CAPITULO I

AUDITORIA INFORMTICA COMO INSTRUMENTO DE CONTROL

AUDITORIA
Con frecuencia la palabra auditoria se ha empleado incorrectamente y se ha considerado
como una evaluacin cuyo nico fin es detectar errores y sealar fallas; por eso se ha llegado
a acuar la frase tiene auditoria como sinnimo de que desde antes de realizarla ya se
encontraron fallas y por lo tanto se est haciendo la auditoria.
El concepto de auditoria es ms amplio: no slo detecta errores sino que es un examen
crtico que se realiza con objeto de evaluar la eficiencia y eficacia de una seccin o de un
organismo.
EVOLUCIN DEL ENFOQUE DE AUDITORA
La auditora ha pasado de tener un enfoque financiero a tener un enfoque hacia riesgos de
negocio.
Los procesos de negocio estn cada vez ms soportados por tecnologas de informacin
La informacin operativa, financiera, contable y de toma de decisiones, se encuentra
almacenada y administrada en sistemas de informacin de todo tipo
Los aspectos de seguridad cada da son ms relevantes para las compaas, clientes y
proveedores
Las estrategias de negocio cada vez ms deben estar alineadas a los objetivos y estrategias
de las funciones de TI
Los volmenes de informacin a analizar son cada vez mayores
Las empresas son inmunes a esto? Cuales son los posibles impactos?:
Financieros
Prestigio
Confianza
Desventaja competitiva
Competencia desleal
Es aqu donde aparece la necesidad de implementar en las empresas un proceso de Auditora
Informtica o lo que se conoce como AUDITORA A TECNOLOGAS DE
INFORMACIN Y COMUNICACIONES (TICs).

AUDITORIA A TECNOLOGAS DE INFORMACIN

Y COMUNICACIONES (TICs)

Si partimos del hecho de que la informacin en una empresa est automatizada, es necesario
examinar y determinar si el computador est procesando o no correctamente esa informacin
y si los listados e informes emitidos por la mquina son confiables y presentan
razonablemente la informacin de la empresa. De este trabajo se encarga entonces la
Auditora Informtica.
La Auditora a Tecnologas de Informacin y Comunicaciones, es una disciplina que
engloba: Tcnicas y Procedimientos aplicados en una Organizacin, con el propsito de:
Evaluar la funcin de tecnologa de Informacin (TI) y su aporte al cumplimiento de los
objetivos Institucionales.
Es la revisin y evaluacin de los controles, sistemas, procedimientos y equipos de cmputo a
fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms
eficiente y segura de la informacin que servir para una adecuada toma de decisiones; esto
se lleva a cabo con el auxilio de los principios de auditoria administrativa interna y contable /
financiera.

EL PORQU DE LA AUDITORIA EN TECNOLOGA DE INFORMACIN?

Porque actualmente las Organizaciones dependen de los Sistemas de Informacin
Computarizados, lo que obliga a que los Sistemas de Informacin deban estar sujetos a
CONTROL, por parte de la Auditora a Tecnologa de Informacin.

VISIN DE LA AUDITORIA EN TECNOLOGA DE INFORMACIN

Contribuir en forma Participativa, Preventiva y Concurrente en la Seguridad de los Sistemas
de Informacin Computarizados, promoviendo el establecimiento de CONTROLES para
eliminar los riesgos evitables y minimizar el impacto negativo de los inevitables.

OBJETIVOS GENERALES

Evaluar y verificar el Sistema de Control Interno Informtico.

Establecer la real utilizacin de los recursos informticos que interactan en los procesos
de generacin INFORMACIN, en las fases de:
o Desarrollo de los Sistemas de Informacin
o Explotacin de los Sistemas de Informacin
o Post implantacin de los Sistemas de Informacin
o Mantenimiento preventivo, correctivo de los Sistemas de Informacin.

OBJETIVOS ESPECFICOS

Control de la Fiabilidad del Software o control del uso que se le da al mismo.

Se debe considerar que la Auditora Informtica debe orientarse a controlar en primer

lugar: La Prestacin de los Servicios Informticos, y en segundo lugar: La Actividad del
Usuario.
Un software puede ser fiable, pero mal utilizado, o lo contrato, bien utilizado pero poco
confiable. Un software cuya toma de datos se lleva a cabo de forma normal, pero se borra
por error los datos en la base de datos, es un software evidentemente poco confiable a
pesar de su correcto uso.
Un buen software contiene suficientes protecciones contra la mala utilizacin y un buen
usuario utiliza todos los instrumentos de control.

Control de la Adecuacin del Software desarrollado a las especificaciones funcionales.

Verificar la adecuacin del software desarrollado segn las especificaciones funcionales
definidas en el pliego de condiciones o peticiones, significa comprobar que los programas
desarrollados por el servicio de informtica estn de acuerdo a las necesidades
expresadas. Las especificaciones funcionales pueden ellas mismas revelar insuficientes
anomalas.

Bsqueda de Fraudes o Bsqueda de Errores

La inmensa mayora de los casos los riesgos de prdidas relacionadas con los errores de
realizacin o utilizacin del Software son infinitamente superiores y ms importantes que
los riesgos de prdidas relacionadas con las operaciones dolosas o fraudulentas.

Control de calidad de los mtodos de desarrollo del software

La calidad de los procedimientos de concepcin y de realizacin de las aplicaciones
constituye un supuesto de fiabilidad y respeto de las especificaciones funcionales.

Evaluar el cumplimiento de polticas y procedimientos para cada una de las fases de los
Sistemas de Informacin
Verificar el cumplimiento de los Procedimientos de Control Interno (segregacin de
funciones) durante la vida til de los Sistemas de Informacin.
Evaluar la Efectividad, Eficiencia y Economa de la utilizacin de los recursos
Informticos
Verificar la Seguridad Fsica de los diversos ambientes de procesamiento de Informacin.
Evaluar la suficiencia de los Planes de Contingencia y Recuperacin.
Auditar las modificaciones (Mantenimiento) a las aplicaciones existentes.
Asesorar a Auditores Financieros y Operacionales, en el uso de tcnicas y herramientas
de Auditora, a los resultados que ofrecen los Sistemas de Informacin.
Establecer el grado de satisfaccin de las necesidades y requerimientos, en cuanto hace
relacin a la calidad, oportunidad, integridad, confidencialidad de la INFORMACIN.
Evaluar la conveniencia y cumplimiento de los contratos celebrados o a celebrar, para la
compra, arrendamiento, mantenimiento de HW, SW, Comunicaciones e Instalaciones.
Auditar la Administracin de la Base de Datos y la Red de Comunicaciones.

INSTANCIAS DE LA AUDITORIA EN T. I.
PREVENTIVA
Su accin fundamental es actuar a travs de medidas que intervengan antes de que se
produzca un determinado evento.
La accin preventiva logra que eventos negativos no se presenten, pues con anticipacin se
tiene la posibilidad de conocer los efectos negativos que pueden surgir.
PREVENIR Es Salvar a los vivos.
DETECTIVA
Las situaciones negativas se producen por falta de controles o por que los controles
preventivos no existieron, o no fueron suficientemente robustos. En ese caso la actuacin de
la Auditora se torna Detectiva.
CORRECTIVA
Cuando los problemas se presentaron y la accin de la Auditora tiene que ser Correctiva,
buscando eliminar todos esos focos de dao, que causan estos eventos indeseables.
CORREGIR es enterrar muertos
Es lo peor que puede pasar, pero se debe procurar que las acciones detectivas / correctivas a
la postre se vuelvan Preventivas
PROACTIVA
Producto o Resultado de la intervencin de la Auditora no solo es buscar o encontrar
problemas. Si se encuentran situaciones positivas, se debe apoyar para que las mismas se
mantengan y tiendan a ser mayores.
ASESORA
El pensamiento anterior, respecto del Auditor, que su misin es buscar errores, debe ser ya
desterrada. La concepcin actual es, que el Auditor debe ser apoyo en las actividades que
cumplen las reas Usuarias, como las Unidades Informticas. El Auditor interviene para
APOYAR
REAS AUDITABLES
ADMINISTRACIN Y GESTIN DEL REA INFORMTICA
Lo que se busca es garantizar que el rea informtica trabaja planificadamente, acorde a los
objetivos de la empresa, administra los recursos informticos con polticas adecuadas y
responde a los requerimientos institucionales.
NORMAS Y ESTNDARES

Garantizar que las actividades informticas respondan a normas y estndares establecidos y

cuentan con la documentacin suficiente y adecuada lo que garantiza que los Sistemas sean
autenticados y su comportamiento sea el autorizado y definido.
CONTROLES
Garantizar que los datos que ingresan sean completos, autorizados y exactos. Que su
almacenamiento no sufra alteraciones no autorizadas que los resultados sean producidos y
entregados solo a destinatarios autorizados y aprobados.
OPERACIN DEL COMPUTADOR
Garantizar que el procesamiento se efecte segn autorizaciones adecuadas, con el proceso
correcto, aplicando los datos que corresponda procesar y con la oportunidad planificada.
PARTICIPACIN DEL RECURSO HUMANO
Tener seguridad que el recurso humano del rea de Informtica como de las reas usuarias
sean idneos tcnicamente y moralmente en el cumplimiento de sus tareas
OBTENCIN Y MANEJO DE RESPALDOS
Las Organizaciones deben contar con respaldos de informacin, equipos, e instalaciones en
procura que el servicio a los usuarios no se vea interrumpido y que el prestigio Institucional
no se vea cuestionado.

ESTRATEGIAS Y CURSOS DE ACCIN PARA LA IMPLANTACIN FORMAL

DE LA AUDITORIA EN TECNOLOGA DE INFORMACIN

Formalizar la presencia de la Auditora en Tecnologa de Informacin en la

Organizacin
Esta estrategia se implementa a travs de:

1. Cursos de accin que justifiquen el desarrollo de la auditora informtica en el

negocio.
2. Presentacin a la alta Direccin de un Documento de justificacin.
3. Aprobacin del proceso por la alta Direccin (aceptacin por escrito).
Proporcionar a la Organizacin un proceso de Auditora en T I permanente, para
garantizar la Informacin y sus Procesos.
Con un proceso permanente de Auditora en Tecnologa de Informacin garantizamos:
1. Que la seguridad, polticas y procedimientos orientados a los recursos
informticos y a los activos de informacin sean eficientes y confiables.
2. La verificacin del uso de tecnologa de vanguardia que requiera y justifique cada
rea.
3. La exigencia de un proceso de evaluacin y justificacin de cada proyecto de
inversin relacionado con la informtica.
4. Promover que el personal de informtica se desenvuelva en un ambiente de
profesionalismo y alta productividad.
Lograr que los usuarios a todo nivel tomen conciencia de la necesidad de contar con el
proceso de Auditora en T I
Difusin de la Auditora en las reas relacionadas directa e indirectamente con
informtica.
Orientar los esfuerzos de la funcin auditora hacia la bsqueda y logro de soluciones
que apoyen la consecucin de los objetivos del negocio.
Mediante la elaboracin y desarrollo formal de un Proceso de Planificacin Informtica
que se oriente al plan del negocio.
Impulsar que quienes cumplen con la funcin de auditores, estn en constante
actualizacin formando parte de Organizaciones especializadas como:
ISACA ( Information Systems Audit Control Association (Captulo Ecuador).
DPA Advanced Professional Development (Desarrollo Profesional Avanzado).
Otras ms, que se pueden identificar en el INTERNET.
PROCESO GENERAL DE UNA AUDITORA EN TECNOLOGA DE
INFORMACIN

El proceso de una Auditora en Tecnologa de Informacin y Comunicaciones (TICs), debe

realizarse en coordinacin con los Auditores Internos Financieros de la Organizacin o
Empresa.
Se inicia con una evaluacin del Control Interno, con el objetivo de verificar como se
llevan a cabo las distintas funciones dentro del departamento de sistemas de una empresa.

Esta evaluacin no es siempre bien recibida por el personal de esta rea, debido a la falta de
costumbre a este tipo de revisiones., pues por lo general las APDs nunca o casi nunca han
sido sometidos a este proceso.
Una vez terminada la evaluacin de control interno mediante el uso de diversas herramientas
de auditora (cuestionarios, chekclist, entrevistas, etc.), se procede a determinar dentro del
equipo de auditores informticos, el alcance y profundidad de las pruebas de auditora a
realizarse. Partiendo del principio de que si el control interno es bueno, las pruebas va a ser
de tipo superficial, y el control interno es malo, hay que realizar pruebas profundas.
De la evaluacin de control interno se desprende tambin la elaboracin de una carta a la
gerencia, la cual debe incluir todos los aspectos relevantes observados y las acciones
sugeridas. La carta ser discutida entre las partes involucradas antes de ser emitida
formalmente.
En la intervencin ya de auditoras especficas, se procede a aplicar distintas tcnicas y
procedimientos que respondan a los exmenes especficos que se quieran hacer a los
sistemas de informacin o comunicaciones.
Adems, durante todo el proceso de auditora, el auditor Informtico deber reunir suficiente
informacin y documentacin que le servir para respaldar su trabajo y las opiniones y
criterios que emita en los informes finales.
Al igual que en una auditora financiera, con la informacin recopilada se debern formar 3
tipos de archivos: Permanente, General y de Anlisis.
El archivo permanente que incluir informacin bsica de la empresa, aplicable a largo
plazo y de tipo permanente. El archivo General lo conforma la informacin de Auditoras
similares realizadas anteriormente. El archivo de anlisis es la documentacin referente a los
exmenes realizados por el auditor a los distintos sistemas de informacin.
Una vez concluidas las pruebas, el auditor deber emitir una opinin o criterio acerca del
Dpto. de Informtica y acerca del funcionamiento de los sistemas computarizados, as como
acerca de las seguridades existentes. Todo esto acumulado en un documento bien elaborado
que sigue las normas de los almacenados en las auditoras financieras y tiene la misma
validez legal.