MODULO I

EVALUACIN
I. Desde su punto de vista y basados en el presente documento defina apropiadamente
los siguientes conceptos:
1.1. Auditoria:
Auditora es un examen crtico, que no implica la preexistencia de fallas en
la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y
eficiencia de este modo obtener una opinin profesional y consistente de
una seccin o de un organismo.

1.2. Auditoria de Sistemas de Informacin:

La auditora de Sistemas es la revisin y la evaluacin de los controles, sistemas,
procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y
seguridad, de la organizacin.
De vital importancia para el buen desempeo de los sistemas de informacin, ya que
proporciona los controles necesarios para que los sistemas sean confiables y con un
buen nivel de seguridad. Tambin debe evaluar todo (informtica, organizacin de
centros de informacin, hardware y software).
1.3. Auditabilidad:
La auditabilidad provee facilidad relativa en examinar, verificar o demostrar un
sistema. Asimismo debe satisfacer las pruebas de "contabilidad" y "visibilidad" La
primera debe posibilitar la asignacin de la responsabilidad para todos los eventos
importantes a una persona en particular. En la segunda, debe permitir al administrador
responsable estar atento ante cualquier cambio en el esperado uso del sistema,
En el caso especfico de un sistema de informacin, se debe determinar que el sistema
est intentando usarse, as como est siendo usado, que la aplicacin del sistema est

conforme a los estndares y que la data contenida en la aplicacin del sistema est
conforme a lo esperado (ejemplo: exacto, completo, en conformidad con el ambiente).
1.4. Controles:
Son un conjunto de disposiciones metdicas, cuyo fin es vigilar las funciones y
actitudes de las empresas y para ello permite verificar si todo se realiza conforme a
los programas adoptados, rdenes impartidas y principios admitidos. De este modo
decidir si se invierte en el control para reducir la posibilidad de ocurrencia del riesgo,
o se acepta la probabilidad de perdidas asociadas al riesgo. Como se mencionan a
continuacin.
-

Controles de Continuidad: Pistas, backup, planes de contingencia, seguros.

Controles de Privacidad y Confidencialidad: Derecho a la intimidad de la

informacin.

Adems existen controles para diferentes mbitos como son los siguientes:
-

Controles Preventivos: Son aquellos que reducen la frecuencia con que ocurren
las causas del riesgo, permitiendo cierto margen de violaciones.
Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones, Sistemas de
claves de acceso.

Controles Detectivos: Son aquellos que no evitan que ocurran las causas del
riesgo sino que los detecta luego de ocurridos. Son los ms importantes para el
auditor. En cierta forma sirven para evaluar la eficiencia de los controles
preventivos.
Ejemplo:

Archivos y procesos que sirvan como pistas de auditora/

Procedimientos de validacin
-

Controles Correctivos: Ayudan a la investigacin y correccin de las causas del

riesgo. La correccin adecuada puede resultar difcil e ineficiente, siendo
necesaria la implantacin de controles detectivos sobre los controles correctivos,

debido a que la correccin de errores es en s una actividad altamente propensa a

errores.
Otro aspecto importante en la auditoria no solo informtica sino tambin en la
auditora general. Es el control interno.
No existe autor serio que desligue este aspecto importantsimo.
Para Huesca Aguilar de la Universidad Autnoma de Baja California.
Lo explica diciendo que el control interno informtico controla diariamente que todas
las actividades de sistemas de informacin sean realizadas cumpliendo los
procesamientos, estndares y normas fijados por la direccin de la organizacin y/o la
direccin informtica, as como los requerimientos legales. La funcin del control
interno informtico es asegurarse de que las medidas que se obtienen de los
mecanismos implantados por cada responsable sean correctas y vlidas.
El control interno informtico, pues sirve para controlar todas las actividades que se
realicen cumpliendo los procedimientos y normas fijadas, evaluar su bondad y
asegurarse del cumplimiento de las normas legales
Una pregunta que nos planteamos seria de qu tipo de control hablamos, Piatti nos da
ciertos ejemplos:
-

Controles sobre la produccin diaria

Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del

software

Controles en las redes de comunicacin

Controles sobre los sistemas operativos

Controles sobre los sistemas microinformticos

Controles sobre la seguridad informtica

II. Dada la siguiente premisa: Los Sistemas Informticos estn sometidos a un

control correspondiente, o al menos deberan estarlo. La importancia de llevar un
control de estos sistemas de Informacin se puede deducir de varios aspectos.
Mencione 03 aspectos o razones por la cual se debera llevar a cabo el control de los
Sistemas de Informacin.

Para Garantizar que el hardware y software se adquieran siempre y cuando

tengan la seguridad de que los sistemas computarizados proporcionaran
mayores beneficios.

Asegurar la elaboracin de un plan de actividades previo a la instalacin.

Elaboracin de un informe tcnico en el que se justifique la adquisicin del
equipo, software y servicios de computacin, incluyendo un estudio costobeneficio.

Para evitar que una misma persona tenga el control de toda una operacin.

El sistema concluido ser entregado al usuario previo entrenamiento y elaboracin de

los manuales de operacin respectivos (Controles de Organizacin y Planificacin).
El personal de auditora interna/control debe formar parte del grupo de diseo para
sugerir y solicitar la implantacin de rutinas de control.
III. Disee un mnimo de 03 controles y un Mximo de 06. Para el siguiente Caso
propuesto:
En el poder Judicial de Puno, en la Oficina de Archivos de Expedientes de casos
de Peculado existen 02 computadoras de escritorio, en las cuales se ha detectado
cierta manipulacin de algunos expedientes que se encuentran almacenados en
estas computadoras: se han cambiado fechas de vistas de causa, algunas cifras
importantes y otros datos que determinaran el resultado final del expediente.

Controles de Procesamiento: Elaborar y plan de anlisis de procesos para hacer el

seguimiento especializado de los expedientes de peculado. Verificar los
parmetros y reglamento donde est estipulado los pasos a seguir para el correcto
manejo de expedientes.

Control Operacin: Se realiza el plan de control de operaciones enfocado en el

personal pertinente, verificando credenciales y accesos al sistema. Adems
ejecutar el sistema informtico comprobando la consistencia de datos.

Controles en el Uso de Computadoras: Se elabora un plan de autenticidad de la

informacin, relacionando los datos con archivos fiables.

IV. Desarrolle un Pequeo plan de Auditoria de Informtica, para poder Auditar el

Sistema de Informacin de calificacin de la Comisin Central de Admisin de la
Universidad.
Fases de la Auditora:
Planeacin / Revisin Preliminar / Revisin Detallada / Examen y Evaluacin de la
Informacin /
Pruebas de Consentimiento / Pruebas de Controles del Usuario / Pruebas Sustantivas
La planeacin de una auditora informtica tiene todas las caractersticas de la planeacin
de una auditoria en general, pero siempre se tiene que tener el punto de vista de los
objetivos de nuestra especialidad, como son:

Evaluacin administrativa del rea de los procesos electrnicos.

Evaluacin de los sistemas y procedimientos.
Evaluacin de los equipos de cmputo.
Evaluacin del proceso de datos, de los sistemas, de los equipos, del software, del

hardware, de las redes, de las bases de datos, etc.

Evaluacin de la seguridad y confidencialidad de la informacin y aspectos legales de
los sistemas y de la informacin.
Algunos consejos que el autor Echenique Garca Jos nos da para tener existo en la
planeacin es:
Tener metas
Tener programas de trabajo de auditora
Tener un plan de contratacin de personal que nos puedan ayudar en la auditora

 Tener informes de actividades siempre.

El siguiente paso despus de la planeacin es la revisin preliminar.

Para qu sirve la revisin preliminar?
La revisin preliminar sirve para obtener informacin necesaria para que el auditor
pueda tomar la decisin de cmo proceder en la auditora.
Entonces la revisin preliminar, nos ayuda a disear una auditoria, ya que puede
haber problemas por la falta de competencia tcnica para realizar una auditoria
La revisin preliminar tambin nos ayuda a realiza una revisin detallada de los
controles internos de los sistemas.
Visto de otra manera la revisin preliminar significa la recoleccin de evidencias por
medio de entrevistas con el personal de la instalacin, la observacin de las
actividades en la instalacin y la revisin de la documentacin preliminar.
El siguiente paso despus de la REVISION PRELIMINAR el objetivo de la revisin
preliminar es el de obtener la informacin necesaria para que el auditor pueda tomar la
decisin de cmo proceder en la auditoria. La revisin preliminar significa la recoleccin
de evidencias por medio de entrevistas con la persona de la instalacin, la observacin de
las actividades en la instalacin y la revisin de la documentacin preliminar.
REVISIN DETALLADA
Es como su nombre lo dice, revisin detallada, esta todo al detalle, y estos valgan la
redundancia, sirven para un profundo entendimiento de los controles usados dentro del rea
informtica.
Es ac en donde la importancia para el auditor esta en identificar las causas de las prdidas
existentes, y los controles para reducir las prdidas.
La revisin preliminar y la revisin detallada son muy parecidos, la forma de obtener la
informacin al momento de la evaluacin son los mismos. Difiere en la profundidad con
que se obtiene la informacin y se evala. Ya que en la revisin detallada es al milmetro.

El cuarto paso en las fases de la auditoria informtica es EL EXAMEN Y EVALUACION

DE LA INFORMACION
Los auditores deben obtener informacin, analizar informacin, interpretar informacin y
documentar la informacin.
Algunas ideas claves para tener xito en esta fase serian:
Obtener informacin de todos los asuntos relacionados con los objetivos y alcances
de la auditoria
La informacin deber ser competente, relevante y til.
Los procedimientos de auditora que usemos debern ser elegidos con anterioridad.

 Los documentos de trabajo de la auditoria debern ser preparados por los auditores y
revisados por la gerencia de auditora.
El 5to paso en las fases de la Auditoria es PRUEBAS DE CONSENTIMIENTO
El objetivo de esta fase es determinar si los controles internos operan como fueron
diseados para operar. El auditor debe determinar si los controles declarados en realidad
existen y si realmente trabajan confiablemente.
El 6to paso son las PRUEBAS DE CONTROLES DEL USUARIO
En algunos casos el auditor puede decidir el no confiar en los controles internos dentro de
las instalaciones informticas, por que el usuario ejerce controles que compensan cualquier
debilidad dentro de los controles internos de informtica. Estas pruebas que compensan las
deficiencias de los controles internos se pueden realizar mediante cuestionarios, entrevistas,
vistas y evaluaciones hechas directamente con los usuarios.
La ltima fase en la Auditoria son LAS PRUEBAS SUSTANTIVAS, ac se obtiene
evidencia suficiente que permita al auditor emitir su juicio en las conclusiones acerca de
cundo pueden ocurrir prdidas materiales durante el procesamiento de la informacin. El
auditor externo expresar este juicio en forma de opinin sobre cundo puede existir un
proceso equivocado o falta de control de la informacin. Se pueden identificar 8 diferentes
pruebas sustantivas:
-

Pruebas para identificar errores en el procesamiento

Pruebas para asegurar la calidad de datos
Pruebas para identificar la inconsistencia de los datos
Pruebas para comparar con los datos fsicos
Pruebas para confirmar datos con las fuentes externas
Pruebas para confirmar la adecuada comunicacin
Pruebas para determinar falta de seguridad
Pruebas para determinar problemas de legalidad.