AUDITORIA INFORMATICA

RIESGOS Y CONTROLES

INGENIERO: ANIBAL MAURY

ESTUDIANTE: YURANYS CASTRO RUIZ

PROGRAMA DE INGENIERIA DE SISTEMA Y COMPUTACIÓN

CORPORACIÓN UNIVERSITARIA LATINOAMECIANA

(CUL)

BARANQUILLA-ATLÁNTICO

2021
 AUDITORÍA INFORMÁTICA
Riesgos en la Auditoria.
La Auditoría es un proceso sistemático, practicado por los auditores de conformidad con normas y
procedimientos técnicos establecidos, consistente en obtener y evaluar objetivamente las
evidencias sobre las afirmaciones contenidas en los actos jurídicos o eventos de carácter técnico,
económico, administrativo y otros, con el fin de determinar el grado de correspondencia entre
esas afirmaciones, las disposiciones legales vigentes y los criterios establecidos. Es aquella
encargada de la valoración independiente de sus actividades. Por consiguiente, la Auditoría debe
funcionar como una actividad concebida para agregar valor y mejorar las operaciones de una
organización, así como contribuir al cumplimiento de sus objetivos y metas; aportando un enfoque
sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos,
control y dirección.

Los servicios de Auditoría comprenden la evaluación objetiva de las evidencias, efectuada por los
auditores, para proporcionar una conclusión independiente que permita calificar el cumplimiento
de las políticas, reglamentaciones, normas, disposiciones jurídicas u otros requerimientos legales;
respecto a un sistema, proceso, subproceso, actividad, tarea u otro asunto de la organización a la
cual pertenecen.

A diferencia de algunos autores, que definen la ejecución de las auditorías por etapas, somos del
criterio que es una actividad dedicada a brindar servicios que agrega valores consecuentemente
en dependencia de la eficiencia y eficacia en el desarrollo de diferentes tareas y actividades las
cuales deberán cumplirse sistemáticamente en una cadena de valores que paulatinamente
deberán tenerse en cuenta a través de subprocesos que identifiquen la continuidad lógica del
proceso, para proporcionar finalmente la calidad del servicio esperado.

La necesidad en el entorno empresarial de este tipo de herramientas y teniendo en cuenta que,

una de las principales causas de los problemas dentro de los subprocesos es la inadecuada
previsión de riesgos, se hace necesario entonces estudiar los Riesgos que pudieran aparecen en
cada subproceso de Auditoría, esto servirá de apoyo para prevenir una adecuada realización de los
mismos.

Es necesario en este sentido tener en cuenta lo siguiente:

 La evaluación de los riesgos inherentes a los diferentes subprocesos de la Auditoría.

 La evaluación de las amenazas o causas de los riesgos.
 Los controles utilizados para minimizar las amenazas o riesgos.
 La evaluación de los elementos del análisis de riesgos.

Se habla de Riesgo y conceptos de Riesgo en la evolución de los Sistemas de Control Interno, en los
cuales se asumen tres tipos de Riesgo:

1. Riesgo de Control: Que es aquel que existe y que se propicia por falta de control de las
actividades de la empresa y puede generar deficiencias del Sistema de Control Interno.
2. Riesgo de Detección: Es aquel que se asume por parte de los auditores que en su revisión
no detecten deficiencias en el Sistema de Control Interno.
3. Riesgo Inherente: Son aquellos que se presentan inherentes a las características del
Sistema de Control Interno.

Los Riesgos están presentes en cualquier sistema o proceso que se ejecute, ya sea en procesos de
producción como de servicios, en operaciones financieras y de mercado, por tal razón podemos
afirmar que la Auditoría no está exenta de este concepto.
En cada Subproceso, como suele llamársele igualmente a las etapas de la misma, el auditor tiene
que realizar tareas o verificaciones, en las cuales se asumen riesgos de que esas no se realicen de
la forma adecuada, claro que estos Riesgos no pueden definirse del mismo modo que los riesgos
que se definen para el control Interno.

El criterio del auditor en relación con la extensión e intensidad de las pruebas, tanto de
cumplimiento como sustantivas, se encuentra asociado al riesgo de que queden sin detectar
errores o desviaciones de importancia, en la contabilidad de la empresa y no los llegue a detectar
el auditor en sus pruebas de muestreo. El riesgo tiende a minimizarse cuando aumenta la
efectividad de los procedimientos de auditoría aplicados.

Análisis y riesgos

Dentro de este tema de análisis de riesgo se ven reflejados cinco elementos muy importantes
dentro del concepto estos son: probabilidad, amenazas, vulnerabilidades, activos e impactos.

Probabilidad: Se refiere a establecer el número de ocurrencias, puede realizarse de manera

cuantitativa o cualitativa, pero siempre considerando que la medida no debe contemplar la
existencia de ninguna acción paliativa, o sea, debe considerarse en cada caso qué posibilidades
existen que la amenaza se presente independientemente del hecho que sea o no contrarrestada.
Las amenazas: Siempre existen y son aquellas acciones que pueden ocasionar consecuencias
negativas en la operativa de la empresa. Comúnmente se indican como amenazas a las fallas, a los
ingresos no autorizados, a los virus, uso inadecuado de software, los desastres ambientales como
terremotos o inundaciones, accesos no autorizados, facilidad de acceso a las instalaciones, etc. Las
amenazas pueden ser de carácter físico o lógico, como ser una inundación en el primer caso, o un
acceso no autorizado a una base de datos en el segundo caso.

Vulnerabilidad: Son ciertas condiciones inherentes a los activos que facilitan que las amenazas se
materialicen. Mediante el uso de las debilidades existentes es que las amenazas logran
materializarse.
Una vulnerabilidad común es contar con antivirus no actualizado, la cual permitirá al virus actuar y
ocasionar daños. Si el antivirus estuviese actualizado la amenaza (virus) si bien potencialmente
seguiría existiendo no podría materializarse.

Los Activos a reconocer son aquellos relacionados con sistemas de información. Ejemplos típicos
son los datos, el hardware, el software, servicios, documentos, edificios y recursos humanos.

Los Impactos: Son las consecuencias de la ocurrencia de las distintas amenazas, y son siempre
negativas. Las pérdidas generadas pueden ser financieras, no financieras, de corto plazo o de largo
plazo.

Se puede establecer que las más comunes son: la pérdida directa de dinero, la pérdida de
confianza, la reducción de la eficiencia y la pérdida de oportunidades de negocio. Otras no tan
comunes, son la pérdida de vidas humanas, afectación del medio ambiente, etc.

Control.

Son recursos de las organizaciones y, aunque son intangibles, necesitan ser controlados y
auditados con el mismo cuidado que los demás inventarios de la organización esto a su vez tiene
como objetivo asegurar la veracidad e integridad de la información que maneja al sistema tanto
aquella que entra y sale de él como la que se almacena y se manipula internamente dentro de la
configuración computacional.

El control Interno y el auditor informático.

Una de las similitudes es:

E personal interno, conocimientos especializados en la Tecnología de la información, verificación

del cumplimiento de control internos, normativa y procedimientos establecidos por la dirección de
la informática y la dirección general para los sistemas de información.

Diferencias
Análisis de los controles en el día a día Análisis de un momento informático determinado
Informa a la dirección del departamento Informa a la dirección general de la Organización.
de informática.
Sólo personal Interno Personal interno o externo.
El alcance de sus funciones es únicamente Tiene cobertura sobre todos los componentes de
sobre el departamento del sistema. los sistemas de información de la organización.

Para buen control es primordial tener en cuenta:

 Completos.
 Simples.
 Revisables-
 Adecuados.
 Rentables.
 Fiables.
 Actualizados.
La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si
un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo
eficazmente los fines de la organización y utiliza eficientemente los recursos. De este modo la
auditoria informática sustenta y confirma la consecución de los objetivos tradicionales de la
auditoria, los cuales son:

Objetivos de protección de activos e integridad de datos.

Objetivos de gestión que abarcan, no solamente los de protección de activos sino también los de
eficacia y eficiencia.

El auditor evalúa y comprueba en determinados momentos del tiempo los controles y

procedimientos informáticos más complejos, desarrollando y aplicando técnicas mecanizadas de
auditoria, incluyendo el uso del software. En muchos casos, ya no es posible verificar
manualmente los procedimientos informatizados que resumen, calculan y clasifican datos, por lo
que se debe emplear software de auditoria y otras técnicas asistidas por ordenador.

El auditor es responsable de revisar e informar a la Dirección de la Organización sobre el diseño y

el funcionamiento de los controles implantados y sobre la fiabilidad de la información
suministrada.

Se establecen tres grupos de funciones a realizar por un auditor informático:

 Participar en las revisiones durante y después del diseño, realización, implantación y

explotación de aplicaciones informáticas, así como en las fases análogas de realización de
cambios importantes.
 Revisar y juzgar los controles implantados en los sistemas informáticos para verificar su
adecuación a las órdenes e instrucciones de la Dirección, requisitos legales, protección de
confidencialidad y cobertura ante errores y fraudes.
 Revisar y juzgar el nivel de eficiencia, utilidad, fiabilidad y seguridad de los equipos e
información.

Existen unos tipos de controles Internos:

 Preventivos: Permiten evitar el hecho, por ejemplo, los softwares de seguridad de acceso
al sistema.
 Detectivos o detectores: Poder detectar lo antes posible fallas en el sistema, por ejemplo.
Los riesgos de actividad diaria.
 Correctivos: Volver a un estado normal después de una falla. Por ejemplo, la mantención
de una base de datos con la réplica de la base de datos.

Otros tipos de controles:

 Controles Generales: Son los que se realizan para asegurar que la organización y sistemas
para asegurar que la organización y sistema operen en forma natural. Ejemplos:
 Controles de aplicación: Son los que realizan para asegurar la exactitud, integridad y
validez de la información procesada ejemplo: Separaciones de funciones, acceso y
seguridad, procedimientos escritos.
 Controles especiales: Son los que realizan para asegurar la integridad, seguridad y
aspectos operacionales, por ejemplo: Control sobre la entrada de datos en línea,
procedimientos de recuperación y reenganche en sistemas y líneas, también los controles
de sistemas integrados.