1. República Bolivariana de Venezuela
Ministerio del Poder Popular para la Educación Universitaria, Ciencia y Tecnología
Universidad Nacional Experimental de la Gran Caracas
AUDITORÍA DE LAS TECNOLOGÍAS DE INFORMACIÓN
Participante:
Víctor Lara C.I: 25.510.149
Sección: 1030133
Caracas, Noviembre del 2020
2. Índice
Introducción...................................................................................................................................... 3
1. Aspectos generales de la auditoría de TI....................................................................................... 4
2. Control de Auditoría................................................................................................................... 4
2.1 Control Interno....................................................................................................................... 4
3. Objetivos ................................................................................................................................... 4
4. Tipos......................................................................................................................................... 5
5. Fases de la Auditoría .................................................................................................................. 6
6. Estrategias ................................................................................................................................. 7
7. Estándares ................................................................................................................................. 8
8. Lineamientos y procedimientos ................................................................................................... 9
Conclusiones................................................................................................................................... 10
Referencias ..................................................................................................................................... 11
3. Introducción
Por lo general, la mayor preocupación de las empresas que han imprimido gran esfuerzo
en la implementación de tecnologías de información, es que es muy probable que este esfuerzo
no se vea recompensado en soluciones inmediatas o tangibles, naciendo de allí las inseguridades
en donde previamente se veían oportunidades de mejora.
Es por este motivo que la aplicación de la auditoría informática constituye la gestión de la
tecnología de la información en estas entidades, tantos internas como externas. En este trabajo se
expresarán los conocimientos generales que se deben tener en cuenta para la aplicación de estas
auditorías, yendo desde sus aspectos generales hasta los estándares y normas que se deben tener
en cuenta para llevar a cabo una auditoría de éxito.
4. 1. Aspectos generales de la auditoría de TI
En cuanto a los aspectos generales de la autoría en las tecnologías de información, es
importante resaltar que la información es de la empresa y para la empresa, siendo este el motivo
por el cual deben realizarse inversiones informáticas, materia en la cual es hábil la auditoría de
inversión informática.
De esta misma forma, los sistemas informáticas deben ser protegidos de forma global, de ahí
nace la auditoría de seguridad informática a nivel general o la auditoría de seguridad de alguna
de sus áreas, como lo son el desarrollo o técnica de sistemas. Además de esto, es menester
mencionar que cuando se producen cambios de estructura en la informática, se reorganiza de
cierta manera su función, pasando a ser parte del campo de la auditoría de organización
informática.
2. Control de Auditoría
2.1 Control Interno
Cuando nos referimos al control interno de la auditoría, se habla de una herramienta que está
enfocada a la gestión de los sistemas de la información gubernamental. La gran mayoría de los
problemas informáticos tienen origen dentro de las mismas entidades, y es por esto que es cada
vez más necesario un análisis completo de los siguientes puntos:
Los correos electrónicos del Gobierno Corporativo de las Entidades Gubernamentales.
Las páginas web que se visitan desde los ordenadores de las Entidades Gubernamentales.
3. Objetivos
El objetivo de la auditoría de sistemas de información es la evaluación de la eficiencia con la
que se operan las decisiones que permiten la corrección de los errores en caso de que existen o
5. bien para la mejora en la forma en la que se actúa frente a estos. Además de esto, de forma
general, se puede encontrar que la auditoría de TI posee los siguientes objetivos:
Asegurar una mayor integridad, confidencialidad y confiabilidad de la información.
Seguridad del personal, datos, hardware, software y las instalaciones.
Minimizar existencias de riesgos en el uso de Tecnología de Información
Conocer la situación actual del área informática para lograr los objetivos.
Apoyo de función informática a las metas y objetivos de la entidad.
Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático.
Incrementar la satisfacción de los usuarios de los sistemas informáticos.
Capacitación y educación sobre controles en los Sistemas de Información.
Buscar una mejor relación costo-beneficio de los sistemas automáticos.
Decisiones de inversión presupuestal y gastos innecesarios.
4. Tipos
Para efectos generales, se puede mencionar la existencia de dos tipos principales de auditoria:
La auditoría interna y la externa.
Por su parte, la auditoria interna es aquella que se realiza con recursos materiales y personas
pertenecientes a la empresa auditada. Los empleados que desempeñan esta tarea tienen una
remuneración económica. La auditoría interna existe por decisión de la empresa, es decir, que
esta puede prescindir de ella en cualquier momento.
Y por otro lado, la auditoria externa es realizada por personas afines a la empresa auditada;
siendo esta siempre remunerada. Esta auditoría supone una mayor objetividad que la auditoría
interna, ya que existe un mayor distanciamiento entre los auditores y los auditados. Cabe decir
que en esta auditoría el auditor no tiene relación con la empresa, pues esta podría influir en la
emisión del juicio en la evaluación de las áreas de la empresa.
6. 5. Fases de la Auditoría
Por lo general, para la realización de cualquier tipo de auditoría, deben existir unas fases que
deben ser analizadas y preparadas para llevar a cabo una auditoría de éxito y con propósito:
Planificación
Para que la auditoría sea exitosa es primordial elaborar un plan de ejecución en el cual se
presentan, entre otros, los siguientes puntos:
- Propósito de la auditoría
- El alcance
- Actividades a desarrollarse
- Asignación del equipo auditor
- Cronograma y tiempos de ejecución establecidos
- Detalles de los procedimientos
- Detalle de los departamentos, procesos o las empresas que serán auditadas.
- Personas que serán entrevistadas y sus agentamientos correspondientes
Preparación
En esta etapa el auditor líder asigna funciones y prepara la lista de chequeo de todos los
procesos que tienen que ser verificados. Por medio de esta lista de chequeo los auditores tienen
una hoja de ruta que les permite evaluar y registrar todo lo que sea necesario para obtener
información de calidad.
Ejecución
Durante esta fase se desarrolla toda la auditoría siguiendo los procedimientos, políticas y
estándares establecidos en la etapa de planificación. Se colecta toda la información, la evidencia,
los testimonios y se realiza un informe con todos los hallazgos encontrados para sacar
conclusiones y poder presentar los resultados finales.
7. Finalización y seguimiento
Luego de concluido el procedimiento, los auditores revisan los problemas encontrados y
plantean las recomendaciones a seguir para corregir estos inconvenientes. Con los resultados de
la auditoría se establece un plan de seguimiento que tenga la posibilidad de verificar que se estén
cumpliendo las recomendaciones de mejora en el tiempo.
6. Estrategias
Entre algunas de las estrategias básicas que ocupa la auditoría a nivel general se pueden
mencionar las siguientes:
a) Enfoque inteligente para la planificación
Tener un plan sólido de auditoría es la base de una auditoría eficiente y efectiva. Al momento
de llevar a cabo los procedimientos de planificación, es necesario tomarse el tiempo para conocer
a los clientes y lo que está sucediendo en su industria. De este modo se asegura que los
miembros más experimentados del equipo de participación se involucren en la identificación de
riesgos y respuestas de auditoría.
b) Normalización
Fuera del hecho de que las empresas pueden tener procedimientos estandarizados para la
auditoría, cada socio, por lo general, tiene sus propias preferencias de trabajo, motivo por el cual
se puede crear ineficiencias cuando los miembros del personal documentan su trabajo. La
solución a esto es la exigencia de que los auditores utilicen documentos de trabajo
estandarizados, siendo especialmente que las empresas deben usar marcas estandarizadas para
evitar las repeticiones innecesarias en los documentos de trabajo.
c) Documentación
En cambio de la documentación al momento de realizar los procedimientos de auditoría, los
auditores en el campo por lo general deciden ponerse al día más adelante. Sin embargo, existe
una buena razón por la cual el estándar exige completar este paso de manera inmediata, y es que
8. la documentación puede ser más precisa si es realizada con antelación. Este enfoque también
evita que el preparador tenga que recordar grandes cantidades de información o llevar a cabo
tareas repetitivas una vez se realiza el procedimiento.
d) Preparación y antelación
Una buena documentación también mejora la eficiencia en las auditorías posteriores del año.
Al documentar adecuadamente, el auditor proporcionará al equipo de auditoría del próximo año
un registro de asuntos de importancia continua, ayudándolos a evitar la duplicación de esfuerzos
y brindándoles una base sólida sobre la cual construir. Pueden caminar con una mejor
comprensión de lo que viene y la información que se necesita, y no tienen que empezar de cero.
7. Estándares
A continuación se enuncian algunas de las Normas que el Auditor de Sistemas de
información debe conocer. Ajustarse a estas normas no es obligatorio, pero el auditor de sistemas
de información debe estar preparado para justificar cualquier incumplimiento a estas.
Normas Internacionales de Auditoría: Emitidas por IFAC (International Federation of
Accountants) en la NIA (Norma Internacional de Auditoria o International
StandardsonAuditing, ISA) 15 y 16, donde se establece la necesidad de utilizar otras
técnicas además de las manuales.
Norma ISA 401, sobre Sistemas de Información por Computadora: Esta norma
indica que en una organización que usa Tecnologías de Información, se puede ver
afectada en uno de los siguientes cinco componentes del control interno: el ambiente de
control, evaluación de riesgos, actividades de control, información, comunicación y
monitorio además de la forma en que se inicializan, registran, procesan y reporta las
transacciones.
Norma SAP 1009: Plantea la importancia del uso de CAAT en auditorias en un entorno
de sistemas de información por computadora.
ISO 9000: es un conjunto de normas sobre calidad y gestión de calidad, establecidas por
la Organización Internacional de Normalización (ISO). Se pueden aplicar en cualquier
9. tipo de organización o actividad orientada a la producción de bienes o servicios. Las
normas recogen tanto el contenido mínimo como las guías y herramientas específicas de
implantación como los métodos de auditoría.
8. Lineamientos y procedimientos
Los lineamientos y procedimientos de la auditoría se pueden definir como el conjunto de
técnicas de investigación aplicadas a una partida o un grupo de circunstancias relativas a los
estados financieros sujetos a examen, por el cual el contador público obtiene las bases para
fundamentar su opinión.
Por lo general el auditor no puede obtener el conocimiento necesario para sustentar su opinión en
una sola prueba, por esto es necesario examinar cada partida o conjunto de hechos mediante
varias técnicas de aplicación simultánea.
10. Conclusiones
Para concluir, es necesario hacer énfasis en la importancia que tiene la auditoría como
una herramienta para la toma de decisiones y verificación de los puntos débiles de las
organizaciones con la finalidad de tomar medidas de precauciones en el tiempo.
Esencialmente, las empresas públicas o privadas que poseen sistemas de información
medianamente complejos tienen que ser sometidos a un control estricto de evaluación de eficacia
y eficiencia. A día de hoy, existe un gran porcentaje de empresas que tienen toda su información
estructura en sistemas informáticos, y es aquí donde nace la importancia de que estos funcionen
de manera adecuada.
El éxito de las empresas depende esta eficiencia, destacando aquí el rol de la auditoría,
donde se puede remarcar el conocimiento de la información, la seriedad, la capacidad y la
responsabilidad que se le debe impregnar a este tipo de trabajo, precisando de gente altamente
capacitada, siendo que de lo contrario, al realizarse una mala auditoría, puede tener graves
consecuencias para las empresas.