libro auditoriai

5/13/2018 Libro AuditoriaI - slidepdf.com

http://slidepdf.com/reader/full/libro-auditoriai 1/64

Nombre: __________________________________ Grupo: _________



INDICE

BLOQUE I: INTRODUCCIÓN A LA AUDITORÍA INFORMÁTICA. ......................................... 4 EC01: LA INFORMACIÓN DE LAS COMPUTADORAS ................................................................................ 5 CONCEPTOS DE AUDITORÍA Y AUDITORÍA INFORMÁTICA......................................................... 8

Introducción .................................................................................................................................. 8 1.1 Concepto de auditoría ............................................................................................................. 8 1.2 Tipos de auditoría ................................................................................................................. 10 Auditoría interna: ........................................................................................................................ 10 Auditoría informática de sistemas: .............................................................................................. 12 Auditoría a los planes de desarrollo empresarial: ........................................................................ 12 Auditoría administrativa:.............................................................................................................. 13 Auditoría financiera: .................................................................................................................... 13 Auditoría de gestión: ................................................................................................................... 13 Auditoría de gestión de ambiental: .............................................................................................. 13 Auditoría de gestión y resultados: ............................................................................................... 14 Auditoría integral: ........................................................................................................................ 14 1.3 Auditoría en informática ........................................................................................................ 15 Objetivos de la auditoría informática. .......................................................................................... 16

EC02: CONCEPTO DE AUDITORÍA...................................................................................................... 18 EC03: AUDITORÍA INFORMÁTICA ....................................................................................................... 19 EC04: NORMAS Y PROCEDIMIENTO DE AUDITORÍA.............................................................................. 20 CONTROL INTERNO .......................................................................................................................... 21 EC05: CONTROL INTERNO................................................................................................................ 23 EL AUDITOR ..................................................................................................................................... 26

Introducción ................................................................................................................................ 26 EC06: LOS AUDITORES .................................................................................................................... 29 EC07: CÓDIGO DE ÉTICA DE LOS AUDITORES..................................................................................... 34 EC08: ACTIVIDAD INTEGRADORA DEL BLOQUE ................................................................................... 35

BLOQUE II: PLANEACIÓN DE LA AUDITORÍA INFORMÁTICA ......................................... 36 FASES DE LA AUDITORIA INFORMÁTICA .............................................................................................. 38

Fase I: Conocimientos del Sistema ............................................................................................. 38 Fase II: Análisis de transacciones y recursos .............................................................................. 38 Fase III: Análisis de riesgos y amenazas .................................................................................... 38 Fase IV: Análisis de controles ..................................................................................................... 39



Fase V: Evaluación de Controles ................................................................................................ 39 Fase VI: Informe de Auditoria ..................................................................................................... 39 Fase VII: Seguimiento de Recomendaciones .............................................................................. 39

EC09: FASES DE LA AUDITORIA INFORMÁTICA ................................................................................... 46 EC10: PLANEACIÓN DE LA AUDITORÍA................................................................................................ 48 EC11: REVISIÓN PRELIMINAR............................................................................................................ 49 EC12: REVISIÓN DETALLADA ............................................................................................................ 50 EC13: AUDITORÍA FÍSICA.................................................................................................................. 51

BLOQUE III: AUDITORÍA INFORMÁTICA POR ÁREAS ...................................................... 52 EC14: ORGANIGRAMAS DE LA AUDITORÍA .......................................................................................... 53 EC15: EVALUACIÓN DE LOS RECURSOS HUMANOS ............................................................................. 54 EC16: AUDITORÍA FÍSICA.................................................................................................................. 55 EC17: EVALUACIÓN DE AUDITORIA FÍSICA ......................................................................................... 56 EC18: AUDITORIA DE APLICACIONES ................................................................................................. 57 EC19: AUDITORIA DE REDES Y COMUNICACIÓN .................................................................................. 58 EC20: AUDITORIA A LA SEGURIDAD INFORMÁTICA .............................................................................. 59 INFORME FINAL DE AUDITORIA........................................................................................................... 60

El informe final ............................................................................................................................ 60 EC21: EL INFORME FINAL ................................................................................................................. 62

ANEXOS ................................................................................................................................. 63



I: Introducción a la auditoría informática

M.C. Gabriel Huesca Aguilar Página 4

Bloque I: Introducción a laauditoría informática.

El Bloque I, tiene como finalidad conocer los elementosfundamentales de la auditoria informática, así como susconceptos básicos y principios éticos para identificar suutilidad en las organizaciones.





EC01: La información de las computadoras Fecha: ___/____/201___

Nombre: _____________________________________________ Grupo: __________

Instrucciones: Lee con atención la siguiente situación didáctica, analiza el problema y elabora unareflexión acerca de qué hacer para evitarlo, en la que expreses tus opiniones y experiencias para

enriquecer el tema, mostrando tolerancia y respetando las reglas de convivencia social.

En el hospital “El paciente impaciente” han desaparecido dos computadoras una enel servicio de archivo y otra del servicio de cuidados intensivos. Por lo anterior se han desatado algunos problemas que conllevan a subsanar dicha perdida.

1. ¿Qué debe hacer el encargado para sustituir las computadoras? 2. ¿Cuánto tiempo crees que es necesario para tener una computadora que

haga el mismo trabajo que hacia la que robaron? 3. ¿Qué harías tú para arreglar el problema?

4. ¿Qué debes saber para conectarlo en la red y con los archivos necesarios para trabajar correctamente?





EC01: Ideas sobre Auditoria Informática Fecha: ___/_____/2011

Nombre: _________________________________________ Grupo: _________

Instrucciones: Participado en la lluvia de ideas sobre los conceptos básico acerca de la AuditoriaInformática completa el siguiente cuadro:

Para crear una definición que te permita entender de lo que estás hablando es necesario:1. Definir de una forma concreta (objeto, animal, ciencia, procedimiento, cosa, etc)2. Actividad que realiza el objeto de estudio (única para el objeto).3. Contexto en el que lo realiza4. Referentes del objeto (ejemplos, comparaciones etc, si es posible).

AUDITORIAForma concreta Actividad que realiza

Contexto Referentes

AUDITORIA INFORMATICA

Forma concreta Actividad que realiza

Contexto Referentes





AUDITORForma concreta Actividad que realiza

Contexto Referentes

NORMAForma concreta Actividad que realiza

Contexto Referentes

ESTANDARForma concreta Actividad que realiza

Contexto Referentes





CONCEPTOS DE AUDITORÍA Y AUDITORÍA INFORMÁTICA1 IntroducciónEl concepto de auditoría informática ha estado siempre ligado al de auditoría en general y alde auditoría interna en particular, y éste ha estado unido desde tiempos históricos al decontabilidad y de control de los registros y de las operaciones. Aun algunos historiadores fijan

el nacimiento de la escritura como consecuencia de la necesidad de registrar y controlaroperaciones (Dale Flesher, 50 Yeras of progress ). Hago este referencia histórica a fin deexplicar la evolución de la corta pero intensa historia de la auditoría informática, y para queposteriormente nos sirva de referencia al objeto de entender las diferentes tendencias queexisten en la actualidad.

Si analizamos el nacimiento y la existencia de la auditoría informática desde un punto devista empresarial, tendremos que empezar analizando el contexto organizativo y ambientalen el que se mueve.

Empezaremos diciendo que tanto dentro del contexto estratégico como del operativo de las

organizaciones actuales, los sistemas de información y la arquitectura que los soportadesempeñan un importante papel como uno de los soportes básicos para la gestión y elcontrol del negocio, siendo así unos de los requerimientos básicos de cualquier organización.

Esto da lugar a los sistemas de información de una organización. La auditoria se desarrollacon base a normas, procedimientos y técnicas definidas formalmente por institutosestablecidos a nivel nacional e internacional; por lo tanto, solo se expondrán algunosaspectos necesarios para su entendimiento; no obstante, se sugiere leer los libros listados enla bibliografía, así como la participación directa y activa en los institutos o asociacionesrelacionados con el campo de la especialidad.

Por lo anterior, en este capítulo se incluyen lecturas que analizan en diferentes tipos deauditoría, así como lo expuesto por Mario Piattini y Emilio del Peso en su obra AuditoríaInformática: un enfoque practico en lo relativo a la auditoría informática y su alcance.

1.1 Concepto de auditoría

Con frecuencia la palabra auditoría se ha empleado incorrectamente y se ha consideradocomo una evaluación cuyo único fin es detectar errores y señalar fallas; por eso se hallegado a acuñar la frase "tiene auditoría" como sinónimo de que, desde antes de realizarse,ya se encontraron fallas y por lo tanto se está haciendo la auditoría. El concepto de auditoríaes más amplio: no sólo detecta errores, sino que es un examen crítico que se realiza con

objeto de evaluar la eficiencia y eficacia de una sección o de un organismo.

La palabra auditoría viene del latín auditorius, y de ésta proviene auditor, que tiene la virtudde oír, y el diccionario lo define como "revisor de cuentas colegiado". El auditor tiene la virtudde oír y revisar cuentas, pero debe estar encaminado a un objetivo específico que es el deevaluar la eficiencia y eficacia con que se está operando para que, por medio del

1 http://www.oocities.org/mx/acadentorno/aui1.pdf

http://www.oocities.org/mx/acadentorno/aui1.pdf








señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir loserrores, en caso de que existan, o bien mejorar la forma de actuación.

Si consultamos nuevamente el diccionario encontramos que eficacia es: "virtud, actividad,fuerza, para poder obrar"; mientras que eficiencia es: "virtud y facultad para lograr un efectodeterminado", por lo que eficiencia es el poder lograr lo planeado con los menores recursos

posibles, mientras que eficacia es lograr los objetivos.El Boletín "C" de Normas de Auditoría del Instituto Mexicano de Contadores nos dice: "Laauditoría no es una actividad meramente mecánica que implique la aplicación de ciertosprocedimientos cuyos resultados, una vez llevados a cabo, son de carácter indudable. Laauditoría requiere el ejercicio de un juicio profesional, sólido y maduro, para juzgar losprocedimientos que deben de seguirse y estimar los resultados obtenidos” .

Así como existen normas y procedimientos específicos para la realización de auditoríascontables, debe haber también normas y procedimientos para la realización de auditorías eninformática como parte de una profesión. Pueden estar basadas en las experiencias de otras

profesiones pero con algunas características propias y siempre guiándose por el concepto deque la auditoría debe ser más amplia que la simple detección de errores, y además laauditoría debe evaluar para mejorar lo existente, corregir errores y proponer alternativas desolución. A continuación se presentan diversos conceptos de auditoría.

Es un proceso formal y necesario para las empresas con el fin de asegurar que todos susactivos sean protegidos en forma adecuada. Asimismo, la alta dirección espera que de losproyectos de auditoria surjan las recomendaciones necesarias para que se lleven a cabo demanera oportuna y satisfactoria las políticas, controles y procedimientos y definidosformalmente, con objeto de que cada individuo o función de la organización opere de modoproductivo en sus actividades diarias, respetando las normas generales de honestidad y

trabajo aceptadas. [Hernández, 1997].Examen metódico de una situación relativa a un producto, proceso u organización en materiade calidad, realizada en cooperación con los interesados para verificar la concordancia de larealidad con lo preestablecido y la adecuación al objetivo buscado (http://dmi.uib...).

Actividad para determinar, por medio de la investigación, la adecuación de losprocedimientos establecidos, instrucciones, especificaciones, codificaciones y estándares uotros requisitos, la adhesión de los mismos y la eficiencia de su implantación(http://dmi.uib...).

Es la investigación, consulta, revisión, verificación, comprobación y evidencia. Aplicada laempresa es el examen del estado financiero de una empresa realizada por personalcualificado e independiente, de acuerdo con normas de contabilidad, con el fin de esperaruna opinión con que tales estados contables muestran lo acontecido en el negocio. Requisitofundamental es la independencia. (http://members...).

http://dmi.uib/

http://dmi.uib/

http://dmi.uib/

http://dmi.uib/





Se define como la acumulación y la evaluación de las evidencias sobre la informacióncuantificable de una entidad económica para determinar y opinar sobre el grado decorrespondencia que hay entre la información y el criterio establecido. [Zamarripa, 2002].

Es un proceso sistemático para obtener y evaluar evidencias de una manera objetivarespecto a las afirmaciones correspondientes a actos económicos y eventos para determinar

el grado de correspondencia entre estas afirmaciones y criterios establecidos y comunicar losresultados a los usuarios interesados.[Kell-Ziegler].

En el ambiente de sistemas, los exámenes de las operaciones que realiza un sistema decomputo con la finalidad de evaluar la situación del mismo. Los auditores deben tener lacapacidad de validar los reportes y de probar la autenticidad y la precisión de los datos y lainformación que se maneja. [González].

Representa el examen de los estados financieros de una entidad, con el objeto de que elcontador publico independiente emita una opinión profesional si dichos estados representanla situación financiera, los resultados de las operaciones, las variaciones en el capital

contable y los cambios en la situación financiera de una empresa, de acuerdo a los principiosde la contabilidad generalmente aceptados.(http://www.gestlopolis...).

1.2 Tipos de auditoría

La auditoría, como cualquier disciplina toma características diferentes de acuerdo al campode acción en que se desenvuelven. Sin embargo, el objetivo final debe responder a ladefinición general de auditoría. De acuerdo a las personas que la realizan se puedenreconocer dos tipos de auditoría. Fuente: (http://www.monografias.com/trabajos12/aufi.shtml)Marin Calv Hugo Armando.

Auditoría interna:Es la realizada con recursos materiales y personas que pertenecen a la empresa auditada.Los empleados que realizan esta tarea son remunerados económicamente. La auditoríainterna existe por expresa decisión de la Empresa, o sea, que puede optar por su disoluciónen cualquier momento.Por otro lado, la auditoría externa es realizada por personas afines a la empresa auditada; essiempre remunerada. Se presupone una mayor objetividad que en la Auditoria Interna,debido al mayor distanciamiento entre auditores y auditados.La auditoría informática interna cuenta con algunas ventajas adicionales muy importantesrespecto de la auditoría externa, las cuales no son tan perceptibles como en las auditoríasconvencionales. La auditoría interna tiene la ventaja de que puede actuar periódicamenterealizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. Losauditados conocen estos planes y se habitúan a las Auditorias, especialmente cuando lasconsecuencias de las Recomendaciones habidas benefician su trabajo.En una empresa, los responsables de Informática escuchan, orientan e Informan sobre lasposibilidades técnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto,Informática trata de satisfacer lo más adecuadamente posible aquellas necesidades. Laempresa necesita controlar su Informática y ésta necesita que su propia gestión esté





sometida a los mismos procedimientos y estándares que el resto de aquella. La conjunciónde ambas necesidades cristaliza en la figura del auditor interno informático.

En cuanto a empresas se refiere, solamente las más grandes pueden poseer una Auditoríapropia y permanente, mientras que el resto acuden a las auditorías externas. Puede ser quealgún profesional informático sea trasladado desde su puesto de trabajo a la Auditoría Interna

de la empresa cuando ésta existe. Finalmente, la propia Informática requiere de su propiogrupo de Control interno, con implantación física en su estructura, puesto que si se ubicasedentro de la estructura Informática ya no sería independiente. Hoy, ya existen variasorganizaciones Informáticas dentro de la misma empresa, y con diverso grado de autonomía,que son coordinadas por órganos corporativos de Sistemas de Información de las Empresas.Una Empresa o Institución que posee auditoría interna puede y debe en ocasiones contratarservicios de auditoría externa. Las razones para hacerlo suelen ser:

Necesidad de auditar una materia de gran especialización, para la cual los serviciospropios no están suficientemente capacitados.

Contrastar algún Informe interno con el que resulte del externo. en aquellos supuestosde emisión interna de graves recomendaciones que chocan con la opinión

generalizada de la propia empresa. Servir como mecanismo protector de posibles auditorías informáticas externasdecretadas por la misma empresa.

Aunque la auditoría interna sea independiente del Departamento de Sistemas, siguesiendo la misma empresa, por lo tanto, es necesario que se le realicen auditoríasexternas como para tener una visión desde afuera de la empresa.

La auditoría informática, tanto externa como interna, debe ser una actividad exenta decualquier contenido o matiz "político" ajeno a la propia estrategia y política general de laempresa. La función auditora puede actuar de oficio, por iniciativa del propio órgano, o ainstancias de parte, esto es, por encargo de la dirección o cliente. De acuerdo al objetivo de

la auditoría, tenemos:Auditoría de cumplimiento:Es la comprobación o examen de operaciones financieras, administrativas, económicas y deotra índoIe de una entidad para establecer que se han realizado conforme a las normaslegales, reglamentarias, estatuarias y de procedimientos que le son aplicables.

Esta auditoría se practica mediante la revisión de documentos que soportan legal, técnica,financiera y contablemente las operaciones para determinar si los procedimientos utilizados ylas medidas de control interno están de acuerdo con las normas que le son aplicables y sidichos procedimientos están operando de manera efectiva y son adecuados para et logro de

los objetivos de la entidad.Auditoría operativa:Es el examen posterior, profesional, objetivo y sistemático de la totalidad o parte de lasoperaciones o actividades de una entidad, proyecto, programa, inversión o contrato enparticular, sus unidades integrantes u operacionales específicas. Su propósito es determinarlos grados de efectividad, economía y eficiencia alcanzados por la organización y formular





recomendaciones para mejorar las operaciones evaluadas. Relacionada básicamente con losobjetivos de eficacia, eficiencia y economía.

Auditoría informática de sistemas:Se ocupa de analizar la actividad que se conoce como técnica de sistemas en todas susfacetas. Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las

comunicaciones. Líneas y redes de las instalaciones informáticas, se auditen por separado,aunque formen parte del entorno general de sistemas. Su finalidad es el examen y análisisde los procedimientos administrativos y de los sistemas de control interno de la compañíaauditada. Al finalizar el trabajo realizado, los auditores exponen en su informe aquellospuntos débiles que hayan podido detectar, así como las recomendaciones sobre los cambiosconvenientes a introducir, en su opinión, en la organización de la compañía. Normalmente,las empresas funcionan con políticas generales, pero hay procedimientos y métodos, queson términos más operativos. Los procedimientos son también sistemas; si están bienhechos, la empresa funcionará mejor. La auditoría de sistemas analiza todos losprocedimientos y métodos de la empresa con la intención de mejorar su eficacia.

Sistemas Operativos. Engloba los Subsistemas de Teleprocesos, Entrada/Salida, etc. Debeverificarse en primer lugar que los Sistemas están actualizados con las últimas versiones delfabricante, indagando las causas de las omisiones. El análisis de las versiones de losSistemas Operativos permite descubrir las posibles incompatibilidades entre otros productosde Software Básicos adquiridos por la instalación y determinadas versiones de aquellas.Deben revisarse los parámetros variables de las librerías más importantes de los Sistemas,por si difieren de los valores habituales aconsejados por el constructor.

Software Básico es fundamental para el auditor conocer los productos de software básicoque han sido facturados aparte de la propia computadora. Esto, por razones económicas ypor razones de comprobación de que la computadora podría funcionar sin el producto

adquirido por el cliente. En cuanto al software desarrollado por el personal informático de laempresa, el auditor debe verificar que este no agreda ni condicione al Sistema Igualmente,debe considerar el esfuerzo en términos de costes, por si hubiera alternativas máseconómicas.

Auditoría a los planes de desarrollo empresarial:La acción de planear 'las actividades permite al individuo fijarse metas, delinear los cursos delas acciones a seguir, establecer las reglas de juego, para que el lugar de estar a ladefensiva, reaccionando a las circunstancias y eventualidades, haga que las circunstancias yeventualidades se ajusten a su voluntad mediante el establecimiento de un buen plan que lepermita prever todos los posibles factores y elementos que pudieran incidir en las acciones,

fijarse objetivos que deseen alcanzar, establecer las políticas que deban normar lasoperaciones y reglamentándolas en sistemas, métodos y procedimiento, que allanen elcamino para el buen logro de esos objetivos, colocándolo a la ofensiva, atacando en vez deesperar a ser atacado; es decir, actuando, en vez de estar reaccionando. Anticiparse a loshechos es evitar sorpresas, que en la mayoría de los casos son desagradables. La auditoría,al igual que cualquier otra actividad, requiere de una buena planeación, que le permitadesarrollarse eficientemente y oportunamente.





Auditoría administrativa:Es el revisar y evaluar Si los métodos, sistemas y procedimientos que se siguen en todas lasfases del proceso administrativo aseguran el cumplimiento con políticas, planes, programas,leyes y reglamentaciones que puedan tener un impacto significativo en operación de losreportes y asegurar que la organización los este cumpliendo y respetando. Es el examenmetódico y ordenado de los objetivos de una empresa de su estructura orgánica y de la

utilización del elemento humano a fin de informar los hechos investigados. Su importanciaradica en el hecho de que proporciona a los directivos de una organización un panoramasobre la forma como está siendo administrada por los diferentes niveles jerárquicos yoperativos, señalando aciertos y desviaciones de aquellas áreas cuyos problemasadministrativos detectados exigen una mayor o pronta atención.

Auditoría financiera:Es un proceso cuyo resultado final es la emisión de un informe, en el que el auditor da aconocer su opinión sobre la situación financiera de la empresa, este proceso solo es posibleIIevarlo a cabo a través de un elemento llamado evidencia de auditoria, ya que el auditorhace su trabajo posterior a las operaciones de la empresa. La Auditoría Financiera es la más

conocida de todas, pues es la requerida por las empresas y es la que ha presentado elmáximo desarrollo.

Auditoría de gestión:La Auditoría de Gestión aunque no tan desarrollada como la Financiera, es si se quiere deigualo mayor importancia que esta última, pues sus efectos tienen consecuencias quemejoran en forma apreciable el desempeño de la organización. La denominación auditoría degestión funde en una, dos clasificaciones que tradicionalmente se tenían: auditoríaadministrativa y auditoría operacional.

Auditoría de gestión de ambiental:

La creciente necesidad de controlar el impacto ambiental que generan las actividadeshumanas ha hecho que dentro de muchos sectores industriales se produzca un Incrementode la sensibilización respecto al medio ambiente. Debido a esto, las simples actuacionespara asegurar el cumplimiento legislativo han dado paso a sistemas de gestiónmedioambiental que permiten estructurar e integrar todos los aspectos medioambientales,coordinando los esfuerzos que realiza la empresa para llegar a objetivos previstos. Esnecesario analizar y conocer en todo momento todos los factores de contaminación quegeneran las actividades de la empresa, y por este motivo será necesario que dentro delequipo humano se disponga de personas cualificadas para evaluar el posible impacto que sederive de los vectores ambientales. Establecer una forma sistemática de realizar estaevaluación es una herramienta básica para que las conclusiones de las mismas aporten

mejoras al sistema de gestión establecido.La aplicación permanente del concepto mejora continua es un referente que en el campomedioambiental tiene una incidencia práctica constante, y por este motivo la revisión detodos los aspectos relacionados con la minimización del impacto ambiental tiene que ser unaacción realizadas sin interrupción.





Auditoría de gestión y resultados:Tiene por objeto el examen de la gestión de una empresa con el propósito de evaluar laeficacia de sus resultados con respecto a las metas previstas, los recursos humanos,financieros y técnicos utilizados, la organización y coordinación de dichos recursos y loscontroles establecidos sobre dicha gestión. Es una herramienta de apoyo efectivo a lagestión empresarial, donde se puede conocer las variables y los distintos tipos de control que

se deben producir en la empresa y que estén en condiciones de reconocer y valorar suImportancia como elemento que repercute en la competitividad de la misma. Se tiene encuenta la descripción y análisis del control estratégico, el control de eficacia, cumplimiento deobjetivos empresariales, el control operativo o ejecución y un análisis del control como factorclave de competitividad.

La auditoría integral se ha desarrollado en los países industrializados, especialmente en elCanadá, teniendo una gran aplicación en el ámbito del control gubernamental. En sí laauditoría integral no es más que la integración de la auditoría financiera con la auditoría degestión y la auditoría de cumplimiento.La auditoría de cumplimiento es la que hasta la vigencia de la anterior Constitución, venia

ejecutando la Contraloría General de la República, y que consistía en el simple controlnumérico legal de las operaciones de los entes estatales en sus diferentes niveles. ElConsejo Técnico de la Contaduría Pública en su pronunciamiento No. 7 define así laAuditoría de Cumplimiento:

La auditoría de cumplimiento consiste en la comprobación o examen de las operacionesfinancieras, administrativas, económicas y de otra índole de una entidad para establecer quese han realizado conforme a las normas legales, estatutarias y de procedimientos que le sonaplicables.

La integración de estos tres tipos de auditoría implica que examen se debe realizar sobre tres

grandes sistemas de información de la organización: sistema de información financiera,sistema de información de gestión y sistema de información legal. El concepto de auditoríaintegral realmente no es nuevo en nuestro país y por el contrario es si se quiere el másantiguo, pues si se considera la figura de la institución de la Revisarla Fiscal, ésta cumplecon los requerimientos de una auditoría integral, pues en esencia el Revisor Fiscal debeexaminar los tres grandes sistemas objeto de examen por esta última. Por lo dichoanteriormente se podría construir el siguiente concepto de auditoría integral:

Auditoría integral:Es el examen crítico, sistemático y detallado de los sistemas de información financiero, degestión y legal de una organización, realizado con independencia y utilizando técnicas

especificas, con el propósito de emitir un informe profesional sobre la razonabilidad de lainformación financiera, la eficacia eficiencia y economicidad en el manejo de los recursos y elapego de las operaciones económicas a las normas contables, administrativas y legales quele son aplicables, para la toma de decisiones que permitan la mejora de la productividad de lamisma.





1.3 Auditoría en informáticaFuente: Piattini, Mario G y del peso, Emilio 2000.

“Auditoria Informática: un enfoque practico” computec RAMA. Madrid, España.

Auditoría en informática

La auditoría en informática se desarrolla en función de normas, procedimientos y técnicasdefinidas por institutos establecidos a nivel nacional e internacional; por lo tanto, nada másse señalarán algunos aspectos básicos para su entendimiento.Así, la auditoría en informática es:

A. Un proceso formal ejecutado por especialistas del área de auditoría y de informática;se orienta a la verificación y aseguramiento de las políticas y procedimientosestablecidos para el manejo y uso adecuado de la tecnología de informática en laorganización se lleve a cabo de una manera oportuna y eficiente.

B. Las actividades ejecutadas por los profesionales del área de Informática y de auditoríaencaminadas a evaluar el grado de cumplimiento de políticas, controles yprocedimientos correspondientes al uso de los recursos de informática por el personalde la empresa (usuarios, informática, alta direcci6n, etc.). Dicha evaluaci6n deberá ser

la pauta para la entrega del informe de auditoría en informática, el cual ha de contenerlas observaciones, recomendaciones y áreas de oportunidad para el mejoramiento y laoptimización permanente de la tecnología de informática en el negocio.

C. El conjunto de acciones" que realiza el personal especializado en las áreas deauditoría y de informática para el aseguramiento continuo de que todos los recursosde informática operen en un ambiente de seguridad y control eficientes, con lafinalidad de proporcionar a la alta dirección o niveles ejecutivos la certeza de que lainformación que pasa por el área se manejan con los conceptos básicos de integridad,totalidad, exactitud, confiabilidad, etc.

D. Proceso metodológico que tiene el propósito principal de evaluar todos los recursos(humanos, materiales, financieros, tecnol6gicos, etc.) Relacionados con la función de

informática para garantizar al negocio que dicho conjunto opera con un criterio deintegración y desempeños de niveles altamente satisfactorios para que apoyen laproductividad y rentabilidad de la organización.(Hernández, 1997).

La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias paradeterminar si un sistema informatizado salvaguarda los activos, mantiene la integridad de losdatos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente losrecursos.De este modo la auditoria informática sustenta y confirma la consecución de los objetivostradicionales de la auditoria:

Objetivos de protección de activos e integridad de datos. Objetivos de gestión que abarcan, no solamente los de protección de activos, sino

también los de eficacia y eficiencia.

El auditor evalúa y comprueba en determinados momentos del tiempo los controles yprocedimientos informáticos más complejos, desarrollando y aplicando técnicas mecanizadasde auditoría, incluyendo el uso del software. En muchos casos, ya no es posible verificarmanualmente los procedimientos informatizados que resumen, calculan y clasifican datos,por lo que se deberá emplear software de auditoria y otras técnicas asistidas por ordenador.





El auditor es responsable de revisar e informar a la Dirección de la Organización sobre eldiseño y funcionamiento de los controles implantados y sobre la fiabilidad de la informaciónsuministrada.

Se pueden establecer tres grupos de funciones a realizar por un auditor informático:

Participar en las revisiones durante y después del diseño, realización, implantación yexplotación de las aplicaciones informáticas, así como en las fases análogas derealización de cambios importantes.

Revisar y juzgar los controles implantados en los sistemas informáticos para verificarsu adecuación a las órdenes e instrucciones de la Dirección, requisitos legales,protección de confidencialidad y cobertura ante errores y fraudes.

Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos einformación.

Auditoría informática:Es un examen metódico del servicio informático, o de un sistema informático en particular,

realizado de- una forma puntual y objetiva, a instancias de 1a dirección y con la intención deayudar a mejorar conceptos como la seguridad, eficiencia y rentabilidad del servicioinformático.En esta definición hay cuatro palabras que destacan: "examen", "metódico", "puntual" y"objetivo":

La auditoría informática es un examen, pues se verifica o comprueba el sistemainformático actualmente en uso.

Este examen es metódico, ya que sigue un plan de trabajo, perfectamente diseñado,que permite llegar a conclusiones suficientemente fundamentadas. Este examen espuntual, ya que se realiza en un momento determinado y bajo petición de la dirección.

Este examen es objetivo, ya que se realiza por un equipo externo al servicio deinformática para buscar la objetividad requerida.

El servicio de auditoría cubre una serie de actividades (controles, verificaciones, pruebas,etc.) para concluir elaborando un conjunto de recomendaciones y un plan de acción.La elaboración de este plan de acción es una de las características que verdaderamentediferencia la auditoría informática del resto de tipos de auditorías.

Objetivos de la auditoría informática.La definición de los objetivos de la auditoría informática es un tema difícil y complejo.No existe un total acuerdo en la definición de tales objetivos y en consecuencia, en elestablecimiento de las funciones que debe desarrollar un auditor informático.Para precisar esta situación sería necesario:

Definir el campo de actuación del auditor informático. Definir los objetivos de la auditoría informática.

Para el campo de actuación del auditor, seria preciso reflexionar sobre los siguientesaspectos:

Organización en la que se desenvolverá el auditor. Estructura. Tipo de actividad de la empresa.





Departamento de informática objeto de la auditoría. Grado de sofisticación. Tamaño. Recursos del departamento Relaciones con la auditoría financiera. las propias limitaciones técnicas del auditor.

De un modo general los objetivos de la auditoría informática podrían ser: Elaborar un informe sobre los aspectos que afecten al alcance de una auditoría y

señalar riesgos de errores o fraudes de un sistema informático. Evaluar la fiabilidad de los sistemas informáticos, en cuanto a la exactitud de los datos

y a las informaciones tratadas. Verificar el cumplimiento de la normativa general de la empresa. Comprobar la eficacia de los sistemas implantados. Comprobar si se ha estudiado el coste / beneficio. Garantizar la seguridad física y lógica. Evaluar la dependencia de una organización respecto a sus sistemas informáticos,

revisando las medidas tomadas en el caso de que se produzca un fallo y que permitanasegurar la continuidad de las actividades normales. Emisión de informes con la evaluación independiente de los sistemas informáticos.

sintetizando riesgos, deficiencias, sugerencias y recomendaciones. Análisis de la calidad y eficacia del servicio de atención a los usuarios. Participación y

seguimiento de proyectos de investigación.

Te quedaron dudas?, revisa estas fuentes de información:

http://www.monografias.com/trabajos33/auditor/auditor.shtml http://www.monografias.com/trabajos17/auditoria/auditoria.shtml http://www.definicion.org/auditoria www.soeduc.cl/apuntes/ concepto%20de%20auditoria.doc

http://www.monografias.com/trabajos33/auditor/auditor.shtml


http://www.monografias.com/trabajos17/auditoria/auditoria.shtml


http://www.definicion.org/auditoria


http://www.soeduc.cl/apuntes/concepto%20de%20auditoria.doc














EC02: Concepto de Auditoría Fecha: ___/____/201___

Nombre: _____________________________________________ Grupo: __________

Instrucciones: Después de haber leído con atención los conceptos de auditoría elabora un esesquema (mapa mental, conceptual, cuadro sinóptico o de doble entrada, etc), acerca de lainformación presentada.





EC03: Auditoría Informática Fecha: ___/____/201___

Nombre: _____________________________________________ Grupo: __________

Instrucciones: Después de haber leído con atención los conceptos de auditoría informática elaboraun resumen que contenga las características de la auditoria informática, y una reflexión acerca de laimportancia de la misma en las organizaciones.





EC04: Normas y procedimiento de auditoría Fecha: ___/____/201___

Nombre: _____________________________________________ Grupo: __________

Instrucciones: Después de leer y analizar la información contenida en el anexo101, contestalas siguientes preguntas:

1. Menciona el origen de las normas y procedimientos de auditoría.2. Menciona los objetivos de las normas y procedimientos de auditoría.3. ¿Qué requisitos de calidad deben reunir los miembros de la auditoria?4. ¿Qué son las normas de auditoría?, menciona su clasificación5. ¿Qué son los procedimientos de auditoría y para qué sirven?6. ¿Qué es el monitoreo? Y describe los 4 tipos brevemente.7. ¿Qué es el ISO y para qué sirve?8. ¿Qué es y para qué sirve el ISO 27000?9. Elige uno de los siguientes estándares internacionales ISO 27001, ISO 27002, ISO

27006 e ISO 27799 y desarrolla:

A. Origen y actualizacionesB. Características de la normaC. Campo de aplicaciónD. Referencias

10. Explica con tus propias palabras los beneficios de utilizar normas internacionales.11. Explica brevemente el proceso de adaptación.12. Escribe una reflexión acerca del uso de las normas y las ventajas de utilizarlas.

Evalúa: M.C. Gabriel Huesca Aguilar





Control interno 2 Básicamente todos los cambios que se realizan en una organización someten a una gran tensión alos controles internos existentes. Cuando un auditor profesional se somete a auditar una empresa, lo primero que se le viene a lacabeza es mejorar todos los procesos que se llevan en la misma para buscar la eficiencia total. Este

trabajo no se hace de la noche a la mañana; para ello se empieza ya bien sea por áreas odepartamentos o mejor dicho se empieza a trabajar internamente. La mayoría de las organizacioneshan acometido varias iniciativas en tal sentido tales como:

La reestructuración de los procesos empresariales. La gestión de la calidad total. El redimencionamiento por reducción y/o por aumento de tamaño hasta el nivel correcto. La contratación externa. La descentralización.

CONTROL INTERNO INFORMATICO El control interno informático controla diariamente que todas las actividades de sistemas deinformación sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la

dirección de la organización y/o la dirección informática, así como los requerimientos legales. La función del control interno informático es asegurarse de que las medidas que se obtienen de losmecanismos implantados por cada responsable sean correctas y válidas.Control interno informático suele ser un órgano staff de la dirección del departamento de informática yestá dotado de las personas y medios materiales proporcionados a los cometidos que se leencomienden. Como principales objetivos podemos indicar los siguientes: Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas fijados,evaluar su bondad y asegurarse del cumplimiento de las normas legales. Asesorar sobre el conocimiento de las normas. Colaborar y apoyar el trabajo de Auditoria informática, así como de las auditorias externas al grupo. Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los graso adecuados

del servicio informático, lo cual no debe considerarse como que la implantación de los mecanismosde medida y responsabilidad del logro de esos niveles se ubique exclusivamente en la función decontrol interno, si no que cada responsable de objetivos y recursos es responsable de esos niveles,así como de la implantación de los medios de medida adecuados. La auditoria informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si unsistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo loseficazmente los fines de la organización y utiliza eficiente mente los recursos.

CONTROL INTERNOINFORMATICO AUDITOR INFORMATICO

SIMILITUDES PERSONAL INTERNO Conocimientos especializados en tecnologías de informaciónverificación del cumplimiento de controles internos, normativay procedimientos establecidos por la dirección informática y ladirección general para los sistemas de información.

DIFERENCIAS Análisis de los controles en eldía a día

Análisis de un momentoinformático determinado

2 http://aabbccddee.galeon.com/winpy.htm

http://aabbccddee.galeon.com/winpy.htm








Informa a la dirección deldepartamento de informáticasólo personal interno el enlacede sus funciones es únicamentesobre el departamento deinformática

Informa a la direccióngeneral de la organizaciónPersonal interno y/oexterno tiene coberturasobre todos loscomponentes de lossistemas de información dela organización

DEFINICION Y TIPO DE CONTROLES INTERNOS Se puede definir el control interno como "cualquier actividad o acción realizada manual y/oautomáticamente para prevenir, corregir errores o irregularidades que puedan afectar alfuncionamiento de un sistema para lograr o conseguir sus objetivos. Los controles internos se clasifican en los siguientes: Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que impida losaccesos no autorizados al sistema. Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el evento.Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para

detectar errores u omisiones.etc. Controles correctivos: Facilitan la suelta a la normalidad cuando se han producido incidencias. Porejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad. IMPLANTACION DE UN SISTEMA DE CONTROLES INTERNOS INFORMATICOS Para llegar a conocer la configuración del sistema es necesario documentar los detalles de la red, asícomo los distintos niveles de control y elementos relacionados: Entorno de red:esquema de la red, descripción de la configuración hardware de comunicaciones,descripción del software que se utiliza como acceso a las telecomunicaciones, control de red,situación general de los ordenadores de entornos de base que soportan aplicaciones críticas yconsideraciones relativas a la seguridad de la red. Configuración del ordenador base: Configuración del soporte físico, en torno del sistema operativo,software con particiones, entornos( pruebas y real ), bibliotecas de programas y conjunto de datos. Entorno de aplicaciones: Procesos de transacciones, sistemas de gestión de base de datos yentornos de procesos distribuidos.Productos y herramientas: Software para desarrollo de programas, software de gestión debibliotecas y para operaciones automáticas. Seguridad del ordenador base: Identificar y verificar usuarios, control de acceso, registro einformación, integridad del sistema, controles de supervisión, etc. Para la implantación de un sistema de controles internos informáticos habrá que definir: Gestión de sistema de información: políticas, pautas y normas técnicas que sirvan de base para eldiseño y la implantación de los sistemas de información y de los controles correspondientes. Administración de sistemas: Controles sobre la actividad de los centros de datos y otras funciones

de apoyo al sistema, incluyendo la administración de las redes. Seguridad: incluye las tres clases de controles fundamentales implantados en el software delsistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad. Gestión del cambio: separación de las pruebas y la producción a nivel del software y controles deprocedimientos para la migración de programas software aprobados y probados.





EC05: Control interno Fecha: ___/____/201___

Nombre: _____________________________________________ Grupo: __________

Instrucciones: Escucha con atención las indicaciones de tu maestro, realiza las intervenciones quete ayuden a entender sus instrucciones para que en equipo de 3 a 5 personas, elabores una ficha que

contenga la información del equipo de trabajo para exponer acerca de control interno, de acuerdo alorden establecido por el maestro.

1. Completa la siguiente nota en la que contenga a los integrantes del equipo y las actividadesque cada uno deberá realizar en la muestra.

Equipo: _________

Integrantes

Jefe:

1.-

2.-

3.-

4.-

Actividades:

Nombre del equipo (opcional)





Tipos de control interno

La función de auditoría informática se aplica en diferentes entornos o áreas, cada una de las cualestiene sus propios objetivos y estándares de aplicación, estas áreas son:

Recursos informáticos Función informática Seguridad Informática Desarrollo de Aplicaciones Función operacional Redes y comunicación Bases de Datos

Por consiguiente tenemos lo siguientes tipos de controles internos Control interno de la función informática: Control interno del desarrollo de sistemas: Control interno de la operación Control interno de la seguridad informática Control interno de los recursos informáticos Control interno de las redes y comunicación.





Información para otorgar calificación delcontrol interno

Datos de Identificación:Alumno

Grupo

Evidencia Ev02: Control interno

Asignatura Auditoria Informática I

Bloque I : Introducción a la auditoria informática

Evalúa M.C. Gabriel Huesca Aguilar

Criterios Escala de 0 a 10

Presentación

Presentación en Microsoft Power point 2007 en adelante Presenta márgenes adecuados, pie de página, orientación de la

hoja, formato a fuentes, imágenes, gráficos, ortografía, formatospara el control.

La explicación es clara, sencilla y responde a las preguntas de suscompañeros.

Contenido

La información tiene estructura adecuada. Explica claramente el control investigado

Utiliza la creatividad Los compañeros de grupo opinan que es buena.

Tiempo de entrega El día que se pide

Evaluación: ________

Observaciones y comentarios:





El auditor 3 IntroducciónEl auditor es aquella persona que lleva a cabo una auditoria capacitado con conocimientosnecesarios para evaluar la eficacia de una empresa a la vez de poseerUna ética profesional y una responsabilidad hacia los clientes y colegas con el fin de prestarle un

mejor servicio en el campo en que se desempeña e integridad de la información de los métodosempleados para identificar, medir, clasificar y reportar dicha información.El auditor debe revisar los sistemas establecidos para asegurarse del cumplimiento de las políticas,planes y procedimientos, leyes y reglamentos que pueden tener de impacto significativo en lasoperaciones e informes y deben determinar si la organización cumple con ellos.Así mismos son responsables de determinar si los sistemas son adecuados y efectivos y si lasactividades auditadas están cumpliendo con los requerimientos apropiados. También deben revisarlas operaciones o programas para cerciorarse si los resultados son consistentes con los objetivos ymetas establecidas y si las operaciones o programas se llevan a cabo como se planearon.

El AuditorEs aquella persona que lleva a cabo una auditoria, capacitado con conocimiento necesario para

evaluar la eficacia de una empresa.El auditor debe reunir, para el buen desempeño de su profesión características como: sólida culturageneral, conocimiento técnico, actualización permanente, capacidad para trabajar en equipomultidisciplinario, creatividad, independencia, mentalidad y visión integradora, objetividad,responsabilidad, entre otras. Además de esto, este profesional debe tener una formación integral yprogresiva.

Ética ProfesionalLa ética profesional del auditor, se refiere a la responsabilidad del mismo para con el público, hacialos clientes y colegas y los niveles de conducta máximos y mínimos que debe poseer.A tal fin, existen cinco (5) conceptos generales, llamados también “Principios de Ética” las cualesson:

Independencia, integridad y objetividad.Normas generales y técnicas.Responsabilidades con los clientes.Responsabilidades con los colegas.

Independencia, integridad y objetividad: El auditor debe conservar la integridad y la objetividad y, cuando ejerce la contaduría pública, serindependiente de aquellos a quienes sirve.Los conceptos de la ética profesional, sección ET 52-02 define la independencia como: “La capacidadpara actuar con integridad y objetividad”. Objetividad es la posibilidad de mantener una actitud entodas las cuestiones sometidas a la revisión del auditor.El auditor debe expresar su opinión imparcialmente, en atención a hechos reales comprobables,

según su propio criterio y con perfecta autonomía y, para tal fin, estar desligado a todo vínculo con losdueños, administradores e intereses de la empresa u organización que audite. Su independenciamental y su imparcialidad de criterio y de opinión deben serlo, no solamente de hecho, sino en cuantoa las apariencias también, por lo cual el auditor debe evitar cualquier entredicho que lo pueda vinculara situaciones que permitan dudar de tales cualidades.

3 http://www.monografias.com/trabajos33/auditor/auditor.shtml









Normas Generales y Técnicas:El auditor debe observar las normas generales y técnicas de la profesión y luchar constantemente pormejorar su competencia y la calidad de sus servicios.Las normas generales y técnicas son reglas de conducta que exigen la observancia de las normasrelacionadas con la realización del trabajo. Así, las primeras indican que un miembro a quienmediante otro contador solicite consejo profesional sobre una cuestión técnica contable o deauditoría, debe consultar con el otro contador antes de proporcionar ese consejo a fin de asegurarse

de que el miembro conoce todos los datos y hechos disponibles.

Responsabilidades con los clientes: El contador público debe ser imparcial y franco con sus clientes y servirles lo mejor que pueda, coninterés profesional por los intereses de ellos, consecuente con sus responsabilidades para con elpúblico y todo esto lo pondrá de manifiesto a través de independencia, integridad y objetividad.Una responsabilidad fundamental del contador público es la que se refiere a la confidencialidad y alconflicto de intereses. La regla 301 (sección ET 301.01) dice que un miembro “...no revelaráinformación confidencial alguna obtenida en el curso de un trabajo profesional, a menos que el clientedé su consentimiento”.

Necesidad de confidencialidad:

Tanto el sentido común como el concepto de independencia requieren que sea el auditor, no elcliente, quien decida qué información necesita el auditor para practicar una auditoria efectiva. En esadecisión no debe influir la creencia, de parte del cliente, de que cierta información es confidencial.Una auditoria eficiente y efectiva requiere que el cliente ponga en el auditor la confianza necesariapara ser sumamente franco al proporcionar información.

Confidencialidad y privilegio: Con las excepciones indicadas, las comunicaciones entre el cliente y el auditor son confidenciales; esdecir, el auditor no debe revelar la información contenida en la comunicación sin el permiso delcliente. Normalmente, sin embargo, esa información no es “privilegiada”. La información esprivilegiada si el cliente puede impedir que un tribunal o dependencia del gobierno tenga acceso a ellamediante un citatorio u orden de comparecencia.

Información Confidencial:Los auditores y su personal tienen iguales responsabilidades que la administración en cuanto almanejo de la información confidencial: no utilizarla para provecho personal, ni revelarla a quienespudieran hacerlo. Esas responsabilidades están claramente comprendidas en las estipulacionesgenerales del código de ética profesional.

Conflicto de intereses:El temor de algunos clientes de que sus secretos les sean comunicados a los competidores es tangrande que se niegan a contratar a auditores entre cuyos clientes figure un competidor. Otrosquedan satisfechos con la seguridad de que el personal encargado de su trabajo no tenga contactocon el personal del competidor. El precio de obtener tan alto grado de confidencialidad es la pérdida

de los beneficios de una experiencia en el ramo que pueden aportar los auditores familiarizados conmás de una empresa dentro del mismo giro. La experiencia indica que el riesgo de que se filtreinformación que tenga valor competitivo es sumamente bajo.

Responsabilidades con los colegas:Aunque no hay actualmente reglas de conducta específicas que gobiernan la responsabilidad de uncontador público con sus colegas, los conceptos de ética profesional establecen el principiofundamental de cooperación y buenas relaciones entre los miembros de la profesión. La sección ET55.01 expresa que un contador debe “tratar con sus colegas en forma de que no disminuya su





reputación y bienestar”. Además, al ofrecer sus servicios, no tratará de desplazar a otro contador enforma que lo desacredite. De manera que, si bien la competencia entre auditores es fuerte, susacciones deben estar gobernadas por la cortesía profesional debida a los colegas.

Responsabilidad legal Son muchas las responsabilidades generales por la profesión derivadas de estipulaciones legales.Amanera de síntesis se trata de dar una idea de este tema a continuación:

Responsabilidad ante los clientes:El auditor tiene una relación contractual “de carácter derivado” con su cliente; en esta circunstancia esclaro, de acuerdo con el derecho común, que el profesional es responsable ante su cliente pornegligencia en grado simple y, en consecuencia, también lo será por negligencia en grado grave o porfraude. Por muchos años los auditores han tenido buen cuidado de hacer saber claramente a susclientes que una auditoria normal de estados financieros no lleva la intención de descubrir desfalcos eirregularidades similares y así, el no hacerlo no puede ser motivo para demandarlo según la“Responsabilidad por fraudes y actos ilegales”.

Responsabilidad ante terceras personas: El problema de la responsabilidad ante terceras personas, conceptualmente, es equilibrar el derecho

que razonablemente tiene el auditor de protegerse contra reclamaciones de personas desconocidas(y algunas veces innumerables), de quienes el auditor no tiene razón para sospechar que contaráncon los resultados de su trabajo por un lado, y por el otro, lo que se considera como una importantepolítica del Estado de proteger a todas esas terceras personas que confían en los estados financierosdictaminados contra los efectos adversos de la práctica profesional.

Recomendaciones El auditor debe realizar procedimientos diseñados a obtener suficiente y apropiada evidencia

de auditoría, en que puedan todos los elementos hasta la fecha del informe del auditor quepuedan requerir de ajustes o exposiciones en los estados financieros, hayan sidoidentificados. Ciertos eventos y transacciones que ocurren después de cada fin de año, debenser examinados como parte del trabajo normal de verificación de auditoría.

Además debe de llevar a cabo una revisión completamente documentada, de eventossubsecuentes la cual tiene como objetivo de obtener una seguridad razonable, de que todoslos eventos importantes han sido identificados y expuestos o registrados en los estadosfinancieros.

La revisión debe ser actualizada a una fecha lo mas cercanamente posible a la fecha delinforme de auditoría, hablando con la gerencia y realizando pruebas futuras de ser necesario.

Todos los procedimientos de auditoría emprendidos y las conclusiones alcanzadas debenestar completamente documentadas las hojas de trabajo deben incluir notas, detalladas dereuniones, incluyendo quien estaba presente, los asuntos discutidos y el resto de lasdiscusiones.

Conclusión

El auditor tiene la responsabilidad de mantener en completa integridad y objetividad lainformación que se le a dado de manera confidencial para poder llevar a cabo los requerimientos quese le han asignados y ofrecer una mejor calidad de sus servicios con el fin de que la organizacióndonde está desempeñando su labor quede conforme. Y obtener evidencia suficiente, confiable y útilpara lograr de manera eficaz los objetivos de la auditoria. Y tener responsabilidades que esténclaramente comprendidas en las estipulaciones generales del código de la ética profesional e inculcarnormas generales y técnicas de su competencia.





EC06: Los auditores Fecha: ___/____/201___

Nombre: _____________________________________________ Grupo: _38______

Instrucciones: Después de haber leído con atención la lectura anterior elabora un es esquema(mapa mental, conceptual, cuadro sinóptico o de doble entrada, etc), acerca de la informaciónpresentada.





PRINCIPIOS DEONTOLÓGICOS APLICABLES A LOS AUDITORES INFORMÁTICOS

Principio de beneficio del Auditado.El auditor deberá obtener la máxima eficiencia y rentabilidad de los medios informáticos de laempresa auditada, estando obligado a presentar sus recomendaciones acerca del reforzamiento del

sistema informático y el estudio de las soluciones idóneas, siempre y cuando dichas soluciones no secontrapongan a los diferentes ordenamientos legales establecidos ni transgredan los principiosmorales o éticos de las normas deontológicas.Para garantizar el beneficio del auditado así como la necesaria independencia del auditor informático,el auditor no debe estar ligado a los intereses particulares de ciertas firmas, marcas, productos oequipos compatibles con los del cliente, sin hacer comparaciones de las características de losequipos de su cliente con los de otros fabricantes, cuando dichas comparaciones sólo tengan porobjeto provocar que su auditado compre dichos productos para el beneficio del auditor informático.El auditor informático deberá abstenerse de hacer recomendaciones de compras onerosas a sucliente o dañinas que originen riesgos innecesarios al auditado.Si el cliente decidiera escoger a otra firma de auditores informáticos, el auditor actual tiene laobligación de proporcionar toda la información de las auditorías previas sin poner en riesgo o se

vulneren derechos de terceros protegidos con el secreto profesional que el auditor en todo momentodebe guardar.

Principio de Calidad.El auditor informático debe prestar sus servicios tomando en consideración todos los medios a sualcance con absoluta libertad y con condiciones técnicas adecuadas para el idóneo cumplimiento desu deber.Si el auditado no le proporcionara auditor informático la información o medios indispensables mínimospara llevar a cabo su trabajo, dicho auditor informático deberá negarse a prestar su servicioprofesional, hasta que se le garantice un mínimo de condiciones necesarias técnicas que nocomprometa la calidad de los resultados del trabajo del auditor informático.Si el auditor informático considera necesaria la intervención de otros especialistas más calificados

sobre algún aspecto en particular, podrán solicitar su dictamen para reforzar la calidad y fiabilidad desu propia auditoría.

Principio de capacidad.El auditor informático debe estar perfectamente capacitado profesionalmente para llevar a cabo unaauditoría encomendada, inclusive, dada su especialización, a los auditados en algunos casos lespuede ser extremadamente difícil verificar sus recomendaciones y evaluar correctamente la precisiónde las mismas.El auditor debe estar consciente del alcance de sus conocimientos y de su experiencia profesional yaptitud para llevar a cabo una auditoría informática, evitando que una sobreestimación personal desus capacidades pudiera provocar el incumplimiento parcial o total de su trabajo, aún cuando dichoincumplimiento no pudiese ser detectado por las personas que lo contrataran dada su ignorancia

técnica. El auditor informático siempre deberá estar actualizado profesionalmente para evitar que unaobsolescencia en conocimiento de métodos y técnicas pudiesen inhabilitarle para el ejercicio de suprofesión como auditor informático.Por lo tanto la conclusión es que el auditor informático siempre debe estar actualizado con los últimosconocimientos de su profesión.





Principio de cautela.El auditor informático debe evitar que por un exceso de vanidad personal, el auditado se embarqueen proyectos de “nuevas tecnologías” de la información por su supuesta evolución aún nocomprobada, por simples intuiciones personales del auditor informático.Por lo tanto el auditor informático debe actuar con humildad, evitando dar la impresión de que está alcorriente sobre información privilegiada sobre nuevas tecnologías y poner en peligro a su cliente.Principio de comportamiento profesional. El auditor informático en sus relaciones con el auditado, así

como con terceras personas, deberá en todo momento, a actuar conforme a las normas, ya sean,implícitas o explícitas, de dignidad de la profesión y de corrección en el trato personal.Por lo anterior deberá ser muy cuidadoso al emitir sus opiniones y juicios evitando caer enexageraciones o provocando preocupación innecesaria, transmitiendo en todo momento una imagende precisión y exactitud en sus comentarios que avalen su comportamiento profesional y le denmayor seguridad a sus clientes auditados.

Principio de concentración en el trabajo.El auditor tiene que evitar que por un exceso de trabajo afecte su concentración y precisión en cadauna de las tareas encomendadas. No debe asumir una acumulación excesiva de trabajo que pongaen riesgo la calidad del mismo.

Principio de confianza.El auditor debe incrementar la confianza del auditado en base a una actuación con transparencia ensu actividad profesional, sin alardes técnicos o científicos que por su incomprensión para el auditadopuedan restarle credibilidad de los resultados obtenidos. El auditor debe mantener una confianza enlas indicaciones del auditado, a no ser que encuentra evidencia que las contradiga, confirmándolopersonalmente con el auditado.

Principio de criterio propio.El auditor no debe estar supeditado a criterios de terceros, aunque éstos tengan gran prestigio y nocoincidan con la opinión del auditor informático. El auditor informático debe basarse en metodologíassustentables. Si el auditado se niega a seguir sus sugerencias, el auditor informático debe pensarseriamente en suspender su servicio profesional.

Principio de discreción. El auditor informático bajo ninguna circunstancia podrá divulgar datosaparentemente sin importancia, que haya conocido en el transcurso de la auditoría.

Principio de economía.Es una obligación del auditor informático proteger la parte económica del auditado evitando generarlegastos innecesarios en el ejercicio de su actividad. Tampoco por el simple hecho de cobrar másdinero podrá alargar innecesariamente su trabajo de auditoría. Tampoco podrá incurrir en gastos no

justificados, ni inducir al cliente a erogarlos.

Principio de formación continuada.Este principio está ligado al principio de capacidad profesional y estrechamente relacionado con lacontinua evolución de las tecnologías de información. En otras palabras este principio exige al auditor

a mantenerse continuamente actualizado

Principio de fortalecimiento y respeto de la profesión.Este principio exige un gran respeto al ejercicio de la profesión de auditoría informática, con uncomportamiento que conlleve al idóneo cumplimiento de su trabajo. De acuerdo con el principio dedefensa de la profesión de los auditores, los mismos deberán cuidar del reconocimiento del valor desu trabajo y de la correcta valoración de la importancia de los resultados obtenidos en el mismo.En cuanto a la remuneración económica del auditor informático, ésta debe de ir de acuerdo a suexperiencia profesional, evitando cobrar honorarios desproporcionados exageradamente o abusivos.





El auditor no puede competir deslealmente con colegas de profesión “abaratando” sus servicios demanera intencional Para poder “atrapar” a un cliente con sus servicios profesionales. En ningún momento podrá confrontarse con colegas, sino promover el respeto mutuo. Sin embargo síes obligación en caso de prácticas desleales de sus colegas denunciados para así poder proteger asu profesión y evitar caer en un desprestigio por deshonestos profesionistas informáticos.

Principio de independencia.

Este principio validado con el principio de criterio propio, que exige una total autonomía en el ejerciciode su trabajo, sin influencias que pueden demeritarlo. Este principio garantiza al auditado que losintereses del propio auditado serán asumidos con gran objetividad profesional. Esta independenciaimplica que debe rechazar aquellos criterios profesionales con los que no esté plenamente deacuerdo.

Principio de información suficiente.Es obligación profesional del auditor informático dar a conocer a su auditado en forma clara, precisa ypormenorizada todos y cada uno de los trabajos llevados a cabo durante la auditoría que puedan serde interés para dicho auditado. Esta información es aquella que considere el auditor de interés oseguridad para su cliente. No debe proporcionar autopropaganda o inducir al cliente al que fije sumirada en datos comerciales no pertinentes o bien justificar la ausencia de determinadas precisiones

que sean importantes aportando otras de menor interés y de más fácil elaboración para el auditor.Con sus conclusiones, el auditor debe poner de manifiesto los errores observados y Las líneas deacción recomendadas.

Principio de integridad moral.Este principio está ligado a la educación moral y a la dignidad del auditor informático, debiendoajustarse a las normas morales de justicia, probidad y evitar voluntaria o involuntariamente caer enactos de corrupción personal o de terceras personas. El auditor no de utilizar sus conocimientosprofesionales para utilizarlos en contra de su auditado o de terceras personas relacionadas con sucliente.Durante la auditoría, el auditor informático debe emplear la máxima diligencia, dedicación y precisión,utilizando para ello todo su saber y entender profesional y moral.

Principio de legalidad.En todo momento el auditor informático debe utilizar sus conocimientos para facilitar a sus auditadospara evitar caer en contraposición con las disposiciones legales vigentes. No podrá desactivardispositivos de seguridad, ni tampoco podrá intentar obtener códigos, claves, passwords, a sectoresrestringidos de información elaborados para proteger derechos, obligaciones o intereses de terceros,como lo son el derecho a la intimidad, secreto profesional, propiedad intelectual, etc.Tampoco podrá intervenir líneas de comunicación o controlar actividades que puedan generarvulneración a los derechos personales o empresariales dignos de protección.

Principio de libre competencia.El auditor informático debe trabajar en un mercado de libre competencia, evitando llevar a cabo

prácticas desleales para atacar a sus competidores para tener un beneficio propio y en contra de losintereses de sus auditados.El auditor informático no debe aprovecharse indebidamente del trabajo y reputación de otrosprofesionistas en su propio beneficio, ni tampoco debe confundir a los demandantes de dichosservicios mediante antigüedades, insinuaciones, que sólo tengan por objeto enmascarar la calidad yconfiabilidad de la oferta.





Principio de no discriminación.El auditor informático, antes, durante y posterior a su auditoría, deberá evitar a toda costa inducir,participar o aceptar situaciones discriminatorias de ningún tipo, manteniendo en todo momento unaigualdad en su trato profesional con la totalidad de personas, con las que en virtud de su trabajotenga que relacionarse con independencia de categoría, estatus empresarial o profesional, etc.

Principio de no injerencia.

El auditor informático no podrá tener injerencia en el trabajo de otros profesionales, debiendo respetarsu trabajo, evitando hacer comentarios que pudieran interpretarse como de desprecio o provocardesprestigio profesional a otros, a menos de que las actitudes de otros profesionales seanfraudulentas o vayan en contra de la ley. Tampoco puede aprovechar los datos obtenidos de sucliente para utilizarlos como una competencia desleal.

Principio de precisión.Este principio está íntimamente relacionado con el principio de calidad. El auditor informático nopuede concluir su trabajo hasta que no esté plenamente convencido de la viabilidad de suspropuestas, ampliando sus estudios informáticos cuando lo considere necesario, hasta estartotalmente convencido.El auditor sólo podrá indicar como evaluada un área que a través de sus colaboradores o por el

mismo haya podido comprobar exhaustivamente, estándole prohibido proporcionar opinionesparciales o sesgadas o recabadas por terceras personas sin que él tenga constancia de ello.Principio de publicidad adecuada. Los anuncios o publicidad de los auditores informáticos deberánser sobrias, sin ostentaciones o publicidad barata que vayan contra de la ética profesional, o bienpublicidad falsa o engañosa que tenga por objeto confundir a los lectores y posibles usuarios de susservicios profesionales. Debe evitar campañas publicitarias que puedan desvirtuar la realidad de susservicios profesionales y oscurezcan sus objetivos o prometan resultados de lo imprevisible.

Principio de responsabilidad.El auditor informático deberá responsabilizarse de todo su comportamiento profesional en lo que diga,haga o aconseje, evitando se produzcan daños de cualquier tipo para su cliente.Por lo anterior se recomienda la contratación de seguros de responsabilidad civil u otro tipo de

seguros con la suficiente cobertura que protejan tanto al cliente como al propio auditor y así poderacrecentar la confianza y solvencia de su actuación profesional.

Principio de secreto profesional.La confidencia y confianza del cliente hacia el auditor informático nunca deben ser violadas,obligando al auditor informático en todo momento a guardar en secreto los hechos o información queconozca en el ejercicio de su actividad profesional, siendo la única excepción a este principio unimperativo legal o judicial promovido por el Estado.Es evidente pensar que esta obligación se extiende a todos sus colaboradores.Del mismo modo, este principio aplica a la conservación de la información del auditado en un plazoprudencial, como por ejemplo cinco o 10 años cuando menos. Esta información no incluye porejemplo sus honorarios, tiempo empleado en la auditoría, pero si se debe mantener en secreto

profesional datos técnicos a menos que obtenga la autorización de su auditado por escrito.

Principio de servicio público.El auditor informático debe llevar a cabo su trabajo profesional sin perjudicar los intereses de sucliente, con el objeto de evitarle un daño social como el hecho de que descubra software dañinos quepuedan ser propagados a otros sistemas informáticos diferentes al del auditado. Es evidente pensarque el auditor tiene la obligación de advertir esta irregularidad a su cliente para que se adopten lasmedidas necesarias para su prevención.





El auditor deberá tomar en cuenta sus criterios éticos personales y de la localidad en donde estáprestando sus servicios, debiendo advertir de su opinión personal cuando llama contraposición entrelo que él sabe que es correcto y lo que la sociedad permite que se haga.

Principio de veracidad.El auditor siempre debe hablar con la verdad en sus criterios, dictámenes, opiniones y consejos,únicamente con los límites impuestos por los deberes de respeto, corrección y secreto profesional.

Este principio exige al auditor informático informar a su cliente sobre todo el trabajo relevanterealizado, comunicando a través del dictamen sus conclusiones, evitando dar valoracionespersonales subjetivas, garantizando siempre el cumplimiento de su obligación de informarverazmente.

EC07: Código de ética de los auditores Fecha: ___/____/201___

Nombre: _____________________________________________ Grupo: __________

Instrucciones: Después de haber leído con atención la lectura anterior analiza cada principio,escoge 5 principios que consideres los más importantes en el desempeño de un auditor informático yelabora una reflexión en donde plasmes los principios que consideraste, porque los consideras

importantes y como es que se aplican en tu entorno profesional y cotidiano.





EC08: Actividad integradora del bloque Fecha: ___/____/201___

Nombre: _____________________________________________ Grupo: __________

1. Define los siguientes conceptosa. Auditoría

b. Informáticac. Auditoría informáticad. Auditoría Internae. Auditoría Externaf. Normag. Reglah. Estándari. Procedimiento

2. Menciona las áreas de aplicación de la auditoria informática.3. Explica al menos 3 áreas de aplicación de la auditoria informática.4. Define que es el ISO

5. De los siguientes estándares ISO 27000, 27001, 27002, 27006 y 27799, explica:a. Características de la normab. Campo de aplicación

6. Menciona los tipos de controles que se utilizan en una auditoria informática.7. Explica la función de al menos 3 controles de la auditoria informática.8. Explica ampliamente, que es y que hace un auditor.9. Menciona al menos 3 principios que debe tomar cuenta un auditor en informática.10. Desarrolla un caso práctico que permita controlar algún área de auditoria informática.



Auditoría Informática por áreas


Bloque II: Planeación de la

Auditoría informática

En el Bloque II se aplican las competencias adquiridasanteriormente para definir las etapas de la planeación de unaauditoría informática y su importancia para su posterioraplicación con profesionalismo y objetividad.





Planeando un evento

Instrucciones: En equipo de 5 personas analiza la situación planteada y expresa en forma escrita loque deberías conocer para resolver esta situación, de manera que esta te ayude para elaborar unaplaneación y una reflexión en la cual respondas a las siguientes preguntas:

1. ¿Han participado todos en el trabajo? 2. ¿Qué problemas se han presentado para organizarse? 3. ¿Ha existido moderador y/o secretario en el grupo? ¿Cómo se le escogió? 4. ¿Qué funciones ha desempeñado cada uno?

5. ¿Con qué método se procedió en el trabajo? 6. ¿De qué medios se han servido para ser más rápidos? 7. ¿Qué hizo que el grupo fuera más lento? ¿Qué dificultó el trabajo? 8. ¿Cómo se pudo haber hecho para aumentar la rapidez? 9. ¿Qué importancia tiene la planeación de las actividades? 10. ¿Qué recomendaciones harían a otros equipos para llevar a cabo dicha planeación?

Los alumnos de la licenciatura en informática necesitan demostrar quesaben planear un evento por lo que deben entregar dicha planeación en lasiguiente clase.





Fases de la auditoria Informática 4

Fase I: Conocimientos del SistemaFase II: Análisis de transacciones y recursosFase III: Análisis de riesgos y amenazasFase IV: Análisis de controles

Fase V: Evaluación de ControlesFase VI: El Informe de auditoriaFase VII: Seguimiento de las Recomendaciones

Fase I: Conocimientos del Sistema1.1. Aspectos Legales y Políticas Internas.Sobre estos elementos está construido el sistema de control y por lo tanto constituyen el marco dereferencia para su evaluación.1.2.Características del Sistema Operativo.• Organigrama del área que participa en el sistema• Manual de funciones de las personas que participan en los procesos del sistema• Informes de auditoría realizadas anteriormente

1.3.Características de la aplicación de computadora• Manual técnico de la aplicación del sistema• Funcionarios (usuarios) autorizados para administrar la aplicación• Equipos utilizados en la aplicación de computadora• Seguridad de la aplicación (claves de acceso)• Procedimientos para generación y almacenamiento de los archivos de la aplicación.

Fase II: Análisis de transacciones y recursos2.1.Definición de las transacciones.Dependiendo del tamaño del sistema, las transacciones se dividen en procesos y estos ensubprocesos. La importancia de las transacciones deberá ser asignada con los administradores.2.2.Análisis de las transacciones

• Establecer el flujo de los documentosEn esta etapa se hace uso de los flujogramas ya que facilita la visualización del funcionamiento yrecorrido de los procesos.2.3.Análisis de los recursos• Identificar y codificar los recursos que participan en el sistemas2.4.Relación entre transacciones y recursos

Fase III: Análisis de riesgos y amenazas3.1. Identificación de riesgos• Daños físicos o destrucción de los recursos• Pérdida por fraude o desfalco• Extravío de documentos fuente, archivos o informes• Robo de dispositivos o medios de almacenamiento• Interrupción de las operaciones del negocio• Pérdida de integridad de los datos• Ineficiencia de operaciones• Errores3.2. Identificación de las amenazas

4 http://www.mitecnologico.com/Main/FasesAuditoriaInformatica (24/Enero/2012)

http://www.mitecnologico.com/Main/FasesAuditoriaInformatica








• Amenazas sobre los equipos:• Amenazas sobre documentos fuente• Amenazas sobre programas de aplicaciones3.3. Relación entre recursos/amenazas/riesgosLa relación entre estos elementos deberá establecerse a partir de la observación de los recursos ensu ambiente real de funcionamiento.

Fase IV: Análisis de controles4.1. Codificación de controlesLos controles se aplican a los diferentes grupos utilizadores de recursos, luego la identificación de loscontroles debe contener una codificación la cual identifique el grupo al cual pertenece el recursoprotegido.4.2. Relación entre recursos/amenazas/riesgosLa relación con los controles debe establecerse para cada tema (Rec/Amz/Rie) identificado. Paracada tema debe establecerse uno o más controles.4.3. Análisis de cobertura de los controles requeridosEste análisis tiene como propósito determinar si los controles que el auditor identificó comonecesarios proveen una protección adecuada de los recursos.

Fase V: Evaluación de Controles5.1. Objetivos de la evaluación• Verificar la existencia de los controles requeridos• Determinar la operatividad y suficiencia de los controles existentes5.2. Plan de pruebas de los controles• Incluye la selección del tipo de prueba a realizar.• Debe solicitarse al área respectiva, todos los elementos necesarios de prueba.5.3. Pruebas de controles5.4. Análisis de resultados de las pruebas

Fase VI: Informe de Auditoria

6.1. Informe detallado de recomendaciones6.2. Evaluación de las respuestas6.3. Informe resumen para la alta gerenciaEste informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de lasáreas.• Introducción: objetivo y contenido del informe de auditoria• Objetivos de la auditoría• Alcance: cobertura de la evaluación realizada• Opinión: con relación a la suficiencia del control interno del sistema evaluado• Hallazgos• Recomendaciones

Fase VII: Seguimiento de Recomendaciones7.1. Informes del seguimiento7.2. Evaluación de los controles implantadosFin de la sesión.RevisiónEvaluaciónControles y las Medidas de Seguridad que se Aplican a los Recursos de un Sistema de InformaciónAuditoría InformáticaObjetivos





Presentar recomendaciones en función de las fallas detectadas. Determinar si la información que brindan los Sistemas de Informáticos es útil. Inspeccionar el Desarrollo de los Nuevos Sistemas. Verificar que se cumplan las normas y políticas de los procedimientos.

Tipos

Interna: Aplicada con el personal que labora en la empresa.Externa: Se contrata a una firma especializada para realizar la misma.Auditoría Informática ExternaLas empresas recurren a la auditoría externa cuando existen:• Síntomas de Descoordinación• Síntomas de Mala ImagenInformática II. Decanato de Administración y Contaduría • Síntomas de Debilidades Económicas• Síntomas de InseguridadAspectos Fundamentales en la Auditoría de los Sistemas de Información Informática II. Decanato deAdministración y ContaduríaAuditoría Informática de Desarrollo de Aplicaciones Cada una de las fases del desarrollo de lasnuevas aplicaciones informáticas deben ser sometidas a un minucioso control, a fin de evitar un

aumento significativo de los costos, así como también insatisfacción de los usuarios. Informática II.Decanato de Administración y ContaduríaAuditoría de los Datos de Entrada Se analizará la captura de la información en soporte compatiblecon los Sistemas, el cumplimiento de plazos y calendarios de tratamientos y entrega de datos; lacorrecta transmisión de datos entre entornos diferentes. Se verificará que los controles de integridad ycalidad de datos se realizan de acuerdo a las Normas establecidas.

Auditoría Informática de Sistemas Se audita: Informática II. Decanato de Administración y Contaduría• Sistema Operativo: Verificar si la versión instalada permite el total funcionamiento del software quesobre ella se instala, si no es así determinar la causa • Software de Aplicación: Determinar el uso delas aplicaciones instaladas. • Comunicaciones: Verificar que el uso y el rendimiento de la red sea elmás adecuado.

Técnicas de Auditoría Existen varias técnicas de Auditoría Informática de Sistemas, entre las cualesse mencionan: • Lotes de Prueba: Transacciones simuladas que se introducen al Sistema a fin deverificar el funcionamiento del mismo. Entre los datos que se deben incluir en una prueba se tienen: •Datos de Excepción. • Datos Ilógicos. • Transacciones Erróneas

• Auditoría para el Computador: Permite determinar si el uso de los equipos de computación es elidóneo. Mediante esta técnica, se detectan equipos sobre y subutilizados.• Prueba de Minicompañía: Revisiones periódicas que se realizan a los Sistemas a fin de determinarnuevas necesidades.Peligros Informáticos • Incendios: Los recursos informáticos son muy sensibles a los incendios, comopor ejemplo reportes impresos, cintas, discos.• Inundaciones: Se recomienda que el Departamento de computación se encuentre en un nivel alto.La Planta Baja y el Sótano son lugares propensos a las inundaciones.• Robos: Fuga de la información confidencial de la empresa.• Fraudes: Modificaciones de los datos dependiendo de intereses particulares.

Medidas de Contingencia Mecanismos utilizados para contrarrestar la pérdida o daños de lainformación, bien sea intencionales o accidentales. La más utilizada es la Copia de Seguridad(Backup), en la cual se respalda la informa- ción generada en la empresa . Informática II. Decanatode Administración y Contaduría





Copias de Seguridad Las copias pueden ser totales o parciales y la frecuencia varía dependiendo dela importancia de la información que se genere. Backup Se recomienda tener como mínimo dos (2)respaldos de la información, uno dentro de la empresa y otro fuera de ésta (preferiblemente en unBanco en Caja Fuerte). Informática II. Decanato de Administración y ContaduríaMedidas de Protección Medidas utilizadas para garantizar la Seguridad Física de los Datos. Aquellosequipos en donde se genera información crítica, deben tener un UPS. De igual forma, el suministro de

corriente eléctrica para el área informática, debe ser independiente del resto de las áreas. InformáticaMedidas de Control y Seguridad Mecanismos utilizados para garantizar la Seguridad Lógica de losDatos. En los Sistemas Multiusuarios se deben restringir el acceso a la Información, mediante unnombre de usuario (login) y una contraseña (password). Del mismo modo, se debe restringir elacceso a los Sistemas en horas no laborables salvo casos excepcionales.

La Auditoría Informática es una parte integrante de la auditoría. Se preguntará por que se estudia porseparado, pues simplemente para abordar problemas más específicos y para aprovechar los recursosdel personal. Sin embargo, es bueno acotar que debe realizarse dentro de un marco de auditoríageneral.Para clarificar aún más la lámina, diremos entonces que la Auditoría Informática es el proceso de

revisión y evaluación de los controles y medidas de seguridad que se aplican a los recursos:a) Tecnológicos.b) Personal.c) Softwared) Procedimientos. que se utilizan en los Sistemas de Información manejados en la empresa.En este sentido, se deben revisar y evaluar si se han desarrollado e implementados controlesapropiados y adecuados en los sistemas de información.La auditoría Informática va mucho más allá de la simple detección de errores. Si bien es cierto que laAuditoría es un proceso que permite detectar fallas, es menester de la auditoría, el presentar algunassugerencias que puedan ser aplicadas para evitar de esta manera la repetición de las mismas en unfuturo.Básicamente, el objetivo principal de la auditoría informática es garantizar la operatividad de los

procesos informáticos. En otras palabras, ofrecer la continuidad los procesos de generación,distribución, uso y respaldo de información dentro de las organizaciones.Ya puede ir formándose una idea entonces de la importancia que tiene la Auditoría Informática (si noes así, ¿le parece poco el hecho de que permita mantener operativo todos los procesos relacionadoscon el manejo de la información?). Importancia de la Auditoría InformáticaTal como se mencionó anteriormente su importancia radica en el hecho de garantizar la operatividadde los procesos informáticos. Del mismo modo, la Auditoría es compatible con la calidad, ya quemediante la auditoría, se buscan implantar mejoras en busca del perfeccionamiento de los procesos,incorporando nuevas técnicas y tecnologías.Tal como lo pudo apreciar, las definiciones anteriores son muy sencillas y no dejan lugar a ningunaduda. Sin embargo, consideramos prudente ampliar nuestra exposición y ofrecerle algo más que unamera definición. Auditoría InternaLa auditoría Interna ofrece algunas ventajas en relación a la externa, en primer lugar es menoscostosa, puesto que se realiza con el mismo personal, y por otro lado, no se corre el riesgo de quepersonas extrañas conozcan la información generada dentro de la firma. Sin embargo, tiene suslimitaciones, entre las cuales se mencionan: la poca especialización que tienen los integrantes en lamateria conlleva al hecho de que se escapen algunos detalles dentro del proceso (omisión dedetección de errores) y por otro lado se corre el riesgo de que se “encubran” deficiencias. Es factibleque dentro del proceso de auditoría, las personas no informen de alguna anomalía a fin “de noperjudicar al amigo”. Auditoría Externa





Con este tipo de auditoría existe menor margen de error, puesto que las personas que se encargande realizarla son especialistas en el área. Entonces, deben ser pocos los errores que se detecten ylas sugerencias aportadas son muy valiosas. Del mismo modo existe poco margen de encubrimiento,ya que son personas ajenas a la firma.Si bien es cierto que la Auditoría Interna es menos costosa, es una buena práctica para las empresas,realizar Auditorías Externas periódicamente. Sin embargo, existen algunas razones por las cuales

una firma debería contratar los servicios de gente especializada. Tales razones son las mostradas enla lámina, las cuales explicaremos con más detalle a continuación: Síntomas de Descoordinación: Nocoincide el objetivo informático con el de la empresa. En este sentido, es recomendable revisar lagestión de la informática a fin de que la misma esté en función de apoyar al logro de los objetivos.Síntomas de Debilidad Económica: Cuando existe un crecimiento indiscriminado de los costosinformáticos. De igual forma, se contrata un servicio externo para estudiar la factibilidad de invertiruna fuerte suma de dinero en el área. Síntomas de Mala Imagen: Existe una percepción poco idóneade los usuarios finales de computadoras en relación a la Gestión actual del personal de Informática.Existen quejas de que los programas no funcionan, problemas con la red informática,desconfiguración de equipos, entre otros. Síntomas de Inseguridad: Cuando no existe seguridad nifísica ni lógica de la información manejada en la empresa.Hasta estos momentos se ha mencionado un poco lo que es la Auditoría Informática, cuales son sus

objetivos y su importancia dentro de las organizaciones. Consideramos que ya tiene la base suficientepara adentrarnos entonces en el estudio de la Auditoria Informática.Existen dos enfoques básicos para la Auditoria de Sistemas de Información, conocidos como:Auditoria Alrededor del Computador y Auditoria a través del Computador.Auditoria Alrededor del Computador: La cual comprende la verificación tanto de los datos de entradacomo de salida, sin evaluar el software que procesó los datos. Aunque es muy sencillo, no hace elseguimiento de las transacciones ni la exactitud ni integridad del software utilizado. Es por ello, quese recomienda como un complemento de otros métodos de auditoria.Auditoria a Través del Computador: Comprende la verificación de la integridad del software utilizado,así como también los datos de entrada y la salida generada tanto por las redes y sistemascomputacionales. Sin embargo, la auditoria a través del computador requiere de un conocimientotanto de las redes como del desarrollo de software.

Una de las actividades que más dolores de cabeza trae a las organizaciones es el desarrollo de losnuevos sistemas informáticos. Existen muchas razones para tantos inconvenientes, entre las que sedestaca: una pobre determinación de los requerimientos (tanto los analistas como los usuarios, queen muchas oportunidades asumen cosas que el otro no ha dicho), carencia de un prototipo adecuado,una deficiente prueba del sistema y la premura con la que se implanta el mismo.En este sentido, la auditoría debe verificar que se cumplan a cabalidad cada una de las fases deldesarrollo del sistema. Se deben chequear los instrumentos y métodos empleados para ladeterminación de los requerimientos, las herramientas que se utilizan para la construcción delsistema, evaluar el prototipo que va a ser mostrado a los usuarios y verificar que se hagan laspruebas al sistema antes de ser implantado. Recuerde: es preferible esperar un poco más por unsistema probado y ajustado a las necesidades que querer implantar “en dos días” un software que noayudará en nada a los procesos empresariales, por el contrario: entorpecerá los mismos. (¿Cuantasveces no le han dicho en la calle como excusa “tenemos problemas con el sistema”?).La materia prima para la generación de la información son los datos de entrada, es por ello que todoproceso de auditoría informática debe contemplar el estudio de los mismos. Bajo esta premisa, esimportante llevar un control del origen de los datos que se introducen al sistema y en la medida de loposible, el responsable de la introducción de los mismos.Por ejemplo, para un banco el origen de los datos lo representan las planillas de depósito, retiro, entreotras. Si se lleva un control de dichos documentos es fácil auditar lo que tiene el sistema contra elsoporte físico (las planillas). Dicho proceso permite entonces detectar errores de trascripción de datosal Sistema.





Otro hecho importante de la Auditoria de los datos de entrada, es que puede ser utilizado como unmecanismo para determinar fraudes informáticos. ¿Cómo cree usted que se puede determinar unretiro no autorizado de una cuenta bancaria?, ¿el cambio de calificaciones de un estudiante?.Es por ello que todas las organizaciones deben contar con mecanismos apropiados que permitanauditar los datos de entrada.de los sistemas informáticos.Al igual que ocurre con los datos de entrada, se deben revisar periódicamente las herramientas

informáticas que se utilizan dentro de la firma, a fin de verificar que se adecuen a las necesidades delnegocio. Es importante señalar que dicha revisión no debe limitarse únicamente al hardware, por elcontrario, se debe incluir también la revisión tanto del software instalado como la red informáticaexistente.Toda empresa debe poseer software actualizado y con licencia de uso; el Sistema Operativo noescapa de dicha situación. En este sentido, es conveniente que se cuente con una versión quepermita la evolución de las aplicaciones, de no ser así determinar las causas de ello. Por ejemplo enel caso específico del Sistema Operativo Windows, es inusual que se labore con la versión 3.11 paragrupos de trabajo, en tal caso, como mínimo Windows 98 o Windows NT 4.0.Del mismo modo se debe auditar la red informática instalada, entre otras cosas para observar surendimiento (velocidad), la seguridad que ofrece (gran parte de los fraudes obedecen a la carencia deseguridad tanto de los Sistemas como de las Redes Informáticas) y verificar que se cumplan con las

políticas y estándares establecidos para la red.¿Y la Auditoría de las aplicaciones?. Pues la exposición se detallará en las láminas subsiguientes.La prueba de un Sistema es una tarea un poco más compleja de lo que realmente parece ser. Lamisma no se limita exclusivamente a introducir algunos datos al Sistema a fin de verificar que arroje elresultado esperado. Va mucho más allá. En primer lugar, la prueba del Sistema no debe serefectuada por los programadores, ya que éstos conocen los “trucos del sistema”, e inconscientementeintroducirán datos que no harán fallar a la aplicación, razón por la cual se recomienda la designaciónde un equipo responsable para las misma. Dicho equipo debe diseñar una “Batería de Prueba”, lacual consiste en un conjunto de datos a ser introducidos en el sistema para observar sucomportamiento. Por supuesto los resultados de dichos datos se deben conocer con antelación a finde que puedan ser cotejados contra los que arroja el sistema. En toda batería de prueba aparte de lastransacciones comunes, se debe contar con:

Datos de Excepción: Aquellos que rompen con la regla establecida. Se deben incluir dichos datos afin de determinar si el sistema contempla las excepciones.Datos Ilógicos: Son datos que no tienen ningún sentido. Se incluyen dentro de la prueba a fin dedeterminar si el sistema posee los mecanismo de validación adecuados que impidan elprocesamiento de los mismos.Datos Erróneos: Son aquellos que no están acordes con la realidad. El sistema no está en capacidadde determinar si un dato esta correcto o no. Sencillamente, se introducen este tipo de datos a fin deverificar si el sistema posee los mecanismos que permitan revertir la transacción.Auditoría para el ComputadorEs importante determinar el uso de las computadoras. Esto a fin de verificar que no existancomputadores sobre o subutilizados. Por ejemplo, suponga el caso de un computador con laconfiguración más actualizada que esté siendo empleado únicamente como terminal del sistema defacturación de la empresa, por supuesto, es fácil deducir que no se está aprovechando al máximo lasbondades del equipo. Ahora suponga la contrario, es decir, que exista un equipo con medianacapacidad en donde se manejen todas las aplicaciones Office (Word, Excel y Power Point) y seejecuten algunos Sistemas Informáticos propios de la empresa. ¿Está subutilizado?.La aplicación de dicha técnica no reviste de mayor complicación, lo que se hace es anotar laconfiguración del equipo y las actividades que se realizan en él, a fin de determinar si talconfiguración está acorde con lo que se realiza en él. Con esto se logran varias cosas: primero, sedeterminan los equipos candidatos a ser sustituidos o repotenciados y segundo, ofrece unmecanismo para una futura de reasignación de equipos de acuerdo a las necesidades existentes.





¿Que problema coyuntural cree usted que pueda ocurrir al aplicar dicha técnica?. Piense un poco, detodos modos si no lo logra determinar, en dos láminas más encontrarás la respuesta.Usted pensará “perfecto, estos son los peligros que existen, por lo que he leído creo que la Auditoriapude ayudar a evitar los robos y fraudes informático, pero ¿un incendio o una inundación?, no veocomo”. Si esa es su manera de pensar, pues le diremos que está en lo cierto. Aquí no le vamos adecir como evitar incendios o inundaciones. Sino más bien de que tome conciencia de las cosas que

puede pasar dentro de una empresa.Pero “sigo sin entender que tiene que ver todo esto”, es muy simple: lo que se busca es crearconciencia, de los peligros que existen, que ninguna organización está exenta de ellos y que por lotanto es necesario que existan mecanismos que contrarresten los mismos. Esto es precisamente lopróximo que se va a exponer a continuación. Respuesta a la Pregunta Anterior: Puede ocasionarmolestias a las personas en la reubicación de equipos (una persona con un equipo muy potente perosubutilizado, no estará muy conforme que le reasignen un equipo de menor potencia).Dentro de las empresas deben existir mecanismos de contingencias que permitan garantizar lacontinuidad de los procesos que en ella se realizan. Dentro de la informática tal aspecto no debevariar, es decir, deben estar especificados dichos mecanismos (por ejemplo, como realizar unproceso manualmente en caso de que falle el automatizado). En este módulo nos competeexclusivamente la contingencia de la información.

Al igual que otras cosas, la información puede tener daños, los cuales pueden obedecer a causasaccidentales (tales como errores en la trascripción de datos, ejecución de procesos inadecuados) ointencionales (cuando se busca cometer algún fraude). No importa cual sea la causa, lo importante eneste momento (claro, es importante determinar a que obedeció el problema) es disponer algúnmecanismo que nos permita obtener la información sin errores. Las copias de seguridad nos ofrecenuna alternativa para ello, ya que en caso de que se dañe la información original, se recurre entoncesal respaldo el cual contiene la información libre de errores.Como se mencionó anteriormente, las copias de seguridad ofrecen una contingencia en caso depérdidas de información. La frecuencia con la cual deben hacerse dichas copias va a depender deacuerdo a la volatilidad de la misma. Por ejemplo, usted puede decir que es suficiente realizar lascopias de seguridad diariamente, así en caso de ocurrir algún imprevisto, se perderá tan solo un díade trabajo. Tal concepción puede funcionar para muchas organizaciones, pero no para todas, para un

banco sería catastrófico perder la información de todas las transacciones de un día, caso contrarioocurre en una organización donde la información no varíe con tanta frecuencia, en la cual no tendríamucho sentido respaldarla diariamente.Independientemente de la frecuencia con la cual se haga, es recomendable tener como mínimo dos(2) copias de seguridad, una permanecerá dentro de la empresa y la otra fuera de ella. Así en casode que se pierda la información se pueda acceder a la copia que está dentro de la empresa. ¿Y paraqué la otra copia?. Recuerde los peligros informáticos, los incendios, las inundaciones. En caso deque se incendie el edificio, se perdería el original y una copia, pero se tendrá acceso a la que estáfuera de la empresa. A lo mejor usted dirá: “¿qué gracia tiene tener otro respaldo si se quemó eledificio de la empresa?”. Suponga que dicho edificio sea de la Sucursal de un Banco, lo más seguroque al día siguiente, los clientes estarán preguntando qué pasará con sus ahorros. ¿Ahora si leencuentra sentido?. ¿Nota la importancia de la información sobre otros activos?. Un edificio serecupera, la información de toda la empresa no.Deben existir medidas que impidan la pérdida de información, ocasionada por averías en los equipos(Seguridad Física). Si bien es cierto que los computadores no están exentos de sufrir algúndesperfecto (es por ello que existen las copias de seguridad), es recomendable diseñar normas paradisminuir tales amenazas.Una de las principales causales de pérdida de información, son las bajas de energía. Es por ello quedeben estar conectados a un UPS todos los equipos en donde se genere información crítica. Un UPSes un dispositivo (parecido a un regulador de voltaje) que ofrece corriente alterna por un período detiempo (depende de las especificaciones del equipo, los hay de 5 minutos hasta casi dos horas). De





acuerdo a lo anterior, se deduce entonces su importancia: primero, permite completar transaccionesinconclusas en el momento del fallo de energía y segundo permite guardar la información y apagar elequipo con normalidad. De igual forma a fin de disminuir las fallas de energía, debe existir una tomaindependiente de corriente para el área informática.¿Recuerda los peligros que existen?. ¿Las inundaciones?, es por ello que el Departamento deComputación debe estar ubicados en las zonas más altas del edificio, puesto que tanto los sótanos

como los primeros pisos son los más propensos a inundarse.Uno de los mayores peligros dentro de las empresas son los Fraudes Informáticos (muy comunes hoyen día), es por ello que se diseñan medidas que permitan garantizar la integridad de la información yque la misma esté acorde con la realidad (Seguridad Lógica).El mayor riesgo existe en los Sistemas Multiusuarios, puesto que pueden se manejados por variaspersonas concurrentemente. En dichos sistemas no todas las personas pueden acceder a la mismainformación (no todos pueden manipular la nómina de la empresa). para ello se restringe el uso de losSistemas a través de nombres de usuarios y contraseñas, así cuando una persona desea utilizar elSistema debe identificarse (con su nombre de usuario) y podrá manipular únicamente lo que tengaautorizado.En este sentido, se debe tener un control de los usuarios que entran al sistema (existen muchossistemas operativos que lo hacen de manera automática), es por ello que no se debe divulgar el

nombre de usuario a otras personas. Por ejemplo, suponga que Marta González tiene asignado elnombre de usuario mgonz128a y su amigo Marcelo Alvarez le pide por favor su nombre de usuario,porque “necesita hacer algunas cosas con su módulo”, (Marcelo tiene su usuario asignado,malv287s), pues resulta que ocurrió un problema con dicha información ¿a quién reporta el sistemacomo responsable?. Sencillo, al usuario que accedió al Sistema, en este caso mgonz128a quepertenece a Marta González. De igual forma, se debe restringir el acceso al Sistema en horas nolaborables, ya que el mayor número intento de fraudes ocurre durante dicho período (por lo generalen horas de la madrugada). ¿Con estas medidas estoy 100% seguro que no existirán fraudesinformáticos?. No, nadie está exento de sufrir un fraude informático, con decirle que han violado laseguridad del Pentágono, NASA, Yahoo!, entre otros. En tal caso le disminuye el riesgo, por lo tantose recomienda revisar las medidas de seguridad constantemente.





EC09: Fases de la Auditoria Informática Fecha: ___/_____/2012

Nombre: _________________________________________ Grupo: _38___

Instrucciones: Después de haber participado en la lluvia de ideas sobre la planeación de la AuditoriaInformática y realizar la lectura anterior completa lo siguiente:

Instrucciones: Realiza la lectura anterior y menciona ampliamente cual es el propósito de cada una

de las fases de la planeación de una auditoría.

Concepto de planeación:

Pasos identificados de la planeación





EC10: Planeación de la auditoría Fecha: ___/_____/2012

Nombre: _________________________________________ Grupo: _38___

Instrucciones: Completa la siguiente nota:

Equipo: _____________________________________________________

Integrantes:

1.-

2.-

3.-

Empresa donde se realizara la auditoria:

Giro de la empresa (Actividad principal):

Domicilio:

Misión y visión (En caso de tener la información del mismo).





EC11: Revisión preliminar Fecha: ___/_____/2012

Equipo : __________________________________________ Grupo: _38___

En esta fase el auditor debe de armarse de un conocimiento amplio del área que va a auditar, los objetivos que debe cumplir, tiempos (una empresa no pude dejar sus equipos y personal que lo opera sin trabajar porque esto le genera pérdidas sustanciosas),herramientas y conocimientos previos, así como de crear su equipo de auditores expertos en la materia con el fin de evitar tiempos muertos a la hora de iniciar la auditoria.

Instrucciones: A continuación vamos a elaborar la revisión preliminar contestando lassiguientes preguntas y realizando lo indicado.

1. ¿Cuáles son los objetivos de la auditoria a realizar?2. ¿Existe algún área específica que necesita auditoria?3. ¿De cuánto tiempo se dispone para realizar la auditoria informática?4. Realiza un análisis de tareas importantes y esenciales para la auditoria.5. Recopila la información para obtener una visión general del departamento de

Administración por medio de observaciones, entrevistas preliminares y solicitud dedocumentos para poder definir el objetivo y alcances del departamento.

6. Elabora los formatos necesarios para recopilar información (utilizando diferentestécnicas para llevarlo a cabo).





EC12: Revisión detallada Fecha: ___/_____/2012

Equipo : __________________________________________ Grupo: _38___

Los objetos de la fase detallada son los de obtener la información necesaria para que el auditor tenga un profundo entendimiento de los controles usados dentro del área de informática.

El auditor debe de decidir se debe continuar elaborando pruebas de consentimiento,con la esperanza de obtener mayor confianza por medio del sistema de control interno, o proceder directamente a revisión con los usuarios (pruebas compensatorias) o a las pruebas sustantivas.

Instrucciones: A continuación vamos a elaborar la revisión detallada realizando lassiguientes actividades.

1. Realiza el organigrama de la empresa que vas a auditar2. Realiza el organigrama del depto. de informática en la empresa que vas a auditar.3. Investiga las relaciones Jerárquicas y funcionales entre órganos de la Organización y

número de personas por puesto de trabajo.4. Organiza y reconoce los flujos de Información en la empresa auditada.5. Realiza un desglose de tiempos para cada fase de la auditoria informática6. Especifica las tareas de cada auditor en el área correspondiente y los tiempos

necesarios para realizarlos.7. Realiza un análisis de tareas importantes y esenciales para la auditoria.8. Elabora el acta de inicio de la auditoria de acuerdo a lo establecido en el documento

Guía de auditoría (Anexo02) en la siguiente dirección electrónica:http://www.funcionpublica.gob.mx/pt/obligaciones_transparencia_art_7/sfp/doctos/guia

_auditoria.pdf 9. Elabora el acta de planeación de la auditoria (página 22)10. Elabora el cronograma de actividades. (página 26)

http://www.funcionpublica.gob.mx/pt/obligaciones_transparencia_art_7/sfp/doctos/guia_auditoria.pdf









EC13: Auditoría física Fecha: ___/_____/2012

Equipo : __________________________________________ Grupo: _38___

La Auditoria Física no se limita a comparar solo la existencia de los medios físicos,sino también su funcionalidad, racionalidad y seguridad. La seguridad física garantiza la integridad de los activos humanos, lógicos y materiales del Objeto a analizar.

Instrucciones: A continuación vamos a elaborar la planeación de la esta fase realizando lassiguientes actividades.

2. Elabora un formato para verificar las instalaciones de la empresa donde estas llevandola auditoria, incluyendo entre estos (Dirección física, ubicación en el mapa, edificiosque le rodea por los 4 puntos cardinales, etc).

3. Elabora un formato para verificar la distribución de los departamentos.4. Elabora un formato para verificar el equipo de seguridad con los que cuenta tales

como botiquines, extinguidores, luces de emergencia etc.5. Elabora un formato para verificar la señalización con la que cuenta la empresa

auditada tales como: direcciones de salida, emergencia, escape, riesgo eléctrico, zonade evacuación etc.

6. Identifica los formatos de inventario físico, de recursos informáticos y de aplicacionesen la organización seleccionada.





Bloque III: AuditoríaInformática por áreas

En este bloque se utilizan técnicas de recopilación deinformación para que permitan dar al auditor información deapoyo de cada área que sea objeto de la auditoria y Evaluarla evidencia recabada durante la auditoria con el fin deelaborar un dictamen sobre las vulnerabilidades y fortalezasdetectadas y presentar recomendaciones de una maneraprofesional, objetiva y honesta.





EC14: Organigramas de la auditoría Fecha: ___/_____/2012

Equipo : __________________________________________ Grupo: _38__

Las organizaciones son entes complejos que requieren un ordenamiento jerárquico que especifique la función que cada uno debe ejecutar en la empresa. Por ello la funcionalidad de ésta, recae en la buena estructuración del organigrama, el cual indica la línea de autoridad y responsabilidad, así como también los canales de comunicación y supervisión que acoplan las diversas partes de un componente organizacional.

Instrucciones: Con la planeación realizada en el bloque II, realiza lo que a continuación sete indica sobre la auditoria informática en la organización elegida.

1. Utilizando algún programa para elaborar organigramas2. Elabora el organigrama de la empresa auditada (este organigrama ya lo tienes en la

planeación) y guárdalo con el nombre de “OrgEmpresa” sin olvidar la nomenclaturaestablecida.

3. Realiza el organigrama del departamento de informática y guárdalo con el nombre de“OrgInformatica” sin olvidar la nomenclatura establecida.

4. Realiza el organigrama del equipo de auditores y guárdalo con el nombre de“OrgAuditores” sin olvidar la nomenclatura establecida.

5. Envía por correo los tres archivos con el asuntoAuditoriaI.Nomenclatura.Organigramas

6. Guarda los archivos en tu memoria.





EC15: Evaluación de los recursos humanos Fecha: ___/_____/2012

Equipo : __________________________________________ Grupo: _38__

La auditoria de recursos humanos puede definirse como el análisis de las políticas y prácticas de personal de una empresa y la evaluación de su funcionamiento actual, seguida de sugerencias para mejorar.

El propósito principal de la auditoria de recursos humanos es mostrar cómo está funcionado el programa, localizando prácticas y condiciones que son perjudiciales para la empresa o que no están justificando su costo, o prácticas y condiciones que deben incrementarse.

El sistema de administración de recursos humanos necesita patrones capaces de permitir una continua evaluación y control sistemático de su funcionamiento.

Instrucciones: A continuación vamos a elaborar la Evaluación de los recursos humanos realizando las siguientes actividades.

1. Existe una organización de los recursos humanos.2. Elabora el organigrama del depto. de Recursos humanos en la empresa que vas a

auditar.3. Investiga las relaciones Jerárquicas y funcionales entre órganos de la Organización y

número de personas por puesto de trabajo.4. Organiza y reconoce la información obtenida en el desarrollo de la auditoria al

departamento de RH5. Preguntar si existe una descripción de puestos6. Existen controles adicionales en RH7. Existe presupuesto para llevar a cabo la auditoria y para realizar mejoras





EC16: Auditoría física Fecha: ___/_____/2012

Equipo : __________________________________________ Grupo: _38___

La Auditoria Física no se limita a comparar solo la existencia de los medios físicos,sino también su funcionalidad, racionalidad y seguridad. La seguridad física garantiza la integridad de los activos humanos, lógicos y materiales del Objeto a analizar.

Instrucciones: A continuación vamos a elaborar la Auditoria física realizando las siguientesactividades.

1. Completa un formato que verifique las instalaciones de la empresa donde estasllevando la auditoria, incluyendo entre estos (Dirección física, ubicación en el mapa,edificios que le rodea por los 4 puntos cardinales, etc).

2. Completa un formato que verifique la distribución de los departamentos.3. Completa un formato que verifique el equipo de seguridad con los que cuenta tales

como botiquines, extinguidores, luces de emergencia etc.4. Completa un formato que verifique la señalización con la que cuenta la empresa

auditada tales como: direcciones de salida, emergencia, escape, riesgo eléctrico, zonade evacuación etc.

5. Lleva a cabo el inventario de Equipo de cómputo con el que cuenta la empresaidentificando las características importantes para resolver cualquier duda en elejercicio.





EC17: Evaluación de Auditoria física Fecha: ___/_____/2011

Equipo : __________________________________________ Grupo: _38___

Instrucciones: A continuación vamos a elaborar la Evaluación de Auditoria física realizandolas siguientes actividades.

1. Escribe en Microsoft Office 2007 la auditoría realizada en el ejercicio EC13.2. Elabora una lista de puntos fuertes de la empresa auditada en referencia al inventario

físico levantado en el ejercicio EC133. Elabora una lista de puntos débiles de la empresa auditada en referencia al inventario

físico levantado en el ejercicio EC134. Elabora una propuesta de solución para los puntos débiles indicando (características,

tiempos, costo, beneficios y consecuencias).5. Elabora un control automático para utilizar la información que recabaste en la empresa

auditada de manera que puedas ubicar cualquier computadora.6. Captura el proceso del seguimiento que se le da al equipo informático en la empresa

auditada.7. Elabora una opinión fundamentada acerca de la evaluación física.





EC18: Auditoria de aplicaciones Fecha: ___/_____/2011

Equipo : __________________________________________ Grupo: _38___

Instrucciones: Para realizar la auditoria de aplicaciones ten en cuenta lo siguiente:¿Qué auditamos? Aplicaciones en funcionamiento en cuanto al grado de cumplimiento de los objetivos para los que fueron creadas.

OBJETIVO DE LAS APLICACIONES: Registro de las operaciones Procesos de cálculo y edición Almacenamiento de la información Dar respuesta a consultas de usuarios Generar informes de interés para la organización.AMENAZAS POSIBLE: Posibilidades de fallo: Software, hardware, redes y telecomunicaciones Confidencialidad e integridad gran uso de internet en las aplicaciones.RELEVAMIENTO DE INFORMACIÓN Y DOCUMENTACIÓN SOBRE LA APLICACIÓN: Manuales / ayuda del sistema Conocer la organización Organigramas, constitución legal, layout, etc Entorno operativo de la aplicación Hardware / software / redes Conocer de la aplicación Lenguaje, Bases de datos, Mapa de datos, DD, Método de programación, Niveles de usuario, privilegios Estadísticas de uso.

Instrucciones: Para este ejercicio deberás haber realizado el inventario de las aplicacionesexistentes en la empresa auditada utilizando los formatos elaborados en la planeación de laauditoria.

1. Captura el inventario de las aplicaciones específicas y de ofimática existente en laempresa auditada.

2. Elabora una lista de puntos fuertes de la empresa auditada en referencia al inventariode aplicaciones realizado en la empresa auditada

3. Elabora una lista de puntos débiles de la empresa auditada en referencia al inventariode aplicaciones realizado en la empresa auditada

4. Elabora una propuesta de solución para los puntos débiles indicando (características,

tiempos, costo, beneficios y consecuencias)5. Elabora una opinión fundamentada acerca de la evaluación de aplicaciones.





EC19: Auditoria de redes y comunicación Fecha: ___/_____/2011

Equipo : __________________________________________ Grupo: _38___

Instrucciones: Para realizar la auditoria de redes y comunicación toma en cuenta lo siguiente:Definición: Serie de mecanismos mediante los cuales se pone a prueba una red informática evaluando su desempeño y seguridad a fin de lograr una utilización más eficiente y segura de la

información.¿Qué auditamos? Protección a los cables y puntos de conexión para evitar fallas, Revisiones periódicas en la red (buscando fallas), Equipo de prueba de comunicaciones y alternativas de respaldos. Contraseñas de acceso, registro de actividades en la red y cifrado de datos, accesos a servidores remotos, Herramientas para el monitoreo de la red . Instrucciones: Para este ejercicio deberás haber realizado la auditoria de las redes ycomunicación de datos existentes en la empresa auditada utilizando los formatos elaboradosen la planeación de la auditoria.

1. Entra a la dirección: http://www.monografias.com/trabajos10/auap/auap.shtml y realiza

una lectura en donde comprendas la importancia y procedimiento para realizar estetipo de auditoría2. Captura la información auditada en cuanto a redes y comunicación existente en la

empresa auditada.3. Elabora una lista de puntos fuertes de la empresa auditada en referencia a las redes y

comunicación existente en la empresa auditada.4. Elabora una lista de puntos débiles de la empresa auditada en referencia a las redes

y comunicación existente en la empresa auditada.5. Elabora una propuesta de solución para los puntos débiles indicando (características,

tiempos, costo, beneficios y consecuencias)6. Elabora una opinión fundamentada acerca de la evaluación de la red y sus puntos de

conexión y comunicación.

http://www.monografias.com/trabajos10/auap/auap.shtml








EC20: Auditoria a la seguridad Informática Fecha: ___/_____/2011

Equipo : __________________________________________ Grupo: _38___

Instrucciones: Para realizar la auditoria de la seguridad informática toma en cuenta lo siguiente:Definición: La Seguridad Informática es el conjunto de reglas, planes y acciones que permiten asegurar la información contenida en un sistema de la información.

¿Qué auditamos? Por una parte se debe contemplar la protección del hardware y los soportes de datos, así como la seguridad de los edificios e instalaciones que los albergan. El auditor informático debe contemplar situaciones de incendios, inundaciones, sabotajes, robos, catástrofes naturales, etc.Por su parte, la seguridad lógica se refiere a la seguridad en el uso de software, la protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información. El auditar la seguridad de los sistemas, también implica que se debe tener cuidado que no existan copias piratas, o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisión de virus.Procesos para encriptar la información, la importación y exportación de datos, Inhabilitar el software o hardware con acceso libre y Políticas que prohíban la instalación de programas o equipos personales en la red.

Instrucciones: Para este ejercicio deberás haber realizado la auditoria a la seguridad de los datos einformación existentes en la empresa auditada utilizando los formatos elaborados en la planeación dela auditoria.

1. Captura la información auditada en cuanto a la seguridad informática existente en la empresaauditada.

2. Elabora una lista de puntos fuertes de la empresa auditada en referencia a las redes ycomunicación existente en la empresa auditada.

3. Elabora una lista de puntos débiles de la empresa auditada en referencia a las redes ycomunicación existente en la empresa auditada.

4. Elabora una propuesta de solución para los puntos débiles indicando (características, tiempos,costo, beneficios y consecuencias)

5. Elabora una opinión fundamentada acerca de la evaluación de la red y sus puntos deconexión y comunicación. Encriptar la información pertinente. Evitar la importación y exportación de datos Inhabilitar el software o hardware con acceso libre Crear protocolos con detección de errores El software de comunicación ha de tener procedimiento correctivos y de control ante

mensajes duplicados, fuera de orden o retrasados. Políticas que prohíban la instalación de programas o equipos personales en la red. Firewall

Evalúa: M.C. Gabriel Huesca Aguilar





Informe Final de auditoria

El informe final

La función de la auditoría se materializa exclusivamente por escrito. Por lo tanto la elaboraciónfinal es el exponente de su calidad. Resulta evidente la necesidad de redactar borradores e informes

parciales previos al informe final, los que son elementos de contraste entre opinión entre auditor yauditado y que pueden descubrir fallos de apreciación en el auditor.

Estructura del informe final: El informe comienza con la fecha de comienzo de la auditoría y la fecha de redacción del mismo. Se

incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, conindicación de la jefatura, responsabilidad y puesto de trabajo que ostente.

Definición de objetivos y alcance de la auditoría.

Enumeración de temas considerados: Antes de tratarlos con profundidad, se enumerarán lo más exhaustivamente posible todos los temas

objeto de la auditoría.

Cuerpo expositivo:

Para cada tema, se seguirá el siguiente orden a saber:A. Situación actual. Cuando se trate de una revisión periódica, en la que se analiza no solamente

una situación sino además su evolución en el tiempo, se expondrá la situación prevista y lasituación real

B. Tendencias. Se tratarán de hallar parámetros que permitan establecer tendencias futuras.C. Puntos débiles y amenazas.D. Recomendaciones y planes de acción. Constituyen junto con la exposición de puntos débiles, el

verdadero objetivo de la auditoría informática.

E. Redacción posterior de la Carta de Introducción o Presentación.

Modelo conceptual de la exposición del informe final: El informe debe incluir solamente hechos importantes (La inclusión de hechos poco relevantes o

accesorios desvía la atención del lector). El Informe debe consolidar los hechos que se describen en el mismo. El término de “hechos consolidados” adquiere un especial significado de verificación objetiva y de

estar documentalmente probados y soportados. La consolidación de los hechos debe satisfacer,al menos los siguientes criterios: El hecho debe poder ser sometido a cambios. Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situación. No deben existir alternativas viables que superen al cambio propuesto.

La recomendación del auditor sobre el hecho debe mantener o mejorar las normas yestándares existentes en la instalación.





La aparición de un hecho en un informe de auditoría implica necesariamente la existencia de unadebilidad que ha de ser corregida.

Flujo del hecho o debilidad:

1. Hecho encontrado.

Ha de ser relevante para el auditor y pera el cliente. Ha de ser exacto, y además convincente. No deben existir hechos repetidos.

2. Consecuencias del hecho Las consecuencias deben redactarse de modo que sean directamente deducibles del hecho.

3. Repercusión del hecho Se redactará las influencias directas que el hecho pueda tener sobre otros aspectos

informáticos u otros ámbitos de la empresa.

4. Conclusión del hecho

No deben redactarse conclusiones más que en los casos en que la exposición haya sido muyextensa o compleja.

5. Recomendación del auditor informático Deberá entenderse por sí sola, por simple lectura. Deberá estar suficientemente soportada en el propio texto. Deberá ser concreta y exacta en el tiempo, para que pueda ser verificada su implementación. La recomendación se redactará de forma que vaya dirigida expresamente a la persona o

personas que puedan implementarla.

Carta de introducción o presentación del informe final:

La carta de introducción tiene especial importancia porque en ella ha de resumirse la auditoríarealizada. Se destina exclusivamente al responsable máximo de la empresa, o a la persona concretaque encargo o contrato la auditoría.

Así como pueden existir tantas copias del informe Final como solicite el cliente, la auditoría nohará copias de la citada carta de Introducción.

La carta de introducción poseerá los siguientes atributos: Tendrá como máximo 4 folios. Incluirá fecha, naturaleza, objetivos y alcance. Cuantificará la importancia de las áreas analizadas. Proporcionará una conclusión general, concretando las áreas de gran debilidad. Presentará las debilidades en orden de importancia y gravedad. En la carta de Introducción no se escribirán nunca recomendaciones.





EC21: El informe final Fecha: ___/____/201___

Nombre: _____________________________________________ Grupo: __________

Instrucciones: Después de haber leído con atención la lectura anterior y el anexo 02, elabora un esesquema (mapa mental, conceptual, cuadro sinóptico o de doble entrada, etc), acerca de lainformación presentada.



Ejecución en informe de auditoria


ANEXOS



Ejecución en informe de auditoria


libro auditoriai

Documents