República Bolivariana de Venezuela

Ministerio del Poder Popular para Educación, Ciencia y Tecnología

Colegio Universitario de Caracas

Proyecto Nacional de Formación en Informática

Trayecto: III Trimestre: III

Sección: 1430233

Auditoría Informática

Profesor: Autores:

Miguel Ángel Martínez Colmenares, Carlos CI. 25.565.618

Figueroa, Miguel CI. 19.314.504

Lara, Susana CI. 23.689.028

Palacios, Geraldine CI. 11.603.673

Rengifo, Karlha CI. 21.283.082

Caracas, octubre de 2017

 Contenido

Contenido.................................................................................................2

Introducción..............................................................................................4

UNIDAD I..................................................................................................5

FUNDAMENTACIÓN DE LA AUDITORÍA............................................5

Historia de la auditoría......................................................................5

Alcance..............................................................................................5

Objetivos del auditor..........................................................................6

Finalidad de la auditoría....................................................................6

El Sistema Nacional de Control Fiscal..............................................6

El control interno según el COSO.....................................................7

Normas de auditoría..........................................................................7

Norma de auditoría en Venezuela...................................................10

Normas generales de auditoría de estado......................................11

Plataforma de los sistemas.............................................................22

Riesgos en auditorías......................................................................23

Unidad II.................................................................................................24

Tipos y clases de auditorías...............................................................24

POR SU LUGAR DE ORIGEN........................................................24

POR SU ÁREA DE APLICACIÓN...................................................25

AUDITORÍA DE LOS SISTEMAS...................................................25

POR ÁREAS DE ESPECIALIZACIÓN ESPECÍFICAS...................27

Unidad III................................................................................................29

2
 El auditor.............................................................................................29

Rol de auditor..................................................................................30

Personal involucrado y conformación.............................................31

Normas para la capacitación del Auditor........................................32

Normas para la conducta observable del auditor...........................32

Normas para el desarrollo del trabajo del auditor...........................33

Técnicas y herramientas del auditor de sistemas...........................33

Técnicas de evaluación aplicables en la auditoría de sistemas.....34

Planificación de la auditoría informática.........................................34

El esquema resume de la información descrita hasta este punto:. 35

Pruebas...........................................................................................36

Tipos de pruebas.............................................................................36

Conclusión..............................................................................................38

Referencia Bibliográfica..........................................................................39

3
 Introducción

En el presente documento se resume el origen de la auditoría, así como

todos los procesos que involucra desde su primera fase, hasta la elaboración de
informes de gestión que indican la situación empresarial.

Para que una empresa pueda conocer sus puntos débiles, esta debe
investigar lo que está pasando internamente en cada una de sus áreas. La
auditoría interna es una herramienta que permite generar los informes que se
necesitan para lograr descubrir las falencias de la empresa.

Para determinar lo que se debe evaluar, es necesario definir un alcance con

el objetivo de delimitar los datos a recopilar, así como las responsabilidades de las
diferentes áreas.

Esta actividad la hace un auditor, y entre sus actividades se encuentra la de

analizar las diferentes áreas de la empresa, cómo están trabajando en conjunto
para lograr un objetivo común y la elaboración de un informe con los resultados de
la evaluación.

También se darán a conocer las principales técnicas y herramientas de las

que dispone un auditor las cuales ayudan en la recopilación de datos que para una
auditoría se necesita de una planificación previa para tener claro objetivos y
alcances del trabajo.

4
 UNIDAD I

FUNDAMENTACIÓN DE LA AUDITORÍA

Historia de la auditoría

La auditoría tiene su origen durante la creación de la actividad comercial,

dado que las empresas eran incapaces de intervenir sus actividades de forma
efectiva. Por esta razón, se comenzó a contratar personal, de preferencia externo,
para que se encargara de crear mecanismos de control para los diferentes
procesos de las empresas.

A partir de la revolución industrial, estas relaciones se vieron aumentadas

significativamente debido a la evolución de procesos simples a procesos más
complejos que permitían realizar producción a escala industrial.

En principio, la tarea más importante para el auditor fue la de analizar los

estados financieros de la empresa, para garantizar que los recursos fuesen
optimizados.

Luego de la revolución industrial, el trabajo del auditor se amplió para

optimizar distintas áreas del negocio: desempeño del empleado, de los procesos
administrativos y de las políticas de la empresa. Con el pasar del tiempo, se han
ido añadiendo más procesos que están siendo revisados por los auditores.

Alcance

La auditoría es un proceso que abarca desde la evaluación de los procesos

internos de una empresa, pasando por el acomodamiento de los puntos más
débiles, hasta llegar a mejorar la calidad en la ejecución de los procesos de un
determinado cargo.

5
 Definir el alcance es un punto crucial en el proceso de auditoría, debido a
que permite delimitar con precisión el límite de las responsabilidades que pueda
tener una determinada área en la producción general de la organización.

Objetivos del auditor

 Garantizar con suficiente seguridad de que los procesos están libres de

fraude o errores y que estén conformes con el marco legal impuesto para el
proceso auditado.

 Elaborar un informe que muestre un resumen del estado actual de los

procesos, así como cuáles son sus puntos que mejorar.

Finalidad de la auditoría

El Sistema Nacional de Control Fiscal

En un sistema que se encuentra integrado por diferentes entidades del sector

público con el objetivo de estandarizar el control de los procesos que se lleven a
cabo en los entes y organismos del estado para garantizar el buen funcionamiento
de estos en la administración pública. Este sistema lo dirige principalmente la
Contraloría General de la República. Sus objetivos son:

 Fortalecer la capacidad del Estado para ejecutar eficazmente su función de

gobierno.

 Lograr la transparencia y la eficiencia en el manejo de los recursos del

sector público y establecer la responsabilidad por la comisión de
irregularidades relacionadas con la administración, manejo o custodia de
bienes o fondos públicos, por parte de los órganos y entes públicos y de las
personas jurídicas o naturales que señala la Ley.

6
 El control interno según el COSO

Por medio del COSO se puede llevar el control interno de una empresa en
diferentes ámbitos:

 Tener una visión general del riesgo, así como de los planes de contingencia
que puedan mitigarlos.

 Permite priorizar los objetivos, lo que permite controlar el principal riesgo

para una empresa y realizar una toma de decisiones asertiva.

 Permite alinear los objetivos individuales de cada área de la organización

con el objetivo principal de la empresa, lo que garantiza que todos los
objetivos tengan un norte en común.

 Propone la administración de los riesgos de tal forma que pase a ser parte
de la cultura grupal de la organización.

Normas de auditoría

GAAS

La AICPA (American Institute of Certified Public Accountants) diseñó en 1947

las normas de auditoría generalmente aceptadas (GAAS por sus siglas en inglés).
Estas se resumen en tres categorías:

7
1 Normas generales

a La auditoría debe ser realizada por una persona o personas que cuenten
con capacitación técnica adecuada y la competencia como auditor.

b En todos los asuntos relativos a un contrato, el o los auditores deben

conservar una actitud mental independiente.

c Debe tenerse cuidado profesional en el desempeño y planificación de la

auditoría y en la preparación del informe.

2 Normas sobre el trabajo de campo

a El trabajo debe ser planeado adecuadamente y los asistentes, si se cuenta

con ellos, deben ser supervisados de forma adecuada.

b Debe conocerse de forma detallada el control interno, a fin de planear la

auditoría y determinar la naturaleza, duración y extensión de las pruebas
que se desarrollarán.

c Se debe obtener suficiente evidencia mediante inspección, observación,

consultas y confirmaciones para tener una base razonable para emitir una
opinión respecto a los estados financieros que se auditen.

3 Normas sobre información.

a El informe debe manifestar si los estados financieros se presentan de

conformidad con las normas de información financiera aplicables.

b En el informe se deben identificar aquellas circunstancias en las que no se

hayan observado los principios de manera coherente en el periodo actual
en relación con el periodo anterior.

8
 c Las revelaciones informativas en los estados financieros deben
considerarse razonablemente adecuadas a no ser que se indique otra cosa
en el informe.

d El informe debe contener una opinión de los estados financieros, en su

totalidad, o alguna indicación de que no puede emitirse una opinión.
Cuando esto último sucede las razones deben de darse.

Ley Aarbanes Oxley

Considerada la regulación más importante a nivel de auditoría, nace como

respuesta a los escándalos surgidos durante el año 2001 en Estados Unidos. Esto
debido a la creciente desconfianza de los inversores en los estados financieros
emitidos por las empresas en esa época y de los fraudes y mal uso de recursos
que eso tenía como consecuencia. Esta ley aumentó los controles que debían
ejercer las empresas para devolver la confianza que habían perdido.

Los puntos más importantes que introduce la Ley Sarbanes-Oxley son:53

1. Creación del “Public Company Accounting Oversight Board” (Comisión

encargada de supervisar las auditorías de las compañías que cotizan en
bolsa).
2. El requerimiento de que las compañías que cotizan en bolsa garanticen la
veracidad de las evaluaciones de sus controles internos en el informe
financiero, así como que los auditores independientes de estas compañías
constaten esta transparencia y veracidad.
3. Certificación de los informes financieros, por parte del comité ejecutivo y
financiero de la empresa.
4. Independencia de la empresa auditora.
5. El requerimiento de que las compañías que cotizan en bolsa tengan un comité
de auditores completamente independientes, que supervisen la relación entre
la compañía y su auditoría. Este comité de auditores pertenece a la compañía,
no obstante, los miembros que lo forman son completamente independientes a

9
 la misma. Esto implica que, sobre los miembros, que forman el comité de
auditores, recae la responsabilidad confirmar la independencia.
6. Prohibición de préstamos personales a directores y ejecutivos.
7. Transparencia de la información de acciones y opciones, de la compañía en
cuestión, que puedan tener los directivos, ejecutivos y empleados claves de la
compañía y consorcios, en el caso de que posean más de un 10% de acciones
de la compañía. Asimismo, estos datos deben estar reflejados en los informes
de las compañías.
8. Endurecimiento de la responsabilidad civil, así como las penas, ante el
incumplimiento de la Ley. Se alargan las penas de prisión, así como las multas
a los altos ejecutivos que incumplen y/o permiten el incumplimiento de las
exigencias en lo referente al informe financiero.

Norma de auditoría en Venezuela

DNAI

Son tres regulaciones emitidas por el Colegio de Contadores Públicos

denominadas “Declaraciones sobre Normas de Auditoría Interna”, que regulan los
siguientes aspectos:

 El informe de auditoría interna

 La documentación del trabajo de auditoría interna

 La responsabilidad del auditor interno de considerar el efecto del fraude o error

en la auditoría.

10
 COSO

Committee of Sponsoring Organizations of the Treadway Commission (COSO

por sus siglas en inglés) definió un marco interno que sirve como guía generar
para el control interno de la empresa.

Objetivos

El Marco ofrece tres categorías de objetivos, que permiten a las

organizaciones se enfoquen en diferentes aspectos del control interno:

• Objetivos de Operaciones: Estos se refieren a la efectividad y eficiencia de las

operaciones de la entidad, incluyendo las metas operativas de desempeño
financiero y activos de salvaguarda con

• respecto a las pérdidas.

• Objetivos de emisión de informes - estos se refieren la emisión de informes

financieros internos y externos y a la emisión de informes no financieros y
podrían abarcar la confiabilidad, oportunidad, transparencia y otros términos tal
como lo establecen los reguladores,

• organismos reconocidos que establecen normas o políticas de la entidad

• Objetivos de cumplimiento – estos se refieren al cumplimiento de leyes y

regulaciones a los que está sujeta la entidad.

Normas generales de auditoría de estado

Objetivo

Las presentes Normas tienen por objeto optimizar la labor de Auditoría de

Estado y unificar criterios y principios atinentes a su desarrollo, mediante el

11
establecimiento de un marco técnico normativo para la evaluación de la gestión
pública y el ejercicio de la actividad del auditor.

Ámbito de Aplicación

la responsabilidad que incumbe al auditor requiere de la existencia de un

cuerpo normativo de carácter técnico que guíe su desempeño, facilite su labor y
regule la Auditoría de Estado. Por lo cual esta Normativa es aplicada para los
Auditores.

Finalidad

• 1). El cumplimiento de las disposiciones constitucionales, legales, sub legales y

técnicas por parte del objeto a evaluar.
• 2). El grado de operatividad y eficacia del sistema de control interno del objeto
a evaluar y contribuir a su fortalecimiento mediante la formulación de las
correspondientes recomendaciones.
• 3). La razonabilidad y exactitud de la información presupuestaria y financiera,
así como la aplicación de las Normas Generales de Contabilidad del Sector
Público dictadas por la Contraloría General de la República, los principios de
contabilidad generalmente aceptados, y demás normativa contable que resulte
aplicable al objeto evaluado.
• 4). La eficacia, eficiencia, economía, calidad e impacto en el uso de los
recursos públicos, y de los procesos que ejecuta el objeto a evaluar con miras
a su optimización.
• 5). El grado de cumplimiento de los objetivos previstos con relación a las metas
programadas.
• 6). La sinceridad de las operaciones realizadas y la información examinada.

12
 Normas relativas al auditor

Los principios relativos al sujeto auditor son de naturaleza personal y afectan

a la competencia profesional del auditor y su equipo, a la independencia de los
órganos de control y de los auditores, a la diligencia profesional de los auditores y
al alcance de su responsabilidad.

1. Formación técnica y capacidad profesional: La auditoría deberá ser realizada

por personas con formación técnica y capacidad profesional adecuadas.

2. Independencia: Durante su actuación profesional tanto los órganos de control

externo como los auditores mantendrán una actitud independiente y una
posición de objetividad total, especialmente frente a la propia estructura
administrativa.

3. Diligencia profesional: La ejecución de los trabajos y la emisión de los informes

se llevarán a cabo con el debido cuidado profesional.

4. Responsabilidad: El auditor deberá realizar su trabajo de acuerdo con las

normas de auditoría establecidas y será responsable de su informe con las
limitaciones al alcance expresadas, en su caso, en el mismo.

5. Secreto profesional: Los auditores deberán mantener y garantizar la

confidencialidad sobre la información obtenida en el curso de sus actuaciones

NORMAS PARA EL DESARROLLO DE LOS PRINCIPIOS

RELATIVOS AL SUJETO AUDITOR

Formación

Los auditores deberán conocer:

1. Los métodos y técnicas empleados en auditoría.

2. Los principios y normas contables y presupuestarios.

13
3. El funcionamiento, organización y características del Sector Público.

Experiencia

Puesto que la capacidad profesional es el resultado de la conjunción de la

formación y de la experiencia, la organización de auditoría fijará la experiencia que
deberá poseer el personal auditor para el adecuado cumplimiento de sus
funciones.

Actualización

La actualización permanente de conocimientos es requisito necesario para

mantener la capacidad profesional. La organización de auditoría será responsable
de establecer y ejecutar un programa que garantice el conocimiento, entre otros,
de los nuevos desarrollos en auditoría, contabilidad, muestreo estadístico y
evaluación y análisis de datos.

Independencia

"Durante su actuación profesional, tanto los órganos de control como los

auditores mantendrán una actitud independiente y una posición de objetividad
total, especialmente frente a la propia estructura administrativa”. Este principio
centra tanto en el auditor como en la organización de la auditoría la
responsabilidad de conservar su independencia, a través del cumplimiento de las
normas de: imparcialidad, apariencia de imparcialidad y ausencia de
incompatibilidades.

Imparcialidad

Las opiniones, conclusiones y recomendaciones del auditor requieren la

consideración objetiva de los hechos y su juicio imparcial.

14
 Apariencia de imparcialidad

El auditor no sólo debe ser imparcial, sino que debe evitar cualquier actitud o
situación que permita a terceros dudar de su independencia.

Ausencia de incompatibilidad

La independencia del auditor puede estar disminuida por incompatibilidades

de orden personal, de orden externo y en sus relaciones con la estructura
administrativa. En caso de producirse alguna de tales limitaciones, el auditor
deberá rehusar la realización de la auditoría o explicar claramente su situación.

Diligencia profesional

"La ejecución de los trabajos y la emisión de los informes se llevará a cabo

con el debido cuidado profesional".

Las normas que desarrollan el principio de diligencia profesional se extienden

a todo el proceso de auditoría, desde que se comienza su planificación hasta la
conclusión del informe, y vienen referidas a: el cuidado en el cumplimiento de las
normas, la supervisión, el recurso a especialistas, el recurso a auditores externos
y los límites a la aceptación de realización de auditorías.

Cuidado en el cumplimiento de las normas

La diligencia profesional impone al auditor el cumplimiento de las normas

establecidas en la realización de su trabajo, y en la elaboración y presentación de
informes.

15
 Supervisión

El trabajo efectuado por todas las personas a todos los niveles, así como los
juicios por ellas formulados y los informes emitidos, deben ser críticamente
supervisados.

Recurso a especialistas externos

Cuando el auditor recurra al asesoramiento de especialistas cuya opinión sea

básica para el ejercicio de su función, deberá asegurarse de su competencia y
capacidad en el momento de su selección.

Recurso a auditores externos

La utilización de auditorías realizadas por terceros reduce la suma de trabajo

necesario para alcanzar los objetivos de auditoría. Para poderse apoyar en estas
auditorías, es necesario verificar la competencia profesional de los auditores, su
independencia y el trabajo por ellos realizado.

Límites a la aceptación de realización de auditorías

Únicamente deberá aceptarse la realización de aquellos trabajos que puedan

efectuarse con la debida diligencia profesional. RESPONSABILIDAD" El auditor
deberá realizar su trabajo de acuerdo con las normas de auditoría establecidas y
será responsable de su informe con las limitaciones al alcance expresadas, en su
caso, en el mismo".

Las normas derivadas del principio de responsabilidad se refieren a la

delimitación de la responsabilidad del auditor y a las limitaciones de alcance.

Delimitación de la responsabilidad

Todo trabajo de auditoría realizado de acuerdo con las normas establecidas,

limita la responsabilidad del auditor al contenido de su informe.

16
 Limitaciones de alcance

Las limitaciones sobre el alcance de la auditoría son factores externos a la

organización de la auditoría, susceptibles de impedir a los auditores una
formulación objetiva de sus opiniones y de sus conclusiones. Los auditores
deberán señalar las limitaciones de alcance de su informe y mencionar su
incidencia sobre los resultados de la auditoría.

Secreto profesional

Los auditores deberán mantener y garantizar la confidencialidad sobre la

información obtenida en el curso de sus actuaciones".

El desarrollo del principio de secreto profesional incluye las normas relativas

a la finalidad de la información, su uso debido y su conservación y obliga a todos
los integrantes del equipo auditor.

Finalidad de la información

Los datos relativos a los entes fiscalizados obtenidos por los auditores en el
ejercicio de sus funciones no deberán ser utilizados para fines distintos de la
propia fiscalización.

Uso debido de la información

La información obtenida no deberá ser facilitada a terceros ni utilizada en

provecho propio.

Conservación de la información

El órgano auditor deberá conservar debidamente custodiados en sus

archivos los papeles de trabajo que constituyen el soporte de sus conclusiones.

Auditoría interna y externa

17
 Seguridad de los sistemas

Seguridad es un concepto asociado a la certeza, falta de riesgo o

contingencia. Conviene aclarar que no siendo posible la certeza absoluta, el
elemento de riesgo está siempre presente, independiente de las medidas que
tomemos, por lo que debemos hablar de niveles de seguridad.

La seguridad absoluta no es posible, pero para conseguir la seguridad

informática se deben aplicar un conjunto de técnicas encaminadas a obtener altos
niveles de seguridad en los sistemas informáticos.

1. Definir un puesto dedicado al control de la seguridad informática.

2. Definir un comité de seguridad informática de tipo multidisciplinario.
3. Definir en blanco y negro las políticas de informática.
4. Hacerlas públicas y firmadas por los usuarios y visitas de la organización.
5. Definir auditoría de seguridad y tipo de estándar a utilizar.

18
 Vulnerabilidad de los sistemas

En un sistema informático lo que queremos proteger son sus activos, es

decir, los recursos que forman parte del sistema y que podemos agrupar en:

1. Hardware: elementos físicos del sistema informático, tales como procesadores,

electrónica y cableado de red, medios de almacenamiento (cabinas, discos,
cintas, DVDs).
2. Software: elementos lógicos o programas que se ejecutan sobre el hardware,
tanto si es el propio sistema operativo como las aplicaciones.
3. Datos: comprenden la información lógica que procesa el software haciendo uso
del hardware. En general serán informaciones estructuradas en bases de datos
o paquetes de información que viajan por la red.
4. Otros: fungibles, personas, infraestructuras, aquellos que se 'usan y gastan'
como puede ser la tinta y papel en las impresoras, los soportes tipo DVD o
incluso cintas si las copias se hacen en ese medio, etc.

De ellos los más críticos son los datos, el hardware y el software. Es decir,
los datos que están almacenados en el hardware y que son procesados por las
aplicaciones software.

Incluso de todos ellos, el activo más crítico son los datos. El resto se puede
reponer con facilidad y los datos, sabemos que dependen de que la empresa
tenga una buena política de copias de seguridad y sea capaz de reponerlos en el
estado más próximo al momento en que se produjo la pérdida. Esto puede
suponer para la empresa, por ejemplo, la dificultad o imposibilidad de reponer
dichos datos con lo que conllevaría de pérdida de tiempo y dinero.

Clasificación:

Definimos Vulnerabilidad como debilidad de cualquier tipo que compromete

la seguridad del sistema informático. Las vulnerabilidades de los sistemas
informáticos las podemos agrupar en función de:

19
1. Diseño
a. Debilidad en el diseño de protocolos utilizados en las redes.
b. Políticas de seguridad deficientes e inexistentes.
2. Implementación
a. Errores de programación.
b. Existencia de “puertas traseras” en los sistemas informáticos.
c. Descuido de los fabricantes.
3. Uso
a. Mala configuración de los sistemas informáticos.
b. Desconocimiento y falta de sensibilización de los usuarios y de los
responsables de informática.
c. Disponibilidad de herramientas que facilitan los ataques.
d. Limitación gubernamental de tecnologías de seguridad.

Vulnerabilidad del día cero

Se incluyen en este grupo aquellas vulnerabilidades para las cuales no existe

una solución “conocida”, pero se sabe cómo explotarla.

Vulnerabilidades conocidas

Vulnerabilidad de desbordamiento de buffer.

Si un programa no controla la cantidad de datos que se copian en buffer,

puede llegar un momento en que se sobrepase la capacidad del buffer y los bytes
que sobran se almacenan en zonas de memoria adyacentes.

En esta situación se puede aprovechar para ejecutar código que nos de

privilegios de administrador.

Vulnerabilidad de condición de carrera (race condition).

Si varios procesos acceden al mismo tiempo a un recurso compartido puede

producirse este tipo de vulnerabilidad. Es el caso típico de una variable, que
cambia su estado y puede obtener de esta forma un valor no esperado.

20
 Vulnerabilidad de Cross Site Scripting (XSS).

Es una vulnerabilidad de las aplicaciones web, que permite inyectar código

VBSript o JavaScript en páginas web vistas por el usuario. El phishing es una
aplicación de esta vulnerabilidad. En el phishing la víctima cree que está
accediendo a una URL (la ve en la barra de direcciones), pero en realidad está
accediendo a otro sitio diferente. Si el usuario introduce sus credenciales en este
sitio se las está enviando al atacante.

Vulnerabilidad de denegación del servicio.

La denegación de servicio hace que un servicio o recurso no esté disponible

para los usuarios. Suele provocar la pérdida de la conectividad de la red por el
consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos
informáticos del sistema de la víctima.

Vulnerabilidad de ventanas engañosas (Window Spoofing).

Las ventanas engañosas son las que dicen que eres el ganador de tal o cual
cosa, lo cual es mentira y lo único que quieren es que el usuario de información.
Hay otro tipo de ventanas que si las sigues obtienen datos del ordenador para
luego realizar un ataque.

Plataforma de los sistemas

Consisten en unas estructuras informáticas que se usan principalmente en la

enseñanza, con estrategias y elementos adicionales de aprendizaje que los
procedimientos normales.

Su importancia consiste en la gran facilidad de acceso a una plataforma sin

necesidad de tener estudios en programación, la facilidad de interacción del
usuario es notable al poder usar métodos interactivos y el gran grado de

21
comunicación que se utiliza en cada plataforma, no es solo una página de
información sino de comunicación.

El mismo implica tener un conocimiento mínimo sobre las herramientas

tecnológicas con las que se van a trabaja y tener la organización y responsabilidad
para manejas gran número de información.

Sus elementos deben tener unos buenos canales de comunicación entre los
usuarios, así como también la capacidad de recibir archivos de parte del usuario y
una base de datos para guardarlos, también debe permitir el movimiento de
información de una manera ordenada en forma de links.

Pudiendo destacar que las plataformas comerciales que son las que
necesitan del pago de una licencia y las de Software libre que son plataformas que
se adquieren gratuitamente.

Riesgos en auditorías.

El riesgo es la probabilidad de que una o varias amenazas se convierta en un

desastre. La vulnerabilidad o las amenazas, por separado, pueden no representar
un peligro. Pero si se juntan, se convierten en un riesgo, o sea, es la probabilidad
de que ocurra un desastre.

El riesgo se refiere a la "posibilidad de daño o fracaso" bajo determinadas

circunstancias. El peligro se refiere a la "probabilidad de accidente o patología".

La Gestión de riesgo supone identificar la probabilidad de que una o varias

amenazas se conviertan en desastre o fracasos. Supone evaluar la vulnerabilidad
de las amenazas o peligros, por separado, y predecir los efectos si se juntan, o
sea, la probabilidad de que ocurra un desastre.

22
23
 Unidad II

Tipos y clases de auditorías

En esta unidad se pretende señalar las diferentes clasificaciones de la

auditoría con relación a la auditoría de sistemas; con el propósito de poder
establecer los objetivos, ventajas y desventajas que cada una de ellas nos
proponen.

Nos muestra los elementos fundamentales para el estudio de esta disciplina;

señalándose las diferentes propuestas de clasificación de la auditoría, las
propuestas de estructuras de organización del área de auditoría de sistemas, así
como una presentación preliminar de las áreas, actividades y elementos que se
pueden auditar en los sistemas informáticos.

La clasificación según el autor Carlos Muñoz Razo (2002) está integrada por
la siguiente estructura:

POR SU LUGAR DE ORIGEN

Se refiere a la forma en que se establece la relación laboral en las empresas

donde se llevará a cabo la auditoría.

1. Auditoría externa: revisión independiente que realiza un profesional de

auditoría, con total libertad de criterio y sin ninguna influencia, con el fin de
evaluar el desempeño de las actividades, operaciones, y funciones que se
realizan en la empresa, así como de la razonabilidad en la emisión de sus
resultados financieros.
2. Auditoría interna: revisión que realiza un profesional de auditoría, cuya relación
de trabajo es directa y subordinada a la empresa, con el fin de evaluar el

24
 desempeño de las actividades, operaciones, y funciones que se realizan en la
empresa y sus áreas administrativas. Administración, operación, funciones.

POR SU ÁREA DE APLICACIÓN

Se refiere al ámbito específico donde se llevan a cabo las actividades y

operaciones que serán auditadas, ubicando a cada tipo de auditoría de acuerdo
con el área de trabajo e influencia de la especialidad que será evaluada.

1. Auditoría financiera (contable): estados financieros, razonabilidad, veracidad,

confiabilidad, oportunidad.
2. Auditoría administrativa: organización, relaciones, desempeño administrativo,
normas, políticas, reglamentos.
3. Auditoría operacional: existencia, suficiencia, eficacia, eficiencia y correcto
desarrollo de las operaciones.
4. Auditoría integral: revisión exhaustiva, sistemática y global de un equipo
multidisciplinario. Todas las actividades funciones y operaciones.
5. Auditoría gubernamental: se aplican correctamente los procedimientos, reglas
o reglamentos específicos que una autoridad superior ha establecido para
cumplir con los objetivos gubernamentales, estatales y municipales.
6. Auditoría de sistemas (informática): evaluar el uso adecuado de los sistemas
para el correcto ingreso de los datos, el procesamiento adecuado de la
información y la emisión de sus resultados.

Y dentro de la Auditoría de los sistemas tenemos los siguientes tipos:

AUDITORÍA DE LOS SISTEMAS

1. Auditoría informática: se realiza a los sistemas informáticos, software e

información utilizados en una empresa, sean individuales, compartidos y/o de
redes, así como a sus instalaciones, telecomunicaciones, mobiliario, equipos
periféricos y demás componentes.

25
2. Auditoría con la computadora: se realiza también a las actividades del propio
centro de sistemas y a sus componentes.
3. Auditoría sin la computadora: están orientados a la evaluación tradicional del
comportamiento y validez de las transacciones económicas, administrativas y
operacionales de un área de cómputo, pero sin el uso directo de éstos.
4. Auditoría a la gestión informática: se realiza también con el fin de verificar el
cumplimiento de las funciones y actividades asignadas a los funcionarios,
empleados y usuarios de las áreas de sistematización.
5. Auditoría al sistema de cómputo: se enfoca únicamente a la evaluación del
funcionamiento y uso correcto del equipo informático, hardware, software y
periféricos asociados.
6. Auditoría alrededor de la computadora: métodos y procedimientos de acceso y
procesamiento de datos, la emisión y almacenamiento de resultados, las
actividades de planeación y presupuestación.
7. Auditoría de la seguridad de sistemas computacionales: revisión de los planes
de contingencia y medidas de protección para la información.
8. Auditoría a los sistemas de redes: revisión de las operaciones, actividades y
funciones que permiten compartir las bases de datos, instalaciones, software y
hardware de un sistema de red.
9. Auditoría integral a los centros de cómputo: evaluación exhaustiva, sistemática
y global que se realiza por medio de un equipo multidisciplinario de auditores,
de todas las actividades y operaciones de un centro de sistematización.
10.Auditoría ISO-9000 a los sistemas computacionales: realizada únicamente por
auditores especializados y certificados en las normas y procedimientos ISO-
9000, aplicando exclusivamente los lineamientos, procedimientos e
instrumentos establecidos por esta asociación.
11.Auditoría outsourcing: evaluar la calidad en el servicio de asesoría o
procesamiento externo de información que proporciona una empresa a otra.
12.Auditoría ergonómica de sistemas computacionales: evaluar la correcta
adquisición y uso del mobiliario, equipo y sistemas, a fin de proporcionar el
bienestar, confort y comodidad que requieren los usuarios de los sistemas
computacionales de la empresa.

26
 POR ÁREAS DE ESPECIALIZACIÓN ESPECÍFICAS

Están enfocadas a satisfacer las necesidades concretas de revisión y

dictamen, según la especialidad de que se trate. Requieren algo más que el uso
de métodos, técnicas, herramientas y procedimientos tradicionales de la auditoría,
ya que deben adaptarse a cada una de las necesidades específicas donde se
llevará a cabo la evaluación.

1. Auditoría al área médica (evaluación médico-sanitaria): dictamen especializado

sobre el correcto desempeño de las funciones y actividades del personal
médico, etc.
2. Auditoría al desarrollo de obras y construcciones (evaluación de ingeniería):
emitir un dictamen especializado sobre la correcta aplicación de las técnicas,
cálculos, métodos y procedimientos de la ingeniería civil y la arquitectura.
3. Auditoría fiscal: evaluación exhaustiva y pormenorizada y completa a los
registros y operaciones contables de una empresa.
4. Auditoría laboral: dictaminar sobre el adecuado cumplimiento en la selección,
capacitación y desarrollo del personal.
5. Auditoría de proyectos de inversión (presupuestal): revisión y evaluación a los
planes, programas y ejecución de las inversiones de los recursos económicos
de una institución pública o privada.
6. Auditoría a la caja chica o caja mayor (arqueos): revisión que se lleva a cabo
con el fin de verificar el adecuado manejo, control y custodia del efectivo
disponible para gastos menores y fondos de la empresa.
7. Auditoría al manejo de mercancías (inventarios): revisión física de los bienes,
productos y materias primas, intermedias o de consumo final de una empresa.
8. Auditoría ambiental: evaluar y dictaminar sobre las medidas preventivas y
correctivas que eviten o disminuyan la contaminación producida por los
individuos, las empresas, etc.

Luego de hacer un recorrido por los diferentes tipos de auditorías y su

clasificación podemos concluir que cualquiera que ésta sea entre sus objetivos
encontramos los siguientes:

27
1. Realizar una evaluación independiente de las actividades, áreas o funciones
especiales de una institución, con el propósito de proponer objetivamente el
uso razonable de sus operaciones y obtener mejores resultados a través de
una adecuada toma de decisiones por parte de las autoridades y el personal
competente.
2. Hacer una revisión especializada y autónoma, según su área de
profesionalización, del aspecto contable, financiero y operacional de las
distintas áreas de la empresa.
3. Determinar y valorar el cumplimiento de los planes, programas, políticas,
normas y lineamientos que regulan la actuación de los empleados y
funcionarios de una institución, así como evaluar las actividades que se
desarrollan en sus áreas y unidades administrativas.
4. Uso de herramientas y sistemas tecnológicos como apoyo de sus labores con
el fin de agilizar los procesos y la presentación de resultados en corto tiempo.
Por ende, exige el continuo estudio y profesionalización del auditor.

28
 Unidad III

El auditor

Es aquella persona que lleva a cabo una auditoría, capacitado con

conocimiento necesario para evaluar la eficacia de una empresa. El auditor debe
reunir, para el buen desempeño de su profesión características como: sólida
cultura general, conocimiento técnico, actualización permanente, capacidad para
trabajar en equipo multidisciplinario, creatividad, independencia, mentalidad y
visión integradora, objetividad, responsabilidad, entre otras. Además de esto, este
profesional debe tener una formación integral y progresiva.

 Principios deontológicos del auditor según las normas generales de auditoría

de estado
 Principio de Beneficio del auditado. Aquí se refiere al hecho de que se debe de
obtener el máximo beneficio con el equipo con que se cuenta, además de que
el auditor debe ser ajeno a la empresa y sus integrantes además de que no
debe de salir beneficiado con la auditoría.
 Principio de calidad. El auditor debe brindar un trabajo de calidad con las
herramientas que tiene, pues tiene la libertad de utilizar todo lo que crea
necesario y con las condiciones técnicas adecuadas.
 Principio de capacidad. El auditor debe de ser capaz de realizar su tarea,
además de estar consciente de sus capacidades y aptitudes.
 Principio de cautela. Debe de ser cuidadoso a la hora de expresarse para no
inducir a gastos o acciones innecesarias.
 Principio de comportamiento profesional. Exige estar consciente de sus
virtudes y deficiencias, además de que debe saber pedir ayuda y dar el crédito
a quien lo merezca y así mismo debe de respetar la política y puntos de vista
de la empresa que audita.
 Principio de concentración en el trabajo. Involucra poner énfasis y dedicar
tiempo a cada tarea, no copy-paste.

29
 Principio de confianza. El auditor debe ser confiable, tanto de hechos y
palabra.
 Principio de criterio propio. El auditor NO debe dejarse influir por las opiniones
o instrucciones de otros, debe de actuar según su propia opinión.
 Principio de discreción. Debe de ser reservado tanto en hechos y palabras, no
hablar de más.
 Principio de economía. No debe inducir a gastos innecesarios.
 Principio de capacitación continua. Este obligado a seguirse preparando dentro
de su rubro.
 Principio de fortalecimiento y respeto a su profesión. Debe de cuidar el valor de
sus trabajos y conclusiones.
 Principio de Independencia. Debe de ser autónomo, autosuficiente y no
depender de otros para realizar su tarea.
 Principio de información suficiente. El auditor debe de brindar información
suficiente, clara y precisa en sus resultados.
 Principio de Integridad Moral. El auditor debe de ser íntegro y evitar participar
en actos de corrupción personal y a terceros

Rol de auditor

Tomando en cuenta los conceptos ya explicados de la auditoría y el auditor.

Podemos dar a entender que el rol del auditor es de vital importancia ya que
debe de ser una persona muy capacitada que cuenten con los conocimientos,
experiencia, actitudes y aptitudes necesarios para realizar este tipo de trabajo, a
fin de cumplirlo tal y como lo demandan las empresas y la sociedad.

Entonces el Rol del auditor es el de evaluar las funciones, actividades, tareas

y procedimientos de la entidad a la que sea solicitado, administrativa, informática,
social, entre otros, con el fin de comprobar si éstas se cumplen de manera
correcta. Para evaluar el grado de cumplimiento de dichas actividades, el auditor
utiliza sus conocimientos, así como las herramientas especializadas en las áreas
donde se aplica la auditoría.

30
 Personal involucrado y conformación

Una de las partes más importantes dentro de la planeación de la auditoría es

el personal que deberá participar y sus características.

Uno de los Esquemas generalmente aceptados para tener un adecuado

control es que el personal que intervengan esté debidamente capacitado, con alto
sentido de moralidad, al cual se le exija la optimización de recursos (eficiencia) y
se le retribuya o compense justamente por su trabajo.

Con estas bases se debe considerar las características de conocimientos,

práctica profesional y capacitación que debe tener el personal que intervendrá en
la auditoría. En primer lugar, se debe pensar que hay personal asignado por la
organización, con el suficiente nivel para poder coordinar el desarrollo de la
auditoría, proporcionar toda la información que se solicite y programar las
reuniones y entrevistas requeridas.

Este es un punto muy importante ya que, de no tener el apoyo de la alta

dirección, ni contar con un grupo multidisciplinario en el cual estén presentes una
o varias personas del área a auditar, sería casi imposible obtener información en el
momento y con las características deseadas.

También se debe contar con personas asignadas por los usuarios para que
en el momento que se solicite la información o bien se efectúe alguna entrevista
de comprobación de hipótesis, nos proporcionen aquello que se está solicitando, y
complementen el grupo multidisciplinario, ya que se debe analizar no sólo el punto
de vista de la dirección general, sino también el del personal dentro de la empresa
o el sistema.

El auditor debe tener como mínimo el cumplimiento de estas normas para

conformar un buen desempeño.

31
 Normas para la capacitación del Auditor

Éstas son las normas relacionadas con la capacitación, adiestramiento y

profesionalización de quienes trabajan en la auditoría de sistemas
computacionales, debido a que con su adopción se pretende regular los
conocimientos, habilidades y requerimientos técnicos de los profesionales que
actúan en esta disciplina especializada. Dichas normas se agrupan en dos
grandes aspectos:

1 Capacitación adecuada a las necesidades de auditoría

2 Capacitación permanente del profesional dedicado a esta actividad.

Normas para la conducta observable del auditor

Debido a que la auditoría es una ocupación profesional que tiene un gran

reconocimiento entre las empresas, trabajadores e incluso autoridades, su
realización reclama una considerable responsabilidad, mucho prestigio y una gran
capacidad laboral y moral por parte del auditor. Para que esto sea así, es
necesario que se regule la intervención del auditor en este campo profesional,
mediante una serie de normas que determinarán su actuación. Estas normas se
pueden agrupar como sigue:

1 Para la independencia y actitud mental del auditor

2 Para la actuación profesional del auditor
3 Para la actividad de auditoría

Normas para el desarrollo del trabajo del auditor

Para que la actuación profesional del auditor se realice de la mejor manera y

con la eficacia que requieren las empresas y áreas de sistemas, es necesario que
esta actividad sea regulada por una serie de normas, criterios y lineamientos que
ayuden a uniformar estos trabajos. Para establecer, difundir y aplicar dichas

32
normas, primero deben ser reguladas por algún organismo especializado, el cual
previamente las estudia, explica y, ya debidamente comprobadas, las difunde y
establece. Estas normas se pueden aplicar en los siguientes puntos:

1 En la planeación de las actividades de auditoría

2 En la supervisión de las actividades del auditor
3 En la aplicación del control interno
4 En la aplicación de las herramientas, técnicas y procedimientos de Auditoría
5 En la obtención de las Evidencias de la auditoría

Técnicas y herramientas del auditor de sistemas

Estas técnicas, método y procedimientos de auditoría se ubican en tres

grandes grupos, considerando a las herramientas tradicionales y otras
herramientas específicas aplicables a los sistemas computacionales

Instrumentos de recopilación de datos aplicables en la auditoría de sistemas

1 Entrevistas
2 Cuestionario
3 Encuestas
4 Observación
5 Inventarios
6 Muestreo
7 Experimentación

Técnicas de evaluación aplicables en la auditoría de sistemas

1 Examen
2 Inspección
3 Confirmación
4 Comparación
5 Revisión documental
o Técnicas especiales para la auditoría de sistemas
6 Guías de evaluación
7 Ponderación
8 Simulación
9 Evaluación

33
10 Diagrama del círculo de sistemas
11 Diagramas de sistemas
12 Matriz de evaluación
13 Programas de verificación
14 Seguimiento de programación

Planificación de la auditoría informática

Toda auditoría requiere de una adecuada planeación, con el fin de definir

claramente los objetivos y alcance del trabajo, así como las técnicas y
herramientas a utilizar, las horas a requerir para la ejecución de la revisión.

1 Objetivos y alcance del trabajo de auditoría informática

2 Técnicas y herramientas que utilizar: Lineamientos y conjunto de herramientas
de implementación COBIT en el dominio específico.
3 Horas que requerir para la ejecución de la revisión.
4 Recursos requeridos: portátil, impresora, disponibilidad de conexión a Internet,
software de productividad (procesador de palabras, hoja electrónica de cálculo,
programa para las presentaciones multimedia), papeles de trabajo previos,
informes de auditorías anteriores y espacio físico de trabajo.

Dentro de la planeación también se incluye la actividad de comprensión del

negocio y de su ambiente, a través de la cual el auditor logra una visión general de
la organización y de los procesos internos en el área de estudio.

El esquema resume de la información descrita hasta este

punto:

1 Planeación de la Auditoría COBIT

2 Conocimiento general de la Unidad en Estudio
3 Conocimiento general del proceso en estudio
a Descripción del proceso
b Sistematización del proceso
c Actividades ejecutadas

34
 d Análisis riesgos/amenazas/impacto y controles informáticos disponibles y
recomendados.
4 Conocimiento del sistema de información utilizado
a Descripción del sistema de información
b Módulos del sistema
c Reportes generados

Pruebas

Son los instrumentos y medios con los que el auditor pretende obtener la
evidencia de auditoría. Se encuentran muy relacionadas con los procedimientos
de auditoría.

La definición del término evidencia lleva a la delimitación y realización de las

pruebas de auditoría, que debe conducir al auditor a una opinión de manera
suficientemente adecuada.

En el apartado 2.5.24 de las Normas Técnicas de auditoría sobre ejecución

del trabajo se manifiesta que “Los datos contables y, en general, toda información
interna, no puede considerarse por sí mismo evidencia suficiente y adecuada. El
auditor debe llegar a la convicción de la razonabilidad de los mismos mediante la
aplicación de las pruebas necesarias.”

Tipos de pruebas

El auditor deberá obtener la evidencia de auditoría a través de dos tipos de

pruebas: las pruebas sustantivas y las pruebas de cumplimiento.

Debe establecerse un adecuado equilibrio entre ambos tipos de pruebas que

le sirva al auditor para minimizar el riesgo final, según las circunstancias y con el
juicio profesional como argumento principal.

35
 Las pruebas de cumplimiento

Las pruebas de cumplimiento son las que tratan de obtener evidencia sobre
el cumplimiento y aplicación correcta de los procedimientos de control interno
existentes.

Las pruebas sustantivas

Las pruebas sustantivas, o pruebas para verificar si importes específicos

están correctamente recogidos en los registros contables, tratan de obtener esa
evidencia referida a los estados financieros y conseguir así llegar a conclusiones
razonables, teniendo presente que la certidumbre absoluta sobre la fiabilidad de
los contenidos de la información financiera es difícil. De ahí la utilización de los
adjetivos “suficiente” y “adecuada” referidos a la evidencia, en relación con el
objetivo propuesto por el auditor en su trabajo.

36
 Conclusión

El trabajo del auditor consiste en lograr toda la información necesaria para la

emisión de un juicio objetivo, siempre amparado en hechos demostrables,
llamados también evidencias. Las pruebas de auditoría son técnicas o
procedimientos que utiliza el auditor para la obtención de evidencia comprobatoria.

Para realizar evaluaciones efectivas, el auditor debe hacer uso de las

diferentes regulaciones que tiene a su disposición. COSO es una de las
principales regulaciones, cuyo objetivo es definir un marco de procedimientos que
guiarán al auditor a través de las distintas actividades que debe realizar.

Estas auditorías deben planificarse y realizarse con cierta regularidad para

lograr mejorar los procesos que se deseen corregir. Dependiendo del nivel de
complejidad de los procesos y del área, las auditorías pueden realizarse una o
varias veces al año.

Con el objetivo de identificar los fraudes, es necesario recopilar las pruebas

que demostrarán los posibles errores cometidos o el mal uso de los recursos por
parte de algún área involucrada.

37
 Referencia Bibliográfica

Federación de Colegios de Contadores Públicos de Venezuela: Marco profesional

de la auditoría interna en Venezuela (2014). Publicaciones Periódicas.

Gaceta Oficial N° 40.172 del 22 de mayo de 2013: Normas Generales de Auditoría

de Estado.

Muñoz Razo, Carlos (2002). Auditoría en sistemas computacionales. (1ra ed.).

México: Pearson Educación.

Auditool (Recurso web). Disponible en: https://www.auditool.org/blog/control-

interno/4413-que-es-coso (Consultado el 28/10/2017).

COFAE (Recurso web): Disponible en: http://www.cofae.edu.ve/index1.php

(Consultado el 25/10/2017).

Contraloría General de la República Bolivariana de Venezuela (Recurso web).

Disponible en: http://www.cgr.gob.ve/site_content.php?Cod=064 (Consultado el
28/10/2017)

Gerencie (Recurso web). Disponible en: https://www.gerencie.com/diferencias-

entre-auditoria-interna-y-externa.html (Consultado el 27/10/2017).

INTEF (Recurso web): Disponible en:

http://recursostic.educacion.es/observatorio/web/es/home (Consultado el
28/10/2017).

38