Semana 1 Contenido Def
Semana 1 Contenido Def
Semana 1 Contenido Def
AUDITORÍA DE SISTEMAS
SEMANA 1
Fundamentos generales de la
auditoría informática
Todos los derechos de autor son de la exclusiva propiedad de IACC o de los otorgantes de sus licencias. No está
permitido copiar, reproducir, reeditar, descargar, publicar, emitir, difundir, poner a disposición del público ni
utilizar los contenidos para fines comerciales de ninguna clase.
IACC 1
SEMANA 1 – AUDITORÍA DE SISTEMAS
APRENDIZAJES ESPERADOS
• Identificar la auditoría informática en el
contexto de la auditoría general y el
control interno.
IACC 2
SEMANA 1 – AUDITORÍA DE SISTEMAS
INTRODUCCIÓN ................................................................................................................................... 4
1. DEFINICIÓN DE AUDITORÍA ......................................................................................................... 5
1.1. OBJETIVO DE LA AUDITORÍA ........................................................................................... 6
1.2. CLASIFICACIÓN DE LAS AUDITORÍAS ............................................................................... 7
2. CONTROLES: DEFINICIÓN ............................................................................................................ 9
2.1. CLASIFICACIÓN DE CONTROLES ............................................................................................. 10
2.2. SISTEMA DE CONTROL INTERNO ....................................................................................... 10
2.2.1. CONTROL INTERNO DE LA FUNCIÓN INFORMÁTICA................................................. 12
2.2.2. EJEMPLO DE CONTROL INTERNO .............................................................................. 13
COMENTARIO FINAL.......................................................................................................................... 15
REFERENCIAS ..................................................................................................................................... 16
IACC 3
SEMANA 1 – AUDITORÍA DE SISTEMAS
INTRODUCCIÓN
La auditoría ha cambiado en los últimos años De lo anterior se desprende que las
con la introducción de nuevas herramientas empresas están depositando su
para el desempeño de las empresas, conocimiento en herramientas
particularmente con el ingreso de la especializadas, y aquí es donde aparece la
informática, pasando de procesos que se necesidad de disponer de herramientas que
realizaban en forma manual a métodos salvaguarden la confidencialidad, integridad
computarizados, como por ejemplo el y disponibilidad de la información: estos son
proceso de mantenimiento de activos fijos, el los llamados controles.
cual hoy parece imposible ejecutar en forma
IACC 4
SEMANA 1 – AUDITORÍA DE SISTEMAS
1. DEFINICIÓN DE AUDITORÍA
La palabra auditoría proviene del latín auditor que significa aquel que tiene la virtud de “oír”
(Echeñique, 2001). En este sentido, el auditor es el profesional que tiene la capacidad de oír, de
interpretar, de revisar documentos basados en un objetivo específico para evaluar la eficiencia y
eficacia de las operaciones, y así tomar las decisiones que permitirán corregir los errores en caso
de que existan.
El concepto de auditoría ha sido mal interpretado: cada vez que se habla de auditar un área o
sistema se cree equivocadamente que se ha detectado una falla en un proceso productivo en
particular y, por lo tanto, es necesario buscar responsables. Nada más alejado de la realidad, ya
que el concepto de auditoría tiene un alcance más amplio: no solo busca errores, sino que es un
examen que busca evaluar la eficiencia y eficacia de una sección, y producto de los resultados de
esta evaluación buscar los caminos y acciones para mejorar la gestión de la empresa y alcanzar los
objetivos que se ha propuesto la organización.
ciertos procedimientos cuyos resultados, una vez llevados a cabo, son de carácter
juzgar los procedimientos que deben de seguirse y estimar los resultados obtenidos.
Por otro lado, el Instituto de Auditores Internos de Colombia (2000) menciona que se puede
considerar la auditoría como una actividad independiente, objetiva de aseguramiento y consulta,
que está pensada para agregar valor y mejorar las operaciones de una empresa. Ayuda a una
organización a cumplir sus objetivos aplicando una metodología para evaluar y mejorar la eficacia
de los procesos de gestión, control y gobierno.
La auditoría surge principalmente para garantizar la información financiera. Se aplica tanto a nivel
privado como público, y las diferencias entre ambas radican en los entes que intervienen en cada
una.
IACC 5
SEMANA 1 – AUDITORÍA DE SISTEMAS
La auditoría es vital para el buen desempeño de los sistemas de información de la empresa, ya que
con esta se logran obtener, si es que no existen, los controles necesarios para hacer los sistemas
más confiables y seguros, y mejorarlos en el tiempo si ya se han establecido o construido. Cabe
recordar que el objetivo es evaluar la totalidad de lo involucrado: informática, organización de
centros de información, hardware y software.
IACC 6
SEMANA 1 – AUDITORÍA DE SISTEMAS
IACC 7
SEMANA 1 – AUDITORÍA DE SISTEMAS
La auditoría informática no solo debe comprender la evaluación de los equipos que son
utilizados para llevar a cabo los procesos de la empresa u organización, sino que su alcance
va más allá: debe incluir los sistemas de información y estos, a su vez, las entradas,
procedimientos, controles, archivos, seguridad y finalmente las salidas de información.
De acuerdo a lo expresado por Campoverde (2014), las auditorías desde el punto de vista
informático son las siguientes:
IACC 8
SEMANA 1 – AUDITORÍA DE SISTEMAS
Auditoría de los datos Este campo de la auditoría tiene relación con el estudio o
análisis de las aplicaciones, análisis de los flujos y
clasificación de los datos.
2. CONTROLES: DEFINICIÓN
Hoy todo sistema que esté en producción debe ser regulado, con la finalidad de cumplir con los
objetivos para el que fue pensado y puesto en marcha. La regulación está orientada a medir el
comportamiento de este y realizar las correcciones necesarias si se detectan desviaciones en su
operación. “El conjunto de acciones, procedimientos, normas o técnicas que aseguran la
regulación de un sistema es lo que se denomina control” (Cuellar, 2003, apartado 7.1).
Por otro lado, Cuellar señala lo siguiente: “Si consideramos un sistema como un conjunto de
elementos estrechamente relacionados que persiguen un fin común, es posible establecer que
todo aquello que tienda a asegurar el cumplimiento de la finalidad del sistema es control”.
Cabe destacar que para que se efectúe un control, es necesario implantar las bases con las cuales
se velará por el cumplimiento de este. Para ello hoy existen diversas normas o estándares que se
pueden utilizar como base comparativa: un ejemplo de esto se da en la norma ISO 19011, ISO
27001, los estándares proporcionados por Isaca a sus auditores certificados, entre otros. Luego de
haber establecido la base, se deben desarrollar las técnicas o pruebas que medirán el desempeño
del sistema, obteniendo los parámetros que posteriormente se compararán con la base explicitada
al principio. Una vez que se tengan los resultados de la comparación, se podrán realizar las
correcciones o mejoras que correspondan.
IACC 9
SEMANA 1 – AUDITORÍA DE SISTEMAS
De acuerdo lo señalado por Isaca (2014), los controles están clasificados como preventivos,
detectivos o correctivos, de acuerdo a su naturaleza.
• Controles preventivos: Detectan los problemas antes de que aparezcan. Monitorean tanto
la operación como las entradas. Intentan predecir los problemas potenciales antes de que
ocurran. Evitan que ocurra un error, omisión o acto malicioso. Un ejemplo de esto es la
segregación de funciones1.
Los controles internos están normalmente constituidos por políticas, procedimientos, prácticas y
estructuras organizacionales implementadas para reducir los riesgos para la organización.
1
Segregación de funciones: Permite asegurar que un individuo no pueda llevar a cabo todas las fases de una
operación/transacción, desde su autorización, pasando por la custodia de activos y el mantenimiento de los
registros maestros necesarios.
2
Totales de comprobación: Cuando se quiere almacenar o transmitir información, para la protección frente
a errores fortuitos en el almacenamiento o transmisión, se acompaña a los datos de valores obtenidos a
partir de ellos, aplicando funciones con ciertas propiedades de forma que puedan ser usados para verificar
el propio dato.
IACC 10
SEMANA 1 – AUDITORÍA DE SISTEMAS
Son desarrollados para proveer una certeza razonable a la gerencia de que se alcanzarán los
objetivos de negocio de la organización y que se prevendrán o detectarán y corregirán los eventos
de riesgo. Las actividades de control interno y los procesos que las respaldan pueden ser manuales
o manejados por recursos de información automatizados. Los controles internos operan en todos
los niveles dentro de una organización para mitigar su exposición a riesgos que potencialmente
podrían impedirle alcanzar sus objetivos de negocio. La alta dirección es responsable de establecer
la cultura apropiada para facilitar un sistema efectivo y eficiente de control interno y de
monitorear continuamente la efectividad del sistema de control interno, aunque toda persona
dentro de la organización debe participar en este proceso.
El boletín 3050 del Instituto Mexicano de Contadores (2001, p. 5) señala respecto al control
interno lo siguiente:
El estudio y evaluación del control interno se efectúa con el objeto de cumplir con la
norma de ejecución del trabajo que requiere que: el auditor debe efectuar un estudio y
evaluación adecuados del control interno existente, que le sirvan de bases para
determinar el grado de confianza que va a depositar en él, así mismo, que le permitan
auditoría.
Siguiendo esta misma idea, el Instituto Mexicano de Contadores Públicos (citado en Cuellar, 2003,
apartado 7.4) expone que el control interno comprende el plan de organización y todos los
métodos y procedimientos que en forma coordinada se adoptan en un negocio para salvaguardar
sus activos, verificar la razonabilidad y confiabilidad de su información financiera, promover la
eficiencia operacional y provocar la adherencia a las políticas por la administración.
Para Echeñique (2001), los objetivos básicos del control interno son los siguientes:
IACC 11
SEMANA 1 – AUDITORÍA DE SISTEMAS
Desde el punto de vista informático, Carpio (2012, pp. 4-8) indica que el control interno tiene los
siguientes objetivos básicos:
De acuerdo a lo expresado por el Grupo de Auditoría Informática del Iteco (2011), las funciones de
los controles internos son las siguientes:
• Informar a todo el equipo del área informática de las normas, procedimientos y estándares.
• Controlar que lo difundido se cumpla.
• Diseñar la estructura del Sistema de Control Interno de la Dirección de Informática en los
siguientes aspectos:
o Desarrollo y mantención de aplicaciones.
o Administración de motores de bases de datos.
o Administración de las redes computacionales.
IACC 12
SEMANA 1 – AUDITORÍA DE SISTEMAS
https://prezi.com/yq2lj8exv2ir/sistemas-de-control-interno-
informatico/
De acuerdo a lo expresado por el Grupo de Auditoría Informática del Iteco, los documentos y
directrices que se obtienen son los siguientes:
IACC 13
SEMANA 1 – AUDITORÍA DE SISTEMAS
La empresa debe asegurar que solo tenga acceso a esta herramienta el personal capacitado y
contratado específicamente para llevar a cabo la funcionalidad prestada por el sistema. Cada vez
que ingresa un nuevo miembro o sale uno, se debe seguir un procedimiento que otorgue los
privilegios o los caduque a quien está saliendo del área involucrada. Aquí se puede tener un
control interno que se lleve a cabo cada treinta días, en el cual se debe involucrar al área de
Recursos Humanos, encargada de informar de las nuevas entradas y las salidas si es que existiesen.
Otro ejemplo más orientado a la función de informática tiene que ver con el desarrollo de
aplicaciones de gestión dentro de la misma empresa. Los desarrolladores de software no deben
tener acceso a los sistemas cuando estos están en un ambiente de producción, es decir, cuando la
aplicación está siendo utilizada por el cliente. Para solucionar esto se puede manejar un esquema
de traspaso desde el área de desarrollo al área de producción, en el cual un ente específico se
encarga de realizar la actualización de las nuevas funcionalidades desarrolladas al sistema de
producción. Aquí el control interno está basado en asegurar que el procedimiento de actualización
de cambios se cumpla y, si se detectan errores, que sean corregidos.
EJEMPLO
Controles
• Cuando fallan los preventivos para tratar de
conocer cuanto antes el evento
Controles
• Facilitan la vuelta a la normalidad cuando se
han producido fallas
IACC 14
SEMANA 1 – AUDITORÍA DE SISTEMAS
COMENTARIO FINAL
La dependencia de los procesos de negocio en la tecnología de información ha requerido que los
auditores financieros y operativos tradicionales comprendan las estructuras de control de TI y que
los auditores informáticos comprendan las estructuras de control del negocio.
La auditoría informática tiene mucho en común con otros tipos de auditoría y se solapa en muchos
aspectos con las prácticas de auditoría financiera y operacional. En la medida en que las prácticas
contables y financieras utilicen tecnologías de información, las auditorías financieras deben
abordar controles basados en la tecnología. Las auditorías operacionales examinan la eficacia de
uno o más procesos de negocio o funciones de la organización, y el uso eficiente de los recursos en
el apoyo de las metas y objetivos de la organización.
Los controles son los mecanismos o metodologías de los que dispone la empresa para asegurar la
administración correcta de sus activos, en particular los que se refieren a la información,
información contable, de gestión de recursos humanos, etc.
Los controles son procesos, procedimientos que se deben cumplir para asegurar la eficiencia y
eficacia de la utilización de sistemas informáticos y, por tanto, buscan:
Estos cuatro objetivos son fundamentales a la hora de establecer los alcances que abordará una
auditoría, en particular una auditoría informática.
IACC 15
SEMANA 1 – AUDITORÍA DE SISTEMAS
REFERENCIAS
Delgado, X. (1998). Auditoría informática. Capítulo 1. Recuperado de:
www.isaca.org\nonenglishbooks.
Echeñique, J. (2001). Auditoría en informática. Capítulo XXX. 2.ª edición. México: McGraw-Hill.
Sistemas. Semana 1.
IACC 16
SEMANA 1 – AUDITORÍA DE SISTEMAS
IACC 17