Auditoría de Sistemas

Tlgo.
Johnnatan Chacha
INSTITUTO TECNOLGICO SUPERIOR

JOS OCHOA LEN
AUDITORA DE SISTEMAS
SEXTO CICLO
Contenido
Contenido ...................................................................................................................................... 2
UNIDAD I: FUNDAMENTOS DE AUDITORIA DE SISTEMAS............................................................. 6
1.
FUNDAMENTOS DE AUDITORIA DE SISTEMAS .............................................................. 7
1.1
Origen de la auditoria................................................................................................ 7
1.2
Concepto de auditoria ............................................................................................... 7
1.2.1
Concepto de auditora informtica. ...................................................................... 8
1.3
Necesidad de una Auditoria Informtica .................................................................. 8
1.4
Importancia de la Auditoria Informtica ................................................................... 9
1.5
Objetivos generales de la auditoria........................................................................... 9
1.5.1
1.6
Objetivos de la auditoria informtica.................................................................. 10

Clasificacin y procedimientos de auditoria ........................................................... 10
1.6.1
Tipos de auditoria................................................................................................ 10
1.6.2
Por la procedencia del auditor ............................................................................ 11
1.6.3
Por su rea de aplicacin. ................................................................................... 11
1.6.4
Especializada en reas especficas ...................................................................... 12
1.6.5
De sistemas computacionales (auditoria informtica) ....................................... 13
1.7
reas a auditar en Informtica................................................................................ 16
1.8
Desarrollo del programa de auditoria ..................................................................... 17
UNIDAD II: EL AUDITOR INFORMTICO Y LAS FASES DE LA AUDITORIA..................................... 19

2.
EL AUDITOR INFORMTICO Y LAS FASES DE LA AUDITORIA ....................................... 20
2.1
EL AUDITOR INFORMTICO..................................................................................... 20
El auditor ............................................................................................................................. 20
2.1.1
Normas permanentes de carcter profesional ................................................... 20
2.1.2
Normas de carcter social ................................................................................... 22
2.1.3
Normas de comportamiento tico-moral: .......................................................... 23
2.2
FASES DE LA AUDITORIA.......................................................................................... 24
2.2.1
Etapa de Planeacin de la Auditora ................................................................... 25
2.2.2
Alcance y Objetivos de la Auditoria Informtica ................................................. 26
2.2.3
Determinar los puntos que sern evaluados: ..................................................... 26
2.2.3.1
Estudio inicial del entorno auditable .................................................................. 26
ANLISIS DE SISTEMAS
Pgina 2

JOS OCHOA LEN
SEXTO CICLO
2.2.3.2
Aplicaciones bases de datos y archivos:.............................................................. 28
2.2.3.3
Elaborar planes, programas y presupuestos para realizar la auditora .............. 28
2.2.3.3.1
Elaboracin del plan y de los Programas de Trabajo ...................................... 28
2.2.3.3.2
Determinacin de los recursos necesarios para realizar la Auditoria ............. 29
2.2.4
Etapa de Ejecucin de la Auditora...................................................................... 30
2.2.4.1
Etapa de Dictamen de la Auditora...................................................................... 30
2.3
La operatividad ........................................................................................................ 31
UNIDAD III: RIESGO Y CONTROL .................................................................................................. 33

3.
RIESGO Y CONTROL ..................................................................................................... 34
3.1
Generalidades del control. ...................................................................................... 34
3.2
Clasificacin general de los controles: .................................................................... 34
3.3
Objetivos del control ............................................................................................... 35
3.4
Elementos del control ............................................................................................. 35
3.5
Utilidad del control.................................................................................................. 35
3.6
Caractersticas del control ....................................................................................... 36
3.7
Ciclo de aplicacin del control................................................................................. 37
3.8
Control interno ........................................................................................................ 37
3.8.1
Definiciones de control interno........................................................................... 38
3.8.2
Objetivos del control interno .............................................................................. 39
3.8.3
Importancia del control interno para la auditoria. ............................................. 39
3.9
Control interno informtico. ................................................................................... 40
3.9.1
Objetivos del control interno informtico. ......................................................... 40
3.9.2
Elementos del control interno informtico ......................................................... 41
3.9.2.1
Controles internos sobre la organizacin del rea de informtica. .................... 42
3.9.2.2
Controles internos sobre el anlisis, desarrollo e implementacin de Sistemas.42
3.9.2.3
Controles internos sobre la operacin del sistema............................................. 43
3.9.2.4 Controles internos sobre los procedimientos de entrada de datos, el

procesamiento de informacin procesamiento de informacin y la emisin de resultados.
43
3.9.2.5
Controles internos sobre la seguridad del rea de sistemas. ............................. 43
UNIDAD IV: FASES DE LA EJECUCIN DE LA AUDITORIA ............................................................. 47

4.
FASES DE LA EJECUCIN DE LA AUDITORIA ................................................................ 48
4.1
4.1.1
Elaboracin y redaccin del Informe Final .............................................................. 48

Los papeles de trabajo ........................................................................................ 48
ANLISIS DE SISTEMAS
Pgina 3

JOS OCHOA LEN
SEXTO CICLO
4.1.2
Objetivos de los papeles de trabajo .................................................................... 48
4.1.3
Tipos de papeles de trabajo ................................................................................ 49
4.1.4
Contenido del expediente de los papeles de trabajo ......................................... 49
4.2
Marcas de auditoria e ndices de referencia ........................................................... 50
4.3
El Informe final ........................................................................................................ 51
4.3.1
Estructura del informe final ................................................................................ 51
4.3.2
Flujo del hecho o debilidad ................................................................................. 52
4.4
Redaccin de la carta de presentacin del Informe final........................................ 52
4.5
Tcnicas, procedimientos y herramientas de auditoria .......................................... 53
4.5.1
Tcnicas oculares ................................................................................................ 53
4.5.2
Tcnicas verbales ................................................................................................ 53
4.5.3
Tcnicas escritas .................................................................................................. 53
4.6
Evidencias ................................................................................................................ 54
4.7
Herramientas de auditoria ...................................................................................... 55
4.7.1
Cuestionarios ....................................................................................................... 55
4.7.2
Entrevistas ........................................................................................................... 56
4.7.3
Checklist .............................................................................................................. 56
4.7.4
Checklist de rango ............................................................................................... 57
4.7.5
Checklist Binaria .................................................................................................. 57
4.7.6
Trazas y/o Huellas ............................................................................................... 58
4.7.7
Log ....................................................................................................................... 58
4.7.8
Software de Interrogacin .................................................................................. 59
UNIDAD V: EVALUACIN DE SEGURIDADES................................................................................ 60

5.
EVALUACIN DE LA SEGURIDAD ................................................................................. 61
5.1
Seguridad lgica y confidencialidad ........................................................................ 61
5.2
Seguridad lgica ...................................................................................................... 63
5.3
Causas de realizacin de una Auditora de Seguridad ............................................ 64
5.4
Riesgos y controles a auditar .................................................................................. 64
5.4.1
Estimacin De Riesgos ......................................................................................... 65
5.4.2
Identificacin De Riesgos .................................................................................... 65
5.4.3
Anlisis De Riesgos .............................................................................................. 65
5.4.4
Exposicin A Riesgos ........................................................................................... 65
5.4.5
Estimacin De La Probabilidad De Perdida ......................................................... 66
ANLISIS DE SISTEMAS
Pgina 4

JOS OCHOA LEN
5.4.6
5.5
5.5.1
SEXTO CICLO
Priorizacin De Riesgos ....................................................................................... 66

Control De Riesgos .................................................................................................. 66
Resolucin De Riesgos ......................................................................................... 66
5.6
Encriptamiento ........................................................................................................ 67
5.7
Seguridad del personal. ........................................................................................... 67
5.7.1
Definicin del acceso no autorizado ................................................................... 67
5.7.2
Riesgo de revelacin de informacin .................................................................. 68
5.8
Determinacin de las responsabilidades del usuario.............................................. 68
5.9
Seguridad en contra de virus................................................................................... 69
5.9.1
Auditora de la Seguridad Informtica ................................................................ 69
5.9.2
Etapas para implementar un sistema de seguridad ............................................ 70
5.10
Plan de contingencias .............................................................................................. 71
5.11
Anlisis de riesgos ................................................................................................... 72
5.12
Factores de riesgo ................................................................................................... 74
WEB-GRAFA................................................................................................................................ 77
ANLISIS DE SISTEMAS
Pgina 5

JOS OCHOA LEN
SEXTO CICLO
UNIDAD I:
FUNDAMENTOS DE
AUDITORIA DE SISTEMAS
ANLISIS DE SISTEMAS
Pgina 6

JOS OCHOA LEN
SEXTO CICLO
1. FUNDAMENTOS DE AUDITORIA DE SISTEMAS

1.1 Origen de la auditoria
En la medida en que se expanda el comercio y por ende las operaciones comerciales,
los incipientes comerciantes tuvieron la necesidad de establecer mecanismos de registro
que les permitieran controlar las operaciones mercantiles que realizaban. Conforme el
nmero de comerciante creci se agruparon en gremios y mercados locales, surgi
entonces, la necesidad de contar con un mejor registro de sus actividades tanto
individuales como conjuntas.
Posteriormente estas agrupaciones crecieron hasta convertirse en incipientes empresas,
donde fue necesario establecer un mayor control para conocer sus actividades
financieras.
Este crecimiento dio origen al registro de operaciones mercantiles, dichas operaciones
se asentaban de forma muy elemental; posteriormente surge la surge la partida doble y
el registro de las operaciones financieras apareciendo la tenedura de libros. Conforme
esta tcnica evoluciono, se impuls la contabilidad y el registro de operaciones en libros
y plizas. En la medida en que esto evolucionaba, fue necesario que alguien evaluara
estos registros y que los resultados fueran correctos y veraces. Esta actividad requiri de
alguien que verificara la veracidad y confiabilidad de estas operaciones surgiendo en ese
momento el acto de auditar.
Los orgenes de la auditoria data desde la revisin y el diagnostico que se practicaban a
los registros de las operaciones contables de las empresas, pasando por el anlisis,
verificacin y evaluacin de sus aspectos financieros, hasta llegar al anlisis de todos
aquellos aspectos que intervienen en sus actividades, incrementando su alcance cuando
se lleg a lo que se llam revisin integral.
Actualmente se llevan a cabo revisiones de algunas reas y actividades especficas que
se desarrollan en las organizaciones. Entre estas se encuentran: la auditoria de sistemas
computaciones, auditoria del desarrollo de proyectos de mercadotecnia, auditoria de
proyectos econmicos y de muchas otras ramas de la actividad empresarial,
involucrando las ramas de la ingeniera, medicina, sistemas y otras. En malquiera de
ellas se tienen que considerar los mismos principios y fundamentos tericos y prcticas
que le dan vigencia a la profesin del auditor.
1.2 Concepto de auditoria

Hay varios conceptos de auditoria, pero coinciden en que es un proceso de revisin,
evaluacin y presentacin de un informe final para la gerencia.
La palabra auditoria viene del latn auditorius y de esta proviene auditor, que tiene la
virtud de or y revisar, pero debe estar encaminado a un objetivo especfico que es el de
ANLISIS DE SISTEMAS
Pgina 7

JOS OCHOA LEN
SEXTO CICLO
evaluar la eficiencia y eficacia con que se est operando para que, por medio del
sealamiento de cursos alternativos de accin, se tomen decisiones que permitan
corregir los errores, en caso de que existan, o bien mejorar la forma de actuacin.
La Auditoria, es una disciplina expresada en normas, conceptos, tcnicas,
procedimientos y metodologa, que tiene por objeto examinar y evaluar crticamente una
determinada realidad, para emitir una opinin independiente sobe un aspecto o la
totalidad del objeto auditado.
1.2.1 Concepto de auditora informtica.

Es la revisin tcnica, especializada y exhaustiva que se realiza a los sistemas
computacionales, software e informacin utilizados en una empresa, sean individuales
compartidos y/o de redes, as como a sus instalaciones, telecomunicaciones, mobiliario,
equipos perifricos y dems componentes. Dicha revisin se realiza de igual manera a la
gestin informtica, el aprovechamiento de sus recursos, las medidas de seguridad y los
bienes de consumo necesarios para el funcionamiento del centro de cmputo. El
propsito fundamental es evaluar el uso adecuado de los sistemas para el correcto
ingreso de los datos, el procesamiento adecuado de la informacin y la emisin
oportuna de los resultados en la institucin, incluyendo la evaluacin en el
cumplimiento de las funciones actividades y operaciones de funcionarios, empleados y
usuarios involucrados con los servicios que proporcionan los sistemas computacionales
a la empresa
1.3 Necesidad de una Auditoria Informtica

Las empresas sienten la necesidad de realizar una auditoria cuando presentan indicios
de: descoordinacin y desorganizacin, mala imagen e insatisfaccin de los usuarios,
debilidades econmico-financiero y de Inseguridad.
Sntomas de descoordinacin y desorganizacin: No coinciden los objetivos de
la Informtica de la Compaa y de la propia Compaa.
Los estndares de productividad se desvan sensiblemente de los promedios
conseguidos habitualmente. (Puede ocurrir con algn cambio masivo de
personal, o en una reestructuracin fallida de alguna rea o en la modificacin de
alguna Norma importante).
Sntomas de mala imagen e insatisfaccin de los usuarios: No se atienden las
peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los
terminales de usuario, refrescamiento de paneles, ficheros que deben ponerse
diariamente a su disposicin, etc. No se reparan las averas de Hardware ni se
resuelven incidencias en plazos razonables. El usuario percibe que est
abandonado y desatendido permanentemente. No se cumplen en todos los casos
los plazos de entrega de resultados peridicos. Pequeas desviaciones pueden
causar importantes desajustes en la actividad del usuario, en especial en los
resultados de Aplicaciones crticas y sensibles.
Sntomas de debilidades econmico-financieras: Incremento desmesurado de
costos. Necesidad de justificacin de Inversiones Informticas (la empresa no
ANLISIS DE SISTEMAS
Pgina 8

JOS OCHOA LEN
SEXTO CICLO
est absolutamente convencida de tal necesidad y decide contrastar opiniones).

Desviaciones Presupuestarias significativas. Costos y plazos de nuevos
proyectos (deben auditarse simultneamente a Desarrollo de Proyectos y al
rgano que realiz la peticin).
Sntomas de Inseguridad: Evaluacin de nivel de riesgos (Seguridad Lgica,
Seguridad Fsica, Confidencialidad). Continuidad del Servicio. Es un concepto
an ms importante que la Seguridad. Establece las estrategias de continuidad
entre fallos mediante Planes de Contingencia Totales y Locales.
Centro de Proceso de Datos fuera de control. Si tal situacin llegara a percibirse,
sera prcticamente intil la auditoria. Esa es la razn por la cual, en este caso, el
sntoma debe ser sustituido por el mnimo indicio.
1.4 Importancia de la Auditoria Informtica

La Auditoria Informtica, es importante en las organizaciones por las siguientes
razones:
Se pueden difundir y utilizar resultados o informacin errnea si la calidad de
datos de entrada es inexacta o los mismos son manipulados, lo cual abre la
posibilidad de que se provoque un efecto domin y afecte seriamente las
operaciones, toma de decisiones e imagen de la empresa.
Las computadoras, servidores y los Centros de Procesamiento de Datos se han
convertido en blancos apetecibles para fraudes, espionaje, delincuencia y
terrorismo informtico.
La continuidad de las operaciones, la administracin y organizacin de la
empresa no deben descansar en sistemas mal diseados, ya que los mismos
pueden convertirse en un serio peligro para la empresa.
Las bases de datos pueden ser propensas a atentados y accesos de usuarios no
autorizados o intrusos.
1.5 Objetivos generales de la auditoria

Realizar una evaluacin independiente de las actividades, reas o funciones especiales
de una institucin, a fin de emitir un dictamen profesional sobre la razonabilidad de sus
operaciones y resultados.
Evaluar el cumplimiento de los planes, programas, polticas, normas y lineamientos que
regulan la actuacin de los empleados y funcionarios de una institucin, as como
evaluar las actividades que se desarrollen en sus reas y unidades administrativas.
Dictaminar de manera profesional e independiente sobre los resultados obtenidos por
una empresa y sus reas, as como sobre el desarrollo de sus funciones y cumplimiento
de sus objetivos y operaciones
ANLISIS DE SISTEMAS
Pgina 9

JOS OCHOA LEN
SEXTO CICLO
1.5.1 Objetivos de la auditoria informtica

Evaluar el uso de los recursos tcnicos y materiales para el procesamiento de la
informacin as como tambin el aprovechamiento de los equipos de cmputo,
sus perifricos, las instalaciones y mobiliario del centro de cmputo.
Evaluar el desarrollo e instalacin de nuevos sistemas, el aprovechamiento de los
sistemas de procesamiento, los sistemas operativos, los lenguajes, programas y
aplicaciones.
Operatividad
Verificacin de las normas existentes en el departamento de Informtica y su
coherencia con las del resto de la empresa
La meta es verificar que se desarrollen sistemas tiles, seguros, auditables, mantenibles
y controlables, lo cual produzca resultados consistentes para satisfacer los
requerimientos del usuario.
1.6 Clasificacin y procedimientos de auditoria

1.6.1 Tipos de auditoria
En la tabla 4 se indican los tipos de auditoria, segn la procedencia del auditor, su rea
de aplicacin, en reas especficas y en sistemas computacionales:
AUDITORIA
POR LA
PROCEDENCIA
DE
AUDITOR
Auditoria
externa
Auditoria interna
AUDITORIAS
POR SU
REA
DE
APLICACIN
AUDITORIAS
AUDITORIA
EN
ESPECIALIZADAS SISTEMAS
EN REAS
COMPUTACIONALES
ESPECIFICAS
Auditora
financiera
Auditoria
administrativa
Auditoria
operacional
Auditoria
integral
Auditoria
gubernamental
Auditoria de
sistema
Auditoria del rea

medica
Auditoria
al
desarrollo de
obras
y
construcciones
Auditoria fiscal
Auditoria laboral
Auditoria
de
proyectos de
inversin
Auditoria a la caja
menor
Auditoria
al
manejo de
mercancas
Auditoria
ambiental
ANLISIS DE SISTEMAS
Auditoria informtica
Auditoria con la
computadora
Auditoria sin la
computadora
Auditoria a la gestin
informtica
Auditoria al sistema
de computo
Auditoria alrededor de
la computadora
Auditoria de la
seguridad en sistemas
computacionales
Auditoria a los
sistemas de redes
Auditoria integral a
los centros de computo
Auditoria ISO-9000 a
los
sistemas
computacionales
Pgina 10

JOS OCHOA LEN
SEXTO CICLO
Auditoria ergonmica
de
sistemas
computacionales
Auditoria se la
seguridad informtica
Auditoria informtica
para aplicaciones de
internet.
1.6.2 Por la procedencia del auditor

Se refiere a la forma en que se realiza este tipo de trabajo y tambin a como se establece
la relacin laboral en las empresas donde se llevara cabo la auditoria. Se divide en
auditoria interna y externa.
Auditoria externa: el objetivo fundamental es el de examinar y evaluar una
determinada realidad por personal externo al ente auditado, para emitir una opinin
independiente sobre el resultado de las operaciones y la validez tcnica del sistema de
control que est operando en el rea auditada.
Ventajas:
Al no tener ninguna dependencia de la empresa el trabajo del auditor es
totalmente independiente y libre de cualquier injerencia por parte de las
autoridades de la empresa auditada.
En su realizacin estas auditoras pueden estar apoyadas por una mayor
experiencia por parte de los auditores externos, debido a que utilizan tcnicas y
herramientas que ya fueron probadas en otras empresas con caractersticas
similares.
Desventajas:
La informacin del auditor puede estar limitada a la informacin que puede
recopilar debido a que conoce poco la empresa.
Dependen en absoluto de la cooperacin que el auditor pueda obtener por parte
de los auditados.
Su evaluacin, alcances y resultados pueden ser muy limitados.
Muchas auditorias de este tipo pueden se derivan de imposiciones fiscales y
legales que pueden llegar a crear ambientes hostiles para los auditores que las
realizan.
Auditoria interna: es una funcin de control al servicio de la alta direccin
empresarial. El auditor interno no ejerce autoridad sobre quienes toman decisiones o
desarrollan el trabajo operativo, no revela en ningn caso la responsabilidad de otras
personas en la organizacin. El objetivo final es contar con un dictamen interno sobre
las actividades de toda la empresa, que permita diagnosticar la actuacin administrativa,
operacional y funcional de empleados y funcionarios de las reas que se auditan.
1.6.3 Por su rea de aplicacin.

ANLISIS DE SISTEMAS
Pgina 11

JOS OCHOA LEN
SEXTO CICLO
Auditora financiera: tiene como objeto el estudio de un sistema contable y los

correspondientes estados financieros, con miras a emitir opinin independiente sobre la
razonabilidad financiera mostrada en los estados financieros del ente auditado.
Auditoria administrativa: Evala el adecuado cumplimiento de las funciones,
operaciones y actividades de la empresa principalmente en el aspecto administrativo. Es
la revisin sistemtica y exhaustiva que se realiza en la actividad administrativa de una
empresa, en cuanto a su organizacin, las relaciones entre sus integrantes y el
cumplimiento de las funciones y actividades que regulan sus operaciones.
Auditoria operacional: tiene como objeto de estudio el proceso administrativo y las
operaciones de las organizaciones, con miras a emitir opinin sobre la habilidad de la
gerencia para manejar el proceso administrativo y el grado de economicidad, eficiencia
y efectividad de las operaciones del ente auditado.
Auditora integral: la auditora integral est dada por el desarrollo integrado de la de
auditora financiera, operacional y legal. Tiene como objeto de estudio los respectivos
campos de las finanzas, la administracin y el derecho, en relacin con su aplicacin a
las operaciones econmicas, de los entes auditados. Tiene como objetivo emitir una
opinin independiente sobre la aplicacin de las normas contables, administrativas y
legales de las operaciones econmicas con base en los parmetros de economicidad,
eficiencia y efectividad.
En esta auditoria se conjuga la participacin de muchos profesionales de distintas
especialidades, quienes aparentemente no tienen relacin entre si por lo diferente de sus
reas de actuacin, pero que al conjuntar sus trabajos contribuyen en gran medida a
elevar los alcances, la profundidad y eficacia de la evaluacin de todas las reas de una
misma empresa.
Auditoria gubernamental: Es la revisin exhaustiva, sistemtica y concreta que se
realiza a todas las actividades y operaciones de una entidad gubernamental. Esta
evaluacin se ejecuta con el fin de evaluar el correcto desarrollo de las funciones de
todas las reas y unidades administrativas de dichas entidades, as como los mtodos y
procedimientos que regulan las actividades necesarias para cumplir con os objetivos
gubernamentales.
1.6.4 Especializada en reas especficas

El avance de la auditoria no se detiene y requiere de una mayor especializacin en la
evaluacin de las reas y ramas del desarrollo tecnolgico. Por esta razn las auditorias
son cada vez ms singulares y estn enfocadas a satisfacer necesidades concretas de
revisin y dictamen, segn la especialidad de que se trate
Auditoria del rea mdica: es la revisin sistemtica, exhaustiva y especializada que
se realiza a las ciencias mdicas y de la salud, aplicadas solo por especialistas de
disciplinas mdicas o similares con el fin de emitir un dictamen especializado sobre el
correcto desempeo de las funciones y actividades del personal mdico, tcnicos en
salud y similares, como tambin sobre la atencin que las dependencias y el personal
prestan a pacientes, familiares y proveedores.
ANLISIS DE SISTEMAS
Pgina 12

JOS OCHOA LEN
SEXTO CICLO
Auditoria al desarrollo de obras y construcciones: es la revisin tcnica

especializadas que se realiza a la edificacin de construcciones. Su propsito es
establecer un dictamen especializado sobre la correcta aplicacin de las tcnicas,
clculos, mtodos y procedimientos de la ingeniera civil y la arquitectura.
Auditora fiscal: es la revisin exhaustiva, pormenorizada y completa que se realiza a
los registros y operaciones contables de una empresa, as como la evaluacin de la
correcta elaboracin de los estados financieros.
Auditoria laboral: es la evaluacin de las actividades, funciones y operaciones
relacionadas con el factor humano de una empresa, su propsito es dictaminar sobre el
adecuado cumplimiento en la seleccin, capacitacin y desarrollo del personal, la
correcta aplicacin de las prestaciones sociales y econmicas, el establecimiento de las
medidas de seguridad e higiene en la empresa, los contratos de trabajo, los reglamentos
internos de trabajo, normas de conducta y dems actividades que intervienen en la
gestin de personal de una empresa.
Auditoria de proyectos de inversin: es la revisin y evaluacin que se realiza a los
planes, programas y ejecucin de las inversiones de los recursos econmicos de una
institucin pblica o privada, con el propsito de dictaminar sobre el uso y control
correctos de esos recursos, evaluando que su aplicacin sea exclusivamente para
cumplir el objetivo del proyecto.
Auditoria a la caja menor o caja mayor: es la revisin peridica del manejo del
efectivo que se asigna a una persona o rea de una empresa, y de los comprobantes de
ingresos y egresos generados por sus operaciones cotidianas; dicha revisin se lleva a
cabo con el fin de verificar el adecuado manejo, control y custodia del efectivo
disponible para gastos menores, as como de evaluar el uso, custodia y manejo correctos
de los fondos de la empresa.
Auditora ambiental: es la evaluacin que se hace de la calidad del aire, la atmsfera el
ambiente, las aguas, los ros, los lagos y ocanos, as como de la conservacin de la
flora y la fauna silvestres, con el fin de dictaminar sobre las medidas preventivas y
correctivas que disminuyan y eviten la contaminacin provocada por los individuos las
empresas, los automotores, las maquinarias, y as preservar la naturaleza y mejorar la
calidad de vida de la sociedad.
1.6.5 De sistemas computacionales (auditoria informtica)

Auditoria informtica: es la revisin tcnica, especializada y exhaustiva que se realiza
a los sistemas computacionales, software e informacin utilizados en una empresa, sean
individuales o compartidos y/o de redes, as como a sus instalaciones,
telecomunicaciones, mobiliario, equipos perifricos y dems componentes. Dicha
revisin se realiza de igual manera a la gestin informtica, el aprovechamiento de los
recursos, las medidas de seguridad y los bienes de consumo necesarios para el
funcionamiento del centro de cmputo.
ANLISIS DE SISTEMAS
Pgina 13

JOS OCHOA LEN
SEXTO CICLO
Auditoria con el computador: Es la auditoria que se realiza con el apoyo de los

equipos de cmputo y sus programas para evaluar cualquier tipo de actividades y
operaciones, no necesariamente computarizadas, pero s susceptibles de ser
automatizadas; dicha auditoria se realiza tambin a las actividades del propio centro de
sistemas y a sus componentes. La principal caracterstica de este tipo de auditoria es
que, sea en un caso o en otro, o en ambos, se aprovecha el computador y sus programas
para la evaluacin de las actividades a revisar, de acuerdo con las necesidades concretas
del auditor, utilizando en cada caso las herramientas especiales del sistema y las
tradicionales de la propia auditoria.
Auditoria sin el computador: Es la auditoria cuyos mtodos, tcnicas y
procedimientos estn orientados nicamente a la evaluacin tradicional del
comportamiento y validez de estas transacciones econmicas, administrativas y
operacionales de un rea de cmputo, y en s de todos los aspectos que afectan a las
actividades en las que se utilizan sistemas informticos, pero dicha evaluacin se realiza
sin el uso de los sistemas computacionales. Es tambin la evaluacin tanto a la
estructura de organizacin, funciones y actividades de funcionarios y personal de un
centre de cmputo, as como a los perfiles de sus puestos, como de los reportes,
informes y bitcoras de los sistemas, de la existencia y aplicacin de planes, programas
y presupuestos en dicho centro, as como del uso y aprovechamiento de los recursos
informticos para la realizacin de actividades, operaciones y tareas.
Asimismo, es la evaluacin de los sistemas de seguridad y prevencin de contingencias,
de la adquisicin y uso del hardware, software y personal informtico, y en s de todo lo
relacionado con el centro de cmputo, pero sin el uso directo de los sistemas
computacionales.
Auditoria a la gestin informtica: Es la auditoria cuya aplicacin se enfoca
exclusivamente a la revisin de las funciones y actividades de tipo administrativo que se
realizan dentro de un centro de cmputo, tales como la planeacin, organizacin,
direccin y control de dicho centro. Esta auditoria se realiza tambin con el fin de
verificar el cumplimiento de las funciones y actividades asignadas a los funcionarios,
empleados y usuarios de las reas de sistematizacin, as como para revisar y evaluar las
operaciones del sistema, el uso y proteccin de los sistemas de procesamiento, los
programas y la informacin.
Se aplica tambin para verificar el correcto desarrollo, instalacin, mantenimiento y
explotacin de los sistemas de cmputo, as como sus equipos e instalaciones. Todo esto
se lleva a cabo con el propsito de dictaminar sobre la adecuada gestin administrativa
de los sistemas computacionales de una empresa y del propio centro informtico.
Auditoria al sistema de cmputo: Es la auditora tcnica y especializada que se enfoca
nicamente a la evaluacin del funcionamiento y uso correctos del equipo de cmputo,
su hardware, software y perifricos asociados. Esta auditoria tambin se realiza a la
composicin y arquitectura de las partes fsicas y dems componentes del hardware,
incluyendo equipos asociados, instalaciones y comunicaciones internas o externas, as
como al diseo, desarrollo y uso del software de operacin, de apoyo y de aplicacin, ya
sean sistemas operativos, lenguajes de procesamiento y programas de desarrollo, o
ANLISIS DE SISTEMAS
Pgina 14

JOS OCHOA LEN
SEXTO CICLO
paquetera de aplicacin institucional que se utiliza en la empresa donde se encuentra el

equipo de cmputo que ser evaluado. Se incluy tambin la operacin del sistema.
Auditoria en el entorno del computador: Es la revisin especfica que se realiza a
todo lo que est alrededor de un equipo de cmputo, como son sus sistemas, actividades
y funcionamiento, haciendo una evaluacin de sus mtodos y procedimientos de acceso
y procesamiento de datos, la emisin y almacenamiento de resultados, las actividades de
planeacin y presupuestacin del propio centro de cmputo, los aspectos operacionales
y financieros, la gestin administrativa de accesos al sistema, la atencin a los usuarios
y el desarrollo de nuevos sistemas, las comunicaciones internas y externas y, en s, a
todos aquellos aspectos que contribuyen al buen funcionamiento de un rea de
sistematizacin.
Auditoria sobre la seguridad de sistemas computacionales: es la revisin exhaustiva,
tcnica y especializada que se realiza a todo lo relacionado con la seguridad de un
sistema de cmputo, sus reas y personal, as como a las actividades, funciones y
acciones preventivas y correctivas que contribuyan a salvaguardar la seguridad de los
equipos computacionales, las bases de datos, redes, instalaciones y usuarios del sistema.
Es tambin la revisin de los planes de contingencia y medidas de proteccin para la
informacin, los usuarios y los propios sistemas computacionales, y en s para todos
aquellos aspectos que contribuyen a la proteccin y salvaguarda en el buen
funcionamiento del rea de sistematizacin, sistemas de redes o computadores
personales, incluyendo la prevencin y erradicacin de los virus informticos.
Auditoria a los sistemas de redes: es la revisin exhaustiva, especfica y especializada
que se realiza a los sistemas de redes de una empresa, considerando en la evaluacin los
tipos de redes, arquitectura, topologa, sus protocolos de comunicacin, las conexiones,
accesos, privilegios, administracin y dems aspectos que repercuten en su instalacin,
administracin, funcionamiento y aprovechamiento. Es tambin la revisin del software
institucional, de los recursos informticos e informacin de las operaciones, actividades
y funciones que permiten compartir las bases de datos, instalaciones, software y
hardware de un sistema de red.
Auditora integral a los centros de cmputo: es la revisin exhaustiva, sistemtica y
global que se realiza por medio de un equipo multidisciplinario de auditores, de todas
las actividades y operaciones de un centro de sistematizacin, a fin de evaluar, en forma
integral, el uso adecuado de sus sistemas de cmputo, equipos perifricos y de apoyo
para el procesamiento de informacin de la empresa, as como de la red de servicios de
una empresa y el desarrollo correcto de las funciones da sus reas, personal y usuarios.
Es tambin la revisin de la administracin del sistema, del manejo y control de los
sistemas operativos, lenguajes, programas y paqueteras de aplicacin, as como de la
administracin y control de proyectos, la adquisicin del hardware y software
institucionales, de la adecuada integracin y uso de sus recursos informticos y de la
existencia y cumplimiento de las normas, polticas, estndares y procedimientos que
regulan la actuacin del sistema, del personal y usuarios del centro de cmputo. Todo
esto hecho de manera global por medio de un equipo multidisciplinario de auditores.
ANLISIS DE SISTEMAS
Pgina 15

JOS OCHOA LEN
SEXTO CICLO
Auditoria ergonmica de sistemas computacionales: es la revisin tcnica, especfica

y especializada que se realiza para evaluar la calidad, eficiencia y utilidad del entorno
hombre-mquina-medio ambiente que rodea el uso de sistemas computacionales en una
empresa. Esta revisin se realiza tambin con el propsito de evaluar la correcta
adquisicin y uso del mobiliario equipo y sistemas, a fin de proporcionar el bienestar,
confort y comodidad que requieren los usuarios de los sistemas de cmputo de la
empresa, as como evaluar la deteccin de los posibles problemas y sus repercusiones, y
la determinacin de las soluciones relacionadas con la salud fsica y bienestar de los
usuarios de los sistemas de la empresa.
Auditoria de la Seguridad Informtica: La auditora de la seguridad en la informtica
comprende los conceptos de seguridad fsica y lgica. La seguridad fsica se refiere a el
resguardo del hardware y los soportes de datos, as como la seguridad de los edificios e
instalaciones que los alojan. Es papel del auditor informtico contemplar situaciones de
incendios, sabotajes, inundaciones, robos, catstrofes naturales, etc.
Por su parte, la seguridad lgica hace referencia a la seguridad en el uso de software, la
proteccin de los datos, procesos y programas, as como la del acceso ordenado y
autorizado de los usuarios a la informacin. El auditar la seguridad de los sistemas,
tambin implica que se debe tener cuidado de que no existen copias piratas, o de que, al
conectarnos en red con otros computadores, no exista la posibilidad de transmisin de
virus.
Auditoria Informtica para Aplicaciones en Internet: En este tipo de revisiones, se
enfoca principalmente en verificar los siguientes aspectos, que el auditor informtico no
puede pasar por alto:
Evaluacin de los riesgos de Internet (operativos, tecnolgicos y financieros) y
as como su probabilidad de ocurrencia.
Evaluacin de vulnerabilidades y la arquitectura de seguridad implementada.
Verificar la confidencialidad de las aplicaciones y la publicidad negativa como
consecuencia de ataques exitosos por parte de hackers.
1.7 reas a auditar en Informtica

Las reas a auditar en donde se puede realizar la auditora en informtica, puede ser:
A toda la Entidad.
A un departamento.
A un rea
A una funcin
A una subfuncin.
Y se pueden aplicar los siguientes tipos de auditora:
Auditora al ciclo de vida del desarrollo de un sistema
Auditora a un sistema en operacin
Auditora a controles generales ( gestin)
Auditora a la administracin de la funcin de informtica.
Auditora a microcomputadoras aisladas
Auditora a redes
ANLISIS DE SISTEMAS
Pgina 16

JOS OCHOA LEN
SEXTO CICLO
1.8 Desarrollo del programa de auditoria

Un programa de auditoria es un conjunto de procedimientos documentados, diseados
para alcanzar los objetivos planificados en una auditoria. El esquema caracterstico de
un programa de auditoria incluye lo siguiente:
Tema de auditoria: donde se identifica el rea a ser auditada.

Objetivos de auditoria: donde se indica el propsito del trabajo de auditoria a realizar.
Alcances de auditoria: se identifica los sistemas especficos o unidades de
organizacin que se han de incluir en la revisin en un perodo de tiempo determinado.
Planificacin previa: se identifica los recursos y destrezas que se necesitan para
realizar el trabajo as como las fuentes de informacin para pruebas o revisin y lugares
fsicos o instalaciones donde se va auditar.
Procedimientos de auditoria para:
Recopilacin de datos.
Identificacin de lista de personas a entrevistar.
Identificacin y seleccin del enfoque del trabajo
Identificacin y obtencin de polticas, normas y directivas.
Desarrollo de herramientas y metodologa para probar y verificar los controles
existentes.
Procedimientos para evaluar los resultados de las pruebas y revisiones.
Procedimientos de comunicacin con la gerencia.
Procedimientos de seguimiento.
El programa de auditoria se convierte tambin en una gua para documentar los diversos
pasos de auditoria y para sealar la ubicacin del material de evidencia.
Investigacin: Delito y fraude Informtico

ANLISIS DE SISTEMAS
Pgina 17

JOS OCHOA LEN
SEXTO CICLO
Describir un caso de fraude o delito informtico donde se indique el proceso delictivo

cometido, los efectos o daos causados y finalmente concluir con su anlisis de la
decisin que hubiese tomado en caso de que el afectado del delito cometido hubiera sido
usted. Se propone los siguientes links para realizar el trabajo.
http://noticias.lainformacion.com/policia-y-justicia/criminalidad/delitos-informaticos/
http://www.eltiempo.com/noticias/delitos-informaticos
ANLISIS DE SISTEMAS
Pgina 18

JOS OCHOA LEN
SEXTO CICLO
UNIDAD II: EL AUDITOR

INFORMTICO Y LAS
FASES DE LA AUDITORIA
ANLISIS DE SISTEMAS
Pgina 19

JOS OCHOA LEN
SEXTO CICLO
2. EL AUDITOR INFORMTICO Y LAS FASES DE LA

AUDITORIA
2.1 EL AUDITOR INFORMTICO
La responsabilidad del auditor es muy grande, de ah que el presente capitulo desarrolla
aspectos bsicos en cuanto a las normas que ayudan a identificar la correcta actuacin
profesional, laboral, social y personal del auditor informtico. Un segundo aspecto que
cubre el captulo est relacionado con el fraude informtico o comportamientos ilcitos,
el cual ha tenido un avance paralelo al desarrollo de la tecnologa informtica.
El auditor: las normas que regulan el comportamiento del auditor se pueden clasificar
de la siguiente manera:
2.1.1 Normas permanentes de carcter profesional

Son aquellas que debe cumplir invariablemente el profesional dedicado a la actividad de
la auditoria de sistemas computacionales; el auditor no debe admitir bajo ninguna
circunstancia variacin alguna respecto a la aplicacin y cumplimiento de dichas
normas. Esto se debe a que es obligacin profesional (deber tico, moral y profesional)
del propio auditor y del personal que colabora con l, hacer una cabal observancia de
dichas normas a fin de mantener su prestigio y credibilidad en las empresas donde
realice su evaluacin. Entre los casos ms relevantes encontramos los siguientes:
Emitir una opinin responsable y profesional respaldada en evidencias
comprobadas: una auditora solamente es vlida cuando est debidamente
fundamentada por tcnicas, mtodos y procedimientos de carcter profesional
que han sido previamente aprobados y comprobados; estos mtodos son un
soporte para que el auditor, apoyado en su experiencia y conocimientos de la
materia, emita una opinin confiable y de tipo profesional.
Mantener una disciplina profesional: al igual que en cualquier profesin e
incluso en algunas de las actividades laborales, sociales y cotidianas de la vida,
un profesional de la auditora tambin debe mantener una actuacin
permanentemente profesional por encima de cualquier cosa, tanto en el aspecto
laboral como el personal, lo cual slo se logra con constancia, voluntad y una
frrea disciplina.
Guardar el secreto profesional: debido a que el auditor est en contacto con
informacin confidencial de la empresa que audita, es su obligacin no slo
profesional sino tambin tica y moral, que en todos los casos mantenga el
secreto profesional, tanto de la informacin que le es confiada como de los
resultados de su evaluacin. Por ningn motivo debe dar a conocer la
informacin que le fue confiada.
Tener independencia mental: tambin se debe considerar que para ser auditor no
slo hay que trabajar en ello, sino tener una aptitud, competencia y disposicin
profesional de tipo muy especial, caracterizada por una actitud mental
independiente que siempre debe estar libre de cualquier influencia.
ANLISIS DE SISTEMAS
Pgina 20

JOS OCHOA LEN
SEXTO CICLO
Adems, el auditor debe tener los suficientes conocimientos, habilidades y experiencia

para saber evitar la influencia de cualquier gnero, as como las amenazas y los aspectos
sentimentales que encontrar en la realizacin de su trabajo.
Para ser auditor hay que ser independiente de pensamiento, palabra y actuacin.
Contar con responsabilidad profesional: si se considera que no es lo mismo ser
un profesional que trabaja en la auditora que ser un profesional de la auditora,
es evidente que no slo hay que laborar como auditor para sobrevivir, sino que
hay que actuar y pensar como verdadero profesional de la auditora; lo anterior
se refleja en la forma de aceptar la responsabilidad que se tiene para cumplir con
las actividades de una auditora; sta no slo es una norma y obligacin
profesional, sino que es un requisito tico, moral y personal para actuar como
auditor.
No slo hay que laborar como auditor, tambin hay que aceptar la
responsabilidad que esto implica.
Capacitacin y adiestramiento permanentes: como en toda actividad profesional,
el auditor tambin requiere de una constante capacitacin profesional, laboral y
tcnica, para que adquiera nuevos conocimientos de mtodos, procedimientos y
herramientas de evaluacin que le ayuden a desempear mejor su trabajo. La
capacitacin puede ser de carcter formal o informal, de tipo acadmico, laboral
o personal. Lo importante es que estos profesionales se capaciten
constantemente para realizar mejor su actividad profesional.
Para el auditor, la capacitacin es la herramienta fundamental para el buen
desempeo de su actividad profesional.
Hacer una planeacin de la auditora y de los programas de evaluacin: para
realizar un buen trabajo de auditoria, es necesario que para cualquier tipo de
auditora que practique, el auditor se apoye en una previa planeacin de todas las
actividades, herramientas y recursos que deba utilizar, incluyendo los planes,
programas y presupuestos, no slo de los recursos a utilizar, sino tambin de las
tcnicas, mtodos y procedimientos de auditora. Es evidente que esta actividad
es producto de normas y obligaciones de tipo profesional y permanente.
La planeacin de la auditora es la herramienta indispensable para un buen
desarrollo y cumplimiento profesional de la misma.
Hacer la presentacin del dictamen por escrito, as como la aclaracin de
diferencias: el informe que presente el auditor debe ser lo ms confiable posible,
con lenguaje claro, bien estructurado y debe contener todos los aspectos
fundamentales que apoyan su opinin como profesional, evitando en todos los
casos la subjetividad en lo evaluado; la mejor forma de lograrlo es presentar este
informe por escrito, a fin de no dejar dudas sobre lo que se est informando.
Adems, no basta con presentarlo por escrito, tambin es un requisito normado y
una obligacin profesional que el contenido del informe est comentado con los
ANLISIS DE SISTEMAS
Pgina 21

JOS OCHOA LEN
SEXTO CICLO
involucrados en la revisin y, si es el caso, deben estar aclaradas las posibles

divergencias y dudas que surjan entre el auditor y el auditado.
El informe de auditora es un documento legal que no debe ser ocultado a los
auditados ni ser presentado a sus espaldas, sino que les debe ser presentado con
pleno conocimiento de su contenido.
Esto le dar al auditor su carcter profesional.
2.1.2 Normas de carcter social

El auditor, como todo profesional y cualquier ciudadano, vive en una sociedad en la
cual desempea su actividad profesional y a la cual sirve con su trabajo. Dicha sociedad
se rige por una serie dos normas y obligaciones, muchas de ellas no escritas, pero s
aceptadas por los integrantes de esa comunidad. Entre las normas de carcter social que
regulan la actuacin del auditor estn:
Acatar las normas y obligaciones de carcter social: al convivir con un grupo de
personas dentro de un ncleo de la sociedad, el auditor debe regir su conducta
con las normas y lineamientos que regulan la actuacin de cualquier profesional.
Estas normas y obligaciones sociales, que por lo general no estn establecidas
por escrito, son las que determinan la actuacin de este tipo de profesionales y
en general de toda la sociedad.
Respetar a las autoridades, leyes, normas y reglamentos: dentro de las
enseanzas de carcter social que desde pequeos se nos inculcan en la familia y
en la sociedad, se encuentra el aprendizaje del civismo, por El informe de
auditora es un documento legal que no debe ser ocultado a los auditados ni ser
presentado a sus espaldas, sino que les debe ser presentado con pleno
conocimiento de su contenido medio del cual se nos ensea a respetar y acatar,
entre otras cosas, lo determinado por la normas, leyes y reglamentos que regulan
el comportamiento de las personas que cohabitan dentro de un conglomerado
social; tambin se nos inculca el respeto a las autoridades y disposiciones
sociales.
Es requisito de carcter social que el auditor sepa respetar y hacer cumplir las
disposiciones y normas emanadas de las autoridades que regulan su actividad
profesional, tanto en su actuacin con las empresas que audita como con la
personas que trata en la realizacin de una auditora.
Evitar y prevenir sobornos, componendas y ddivas: es requisito indispensable,
sin admitir ninguna variacin al respecto, que el auditor prevenga y evite
cualquier tipo de soborno, componenda o ddiva que pudieran resultar de su
actividad profesional.
Ser leal con los auditados: un requisito indispensable para el auditor, tambin de
comportamiento social, tico, profesional y moral, es que debe ser leal con las
empresas que audita y con el personal que labora dentro de ellas. No es vlido ni
profesional ser desleal con quienes se audita. Adems, cumplir con esta
obligacin, en mucho le ayuda a fundamentar sus relaciones con las empresas,
con sus colegas y con la sociedad en general.
ANLISIS DE SISTEMAS
Pgina 22

JOS OCHOA LEN
SEXTO CICLO
Contar con una opinin profesional y defenderla: al emitir el informe de una

auditoria y plasmar su opinin en un dictamen, el auditor demuestra a la
sociedad que tiene una opinin personal, la cual fundamenta en la aplicacin de
sus tcnicas, mtodos y procedimientos de auditora, misma que defiende por
medio de su opinin profesional, la cual est cimentada por las evidencias que
obtiene al realizar su trabajo; eso es lo que espera la colectividad de este
profesional. Por esta razn, la comunidad le confiere al auditor una gran calidad
moral, social y profesional, ya que da por hecho que su actuacin est apegada a
una estricta tica profesional y personal, la cual demuestra con la opinin que
emite y defiende.
Emitir un dictamen con firma profesional: La sociedad, las autoridades y los
responsables de las empresas auditadas reclaman que el informe que emite el
auditor est respaldado por una firma profesional, ya sea la de una empresa que
avale su actuacin o la del propio auditor. Este profesional debe estar avalado y
certificado por las autoridades y asociaciones de profesionales del ramo para
ejercer esta actividad.
Contar con apoyo didctico y normativo vigente: Para ejercer la profesin de
auditor, tambin es requisito con la capacitacin y conocimientos ms
adelantados y vigentes de su profesin.
2.1.3 Normas de comportamiento tico-moral:

las normas de conducta que como profesional debe acatar el auditor, dentro de un
estricto sentido tico y moral son las siguientes.
Ser incorruptible e insobornable: en las normas de carcter social, se seal,
que es requisito indispensable, sin admitir ninguna variacin al respecto, que el
auditor sea insobornable e incorruptible y que no haya ninguna duda respecto a
su actuacin en la evaluacin que est realizando. Esta cualidad moral, ms que
norma y obligacin, es la que da la confianza en la actuacin de un profesional
de la auditora. Alterar en algo el informe de la auditora para minimizar, no
informar o modificar lo encontrado en una evaluacin no es una actitud tica del
auditor, mucho menos moral ni profesional. Si esta actitud se deriva de
sobornos, corruptelas y componendas para alterar su opinin, este pseudoauditor
carece de calidad profesional. Igual si obedece a otro tipo de intereses ajenos a
los fines de la auditora.
Ser imparcial en los juicios que emite como auditor: se debe ser imparcial,
esto con el propsito de poder emitir un juicio acertado y ecunime respecto a lo
que se est evaluando. El cumplimiento de esta cualidad o norma tico-moral es
lo que le da validez y vigencia a la profesin de auditor, debido a que, al emitir
un dictamen, ste se hace libre de cualquier presin e influencia y sin ningn
sesgo ni parcialidad; el auditor slo debe informar de lo que realmente observ.
Adems, debe fundamentar su opinin en las evidencas y pruebas que obtuvo
con los mtodos, tcnicas y herramientas de auditora que utiliz. Esto no slo es
una norma tico-moral, sino profesional y laboral.
Contar con un juicio sereno, tico y moral: tambin fue sealado en los
elementos de juicio que el objetivo final de una evaluacin es emitir un dictamen
sobre los aspectos quo se estn evaluando a la luz de las tcnicas que utilice el
auditor. Por esta razn, es importante identificar los elementos sealados en ese
ANLISIS DE SISTEMAS
Pgina 23

JOS OCHOA LEN
SEXTO CICLO
punto y los criterios y obligaciones de carcter tico y moral que adquiere este
profesional al emitir un dictamen, mismo que fundamenta en un juicio sereno, el
cual apoya con las evidencias de que dispone y con las pruebas obtenidas con
sus herramientas de evaluacin.
Acatar y hacer cumplir las normas morales y ticas: Parece reiterativo decir que el
auditor debe acatar y hacer cumplir las normas tico-morales que regulan su actuacin
como profesional, lo cual se aplica invariablemente a su actuacin tanto en el mbito
profesional, como en el mbito personal y social.
Esto es lo que esperan de su actuacin los funcionarios y empleados de las empresas
que audita, sus colegas, las asociaciones a las que pertenezca y la comunidad en general.
Todos esperan que su actuacin como auditor se apegue invariablemente a un estricto
cumplimiento de las normas morales y ticas que regulan a la sociedad.
2.2 FASES DE LA AUDITORIA
ANLISIS DE SISTEMAS
Pgina 24

JOS OCHOA LEN
SEXTO CICLO
Para realizar una auditora de sistemas se requiere planear una serie ordenada de
acciones y procedimientos especficos, que deben ser ejecutados de forma secuencial,
cronolgica y ordenada, teniendo en cuenta etapas, eventos y actividades que se
requieran para su ejecucin que sern establecidos de acuerdo a las necesidades de la
empresa. Estos procedimientos se adaptarn de acuerdo al tipo de auditora de sistemas
que se vaya a realizar y con el cumplimiento estricto de las necesidades, tcnicas y
mtodos de evaluacin del rea de sistematizacin. Los mtodos deben seguirse para la
determinacin de las herramientas e instrumentos de revisin que sern utilizados en la
auditoria, la metodologa cubre tres etapas: la primera de planeacin, la segunda de
ejecucin y la tercera del dictamen de la auditoria.
2.2.1 Etapa de Planeacin de la Auditora

El primer paso para realizar una auditora de sistemas es la planeacin de cmo se va a
ejecutar la auditora, donde se debe identificar de forma clara las razones por las que se
va a realizar la auditora, la determinacin del objetivo de la misma, el diseo de
mtodos, tcnicas y procedimientos necesarios para llevarla a cabo y para la solicitud de
documentos que servirn de apoyo para la ejecucin, terminando con la elaboracin de
la documentacin de los planes, programas y presupuestos para llevarla a cabo.
Identificar el origen de la auditora: este es el primer paso para iniciar la planeacin
de la auditora, en esta se debe determinar por qu surge la necesidad o inquietud de
realizar una auditora. Las preguntas que se deben contestar de dnde?, por qu?,
Quin? o para qu? Se quiere hacer la evaluacin de algn aspecto de los sistemas de
la empresa.
Visita Preliminar al rea informtica: este es el segundo paso en la planeacin de la
auditora y consiste en realizar una visita preliminar al rea de informtica que ser
auditada, luego de conocer el origen de la peticin de realizar la auditora y antes de
iniciarla formalmente; el propsito es el de tener un primer contacto con el personal
asignado a dicha rea, conocer la distribucin de los sistemas y donde se localizan los
servidores y equipos terminales en el centro de cmputo, sus caractersticas, las medidas
de seguridad y otros aspectos sobre que problemticas que se presentan en el rea
auditada. Se deben tener en cuenta aspectos tales como:
La visita inicial para el arranque de la auditora cuya finalidad es saber Cmo se
encuentran distribuidos los equipos en el rea?, Cuntos, cules, cmo y de qu tipo
son los servidores y terminales que existen en el rea?, Qu caractersticas generales de
los sistemas que sern auditados?, Qu tipo de instalaciones y conexiones fsicas
existen en el rea?, Cul es la reaccin del personal frente al auditor?, Cules son las
medidas de seguridad fsica existentes en el rea?, y Qu limitaciones se observan para
realizar la auditora?. Con esta informacin el auditor podr disear las medidas
necesarias para una adecuada planeacin de la auditora y establecer algunas acciones
concretas que le ayuden al desarrollo de la evaluacin.
ANLISIS DE SISTEMAS
Pgina 25

JOS OCHOA LEN
SEXTO CICLO
2.2.2 Alcance y Objetivos de la Auditoria Informtica

El alcance de la Auditoria expresa los lmites de la misma. Debe existir un acuerdo
muy preciso entre auditores y clientes sobre las funciones, las materias y las
organizaciones a auditar. A efectos de delimitar el trabajo, resulta muy beneficioso para
ambas partes expresar las excepciones de alcance de la Auditoria, es decir cuales
materias, funciones u organizaciones no van a ser auditadas. Tanto los alcances como
las excepciones deben figurar al comienzo del Informe Final, es decir, El alcance debe
manifestarse claramente en el Informe Final, de modo que queden perfectamente
detallados no solamente los puntos que fueron examinados, sino tambin cuales fueron
omitidos
Las personas que realizan la Auditoria han de conocer con la mayor exactitud posible
los objetivos a los que su tarea debe llegar. Deben comprender los deseos y retenciones
del cliente, de forma que las metas fijadas puedan ser cumplidas.
Los Objetivos de la Auditora son:
El objetivo general, que es el fin global de lo que se pretende alcanzar con el
desarrollo de la auditora informtica y de sistemas, en l se plantean todos los
aspectos que se pretende evaluar.
Los objetivos especficos, que son los fines individuales que se pretenden para el
logro del objetivo general, donde se seala especficamente los sistemas,
componentes o elementos concretos que deben ser evaluados.
2.2.3 Determinar los puntos que sern evaluados:

Una vez determinados los objetivos de la auditora se debe relacionar los aspectos que
sern evaluados, y para esto se debe considerar aspectos especficos del rea
informtica y de los sistemas computacionales tales como: la gestin administrativa del
rea informtica y el centro de cmputo, el cumplimiento de las funciones del personal
informtico y usuarios de los sistemas, los sistemas en desarrollo, la operacin de los
sistemas en produccin, los programas de capacitacin para el personal del rea y
usuarios de los sistemas, proteccin de las bases de datos, datos confidenciales y
accesos a las mismas, proteccin de las copias de seguridad y la restauracin de la
informacin, entre otros aspectos.
2.2.3.1
Estudio inicial del entorno auditable
Para realizar dicho estudio se deben examinar las funciones y actividades generales de
la informtica. Para su realizacin el auditor debe conocer lo siguiente:
Organizacin: Para el equipo auditor, el conocimiento de quin ordena, quin disea y
quin ejecuta es fundamental. Para realizar esto en auditor deber fijarse en:
Organigrama: El organigrama expresa la estructura oficial de la organizacin a auditar.
Si se descubriera que existe un organigrama fctico diferente al oficial, se pondr de
manifiesto tal circunstancia.
ANLISIS DE SISTEMAS
Pgina 26

JOS OCHOA LEN
SEXTO CICLO
Departamentos: Se entiende como departamento a los rganos que siguen

inmediatamente a la Direccin. El equipo auditor describir brevemente las
funciones de cada uno de ellos.
Relaciones Jerrquicas y funcionales entre rganos de la Organizacin: El
equipo auditor verificar si se cumplen las relaciones funcionales y Jerrquicas
previstas por el organigrama, o por el contrario detectar, por ejemplo, si algn
empleado tiene dos jefes. Las de Jerarqua implican la correspondiente
subordinacin. Las funcionales por el contrario, indican relaciones no
estrictamente subordnales.
Flujos de Informacin: Adems de las corrientes verticales
intradepartamentales, la estructura organizativa cualquiera que sea, produce
corrientes de informacin horizontales y oblicuas extradepartamentales. Los
flujos de informacin entre los grupos de una organizacin son necesarios para
su eficiente gestin, siempre y cuando tales corrientes no distorsionen el propio
organigrama. En ocasiones, las organizaciones crean espontneamente canales
alternativos de informacin, sin los cuales las funciones no podran ejercerse con
eficacia; estos canales alternativos se producen porque hay pequeos o grandes
fallos en la estructura y en el organigrama que los representa. Otras veces, la
aparicin de flujos de informacin no previstos obedece a afinidades personales
o simple comodidad. Estos flujos de informacin son indeseables y producen
graves perturbaciones en la organizacin.
Nmero de Puestos de trabajo: El equipo auditor comprobar que los nombres
de los Puesto de los Puestos de Trabajo de la organizacin corresponden a las
funciones reales distintas. Es frecuente que bajo nombres diferentes se realicen
funciones idnticas, lo cual indica la existencia de funciones operativas
redundantes. Esta situacin pone de manifiesto deficiencias estructurales; los
auditores darn a conocer tal circunstancia y expresarn el nmero de puestos de
trabajo verdaderamente diferentes.
Nmero de personas por Puesto de Trabajo: Es un parmetro que los
auditores informticos deben considerar. La inadecuacin del personal
determina que el nmero de personas que realizan las mismas funciones rara vez
coincida con la estructura oficial de la organizacin.
Entorno Operacional: El equipo de Auditoria informtica debe poseer una adecuada
referencia del entorno en el que va a desenvolverse.
Este conocimiento previo se logra determinando, fundamentalmente, los siguientes
extremos:
Situacin geogrfica de los Sistemas: Se determinar la ubicacin geogrfica
de los distintos Centros de Proceso de Datos en la empresa. A continuacin, se
verificar la existencia de responsables en cada uno de ellos, as como el uso de
los mismos estndares de trabajo.
Arquitectura y configuracin de Hardware y Software: Cuando existen
varios equipos, es fundamental la configuracin elegida para cada uno de ellos,
ya que los mismos deben constituir un sistema compatible e intercomunicado.
La configuracin de los sistemas est muy ligada a las polticas de seguridad
lgica de las compaas. Los auditores, en su estudio inicial, deben tener en su
poder la distribucin e interconexin de los equipos.
Inventario de Hardware y Software: El auditor recabar informacin escrita,
en donde figuren todos los elementos fsicos y lgicos de la instalacin. En
ANLISIS DE SISTEMAS
Pgina 27

JOS OCHOA LEN
SEXTO CICLO
cuanto a Hardware figurarn las CPUs, unidades de control local y remoto,

perifricos de todo tipo, etc. El inventario de software debe contener todos los
productos lgicos del Sistema, desde el software bsico hasta los programas de
utilidad adquiridos o desarrollados internamente. Suele ser habitual clasificarlos
en facturables y no facturables.
Comunicacin y Redes de Comunicacin: En el estudio inicial los auditores
dispondrn del nmero, situacin y caractersticas principales de las lneas, as
como de los accesos a la red pblica de comunicaciones. Igualmente, poseern
informacin de las Redes Locales de la Empresa.
2.2.3.2
Aplicaciones bases de datos y archivos:
El estudio inicial que han de realizar los auditores se cierra y culmina con una idea
general de los procesos informticos realizados en la empresa auditada. Para ello
debern conocer lo siguiente:
Volumen, antigedad y complejidad de las Aplicaciones
Metodologa del Diseo: Se clasificar globalmente la existencia total o parcial
de metodologa en el desarrollo de las aplicaciones. Si se han utilizados varias a
lo largo del tiempo se pondr de manifiesto.
Documentacin: La existencia de una adecuada documentacin de las
aplicaciones proporciona beneficios tangibles e inmediatos muy importantes. La
documentacin de programas disminuye gravemente el mantenimiento de los
mismos.
Cantidad y complejidad de Bases de Datos y Archivos: El auditor recabar
informacin de tamao y caractersticas de las Bases de Datos, clasificndolas
en relacin y jerarquas. Hallar un promedio de nmero de accesos a ellas por
hora o das. Esta operacin se repetir con los archivos, as como la frecuencia
de actualizaciones de los mismos. Estos datos proporcionan una visin aceptable
de las caractersticas de la carga informtica.
2.2.3.3
Elaborar planes, programas y presupuestos para realizar

la auditora
Para realizar la planeacin formal de la auditora informtica y de sistemas, en la cual se

concretan los planes, programas y presupuestos para llevarla a cabo se debe elaborar los
documentos formales para el desarrollo de la auditora, donde se delimiten las etapas,
eventos y actividades y los tiempos de ejecucin para el cumplimiento del objetivo,
anexando el presupuesto con los costos de los recursos que se utilizarn para llevarla a
cabo.
Algunos de los aspectos a tener en cuenta sern: las actividades que se van a realizar,
los responsables de realizarlas, los recursos materiales y los tiempos; el flujo de eventos
que sirven de gua; la estimacin de los recursos humanos, materiales e informticos
que sern utilizados; los tiempos estimados para las actividades y para la auditora; los
auditores responsables y participantes de las actividades; otras especificaciones del
programa de auditora.
2.2.3.3.1 Elaboracin del plan y de los Programas de Trabajo

ANLISIS DE SISTEMAS
Pgina 28

JOS OCHOA LEN
SEXTO CICLO
Una vez asignados los recursos, el responsable de la Auditoria y sus colaboradores

establecen un plan de trabajo. Decidido ste, se procede a la programacin del mismo.
El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes:
Si la Revisin debe realizarse por reas generales o reas especficas. En el primer
caso, la elaboracin es ms compleja y costosa.
Si la Auditoria es global, de toda la Informtica o parcial. El volumen determina no
solamente el nmero de auditores necesarios, sino las especialidades necesarias del
personal.
En el plan no se consideran calendarios, porque se manejan recursos genricos y
no especficos.
En el Plan se establecen los recursos y esfuerzos globales que van a ser
necesarios.
En el Plan se establecen las prioridades de materias auditables, de acuerdo
siempre con las prioridades del cliente.
El Plan establece disponibilidad futura de los recursos durante la revisin.
El Plan estructura las tareas a realizar por cada integrante del grupo.
En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado.
Una vez elaborado el Plan, se procede a la Programacin de actividades.
Esta ha de ser lo suficientemente como para permitir modificaciones a lo largo del
proyecto.
2.2.3.3.2 Determinacin de los recursos necesarios para realizar la

Auditoria
Mediante los resultados del estudio inicial realizado se procede a determinar los
recursos humanos y materiales que han de emplearse en la Auditoria.
Recursos materiales
Es muy importante su determinacin, por cuanto la mayora de ellos son proporcionados
por el cliente. Las herramientas software propias del equipo van a utilizarse igualmente
en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de
uso entre el auditor y cliente. Los recursos materiales del auditor son de dos tipos:
Recursos materiales Software: Programas propios de la auditoria: Son muy
potentes y Flexibles. Habitualmente se aaden a las ejecuciones de los procesos
del cliente para verificarlos. Monitores: Se utilizan en funcin del grado de
desarrollo observado en la actividad de Tcnica de Sistemas del auditado y de la
cantidad y calidad de los datos ya existentes.
Recursos materiales Hardware: Los recursos hardware que el auditor necesita
son proporcionados por el cliente. Los procesos de control deben efectuarse
necesariamente en las Computadoras del auditado. Para lo cual habr de
convenir, tiempo de mquina, espacio de disco, impresoras ocupadas, etc.
Recursos Humanos: La cantidad de recursos depende del volumen auditable. Las
caractersticas y perfiles del personal seleccionado dependen de la materia auditable. Es
igualmente reseable que la Auditoria en general suele ser ejercida por profesionales
universitarios y por otras personas de probada experiencia multidisciplinaria.
Identificar y seleccionar los mtodos, herramientas, instrumentos y procedimientos
necesarios para la auditora: en ste se determina la documentacin y medios
necesarios para llevar a cabo la revisin y evaluacin en la empresa, seleccionando o
ANLISIS DE SISTEMAS
Pgina 29

JOS OCHOA LEN
SEXTO CICLO
diseando los mtodos, procedimientos, herramientas, e instrumentos necesarios de

acuerdo a los planes, presupuestos y programas establecidos anteriormente para la
auditora. Para ello se deben considerar los siguientes puntos: establecer la gua de
ponderacin de cada uno de los puntos que se debe evaluar; elaborar una gua de la
auditora; elaborar el documento formal de la gua de auditora; determinar las
herramientas, mtodos y procedimientos para la auditora de sistemas; disear los
sistemas, programas y mtodos de pruebas para la auditora.
Asignar los recursos y sistemas computacionales para la auditora: finalmente se
debe asignar los recursos que sern utilizados para realizar la auditora. Con la
asignacin de estos recursos humanos, informticos, tecnolgicos y de cualquier otro
tipo se llevar a cabo la auditora.
2.2.4 Etapa de Ejecucin de la Auditora

La siguiente etapa despus de la planeacin de la auditora es la ejecucin de la misma,
y est determinada por las caractersticas propias, los puntos elegidos y los
requerimientos estimados en la planeacin.
2.2.4.1
Etapa de Dictamen de la Auditora
La tercera etapa luego de la planeacin y ejecucin es emitir el dictamen, que es el

resultado final de la auditora, donde se presentan los siguientes puntos: la elaboracin
del informe de las situaciones que se han detectado, la elaboracin del dictamen final y
la presentacin del informe de auditora.
Analizar la informacin y elaborar un informe de las situaciones detectadas: junto
con la deteccin de las oportunidades de mejoramiento se debe realizar el anlisis de los
papeles de trabajo y la elaboracin del borrador de las oportunidades detectadas, para
ser discutidas con los auditados, despus se hacen las modificaciones necesarias y
posteriormente el informe final de las situaciones detectadas.
Elaborar el Dictamen Final: el auditor debe terminar la elaboracin del informe final
de auditora y complementarlo con el dictamen final, para despus presentarlo a los
directivos del rea auditada para que conozcan la situacin actual del rea, antes de
presentarlo al representante o gerente de la empresa. Una vez comentadas las
desviaciones con los auditados, se elabora el informe final, lo cual es garanta de que los
auditados ya aceptaron las desviaciones encontradas y que luego se llevan a documentos
formales.
Elaborar el Dictamen Formal: el ltimo paso de esta metodologa es presentar
formalmente el informe y el dictamen de la auditoria al ms alto de los directivos de la
empresa, donde se informa de los resultados de la auditora. Tanto el informe como el
dictamen deben presentarse en forma resumida, correcta y profesional. La presentacin
de la misma se hace en una reunin directiva y por eso es indispensable usar un lenguaje
claro tanto en el informe como en la exposicin del mismo. El informe debe contener
los siguientes puntos: la carta de presentacin, el dictamen de la auditora, el informe de
situaciones relevantes y los anexos y cuadros estadsticos.
ANLISIS DE SISTEMAS
Pgina 30

JOS OCHOA LEN
SEXTO CICLO
Al elaborar el dictamen formal se hace tomando en cuenta el informe comentado a los

directivos, junto al formato de hallazgos o desviaciones y los papeles de trabajo de cada
uno de los auditores. La integracin del dictamen y el informe final de auditora deben
ser elaborados con la mxima perfeccin, tratando de evitar errores. Tambin deben
contener de manera clara y concreta, las desviaciones detectadas en la evaluacin.
Proceso de Auditora
ETAPAS
Planeacin de la
Auditoria de
Sistemas
1.
2.
3.
4.
5.
6.
7.
Ejecucin de la
Auditoria de
Sistemas
Dictamen de la
Auditoria de
Sistemas
PASOS A REALIZAR
Identificar el origen de la auditora.
Realizar una visita preliminar al rea que ser evaluada.
Establecer los objetivos de la auditora.
Determinar los puntos que sern evaluados en la auditora.
Elaborar planes, programas y presupuestos para realizar la
auditora.
Identificar y seleccionar los mtodos, herramientas,
instrumentos y procedimientos necesarios para la auditora.
Asignar los recursos y sistemas computacionales para la
auditora.
1. Realizar las acciones programadas para la auditora.

2. Aplicar los instrumentos y herramientas para la auditora.
3. Identificar y elaborar los documentos de oportunidades de
mejoramiento encontradas.
4. Elaborar el dictamen preliminar y presentarlo a discusin.
5. Integrar el legajo de papeles de trabajo de la auditora
1. Analizar la informacin y elaborar un informe de situaciones
detectadas.
2. Elaborar el Dictamen final.
3. Presentar el informe de auditora.
2.3 La operatividad
Se encarga de verificar que la organizacin y las maquinas funcionen, siquiera
mnimamente. No es aceptable detener los recursos de cmputo para descubrir sus fallos
y comenzar de nuevo. Cuando los sistemas estn operando la auditoria inicia su
actividad. De ah que la principal preocupacin del auditor informtico es la de
mantener la operatividad de los sistemas y para lograrlo debe verificar que se estn
realizando los siguientes tipos de controles: Controles Tcnicos Generales de
Operatividad y Controles Tcnicos Especficos de Operatividad.
ANLISIS DE SISTEMAS
Pgina 31

JOS OCHOA LEN
SEXTO CICLO
Tarea: Realizar un ensayo/resumen/informe sobre el Perfil del auditor Informtico.

Adems analice y sintetice como puede usted aplicar esos principios en su vida como
estudiante o como profesional segn sea el caso. Se propone el siguiente link para tal
propsito.
http://es.slideshare.net/rossemarycruces/perfil-del-auditor-informtico?related=1
https://www.youtube.com/watch?v=WJW9AiD0CpM
ANLISIS DE SISTEMAS
Pgina 32

JOS OCHOA LEN
SEXTO CICLO
UNIDAD III: RIESGO Y

CONTROL
ANLISIS DE SISTEMAS
Pgina 33

JOS OCHOA LEN
SEXTO CICLO
3. RIESGO Y CONTROL
El control interno surge por la necesidad de evaluar y satisfacer la eficiencia, eficacia,
razonabilidad, oportunidad y confiabilidad en la proteccin, proteccin y seguridad en
los bienes de una empresa, as como ayudar a controlar el desarrollo de sus operaciones,
actividades y resultados financieros que se esperaban obtener en el desempeo de las
funciones y operaciones de toda la empresa.
3.1 Generalidades del control.

El control es una de las fases del proceso administrativo y se encarga de evaluar que los
resultados obtenidos durante el ejercicio se hayan cumplido de acuerdo con los planes y
programas previamente determinados, a fin de retroalimentar sobre el cumplimiento
adecuado de las funciones y actividades que se reportan como las desviaciones
encontradas; todo ello para incrementar la eficiencia y eficacia de una institucin. Las
siguientes son algunas de las definiciones de control:
"Inspeccin, vigilancia que se ejerce sobre personas o cosas [...] Conjunto de
operaciones encaminadas a comprobar el funcionamiento, productividad, etc., de algn
mecanismo [...]. "
"Control es verificar que todo ocurra de acuerdo a las reglas establecidas y las rdenes
impartidas [...].
"Dentro del concepto de sistemas, el control es definido como un medio de obtener
mayor flexibilidad operativa y como un medio de evitar el planteamiento de operaciones
cuando las variables sean desconocidas [...]."
3.2 Clasificacin general de los controles:

Controles Preventivos: Son aquellos que reducen la frecuencia con que ocurren
las causas del riesgo, permitiendo cierto margen de violaciones.
Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones
Sistemas de claves de acceso.
Controles detectivos: Son aquellos que no evitan que ocurran las causas del
riesgo sino que los detecta luego de ocurridos. Son los ms importantes para el
auditor. En cierta forma sirven para evaluar la eficiencia de los controles
preventivos.
Ejemplo: Archivos y procesos que sirvan como pistas de auditoria
Procedimientos de validacin
Controles Correctivos: Ayudan a la investigacin y correccin de las causas
del riesgo. La correccin adecuada puede resultar difcil e ineficiente, siendo
necesaria la implantacin de controles detectivos sobre los controles correctivos,
debido a que la correccin de errores es en s una actividad altamente propensa a
errores.
ANLISIS DE SISTEMAS
Pgina 34

JOS OCHOA LEN
SEXTO CICLO
3.3 Objetivos del control

Para comprender la importancia del control en las empresas, lo primero es entender
cules son los objetivos que se pretenden satisfacer con su adopcin, aunque stos sean
muy variados y especficos de acuerdo con el tipo de institucin donde se establezcan y
a las caractersticas especficas de la misma. A continuacin se proponen, de manera
general, los siguientes objetivos del control:
Se adopta para poder establecer estndares, medir su cumplimiento y evaluar el
alcance real de los planes y programas, comparado con lo realmente alcanzado.
Con su adopcin se ayuda en la proteccin y salvaguarda de los bienes y activos
de las empresas.
Con su adopcin se contribuye a la planeacin y evaluacin correctas del
cumplimiento de las funciones, actividades y operaciones de las empresas.
Ayuda permanentemente a la buena marcha de la empresa, pues retroalimenta la
trayectoria de la misma.
Junto a la planeacin, el control es una parte indispensable en las actividades de
direccin de cualquier empresa.
3.4 Elementos del control

Conocer los elementos fundamentales del control, permite identificar la forma de
utilizar el control interno en las empresas y as poder aplicar ese conocimiento al control
interno en sistemas, y ms concretamente a las aplicaciones especficas de auditoria de
sistemas computacionales.
Para los autores Kast y Rosenzweig, en su tratado Administracin en las
organizaciones, los elementos bsicos del control son ms que una simple funcin que
responde a los cambios del medio ambiente, debido a que tambin nos sirven para
retroalimentar a lo que est cambiando; su aportacin es la siguiente:
"Los elementos bsicos del control:
1. Una caracterstica medible y controlable para la que se conocen estndares
2. Un medio (instrumento censor) para medir las caractersticas
3. Un medio para comparar los resultados reales con los estndares y evaluar las
diferencias
4. Un medio para efectuar cambios en el sistema a fin de ajustarlos a las necesidades"
3.5 Utilidad del control

El control en las instituciones tiene una razn de ser, de acuerdo con los planes y
programas de cada empresa, ya que inicialmente nos permite establecer los estndares
que ayudarn a obtener la informacin necesaria para evaluar el cumplimiento adecuado
de los planes y programas previamente definidos; ms tarde, con la informacin
recopilada, ayudar a comparar lo que se alcanz realmente contra lo esperado; por
ltimo, esta evaluacin sirve para retroalimentar con mejoras y correcciones los planes
y programas que servirn de base para el futuro.
ANLISIS DE SISTEMAS
Pgina 35

JOS OCHOA LEN
SEXTO CICLO
Con base en el anlisis anterior, se puede concentrar la utilidad del control en los
siguientes conceptos:
Permite disear y establecer las normas, estndares y criterios de medicin para
poder evaluar el cumplimiento de planes y programas.
Ayuda a evaluar el cumplimiento y desempeo de las funciones, actividades y
tareas de los integrantes de una empresa, comparando lo alcanzado contra lo
esperado.
Permite medir la eficiencia y eficacia en el cumplimiento de las operaciones de
una empresa, al comparar lo realmente alcanzado contra lo esperado.
Contribuye a la deteccin de fallas y desviaciones, as como a la correccin de
errores en el desempeo de las actividades y operaciones de una empresa.
Ayuda a modificar los planes y programas como consecuencia de la valoracin
de los resultados.
Retroalimenta la planeacin y programacin de las empresas.
stas son algunas de las muchas utilidades que puede tener el establecimiento del
control en las empresas; dichas utilidades se pueden ampliar conforme a las
caractersticas y necesidades de cada institucin.
3.6 Caractersticas del control

Para que el control en las empresas sea verdaderamente efectivo, es obligatorio
considerar algunas de sus caractersticas fundamentales al momento de establecerlo.
Entre algunas de esas caractersticas estn:
Oportuno
sta caracterstica es la esencia del control, debido a que es la presentacin a
tiempo de los resultados obtenidos con su aplicacin; es importante evaluar
dichos resultados en el momento que se requieran, no antes porque son
desconoceran sus verdaderos alcances, ni despus puesto que ya no serviran
para nada.
Cuantificable
Para que verdaderamente se puedan comparar los resultados alcanzados contra
los esperados, es necesario que sean medibles en unidades representativas de
algn valor numrico para as poder cuantificar, porcentual o numricamente lo
que se haya alcanzado.
Calificable
As como los valores de comparacin deben ser numricos para su
cuantificacin, en auditoria en sistemas computacionales, se dan casos de
evaluaciones que no necesariamente deben ser de tipo numrico, ya que, en
algunos casos especficos, en su lugar se pueden sustituir estas unidades de valor
por conceptos de calidad o por medidas de cualidad; mismas que son de carcter
subjetivo, pero pueden ser aplicados para evaluar el cumplimiento, pero relativos
a la calidad; siempre y cuando en la evaluacin sean utilizados de manera
uniforme tanto para planear como para medir los resultados.
Confiable
ANLISIS DE SISTEMAS
Pgina 36

JOS OCHOA LEN
SEXTO CICLO
Para que el control sea til, debe sealar resultados correctos sin desviaciones ni
alteraciones y sin errores de ningn tipo, a fin de que se pueda confiar en que
dichos resultados siempre son valorados con los mismos parmetros.
Estndares y normas de evaluacin.
Al medir los resultados alcanzados, stos debern compararse de acuerdo con
los estndares y normas previamente establecidos, a fin de contemplar las
mismas unidades para planear y controlar; con esto se logra una estandarizacin
que permite valorar adecuadamente los alcances obtenidos.
3.7 Ciclo de aplicacin del control

Para que el control sea aplicado correctamente, las organizaciones deben establecer un
ciclo adecuado que va desde el establecimiento en planes y programas iniciales hasta su
culminacin en la retroalimentacin. En la siguiente grfica se presenta este ciclo:
1. Determina objetivos y estrategias

2. Planea programas
3. Determina cargas de trabajo
4. Asigna los recursos requeridos a las cargas de trabajo
5. Adquiere/delega autoridad para utilizar recursos
6. Desempea el trabajo
7. Compara el desempeo con el plan
8. Compara los objetivos alcanzados con los objetivos deseados
9. Compara el programa alcanzado con el programa planeado
3.8 Control interno

El control interno es la adopcin de una serie de medidas que se establecen en las
empresas, con el propsito de contar con instrumentos tendientes a proteger la
integridad de los bienes institucionales y as ayudar a la administracin y cumplimiento
ANLISIS DE SISTEMAS
Pgina 37

JOS OCHOA LEN
SEXTO CICLO
correctos de las actividades y operaciones de las empresas. Con la implantacin de tales

medidas se pueden conseguir los siguientes beneficios:
Proteger y salvaguardar los bienes de la empresa y a su personal.
Prevenir y, en su caso, descubrir la presencia de fraudes, robos y acciones
dolosas.
Obtener la informacin contable, financiera y administrativa de manera
confiable y oportuna.
Promover el desarrollo correcto de las funciones, operaciones y actividades de la
empresa.
3.8.1 Definiciones de control interno

Para entender cmo funciona el control interno en las empresas es conveniente conocer
los marcos conceptuales de este trmino. A continuacin se presentan las aportaciones
de algunos autores al respecto:
JOS ANTONIO ECHENIQUE
"El control interno comprende el plan de organizacin y todos los mtodos y
procedimientos que en forma coordinada se adoptan en un negocio para salvaguardar
sus actividades, verificar la razonabilidad y confiabilidad de su informacin financiera,
promover la eficiencia operacional y provocar la adherencia a las polticas prescritas por
la administracin."
HOLMES R- ARTHUR
"El control interno es una funcin de la gerencia que tiene por objeto salvaguardar y
preservar los bienes de la empresa, evitar desembolsos indebidos de fondos, y ofrecer la
seguridad de que no se contraen obligaciones sin autorizacin."
L. HALL
"El control interno comprende la organizacin sistemtica del trabajo administrativo y
de los procedimientos de rutina, con el objeto de provenir el fraude, los errores y los
trbalos intiles mediante el efecto disuasivo de los controles ejercidos."
El control interno es especialmente importante en las empresas, debido a que
proporciona el grado de confiabilidad que se requiere para:
Proteger los activos.
Asegurar la validez de la informacin.
Promover la eficiencia en las operaciones.
Estimular y asegurar el cumplimiento de las polticas y directrices emanadas de
la direccin.
Para el diseo e implantacin del sistema de control interno, se cuenta con el apoyo de
las siguientes tcnicas:
Ejecucin del cuestionario do control.
Anlisis del flujo de transacciones.
Realizacin de pruebas de cumplimiento.
Resultados.
Medidas de correccin.
Una vez hecho el anlisis de las anteriores contribuciones, se puede deducir su
concepto:
ANLISIS DE SISTEMAS
Pgina 38

JOS OCHOA LEN
SEXTO CICLO
"El control interno es el establecimiento de los mecanismos y estndares de control que

se adoptan en las empresas, a fin de ayudarse en la administracin correcta de sus
recursos, en la satisfaccin de sus necesidades de seguridad, en la salvaguarda y
proteccin de los activos institucionales, en la ejecucin adecuada de sus funciones,
actividades y operaciones, y en el registro correcto de sus operaciones contables y
reportes de resultados financieros; todo ello para el mejor cumplimiento del objetivo
institucional."
3.8.2 Objetivos del control interno

Establecer la seguridad y proteccin de los activos de la empresa.
Incrementar la eficiencia y eficacia en el desarrollo de las operaciones y
actividades de la empresa.
Establecer y hacer cumplir las normas, polticas y procedimientos que regulan
las actividades de la empresa.
Implantar los mtodos, tcnicas y procedimientos que permitan desarrollar
adecuadamente las actividades, tareas y funciones de la empresa.
Evitar o reducir fraudes.
Salvaguarda contra el desperdicio y contra la insuficiencia.
Comprobar la correccin y veracidad de los informes contables.
Salvaguardar los activos de la empresa.
Promover la eficiencia en operacin y fortalecer la adherencia a las normas
fijadas por la administracin.
Control interno es un instrumento de eficiencia y no un plan que proporciona un
reglamento tipo policiaco o de carcter tirnico, el mejor sistema de control
interno, es aquel que no daa las relaciones de empresa a clientes y mantiene en
un nivel de alta dignidad humana las relaciones de patrn a empleado.
3.8.3 Importancia del control interno para la auditoria.

Todas las empresas, sean pblicas, privadas, deben contar con instrumentos adecuados
de control que les permitan llevar su administracin con eficiencia y eficacia. Por esta
razn es tan importante contar con un control interno en la empresa, para satisfacer sus
expectativas en cuanto a la salvaguarda y custodia de sus bienes, a la promocin de la
confiabilidad, oportunidad y veracidad de sus registros contables y la emisin de su
informacin financiera, a la implantacin correcta de los mtodos, tcnicas y
procedimientos que le permitan desarrollar adecuadamente sus actividades, tareas y
funciones, as como al establecimiento y cumplimiento de las normas, polticas y
procedimientos que regulan sus actividades.
El establecimiento de un sistema de control interno facilita a las autoridades de la
empresa la evaluacin y supervisin y, en su caso, la correccin de los planes,
presupuestos y programas que determinarn el rumbo a seguir en la institucin, de
acuerdo con la misin, visin y objetivos de sta. Con slo cumplir lo anterior se
justificara la importancia del control interno.
ANLISIS DE SISTEMAS
Pgina 39

JOS OCHOA LEN
SEXTO CICLO
Sin embargo, se puede agregar que la utilidad del control interno se distingue por el
establecimiento y vigilancia del cumplimiento de reglas, mtodos y procedimientos que
se determinan para mantener la integridad y seguridad de los bienes de la empresa, as
como para el manejo adecuado de los datos, para la confiabilidad en los registros y
archivos contables, para la emisin de resultados financieros y para la definicin de
normas, lineamientos, procedimientos y reglas de actuacin para el desarrollo de las
actividades de la empresa. Adems, con el control interno se establecen un conjunto de
medidas y reglas concretas, que definen concretamente los alcances y limitaciones de
actuacin de los funcionarios y empleados de la institucin.
Es precisamente en esas consideraciones donde se fundamenta la importancia de la
auditoria, debido a que por medio del control interno se determinan las actividades,
acciones y dems elementos que permiten satisfacer las necesidades de las instituciones.
Adems, recordemos que de la definicin de la auditoria se desprende lo siguiente: es la
revisin de las funciones, acciones, operaciones o de cualquier actividad de una entidad
administrativa. Por esta razn, se evalan la existencia y el cumplimiento del control
interno en la empresa, as como la forma en que se aplica; tambin se evala su utilidad
en la salvaguarda y proteccin de archivos y en el desarrollo de las actividades de la
empresa, adems de la existencia de los elementos que integran el sealado control
interno. Es evidente que la importancia del control interno se fundamenta en la
evaluacin de lo que se determina por medio de l.
3.9 Control interno informtico.

Controla diariamente que todas las actividades de sistemas de informacin sean
realizadas cumpliendo los procedimientos, estndares y normas fijados por la Direccin
de la Organizacin y/o la Direccin de Informtica, as como los requerimientos legales.
La misin del Control Interno Informtico es asegurarse de que las medidas que se
obtienen de los mecanismos implantados por cada responsable sean correctas y vlidas.
3.9.1 Objetivos del control interno informtico.

Como principales objetivos podemos indicar los siguientes:
Controlar que todas las actividades se realizan cumpliendo los procedimientos y
normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas
legales.
Asesorar sobre el conocimiento de las normas.
Colaborar y apoyar el trabajo de Auditoria Informtica, as como de las
auditoras externas al Grupo.
Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de
los grados adecuados del servicio informtico, lo cual no debe considerarse
como que la implantacin de los mecanismos de medida y la responsabilidad del
logro de esos niveles se ubique exclusivamente en la funcin de Control Interno,
sino que cada responsable de objetivos y recursos es responsable de esos niveles,
as como de la implantacin de los medios de medida adecuados.
ANLISIS DE SISTEMAS
Pgina 40

JOS OCHOA LEN
SEXTO CICLO
Realizar en los diferentes sistemas (centrales, departamentales, redes locales, PC's, etc.)
y entornos informticos (produccin, desarrollo o pruebas) el control de las diferentes
actividades operativas sobre:
El cumplimiento de procedimiento, normas y controles dictados. Merece
resaltarse la vigilancia sobre el control de cambios y versiones del software.
Controles sobre la produccin diaria.
Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del
software y del servicio informtica.
Controles en las redes de comunicaciones.
Controles sobre el software de base.
Controles en los sistemas microinformticos.
La seguridad informtica (su responsabilidad puede estar asignada a control
interno o bien puede asignrsele la responsabilidad de control dual de la misma
cuando est encargada a otro rgano):
Usuarios, responsables y perfiles de uso de archivos y bases de datos.
Normas de seguridad.
Control de informacin clasificada.
Control dual de la seguridad informtica.
Asesorar y transmitir cultura sobre el riesgo informtico.
3.9.2 Elementos del control interno informtico

En particular, se analizar los elementos que se pueden aplicar como control interno
informtico en el rea de sistemas:
Controles internos sobre la organizacin del rea de informtica.

Controles internos sobre el anlisis, desarrollo e implementacin de sistemas
Controles internos sobre la operacin del sistema
Controles internos sobre los procedimientos de entrada de datos, el
procesamiento de informacin y la emisin de resultados
Controles internos sobre la seguridad del rea de sistemas
El siguiente cuadro resume los elementos del control interno aplicable a la informtica:
CONTROL INTERNO EN EL REA DE INFORMTICA
Controles internos sobre la organizacin del rea de informtica
Direccin
Divisin del trabajo
Asignacin de responsabilidad y autoridad
Establecimiento de estndares y mtodos
Perfiles de cargos
Controles internos sobre el anlisis, desarrollo e implementacin de
sistemas
Estandarizacin de metodologas para el desarrollo de proyectos
Asegurar que el beneficio de los sistemas sea el ptimo
Elaborar estudios de factibilidad del sistema
Garantizar la eficiencia y eficacia en el anlisis y diseo de sistemas
ANLISIS DE SISTEMAS
Pgina 41

JOS OCHOA LEN
SEXTO CICLO
Vigilar la efectividad y eficiencia en la implementacin y mantenimiento

del sistema
Optimizar el uso del sistema por medio de su documentacin
Controles internos sobre la operacin del sistema
Prevenir y corregir los errores de operacin
Prevenir y evitar la manipulacin fraudulenta de la informacin
Implementar y mantener la seguridad en la operacin
Mantener la oportunidad, confiabilidad, veracidad y suficiencia en el
procesamiento
de la informacin de la organizacin
Controles internos sobre los procedimientos de entrada de datos, el
procesamiento de informacin y la emisin de resultados
Verificar la existencia y funcionamiento de los procedimientos de captura
de datos
Comprobar que todos los datos sean debidamente procesados
Verificar la confiabilidad, veracidad y exactitud del procesamiento de datos
Comprobar la oportunidad, confiabilidad y veracidad en la emisin de os
resultados
del procesamiento de informacin
Controles internos sobre la seguridad del rea de sistemas
Controles para prevenir y evitar las amenazas, riesgos y contingencias que
inciden
en las reas de sistematizacin
Controles sobre la seguridad fsica del rea de sistemas
Controles sobre la seguridad lgica de los sistemas
Controles sobre la seguridad de las bases de datos
Controles sobre la operacin de los sistemas computacionales
Controles sobre la seguridad del personal de informtica
Controles sobre la seguridad de la telecomunicacin de datos
Controles sobre la seguridad de redes y sistemas multiusuarios
3.9.2.1
Controles internos sobre la organizacin del rea de

informtica.
Al instalar este elemento de control interno informtico, se busca determinar si la

estructura de organizacin del rea de sistemas computacionales es la ms apropiada
para que estos funcionen con eficacia y eficiencia en la empresa; esto se logra mediante
el diseo adecuado de cargos, unidades de trabajo, lneas de autoridad y canales de
comunicacin, complementados con la definicin correcta de funciones y actividades, la
asignacin de responsabilidad y la definicin clara de los perfiles de cargos.
3.9.2.2
Controles internos sobre el anlisis, desarrollo e

implementacin de Sistemas.
ANLISIS DE SISTEMAS
Pgina 42

JOS OCHOA LEN
SEXTO CICLO
Para cumplir con este elemento de control interno informtico, es necesario utilizar
alguna de las metodologas para el anlisis y diseo de sistemas. La metodologa
general para el desarrollo de sistemas (anlisis, diseo, programacin, pruebas y
correcciones, documentacin, capacitacin, implementacin y mantenimiento) garantiza
el anlisis, desarrollo e implementacin correctos de cualquier sistema.
3.9.2.3
Controles internos sobre la operacin del sistema.
Este elemento se encarga de verificar y vigilar la eficiencia y eficacia en la operacin de

dichos sistemas. Su existencia ayuda a verificar el cumplimiento de los objetivos del
control interno tales como:
Establecer la seguridad y proteccin de la informacin, del sistema de cmputo
y de los recursos informticos de la empresa.
Promover la confiabilidad, oportunidad y veracidad de la captura de datos, su
procesamiento en el sistema y la emisin de informes.
Contando con este elemento bsico, se puede prevenir y evitar posibles errores y
deficiencias de operacin, as como el uso fraudulento de la informacin que se procesa
en un centro de cmputo, adems de posibles robos, piratera, alteracin de la
informacin y de los sistemas, lenguajes y programas.
3.9.2.4
Controles internos sobre los procedimientos de entrada de

datos, el procesamiento de informacin procesamiento de
informacin y la emisin de resultados.
La adopcin de estos controles en el rea de sistematizacin es de gran ayuda en el

procesamiento de informacin. Para lograr la eficiencia y eficacia al establecer este
elemento en la captura de datos, es necesario tener bien establecidos aquellos mtodos,
procedimientos y actividades que regularan la entrada de datos al sistema, verificar que
los datos sean procesados de manera oportuna, evaluar la veracidad de los datos que se
introducen al sistema y proporcionar la informacin que se requiere en las dems reas
de la empresa.
3.9.2.5
Controles internos sobre la seguridad del rea de sistemas.
Dentro de los aspectos fundamentales que se deben contemplar en el diseo de

cualquier centro de informtica, se encuentra la seguridad de sus recursos informticos,
del personal, de la informacin, de sus programas, etc., esto se puede lograr a travs de
medidas preventivas o correctivas, o mediante el diseo de programas de prevencin de
contingencias para la disminucin de riesgos. Dentro de los principales aspectos de este
elemento se encuentran
ANLISIS DE SISTEMAS
Pgina 43

JOS OCHOA LEN
SEXTO CICLO
Tambin es importante determinar todo lo relacionado con los riesgos y amenazas que
afectan a los sistemas de informacin, as como la prevencin de contingencias y la
recuperacin de la informacin de sistemas en caso de que ocurra alguna contingencia
que afecte su funcionamiento.
Esto es muy importante para el establecimiento de este control interno informtico, ya
que la informacin del rea de sistemas es el activo ms valioso de la empresa y todas
las medidas que se adopten par a la prevencin de contingencias sern en beneficio de la
proteccin de los activos de la institucin.
Con el establecimiento de los siguientes sub-elementos de control interno informtico se
busca determinar las bases fundamentales sobre las que se establecern los
requerimientos para manejar la seguridad de los sistemas de informacin, el siguiente
cuadro los resume:
Controles para prevenir y

evitar las amenazas,
riesgos y contingencias
en las reas de
sistematizacin
ANLISIS DE SISTEMAS
Control de accesos fsicos del

personal al rea de computo
Control de accesos al sistema, a las
bases de datos, a los programas y a
la informacin
Uso de niveles de privilegios para
acceso, de palabras clave y de
control de usuarios
Monitoreo de acceso de usuarios,
informacin y programas de uso
Existencia
de
manuales
e
instructivos, as como difusin y
vigilancia del cumplimiento de los
reglamentos del sistema
Identificacin de los riesgos y
amenazas para el sistema con el fin
de adoptar las medidas preventivas
necesarias
Elaboracin
de
planes
de
contingencia,
simulacros
y
bitcoras de seguimiento
Pgina 44

JOS OCHOA LEN
Controles para la
seguridad del rea fsica
de sistemas
Controles para la
seguridad lgica de los
sistemas
Controles para la
seguridad de las bases de
datos
Controles para la
seguridad en la operacin
de los sistemas
computacionales
ANLISIS DE SISTEMAS
SEXTO CICLO
Inventario
del
hardware,
mobiliario y equipo
Resguardo del equipo de cmputo
Bitcoras de mantenimiento y
correcciones
Controles de acceso del personal al
rea de sistemas
Control del mantenimiento a
instalaciones y construcciones
Seguros y fianzas para el personal,
equipos y sistemas
Contratos
de
actualizacin,
asesora y mantenimiento del
hardware
Control para el acceso al sistema, a
los programas y a la informacin
Establecimiento de niveles de
acceso
Dgitos verificadores y cifras de
control
Palabras clave de acceso
Controles para el seguimiento de
las secuencias y rutinas lgicas del
sistema
Programas de proteccin para
impedir el uso inadecuado y la
alteracin de datos de uso
exclusivo
Respaldos
peridicos
de
informacin
Planes y programas para prevenir
contingencias
y
recuperar
informacin
Control de acceso a las bases de
datos
Rutinas de monitoreo y evaluacin
de operaciones relacionadas con
las bases de datos
Controles para los procedimientos
de operacin
Controles para el procesamiento de
informacin
Controles para la emisin de
resultados
Controles especficos para la
operacin del computador
Controles para el almacenamiento
de la informacin
Controles para el mantenimiento
Pgina 45

JOS OCHOA LEN
Controles para la
seguridad del personal de
informtica
Controles para la
seguridad en sistemas de
redes y multiusuarios
Controles para seguridad

en la telecomunicacin de
datos
SEXTO CICLO
del sistema
Controles
administrativos
de
personal
Seguros y finanzas para el
personad de sistemas
Planes
y
programas
de
capacitacin
Controles para evitar modificar la
configuracin de una red
Implementar herramientas de
gestin de la red con el fin de
valorar
su
rendimiento,
planificacin y control
Control a las conexiones remotas
Existencia de un grupo de control
de red
Controles para asegurar la
compatibilidad de un conjunto de
datos entre aplicaciones cuando la
red es distribuida
Verificacin de protocolos de
comunicacin,
contraseas
y
medios
controlados
de
transmisin, hasta la adopcin de
medidas de verificacin de
trasmisin de la informacin
Tarea: Caso prctico. En la pgina N 2 del siguiente Pdf se propone un Problema de

fraude informtico. Indique brevemente los problemas detectados, los riesgos de estos
problemas y las acciones a realizar para corregir esta falencia.
http://www.unsa.edu.ar/sigeco/archivos/Trabajo%20Practico%20N%208%20%20Audit
oria-Practico%20Adicional.pdf
ANLISIS DE SISTEMAS
Pgina 46

JOS OCHOA LEN
SEXTO CICLO
UNIDAD IV: FASES DE LA

EJECUCIN DE LA
AUDITORIA
ANLISIS DE SISTEMAS
Pgina 47

JOS OCHOA LEN
SEXTO CICLO
4. FASES DE LA EJECUCIN DE LA AUDITORIA

4.1 Elaboracin y redaccin del Informe Final
4.1.1 Los papeles de trabajo
El registro eficiente de la informacin que el auditor va recolectando en su evaluacin,
es uno de los aspectos fundamentales de la auditoria, esta informacin le sirve al auditor
para respaldar las opiniones que expresa en el informe de auditora y puede ser
recolectada en documentos manuscritos, manuales, instructivos, graficas, resultados de
procesamiento o en medios electromagnticos (discos duros, discos flexibles, cintas,
cartuchos, CD-ROM, DVD) , en los cuales recopilara hechos pruebas, tabulaciones
interpretaciones, as como el anlisis de los datos obtenidos.
En estos papeles de trabajo bien sean documentos o electromagnticos, el auditor seala
y destaca las observaciones que son de inters para l, con el fin de fundamentar el
resultado de su evaluacin, tambin le sirven para mantener el sentido e importancia de
las desviaciones que encontr durante la revisin, as como tambin para establecer las
posibles causas de las desviaciones y para proponer las probables soluciones que reporta
como parte de su trabajo.
Concepto
Los papeles de trabajo hacen referencia al conjunto de documentos preparados por el
auditor, los cuales le permiten disponer de la informacin y de las pruebas efectuadas
durante su trabajo profesional en la empresa, as como tambin de las decisiones
tomadas para fundamentar su opinin, tambin permiten el registro eficiente de la
informacin que se recolecta en el proceso de evaluacin, la planificacin, la ejecucin,
supervisin y revisin de la auditoria as como tambin suministrar la evidencia del
trabajo llevado a cabo para respaldar la opinin del auditor.
Los papeles de trabajo deben presentar la informacin requerida en forma clara y plena
de significado, deben ser detallados y completos. Se elaboran en el momento en que se
realiza el trabajo y son propiedad del auditor, quien debe adoptar las medidas oportunas
para garantizar su proteccin sin peligro y su confidencialidad ya que el auditor va
integrando en los papeles de trabajo documentos reservados y de uso exclusivo de la
empresa.
4.1.2 Objetivos de los papeles de trabajo

En cuanto a los objetivos de los papeles de trabajo podemos indicar los
siguientes: El objetivo general de los papeles de trabajo es ayudar al auditor a
garantizar en forma adecuada que una auditoria se hizo de acuerdo a las normas
de auditoria generalmente aceptadas.
Servir como evidencia del trabajo realizado y de soporte de las conclusiones del
mismo.
Presentar informes a las partes interesadas.
ANLISIS DE SISTEMAS
Pgina 48

JOS OCHOA LEN
SEXTO CICLO
Facilitar los medios para organizar, controlar, administrar y supervisar el trabajo

ejecutado en las oficinas del cliente.
Facilitar la continuidad del trabajo en el caso de que un rea deba ser terminada
por persona distinta de la que la inici.
Facilitar la labor de revisiones posteriores y servir para la informacin y
evaluacin personal.
Anotar los hechos, acontecimientos y fenmenos observados durante la revisin
Coordinar y organizar todas las fases del trabajo.
Servir de gua en revisiones subsecuentes.
Facilitar la preparacin del informe.
Comprobar y explicar en detalle las opiniones y conclusiones resumidas en el
informe.
Se utilizan para transcribir y concentrar los resultados de entrevistas,
cuestionarios, encuestas, investigaciones y observaciones del personal auditado.
Proveer un registro histrico permanente de la informacin examinada y los
procedimientos de auditoria aplicados.
Se utiliza como memoria puntualizada del registro de la evaluacin de los
documentos formales del rea, de los resultados de las pruebas que se aplican en
el sistema y de cualquier otra evidencia documental o sistematizada que se
utilice para concentrar la informacin relacionada con la administracin y
seguridad del rea de sistemas, la operacin del sistema, el comportamiento de
las bases de datos o cualquier otro aspecto que afecte la operacin normal del
rea o de los sistemas auditados.
4.1.3 Tipos de papeles de trabajo

En funcin de la fuente de la que procedan los papeles de trabajo, stos se podrn
clasificar en tres grupos:
Preparados por la entidad auditada. Se trata de toda aquella documentacin
que la empresa pone al servicio del auditor para que pueda llevar a cabo su
trabajo: estados financieros, memoria, escritura, contratos, acuerdos
Confirmaciones de terceros. Una parte del trabajo de auditoria consiste en la
verificacin de los saldos que aparecen en el balance de situacin a auditar.
Preparados por el auditor. Este ltimo grupo estar formado por toda la
documentacin elaborada por el propio auditor a lo largo del trabajo a
desarrollar: cuestionarios y programas, descripciones, detalles de los diferentes
captulos de los estados financieros, cuentas, transacciones y otros.
4.1.4 Contenido del expediente de los papeles de trabajo

Los siguientes enunciados dan una idea de la cantidad minina de documentos, con los
que el auditor puede integrar los papeles de trabajo, pero tambin el auditor puede
utilizar su criterio personal, experiencia y conocimiento para determinar el contenido y
orden de los mismos, lo importante es que dichos papeles existan.
El contenido puede variar dependiendo del tipo de auditoria y del auditor, ya que en
cada trabajo existen procedimientos, tcnicas y mtodos de evaluacin especiales que
ANLISIS DE SISTEMAS
Pgina 49

JOS OCHOA LEN
SEXTO CICLO
forzosamente harn diferente la recoleccin de los documentos. Una propuesta para

integrar los papeles de trabajo puede ser:
Hoja de identificacin
ndice de contenido de los papeles de trabajo
Dictamen preliminar (borrador)
Resumen de desviaciones detectadas
Situaciones encontradas (situaciones, causas y soluciones)
Programa de trabajo de auditoria
Gua de auditoria
Inventario de software
Inventario de hardware
Inventario de consumibles
Manual de organizacin
Descripcin de puestos
Reportes de pruebas y resultados
Backups de datos, disquetes y programas de aplicacin de auditoria
Backups de las bases de datos y de los sistemas
Guas de claves para el sealamiento de los papeles de trabajo
Anexos de recopilacin de informacin
Diagramas de flujo, de programacin y desarrollo de sistemas
Anlisis y estadsticas de resultados, datos y pruebas de comportamiento del
sistema
Testimoniales, actas y documentos legales de comprobacin y confirmacin
4.2 Marcas de auditoria e ndices de referencia

Las marcas son claves de carcter informal que utiliza exclusivamente el auditor, con el
fin de facilitar la uniformidad de los papeles de trabajo y para identificarlos mejor. Su
utilidad est en que tienen un dignificado preciso que todos los auditores conocen y
utilizan para destacar aspectos importantes de los documentos que van revisando, y en
que sirven como identificadores uniformes de todas las actividades que se desarrollan
durante la evaluacin; todos los auditores deben utilizar los mismos smbolos al hacer
las anotaciones en los documentos que evalen. Las marcas tambin ayudan al auditor
a:
Realizar un resumen de observaciones para identificar de manera rpida y
sencilla las posibles desviaciones y estandarizar su trabajo siempre y cuando
sean las mismas para toda la revisin
Evitar copias intiles de papeles de evaluacin y documentos oficiales, los
cuales sirven para identificar los aspectos revisados, como apoyo para la
evaluacin.
Facilitar la revisin de documentos impresos, de disquetes, bases de datos y todo
lo relacionado con los sistemas evaluados.
No existe un convenio formal respecto al tipo de marcas utilizadas entre un auditor y
otro, su diseo es producto de las experiencias de auditoria anteriores compartidas entre
los auditores. Sin embargo por sentido comn se unifican las marcas o smbolos que se
utilizan en los papeles de trabajo; algunos ejemplos de marcas son:
ANLISIS DE SISTEMAS
Pgina 50

JOS OCHOA LEN
CUES
EP
EU
EF
OBS
COM
ENT
VIR
!!
?
SEXTO CICLO
Cuestionario
Entrevista al personal
Entrevista usuario
Entrevista funcionario
Observacin
Comentario especial
Entrevista
Virus informtico, disco
contaminado
Observacin importante
Confirmar preguntas
4.3 El Informe final

El informe de auditora debe estar basado en la documentacin o papeles de trabajo. La
funcin de la Auditoria se materializa exclusivamente por escrito. Por lo tanto la
elaboracin final es el exponente de su calidad. Resulta evidente la necesidad de
redactar borradores e informes parciales previos al informe final, los que son elementos
de contraste entre opinin entre auditor y auditado y que pueden descubrir fallos de
apreciacin en el auditor.
4.3.1 Estructura del informe final

El informe comienza con la fecha de comienzo de la Auditoria y la fecha de redaccin
del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las
personas entrevistadas, con indicacin de la jefatura, responsabilidad y puesto de trabajo
que ostente.
Cuerpo expositivo
Para cada tema, se seguir el siguiente orden a saber:
Situacin actual. Cuando se trate de una revisin peridica, en la que se analiza
no solamente una situacin sino adems su evolucin en el tiempo, se expondr
la situacin prevista y la situacin real.
Tendencias: Se tratarn de hallar parmetros que permitan establecer tendencias
futuras. Puntos dbiles y amenazas.
Recomendaciones y planes de accin: Constituyen junto con la exposicin de
puntos dbiles, el verdadero objetivo de la Auditoria informtica.
Redaccin posterior de la Carta de Introduccin o Presentacin.
Modelo conceptual de la exposicin del informe final
El informe debe incluir solamente hechos importantes. La inclusin de hechos poco
relevantes o accesorios desva la atencin del lector.
El Informe debe consolidar los hechos que se describen en el mismo. El trmino de
"hechos consolidados" adquiere un especial significado de verificacin objetiva y de
estar documentalmente probados y soportados.
La consolidacin de los hechos debe satisfacer, al menos los siguientes criterios:
ANLISIS DE SISTEMAS
Pgina 51

JOS OCHOA LEN
SEXTO CICLO
El hecho debe poder ser sometido a cambios.

Las ventajas del cambio deben superar los inconvenientes
derivados de mantener la situacin.
No deben existir alternativas viables que superen al cambio
propuesto.
La recomendacin del auditor sobre el hecho debe mantener o
mejorar las normas y estndares existentes en la instalacin.
La aparicin de un hecho en un informe de Auditoria implica
necesariamente la existencia de una debilidad que ha de ser corregida.
4.3.2 Flujo del hecho o debilidad

Hecho encontrado.
Ha de ser relevante para el auditor y para el cliente.
Ha de ser exacto, y adems convincente.
No deben existir hechos repetidos.
Consecuencias del hecho
Las consecuencias deben redactarse de modo que sean directamente deducibles
del hecho.
Repercusin del hecho
Se redactar las influencias directas que el hecho pueda tener sobre otros
aspectos informticos u otros mbitos de la empresa.
Conclusin del hecho
No deben redactarse conclusiones ms que en los casos en que la exposicin
haya sido muy extensa o compleja.
Recomendacin del auditor informtico
Deber entenderse por s sola, por simple lectura.
Deber estar suficientemente soportada en el propio texto.
Deber ser concreta y exacta en el tiempo, para que pueda ser verificada su
implementacin.
La recomendacin se redactar de forma que vaya dirigida expresamente a la
persona o personas que puedan implementarla.
4.4 Redaccin de la carta de presentacin del Informe final

La carta de introduccin tiene especial importancia porque en ella ha de resumirse la
Auditoria realizada. Se destina exclusivamente al responsable mximo de la empresa, o
a la persona concreta que encargo o contrato la Auditoria. As como pueden existir
tantas copias del informe Final como solicite el cliente, la Auditoria no har copias de la
citada carta de Introduccin.
La carta de introduccin poseer los siguientes atributos:
Tendr como mximo 4 folios.

Incluir fecha, naturaleza, objetivos y alcance.
Cuantificar la importancia de las reas analizadas.
Proporcionar una conclusin general, concretando las reas de gran debilidad.
Presentar las debilidades en orden de importancia y gravedad.
ANLISIS DE SISTEMAS
Pgina 52

JOS OCHOA LEN
SEXTO CICLO
En la carta de Introduccin no se escribirn nunca recomendaciones.
4.5 Tcnicas, procedimientos y herramientas de auditoria

Las tcnicas, procedimientos herramientas de auditoria son utilizadas por el auditor para
hacer una evaluacin correcta del funcionamiento del rea de sistemas computacionales.
El auditor las disea, utiliza y adecua a las necesidades especficas requeridas en el
ambiente de sistemas.
Las tcnicas son las herramientas de las que se vale el auditor para obtener la evidencia
del objeto auditado. Los tipos de tcnicas con los cuales puede fundamentar su opinin
son:
4.5.1 Tcnicas oculares

Observacin: consiste en cerciorarse en forma ocular como ciertos hechos o
procedimientos operativos y de control establecidos se llevan a cabo en la
empresa.
Comparacin: es el estudio de los casos o hechos para igualar, descubrir,
diferenciar, examinar con fines de descubrir diferencias o semejanzas.
Revisin: consiste en el examen ocular y rpido con fines de separar
mentalmente las transacciones que no son normales o que reviste un indicio
especial en cuanto a su originalidad o naturaleza.
4.5.2 Tcnicas verbales

Indagacin: consiste en obtener informacin verbal de los empleados de la
entidad a travs de averiguaciones y conversaciones sobe diversos hechos, datos
y situaciones el proceso de la auditoria como por ejemplo polticas generales de
la empresa, procedimientos de control, contingencias entre otras. Es una tcnica
en la que hay que tener mucho cuidado cuando se pregunta, hay que saber
hacerla.
4.5.3 Tcnicas escritas

Anlisis: permite examinar una cuenta en cuanto a su movimiento y saldo, para
establecer su razonabilidad conforme la teora contable y a los aspectos jurdicos
relacionados, en el caso de la auditora financiera
Consolidacin: consiste en hacer que concuerde dos cifras independientes.
ejemplo. conciliacin bancaria, etc.
Confirmacin: permite comprobar por escrito, informacin proveniente de
terceros, en relacin con la informacin financiera de la empresa auditada.
Los procedimientos de auditoria: son las actividades que deben realizarse para obtener
evidencias. Estos procedimientos se denominan normalmente pruebas, las cuales
pueden ser de cumplimiento, sustantivas y de doble finalidad.
ANLISIS DE SISTEMAS
Pgina 53

JOS OCHOA LEN
SEXTO CICLO
Las pruebas de cumplimiento, tienen como objetivo, confirmar si los procedimientos

de control interno estn siendo operados adecuadamente y adems, si garantizan la
confiabilidad de los procesos.
Las pruebas sustantivas son las que se realizan con el objeto de establecer la exactitud
de los procesos.
Las pruebas de doble finalidad, son las que se hacen con objetivos de cumplimiento y
sustantivo a la vez.
4.6 Evidencias
La recopilacin de material que ayude en la generacin de una opinin lo ms correcta
posible es un paso clave en el proceso de la auditoria. El auditor debe conocer las
diversas formas de evidencias y de cmo estas pueden ser recopiladas y examinadas
para respaldar los hallazgos de la auditoria.
Una vez recopilada evidencia suficiente, subsecuentemente se evala la informacin
recopilada con la finalidad de emitir opiniones y recomendaciones finales.
Evidencia ocular:
Comparacin; es observar la similitud o diferencia existente entre dos o ms
elementos.
Observacin; es el examen ocular para cerciorarse como se ejecutan las
operaciones.
Evidencia Oral:
Se obtiene de otras personas en forma de declaraciones hechas en el curso de
investigaciones o entrevistas. Las declaraciones que sean importantes para la
auditoria debern corroborarse siempre que sea posible mediante evidencia
adicional. Tambin ser necesario evaluar la evidencia testimonial para
cerciorarse que los informantes no hayan estado influidos por prejuicios o
tuvieran slo un conocimiento parcial del rea auditada.
Indagacin; es el acto de obtener informacin verbal sobre un asunto mediante
averiguaciones directas o conversaciones con los funcionarios de la empresa.
Entrevistas; pueden ser efectuadas al personal de la empresa auditada o
personas beneficiarias de los programas o proyectos.
Encuestas; pueden ser tiles para recopilar informacin de un gran universo de
datos o grupos de personas.
Evidencia Escrita:
Analizar; consiste en la separacin y evaluacin crtica, objetiva y minuciosa de
los elementos o partes que conforman una operacin, actividad, transaccin o
proceso, con el fin de establecer su naturaleza, su relacin y conformidad con los
criterios normativos y tcnicos existentes.
Confirmacin; es la tcnica que permite comprobar la autenticidad de los
registros y documentos analizados, a travs de informacin directa y por escrito,
otorgada por funcionarios que participan o realizan las operaciones sujetas a
examen.
ANLISIS DE SISTEMAS
Pgina 54

JOS OCHOA LEN
SEXTO CICLO
Tabulacin; es la tcnica de auditoria que consiste en agrupar los resultados

obtenidos en reas, segmentos o elementos examinados, de manera que se
facilite la elaboracin de conclusiones.
Conciliacin; implica hacer que concuerden los conjuntos de datos
relacionados, separados e independientes.
Evidencia Documental: consiste en la informacin elaborada, como la contenida
en cartas, contratos, registros de contabilidad, facturas y documentos de
administracin relacionados con su desempeo.
Comprobacin; se aplica en el curso de un examen, con el objeto de verificar la
existencia, legalidad, autenticidad y legitimidad de las operaciones efectuadas
por una empresa, mediante la verificacin de los documentos que las justifiquen.
Computacin; se utiliza para verificar la exactitud y correccin aritmtica de
una operacin o resultado.
Rastreo; es utilizada para dar seguimiento y controlar una operacin de manera
progresiva, de un punto a otro de un proceso interno determinado o, de un
proceso a otro realizado por una unidad operativa dada.
Evidencia analtica: comprende clculos, comparaciones, razonamiento y
separacin de informacin en sus componentes.
Evidencia fsica: es el examen fsico y ocular de activos, obras, documentos y
valores, con el objeto de establecer su existencia y autenticidad. Esta evidencia
se obtiene mediante inspeccin u observacin directa de las actividades, bienes
y/o sucesos. La evidencia de esa naturaleza puede presentarse en forma de
memorando (donde se resuman los resultados de la inspeccin o de otra
observacin), fotografas, grficas, mapas o muestra materiales.
4.7 Herramientas de auditoria

Dentro de las Herramientas de auditoria, que puede utilizar el auditor se encuentran:
4.7.1 Cuestionarios
Las Auditorias informticas se materializan consiguiendo informacin y documentacin
de todo tipo. Los informes finales de los auditores dependen de sus capacidades para
analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de
campo del auditor consiste en lograr toda la informacin necesaria para la emisin de un
juicio global objetivo, siempre amparado en hechos demostrables, llamados tambin
evidencias.
Para esto, suele ser lo habitual comenzar solicitando el diligenciamiento de
cuestionarios pre-impresos que se envan a las personas concretas que el auditor cree
adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales
de las diversas reas a auditar.
Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino
diferentes y muy especficos para cada situacin, y muy cuidados en su fondo y su
forma. Sobre esta base, se estudia y analiza la documentacin recibida, de modo que tal
ANLISIS DE SISTEMAS
Pgina 55

JOS OCHOA LEN
SEXTO CICLO
anlisis determine a su vez la informacin que deber elaborar el propio auditor. El

cruzamiento de ambos tipos de informacin es una de las bases fundamentales de la
Auditoria.
4.7.2 Entrevistas
El auditor comienza a continuacin las relaciones personales con el auditado.
Lo hace de tres formas:
Mediante la peticin de documentacin concreta sobre alguna materia de su
responsabilidad.
Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un
mtodo estricto de sometimiento a un cuestionario.
Por medio de entrevistas en las que el auditor sigue un mtodo preestablecido de
antemano y busca unas finalidades concretas.
La entrevista es una de las actividades personales ms importante del auditor; en ellas,
ste recoge ms informacin, y mejor matizada, que la proporcionada por medios
propios puramente tcnicos o por las respuestas escritas a cuestionarios.
La entrevista entre auditor y auditado se basa fundamentalmente en el concepto de
interrogatorio; es lo que hace un auditor, interroga y se interroga a s mismo.
El auditor informtico experto entrevista al auditado siguiendo un cuidadoso sistema
previamente establecido, consistente en que bajo la forma de una conversacin correcta
y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie
de preguntas variadas, tambin sencillas. Sin embargo, esta sencillez es solo aparente.
Tras ella debe existir una preparacin muy elaborada y sistematizada, y que es diferente
para cada caso particular.
4.7.3 Checklist
El auditor profesional y experto es aqul que reelabora muchas veces sus cuestionarios
en funcin de los escenarios auditados. Tiene claro lo que necesita saber, y por qu. Sus
cuestionarios son vitales para el trabajo de anlisis, cruzamiento y sntesis posterior, lo
cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas
que no conducen a nada.
Muy por el contrario, el auditor conversar y har preguntas "normales", que en realidad
servirn para el cumplimiento sistemtica de sus Cuestionarios, de sus
Checklists.
Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle
una pila de preguntas recitadas de memoria o ledas en voz alta descalifica al auditor
informtico. Pero esto no es usar Checklists, es una evidente falta de profesionalismo.
El profesionalismo pasa por un procesamiento interno de informacin a fin de obtener
respuestas coherentes que permitan una correcta descripcin de puntos dbiles y fuertes.
El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse
flexiblemente.
ANLISIS DE SISTEMAS
Pgina 56

JOS OCHOA LEN
SEXTO CICLO
El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las

Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalizacin
a cualquier otra forma.
Segn la claridad de las preguntas y el talante del auditor, el auditado responder desde
posiciones muy distintas y con disposicin muy variable. El auditado, habitualmente
informtico de profesin, percibe con cierta facilidad el perfil tcnico y los
conocimientos del auditor, precisamente a travs de las preguntas que ste le formula.
Esta percepcin configura el principio de autoridad y prestigio que el auditor debe
poseer.
Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas,
coherentes y clasificadas por materias, todava lo es ms el modo y el orden de su
formulacin. Las empresas externas de Auditoria Informtica guardan sus Checklists,
pero de poco sirven si el auditor no las utiliza adecuada y oportunamente. No debe
olvidarse que la funcin auditora se ejerce sobre bases de autoridad, prestigio y tica.
El auditor deber aplicar el Checklist de modo que el auditado responda clara y
escuetamente. Se deber interrumpir lo menos posible a ste, y solamente en los casos
en que las respuestas se aparten sustancialmente de la pregunta. En algunas ocasiones,
se har necesario invitar a aqul a que exponga con mayor amplitud un tema concreto, y
en cualquier caso, se deber evitar absolutamente la presin sobre el mismo.
Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser
repetidas. En efecto, bajo apariencia distinta, el auditor formular preguntas
equivalentes a las mismas o a distintas personas, en las mismas fechas, o en fechas
diferentes. De este modo, se podrn descubrir con mayor facilidad los puntos
contradictorios; el auditor deber analizar los matices de las respuestas y reelaborar
preguntas complementarias cuando hayan existido contradicciones, hasta conseguir la
homogeneidad. El entrevistado no debe percibir un excesivo formalismo en las
preguntas. El auditor, por su parte, tomar las notas imprescindibles en presencia del
auditado, y nunca escribir cruces ni marcar cuestionarios en su presencia. Los
cuestionarios o Checklists responden fundamentalmente a dos tipos de "filosofa" de
calificacin o evaluacin:
4.7.4 Checklist de rango

Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por
ejemplo, de 1 a 5, siendo 1 la respuesta ms negativa y el 5 el valor ms positivo).
Los Checklists de rango son adecuados si el equipo auditor no es muy grande y
mantiene criterios uniformes y equivalentes en las valoraciones. Permiten una mayor
precisin en la evaluacin que en los checklist binarios. Sin embargo, la bondad del
mtodo depende excesivamente de la formacin y competencia del equipo auditor.
4.7.5 Checklist Binaria
ANLISIS DE SISTEMAS
Pgina 57

JOS OCHOA LEN
SEXTO CICLO
Es la constituida por preguntas con respuesta nica y excluyente: Si o No.

Aritmticamente, equivalen a 1(uno) o 0(cero), respectivamente. Los Checklists
Binarios siguen una elaboracin inicial mucho ms ardua y compleja. Deben ser de gran
precisin, como corresponde a la suma precisin de la respuesta. Una vez construidas,
tienen la ventaja de exigir menos uniformidad del equipo auditor y el inconveniente
genrico del <si o no> frente a la mayor riqueza del intervalo.
No existen Checklists estndar para todas y cada una de las instalaciones informticas a
auditar. Cada una de ellas posee peculiaridades que hacen necesarios los retoques de
adaptacin correspondientes en las preguntas a realizar.
4.7.6 Trazas y/o Huellas

Con frecuencia, el auditor informtico debe verificar que los programas, tanto de los
Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para
ello se apoya en productos Software muy potentes y modulares que, entre otras
funciones, rastrean los caminos que siguen los datos a travs del programa.
Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecucin de las
validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto
el Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se
convendr de antemano las fechas y horas ms adecuadas para su empleo.
Por lo que se refiere al anlisis del Sistema, los auditores informticos emplean
productos que comprueban los valores asignados por Tcnica de Sistemas a cada uno de
los parmetros variables de las Libreras ms importantes del mismo. Estos parmetros
variables deben estar dentro de un intervalo marcado por el fabricante. A modo de
ejemplo, algunas instalaciones descompensan el nmero de iniciadores de trabajos de
determinados entornos o toman criterios especialmente restrictivos o permisivos en la
asignacin de unidades de servicio segn cuales tipos carga. Estas actuaciones, en
principio tiles, pueden resultar contraproducentes si se traspasan los lmites.
4.7.7 Log
El log vendra a ser un historial que informa que fue cambiando y cmo fue cambiando
(informacin). Las bases de datos, por ejemplo, utilizan el log para asegurar lo que se
llaman las transacciones. Las transacciones son unidades atmicas de cambios dentro de
una base de datos; toda esa serie de cambios se encuadra dentro de una transaccin, y
todo lo que va haciendo la Aplicacin (grabar, modificar, borrar) dentro de esa
transaccin, queda grabado en el log.
La transaccin tiene un principio y un fin, cuando la transaccin llega a su fin, se vuelca
todo a la base de datos. Si en el medio de la transaccin se cort por x razn, lo que se
hace es volver para atrs. El log te permite analizar cronolgicamente que es lo que
sucedi con la informacin que est en el Sistema o que existe dentro de la base de
datos.
ANLISIS DE SISTEMAS
Pgina 58

JOS OCHOA LEN
SEXTO CICLO
4.7.8 Software de Interrogacin

Hasta hace ya algunos aos se han utilizado productos software llamados genricamente
<paquetes de Auditoria>, capaces de generar programas para auditores escasamente
cualificados desde el punto de vista informtico.
Ms tarde, dichos productos evolucionaron hacia la obtencin de muestreos estadsticos
que permitieran la obtencin de consecuencias e hiptesis de la situacin real de una
instalacin.
En la actualidad, los productos Software especiales para la Auditoria informtica se
orientan principalmente hacia lenguajes que permiten la interrogacin de ficheros y
bases de datos de la empresa auditada. Estos productos son utilizados solamente por los
auditores externos, por cuanto los internos disponen del software nativo propio de la
instalacin.
Del mismo modo, la proliferacin de las redes locales y de la filosofa "ClienteServidor", han llevado a las firmas de software a desarrollar interfaces de transporte de
datos entre computadoras personales y mainframe, de modo que el auditor informtico
copia en su propia PC la informacin ms relevante para su trabajo.
Efectivamente, conectados como terminales al "Host", almacenan los datos
proporcionados por este, que son tratados posteriormente en modo PC. El auditor se ve
obligado (naturalmente, dependiendo del alcance de la Auditoria) a recabar informacin
de los mencionados usuarios finales, lo cual puede realizar con suma facilidad con los
polivalentes productos descritos. Con todo, las opiniones ms autorizadas indican que el
trabajo de campo del auditor informtico debe realizarse principalmente con los
productos del cliente.
Finalmente, ha de indicarse la conveniencia de que el auditor confeccione
personalmente determinadas partes del Informe. Para ello, resulta casi imprescindible
una cierta soltura en el manejo de Procesadores de Texto, paquetes de Grficos
Investigacin: Descargar el siguiente material:

http://wwwisis.ufg.edu.sv/wwwisis/documentos/TE/004-C146m/004-C146mCapitulo%20IV.pdf
En la pgina 30 del Pdf encontraras un esquema del flujo para la aplicacin de Manual
de Auditora de Sistemas para la valuacin de la Tecnologa de Informacin. (MASTI),
centramos nuestra atencin en el segundo recuadro que agrupa 12 tems que
corresponden a la Plataforma Tecnolgica. (PT). Desde la pgina 53 se detallan las
fichas con cada uno de los tems con los puntos a evaluar en una auditoria de sistemas.
Seleccionar 5 fichas y aplicarlas a la empresa de su eleccin.
ANLISIS DE SISTEMAS
Pgina 59

JOS OCHOA LEN
SEXTO CICLO
UNIDAD V: EVALUACIN
DE SEGURIDADES
ANLISIS DE SISTEMAS
Pgina 60

JOS OCHOA LEN
SEXTO CICLO
5. EVALUACIN DE LA SEGURIDAD
Para muchos la seguridad sigue siendo el rea principal a auditar, hasta el punto de que
en algunas entidades se cre inicialmente la funcin de auditora informtica para
revisar la seguridad, aunque despus se hayan ido ampliando los objetivos.
Ya sabemos que puede haber seguridad sin auditora, puede existir auditora de otras
reas, y queda un espacio de encuentro: la auditora de la seguridad y cuya rea puede
ser mayor o menor segn la entidad y el momento.
Lo cierto es que cada da es mayor la importancia de la informacin, especialmente
relacionada con sistemas basados en el uso de tecnologas de la informacin y
comunicaciones, por lo que el impacto de los fallos, los accesos no autorizados, la
revelacin de la informacin, y otras incidencias, tienen un impacto mucho mayor que
hace unos aos: de ah la necesidad de protecciones adecuadas que se evaluarn o
recomendarn en la auditora de seguridad.
Tambin es cierto que en muchos casos tan necesario o ms que la proteccin de la
informacin puede ser que las inversiones en sistemas y tecnologas de la informacin
estn alineadas con las estrategias de la entidad, huyendo del enfoque de la tecnologa
por la tecnologa.
La gran importancia del tema sobre seguridad, justifica la extensin de este ultimo
capitulo y que en el se presentan los puntos de vista de Mario G. Piattini y Emilio del
Peso, David H. Lee, Enrique Hernndez y Jos Antonio Echenique entre otros, autores
de gran prestigio y estn a la vanguardia de todos los temas relacionados con la
auditora informtica.
5.1 Seguridad lgica y confidencialidad

La computadora es un instrumento que estructura gran cantidad de informacin, la cual
puede ser confidencial para individuos, empresas o instituciones, y puede ser mal
utilizada o divulgada a personas que hagan mal uso de esta. Tambin puede ocurrir
robos, fraudes o sabotajes que provoquen la destruccin total o parcial de la actividad
computacional.
Esta informacin puede ser de suma importancia y el no tenerla en el momento preciso
puede provocar retrasos sumamente costosos. Antes esta situacin, en el transcurso del
siglo XX, el mundo ha sido testigo de la transformacin de algunos aspectos de
seguridad y de derecho.
En la actualidad y principalmente en las computadoras personales, se ha dado otro
factor que hay que considerar el llamado ''''virus'' de las computadoras, el cual aunque
ANLISIS DE SISTEMAS
Pgina 61

JOS OCHOA LEN
SEXTO CICLO
tiene diferentes intenciones se encuentra principalmente para paquetes que son copiados
sin autorizacin ("piratas") y borra toda la informacin que se tiene en un disco. Al
auditar los sistemas se debe tener cuidado que no se tengan copias "piratas" o bien que,
al conectarnos en red con otras computadoras, no exista la posibilidad de transmisin
del virus.
El uso inadecuado de la computadora comienza desde la utilizacin de tiempo de
mquina para usos ajenos de la organizacin, la copia de programas para fines de
comercializacin sin reportar los derechos de autor hasta el acceso por va telefnica a
bases de datos a fin de modificar la informacin con propsitos fraudulentos.
Un mtodo eficaz para proteger sistemas de computacin es el software de control de
acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso
no autorizado, pues piden del usuario una contrasea antes de permitirle el acceso a
informacin confidencial. Dichos paquetes han sido populares desde hace muchos aos
en el mundo de las computadoras grandes, y los principales proveedores ponen a
disposicin de clientes algunos de estos paquetes.
El sistema integral de seguridad debe comprender:
Elementos administrativos
Definicin de una poltica de seguridad
Organizacin y divisin de responsabilidades
Seguridad fsica y contra catstrofes (incendio, terremotos, etc.)
Prcticas de seguridad del personal
Elementos tcnicos y procedimientos
Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los
elementos, tanto redes como terminales.
Aplicacin de los sistemas de seguridad, incluyendo datos y archivos
El papel de los auditores, tanto internos como externos
Planeacin de programas de desastre y su prueba.
Se debe evaluar el nivel de riesgo que puede tener la informacin para poder hacer un
adecuado estudio costo/beneficio entre el costo por prdida de informacin y el costo de
un sistema de seguridad, para lo cual se debe considerar lo siguiente:
Clasificar la instalacin en trminos de riesgo (alto, mediano, pequeo).
Identificar aquellas aplicaciones que tengan un alto riesgo.
Cuantificar el impacto en el caso de suspensin del servicio en aquellas
aplicaciones con un alto riesgo.
Formular las medidas de seguridad necesarias dependiendo del nivel de
seguridad que se requiera.
La justificacin del costo de implantar las medidas de seguridad para poder clasificar el
riesgo e identificar las aplicaciones de alto riesgo, se debe preguntar lo siguiente:
Qu sucedera si no se puede usar el sistema?
Si 1a Contestacin es que no se podra seguir trabajando, esto nos sita en un sistema de
alto riego. La siguiente pregunta es:
Qu implicaciones tiene el que no se obtenga el sistema y cunto tiempo
podramos estar sin utilizarlo?
Existe un procedimiento alterno y que problemas nos ocasionara?
ANLISIS DE SISTEMAS
Pgina 62

JOS OCHOA LEN
SEXTO CICLO
Que se ha hecho para un caso de emergencia?

Una vez que se ha definido, el grado de riesgo, hay que elaborar una lista de los
sistemas con las medidas preventivas que se deben tomar, as como las correctivas en
caso de desastre sealndole a cada uno su prioridad.
Hay que tener mucho cuidado con la informacin que sale de la oficina, su utilizacin y
que sea borrada al momento de dejar la instalacin que est dando respaldo. Para
clasificar la instalacin en trminos de riesgo se debe:
Clasificar los datos, informacin y programas que contienen informacin
confidencial que tenga un alto valor dentro del mercado de competencia de una
organizacin, e informacin que sea de difcil recuperacin.
Identificar aquella informacin que tenga un gran costo financiero en caso de
prdida o bien puede provocar un gran impacto en la toma de decisiones.
Determinar la informacin que tenga una gran prdida en la organizacin y,
consecuentemente, puedan provocar hasta la posibilidad de que no pueda
sobrevivir sin esa informacin.
Para cuantificar el riesgo es necesario que se efecten entrevistas con los altos niveles
administrativos que sean directamente afectados por la suspensin en el procesamiento
y que cuantifiquen el impacto que les puede causar este tipo de situaciones. Para evaluar
las medidas de seguridad se debe:
Especificar la aplicacin, los programas y archivos.
Las medidas en caso de desastre, prdida total, abuso y los planes necesarios.
Las prioridades que se deben tomar en cuanto a las acciones a corto y largo
plazo.
En cuanto a la divisin del trabajo se debe evaluar que se tomen las siguientes
precauciones, las cuales dependern del riesgo que tenga la informacin y del
tipo y tamao de la organizacin.
El personal que prepara la informacin no debe tener acceso a la operacin.
Los anlisis y programadores no deben tener acceso al rea de operaciones y
viceversa.
Los operadores no deben tener acceso irrestringido a las libreras ni a los lugares
donde se tengan los archivos almacenados; es importante separar las funciones
de librera y de operacin.
Los operadores no deben ser los nicos que tengan el control sobre los trabajos
procesados y no deben hacer las correcciones a los errores detectados.
Al implantar sistemas de seguridad puede, reducirse la flexibilidad en el trabajo, pero no
debe reducir la eficiencia.
5.2 Seguridad lgica

La computadora es un Instrumento que estructura gran cantidad de informacin, la cual
puede ser confidencial para Individuos, empresas o instituciones, y puede ser mal
utilizada o divulgada a personas que hagan mal uso de esta. Tambin pueden ocurrir
computacional. Esta informacin puede ser de suma importancia, y el no tenerla en el
momento preciso puede provocar retrasos sumamente costosos.
ANLISIS DE SISTEMAS
Pgina 63

JOS OCHOA LEN
SEXTO CICLO

factor que hay que considerar: el llamado "virus" de las computadoras, el cual, aunque
tiene diferentes intenciones, se encuentra principalmente para paquetes que son
copiados sin autorizacin ("piratas") y borra toda la informacin que se tiene en un
disco.
Al auditar los sistemas se debe tener cuidado que no se tengan copias "piratas" o bien
que, al conectamos en red con otras computadoras, no exista la posibilidad de
transmisin del virus. El uso Inadecuado de la computadora comienza desde la
utilizacin de tiempo de la mquina para usos ajenos de la organizacin, la copia de
programas para fines de comercializacin sin reportar los derechos de autor hasta el
acceso por va telefnica a bases de datos a fin de modificar la informacin con
propsitos fraudulentos.
La seguridad en la informtica abarca los conceptos de seguridad fsica y seguridad
lgica:
La seguridad fsica, se refiere a la proteccin del Hardware y de los soportes de datos,
as como a la de los edificios e instalaciones que los albergan. Contempla las situaciones
de Incendios, sabotajes, robos, catstrofes naturales, etc.
La seguridad lgica, se refiere a la seguridad de uso del software, a la proteccin de los
datos, procesos y programas, as como la del ordenado y autorizado acceso de los
usuarios a la informacin.
no autorizado, pues piden del usuario una contrasea antes de permitir1e el acceso a
informacin confidencial. Dichos paquetes han sido populares desde hace muchos aos
en el mundo de las computadoras grandes, y los principales proveedores ponen a
disposicin de Clientes algunos de estos paquetes.
5.3 Causas de realizacin de una Auditora de Seguridad

Esta constituye la FASE 0 de la auditora y el orden 0 de actividades de la misma. El
equipo auditor debe conocer las razones por las cuales el cliente desea realizar el Ciclo
de Seguridad.
Puede haber muchas causas:
Reglas internas del cliente.
Incrementos no previstos de costos.
Obligaciones legales.
Situacin de ineficiencia global notoria. etc.
De esta manera el auditor conocer el entorno inicial. As, el equipo auditor elaborar el
Plan de Trabajo.
5.4 Riesgos y controles a auditar
ANLISIS DE SISTEMAS
Pgina 64

JOS OCHOA LEN
SEXTO CICLO
La funcin de la gestin de riesgos es identificar estudiar y e1iminar las fuentes de los

eventos perjudiciales antes de que empiecen a amenazar los procesos informticos.
La gestin de riesgos se divide generalmente en:
5.4.1 Estimacin De Riesgos

La estimacin de riesgos describe cmo estudiar los riesgos dentro de la planeacin
general del entorno informtico y se divide en los siguientes pasos:
La identificacin de riesgos genera una lista de riesgos capaces de afectar el
funcionamiento normal del entorno informtico.
El anlisis de riesgos mide su probabilidad de ocurrencia y su impacto en la
organizacin.
La asignacin de prioridades a los riesgos.
5.4.2 Identificacin De Riesgos

En este paso se identifican los factores que introducen una amenaza en la planificacin
del entorno informtico. Los principales factores que se ven afectados son:
Creacin de la p1anificacin que incluye: Planificacin excesivamente
optimista, planificacin con tareas innecesarias, y organizacin de un entorno
informtico sin tener en cuenta reas desconocidas y la envergadura del mismo.
La organizacin y gestin, que incluye: Presupuestos bajos, El ciclo de
revisin/decisin de las directivas es ms lento de lo esperado.
El entorno de trabajo, que incluye: Mal funcionamiento de las herramientas de
desarrollo, espacios de trabajo inadecuados y la curva de aprendizaje de las
nuevas tecnologas es ms larga de lo esperado.
Las decisiones de los usuarios finales, que incluye: Falta de participacin de los
usuarios finales y la falta de comunicacin entre los usuarios y el departamento
de informtica.
El personal contratado, que incluye: Falta de motivacin, falta de trabajo en
equipo y trabajos de poca calidad.
Los procesos, que incluye: La burocracia de control de ca1idad y la falta de
entusiasmo.
5.4.3 Anlisis De Riesgos

Una vez hayan identificado los riesgos en la planificacin, el paso siguiente es
analizarlos para determinar su impacto, tomando as las posibles alternativas de
solucin. La explicacin de Anlisis de riesgos se extender posteriormente.
5.4.4 Exposicin A Riesgos

Una actividad til y necesaria en el anlisis de riesgos es determinar su nivel de
exposicin en cada uno de los procesos en que se hayan identificado.
ANLISIS DE SISTEMAS
Pgina 65

JOS OCHOA LEN
SEXTO CICLO
5.4.5 Estimacin De La Probabilidad De Perdida

Las principales formas de estimar la probabilidad de prdida son las siguientes:
Disponer de la persona que est ms familiarizada con el entorno informtico
para que estime la probabilidad de ocurrencia de eventos perjudiciales.
Usar tcnicas Delphi o de consenso en grupo. El mtodo Delphi consiste en
reunir a un grupo de expertos para solucionar determinados problemas. Dicho
grupo realiza la categorizacin individual de las amenazas y de los objetos del
riesgo.
Utilizar la calibracin mediante adjetivos, en la cual las personas involucradas
eligen un nivel de riesgo entre (probable, muy probable) y despus se convierten
a estimaciones cuantitativas.
5.4.6 Priorizacin De Riesgos

En este paso de la estimacin de riesgos, se estiman su prioridad de forma que se tenga
forma de centrar el esfuerzo para desarrollar la gestin de riesgos. Cuando se realiza la
priorizacin (elementos de alto riesgo y pequeos riesgos), estos ltimos no deben ser
de gran preocupacin, pues lo verdaderamente crtico se puede dejar en un segundo
plano.
5.5 Control De Riesgos

Una vez que se hayan identificado los riesgos del entorno informtico y analizando su
probabilidad de ocurrencia, existen bases para controlados que son:
Planificacin
Resolucin de riesgos
Monitorizacin de riesgos
Planificacin De Riesgos
Su objetivo, es desarrollar un plan que controle cada uno de los eventos perjudiciales a
que se encuentran expuestas las actividades informticas.
5.5.1 Resolucin De Riesgos

La resolucin de los riesgos est conformada por los mtodos que controlan el problema
de un diseo de controles inadecuado, los principales son:
Evitar el Riesgo: No realizar actividades arriesgadas.
Conseguir informacin acerca del riesgo.
Planificar el entorno informtico de forma que si ocurre un riesgo, las
actividades informticas sean cumplidas.
Eliminar el origen del riesgo, si es posible desde su inicio.
Asumir y comunicar el riesgo.
ANLISIS DE SISTEMAS
Pgina 66

JOS OCHOA LEN
SEXTO CICLO
5.6 Encriptamiento
El Encriptamiento es una forma efectiva de disminuir los riesgos en el uso de
tecnologa.
Implica la codificacin de informacin que puede ser transmitida va una red de
cmputo o un disco para que solo el emisor y el receptor la puedan leer.
En teora, cualquier tipo de informacin computarizada puede ser encriptada. En la
prctica, se le utiliza con mayor frecuencia cuando la informacin se transmite por
correo electrnico o internet.
La informacin es encriptada por el emisor utilizando un programa para "confundir o
entremezclar" la informacin utilizando un cdigo "asegurado". El receptor descifra la
informacin utilizando un cdigo anlogo exclusivo. Cualquier persona que intercepte
el mensaje ver simplemente informacin entremezclada que no tendr ningn sentido
sin el cdigo o llave necesaria.
Existen distintos tipos de encriptamiento y distintos niveles de complejidad para
hacerlo.
Como con cualquier cdigo, los de encriptamiento pueden ser rotos si se cuenta con
tiempo y recursos suficientes. Los altamente sofisticados niveles de encriptamiento con
que se cuenta hoy en da hacen muy difcil descifrar la informacin encriptada.
Una forma muy comn de Encriptamiento son los sistemas criptogrficos de llave
pblicallave abierta. Este sistema utiliza dos llaves diferentes para cerrar y abrir los
archivos y mensajes.
Las dos llaves estn matemticamente ligadas. Una persona puede distribuir su llave
pblica a otros usuarios y uti1izarla para enviarle mensajes encriptados. La persona
guarda en secreto la llave privada y la utiliza para decodificar los mensajes que le han
enviado con la llave pblica.
Otro elemento del encriptamiento es la autentificacin el proceso de verificar que un
archivo o mensaje no ha sido alterado a lo largo del trayecto entre el emisor y el
receptor.
El encriptamiento de la informacin tiene distintos usos para propsitos electorales.
Cuando se enva informacin sensible a travs de una red pblica, es recomendable
encriptarla; esto es particularmente importante cuando se enva informacin personal o
sobre la votacin a travs de una red, en especial por internet o correo electrnico.
La tecnologa para el encriptamiento est en constante evolucin. Si se est
considerando alguna de ella es recomendable consultar a un experto para asegurar que
se est utilizando la ms reciente.
5.7 Seguridad del personal.

5.7.1 Definicin del acceso no autorizado
El acceso a los recursos de la red debe estar permitido a los usuarios autorizados. Esto
se llama acceso autorizado. Una amenaza comn que afecta a muchos sitios es el acceso
ANLISIS DE SISTEMAS
Pgina 67

JOS OCHOA LEN
SEXTO CICLO
no autorizado a las instalaciones de cmputo. Este acceso puede tomar muchas formas,
como el uso de la cuenta de otro usuario para tener acceso a la red y sus recursos. En
general, se considera que el uso de cualquier recurso de la red sin permiso previo es un
acceso no autorizado. La gravedad del acceso no autorizado depende del sitio y de la
naturaleza de la perdida potencial. En algunos sitios, el solo hecho de conceder acceso a
un usuario no autorizado puede causar daos irreparables por la cobertura negativa de
los medios.
Algunos sitios, debido a su tamao y visibilidad, pueden ser objetivos ms frecuentes
que otros. El Equipo de Respuesta de Emergencias de Computo (CERT) ha hecho la
observacin de que, en general, las universidades de prestigio, los sitios del gobierno y
las zonas militares parecen atraer ms intrusos. En la seccin "Equipo de respuesta de
seguridad", puede encontrarse mayor informacin acerca de CERT, as como sobre
otras organizaciones similares.
5.7.2 Riesgo de revelacin de informacin

La revelacin de informacin, ya sea voluntaria o involuntaria, es otro tipo de amenaza.
Usted debe determinar el valor y delicadeza de la informacin guardada en sus
computadoras. En el caso de vendedores de hardware y software, el cdigo fuente, los
detalles de diseo, los diagramas y la informacin especfica de un producto representan
una ventaja competitiva.
Los hospitales, las compaas de seguros y las instituciones financieras mantienen
informacin confidencial, cuya revelacin puede ser perjudicial para los clientes y la
reputacin de la empresa. Los laboratorios farmacuticos pueden tener aplicaciones
patentadas y no pueden arriesgarse a prdidas causadas por robos.
A nivel del sistema, la revelacin de un archivo de contraseas de un sistema Unix
puede volverlo vulnerable a accesos no autorizados en el futuro. Para muchas
organizaciones, un vistazo, a una propuesta o un proyecto de investigacin que
represente muchos aos de trabajo puede darle a su competidor una ventaja injusta.
Muchas veces, la gente supone que los accesos no autorizados de terceros a las redes y
computadoras son realizadas por individuos que trabajan por su cuenta. No siempre es
as. Los peligros del espionaje industrial gubernamental sistemtico son realidades
desafortunadas de la vida.
Adems, cuando se logra uno de estos accesos no autorizados, por lo general la
informacin fluye por Internet en muy poco tiempo. Hay grupos de noticias y canales de
difusin, en Internet (IRC) en los que los usuarios comparten la informacin que
lograron extraer de estas intromisiones.
5.8 Determinacin de las responsabilidades del usuario

La poltica de seguridad de la red debe definir los derechos y las responsabilidades de
los usuarios que utilizan los recursos y servicios de la red. La siguiente es una lista de
los aspectos que usted puede abordar respecto de las responsabilidades de los usuarios:
ANLISIS DE SISTEMAS
Pgina 68

JOS OCHOA LEN
SEXTO CICLO
1. Lineamientos acerca del uso de los recursos de red, tales como que los usuarios estn
restringidos
2. Que constituye un abuso en trminos de usar recursos de red y afectar el desempeo
del sistema y de la red.
3. Est permitido que los usuarios compartan cuentas o permitan a otros usar la suya.
4. Pueden los usuarios revelar su contrasea en forma temporal, para permitir que otros
que trabajen en un proyecto tengan acceso a sus cuentas.
5. Poltica de contrasea de usuario: con qu frecuencia deben cambiar de contrasea
los usuarios y que otras restricciones o requerimientos hayal respecto.
6. Los usuarios son responsables de hacer respaldos de sus datos o es esto
responsabilidad del administrador del sistema.
7. Consecuencias para los usuarios que divulguen informacin que pueda estar
patentada.
Que acciones legales u otros castigos pueden implantarse.
8. Una declaracin sobre la privacidad del correo electrnico (Ley de Privacidad en las
Comunicaciones Electrnicas)
9. Una poltica respecto a correo o publicaciones controversiales en las listas de correo o
grupos de discusin.
10. Una poltica sobre comunicaciones electrnicas, tales como falsificacin de correo.
La Asociacin de Correo Electrnico (EMA, Electrnica Mail Asociacin) recomienda
que todo sitio debe tener una poltica acerca de la proteccin de la privacidad de los
empleados.
5.9 Seguridad en contra de virus

5.9.1 Auditora de la Seguridad Informtica
La computadora es un instrumento que estructura gran cantidad de informacin, la cual
puede ser confidencial para individuos, empresas o instituciones, y puede ser mal
utilizada o divulgada a personas que hagan mal uso de esta. Tambin pueden ocurrir
computacional. Esta informacin puede ser de suma importancia, y el no tenerla en el
momento preciso puede provocar retrasos sumamente costosos.
factor que hay que considerar: el llamado "virus" de las computadoras, el cual, aunque
tiene diferentes intenciones, se encuentra principalmente para paquetes que son
copiados sin autorizacin ("piratas") y borra toda la informacin que se tiene en un
disco. Al auditar los sistemas se debe tener cuidado que no se tengan copias "piratas" o
bien que, al conectamos en red con otras computadoras, no exista la posibilidad de
transmisin del virus. El uso inadecuado de la computadora comienza desde la
utilizacin de tiempo de mquina para usos ajenos de la organizacin, la copia de
programas para fines de comercializacin sin reportar los derechos de autor hasta el
acceso por va telefnica a bases de datos a fin de modificar la informacin con
propsitos fraudulentos.
La seguridad en la informtica abarca los conceptos de seguridad fsica y seguridad
lgica. La seguridad fsica se refiere a la proteccin del Hardware y de los soportes de
ANLISIS DE SISTEMAS
Pgina 69

JOS OCHOA LEN
SEXTO CICLO
datos, as como a la de los edificios e instalaciones que los albergan. Contempla las
situaciones de incendios, sabotajes, robos, catstrofes naturales, etc.
La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin de los
datos, procesos y programas, as como la del ordenado y autorizado acceso de los
usuarios a la informacin.
no autorizado, pues piden del usuario una contrasea antes de permitirle el acceso a
informacin confidencial.
Dichos paquetes han sido populares desde hace muchos aos en el mundo de las
computadoras grandes, y los principales proveedores ponen a disposicin de clientes
algunos de estos paquetes.
5.9.2 Etapas para implementar un sistema de seguridad

Para dotar de medios necesarios para elaborar su sistema de seguridad se debe
considerar los siguientes puntos:
Sensibilizar a los ejecutivos de la organizacin en torno al tema de seguridad.
Se debe realizar un diagnstico de la situacin de riesgo y seguridad de la
informacin en la organizacin a nivel software, hardware, recursos humanos, y
ambientales.
Elaborar un plan para un programa de seguridad.
El plan debe elaborarse contemplando:
Plan de seguridad ideal (o normativo)
Un plan de seguridad para un sistema de seguridad integral debe contemplar:
El plan de seguridad debe asegurar la integridad y exactitud de los datos
Debe permitir identificar la informacin que es confidencial
Debe contemplar reas de uso exclusivo
Debe proteger y conservar los activos de desastres provocados por la mano del
hombre y los actos abiertamente hostiles
Debe asegurar la capacidad de la organizacin para sobrevivir accidentes
Debe proteger a los empleados contra tentaciones o sospechas innecesarias
Debe contemplar la administracin contra acusaciones por imprudencia
Etapas para implantar un sistema de seguridad en marcha
Para hacer que el plan entre en vigor y los elementos empiecen a funcionar y se
observen y acepten las nuevas instituciones, leyes y costumbres del nuevo sistema de
seguridad se deben seguir los siguiente 8 pasos:
Introducir el tema de seguridad en la visin de la empresa.
Definir los procesos de flujo de informacin y sus riesgos en cuanto a todos los
recursos participantes.
Capacitar a los gerentes y directivos, contemplando el enfoque global.
Designar y capacitar supervisores de rea.
ANLISIS DE SISTEMAS
Pgina 70

JOS OCHOA LEN
SEXTO CICLO
Definir y trabajar sobre todo las reas donde se pueden lograr mejoras
relativamente rpidas.
Mejorar las comunicaciones internas.
Identificar claramente las reas de mayor riesgo corporativo y trabajar con ellas
planteando soluciones de alto nivel.
Capacitar a todos los trabajadores en los elementos bsicos de seguridad y riesgo
para el manejo del software, hardware y con respecto a la seguridad fsica.
Beneficios de un sistema de seguridad
Los beneficios de un sistema de seguridad bien elaborados son inmediatos, ya que l la
organizacin trabajar sobre una plataforma confiable, que se refleja en los siguientes
puntos:
Aumento de la productividad.
Aumento de la motivacin del personal.
Compromiso con la misin de la compaa.
Mejora de las relaciones laborales.
Ayuda a formar equipos competentes.
Mejora de los climas laborales para los RR.HH.
5.10
Plan de contingencias
El Plan de Contingencias implica un anlisis de los posibles riesgos a los cuales pueden
estar expuestos nuestros equipos de cmputo y la informacin contenida en los diversos
medios de almacenamiento, por lo que en este Manual haremos un anlisis de los
riesgos, cmo reducir su posibilidad de ocurrencia y los procedimientos a seguir en caso
que se presentara el problema.
Pese a todas nuestras medidas de seguridad puede ocurrir un desastre, por tanto es
necesario que el Plan de Contingencias incluya un Plan de Recuperacin de Desastres,
el cual tendr como objetivo, restaurar el Servicio de Cmputo en forma rpida,
eficiente y con el menor osto y prdidas posibles.
Si bien es cierto que se pueden presentar diferentes niveles de daos, tambin se hace
necesario presuponer que el dao ha sido total, con la finalidad de tener un Plan de
Contingencias lo ms completo posible.
Vamos a trabajar en base a un ejemplo que presupone un incendio en nuestro local, el
cual nos ha dejado sin equipos de cmputo y sin los archivos magnticos (programas y
datos) contenidos en dichos equipos y en las oficinas del local.
Hay dos mbitos que vamos a analizar. El primero abarca las actividades que se deben
realizar y los grupos de trabajo o responsables de operarias. El segundo, el control, esto
es, las pruebas y verificaciones peridicas de que el Plan de Contingencias est
operativo y actualizado.
Haciendo un esquema, el Plan de Contingencias abarcar los siguientes aspectos:
Plan de Reduccin de Riesgos (Plan de Seguridad).
Plan de Recuperacin de Desastres.
Actividades Previas al Desastre.
ANLISIS DE SISTEMAS
Pgina 71

JOS OCHOA LEN
SEXTO CICLO
Establecimiento del Plan de Accin.

Formacin de Equipos Operativos.
Formacin de Equipos de Evaluacin (auditora de cumplimiento de procedimientos de
Seguridad).
Actividades durante el Desastre.
Plan de Emergencias.
Formacin de Equipos.
Entrenamiento.
Actividades despus del Desastre.
Evaluacin de Daos.
Priorizacin de Actividades del Plan de Accin
Ejecucin de Actividades
Evaluacin de Resultados.
Retroalimentacin del Plan de Accin.
Plan de riesgos (plan de seguridad)
Para asegurar que se consideran todas las posibles eventualidades, se ha de elaborar una
lista de todos los riesgos conocidos, para lo cual se deber realizar un anlisis de
riesgos.
5.11
Anlisis de riesgos
El anlisis de riesgos supone ms que el hecho de calcular la posibilidad de que ocurran

cosas negativas. Se ha de poder obtener una evaluacin econmica del impacto de estos
sucesos negativos. Este valor se podr utilizar para contrastar el costo de la proteccin
de la Informacin en anlisis, versus el costo de volverla a producir (reproducir).
La evaluacin de riesgos y presentacin de respuestas debe prepararse de forma
personalizada para cada organizacin.
La evaluacin de riesgos supone imaginarse lo que puede ir mal y a continuacin
estimar el coste que supondra. Se ha de tener en cuenta la probabilidad de que sucedan
cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y
su coste potencial desarrollando un plan de accin adecuado.
El anlisis de riesgos supone responder a preguntas del tipo:
Qu puede ir mal?
Con qu frecuencia puede ocurrir?
Cules seran sus consecuencias?
Qu fiabilidad tienen las respuestas a las tres primeras preguntas?
En lo fundamental la evaluacin de riesgos que se ha de llevar a cabo ha de contestar,

con la mayor fiabilidad posible, a las siguientes preguntas:
Qu se intenta proteger?
Cul es su valor para uno o para la organizacin?
Frente a qu se intenta proteger?
Cul es la probabilidad de un ataque?
ANLISIS DE SISTEMAS
Pgina 72

JOS OCHOA LEN
SEXTO CICLO
A continuacin se muestra un ejemplo de cmo se realiza una evaluacin de riesgos. El

o los responsables de la oficina de informtica se sentarn con los responsables de las
reas usuarias y realizarn el siguiente conjunto de puntualizaciones:
A qu riesgos en la seguridad informtica se enfrenta la Institucin?

Al fuego, que puede destruir los equipos y archivos.
Al robo comn, llevndose los equipos y archivos.
Al vandalismo, que daen los equipos y archivos.
A fallas en los equipos, que daen los archivos.
A equivocaciones, que daen los archivos.
A la accin de virus, que daen los equipos y archivos.
A terremotos, que destruyen el equipo y los archivos.
A accesos no autorizados, filtrndose datos no autorizados.
Al robo de datos, difundindose los datos sin cobrarlos.
Al fraude, desviando fondos merced a la computadora.
Esta lista de riesgos que se puede enfrentar en la seguridad, es bastante corta. La

institucin deber profundizar en el tema para poder tomar todas las medidas del caso.
Luego de elaborar esta lista, el personal de la Institucin estar listo para responder a los
efectos que estos riesgos tendrn para su Institucin.
Qu probabilidad hay de que tenga efecto alguno de los riesgos mencionados?

Al fuego, que puede destruir los equipos y los archivos
La Institucin cuenta con proteccin contra incendios?
Se cuenta con sistemas de aspersin automtica?
Diversos extintores?
Detectores de humo?
Los empleados estn preparados para enfrentar un posible incendio?
A un robo comn, llevndose los equipos y archivos
En qu tipo de vecindario se encuentra la Institucin?
Hay venta de drogas?
Las computadoras se ven desde la calle?
Hay personal de seguridad en la Institucin?
Cuntos vigilantes hay?
Los vigilantes, estn ubicados en zonas estratgicas?
Al vandalismo, que daen los equipos y archivos
Existe la posibilidad que un ladrn desilusionado o frustrado cause daos?
Hay la probabilidad de que causen algn otro tipo de dao intencionado?
A fallas en los equipos, que daen los archivos
Los equipos tienen un mantenimiento continuo por parte de personal
calificado?
Cules son las condiciones actuales del hardware?
Es posible predecir las fallas a que estn expuestos los equipos?
A equivocaciones que daen los archivos
Cunto saben los empleados de computadoras o redes?
Los que no conocen del manejo de la computadora, saben a quin pedir ayuda?
Durante el tiempo de vacaciones de los empleados, qu tipo de personal los
sustituye y qu tanto saben del manejo de computadoras?
ANLISIS DE SISTEMAS
Pgina 73

JOS OCHOA LEN
SEXTO CICLO
A la accin de virus, que daen los archivos

Se prueba software en la oficina sin hacerle un examen previo?
Est permitido el uso de disquetes en la oficina?
Todas las mquinas tienen unidades de disquetes?
Se cuentan con procedimientos contra los virus?
A terremotos, que destruyen los equipos y archivos
La Institucin se encuentra en una zona ssmica?
El edificio cumple con las normas antissmicas?
Un terremoto, cunto dao podra causar?
A accesos no autorizados, filtrndose datos importantes
Cunta competencia hay para la Institucin?
Qu probabilidad hay que un competidor intente hacer un acceso no
autorizado?
El modem se usa para llamar fuera y tambin se puede utilizar para
comunicarse hacia dentro?
Contamos con Sistemas de Seguridad en el Correo Electrnico o Internet?
Al robo de datos; difundindose los datos.
Cunto valor tienen actualmente las Bases de Datos?
Cunta prdida podra causar en caso de que se hicieran pblicas?
Se ha elaborado una lista de los posibles sospechosos que pudieran efectuar el
robo?
La lista de sospechosos, es amplia o corta?
Al fraude, desviando fondos merced a la computadora.
Cuntas personas se ocupan de la contabilidad de la Institucin?
El sistema de contabilidad es confiable?
Las personas que trabajan en el departamento de contabilidad, qu tipo de
antecedentes laborales tienen?
Existe acceso al Sistema Contable desde otros Sistemas o Personas?
5.12
Factores de riesgo
Para cada riesgo, se debe determinar la probabilidad del factor de riesgo. Como ejemplo
se mencionan algunos factores de riesgo:
Factor de riesgo bajo
Factor de riesgo muy bajo
Factor de riesgo alto
Factor de riesgo muy alto
Factor de riesgo medio
Luego se efectuar un resumen de los riesgos ordenados por el factor de riesgo de cada
uno. Ejemplo:
ANLISIS DE SISTEMAS
Pgina 74

JOS OCHOA LEN
SEXTO CICLO
Anlisis de fallas en la seguridad

Esto supone estudiar las computadoras, su software, localizacin y utilizacin con el
objeto de identificar los resquicios en la seguridad que pudieran suponer un peligro. Por
ejemplo, si se instala una computadora personal nueva, para recibir informes de
inventario desde otras PCs va modem situados en lugares remotos, y debido a que el
modem se ha de configurar para que pueda recibir datos, se ha abierto una va de acceso
al sistema informtico. Habr que tomar medidas de seguridad para protegerlo, como
puede ser la validacin de la clave de acceso.
Protecciones actuales
Generales, se hace una copia casi diaria de los archivos que son vitales para la
Institucin.
Robo comn, se cierran las puertas de entrada y ventanas.
Vandalismo, se cierra la puerta de entrada.
Falla de los equipos, se tratan con cuidado, se realiza el mantenimiento de forma
regular, no se permite fumar, est previsto el prstamo de otros equipos.
Dao por virus, todo el software que llega se analiza en un sistema utilizando software
antivirus. Los programas de dominio pblico y de uso compartido (Shareware), slo se
usan si proceden de una fuente fiable.
Equivocaciones, los empleados tienen buena formacin. Cuando son necesarios,
se intenta conseguir buenos trabajadores temporales. Terremoto, nada. Aparte de
la proteccin contra incendios, la cual es buena.
Acceso no autorizado, se cierra la puerta de entrada. Varias computadoras
disponen de llave de bloqueo del teclado. Robo de datos, se cierra la puerta
principal. Varias computadoras disponen de llave de bloqueo del teclado
Fuego, en la actualidad se encuentra instalado Sistemas contra incendios,
extinguidores, en sitios estratgicos y se brinda entrenamiento en el manejo de
los sistemas o extinguidores al personal, en forma peridica.
ANLISIS DE SISTEMAS
Pgina 75

JOS OCHOA LEN
SEXTO CICLO
Tarea: Con la ayuda del siguiente Link, determine los pasos a seguir para implementar
un Sistema de Gestin de la Seguridad de la Informacin (SGSI). Elabore un informe
detallado.
http://cert.inteco.es/extfrontinteco/img/File/intecocert/sgsi/swf/video_13.swf
ANLISIS DE SISTEMAS
Pgina 76

JOS OCHOA LEN
SEXTO CICLO
WEB-GRAFA
Etapas de una Auditoria de Sistemas
http://www.geronet.com.ar/?p=48
Fases de la auditoria informtica

http://datateca.unad.edu.co/contenidos/233004/riesgos/leccin_27_fases_de_la_auditora_
informtica_y_de_sistemas.html
Aplicacin de la auditoria
http://www.univo.edu.sv:8081/tesis/016139/016139_Cap5.pdf
ANLISIS DE SISTEMAS
Pgina 77

Auditoría de Sistemas

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Auditoría de Sistemas

Caricato da

Copyright:

Formati disponibili

Tlgo.

INSTITUTO TECNOLGICO SUPERIOR

FUNDAMENTOS DE AUDITORIA DE SISTEMAS .............................................................. 7

Concepto de auditoria ............................................................................................... 7

Concepto de auditora informtica. ...................................................................... 8

Necesidad de una Auditoria Informtica .................................................................. 8

Importancia de la Auditoria Informtica ................................................................... 9

Objetivos generales de la auditoria........................................................................... 9

Objetivos de la auditoria informtica.................................................................. 10

Por la procedencia del auditor ............................................................................ 11

Por su rea de aplicacin. ................................................................................... 11

Especializada en reas especficas ...................................................................... 12

De sistemas computacionales (auditoria informtica) ....................................... 13

reas a auditar en Informtica................................................................................ 16

Desarrollo del programa de auditoria ..................................................................... 17

UNIDAD II: EL AUDITOR INFORMTICO Y LAS FASES DE LA AUDITORIA..................................... 19

EL AUDITOR INFORMTICO Y LAS FASES DE LA AUDITORIA ....................................... 20

Normas permanentes de carcter profesional ................................................... 20

Normas de carcter social ................................................................................... 22

Normas de comportamiento tico-moral: .......................................................... 23

Etapa de Planeacin de la Auditora ................................................................... 25

Alcance y Objetivos de la Auditoria Informtica ................................................. 26

Determinar los puntos que sern evaluados: ..................................................... 26

Estudio inicial del entorno auditable .................................................................. 26

INSTITUTO TECNOLGICO SUPERIOR

Aplicaciones bases de datos y archivos:.............................................................. 28

Elaborar planes, programas y presupuestos para realizar la auditora .............. 28

Elaboracin del plan y de los Programas de Trabajo ...................................... 28

Determinacin de los recursos necesarios para realizar la Auditoria ............. 29

Etapa de Ejecucin de la Auditora...................................................................... 30

Etapa de Dictamen de la Auditora...................................................................... 30

UNIDAD III: RIESGO Y CONTROL .................................................................................................. 33

RIESGO Y CONTROL ..................................................................................................... 34

Generalidades del control. ...................................................................................... 34

Clasificacin general de los controles: .................................................................... 34

Objetivos del control ............................................................................................... 35

Elementos del control ............................................................................................. 35

Utilidad del control.................................................................................................. 35

Caractersticas del control ....................................................................................... 36

Ciclo de aplicacin del control................................................................................. 37

Control interno ........................................................................................................ 37

Definiciones de control interno........................................................................... 38

Objetivos del control interno .............................................................................. 39

Importancia del control interno para la auditoria. ............................................. 39

Control interno informtico. ................................................................................... 40

Objetivos del control interno informtico. ......................................................... 40

Elementos del control interno informtico ......................................................... 41

Controles internos sobre la organizacin del rea de informtica. .................... 42

Controles internos sobre el anlisis, desarrollo e implementacin de Sistemas.42

Controles internos sobre la operacin del sistema............................................. 43

3.9.2.4 Controles internos sobre los procedimientos de entrada de datos, el

Controles internos sobre la seguridad del rea de sistemas. ............................. 43

UNIDAD IV: FASES DE LA EJECUCIN DE LA AUDITORIA ............................................................. 47

FASES DE LA EJECUCIN DE LA AUDITORIA ................................................................ 48

Elaboracin y redaccin del Informe Final .............................................................. 48

INSTITUTO TECNOLGICO SUPERIOR

Objetivos de los papeles de trabajo .................................................................... 48

Tipos de papeles de trabajo ................................................................................ 49

Contenido del expediente de los papeles de trabajo ......................................... 49

Marcas de auditoria e ndices de referencia ........................................................... 50

El Informe final ........................................................................................................ 51

Estructura del informe final ................................................................................ 51

Flujo del hecho o debilidad ................................................................................. 52

Redaccin de la carta de presentacin del Informe final........................................ 52