1.

AUDITORIA DE SISTEMAS

Teniendo en cuenta el carácter de las organizaciones y de acuerdo con la normatividad

que la rige, se presentan algunos aspectos que facilitan la comprensión del concepto de
Auditoría de Sistemas:

- Objetiva, por lo tanto requiere un alto grado de independencia mental

del Auditor, con relación a los funcionarios y actividades de las entidades
auditadas.

- Crítica, requiriendo pruebas evidenciales.

- Sistemática, por cuanto es un proceso secuencial coherente y lógico que

conduce a un propósito específico.

- Posterior a las actividades, operaciones y decisiones tomadas por la

entidad vigilada.

- Selectiva a través de muestras. El auditor debe evaluar sólo partes muy

definidas y, si es del caso, estar en capacidad de inferir conclusiones
generales.

El alcance de la Auditoría de Sistemas está orientado hacia la verificación de los

controles de Recursos Informáticos (hardware, dispositivos de comunicaciones y
software) y de la información.

Teniendo en cuenta lo anterior, se define la Auditoría de Sistemas como:

1
 "El examen objetivo, crítico, sistemático, posterior y selectivo de las políticas,
normas, prácticas, procedimientos y procesos con el fin de emitir una opinión
respecto a la eficiencia en la utilización de los recursos informáticos; la
confiabilidad, consistencia, integridad y oportunidad de la información y la
efectividad de los controles en los sistemas de información computarizados".

1.1 OBJETIVOS

a. Verificar el cumplimiento de políticas, normas y procedimientos definidos por la

entidad, en el desarrollo de la función informática.

b. Comprobar la adecuada selección, uso y resguardo de los recursos informáticos

de la entidad.

c. Verificar que se efectúa el mantenimiento preventivo y correctivo de los

procedimientos y procesos, para obtener la confiabilidad e integridad de los
sistemas de procesamiento electrónico de datos.

d. Establecer el grado de confiabilidad y privacidad del ambiente informático.

2
e. Verificar que la entidad garantice la seguridad de las personas, los datos, los
programas y los equipos.

f. Verificar que los sistemas de información correspondan a los objetivos y

requerimientos de la entidad.
g. Comprobar la consistencia y confiabilidad de los sistemas y las aplicaciones
desarrolladas.

h. Verificar que exista una adecuada y eficaz operación de los sistemas y las
aplicaciones de información de la entidad.

i. Evaluar y conceptuar sobre el Sistema de Control Interno del área de Sistemas.

j. Presentar un informe para dar a conocer los resultados y recomendaciones de la

auditoría de Sistemas practicada.

Estos propósitos se logran si la entidad aplica los controles apropiados. Por lo tanto, el
auditor debe asegurarse que existan y que estén funcionando debidamente.

1.2 AREAS DE INTERES DEL AUDITOR DE SISTEMAS

Si se tiene en cuenta que el objetivo básico que se busca con la adquisición y utilización
de soluciones informáticas, es entregar información confiable, útil y oportuna, el
ámbito de la evaluación debe abarcar áreas y recursos informáticos de la organización y
aquéllas que puedan afectar el cumplimiento de dicho objetivo, tales como:

 Estructura organizacional y las funciones de Informática

 Contratación de recursos informáticos y de telecomunicaciones
 Instalaciones de cómputo
 Operación del computador
 Aplicaciones
 Estándares de documentación y desarrollo
 Usuarios de los sistemas de información.
 Planes de desarrollo informático
 Controles y seguridad en general
 Archivos maestros y de transacciones
 Computadores.

1.3 PERFIL DEL AUDITOR DE SISTEMAS

Los auditores de sistemas de información deben ser profesionales con conocimientos en:

 Estructuras organizacionales y planeación Informática.

 Procedimientos de contratación de recursos informáticos.
 Metodologías de desarrollo de sistemas.
 Seguridad informática (ambiental, física y lógica).
 Administración de base de datos.
 Administración de redes.
 Técnicas y herramientas de auditoría asistidas por computador.
 Planeación de la Continuidad del Negocio (Planes de Contingencia).
 Análisis de Riesgos.
 Utilitarios de Sistemas Operativos.

3
 2. PROCESO DE LA AUDITORIA DE SISTEMAS

El proceso de la auditoría de Sistemas sigue los mismos lineamientos expuestos en el

sistema de auditoría general pero con algunas precisiones específicas las cuales se
exponen a continuación:

Gráfico No. 1 FLUJO DEL PROCESO DE LA AUDITORIA DE SISTEMAS

4
2.1 PLANEACION DE LA AUDITORIA

La fase de planeación se compone de dos etapas:

 Conocimiento General de la Entidad

 Programa de Trabajo

La etapa del Conocimiento General de la Entidad permite estudiar en forma general tanto
la entidad como su función informática; para ello, es necesario obtener información
suficiente y relacionada con la organización, misión, visión, objetivos, normas
reglamentarias del sector y de la Entidad, funciones, estructura del área Informática,
infraestructura tecnológica de sistemas y aplicaciones.

Para el desarrollo de la fase de planeación, se presentan formatos para recolección y

análisis preliminar de información básica:

Formato No. 1: Aspectos de la Entidad que deben conocerse

Formato No. 2,3: Lista de Chequeo de la Información Requerida
Formato No. 4: Inventario de Recursos Informáticos
Formato No. 5: Lista de Funcionarios por Entrevistar
Formato No. 6: Guía para llevar a cabo una Entrevista
Formato No. 7: Costo de Aplicaciones en Producción
Formato No. 8: Costo de Aplicaciones en Desarrollo

El Programa de Trabajo también se conoce como Memorando de Planeación o Guía de

Auditoría.

2.2 EJECUCION DE LA AUDITORIA

La fase de ejecución en la auditoría de sistemas consta de dos etapas:

(Ver Grafico 2 Ejecución de la Auditoría)

2.2.1 EVALUACIÓN DEL CONTROL INTERNO, para lo cual se hace necesario tener
en cuenta los siguientes tipos de control:

5
 Gráfico No. 2 Ejecución de la Auditoría

Tipos de Control

Es importante que se preste atención a la clasificación de los Tipos de Control, pues son
la base para la formulación de los Criterios de Auditoría y Cuestionarios.

El procesamiento electrónico de datos obliga a definir e implantar controles que

reemplacen a aquellos que por la presencia del computador pierdan efectividad. Por
consiguiente, en la evaluación del Sistema de Control Interno se deben incluir acciones
que comprendan tanto la revisión de los procedimientos manuales como los
computarizados. En este orden de ideas, la Evaluación del Control Interno se puede
estructurar en dos etapas a saber:

 Controles de Carácter General.

 Controles de Carácter Específico.

Los Controles de Carácter General tienen relación con la evaluación de las actividades que
sustentan la presencia del procesamiento electrónico de datos. Se orientan tanto a la
evaluación de los procedimientos administrativos u organizativos como al análisis de las
metodologías utilizadas para el desarrollo del software. Es decir, están relacionados con
las normas y procedimientos establecidos en el ambiente del procesamiento electrónico
de datos y se clasifican en controles de:

6
  Adquisición
 Organización
 Desarrollo
 Documentación
 Seguridad

Los Controles de Carácter Específico comprenden los procedimientos que están referidos
directamente con los sistemas de información. Básicamente, se orientan hacia las
aplicaciones en producción y la integridad de los datos, desde el origen o entrada,
proceso y hasta la salida de éstos. Se clasifican en controles de:

 Aplicaciones “Entrada-Proceso-Salida”
 Bases de Datos
 Procesamiento Distribuido
 Microcomputadores
 Contingencia

La acción de los Controles Generales tiene incidencia en los Controles Específicos, es

decir, el resultado obtenido de la evaluación de los Controles Generales afecta el grado de
profundidad y detenimiento del examen que se realizará en los Controles Específicos.
Resumiendo, en el proceso de Evaluación del Control Interno, se debe ir de lo general a
lo particular.

Los procedimientos de auditoría para sistemas e informática se diseñan y se aplican con

base en el cuestionario de control interno, y las pautas establecidas en la Fase
de Ejecución del Sistema de Auditoria.

2.2.2 REALIZACION DE PRUEBAS DE AUDITORIA

Para la aplicación de las pruebas de auditoría es preciso emplear algunas

técnicas de Auditoría

En esta etapa, el auditor define, prepara y efectúa las Pruebas de Auditoría más
adecuadas con el fin de determinar la consistencia lógica de los programas; la exactitud,
confiabilidad, integridad, oportunidad y seguridad de los controles y de la información así
como también la optimización en el uso de los recursos informáticos.

Las pruebas de auditoría se constituyen en las herramientas del auditor para obtener las
evidencias que fundamentan sus conclusiones. Los resultados de las pruebas pueden
mostrar que hay fallas en el sistema, pero nunca se puede probar que el sistema es
perfecto.

Las pruebas de auditoría son de dos tipos las de Cumplimiento Y las Sustantivas:

Las Pruebas de Cumplimiento son los procedimientos que se utilizan para comprobar
el cumplimiento de los procedimientos de control en una organización.

 Verificación de cumplimiento de Normas

 Comprobación de cumplimiento de procesos

7
Las Pruebas Sustantivas son los procedimientos para evaluar la integridad de las
transacciones individuales, los datos u otra información.

Comprobación de cálculos
Verificación de salidas de acuerdo con las entradas
Prueba de fallas del sistema
Verificación de planes de contingencia

8
 3. CONTROLES EN LOS SISTEMAS DE INFORMACIÓN

3.1. CONTROLES GENERALES

3.1.1 CONTROLES DE ADQUISICIÓN

Se refieren a las políticas, normas y procedimientos implementados por una entidad con
el fin de hacer más efectiva, eficiente y económica la adquisición de recursos
Informáticos. Especialmente, sobre equipos de cómputo, soluciones informáticas,
dispositivos de telecomunicaciones y demás herramientas básicas para la buena
prestación de los servicios informáticos por parte de las dependencias de sistemas.

Los controles de adquisición también consideran la presencia de planes de adquisición a

corto y a largo plazo y a los estudios de factibilidad para escoger las alternativas más
benéficas desde el punto de vista económico, administrativo y técnico, para la Entidad
Auditada.

3.1.1.1 Criterios de Auditoría

a. Previo al desarrollo del Plan Estratégico de tecnología informática, se deben

evaluar los sistemas de información existentes en términos del nivel de
automatización del negocio, su funcionalidad, estabilidad, complejidad, costo,
fortalezas y debilidades, con el propósito de determinar el nivel de soporte que
reciben las operaciones de la entidad.

b. Previo a la adquisición de recursos informáticos, un estudio de factibilidad técnico

y económico ha debido ser realizado y revisado por la gerencia para cada
alternativa, con la finalidad de satisfacer los requerimientos del negocio y lograr
adecuados costos y excelentes beneficios.

c. Los recursos informáticos deben ser adquiridos y/o modificados de acuerdo con
planes aprobados que reflejen los requerimientos del negocio a corto plazo y las
necesidades a largo plazo.

- La necesidad de adquisición y/o modificación de recursos informáticos debe

haberse previsto en los planes de sistemas de información a largo plazo.

- Deben establecerse procedimientos apropiados para la aprobación de una

adquisición de recursos informáticos. Los requerimientos de las soluciones
funcionales y operacionales deben ser especificados incluyendo desempeño,
protección, confiabilidad, compatibilidad, seguridad y legislación.

- Se deben monitorear continuamente las tendencias tecnológicas futuras y las

condiciones regulatorias, para ser considerados en el mantenimiento del plan
de infraestructura tecnológica.

d. Los estándares que rigen la adquisición de recursos informáticos deben ser

definidos, coordinados y comunicados al personal involucrado.

e. La introducción de nuevos equipos o de programas del sistema operativo debe

precederse de planes de implementación, entrenamiento y documentación
apropiados.

9
f. Posterior a la instalación de recursos informáticos, la gerencia debe realizar una
revisión sobre la consecución de los beneficios pronosticados.

3.1.1.2.Cuestionario Adquisición

10
3.1.2 CONTROLES DE ORGANIZACIÓN

Se refieren a las políticas, normas, procedimientos orientados a la función de tecnología

de información para asegurar que la entidad cuente con la estructura organizacional
adecuada, con planes informáticos alineados con los planes de la entidad, definición de
políticas, funciones, procedimientos y comités de sistemas que garanticen la adecuada
dirección de tecnología de la información como apoyo a la Entidad para el logro de los
objetivos institucionales.

3.1.2.1 Criterios de Auditoría

a. La planeación del área informática debe hacerse de acuerdo con políticas

oficializadas y estar de acuerdo con los planes aprobados para la entidad. Para
ello:

- La entidad debe tener por escrito una política que establezca los objetivos,
roles y responsabilidades del área de informática y de las funciones
relacionadas.

- Debe existir un adecuado proceso para la planeación a corto y largo plazo

de los recursos informáticos.

- La responsabilidad por la planeación de los recursos informáticos debe

estar claramente definida y comunicada. En ella deben intervenir
representantes de la dirección, gerencia usuaria y de la función de
servicios de información.

- El plan a largo plazo debe contener aspectos tales como el pronóstico

sobre cambios en requerimientos y en tecnologías, identificación de
alternativas, aprobación de cambios en el uso de recursos informáticos y
proponer objetivos que sean mensurables.

- Los planes a corto plazo deben desarrollarse de acuerdo con lo previsto en

los planes a largo plazo y deben ser consistentes con las políticas
informáticas de la entidad.

- La entidad debe acatar las disposiciones sobre el área de informática que

emanen de organismos reguladores superiores.

- Los procedimientos de actualización de los planes sobre los recursos

informáticos deben coordinarse con otras actividades planeadas a largo
plazo en la entidad y deben comunicarse a todos los usuarios de estos
recursos.

b. La ubicación de la dependencia de informática en la estructura organizacional

general, debe asegurar la existencia de autoridad, actitud crítica e independencia,
para garantizar soluciones efectivas.

c. La alta dirección debe definir, documentar y mantener una filosofía de calidad así
como asignar la responsabilidad de su aseguramiento a miembros del área
informática, determinando el alcance y duración de las actividades planeadas,
incluyendo la revisión del cumplimiento general de los estándares y

11
 procedimientos del área informática, así como también de los objetivos
propuestos por ella.

d. Los reportes de revisiones de aseguramiento de calidad deberán ser preparados y

enviados a la Gerencia de los departamentos usuarios y de la función de servicios
de información.

e. La alta dirección deberá desarrollar y mantener regularmente un plan general de

calidad basado en los planes organizacionales y de tecnología de información a
largo plazo.

f. La gerencia informática deberá crear una estructura para designar formalmente a

los propietarios y custodios de los datos. Sus funciones y responsabilidades
deberán estar claramente definidas.

g. La Gerencia informática deberá definir e implementar procedimientos relevantes

para controlar las actividades de consultores y demás personal externo contratado
por la dependencia de informática para asegurar la protección de los activos de
información de la entidad.

h. La gerencia del área informática deberá realizar las acciones necesarias para
establecer y mantener una coordinación, comunicación y enlace óptimos entre
dicha dependencia y las demás áreas así como también con las instancias
externas a ella.

i. La gerencia deberá establecer un marco de referencia de evaluación sistemática

de los riesgos informáticos relevantes para el logro de los objetivos del negocio.
Dicho marco deberá especificar alcance, límites, metodología, capacidad de
aceptación de los mismos, responsables.

j. La evaluación efectuada deberá proporcionar la definición de un plan de acción

contra riesgos para asegurar que existan controles y medidas de seguridad
económicas que mitiguen los riesgos en forma contínua.

k. La gerencia deberá proveer e implementar una política por escrito sobre derechos
de propiedad intelectual, que cubra el desarrollo de software, tanto interno como
contratado a externos.

l. La alta dirección deberá designar un miembro de la entidad que sea responsable

de asegurar la calidad de las relaciones con terceros.

m. La gerencia deberá asegurar que todos los servicios prestados por terceros sean
propiamente identificados y que las interfaces técnicas y organizacionales con los
proveedores sean documentadas.

n. La Gerencia Informática deberá establecer un proceso contínuo de monitoreo

sobre la prestación de servicios de terceros, con el fin de asegurar el cumplimiento
de los acuerdos de los contratos.

o. El uso de los recursos informáticos debe ser supervisado, costeado y reportado.

- La entidad debe tener una clara definición de los servicios que atienden los
recursos informáticos y debe especificar estándares de calidad para tales

12
 servicios. Los estándares deben ser documentados y comunicados a los
usuarios.

- La gerencia informática debe crear un ambiente de control positivo a

través de toda la entidad así como realizar seguimiento efectivo de la
utilización de las diversas facilidades ofrecidas por los recursos
informáticos.

- La entidad debe monitorear la calidad de los productos y servicios

ofrecidos por los recursos informáticos y los usuarios deben ser
consultados durante esta etapa.

- La entidad debe costear cada tipo de servicio, localizando los costos por
proyecto o por usuario, acumulando los costos totales informáticos. Los
costos deben ser reportados a los diferentes usuarios y a la gerencia.

- Deben existir reportes rutinarios que mantengan a la gerencia informada

del desempeño y productividad de los recursos informáticos a través de los
cuales se pueda revisar el alcance en el logro de las metas.

- La entidad debe comparar los índices de desempeño con los estándares

establecidos en otras empresas o por el sector gubernamental.

p. Debe existir un Comité de Sistemas que promueva y apruebe las políticas y planes
informáticos.

q. Deben estar publicadas las principales unidades organizacionales relacionadas con

la función informática y sus responsabilidades delineadas y documentadas.

r. La alta dirección debe implementar los procesos necesarios para asegurar que las
políticas de reclutamiento y promoción de personal tengan como base criterios
objetivos y consideren como factores la educación, la experiencia y la
responsabilidad.

s. La gerencia debe asegurar que su personal se sujete a una revisión o acreditación

de seguridad antes de ser contratado, transferido o promovido, dependiendo de lo
delicado o sensible que sea el puesto.

t. La gerencia debe asegurar que se tomen acciones oportunas y apropiadas con

respecto a cambios de puesto y despidos, de tal manera que los controles
internos y la seguridad no se vean afectados por estos eventos.

u. Deben existir criterios que permitan medir el desempeño de los funcionarios del
área de informática y su evaluación debe realizarse periódicamente.

v. La alta dirección de la entidad debe establecer una unidad de auditoría interna

garantizándole la independencia necesaria para la realización de sus actividades,
así como también asignarle sus responsabilidades, autoridad y obligaciones.

w. La alta dirección debe establecer un Marco de Referencia de Evaluación

Sistemática de Riesgos del Negocio, el cual deberá incorporar las acciones
necesarias para determinar el manejo de los mismos a un nivel aceptable. En

13
 este proceso se deben tener en cuenta nuevos proyectos y casos recurrentes,
los cuales deben ser debidamente documentados. Para ello se debe:

- Establecer un Enfoque General Para la Evaluación de Riesgos que defina

el alcance y los límites, la metodología a ser adoptada para las
mediciones de riesgos. Las responsabilidades y las habilidades
requeridas. La calidad de las evaluaciones de riesgos deberá estar
asegurada por un método estructurado.

- Implantar procedimientos para Identificar y Categorizar los riesgos que

podrían afectar los negocios y servicios de la empresa, considerando la
forma como se ejecutan las operaciones y las circunstancias del medio
en que se desarrollan.

- Instaurar un sistema de Control Interno Apropiado para reducir hasta

donde sea económicamente factible, la probabilidad de ocurrencia y los
costos de las pérdidas causadas por los riesgos que podrían presentarse
en las operaciones, negocios y servicios de las empresas.

- Establecer índices, indicadores y unidades de medida para valorar la

exposición al riesgo en cada una de las dependencias de las empresas
que intervienen en el manejo de la información de las operaciones,
negocios y servicios de las empresas.

- Diseñar e implantar herramientas e instrumentos para evaluar

permanentemente la exposición al riesgo y retro alimentar el sistema de
controles establecidos.

- Nombrar responsables de la Administración del Riesgo la cual debe estar

distribuida en las responsabilidades de la Alta Gerencia, la Gerencia de
Organización y Métodos, las directivas de las dependencias usuarias y la
Auditoría.

3.1.2.2. Cuestionario Organización

14
3.1.3 CONTROLES DE DESARROLLO

Se refieren al cumplimiento de una metodología que cubra las fases para el desarrollo y
mantenimiento de sistemas de información y de controles establecidos.

3.1.3.1 Criterios de auditoría

a. Las aplicaciones deben desarrollarse de acuerdo con las políticas informáticas de

la entidad y sus planes a corto y largo plazo, las cuales deben ser periódicamente
actualizadas. Para lograr este propósito:

- La entidad debe tener una política informática que establezca objetivos,

roles y responsabilidades para las aplicaciones informáticas y las funciones
relacionadas.
- Debe establecer un proceso apropiado para la planeación de las
aplicaciones a corto y largo plazo.

- Los planes a largo plazo deben pronosticar los requerimientos futuros de

toda la entidad y los cambios en la tecnología. Debe identificar las
alternativas y los cambios aprobados para el desarrollo y mantenimiento
de las aplicaciones informáticas y proveer objetivos que puedan ser
medidos.

- Los planes a corto plazo sobre las aplicaciones deben desarrollarse de

acuerdo con los planes a largo plazo y ser consistentes con las políticas
informáticas de la entidad. Esto como resultado de un análisis de los
proyectos potenciales, de las decisiones de la alta gerencia y/o de las
prioridades relativas.

- Las responsabilidades por la planeación de las aplicaciones deben estar

claramente definidas y documentadas.

- La entidad debe acatar las disposiciones emanadas de organismos

reguladores sobre criterios para desarrollo de aplicaciones.

- Los procedimientos de actualización de los planes sobre las aplicaciones

informáticas deben coordinarse con otras actividades planeadas a largo
plazo en la entidad y deben comunicarse a todos los usuarios.

- Las aplicaciones informáticas deben ser revisadas periódicamente para

evaluar el grado de satisfacción de las necesidades de los usuarios.

b. El desarrollo de las aplicaciones informáticas debe adelantarse de acuerdo con una

adecuada metodología y un sistema de control de proyectos, los cuales deben
incluir por lo menos los siguientes aspectos:

- Los proyectos de desarrollo de aplicaciones deben haberse identificado en

los planes de corto y largo plazo aprobados por la gerencia.

- Los proyectos de desarrollo de sistemas de aplicaciones deben realizarse

de acuerdo con metodologías para el desarrollo de sistemas adecuadas y
aprobadas y deben ser costeados.

15
 - La metodología debe asegurar que se haga y documente el análisis de las
amenazas a la seguridad, sus puntos de impacto y debilidad así como
también las protecciones factibles de seguridad y control interno, con la
finalidad de reducir o eliminar el riesgo identificado.

- En el caso de requerirse cambios mayores a la tecnología actual, la

Gerencia deberá asegurar el cumplimiento de la metodología del ciclo de
vida de desarrollo de sistemas, como en el caso de adquisición de nueva
tecnología.

- Los usuarios, personal del área informática, jefes financieros, grupos de

auditoría interna de sistemas y otro personal clave deben estar
adecuadamente involucrados en los proyectos de desarrollo, con
responsabilidades asignadas.

- Los usuarios y los analistas de informática deben especificar niveles de

servicio para nuevas aplicaciones y justificarlas.

- Una metodología de control de proyectos aprobada debe ser aplicada a

todos los proyectos de desarrollo y debe contener la planeación, desarrollo,
implementación y evaluación de todos los sistemas.

- Los sistemas de aplicación deben ser documentados paralelamente al

proceso de desarrollo.

- La administración debe asegurarse que los usuarios aceptan formalmente

los sistemas nuevos o las modificaciones de sistemas, que ellos reciben
adecuado entrenamiento y que sus roles y responsabilidades en la
producción están claramente definidos.

- La administración debe adelantar la evaluación del desarrollo de

aplicaciones después que comience la etapa de producción, para
asegurarse que los objetivos de los proyectos han sido completados, que la
metodología estándar fue seguida y que las necesidades de los usuarios
fueron satisfechas.

- La modificación de sistemas de aplicación existentes debe controlarse por

procedimientos que incluyan el compromiso del usuario, la planeación y la
apropiada evaluación de su impacto.

c. La gerencia del departamento usuario debe participar en la iniciación de cada

proyecto.

d. La naturaleza general y el alcance de cada proyecto debe ser claramente

establecido y documentado.

e. Debe prepararse y documentarse un estudio tecnológico de factibilidad para cada

proyecto.

f. Debe llevarse un registro de todos los cambios de las aplicaciones del sistema.

3.1.3.2. Cuestionario Desarrollo

16
3.1.4 CONTROLES DE DOCUMENTACIÓN

Se refieren a la existencia de políticas sobre la documentación de todas las actividades

desarrolladas en la dependencia de sistemas y/o informática.

3.1.4.1. Criterios de auditoría

a. La Gerencia debe asumir la responsabilidad completa de formulación, desarrollo,

DOCUMENTACIÓN, promulgación y control de las políticas que cubran las metas y
directrices generales de la entidad.

b. La Gerencia Informática debe documentar y mantener una filosofía, políticas y

objetivos de calidad.

c. La política sobre los derechos de propiedad intelectual del software de la entidad

debe estar documentada.

d. La Gerencia Informática debe establecer por escrito un marco de referencia para

la administración de proyectos que contemple asignación de responsabilidades, la
determinación de tareas, la realización de presupuestos de tiempo y recursos, los
avances, los puntos de revisión y las aprobaciones.

e. El plan general de calidad basado en los planes de la entidad y de tecnología de

información a largo plazo debe estar documentado.

f. Los estándares para la documentación deben ser aprobados y comunicados al

personal de sistemas y deben acatarse con el fin que se mantengan de acuerdo
con las políticas de la gerencia.

g. Los sistemas de aplicación deben estar totalmente documentados.

h. La documentación de las aplicaciones debe ser adecuada y se debe asegurar su

efectivo control.

i. Los cambios en los sistemas de aplicaciones deben quedar totalmente

documentados.

e. Debe existir una documentación exhaustiva sobre las redes instaladas.

f. El acceso a la documentación de aplicaciones debe restringirse a personal

autorizado.

3.1.4.2 Cuestionario Documentación

17
3.1.5 CONTROLES DE SEGURIDAD

Se refieren a los procedimientos, medidas y mecanismos de control que protegen los

recursos informáticos de su uso no autorizado, modificación, daño o pérdida.

Los controles de seguridad propenden porque el acceso lógico a los sistemas de

información, el acceso físico a la infraestructura, estén restringidos al personal autorizado
y por la conservación del medio ambiente, garantizando la adecuada conservación de los
recursos informáticos.

3.1.5.1 Criterios de auditoría

a. Todo el personal del área de informática deberá estar capacitado y entrenado en

los principios de seguridad de sistemas.

b. Deben asignarse responsabilidades sobre el control de acceso lógico y seguridad

física del área informática. Por consiguiente:

- Deben existir controles para asegurar que la identificación y los derechos

de acceso de los usuarios, así como la identidad del sistema y la propiedad
de los datos, son establecidos y administrados de forma única y
centralizada, para obtener consistencia y eficiencia de un control global de
acceso.

- Los usuarios deberán controlar en forma sistemática la actividad de su(s)

propia(s) cuentas. También se deberán establecer mecanismos de
información para permitirles supervisar la actividad normal, así como
alertarlos oportunamente sobre actividades inusuales.

- La gerencia informática deberá asegurar que la instalación del software del

sistema no arriesgue la seguridad de los datos y programas ya
almacenados en el mismo.

- Respecto a las relaciones con proveedores de servicios, la Gerencia

Informática deberá asegurar que los acuerdos de seguridad (no
revelación), sean identificados, acordados y declarados explícitamente y se
encuentren en línea con requerimientos legales y regulatorios.

- El acceso al centro de cómputo debe restringirse al personal autorizado.

- El acceso a bibliotecas y terminales debe ser controlado.

- Deben existir protecciones contra eventos como incendios e inundaciones

de acuerdo con los estándares generalmente aceptados.

- Los archivos de cómputo deben protegerse contra accidentes, destrucción

y utilización por personal no autorizado.

c. Los documentos fuente y las formas utilizadas deben mantenerse de manera

privada o confidencial.

18
d. La gerencia deberá asegurar que los costos y beneficios de seguridad sean
examinados cuidadosamente en términos monetarios y no monetarios, para
garantizar que los costos de los controles no excedan a los beneficios.

e. El personal del área del computador debe entrenarse para la aplicación de

controles y procedimientos de seguridad.

f. Deben existir planes de seguridad y ser probados periódicamente.

3.1.5.2 Cuestionario Seguridad

19
3.2. CONTROLES ESPECÍFICOS

3.2.1 CONTROLES DE APLICACIONES

Se refieren a la evaluación de las aplicaciones en producción en términos de

automatización, funcionalidad y satisfacción de los usuarios, cantidad de recursos
inmersos, grado de obsolescencia, entre otros.

3.2.1.1 CRITERIOS DE AUDITORÍA

 Los controles de las aplicaciones son aquellos que verifican la entrada, el

procesamiento y las funciones de los datos resultantes, los cuales aseguran:

- Que solo se introduzcan datos completos, exactos, válidos y actualizados en un

sistema de información.

- Que el proceso realice las tareas de actualización, interfase y cálculos

correctamente.

- Que los resultados del proceso satisfagan las expectativas de los usuarios del
sistema y de los terceros que requieren de la información.

- Que se conserven los datos.

 Desarrollo y/o Mantenimiento de Software

- Definir políticas y normas para el desarrollo y mantenimiento del software;

estándares de métodos, técnicas y herramientas apropiadas; que permitan
prevenir errores de diseño u omisiones de las especificaciones de los usuarios.

- Analizar los requerimientos del software en el ambiente de múltiples usuarios;

diversos usos; diferentes programas aplicativos; y distintas plataformas a fin
de seleccionar acertadamente los métodos, normas y herramientas de
desarrollo y mantenimiento más apropiados.

- Determinar los controles complementarios que deben ser suplidos por el software
aplicativo, teniendo en cuenta las limitaciones de la red, acordes con los riesgos
inherentes a la importancia que para la entidad tenga la información.

- Definir la Metodología y la forma de administración del ciclo de vida útil del

desarrollo y su mantenimiento.

 El modelo de la arquitectura de información debe conservar consistencia con las

necesidades. La información debe ser identificada, capturada y comunicada de
forma consistente y dentro de periodos de tiempo que permitan a los responsables
llevar a cabo sus tareas eficiente y oportunamente. El Sistema de Información debe
crear y actualizar regularmente un modelo de arquitectura abarcando el modelo de
datos corporativo, en concordancia con el Plan a largo plazo de tecnología de
información.

 Monitoreo de Costos-Beneficios. La gerencia debe establecer un proceso de

monitoreo de costos que compare los reales con los presupuestados. De igual

20
 manera, los posibles beneficios derivados de la actividad de tecnología de información
deben ser identificados y reportados regularmente para asegurar su adecuación. Para
este monitoreo de beneficios, se deben definir indicadores de medición de desempeño
de alto nivel. El desempeño de las aplicaciones debe monitorearse para evaluar su
eficiencia. Para tal fin:

- La administración debe revisar periódicamente el desempeño de las aplicaciones

con miras a evaluar la eficiencia del sistema total, tomando en cuenta los costos
administrativos y operativos relacionados.

- Los estándares de trabajo, el contenido del trabajo y la destreza requerida deben

analizarse y revisarse apropiadamente cada vez que se introduce una nueva
aplicación o es modificada una ya existente.

- El personal de oficina relacionado con las aplicaciones debe estar apropiadamente

entrenado, monitoreado y evaluado en su desempeño.

- Deben mantenerse procedimientos apropiados para el mejor desempeño de las

aplicaciones. Estos procedimientos deben abarcar tanto las actividades de oficina
relacionadas como las del procesamiento como tal.

- Deben existir sistemas de reportes para mantener a la administración informada

del desempeño de las principales aplicaciones informáticas y se deben tomar las
acciones apropiadas de acuerdo con los resultados reportados.

- El grupo de auditoría interna debe revisar el desempeño de las aplicaciones.

 Las aplicaciones deben contener los controles y pistas de auditoría adecuados:

- Deben haber controles adecuados alrededor de los sistemas de aplicación

existentes, soportados por una apropiada separación de deberes para asegurar la
autorización, la seguridad e integridad adecuada de la información procesada por
el sistema.

- Debe tenerse por escrito el conjunto de estándares de control por sistema de

aplicación.

- Los sistemas de aplicación deben poseer suficientes pistas de auditoría que

permitan la verificación de las operaciones.

- El grupo de auditoría interna debe verificar que los sistemas de aplicación

contengan estándares y políticas de control.

 Debe existir un procedimiento que identifique las aplicaciones de potencial

importancia para la organización y que satisfacen sus requerimientos de información.

 Justificación de Costo / Beneficios. Se debe establecer un control gerencial que

garantice que la prestación de servicios por parte de la función de servicios de
información se justifique en cuanto a costos y se encuentre en línea con el negocio.
Los beneficios de las actividades de tecnología de información deben ser analizados.
 Deben evaluarse periódicamente los costos-beneficios de las aplicaciones.

21
 Las aplicaciones deben probarse exhaustivamente antes de liberarlas para su
utilización considerando entre otras las siguientes:

- Prueba de Aceptación Final:. Los procedimientos deberán asegurar, como parte de

las pruebas de aseguramiento de calidad de sistemas de información nuevos o
modificados, una evaluación y aprobación formal de los resultados de las pruebas
por parte de la Gerencia y de los departamentos usuarios. Las pruebas deben
cubrir todos los componentes del sistema de información.
- Pruebas y Acreditación de Seguridad, se deben definir e implementar
procedimientos para asegurar que los usuarios aceptan formalmente los
resultados de las pruebas y el nivel de seguridad para los sistemas.
- Definir procedimientos formales que garanticen la realización de pruebas de
regresión, entrega, etc.
- Establecer medidas de control específicas que aseguren la distribución del
aplicativo correcto al lugar indicado, de manera oportuna y con pistas de auditoría
adecuadas.

 Los cambios a las aplicaciones deben probarse para asegurar que satisfacen los
requerimientos planteados.

 Debe tenerse un registro de todos los cambios de las aplicaciones del sistema.

 Derechos de propiedad Intelectual. La Gerencia debe proveer e implementar una

política por escrito sobre derechos de propiedad intelectual que cubra los aplicativos
desarrollados internamente o contratados.

3.2.1.2. Cuestionario Aplicaciones

22
3.2.1.1 Entrada

Se refieren a los controles que validan los datos de entrada a los diferentes sistemas,
buscando con ello un alto grado de depuración que evite grandes cargas de trabajo
posteriores, relacionadas con la corrección de datos erróneos y su reentrada.

3.2.1.1 .1 Criterios

 Información sometida a procesamiento debe ser autorizada, preparada, integrada y

trasmitida adecuadamente.

- El usuario debe tener procedimientos establecidos para preparar los datos.

- Los documentos fuente deben ser diseñados de forma tal que minimicen
los errores y omisiones.

- Los documentos fuente y formas en blanco, deben custodiarse por

personas no involucradas en su generación.

- Deben establecerse procedimientos de autorización para la entrada de

datos.

- Los procedimientos de control de información deben estar totalmente

documentados.

- Los documentos fuentes deben retenerse por un tiempo determinado para

facilitar la recuperación o reconstrucción de la información.

 Los datos de entrada a procesar deben ser validados y editados lo más cerca posible
al punto de origen.

- Los procedimientos para la conversión y la entrada de los datos deben

estar establecidos.

- Los procedimientos para el manejo de errores deben facilitar la reentrada

oportuna y precisa de todos los datos corregidos.

3.2.1.1 .2 Cuestionario Entrada

23
3.2.1.2 Proceso

Debe existir una serie de controles que eviten el uso indebido de herramientas que
facilitan la alteración de los datos durante el proceso. Para ello es preciso que se
implanten controles relacionados con la separación de deberes, el control de corridas, los
procesos de reinicio, la obtención de bitácoras, etc.

3.2.1.2.1 CRITERIOS

 El procesamiento de los datos de los aplicativos debe ser controlado para asegurar
que ningún dato es agregado, removido o alterado durante el proceso.

o Deben establecerse procedimientos de Integridad de procesamiento de datos

para que la segregación de funciones sea mantenida, el trabajo realizado sea
verificado rutinariamente y establecidos controles de actualización adecuados
como totales de control “corrida a corrida” y control de actualización de
archivos maestros.

o Deben existir procedimientos para el procesamiento de los datos que

garanticen la separación de tareas.

o Los programas de aplicación deben contener condiciones que en forma

rutinaria verifiquen el trabajo realizado durante el proceso de los datos, para
promover la integridad de los mismos. Deben existir procedimientos para
asegurar que la validación, autenticación y edición del procesamiento sean
llevados a cabo tan cerca del punto de origen como sea posible.

o Los procedimientos para el manejo de errores durante el procesamiento de los

datos deben identificar las transacciones erróneas sin que sean procesadas y
sin que haya interrupciones excesivas del procesamiento de otras
transacciones válidas.

o Debe existir un método para reiniciar o reprocesar un trabajo después de que

se han detectado errores de procesamiento.

o La falla del equipo, la recuperación de errores y los procedimientos de reinicio

y/o parada deben estar claramente documentados y ser revisados
periódicamente.

o Debe mantenerse una bitácora del sistema con todas las actividades de
cómputo, para la resolución de errores del sistema o del operador.

3.2.1.2. 2 Cuestionario Proceso

24
3.2.1.3 Salida

Toda entidad produce información altamente sensible y confidencial. Por esto, deben
existir procedimientos que restrinjan la producción, distribución y el conocimiento de
ciertos reportes por parte de usuarios no autorizados.

3.2.1.3.1 CRITERIOS

 Los reportes de salida resultantes del procesamiento deben ser revisados en cuanto a
su razonabilidad y distribución oportuna a los destinatarios autorizados.

- Los reportes de salida deben ser revisados en cuanto a forma e integridad.

- La salida debe ser balanceada contra los totales de control.

- Las pistas de auditoría deben estar activadas para facilitar el rastreo de

transacciones y la conciliación de datos con problema.

- La distribución de las salidas debe estar acorde con las instrucciones

escritas.

- Deben existir procedimientos para reportar y controlar los errores

contenidos en las salidas.

- Deben existir procedimientos para el manejo y la retención de las salidas.

- Debe existir protección de la información sensible durante la transmisión y

transporte contra acceso o modificación no autorizada, así como contra
envíos a direcciones erróneas.

3.2.1.3.2 Cuestionario Salida

25
3.2.2 CONTROL DE BASES DE DATOS

Se refieren a las políticas, normas y procedimientos para la administración de las bases

de datos, que garanticen seguridad, confiabilidad y oportunidad de la información
contenida en ellas.

3.2.2.1 CRITERIOS

Los criterios para las Bases de Datos corresponden a la verificación de la existencia de

controles relacionados con su administración e integridad, de políticas de control de
información, de manejo de transacciones y sus errores, de los programas interfaces,
etc.

a. Debe considerarse el control, integridad y seguridad de los datos compartidos por

múltiples usuarios. Para ello el Administrador de la Base de Datos “DBA” debe:
 Asegurar que el único medio para acceder a una base de datos sea a través de
los medios establecidos.
 Definir controles de autorización que se aplicarán cada vez que se intenta
acceder a los datos.
 Incluir procedimientos de chequeo o validación que se ejecutarán cada vez
que se intente una operación de actualización. Los procedimientos de
validación pueden ser sobre:
- El tipo de dato corresponda al especificado en la base de datos:
caracter, decimal, punto fijo, punto flotante, etc.
- El valor de los datos sólo puede estar dentro del rango definido. Por
ejemplo el campo MES no debe dejar introducir valores diferentes a
enero, febrero, ...., diciembre.
- Los valores de las llaves primarias y secundarias. A la hora de introducir
los datos el DBMS comprueba que la llave primaria sea única y los
valores de las llaves secundarias se puedan repetir en función de las
condiciones impuestas.
- Integridad referencial, que garantiza que no existan registros hijos sin su
respectivo registro padre; sin embargo puede haber un registro padre sin
registros hijos asociados.
 El DBMS debe controlar la interacción entre las transacciones
concurrentes para conservar la coherencia de la base de datos.
 El sistema de base de datos debe evitar la inconsistencia de los
datos, reduciendo al mínimo la redundancia y preservando en todo
momento la integridad de los datos.

b. Deben instalarse modernos sistemas de hardware y software que apoyen los

accesos a los datos de forma simultánea.

c. El diseño de la base de datos debe asegurar un tiempo de respuesta idóneo para el

diálogo entre el usuario y el computador.

d. Debe asignarse la responsabilidad de la administración del medio ambiente de la

base de datos. La ubicación del administrador debe estar definida a un nivel lo
suficientemente alto para asegurar su independencia.
e. Deben establecerse por escrito los procedimientos relacionados con la descripción,
cambios y mantenimiento del directorio de datos.

26
f. Los procedimientos de restauración de bases de datos deben ser suficientes para
minimizar las pérdidas y el tiempo de recuperación. Se deben sacar periódicamente
copias de seguridad y guardarse en un sitio diferente al centro de cómputo.

g. El administrador de la base de datos debe instruir a los usuarios y personal técnico

en los conceptos y procedimientos de trabajo de la base.

h. La documentación debe dejar muy claro las funciones, responsabilidades y

limitaciones del administrador de la base de datos.

3.2.2.2 Cuestionario Bases de Datos

27
3.2.3 CONTROLES DE REDES - PROCESAMIENTO DISTRIBUIDO

Se refieren a las políticas, normas, procedimientos y actividades definidas, que garanticen

el óptimo funcionamiento y utilización de éste recurso.

3.2.3.1 Criterios

a. Control y Administración de Personal. Cada red de información, a cualquier nivel

debe tener una persona u organización, encargada de proteger la integridad de la
información, administrar los recursos de la red y proveer servicios aceptables a los
propietarios y usuarios de las aplicaciones, autorizar el acceso y uso de las redes
de telecomunicaciones de la entidad asegurando la utilización de identificaciones
de usuarios y autenticaciones que minimicen el riesgo de interrupciones del servicio
debido a usos no autorizados.

Los usuarios son los administradores de las aplicaciones y usuarios finales; cada una
de las aplicaciones debe contar con la asignación de un administrador que asume su
responsabilidad, seguridad y control.

b. Planeación de Proyectos, Diseño e Instalación de Servicios Control de los proyectos

de comunicaciones de redes documentando una Gestión Gerencial en la que se
reglamente y defina:

- Las Políticas de selección y adquisición.

- Políticas de planeación, diseño e instalación.
- Identificación de necesidades de usuarios.
- Análisis y clasificación de las aplicaciones o datos que usará la red.
- Identificación de los riesgos derivados de la utilización.
- Definición de Topología.
- Definición de medios de interconexión.
- Definición del sistema operacional, medios de modulación, método de acceso.
- Definición del tipo, cantidad y configuración de los servidores.
- Definición, cantidad y configuración de estaciones, impresoras, etc.
- Definición de medios de comunicación externa.
- Definición de la responsabilidad del proyecto, que asegure su justificación y
control, con el fin de que el producto cumpla con los requerimientos
organizacionales.

c. Administración del Servicio y Soporte

- Eficiente utilización de recursos.

- Establecer los procedimientos documentados para realizar cambios de control,
resolver problemas de administración y monitoreo del comportamiento de los
servicios de telecomunicaciones.
- Proteger la integridad y disponibilidad del servicio.
- Asegurar que los cambios sean completos, debidamente autorizados y
verificados.
- Verificar que los problemas sean resueltos oportuna y efectivamente.

d. Análisis de Controles. Efectuar análisis periódicos cuando se entregan nuevos

desarrollos o proyectos de mejora y después del inicio operacional.

28
f. Asegurar que los controles de los servicios de redes de telecomunicaciones sean en
forma permanente los adecuados y acordes con los riesgos a los que pueden estar
expuestos, deben cumplir:

- Análisis oportuno de los riesgos de pérdida, alteración de la Información, uso no

autorizado de servicios de telecomunicaciones, interrupción del servicio.
- Revisión gerencial y aprobación de las decisiones de control que resulten del
análisis del riesgo.

h. Seguridad

- Física

Es necesario determinar políticas y normas de seguridad física ajustadas a las

condiciones de la organización en las que se identifiquen las áreas y puntos
críticos; determinando y estableciendo las medidas de seguridad consistentes
con las pérdidas ocasionadas en relación con los recursos “Hardware, Software,
Humanos”.

Es necesario proveer las condiciones y elementos de seguridad, ambientales y

de organización adecuadas a los servidores y periféricos que conforman la red,
para proteger la información en ellos almacenada.

- Lógica

Definir políticas y normas relacionadas con los riesgos y la vulnerabilidad que

están sometidos los datos y el software, en las que se establezcan e
identifiquen las medidas de seguridad lógica, consistentes con las pérdidas de
los riesgos asociados con el acceso.

Definir procedimientos de control de acceso a la red; asegurar que solamente se

autoriza el acceso y uso de la red a los usuarios con necesidades legítimas y
consecuentes con su responsabilidad.

Actualizar las autorizaciones vigentes, de acuerdo con las necesidades y

cambios de la organización.

Establecer responsabilidades al autorizar el acceso a las áreas de usuario, que

permitan proteger la información de la entidad contra consultas no autorizadas,
su destrucción o modificación.
Para evaluar efectivamente los requerimientos de seguridad en redes de una
entidad, es necesario tener en cuenta los siguientes aspectos con relación a la
información:

- Ataques a la seguridad: Cualquier acción que comprometa la integridad de la

información propia de la entidad.

- Servicios de seguridad: Estos servicios extienden la seguridad a los sistemas de

procesamiento de datos y de transferencia de información
de una entidad. El servicio debe registrar el ataque y
hacer uso de uno o más mecanismos de seguridad para
evitarlo, anunciarlo o minimizar su impacto sobre la
información objeto.

29
- Mecanismos (Controles) de seguridad: Son las medidas utilizadas para prevenir,
detectar, anunciar o recuperar la
información alterada por un ataque.

3.2.3.2 Cuestionario Redes

30
 3.2.4. CONTROLES MICROCOMPUTADORES

Se refieren a las políticas, normas y procedimientos establecidos para garantizar la

adecuada adquisición, utilización y administración de estos recursos.

4.2.4.1. Criterios

a. La adquisición y utilización de los microcomputadores debe ser planeada con la

participación de la gerencia.

- La organización debe establecer políticas para la adquisición y utilización

de los microcomputadores.
La gerencia debe establecer procedimientos para la adquisición de
microcomputadores y aprobarlas de acuerdo con estudios que consideren
los costos-beneficios.

b. Deben tenerse implantados procedimientos para el control de los

microcomputadores.

c. Deben existir dispositivos de seguridad que eviten el acceso físico a las áreas o
instalaciones de los microcomputadores e implantarse seguridades para restringir
el acceso lógico a programas y datos almacenados.

d. Deben existir por escrito los criterios a tener en cuenta para la adquisición de
software para microcomputadores.

e. Deben existir por escrito procedimientos para el uso de los microcomputadores

que contengan restricciones de acceso, uso limitado de los programas instalados y
responsabilidades sobre su uso y mantenimiento.

f. Los programas que se instalen en los microcomputadores de la organización

deben haber sido adquiridos con el lleno total de los requisitos legales.

g. Debe existir un contrato de mantenimiento que cubra los microcomputadores y

sus periféricos.

3.2.4.2 Cuestionario Microcomputadores

31
 4. TÉCNICAS DE AUDITORÍA

Las técnicas mejoran la eficiencia del Auditor en la ejecución de los procedimientos de

auditoría que utiliza para evaluar la consistencia, integridad y oportunidad de la
información y la efectividad de los controles en los sistemas de información.

Las Técnicas de Auditoría asistidas por computador, le ofrecen al Auditor las siguientes
ventajas:

- Permite confiabilidad sobre la consistencia en la utilización de los

procedimientos de auditoría.
- Obtener mayor independencia sobre la información del auditado.
- Ampliar la cobertura de la auditoría.
- Acceder y disponer oportunamente a la información.
- Mejorar la identificación de las excepciones.
- Muestreos más amplios.

El Auditor de Sistemas de Información deberá conocer y tener las habilidades en

el manejo de software que sirve de apoyo al proceso de auditoría y permite
automatizar y utilizar las técnicas de auditoría.

Para fundamentar las conclusiones de auditoría, debe identificar, verificar y

evaluar los métodos de control en el proceso de obtención de la evidencia
adecuada, a través de pruebas de cumplimiento y/o sustantivas.

4.1 PRUEBAS DE CUMPLIMIENTO

Las pruebas de cumplimiento se usan para determinar si un procedimiento de

control prescrito está funcionando efectivamente; consisten en verificar:

a. La aplicación de las leyes y/o reglamentos y los procedimientos establecidos en

los manuales y que éstos se encuentren actualizados.

b. El conocimiento por parte del personal, de los manuales y de las políticas del
ambiente informático.

c. La existencia de informes o memorandos preparados por el Departamento de

Informática.

d. Si han sido implantadas las recomendaciones emitidas por auditorías anteriores.

4.2 PRUEBAS SUSTANTIVAS

Las pruebas sustantivas se diseñan para proveer una seguridad razonable

acerca de la validez de la información producida.

El desarrollo de las pruebas es logrado mediante la aplicación de una o varias

técnicas de auditoría, ya sea simultánea o secuencialmente, tales como:

32
a. Analizar registros.
b. Hacer operaciones.
c. Comparar archivos.
d. Estratificar archivos.
e. Seleccionar una muestra aleatoria.
f. Resumir información.
g. Generar reportes.
h. Construir archivos de prueba.
i. Extraer información de un archivo.
j. Realizar análisis estadísticos.
k. Simular parte del sistema o su totalidad.

4.2.1. REVISIÓN DE LOS LISTADOS DE LOS PROGRAMAS

La revisión de los listados de los programas (verificación de escritorio o verificación de la

codificación de los programas) proporciona información sobre el procesamiento por
computador , a través de un análisis detallando de los listados de codificación de los
programas. Bajo este enfoque , un miembro del equipo de auditoría lee y analiza la
codificación detallada de la aplicación escrita por los programadores. Esta técnica
requiere una persona entrenada en los principios de auditoría y también con mucha
experiencia en programación, quien debe poseer un conocimiento detallado del lenguaje
de programación, del sistema operativo y del equipo de computación específicos que se
utilizan.

Los listados en codificación o lenguaje fuente es uno de los últimos recursos para
obtener información. Aunque sea la más difícil de interpretar, es probable que la
codificación fuente sea la referencia más asequible (inmediata).

4.2.2. REVISIÓN DE LOS DIAGRAMAS DE FLUJO DE LOS PROGRAMAS

La revisión de los Diagramas de Flujo tienen una gran ventaja que es la de facilitar el
entendimiento lógico del programa. Además la utilización de programas de operación
para diagramar flujos (Comerciales) aumenta la probabilidad de que se mantengan
actualizados, reflejando el procesamiento que se examina, tal como está a la fecha de
su revisión.

Ésta técnica resulta efectiva únicamente cuando el auditor conoce que problema debe
detectar.

4.2.3 TÉCNICAS PARA PROBAR LOS CONTROLES

Se considera dos enfoques alternativos para probar los controles de aplicación:

 Probar los Resultados

 Probar el Procesamiento.

El probar los resultados proporciona una inferencia de que los resultados son correctos,
los controles esenciales están funcionando. Ejemplo - Si las cuentas por cobrar se
confirman a una fecha intermedia y no se encuentra excepciones significativas, podemos

33
inferir que los controles son adecuados respecto a la actualización del archivo que en
cuento a facturas y pagos están funcionando.

Cuando se prueba el procesamiento real, las funciones y controles claves se verifican

individualmente. Los porcentajes de error que se detectan en estas funciones y controles
se utilizan posteriormente para pronosticar el riesgo. Ejemplo Si los límites de créditos
autorizados se ignoran en un 7% de los casos en que se solicita crédito adicional,
podemos predecir que el 2% de las cuentas por cobrar a fin de año serán incobrables.

4.2.3.1 TÉCNICAS PARA PROBAR LOS RESULTADOS

Estas técnicas se usan principalmente como pruebas sustantivas , se realizan con los
programas computarizados como el “IDEA”, estas técnicas son:

 Confirmación con terceros de las partidas que se encuentran en un archivo de

transacciones o saldos. De lo cual se puede tomar todo el archivo o una muestra
representativa.

 Comparación de Archivos mantenidos por los departamentos independientes o

con las partidas físicas que representen los registros.

 Pruebas de edición y razonabilidad sobre las partidas en archivo, los cuales se

utilizan para determinar los controles dentro de la aplicación, estas pruebas
sirven para detectar condiciones que no deben existir si los controles
preventivos fuesen efectivos; por medio de:

- Validación de campos.
- Lectura salteada de los registros.
- Identificación de registros duplicados.
- Chequeo de ausencia de registros en una secuencia.
- Ordenamiento de intercalación de los datos.
- Obtención de totales y sub-totales.
- Ejecución de cálculos.
- Búsqueda de tablas.
- Clasificación por períodos de vencimiento.
- Selección de registros.
- Generación de archivos de salida.

La naturaleza específica de las pruebas de razonabilidad y edición puede variar

ampliamente dependiendo de la comprensión de la información y de la importancia que
ésta tiene para la organización.

4.2.3.2. TÉCNICAS PARA PROBAR EL PROCESAMIENTO

Auditoría Alrededor del Computador

- Para llevar a cabo es necesario que existan listados de transacciones y de
cifras de control del archivo que está siendo procesado.
- Desarrollar métodos para obtener muestras representativas de las
transacciones, las técnicas de muestreo deben asegurar que se prueban
tanto las transacciones representativas como las no usuales.

34
 Al aplicar ésta técnica el auditor debe hacer lo siguiente:

- Definir los Procesos y los Controles que van a probarse.

- Seleccionar las partidas de prueba, debe seleccionar los datos de

entrada que van a probarse y examinar los datos de salida correspondientes
en la aplicación, para determinar la razonabilidad y exactitud de la
información, debe probarse cada tipo de dato de salida que sea de interés,
incluyendo los listados de edición y de errores que indican la efectividad de
los controles de aplicación. Debe probarse simultáneamente las porciones
tanto manuales como computarizadas.

- Reprocesar las partidas de prueba, ya identificados los datos de salida y

obtenido los datos de entrada correspondientes se procede a efectuar la
comprobación de los cálculos de la aplicación, el cual requiere de un
conocimiento detallado de qué debe hacerse y qué resultados deben
obtenerse.

- Resolver las excepciones, Cuando se identifican excepciones en el

procesamiento se debe determinar las causas y establecer si son
resultados de deficiencias de control o de rutinas de procesamiento
incorrectas o de errores de procesos manuales.

4.2.3.2.1 Datos de Prueba

Son los lotes de datos de entrada que representan una variedad de transacciones
para verificarlas a través del procesamiento real, estos deben representar la aplicación
que se examina con todas las posibles combinaciones de transacciones, situaciones
de archivos maestros, valores y lógica de procesamiento que podrían encontrarse
durante las operaciones reales.
En el caso que sea necesario, que el auditor cree nuevos archivos maestros para
verificarlos mediante el uso de datos de prueba se pueden considerar dos enfoques
alternativos:

- Los registros reales selectivos pueden compilarse como un archivo de datos

de prueba.
- Se pueden crear registros de archivos maestros especialmente para ese
propósito.

La posibilidad de seleccionar registros reales para los archivos de prueba está sujeta a
que las condiciones deseadas que existan dentro de algún archivo disponible.

Al aplicar esta técnica se debe considerar:

- Definición de Objetivos, la definición formal se debe a la naturaleza

específica de los datos de prueba, ya que verifican únicamente aquellas
características o controles que el auditor designa en forma explícita.

- Calcula los resultados Previstos para el Procesamiento, Este se realiza

mediante datos reales que se incluyen en los registros maestros y en las
transacciones relacionadas que constituyen los datos de prueba. Los datos de
prueba se determinan basados en la comprensión de la lógica del programa,

35
 los métodos de cálculo y las características de control, para compararlos con los
resultados del procesamiento por el computador.

- Procesar los datos de prueba a través del computador, este paso es

procesar los datos de prueba a través de todos los programas en el ciclo de
diferentes tipos de transacciones en distintas etapas de una aplicación.

- Comparar los resultados Manuales contra los producidos por el

computador.

- Resolver las excepciones, cuando los resultados de las pruebas indican

discrepancias en el procesamiento delos programas de aplicación, el auditor
debe identificar los efectos derivados de un procesamiento realizado con
programas erróneos.

Método de Instalación de Prueba Integrada

Es el refinamiento del enfoque de los datos de prueba. Este método permite alimentar al
sistema con los datos de entrada de prueba seleccionados, junto con, o como si
estuvieran mezclados con los datos “reales” y rastrear el flujo de estas transacciones
en el sistema, para compararlas con resultados predeterminados. Implica el
establecimiento de una entidad “falsa” contra la cual se procesan los datos ( Una
División, un empleado etc.). Una vez que se ha establecido, las transacciones se
procesan contra ella junto con las transacciones reales.

Para aplicar esta técnica se debe considerar:

- Definir Objetivos.

- El método de Instalación de Prueba Integrada no cambia la necesidad de

definir objetivos, El enfoque para los lotes de Prueba se emplea para esta
situación.

- Establecer Registros Falsos en los Archivos Reales

- Este método requiere que los registros se establezcan en los mismos medios de
archivo que los registros reales; sin embargo, debe hacerse alguna
identificación de “los registros Falsos”, ya sea por número de cuenta específico,
serie de números de cuenta, número de departamento etc. El enfoque que se
utilice para está identificación debe considerarse cuidadosamente, ya que
podría crear limitaciones sobre los procedimientos de prueba o permitir que el
trabajo del auditor tenga efectos distintos a los autorizados sobre los registros.

- Establecer el Método para Eliminar los Efectos de los Datos de Prueba.

- Debido a que los registros maestros de prueba se encuentran junto con los
registros de los demás archivos maestros y que las transacciones de prueba se
alimentan durante el flujo normal del procesamiento, se deben eliminar de los
resultados del procesamiento real, los efectos de estas transacciones y
registros. Por medio de:

36
  Revisión manual de los efectos de las transacciones y registros sobre los
resultados reportados, esta revisión es económica pero no es muy
confiable.
 Exclusión de transacciones y registros en las cifras de control, mediante
programas.
 Uso de valores insignificantes para las transacciones y registros, con efecto
de que sus efectos puedan ser ignorados.

El enfoque de la instalación de prueba integrada es una técnica de auditoría

útil, pero tiene desventajas. Un enfoque común para la implantación consiste
en desarrollarla para que sea utilizada por el personal de mantenimiento de
programas y para efectos de auditoría.

4.2.3.2.2 Archivo de revisión de Auditoría como Control del Sistema

Implica la incorporación de pruebas de racionabilidad determinadas por el auditor, en

los programas del procesamiento normal. Los resultados de estas pruebas se reportar
al auditor en vez de a los usuarios, para su revisión y posible investigación. (Control
Interno – Pruebas Selectivas)

Para la Aplicación de ésta técnica se requieren los siguientes pasos:

- El auditor debe proporcionar sus requerimientos al grupo de desarrollo de

sistemas durante la fase de desarrollo relativo a las especificaciones del
usuario.

- Los requerimientos de selección del auditor se implantan en los programas de

aplicación, junto con el resto del desarrollo de la aplicación.

- Ya implantado el nuevo sistema de aplicación y los controles detectivos

especificados por el auditor para que funcionen simultáneamente con los del
procesamiento normal, las excepciones presentadas en estas pruebas de
auditoría se registran en un archivo independiente.

- El archivo de excepciones de auditoría es analizado por el auditor utilizando

técnicas manuales o ayudas por computador.

- El auditor sigue la acción que considere apropiada, basado en las excepciones

que descubre.

El Auditor rara vez necesita procesar repetidamente los controles detectivos y que
tampoco son de interés para los usuarios. si las pruebas detectivas desarrolladas por el
auditor son buenas, los usuarios deben adoptarlas.

4.2.3.2.3 Archivo de Revisión de Auditoría por Muestreo

Es igual a la anterior excepto que su contenido se selecciona al azar, más que como
excepciones a cualquier prueba especial de edición o razonabilidad. El objetivo de esta
técnica es obtener un archivo representativo para efectos de análisis de auditoría.
(Control Interno – Pruebas Selectivas).

37
- El auditor debe proporcionar sus requerimientos al grupo de desarrollo de
sistemas durante la fase de desarrollo relativo a las especificaciones del
usuario.

- Los requerimientos de selección del auditor se implantan en los programas de

aplicación, junto con el resto del desarrollo de la aplicación.

- Ya implantado el nuevo sistema de aplicación, la rutina de selección al azar

origina que los registros sean grabados en una archivo.

- El archivo representativo de registros es examinado por el auditor utilizando

técnicas manuales o ayudas por computador.

- El auditor sigue la acción apropiada con base a las situaciones que se detectan.

4.2.3.2.4 Simulación en Paralelo

Consiste en preparar una Aplicación computarizada por separado que efectúe las mismas
funciones que los programas de aplicación reales procesamientos periódicos. Los
programas de simulación leen los mismos datos de entrada utilizando los mismos
archivos y tratan de producir los mismos resultados. Estos resultados se cotejan con los
producidos por los programas reales, proporcionando una base para probar a través de
la comparación.
La simulación en paralelo puede hacerse en cualquier lenguaje de programación. Sin
embargo al auditor le son más útiles los programas de propósito general.

Las relaciones funcionales entre las aplicaciones computarizadas y la simulación en

paralelo se representan en el diagrama de flujo que muestra la naturaleza paralela
directa de la simulación a través del uso de los programas de operación de auditoría de
propósito general. Estos programas utilizan el archivo maestro real del computador y las
transacciones reales que alimenta al sistema.

La técnica de simulación es más efectiva cuando se aplica a cálculos, decisiones y

controles programados de las aplicaciones y a las funciones de la aplicación que
mantienen y actualizan los archivos con transacciones.

Para la Aplicación de ésta técnica se requieren los siguientes pasos:

- Definición de los objetivos de la prueba:

 Descripción de las funciones de la aplicación que son esenciales para la
operación confiable del sistema de aplicación.
 Una función importante de procesamiento, tal como el cálculo de las
retenciones por nómina.
 Las transacciones iniciadas internamente, como el cálculo automático de
intereses.
 Una función de razonabilidad, como el reportar cuentas de cheques sobre
giradas en un banco.

- Obtener información detallada:

Se requiere que el auditor obtenga un conocimiento detallado de la aplicación,
el cual no necesita ser un conocimiento completo de toda la lógica de los
programas del computador únicamente a la correspondiente al área que le

38
 interesa y a la mayor parte de las situaciones. Debe optar por omitir de su
simulación en paralelo la lógica compleja que se aplique a situaciones poco
usuales, y resolver manualmente las diferencias que se originen por esta
omisión. El conocimiento debe incluir: - Descripciones precisas de los
registros y transacciones. - Significados de los códigos utilizados en los
archivos. - Fórmulas o criterios de decisión específicos utilizados en la
aplicación “real”. - Número de posiciones decimales consideradas para los
cálculos.

- Especificar la Lógica que va a seguirse utilizando diagramas de flujo a nivel

lógico que demuestren la secuencia de las operaciones funcionales a efectuarse
en la aplicación de simulación.

- Codificar las Instrucciones

Deben desarrollarse hojas de especificaciones para las funciones a efectuarse
dentro de los programas de operación de auditoría de propósito general. Esta
técnica de codificación minimiza la escritura necesaria por parte del auditor,
quien simplemente anota descripciones abreviadas de los archivos que van a
procesarse y las funciones a efectuarse.

- Obtener Archivos Representativos

Obtener archivos maestros de datos de entrada y transacciones que sean
representativos, así como los datos de salida resultantes. Debe tenerse en
cuenta y asegurarse que la información incluya todas las situaciones que se
desean verificar; revisando los reportes de control del procesamiento que listan
la cantidad de transacciones de acuerdo a su tipo.

- Procesamiento de la Aplicación de simulación en Paralelo

Procesar los datos de entrada y comparar los datos de salida con los producidos
por la aplicación “real”.

- Evaluar las diferencias atribuibles a situaciones y procesos que no se

pretendieron simular.

- Evaluar las consecuencias de las discrepancias restantes.

Esta práctica es la que proporciona generalmente el mejor equilibrio entre confiabilidad,

recursos, tiempo, costo y validez.

39