UNIVERSIDAD AGRARIA DEL ECUADOR

FACULTAD DE CIENCIAS AGRARIAS

ESCUELA DE COMPUTACIN E INFORMTICA

MONOGRAFA

Previa a la Obtencin Del Ttulo de:

TECNLOGO EN COMPUTACIN E INFORMTICA

TEMA:

LA AUDITORA INFORMTICA COMO SOPORTE A LA

GESTIN EMPRESARIAL

AUTOR:

Julio Jos Donoso Lavayen

MILAGRO - ECUADOR
2013

ii

iii

DEDICATORIA

A mis Padres.
Quienes con dedicacin, amor y nobleza han sabido guiarme en el camino de
la vida y ayudarme a convertirme en una persona til ante la sociedad y
prximamente un profesional de nuestro pas.

Nuestros esfuerzos, sacrificios y dedicacin siempre vigilados por ellos, han

hecho que esta monografa tenga el desarrollo positivo; a nuestro
reconocimiento.

iv

AGRADECIMIENTO

A Dios quien me da sabidura para que da a da contine cumpliendo mis

metas.
A mis padres por ser el impulso para que pueda culminar mi objetivo
profesional y seguir adelante formndome como persona y profesional.

Al Ingeniero Franklin Toaquiza, tutor del presente trabajo investigativo, quien

aport con voluntad y su conocimiento y as poder culminar la monografa.

RESPONSABILIDAD Y DERECHO

La responsabilidad por las ideas, conclusiones

y recomendaciones sustentadas en la presente
monografa, corresponden exclusivamente al
autor y los derechos a la Universidad Agraria
del Ecuador.

.............................................................
JULIO JOSE DONOSO LAVAYEN
C.I.:0925855264

vi

RESUMEN
La Auditora Informtica como apoyo a la gestin empresarial es un campo
relativamente nuevo de asesoramiento que ayuda a analizar, diagnosticar y
establecer recomendaciones a las empresas y negocios, con el fin de conseguir
con xito objetivos basados en una correcta informacin. Uno de los motivos
principales por el cual una empresa puede decidir emprender una Auditora
Informtica es la necesidad de saber a ciencia cierta si sus sistemas y dems
equipos informticos funcionan correctamente brindando seguridad y confiabilidad
en la informacin, pilar fundamental del desarrollo empresarial.
Esta investigacin va a permitir, analizar los aspectos que encierran una Auditora
Informtica y cmo esta apoya a la gestin ya que a travs de ella, se controla el
manejo de la informacin y los equipos que hacen posible la emisin de
informacin como herramienta vital para la toma de decisiones. Adems, por
medio de la Auditora Informtica, se puede conocer cmo establecer polticas y
optimizar los controles que evitan cualquier anomala dentro de un departamento
informtico donde se maneja y procesa los datos.
En los tres captulos se puede conocer informacin como por ejemplo qu es la
Auditora en general, sus tipos y clasificacin, la importancia y necesidad que
tiene una empresa en aplicar Auditora Informtica entre otros aspectos
importantes encerrados en el primer captulo. El en segundo captulo se hace un
reconocimiento a las tcnicas y herramientas que se usan para una Auditora e
indicadores de gestin que pueden arrojar y por ltimo el captulo tres que
encierra en entorno de desarrollo de una Auditora Informtica, sus tcnicas para
poder realizarlas, las reas departamentales ms importantes a auditar
incluyendo aspectos de hardware y software pasando tambin por la seguridad a
nivel de datos y accesos a los recursos informticos, en definitiva un texto
importante para consulta y estudio para todo tipo de usuario.

vii

SUMMARY
The Computer Audit as support to the managerial administration is a relatively new
field

of

advice

that

helps

to

analyze,

to

diagnose

and

to

establish

recommendations to the companies and business, with the purpose of getting with
success objectives based on a correct information. One of the main reasons for
which a company can decide to undertake a Computer Audit is the necessity to
taste like certain science if its systems and other computer teams work offering
security and dependability in the fundamental information piles of the managerial
development correctly. This work will allow to know, to analyze the aspects that
contain a Computer Audit and how this it supports since to the administration
through her, it is controlled the handling of the information and the teams that
make possible the emission of information like vital tool for the taking of decisions.
Also, by means of the Computer Audit, it can know how to settle down political and
to optimize the controls that avoid any anomaly inside a computer department
where it is managed and it processes the data. In the three chapters it can know
information like for example what the Audit is in general, its types and
classification, the importance and necessity that it has a company in applying
Computer Audit among other important aspects locked in the first chapter. The
second chapter makes a recognition to the techniques and tools that are used for
an Audit and administration indicators that can hurtle and lastly the chapter three
that locks in environment of an Audit Computer specialist development, their
techniques to be able to carry out them, the most important departmental areas to
Audit, including hardware aspects and software also going by the security to level
of data and accesses to the computer resources, in definitive an important text for
consultation and study for user's type.

viii

INDICE

INFORME DEL TRIBUNAL DE SUSTENTACIN ........................ Error! Bookmark not defined.

DEDICATORIA ..................................................................................................................... iv
AGRADECIMIENTO ............................................................................................................. v
RESPONSABILIDAD Y DERECHO .................................................................................................vi
RESUMEN ........................................................................................................................... vii
SUMMARY ......................................................................................................................... viii
INDICE .......................................................................................................................................................ix
I. INTRODUCCIN................................................................................................................ 1
II. METODOLOGA ............................................................................................................... 3
III. RESULTADOS ................................................................................................................. 5
CAPTULO I .......................................................................................................................... 5
FUNDAMENTOS DE LA AUDITORIA INFORMTICA Y SU IMPORTANCIA EN LAS
ORGANIZACIONES ............................................................................................................................... 5
1.1 ASPECTOS TERICOS ...................................................................................... 5
1.2 CONCEPTO DE AUDITORA ............................................................................... 6
1.3 TIPOS DE AUDITORA INFORMTICA ............................................................... 7
1.4 AUDITORA INTERNA ......................................................................................... 7
1.5 AUDITORA EXTERNA ........................................................................................ 8
1.6 TIPOS DE AUDITORA ........................................................................................ 8
1.6.1 Auditora de Cumplimiento ............................................................................. 8
1.6.2 Auditora Operativa ........................................................................................ 9
1.6.3 Auditora Administrativa.................................................................................. 9
1.6.4 Auditora Financiera ....................................................................................... 9
1.6.5 Auditora de Gestin y Resultados ................................................................10
1.6.6 Auditora Integral ...........................................................................................10
1.7 LA AUDITORA INFORMTICA ..........................................................................10
1.7.1 Definicin ......................................................................................................11
1.7.2 Antecedentes de la Auditora Informtica ......................................................11
ix

1.7.3 Objetivos de la Auditora Informtica .............................................................12

1.8 IMPORTANCIA DE LA AUDITORA INFORMTICA ...........................................12
1.9 FUNCIONES DE LA AUDITORA INFORMTICA..............................................13
1.10 NECESIDAD DE LA AUDITORA INFORMTICA .............................................13
1.11

LA

INFORMACIN

COMO

MATERIA

PRIMA

EN

LA

AUDITORA

INFORMTICA..........................................................................................................15
1.11.1 Definicin de Informacin ............................................................................15
1.12 IMPORTANCIA DE LA INFORMACIN PARA LA TOMA DE DECISIONES EN
UNA ORGANIZACIN ..............................................................................................16
1.13 ATRIBUTOS DE LA INFORMACIN QUE LA HACEN VALIOSA PARA LA
TOMA DE DECISIONES EN UNA ORGANIZACIN ................................................17
1.14 LA INFORMACIN COMO UN RECURSO CRTICO EN UNA ORGANIZACIN
..................................................................................................................................17
CAPTULO II ....................................................................................................................... 19
AUDITORA INFORMTICA Y EL SOPORTE A LA GESTIN: UN RETO PARA
EMPRESAS Y PROFESIONALES MODERNOS ....................................................................... 19
2.1 AUDITORA A LA GESTIN INFORMTICA ......................................................19
2.2 OBJETIVOS DE LA AUDITORA INFORMTICA A LA GESTIN ......................19
2.3 EVALUACIN EN EL REA INFORMTICA .....................................................20
2.4 INDICADORES APLICADOS EN LA AUDITORA INFORMTICA DE GESTIN
..................................................................................................................................20
2.5 FACTORES CRTICOS DE XITO EN UNA AUDITORA ...................................22
2.5.1 Participacin de la Direccin .........................................................................22
2.5.2 Estructura Organizativa .................................................................................23
2.5.3 Marco Metodolgico ......................................................................................23
2.6 PROCESO DE AUDITORA ................................................................................24
2.6.1 Planificacin de las Actuaciones de Auditora ...............................................25
2.6.2 Formalizacin del Inicio de la Actuacin ........................................................25
2.6.3 Trabajos de Campo .......................................................................................26
2.6.4 Evaluacin de la Informacin.........................................................................27
2.6.5 Comunicacin de los Resultados ..................................................................27
x

2.6.6 Seguimiento ..................................................................................................28

2.7 QUIENES SON LOS AUDITORES INFORMTICOS ..........................................28
2.8 FUNCIONES DE AUDITORA INFORMTICA ....................................................30
2.8.1 Supervisin del Control .................................................................................30
2.8.2 Participacin Proactiva ..................................................................................31
CAPITULO III ...................................................................................................................... 33
LAS HERRAMIENTAS Y TCNICAS DE LA AUDITORA INFORMTICA Y SUS
REAS DE INFLUENCIA DENTRO DE LA GESTIN EMPRESARIAL ........................... 33
3.1 ANTECEDENTES ...............................................................................................33
3.2 REAS DE ACCIN DE LA AUDITORA INFORMTICA ...................................33
3.2.1 Para la Compra de Equipos ..........................................................................33
3.2.2 Para Equipos y Software ...............................................................................34
3.2.3 Para la Seguridad Fsica ...............................................................................35
3.2.4 Para Controles de Acceso .............................................................................37
3.2.5 Para la Seguridad Lgica ..............................................................................38
3.2.6 Auditora a la Identificacin y Autenticacin...................................................39
3.3 HERRAMIENTAS Y TCNICAS PARA LA AUDITORA INFORMTICA ............40
3.3.1 Cuestionarios ................................................................................................40
3.3.2 Entrevistas ....................................................................................................40
3.3.3 Checklist........................................................................................................41
3.3.4 Trazas o Huellas ...........................................................................................41
3.3.5 Log ................................................................................................................41
3.3.6 Software de Interrogacin .............................................................................42
IV. CONCLUSIONES .......................................................................................................... 44
BIBLIOGRAFIA ................................................................................................................... 45
GLOSARIO DE TRMINOS ............................................................................................... 47
ANEXOS .............................................................................................................................. 48
Cuadro N- 1.Tipos de Auditora y sus actividades.............................................................. 48
Grfico N- 1. Funciones de Auditora Informtica ............................................................... 49

xi

I. INTRODUCCIN
La Auditora es el examen crtico y sistemtico que realiza una persona o
grupo de personas independientes del sistema auditado. Aunque hay muchos
tipos de Auditora, la expresin se utiliza generalmente para designar a la
auditora externa de estados financieros que es una auditora realizada por un
profesional experto en informtica y otras ramas para opinar sobre la
razonabilidad de la informacin contenida en las bases de datos y sobre el
cumplimiento de las normas de Auditora.

La Auditora Informtica es el proceso de recoger, agrupar y evaluar

evidencias para determinar si un Sistema de Informacin salvaguarda el activo
empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los
fines

de

la

organizacin

utiliza

eficientemente

los

recursos.

Auditar consiste en estudiar los mecanismos de control que estn implantados en

una empresa u organizacin, determinando si los mismos son adecuados y
cumplen determinados objetivos o estrategias, estableciendo los cambios que se
deberan realizar para la consecucin de los mismos.

El concepto de Auditora Informtica ha estado siempre ligado al de

auditora en general y al de auditora interna en particular, y ste ha estado unido
desde tiempos histricos al de contabilidad y de control de los registros y de las
operaciones. Se analizamos el nacimiento y la existencia de la auditora
informtica desde un punto de vista empresarial, tendremos que empezar
analizando el contexto organizativo y ambiental en el que se mueve.

Empezaremos expresando que dentro del contexto estratgico como del

operativo de las organizaciones actuales, los sistemas de informacin y la
arquitectura que los soporta desempean un importante papel como uno de los
soportes bsicos para la gestin y el control del negocio, siendo as unos de los
requerimientos bsicos de cualquier organizacin. Esto da lugar a los sistemas de
informacin de una organizacin.
1

La Auditora se desarrolla con base a normas, procedimientos y tcnicas

definidas formalmente por institutos establecidos a nivel nacional e internacional;
por lo tanto, solo se expondrn algunos aspectos necesarios para su
entendimiento.

Por lo anterior este trabajo se sustenta en mostrar un enfoque prctico de

lo valioso que puede resultar una Auditora Informtica de gestin que analizan
las falencias y errores que truncan el desarrollo empresarial.
Esta monografa persigue los siguientes objetivos
OBJETIVO GENERAL

Analizar a la Auditora Informtica como una herramienta de apoyo

mediante mtodos de control del ambiente de procesamiento y de las
aplicaciones que operan en la empresa que demuestren que sirve de soporte en
los procesos de gestin empresarial.
OBJETIVOS ESPECFICOS

Detallar

la

importancia

de

la

Auditora

Informtica

aspectos

fundamentales de esta, mediante la investigacin de las ventajas y

desventajas que tienen los procesos de gestin, describiendo as los
beneficios de la misma.

Identificar los procesos de gestin empresarial que vinculan la Auditora

Informtica mediante el mtodo de levantamiento de informacin
obteniendo de esta forma la importancia de aplicacin que tiene la
Auditora Informtica.

Determinar los factores relevantes que la Auditora Informtica brinda en

los procesos de gestin empresarial mediante la identificacin

de los

procesos de gestin obteniendo as los recursos y herramientas necesarios

para un eficiente control.
2

II. METODOLOGA
Para el desarrollo de esta monografa se utilizaron los siguientes mtodos:

Mtodo Documental
Con el mtodo se logra tener una concepcin clara de cmo ha ido
trascendiendo la Auditora Informtica de gestin en el tiempo, as se podr
entender por qu esta rama de la informtica ha escalado posiciones altas dentro
de una organizacin empresarial. Este mtodo permite documentar el progreso
de la Auditora Informtica desde sus inicios hasta la actualidad y la importancia
en la gestin empresarial.

Mtodo Inductivo
Mtodo muy relacionado con el deductivo pero este, permite conocer desde
la decisin de realizar una Auditora Informtica estudiando hechos irregulares
hasta, cuestiones de ndole general que informan la situacin real de una
organizacin. Sin duda, partir de premisas particulares para llegar a las generales
es una forma correcta de trabajar en este tipo de estudio.

Mtodo Deductivo
Es un mtodo que deduce los mecanismos de control, los campos de
accin y las normativas para aplicar Auditora Informtica sin duda son relevantes
en este estudio por lo que este mtodo es apto para este tipo de investigacin.
Por lo tanto, se elige este mtodo para pormenorizar el accionar de una Auditora
Informtica de gestin.

Mtodo Analtico
Este mtodo permite tener una exploracin minuciosa de los puntos ms
importantes que ocasionan problemas en la gestin empresarial a la vez, permiten
a la Auditora Informtica, detectar y corregir dichas falencias a nivel tecnolgico,

sanendolas y permitiendo el normal cauce de la gestin dentro de una

organizacin.

Estos beneficios hacen que la Auditoria Informtica vaya siendo un ente

indispensable en el soporte a la toma de decisiones. Definitivamente se tratar de
hacer un anlisis del papel que desarrolla y significa la Auditora Informtica y
todo lo que ha evolucionado para consolidarse al interior de la empresa.

Mtodo de Sntesis
Mtodo que permite obtener mediante el procesamiento de la informacin,
los anlisis previos, pasando por recopilacin de informacin hasta las
conclusiones, contrastes y recomendaciones, que se constituyen en el producto
final que reflejar este trabajo monogrfico.

III. RESULTADOS
CAPTULO I

FUNDAMENTOS DE LA AUDITORIA INFORMTICA Y SU

IMPORTANCIA EN LAS ORGANIZACIONES

1.1 ASPECTOS TERICOS

Segn Fernndez, Nubia (2012). El concepto de Auditora Informtica ha

estado siempre ligado al de auditora en general y al de auditora interna en
particular, y ste ha estado unido desde tiempos histricos al de contabilidad y de
control de los registros y de las operaciones.

Segn Dale Flesher (1992). En su libro 50 Years of progress la evolucin

de la auditora informtica es corta pero intensa y ha crecido a ritmos acelerados
que hoy por hoy las organizaciones en constante desarrollo no pueden prescindir
del departamento de auditora.

Si se analiza el nacimiento y la existencia de la Auditora Informtica desde

un punto de vista empresarial, se tendra que empezar analizando el contexto
organizativo y ambiental en el que se mueve. Tanto dentro del contexto
estratgico como del operativo de las organizaciones actuales, los sistemas de
informacin y la arquitectura que los soporta desempean un importante papel
como uno de los soportes bsicos para la gestin y el control del negocio, siendo
as unos de los requerimientos bsicos de cualquier organizacin.

La auditora se desarrolla con base a normas, procedimientos y tcnicas

definidas formalmente por institutos establecidos a nivel nacional e internacional.

1.2 CONCEPTO DE AUDITORA

Segn Echenique, Jos. (2008). Con frecuencia la palabra auditora se ha
empleado incorrectamente y se ha considerado como una evaluacin cuyo nico
fin es detectar errores y sealar fallas; por eso se ha llegado a acuar la frase
"tiene auditora" como sinnimo de que, desde antes de realizarse, ya se
encontraron fallas y por lo tanto se est haciendo la auditora. El concepto de
auditora es ms amplio: no slo detecta errores, sino que es un examen crtico
que se realiza con objeto de evaluar la eficiencia y eficacia de una seccin o de
un organismo.

La palabra auditora viene del latn auditorius, y de sta proviene auditor,

que tiene la virtud de or, y el diccionario lo define como "revisor de cuentas
colegiado". El auditor tiene la virtud de or y revisar cuentas, pero debe estar
encaminado a un objetivo especfico que es el de evaluar la eficiencia y eficacia
con que se est operando para que, por medio del sealamiento de cursos
alternativos de accin, se tomen decisiones que permitan corregir los errores, en
caso de que existan, o bien mejorar la forma de actuacin.

La auditora requiere el ejercicio de un juicio profesional, slido y maduro,

para juzgar los procedimientos que deben de seguirse y estimar los resultados
obtenidos.

Examen metdico de una situacin relativa a un producto, proceso u

organizacin en materia de calidad, realizada en cooperacin con los
interesados para verificar la concordancia de la realidad con lo
preestablecido y la adecuacin al objetivo buscado.

Actividad para determinar, por medio de la investigacin, la adecuacin de

los

procedimientos

establecidos,

instrucciones,

especificaciones,

codificaciones y estndares u otros requisitos, la adhesin de los mismos y

la eficiencia de su implantacin.

Es un proceso sistemtico para obtener y evaluar evidencias de una

manera objetiva respecto a las afirmaciones correspondientes a actos
econmicos y eventos para determinar el grado de correspondencia entre
6

estas afirmaciones y criterios establecidos y comunicar los resultados a los

usuarios interesados.

1.3 TIPOS DE AUDITORA INFORMTICA

Segn Bernal Garca, Juan; Snchez Garca, Juan; Martnez, Mara
(2008). La auditora, como cualquier disciplina toma caractersticas diferentes de
acuerdo al campo de accin en que se desenvuelven. Sin embargo, el objetivo
final debe responder a la definicin general de auditora. De acuerdo a las
personas que la realizan se pueden reconocer dos tipos de auditora.

1.4 AUDITORA INTERNA

Segn Bernal Garca, Juan; Snchez Garca, Juan; Martnez, Mara

(2008). Es la efectuada con recursos materiales y personas que pertenecen a la
empresa auditada. Los empleados que realizan esta tarea son remunerados
econmicamente, la auditora interna existe por decisin de la Empresa, o sea,
que puede optar por su disolucin en cualquier momento.

La Auditora Informtica interna cuenta con algunos beneficios adicionales

muy importantes respecto de la auditora externa. La auditora interna tiene la
ventaja de que puede actuar peridicamente realizando revisiones globales, como
parte de su Plan Anual y de su actividad normal.

Los auditados conocen estos planes y se familiarizan, especialmente

cuando las consecuencias de las recomendaciones benefician su trabajo.

Las Auditoras Internas y permanentes solo la realizan las empresas

grandes, mientras que el resto de empresas acuden a las auditoras externas.
Actualmente existen varias organizaciones Informticas dentro de la misma
empresa, y con diverso grado de autonoma, que son coordinadas por rganos
corporativos de Sistemas de Informacin de las empresas.

Una empresa que posee auditora interna puede y debe en ocasiones

contratar servicios de auditora externa. Las razones para hacerlo suelen ser:

Necesidad de auditar una materia de gran especializacin, para la cual los

servicios propios no estn suficientemente capacitados.

Contrastar algn Informe interno con el que resulte del externo. en aquellos
supuestos de emisin interna de graves recomendaciones que chocan con
la opinin generalizada de la propia empresa.

Servir como mecanismo protector de posibles auditoras informticas

externas decretadas por la misma empresa.

Aunque la auditora interna sea independiente del Departamento de

Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que
se le realicen auditoras externas como para tener una visin desde afuera
de la empresa.

1.5 AUDITORA EXTERNA

Segn Bernal Garca, Juan; Snchez Garca, Juan; Martnez Mara

(2008). Tambin conocida como auditora independiente, la desarrollan expertos
que no dependen de la empresa, ni econmicamente ni bajo cualquier otro
concepto y a los que se reconoce un juicio imparcial merecedor de la confianza de
terceros. El objeto de su trabajo es la emisin de un dictamen. Esta clase de
auditora es la actividad ms caracterstica del Contador Pblico o del profesional
en informtica.

1.6 TIPOS DE AUDITORA

Segn Echenique, Jos (2008). Existen los siguientes:

1.6.1 Auditora de Cumplimiento

Es la comprobacin o examen de operaciones financieras, administrativas,

econmicas y de otra ndole de una entidad para establecer que se han realizado

conforme a las normas legales, reglamentarias, estatuarias y de procedimientos

que le son aplicables.

1.6.2 Auditora Operativa

Es el examen posterior, profesional, objetivo y sistemtico de la totalidad o
parte de las operaciones o actividades de una organizacin. Su propsito es
determinar los grados de efectividad, economa y eficiencia alcanzados por la
organizacin y formular recomendaciones para mejorar las operaciones
evaluadas.

1.6.3 Auditora Administrativa

Es el examen metdico y ordenado de los objetivos de una empresa de su

estructura orgnica y de la utilizacin del elemento humano a fin de informar los
hechos investigados. Su importancia radica en el hecho de que proporciona a los
directivos de una organizacin un panorama sobre la forma como est siendo
administrada la empresa.

1.6.4 Auditora Financiera

Es un proceso cuyo resultado final es la emisin de un informe, en el que el

auditor da a conocer su opinin sobre la situacin financiera de la empresa. Este
proceso solo es posible llevarlo a cabo a travs de un elemento llamado evidencia
de auditora, ya que el auditor hace su trabajo posterior a las operaciones de la
empresa.

La Auditora Financiera es la ms conocida de todas, pues es la requerida

por las empresas y es la que ha presentado el mximo desarrollo.

1.6.5 Auditora de Gestin y Resultados

Tiene por objeto el examen de la gestin de una empresa con el propsito
de evaluar la eficacia de sus resultados con respecto a las metas previstas, los
recursos

humanos, financieros y tcnicos

utilizados,

la organizacin

coordinacin de dichos recursos y los controles establecidos sobre dicha gestin.

Es una herramienta de apoyo efectivo a la gestin empresarial factor clave de
competitividad.

1.6.6 Auditora Integral

Es el examen crtico, sistemtico y detallado de los sistemas de
informacin financiero, de gestin y legal de una organizacin, realizado con
independencia y utilizando tcnicas especficas, con el propsito de emitir un
informe profesional sobre la razonabilidad de la informacin financiera esto, para
la toma de decisiones que permitan la mejora de la productividad.

En el Cuadro N-1, se hace una ilustracin resumida de las actividades que

cumplen cada una de las clases de auditora dentro de sus parmetros de control.
Sin duda las similitudes se dan en el campo administrativo y de gestin. Ver
Cuadro N-1

La auditora informtica marca diferencias con sus similares como por

ejemplo en los campos de espacio institucional (reas y departamentos), alcance
y los resultados obtenidos. A continuacin nos adentramos al centro de este
documento como lo es la Auditora Informtica y su incidencia en la gestin
organizacional.
1.7 LA AUDITORA INFORMTICA

Segn a Piattini, Mario G. y Del Peso, Emilio (2007). En su libro

Auditoria Informtica: un enfoque prctico indican que la Auditora en Informtica
se desarrolla en funcin de normas, procedimientos y tcnicas definidas por

10

institutos establecidos a nivel nacional e internacional; por lo tanto, nada ms se

sealarn algunos aspectos bsicos para su entendimiento.

1.7.1 Definicin
Segn Piattini, Mario; Del Peso, Emilio (2007). La Auditora Informtica
es el proceso de recoger, agrupar y evaluar evidencias para determinar si un
sistema informatizado salvaguarda los activos, mantiene la integridad de los
datos, lleva a cabo eficazmente los fines de la organizacin y utiliza
eficientemente los recursos.

De este modo la Auditora Informtica sustenta y confirma la consecucin de los

objetivos tradicionales de la auditoria:

Objetivos de proteccin de activos e integridad de datos.

Objetivos de gestin que abarcan, no solamente los de proteccin de

activos, sino tambin los de eficacia y eficiencia.

1.7.2 Antecedentes de la Auditora Informtica

Segn Arjonilla Domnguez, Sixto; Medina Garrido, Jos (2009). La

auditora en general desde tiempos atrs se ha venido realizando de manera
emprica, ha sido de gran ayuda para los pueblos conquistadores ya que tenan
que conocer y dar fe de los tributos que les rendan los pueblos conquistados. La
Auditora Informtica es muy reciente y se dice que naci en los Estados Unidos
de Amrica.

En los aos cuarenta se empezaron a dar resultados relevantes en al

campo de la computacin con sistemas de apoyo para estrategias militares, sin
embargo, la seguridad y control slo se limitaba a dar custodia fsica a los equipos
y a permitir el uso de los mismos slo a personal altamente calificado. Con el
paso de los aos la informtica y todos los elementos tecnolgicos que la rodean
ha ido creando necesidades, en cada sector social y se han vuelto un
requerimiento permanente para el logro de soluciones.
11

1.7.3 Objetivos de la Auditora Informtica

Segn Ponce Nelly (2006). La Auditora informtica tiene como objetivo

comprender no solo la evaluacin de los equipos de cmputo de un sistema o
procedimiento especfico sino, el de evaluar los sistemas de informacin en
general desde sus entradas, procedimientos, controles, archivos, seguridad y
obtencin de informacin. Adems debe evaluar todo: informtica, organizacin
de centros de informacin, hardware y software. Los objetivos especficos de la
auditora informtica son:

Verificar el control interno de la funcin informtica.

Asegurar a la alta direccin y al resto de las reas de la empresa que la

informacin que les llega es la necesaria en el momento oportuno, y es
fiable, ya que les sirve de base para tomar decisiones importantes.

Eliminar o reducir al mximo la posibilidad de prdida de la informacin por

fallos en los equipos, en los procesos o por una gestin inadecuada de los
archivos de datos.

Detectar y prevenir fraudes por manipulacin de la informacin o por

acceso de personas no autorizadas a transacciones que exigen traspasos
de fondos.

1.8 IMPORTANCIA DE LA AUDITORA INFORMTICA

Segn Arjonilla Domnguez, Sixto; Medina Garrido, Jos (2009). La

importancia de la Auditora Informtica radica en verificar que los recursos, es
decir, informacin, dinero, equipos, personal, programas de cmputo y otros son
adecuadamente coordinados y vigilados por la gerencia o por quien ellos
designen.

La tecnologa de informtica, traducida en hardware, software, sistemas de

informacin, investigacin tecnolgica, redes locales, bases de datos, ingeniera
de software, telecomunicaciones, servicios y organizacin de informtica, es una
herramienta estratgica que brinda rentabilidad y ventajas competitivas a los
negocios frente a sus similares en el mercado, pero puede originar costos y
12

desventajas si no es bien administrada por el personal encargado. Con este

ltimo indicio surgen de inmediato un par de preguntas:

Cmo saber si se est administrando de manera correcta la funcin de la

informtica? La respuesta siempre ha existido: mediante evaluaciones
oportunas y completas de dicha funcin por personal calificado, consultores
externos, auditores e informtica o evaluaciones peridicas realizadas por
el mismo personal de informtica, entre otras estrategias.

Es necesario auditar o evaluar la funcin de informtica? Y quines lo

haran? Aqu la respuesta depende de cada organizacin y de sus
necesidades por conocer el estado real de su tecnologa en informtica.

Lo que resulta innegable es que la informtica se convierte cada da en una

herramienta permanente en los procesos principalmente de los negocios, se
convierte en una fuerza estratgica, en un aliado confiable y oportuno.

Cuando la alta direccin tome conciencia de lo saludable y productivo que

resulta contar con un rea independiente que asegure y promueva el buen uso y
aprovechamiento de la tecnologa de informtica, el siguiente paso ser delegar la
responsabilidad a un personal altamente capacitado para ejercer la Auditora en
Informtica de manera permanente dentro de la organizacin.

1.9 FUNCIONES DE LA AUDITORA INFORMTICA

Segn Mosquera, Deisy (2012). Dentro de una organizacin las funciones
de la Auditora Informtica son diversas pero detectar evidencias de riesgos o
problemas en el apoyo informtico a los procesos de negocios originados por un
mal uso de informacin o de control es lo que mayormente hace un departamento
auditor. Sugerir mejoras a todo nivel es otro aspecto relevante de sus funciones.

1.10 NECESIDAD DE LA AUDITORA INFORMTICA

Segn Piattini, Mario; Del Peso, Emilio (2007). Las empresas y
organismos interesados en que la informtica contine creciendo para beneficio
13

de la humanidad (educacin, productividad, calidad, ecologa, entre otros) desean

que este incremento se controle y oriente de manera profesional.

Con el paso de los aos la informtica y los elementos tecnolgicos que la

rodean han creado necesidades en cada sector social y se han tornado en un
requerimiento

permanente

para

alcanzar

soluciones.

continuacin

se

mencionan algunas consideraciones que corresponden a una necesidad real y no

a una tendencia:

Todas las actividades de la sociedad deben buscar apoyarse en recursos

de la tecnologa de informtica.

Los equipos de cmputo de diferentes marcas y capacidades as como las

bases de datos y los sistemas de informacin, deben ser una solucin
integrada.

La capacitacin en el uso de la tecnologa de informtica tiene que ser

permanente.

Hardware, software, telecomunicaciones y otros recursos tecnolgicos

deben estar interrelacionados para explotar al mximo sus capacidades y
dar soluciones a los sectores.

Integrar a la comunidad, de manera permanente, en el conocimiento y

aprovechamiento de la tecnologa de informacin.

La gran penetracin de la informtica en todos los niveles del sector

educativo, as como en los sectores social y cultural.

El control y seguridad sobre los recursos de informtica es una necesidad.

Se debe evaluar de manera formal y peridica la funcin de informtica.

El proceso de planeacin de los negocios debe integrar permanentemente

la funcin de informtica.

El incremento persistente de las expectativas y necesidades relacionadas

con la informtica, al igual que la actualizacin continua de los elementos que
componen la tecnologa de este campo, obligan a las entidades que las aplican a
disponer de controles, polticas y procedimientos que aseguren la alta direccin
de los recursos humanos, materiales y financieros involucrados para que se

14

protejan adecuadamente y se orienten a la rentabilidad y competitividad del

negocio.

1.11 LA INFORMACIN COMO MATERIA PRIMA EN LA AUDITORA

INFORMTICA

Segn

Hernndez,

Enrique.

(2007).

Evidentemente

la

Auditora

Informtica tiene ntima relacin con un elemento indispensable en todo proceso

de auditora. Este elemento es la Informacin de la cual hablaremos
detenidamente ms adelante.

Sin duda la informacin es el activo ms importante de una Organizacin y

la gestin va encaminada al anlisis de los datos, encontrando variables e
indicadores que permiten hacer un anlisis de cmo est una empresa en su nivel
de crecimiento. Adems la informacin es indispensable para la toma de
decisiones. Las tecnologas de la informacin son el soporte ideal para los
procesos de auditoras, pues estas aportan las herramientas de hardware y
software idneas que se necesitan para iniciar un control y proceso de auditora

1.11.1 Definicin de Informacin

Segn Vargas Avils, Julio (2009). Dentro de la Auditora Informtica,
puede ser definida como los datos que han sido recogidos, procesados,
almacenados y recuperados con el propsito de tomar decisiones financieras y
econmicas o para el soporte de una produccin y distribucin eficientes de
bienes y servicios.

La informacin tiene que ser considerada como un recurso bsico en una

organizacin, junto a los talentos humanos, el capital, las materias primas y
dems equipos. Es clave para la organizacin tanto para su supervivencia como
para mejorar su posicionamiento en los negocios.

15

La informacin puede ser clasificada en cuatro clases:

Informacin estratgica.- Permite a la alta gerencia definir los objetivos

de la organizacin, la cantidad y clase de recursos necesarios para
alcanzar los objetivos y las polticas que gobiernan su uso. La alta gerencia
tiene que tomar decisiones econmicas importantes basadas en las
condiciones de los cambiantes mercados e innovacin tecnolgica. Parte
de esta informacin es externa.

Informacin para el control de gestin.- Ayuda a los mandos medios

especialmente para tomar decisiones en el perodo actual, normalmente un
ao,

para

que

sean

consistentes con

los

objetivos

estratgicos

organizativos. Incluye comparaciones entre los resultados actuales y

objetivos, presupuestos y medidas de rendimiento.

Informacin tcnica u operacional.- Se produce por rutina, da a da e

incluyendo datos de contabilidad, control de inventarios, programacin de
la produccin, planificacin de necesidades de materiales, normas y
gestin del personal, control del flujo de caja, logstica, ingeniera,
fabricacin, recepcin, distribucin, ventas y todo el conjunto de
operaciones que

son

necesarias para

mantener

la

empresa

en

funcionamiento.

Informacin contable y financiera.- Es la informacin que se genera con

el propsito de control e informacin financiera. Este tipo de informacin se
recoge de acuerdo con Principios Contables. Generalmente aceptados y
aplicados por los profesionales contables.

1.12 IMPORTANCIA DE LA INFORMACIN PARA LA TOMA DE DECISIONES

EN UNA ORGANIZACIN

Segn Soto, Lauro (2010) La calidad de las decisiones tomadas depende

directamente de la calidad de la informacin que las soporta. La toma de
decisiones requiere:

Un profundo conocimiento de las circunstancias que rodean un problema.

Conocimiento de las alternativas disponibles y estrategias competitivas.

16

1.13 ATRIBUTOS DE LA INFORMACIN QUE LA HACEN VALIOSA PARA LA

TOMA DE DECISIONES EN UNA ORGANIZACIN

Segn Vargas Avils, Julio. (2009) Sin duda una buena informacin
produce buenas decisiones y arma parmetros para futuras evaluaciones con
ms eficiencia; por lo tanto la informacin debe ser:
Completa.- Si la informacin se pierde u oculta al que toma la decisin, el
resultado de la decisin ser pobre.
Exacta.- Errores en la entrada, conversin o procesos puede dar como resultado
conclusiones invlidas que darn lugar a decisiones errneas.
Autorizada.-

La

informacin

puede

ser

semnticamente

correcta,

pero

representar transacciones invlidas o no autorizadas.

Auditable.- La informacin debe ser rastreable a travs de los documentos fuente
o su ejecucin seguida mediante sistemas de controles monitorizados y pre
verificados.
Econmica.- El coste de producir la informacin debera no exceder su valor
cuando se utiliza.
Adecuada.- Informacin especfica debe estar disponible solamente para
aquellos que la necesitan para asegurar una gestin eficiente. Demasiada
informacin irrelevante a disposicin de quin debe tomar la decisin puede
ocultar el proceso.
Oportuna o Puntual.- La informacin pierde su valor cuando a quin tiene que
tomar la decisin, se le entrega despus de que la necesita.
Segura.- La informacin debe ser protegida de su difusin a personas no
autorizadas, sin ello puede dar lugar a prdidas econmicas en la organizacin.
Debe estar protegida contra destrucciones accidentales o voluntarias

21.14

LA

INFORMACIN

COMO

UN

RECURSO

CRTICO

EN

UNA

ORGANIZACIN

Segn Piattini, Mario; Del Peso, Emilio (2007). La

relacin a la

proteccin de las instalaciones fsicas y el control de acceso a los sistemas de

informacin, hay pocas estadsticas disponibles sobre el uso del software de

17

control de acceso en cuanto a sus polticas de utilizacin y calidad de su

administracin.

Una vez que se es consciente de que tal software puede ser instalado y
utilizado de distintas maneras, es ms evidente que poseer este software, por si
mismo, no garantiza la seguridad sino que la administracin es la clave del xito.
Aun cuando el software de control de acceso est instalado y bien administrado,
hay numerosas vas por las cuales, los programadores de sistemas desde dentro
y los hackers desde fuera de la organizacin pueden burlar los mecanismos de
seguridad.

18

CAPTULO II
AUDITORA INFORMTICA Y EL SOPORTE A LA GESTIN: UN
RETO PARA EMPRESAS Y PROFESIONALES MODERNOS

2.1 AUDITORA A LA GESTIN INFORMTICA

Segn Ponce Nelly (2006). La Auditora Informtica aplicada a la gestin
se la puede definir como el conjunto de tcnicas, actividades y procedimientos,
destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la
planificacin, control, eficacia, seguridad y adecuacin del servicio informtico en
la empresa, por lo que comprende un examen metdico, puntual y discontinuo del
servicio informtico, con vistas a mejorar en: rentabilidad, seguridad y eficacia.

La Auditora Informtica es una tcnica de gestin, relativamente nueva,

que se va introduciendo en el campo profesional como una importante actividad.

La gestin, como herramienta de control, es el anlisis sistemtico de los

resultados obtenidos por las organizaciones, en la administracin y utilizacin de
los recursos disponibles para el cumplimiento de objetivos y metas. La Auditora
de Gestin Informtica es un nuevo enfoque de la auditora que est
contribuyendo poderosamente en la administracin eficaz de los recursos.

2.2 OBJETIVOS DE LA AUDITORA INFORMTICA A LA GESTIN

Segn Ponce Nelly (2006). Los principales objetivos que constituyen a la
Auditora Informtica para la gestin, son el control de la funcin informtica
mediante los siguientes puntos importantes:

Verificar el control de la funcin informtica, asegurando a la alta direccin

y al resto de las reas de la empresa que la informacin que les llega es la
necesaria en el momento oportuno, y es fiable, ya que les sirve de base
para tomar decisiones importantes.

19

Eliminar o reducir al mximo la posibilidad de prdida de la informacin por

fallos en los equipos, o en los procesos.

Detectar y prevenir fraudes por manipulacin de la informacin o por

acceso de personas no autorizadas.

Identificar los procesos del negocio.

Conocer la situacin actual del rea de informtica.

Analizar la gestin informtica mediante el uso de indicadores.

Elaborar un informe de auditora de la gestin informtica.

La Auditora en Informtica deber comprender no slo la evaluacin de los

equipos de cmputo, sino la evaluacin de los procesos informticos.

2.3 EVALUACIN EN EL REA INFORMTICA

Segn Arjonilla Domnguez, Sixto; Medina Garrido, Jos (2009). El
auditor de gestin debe evaluar en la realizacin de su trabajo lo siguiente:

Estrategias y controles internos para alcanzar los objetivos gerenciales.

Indicadores de gestin informtica.

Evaluar el grado de cumplimiento de misin, metas, objetivos, etc.

Evaluar la productividad, eficiencia, efectividad y economa de los procesos

generales como informticos.

Alguna de las dificultades que se presenta para realizar una auditora de

gestin son: la falta de estndares, ausencia de indicadores de gestin, procesos
operativos obsoletos y por ltimo que existan recursos ociosos o faltantes que no
aporten valor agregado a la organizacin.

2.4 INDICADORES APLICADOS EN LA AUDITORA INFORMTICA DE

GESTIN
Segn Ponce Nelly (2006). La gestin de procesos implicar contar con un
cuadro de indicadores referidos a la calidad y a otros parmetros significativos.

20

Este es el modo en que verdaderamente la organizacin puede conocer, controlar

y mejorar su gestin.

Los indicadores son semforos de alarma, contienen informacin vital que

alertan a la gerencia si la organizacin se est administrando en forma deficiente
e identifican las reas dbiles. La informacin que recopilan permite comparar los
resultados contra estndares, por rea de responsabilidad y focalizan los
problemas surgidos, con claridad y oportunamente.
El uso de los indicadores se disean de arriba hacia abajo, para alertar a
todos los niveles de la estructura de la organizacin. Los diferentes tipos de
indicadores son necesarios, pero hay que identificar y definir los indicadores de
gestin si realmente la intencin es administrar eficazmente y eficientemente cada
uno de los procesos en la empresa.

Los indicadores de gestin sirven para evaluar el resultado del proceso,

son una medida de que tan bien est funcionando el proceso. Estos ayudan a
mejorar los procesos de tecnologa de informacin. A continuacin algunos puntos
de importancia dentro de la Auditora Informtica para la gestin:

Administracin del rea de sistemas

El proceso de planificacin brinda un esquema de prioridades para los
objetivos del negocio y cuantifica donde sea posible los requerimientos de
negocio.

Ingeniera de procesos
Las polticas de control de la informacin estn alineadas con los planes
estratgicos globales.

Mesa de ayuda (Helpdesk)

Se cuenta con habilidades y herramientas para brindar informacin til y
oportuna sobre los niveles de servicio establecidos en la empresa para los
usuarios.

Redes
Se cuenta con un proceso centralizado de administracin de usuarios que
permite identificar y asignar autorizaciones en forma estndar y eficiente.
21

Comunicaciones
Existe una forma precisa de comunicar los problemas y sus sntomas,
diagnstico y solucin al personal de soporte correspondiente.

2.5 FACTORES CRTICOS DE XITO EN UNA AUDITORA

Segn Arjonilla Domnguez, Sixto; Medina Garrido, Jos (2009) Se

relacionarn los factores crticos a tener en cuenta para poder desplegar con
xito la funcin de Auditora Informtica en una organizacin.

2.5.1 Participacin de la Direccin

Las organizaciones exitosas, comprenden y gestionan los riesgos

asociados con la implementacin de las nuevas tecnologas. Para ello, la
direccin de una organizacin necesita poder apreciar y poseer un conocimiento
bsico de los riesgos y los lmites de las TIC para proveer una direccin eficaz y
los controles adecuados. Tambin debe pronunciarse sobre cul es la inversin
razonable en seguridad y control, y sobre cmo balancear el riesgo y el control de
las inversiones.

En el caso concreto de la Administracin Pblica que presta servicios

electrnicos a los ciudadanos, se requiere el establecimiento de medidas tanto
tcnicas como organizativas que aseguren el mantenimiento de las garantas en
los procedimientos y que fortalezcan la confianza de los usuarios y de los
administrados.

En definitiva, es imprescindible que los rganos de direccin de la

Administracin entiendan la implicacin de una gestin de riesgos en general, y
los relacionados con la informtica y las tecnologas de informacin (TIC) en
particular, y aseguren el establecimiento de un sistema de control apropiado para
la organizacin que dirigen. Es un requisito previo para poder realizar cualquier
tipo de auditora que la organizacin tenga definida, documentada, conocida por
todo el personal y aplicada dentro de una poltica de control.

22

2.5.2 Estructura Organizativa

Al conformar la estructura organizativa de la unidad que asuma la funcin

de la Auditora Informtica, deben asegurarse unos requisitos bsicos para poder
cumplir con xito sus propsitos:

La independencia del rgano que tenga asignadas la funcin operativa TIC,

dada que la participacin en tareas ejecutivas comprometera su funcin
durante las auditoras.

El reconocimiento de la autoridad de los auditores, los que debern

disponer de acceso no restringido a la informacin requerida para el
ejercicio de sus funciones auditoras, manteniendo la discrecin y la
confidencialidad de los asuntos tratados.

2.5.3 Marco Metodolgico

El incremento masivo en el uso de medios informticos, ya sea de
computadoras en los puestos de trabajo como en las aplicaciones de tecnologa
cada vez ms sofisticada, y en la prestacin de servicios a los ciudadanos
mediante la Administracin Electrnica, han llevado a la necesidad de adaptar las
tcnicas de auditora tradicionales para poder hacer frente a esos cambios.

Una vez planteadas y reconocidas las nuevas exigencias de control, surge

la necesidad de contar con un marco metodolgico para organizar las actividades
de Auditora Informtica, y as definir las pautas y los controles a considerar en las
futuras actuaciones de auditora. Esto se sustenta en el hecho que el uso de una
metodologa contrastada contribuye a:

Salvar las brechas existentes entre riesgos del proceso de gestin,

necesidades de control y aspectos tcnicos. Esto es debido a que los
riesgos de un proceso de gestin no son los mismos que los riesgos a que
se expone el sistema de informacin que le da apoyo. La Auditora
Informtica debe intentar asegurar que ambos estn controlados, o sea,

23

ajustados a las necesidades de control, o a lo que se asuma controlar, y a

los medios y recursos tcnicos disponibles.

Determinar el alcance de la tarea de auditora e identificar los controles

mnimos, que debe estar dirigida no slo a auditores informticos, sino
tambin a los gestores y a los usuarios.

Observar e incorporar los estndares y regulaciones nacionales o

internacionales. Al contar con una metodologa se podrn tener
predefinidos los procedimientos de actuacin, que aunque slo lleguen a
definir el qu y el cmo hacer las actuaciones, permitirn generar
resultados homogneos por los distintos miembros del equipo auditor. De
esta manera, el marco metodolgico adoptado tendr que definir las pautas
y los controles a realizar con relacin a los sistemas de informacin,
seguridad, planificacin, desarrollo de sistemas.

2.6 PROCESO DE AUDITORA

Segn Lpez Quezada, Juan (2001) Las actuaciones de Auditora

Informtica requieren una planificacin en tres niveles:

En el primer nivel se define qu se debe auditar, apoyndose en un anlisis

de riesgos de la organizacin, en requerimientos legales o en prioridades
de la direccin para la consecucin de sus metas.

En el segundo nivel se decide cundo auditar, priorizando las actuaciones

a realizar, y ajustando el alcance de las mismas a los recursos disponibles.
Esta planificacin se suele reflejar en un documento de planificacin
peridica de la unidad de auditora.

En el tercer nivel se estipula el detalle de cmo realizar las actuaciones

previstas en ese plan, que se desarrollarn en actuaciones concretas.

Esta planificacin debe seguir un proceso estructurado en las siguientes

fases:

24

2.6.1 Planificacin de las Actuaciones de Auditora

El equipo de auditora designado deber definir los trabajos a realizar para
poder cumplir los objetivos perseguidos con la actuacin, obteniendo toda la
informacin preliminar sobre la actividad llevada a cabo por el rea sujeta a la
auditora. Si el rea ha sido auditada con anterioridad, debe revisarse la
documentacin previa e identificar todos los cambios realizados desde entonces.

Con la informacin previa se podrn definir los objetivos detallados de la

actuacin, el calendario tentativo, identificar los interlocutores, establecer el tipo
de informacin a solicitar, y las verificaciones o pruebas de campo a efectuar
durante la actuacin.
2.6.2 Formalizacin del Inicio de la Actuacin

Se realiza mediante una notificacin del responsable de la unidad de

auditora dirigida al responsable de la unidad auditada, en la que se identifica al
equipo auditor y el objeto de la accin a llevar a cabo, aunque pueden darse
circunstancias que lleven a que no se enve notificacin previa.

Los trabajos comenzarn con una reunin entre el equipo auditor con el
mximo responsable de la unidad auditada, para dejar establecido el alcance y la
planificacin de los trabajos. Durante la entrevista se describir la informacin a
recopilar durante la actuacin, las pruebas y verificaciones a realizar.

El trabajo de los auditores debe minimizar las interferencias con la

operativa del rea auditada, evitando realizar la actuacin durante perodos de
trabajo estacional. Los auditados deben tener presente su deber de colaboracin
con el equipo auditor.

25

2.6.3 Trabajos de Campo

Se recopilar informacin sobre el proceso objeto de la actuacin con el fin

de obtener evidencias e identificar hallazgos que reflejarn las conclusiones de la
actuacin, aplicando alguna o varias tcnicas de auditora:

Revisin de documentos: Permitir que el equipo auditor adquiera el

entendimiento del entorno a auditar. Los documentos a estudiar sern
aquellos que especifiquen la estructura organizativa, las polticas, normas y
estndares y la documentacin general de los sistemas o procesos a
auditar.

Entrevistas: Tienen como finalidad la obtencin de informacin y

determinar el grado de conocimiento que tienen los entrevistados sobre el
sistema de control aplicado. Deben organizarse con antelacin suficiente,
siguiendo un patrn, y documentarse preferentemente con notas escritas.
Como material de apoyo pueden emplearse listas de verificacin o
cuestionarios.

Pruebas y verificaciones de campo: El propsito ser determinar si los

controles internos se encuentran operativos y funcionando segn lo
previsto. Para concluir que ello ocurre y se lleva a cabo, deben obtenerse
evidencias de una muestra significativa que permita cuantificar el nivel de
cumplimiento. Los tipos de pruebas dependern de la naturaleza de la
auditora.

Observacin del trabajo realizado: Permite identificar la falta de

formacin, mejoras para aumentarla productividad, simplificacin de
procesos, entendimiento de lo que realizan, carencias o vicios adquiridos.
En ningn momento el equipo auditor debe obstruir el trabajo realizado, y
debe documentar lo que considere relevante con los medios adecuados
(notas, fotografas.).

Uso de herramientas: Los entornos informticos plantean un desafo al

auditor TIC para obtener evidencias, ya que generalmente estn en medios
y soportes electrnicos. Las herramientas recolectan esa informacin, y
dada su diversidad, en muchos casos sera imposible la recoleccin y el

26

anlisis posterior. Adems, facilitan la generacin de muestras, se emplean

para interrogar los sistemas de informacin, para extraer informacin, y
para ordenarla segn criterios, asegurando objetividad en el proceso de
recoleccin de los datos.
2.6.4 Evaluacin de la Informacin

En esta fase se valorar el cumplimiento de las normas, de los

procedimientos o de los estndares reconocidos, y se determinar si los sistemas
tienen una estructura de control adecuada, efectiva en trminos econmicos, que
provea una adecuada seguridad que las tareas se realizan segn lo previsto, y
que el objetivo de control se cumple. Tambin se podrn identificar los procesos
de control para compensar las desviaciones sobre lo previsto, para as obtener
una estructura de control completa. Todo el anlisis debe estar justificado con
evidencias recogidas en la actuacin.

2.6.5 Comunicacin de los Resultados

Al final del proceso de la auditora se mantendr una reunin de cierre con

el mximo responsable de la unidad auditada, para informarle de los principales
hallazgos de la actuacin. El auditado tiene la oportunidad de influir en las
recomendaciones que incluir el informe final, dado que es imprescindible contar
con su opinin para asegurar que los resultados y las recomendaciones sean
razonables y posibles de llevarse a cabo.

A paso seguido, se redacta el borrador del informe, que incluir todos los
hechos, hallazgos, conclusiones y recomendaciones. En la redaccin del
documento se emplear un lenguaje claro, exento de tecnicismos, y el detalle
tcnico de las pruebas y evidencias se acompaar en anexos. El borrador se
remitir a la direccin del rea auditada, para que remita los comentarios por
escrito que estime convenientes.

Despus de revisar y en su caso tomar en consideracin las observaciones

remitidas sobre el borrador, se elaborar el informe final de la auditora. Si el
27

equipo de auditora no coincidiese con alguno de los comentarios realizados

sobre el borrador, debern ser explicadas las razones e incluidas en el informe
final. Las recomendaciones del informe podrn dar lugar a instrucciones dirigidas
a la direccin de la unidad auditada, sugiriendo acciones para resolver las
incidencias sealadas.
2.6.6 Seguimiento

Las recomendaciones incluidas en las instrucciones tendrn que ser

llevadas a cabo en un perodo de tiempo determinado despus de la recepcin
del informe. El trabajo de auditora no se podr dar por finalizado hasta que no se
compruebe la ejecucin de las recomendaciones, lo que dar lugar a un informe
de cumplimento. La oportunidad para realizar un seguimiento depender de la
gravedad de los hallazgos, y estar sujeta al criterio del auditor o de su direccin.

2.7 QUIENES SON LOS AUDITORES INFORMTICOS

Segn Mosquera, Deisy (2012) Los profesionales que por su formacin y

capacitacin profesional deben asumir la funcin de Auditora Informtica son sin
lugar a duda los profesionales TIC. En el mbito del sector privado existen
organizaciones profesionales que habilitan a un profesional como auditor
informtico mediante la certificacin profesional que gestionan. El modelo de
currculo que dichas organizaciones definen, y que un profesional debera
acreditar para ser reconocido como un auditor informtico, se basa en reas de
conocimiento, las que suelen ser:

Tcnica o metodologa de Auditora Informtica.

Gestin, planificacin y organizacin de las tecnologas de la informacin.

Infraestructura tcnica, prcticas operativas y proteccin de activos

informticos.

Recuperacin de desastres y continuidad de la actividad soportada por los

sistemas de informacin.

Desarrollo, adquisicin, implantacin y mantenimiento de sistemas de

informacin.
28

Evaluacin de procesos de negocio y gestin de riesgos.

La certificacin se obtiene despus de aprobar un examen sobre esas

materias, acreditar una experiencia profesional adecuada en el campo de las TIC

y aceptar un cdigo de tica profesional, y se mantiene acreditando una formacin
continua en la materia.

El auditor est sujeto a continuos cursos especficos sobre tcnicas de

auditora y sobre tcnicas de control de sistemas informticos. Se cubrira as que
el auditor informtico, como un tcnico o especialista informtico ms, recibiese
una formacin constante para actualizar sus conocimientos, capacidades y
habilidades. No obstante, cabe sealar otras reas no relacionadas con las TIC o
la auditora, que son igualmente fundamentales para cubrir el perfil del profesional
del auditor informtico, tales como la capacidad para poder:

Comprender los procesos de gestin de los servicios pblicos y la

normativa legal en que se apoyan los sistemas de informacin.

Evaluar programas y polticas pblicas.

Revisar y evaluar riesgos de reas gestionadas por las TIC.

Identificar o diagnosticar problemas y plantear soluciones.

Llenar el vaco de comunicacin entre usuarios y tcnicos.

Saber comunicar los temas claves a la direccin.

Saber negociar y resolver situaciones de conflicto.

Saber cundo solicitar asistencia de profesionales especializados.

Finalmente cabe sealar que los trabajos de auditora ms exitosos sern

aquellos en los cuales el equipo auditor y los auditados se consideren as mismo
como consultores y clientes respectivamente. El entendimiento y aplicacin de
este concepto tiende a establecer una relacin de trabajo ms constructiva, y
puede resultar en la mejora de la operativa de la unidad bajo revisin.

29

2.8 FUNCIONES DE AUDITORA INFORMTICA

Segn Quinteros, Jimi (2012) Se tiene presente que el principal objetivo

de la funcin de Auditora Informtica debe ser, asistir a los miembros de la
organizacin en el efectivo desempeo de sus responsabilidades, de forma que
se garantice la construccin de la confianza hacia la Administracin Electrnica,
los

auditores

informticos

deben

proveer

anlisis,

apreciaciones,

recomendaciones, consejos e informacin concernientes a las actividades

revisadas.

Sobre este particular, debe tenerse presente el ciclo de gestin de control,

en el cual la funcin de auditora tendra la misin de analizar la implementacin
de los controles y corregir la gestin proponiendo, en su caso, mejoras, y que se
resume en el esquema grfico. Ver Grfico N-1

La funcin de Auditora Informtica que se establezca dentro de una

organizacin para examinar y evaluar sus actividades debe ser considerada como
una apreciacin independiente al servicio de la misma para supervisar el control
establecido. Es un requisito previo para poder realizar Auditoras Informticas que
la organizacin tenga definida, documentada, conocida por todo el personal y
aplicada, una poltica de control.

2.8.1 Supervisin del Control

El marco metodolgico adoptado como instrumento para realizar las
Auditoras Informticas contemplar una serie de puntos de control de riesgos que
podrn ser identificados como aquellos a tener en cuenta en la actuacin y que
sern objeto de verificacin en funcin del alcance de la misma.

Las Auditoras Informticas suelen dirigirse al anlisis de situaciones de

riesgos informticos en reas de actividades concretas. La naturaleza de las
auditoras siempre depender del anlisis de riesgos que se haya realizado en la
organizacin, de los requerimientos legales a cumplir o de las prioridades de
control establecidas por la direccin de la organizacin.
30

A modo de ejemplo, se enumeran algunos tipos de Auditoras Informticas:

Auditora de la Direccin de las Tecnologas de la Informacin.

Auditora de la Seguridad: sistema de gestin de la seguridad, seguridad

fsica o seguridad lgica, seguridad en las redes de comunicaciones.

Auditora del Equipamiento Informtico: planificacin infraestructuras,

puestos de trabajo, redes de rea local, mantenimiento del parque e
inventarios.

Auditora de los Desarrollos y Mantenimiento de los Sistemas de

Informacin.

Auditora de Calidad de los Productos Desarrollados.

Auditora de la Explotacin de los Sistemas de Informacin.

Auditora de la Contratacin de Bienes y Servicios de Tecnologas de la

Informacin.

Auditora de Control de Accesos a los Sistemas de Informacin.

Auditora de Tcnica de Sistemas: sistemas operativos, bases de datos.

Auditora de la Gestin de la Continuidad del Servicio Informtico.

Acreditacin de Servicios de Confianza.

Auditoras de Cumplimiento de Requerimientos Legales: proteccin de

datos, aprobacin de programas que ejercen potestades, registros
telemticos.

2.8.2 Participacin Proactiva

El enfoque tradicional de la funcin de la auditora ha ido evolucionando, se
ha vuelto ms participativa, dando prioridad a un enfoque preventivo e intentando
actuar antes o durante el hecho. La tendencia actual, en el mbito de la Auditora
Informtica apunta a participar ms activamente en todos los proyectos y
decisiones, y en todos los aspectos de la tecnologa relacionada, para asegurar
que los activos de la organizacin estn siendo protegidos y que se establezcan
los controles internos adecuados para proteger los recursos informticos.

31

Adems de la supervisin del control, sera deseable que la funcin de

Auditora Informtica tuviera alguna participacin en otras fases del ciclo de
control, como en la planificacin y en la implantacin de los controles, pero
siempre asegurando el principio de independencia, ya que no es ticamente
aceptable auditar los controles que haya definido.

De esta manera se podra configurar una participacin de la funcin de

Auditora Informtica apoyando puntualmente a la unidad de la organizacin con
competencias TIC en la planificacin y el desarrollo o en el mantenimiento de los
sistemas de informacin de la organizacin, as como en la definicin de los
procedimientos a que dan soporte, por ejemplo, en las siguientes tareas:

Asegurando la existencia de controles internos razonables y adecuados.

Divulgando y fomentando el uso de buenas prcticas del sector.

Verificando la completa y apropiada documentacin de los sistemas y

procedimientos.

Asesorando sobre la implementacin de pistas de auditora adecuadas, es

decir que las aplicaciones registren informacin especfica para una futura
auditora del proceso al que sirven, y que la informacin registrada guarde
relacin con los riesgos relacionados con el proceso.

Sealando una adecuada salvaguarda de los activos de la organizacin y

el seguimiento de procedimientos adecuados.

Asegurando la eficiencia de la gestin de los recursos, evitando recurrir a

sistemas onerosos o a posteriores cambios de procedimientos.

Conviene sealar que la Auditora Informtica no debe perseguir como fin

nico la identificacin de deficiencias, errores, actos ilegales, fraudes, sino que
tambin tendr que poner de manifiesto las mejoras ms sustanciales alcanzadas
o las buenas prcticas seguidas por la unidad auditada.

32

CAPITULO III
LAS HERRAMIENTAS Y TCNICAS DE LA AUDITORA
INFORMTICA Y SUS REAS DE INFLUENCIA DENTRO DE LA
GESTIN EMPRESARIAL

3.1 ANTECEDENTES

Segn Mosquera, Deisy (2012). Una de las principales preocupaciones

de las Entidades Pblicas y Privadas que han realizado ingentes esfuerzos en la
implementacin de Tecnologas de Informacin, es que probablemente no ven
que las inversiones que han realizado den soluciones inmediatas, tangibles y
medibles; y all donde se vea una oportunidad de mejora, realmente estn
creando un problema difcil de administrar, controlar y caro de mantener.

La Auditora Informtica se constituye en una herramienta que gestiona la

Tecnologa de la Informacin en las entidades, a travs de auditoras internas y
externas.

El presente trabajo propone una metodologa de Auditora Informtica con

la finalidad de medir los riesgos y evaluar los controles en el uso de las
Tecnologas de Informacin, haciendo uso de tcnicas y estrategias de anlisis,
que permitan que la Auditora Informtica se convierta en una real y eficiente
herramienta de gestin de tecnologas de informacin, a disposicin de las
Entidades Pblicas.

3.2 REAS DE ACCIN DE LA AUDITORA INFORMTICA

Segn Quinteros, Jimi (2012). Se dividen en las siguientes reas:

33

3.2.1 Para la Compra de Equipos

Una de las reas de auditora ms conflictivas y sensibles en una
institucin es la funcin de adquisiciones que, tratndose de recursos informticos
se vuelve por dems interesante y muy sensible, debido a que se tiene que
establecer los procedimientos de adquisicin de los bienes informticos que van
desde la compra simple, hasta una licitacin en forma, ya sea por adjudicacin
directa, nacional o internacional si se requiere.

Entre los aspectos importantes que se deben observar al realizar la

auditora se encuentran:

Economa y factibilidad del posible proyecto de inversin, para la solucin

de los requerimientos planteados por la entidad evaluando su efectividad
de acuerdo a las metas y objetivos previamente planeados.

Se debe tener bien establecida la responsabilidad de los proveedores.

3.2.2 Para Equipos y Software

A partir del anlisis y definicin de requerimientos se debern explorar las
diferentes alternativas de solucin, realizando un estudio de factibilidad que
comprendan los siguientes elementos:

Factibilidad Econmica.- Estudio de costo-beneficio involucrando gastos

asociados a la adquisicin, considerando costos de entrenamiento al
personal y mantenimiento de equipos.

Factibilidad Operativa.- Orientado a evaluar si el equipo tendr la

capacidad de procesar la informacin con posibilidades de crecimiento
probadas.

Factibilidad Tecnolgica.- Aprovechar ntegramente la inversin que se

est realizando y no estar ligado a adquirir otro tipo de dispositivos para
poder hacer operativo el equipo inicialmente comprado.

34

Es importante tomar en cuenta la facilidad que tiene el proveedor para dar

mantenimiento en el propio lugar en donde se encuentra instalado el equipo o los
programas. Sino pues se entorpecen las operaciones en caso de que el
proveedor no ofrezca esta posibilidad. Esta condicin es an ms importante
cuando nos referimos a software especializado.

En la prctica se solicita la cotizacin, abrindose est en una fecha

determinada ante la presencia de todos los concursantes a fin de que no existan
favoritismos en la asignacin del perodo y este se canalice hacia la mejor
alternativa para la institucin. Estas cotizaciones debern incluir todas las
especificaciones tcnicas y operativas que debern cumplir para estar en
posibilidades de concursar.

Con estas propuestas se realizar una evaluacin de los equipos y

programas y se realizarn las pruebas de aceptacin previas. Se sugiere que los
resultados de las pruebas se alimenten a un sistema que asignara calificaciones y
en forma automtica sealara el ganador del concurso. Es necesaria que la
propuesta del proveedor sea revisada por el departamento legal de la institucin.

En caso de adquisicin de software es importante definir el nivel de

modificaciones que requiere para hacerlo operativo en la realidad, aceptando que
los paquetes responden a necesidades generales pero que requerirn de este
proceso de adecuacin razonable para hacerlos operativos.

Al trmino de esta actividad se autoriza la compra mediante la aprobacin

de la gerencia y se iniciar un sistema de seguimiento del proyecto de tal manera
que este se cumpla dentro de las estimaciones de costo y tiempo definidas. Punto
aparte es la capacitacin requerida y ofrecida por el proveedor al personal de
usuarios finales esto, tambin deber estar especificados en la propuesta inicial.

3.2.3 Para la Seguridad Fsica

La informacin y los recursos informticos son activos que deben ser

protegidos del acceso no autorizado. La seguridad fsica debe establecerse para
35

prevenir accesos innecesarios y/o no autorizados y registra los hechos

previniendo manipulaciones y destruccin intencionadas.

La auditora a la seguridad fsica se refiere a la revisin de las medidas de

control orientadas a la continuidad del servicio y dependen en gran parte de:

Los fenmenos naturales: incendios, terremotos, huracanes, tormentas,

inundaciones entre otros.

Actos intencionales de ex empleados, huelga, empleados alcohlicos,

drogados, ladrones profesionales, empleados con problemas econmicos
entre otros.

Todos estos aspectos derivan problemas para las instalaciones fsicas de

una organizacin por lo que los planes y polticas de accin pueden disminuir al
mnimo prdidas y daos. Por esta razn la organizacin corre peligro de:

Entrada no autorizada

Dao de equipo

Vandalismo

Robo de equipos y documentos

Copias, consultas y/o divulgacin de informacin confidencial

Alteracin de equipos sensibles

Cambio no autorizados de datos

El auditor evaluar, revisar y propondr polticas, procedimientos y

normas que fomenten a la proteccin y seguridad de las instalaciones fsicas
donde se albergue equipos de cmputo y similares. La seguridad fsica debe
proteger principalmente las reas de:

Sala de cmputo

Consola de operador

Impresoras

Equipos de teleproceso

36

Fuentes de poder

Bitcoras de cintas y discos magnticos

Bvedas de respaldo

Oficinas de control de entradas y salidas

Computadores y terminales remotos

rea de Programacin

El auditor revisar y verificar controles sobre:

Ubicacin de los equipos

Facilidad de acceso. Las rea extremadamente visibles son muy

vulnerables

Alimentacin de energa elctrica

Lneas telefnicas privadas

ndice de delincuencia en el sector

Empresas vecinas altamente contaminantes

ndice de fenmenos naturales: sismos, inundaciones.

3.2.4 Para Controles de Acceso

Un aspecto importante en la tarea del auditor es evaluar el control de

acceso, en la cual debe tener:

Control de puertas. El acceso slo debe permitirse a aquellas personas con

su respectiva clave

Guardias de seguridad

Cerraduras de combinacin, electrnicas o biomtricas

Cerraduras para terminales

Circuito cerrado de televisin

Alarmas

Registro de visitantes

Uso de credenciales para el acceso

Salidas de emergencia
37

Plantas de energa, reguladores de voltaje y sistema no-break

Respaldos

Contratos de mantenimiento preventivo y correctivo a todos los equipos e

instalaciones del rea de informtica.

3.2.5 Para la Seguridad Lgica

La identificacin de los usuarios es de vital importancia en todos los
niveles. En la actualidad, cada vez ms existe la tendencia que los usuarios
compartan los recursos de cmputo, por lo tanto el auditor debe preocuparse por:

Determinar que el mecanismo de acceso autorizado es capaz de prevenir

accesos no autorizados a los recursos.

Dadas las capacidades del mecanismo del control de acceso a los

sistemas de informacin, determinar si es suficiente

Los controles de frontera o controles de acceso establecen la interface

entre el usuario de un sistema y el computador mismo. Su propsito primario es
establecer la identificacin y la autenticacin del que pretende ser usuario del
sistema, para lo cual se necesita un mecanismo de control.

Es una realidad que cada vez ms recursos informticos: equipos,

programas y datos, son compartidos por un gran nmero de personas fsicamente
dispersas lo cual hace necesario implantar controles que garanticen que el acceso
a ellos se realiza de acuerdo al nivel jerrquico y funciones del personal
protegiendo a la instalacin de:

Destruccin accidental o intencional de equipos, datos

Mal uso de los recursos

Consulta y salida no autorizada de informacin y datos

38

3.2.6 Auditora a la Identificacin y Autenticacin

La identificacin puede definirse como el proceso de distinguir en forma
nica a un usuario de los dems mientras que la autenticacin consiste en
determinar si el individuo es quien dice ser. Es autntico para efectos de la
seguridad lgica, un usuario lo constituye cualquier persona que utiliza los
recursos informticos ya sea que pertenezca al rea informtica o no.

La identificacin, autenticacin y autorizacin de los accesos del personal

se logran mediante el uso de:

Informacin memorizada passwords o contraseas. Qu conoce el

usuario?

Objetos, tarjetas plsticas con banda magnticas, llaves, etc. Qu posee

el usuario?

Caractersticas personales: voz, huella digital, retina del ojo.

El medio ms comn para el control de acceso es la informacin

memorizada o palabras claves password y debe reunir las siguientes
caractersticas:

No menos de 4 caracteres

Alfanumricos para incrementar el nmero de combinaciones

No debe tener el nombre del usuario o cualquier otro dato personal

asignados por el propio usuario

Debe ser intransferible. Cada usuario es responsable del buen o mal uso
de la clave

No debe permitirse usar palabras anteriormente utilizadas

Nmero limitado de intentos de acceso

Internamente transformados en un cdigo secreto encriptados

No desplegables en pantalla

Cambiados peridicamente

39

Es de gran importancia concienciar al usuario para que no revelen los

passwords. Se debe enfatizar lo que estos representan en la reduccin de riesgos
de transferencia, modificacin, prdida o divulgacin accidental o intencional de
informacin confidencial.

3.3 HERRAMIENTAS Y TCNICAS PARA LA AUDITORA INFORMTICA

Segn LA UNIVERSIDAD AUTNOMA DEL ESTADO DE HIDALGO
(2011). Existen las siguientes herramientas:
3.3.1 Cuestionarios
Conjunto de preguntas a las que el sujeto puede responder oralmente o por
escrito, cuyo fin es poner en evidencia determinados aspectos:

Las Auditoras Informticas se materializan recabando informacin y

documentacin de todo tipo.

Los informes finales de los auditores dependen de sus capacidades para

analizar las situaciones de debilidad o fortaleza de los diferentes entornos.

El trabajo de campo del auditor consiste en lograr toda la informacin

necesaria para la emisin de un juicio global objetivo, siempre amparado
en hechos demostrables, llamados tambin evidencias.

Estos cuestionarios no pueden ni deben ser repetidos para instalaciones

distintas, sino ser diferentes y muy especficos para cada situacin, y muy
cuidados en su fondo y su forma.

3.3.2 Entrevistas

La entrevista es una de las actividades personales ms importante del

auditor en ella se recopila ms informacin, y mejor matizada que la
proporcionada por medios propios puramente tcnicos o por las respuestas
escritas a cuestionarios.

40

El auditor informtico experto entrevista al auditado siguiendo un cuidadoso

sistema previamente establecido consistente en que bajo la forma de una
conversacin correcta y lo menos tensa posible, el auditado conteste
sencillamente y con pulcritud a una serie de preguntas variadas, tambin sencillas
sin embargo esta sencillez a veces es solo aparente.

3.3.3 Checklist

El auditor profesional y experto es aquel que reelabora muchas veces sus

preguntas dependiendo los escenarios auditados y tiene claro lo que necesita
saber. Sus preguntas son vitales para el trabajo de anlisis, cruzamiento y
sntesis posterior.

3.3.4 Trazas o Huellas

Con frecuencia, el auditor informtico debe comprobar que los programas,
tanto de los sistemas como de usuario, cumplan exactamente las funciones
ordenadas y no otras. Para ello se apoya en productos potentes y modulares
que, entre otras funciones, rastrean los caminos que siguen los datos a travs del
programa. Las trazas se utilizan para verificar la ejecucin de las validaciones de
datos pronosticadas. Las trazas no deben alterar en lo absoluto al sistema.

3.3.5 Log

El log es un historial que informa qu fue cambiando y cmo fue cambiando

la informacin.

Las bases de datos, por ejemplo, utilizan el log para asegurar lo que se
llaman las transacciones. Las transacciones son unidades atmicas de
modificaciones dentro de una base de datos; toda esa serie de modificaciones
se encuadra dentro de una transaccin, y todo lo que va realizando la aplicacin
(grabar, modificar, borrar) dentro de esa transaccin, queda grabado en el log.

41

La transaccin tiene un principio y un fin, cuando la transaccin llega a su

fin, se vuelca todo a la base de datos. Si en el medio de la transaccin se cort
por alguna razn, lo que se hace es regresar. El log nos permite analizar
cronolgicamente que es lo que pas con la informacin que est en el Sistema o
que existe dentro de la base de datos.

3.3.6 Software de Interrogacin

Hasta hace ya algunos aos se han utilizado productos software llamados
genricamente paquetes de auditora, capaces de generar programas para
auditores apenas calificados desde el punto de vista informtico. Ms tarde,
dichos productos evolucionaron hacia la obtencin de muestreos estadsticos que
permitieran la obtencin de consecuencias e hiptesis de la situacin real de una
instalacin.

En la actualidad, los productos Software especiales para la Auditora

Informtica se orientan principalmente hacia lenguajes que permiten la
interrogacin de ficheros y bases de datos de la empresa auditada.

Estos productos son utilizados solamente por los auditores externos, por
cuanto los internos disponen del software nativo propio de la instalacin. Del
mismo modo, la proliferacin de las redes locales y de la filosofa "ClienteServidor", han llevado a las firmas de software a desarrollar interfaces de
transporte de datos entre computadoras personales y mainframe, de modo que el
auditor informtico copia en su propia PC la informacin ms relevante para su
trabajo.

Cabe recordar, que en la actualidad casi todos los usuarios finales poseen
datos e informacin parcial generada por la organizacin informtica de la
Compaa.

Efectivamente, conectados como terminales al "Host", almacenan los datos

proporcionados por este, que son tratados posteriormente en modo PC. El auditor
se ve obligado (naturalmente, dependiendo del alcance de la auditora) a recabar
42

informacin de los mencionados usuarios finales, lo cual puede realizar con suma
facilidad con los polivalentes productos descritos.

Finalmente, ha de indicarse la conveniencia de que el auditor confeccione

personalmente determinadas partes del Informe. Para ello, resulta casi
imprescindible una cierta soltura en el manejo de Procesadores de Texto,
paquetes de Grficos, Hojas de Clculo, entre otros.

43

IV. CONCLUSIONES
La Auditora Informtica es la indicada para evaluar de manera profunda,
una determinada organizacin a travs de su sistema de informacin
automatizado, de aqu su importancia y relevancia. Como siempre, la Auditora de
Sistemas debe hacerse por profesionales expertos, una auditoria mal hecha
puede

acarrear

consecuencias

drsticas

para

la

empresa

auditada,

principalmente econmicas. Toda empresa, pblica o privada, que posea

Sistemas de Informacin medianamente complejos, debe como meta contar con
personal altamente capacitado.
Si se realiza una Auditora Informtica, se debe revisar ciertos aspectos,
desde un amplio y metdico levantamiento de informacin planificado y donde se
incluyen medidas de seguridad que se deben de tomar. De lo contrario pueda que
se realice una mala auditora y no se cumpla con el objetivo de la misma que es
encontrar errores y corregirlos en caso que se detecten a tiempo y dar
recomendaciones para la mejora del rea en que se realice la supervisin.

Tomando en consideracin todas las investigaciones realizadas, se

concluye que la Auditora es dinmica, la cual debe aplicarse formalmente en toda
empresa, independientemente de su magnitud y objetivos; aun en empresas
pequeas, en donde se llega a considerar inoperante, su aplicacin debe ser
secuencial constatada para lograr eficiencia. Sus factores relevantes son tiempo,
lugar, personal, problemas administrativos, tamao de la empresa y el auditor en
el proceso de acumular y evaluar evidencia

44

BIBLIOGRAFA
Arjonilla Domnguez, Sixto; Medina Garrido, Jos. 2009. La gestin de los
sistemas de informacin en la empresa: Teora y casos prcticos. 10-55 pp.

Bernal Garca, Juan; Snchez Garca, Juan; Martnez Mara. 2008. 20

herramientas para la toma de decisiones. 15-46 pp.

Echenique, Jos. 2008. Auditora en Informtica. 2-55 pp.

Fernndez, Nubia.

2012. Importancia de la Auditoria Informtica en las

organizaciones.

Disponible

en:

http://www.enterate.unam.mx/Articulos/2005/octubre/auditoria.htm .
Consultada en la web el 20 de abril del 2012.

Flesher, Dale. 1992. 50 Years of progress. 86-92 pp.

Hernndez, Enrique. 2007. Auditoria Informtica: Un Enfoque Metodolgico y

Prctico. 25-46 pp.

Lpez Quezada, Juan. 2001. Introduccin a los Sistemas Informticos y auditora

de

un

Sistema

Informtico.

Disponible

en:

http://dis.um.es/~lopezquesada/documentos/IES_0910/DFSI/curso/UT4/UT
4.pdf. Consultada en la web el 19 de abril del 2012.

Mosquera,

Deisy.

2012.

Auditoria

Informtica.

Disponible

en:

www.utpl.edu.ec/ecc/wiki/index.php/Auditoria_Informtic. Consultada en la
web el 20 de abril del 2012.

Piattini, Mario; Del Peso, Emilio. 2007. Auditora informtica: Un enfoque

prctico. 36-120 pp.

45

Ponce, Nelly. 2006. Auditoria a la Gestin Informtica con una Visin de

Negocios Integral en una Empresa Comercial. 60-86 pp.

Quinteros, Jimi. 2012. Introduccin a la Auditoria de Sistemas. Disponible en:

http://www.slideshare.net/jjimiq/introduccin-a-la-auditoria-de-sistemas859043. Consultada en la web el 19 de abril del 2012.

Soto,

Lauro.

2010.

Auditoria

de

la

Informacin.

Disponible

en:

http://www.mitecnologico.com/Main/AuditoriaDeLaInformacion. Consultada
en la web el 18 de abril del 2012.

UNIVERSIDAD AUTNOMA DEL ESTADO DE HIDALGO. 2011. .Auditora

Informtica.

Disponible

en:

http://www.uaeh.edu.mx/docencia/P_Presentaciones/tlahuelilpan/sistemas/
auditoria_informatica/auditoria_informatica.pdf. Consultada en la web el 18
de abril del 2012.

Vargas Avils, Julio. 2009. Conceptos Bsicos de Auditora Informtica.

Disponible

en:

http://jrvargas.files.wordpress.com/2009/03/conceptos-

basicos-de-auditoria-informatica.pdf. Consultada en la web el 19 de abril

del 2012.

46

GLOSARIO DE TRMINOS

AUTENTICACIN.- Verificacin exclusiva y verdica de una clave o firma

electrnica asegurando que estas sean de la persona o institucin verdaderas.
CLIENTE-SERVIDOR.- Arquitectura de red en donde un PC central administra y
proporciona recursos a otros PC llamados estaciones.
ENCRIPTACIN.- Transformacin de texto legible (claves contraseas u otros), a
texto traducido en smbolos especiales difciles de interpretar y descifrar.
HARDWARE.- Corresponde a todas las partes tangibles de un sistema
informtico.
HELPDESK.- Lugar dentro de una organizacin destinado a asesoramiento y
bsqueda de soporte tcnico o administrativo.
HOST.-

Tambin llamado anfitrin, es un computador que funciona como el

punto de inicio y final de las transferencias de datos.

LOG.- Archivo de informacin histrica de sucesos diversos que usan muchos
programas para monitorear sus actividades.
SOFTWARE.- Se conoce como software al equipamiento lgico o soporte lgico
de un sistema informtico.
TIC._ Tecnologas de Informacin y Comunicacin.

47

ANEXOS

Auditora
Administrativa

Auditora
Operacional

Auditora
Contable

Auditora
Informtica

Naturaleza

Tcnica de
control
Administrativo

Tcnica de
control
Administrativo

Tcnica de
control
Administrativo

Tcnica de control
Administrativo

Propsito/
Objetivo

Evaluar y
mejorar la
administracin

Promover la
eficiencia de las
operaciones

Dictamen a los
estados
financieros

Evaluar los
recursos
informticos

Alcance

La eficiencia y
productividad
del proceso
productivo

La eficiencia de
las operaciones

El sistema
contable

Todas las
actividades
informticas

Fundamento

La ciencia
administrativa y
la normatividad
de la empresa

La ciencia
administrativa y
la normatividad
de la empresa

Principios de
contabilidad y
normas de
auditoria

Normatividad
institucional y legal

Metodologa

Apoyado en
mtodos
cientficos

Tcnicas y
procedimientos

Tcnicas y
procedimientos

predeterminados

predeterminados

Tcnicas y
procedimientos
predeterminados

Aplicacin

A la empresa y
sus funciones
bsicas

A las funciones
de la empresa

A los estados
financieros

A todas las reas

de la empresa

Proyeccin

Hacia el futuro

Hacia el futuro

Hacia el pasado

Hacia el futuro

Amplio

Amplio

Preciso

Amplio y Preciso

Informe

Cuadro N- 1.Tipos de Auditora y sus actividades

48

PLANIFICACIN

MANTENIMIENTO

IMPLEMENTACIN

Y MEJORA

Y EJECUCIN
MONITOREO

Y EVALUACIN

Grfico N-1. Funciones de Auditora Informtica

49