1.

AUDITORIA EN AMBIENTE INFORMÁTICO

Consiste en la revisión y evaluación de los controles, sistemas, procedimientos de informática, de
los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participa en
el procesamiento de la información, a fin de que por medio de conocimientos profesionales se
logre una utilización más eficiente y segura de la información que servirá para la adecuada toma
de decisiones.
Mediante una revisión adecuada del sistema de procesamiento electrónico de datos y el uso de
formatos bien diseñados para su captura, el auditor puede lograr un mejor conocimiento de los
procedimientos para el control del cliente.

PROCESAMIENTO ELECTRÓNICO DE DATOS

Al evaluar la información automática, el auditor debe revisar varios documentos, como
diagramas de flujo y documentos de programación, para lograr un mejor entendimiento del
sistema y los controles que se diseñaron en el sistema de procesamiento electrónico de datos, el
auditor probablemente, encuentre nuevos controles, algunos de ellos necesarios para la
automatización del proceso, y algunos que sustituyen aquellos que en los métodos manuales se
basaron en juicios humanos y la división de labores.
Muchos de los controles en ambientes informáticos, pueden combinarse en los programas de
computadoras con el proceso manual.

CARACTERÍSTICAS QUE DISTINGUEN AL PROCESAMIENTO

CON COMPUTADORA DEL PROCESAMIENTO MANUAL
 El sistema Procesamiento Electrónico de Datos (PED) puede producir una pista o huella
de transacciones para fines de auditoria que tan solo sea aplicable por un breve periodo,
(ventas por teléfono).
 Con frecuencia existe menos evidencia documental de los procedimientos del control del
sistema computarizado que en sistemas manuales.
 La información dentro de los sistemas manuales es visible.
 la menor participación humana en el PED puede ocultar errores que si pueden observarse
con los sistemas manuales.
 La información de los sistemas manuales puede ser mas vulnerable a desastres físicos,
manipulación no autorizada y mal funcionamiento mecánico.

OBJETIVOS DE LA AUDITORÍA INFORMÁTICA:

La Auditoría del Sistema de Información en la empresa, a través de la evaluación y control que
realiza, tiene como objetivo fundamental mejorar la rentabilidad, la seguridad y la eficacia del
sistema mecanizado de información en que se sustenta.
Los aspectos relativos al control de la Seguridad de la Información tienen tres líneas básicas
en la auditoria del sistema de información:
 Aspectos generales relativos a la seguridad: En este grupo de aspectos habría que
considerar, entre otros: la seguridad operativa de los programas, seguridad en suministros y
funciones auxiliares, seguridad contra radiaciones, atmósferas agresivas, agresiones y posibles
sabotajes, seguridad físicos de las instalaciones, del personal informático, etc.

 Aspectos relativos a la confidencialidad y seguridad de la información: Estos

aspectos se refieren no solo a la protección del material, el logicial, los soportes de la
 información, sino también al control de acceso a la propia información (a toda o a parte de
ella, con la posibilidad de introducir modificaciones en la misma).

 Aspectos jurídicos y económicos relativos a la seguridad de la información:

En este grupo de aspectos se trata de analizar la adecuada aplicación del sistema de
información en la empresa en cuanto al derecho a la intimidad y el derecho a la información, y
controlar cada vez más frecuentes delitos informáticos que se cometen en la empresa.

Definición de auditoría:

Se define como un proceso sistemático que consiste en obtener y evaluar objetivamente evidencias sobre las
afirmaciones relativas los actos y eventos de carácter económico; con el fin de determinar el grado de
correspondencia entre esas afirmaciones y los criterios establecidos, para luego comunicar los resultados a las
personas interesadas.

 La auditoría se clasifica en Auditoría Financiera y Operativa.

La auditoría financiera efectúa un examen sistemático de los estados financieros, los registros y las operaciones
correspondientes, para determinar la observancia de los principios de contabilidad generalmente aceptados, de
las políticas de la administración y de la planificación

La auditoría operativa cae dentro de la definición general de auditoría y se define:

"un examen sistemático de las actividades de una organización (ó de un segmento estipulado de las mismas) en
relación con objetivos específicos, a fin de evaluar el comportamiento, señalar oportunidades de mejorar y
generar recomendaciones para el mejoramiento o para potenciar el logro de objetivos".

 Auditoría de Sistemas:

Se encarga de llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen
establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la
información que se procesa a través de los sistemas de información. La auditoría de sistemas es una rama
especializada de la auditoría que promueve y aplica conceptos de auditoría en el área de sistemas de
información.

La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y
evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de
procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las
interfaces correspondientes.

El objetivo final que tiene el auditor de sistemas es dar recomendaciones a la alta gerencia para mejorar o lograr
un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor eficiencia
operacional y administrativa

OBJETIVOS ESPECIFICOS DE LA AUDITORIA DE SISTEMAS:

1. Participación en el desarrollo de nuevos sistemas:

 evaluación de controles

 cumplimiento de la metodología.

2. Evaluación de la seguridad en el área informática.

3. Evaluación de suficiencia en los planes de contingencia.

 respaldos, preveer qué va a pasar si se presentan fallas.

4. Opinión de la utilización de los recursos informáticos.

 resguardo y protección de activos.

5. Control de modificación a las aplicaciones existentes.

 fraudes

 control a las modificaciones de los programas.

6. Participación en la negociación de contratos con los proveedores.

7. Revisión de la utilización del sistema operativo y los programas

 utilitarios.

 control sobre la utilización de los sistemas operativos

 programas utilitarios.

8. Auditoría de la base de datos.

 estructura sobre la cual se desarrollan las aplicaciones...

9. Auditoría de la red de teleprocesos.

10. Desarrollo de software de auditoría.

Es el objetivo final de una auditoría de sistemas bien implementada, desarrollar software capaz de estar
ejerciendo un control continuo de las operaciones del área de procesamiento de datos.

FINES DE LA AUDITORIA DE SISTEMAS:

1. Fundamentar la opinión del auditor interno (externo) sobre la confiabilidad de los sistemas de información.  

2. Expresar la opinión sobre la eficiencia de las operaciones en el área de TI.

Similitudes y diferencias con la auditoría tradicional:

Similitudes:

 No se requieren nuevas normas de auditoría, son las mismas.

 Los elementos básicos de un buen sistema de control contable interno siguen siendo los mismos; por
ejemplo, la adecuada segregación de funciones.

 Los propósitos principales del estudio y la evaluación del control contable interno son la obtención de
evidencia para respaldar una opinión y determinar la base, oportunidad y extensión de las pruebas
futuras de auditoría.

Diferencias:
  Se establecen algunos nuevos procedimientos de auditoría.

 Hay diferencias en las técnicas destinadas a mantener un adecuado control interno contable.

 Hay alguna diferencia en la manera de estudiar y evaluar el control interno contable. Una diferencia
significativa es que en algunos procesos se usan programas.

 El énfasis en la evaluación de los sistemas manuales esta en la evaluación de transacciones, mientras

que el énfasis en los sistemas informáticos, está en la evaluación del control interno.

 ASPECTOS DEL MEDIO AMBIENTE INFORMATICO QUE AFECTAN EL ENFOQUE DE LA AUDITORIA Y

SUS PROCEDIMIENTOS.

 Complejidad de los sistemas.

 uso de lenguajes.

 metodologías, son parte de las personas y su experiencia.

 Centralización.

 departamento de sistemas que coordina y centraliza todas las operaciones relaciones los usuarios son
altamente dependientes del área de sistemas.

 Controles del computador.

Controles manuales, hoy automatizados (procedimientos programados) .

 Confiabilidad electrónica.

 debilidades de las máquinas y tecnología.

 Transmisión y registro de la información en medios magnéticos, óptico y otros.

 almacenamiento en medios que deben acceder a través del computador mismo.

 Centros externos de procesamiento de datos.

 Dependencia externa.

RAZONES PARA LA EXISTENCIA DE LA FUNCION DE A.S.

1. La información es un recurso clave en la empresa para:

 Planear el futuro, controlar el presente y evaluar el pasado.

2. Las operaciones de la empresa dependen cada vez más de la sistematización.

3. Los riesgos tienden a aumentar, debido a:

 Pérdida de información

 Pérdida de activos.

 Pérdida de servicios/ventas.
4. La sistematización representa un costo significativo para

 la empresa en cuanto a: hardware, software y personal.

5. Los problemas se identifican sólo al final.

6. El permanente avance tecnológico.

REQUERIMIENTOS DEL AUDITOR DE SISTEMAS

1. Entendimiento global e integral del negocio, de sus puntos claves, áreas críticas, entorno económico, social y
político.

2. Entendimiento del efecto de los sistemas en la organización.

3. Entendimiento de los objetivos de la auditoría.

4. Conocimiento de los recursos de computación de la empresa.

5. Conocimiento de los proyectos de sistemas.

RIESGOS ASOCIADOS AL AREA DE TI:

Hardware
- Descuido o falta de protección: Condiciones inapropiadas, mal
manejo, no observancia de las normas.
- Destrucción.

Software:
- uso o acceso,
- copia,
- modificación,
- destrucción,
- hurto,
- errores u omisiones.

Archivos:
- Usos o acceso,
- copia, modificación, destrucción, hurto.

Organización:
- Inadecuada: no funcional, sin división de funciones.
- Falta de seguridad,
- Falta de políticas y planes.

Personal:
- Deshonesto, incompetente y descontento.

Usuarios:
- Enmascaramiento, falta de autorización, falta de conocimiento de su función.

El Auditor y el Procesamiento de Datos (PED)

12/03/2007 — Hugo R. González B.

Los profesionales (auditores) inmersos en el proceso electrónico de datos (PED),deben aclarar lo

que se espera de ellos, tomando las siguientes medidas:

# En cuanto al riesgo. “Pensar en el riesgo” no significa simplemente considerar como parte de la

revisión de un sistema o de la auditoría de alguna función del PED. El riesgo debe ser una primera

preocupación d 1 auditor y evaluar no sólo lo que haga sino cuándo lo haga. El auditor no sólo

debe reconocer problemas sino también convencer y alentar a la administración a tornar la acción

correctiva oportuna.

# Evaluar controles dentro de un sistema nuevo. El auditor debe evaluar los controles dentro de

sistemas nuevos antes de que sean operacionales. Debería tener una vinculación estrecha con el

diseño del sistema y el personal de PED, y trabajar con los comités que dirigen las principales

gestiones en el desarrollo de los sistemas. El auditor debe estar presente en estas reuniones no

sólo por su propia educación sino también para fomentar en los usuarios y diseñadores una

conciencia de la necesidad de controles.

# Aplicar técnicas de auditoría avanzadas. El auditor debe usar técnicas avanzadas para realizar

procedimientos de auditoría. Debería saber suficiente sobre técnicas de análisis operacional a fin

de determinar cuáles instrumentos analíticos puede pedir prestados al ingeniero, al matemático,

así como a los propios técnicos del PED. Al tratar con el riesgo, conceptos tales como el análisis

cuantitativo, la teoría de decisión, la probabilidad, y el análisis de redes son importantes para la

auditoria.

# Dotar de apoyo técnico a los auditores. El auditor debe trabajar con los técnicos del PED para

ayudarse y entenderse con sistemas automatizados, a identificar procedimientos manuales que

puedan automatizarse y a interpretar documentación técnica. La esperanza de que los auditores

trabajen con aquellos faltos de entrenamiento especializado es crítica, porque algún día todos los

auditores lo serán de PED.