Vous êtes sur la page 1sur 20

CURSO BÁSICO DE PERITO JUDICIAL

INFORMÁTICO

Centro de e-Learning SCEU UTN - BA.


Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
p. 2

Módulo II: Informe pericial:

Unidad 4: Diferencias entre Auditoría y Pericia

Centro de e-Learning SCEU UTN - BA.


Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
p. 3

Presentación:
En esta última unidad del Módulo 2, vemos qué es una auditoría informática y qué
diferencias presenta con una pericia informática.

Ampliamos con una introducción a la norma ISO 19011, que es propia de una auditoría.

Centro de e-Learning SCEU UTN - BA.


Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
p. 4

Objetivo:
Que los participantes:

Conozcan las principales diferencias entre una auditoría informática y una pericia
informática, como así también puedan diferenciar el rol de auditor frente al de un perito.

Centro de e-Learning SCEU UTN - BA.


Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
p. 5

Bloques temáticos:
1. Auditoría informática vs. Pericia informática.
2. Fases de una auditoría informática.
3. Introducción a ISO 19011.

Centro de e-Learning SCEU UTN - BA.


Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
p. 6

Consignas para el aprendizaje colaborativo

En esta Unidad los participantes se encontrarán con diferentes tipos de actividades que,
en el marco de los fundamentos del MEC*, los referenciarán a tres comunidades de
aprendizaje, que pondremos en funcionamiento en esta instancia de formación, a los
efectos de aprovecharlas pedagógicamente:

 Los foros proactivos asociados a cada una de las unidades.


 La Web 2.0.
 Los contextos de desempeño de los participantes.

Es importante que todos los participantes realicen algunas de las actividades sugeridas y
compartan en los foros los resultados obtenidos.

Además, también se propondrán reflexiones, notas especiales y vinculaciones a


bibliografía y sitios web.

El carácter constructivista y colaborativo del MEC nos exige que todas las actividades
realizadas por los participantes sean compartidas en los foros.

Centro de e-Learning SCEU UTN - BA.


Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
p. 7

Tomen nota:
Las actividades son opcionales y pueden realizarse en forma individual, pero siempre es
deseable que se las realice en equipo, con la finalidad de estimular y favorecer el trabajo
colaborativo y el aprendizaje entre pares. Tenga en cuenta que, si bien las actividades
son opcionales, su realización es de vital importancia para el logro de los objetivos de
aprendizaje de esta instancia de formación. Si su tiempo no le permite realizar todas las
actividades, por lo menos realice alguna, es fundamental que lo haga. Si cada uno de los
participantes realiza alguna, el foro, que es una instancia clave en este tipo de cursos,
tendrá una actividad muy enriquecedora.

Asimismo, también tengan en cuenta cuando trabajen en la Web, que en ella hay de todo,
cosas excelentes, muy buenas, buenas, regulares, malas y muy malas. Por eso, es
necesario aplicar filtros críticos para que las investigaciones y búsquedas se encaminen a
la excelencia. Si tienen dudas con alguno de los datos recolectados, no dejen de consultar
al profesor-tutor. También aprovechen en el foro proactivo las opiniones de sus
compañeros de curso y colegas.

Centro de e-Learning SCEU UTN - BA.


Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
p. 8

1. Auditoría informática vs. Pericia informática

Primero veamos los alcances de una “Auditoría Informática”:

- Alcances legales:

 define pautas para prevención del delito o futuros problemas


legales

 importante valor probatorio para eventuales juicios y demandas

 base para planteo y estrategia del litigio (puntos de pericia)

- Alcances técnicos:

 normas para la manipulación de los datos:

 políticas de passwords

 perfiles de acceso a los datos

 actualización de accesos (ante despidos)

 generación y conservación de logs

 documentación y guarda de los cambios de configuraciones


de hardware y software

 aplicación de normas de calidad para el desarrollo de sistemas

 protección contra virus (actualización)

 aplicación de firewalls (actualización)

 realizar auditorías periódicas

 chequeo de logs

 responsabilizar a usuarios (normas internas de la cía)

Centro de e-Learning SCEU UTN - BA.


Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
p. 9

Ahora definamos el perfil de un “Perito Informático”:

- Debe conocer el mercado Informático

- Debe conocer plataformas HW

- Conocimientos específicos en:

 lenguajes de programación

 utilitarios y S.O.

 comunicaciones - Internet

- Management de Proyectos.

Y ahora el de un “Auditor Informático”:

- Debe conocer de normas:

 para asegurar calidad

 para seguridad de los datos y sistemas

 para la especificidad de auditoría

 para seguridad física

- Debe conocer plataformas HW

- Debe conocer plataformas SW

- Management de Proyectos

Centro de e-Learning SCEU UTN - BA.


Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
p. 10

En base a los conceptos vistos previamente, podemos claramente ver las diferencias
entre un auditor y un perito informático:

- Auditor:

 conoce - aplica normas

 sugiere

 actitud preventiva

- Perito:

 Conoce - aplica procedimientos procesales

 Define procedimientos específicos

 Aporte en la definición para el fallo

Centro de e-Learning SCEU UTN - BA.


Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
p. 11

¿Por qué cree que se dice que el auditor tiene una “actitud preventiva“ y no se dice lo
mismo de un perito informático? Y si el perito estuviese haciendo una medida preliminar o
una prueba anticipada, ¿cree que también tendría una “actitud preventiva”?

Compartan sus respuestas en el Foro.

Centro de e-Learning SCEU UTN - BA.


Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
p. 12

2. Fases de juna auditoria informática

1. Establecer los términos del trabajo

Esto permitirá al auditor para establecer el alcance y los objetivos de la


relación entre el auditor y la organización.

La carta de compromiso debe abordar la responsabilidad (ámbito de


aplicación, la independencia, los resultados), la autoridad (derecho de
acceso a la información), y la responsabilidad (derechos de los auditados,
acordó fecha de finalización) del auditor.

2. Revisión Preliminar

Esta fase de la auditoría permite al auditor para recopilar información de la


organización como base para la creación de su plan de auditoría. En la
revisión preliminar se identificarán estrategias y responsabilidades para la
gestión y el control de las aplicaciones informáticas de la organización. Un
auditor puede proporcionar una visión en profundidad del sistema de
contabilidad de una organización para determinar qué aplicaciones son
económicamente importantes en esta fase. La obtención de datos generales
sobre la compañía, la identificación de áreas de aplicación financieras, y la
preparación de un plan de auditoría se puede lograr este objetivo.

3. Establecer materialidad y evaluar los riesgos

Para planificar la auditoría, un juicio preliminar sobre la materialidad y la


evaluación de los riesgos de negocio del cliente se realizan para establecer
el alcance de la auditoría.

Centro de e-Learning SCEU UTN - BA.


Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
p. 13

4. Plan de Auditoría

La correcta planificación de la auditoría se encargará de la auditoría se llevó


a cabo de una manera eficaz y eficiente. Al desarrollar el plan de auditoría ,
el auditor debe tener en cuenta los resultados de su comprensión de la
organización y los resultados del proceso de evaluación de riesgos.

5. Considere los controles internos

Un sistema de control interno debe ser diseñado y operado para


proporcionar una seguridad razonable de que los objetivos de la
organización se están logrando en las siguientes categorías: eficacia y
eficiencia de las operaciones, la confiabilidad de la información financiera y
el cumplimiento con las leyes y reglamentos aplicables.

Para desarrollar su entendimiento de los controles internos, el auditor debe


considerar la información de las auditorías previas, la evaluación del riesgo
inherente, juicios acerca de la materialidad y la complejidad de las
operaciones y los sistemas de la organización.

Una vez que el auditor desarrolla su comprensión de los controles internos


de la organización, van a ser capaces de evaluar su nivel de riesgo de
control (el riesgo de una debilidad material no será prevenido o detectado
por los controles internos).

6. Lleve a cabo los procedimientos de auditoría

Los procedimientos de auditoría son las tareas específicas (pruebas de


auditoría) prestados por el auditor de reunir pruebas para determinar si se
están cumpliendo los objetivos específicos de auditoría. Estándar de
Auditoría 060 (Rendimiento del trabajo de auditoría) dice: "En el curso de la
auditoría, el auditor de TI deberá obtener evidencia suficiente, confiable y
relevante para conseguir los objetivos de la auditoría. Los resultados y las
conclusiones de la auditoría deben ser apoyados por el análisis y la
interpretación adecuada de estas pruebas".

Centro de e-Learning SCEU UTN - BA.


Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
p. 14

El auditor debe diseñar, seleccionar, evaluar, y la evidencia muestra el


documento con el fin de cumplir con los requisitos de "suficiente, confiable, y
las pruebas pertinentes“ y "apoyado por un análisis apropiado“.

7. Muestreo

Auditoría de muestreo es la aplicación de un procedimiento de auditoría a


menos del 100% de la población para permitir que el auditor de TI para
evaluar la evidencia de auditoría dentro de una clase de transacciones con
el fin de formar una conclusión con respecto a la población. Al diseñar el
tamaño y la estructura de una muestra de auditoría, el auditor de TI debe
tener en cuenta los objetivos de la auditoría que determine la planificación
de la auditoría, la naturaleza de la población, y los métodos de muestreo y la
selección.

8. Evidencia

Mediante el uso de TAAC, el auditor podrá obtener evidencia para apoyar


sus conclusiones finales desarrollados sobre la auditoría. La evidencia de
auditoría debe ser suficiente, confiable , relevante y útil para que el auditor
para formarse una opinión y apoyar sus hallazgos y conclusiones. Si el
auditor no puede formarse una opinión basada en la evidencia de auditoría
obtenida, el auditor debe entonces obtener evidencia de auditoría adicional.
Los procedimientos utilizados para obtener evidencia de auditoría varían en
función del sistema de información que está siendo auditada. El auditor debe
seleccionar el procedimiento más adecuado para el objetivo de la auditoría.
Los procedimientos siguientes deben ser considerados:

 Consulta y / o Observación

 Inspección

 Reperformance

 Monitoreo

La evidencia de auditoría obtenida por el auditor debe ser documentada y


organizada para apoyar los hallazgos y conclusiones del auditor.

Centro de e-Learning SCEU UTN - BA.


Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
p. 15

Finalmente, cuando el auditor cree que suficiente evidencia de auditoría no


puede ser obtenida, el auditor debe revelar este hecho como una limitación
al alcance en el informe de auditoría.

9. Emitir el informe de auditoría

Una vez que los procedimientos de auditoría se han realizado y los


resultados han sido evaluados, el auditor emitirá un informe de auditoría ya
sea favorable o con salvedades sobre la base de sus conclusiones.

El estándar de auditoría SAS-070 (Informes) dice: "El auditor de TI debe


presentar un informe en la forma adecuada, a la finalización de la auditoría.
El informe debe indicar el alcance, los objetivos, el período de la cobertura, y
la naturaleza, oportunidad y alcance del trabajo de auditoría realizado. El
informe debe indicar los hallazgos, conclusiones y recomendaciones, así
como las reservas, salvedades o limitaciones de alcance que las TI auditor
tiene respecto a la auditoría".

10.Documentación de auditoría

Documentos de trabajo (papeles de trabajo) es la colección oficial de


auditores de notas, documentos, diagramas de flujo, la correspondencia, los
resultados de las observaciones, los planes y los resultados de las pruebas,
el plan de auditoría, actas de reuniones, registros computarizados, archivos
de datos o los resultados de la aplicación.

Centro de e-Learning SCEU UTN - BA.


Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
p. 16

3. Introducción a ISO 19011

Vamos a echar un vistazo general a esta norma que contiene las Directrices para la
Auditoría de los Sistemas de Gestión.

Cuando la norma 19011 apareció en el 2002, el número 19011 fue especialmente


asignado por ISO a este proyecto. La idea fue evitar que se relacionara con las familias de
las normas ISO 9000 ó ISO 14000, pero que mantuviera la relación con los previas
normas de auditoría (ISO 10011 y 14011). Los primeros dígitos (19xxx) corresponden al
número disponible al momento de que realizaron los trabajos, mientras que los otros tres
(xx011) se mantuvieron de las normas anteriores. El número 19011 también se puede ver
como un símbolo que indica que el proyecto va más allá de la actual brecha entre la
gestión de calidad y ambiental.

La nueva revisión 2011 de esta norma tiene un mayor alcance que su predecesora, ya
que ahora considera su aplicabilidad para cualquier sistema de gestión. Anteriormente el
documento se limitaba a sistemas de gestión de la calidad y sistemas de gestión
ambiental.

Asimismo, incluye en sus anexos información útil que ayudarán a mejorar el valor
agregado que aportan las auditorías a los sistemas y a las organizaciones.

Es importante mencionar que esta norma NO establece requisitos, sino que se enfoca en
dar guías para la gestión del programa de auditorías, la planeación y realización de las
mismas, así como las competencias y evaluación del equipo auditor. La norma se divide
en los siguientes cuatro capítulos principales:

•Principios de auditoria (Cap. 4)

•Gestión del programa de auditoria (Cap. 5)

•Realización de una auditoria (Cap. 6)

•Competencia y evaluación de auditores (Cap. 7)

Para un mayor detalle de cada Capítulo sugerimos leer la norma en su versión completa.

Centro de e-Learning SCEU UTN - BA.


Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
p. 17

Tome una de las fases de la auditoría (la que le parezca más importante) y coméntela en
el foro con el resto de los participantes. Coteje las diferencias entre los participantes.

Compartan su comentario en el foro.

Centro de e-Learning SCEU UTN - BA.


Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
p. 18

Bibliografía utilizada y sugerida


Auditing & Assurance Services, William F. Messier, Jr., 3rd Edition, page 45

Auditing & Assurance Services, William F. Messier, Jr., 3rd Edition, page 55

Auditing & Assurance Services, William F. Messier, Jr., 3rd Edition, page 60 and
Information Technology Control and Audit, Frederick Gallegos, Sandra Senft, et al., 2nd
Edition, page 72

Auditing & Assurance Services, William F. Messier, Jr., 3rd Edition, page 263 AU 350.01

Auditing & Assurance Services, William F. Messier, Jr., 3rd Edition, page 304 IS Auditing
Guideline G10 Audit Sampling, Paragraph 2.4.1

Auditing & Assurance Services, William F. Messier, Jr., 3rd Edition, page 276

Estándar de Auditoría 060 (Rendimiento del trabajo de auditoría)

Guest speaker Mike Simpson, May 16, 2005

Information Technology Control and Audit, Frederick Gallegos, Sandra Senft, et al., 2nd
Edition, page 577

IS Auditing Guideline G10 Audit Sampling, Paragraph 2.3.1 SAS No. 39

IS Auditing Guideline G13 Use of Risk Assessment in Audit Planning, Paragraph 2.3.4 &
2.3.5 IS Auditing Guideline G13 Use of Risk Assessment in Audit Planning, Paragraph
2.5.3

IS Auditing Guideline G2 Audit Evidence Requirement, Paragraph 3.2.1

Centro de e-Learning SCEU UTN - BA.


Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
p. 19

IS Auditing Guideline G6 Materiality Concepts for Auditing Information, Paragraph 2.1.2 IS


Auditing Guideline G6 Materiality Concepts for Auditing Information, Paragraph 2.1.5 IS
Auditing Guideline G13 Use of Risk Assessment in Audit Planning, Paragraph 2.1.3

IS Auditing Standard S5 Planning – 04 Risk Assessment

ISO 19011:2011. Directrices para la Auditoría de los Sistemas de Gestión:


https://www.tuv.com/media/mexico/quienes_somos_1/boletines_systems/Boletin_T
ecnico_No_10_ISO_19011.pdf

Centro de e-Learning SCEU UTN - BA.


Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
p. 20

Lo que vimos:
En esta unidad vimosd la diferencia entre auditoria y pericia. Asimismo, presentamos un
detalle de las pautas necesarias para llevar adelante una auditoría informática.

Lo que viene:

Con esta unidad finalizamos el segundo módulo de nuestro curso y nos adentraremos en
el próximo, en el cual veremos, en detalle, las fases desde la presentación de una pericia,
hasta las impugnaciones, aclaraciones, dictado de sentencia y cobro de honorarios.

Centro de e-Learning SCEU UTN - BA.


Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning