M. Sc. Miguel Cotaña Mier Lp, junio de 2020

AUDITORIA INFORMÁTICA

UNIVERSIDAD MAYOR DE SAN ANDRES

FACULTAD DE CIENCIAS PURAS Y NATURALES

CARRERA DE INFORMÁTICA

1

Proceso de la auditoria

Es el proceso de recoger, agrupar yevaluar evidencias para determinar si unsistema informatizado salvaguarda losactivos, mantiene la integridad de losdatos y utiliza los recursos en formaeficiente.

¿Qué es una AUDITORÍA INFORMÁTICA?

✓Evaluar las fortalezas y debilidades del sistema;

✓Detectar oportunidades para la mejora continua;

✓Verificar la capacidad de los procesos para

alcanzar los resultados planificados;

✓Ejecutar seguimiento de la eficacia de las

acciones correctivas y preventivas;

✓ Identificar problemas y corregirlos o prevenirlos.

¿Para QUÉ realizar auditorías?

✓Evaluar el nivel de desempeño de los recursos de

la entidad a auditar;

✓Examinar los métodos y procedimientos utilizados

en el control y operaciones en las diversas áreas,

observando el grado de confiabilidad y eficacia;

✓Conocer el entorno o medio ambiente;

✓Establecer planes institucionales adecuados a la

proyección de Gobierno.

OBJETIVOS

✓Pericia en la aplicación de las normas,

procedimientos y técnicas de auditoría para el

desarrollo de las revisiones;

✓Habilidad para: aplicar amplios conocimientos a

situaciones que posiblemente se vayan

encontrando, reconocer las desviaciones

significativas y poder llevar a cabo las

investigaciones necesarias para alcanzar

soluciones razonables;

✓Habilidad para comunicarse;

HABILIDADES DE LOS AUDITORES

✓Los auditores informáticos son responsables de

continuar su desarrollo profesional para poder

mantener su pericia profesional;

✓Los auditores informáticos deben ejercer el

debido cuidado profesional al realizar sus

auditorías. El cuidado profesional, deberá estar

de acuerdo con la complejidad de la auditoría que

se realiza. Deben estar atentos a la posibilidad de

errores intencionales, de omisiones, de la

ineficiencia, del desperdicio, de la inefectividad y

del conflicto de intereses;

✓El debido cuidado implica una razonable

capacidad, no infalibilidad ni acciones

extraordinarias. Requiere que el auditor realice

exámenes y verificaciones con un alcance

razonable, pero no requiere auditorías detalladas

de todas las operaciones. Por consiguiente: El

auditor no puede dar una absoluta seguridad de

que no existan incumplimientos o irregularidades.

✓Cuando el auditor detecte una irregularidad que

va en contra de lo establecido deberá informar a

la autoridad competente.

El desarrollo de una auditoría se basa en la

aplicación de normas, técnicas y procedimientos de

auditoría.

El auditor adquiere responsabilidades, no

solamente con la persona que directamente

contratan sus servicios, sino con un número de

personas desconocidas para él que van a utilizar el

resultado de su trabajo como base para tomar

decisiones.

El marco de trabajo, lo define el equipo de

auditores.

PROCESO DE LA AUDITORIA

ETAPA DE PLANEACION

DE LA AUDITORIA

ETAPA DE EJECUCIÓN

DE LA AUDITORIA

ETAPA DE INFORME

DE LA AUDITORIA

ETAPAS DE LA AUDITORÍA

Planeación de la Auditoría 10

De acuerdo con la Norma Internacional de

Auditoria, NIA 300:

“La auditoría de Estados Financieros

requiere de una planeación adecuada para

alcanzar sus objetivos en la forma más

eficiente”

El objetivo del auditor es planear la

auditoria para que sea realizada de manera

efectiva

Es la columna

vertebral de la

auditoria que

se construye

en base al

conocimiento

Debido a los continuos cambios que se

presentan en el día a día, es importante

comprender:

✓ Aspectos internos y;

✓ Aspectos externos.

que influyen en los resultados de la

entidad. Entender bien el negocio,

permitirá al auditor identificar riesgos y

calificarlos de acuerdo con su probabilidad

de ocurrencia y su impacto.

TIPS PARA LA PLANEACIÓN

La alta gerencia, designará mediante memorándums

al Supervisor Evaluador y al equipo de auditores.

A través de la gestión de información obtenida

previamente, los ASI deberán:

✓Entender la naturaleza de la organización y los

procesos de negocio que fueron automatizados

(verificar leyes que respalden la creación de la

entidad y normativas internas)

✓Comprender del objeto de auditoria: diseño

conceptual, políticas de gestión, registro de

datos, niveles de seguridad y uso de las redes de

comunicación;

✓Identificar políticas, procedimientos, normas y

estrategias que cumplan los objetivos de la

organización haciendo uso de TI;

✓Comprender la relación del área de sistemas

respecto a la misión de la organización.

La planeación de la Auditoria garantiza el diseño de

una estrategia adaptada a las condiciones de cada

entidad tomando como base la información

recopilada en el diagnóstico preliminar;

En este proceso se organiza todo el trabajo de

Auditoria, las personas implicadas, las tareas a

realizar por cada uno, los recursos necesarios, los

objetivos, programas a aplicar entre otros.

Previo a la elaboración del plan de auditoria, se

debe investigar todo lo relacionado de la entidad a

auditar, para poder elaborar el plan en forma

objetiva. Este análisis debe contemplar: su

naturaleza operativa, su estructura organizacional,

giro del negocio, capital, estatutos de constitución,

disposiciones legales que la rigen, sistema contable

que utiliza, volumen de sus ventas, y todo aquello

que sirva para comprender exactamente cómo

funciona la empresa.

1.- Conocimiento y comprensión

Los objetivos indican el

propósito por lo que es

contratada la firma de auditoria,

qué se persigue con el examen,

para qué y por qué. Si es con el

objetivo de informar a la gerencia

sobre el estado real de la

empresa, o si es por

cumplimiento de los estatutos

que mandan efectuar auditorias

anualmente, en todo caso,

siempre se cumple con el

objetivo de informar a los socios,

a la gerencia y resto de

interesados sobre la situación

encontrada para que sirvan de

base para la toma de decisiones.

El alcance tiene que ver porun lado, con la extensión delexamen, es decir, si se van aexaminar todos los sistemasde información, o solo uno deellos, o una parte de uno deellos, o más específicamente(BD, seguridad, desarrollo,redes, etc.)

Por otro lado el alcancetambién puede estar referidoal período a examinar: puedeser de un año, de un mes, deuna semana, y podría serhasta de varios años.

2.- Objetivos y alcance

Este análisis reviste de vital importancia en

esta etapa, porque de su resultado se

comprenderá la naturaleza y extensión del

plan de auditoria y la valoración y

oportunidad de los procedimientos a

utilizarse durante el examen.

3.- Análisis preliminar de control interno

Su objetivo es obtener información necesaria para

que el auditor pueda tomar la decisión de cómo

proceder en la auditoría. Al terminar el análisis

preliminar el auditor puede optar por:

✓Diseño de la auditoría. Puede haber problemas debido

a la falta de competencia técnica;

✓Realizar una revisión detallada de los controles

internos de los sistemas.

Para recolectar evidencias se deben establecer

diferentes mecanismos o técnicas que el auditor

deberá dominar y estas son entre otras:✓ Visitas al lugar;

✓ Observación de las actividades de la entidad;

✓ Entrevistas y encuestas;

✓ Análisis comparativos de sistemas;

✓ Análisis FODA (Fortalezas, oportunidades, debilidades,

amenazas);

✓ Análisis Causa-Efecto o Espina de Pescado;

✓ Árbol de Objetivos.- Desdoblamiento de Complejidad;

✓ Árbol de Problemas.

Obtener información necesaria para que el auditor

tenga un profundo entendimiento de los controles

usados dentro del área informática.

El auditor debe decidir si debe de continuar

elaborando pruebas de cumplimiento o

consentimiento o proceder directamente a la

revisión con los usuarios (controles

compensatorios), o a las pruebas sustantivas.

REVISIÓN DETALLADA

El objetivo es determinar si los controles internos

operan como fueron diseñados para operar. El

auditor debe determinar si los controles declarados

en realidad existen y si realmente trabajan

confiablemente.

Además de las técnicas manuales de recolección de

evidencias, muy frecuentemente el auditor debe

recurrir a técnicas de recolección de información

asistidas por computadora, para determinar la

existencia y confiabilidad de los controles.

directamente en el sistema.

PRUEBAS DE CONSENTIMIENTO

El objetivo es obtener evidencia suficiente que

permita al auditor emitir su juicio en las

conclusiones:

✓Pruebas para identificar errores en el

procesamiento o de falta de seguridad o de

confidencialidad;

✓Pruebas para asegurar la calidad de los datos;

✓Pruebas para identificar la inconsistencia de los

datos;

PRUEBAS SUSTANTIVAS

✓Pruebas para comparar con los datos o contadores

físicos;

✓Confirmación de datos de fuentes externas;

✓Pruebas para confirmar la adecuada

comunicación;

✓Pruebas para determinar falta de seguridad;

✓Pruebas para determinar problemas de legalidad.

✓Obtener información de todos los asuntos

relacionados con objetivos y alcances de la

auditoría;

✓La información deberá ser suficiente, competente,

relevante y útil para que proporcione bases

sólidas en relación con los hallazgos y

recomendaciones de la auditoría;

EXAMEN Y EVALUACIÓN

✓Los procedimientos de auditoría, incluyendo el

empleo de las técnicas de pruebas selectivas y el

muestreo estadístico, deberán ser elegidos con

anterioridad, cuando esto sea posible, y ampliarse

o modificarse cuando las circunstancias lo

requieran;

✓El proceso de recabar, analizar, interpretar y

documentar la información deberá supervisarse

para proporcionar una seguridad razonable de que

la objetividad del auditor se mantuvo y que las

metas de auditoría se cumplieron;

✓Los documentos de trabajo de la auditoría

deberán ser preparados por los auditores y

revisados por la gerencia de auditoría;

✓Reportar resultados del trabajo de auditoría;

✓Validar las conclusiones y recomendaciones

antes de emitir el informe final;

✓Los informes presentarán el propósito, alcance y

resultados de la auditoría y, cuando se considere

apropiado, contendrán la opinión del auditor.

El Riesgo en auditoria representa la

posibilidad de que el auditor exprese una

opinión errada en su informe debido a que

la operativa de los sistemas o la

información suministrada a él estén

afectados por una distorsión material o

normativa.

4.- Análisis de riesgos y materialidad

El riesgo inherente es la posibilidad de que existan errores

significativos en la información auditada, al margen de la

efectividad del control interno relacionado; son errores que no se

pueden prever;

El riesgo de control está relacionado con la posibilidad de que

los controles internos imperantes no prevén o detecten fallas que

se están dando en sus sistemas y que se pueden remediar con

controles internos más efectivos;

El riesgo de detección es el riesgo de que los procedimientos

aplicados por el auditor para reducir el riesgo de auditoría a un

nivel aceptablemente bajo no detecten la existencia de una

incorrección que podría ser material, considerada individualmente

o de forma agregada con otras incorrecciones.

Tipos de riesgo

Para cada auditoria que se va a practicar, se debe

elaborar un plan. Esto lo contemplan las Normas

para la ejecución. Este plan debe ser técnico y

administrativo. El plan administrativo debe

contemplar todo lo referente a cálculos

monetarios a cobrar, personal que conformarán

los equipos de auditoria, horas hombres, etc.

5.- Planeación específica de la auditoría

Para poder analizar y dimensionar la estructura a auditar

se debe solicitar:

✓A nivel organizacional:

▪ Objetivos a corto y largo plazos;

▪ Manual de Organización y Funciones;

▪ Antecedentes o historia de la entidad;

▪ Políticas generales.

✓A nivel del área de informática:

▪ Objetivos a corto y lago plazos.

▪ Manual de organización del área que incluya: puestos,

funciones, niveles jerárquicos y cadenas de mando;

▪ Manual de políticas, Normas, reglamentos internos y

lineamientos generales;

▪ Número de personas y puestos en el área;

▪ Procedimientos administrativos del área;

▪ Presupuestos y costos del área.

✓A nivel de recursos materiales y técnicos:

▪ Documentación sobre equipos, así como número,

localización y características;

▪ Estudios de viabilidad;

▪ Fechas de instalación de equipos y planes de instalación;

▪ Contratos vigentes de compra, alquileres, mantenimientos,

etc.

▪ Contratos de seguros;

▪ Convenios con otras instalaciones;

▪ Configuración de equipos actuales y capacidades actuales y

máximas;

▪ Configuración de equipos de comunicación y localización

de equipos;

▪ Planes de expansión;

▪ Ubicación general de equipos;

▪ Políticas de operación;

▪ Políticas de uso de equipos;

▪ Políticas de seguridad física y prevención contra

contingencias internas y externas.

✓A nivel de sistemas:

▪ Descripción general de los sistemas instalados y de los que

estén por instalarse;

▪ Manual de procedimientos de los sistemas;

▪ Metodologías de desarrollo;

▪ Manual técnico y manual del usuario;

▪ Proyectos de desarrollo de nuevos sistemas.

▪ Bases de datos, propietarios de la información y usuarios de

la misma.

▪ Políticas y procedimientos de seguridad, riesgos y

contingencias.

Al evaluar se pueden presentar las siguientes situaciones:

✓Se solicita la información y se ve que:

▪ No se tiene y se necesita;

▪ No se tiene y no se necesita;

✓Se tiene la información pero:

▪ No se usa;

▪ Es incompleta;

▪ No está actualizada;

▪ No es la adecuada;

▪ Se usa, está actualizada, es la adecuada y está completa.

Cada miembro del equipo de auditoria debe tener en sus

manos el programa detallado de los objetivos y

procedimientos de auditoria objeto de su examen.

Ejemplo: si un auditor va a examinar la BD y otro va a

examinar el Data Center, cada uno debe tener los objetivos

que se persiguen con el examen y los procedimientos que se

corresponden para el logro de esos objetivos planteados. Es

decir, que debe haber un programa de auditoria para la BD

y otro programa de auditoria para la auditoria del Data

Center, y así sucesivamente. De esto se deduce que un

programa de auditoria debe contener dos aspectos

fundamentales: Objetivos de la auditoria y Procedimientos

a aplicar durante el examen de auditoria.

6.- Elaboración programa de trabajo

Para cada entidad u organismo se organizará un archivo

permanente de papeles de trabajo que contenga la

información básica que pueda ser utilizada en futuras

auditorias o exámenes especiales.

El archivo permanente contendrá copias o extractos de la

información aplicable a la empresa y principalmente:

a) Disposiciones legales y normativas.

b) Manuales, organigramas y reglamentos internos.

c) Estatutos de constitución de la empresa.

d) Contrato a largo plazo.

e) Análisis del activo fijo.

ARCHIVO PERMANENTE

Ejecución de la Auditoría 41

En esta fase se realizan diferentes tipos de pruebas y análisis

a los sistemas y tecnología informática para determinar su

razonabilidad. Se detectan los errores, si los hay, se evalúan

los resultados de las pruebas y se identifican los

hallazgos. Se elaboran las conclusiones y recomendaciones

y se las comunican a las autoridades de la entidad auditada.

Aunque las tres fases son importantes, esta fase viene a ser el

centro de lo que es el trabajo de auditoria, donde se realizan

todas las pruebas y se utilizan todas las técnicas o

procedimientos para encontrar las evidencias de auditoria

que sustentarán el informe de auditoria.

EJECUCIÓN

1.Las Pruebas de Auditoria

2.Técnicas de Muestreo

3.Evidencias de Auditoria

4.Papeles de Trabajo

5.Hallazgos de Auditoria

Elementos de la fase de ejecución

Son técnicas o procedimientos que utiliza el auditor para la obtención de

evidencia comprobatoria.

Las pruebas pueden ser de tres tipos:

A) Pruebas de control

B) Pruebas de consentimiento o analíticas

C) Pruebas sustantivas

Las pruebas de control están relacionadas con el grado de efectividad del

control interno imperante.

Las pruebas analíticas o de consentimiento se utilizan haciendo

comparaciones entre dos o más componentes o haciendo un análisis de la

información resultante de la entidad para observar su comportamiento.

Las pruebas sustantivas son las que se aplican a cada módulo en particular

en busca de evidencias comprobatorias. Ejemplo, modelado del sistema,

diseño de la Base de Datos, etc

Pruebas de auditoría

Se usa la técnica de muestreo ante la

imposibilidad de efectuar un examen a la

totalidad de los datos. Por tanto esta técnica

consiste en la utilización de una parte de los

datos (muestra) de una cantidad de datos

mayor (población o universo).

El muestreo que se utiliza puede ser

Estadístico o No Estadístico.

TÉCNICAS DE MUESTREO

Se llama evidencia de auditoria a "Cualquier información que utiliza el auditor para

determinar si la información cuantitativa o cualitativa que se está auditando, se

presenta de acuerdo al criterio establecido".

• También se define la evidencia, como la prueba adecuada de auditoria. La

evidencia adecuada es la información que cuantitativamente es suficiente y

apropiada para lograr los resultados de la auditoria y que cualitativamente, tiene

la imparcialidad necesaria para inspirar confianza y fiabilidad;

• La evidencia es suficiente, si el alcance de las pruebas es adecuado. Solo una

evidencia encontrada, podría ser no suficiente para demostrar un hecho;

• La evidencia es pertinente, si el hecho se relaciona con el objetivo de la

auditoria;

La evidencia es competente, si guarda relación con el alcance de la auditoria y

además es creíble y confiable.

Además de las tres características mencionadas de la evidencia (Suficiencia,

Pertinencia y Competencia), existen otras que son necesarias mencionar, porque

están ligadas estrechamente con el valor que se le da a la evidencia: Relevancia,

Credibilidad, Oportunidad y Materialidad.

Evidencia de auditoría

1. Evidencia Física: muestra de

materiales, mapas, fotos.

2. Evidencia Documental: cheques,

facturas, contratos, etc.

3. Evidencia Testimonial: obtenida de

personas que trabajan en el negocio o

que tienen relación con el mismo.

4. Evidencia Analítica: datos

comparativos, cálculos, etc.

Tipos de evidencia

Son los archivos o legajos que maneja el auditor y que

contienen todos los documentos que sustentan su trabajo

efectuado durante la auditoria.

Estos archivos se dividen en Permanentes y Corrientes; el

archivo permanente está conformado por todos los

documentos que tienen el carácter de permanencia en la

empresa, es decir, que no cambian y que por lo tanto se

pueden volver a utilizar en auditorias futuras; como los

Estatutos de Constitución, contratos de arriendo, informe

de auditorias anteriores, etc.

Papeles de trabajo

El archivo corriente está formado por todos

los documentos que el auditor va utilizando

durante el desarrollo de su trabajo y que le

permitirán emitir su informe previo y final.

Los papeles de trabajo constituyen la

principal evidencia de la tarea de auditoria

realizada y de las conclusiones alcanzadas

que se reportan en el informe de auditoria.

a) Registrar el conocimiento de la entidad y su sistema de control

interno.

b) Documentar la estrategia de auditoria.

c) Documentar la evaluación detallada de los sistemas, las

revisiones de transacciones y las pruebas de cumplimiento.

d) Documentar los procedimientos de las pruebas de sustentación

aplicadas a las operaciones de la entidad.

e) Mostrar que el trabajo de los auditores fue debidamente

supervisado y revisado

f) Registrar las recomendaciones para el mejoramiento de los

controles observados durante el trabajo.

La efectividad de los papeles de trabajo depende de la calidad, no de

la cantidad. Se debe considerar la Referenciación de los papeles de

trabajo y las Marcas de Auditoría

Los PT son utilizados para:

Se considera que los hallazgos en auditoria son las diferencias significativas encontradas en el trabajo de auditoria con relación a lo normado o a lo presentado por la gerencia.

Atributos del hallazgo:

Condición: la realidad encontrada

Criterio: cómo debe ser (la norma, la ley, el reglamento, lo que debe ser)

Causa: qué originó la diferencia encontrada.

Efecto: qué efectos puede ocasionar la diferencia encontrada.

Recomendación

Hallazgos

Informe de la Auditoría 52

El informe de Auditoría debe contener a lo menos:

✓ Dictamen sobre TI y/o tecnología relacionada;

✓ Informe sobre la estructura del Control Interno de la

entidad;

✓ Conclusiones y recomendaciones resultantes de la

Auditoría;

✓ Deben detallarse en forma clara y sencilla, los

hallazgos encontrados.

INFORME