Desarrollo Del Silabo de Sistemas Computacionales de Auditoria

UNIVERSIDAD ESTATAL DEL SUR DE MANABI
Creada mediante Ley N 2001-38, publicada en el Registro Oficial 261 del 7 de Febrero del 2001
CARRERA DE INGENIERA EN AUDITORIA
DESARROLLO DEL SILABO DE SISTEMAS COMPUTACIONALES DE

AUDITORIA
Unidad N 1
ASPECTOS GENERALES DE LA AUDITORA DE SISTEMAS.
INTRODUCCIN
Cada da es mayor el nmero de situaciones irregulares que se presentan, como
consecuencia del uso y aplicacin de la Tecnologa de Informacin (T. I.), en las
diferentes organizaciones, entidades, empresas y compaas en general.
El conocimiento de esta tecnologa se ha ampliado a todas las esferas; la gente aprende
cada da ms, se vuelve ms estudiosa y conocedora, pero no todos estn orientados
puramente al conocimiento como aumento de calidad en todos los campos; a algunos les
interesa aprender ms que todo, para ver cmo efectan o generan irregularidades en
provecho propio, o que como producto de lo que conocen, adquieren destreza para
utilizarlas con fines alevosos y malintencionados; situacin que ligada a la prdida de
valores morales, ticos y religiosos en todos los niveles y estratos de la sociedad, ha
originado todo tipo de acciones fraudulentas, y que se haga imposible para la
administracin, establecer controles que disminuyan los riesgos presentados.
Aunado a lo anterior, las aperturas comerciales, la globalizacin, las alianzas
estratgicas, y las integraciones de todo tipo, de alguna manera han venido a complicar
la situacin en cuanto al sistema de control interno se refiere; tambin han recargado las
funciones que deben realizar los auditores.
Los aspectos citados han generado tambin, un desajuste en todos los campos
relacionados con la T. I.; nadie sabe qu hacer, ni cmo hacerlo; unos dicen:
"...eso no me corresponde a m, "le toca" a los tcnicos expertos en cmputo."
Sistemas Computarizados de Auditora

Los informticos manifiestan: "...los usuarios no colaboran, no saben lo que quieren..."

La Alta Administracin, no participa y delega en otros las funciones y actividades que le
corresponden.
Los usuarios jefes, nicamente solicitan trabajos a cmputo, sin participacin activa, y
dicen:
"...Yo no s de cmputo, pero entiendo que todo es muy fcil..."
La Auditora Interna, ha participado muy poco en todos los procesos, ms que todo por
desconocimiento y por temor a perder la independencia, tambin por influencia de la
Alta Administracin, quien no los deja "participar".
La Auditora en Sistemas de Informacin (ASI): se ha preocupado ms en las revisiones
posteriores de lo ya realizado (cuando ya es tarde), que en el establecimiento de
controles preventivos.
Todos los aspectos citados, han tenido gran influencia en la situacin actual de los
sistemas de informacin diseados y desarrollados en la mayora de nuestras
organizaciones; situacin que debe cambiar ya, (debi cambiar hace unos 20 ms
aos), y somos nosotros, los mismos auditores quienes debemos ser agentes de este
cambio.
POSICIN ACTUAL DE LA AUDITORA
La mayor preocupacin de los auditores hoy en da, en especial los que no son auditores
de sistemas de informacin, y algunos de stos tambin, es poder utilizar el computador
para realizar las auditoras "por dentro del mismo", en la revisin de los datos que
contiene; y no se han dado cuenta todava, (a pesar de estar tan avanzada esta
especializacin, tanto en mtodos, tcnicas, pronunciamientos, tecnologa, y
herramientas, as como en el tiempo), que esta tarea es muy sencilla y que, ms que todo
es parte sustancial de la Auditora Financiera.

Esta parte de las pruebas en la ASI es importante tambin, pero no lo de mayor peso; es
lo ltimo que se lleva a cabo, en la parte de la evaluacin de sistemas en operacin.
Por estar pendientes de lo anterior, no han querido hacer, ms que todo porque piensan o
creen que no estn realizando ASI, lo que verdaderamente les corresponde llevar a cabo:
evaluar los procesos que no requieren de un computador para efectuarlo, como son:
o
Gestin Informtica.
Controles Generales.
Procesos de Adquisiciones.
Planificacin.
Seguridad.
Mantenimiento de Equipo y Sistemas.
Diseo y Desarrollo de Sistemas.
Evaluacin y Anlisis de Riesgos.
No se debe perder de vista que el control de la calidad debe estar al inicio de los
procesos, no al final cuando ya el producto est terminado; tal vez con defectos o fallas
de origen, que se presentan precisamente por la falta de visin y revisin en la parte
inicial de todo proyecto, que es en donde se plantean las bases para el mismo; adems,
estas fallas o deficiencias son muy difciles de corregir, y si se logra, resulta con un alto
costo de recursos para la organizacin, adems de la desmotivacin y frustracin del
personal que particip en su desarrollo, y del consecuente "enojo" con los auditores por
efectuar las revisiones y criticar cuando el trabajo est terminado y no al principio que
es cuando ellos lo necesitan, como soporte, colaboracin y ayuda a su labor.

EL CAMBIO
Si desean continuar revisando al final, no existe nada que lo impida, pero es importante
que nos propongamos a realizar el cambio que se necesita, para que se atiendan una
serie de aspectos que se han dejado de lado y que son bsicos para lograr que se diseen
sistemas de informacin como los requieren nuestras organizaciones y que tengan las
protecciones, seguridades y controles que permitan su adecuado y correcto
funcionamiento, y que soporten los embates de los que intenten violentarlos para
cometer actos irregulares.
Este cambio se refiere a que dejemos de ser REVISORES y nos convirtamos en
ASESORES Y CONSULTORES, en aquellos puntos o aspectos de la T.I. en que se ha
venido fallando desde sus inicios con el computador ENIAC en 1945, como es el:
"CICLO DE VIDA DEL DESARROLLO DE SISTEMAS" (CVDS)
y algunos otros conceptos relacionados con l.
Es en este campo en donde reside el fundamento y la base de:
o
Los Sistemas de Informacin.
La aplicacin correcta de la Tecnologa de Informacin.
La administracin de la informacin.
El sistema de control interno.
La Auditora de Sistemas de Informacin.
Los procesos de Reingeniera.
Los Sistemas como soporte de la Productividad.
APLICACIN DEL CAMBIO

Se debe aprovechar la T. I. para aplicar los conceptos de la Reingeniera; por lo tanto si

queremos verdaderamente colaborar con nuestras entidades, debemos comenzar por
efectuar reingeniera en nuestra forma de realizar las actividades de auditora,
(disminucin de papeles de trabajo; menos procedimientos y procesos; eliminacin de
tareas paralelas; aumento en la participacin y mayor valor agregado), si deseamos que
los Sistemas de Informacin cumplan con la funcin para los cuales se conciben y
desarrollan, entonces variemos sustancialmente la forma de realizar nuestro trabajo, de
ahora en adelante (ahora significa HOY, no la espera de otros 10 15 aos) vamos a:
ASESORAR, NO A REVISAR.
El CVDS se divide para efectos de su aplicacin en dos partes:
o
Tcnica
Administrativa.
La primera de ellas se conoce y se est manejando bastante bien, aunque slo sea por
los tcnicos en Informtica y Cmputo; slo resta que le hagamos ver a la Alta
Administracin, que deben velar porque los tcnicos mencionados, la lleven a cabo en
todos sus extremos y que se cumpla a cabalidad con todos sus requisitos esenciales, que
se citan a continuacin:
o
reas de Control (Planificacin; Diseo; Desarrollo e Implantacin)
Etapas correspondientes a cada rea de control, independientemente de la

metodologa que se
emplee.
Actividades de cada una de las etapas
Productos Finales de cada una de las etapas
Participantes en el proceso total.

Realizando esta parte con cuidado y esmero, con la participacin de todos los
involucrados y el apoyo irrestricto de la Alta Direccin, y agregando los aspectos que se
citan en la parte administrativa, se podr en un futuro cercano, contar con sistemas de
informacin que cumplan su verdadera misin:
"Suministrar datos e informacin que soporten la toma de decisiones, a todos los niveles
de la organizacin, con lo que asisten a la consecucin de objetivos y metas."
Debe tenerse muy en cuenta que ambas partes citadas deben verse como una sola a la
hora de desarrollar una aplicacin, no puede ni debe desligarse una de la otra, y por ms
bien que funcione una de ellas, si la otra no funciona de igual manera, continuaremos
con la cantilena de siempre:
" que los sistemas de informacin no estn bien...";
para no decirlo de otra manera.
As que tambin debe ponrsele mayor atencin todava, a la segunda de las partes
citadas, ya que sta no depende en absoluto de los tcnicos, sino ms bien de la
Administracin, y es en este captulo en donde se ha estado fallando mucho, ms que
todo por:
o
Falta de involucracin de la Alta Direccin
Dejar en manos de los tcnicos todo el proceso
Exigencias e imposiciones de la Alta Direccin
Necesidad de los tcnicos de cumplir con lo solicitado aunque no est

bien definido
Falta de integracin
El tomar la herramienta de cmputo como un ente "solucionador de

problemas"

El no saber distinguir los diferentes tipos de sistemas de informacin
La ausencia de Polticas, Estndares y Procedimientos
El desconocimiento de lo que es el CVDS y el grado de participacin de

los involucrados.
TIPOS DE AUDITORA Existen algunos tipos de Auditora entre las que la Auditora
de Sistemas integra un mundo paralelo pero diferente y peculiar resaltando su enfoque
a la funcin informtica.
Es necesario recalcar como anlisis de este cuadro que Auditora de Sistemas no es lo
mismo que Auditora Financiera.
Entre los principales enfoques de Auditora tenemos los siguientes:
Financiera:
Veracidad de Estados Financieros
Preparacin de Informes de Acuerdo a los Principios Contables
Operacional
Evala:
Eficiencia
Eficacia
Economa
Sistemas:
Se preocupa de la funcin Informtica
Fiscal:
Se dedica a observar el cumplimiento de la Leyes Fiscales.
Administrativa
Analiza:
Logros de los Objetivos de la Administracin

Desempeo de Funciones administrativas

Calidad
Evala:
Mtodos
Mediciones
Controles
De los bienes y servicios
Social:
Revisa la contribucin a la sociedad as como la participacin en actividades
socialmente orientadas.
REAS A ASESORAR
Debido a la labor de revisores que se ha venido efectuando, tarea que no ha dado un
aporte significativo a la administracin, la Auditora de Sistemas debe tomar una nueva
orientacin: convertirse en ASESORES y CONSULTORES de la Alta Administracin,
en aquellos campos que han sido "delegados" casi en exclusiva, a los tcnicos en
cmputo. Estos campos especficos son: Estudios Administrativos, Polticas, Estndares
y Procedimientos, Mejoramiento del CVDS, Planificacin, Administracin de
Proyectos, Seguridad y Procesos de Adquisiciones, entre otros. Las mejoras en los
puntos citados, dar sistemas de informacin acordes con la Tecnologa de Informacin
y con los objetivos de toda entidad.
A continuacin se enumeran y en algunos casos se detallan, las reas que se consideran
de mayor importancia, dentro del CVDS, en las que los auditores pueden asesorar a la
Alta Direccin, y a los encargados de llevar a cabo los procesos de diseo y desarrollo.
POLTICAS, ESTNDARES Y PROCEDIMIENTOS

Es esencial para todo proceso computacional que estos tres conceptos se redacten, se
integren en manuales, se divulguen, se apliquen y se establezcan sanciones para quienes
los incumplan o traten de hacerlo.
Las metodologas y tcnicas de desarrollo que se apliquen deben estar sustentadas en
estos tres conceptos.
PLANIFICACIN
Los planes de cmputo en cuanto a:
o
Desarrollo
Mantenimiento
Adquisiciones
Educacin
Vacaciones
Contingencias
Recuperacin en Caso de Desastre
y cualquier otro relacionado, deben estar por escrito, actualizados, ser divulgados y
conocidos, adems, deben estar integrados con los planes generales de la organizacin,
en los tres conceptos tradicionales de:
o
Estratgico
Tctico y
Operativo.
Deben adicionarse e integrarse los comits, de Informtica y de Usuarios, as como los

puntos claves o crticos de control, como parte del proceso de planificacin.

ESTUDIOS ADMINISTRATIVOS PREVIOS

Debe establecerse como poltica que antes de iniciar el diseo y desarrollo de cualquier
aplicacin, se realice un estudio administrativo/operativo del sistema, con el fin de
detectar, antes de computadorizarlo, cualquier problema, anomala, deficiencia o
situacin que requiera atencin, para no trasladar estas situaciones a la aplicacin una
vez automatizada.
Este estudio servir a la vez para revisar los procesos, procedimientos, funciones, tareas,
tiempos, movimientos, etc., que de alguna manera se utilice tambin, para realizar
reingeniera; adems, ser de gran ayuda, como "entrada" al estudio de factibilidad.
Es importante que este estudio se efecte totalmente antes de iniciar cualquier proceso
relacionado con el desarrollo del sistema, y que las recomendaciones, disposiciones, y
normativa que emanen de l, se pongan a funcionar antes de iniciar el diseo de la
aplicacin bajo estudio.
ESTUDIO DE FACTIBILIDAD
Los objetivos de control exigen que para todo sistema que se disee, debe realizarse un
estudio de factibilidad, previa definicin de requerimientos, y para cada una de las
opciones revisadas, sugeridas y evaluadas, que comprenda al menos tres factibilidades:
4.1 Factibilidad Tecnolgica
Que la tecnologa seleccionada funcionar de manera correcta y adecuada, y sin
menoscabo del sistema, una vez puesto en operacin y por la vida del mismo. Que la
aplicacin soportar cambios sustanciales en la tecnologa sin tener que realizar
modificaciones importantes en l.
4.2 Factibilidad Operacional
Que el sistema una vez puesto en operacin funcionar de acuerdo con los criterios bajo
los cuales se dise y que no ofrecer problemas de carcter tcnico ni administrativo.
10

4.3 Factibilidad Econmico / Financiera

Que los beneficios (tangibles e intangibles) y ahorros superen a los costos; que los
ndices financieros que se calculen sean aceptables, de acuerdo con polticas y
estndares generales y especficos; que el proyecto tenga contenido econmico y est
contemplado en el presupuesto respectivo.
Como mnimo deben calcularse las siguientes razones:
o
Tasa Interna de Retorno
Valor Neto Presente
Perodo de Recuperacin
Y, el total de los beneficios netos.
Dependiendo de los resultados de este estudio se determinar si se contina o no con el

proyecto.
PRODUCTOS TERMINADOS
Los proyectos computacionales de desarrollo deben cumplir con todos los productos
finales de cada una de las etapas en que se divide el CVDS, cualquiera que sea la
metodologa que se haya empleado.
Adems, estos productos finales deben estar revisados, probados y aprobados por los
usuarios.
ADMINISTRACIN DE PROYECTOS
El diseo y desarrollo de un sistema, as como el mantenimiento mayor, debe manejarse
como un verdadero proyecto; como tal deben establecerse los procedimientos y medios
para lograrlo.
Los aspectos que deben ser tomados en cuenta, entre otros, son:
11

Definicin del grupo de trabajo (Comit de Usuarios)
Designacin del Administrador del Proyecto (Representante de la Alta

Direccin)
Establecimiento de las actividades a realizar, en detalle
Definicin del cronograma de actividades
Establecimiento de fechas de reuniones de seguimiento
Clculos y redaccin de Presupuestos en horas y dinero
Redaccin de minutas
Forma de contabilizar los costos
Asignacin de tareas adicionales
SEGURIDAD
Este concepto, tan dejado de lado muchas veces, es de vital importancia en todos los
procesos de las organizaciones; se debe insistir para que se le d el valor que tiene, en
especial en los procesos computacionales; los sistemas de informacin deben contar,
desde su implantacin, con los esquemas de seguridad que los protegen contra los
intentos no autorizados a sus datos, archivos y programas. Deben establecerse dos
niveles de seguridad:
o
Seguridad Fsica.
Seguridad Lgica.
Adems de la gestin administrativa / operativa que debe realizarse en cuanto a la

misma; administracin que debe contemplar la integracin de todos los aspectos de
seguridad que imperen en la entidad.
PROCESOS DE ADQUISICIONES
12

Los procesos de compra de Tecnologa de Informacin, deben estar sustentados en

Polticas, Procedimientos, Reglamentos y Normatividad en General, que aseguren que
todo el proceso se realiza en un marco de legalidad y cumpliendo con las verdaderas
necesidades de la organizacin para hoy y el futuro, sin caer en omisiones, excesos o
incumplimientos.
OTROS
El auditor de sistemas de informacin puede, dentro de su planificacin, revisar si
existen debilidades en otras reas de su empresa, en la que pueda asistirlos y ayudarlos
como asesor y consultor, de esta manera podemos decir que entraremos en un cambio de
siglo, con nuevos conceptos, actitudes y mentalidades para realizar nuestra labor,
dndole un nfasis mucho ms atractivo para los auditados, cual es el "VALOR
AGREGADO" en nuestras recomendaciones.
CONCEPTO DE AUDITORIA DE SISTEMAS.
Es el examen o revisin de carcter objetivo (independiente), crtico (evidencia),
sistemtico (normas), selectivo (muestras) de las polticas, normas, prcticas, funciones,
procesos, procedimientos e informes relacionados con los sistemas de informacin
computarizados, con el fin de emitir una opinin profesional (imparcial) con respecto a:
Eficiencia en el uso de los recursos informticos.
Validez de la informacin
Efectividad de los controles establecidos.
OBJETIVOS GENERALES DE UNA AUDITORA DE SISTEMAS

Buscar una mejor relacin costo-beneficio de los sistemas automticos o
computarizados diseados e implantados por el PAD
Incrementar la satisfaccin de los usuarios de los sistemas computarizados
Asegurar una mayor integridad, confidencialidad y confiabilidad de la
informacin mediante la
recomendacin de seguridades y controles.
Conocer la situacin actual del rea informtica y las actividades y esfuerzos
necesarios para lograr los objetivos propuestos.
13

Seguridad de personal, datos, hardware, software e instalaciones.

Apoyo de funcin informtica a las metas y objetivos de la organizacin.
Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente
informtico.
Minimizar existencias de riesgos en el uso de Tecnologa de informacin.
Decisiones de inversin y gastos innecesarios.
Capacitacin y educacin sobre controles en los Sistemas de Informacin.
h) Falta de documentacin o documentacin incompleta de sistemas que revela
la dificultad de efectuar el mantenimiento de los sistemas en produccin.
CARACTERSTICAS DE LA AUDITORIA DE SISTEMAS.

La informacin de la empresa y para la empresa, siempre importante, se ha convertido
en un activo Real de la misma, como sus stocks o materias primas si las hay. Por ende,
han de realizarse inversiones informticas. Del mismo modo, los sistemas informticos
han de protegerse de modo global y particular: A ello se debe la existencia de la
Auditora de Seguridad Informtica en general, o a la Auditora de Seguridad de alguna
de sus reas, como pudieran ser Desarrollo o Tcnica de Sistemas.
Cuando se producen cambios estructurales en la informtica, se reorganiza de alguna
forma su funcin: Se esta en el campo de la Auditora de Organizacin Informtica.
Estos tres tipos de Auditora engloban a las actividades auditoras que se realizan en una
Auditora parcial. De otra manera: cuando se realiza una Auditora del rea de
Desarrollo de Proyectos de la Informtica de una empresa, es porque en ese desarrollo
existen, adems de ineficiencias, debilidades de organizacin, o de inversiones, o de
seguridad, o alguna mezcla de ellas.
a) Sntomas de Necesidad de una Auditora Informtica: Las empresas acuden a las
Auditora externas cuando existen sntomas bien perceptibles de debilidad. Estos
sntomas pueden agruparsen en clases:
b) Sntomas de descoordinacin y Desorganizacin:
- No coinciden los objetivos de la informtica de la compaa y de la propia compaa
14

- Los estndares de productividad se desvan sensiblemente de los promedios

conseguidos
habitualmente. ( Puede suceder con algn cambio masivo de personal, o
en una reestructuracin fallida de alguna rea o en la modificacin de alguna norma

importante.)
c) Sntomas de mala imagen e insatisfaccin de los usuarios:
- No se atienden las peticiones de cambios de los usuarios. (Ej. Cambios de software en
los terminales de usuario, refrescamiento de paneles, variacin de los ficheros que
deben ponerse diariamente a su disposicin, etc.)
- No se reparan las averas de hardware, no se resuelven incidencias en plazos
razonables. El usuario percibe que esta abandonado y desatendido permanentemente.
- No se cumplen en todos los casos los plazos de entrega de resultados peridicos.
Pequeas desviaciones pueden causar importantes desajustes en al actividad del usuario,
en especial en los resultados de aplicaciones criticas y sensibles.
d) Sntomas de debilidades econmico - financiero:
- Incremento desmesurado de costos
- Necesidad de justificacin de inversiones informticas (La empresa no esta
absolutamente convencida de tal necesidad y decide contrastar opiniones)
- Desviaciones presupuestarias significativas
- Costos y plazos de nuevos proyectos (deben auditarse simultneamente a desarrollo de
proyectos y al rgano que realizo la peticin).
e) Sntomas de inseguridad: Evaluacin de riesgos
- Seguridad Lgica
- Seguridad Fsica
- Confidencialidad (Los datos son de propiedad inicialmente de la organizacin que los
genera. Los datos de personal son especialmente confidenciales)
- Continuidad del servicio. Establece la estrategias de continuidad entre fallo mediante
planes de contingencia.(
15

- Centro de proceso de datos fuera de control. Si tal situacin llegara a percibirse, sera
prcticamente intil la Auditora. El sntoma debe ser sustituido por el mnimo indicio.
JUSTIFICATIVOS PARA EFECTUAR UNA AUDITORIA.
a) Aumento considerable e injustificado del presupuesto del PAD (Departamento de
Procesamiento de Datos)
b) Desconocimiento en el nivel directivo de la situacin informtica de la empresa
c) Falta total o parcial de seguridades lgicas y fsicas que garanticen la integridad del
personal, equipos e informacin
d) Descubrimiento de grandes efectuados con el computador
e) Falta de planificacin informtica
f) Organizacin que no funciona correctamente, falta de polticas, objetivos, normas
metodologa, asignacin de tareas y adecuada administracin del recurso humano.
g) Descontento general de los usuarios por incumplimiento de plazos y mala calidad de
los resultados
Unidad N 2
TIPOS Y CLASES DE AUDITORAS INFORMTICAS Y LAS TICS.
Dentro de las reas generales, es posible establecer las siguientes divisiones:

a) Auditoria Informtica de Explotacin
b) Que es Auditoria Informtica de Sistemas?
c) Que es Auditoria Informtica de Comunicaciones?
d) Auditoria Informtica de Desarrollo de Proyectos
e) Que es Auditoria Informtica de Seguridad?
Debe evaluarse la diferencia entre la generalidad y la especificacin que posee la

Seguridad. Segn ella, realizarse una Auditoria Informtica de la Seguridad del entorno
global de la informtica, mientras en otros casos puede auditarse una aplicacin
16

concreta, en donde ser necesario analizar la seguridad de la misma. Cada rea

especfica puede ser auditada con los criterios que detallamos:
Desde su propia funcionalidad interna.
Con el apoyo que recibe de la Direccin, y en forma ascendente, del grado de
cumplimiento de las directrices de que sta imparte.
Desde la visin de los usuarios, destinatarios verdaderos de la informtica.
Desde el punto de vista de la seguridad, que ofrece la Informtica en general o la
rama auditada.
Las combinaciones descritas pueden ser ampliadas o reducidas, segn las caractersticas
de la empresa auditada. Las Auditorias ms usuales son las referidas a las actividades
especficas e internas de la propia actividad informtica.
a) AUDITORIA INFORMTICA DE EXPLOTACIN La Explotacin Informtica
se ocupa de producir resultados informticas de todo tipo: listados impresos, archivos
magnticos para otros informticos, rdenes automatizadas para lanzar o modificar
procesos industriales, etc.
Para realizar la Explotacin informtica se dispone de materia prima los Datos, que es
necesario transformar, y que se someten previamente a controles de integridad y
calidad.
La transformacin se realiza por medio del Proceso Informtico, el cual est dirigido
por programas. Obtenido el producto final, los resultados son sometidos a controles de
calidad, y finalmente son distribuidos al cliente, al usuario. En ocasiones, el propio
cliente realiza funciones de reelaboracin del producto terminado.
Para mantener el criterio finalista y utilitario, el concepto de centro productivo ayuda a
la elaboracin de la Auditoria de la Explotacin. Auditar Explotacin consiste en auditar
las secciones que la componen y sus interrelaciones.
Las Bsicas son la planificacin de la produccin y la produccin misma de resultados
informticos. El auditor debe tener en cuenta que la organizacin informtica est
supeditada a la obtencin de resultados en plazo y calidad, siendo subsidiario a corto
plazo cualquier otro objetivo.
17

Se quiere insistir nuevamente en que la Operatividad es prioritaria, al igual que el plan

crtico diario de produccin que debe ser protegido a toda costa.
Control de entrada de datos
Se analiza la captura de informacin, plazos y agenda de tratamiento y entrega de datos,
correccin en la transmisin de datos entre plataformas, verificacin de controles de
integridad y calidad de datos se realizan de acuerdo a Norma.
Planificacin y Recepcin de Aplicaciones
Se auditarn las normas de entrega de Aplicaciones, verificando cumplimiento y calidad
de interlocutor nico. Debern realizarse muestras selectas de la documentacin de las
Aplicaciones explotadas. Se analizarn las Libreras que los contienen en cuanto a su
organizacin y en lo relacionado con la existencia de Planificadores automticos
o semiautomticos.
Centro de Control y Seguimiento de Trabajos
Se analizar cmo se prepara, se lanza y se sigue la produccin diaria de los procesos
Batch, o en tiempo real (Teleproceso).
Las Aplicaciones de Teleproceso estn activas y la funcin de Explotacin se limita a
vigilar y recuperar incidencias, el trabajo Batch absorbe buena parte delos efectivos de
Explotacin. Este grupo determina el xito de la explotacin, ya que es el factor ms
importante en el mantenimiento de la produccin.
Operadores de Centros de Cmputos Es la nica profesin informtica con trabajo
de noche. Destaca el factor de responsabilidad ante incidencias y desperfectos. Se
analiza las relaciones personales, coherencia de cargos y salarios, la equidad de turnos
de trabajos.
Se verificar la existencia de un responsable del Centro de Cmputos el grado de
automatizacin de comandos, existencia y grado de uso de Manuales de Operacin,
existencia de planes de formacin, cumplimiento de los mismos y el tiempo transcurrido
para cada operador desde el ltimo Curso recibido.
18

Se analizar cantidad de montajes diarios y por horas de cintas o cartuchos, as como los
tiempos transcurridos entre la peticin de montaje por parte del Sistema hasta el
montaje real.
Centro de Control de Red y Centro de Diagnosis
El Centro de Control de Red suele ubicarse en el rea de Explotacin. Sus funciones se
refieren al mbito de Comunicaciones, estando relacionado con la organizacin de
Comunicaciones Software de Tcnica de Sistemas.
Debe analizarse la fluidez de esa relacin y el grado de coordinacin entre ambos, se
verificar la existencia de un punto focal nico, desde el cual sean perceptibles todas las
lneas asociadas a los Sistemas.
El Centro de Diagnosis (Help-desk) es el ente en donde se atienden las llamadas de los
usuarios-clientes que han sufrido averas o incidencias, tanto de software como de
hardware. En funcin del cometido descrito, y en cuanto a software, est relacionado
con el Centro de Control de Red.
El Centro de Diagnosis indicado para empresas grandes y usuarios dispersos en un
amplio territorio, es un elemento que contribuye a configurar la imagen de la
Informtica de la Empresa. Debe ser auditado desde esta perspectiva, desde la
sensibilidad del usuario sobre el servicio que se le dispensa.
b) AUDITORIA INFORMTICA DE SISTEMAS

Se ocupa de analizar la actividad propia de lo que se conoce como "Tcnica de
Sistemas "en todas sus facetas. En la actualidad, la importancia creciente de las
telecomunicaciones ha propiciado que las Comunicaciones, Lneas y Redes de las
instalaciones informticas, se auditen por separado, aunque formen parte del entorno
general de "Sistemas".
Vamos a detallar los grupos a revisar:
a) Sistemas Operativos
19

Proporcionados por el fabricante junto al equipo. Engloba los Subsistemas de

Teleproceso, Entrada/Salida, etc. Los Sistemas deben estar actualizados con las
ltimas versiones del fabricante, indagando las causas de las omisiones si stas se
han producido. El anlisis de las versiones de los S.O. permite descubrir posibles
incompatibilidades entre algunos productos de Software adquiridos por la
instalacin y determinadas versiones.
Deben revisarse los parmetros de las Libreras importantes de los Sistemas,
especialmente si difieren de los valores aconsejados por el constructor.
b) Software Bsico
Conjunto de productos que, sin pertenecer al Sistema Operativo, configuran
completamente los Sistemas Informticos, haciendo posible la reutilizacin de
funciones bsicas no incluidas en aqul. Cmo distinguir ambos conceptos ?La
respuesta tiene un carcter econmico.
El Software bsico, o parte de l es abonado por el cliente a la firma constructora,
mientras el Sistema Operativo y algunos programas muy bsicos, se incorporan a la
mquina sin cargo al cliente.
Es difcil decidir si una funcin debe ser incluida en el SO o puede ser omitida. Con
independencia del inters terico que pueda tener la discusin de si una funcin es o
no integrante del SO, para el auditor es fundamental conocer los productos de
software bsico que han sido facturados aparte.
Los conceptos de Sistema Operativo y Software Bsico tienen fronteras comunes, la
poltica comercial de cada Compaa y sus relaciones con los clientes determinan el
precio y los productos gratuitos y facturables.
Otra parte importante del Software Bsico es el desarrollado e implementado en los
Sistemas Informticos por el personal informtico de la empresa que permiten
mejorar la instalacin. El auditor debe verificar que el software no agrede, no
condiciona al Sistema, debe considerar el esfuerzo realizado entrminos de costos,
por si hubiera alternativas ms econmicas.
20

c) Software de Teleproceso
Se ha agregado del apartado anterior de Software Bsico por su especialidad e
importancia. Son vlidas las consideraciones anteriores, Ntese la especial
dependencia que el Software del Tiempo Real tiene respecto a la arquitectura de los
Sistemas.
d) Tunning
Es el conjunto de tcnicas de observacin y de medidas encaminadas a la evaluacin
del comportamiento de los subsistemas y del Sistema en su conjunto. Las acciones
de Tunning deben diferenciarse de los controles y medidas habituales que realiza el
personal de Tcnica de Sistemas.
El Tunning posee una naturaleza ms revisora, establecindose previamente planes y
programas de actuacin segn los sntomas observados.
Los Tunning pueden realizarse:
Cuando existe la sospecha de deterioro del comportamiento parcial o general
del Sistema.
De modo sistemtico y peridico, por ejemplo cada seis meses. En este
ltimo caso, las acciones de Tunning son repetitivas y estn planificadas y
organizadas de antemano.
El auditor informtico deber conocer el nmero de Tunning realizados el ltimo

ao, sus resultados, analizara los modelos de carga utilizados y los niveles e
ndices de confianza de las observaciones.
e) Optimizacin de los Sistemas y Subsistemas
Tcnica de Sistemas deber realizar acciones permanentes de optimizacin como
consecuencia de la informacin diaria obtenida a travs de Log, Account-ing, etc.
Acta igualmente como consecuencia de la realizacin de Tunningspre programado
o especfico.
21

El auditor verificar que las acciones de optimizacin fueron efectivas y no

comprometieron la Operatividad de los Sistemas ni el "plan crtico de produccin
diaria" de Explotacin.
f) Administracin de Base de Datos
Es un rea que ha adquirido una gran importancia a causa de la proliferacin de
usuarios y de las descentralizaciones habidas en las informticas de las empresas, el
diseo de las bases de datos, ya sean relacionales o jerrquicas, se ha convertido en
una actividad muy compleja y sofisticada, por lo general desarrollada en el mbito
de Tcnica de Sistemas, y de acuerdo con las reas de Desarrollo y los usuarios de la
empresa.
El conocimiento de diseo y arquitectura de dichas Bases de Datos por parte de los
Sistemas, ha cristalizado en la administracin de las mismas les sea igualmente
encomendada. Aunque esta descripcin es la ms frecuente en la actualidad, los
auditores informticos han observado algunas disfunciones derivadas de la
relativamente escasa experiencia que Tcnica de Sistemas tiene sobre la
problemtica general de los usuarios de las Bases de Datos.
Comienzan a percibirse hechos tendentes a separar el diseo y la construccin de las
Bases de Datos, de la administracin de las mismas, administracin sta que sera
realizada por Explotacin. Sin embargo, esta tendencia es an poco significativa.
El auditor informtico de Bases de Datos deber asegurarse que Explotacin conoce
suficientemente las que son accedidas por los Procedimientos que ella ejecuta.
Analizar los sistemas de salvaguarda existentes, que competen igualmente a
Explotacin. Revisar finalmente la integridad y consistencia delos datos, as como
la ausencia de redundancias entre ellos.
g) Investigacin y Desarrollo
El campo informtico sigue evolucionando rpidamente. Multitud de Compaas, de
Software mayoritariamente, aparecen en el mercado.
22

Como consecuencia, algunas empresas no dedicadas en principio a la venta de

productos informticos, estn potenciando la investigacin de sus equipos de
Tcnica de Sistemas y Desarrollo, de forma que sus productos puedan convertirse en
fuentes de ingresos adicionales.
La Auditoria informtica deber cuidar de que la actividad de Investigacin ms la
de desarrollo de las empresas no vendedoras, no interfiera ni dificulte las tareas
fundamentales internas.
En todo caso, el auditor advertir en su Informe de los riesgos que haya observado.
No obstante, resultara muy provechoso comercializar alguna Aplicacin interna,
una vez que est terminada y funcionando a satisfaccin.
La propia existencia de aplicativos para la obtencin de estadsticas desarrollados
por los tcnicos de Sistemas de la empresa auditada, y su calidad, proporcionan al
auditor experto una visin bastante exacta de la eficiencia y estado de desarrollo de
los Sistemas. La correcta elaboracin de esta informacin conlleva el buen
conocimiento de la carga de la instalacin, as como la casi certeza de que existen
Planes de Capacidad, etc.
c) AUDITORIA INFORMTICA DE COMUNICACIONES Y REDES
La creciente importancia de las Comunicaciones ha determinado que se estudien
separadamente del mbito de Tcnica de Sistemas. Naturalmente, siguen siendo
trminos difciles en los conceptos generales de Sistemas y de Arquitecturas de los
Sistemas Informticos.
Se ha producido un cambio conceptual muy profundo en el tratamiento de las
comunicaciones informticas y en la construccin de los modernos Sistemas de
Informacin, basados en Redes de Comunicaciones muy sofisticadas.
Para el Auditor Informtico, el entramado conceptual que constituyen las Redes
Nodales, Lneas, Concentradores, Multiplexores, Redes Locales, etc., no son sino el
soporte fsico-lgico del Tiempo Real. El lector debe reflexionar sobre este
avanzado concepto, que repetimos: Las Comunicaciones son el Soporte FsicoLgico de la Informtica en Tiempo Real.
23

El auditor informtico tropieza con la dificultad tcnica del entorno, pues ha de

analizar situaciones y hechos alejados entre s, y est condicionado a la participacin
del monopolio telefnico que presta el soporte en algunos lugares.
Ciertamente, la tarea del auditor es ardua en este contexto. Como en otros casos, la
Auditoria de este sector requiere un equipo de especialistas, expertos
simultneamente en Comunicaciones y en Redes Locales. No debe olvidarse que en
entornos geogrficos reducidos, algunas empresas optan por el uso interno de Redes
Locales, diseadas y cableadas con recursos propios.
El entorno del Online tiene una especial relevancia en la Auditoria Informtica
debido al alto presupuesto anual que los alquileres de lneas significan. El auditor de
Comunicaciones deber inquirir sobre los ndices de utilizacin delas lneas
contratadas, con informacin abundante sobre tiempos de desuso.
Deber proveerse de la topologa de la Red de Comunicaciones, actualizada. La des
actualizacin de esta documentacin significara una grave debilidad.
La inexistencia de datos sobre cuntas lneas existen, cmo son y dnde estn
instaladas, supondra que se bordea la Inoperatividad Informtica.
Sin embargo, y como casi siempre, las debilidades ms frecuentes e importantes en
la informtica de Comunicaciones se encuentran en las disfunciones organizativas.
La contratacin e instalacin de lneas va asociada a la instalacin de los Puestos de
Trabajo correspondientes (Monitores, Servidores de Redes Locales, Ordenadores
Personales con tarjetas de Comunicaciones, impresoras, etc.). Todas estas
actividades deben estar muy coordinadas y a ser posible, dependientes de una sola
organizacin.
d) AUDITORIA INFORMTICA DE DESARROLLO DE PROYECTOS
El rea de Desarrollo de Proyectos o de Aplicaciones es objeto frecuente de la
Auditoria informtica.
Indicando inmediatamente que la funcin de Desarrollo es una evolucin del
llamado Anlisis y Programacin de Sistemas y Aplicaciones, trmino presente en
24

los ltimos aos. La funcin Desarrollo engloba a su vez muchas reas, tantas como
sectores informatizables tiene la empresa.
Muy escuetamente, una Aplicacin recorre las siguientes fases:
a) Prerrequisitos del Usuario (nico o plural), y del entorno.
b) Anlisis funcional.
c) Anlisis orgnico. (Pre programacin y Programacin).
d) Pruebas.
e) Entrega a Explotacin y alta para el Proceso.
Se deduce fcilmente la importancia de la metodologa utilizada en el desarrollo de
los Proyectos informticos. Esta metodologa debe ser semejante al menos en los
Proyectos correspondientes a cada rea de negocio de la empresa, aunque
preferiblemente debera extenderse a la empresa en su conjunto.
En caso contrario, adems del aumento significativo de los costos, podr producirse
fcilmente la insatisfaccin del usuario, si ste no ha participado o no ha sido
consultado peridicamente en las diversas fases del mismo, y no solamente en la
fase de prerrequisitos.
Finalmente, la Auditoria informtica deber comprobar la seguridad de los
programas, en el sentido de garantizar que los ejecutados por la mquina son
totalmente los previstos y no otros.
Una razonable Auditoria informtica de Aplicaciones pasa indefectiblemente por la
observacin y el anlisis de estas consideraciones.
a) Revisin de las metodologas utilizadas
Se analizarn stas, de modo que se asegure la modularidad de las posibles futuras
ampliaciones de la Aplicacin y el fcil mantenimiento de las mismas.
b) Control Interno de las Aplicaciones
25

La Auditoria informtica de Desarrollo de Aplicaciones deber revisar las mismas

fases que presuntamente ha debido seguir el rea correspondiente de Desarrollo. Las
principales son:
1.
2.
3.
4.
5.
6.
7.
Estudio de Viabilidad de la Aplicacin.

Definicin Lgica de la Aplicacin.
Desarrollo Tcnico de la Aplicacin.
Diseo de Programas.
Mtodos de Pruebas.
Documentacin.
Equipo de Programacin.
c) Satisfaccin de Usuarios
Una Aplicacin eficiente y bien desarrollada tericamente, deber considerarse un
fracaso si no sirve a los intereses del usuario que la solicit. Surgen nuevamente las
premisas fundamentales de la informtica eficaz: fines y utilidad. No puede
desarrollarse de espaldas al usuario, sino contando con sus puntos de vista durante
todas las etapas del Proyecto. La presencia del usuario proporcionar adems
grandes
ventajas
posteriores,
evitar
reprogramaciones
disminuir
el
mantenimiento de la Aplicacin.
d) Control de Procesos y Ejecuciones de Programas Crticos
El auditor no debe descartar la posibilidad de que se est ejecutando un mdulo lo
que no se corresponde con el programa fuente que desarroll, codific y prob el
rea de Desarrollo de Aplicaciones.
Se est diciendo que el auditor habr de comprobar fehaciente y personalmente la
correspondencia biunvoca y exclusiva entre el programa codificado y el producto
obtenido como resultado de su compilacin y su conversin en ejecutables mediante
la linkeditacin (Linkage Editor).
Obsrvense las consecuencias de todo tipo que podran derivarse del hecho de que
los programas fuente y los programas mdulos no coincidieran provocando graves
retrasos y altos costos de mantenimiento, hasta fraudes, pasando por acciones de
sabotaje, espionaje industrial-informtico, etc.
26

Esta problemtica ha llevado a establecer una normativa muy rgida en todo lo

referente al acceso a las Libreras de programas.
Una Informtica medianamente desarrollada y eficiente dispone de un solo juego de
Libreras de Programas de la Instalacin. En efecto, Explotacin debe recepcionar
programas fuente, y solamente fuente. Cules? Aquellos que Desarrollo haya dado
como buenos.
La asumir la responsabilidad de:
1. Copiar el programa fuente que Desarrollo de Aplicaciones ha dado por bueno en
la Librera de Fuentes de Explotacin, a la que nadie ms tiene acceso.
2. Compilar y linkeditar ese programa, depositndolo en la Librera de Mdulos de
Explotacin, a la que nadie ms tiene acceso.
3. Copiar los programas fuente que les sean solicitados para modificarlos,
arreglarlos, etc., en el lugar que se le indique. Cualquier cambio exigir pasar
nuevamente al punto 1.
Ciertamente, hay que considerar las cotas de honestidad exigible a Explotacin.
Adems de su presuncin, la informtica se ha dotado de herramientas de seguridad
sofisticadas que permiten identificar la personalidad el que accede a las Libreras.
No obstante, adems, el equipo auditor intervendr los programas crticos,
compilando y linkeditando nuevamente los mismos para verificar su biunivocidad.
e) AUDITORIA DE LA SEGURIDAD INFORMTICA
La seguridad en la informtica abarca los conceptos de seguridad fsica y seguridad
lgica.
La Seguridad fsica se refiere a la proteccin del Hardware y de los soportes de
datos, as como los edificios e instalaciones que los albergan. Contempla las
situaciones de incendios, sabotajes, robos, catstrofes naturales, etc. Igualmente, a
este mbito pertenece la poltica de Seguros.
27

La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin de

los datos, procesos y programas, as como la del ordenado y autorizado acceso de
los usuarios a la informacin.
Se ha tratado con anterioridad la doble condicin de la Seguridad Informtica:
Como rea General y como rea Especfica (seguridad de Explotacin, seguridad
de las Aplicaciones, etc.).
As, podrn efectuarse Auditorias de la seguridad global de una Instalacin
Informtica- Seguridad General-, y Auditorias de la Seguridad de un rea
informtica de terminada- Seguridad Especfica-.
Las agresiones a instalaciones informticas ocurridas en Europa y Amrica durante
los ltimos aos, han originado acciones para mejorar la Seguridad Informtica a
nivel fsico. Los accesos y conexiones indebidos a travs de las Redes de
Comunicaciones, han acelerado el desarrollo de productos de Seguridad lgica y la
utilizacin de sofisticados medios criptogrficos. La decisin de abordar una
Auditoria Informtica de Seguridad Global en una empresa, se fundamenta en el
estudio cuidadoso de los riesgos potenciales a los que est sometida. Tal estudio
comporta con frecuencia la elaboracin de "Matrices de Riesgo" en donde se
consideran los factores de las "Amenazas" a las que est sometida una instalacin y
de los "Impactos" que aquellas pueden causar cuando se presentan. Las matrices de
riesgo se presentan en cuadros de doble entrada "Amenazas\Impacto", en donde se
evalan las probabilidades de ocurrencia delos elementos de la matriz.
Unidad N 3
CONTROL INTERNO INFORMTICO.
El Control Interno en las empresas tiene como finalidad ayudar en la evaluacin de la
eficacia y eficiencia de la gestin administrativa.
Control Interno Informtico es una herramienta enfocada a la adecuada gestin de los
Sistemas de la Informacin.
28

Muchos de los problemas informticos se originan dentro de la misma empresa.

Por ello es cada vez ms necesario un completo anlisis del trfico de:
* Los correos electrnicos corporativos.
* Las pginas web que se visitan desde los ordenadores de la empresa.
El Informe COSO define el Control Interno como Las normas, los procedimientos, las
prcticas y las estructuras organizativas diseadas para proporcionar seguridad
razonable de que los objetivos de la empresa se alcanzarn y que los eventos no
deseados se prevern, se detectarn y se corregirn. En el ambiente informtico, el
control interno se materializa fundamentalmente en controles de dos tipos:
Controles manuales: aquellos que son ejecutados por el personal del rea usuaria o de
informtica sin la utilizacin de herramientas computacionales.
Controles Automticos: son generalmente los incorporados en el software, llmense
estos de operacin, de comunicacin, de gestin de base de datos, programas de
aplicacin, etc.
OBJETIVOS DEL CONTROL INTERNO INFORMTICO:
Establecer como prioridad la seguridad y proteccin de la informacin del

sistema computacional y de los recursos informticos de la empresa.
Promover la confiabilidad, oportunidad y veracidad de la captacin de datos, su

procesamiento en el sistema y la emisin de informes en la empresa.
Implementar los mtodos, tcnicas y procedimientos necesarios para coadyuvar

al eficiente desarrollo de las funciones, actividades y tareas de los servicios
computacionales, para satisfacer los requerimientos de sistemas en la empresa.
Instaurar y hacer cumplir las normas, polticas y procedimientos que regulen las
actividades de sistematizacin de la empresa.
29

Establecer las acciones necesarias para el adecuado diseo e implementacin de

sistemas computarizados, a fin de que permitan proporcionar eficientemente los
servicios de procesamiento de informacin en la empresa.
ELEMENTOS FUNDAMENTALES DEL CONTROL INTERNO

INFORMTICO
Controles internos sobre la organizacin del rea de informtica
Controles internos sobre el anlisis, desarrollo e implementacin de sistemas
Controles internos sobre operacin del sistema
Controles internos sobre los procedimientos de entrada de datos, el

procesamiento de informacin y la emisin de resultados.
Controles internos sobre la seguridad del rea de sistemas.
CONTROLES GENERALES Y ESPECFICOS
GENERALES: No tienen un impacto sobre la calidad de las aseveraciones en los

estados contables, dado que no se relacionan con la informacin Contable.
ESPECFICOS: Se relacionan con la informacin Contable y por lo tanto con las
aseveraciones de los saldos de los estados contables. Este tipo de controles estn desde
el origen de la informacin hasta los saldos finales.
TIPOS DE CONTROLES GENERALES

Conciencia de control
La gerencia es responsable del establecimiento de una conciencia favorable de control
interno de la organizacin. Es importante que la gerencia no viole los controles
establecidos porque el sistema es ineficaz.
30

La Gerencia se podra motivar a violarlos por las siguientes causas:
Cuando el ente est experimentando numerosos fracasos.
Cuando le falte capacidad de capital de trabajo o crdito.
Cuando la remuneracin de los adm. este ligada al resultado.
Cuando el ente se va a vender.
Cuando se obtienen beneficios en exponer resultados ms bajos.
Cuando la gerencia se encuentra bajo presin en cumplir sus objetivos.
Estructura organizacional
Establecida una adecuada estructura en cuanto al establecimiento de divisiones y
departamentos funcionales y as como la asignacin de responsabilidades y polticas de
delegacin de autoridad.
Esto incluye la existencia de un departamento de control interno que dependa del
mximo nivel de la empresa.
Personal
Calidad e integridad del personal que est encargado de ejecutar los mtodos y
procedimientos prescriptos por la gerencia para el logro de los objetivos.
Proteccin de los activos y registros
Polticas adoptadas para prevenir la destruccin o acceso no autorizado a los activos, a
los medios de procesamiento de los datos electrnicos y a los datos generados. Adems
incluye medidas por el cual el sistema contable debe estar protegido ante la
eventualidad de desastres (incendio, inundacin, etc.)
Separacin de funciones
La segregacin de funciones incompatibles reduce el riesgo de que una persona este en
condiciones tanto de cometer o ocultar errores o fraudes en el transcurso normal de su
31

trabajo. Lo que se debe evaluar para evitar la colusin de fraudes son: autorizacin ,
ejecucin , registro, custodia de los bienes, realizacin de conciliaciones.
CONTROL CIRCUNDANTE EN EL PROCESAMIENTO ELECTRNICO DE

DATOS
El funcionamiento de los controles generales dependa la eficacia del funcionamiento de
los controles especficos. El mismo procedimiento debe ser aplicado a la empresa con
procesamiento computarizado.
Los controles generales en el procesamiento electrnico de datos ( PED ) tiene que ver
con los siguientes aspectos.
ORGANIZACIN
El personal de PED (sistemas) no realice las siguientes tareas :
iniciar y autorizar intercambios que no sean para suministros y servicios propios

del departamento.
Registro de los intercambios
Custodia de activos que no sean los del propio departamento
Correccin de errores que no provengan de los originados por el propio dpto.
En cuanto a la organizacin dentro del mismo departamento , las siguiente funciones

deben estar segregadas:
programacin del sistema operativo
anlisis , programacin y mantenimiento
operacin
ingreso de datos
32

control de datos de entrada / salida
archivos de programas y datos.
DESARROLLO Y MANTENIMIENTO DE SISTEMAS

Las tcnicas de mantenimiento y programacin operativos del sistema deben estar
normalizadas y documentadas.
OPERACIN Y PROCEDIMIENTOS
Deben existir controles que aseguren el procesamiento exacto y oportuno de la
informacin contable.
instrucciones por escrito sobre procedimiento para para preparar datos para su
ingreso y procesamiento
La funcin de control debe ser efectuada por un grupo especfico e

independiente.
Instrucciones por escrito sobre la operacin de los equipos.
Solamente operadores de computador deben procesar los SIST OP.
CONTROLES DE EQUIPOS Y PROGRAMAS DEL SISTEMA

Debe efectuarse un control de los equipos:
programacin del mantenimiento preventivo y peridico
registro de fallas de equipos
Los cambios del sist. Op. Y la programacin.
CONTROLES DE ACCESO
El acceso al PED debe estar restringido en todo momento. Tambin debe controlarse :
el acceso los equipos debe estar restringido a aquellos autorizados
33

el acceso de la documentacin solo aquellos autorizados
el acceso a los archivos de datos y programas solo limitado a operadores
EL AUDITOR EXTERNO Y EL CONTROL CIRCUNDANTE

El auditor externo deber relevar y evaluar el control interno con el objeto de depositar
confianza o no en los controles de los flujos de informacin que genera los saldos a ser
auditados y de esta manera modificar o no la naturaleza, alcance y oportunidad de
su procedimiento.
Dentro de este relevamiento y evaluacin se encuentra el control circundante ( Ver 2.3 ).
Si alguno de los factores adoleciera de falencias importantes. La conclusin es que no se
podr confiar en los controles internos para modificar la naturaleza y alcance y
oportunidad de los procedimientos de auditoria.
CONTROLES ESPECFICOS
LOS CICLOS DE INFORMACIN CONTABLE
Un ciclo de informacin contable est constituido por el flujo de informacin que va
desde la cuenta del mayor general por el tratamiento contable del intercambio hasta los
soportes documentales que contienen los datos inherentes a dicho intercambio.
Las cuentas del mayor general son solo objeto de validacin mediante procedimiento
sustantivo.
Para generar los datos contenidos en el mayor, el proceso contable debe capturar los
datos de cantidad, precio, descripcin, al intercambio para luego tratar dichos datos de
tal manera que luego de efectuar sucesivos tratamientos , dichos datos generen los
saldos del mayor.
Tales tratamiento consiste en llevar los datos del estado a que estn documentados o
tambin en un medio magntico hasta llegar a generar los saldos del mayor.
Lo que vemos es que en un sistema operativo y en un contable, consiste en el
tratamiento de datos en los cuales se produce un cambio de estado en los mismos a
34

travs de los distintos soportes documentales , de aqu en adelante seguirn

producindose cambios hasta llegar a los saldos del mayor.
LOS PUNTOS DE CONTROL

Los intercambios de informacin estn sujeto a errores, estos pueden ser responder a la
cantidad de intercambios y al tratamiento a cada uno de sus atributos. A tales efectos y
con el objetivo de lograr estados contable exactos se deben introducir mecanismos de
control que detecten tales errores. Que de seguro sern los procesos en donde se
produce el intercambio de informacin. Tal se lo denomina PUNTO DE CONTROL.
TIPOS DE ERRORES
Poblacin: Son errores en el nmero de elementos que contienen los datos que se
capturan o procesan Ej. Se realizan 150 ventas y se registran 148, el mayor no refleja los
intercambios totales, se producen errores de subvaluacin.
Existen dos categoras dentro de estos:
Autorizacin: Intercambios no autorizados ingresados al sistema por error o intencin.
Integridad: son errores de integridad de la informacin
Exactitud: Son discrepancia entre los atributos reales del intercambio y los atributos
que el proceso contable captura o procesa. Si los datos del intercambio no reflejan
correctamente los trminos del mismo, existen errores de exactitud.
La transmisin inexacta de datos de un documento o medio a otro y los
errores matemticos son la fuente de los errores de exactitud. Tales errores podrn tener
efecto en los saldos. El efecto es diferente si no situamos en un auditor externo a al
interno.
LOS MEDIOS Y LOS CONTROLES INTERNOS ESPECFICOS
35

Que existan formularios pre numerados no es un control interno, pero si existen , dan la
posibilidad de aplicar un control interno, si nadie realiza control , entonces no hay
control interno.
CATEGORAS DE CONTROLES ESPECFICOS
POBLACIN Y EXACTITUD: Son los que previenen o detectan, en la captura y

proceso de informacin los errores de poblacin y exactitud.
CONTROLES DE CAPTURA Y PROCESAMIENTO: La informacin se de los

intercambios del ente con el exterior, se vuelcan en medios magnticos o documentales
y constituyen los datos inherentes al intercambio. Dichos datos son procesados por el
sistema contable y los resultados de dichos procesamientos se transforman en saldos
contables. Entonces Tal control asegura que no se produzcan errores de poblacin o
exactitud en cada una de las etapas.
CONTROLES DE CUSTODIA: Tienen que ver con el mantenimiento de la custodia

de los bienes recibidos como consecuencia de los intercambios o con los fabricantes.
Tales controles abarcan bienes de cambio, dinero , valores.
CONTROLES DE DETECCIN: Son referidos en la oportunidad donde se aplica el

control
CONTROLES PREVENTIVOS: Son referidos a la oportunidad en donde se aplica

mientras ocurre el control.
TIPOS DE CONTROLES DE CAPTURA
36

Se dividen en:
CONTROLES DE POBLACIN EN LA CAPTURA

Se utilizan estos controles para transmitir datos al sistema de procesamiento en forma
correcta y que prevenga o detecte la prdida o duplicado de un documento, es decir que
controle su integridad. Ej. . El rastreo de tickets de balanza de ingreso de camiones a la
planta con los informes de recepcin es un control adecuado es un sistema adecuado
para detectar si se han omitido capturar por el sistema adm-contable algunos de los
intercambios.
CONTROLES DE EXACTITUD EN LA CAPTURA:
Existen dos tipos de controles:
Controles de comprobacin: Consisten en cotejar los datos de varios

documentos o distintos datos del PED para conocer si tienen la misma informacin.
Contra la descargada
Controles de verificacin matemtica : Se refiere a volver a efectuar los datos

del intercambio que aparecen en documentos o medios PED para asegurar su
exactitud.
CONTROLES DE AUTORIZACIN:
Consisten en la revisin de los intercambios para asegurar que estos hayan sido
autorizados apropiadamente. El sistema de autorizacin es un medio de control.
Las autorizaciones pueden ser:
Generales: que se aplica a un grupo de intercambios repetitivos
Especficos: que solo se aplican a un intercambio individual.
SEGREGACIN DE FUNCIONES
Tres funciones que deben ser segregadas:
37

comprometer a la entidad en el intercambio
aceptar o entregar el bien o el instrumento objeto
ingresar lo datos del intercambio al sistema de procesamiento
Cuando estas tres funciones estn determinadas a un solo individuo est en posicin de
cometer fraude o ocultar error.
Tambin deber analizarse la combinacin de funciones de una misma persona en
relacin con distintos tipos de intercambios. Ej. Una persona que es responsable de
cobranza y al mismo tiempo el ingreso de los datos, este podra realizar ventas en negro.
TIPOS DE CONTROLES DE PROCESAMIENTO

CONTROLES DE POBLACIN EN EL PROCESAMIENTO
Diseados para impedir o detectar errores por discrepancia entre los datos que estn
procesados y la transaccin econmica que representan.
Es decir si la transaccin econmica es ingresos, mercaderas, resultado por venta.
Entonces existe un control de poblacin sumando las facturas de un perodo y cruzarla
con costo de mercaderas + resultado por ventas.
CONTROLES DE RECONCILIACIN
Es un tipo de procesamiento que puede detectar en el procesamiento tanto de errores de
poblacin como de exactitud e integridad en las etapas de procesamiento a travs de dos
corrientes de informacin que en algn punto estas se separan para ofrecer dos o ms
registros diferentes pero que deben coincidir en cuanto a sus totales. Ej Clientes y el
mayor de cuentas a cobrar. En estas dos corrientes se puede producir un error tanto de
poblacin como de exactitud. Donde el mayor de cliente no coincidir con el mayor
analtico. La reconciliacin entre estos dos permite identificar la partida en la cual se ha
producido el error.
38

Este tipo de cruce no permite identificar donde se ha producido el error,, sino que nos
detecta alguna diferencia en algn punto.
TIPOS DE CONTROLES DE CUSTODIA

Estos tipos de controles estn diseados para evitar que los bienes mviles sean
perdidos, daados o robados y para proporcionar la seguridad de que las cantidades
y los valores en existencia sean coincidentes con los registrados.
Estos tipos de controles pueden ser divididos en:
Controles sobre la custodia: Procedimiento para prevenir uso no autorizado sobre un
activo durante la custodia de un departamento o persona del ente. Las reas claves son
la entrada (recepcin ) , almacenamiento o custodia ( depsito ) .
Controles sobre la existencia fsica : Consisten en los conteos peridicos, evaluacin y
potencial de venta de los activos y comparndolos entonces con los registros contables
para cantidades y valores. Tal comparacin puede revelar discrepancia entre existencia y
los registrados de esta forma impedir inexactitudes.
CONTROLES EN AMBIENTES COMPUTADORIZADOS

Podemos aplicar controles de poblacin y exactitud para el procesamiento PED
* Controles de usuarios:
Es un control manual , debido a que su realizacin no utiliza funciones y programas
computarizados. El control est diseado para verificar el resultado de procesos
computarizados, aunque su modo de realizacin es manual. Ej. El departamento de
facturacin, enva a el PED para que procese la informacin.
Controles de Ped : tales controles contienen cuatro componentes.
procedimiento de acceso :
procedimiento de desarrollo :
Estos dos generan informacin inherente que se produce en los intercambios

39

procedimiento de seguimiento
Este sistema asegura que los errores y asuntos identificados, sean investigados y
resueltos apropiadamente.
funcionamiento de los programas de controles
Los mecanismos de control deben funcionar en funcin al objetivo en que estos fueron
creados.
MTODO DE EVALUACIN
Una vez entendido el flujo de informacin contable se identifiquen los posibles errores
que pueden surgir cada vez que los datos se trasladan de un soporte a otro. Si el auditor
los ha detectado todos, entonces estar en condiciones de determinar si la empresa ha
establecido controles efectivos para prevenirlos y detectarlos.
El MTODO
Se compone de los siguientes pasos detallados:
PASO 1 COMPRENDER EL FLUJO DE INFORMACIN CONTABLE.
Consiste en conocer desde la captura hasta la informacin, los saldos, del mayor.
No se puede realizar una auditoria si no se tiene conocimiento de las actividades y
procedimientos del cliente. Esto comprende el estudio de su control interno.
Se conocen varias formas de realizar este estudio ya sea por medio de cuestionarios,
mtodos descriptivos y flujo grama; siendo los ms tiles los dos ltimos.
PASO 2 IDENTIFICAR LOS DEPARTAMENTOS INVOLUCRADOS Y

ANALIZAR LA SEGREGACIN DE FUNCIONES
Comprendido el ciclo de informacin contable y haber identificado los medios que
contienen la informacin contable as como tambin los procesos que lo generan.
40

Debemos tambin identificar las personas dentro de dichos departamentos que la

generan. Esto se hace para identificar las funciones e identificar aquellas que sean
incompatibles.
PASO 3 EXPLICITAR LOS OBJETIVOS DEL CONTROL

El departamentos tiene funcin de comprar y esto termina en una orden de compra
La orden de compra deber cumplir con los objetivos de control
Se encuentren autorizadas
Sea correcta la cantidad registrada
Sea correcto el precio registrado
Sea correcta la descripcin
Sea correcta la otra parte interesada del intercambio
PASO 4 5 6 LISTAR LOS POSIBLES ERRORES DE AUTORIZACIN,

INTEGRIDAD Y EXACTITUD
Se identifican cada uno de los comprobantes y medios magnticos involucrados y sus
objetivos de control correspondiente y la totalidad de los errores que podran ocurrir,
para luego en un paso posterior analizar los controles que el ente ha establecido para
prevenir y detectar. Si fallamos en la deteccin de errores, entonces mal podremos
evaluar la eficiencia de los controles.
PASO 7 8 9 IDENTIFICAR LOS CONTROLES EXISTENTES EN EL CICLO
PARA PREVENIR O DETECTAR ERRORES DE AUTORIZACIN INTEGRIDAD
Y EXACTITUD.
Listado los errores de autorizacin, integridad y exactitud corresponde relevar el sistema
con el propsito de identificar aquellos controles existentes que permitirn prevenir o
detectar posibles errores determinados en el paso 4.5.6
41

PASO 10 DE LOS CONTROLES IDENTIFICADOS EN 7 . 8 . 9 . ANALIZAR LA

EFECTIVIDAD DE DICHOS CONTROLES, IDENTIFICAR LOS EFECTIVOS Y
EFECTUAR LA EVALUACIN GENERAL.
En esta etapa de evaluacin, consiste en identificar los controles existentes en la
empresa, identificarlos entonces con un sentido especfico de control y con un error
posible determinado.
Determinar as si el control tiene capacidad para cumplir con su objetivo o si este est
bien diseado. Pero los errores de autorizacin, exactitud e integridad pueden ocurrir de
todos modos.
Por lo tanto una vez analizado y estudiado, con el resultado de tener confianza en el
control, se debe realizar la prueba de control con posterioridad.
Tambin se debe analizar la segregacin de funciones, donde los controles no deben
estar efectuados por personas que realizan las tareas respectivas en el ente que es objeto
de control.
La evaluacin individual de cada control nos permitir efectuar una extrapolacin para
evaluar la efectividad de todo el ciclo en su conjunto. Pero estamos analizando un
control en una determinada etapa, lo cual dependemos que los errores de exactitud e
integridad no hayan sucedido en etapas anteriores.
De tal evaluacin decidimos si podemos tener confianza en ellos o no sobre la
integridad y exactitud generada por el flujo de informacin contable la cual se
materializa en la exactitud e integridad de los saldos de las cuentas del mayor general.
Si la evaluacin es positiva entonces pasamos al siguiente paso, si no lo fuera
pasaremos a aplicar el enfoque de auditoria basado ntegramente en los procedimientos
de revisin de saldos. Debemos reevaluar los trabajos de auditoria realizados y
determinar si es posible el ente de auditarse.
La razn de esto es porque si los controles de captura fallan. es sistema interno no puede
asegurar que la totalidad de las transacciones realizadas por los funcionarios del ente
estn reflejadas en los documentos o medios magnticos establecidos. Si de ser as ser
imposible detectar lo que no ha sido registrado.
42

PASO 11 DE LOS CONTROLES EFECTIVOS SEGN 10. IDENTIFICAR LOS

QUE SERN PROBADOS Y DISEAR LAS PRUEBAS DE CUMPLIMIENTO DE
LOS CONTROLES A PROBAR
La prueba de los controles la realizamos mediante las pruebas de cumplimiento . Tal
propsito es obtener una razonable seguridad de que los procedimientos de control
interno sean aplicados de acuerdo con lo determinado por la Gerencia y que funcionen
eficazmente.
El resultado de la prueba de cumplimiento es SI (se cumple el control) NO ( no se
cumple el control) a los efecto de validar la confianza terica a los sistemas de control
con el objeto de determinar NATURALEZA, ALCANCE y OPORTUNIDAD de los
procedimientos
PASO 12 ANALIZAR, DE SER APLICABLE, LOS CONTROLES DE CUSTODIA.
EFECTUAR SU EVALUACIN.
Todo intercambio tendr como consecuencia la captura y procesamiento de la
informacin.
Los controles de custodia tienen que ver exclusivamente con aquellos intercambios en
los cuales hay entrada y salida de bienes. Tales controles evitan que los bienes se daen,
se venzan, sean robados y proporcionar as razonabilidad en la existencia y cantidad
segn los registros. A los efectos que los estados contables reflejen la realidad.
Cabe aclarar que con un recuento fsico, se logran ajustar las diferencias, pero estos no
nos podrn informar sobre errores en la custodia de los bienes.
Entonces los errores de custodia comprenden los controles de entrada, salida,
mantenimiento en existencia. Los controles de existencias son procedimientos de
recuento y comparacin de existencia.
TCNICAS DE AUDITORA MS UTILIZADAS PARA REUNIR
43

EVIDENCIA
TCNICAS DE VERIFICACIN OCULAR
Comparacin. Es el acto de observar la similitud o diferencia existente entre dos o ms
elementos. Dentro de la fase de ejecucin de la auditora se efecta la comparacin de
resultados, contra criterios aceptables.
Observacin. Es el examen ocular realizado para cerciorarse como se ejecutan las
operaciones. Esta tcnica es de utilidad en todas las fases de la auditora, por cuyo
intermedio el auditor se cerciorar de ciertos hechos y circunstancias, en especial, las
relacionadas con la forma de ejecucin de las operaciones, apreciando personalmente,
de manera abierta o discreta, como el personal de la entidad ejecuta las operaciones.
TCNICAS DE VERIFICACIN ORAL
Indagacin. Es el acto de obtener informacin verbal sobre un asunto mediante
averiguaciones directas o conversaciones con los funcionarios responsables de la
entidad. La respuesta a una pregunta formulada por
el auditor, es una porcin
insignificante de elementos de juicio en los que puede confiarse, pero las respuestas a
muchas preguntas que serelacionan entre s, pueden suministrar un elemento de juicio
satisfactorio, si todas son razonables y consistentes.
Las Entrevistas. Pueden ser efectuadas al personal de la entidad auditada o personas
beneficiarias de los programas o actividades a su cargo. Para obtener mejores resultados
debe prepararse apropiadamente, especificar quienes sern entrevistados, definir las
preguntas a formular, alertar al entrevistado acerca del propsito y puntos a ser
abordados.
Las Encuestas. Pueden ser tiles para recopilar informacin de un gran universo de
datos o grupos de personas. Su ventaja principal radica en la economa en trminos de
costo y tiempo; sin embargo, su desventaja se manifiesta en su inflexibilidad, al no
obtenerse ms de lo que se pide, lo cual en ciertos casos puede ser muy costoso.
TCNICAS DE VERIFICACIN ESCRITA
44

Analizar. Consiste en la separacin y evaluacin crtica, objetiva y minuciosa de los

elementos o partes que conforman una operacin, actividad, transaccin o proceso, con
el fin de establecer su naturaleza, criterios normativos y tcnicos existentes. Los
procedimientos de anlisis estn referidos a la comparacin de cantidades, porcentajes y
otros.
Confirmacin. Es la tcnica que permite comprobar la autenticidad de los
registros y documentos analizados, a travs de informacin directa y por escrito,
otorgada por funcionarios que participan o realizan las operaciones sujetas a examen
(confirmacin interna), por lo que estn en disposicin de opinar e informar en forma
vlida y veraz sobre ellas. Otra forma de confirmacin, es la denominada confirmacin
externa, la cual se presenta cuando se solicita a una persona independiente de la
organizacin auditada (tercero), informacin de inters que slo ella puede suministrar.
Tabulacin. Es la tcnica de auditora que consiste en agrupar los resultados obtenidos
en reas, segmentos o elementos examinados, de manera que se facilite la elaboracin
de conclusiones. Un ejemplo de aplicacin de esta tcnica lo constituye la tabulacin de
los resultados obtenidos en el inventario fsico de bienes practicado en el almacn de la
entidad en una fecha determinada.
Conciliacin. Implica hacer que concuerden dos conjuntos de datos relacionados
separados e independientes. Esta tcnica consiste en analizar la informacin producida
por diferentes unidades operativas o entidades, respecto de una misma operacin o
actividad, con el objeto de establecer su concordancia entre si y, a la vez, determinar la
validez y veracidad de los informes, registros y resultados que estn siendo examinados.
TCNICAS DE VERIFICACIN DOCUMENTAL
Comprobacin. Tcnica que se aplica en el curso de un examen, con el objeto de
verificar la existencia, legalidad, autenticidad y legitimidad de las operaciones
efectuadas por una entidad, mediante la verificacin de los documentos que las
justifican.
45

Computacin. Es la tcnica que se utiliza para verificar la exactitud y correccin

aritmtica de una operacin o resultado. clculo, por lo tanto, se requiere de otras
pruebas adicionales para establecer la validez de las cifras incluidas en una operacin.
Rastreo. Es utilizada para dar seguimiento y controlar una operacin de manera
progresiva, de un punto a otro de un proceso interno determinado o, de un proceso a
otro realizado por una unidad operativa dada. Al efectuar la comprensin de la
estructura de control interno. Esta tcnica puede clasificarse en dos grupos:
a) rastreo progresivo, que parte de la autorizacin para efectuar una operacin hasta la
culminacin total o parcial de sta; y,
b) rastreo regresivo, que es inverso al anterior, es decir, se parte de los resultados de las
operaciones para llegar a la autorizacin inicial.
Revisin selectiva. Consiste en el examen ocular rpido de una parte de los datos o
partidas que conforman un universo homogneo en ciertas reas, actividades o
documentos elaborados, con fines de separar mentalmente asuntos que no son normales,
dado el alto costo que representara llevar a cabo una revisin amplia o, que por otras
circunstancias, no es posible efectuar una anlisis profundo.
TCNICAS DE VERIFICACIN FSICA
Inspeccin. Es el examen fsico y ocular de activos, obras, documentos y valores, con el
objeto de establecer su existencia y autenticidad. La aplicacin de esta tcnica es de
mucha utilidad, especialmente, en cuanto a la constatacin de efectivo, valores, activo
fijo y otros equivalentes.
TCNICA DE VERIFICACIN ASISTIDA POR COMPUTADORA
El desarrollo de software contina siendo un trabajo altamente artesanal, dnde el factor
humano es clave y gran parte de las tareas son manuales. La capacidad de potenciar la
productividad (tanto en volumen como en calidad) de los recursos humanos dedicados
al desarrollo de software mediante el desarrollo de herramientas que automaticen
actividades de Ingeniera de Software que hoy se hacen manualmente ser un factor
decisivo en el desarrollo tecnolgico.
46

La verificacin y validacin de artefactos producidos durante el desarrollo de software

(cdigo as como especificaciones de requerimientos y diseo) es rea que ocupa un
lugar preponderante en los esfuerzos de automatizacin de la ingeniera del software: no
solo ha sido la temtica de mayor presencia en las conferencias cientficas del rea, sino
que ms del 50% del presupuesto de I+D de las compaas que desarrollan software es
destinado a la construccin de herramientas en esta categora. El esfuerzo dedicado a
este rea tiene su explicacin en los elevados costos derivados por software que tiene
fallas o problemas en la formulacin de sus requerimientos.
La sofisticacin de herramientas de anlisis de artefactos del proceso de desarrollo de
software est comenzando a tener un impacto, largamente prometido, en el tipo de
herramientas (de software) que soportan actividades de verificacin y validacin.
Combinaciones novedosas de tcnicas de anlisis de cdigo, model checking, testing,
demostracin de teoremas, data mining, y sntesis estn siendo utilizadas cada vez ms
para potenciar las relativamente simples tcnicas utilizadas hoy en el sector productivo.
El impacto de algunas de las tcnicas ms avanzadas ya puede verse en tcnicas de
verificacin y validacin aplicadas en gigantes de la construccin de software como
Microsoft, IBM o Google. Algunos ejemplos son la generacin automtica de tests, la
verificacin automtica de uso de APIs, las herramientas de bug finding, el testing
basado en modelos en grandes proyectos industriales, y monitoreo de propiedades sobre
aplicaciones complejas.
Unidad N 4
METODOLOGA
PARA
REALIZAR
AUDITORIA
DE
SISTEMAS
COMPUTACIONALES
AUDITORIA DE SISTEMAS COMPUTACIONALES.
1. Metodologa Para Realizar Auditoras De Sistemas Computacionales
A continuacin se detalla la metodologa para realizar auditoras de
sistemas computacionales, para lo cual estar presentando sus
etapas:
47

Identificar el origen de la auditoria

a.
b.
c.
d.
e.
f.
g.
Por solicitud de accionista, socios y dueos

Por solicitud expresa de procedencia externa
Como consecuencia de emergencias y condiciones especiales
Por riesgos y contingencias informticas
Como resultado de los planes de contingencias
Por resultados obtenidos de otras auditorias
Como parte del programa integral de auditoria
2. Realizar una vista preliminar al rea que ser evaluada
a. Contacto inicial con funcionarios y empleados del rea

b. Identificacin preliminar de la problemtica del rea de sistemas
c. Prever los objetivos inciales de la auditoria
Calcular los recursos y personas necesarias para la auditoria
3. Establecer objetivos de la auditoria

a. Objetivo general
b. Objetivos particulares
Objetivos especficos de la ASC
4. Determinar los puntos que sern evaluados en la auditoria
a. Evaluacin de las funciones y actividades del personal del rea de sistemas
b. Evaluacin de la reas y unidades administrativas del centro de computo
c. Evaluacin de la seguridad de los sistemas de informacin
d. Evaluacin de la informacin, documentacin y registros de los sistemas
e. Evaluacin de los sistemas, equipos, instalaciones y componentes
f. Elegir los tipos de auditoras que sern utilizados
g. Determinar los recursos que sern utilizados en la auditoria
5. Elaborar planes, programas y presupuestos para realizar la auditoria
a. Elaborar el documento formal de los planes de trabajo de la auditoria
b. Contenido de los planes para realizar la auditoria
c. Elaborar el documento formal de los programas de auditoria
d. Elaborar los programas de actividades para realizar la auditoria
e. Elaborar los presupuestos de la auditoria
48

6. Identificar los riesgos segn su amenaza.

6.1 PLANES, PROGRAMAS Y PRESUPUESTOS PARA REALIZAR
UNA AUDITORIA DE SISTEMAS.
Planes, programas y presupuestos para realizar la auditoria. Antes de realizar una
auditora, la persona encargada, en este caso el auditor, debe realizar una serie de
planes, programas y presupuestos, a fin de que su trabajo se realice de manera
eficiente.
a. Elaborar el documento formal de los planes de trabajo de la auditoria
b. Contenido de los planes para realizar la auditoria
c. Elaborar el documento formal de los programas de auditoria
d. Elaborar los programas de actividades para realizar la auditoria
e. Elaborar los presupuestos de la auditoria
Debemos tratar de que se cumplan ciertas funciones que son:
Funcin del Control. Una definicin que es correcta y a la cual representa el
valor de la Funcin del Control es la de ayudar a los Funcionarios que tienen
responsabilidad Administrativa, Tcnica y/u Operacional a que no incurran en
falta. Y es por ello que aqu el Control es Creativo, Inteligente, y Constructivo
de asesoramiento oportuno a todas las Direcciones o Gerencias a fin de que la
Toma de Decisiones sea acertada, segura y se logren los objetivos, con la
mxima eficiencia.
El Control de Sistemas e Informtica, consiste en examinar los recursos, las
operaciones, los beneficios y los gastos de las producciones (servicios y/o
productos de los Sistemas Informticos), de los Organismos sujetos a control,
con la finalidad de evaluar la eficacia y eficiencia Administrativa Tcnica y/u
Operacional de los Organismos, en concordancia con los principios, normas,
tcnicas y procedimientos normalmente aceptados. Asimismo de los Sistemas
(Planes, Programas y Presupuestos, Diseo, Software, Hardware, Seguridad,
Respaldos y otros) adoptados por la Organizacin para su dinmica de Gestin
en salvaguarda de los Recursos del Estado.
Existe otra definicin sobre el "control tcnico" en materia de Sistemas e
Informtica, y esta se orienta a la revisin del Diseo de los Planes, Diseos de
los Sistemas, la demostracin de su eficacia, la Supervisin compulsa de
rendimientos, Pruebas de Productividad de la Gestin - Demanda llamada
"Pruebas intermedias", el anlisis de resultados, niveles y medios de seguridad,
respaldo, y el almacenamiento. As mismo medicin de la vida til del Sistema
Informtico adoptado por la Organizacin bajo control.
49

Objetivos de la Auditora y Control de Sistemas e Informtica.

Los principales objetivos que constituyen a la auditora Informtica son:
El control de la funcin informtica (Sistema de Informacin - SI y laTecnologa
de la Informacin -TI).
El anlisis de la eficiencia de los SI y la TI.
La verificacin del cumplimiento de la Normativa General de la Organizacin.
La verificacin de los Planes, Programas y Presupuestos de los Sistemas
Informticos.
La revisin de la eficaz gestin de los recursos materiales y humanos
informticos.
La revisin y verificacin de Controles Tcnicos Generales y Especficos de
Operatividad.
La revisin y verificacin de las Seguridades.
De Cumplimiento de normas y estndares.
De Sistema Operativo.
De Seguridad de Software.
De Seguridad de Comunicaciones.
De Seguridad de Base de Datos.
De Seguridad de Proceso.
De Seguridad de Aplicaciones.
De Seguridad Fsica.
De Suministros y Reposiciones.
De Contingencias.
- El anlisis del control de resultados.
- El anlisis de verificacin y de exposicin de debilidades y
disfunciones.
El auditor informtico. Es el profesional que ha de cuidar y velar por la correcta

utilizacin de los diversos recursos de la organizacin y debe comprobar que se est
llevando acabo un eficiente y eficaz Sistema de Informacin y la Tecnologa de la
Informacin
Creatividad.
Sistemas Informticos de Baja Performance creativa.
50

Deficiente manejo de Imaginacin y Creatividad para las Producciones de

Servicios.
No permite variabilidad y atencin a Usuarios.
Falta de una buena Integracin de la Informacin y Difusin del Organismo con
la Sociedad, a travs de medios y del internet.

Pocos Servicios Creativos, donde el usuario manifiesta su descontento.
Exceso de monotona y rutina de procesos administrativos y tcnicos.
Deficiente nivel de Proceso de la Investigacin y Desarrollo Creativo.
Usuarios se quejan por engorrosos procedimientos Informticos.
Inteligencia.La Organizacin no cuenta con Formacin de Conocimientos en Sistemas y Tecnologa

Informtica.
Exceso de averas en los Sistemas Informticos.

No hay Capacitacin ni entrenamiento de nuevas Tecnologas.
Tratamiento de la Tecnologa para la Inteligencia Empresarial muy deficiente.
Los Estndares de Productividad son bajos.
Bajo ndice de Produccin de Servicio (Planificacin, Produccin y Soporte
Tcnico),
Usuarios salen conformes con la resolucin de problemas (Relacionados a los
Sistemas Informticos).
Informtica de Comunicaciones, Tele Comunicaciones y Redes; no se encuentra
Integrado a los Procesos Intranet, Extranet e Internet.
Los Controles Inteligentes de procesos son deficientes.
Deficiente nivel de Investigacin y Desarrollo Tecnolgico.
Alto ndice de desatendidos y asuntos pendientes (Relacionados a Tecnologas
de la Informacin).
Personalidad. Carencia de Identidad, Rumbo y de Mstica Laboral y Personal.
Sntomas de mala Imagen.
Baja Productividad de Trabajo.
Alto ndice de estrs laboral.
Prdida de credibilidad del Organismos.
Usuarios manifiestan su descontento con el trato y atencin.
51

Organizacin. Desorganizacin estructural y Funcional.

Descoordinacin Funcional Horizontal - Vertical.
Demasiado Centralismo Funcional y Operativo de los Sistemas Informticos.

Alto riesgo de Inseguridad Operativa, de Tecnologa y de Informacin.
Las reas de Produccin, Desarrollo, Sistemas, Comunicaciones y Seguridad en
estado Crtico.
Usuarios manifiestan excesiva desubicacin en los desplazamientos por la
organizacin.
Usuarios manifiestan descontento porque no se cumplen con los plazos de
entrega de resultados peridicos.
Direccin.Carencia de Objetivos, Estrategias y Planes de los Sistemas e Informtica.

Toma de Decisiones deficientes por Tecnologas de la Informacin inadecuadas.
Los Programas de Auditoras y Control no logra recomponer fallas.
Descoordinacin en la Toma de decisiones.
Desviaciones Presupuestarias significativas.
Incremento desmesurado de costos y gastos.
Carencia de Proyectos de Sistemas e Informtica.
Baja adopcin de Medidas del Plan de Contingencias.
Usuarios se quejan por ineficacias de Resoluciones en Niveles Directivos.
Herramientas y Tcnicas para la Auditora Informtica:
Cuestionarios
Entrevistas.
Formularios Checklist.
Formularios Virtuales,
Pruebas de Consistencias.
Inventarios y Valorizaciones.
Historias de cambios y mejoras.
Reporte de Bases de Datos y Archivos
Reportes de Estndares.
Compatibilidades e Uniformidades.
Software de Interrogacin:
Certificados, Garantas, otros del Software.
52

Fotografas o Tomas de Valor (Imgenes).

Diseo de Flujos y de la red de Informacin.
Planos de Distribucin e Instalacin (Para Estudio y Revisin).
Listado de Proveedores.
Otros.
3. DEFINIR RIESGOS INFORMATICOS
Un riesgo es un problema potencial que puede ocurrir en un procesador segmentado.
Tpicamente los riesgos se clasifican en tres tipos: riesgos de datos, riesgos de salto o de
control y riesgos estructurales.
El Riesgo en auditora representa la posibilidad de que el auditor exprese una opinin

errada en su informe debido a que los estados financieros o la informacin suministrada
a l estn afectados por una distorsin material o normativa.
Hay que tomar en cuenta que el anlisis de riesgo detallado, es un trabajo muy extenso y
consumidor de tiempo, porque requiere que se compruebe todos los posibles daos de
cada recurso de una institucin contra todas las posibles amenazas, es decir
terminaramos con un sinnmero de grafos de riesgo que deberamos analizar y
clasificar. Por otro lado, hay que reconocer que la mayora de las organizaciones
4. CLASIFICACIN DE LOS RIESGOS INFORMATICOS.

Los negocios pueden fallar o sufrir prdidas como un resultado de una variedad de
causas. Las diferencias en esas causas y sus efectos constituyen las bases para
diferenciar los riesgos, los cuales se pueden clasificar as:
Inherente, de Control y de Deteccin. El riesgo inherente es la posibilidad de que
existan errores significativos en la informacin auditada, al margen de la efectividad del
control interno relacionado; son errores que no se pueden prever.
53

El riesgo de control est relacionado con la posibilidad de que los controles internos
imperantes no prevn o detecten fallas que se estn dando en sus sistemas y que se
pueden remediar con controles internos ms efectivos.
El riesgo de deteccin est relacionado con el trabajo del auditor, y es que ste en la
utilizacin de los procedimientos de auditora, no detecte errores en la informacin que
le suministran. El riesgo de auditoria se encuentra as: RA = RI x RC x RD
Riesgos financieros: El riesgo financiero envuelve la relacin entre una organizacin y
una ventaja que puede ser perdida o perjudicada. De este modo el riesgo financiero
envuelve 3 elementos:
La organizacin que est expuesta a perdidas
Los elementos que conforman las causas de prdidas financieras
Un peligro que puede causar la prdida (amenaza a riesgo).
Riesgos dinmicos: Son el resultado de cambios en la economa que surgen de
dos conjuntos de factores:
1. Factores del entorno exterior; la economa, la industria, competidores y clientes.
2. Otros factores que pueden producir las prdidas que constituyen las bases del
riesgo especulativo son las decisiones de administracin d la organizacin.
Riesgos estticos: Estos riesgos surgen de otras causas distintas a los

cambios de la economa tales como: deshonestidad o fallas humanas.
Riesgo especulativo: Describe una situacin que espera una posibilidad
de prdida o ganancia. Un buen ejemplo es una situacin aventurada o
del azar.
Riesgo puro: Designa aquellas situaciones que solamente generan
prdida o ganancia, un ejemplo es la posibilidad de prdida en la compra
de un bien (automviles, casas, etc.). Los riesgos puros pueden ser
clasificados de la siguiente forma:
54

Riesgo Personal : Consiste en la posibilidad de prdida sujeta a los

siguientes peligros : muerte prematura, enfermedad e incapacidades
Riesgos de las posesiones: Abarcan 2 distintos tipos de prdida que son:
prdidas directas por destruccin de bienes, y prdidas indirectas
causados por las consecuencias de las prdidas directas
o gastos adicionales.
Riesgos de Responsabilidades: Su peligro bsico consiste en el perjuicio
de otras personas o dao de una propiedad por negligencia o descuido.
Riesgos fsicos: Se tienen en esta clase por ejemplo: El exceso
de ruido, Iluminacin inadecuada, exposicin a radiaciones, instalaciones
elctricas inadecuadas.
Riesgos qumicos: Se tienen en esta clase por ejemplo: Exposicin a
vapores de los solventes, humo de combustin y gases.
Riesgos biolgicos: Hongos y bacterias.
Riesgos psicosociales: Ingresos econmicos injustos, monotona, falta
de incentivos y motivacin.
Riesgos ergonmicos: Puesto de trabajo incomodo, Posicin corporal
forzada, movimiento repetitivo al operar mquinas, etc.
Riesgo fundamental: Envuelve las prdidas que son impersonales en origen y
consecuencia. La mayor parte son causados por fenmenos econmicos, sociales. Ellos
afectan parte de una organizacin.
Riesgo particular: Son prdidas que surgen de eventos individuales antes que surjan de
un grupo entero. Desempleo, guerra, inflacin, terremotos son todos riesgos
fundamentales; el incendio de una casa y el robo de un banco son riesgos particulares
5. MATRIZ DE RIESGOS INFORMATICOS. METRICAS UTILIZADAS.
La Matriz para el Anlisis de Riesgo, es una Herramientas para la colaboracin,
informacin y comunicacin seguras y fue punto clave en analizar y determinar los
riesgos en el manejo de los datos e informacin de las organizaciones. La Matriz, no
dar un resultado detallado sobre los riesgos y peligros de cada recurso de la institucin,
sino una mirada aproximada y generalizada de los riesgos.
MTRICAS UTLIZADAS EN AUDITORIA DE SISTEMA.
55

Mtricas de los riesgos: medidas preventivas y reactivas del hombre, de las

organizaciones y de los sistemas tecnolgicos que permitan resguardar y proteger
la informacin buscando mantener la confidencialidad, la disponibilidad e Integridad de
la misma.
Mtricas de calidad. El concepto de mtrica es el trmino que describe muchos y muy
variados casos de medicin. Siendo una mtrica una medida estadstica (no cuantitativa
como en otras disciplinas ejemplo fsica) que se aplica a todos los aspectos de calidad
de software, los cuales deben ser medidos desde diferentes puntos de vista como el
anlisis, construccin, funcional, documentacin, mtodos, proceso, usuario, entre otros.
Tres tipos diferentes de mtricas de medicin son: mtricas tcnicas, mtricas Bang
y mtricas de punto de funcin.
a. Mtricas Tcnicas. Estas mtricas se derivan de una relacin emprica segn las
medidas contables del dominio de informacin del software y de evaluaciones
de complejidad. Ejemplo.
Nmero de entradas usuario cada una de las entradas de datos.
Nmero de salidas usuario cada una de las salidas de datos.
Nmero de peticiones usuario cada generacin de un evento.
Nmero de archivos cada tabla, archivo
Nmero de interfaces externas son interfaces, discos, copias de seguridad,
transmisiones de datos.
b. Mtricas bang. Estas ayudan a evaluar el anlisis y diseo, proporcionan

medidas de la complejidad, y ayudan a disear pruebas ms efectivas. Estas
mtricas se dividen en : Medidas del anlisis, medidas de especificacin,
medidas de diseo.
c. Mtricas de punto de funcin de Albrecht. Miden la aplicacin desde una
perspectiva del usuario dejando de lado los detalles de codificacin, estos
evalan con fiabilidad:
El valor comercial de un sistema para el usuario

Tamao del proyecto, costo y tiempo de desarrollo
Calidad y productividad de lo programado
Esfuerzo de adaptacin, modificacin y mantenimiento
Posibilidad de desarrollo propio
56

Beneficios de implementacin en 4GL

6. IMPACTO QUE PUEDEN TENER LOS RIESGOS INFORMATICOS.
Conocimiento del impacto cuantificado en la corporacin
Es esencial entender los riesgos en trminos de probabilidad de un evento capaz de
generar alguna situacin de este tipo, y en trminos del valor temporal de la exposicin
a un peligro en caso de producirse dicho riesgo. Asimismo, los riesgos necesitan ser
cuantificados para cada aplicacin empresarial esencial. Conociendo estos dos
parmetros, las personas encargadas de tomar decisiones pueden plasmar estos valores
en un sencillo grfico bidimensional, asignando las prioridades de reduccin/solucin
de riesgos a diferentes aplicaciones. Adems de esto, se puede definir y aplicar una
poltica de forma efectiva y sistemtica a toda la empresa, para ocuparse de diferentes
riesgos o de mltiples categoras de riesgos.
7. PLAN DE CONTINGENCIA
Se entiende por PLAN DE CONTINGENCIA o PLAN DE EMERGENCIA, los
procedimientos alternativos al orden normal de una empresa, cuyo fin es permitir el
normal funcionamiento de esta, aun cuando alguna de sus funciones se viese daada por
un accidente interno o externo.
Que una organizacin prepare sus planes de contingencia, no significa que reconozca la
ineficacia de su empresa, sino que supone un avance a la hora de superar cualquier
eventualidad que puedan acarrear prdidas o importantes prdidas y llegado el caso no
solo materiales sino personales.
El Plan de Emergencia
Una Planificacin de Contingencias debe ser tambin un Plan de Emergencia que
contenga los siguientes elementos:
a) La naturaleza de la contingencia
b) Las repercusiones operativas de la contingencia
c) Las respuestas viables
d) Las implicaciones financieras de las respuestas
e) Cualquier efecto en otro proceso
57

Se debern valorar los diferentes escenarios, esta actividad es la ms intuitiva y sin

embargo una de las ms importantes ya que sienta las bases de toda la planificacin
posterior. Para establecer escenarios es necesario formular distintas hiptesis, aunque
estas se basen en todos los conocimientos disponibles, nunca se debe eliminar el
elemento de imprevisibilidad.
Debe ser un documento vivo, actualizndose, corrigindose, y mejorndose
constantemente. No se trata de un documento que deba ser revisado exhaustivamente y
fecha fija, sino de un documento que est en permanente estado de cambio.
8. EJEMPLO DE PLAN DE CONTINGENCIA.
Hacer un respaldo de toda la informacin importante que se guarda dentro de la
empresa, previendo que pueda acontecer un catstrofe, inundacin, dao en los equipos,
borrn de la informacin guardada, etc., este back up se debe guardar en un lugar
seguro, pero diferente de las instalaciones donde ejerce la empresa u organizacin y
sobre todo, debe ubicarse en un lugar seguro.
Por otro lado, dentro de la organizacin se deben tener extintores por cualquier
incendio, sistemas de alarma para en caso de inundaciones, y sobre todo unos buenos
seguros.
METODOLOGA DE UNA AUDITORA DE SISTEMAS
Existen algunas metodologas de Auditoras de Sistemas y todas dependen de lo que se
pretenda revisar o analizar, pero como estndar analizaremos las cuatro fases bsicas de
un proceso de revisin:
Estudio preliminar
Revisin y evaluacin de controles y seguridades
Examen detallado de reas criticas
Comunicacin de resultados
Estudio preliminar.- Incluye definir el grupo de trabajo, el programa de auditora,
efectuar visitas a la unidad informtica para conocer detalles de la misma, elaborar un
58

cuestionario para la obtencin de informacin para evaluar preliminarmente el control

interno, solicitud de plan de actividades, Manuales de polticas, reglamentos,
Entrevistas con los principales funcionarios del PAD.
Revisin y evaluacin de controles y seguridades.- Consiste de la revisin de los
diagramas de flujo de procesos, realizacin de pruebas de cumplimiento de las
seguridades, revisin de aplicaciones de las reas crticas, Revisin de procesos
histricos (backups), Revisin de documentacin y archivos, entre otras actividades.
Examen detallado de reas crticas.-Con las fases anteriores el auditor descubre las
reas crticas y sobre ellas hace un estudio y anlisis profundo en los que definir
concretamente su grupo de trabajo y la distribucin de carga del mismo, establecer los
motivos, objetivos, alcance Recursos que usar, definir la metodologa de trabajo, la
duracin de la auditora, Presentar el de trabajo y analizar detalladamente cada
problema encontrado con todo lo anteriormente analizado.
Comunicacin de resultados.- Se elaborar el borrador del informe a ser discutido con
los ejecutivos de la empresa hasta llegar al informe definitivo, el cual se presentar
esquemticamente en forma de matriz, cuadros o redaccin simple y concisa que
destaque los problemas encontrados, los efectos y las recomendaciones de la Auditora.
El informe debe contener lo siguiente:
Motivos de la Auditora
Objetivos
Alcance
Estructura Orgnico-Funcional del rea Informtica
Configuracin del Hardware y Software instalado
Control Interno
Resultados de la Auditora
PROCEDIMIENTOS Y TECNICAS DE AUDITORIA DE SISTEMAS
Se requieren varios pasos para realizar una auditora. El auditor de sistemas debe
evaluar los riesgos globales y luego desarrollar un programa de auditora que consta de
59

objetivos de control y procedimientos de auditora que deben satisfacer esos objetivos.

El proceso de auditora exige que el auditor de sistemas rena evidencia, evale
fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, y
que prepare un informe de auditora que presente esos temas en forma objetiva a la
gerencia. Asimismo, la gerencia de auditora debe garantizar una disponibilidad y
asignacin adecuada de recursos para realizar el trabajo de auditora adems de las
revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia.
Planificacin de la auditora
Una planificacin adecuada es el primer paso necesario para realizar auditoras de
sistema eficaces. El auditor de sistemas debe comprender el ambiente del negocio en el
que se ha de realizar la auditora as como los riesgos del negocio y control asociado. A
continuacin se menciona algunas de las reas que deben ser cubiertas durante la
planificacin de la auditora:
a. Comprensin del negocio y de su ambiente.
Al planificar una auditora, el auditor de sistemas debe tener una comprensin de
suficiente del ambiente total que se revisa. Debe incluir una comprensin general de las
diversas prcticas comerciales y funciones relacionadas con el tema de la auditora, as
como los tipos de sistemas que se utilizan. El auditor de sistemas tambin debe
comprender el ambiente normativo en el que opera el negocio. Por ejemplo, a un banco
se le exigir requisitos de integridad de sistemas de informacin y de control que no
estn presentes en una empresa manufacturera. Los pasos que puede llevar a cabo un
auditor de sistemas para obtener una comprensin del negocio son: Recorrer las
instalaciones del ente. Lectura de material sobre antecedentes que incluyan
publicaciones sobre esa industria, memorias e informes financieros. Entrevistas a
gerentes claves para comprender los temas comerciales esenciales. Estudio de los
informes sobre normas o reglamentos. Revisin de planes estratgicos a largo plazo.
Revisin de informes de auditoras anteriores.
b. Riesgo y materialidad de auditora.
Se puede definir los riesgos de auditora como aquellos riesgos de que la informacin
pueda tener errores materiales o que el auditor de sistemas no pueda detectar un error
que ha ocurrido. Los riesgos en auditora pueden clasificarse de la siguiente manera:
Riesgo inherente: Cuando un error material no se puede evitar que suceda por que no
60

existen controles compensatorios relacionados que se puedan establecer. Riesgo de

Control: Cuando un error material no puede ser evitado o detectado en forma oportuna
por el sistema de control interno. Riesgo de deteccin: Es el riesgo de que el auditor
realice pruebas exitosas a partir de un procedimiento inadecuado. El auditor puede
llegar a la conclusin de que no existen errores materiales cuando en realidad los hay.
La palabra "material" utilizada con cada uno de estos componentes o riesgos, se refiere
a un error que debe considerarse significativo cuando se lleva a cabo una auditora. En
una auditora de sistemas de informacin, la definicin de riesgos materiales depende
del tamao o importancia del ente auditado as como de otros factores. El auditor de
sistemas debe tener una cabal comprensin de estos riesgos de auditora al planificar.
Una auditora tal vez no detecte cada uno de los potenciales errores en un universo.
Pero, si el tamao de la muestra es lo suficientemente grande, o se utiliza
procedimientos estadsticos adecuados se llega a minimizar la probabilidad del riesgo de
deteccin.
De manera similar al evaluar los controles internos, el auditor de sistemas debe percibir
que en un sistema dado se puede detectar un error mnimo, pero ese error combinado
con otros, puede convertir en un error material para todo el sistema. La materialidad en
la auditora de sistemas debe ser considerada en trminos del impacto potencial total
para el ente en lugar de alguna medida basado en lo monetario.
61

Desarrollo Del Silabo de Sistemas Computacionales de Auditoria

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Desarrollo Del Silabo de Sistemas Computacionales de Auditoria

Diunggah oleh

Hak Cipta:

Format Tersedia

UNIVERSIDAD ESTATAL DEL SUR DE MANABI

CARRERA DE INGENIERA EN AUDITORIA