República Bolivariana de Venezuela

Ministerio del Poder Popular para la Educación Superior

I.U.P.”Santiago Mariño”
Extensión COL
Unidad Curricular: Auditoria y Evaluación de Sistemas

AUDITORIA COMPUTACIONAL

Autor:

Rafael Quintero
C.I:26.550.856
Prof. Smirt Acosta
 DESARROLLO

1-. Metodología de la Auditoría Computacional.

Existen diversas metodologías de Auditorias Informáticas y todas

dependen de lo que se pretenda revisar o analizar, pero como estándar
analizaremos las cuatro fases básicas de un proceso de revisión:

Estudio preliminar: Incluye definir el grupo de trabajo, el programa de

auditoria, efectuar visitas a la unidad informática para conocer detalles de la
misma, elaborar un cuestionario para la obtención de información para evaluar
preliminarmente el control interno, solicitud de plan de actividades, Manuales de
política, reglamentos, Entrevistas con los principales funcionarios de la
Organización y de la Departamento de Informática.

Revisión y evaluación de controles y seguridades: Consiste de la

revisión de los diagramas de flujo de procesos, realización de pruebas de
cumplimiento de las seguridades, revisión de aplicaciones de las áreas críticas,
revisión de procesos históricos (backups), revisión de documentación y archivos,
entre otras actividades.

Examen detallado de áreas críticas: Con las fases anteriores el auditor

descubre las áreas críticas y sobre ellas hace un estudio y análisis profundo en los
que definirá concretamente su grupo de trabajo y la distribución de carga del
mismo, establecerá los motivos, objetivos, alcance y recursos que usará, definirá
la metodología de trabajo, la duración de la auditoria, presentará el plan de trabajo
y analizará detalladamente cada problema encontrado con todo lo anteriormente
analizado.

Comunicación de resultados: Se elaborará el borrador del informe a ser

discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual
se presentará esquemáticamente en forma de matriz, cuadros o redacción simple
y concisa que destaque los problemas encontrados, los efectos y las
recomendaciones de la Auditoria.

2-. Definición de Ámbito y Objetivos.

Alcance
Entorno y límites en que se realizará la A.I.
Hasta dónde se llega
Acuerdo por escrito (entre auditor y cliente) cuando se incluyen áreas no
informáticas o cuando la empresa tiene varias sedes, de:
Funciones (Seguridad, Dirección, etc.)
Materias (S.O., BD, etc.)
Departamentos o Áreas Organizativas (Explotación, Sistemas,
Comunicaciones, etc.)
 Su no definición pondrá en peligro el éxito de la A.I.

Limitaciones:

Principalmente en materias que pueden suponerse incluidas

Objetivos

Auditor debe comprender con exactitud los deseos y pretensiones del

cliente, para cumplir con los objetivos

Objetivos generales

Operatividad de los S.I.

– Controles Generales de la Gestión Informática
– Verificar normas del Departamento de Informática y observar su
consistencia con las del resto de la empresa
• Normas Generales de la Instalación Informática
• Procedimientos Generales y Específicos del Departamento de
Informática (p.e. una aplicación no pasa a Explotación sin su correspondiente
Documentación)
– Comprobar que no existen contradicciones con normas y
procedimientos generales de la empresa
Interlocutores
– Personas con poder de decisión y validación dentro de la empresa
– Personas a las que va dirigido el informe

Objetivos específicos
– Necesidad de auditar una materia de gran especialización
– Contrastar algún informe interno con el que resulte del externo
– Evaluación del funcionamiento de áreas informáticas en un
determinado departamento
– Aumentos de seguridad y fiabilidad

3-. Estudio Inicial.

 Determinación de los recursos necesarios para realizar la auditoría

 Elaboración del plan y de los Programas de Trabajo
 Actividades propiamente dichas de la auditoría
 Confección y redacción del Informe Final
 Redacción de la Carta de Introducción o Carta de Presentación del
Informe final Fase
 4-. Elaboración de Perfiles.

Los perfiles de auditoria informática constituyen uno de los temas de

importancia en el proceso de realizar una auditoria dentro de una empresa, ya que
en el recae la responsabilidad de practicarla y lograr los resultados necesarios
para proponer las medidas necesarias para elevar el desempeño de la
organización. La calidad y el nivel de realización de la auditoria dependen en gran
manera del profesionalismo y carácter del auditor, así como de su comprensión de
las actividades que va a revisar; elementos que involucran el vínculo de
conocimientos, habilidades, destrezas y experiencia necesarios para que realice
su trabajo con cuidado y competencia.
Es conveniente que esta persona tenga una preparación adecuada, pues
eso le permitirá relacionarse de manera natural con los componentes de estudio
que de una u otra manera se emplearán durante su desarrollo. Es recomendable
apreciar algunos de los siguientes niveles de formación: Formación académica:
Estudios a nivel técnico, licenciatura o posgrado en administración, informática,
ingeniería en sistemas, contabilidad, derecho, relaciones internacionales, etc...

5-. Elaboración de Planes

Debe ser establecido y comunicado al cliente. El cliente debe revisar y

aprobar dicho plan. Debe incluir:

 Los objetivos y alcance

 El criterio a ser usado
 La identificación de las unidades organizacionales y funcionales a ser
auditadas
 La identificación de las funciones y/o individuos dentro dela organización
del auditado
 Identificación de los aspectos de calidad que son de alta prioridad
 Identificación de los documentos de referencia.
 El tiempo y duración esperados para las entrevistas e inspecciones.
 Las fechas y lugares donde se va a realizar la auditoria
 El Cronograma de reuniones que se van a tener con la gerencia del
auditado.
 Requerimientos confidenciales.
 El contenido, formato y estructura del informe.
 6-. Elaboración de Programas.

El programa de auditoría es un enunciado, lógicamente ordenado y

clasificado, de los procedimientos de auditoría que han de emplearse, la extensión
que se les ha de dar y la oportunidad en que se han de aplicar. Dado que los
programas de auditoría se preparan anticipadamente en la etapa de planeación,
estos pueden ser modificados en la medida en que se ejecute el trabajo, teniendo
en cuenta los hechos concretos que se vayan observando.

El programa de auditoría deberá desarrollar y documentar un programa

de auditoría que exponga la naturaleza, oportunidad y alcance de los
procedimientos de auditoría planeados que se requieren para implementar el plan
de auditoría global. El programa de auditoría sirve como un conjunto de
instrucciones a los auxiliares involucrados en la auditoría y como medio para el
control y registro de la ejecución apropiada del trabajo. El programa de auditoría
puede también contener los objetivos de la auditoría para cada área y un
presupuesto de tiempos en el que son presupuestadas las horas para las diversas
áreas o procedimientos de auditoría. [NIA, 1998]

7-. Elaboración de Informe Final.

El informe final de auditoria debe llevar las siguientes características:

 Objetivo: Describir los hechos sin exagerar ni minimizar las

deficiencias observadas.
 Claro: Debe evitarse el uso de una terminología muy técnica.
 Conciso: Ir a los hechos y evitar detalles innecesarios.
 Constructivo: La información debe ayudar a la alta dirección y al
auditado, de tal manera que permita mejorar los procesos, los
registros, así como cumplir o mejorar el sistema de control interno.
 Oportuno: Los informes deben emitirse sin retraso

8-. Auditorías Reglamentarias.

Son Los principios fundamentales de auditoría a los que deben

enmarcarse su desempeño los auditores durante el proceso de la auditoria. El
cumplimiento de estas normas garantiza la calidad del trabajo profesional del
auditor. Basándose en las normas de auditoria generalmente aceptadas
 9-. Auditorías Internas.

La estructura organizativa es la base sobre la cual una empresa planifica, ejecuta

y controla actividades que contribuyen al logro de sus metas y objetivos, es así
como la Auditoría Interna pretende realizar un examen completo y constructivo de
la estructura organizativa de una empresa, institución o departamento, o de
cualquier entidad y de sus métodos de operación, y velar por el empleo que le dé
a sus recursos humanos y materiales.

10-. Documentación de la Auditoría Informática.

La documentación de la auditoria es el principal registro de los

procedimientos de la auditoria aplicables, evidencia obtenida, y conclusiones
alcanzadas en la participación. La documentación de la auditoria debería incluir
toda la información que el auditor considere necesaria para realizar la auditoria de
forma correcta y proporcionar el apoyo para el informe de auditoría. La
documentación de la auditoria también podría referirse a los papeles de trabajo.
Ha ido la manera en que la documentación de la auditoria se mantiene en archives
de computadora

11-. El enfoqué de la Auditoría Informática.

Auditoría alrededor de la computadora: en este enfoque de auditoría, los

programas y los archivos de datos no se auditan. La auditoría alrededor del
computador concentra sus esfuerzos en la entrada de datos y en la salida de
información. Es el más cómodo para los auditores de sistemas, por cuanto
únicamente se verifica la efectividad del sistema de control interno en el ambiente
externo de la máquina. Naturalmente que se examinan los controles desde el
origen de los datos para protegerlos de cualquier tipo de riesgo que atente contra
la integridad, completitud, exactitud y legalidad.

Auditoria a través del computador a este enfoque está orientado a

examinar y evaluar los recursos del software, y surge como complemento del
enfoque de auditoría alrededor del computador, en el sentido de que su acción va
dirigida a evaluar el sistema de controles diseñados para minimizar los fraudes y
los errores que normalmente tienen origen en los programas.

Auditoría con la computadoras: este enfoque va dirigido especialmente, al

examen y evaluación de los archivos de datos en medios magnéticos, con el
auxilio del computador y de software de auditoría generalizado y /o a la medida.
Este enfoque es relativamente completo para verificar la existencia,
 12-. Análisis del Control de los Datos.

Consiste en la autenticación, autorización de acceso y auditoría. Una

definición más estrecha de control de acceso abarcaría únicamente la aprobación
de acceso, por lo que el sistema adopta la decisión de conceder o rechazar una
solicitud de acceso de un sujeto ya autenticado, sobre la base a lo que el sujeto
está autorizado a acceder. Autenticación y control de acceso a menudo se
combinan en una sola operación, por lo que el acceso está aprobado sobre la
base de la autenticación exitosa, o sobre la base de una token de acceso
anónimo. Los métodos de autenticación y tokens incluyen contraseñas,
escaneados biométricos, llaves físicas, llaves electrónicas y dispositivos, caminos
ocultos, barreras sociales y monitoreo por seres humanos y sistemas
automatizados.

13-. Auditoría de Balance.

Es una revisión, realizada por un contador, de los registros de contabilidad de

una Empresa y de sus métodos internos de control, que sirve a este profesional
para emitir un informe acerca de los Estados Financieros de aquélla.
Los objetivos principales de una Auditoría de balance, se mencionan los siguientes
relacionados con los Estados Financieros que analiza:
1.- certeza de que no se omitió alguna partida de importancia del Activo,
del Pasivo, o del Capital,
2.- que las declaraciones informativas son razonablemente correctas y no fueron
incluidas en los estados con la intención de dificultar la interpretación de éstos,
3.- que el Activo que se muestra a la fecha del Balance es realmente de
la Empresa y el Pasivo representa sus obligaciones reales o contingentes, que las
partidas del Capital se clasificaron correctamente conforme a su naturaleza,
4.- que el Superávit se analizó en sus componentes principales y,
5.- que el Estado de Ingresos y Gastos refleje razonablemente los resultados de
las operaciones por el periodo indicado.

14-. Resultados.

Para elaborar el dictamen de la auditoría, el auditor debe tener en cuenta

los hallazgos encontrados en el proceso evaluado y los controles existentes. El
dictamen es el concepto del auditor sobre el nivel de madurez en el que se
encuentra el proceso evaluado respecto de la norma donde emite su opinión
profesional de los resultados obtenidos.