente.

• La adaptación del auditor al sistema del auditado debe implicar una ciertasimbiosis con el mismo, a fin de adquirir un conocimiento pormenorizado desus características intrínsecas.

• Fnicamente en los casos en el que el auditor dedujese la imposibilidad deque el sistema pudiera acomodarse a las e#igencias propias de sucometido, este podrá proponer un cambio cualitativamente significativo dedeterminados elementos o del propio sistema informático globalmentecontemplado.

• 6na vez estudiado el sistema informático a auditar, el auditor deberáestablecer los requisitos mínimos, aconsejables y óptimos para suadecuación a la finalidad para la que &a sido dise+ado.

• l auditor deberá lógicamente abstenerse de recomendar actuacionesinnecesariamente onerosas, da+inas o que generen riesgos injustificadospara el auditado.

• 6na de las cuestiones más controvertidas, respecto de la aplicación de esteprincipio, es la referente a facilitar el derec&o de las organizacionesauditadas a la libre elección del auditor.

• "i el auditado decidiera encomendar posteriores auditorías a otrosprofesionales, stos deberías poder tener acceso a los informes de los

trabajos profesionales, stos deberían poder tener acceso a los informes delos trabajos anteriormente realizados sobre el sistema del auditado.

PRINCIPIO D/ CALIDAD

• n el auditor deberá prestar sus servicios a tenor de las posibilidades de laciencia y medios a su alcance con absoluta libertad respecto a la utilización





Clave IFM-0405

de dic&os medios y en unas condiciones tcnicas adecuadas para el idóneocumplimiento de su labor.

• n los casos en el que la precariedad de medios puestos a su disposición

impidan o dificulten seriamente la realización de la auditoría, deberásegarse a realizarla &asta que se garantice un mínimo de condicionestcnicas que no comprometan la calidad de sus servicios o dictámenes.

PRINCIPIO D/ CAPACIDAD

• l auditor debe estar plenamente capacitado para la realización de laauditoría encomendada, ma#imice teniendo en cuenta que, a los auditadosen algunos casos les puede ser e#tremadamente difícil verificar susrecomendaciones y evaluar correctamente la precisión de las mismas.

• 1ebe, por tanto, ser plenamente consciente del alcance de sus

conocimientos y de su capacidad y aptitud para desarrollar la auditoríaevitando que una sobreestimación personal pudiera provocar elincumplimiento parcial o total de la misma.

• -onviene indicar que en los casos de producirse, por el contrario, unasubestimación de su capacidad de su capacidad profesional, estacircunstancia podría afectar negativamente en la confianza del auditadosobre el resultado final de la auditoría.

• ( efectos de garantizar, en la medida de lo posible, la pertinencia de susconocimientos, el auditor deberá procurar que stos evolucionen, alunísono con el desarrollo de las tecnologías de la información, en unaforma dinámica.

• s deseable que se fortalezca la certificación profesional de la aptitud delos auditores para realizar unos trabajos de índole tan compleja.

• sta certificación que deberá tener a plazo de validez acorde con laevolución de las nuevas tecnologías de la información de la información,debería estar validada y garantizada por la metodología empleada paraacreditar dic&a especialización. GHG !'N-'' 1 -(64L(HGH

• l auditor en todo momento debe ser consiente de que susrecomendaciones deben estar basadas en el e#periencia contrastada quese le supone tiene adquirida, evitando que, por un e#ceso de vanidad, elauditado se embarque en proyectos de futuro fundamentos en simplesintuiciones sobre la posible evolución de las nuevas tecnologías de lainformación.





Clave IFM-0405

• "i bien es cierto que el auditor debe estar al corriente del desarrollo dedic&as tecnologías de información e informar al auditado de su previsibleevolución, no es menos cierto que deben evitar la tentación de creer que,

gracias a sus conocimientos, puede aventurar, con un casi absoluto gradode certeza.

• 1ebe, por tanto, el auditor actuar con un cierto grado de &umildad, evitandodar la impresión de estar al corriente de una información privilegiada sobreel estado real de la evolución de los proyectos.

PRINCIPIO D/ COMPORTAMI/NTO PROF/-IONAL

• l auditor, tanto en sus relaciones con el auditado como con terceraspersonas, deberá, en todo momento, actuar conforma a las normas,

implícitas o e#plícitas, de dignidad de la profesión y de corrección en el tratopersonal.

• ara ello deberá cuidar la moderación en la e#posición de sus juicios uopiniones evitando caer en e#ageraciones o atemorizaciones innecesariasprocurando, en todo momento, transmitir una imagen de precisión ye#actitud en sus comentarios.

• l comportamiento profesional e#ige del auditor una seguridad en susconocimientos tcnicos y una clara percepción de sus carencias, debiendoeludir las injerencias no solicitadas por l, de profesionales de otras áreas,en temas relacionadas o que puedan incidir en el resultado da la auditoría.

• l auditor debe asimismo guardar un escrupuloso respecto por la políticaempresarial del auditado, aunque sta difiera ostentablemente de las delresto el sector en las que desarrolla su actividad.

• 'gualmente debe evitarse realizar actos que simulen aplicaciones detratamientos ficticios, encubran comportamientos no profesionales o denpublicidad a metodologías propias o ajenas insuficientemente contrastadasy garantizadas.

PRINCIPIO D/ CONC/NTRACION /N /L TRA+A7O • n su línea de actuación, el auditor deberá evitar que un e#ceso de trabajo

supere sus posibilidades de concentración y precisión en cada una de lastareas a l encomendadas, y a que la estructuración y dispersión detrabajos suele a menudo, si no está debidamente controlada, provocar laconclusión de los mismos sin las debidas garantías de seguridad.





Clave IFM-0405

• ( este efecto, el auditor deberá sopesar las posibles consecuencias de unaacumulación e#cesiva de trabajos a fin de no asumir aquellos queobjetivamente no tengan tiempo de realizar con las debidas garantías de

calidad.

• (simismo deberá evitar la desaconsejable práctica de a&orro de esfuerzosbasada en la reproducción de partes significativas de trabajos oconclusiones obtenidas de trabajos previos en otros posteriores elaboradoscomo colofón de nuevas auditorías.

• or el contrario, si es admisible el que, una vez analizados en profundidadlos aspectos a tener en cuenta y obtenidas las correspondientesconclusiones, se contrasten las mismas a tenor de la e#periencia adquiriday reflejada en anteriores informes, ya que este modo de actuar permite

detectar posibles omisiones en el estudio.

• ste comportamiento profesional permitirá al auditor dedicar a su cliente lamayor parte de los recursos posibles obtenidos de sus conocimientos ye#periencias previas con una completa atención durante la ejecución de laauditoría.

PRINCIPIO D/ CONFIANA

• l auditor deberá facilitar e incrementar la confianza del auditorio en base auna actuación de transparencia en su actividad profesional sin alardescientíficos8tcnicos.

• ste principio requiere mismísimo, por parte del auditor, el mantener unaconfianza en las indicaciones del auditado aceptándolas sin reservas comoválidas.

• l auditor deberá, en consonancia con esta forma de actuar, adecuar sulenguaje al nivel de comprensión del auditado, descendiendo y detallandocuando &aga falta en su e#plicación debiendo solicitar, cuando lo considerenecesario, la presencia de alguno de los colaboradores de confianza de sucliente.

PRINCIPIO D/ CRIT/RIO PROPIO

• l auditor durante la ejecución deberá actuar con criterio propio y nopermitir que est subordinado al de otros profesionales, aun de reconocidoprestigio, que no coincidan con el mismo.

• La defensa a ultranza del propio criterio no es óbice para respetar lascríticas adversas de terceros, aunque el auditor debe evitar que, si una vez





Clave IFM-0405

analizadas contin3a discrepando de las mismas, stas pueden seguir influyendo en su trabajo, ya que la libertad de criterio impone al auditor laobligación de tica de actuar en todo momento.

• ste principio e#ige asimismo del auditor una actitud cuasibeligerante en loscasos en que llegue al convencimiento de que la actividad que se solicita,presuntamente para evaluar y mejorar un sistema informático, tiene otrafinalidad ajena a la auditoría. 1e igual forma cuando el auditor observe que,de forma reiterada, el auditado se niega, sin justificación alguna, a adoptar a sus propuestas deberá plantearse la continuidad de sus servicios enfunción de las razones y causas que considere puedan justificar dic&oproceder.

PRINCIPIO D/ DI-CR/CI8N

• l auditor deberá en todo momento mantener una cierta discreción en ladivulgación de datos, aparentemente inocuos, que se le &ayan puesto demanifiesto durante la ejecución de la auditoria

PRINCIPIO D/ /CONOMA

• l auditor deberá proteger, en la medida de sus conocimientos, losderec&os económicos del auditado evitando generar gastos innecesarios enel ejercicio de su actividad.

• 1e igual forma, el auditor deberá tener en cuenta la economía de medios

materiales o &umanos, eludiendo utilizar aquellos que no se precisen, loque redundará en reducciones de gastos no justificados. n lasrecomendaciones y conclusiones realizadas en base a su trabajo deberáasí mismo eludir, incitar o proponer actuaciones que puedan generar gastosinnecesarios o desproporcionados.

PRINCIPIO D/ FORMACI8N CONTINUADA

• ste principio impone a los auditores el deber y la responsabilidad demantener una permanente actualización de sus conocimientos y mtodos afin de adecuarlos a las necesidades de la demanda y a las e#igencias de lacompetencia de la oferta.

PRINCIPIO D/ FORTAL/CIMI/NTO ? R/-P/TO D/ LA PROF/-I8N

• La defensa de los auditados pasa por el fortalecimiento de la profesión delos auditores informáticos, lo que e#ige un respeto por el ejercicio,globalmente considerado, de la actividad desarrollada por los mismos y un





Clave IFM-0405

comportamiento acorde con los requisitos e#igibles para el idóneocumplimiento de la finalidad de las auditorias.

• l auditor como integrante de un grupo profesional beberá promover el

respeto mutuo y la no confrontación entre compa+eros.

• n sus relaciones profesionales beberá e#igir así mismo una reciprocidaden el comportamiento tico de sus colegas y facilitar las relaciones deconfraternidad y mutuo apoyo cuando así se le soliciten.

PRINCIPIO D/ IND/P/ND/NCIA

• ste principio, muy relacionado con el principio de criterio propio, obliga alauditor, tanto si act3a como profesional e#terno o con dependencia laboralrespecto a la empresa en la que deba realizar la auditoria informática, a

e#igir una total autonomía e independencia en su trabajo, condición estaimprescindible para permitirle actuar libremente seg3n su leal saber yentender. Ista independencia implica así mismo el rec&azo de criterios conlos que no este plenamente de acuerdo, debiendo reflejarse en su informefinal tan solo aquellos que considere pertinentes evitando incluir en elmismo aquellos otros que seg3n su entender pudieran producir perjuicios alauditado, aunque este así se lo solicite.

PRINCIPIO D/ INFORMACI8N -UFICI/NT/

• ste principio obliga al auditor a ser plenamente consciente de su

obligación de aportar, en forma pormenorizada, clara, precisa e inteligiblepara el auditado, información tanto sobre todos y cada uno de los puntosrelacionados con la auditoria que puedan tener alg3n inters para el, comosobre las conclusiones a las que a llegado.

• s importante asimismo que la información transmitida al auditado pongade manifiesto una prudencia y sentido de la responsabilidad, característicasestas que nunca deben estar re+idas con los principios de suficienciainformativa y de veracidad evitando recrear los aspectos negativos o loserrores &umanos detectados que deben quedar reflejados con un ciertotacto profesional.

PRINCIPIO D/ INT/;RIDAD MORAL

• ste principio, in&erentemente ligado a la dignidad de la persona, obliga alauditor a ser &onesto, leal y diligente en el desempe+o de su misión, aajustarse a las normas morales de justicia y prioridad, y a evitar participar,voluntaria o inconscientemente, en cualquier acto de corrupción personal ode terceras personas.





Clave IFM-0405

PRINCIPIO D/ L/;ALIDAD

• La primacía de esta obligación e#ige del auditor un comportamiento activo

de oposición a todo intento, por parte del auditado o de terceras personas,tendente a infringir cualquier precepto integrado en el derec&o positivo.

PRINCIPIO D/ LI+R/ COMP/T/NCIA

• La actual economía de mercado e#ige que el ejercicio de la profesión serealice en el marco de la libre competencia siendo rec&azables, por tanto,las prácticas colusorias tendentes a impedir o limitar la legitimacompetencia de otros profesionales y las prácticas abusivas consistentes

en el aprovec&amiento en beneficio propio, y en contra de los intereses delos auditados, de posiciones predominantes.

PRINCIPIO D/ NO DI-CRIMINACI8N

• l auditor en su actuación previa, durante y posterior a la auditoria deberáevitar cualquier tipo de condicionantes personalizados y actuar en todos loscasos con similar diligencia, su actuación deberá mantener una igualdad detrato profesional con la totalidad de personas con las que en virtud de sutrabajo tenga que relacionarse.

PRINCIPIO D/ NO IN7/R/NCIA

• l auditor, dada la injerencia que puede derivarse de su tarea, deberá evitar injerencias en los trabajos de otros profesionales, respetar su labor y eludir &acer comentarios que pudieran interpretarse como despreciativos de lamisma o provocar un cierto desprestigio de su cualificación profesional.

• 1eberá igualmente evitar aprovec&ar los datos obtenidos de la auditoriapara entrar en competencia desleal con profesionales relacionados con ellade otras áreas del conocimiento.

PRINCIPIO D/ PR/CI-I8N

• ste principio estrec&amente relacionado con el principio de calidad e#igedel auditor la no conclusión de su trabajo &asta estar convencido, en lamedida de lo posible, de la viabilidad de sus propuestas , debiendo ampliar sus estudios de ser necesario.





Clave IFM-0405

• n la e#posición de sus conclusiones deberá ser suficientemente critico, noeludiendo poner de manifiesto aquellos aspectos concretos que considerepuedan tener una incidencia en la calidad y fiabilidad de la auditoria.

• s e#igible asimismo del auditor que indique como evaluado 3nicamenteaquello que directamente, o por medio de sus colaboradores, &ayacomprobado u observado de forma e#&austiva.

PRINCIPIO D/ PU+LICIDAD AD/CUADA

• La oferta y promoción de los servicios de auditoria deberán en todomomento ajustarse a las características, condiciones y finalidad

perseguidas, siendo contraria a la tica profesional la difusión de publicidadfalsa o enga+osa que tenga como objetivo confundir a los potencialesusuarios de dic&os servicios.

PRINCIPIO D/ R/-PON-A+ILIDAD

• l auditor deberá, como elemento intrínseco de todo comportamientoprofesional, responsabilizarse de lo que &aga, diga o aconseje.

• "i bien este principio aparentemente puede resultar gravoso en auditoriasde gran complejidad es preciso tenerlo presente a fin de poder garantizar suresponsabilidad en los casos en que, debido a errores &umanos durante laejecución de la auditoria, se produzcan da+os a su cliente que le pudieranser imputados.

• or ello es conveniente impulsar la formalización y suscripción de seguros,adaptados a las peculiares características de su actividad, que cubran laresponsabilidad civil de los auditores con una suficiente cobertura a fin deacrecentar la confianza y solvencia de su actuación profesional.

• La responsabilidad del auditor conlleva la obligación de resarcimiento de losda+os o perjuicios que pudieran derivarse de una actuación negligente o

culposa.PRINCIPIO D/ -/CR/TO PROF/-IONAL

• La confidencia y confianza con características esenciales de las relacionesentre el auditor y el auditado e imponen al primero la obligación de guardar en secreto los &ec&os e informaciones que conozca en el ejercicio de suactividad profesional. "olamente por imperativo legal podrá decaer esa





Clave IFM-0405

obligación. Iste principio obliga primero a no difundir a terceras personasning3n dato que &aya visto, oído, o deducido durante el desarrollo de sutrabajo que pudiera perjudicar a su cliente. Istablecimiento de las medidas

y mecanismos de seguridad pertinentes para garantizar al auditado que lainformación documentada, obtenida a lo largo de la auditoria, va a quedar almacenada en entornos o soportes que impidan la accesibilidad a lamisma por terceras personas no autorizadas.

PRINCIPIO D/ -/REICIO PU+LICO

•

La aplicación de este principio debe incitar al auditor a &acer lo que este ensu mano y sin perjuicio de los intereses de su cliente, para evitar da+ossociales.

• 1eberá poner de manifiesto sus opciones personales cuando entren encontradicción con la tica social que el auditado pueda presumir que estaimplícitamente aceptada por el auditor.

• #ige una continua elevación del arte de la ciencia en el campo de laauditoria informática.

PRINCIPIO D/ E/RACIDAD

• l (uditor en sus comunicaciones con el auditado deberá tener siemprepresente la obligación de asegurar la veracidad de sus manifestaciones conlos limites impuestos por los deberes de respeto, corrección, y secretoprofesional.

• l principio de veracidad no debe, sin embargo, considerarse comoconstre+ido a e#presar 3nicamente aquello sobre lo que se tenga unaabsoluta y total certeza, sino que implica poner de manifiesto aquello quetenga el suficiente grado de fiabilidad como para ser considerado comoveraz mientras no se aporten datos o pruebas que demuestren lo contrario.

• La aplicación de este principio e#ige al auditor, en el marco de su obligaciónde informar al auditado sobre el trabajo realizado, comunique a este ultimosus conclusiones, diferenciando los &ec&os constatados de las opiniones,propuestas y valoraciones personales, debiendo actuar en la comprobaciónde los primeros y en la fundamentación de las restantes con una suficientediligencia profesional para garantizar el cumplimiento de su obligación deinformar verazmente.





Clave IFM-0405

1. Resonsa)i!idades de !os ad#inistradores 6 de! auditor

!ecordemos que un auditor informático es un profesional especializado en ramasde la auditoría informática, principalmente dedicado al análisis de sistemas deinformación )-I*, que tiene conocimientos generales de los ámbitos en los questa se mueve, además de contar con conocimientos empresariales generales.

l auditor puede actuar como consultor con su auditado, dándole ideas de cómoenfocar la construcción de los elementos de control y administración que le seanpropios. (demás, puede actuar como consejero con la organización en la que estádesarrollando su labor. 6n entorno informático bien controlado puede ser ineficiente si no es consistente con los objetivos de la organización.

l auditor informático debe ser una persona con un alto grado de calificacióntcnica y al mismo tiempo estar integrado a las corrientes organizativasempresariales. "e deben contemplar las siguientes características de un perfilprofesional adecuado y actualizado:

@* "e deben poseer una mezcla de conocimientos de auditoría financiera y deinformática en general. n el área informática, se debe tener conocimientosbásicos de:

• 1esarrollo de "' )administración de proyectos, ciclo de vida de

desarrollo* (dministración del 1epartamento de 'nformática

• (nálisis de riesgos en un entorno informático

• "istemas operativos

• 4elecomunicaciones

• (dministración de 7ases de 1atos

• !edes locales

• "eguridad física

• peración y planificación informática )efectividad de las operaciones yrendimiento del sistema*





Clave IFM-0405

• (dministración de seguridad de los sistemas )planes de contingencia*

• (dministración del cambio

• (dministración de 1atos

• I(utomatización de oficinas )ofimática*

• -omercio electrónico

• ncriptación de datos

B* specialización en función de la importancia económica que tienen distintos

componentes financieros dentro del entorno empresarial/ or ejemplo, enun entorno financiero pueden tener muc&a importancia las comunicaciones,por lo que se debe tener una especialización en esa rama.

J* 1ebe conocer tcnicas de administración de empresas y de cambio, ya quelas recomendaciones y soluciones que aporte deben estar alineadas a losobjetivos de la empresa y a los recursos que se poseen.

K* 1ebe tener un enfoque de -alidad 4otal, lo cual &ará que sus conclusionesy trabajo sean reconocidos como un elemento valioso dentro de la empresay que los resultados sean aceptados en su totalidad.

s responsable de realizar las siguientes actividades para la función de la (uditoría 'nformática:

• >erificación del control interno tanto de las aplicaciones como de los "',perifricos, etc.

• (nálisis de la administración de "istemas de 'nformación, desde un puntode vista de riesgo de seguridad, administración y efectividad de laadministración.

• (nálisis de la integridad, fiabilidad y certeza de la información a travs del

análisis de aplicaciones.

• (uditoría del riesgo operativo de los circuitos de información

• (nálisis de la administración de los riesgos de la información y de laseguridad implícita.





Clave IFM-0405

• >erificación del nivel de continuidad de las operaciones.

• (nálisis del stado del (rte tecnológico de la instalación revisada y las

consecuencias empresariales que un desfase tecnológico puede acarrear.

• 1iagnóstico del grado de cobertura que dan las aplicaciones a lasnecesidades estratgicas y operativas de información de la empresa

4ambin el auditor informático es responsable de establecer los objetivos decontrol que reduzcan o eliminen la e#posición al riesgo de control interno. 1espusde que los objetivos de auditoría se &ayan establecido, el auditor debe revisar loscontroles y evaluar los resultados de su revisión para determinar las áreas querequieran correcciones o mejoras.

(demás de analizar el grado de implantación y cumplimiento de los controlesinternos, se considera que el auditor puede &acer las veces de consultor delauditado, dándole ideas de cómo establecer procedimientos de seguridad, controlinterno, efectividad y eficacia, medición del riesgo empresarial, entre otros.

Or3ani=ación de !a "unción de Auditor4a In"or#$tica

La función de la auditoría informática se &a convertido en una función quedesarrolla un trabajo más acorde con la importancia que para las organizaciones

tienen los "', que son su objeto de estudio y análisis. l auditor informático pasa aser auditor y consultor de empresas en materias de:

• "eguridad• -ontrol interno operativo

• ficiencia y eficacia

• 4ecnologías de 'nformación

•

-ontinuidad de operaciones

• (dministración de riesgos

No solamente de los "' objeto de su estudio, sino de las relaciones eimplicaciones operativas que dic&os sistemas tienen en el conte#to empresarial.





Clave IFM-0405

La organización de la auditoría informática debe contemplar los siguientesprincipios:

• "u localización puede estar ligada a la auditoría interna operativa yfinanciera )aunque e#ista una coordinación lógica entre ambosdepartamentos*, con independencia de objetivos, planes de formación ypresupuestos.

• 1ebe ser un grupo independiente del de auditoría interna, con acceso totala los "' y demás tecnología, que depende de la misma persona que laauditoría interna )1irector <eneral o -onsejero*

• La dependencia debe ser del má#imo responsable de la organización,nunca del departamento de sistemas o del financiero. sto es para que nose pueda sospec&ar que e#iste sesgo al momento de realizar el trabajo de

auditoría y ofrecer conclusiones y recomendaciones.

Los recursos &umanos con los que debe contar el departamento debe ser unamezcla equilibrada de personas con formación en auditoría y organización y conperfil informático )especialidades*.

La organización interna de la función podría ser:

• 9efe de departamento de auditoría informática. 1esarrolla el plan operativo,las descripciones de puesto del personal a su cargo, la planeación a cortoplazo, mtodos de administración de programas de trabajo, eval3a la

capacidad del personal a su cargo• <erente o supervisor de auditoría informática. 4rabaja estrec&amente con el

9efe de de departamento en las tareas operativas diarias. (yuda en laevaluación de riesgos de cada uno de los trabajos, realiza los programas detrabajo, dirige y supervisa directamente a las personas en cada uno de lostrabajos de los que es responsable. s responsable junto con su jefe de laobtención del mejor resultado del trabajo para el auditado.

• (uditor informático. s el responsable de la ejecución directa del trabajo.1ebe tener una especialización genrica pero tambin una específica.btiene información, realiza pruebas, documenta el trabajo y ofrece undiagnóstico de resultados.

l tama+o sólo se puede precisar en función de los objetivos, pero se deberíacubrir lo siguiente:

• specialista en el entorno informático a auditar y en administración debases de datos





Clave IFM-0405

• specialista en comunicaciones y redes

• !esponsable de administración de riesgo operativo y aplicaciones

• !esponsable de la auditoría de "', tanto en e#plotación como en desarrollo

• specialista para la elaboración de programas de trabajo en conjunto con la (uditoría 5inanciera

unidad i auditoria

Documents