Auditoria de Sistemas Trabajo

AUDITORIA DE SISTEMAS UNA PUNO
to
UNIVERSIDAD NACIONAL DEL ALTIPLANO

FACULTAD DE CIENCIAS CONTABLES Y
ADMINISTRATIVAS
ESCUELA PROFESIONAL DE CIENCIAS
CONTABLES
TEMA:
AUDITORIA DE SISTEMAS
CURSO: AUDITORIA DE GESTION Y DE
SISTEMAS
DOCENTE: Mgs. German A. Medina Colque
PRESENTADO POR :
 MAYTA GONZALES, Doris Noemi
 SUPO QUISPE, Elizabeth
 ARESTEGUI CAHUANA, Ruben V.
SEMESTRE: X
PUNO – PERU
2011
hola chicos:
hacer las diapositivas de cada tema, para
Melo en la parte en verde y la de rojo es
para Ruben , la exposicion el el miercoles en
su hora
cualquier pregunta llamar a cel de ely o a mi
cel 978287838.
no vemos.
AGRADECIMIENTO
En primer lugar agradecemos a Dios,

por darnos la bendición de estar
vivos. A Nuestros padres, pilares de
nuestra existencia, el apoyo que
necesitamos para seguir en el
camino de la vida, dándonos todo en
cuanto han podido. A nuestros
docentes por sus valiosas
indicaciones, orientación y por ser
mentores nuestra formación.
DEDICATORIA
El presente trabajo, está dedicado

con mucho afecto a nuestros
queridos padres por su constante
apoyo moral y económico en este
largo camino de formación
profesional, así mismo a nuestro
docente apoyo de nuestra formación
personal y profesional.
cap5.pdf http://sisbib.unmsm.edu.pe/bibvirtualdata/tesis/empre/zanabria_h_e/enpdf/cap5.pdf
auditoria_gestion_empresas_soc_estado.pdf
http://estatico.buenosaires.gov.ar/areas/sindicatura/biblioteca/auditoria_gestion_empresas_soc_estado.p
df
INDICE
Auditoria de gestión.pdf http://diposit.ub.edu/dspace/bitstream/2445/13223/1/Auditoria%20de%20gesti
%C3%B3n.pdf
1. Sistemas
auditoria.pdf http://www.ecobachillerato.com/temasecem/auditoria.pdf
AUDITORIA+Y+NORMAS+INTERNACIONALES.pdf
http://212.9.83.4/auditoria/home.nsf/Todos/2E1E0DCDE70D429BC125765C00192D59/$FILE/AUDITORIA+
2. Auditoria
Y+NORMAS+INTERNACIONALES.pdf
SIC_39_acuentas.pdf http://www.revistasic.com/revista39/pdf_39/SIC_39_acuentas.PDF
3. Auditorias
METODOLOGIA de los
DE UNA Sistemas
AUDITORIA DE de Gestión
SISTEMAS.pdf
http://www.itchetumal.edu.mx/paginasvar/Maestros/mduran/Archivos/METODOLOGIA%20DE%20UNA
%20AUDITORIA%20DE%20SISTEMAS.pdf
MTTAuditoria_2000-11-07.pdf
OHSAS_18001-2007(ES).pdf http://www.sgcconsultora.com.ar/pdf/OHSAS_18001-2007(ES).pdf
crom-2005-gestion.pdf http://www.ieee.org.ar/downloads/crom-2005-gestion.pdf
doc_iso27000_all.pdf
RESUMEN
INTRODUCCIÓN
INTRODUCCIÓN
Durante los últimos años se han multiplicado los estudios tendentes a

analizar la información como factor clave para la toma de decisiones en la
empresa, clave de la gestión empresarial, y eje conceptual sobre el que
gravitan los sistemas de información empresariales.
Se considera que la información es un recurso que se encuentra al mismo
nivel que los recursos financieros, materiales y humanos, que hasta el
momento habían constituido los ejes sobre los que había girado la gestión
empresarial. Si la Teoría económica tradicional mantenía el capital, la tierra
y el trabajo como elementos primarios de estudio, la información se ha
convertido, ahora, en el cuarto recurso a gestionar.
El dominio de la información externa, no debe hacer olvidar el control de los

flujos internos de información que la propia empresa genera derivado de su
funcionamiento.
Y, finalmente, tampoco se debe olvidar la propia información que la
empresa lanza al exterior, en algunos casos regulada por factores legales,
como aquellos que obligan a las empresas a depositar sus cuentas anuales
en los registros mercantiles. Datos, a su vez, que se convierten en
información externa para otras empresas que absorben esa información.
AUMENTAR……..
1. AUDITORIA
1.1. CONCEPTO
Se tiene evidencia de que algún tipo de auditoría se practicó en tiempos muy

remotos, ya que los soberanos exigían el mantenimiento de las cuentas de su
residencia por dos escribanos independientes, se pone en manifiesto que fueron
tomadas algunas medidas para evitar desfalcos en dichas cuentas. A medida que
se desarrollo el comercio, surgió la necesidad de las revisiones independientes
para asegurarse de la adecuación y finalidad de los registros mantenidos en varias
empresas comerciales.
“La práctica de la auditoría nació en Gran Bretaña durante la segunda mitad del
siglo XIX y se extendió a otros países de cultura empresarial anglosajona, sobre
todo en EEUU, consolidándose en las tres últimas décadas finales del pasado
siglo, como una forma de proporcionar información contable con fiabilidad que
hiciera más transparente al inversor el mercado de valores, sobre todo después
del precedente que supuso en denominado Crack de 1929.
Progresivamente se fue introduciendo en Europa y se desarrolló notablemente

con la creación de la Comunidad Económica Europea, al impulsar la armonización
de las condiciones desarrolladas en los diferentes países pertenecientes,
convirtiéndose en práctica habitual en las organizaciones económicas” (GÓMEZ
LÓPEZ, 2003).
La auditoría como profesión fue reconocida por primera vez bajo la Ley Británica
de Sociedades Anónimas de 1862 y el reconocimiento general tuvo lugar durante
el período de mandato de la Ley “Un sistema metódico y normalizado de
contabilidad era deseable para una adecuada información y para la prevención del
fraude”. También reconocida como “Una aceptación general de la necesidad de
efectuar una versión independiente de las cuentas de las pequeñas y grandes
empresas”.
En 1912 se dijo: En los que podría llamarse los días en los que se formó la
auditoría, a los estudiantes se les enseñaban que los objetivos primordiales de
ésta eran:
 La detección y prevención de fraude;

 La detección y prevención de errores; sin embargo, en los años siguientes
hubo un cambio decisivo en la demanda y el servicio, y los propósitos
actuales son:
 El cerciorarse de la condición financiera actual y de las ganancias de una
empresa,
 La detección y prevención de fraude, siendo éste un objetivo menor.
Este cambio en el objetivo de la auditoría continuó desarrollándose, no sin

oposición, hasta aproximadamente 1940, en este tiempo “Existía un cierto grado
de acuerdo en que el auditor podía y debería no ocuparse primordialmente de la
detección de fraude”. El objetivo primordial de una auditoría independiente debe
ser la revisión de la posición financiera y de los resultados de operación como se
indica en los estados financieros del cliente, de manera que pueda ofrecerse una
opinión sobre la adecuada presentación de éstas a las partes interesadas.
La evolución de la función de auditoría ha sido continua a lo largo de estos últimos

años, caracterizada por el progresivo aumento de atribuciones y
responsabilidades, con el objetivo fundamental de servir cada vez mejor a la
dirección de las empresas, como instrumento que asegure la eficiencia de su
gestión.
Ha sido preciso recorrer un largo camino desde el inicio de la auditoría, como una
rama de la contabilidad, a la que se creía vinculada, hasta el momento actual, en
que constituye toda una especialidad de la administración y gestión de la empresa.
Al principio la finalidad de la función auditoría era simplemente revisar la situación
económica – financiera de la empresa, buscando posibles fraudes o errores y
asegurando la aplicación correcta de las normas contables, sin embargo, en los
años previos a la segunda guerra mundial, los hombres de empresa tomaron
conciencia de que se hacía necesario, implantar en ellas un sistema de control
independiente de la estructura jerárquica y operativa, aduciendo para ello razones
como:
 La creciente complejidad de los fenómenos económicos y la dinámica

cambiante de los métodos y sistemas de administración y gestión de
empresas.
 La dimensión de las empresas, que obligaba a los directores a dedicar
su atención a los problemas más importantes, por carecer de tiempo y
posibilidades físicas para gestionar y examinar de cerca todas las
actividades de la compañía.
 La multiplicación de la delegación de funciones, poderes y alejamiento
de las empresas filiales de sus empresas matrices.
 La evolución de las comunicaciones a escala mundial.
Entonces entenderemos como Auditoría:
1. Una recopilación, acumulación y evaluación de evidencia sobre información

de una entidad, para determinar e informar el grado de cumplimiento entre
la información y los criterios establecidos.
2. Una sistemática evaluación de las diversas operaciones y controles de una
organización, para determinar si se siguen políticas y procedimientos
aceptados, si se siguen las normas establecidas, si se utilizan los recursos
eficientemente y si se han alcanzado los objetivos de la organización.
3. Un proceso sistemático para obtener y evaluar de manera objetiva, las
evidencias relacionadas con informes sobre actividades económicas y otras
situaciones que tienen una relación directa con las actividades que se
desarrollan en una entidad pública o privada. El fin del proceso consiste en
determinar el grado de precisión del contenido informativo con las
evidencias que le dieron origen, así como determinar si dichos informes se
han elaborado observando principios establecidos para el caso (WINKLE,
1987).
Auditoría en forma gráfica

Si visualizamos la figura podríamos decir que la auditoría es un proceso a través

del cual un sujeto (auditor) lleva a cabo la revisión de un objeto (situación
auditada), con el fin de emitir una opinión acerca de su razonabilidad (o fidelidad),
sobre la base de un patrón o estándar establecido.
Sujeto; es el auditor que realiza la revisión del objeto bajo examen, que puede ser
una cuenta contable determinada, un departamento en forma completa, un
procedimiento, etcétera.
Objeto; es la situación auditada, esta puede ser muy diversa, ya que en algunos
casos se da que sea una empresa en forma completa y en otros, solo se realiza
esta revisión a una situación precisa.
Estándar; es el punto de comparación que tiene el auditor, para poder evaluar si

la situación bajo examen cumple o no, con un determinado patrón establecido con
anterioridad a la ocurrencia de la situación. Este estándar puede ser por ejemplo,
principios de contabilidad generalmente aceptados, normas de auditorías
generalmente aceptadas, ley de la renta, ley de impuesto al valor agregado,
manuales de procedimiento, en otras palabras cualquier documento que nos

permita apoyar el dictamen final del auditor.
1.2. Normas de auditoría generalmente aceptadas
Como ya sabemos todo tipo de norma profesional que se establece es con el

objetivo de evaluar la calidad y desempeño de los individuos y organizaciones, por
lo tanto el auditor no está exento de tal situación y debe regirse por las Normas de
Auditoría Generalmente Aceptadas (NAGAS) que son los principios fundamentales
de auditoría, en los cuales deben enmarcar su trabajo durante el proceso de la
auditoría misma. El cumplimiento de estas normas garantiza la calidad del trabajo
profesional del auditor. Las NAGAS tienen su origen en los boletines (Statement
on Auditing Estándar-SAS) emitidos por el comité de Auditoría de Instituto
Americano de Contadores Públicos de los Estados Unidos de Norteamérica en el
año 1948. Estas normas por su carácter general se aplican a todo el proceso del
examen y se relacionan básicamente con la conducta funcional del auditor como
persona humana y regula los requisitos y aptitudes que debe reunir para actuar
como tal. La auditoría debe ser efectuada por un profesional que tiene un
entrenamiento técnico y la pericia suficiente para desempeñar esta labor.
Definición: normas de auditoría son los requisitos mínimos de calidad relativos a

la personalidad del auditor, al trabajo que desempeña y la información que rinde
como resultado de este trabajo.
Normas personales: se refieren a las cualidades mínimas que el auditor debe

tener para poder realizar su trabajo, son exigencias que el carácter profesional de
la auditoría le impone. Existen cualidades que los auditores deben tener pre –
adquiridas antes de poder asumir un trabajo profesional de auditoría y cualidades
que deben de mantener durante toda su vida profesional.
 Entrenamiento y capacidad profesional; el trabajo de auditoría debe ser

desempeñado por personas que, teniendo título profesional legalmente
expedido y reconocido, tenga entrenamiento técnico adecuado y capacidad

profesional como auditores.
 Independencia; El auditor está obligado a mantener una independencia
mental en todos los asuntos relativos a su trabajo profesional.
 Cuidado o esmero profesional; El auditor está obligado a ejercitar cuidado y
diligencia razonable en la realización de su examen y en la preparación de
su dictamen o informe.
El trabajo de auditoría debe ser realizado por persona o personas que, teniendo
formación técnica adecuada, puedan demostrar experiencia y capacidad
profesional como auditores. La formación técnica se obtiene, generalmente, en la
universidad, escuelas técnicas e institutos profesionales, sin embargo la
experiencia y capacidad profesional se adquiere con el tiempo. El auditor o
auditores están obligados a mantener una posición de independencia en su
trabajo profesional con objeto de lograr imparcialidad y objetividad en sus juicios.
Si una auditoría ha de ser efectiva y digna de confianza debe ser realizada por
alguien que tenga la suficiente independencia con respecto a las personas cuya
labor está examinando, y por tanto puede emitir una opinión totalmente objetiva. El
auditor deberá evitar cualquier relación con su cliente que haga dudar a un tercero
de su independencia.
 Conducta: La conducta del auditor debe ser siempre recta, de tal forma
que no permita que se exponga a presiones que lo obliguen a aceptar o
silenciar hechos que alterarían la corrección de su informe.
 Ecuanimidad: La actitud del auditor debe ser totalmente libre de prejuicios.
Debe colocarse en una posición imparcial respecto al cliente, a sus
directivos y accionistas.
 Parentesco y amistad: El auditor debe evaluar si por razones de
parentesco o amistad puede verse afectada su posición de independencia.
 Independencia económica: El auditor no debe tener intereses comunes
con su cliente. No puede tener relación de dependencia ni ser directivo del
ente examinado, ni tampoco ser accionista, deudor o acreedor del mismo.
En la realización de su examen y preparación de su informe el auditor

deberá ejercer una adecuada responsabilidad profesional.
Esta norma requiere que el auditor desempeñe su trabajo con el máximo de

atención, diligencia y cuidado que pueda esperarse de una persona con sentido de
la responsabilidad. Exige al auditor la obligación de cumplir con las normas
relativas a la realización del trabajo y preparación del informe y a cumplir con los
códigos de ética profesional establecidos por la profesión.
1.2.1. Informe COSO
COSO : Committee of Sponsoring Organizations of the

Treadway Commission.
Autor del informe : Copers & Lybrand S.A.
Grupo asesor del informe : Ejecutivos de importantes empresa, tales como

IBM, Shell, Du Pont, Nationsbank, Arthur Andersen, entre otras.
Entidades promotoras : American Institute of Certified Public Accoun,

American Accounting Associaion, The Institute of Internal Auditors, Institute of
Management Accountants, Finantial Executives Institute (TRONCOSO, 2003).
Objetivo: definir un nuevo marco conceptual del control interno capaz de integrar
las diversas definiciones y conceptos que hasta ese momento se habían venido
utilizando sobre este tema.
Definición: el control interno se define como un proceso, efectuado por el

personal de una entidad, diseñado para conseguir unos objetivos específicos. La
definición es amplia y cubre todos los aspectos de control de un negocio, pero al
mismo tiempo permite centrarse en objetivos específicos. El control interno consta
de cinco componentes relacionados entre sí que son inherentes al estilo de
gestión de la empresa. Estos componentes están vinculados entre sí y sirven
como criterios para determinar si el sistema es eficaz (COOPER&LIBRAND,

1992).
“El control interno es un proceso efectuado por el directorio, la dirección y el resto

del personal de una entidad, diseñado con el objeto de proporcionar un grado de
seguridad razonable en cuanto a la consecución de los objetivos dentro de las
siguientes categorías”:
 Eficacia y eficiencia de las operaciones

 Fiabilidad de la información financiera
 Cumplimiento de las leyes y normas aplicables (TRONCOSO, 2003)
El primer aspecto clave de la definición propuesta por el informe COSO es que se

trata de un proceso. En consecuencia los controles internos no deben ser hechos
o mecanismos aislados, o decretos de la dirección, sino una serie de acciones,
cambios o funciones que, en conjunto, conducen a cierto fin o resultado. Esto por
sí solo extiende el concepto de control interno más allá de la noción tradicional de
controles financieros, para convertir el control interno en un sistema integrado de
materiales, equipo, procedimientos y personas.
La siguiente frase de la definición, indica que el control interno es asunto de

personas. Ninguna organización puede conocer todos los riesgos actuales y
potenciales a los que está expuesta en cualquier momento determinado y
desarrollar controles para hacer frente a todos y cada uno de ellos. En
consecuencia las personas que componen la organización deben tener conciencia
de la necesidad de evaluar los riesgos y aplicar controles, y deben estar en
condiciones de responder adecuadamente a ello.
Puede decirse que la parte más importante de la definición propuesta por el

informe COSO es que se alcanzarán los objetivos. Los controles internos no son
elementos restrictivos sino que posibilitan los procesos, permitiendo y
promoviendo la consecución de los objetivos porque se refieren a los riesgos a
superar para alcanzarlos. No se trata sólo de los objetivos relacionados con la
información financiera y el cumplimiento de la normativa, sino también de las

operaciones de gestión del negocio. Esta manera de ver los controles da valor a
las tareas de evaluación y perfeccionamiento de los controles internos y se
convierten en responsabilidad de todos.
Dentro del marco integrado se identifican cinco elementos de control interno que
se relacionan entre sí, ayudando así a que la empresa dirija de mejor forma sus
objetivos y ayuden a integrar a todo el personal en el proceso. Aunque estos
elementos son aplicables a todas las empresas, las pequeñas y medianas pueden
implementarlo de forma distinta que las grandes, pero también lo puede hacer, un
poco menos formal y estructurado, pero igualmente puede ser eficaz.
También se pone en manifiesto que la estructura de control abarca las tres

categorías de objetivos de una entidad; explotación eficiente, información
financiera exacta, y cumplimiento de la normativa.
Gráficamente se muestran los cincos elementos que deben actuar en forma

conjunta para que se pueda generar un efectivo control interno en las empresas.
Entorno de control: el entorno de control marca la pauta del funcionamiento de

una empresa e influye en la concienciación de sus empleados respecto al control.
Es la base de todos los demás componentes del control interno, aportando
disciplina y estructura. Los factores del entorno de control incluyen la integridad,
los valores éticos y la capacidad de los empleados de la empresa, la filosofía de
dirección y el estilo de gestión, la manera en que la dirección asigna autoridad y
las responsabilidades y organiza y desarrolla profesionalmente a sus empleados y
la atención y orientación que proporciona al consejo de administración.
“El núcleo de un negocio es su personal (sus atributos individuales, incluyendo la

integridad, los valores éticos y el profesionalismo) y el entorno en que trabaja, los
empleados son el motor que impulsa la entidad y los cimientos sobre los que
descansa todo”.
Evaluación de los riesgos; las organizaciones, cualquiera sea su tamaño, se

enfrentan a diversos riesgos de origen externos e internos que tienen que ser
evaluados. Una condición previa a la evaluación del riesgo es la identificación de
los objetivos a los distintos niveles, vinculados entre sí e internamente coherentes.
La evaluación de los riesgos consiste en la identificación y el análisis de los
riesgos relevantes para la consecución de los objetivos, y sirve de base para
determinar cómo han de ser gestionados los riesgos. Debido a que las
condiciones económicas, industriales, legislativas y operativas continuarán
cambiando continuamente, es necesario disponer de mecanismos para identificar
y afrontar los riesgos asociados con el cambio.
“La entidad debe conocer y abordar los riesgos con que se enfrenta,
estableciendo mecanismos para identificar, analizar y tratar los riesgos
correspondientes en las distintas áreas”.
Actividades de control: las actividades de control son las políticas y los

procedimientos que ayudan a asegurar que se lleven a cabo las instrucciones de
la dirección de la empresa. Ayudan a asegurar que se tomen las medidas
necesarias para controlar los riesgos relacionados con la consecución de los

objetivos de la empresa. Hay actividades de control en toda la organización, a
todos los niveles y en todas las funciones.
“Deben establecerse y ajustarse políticas y procedimientos que ayuden a

conseguir una seguridad razonable de que se llevan a cabo en forma eficaz las
acciones consideradas necesarias para afrontar los riesgos que existen respecto a
la consecución de los objetivos de la unidad”.
Información y comunicación: hay que identificar, recopilar y comunicar

información pertinente en forma y plazo que permitan cumplir a cada empleado
con sus responsabilidades. Los sistemas informáticos producen informes que
contienen información operativa, financiera y datos sobre el cumplimiento de las
normas que permite dirigir y controlar el negocio de forma adecuada.
Dichos sistemas no sólo manejan datos generados internamente, sino también

información sobre acontecimientos internos, actividades y condiciones relevantes
para la toma de decisiones de gestión así como para la presentación de
información a terceros. También debe haber una comunicación eficaz en un
sentido más amplio, que fluya en todas las direcciones a través de todos los
ámbitos de la organización, de arriba hacia abajo y a la inversa.
El mensaje por parte de la alta dirección a todo el personal ha de ser claro; las
responsabilidades del control han de tomarse en serio. Los empleados tienen que
comprender cuál es su papel en el sistema de control interno y como las
actividades individuales estén relacionadas con el trabajo de los demás. Por otra
parte, han de tener medios para comunicar la información significativa a los
niveles superiores. Asimismo, tiene que haber una comunicación eficaz con
terceros, como clientes, proveedores, organismos de control y accionistas.
“Las mencionadas actividades están rodeadas de sistemas de información y

comunicación. Éstos permiten que el personal de la entidad capte e intercambie la
información requerida para desarrollar, gestionar y controlar sus operaciones”.
Supervisión: los sistemas de control interno requieren supervisión, es decir, un

proceso que comprueba que se mantiene el adecuado funcionamiento del sistema
a lo largo del tiempo. Esto se consigue mediante actividades de supervisión
continuada, evaluaciones periódicas o una combinación de ambas cosas. La
supervisión continuada se da en el transcurso de las operaciones. Incluye tanto las
actividades normales de dirección y supervisión, como otras actividades llevadas a
cabo por el personal en la realización de sus funciones. El alcance y la frecuencia
de las evaluaciones periódicas dependerán esencialmente de una evaluación de
los riesgos y de la eficacia de los procesos de supervisión continuada. Las
deficiencias detectadas en el control interno deberán ser notificadas a niveles
superiores, mientras que la alta dirección y el consejo de administración deberán
ser informados de los aspectos significativos observados.
“Todo el proceso debe ser supervisado, introduciéndose las modificaciones

pertinentes cuando se estime necesario. De esta forma el sistema puede
reaccionar ágilmente y cambiar de acuerdo a las circunstancias”.
1.3. Pruebas y evidencias en Auditoría
Pruebas de cumplimiento: los controles se aplican tal como se describe en la

documentación del programa o según lo que describa el personal de la empresa
auditada y determina si los controles se aplican en una manera que “cumple” las
políticas y procedimientos de la dirección de la empresa.
Pruebas sustantivas; son las pruebas que “sustentan” la adecuación de los

controles existentes para proteger a la empresa de actividades fraudulentas. Un
auditor utilizará una prueba sustantiva para determinar o probar los errores que
afectan en forma directa el objeto bajo examen.
EVIDENCIAS
La recopilación de material que ayude en la generación de una opinión lo más

correcta posible es un paso clave en el proceso de la auditoría. El auditor debe
conocer las diversas formas de evidencias y como puede ser recopilada y
examinada para respaldar los hallazgos de la auditoría. Luego de recopilar la
suficiente evidencia, el siguiente paso es evaluar la información recopilada a fin de
desarrollar opiniones y recomendaciones finales.
Tipos de Evidencia y pruebas aplicables:
Evidencia ocular:
o Comparación: es observar la similitud o diferencia existente entre dos o

más elementos.
o Observación: es el examen ocular para cerciorarse como se ejecutan las
operaciones.
Evidencia Oral: se obtiene de otras personas en forma de declaraciones hechas

en el curso de investigaciones o entrevistas. Las declaraciones que sean
importantes para la auditoría deberán corroborarse siempre que sea posible
mediante evidencia adicional. También será necesario evaluar la evidencia
testimonial para cerciorarse que los informantes no hayan estado influidos por
prejuicios o tuvieran sólo un conocimiento parcial del área auditada.
o Indagación: es el acto de obtener información verbal sobre un asunto

mediante averiguaciones directas o conservaciones con los funcionarios de
la empresa.
o Entrevistas: pueden ser efectuadas al personal de la empresa auditada o
personas beneficiarias de los programas o proyectos.
o Encuestas: pueden ser útiles para recopilar información de un gran universo
de datos o grupos de personas.
Evidencia Escrita:
Analizar; consiste en la separación y evaluación crítica, objetiva y minuciosa de los

elementos o partes que conforman una operación, actividad, transacción o
proceso, con el fin de establecer su naturaleza, su relación y conformidad con los
criterios normativos y técnicos existentes.
o Confirmación: es la técnica que permite comprobar la autenticidad de los

registros y documentos analizados, a través de información directa y por
escrito, otorgada por funcionarios que participan o realizan las operaciones
sujetas a examen.
o Tabulación: es la técnica de auditoría que consiste en agrupar los
resultados obtenidos en áreas, segmentos o elementos examinados, de
manera que se facilite la elaboración de conclusiones.
o Conciliación: implica hacer que concuerden los conjuntos de datos
relacionados, separados e independientes.
Evidencia Documental: consiste en la información elaborada, como la contenida

en cartas, contratos, registros de contabilidad, facturas y documentos de
administración relacionados con su desempeño.
o Comprobación: se aplica en el curso de un examen, con el objeto de

verificar la existencia, legalidad, autenticidad y legitimidad de las
operaciones efectuadas por una empresa, mediante la verificación de los
documentos que las justifiquen.
o Computación: se utiliza para verificar la exactitud y corrección aritmética de
una operación o resultado.
o Rastreo: es utilizada para dar seguimiento y controlar una operación de
manera progresiva, de un punto a otro de un proceso interno determinado
o, de un proceso a otro realizado por una unidad operativa dada.
Evidencia analítica: comprende cálculos, comparaciones, razonamiento y

separación de información en sus componentes.
Evidencia física: es el examen físico y ocular de activos, obras, documentos y

valores, con el objeto de establecer su existencia y autenticidad. Esta evidencia se
obtiene mediante inspección u observación directa de las actividades, bienes y/o

sucesos. La evidencia de esa naturaleza puede presentarse en forma de
memorando (donde se resuman los resultados de la inspección o de otra
observación), fotografías, gráficas, mapas o muestra materiales.
El auditor responsable de cada hallazgo utilizará papeles de trabajo para respaldar

lo encontrado, los cuales serán verificados por el coordinador. En los mismo
papeles, para cada hallazgo, (favorable o desfavorable, positivo o negativo)
deberá consignarse cada una de las pruebas obtenidas, verificando que se
cumplan con las siguientes condiciones:
Suficiencia: del trabajo realizado. ¿Son suficientes las evidencias reunidas para
sustentar los hallazgos, conclusiones y cualquier recomendación?. El auditor
deberá recolectar hechos reales, adecuados y convincentes, de tal manera que
una persona prudente pueda llegar a la misma conclusión a la cual él llegó.
Cuando sea conveniente se podrán emplear métodos estadísticos para probar la
suficiencia.
Confiabilidad: esto con respecto a los antecedentes reunidos. Los antecedentes

deberán ser válidos, es decir, que reflejen la situación real del ente o área. La
evidencia debe merecer la confianza del auditor y representar el mejor dato
disponible. De no ser así deberá buscarse evidencia adicional.
Papeles de trabajo: estos papeles contienen la evidencia que respalda los

hallazgos, observaciones, opiniones de funcionarios responsables de la empresa
examinada. En estos documentos se registra todo el trabajo realizado por el
auditor y constituyen la base de justificación para el informe final que prepara con
recomendaciones.
Estos papeles ayudan a los auditores a proporcionar un medio de coordinación del

trabajo realizado, a supervisar y revisar este trabajo, soporte para realizar el
informe final, en conclusión ayuda a la realización de la auditoría misma.
1.4. TIPOS DE AUDITORIA
En el ámbito de la administración, la auditoría tiene una función asesora/ técnica al

servicio de la dirección superior de la empresa, cuya misión fundamental es
apoyar la gestión empresarial en lo relativo a las necesidades de información,
evaluación y control para el proceso de toma de decisiones, tanto internas como
externas a la organización. En este ámbito podemos encontrar dos tipos de
auditorías que son las más comunes; auditoría interna y auditoría externa.
AUDITORÍA INTERNA
Evalúa la efectividad de los registros contables y/o demás mecanismos o

procedimientos que posee una empresa, con la intención de prever modificaciones
en los mismos para hacerlos más confiables y seguros, y de esa manera evitar al
máximo las posible irregularidades motivadas por un deficiente control interno de
la empresa.
Funciones de la auditoría interna
Tiene por objeto verificar los diferentes procedimientos y sistemas de control

interno establecidos por una empresa, con objeto de conocer si funcionan como se
había previsto y al mismo tiempo ofrecer a la dirección posibles cambios o mejoras
en los mismos.
Es una pieza fundamental de control en grandes empresas y se estructura, dentro

de las mismas, como un departamento que funciona independientemente y
depende directamente de la gerencia.
Todas las empresas se preocupan de salvaguardar sus activos; esto significa que
se debe estar verificando constantemente si el control interno es eficaz (si se
cumplen los objetivos), de lo contrario se deben proponer mejoras para dicho
control. Es un control cuyas funciones consisten en examinar y evaluar la
adecuación y eficiencia de otros controles.
Esta auditoría es realizada por los mismos empleados de la empresa, cuyos

procedimientos e informes que emiten siempre están siendo revisados por otras
personas que pertenecen al área de la administración general, lo que significa que
a veces son parte del departamento auditado. Las personas que realizar esta labor
se le llama auditores internos, los cuales deben ser independientes de los trabajos
que revisan (es el ideal que siempre se espera conseguir).
El auditor interno lleva a cabo una función muy importante al interior de las
empresas mercantiles, gubernamentales o cualquier otra forma de organización,
dado que al revisar los sistemas de información interna pueden determinar si éstos
han sido diseñados de acorde a las instrucciones que ha emitido la dirección
general de la entidad. De esta revisión se puede extraer la información necesaria
para saber si los sistemas implementados son los correctos o se necesita
implementarle mejoras o simplemente se debe desarrollar otro nuevo para así
mejorar la calidad de los controles. El auditor interno tiene dentro de sus labores la
revisión de actividades tales como control de calidad, investigación de mercado,
políticas de personal y muchos otros temas que se relacionan sólo de modo muy
lejano con la información financiera. Estos auditores tienen que estar en una alerta
permanente para poder detectar e informar a la dirección de la empresa, cualquier
asunto o situación que ocurra al interior de la entidad a la que pertenece.
AUDITORÍA EXTERNA
Es desarrollada por auditores externos independientes, los cuales centran su

trabajo principalmente en el análisis de los estados financieros u otra situación
determinada que desee revisar la empresa que solicita este servicio, así como en
la verificación muy general de sus operaciones en un ejercicio determinado.
Todas las organizaciones deben presentar en algún momento sus informes

financieros a otros usuarios externos, tales como bancos, financieras,
proveedores, acreedores, accionistas, inversionistas y otros. En cada uno de estos
casos los usuarios externos necesitan que la información contable presentada por
la empresa, tenga la seguridad necesaria que ellos necesitan, por lo tanto estos
informes deben cumplir en plenitud con los principios de contabilidad
generalmente aceptados.
Aunque los auditores internos, son independientes de los otros empleados de la

empresa, siempre se puede presentar la posibilidad que los usuarios externos
puedan dudar de la información financiera presentada por estos, esta
desconfianza se presenta dado que estos auditores internos deben revisar el
trabajo de sus mismos compañeros de empresa, es por eso que los usuarios
externos siempre solicitan que la información contable sea revisada por auditores
externos, a quienes se les puede contratar como a cualquier otro profesional, ya
que por no pertenecer a la planta de la empresa, sus informes representan una
mayor confianza.
Una de las características principales de los auditores externos es que realizan su

trabajo con una actitud mental de integridad y objetividad, es decir, libre de todo
prejuicio. El valor que pueda representar el dictamen de estos auditores,
dependerá únicamente de su reputación profesional, reputación que se obtiene
dado a su independencia mental y objetividad que utiliza en cada trabajo
desarrollado, además cabe destacar que el único activo que posee un auditor, es
su prestigio y reputación profesional.
Diferencia entre auditoría interna y externa
La auditoría externa se puede definir como un servicio público prestado por

profesionales calificados en contaduría, que consiste en la realización según
normas y técnicas específicas, de una revisión de los estados financieros de la
empresa, a fin de expresar su opinión independiente sobre si tales estados
presentan adecuadamente la situación económica - financiera de dicha empresa
en un momento dado, sus resultados y los cambios en ella habidos durante un
periodo determinado, de acuerdo con los principios de contabilidad generalmente
aceptados. La auditoría interna se lleva a cabo con personas pertenecientes a la
misma plantilla, mientras que la externa exige, como condición esencial a la

misma y de su credibilidad, que los profesionales que la realizan no formen parte
de la empresa auditada, es decir, que sean totalmente independientes de ella y de
sus cuadros directivos.
El objetivo de la auditoría externa es expresar una opinión sobre los estados

financieros de la empresa auditada, referida a un ejercicio determinado, mientras
que los objetivos de la auditoría interna son múltiples y variados, no limitándose al
área económica – financiera, porque la función de auditoría interna contempla todo
el campo de operaciones y actividades de dicha empresa.
Por último, la realización de los trabajos de auditoría externa se desarrolla de

acuerdo con normas y procedimientos internacionales homologados que no suelen
ser substancialmente alterados ni modificados, mientras que los procedimientos
de auditoría interna son mucho más flexibles y dependen, en cada caso, de la
empresa, sus dirigentes y de los propios responsables de auditoría interna.
AUDITORÍA DE CUMPLIMIENTO
Es la comprobación o examen de operaciones financieras, administrativas,

económicas y de otra índole de una entidad para establecer que se han realizado
conforme a las normas legales, reglamentarias y de procedimientos que le son
aplicables. Esta auditoría se practica mediante la revisión de documentos que

soportan legal, técnica, financiera y contablemente las operaciones para
determinar si los procedimientos utilizados y las medidas de control interno están
de acuerdo con las normas que le son aplicables y si dichos procedimientos están
operando de manera efectiva y son adecuados para el logro de los objetivos de la
entidad.
AUDITORÍA ADMINISTRATIVA
Es el revisar y evaluar si los métodos, sistemas y procedimientos que se siguen en

todas las faces del proceso administrativo aseguran el cumplimiento de políticas,
planes, programas, leyes y reglas que puedan tener un impacto significativo en
operación de los reportes y asegurar que la organización los esté cumpliendo y
respetando. Es el examen metódico y ordenado de los objetivos de una empresa
de su estructura orgánica y de la utilización del elemento humano a fin de informar
los hechos investigados. Su importancia radica en el hecho de que proporciona a
los ejecutivos de una organización un panorama sobre la forma que está siendo
administrada esta labor por los diferentes niveles jerárquicos y operativos,
señalando aciertos y desviaciones de aquellas áreas cuyos problemas
administrativos detectados exigen una mayor o pronta atención.
AUDITORÍA A DISTANCIA
Es el proceso de verificación del cumplimiento de ciertos estándares

preestablecidos de manera remota a través de medios informáticos. Este tipo de
proceso cumple con la definición genérica de auditoría.
Este tipo de auditoría es aplicable cuando:
 La organización se encuentra dividida geográficamente (divisiones,

sucursales, oficinas, etc.), aunque también podría llevarse a cabo en una
organización sin sucursales pero de gran tamaño.
 Existe una estructura informática que permite que las distintas unidades se
encuentran conectadas computacionalmente a través de redes o de alguna
manera se tiene acceso de manera centralizada a los registros de las
operaciones efectuadas por las sucursales. La auditoría a distancia se ha
desarrollado con objeto de poder controlar a las unidades físicamente
lejanas sin la necesidad de desplazarse a dichas áreas. Permite una
importante disminución de los tiempos empleados en auditar estas
unidades y los costos asociados.
Ventajas:
 Permite control permanente y expedito de las variables que requieren

supervisión.
 No es necesario desplazarse físicamente al lugar en que se encuentra el
objeto auditado.
 Importante ahorro de costos, tanto financieros como humanos.
 Entrega señales de alerta respecto de las unidades con problemas.
 Es posible tener una visión panorámica de la organización respecto de las
variables controladas.
 Las unidades son conscientes de la supervisión central por lo que debiera
mejorar el desempeño.
Desventajas:
 Existen aspectos que pueden ser auditados a distancia, por lo que no se

puede efectuar una auditoría integral.
 Se produce una dependencia absoluta de los sistemas informáticos.
 Sensación de control permanente puede incomodar al personal de las
sucursales.
 Se suprime el contacto cara a cara (auditor – auditado que muchas veces
facilita la auditoría), por lo que se pierde la riqueza de las relaciones
humanas ( o al menos se disminuye).
Este tipo de auditoría puede aplicarse con los siguientes objetivos:

Efectuar auditorias formales, periódicas y sistemáticas a las sucursales,

filiales, ect. Puede determinarse un programa (anual, semestral, mensual,
etc.) de auditoría a distancia que implique la revisión de aspectos
específicos respecto a patrones preestablecidos. Se deben elaborar los
resultados de estas revisiones.
Obtener información sobre el desempeño de las distintas unidades para
determinar cuales de éstas serán visitadas. El seguimiento de determinadas
variables consideradas claves puede entregar información que sirva como
entrada a la matriz de riesgo que determina que unidades serán
consideradas para una visita a terreno.
Monitorear aspectos operativos, contables, normativos, etc. de todas las
sucursales, que desean ser mantenidos dentro de ciertos límites
establecidos. Para conocer el desempeño de las distintas unidades, se
puede efectuar un monitoreo periódico (diario por ejemplo) de determinadas
variables, sin la necesidad de implicar una auditoría formal y solicitando de
manera inmediata explicaciones respecto a desviaciones o excesos y
acciones para su regularización.
AUDITORÍA AMBIENTAL
La creciente necesidad de controlar el impacto ambiental que generan las

actividades humanas, ha provocado que en muchos sectores industriales se
produzca un incremento de la sensibilización respecto al medio ambiente. Debido
a esto, las empresas para asegurar el cumplimiento legislativo han dado paso a
nuevos sistemas de gestión medioambientales que permiten estructurar e integrar
todos los aspectos involucrados en sus procesos productivos, coordinando los
esfuerzos que se realizan para lograr los objetivos planificados. Es entonces
necesario analizar y conocer en todo momento los factores de contaminación que
generan las actividades de la empresa, y por este motivo será necesario que
dentro del equipo humano se disponga de personas calificadas para evaluar el
posible impacto negativo en el medio ambiente y la sociedad. La aplicación
permanente del concepto mejora continua, es un referente que en el campo
medioambiental tiene una incidencia práctica constante, y por este motivo la

revisión de todos los aspectos relacionados con la minimización del impacto
ambiental tiene que ser una acción realizada sin interrupción.
AUDITORÍA COMPUTACIONAL Ó INFORMÁTICA
Hoy, la importancia creciente de las telecomunicaciones ha llevado a que las

comunicaciones, líneas y redes de instalaciones informáticas, se auditen por
separado, aunque formen parte del entorno general de Sistemas De Información
(SI). Su finalidad es examinar y analizar los procedimientos administrativos y los
sistemas de control interno de la empresa auditada. Al finalizar el trabajo realizado,
los auditores exponen en su informe aquellos puntos débiles que hayan podido
detectar, así como las recomendaciones sobre los cambios convenientes a
introducir al interior de la empresa. Normalmente, las empresas funcionan con
políticas generales, pero hay procedimientos y métodos, que son más operativos
y, por lo tanto, se podrían realizar las sugerencias propuestas por los auditores.
Información: como recurso básico
En el contexto de la organización moderna, la información puede ser definida

como los datos que han sido recogidos, procesados, almacenados y recuperados
con el propósito de tomar decisiones financieras y económicas o para el soporte
de una producción y distribución eficientes de bienes y/o servicios.
- La información tiene que ser considerada como un recurso básico en una

organización, junto con los humanos, el capital, materias primas y equipos.
- Es importante y clave para la organización tanto para su supervivencia
como para mejorar su posicionamiento en la industria.
- Debe obtenerse a tiempo para su uso eficaz.
- Debe ser utilizada eficientemente para un retorno óptimo sobre su costo.
Clases de información
a) Información estratégica; permite a la alta dirección definir los objetivos de la

organización, la cantidad y clase de recursos necesarios para alcanzar los
objetivos y las políticas que gobiernan su uso. La alta dirección tiene que
tomar decisiones económicas importantes basadas en las condiciones de
los cambiantes mercados e innovación tecnológica. Este tipo de
información procede en su mayor parte de fuentes externas a la
organización, en particular de su propio sector industrial y está relacionada
con factores como cuota de mercado, elasticidad de la demanda,
legislación y entorno político. En el caso de la planificación estratégica, el
horizonte temporal de la información es mayor a un año.
b) Información para el control de gestión; ayuda a los mandos medios
especialmente a tomar decisiones en el período actual, normalmente un
año, para que sean consistentes con los objetivos estratégicos, incluyendo
comparaciones entre los resultados actuales y objetivos, presupuestos y
medidas de rendimiento.
c) Información técnica u operacional; es la información que se produce por
rutina, día a día e incluye datos de contabilidad, control de inventario,
programación de la producción, planificación de las necesidades de
materiales, normas y gestión del personal, control del flujo de caja, logística,
ingeniería, fabricación, recepción, distribución, ventas y todo el conjunto de
operaciones que son necesarias para mantener la empresa en
funcionamiento.
d) Información contable y financiera; es la información que se genera con el
propósito de control e información financiera, este tipo de información se
recoge de acuerdo con los Principios de Contabilidad Generalmente
Aceptados y son aplicados por los profesionales contables.
La información es valiosa en la toma de decisiones, ya que es ésta una de las

tareas vitales que debe realizar un directivo organizacional. La calidad de las
decisiones tomadas depende directamente de la calidad de la información que las
soporta; estas decisiones requieren de un profundo conocimiento de las
circunstancias que rodean un problema, conocimiento de las alternativas

disponibles y estrategias competitivas.
Atributos de la información
 Completa: si la información se pierde u oculta a quién toma la decisión, el

resultado de la decisión será pobre.
 Exacta: errores en la entrada, conversión o procesos pueden dar como
resultado conclusiones inválidas que darán lugar a decisiones erróneas.
 Autorizada: la información puede ser semánticamente correcta, pero
representar transacciones inválidas o no autorizadas.
 Auditable: la información debe ser seguible a través de los documentos
fuente o su ejecución seguida mediante sistemas de control monitoreados y
pre-verificados.
 Económica: el costo de producir la información debería no exceder su valor
cuando se utiliza.
 Adecuada: información específica debe estar disponible solamente para
aquellos que la necesitan, para asegurar una gestión eficiente; demasiada
información irrelevante a disposición de quién debe tomar la decisión puede
ocultar el proceso.
 Puntual: la información pierde su valor cuando llega a quién tiene que tomar
la decisión, después de que la necesita.
 Segura: la información debe ser protegida de su difusión a personas no
autorizadas, sin ello puede dar lugar a pérdidas económicas en la
organización; debe estar protegida contra destrucciones accidentales o
voluntarias.
Información: como un recurso crítico
Los estudios realizados en varias universidades revelan que en los sectores

financieros, fabricación y distribución, una caída total del computador entre tres y
cuatro días puede dar lugar a grandes pérdidas en el negocio de la organización.
Igualmente, la pérdida de confidencialidad en las bases de datos de investigación
o en el plan estratégico, puede proporcionar a los competidores una ventaja
definitiva.
a) ¿Está la información y los sistemas de información suficientemente

protegidos?
La respuesta a esta pregunta descansa en las dos áreas de control de los

sistemas de información más importantes; Plan de recuperación de desastres;
muchas organizaciones no desean describir su estado de preparación para estos
casos, las respuestas a encuestas sobre este tema muestran que son pocas las
que están preparadas para estas circunstancias.
Mecanismo de control de acceso lógicos y físicos; hay pocas estadísticas

disponibles sobre el uso del software de control de acceso en cuanto a sus
políticas de utilización y calidad de su administración.
Una vez que se es consciente de que tal software puede ser instalado y utilizado
de distintas maneras, es más evidente que poseer este software, por si mismo, no
garantiza la seguridad sino que la administración es la clave del éxito.
Aun cuando el software de control de acceso esté instalado y bien administrado,

hay numerosas vías por las cuales, los programadores de sistemas desde dentro y
los hackers desde fuera de la organización pueden burlar los mecanismos de
seguridad.
b) ¿Está considerara la información como un recurso crítico y es reconocido

como tal por las organizaciones?
Las grandes organizaciones producen informes anuales con una gran variedad de
documentos que tratan de reflejar la calidad y el dinamismo del equipo de
dirección; Para asegurar la objetividad de estos informes está estipulado que un
auditor externo independiente emita su opinión sobre la bondad de dichos
informes que representan la actuación de la administración y que están
elaborados de acuerdo con los Principios de Contabilidad Generalmente
Aceptados por las organizaciones públicas responsables de estas actividades.
Estos principios no tienen en cuenta el valor de la información ni aun la valoran

como un activo intangible.
El valor de la información, como un tangible, algunas veces activo irremplazable y

más valioso que muchos de los otros activos, puede solamente ser estimado
indirectamente por el impacto que su pérdida, destrucción o distribución no
autorizada, que puede tener sobre las organizaciones.
Los informes de los auditores no reconocen la información como un recurso

crítico, excepto con relación a la información financiera. Esta información, sin
embargo, es altamente vulnerable a muchos riesgos que están incontrolados en el
caso de una organización.
Un plan inadecuado de recuperación de desastres o programas de seguridad

eficaces. Tales situaciones no serán informadas por el auditor externo, que
adicionalmente podría rechazar y/o aceptar responsabilidades en el caso de que
las cosas fueran realmente mal. Esta situación seria, cuando se considera que a
menudo los auditores externos son la única forma de influir, independientemente,
sobre la empresa.
Finalmente la respuesta es que la información no se reconoce como un recurso

crítico en los informes de las empresas.
Aunque hay otros mecanismos de control como son el control de cambios de

programas, el aseguramiento de calidad y políticas de seguridad y procedimientos,
aquellos son los indicadores fundamentales de una adecuada protección.
2. SISTEMAS INFORMATICOS
3. SISTEMAS DE INFORMACIÓN
“Un conjunto de componentes interrelacionados que reúne, procesa,

almacena y distribuye información para apoyar la toma de decisiones y el control
en una organización”. La información se obtiene luego de procesar los datos. Las
actividades del sistema de información son: entrada, procesamiento y Salida de

datos. La retroalimentación sirve para mejorar o controlar el funcionamiento.
Los sistemas de información pueden ser formales (hay procedimientos) e
informales (rumores, p.ej.). (Kosciuk, 2006).
Sistema de información (SI) es un conjunto de elementos orientados al

tratamiento y administración de datos e información, organizados y listos para su
posterior uso, generados para cubrir una necesidad (objetivo). Dichos elementos
formarán parte de alguna de estas categorías: (Wikipedia, 2011).
Elementos de un sistema de información.
 Personas.
 Datos.
 Actividades o técnicas de trabajo.
 Recursos materiales en general (típicamente recursos informáticos y de

comunicación, aunque no tienen por qué ser de este tipo obligatoriamente).
Todos estos elementos interactúan entre sí para procesar los datos

(incluyendo procesos manuales y automáticos) dando lugar a información más
elaborada y distribuyéndola de la manera más adecuada posible en una
determinada organización en función de sus objetivos. (Wikipedia, 2011).
Normalmente el término es usado de manera errónea como sinónimo de

sistema de información informático, en parte porque en la mayoría de los casos los
recursos materiales de un sistema de información están constituidos casi en su
totalidad por sistemas informáticos, pero siendo estrictos, un sistema de
información no tiene por qué disponer de dichos recursos (aunque en la práctica
esto no suela ocurrir). Se podría decir entonces que los sistemas de información
informáticos son una subclase o un subconjunto de los sistemas de información en
general. (Wikipedia, 2011).
1.1 CONCEPTO GENERAL DE SISTEMAS DE INFORMACIÓN.
Hasta el momento hemos contextualizado a la información dentro de la

Ciencia de la Administración, y a su vez dentro de la planificación y de la toma de
decisiones como la conversión de la información en acción. Además hemos
implicado al conjunto de la organización como un todo capaz de vertebrar las
necesidades de información de todos los elementos que conforman una empresa.
A partir de ahora introduciremos al alumno en el concepto general de

sistemas de información, para desde ahí aplicarlo a los sistemas de información
en la empresa.
Horton entiende por sistema una serie estructurada o integrada de procesos

para manejar información o datos caracterizados por un procesamiento repetitivo
de inputs, actualización de datos y generación de outputs.
Un modelo general contemplado es el que ofrece el profesor López Yepes,

que diferencia tres modelos: (LÓPEZ, 1991).
 Modelo A. Que contempla desde una perspectiva general y cuyo estudio es

utilizado para el desarrollo del resto de modelos. Yepes cita a Debons que
lo denomina sistema de información generalizada, que es un modelo
compuesto de: Entorno. Adquisición de datos, transmisión, proceso,
almacenamiento, utilización y transferencia.
 Modelo B. Es un subsistema dentro de las organizaciones. Destaca los

sistemas de información para la gestión (MIS) y los sistemas de gestión de
información.
 Modelo C. Es el "resultado de la conjunción de redes y centros de

información, enmarcado en las políticas nacionales y territoriales de
información. En este sentido el sistema actúa bajo el principio de la
centralización, y la red bajo el principio de coordinación de centros en que,
por delegación, se invisten de determinada responsabilidad en la
recolección y difusión de fuentes".
El objeto de cualquier sistema de información es conectar a un usuario con una

fuente de información que necesita para satisfacer sus necesidades. Mientras para
otros, sistema es un conjunto de componentes que interactúan entre sí para lograr
un objetivo común, y desde esta perspectiva toda organización es un sistema
definido por flujos informativos. (SENN, 1992).
1.2 LOS SISTEMAS DE INFORMACIÓN EN LA EMPRESA.
Frecuentemente se ha utilizado el término informatización como sinónimo

de sistemas de información. Y aunque la mayoría de los autores están de acuerdo
en asumir que un sistema de información requiere un adecuado proceso de
informatización, lo que también está claro es que no en todos los casos la
construcción de un sistema de información lleva aparejado el uso de tecnologías
de la información (CHAIN, 1997).
Sin embargo, asumimos que hoy en día cualquier sistema de información,

por pequeño que sea requiere de unos mínimos procesos de automatización.
1.3 CICLO DE VIDA DE LOS SISTEMAS DE INFORMACIÓN
Existen pautas básicas para el desarrollo de un SI para una organización:

 Conocimiento de la Organización: analizar y conocer todos los sistemas

que forman parte de la organización, así como los futuros usuarios del SI.
En las empresas (fin de lucro presente), se analiza el proceso de negocio y
los procesos transaccionales a los que dará soporte el SI.
 Identificación de problemas y oportunidades: el segundo paso es relevar las
situaciones que tiene la organización y de las cuales se puede sacar una
ventaja competitiva(Por ejemplo: una empresa con un personal capacitado
en manejo informático reduce el costo de capacitación de los usuarios), así
como las situaciones desventajosas o limitaciones que hay que sortear o
que tomar en cuenta(Por ejemplo: el edificio de una empresa que cuenta
con un espacio muy reducido y no permitirá instalar más de dos
computadoras).
 Determinar las necesidades: este proceso también se denomina licitación

de requerimientos. En el mismo, se procede identificar a través de algún
método de recolección de información (el que más se ajuste a cada caso) la
información relevante para el SI que se propondrá.
 Diagnóstico: En este paso se elabora un informe resaltando los aspectos

positivos y negativos de la organización. Este informe formará parte de la
propuesta del SI y, también, será tomado en cuenta a la hora del diseño.
 Propuesta: contando ya con toda la información necesaria acerca de la

organización es posible elaborar una propuesta formal dirigida hacia la
organización donde se detalle el presupuesto, relación costo-beneficio,
presentación del proyecto de desarrollo del SI.
 Diseño del sistema: Una vez aprobado el proyecto, se comienza con la

elaboración del diseño lógico del SI; la misma incluye el diseño del flujo de
la información dentro del sistema, los procesos que se realizarán dentro del
sistema, etc. En este paso es importante seleccionar la plataforma donde
se apoyará el SI y el lenguaje de programación a utilizar.
 Codificación: con el algoritmo ya diseñado, se procede a su reescritura en

un lenguaje de programación establecido (programación), es decir, en
códigos que la máquina pueda interpretar y ejecutar.
 Implementación: Este paso consta de todas las actividades requeridas para

la instalación de los equipos informáticos, redes y la instalación del
programa generado en el paso anterior.
 Mantenimiento: proceso de retroalimentación, a través del cual se puede

solicitar la corrección, el mejoramiento o la adaptación del SI ya creado a
otro entorno. Este paso incluye el soporte técnico acordado anteriormente.
(Wikipedia, 2011).
1.4 ACTIVIDADES QUE REALIZA UN SISTEMA DE INFORMACIÓN:
 Entrada de Información:
Es el proceso mediante el cual el Sistema de Información toma los

datos que requiere para procesar la información. Las entradas pueden ser
manuales o automáticas. Las manuales son aquellas que se proporcionan
en forma directa por el usuario, mientras que las automáticas son datos o
información que provienen o son tomados de otros sistemas o módulos.
Esto último se denomina interfases automáticas. Por ejemplo:
 Datos generales del cliente: nombre, dirección, tipo de cliente, etc.

 Políticas de créditos: límite de crédito, plazo de pago, etc.
 Facturas (interfase automático).
 Pagos, depuraciones, etc.
Las unidades típicas de entrada de datos a las computadoras son las

terminales, las cintas magnéticas, las unidades de diskette, los códigos de barras,
los escáners, la voz, los monitores sensibles al tacto, el teclado y el mouse, entre
otras.
 Almacenamiento de información:
El almacenamiento es una de las actividades o capacidades más

importantes que tiene una computadora, ya que a través de esta propiedad
el sistema puede recordar la información guardada en la sección o proceso
anterior. Esta información suele ser almacenada en estructuras de
información denominadas archivos. La unidad típica de almacenamiento
son los discos magnéticos o discos duros, los discos flexibles o diskettes y
los discos compactos (CD-ROM). Por ejemplo:
 Movimientos del mes (pagos, depuraciones).

 Catálogo de clientes.
 Facturas.
Procesamiento de Información:
Es la capacidad del Sistema de Información para efectuar cálculos de acuerdo

con una secuencia de operaciones preestablecida. Estos cálculos pueden
efectuarse con datos introducidos recientemente en el sistema o bien con datos
que están almacenados. Esta característica de los sistemas permite la
transformación de datos fuente en información que puede ser utilizada para la
toma de decisiones, lo que hace posible, entre otras cosas, que un tomador de
decisiones genere una proyección financiera a partir de los datos que contiene un
estado de resultados o un balance general de un año base. Por ejemplo:
 Cálculo de antigüedad de saldos.

 Cálculo de intereses moratorios.
 Cálculo del saldo de un cliente.
Salida de Información:
La salida es la capacidad de un Sistema de Información para sacar la

información procesada o bien datos de entrada al exterior. Las unidades típicas de
salida son las impresoras, terminales, diskettes, cintas magnéticas, la voz, los
graficadores y los plotters, entre otros. Es importante aclarar que la salida de un
Sistema de Información puede constituir la entrada a otro Sistema de Información
o módulo. En este caso, también existe una interfase automática de salida. Por
ejemplo, el Sistema de Control de Clientes tiene una interfase automática de
salida con el Sistema de Contabilidad, ya que genera las pólizas contables de los
movimientos procesales de los clientes. Por ejemplo:
 Reporte de pagos.
 Estados de cuenta.
 Pólizas contables (interfase automática)
1.5 EL CONTEXTO DE LA EMPRESA Y SUS NECESIDADES DE

INFORMACIÓN
Para comprender bien qué objetivos tiene un sistema de información y

cómo debe funcionar, hay que entender también dos conceptos relativos al
contexto, o medio ambiente, en el que se inserta una empresa. Nos referimos al
conjunto de factores que le afectan, donde existen amenazas que pueden
perjudicar o destruir una empresa, y oportunidades que pueden incrementar las
cualidades de la misma.
Enlazamos, aquí, con algunas nociones aportadas en el apartado referente

a la información como recurso intangible. Tenemos, así, por un lado:
A. El medio ambiente interno o aquellos "factores, como el personal, la

estructura, sus políticas y recompensas, que ejercen influencia en la
manera de realizar el trabajo y de conseguir los objetivos" (IVANCEVICH,
1997)
B. y por otro el medio ambiente externo, más complejo en tanto que conforma
factores ajenos al dominio interno de los gestores, y por tanto requiere una
vigilancia permanente. A su vez, este medio ambiente externo tiene una

doble estructura (IVANCEVICH, 1997):
 Medio ambiente externo remoto, como el clima político, la situación

económica, las tendencias sociales, o las innovaciones tecnológicas.
 Y el Medio ambiente externo inmediato, formado por clientes,

proveedores, distribuidores, competidores, financiadores y
reguladores.
Observaremos éste medio ambiente externo como un modelo de

necesidades de información que los gestores de una empresa deben
obligatoriamente controlar para una eficaz toma de decisiones y cuyos recursos de
información, ya sean éstos vistos como fuentes de información, servicios de
información o sistemas de información, deben ser incorporados al sistema de
información empresarial como importantes recursos para la toma de decisiones.
1.6 DEL SISTEMA DE INFORMACIÓN EN LA ORGANIZACIÓN, A LA

ORGANIZACIÓN COMO SISTEMA DE INFORMACIÓN
 La organización.
En líneas generales, una organización es cualquier institución compuesta

de recursos, cuya combinación, permite alcanzar una serie de objetivos. El ser
humano vive y se relaciona dentro de organizaciones, lo que ha dado lugar a que
nuestra sociedad haya sido denominada "burocrática" u "organizacional".
(PRESTHUS, 1991).
Las organizaciones pueden ser definidas por sus estructuras, formadas por
múltiples canales y normas. La organización es un complejo de canales a través
de los cuales los productos, servicios, recursos y flujos de información transitan de
un punto a otro dentro de la organización, y también entre la organización y su
entorno (CHAIN, 1997).
La estructura de la organización "es el entramado de puestos de trabajo y

departamentos que orienta la conducta de los individuos y grupos hacia la
consecución de los objetivos de la organización".(IVANCEVICH, 1997).
1.7 TIPOS DE SISTEMAS DE INFORMACION:
Realizada la aclaración anterior, asumimos que la aplicación de los

sistemas de información al ámbito de la empresa, aunque puede orientarse a
cualquier tipo de organización, incluye los siguientes tipos:
1.7.1 Sistemas de Información Estratégicos
Puede ser considerado como el uso de la tecnología de la información para

soportar o dar forma a la estrategia competitiva de la organización, a su plan para
incrementar o mantener la ventaja competitiva o bien reducir la ventaja de sus
competidores. (Wikipedia, 2011).
Su función primordial es crear una diferencia con respecto a los

competidores de la organización (o salvar dicha diferencia) que hagan más
atractiva a ésta para los potenciales clientes. Por ejemplo, en la banca, hace años
que se implantaron los cajeros automáticos, pero en su día, las entidades que
primero ofrecieron este servicios disponían de una ventaja con respecto a sus
competidores, y hoy día cualquier entidad que pretenda ofrecer servicios
bancarios necesita contar con cajeros automáticos si no quiere partir con una
desventaja con respecto al resto de entidades de este sector. En este sentido, los
cajeros automáticos se pueden considerar sistemas de información estratégicos.
(Wikipedia, 2011).
Su función es lograr ventajas que los competidores no posean, tales como

ventajas en costos y servicios diferenciados con clientes y proveedores. Apoyan el
proceso de innovación de productos dentro de la empresa. Suelen desarrollarse
dentro de la organización, por lo tanto no pueden adaptarse fácilmente a paquetes
disponibles en el mercado. Entre las características más destacables de estos

sistemas se pueden señalar: (Wikipedia, 2011).
 Cambian significativamente el desempeño de un negocio al medirse por

uno o más indicadores clave, entre ellos, la magnitud del impacto.
 Contribuyen al logro de una meta estratégica.
 Generan cambios fundamentales en la forma de dirigir una compañía, la

forma en que compite o en la que interactúa con clientes y proveedores.
(Wikipedia, 2011).
1.7.2 Sistemas Experto (SE)
Es una aplicación informática capaz de solucionar un conjunto de
problemas que exigen un gran conocimiento sobre un determinado tema. Un
sistema experto es un conjunto de programas que, sobre una base de
conocimientos, posee información de uno o más expertos en un área específica.
Se puede entender como una rama de la inteligencia artificial, donde el poder de
resolución de un problema en un programa de computadora viene del
conocimiento de un dominio específico. Estos sistemas imitan las actividades de
un humano para resolver problemas de distinta índole (no necesariamente tiene
que ser de inteligencia artificial). También se dice que un SE se basa en el
conocimiento declarativo (hechos sobre objetos, situaciones) y el conocimiento de
control (información sobre el seguimiento de una acción). (Wikipedia, 2011).
Para que un sistema experto sea herramienta efectiva, los usuarios deben
interactuar de una forma fácil, reuniendo dos capacidades para poder cumplirlo:
(Wikipedia, 2011).
1. Explicar sus razonamientos o base del conocimiento: los sistemas expertos

se deben realizar siguiendo ciertas reglas o pasos comprensibles de
manera que se pueda generar la explicación para cada una de estas reglas,
que a la vez se basan en hechos.
2. Adquisición de nuevos conocimientos o integrador del sistema: son
mecanismos de razonamiento que sirven para modificar los conocimientos
anteriores. Sobre la base de lo anterior se puede decir que los sistemas
expertos son el producto de investigaciones en el campo de la inteligencia
artificial ya que ésta no intenta sustituir a los expertos humanos, sino que se
desea ayudarlos a realizar con más rapidez y eficacia todas las tareas que
realiza.
Debido a esto en la actualidad se están mezclando diferentes técnicas o

aplicaciones aprovechando las ventajas que cada una de estas ofrece para poder
tener empresas más seguras. Un ejemplo de estas técnicas sería los agentes que
tienen la capacidad de negociar y navegar a través de recursos en línea; y es por
eso que en la actualidad juega un papel preponderante en los sistemas expertos.
(Wikipedia, 2011).
Ventajas y limitaciones de los Sistemas Expertos
 Ventajas
 Permanencia: A diferencia de un experto humano un SE (sistema

experto) no envejece, y por tanto no sufre pérdida de facultades con el
paso del tiempo.
 Replicación: Una vez programado un SE lo podemos replicar infinidad

de veces.
 Rapidez: Un SE puede obtener información de una base de datos y

realizar cálculos numéricos mucho más rápido que cualquier ser
humano.
 Bajo costo: A pesar de que el costo inicial pueda ser elevado, gracias a
la capacidad de duplicación el coste finalmente es bajo.
 Entornos peligrosos: Un SE puede trabajar en entornos peligrosos o

dañinos para el ser humano.
 Fiabilidad: Los SE no se ven afectados por condiciones externas, un

humano sí (cansancio, presión, etc.).
 Consolidar varios conocimientos.
 Apoyo Académico. (Wikipedia, 2011).
 Limitaciones
 Sentido común: Para un Sistema Experto no hay nada obvio. Por

ejemplo, un sistema experto sobre medicina podría admitir que un
hombre lleva 40 meses embarazado, a no ser que se especifique que
esto no es posible ya que un hombre no puede gestar hijos.
 Lenguaje natural: Con un experto humano podemos mantener una

conversación informal mientras que con un SE no podemos.
 Capacidad de aprendizaje: Cualquier persona aprende con relativa

facilidad de sus errores y de errores ajenos, que un SE haga esto es
muy complicado.
 Perspectiva global: Un experto humano es capaz de distinguir cuales

son las cuestiones relevantes de un problema y separarlas de
cuestiones secundarias.
 Capacidad sensorial: Un SE carece de sentidos.
 Flexibilidad: Un humano es sumamente flexible a la hora de aceptar

datos para la resolución de un problema.
 Conocimiento no estructurado: Un SE no es capaz de manejar

conocimiento poco estructurado. (Wikipedia, 2011).
1.7.3 Sistemas de información para la gestión (mis).
Los Sistemas de Información para la Gestión son un conjunto de

herramientas que combinan las tecnologías de la información (hardware +
software) con procedimientos que permitan suministrar información a los gestores
de una organización para la toma de decisiones.
Podemos afirmar que estos sistemas se componen de tres funciones; la

recopilación de datos, tanto internos como externos; el almacenamiento y
procesamiento de información; y la transmisión de información a los gestores.
Parece que el uso de los sistemas de información para la gestión dejaban

incompletas las necesidades informativas de los gestores de las empresas,
surgiendo, así, distintos sistemas para la toma de decisiones. Describiremos los
Sistemas Soporte a la Decisión, y los Sistemas de Información para Ejecutivos.
1.7.4 Sistemas soporte a la decisión (dss).
Para Gil Pechuan el concepto de sistema de ayuda a la toma de decisiones

se desarrolla por la confluencia de muy distintas áreas de conocimiento, cuyas
aportaciones modelan el concepto final de DSS.
De tal manera que el marco teórico procede de las ciencias empresariales;

de la informática, que hace uso de sistemas de gestión de bases de datos; de la
ergonomía que aporta la necesidad de crear interfaces que permitan que un
usuario utilice una herramienta con el menor esfuerzo posible; y del análisis de
decisiones. (GIL, 1997).
Han sido muchos los autores que han realizado sus aportaciones al
concepto de DSS. Incidiremos sólo en algunos de ellos, que nos permitan clarificar
el concepto.
1.7.5 Sistemas de información para ejecutivos (eis).
Los EIS's han sido confundidos en sus orígenes con los DSS's. Para Gil
Pechuan dicho problema se ha debido a la confusión existente sobre a qué tipo de
nivel directivo iban enfocados cada uno. Los EIS's orientados a la alta dirección
aparecen cuando los ejecutivos de las compañías requieren datos para tomar
decisiones pero no pueden dedicar tiempo para extraer la que necesitan del
conjunto total recibido. (FRIEND, 1998).
Distintos autores han establecido el marco teórico de los EIS's. Nos

aproximamos al conocimiento del EIS , a través de la definición dada por varios
autores.
Para Bird, es un "software, con un sistema de recuperación amigable que

provee información electrónica a los directivos con un acceso rápido a la
información que forma parte de las áreas clave de la empresa, ayudando a realizar
las actividades de gestión para conseguir los objetivos de la empresa". (BIRD,
1992).
Para definir con mayor exactitud qué es un Sistema de Información para

Ejecutivos, enumeramos las características que le son propias:
 Estar personalizado al ejecutivo como individuo.

 Extraer, filtrar, consolidar y visualizar los datos críticos.
 Acceder en tiempo real a las variables que definen el estado de la

empresa.
 Visualizar tendencias y suministrar informes de incidencias.
 Mecanismos de alarma, para atraer la atención del usuario, ante

desviaciones importantes de las variables críticas.
 Interface amigable con el usuario, que necesita de un mínimo

entrenamiento para su uso. Usado directamente por los ejecutivos, sin
intermediarios.
 Presenta la información que incorpora, simultáneamente, gráficos,

tablas, textos y sonidos. (GIL, 1997).
Hemos de resaltar que no siempre se consigue diferenciar técnicamente

qué es un DSS y qué es un EIS, de manera que más bien las diferencias vienen
reguladas por el tipo de decisiones que soportan. Así, pensamos que un DSS
asume decisiones estructuradas, es decir problemas claramente formalizados;
mientras los EIS asumen aquella categoría de decisiones que habíamos descrito
como no programables o intuitivas.
De cualquier manera, tanto uno como otro, requieren el uso de recursos de

información, tanto formales como informales, y de información procedente tanto
del exterior de la organización como del interior de la misma.
1.7.6 SISTEMAS DE APOYO A EJECUTIVOS
Dentro de una organización existen personas que participan de forma

directa e indirecta en las reuniones para la toma de decisiones, son personas con
peso en su opinión; estas personas por lo regular son los que llamamos ejecutivos
de una organización, y son quienes buscan tomar decisiones enfocadas al éxito de
la empresa. Los sistemas de apoyo a ejecutivos, son creados específicamente a la
alta dirección, posicionándose en un factor clave, debido a que buscan que se
pueda observar, monitorear y dar seguimiento a los factores críticos para el éxito
de la organización. Entrelazan información interna y externa de la empresa,
planteando un panorama completo para la toma correcta de decisiones. Es ahí
donde la información proporcionada o suministrada, juega un papel importante

debido a que un sistema que apoye directamente a los altos ejecutivos, le
permitirá mejorar su panorama para dirigir a la organización. El sistema de apoyo
a ejecutivos, debe contar con ciertas características para que sea efectivo, dentro
de ellas están:
 Buscar cubrir las necesidades particulares de la alta administración.
 Filtrar y dar seguimiento a la información crítica de la organización.
 Se debe desarrollar información por gráficas y tabulares de alta

calidad.
 La información debe estar accesible en línea.
Adicionalmente, a las anteriores características es necesario que se

cumplan algunos factores como por ejemplo, que la información suministrada se
vea bien; que sea relevante; rápida; y que información esté disponible y
actualizada. Estos sistemas de apoyo, constituyen una herramienta muy útil para
la toma de decisiones, sin embargo, no significa que por tener los sistemas más
avanzados tecnológicamente se tomarán buenas decisiones, o que guiará a la
empresa hacia el éxito.
1.7.7 SISTEMAS DE INFORMACIÓN PARA EJECUTIVOS (EXECUTIVE

INFORMATION SYSTEM, EIS)
Un SIE (EIS por sus siglas en ingles) es un sistema de información para

directivos que permite automatizar la labor de obtener los datos más importantes
de una organización, resumirlos y presentarlos de la forma más comprensible
posible, provee al ejecutivo acceso fácil a información interna y externa al negocio
con el fin de dar seguimiento a los factores críticos del éxito. (Gestiopolis, 2011).
Los SIE (EIS) se enfocan primordialmente a proporcionar información de la

situación actual de la compañía y dejan en un plano secundario la visualización o
proyección de esta información en escenarios futuros. (Gestiopolis, 2011).
En un entorno característico de sistemas de información, el sistema

consolida y administra muchas de las funciones de información diarias en relación
con las áreas de oficina, administrativas, financieras y cualquier otra índole que el
ejecutivo requiera. (Gestiopolis, 2011).
Los SIE se construyen generalmente mediante la integración de software

diseñado para operar conjuntamente con la infraestructura y las aplicaciones de
información existentes en la institución. (Gestiopolis, 2011).
El sistema debiera ofrecer informes y análisis de la información en tiempo

real a toda la organización, debe incluir cuadros, gráficas e informes fáciles de
leer, sobre todo información intuitiva que permita a los administradores realizar el
seguimiento de indicadores críticos. (Gestiopolis, 2011).
Los SIE debieran proporcionar acceso a la administración a categorías

claves de datos relevantes, como son los datos internos creados por la
organización, datos globales de la institución, datos externos (incluida información
acerca de la competencia) y datos mundiales (con el uso de fuentes como
Internet). (Gestiopolis, 2011).
El uso de SIE ha permitido a muchas organizaciones comparar datos

claves con los de sus competidores. (Gestiopolis, 2011).
Es recomendable que los SIE incluyan una variedad de informes ordinarios

incorporados, y las herramientas del sistema debieran permitir a los usuarios de
administración crear informes especialmente diseñados que puedan enviarse a
otra estación de trabajo o directamente a una impresora. (Gestiopolis, 2011).
Características de un EIS:
Un buen sistema de información para ejecutivos presenta información en

forma de gráficos, columnas y textos. (Gestiopolis, 2011).
La capacidad para hacer gráficos se necesita para facilitar en el análisis

rápido de las condiciones y tendencias corrientes; las tablas presentan mayor
detalle y permiten el análisis de variaciones; la información de textos añade

interpretaciones y detalles de los datos. (Gestiopolis, 2011).
Las principales características de los sistemas de información para

ejecutivos (EIS) son las siguientes: (Gestiopolis, 2011).
 Están diseñados para cubrir las necesidades específicas y particulares

de la alta administración de la empresa.
 Extraen, filtran, comprimen y dan seguimiento a información crítica del

negocio.
 Implica que los ejecutivos puedan interactuar en forma directa con el

sistema sin el apoyo o auxilio de intermediarios.
 Es un sistema desarrollado con altos estándares en sus interfases

hombre-maquina, caracterizado por gráficas de alta calidad, información
tabular y en forma de texto.
 Pueden acceder a información que se encuentra en línea, extrayéndose

en forma directa de las bases de datos de la organización.
 El sistema está soportado por elementos especializados de hardware,

tales como monitores o videos de alta resolución y sensibles al tacto,
ratón e impresoras con tecnología avanzada.
Existe una serie de productos de software al alcance de todos para la

planificación estratégica, diseñados para capacitar y ayudar a los administradores
con la planificación estratégica.(Gestiopolis, 2011).
1.7.8 Sistema de procesamiento de transacciones
Un sistema de procesamiento de transacciones (TPS por sus siglas en

inglés) es un tipo de sistema de información. Un TPS recolecta, almacena,
modifica y recupera toda la información generada por las transacciones
producidas en una organización. Una transacción es un evento que genera o
modifica los datos que se encuentran eventualmente almacenados en un sistema

de información. Para que un sistema informático pueda ser considerado como un
TPS, este debe superar el test ACID. (Wikipedia, 2011).
Desde un punto de vista técnico, un TPS monitoriza los programas

transaccionales (un tipo especial de programas). La base de un programa
transaccional está en que gestiona los datos de forma que estos deben ser
siempre consistentes (por ejemplo, si se realiza un pago con una tarjeta
electrónica, la cantidad de dinero de la cuenta sobre la que realiza el cargo debe
disminuir en la misma cantidad que la cuenta que recibe el pago, de no ser así,
ninguna de las dos cuentas se modificará), si durante el transcurso de una
transacción ocurriese algún error, el TPS debe poder deshacer las operaciones
realizadas hasta ese instante. Si bien este tipo de integridad es que debe
presentar cualquier operación de procesamiento de transacciones por lotes, es
particularmente importante para el procesamiento de transacciones on-line: si, por
ejemplo, un sistema de reserva de billetes de una línea aérea es utilizado
simultáneamente por varios operadores, tras encontrar un asiento vacío, los datos
sobre la reserva de dicho asiento deben ser bloqueados hasta que la reserva se
realice, de no ser así, otro operador podría tener la impresión de que dicho asiento
está libre cuando en realidad está siendo reservado en ese mismo instante. Sin las
debidas precauciones, en una transacción podría ocurrir una reserva doble. Otra
función de los monitores de transacciones es la detección y resolución de
interbloqueos (deadlock), y cortar transacciones para recuperar el sistema en caso
de fallos masivos. (Wikipedia, 2011).
Los sistemas de procesamiento de transacciones son sistemas de

información encargados de procesar gran cantidad de transacciones rutinarias, es
decir son todas aquellas que se realizan rutinariamente en la empresa entre estas
tenemos el pago de nomina, facturación, entrega de mercancía y deposito de
cheques. Estas transacciones varían de acuerdo al tipo de empresa.
(Mitecnologico, 2011).
Los sistemas de procesamiento de transacción o TPS (transacción

procesation system) por sus siglas en ingles, eliminan el trabajo tedioso de las
transacciones operacionales y como resultado reducen el tiempo que se empleaba
en ejecutarlas actualmente, aunque los usuarios todavía deben alimentar de datos
a los TPS. (Mitecnologico, 2011).
“Los sistemas de procesamiento de transacciones son sistemas que

traspasan sistemas y que permiten que la organización interactué con ambientes
externos. Debido a que los administradores consultan los datos generados por el
TPS para información al minuto acerca de lo que está pasando en sus compañías,
es esencial para las operaciones diarias que estos sistemas funcionen lentamente
y sin interrupción”. (Mitecnologico, 2011).
Características de los sistemas de procesamiento de transacciones
 Respuesta rápida
En este tipo de sistemas resulta crítico que exista un rendimiento elevado

con tiempos de respuesta cortos. Una empresa no puede permitirse tener
clientes esperando por una respuesta del SPT; el tiempo total transcurrido
desde que se inicia la transacción hasta que se produce la salida
correspondiente debe ser del orden de unos pocos segundos o menos.
(Wikipedia, 2011).
 Fiabilidad
Muchas organizaciones basan su fiabilidad en los SPT; un fallo en un SPT

afectará negativamente a las operaciones o incluso parará totalmente el
negocio. Para que un SPT sea efectivo, su tasa de fallos debe ser muy baja.
En caso de fallo de un SPT, debe existir algún mecanismo que permita una
recuperación rápida y precisa del sistema. Esto convierte en esencial la
existencia procedimientos de copia de seguridad y de recuperación ante fallos
correctamente diseñados. (Wikipedia, 2011).
 Inflexibilidad
Un SPT requiere que todas las transacciones sean procesadas

exactamente de la misma forma, independientemente del usuario, el cliente o
la hora del día. Si los SPT fuesen flexibles, habría entonces demasiadas
posibilidades de ejecutar operaciones no estándar. Por ejemplo, una aerolínea
comercial necesita aceptar de forma consistente reservas de vuelos realizadas
por un gran número de agencias de viaje distintas; aceptar distintos datos de
transacción de cada agencia de viajes supondría un problema. (Wikipedia,
2011).
 Procesamiento controlado
El procesamiento en un SPT debe apoyar las operaciones de la

organización. Por ejemplo, si una organización establece roles y
responsabilidades para determinados empleados, el SPT debe entonces
mantener y reforzar este requisito. (Wikipedia, 2011).
Propiedades ACID:
 Atomicidad
Los cambios de estado provocados por una transacción son atómicos: o

bien ocurren todos o bien no ocurre ninguno. Estos cambios incluyen tanto
modificaciones de la base de datos, como envío de mensajes o acciones sobre
los transductores. (Wikipedia, 2011).
 Consistencia
Una transacción es una transformación de estado correcta. Las acciones

consideradas en su conjunto no violan ninguna de las restricciones de
integridad asociadas al estado. Esto implica que la transacción debe ser un
programa correcto. (Wikipedia, 2011).
 Aislamiento
Incluso cuando varias transacciones se ejecuten de forma concurrente,

para cada transacción T debe parecer que el resto de transacciones se han
ejecutado antes o después de T, pero no antes y después. (Wikipedia, 2011).
 Durabilidad
Una vez que una transacción ha finalizado con éxito (compromiso), cambia
hacia un estado estable a prueba de fallos. (Wikipedia, 2011).
1.7.9 Sistemas de Información Expertos
Son programas de computación que se derivan de una rama de la

investigación informática llamada Inteligencia Artificial (IA). El objetivo científico de
la IA es entender la inteligencia. Está referida a los conceptos y a los métodos de
inferencia simbólica, o de razonamiento por computadora, y cómo el conocimiento
usado para hacer esas inferencias será representado dentro de la máquina.
El término inteligencia cubre muchas habilidades conocidas, incluyendo la

capacidad de solucionar problemas, de aprender y de entender lenguajes; la IA
dirige todas estas habilidades. La mayoría de los esfuerzos en IA se han hecho en
el área de solucionar los problemas, los conceptos y los métodos para construir
los programas que razonan acerca de los problemas y que luego calculan una
solución.
Los programas de IA que logran la capacidad experta de solucionar

problemas aplicando las tareas específicas del conocimiento se llaman Sistemas
Basado en Conocimiento o Sistemas Expertos. A menudo, el término sistemas
expertos se reserva para los programas que contienen el conocimiento usado por
los humanos expertos, en contraste al conocimiento recolectado por los libros de
textos. Los términos, sistemas expertos (ES) y sistemas basados en conocimiento
(KBS), se utilizan como sinónimos. Tomados juntos representan el tipo más
extenso de aplicación de IA.
El área del conocimiento intelectual humano para ser capturado en un

sistema experto se llama el dominio de la tarea. La tarea se refiere a una cierta
meta orientada, actividad de solucionar el problema. El dominio se refiere al área

dentro de la cual se está realizando la tarea.
Las tareas típicas son el diagnóstico, hojas de operación (planning), la

programación, configuración y diseño. Un ejemplo de dominio de una tarea es la
programación del equipo de un avión.
La construcción de un sistema experto se llama ingeniería del conocimiento

y sus médicos son los ingenieros del conocimiento. El ingeniero del conocimiento
debe cerciorarse de que el ordenador tenga todo el conocimiento necesario para
solucionar un problema. También debe elegir una o más formas en las cuales
representar el conocimiento requerido en la memoria del ordenador, es decir, él
debe elegir una representación del conocimiento. Él debe también asegurarse de
que la computadora pueda utilizar eficientemente el conocimiento, seleccionando
de un conjunto de métodos de razonamiento. (KNOWLEDGE, 1993).
1.8 Seguridad y control de sistemas de información

1.8.1 Vulnerabilidad y abuso de sistemas
Fallos de hardware, software, incendio, problemas eléctricos, errores del

usuario, acciones del personal, penetración por terminales, cambios de
programas, robo de datos, servicios, equipo, etc.
Los sistemas de información son especialmente vulnerables por:
 Un sistema de información complejo no se puede reproducir

manualmente.
 Los procedimientos computarizados son invisibles y no es fácil

entenderlos ni auditarlos. (Kosciuk, 2006).
 Aunque la probabilidad de que ocurra un desastre no es mayor, las

consecuencias pueden ser mucho mayores que en un sistema
manual.
 Hackers y virus de computadoras

Un hacker es la persona que obtiene acceso no autorizado a una red de

computadoras, para causar daños, o por placer personal. (Kosciuk, 2006).
 Preocupaciones de los constructores y usuarios de sistemas
Sistemas de computación que toleran fallos. Sistemas que contienen

componentes adicionales de hardware y alimentación de energía, que pueden
respaldar un sistema y mantenerlo en operación para evitar que falle.
Seguridad Se refiere a políticas, procedimientos y medidas técnicas que se

aplican para evitar el acceso no autorizado, la alteración, el robo, o los daños
físicos de los sistemas de información. (Kosciuk, 2006).
 Errores
Las PC también pueden actuar como instrumentos de error, al alterar

gravemente o destruir los expedientes de una organización.
1.8.2 Problemas de calidad de los sistemas: software y datos
 Errores y defectos de software
Las bugs son defectos y errores en el código de un programa. Eliminar

todos los bugs es imposible. La pesadilla del mantenimiento Otra razón por la
que los sistemas no son falibles es que el software de computadora siempre ha
sido muy difícil de mantener. El mantenimiento, es decir, el proceso de
modificar un proceso que se halla en producción, es la parte más costosa del
proceso de desarrollo de sistemas.
 Problemas de calidad de datos
Datos inexactos, atrasados o que no concuerdan con otras fuentes de

información pueden crear problemas operativos y financieros graves para los
negocios. La mala calidad de los datos puede deberse a errores durante la
introducción de datos o a defectos en el diseño
 Creación de un entorno de control

La combinación de medidas manuales y automatizadas que salvaguardan

los sistemas de información y cuidan que funcionen según las normas
gerenciales, recibe el nombre de controles. Los controles consisten en todos
los métodos, políticas y procedimientos de la organización que cuidan la
seguridad de sus activos y fiabilidad de sus registros contables, y el
cumplimiento operativo de sus normas gerenciales. (Kosciuk, 2006).
Controles generales: son los que controlan el diseño, la seguridad y el uso

de los programas de computadoras, y la seguridad de los archivos de datos en
general, en toda la organización. Estos controles se ejercen sobre todas las
aplicaciones computarizadas y consisten en una combinación de software de
sistemas y procedimientos manuales que crea un entorno de control gerencial.
Los controles de aplicación son controles específicos, distintos para cada
aplicación computarizada. (Kosciuk, 2006).
 Controles generales
 Controles de implementación: auditoria que se hace al proceso de

desarrollo de sistemas en diversos puntos, para asegurar que se le
maneje y controle debidamente. (Kosciuk, 2006).
 Controles de software: controles para cuidar la seguridad y fiabilidad

del software.
 Controles de hardware: controles para cuidar la seguridad física y el

correcto funcionamiento de software. (Kosciuk, 2006).
 Controles de operaciones de computación: procedimientos que

cuidan que los procedimientos programados se apliquen de forma
congruente y correcta al almacenamiento y procesamiento de datos.
(Kosciuk, 2006).
 Controles de seguridad de los datos: comprueba que los datos

guardados no sufran accesos no autorizados, alteraciones o
destrucción.
 Controles administrativos
Los controles administrativos son las normas, reglas, procedimientos y

disciplinas formalizados que aseguran que los controles de la organización se
apliquen y cumplan debidamente. (Kosciuk, 2006).
La segregación de funciones es un principio de control interno que divide

responsabilidades y asigna las tareas a las personas de modo que las
funciones no se traslapan y se minimice el riesgo de los errores y la
manipulación fraudulenta de los activos de la organización.
 Controles de aplicación
Son específicos dentro de cada aplicación de computadora individual.
Controles de entrada: verifican la exactitud e integridad de los datos cuando

entran en el sistema. (Kosciuk, 2006).
Totales de control: tipo de control de entrada que requiere contar las

transacciones o los campos de cantidades antes del procesamiento para
efectuar comparaciones y conciliaciones posteriormente.
Verificaciones de edición: rutinas para verificar los datos de entrada y

corregir errores antes del procesamiento. (Kosciuk, 2006).
 Controles de procesamiento
Rutinas para comprobar que los datos estén completos y sean exactos
durante la actualización. (Kosciuk, 2006).
Totales de control de serie: procedimiento para controlar el grado de

actualización por computadora generando totales de control que concilian los
datos totales antes y después del procesamiento. (Kosciuk, 2006).
Cotejo por computadora: se comparan los datos de entrada con información

guardada en archivos maestros. (Kosciuk, 2006).
Controles de salida: se asegura que los resultados del procesamiento

computarizado sean correctos, estén completos y se distribuyan debidamente.
(Kosciuk, 2006).
 Seguridad e Internet
Un firewall controla el acceso a las redes internas de la organización, al

actuar como una “caseta de vigilancia” que examina las credenciales de todos
los usuarios antes de que puedan acceder a la red. Identifica nombres,
direcciones IP, aplicaciones y otras características del tráfico que llega.
Hay dos tipos de tecnologías de firewall. (Kosciuk, 2006).
1. Apoderados, que hace de intermediario entre el interior y el exterior,

impidiendo que se comuniquen directamente. (Kosciuk, 2006).
2. Inspecciones plenas de estado. El firewall examina cada paquete de

datos que llega y verifica su origen, su dirección de destino o sus
servicios. Las reglas son puestas por el usuario, y es menos seguro
que el uso de apoderados, aunque consume menos recursos.
(Kosciuk, 2006).
3. AUDITORIA DE SISTEMAS E INFORMACIÓN
Para una mejor productividad empresarial, los responsables de los sistemas, que
usan los distintos departamentos o áreas de negocio, deben conocer los riesgos
derivados de una inadecuada gestión de sistemas y los beneficios generados por
una gestión óptima, así mismo generar controles y/o evaluaciones de los riesgos,
el que puede ser la Auditoria de Sistemas e Informática.
a. DEFINICIÓN
Auditoria informática:
La auditoría en informática es la revisión y la evaluación de los controles,

sistemas, procedimientos de informática; de los equipos de cómputo, su
utilización, eficiencia y seguridad, de la organización que participan en el
procesamiento de la información, a fin de que por medio del señalamiento de
cursos alternativos se logre una utilización más eficiente y segura de la
información que servirá para una adecuada toma de decisiones.
La auditoría en informática deberá comprender no sólo la evaluación de los

equipos de cómputo, de un sistema o procedimiento específico, sino que además
habrá de evaluar los sistemas de información en general desde sus entradas,
procedimientos, controles, archivos, seguridad y obtención de información.
La auditoría en informática es de vital importancia para el buen desempeño de los

sistemas de información, ya que proporciona los controles necesarios para que los
sistemas sean confiables y con un buen nivel de seguridad.
Esta evaluación debe contener:
A. “Enfoques de la auditoria informática

B. Pasos que se debe seguir en la auditoria
C. Metodología de la auditoria
D. Objetivos de la auditoria
E. Evaluación nade sistemas de control interno
F. Procedimiento de auditoría
G. Papeles de trabajo
H. Deficiencias del control interno informe de auditoría” (MEDINA COLQUE,
2011).
A. Enfoques de la auditoria informática
Dentro de los enfoques de la auditoria informática tenemos: la auditoria alrededor

del computador, la auditoria a través del computador, la auditoría con el
computador;
AUDITORÍA ALREDEDOR DEL COMPUTADOR

Básicamente dentro de este enfoque de auditoría, los programas y los archivos de

datos no se auditan; puesto que la auditoría alrededor del computador concentra
sus esfuerzos en la entrada de datos y en la salida de información. Este es el más
cómodo para los auditores de sistemas, por que únicamente se verifica la
efectividad del sistema de control interno en el ambiente externo de la máquina, es
decir los input y outputs del sistema o del computador. Naturalmente que se
examinan los controles desde el origen de los datos para protegerlos de cualquier
tipo de riesgo que atente contra la integridad, completitud, exactitud y legalidad.
La auditoría alrededor del computador no es tan simple como aparentemente

puede presentarse, pues tiene objetivos muy importantes como:
1. Verificar la existencia de una adecuada segregación funcional.

2. Comprobar la eficiencia de los controles sobre seguridades físicas y lógicas
de los datos.
3. Asegurarse de la existencia de controles dirigidos a que todos los datos
enviados a proceso estén autorizados.
4. Comprobar la existencia de controles para asegurar que todos los datos
enviados sean procesados.
5. Cerciorarse que los procesos se hacen con exactitud.
6. Comprobar que los datos sean sometidos a validación antes de ordenar su
proceso.
7. Verificar la validez del procedimiento utilizado para corregir inconsistencias
y la posterior realimentación de los datos corregidos al proceso.
8. Examinar los controles de salida de la información para asegurar que se
eviten los riesgos entre sistemas y el usuario.
9. Verificar la satisfacción del usuario. En materia de los informes recibidos.
10. Comprobar la existencia y efectividad de un plan de contingencias, para
asegurar la continuidad de los procesos y la recuperación de los datos en
caso de desastres.
AUDITORÍA A TRAVÉS DEL COMPUTADOR
Este enfoque está orientado a examinar y evaluar los recursos del software, es
decir de los software que aseguran el procesamiento de la información como parte
complementaria del sistema, tales como el control de usuarios; este enfoque

surge como complemento del enfoque de auditoría alrededor del computador, en
el sentido de que su acción va dirigida a evaluar el sistema de controles diseñados
para minimizar los fraudes y los errores que normalmente tienen origen en los
programas.
Este enfoque es más complejo y exigente que el anterior, por cuanto es necesario
saber con cierto rigor, los lenguajes de programación o desarrollo de sistemas en
general usados por el sistema informático a auditar, con el objeto de facilitar el
proceso de auditaje.
Objetivos de esta auditoría
1. Asegurar que los programas procesan los datos, de acuerdo con las
necesidades del usuario o dentro de los parámetros de precisión previstos.
2. Cerciorarse de la no-existencia de rutinas fraudulentas al interior de los
programas.
3. Verificar que los programadores modifiquen los programas solamente en los
aspectos autorizados.
4. Comprobar que los programas utilizados en producción son los
debidamente autorizados por el administrador.
5. Verificar la existencia de controles eficientes para evitar que los programas
sean modificados con fines ilícitos o que se utilicen programas no
autorizados para los procesos corrientes.
6. Cerciorarse que todos los datos son sometidos a validación antes de
ordenar su proceso correspondiente.
Informe de Auditoría: deberá orientarse a opinar sobre la validez de los controles,

en este caso de software, para proteger los datos en su proceso de conversión en
información.
AUDITORÍA CON EL COMPUTADOR

Este enfoque va dirigido especialmente, al examen y evaluación de los archivos de

datos en medios magnéticos, con el auxilio del computador y de software de
auditoría generalizado y /o a la medida.
Este enfoque es relativamente completo ya que verifica la existencia, la integridad

y la exactitud de los datos dentro del proceso, en grandes volúmenes de
transacciones.
La auditoría con el computador es relativamente fácil de desarrollar porque los

programas de auditoría vienen documentados de tal manera que se convierten en
instrumentos de sencilla aplicación.
Normalmente son paquetes que se aprenden a manejar en cursos cortos y sin

avanzados conocimientos de informática. Los paquetes de auditoría permiten
desarrollar operaciones y prueba, tales como:
1. Recálculos y verificación de información, como por ejemplo, relaciones

sobre nómina, montos de depreciación y acumulación de intereses, entre
otros.
2. Demostración gráfica de datos seleccionados.
3. Selección de muestras estadísticas.
4. Preparación de análisis de cartera por antigüedad.
Informe de Auditoría: Este informe deberá versar sobre la confiabilidad del sistema
de control interno para proteger los datos sometidos a proceso y la información
contenida en los archivos maestros.
Los tres enfoque de auditoría vistos, son complementarios, pues ninguno de los
tres, es suficiente para auditar aplicaciones en funcionamiento.
B. Metodología de la auditoria
Existen algunas metodologías de Auditorías de Sistemas y todas dependen de lo

que se pretenda revisar o analizar, pero como estándar analizaremos las cuatro
fases básicas de un proceso de revisión:
 Estudio preliminar
 Revisión y evaluación de controles y seguridades
 Examen detallado de áreas criticas
 Comunicación de resultados
Estudio preliminar.- Incluye definir el grupo de trabajo, el programa de auditoría,

efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar
un cuestionario para la obtención de información para evaluar preliminarmente el
control interno, solicitud de plan de actividades, Manuales de políticas,
reglamentos, Entrevistas con los principales funcionarios del PAD.
Revisión y evaluación de controles y seguridades.- Consiste de la revisión de los

diagramas de flujo de procesos, realización de pruebas de cumplimiento de las
seguridades, revisión de aplicaciones de las áreas críticas, Revisión de procesos
históricos (backups), Revisión de documentación y archivos, entre otras
actividades.
Examen detallado de áreas críticas.-Con las fases anteriores el auditor descubre

las áreas críticas y sobre ellas hace un estudio y análisis profundo en los que
definirá concretamente su grupo de trabajo y la distribución de carga del mismo,
establecerá los motivos, objetivos, alcance Recursos que usará, definirá la
metodología de trabajo, la duración de la auditoría, Presentará el plan de trabajo y
analizará detalladamente cada problema encontrado con todo lo anteriormente
analizado.
Comunicación de resultados.- Se elaborará el borrador del informe a ser discutido

con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual se
presentará esquemáticamente en forma de matriz, cuadros o redacción simple y
concisa que destaque los problemas encontrados, los efectos y las
recomendaciones de la Auditoría.
El informe debe contener lo siguiente:
 Motivos de la Auditoría
 Objetivos
 Alcance
 Estructura Orgánico-Funcional del área Informática
 Configuración del Hardware y Software instalado
 Control Interno
 Resultados de la Auditoría
C. Objetivos de la auditoria
La Auditoría del Sistema de Información en la empresa, a través de la evaluación

y control que realiza, tiene como objetivo fundamental mejorar la rentabilidad, la
seguridad y la eficacia del sistema mecanizado de información en que se sustenta.
Los aspectos relativos al control de la Seguridad de la Información tienen tres

líneas básicas en la auditoria del sistema de información:
 Aspectos generales relativos a la seguridad: En este grupo de aspectos

habría que considerar, entre otros: la seguridad operativa de los programas,
seguridad en suministros y funciones auxiliares, seguridad contra
radiaciones, atmósferas agresivas, agresiones y posibles sabotajes,
seguridad físicos de las instalaciones, del personal informático, etc.
 Aspectos relativos a la confidencialidad y seguridad de la información:

Estos aspectos se refieren no solo a la protección del material, el logicial,
los soportes de la información, sino también al control de acceso a la propia
información (a toda o a parte de ella, con la posibilidad de introducir
modificaciones en la misma).
 Aspectos jurídicos y económicos relativos a la seguridad de la

información: En este grupo de aspectos se trata de analizar la adecuada
aplicación del sistema de información en la empresa en cuanto al derecho a
la intimidad y el derecho a la información, y controlar cada vez más
frecuentes delitos informáticos que se cometen en la empresa.
Las propias aplicaciones de las tecnologías de la información y cada vez más

amplia aplicación en la empresa, ha propiciado la aparición de estos delitos
informáticos. En general, estos delitos pueden integrarse en dos grandes grupos:
delitos contra el sistema informático y delitos cometidos por medio del sistema
informático. En el primer grupo se insertan figuras delictivas tipificadas en
cualquier código penal, como hurto, robo, revelación de secretos, etc., y otro
conjunto de delitos que ya no es tan frecuente encontrar, al menos con carácter
general, perfectamente tipificados, como el denominado “hurto de tiempo”,
destrucción de logiciales y datos, delitos contra la propiedad (material, terminales,
cintas magnéticas,...).
De la misma manera, a través de la auditoria del sistema de información será

necesario controlar el adecuado equilibrio entre riesgos y costes de seguridad y la
eficacia del propio sistema.
En cuanto a la Eficacia del Sistema, esta vendrá determinada, básicamente, por

la aportación a la empresa de una información válida, exacta, completa,
actualizada y oportuna que ayude a la adopción de decisiones, y todo ello medido
en términos de calidad, plazo y coste. Sin el adecuado control, mediante la
realización de auditorias al sistema de información.
D. Evaluación de sistemas de control interno
La elaboración de sistemas debe ser evaluada con mucho detalle, para lo cual se
debe revisar si existen realmente sistemas entrelazados como un todo o bien si
existen programas aislados. Otro de los factores a evaluar es si existe un plan
estratégico para la elaboración de los sistemas o si se están elaborados sin el
adecuado señalamiento de prioridades y de objetivos.
El plan estratégico deberá establecer los servicios que se presentarán en un futuro

contestando preguntas como las siguientes:
o ¿Cuáles servicios se implementarán?

o ¿Cuándo se pondrán a disposición de los usuarios?
o ¿Qué características tendrán?
o ¿Cuántos recursos se requerirán?
La estrategia de desarrollo deberá establecer las nuevas aplicaciones, recursos y

la arquitectura en que estarán fundamentados:
o ¿Qué aplicaciones serán desarrolladas y cuando?

o ¿Qué tipo de archivos se utilizarán y cuando?
o ¿Qué bases de datos serán utilizarán y cuando?
o ¿Qué lenguajes se utilizarán y en que software?
o ¿Qué tecnología será utilizada y cuando se implementará?
o ¿Cuantos recursos se requerirán aproximadamente?
o ¿Cuál es aproximadamente el monto de la inversión en hardware y
software?
En lo referente a la consulta a los usuarios, el plan estratégico debe definir los

requerimientos de información de la dependencia.
o ¿Qué estudios van a ser realizados al respecto?

o ¿Qué metodología se utilizará para dichos estudios?
o ¿Quién administrará y realizará dichos estudios?
En el área de auditoría interna debe evaluarse cuál ha sido la participación del

auditor y los controles establecidos.
Por último, el plan estratégico determina la planeación de los recursos.
o ¿Contempla el plan estratégico las ventajas de la nueva tecnología?

o ¿Cuál es la inversión requerida en servicios, desarrollo y consulta a los
usuarios?
El proceso de planeación de sistemas deberá asegurarse de que todos los

recursos requeridos estén claramente identificados en el plan de desarrollo de
aplicaciones y datos. Estos recursos (hardware, software y comunicaciones)
deberán ser compatibles con la arquitectura y la tecnología, conque se cuenta

actualmente.
Los sistemas deben evaluarse de acuerdo con el ciclo de vida que normalmente
siguen: requerimientos del usuario, estudio de factibilidad, diseño general, análisis,
diseño lógico, desarrollo físico, pruebas, implementación, evaluación,
modificaciones, instalación, mejoras. Y se vuelve nuevamente al ciclo inicial, el
cual a su vez debe comenzar con el de factibilidad.
La primera etapa a evaluar del sistema es el estudio de factibilidad, el cual debe

analizar si el sistema es factible de realizarse, cuál es su relación costo/beneficio y
si es recomendable elaborarlo.
Se deberá solicitar el estudio de factibilidad de los diferentes sistemas que se

encuentren en operación, así como los que estén en la fase de análisis para
evaluar si se considera la disponibilidad y características del equipo, los sistemas
operativos y lenguajes disponibles, la necesidad de los usuarios, las formas de
utilización de los sistemas, el costo y los beneficios que reportará el sistema, el
efecto que producirá en quienes lo usarán y el efecto que éstos tendrán sobre el
sistema y la congruencia de los diferentes sistemas.
En el caso de sistemas que estén funcionando, se deberá comprobar si existe el

estudio de factibilidad con los puntos señalados y compararse con la realidad con
lo especificado en el estudio de factibilidad Por ejemplo en un sistema que el
estudio de factibilidad señaló determinado costo y una serie de beneficios de
acuerdo con las necesidades del usuario, debemos
E. Procedimiento de auditoría
Se requieren varios pasos para realizar una auditoría. El auditor de sistemas debe
evaluar los riesgos globales y luego desarrollar un programa de auditoría que
consta de objetivos de control y procedimientos de auditoría que deben satisfacer
esos objetivos. El proceso de auditoría exige que el auditor de sistemas reúna
evidencia, evalúe fortalezas y debilidades de los controles existentes basado en la

evidencia recopilada, y que prepare un informe de auditoría que presente esos
temas en forma objetiva a la gerencia. Asimismo, la gerencia de auditoría debe
garantizar una disponibilidad y asignación adecuada de recursos para realizar el
trabajo de auditoría además de las revisiones de seguimiento sobre las acciones
correctivas emprendidas por la gerencia.
Algunos ejemplos de procedimientos de auditoría son: Revisión de la

documentación de sistemas e identificación de los controles existentes.
Entrevistas con los especialistas técnicos a fin de conocer las técnicas y controles
aplicados. Utilización de software de manejo de base de datos para examinar el
contenido de los archivos de datos. Técnicas de diagramas de flujo para
documentar aplicaciones automatizadas.
Desarrollo del programa de auditoría.
Un programa de auditoría es un conjunto documentado de procedimientos

diseñados para alcanzar los objetivos de auditoría planificados. El esquema típico
de un programa de auditoría incluye lo siguiente:
Tema de auditoría: Donde se identifica el área a ser auditada.
Objetivos de Auditoría: Donde se indica el propósito del trabajo de auditoría a

realizar.
Alcances de auditoría: Aquí se identifica los sistemas específicos o unidades de

organización que se han de incluir en la revisión en un período de tiempo
determinado.
Planificación previa: Donde se identifica los recursos y destrezas que se necesitan

para realizar el trabajo así como las fuentes de información para pruebas o
revisión y lugares físicos o instalaciones donde se va auditar.
Procedimientos de auditoría para:

 Recopilación de datos.
 Identificación de lista de personas a entrevistar.
 Identificación y selección del enfoque del trabajo
 Identificación y obtención de políticas, normas y directivas.
 Desarrollo de herramientas y metodología para probar y verificar los
controles existentes.
 Procedimientos para evaluar los resultados de las pruebas y revisiones.
 Procedimientos de comunicación con la gerencia.
 Procedimientos de seguimiento.
El programa de auditoría se convierte también en una guía para documentar los diversos pasos de
auditoría y para señalar la ubicación del material de evidencia. Generalmente tiene la siguiente
estructura:
Papeles de
Procedimiento de Hecho Por:
Lugar: Trabajo:
Auditoria Fecha:
Referencia:
Los procedimientos involucran pruebas de cumplimiento o pruebas sustantivas, las

de cumplimiento se hacen para verificar que los controles funcionan de acuerdo a
las políticas y procedimientos establecidos y las pruebas sustantivas verifican si
los controles establecidos por las políticas o procedimientos son eficaces.
Los puntos a evaluar:
 Entradas.
 Salidas.
 Procesos.
 Especificaciones de datos.
 Especificaciones de proceso.
 Métodos de acceso.
 Operaciones.
 Manipulación de datos (antes y después del proceso electrónico de datos).
 Proceso lógico necesario para producir informes.
 Identificación de archivos, tamaño de los campos y registros.
 Proceso en línea o lote y su justificación.
 Frecuencia y volúmenes de operación.
 Sistemas de seguridad.
 Sistemas de control.
 Responsables.
 Número de usuarios. (BLANCO CUARTE, 2010)
PLANEACIÓN DE LA AUDITORÍA EN INFORMÁTICA
Para hacer una adecuada planeación de la auditoría en informática, hay que

seguir una serie de pasos previos que permitirán dimensionar el tamaño y
características de área dentro del organismo a auditar, sus sistemas, organización
y equipo.
En el caso de la auditoría en informática, la planeación es fundamental, pues

habrá que hacerla desde el punto de vista de los dos objetivos:
 Evaluación de los sistemas y procedimientos.

 Evaluación de los equipos de cómputo.
Para hacer una planeación eficaz, lo primero que se requiere es obtener

información general sobre la organización y sobre la función de informática a
evaluar. Para ello es preciso hacer una investigación preliminar y algunas
entrevistas previas, con base en esto planear el programa de trabajo, el cual
deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar
o formular durante el desarrollo de la misma. (AUDI, 2003)
A continuación se menciona algunas de las áreas que deben ser cubiertas durante
la planificación de la auditoría:
a) Comprensión del negocio y de su ambiente.
Al planificar una auditoría, el auditor de sistemas debe tener una comprensión de

suficiente del ambiente total que se revisa. Debe incluir una comprensión general
de las diversas prácticas comerciales y funciones relacionadas con el tema de la
auditoría, así como los tipos de sistemas que se utilizan. El auditor de sistemas
también debe comprender el ambiente normativo en el que opera el negocio. Por
ejemplo, a un banco se le exigirá requisitos de integridad de sistemas de
información y de control que no están presentes en una empresa manufacturera.
Los pasos que puede llevar a cabo un auditor de sistemas para obtener una
comprensión del negocio son: Recorrer las instalaciones del ente. Lectura de
material sobre antecedentes que incluyan publicaciones sobre esa industria,
memorias e informes financieros. Entrevistas a gerentes claves para comprender
los temas comerciales esenciales. Estudio de los informes sobre normas o
reglamentos. Revisión de planes estratégicos a largo plazo. Revisión de informes
de auditorías anteriores.
b) Riesgo y materialidad de auditoría.
Se puede definir los riesgos de auditoría como aquellos riesgos de que la

información pueda tener errores materiales o que el auditor de sistemas no pueda
detectar un error que ha ocurrido. Los riesgos en auditoría pueden clasificarse de
la siguiente manera: Riesgo inherente: Cuando un error material no se puede
evitar que suceda por que no existen controles compensatorios relacionados que
se puedan establecer. Riesgo de Control: Cuando un error material no puede ser
evitado o detectado en forma oportuna por el sistema de control interno. Riesgo de
detección: Es el riesgo de que el auditor realice pruebas exitosas a partir de un
procedimiento inadecuado. El auditor puede llegar a la conclusión de que no
existen errores materiales cuando en realidad los hay. La palabra "material"
utilizada con cada uno de estos componentes o riesgos, se refiere a un error que
debe considerarse significativo cuando se lleva a cabo una auditoría. En una
auditoría de sistemas de información, la definición de riesgos materiales depende
del tamaño o importancia del ente auditado así como de otros factores. El auditor
de sistemas debe tener una cabal comprensión de estos riesgos de auditoría al
planificar. Una auditoría tal vez no detecte cada uno de los potenciales errores en
un universo. Pero, si el tamaño de la muestra es lo suficientemente grande, o se
utiliza procedimientos estadísticos adecuados se llega a minimizar la probabilidad
del riesgo de detección.
De manera similar al evaluar los controles internos, el auditor de sistemas debe

percibir que en un sistema dado se puede detectar un error mínimo, pero ese error
combinado con otros, puede convertiré en un error material para todo el sistema.
La materialidad en la auditoría de sistemas debe ser considerada en términos del
impacto potencial total para el ente en lugar de alguna medida basado en lo
monetario.
c) Técnicas de evaluación de Riesgos.
Al determinar qué áreas funcionales o temas de auditoría que deben auditarse, el

auditor de sistemas puede enfrentarse ante una gran variedad de temas
candidatos a la auditoría, el auditor de sistemas debe evaluar esos riesgos y
determinar cuáles de esas áreas de alto riesgo debe ser auditada. Existen cuatro
motivos por los que se utiliza la evaluación de riesgos, estos son: Permitir que la
gerencia asigne recursos necesarios para la auditoría. Garantizar que se ha
obtenido la información pertinente de todos los niveles gerenciales, y garantiza
que las actividades de la función de auditoría se dirigen correctamente a las áreas
de alto riesgo y constituyen un valor agregado para la gerencia. Constituir la base
para la organización de la auditoría a fin de administrar eficazmente el
departamento. Proveer un resumen que describa como el tema individual de
auditoría se relaciona con la organización global de la empresa así como los
planes del negocio.
d) Objetivos de controles y objetivos de auditoría.
El objetivo de un control es anular un riesgo siguiendo alguna metodología, el

objetivo de auditoría es verificar la existencia de estos controles y que estén
funcionando de manera eficaz, respetando las políticas de la empresa y los
objetivos de la empresa. Así pues tenemos por ejemplo como objetivos de
auditoría de sistemas los siguientes: La información de los sistemas de
información deberá estar resguardada de acceso incorrecto y se debe mantener
actualizada. Cada una de las transacciones que ocurren en los sistemas es
autorizada y es ingresada una sola vez. Los cambios a los programas deben ser
debidamente aprobados y probados. Los objetivos de auditoría se consiguen

mediante los procedimientos de auditoría.
F. Papeles de trabajo
La documentación de la auditoria de los sistemas informáticos es el registro del

trabajo de auditoría realizado, la evidencia que sirve de soporte a las debilidades
mostradas y las conclusiones del auditor, estos documentos, genéricamente se
denominan papeles de trabajo. Los papeles de trabajo se deben diseñar y
organizar según las circunstancias y las necesidades del auditor. Estos han de ser
completos, claros y concisos. Todo el trabajo de auditoría debe quedar en papeles
de trabajo por los siguientes motivos:
a) Recogen la evidencia obtenida a lo largo del trabajo

b) Ayudan al auditor en el desarrollo de su trabajo
c) Ofrecen soporte del trabajo realizado para poder utilizarlo en auditorias
sucesivas
d) Permiten que el trabajo pueda ser revisado por terceros
e) Sirve para fomentar un enfoque metódico de la labor que se lleva.
Para concluir la importancia que tienen los papeles de trabajo, digamos que una
vez que el auditor a finalizado su trabajo, los papeles de trabajo son la única
prueba de que el auditor tiene de haber llevado a cabo un examen adecuado.
Siempre existe la posibilidad de que auditor tenga que demostrar la calidad de su
análisis ante un tribunal.
Archivos: los papeles de trabajo que el auditor va elaborando se pueden

organizar en dos archivos principales: el archivo permanente o continuo de
auditoría, y el archivo corriente o de auditoría en curso.
Archivo permanente: El archivo permanente contiene todos aquellos papeles que

tienen un interés continuo, una calidez plurianual, tales como:
 Consideraciones sobre el negocio

 Consideraciones sobre el sector
 Composición del consejo de administración

 Características de los equipos
 Manuales de los equipos y de las aplicaciones
 Descripción de los procedimientos contables
 Descripción del control interno
 Organigramas
 Cuadro de planificación plurianual de la auditoria.
Archivo corriente: este a su vez se suele dividir en archivo general y en archivo de

áreas.
Archivo general: los documentos que se suelen archivar aquí con aquellos que no
tienen cabida específica en alguna de las áreas en que hemos dividido el trabajo
de auditoría, tales como: el informe del auditor, la carta de recomendaciones, los
acontecimientos posteriores entre otros.
Archivo por áreas: se debe preparar un archivo para cada una de las áreas en que
hayamos dividido el trabajo e incluir en cada archivo todos los documentos que
hayamos necesitado para realizar el trabajo de esa área en concreto. Al menos
deberán incluirse los siguientes documento: Programa de auditoría de cada una
de las áreas, conclusiones de área en cuestión, conclusiones del procedimiento en
cuestión.
EL AUDITOR INFORMÁTICO
Es el profesional que ha de cuidar y velar por la correcta utilización de los

diversos recursos que la organización y debe comprobar que se esté llevando a
cabo un eficiente y eficaz Sistema de Información y la Tecnología de la
Información. Pues estos dos puntos en la actualidad soportan la Auditoría y
Control de los Sistemas e Informática en la Gestión moderna.
Cuando se aplica el CIPOD en la Auditoría y Control de Sistemas e Informática.-

Nos encontramos que en ella no da "Indicios, anomalías y síntomas" que nos
permite percibir que la Organización bajo control esta con problemas de
resultados como de eficacia y eficiencia en los Sistemas Informáticos y en la

Tecnología de la Información. Vamos a citar algunos ejemplos que se encuentran:
a) Creatividad.-
o Sistemas Informáticos de Baja Performance creativa.
o Deficiente manejo de Imaginación y Creatividad para las

Producciones de Servicios.
o No permite variabilidad y atención a Usuarios.
o Falta de una buena Integración de la Información y Difusión del

Organismo con la Sociedad, a través de medios y del internet.
o Pocos Servicios Creativos, donde el usuario manifiesta su

descontento.
o Exceso de monotonía y rutina de procesos administrativos y

técnicos.
o Deficiente nivel de Proceso de la Investigación y Desarrollo Creativo.
o Usuarios se quejan por engorrosos procedimientos Informáticos.
b) Inteligencia.-
o La Organización no cuenta con Formación de Conocimientos en

Sistemas y Tecnología Informática.
o Exceso de averías en los Sistemas Informáticos.
o No hay Capacitación ni entrenamiento de nuevas Tecnologías.
o Tratamiento de la Tecnología para la Inteligencia Empresarial muy

deficiente.
o Los Estándares de Productividad son bajos.

o Bajo Índice de Producción de Servicio (Planificación, Producción y

Soporte Técnico),
o Usuarios salen conformes con la resolución de problemas

(Relacionados a los Sistemas Informáticos).
o Informática de Comunicaciones, Tele Comunicaciones y Redes; no

se encuentra Integrado a los Procesos Intranet, Extranet e Internet.
o Los Controles Inteligentes de procesos son deficientes.
o Deficiente nivel de Investigación y Desarrollo Tecnológico.
o Alto Índice de desatendidos y asuntos pendientes (Relacionados a

Tecnologías de la Información).
c) Personalidad.-
o Carencia de Identidad, Rumbo y de Mística Laboral y Personal.
o Síntomas de mala Imagen.
o Baja Productividad de Trabajo.
o Alto Índice de estrés laboral.
o Pérdida de credibilidad del Organismos.
o Usuarios manifiestan su descontento con el trato y atención.
d) Organización.-
o Desorganización estructural y Funcional.
o Descoordinación Funcional Horizontal - Vertical.
o Demasiado Centralismo Funcional y Operativo de los Sistemas

Informáticos.
o Alto riesgo de Inseguridad Operativa, de Tecnología y de

Información.
o Las áreas de Producción, Desarrollo, Sistemas, Comunicaciones y

Seguridad en estado Critico.
o Usuarios manifiestan excesiva desubicación en los desplazamientos

por la organización.
o Usuarios manifiestan descontento porque no se cumplen con los

plazos de entrega de resultados periódicos.
e) Dirección.-
o Carencia de Objetivos, Estrategias y Planes de los Sistemas e

Informática.
o Toma de Decisiones deficientes por Tecnologías de la Información

inadecuadas.
o Los Programas de Auditorías y Control no logra recomponer fallas.
o Descoordinación en la Toma de decisiones.
o Desviaciones Presupuestarias significativas.
o Incremento desmesurado de costos y gastos.
o Carencia de Proyectos de Sistemas e Informática.
o Baja adopción de Medidas del Plan de Contingencias.
o Usuarios se quejan por ineficacias de Resoluciones en Niveles

Directivos.
b. TÉCNICAS DE RECOPILACIÓN DE EVIDENCIAS.

La recopilación de material de evidencia es un paso clave en el proceso de la

auditoría, el auditor de sistemas debe tener conocimiento de cómo puede recopilar
la evidencia examinada. Algunas formas son las siguientes:
Revisión de las estructuras organizacionales de sistemas de información.
Revisión de documentos que inician el desarrollo del sistema, especificaciones de

diseño funcional, historia de cambios a programas, manuales de usuario,
especificaciones de bases de datos, arquitectura de archivos de datos, listados de
programas, etc.; estos no necesariamente se encontrarán en documentos, sino en
medios magnéticos para lo cual el auditor deberá conocer las formas de
recopilarlos mediante el uso del computador.
Entrevistas con el personal apropiado, las cuales deben tener una naturaleza de
descubrimiento no de acusatoria.
Observación de operaciones y actuación de empleados, esta es una técnica

importante para varios tipos de revisiones, para esto se debe documentar con el
suficiente grado de detalle como para presentarlo como evidencia de auditoría.
Auto documentación, es decir el auditor puede preparar narrativas en base a su

observación, flujo gramas, cuestionarios de entrevistas realizados. Aplicación de
técnicas de muestreo para saber cuándo aplicar un tipo adecuado de pruebas (de
cumplimiento o sustantivas) por muestras.
Utilización de técnicas de auditoría asistida por computador CAAT, consiste en el

uso de software genérico, especializado o utilitario.
Evaluación de fortalezas y debilidades de auditoría.
Luego de desarrollar el programa de auditoría y recopilar evidencia de auditoría, el

siguiente paso es evaluar la información recopilada con la finalidad de desarrollar
una opinión. Para esto generalmente se utiliza una matriz de control con la que se
evaluará el nivel de los controles identificados, esta matriz tiene sobre el eje
vertical los tipos de errores que pueden presentarse en el área y un eje horizontal
los controles conocidos para detectar o corregir los errores, luego se establece un
puntaje (puede ser de 1 a 10 ó 0 a 20, la idea es que cuantifique calidad) para
cada correspondencia, una vez completada, la matriz muestra las áreas en que los
controles no existen o son débiles, obviamente el auditor debe tener el suficiente
criterio para juzgar cuando no lo hay si es necesario el control.
En esta parte de evaluación de debilidades y fortalezas también se debe elegir o

determinar la materialidad de las observaciones o hallazgos de auditoría. El
auditor de sistemas debe juzgar cuales observaciones son materiales a diversos
niveles de la gerencia y se debe informar de acuerdo a ello.
c. INFORME DE AUDITORÍA.
En una primera aproximación, puede decirse que el informe de auditoría de

sistemas de información es un documento que presenta el trabajo efectuado por el
auditor y su opinión profesional sobre la totalidad, área o sección del S.I. objetivo
de la auditoría. El informe es, a la postre, el resultado final y formal que refleja todo
su esfuerzo comprensivo de los elementos personales, temporales, identificativos
de alcance y de opinión, que incluye conclusiones, recomendaciones, salvedades
(reservas y calificaciones) y fallos significativos detectados. La finalidad y los usos
de dicho informe, sean cuales fueren, justifican la auditoría y su realización por el
susodicho auditor, en función de dos de sus atributos capitales: la competencia
técnica profesional y la independencia. (PEÑA SANCHEZ, 2000)
PUNTOS BÁSICOS PARA LA ELABORACIÓN DE UN INFORME DE AUDITORÍA

DE S.I.
Se relacionan a continuación los puntos más importantes a la hora de realizar un

Informe de auditoría de S.I., según ISACA:
 ANTECEDENTES
• Correspondencia normativa
• Necesidad de Guía
 INFORME
• Propósito y contenido
• Receptores designados
• Estilo y contenido
• Declaración de objetivos
• Ámbito, naturaleza, tiempo y extensión del trabajo
• Restricciones en la distribución
• Fallos significativos
• Conclusiones
• Recomendaciones
• Reservas y calificaciones
• Presentación
• Oportunidad
• Consideraciones de los sucesos posteriores
 ACTIVIDADES POSTERIORES
• Solicitud de respuesta (PEÑA SANCHEZ, 2000)
Los informes de auditoría son el producto final del trabajo del auditor de sistemas,
este informe es utilizado para indicar las observaciones y recomendaciones a la
gerencia, aquí también se expone la opinión sobre lo adecuado o lo inadecuado
de los controles o procedimientos revisados durante la auditoría, no existe un
formato específico para exponer un informe de auditoría de sistemas de
información, pero generalmente tiene la siguiente estructura o contenido:
Introducción al informe, donde se expresara los objetivos de la auditoría, el

período o alcance cubierto por la misma, y una expresión general sobre la
naturaleza o extensión de los procedimientos de auditoría realizados.
Observaciones detalladas y recomendaciones de auditoría.
Respuestas de la gerencia a las observaciones con respecto a las acciones

correctivas.
Conclusión global del auditor expresando una opinión sobre los controles y
procedimientos revisados.
d. Seguimiento de las observaciones de auditoría.

El trabajo de auditoría es un proceso continuo, se debe entender que no serviría

de nada el trabajo de auditoría si no se comprueba que las acciones correctivas
tomadas por la gerencia, se están realizando, para esto se debe tener un
programa de seguimiento, la oportunidad de seguimiento dependerá del carácter
crítico de las observaciones de auditoría. El nivel de revisión de seguimiento del
auditor de sistemas dependerá de diversos factores, en algunos casos el auditor
de sistemas tal vez solo necesite inquirir sobre la situación actual, en otros casos
tendrá que hacer una revisión más técnica del sistema.
e. Auditoría Informática de Comunicaciones y Redes
Para el informático y para el auditor informático, el entramado conceptual que

constituyen las Redes Nodales, Líneas, Concentradores, Multiplexores, Redes
Locales, etc. no son sino el soporte físico-lógico del Tiempo Real. El auditor
tropieza con la dificultad técnica del entorno, pues ha de analizar situaciones y
hechos alejados entre sí, y está condicionado a la participación del monopolio
telefónico que presta el soporte. Como en otros casos, la auditoría de este sector
requiere un equipo de especialistas, expertos simultáneamente en
Comunicaciones y en Redes Locales (no hay que olvidarse que en entornos
geográficos reducidos, algunas empresas optan por el uso interno de Redes
Locales, diseñadas y cableadas con recursos propios).
El auditor de Comunicaciones deberá inquirir sobre los índices de utilización de las

líneas contratadas con información abundante sobre tiempos de desuso. Deberá
proveerse de la topología de la Red de Comunicaciones, actualizada, ya que la
desactualización de esta documentación significaría una grave debilidad. La
inexistencia de datos sobre cuantas líneas existen, cómo son y donde están
instaladas, supondría que se bordea la Inoperatividad Informática. Sin embargo,
las debilidades más frecuentes o importantes se encuentran en las disfunciones
organizativas. La contratación e instalación de líneas va asociada a la instalación
de los Puestos de Trabajo correspondientes (Pantallas, Servidores de Redes
Locales, Computadoras con tarjetas de Comunicaciones, impresoras, etc.). Todas
estas actividades deben estar muy coordinadas y de ser posible, dependientes de

una sola organización.
f. Auditoría de la Seguridad informática:
La computadora es un instrumento que estructura gran cantidad de información, la

cual puede ser confidencial para individuos, empresas o instituciones, y puede ser
mal utilizada o divulgada a personas que hagan mal uso de esta. También pueden
ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o parcial de
la actividad computacional. Esta información puede ser de suma importancia, y el
no tenerla en el momento preciso puede provocar retrasos sumamente costosos.
En la actualidad y principalmente en las computadoras personales, se ha dado

otro factor que hay que considerar: el llamado "virus" de las computadoras, el cual,
aunque tiene diferentes intenciones, se encuentra principalmente para paquetes
que son copiados sin autorización ("piratas") y borra toda la información que se
tiene en un disco. Al auditar los sistemas se debe tener cuidado que no se tengan
copias "piratas" o bien que, al conectarnos en red con otras computadoras, no
exista la posibilidad de transmisión del virus. El uso inadecuado de la computadora
comienza desde la utilización de tiempo de máquina para usos ajenos de la
organización, la copia de programas para fines de comercialización sin reportar los
derechos de autor hasta el acceso por vía telefónica a bases de datos a fin de
modificar la información con propósitos fraudulentos.
La seguridad en la informática abarca los conceptos de seguridad física y

seguridad lógica. La seguridad física se refiere a la protección del Hardware y de
los soportes de datos, así como a la de los edificios e instalaciones que los
albergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofes
naturales, etc.
La seguridad lógica se refiere a la seguridad de uso del software, a la protección

de los datos, procesos y programas, así como la del ordenado y autorizado acceso
de los usuarios a la información.
Un método eficaz para proteger sistemas de computación es el software de control

de acceso. Dicho simplemente, los paquetes de control de acceso protegen contra
el acceso no autorizado, pues piden del usuario una contraseña antes de
permitirle el acceso a información confidencial. Dichos paquetes han sido
populares desde hace muchos años en el mundo de las computadoras grandes, y
los principales proveedores ponen a disposición de clientes algunos de estos
paquetes.
Ejemplo: Existe una Aplicación de Seguridad que se llama SEOS, para Unix, que
lo que hace es auditar el nivel de Seguridad en todos los servidores, como ser:
accesos a archivos, accesos a directorios, que usuario lo hizo, si tenía o no tenía
permiso, si no tenía permiso porque falló, entrada de usuarios a cada uno de los
servidores, fecha y hora, accesos con password equivocada, cambios de
password, etc. La Aplicación lo puede graficar, tirar en números, puede hacer
reportes, etc.
La seguridad informática se la puede dividir como Área General y como Área

Especifica (seguridad de Explotación, seguridad de las Aplicaciones, etc.). Así, se
podrán efectuar auditorías de la Seguridad Global de una Instalación Informática –
Seguridad General- y auditorías de la Seguridad de un área informática
determinada – Seguridad Especifica -.
Con el incremento de agresiones a instalaciones informáticas en los últimos años,

se han ido originando acciones para mejorar la Seguridad Informática a nivel
físico. Los accesos y conexiones indebidos a través de las Redes de
Comunicaciones, han acelerado el desarrollo de productos de Seguridad lógica y
la utilización de sofisticados medios criptográficos.
El sistema integral de seguridad debe comprender:
 Elementos administrativos
 Definición de una política de seguridad
 Organización y división de responsabilidades
 Seguridad física y contra catástrofes (incendio, terremotos, etc.)
 Prácticas de seguridad del personal

 Elementos técnicos y procedimientos
 Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los
elementos, tanto redes como terminales.
 Aplicación de los sistemas de seguridad, incluyendo datos y archivos
 El papel de los auditores, tanto internos como externos
 Planeación de programas de desastre y su prueba.
La decisión de abordar una Auditoría Informática de Seguridad Global en una

empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a los
que está sometida. Se elaboran "matrices de riesgo", en donde se consideran los
factores de las "Amenazas" a las que está sometida una instalación y los
"Impactos" que aquellas puedan causar cuando se presentan. Las matrices de
riesgo se representan en cuadros de doble entrada <<Amenaza- Impacto>>, en
donde se evalúan las probabilidades de ocurrencia de los elementos de la matriz.
Ejemplo:
Amenaza 1: Improbable
Impacto
Error Incendio Sabotaje ……………
Destrucción
2: Probable
de - 1 1
Hardware 3: Certeza
Borrado de
3 1 1 -:
Información
Despreciable
El cuadro muestra que si por error codificamos un parámetro que ordene el

borrado de un fichero, éste se borrará con certeza.
CONTROLES
Conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes

de las empresas y para ello permite verificar si todo se realiza conforme a los
programas adoptados, órdenes impartidas y principios admitidos.
En general consiste en examinar los recursos, las operaciones, los beneficios y los
gastos de las producciones (servicios y/o productos de los Sistemas Informáticos),
de los Organismos sujetos a control, con la finalidad de evaluar la eficacia y
eficiencia Administrativa Técnica y/u Operacional de los Organismos, en
concordancia con los principios, normas, técnicas y procedimientos normalmente
aceptados. Asimismo de los Sistemas (Planes, Programas y Presupuestos,
Diseño, Software, Hardware, Seguridad, Respaldos y otros) adoptados por la
Organización para su dinámica de Gestión en salvaguarda de los Recursos del
Estado.
Existe otra definición sobre el "control técnico" en materia de Sistemas e

Informática, y esta se orienta a la revisión del Diseño de los Planes, Diseños de
los Sistemas, la demostración de su eficacia, la Supervisión compulsa de
rendimientos, Pruebas de Productividad de la Gestión - Demanda llamada
"Pruebas intermedias", el análisis de resultados, niveles y medios de seguridad,
respaldo, y el almacenamiento. Así mismo medición de la vida útil del Sistema
Informático adoptado por la Organización bajo control.
Clasificación general de los controles
Controles Preventivos: Son aquellos que reducen la frecuencia con que ocurren
las causas del riesgo, permitiendo cierto margen de violaciones.
Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones.
Sistemas de claves de acceso.
Controles detectivos : Son aquellos que no evitan que ocurran las causas del
riesgo sino que los detecta luego de ocurridos. Son los más importantes para el
auditor. En cierta forma sirven para evaluar la eficiencia de los controles
preventivos.
Ejemplo: Archivos y procesos que sirvan como pistas de auditoría.

Procedimientos de validación.
Controles Correctivos: Ayudan a la investigación y corrección de las causas del

riesgo. La corrección adecuada puede resultar difícil e ineficiente, siendo
necesaria la implantación de controles detectivos sobre los controles correctivos,
debido a que la corrección de errores es en si una actividad altamente propensa a
errores.
Principales Controles físicos y lógicos
Controles particulares tanto en la parte física como en la lógica se detallan a

continuación.
Autenticidad: Permiten verificar la identidad
 Passwords
 Firmas digitales
Exactitud: Aseguran la coherencia de los datos
 Validación de campos
 Validación de excesos
Totalidad: Evitan la omisión de registros así como garantizan la conclusión de un

proceso de envío
 Conteo de registros
 Cifras de control
Redundancia: Evitan la duplicidad de datos
 Cancelación de lotes
 Verificación de secuencias
Privacidad: Aseguran la protección de los datos
 Compactación
 Encriptación
Existencia: Aseguran la disponibilidad de los datos
 Bitácora de estados
 Mantenimiento de activos
Protección de Activos: Destrucción o corrupción de información o del hardware
 Extintores
 Passwords
Efectividad: Aseguran el logro de los objetivos
 Encuestas de satisfacción
 Medición de niveles de servicio
Eficiencia: Aseguran el uso óptimo de los recursos
 Programas monitores
 Análisis costo-beneficio
 Controles automáticos o lógicos
Periodicidad de cambio de claves de acceso
Los cambios de las claves de acceso a los programas se deben realizar

periódicamente. Normalmente los usuarios se acostumbran a conservar la misma
clave que le asignaron inicialmente.
El no cambiar las claves periódicamente aumenta la posibilidad de que personas

no autorizadas conozcan y utilicen claves de usuarios del sistema de computación.
Por lo tanto se recomienda cambiar claves por lo menos trimestralmente.
Combinación de alfanuméricos en claves de acceso

No es conveniente que la clave este compuesta por códigos de empleados, ya que

una persona no autorizada a través de pruebas simples o de deducciones puede
dar con dicha clave.
Para redefinir claves es necesario considerar los tipos de claves que existen:
Individuales: Pertenecen a un solo usuario, por tanto es individual y personal.

Esta clave permite al momento de efectuar las transacciones registrar a los
responsables de cualquier cambio.
Confidenciales: De forma confidencial los usuarios deberán ser instruidos

formalmente respecto al uso de las claves.
No significativas: Las claves no deben corresponder a números secuenciales ni

a nombres o fechas.
Verificación de datos de entrada
Incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o

precisión; tal es el caso de la validación del tipo de datos que contienen los
campos o verificar si se encuentran dentro de un rango.
Conteo de registros
Consiste en crear campos de memoria para ir acumulando cada registro que se

ingresa y verificar con los totales ya registrados.
Totales de Control
Se realiza mediante la creación de totales de línea, columnas, cantidad de

formularios, cifras de control, etc. , y automáticamente verificar con un campo en el
cual se van acumulando los registros, separando solo aquellos formularios o
registros con diferencias.
Verificación de límites
Consiste en la verificación automática de tablas, códigos, límites mínimos y

máximos o bajo determinadas condiciones dadas previamente.
Verificación de secuencias
En ciertos procesos los registros deben observar cierta secuencia numérica o

alfabética, ascendente o descendente, esta verificación debe hacerse mediante
rutinas independientes del programa en si.
Dígito auto verificador
Consiste en incluir un dígito adicional a una codificación, el mismo que es

resultado de la aplicación de un algoritmo o formula, conocido como MODULOS,
que detecta la corrección o no del código. Tal es el caso por ejemplo del décimo
dígito de la cédula de identificado con el ultimo dígito del RUC.
Utilizar software de seguridad en los microcomputadores
El software de seguridad permite restringir el acceso al microcomputador, de tal

modo que solo el personal autorizado pueda utilizarlo.
Adicionalmente, este software permite reforzar la segregación de funciones y la

confidencialidad de la información mediante controles para que los usuarios
puedan acceder solo a los programas y datos para los que están autorizados.
Programas de este tipo son: WACHDOG, LATTICE, SECRET DISK, entre otros.
Controles administrativos en un ambiente de Procesamiento de Datos
La máxima autoridad del Área de Informática de una empresa o institución debe

implantar los siguientes controles que se agruparan de la siguiente forma:
1. Controles de Preinstalación
2. Controles de Organización y Planificación
3. Controles de Sistemas en Desarrollo y Producción
4. Controles de Procesamiento
5. Controles de Operación
6. Controles de uso de Microcomputadores
1.- Controles de Preinstalación
Hacen referencia a procesos y actividades previas a la adquisición e instalación de

un equipo de computación y obviamente a la automatización de los sistemas
existentes.
Objetivos:
 Garantizar que el hardware y software se adquieran siempre y cuando

tengan la seguridad de que los sistemas computarizados proporcionaran
mayores beneficios que cualquier otra alternativa.
 Garantizar la selección adecuada de equipos y sistemas de computación
 Asegurar la elaboración de un plan de actividades previo a la instalación
Acciones a seguir:
 Elaboración de un informe técnico en el que se justifique la adquisición del

equipo, software y servicios de computación, incluyendo un estudio costo-
beneficio.
 Formación de un comité que coordine y se responsabilice de todo el
proceso de adquisición e instalación
 Elaborar un plan de instalación de equipo y software (fechas, actividades,
responsables) el mismo que debe contar con la aprobación de los
proveedores del equipo.
 Elaborar un instructivo con procedimientos a seguir para la selección y
adquisición de equipos, programas y servicios computacionales. Este
proceso debe enmarcarse en normas y disposiciones legales.
 Efectuar las acciones necesarias para una mayor participación de
proveedores.
 Asegurar respaldo de mantenimiento y asistencia técnica.
2.- Controles de organización y Planificación

Se refiere a la definición clara de funciones, línea de autoridad y responsabilidad

de las diferentes unidades del área PAD, en labores tales como:
o Diseñar un sistema
o Elaborar los programas
o Operar el sistema
o Control de calidad
o Se debe evitar que una misma persona tenga el control de toda una
operación.
Es importante la utilización óptima de recursos en el PAD mediante la preparación

de planes a ser evaluados continuamente
Acciones a seguir
 La unidad informática debe estar al mas alto nivel de la pirámide

administrativa de manera que cumpla con sus objetivos, cuente con el
apoyo necesario y la dirección efectiva.
 Las funciones de operación, programación y diseño de sistemas deben
estar claramente delimitadas.
 Deben existir mecanismos necesarios a fin de asegurar que los
programadores y analistas no tengan acceso a la operación del computador
y los operadores a su vez no conozcan la documentación de programas y
sistemas.
 Debe existir una unidad de control de calidad, tanto de datos de entrada
como de los resultados del procesamiento.
 El manejo y custodia de dispositivos y archivos magnéticos deben estar
expresamente definidos por escrito.
 Las actividades del PAD deben obedecer a planificaciones a corto, mediano
y largo plazo sujetos a evaluación y ajustes periódicos "Plan Maestro de
Informática"
 Debe existir una participación efectiva de directivos, usuarios y personal del
PAD en la planificación y evaluación del cumplimiento del plan.
 Las instrucciones deben impartirse por escrito.
3.- Controles de Sistema en Desarrollo y Producción

Se debe justificar que los sistemas han sido la mejor opción para la empresa, bajo
una relación costo-beneficio que proporcionen oportuna y efectiva información,
que los sistemas se han desarrollado bajo un proceso planificado y se encuentren
debidamente documentados.
Acciones a seguir:
Los usuarios deben participar en el diseño e implantación de los sistemas pues

aportan conocimiento y experiencia de su área y esta actividad facilita el proceso
de cambio
 El personal de auditoría interna/control debe formar parte del grupo de diseño

para sugerir y solicitar la implantación de rutinas de control
 El desarrollo, diseño y mantenimiento de sistemas obedece a planes
específicos, metodologías estándares, procedimientos y en general a
normatividad escrita y aprobada.
 Cada fase concluida debe ser aprobada documentadamente por los usuarios
mediante actas u otros mecanismos a fin de evitar reclamos posteriores.
 Los programas antes de pasar a Producción deben ser probados con datos
que agoten todas las excepciones posibles.
 Todos los sistemas deben estar debidamente documentados y actualizados. La
documentación deberá contener:
o Informe de factibilidad
o Diagrama de bloque
o Diagrama de lógica del programa
o Objetivos del programa
o Listado original del programa y versiones que incluyan los cambios
efectuados con antecedentes de pedido y aprobación de modificaciones
o Formatos de salida
o Resultados de pruebas realizadas
 Implantar procedimientos de solicitud, aprobación y ejecución de cambios a
programas, formatos de los sistemas en desarrollo.
 El sistema concluido será entregado al usuario previo entrenamiento y
elaboración de los manuales de operación respectivos
4.- Controles de Procesamiento

Los controles de procesamiento se refieren al ciclo que sigue la información desde

la entrada hasta la salida de la información, lo que conlleva al establecimiento de
una serie de seguridades para:
 Asegurar que todos los datos sean procesados

 Garantizar la exactitud de los datos procesados
 Garantizar que se grabe un archivo para uso de la gerencia y con fines de
auditoría
 Asegurar que los resultados sean entregados a los usuarios en forma
oportuna y en las mejores condiciones.
Acciones a seguir:
 Validación de datos de entrada previo procesamiento debe ser realizada en

forma automática: clave, dígito autoverificador, totales de lotes, etc.
 Preparación de datos de entrada debe ser responsabilidad de usuarios y
consecuentemente su corrección.
 Recepción de datos de entrada y distribución de información de salida debe
obedecer a un horario elaborado en coordinación con el usuario, realizando
un debido control de calidad.
 Adoptar acciones necesarias para correcciones de errores.
 Analizar conveniencia costo-beneficio de estandarización de formularios,
fuente para agilitar la captura de datos y minimizar errores.
 Los procesos interactivos deben garantizar una adecuada interrelación
entre usuario y sistema.
 Planificar el mantenimiento del hardware y software, tomando todas las
seguridades para garantizar la integridad de la información y el buen
servicio a usuarios.
5.- Controles de Operación
Abarcan todo el ambiente de la operación del equipo central de computación y

dispositivos de almacenamiento, la administración de la cintoteca y la operación
de terminales y equipos de comunicación por parte de los usuarios de sistemas
online.
Los controles tienen como fin:
 Prevenir o detectar errores accidentales que puedan ocurrir en el Centro

de Cómputo durante un proceso
 Evitar o detectar el manejo de datos con fines fraudulentos por parte de
funcionarios del PAD
 Garantizar la integridad de los recursos informáticos.
 Asegurar la utilización adecuada de equipos acorde a planes y objetivos.
Acciones a seguir:
• El acceso al centro de cómputo debe contar con las seguridades necesarias

para reservar el ingreso al personal autorizado
• Implantar claves o password para garantizar operación de consola y equipo
central (mainframe), a personal autorizado.
• Formular políticas respecto a seguridad, privacidad y protección de las
facilidades de procesamiento ante eventos como: incendio, vandalismo, robo
y uso indebido, intentos de violación y como responder ante esos eventos.
• Mantener un registro permanente (bitácora) de todos los procesos
realizados, dejando constancia de suspensiones o cancelaciones de
procesos.
• Los operadores del equipo central deben estar entrenados para recuperar o
restaurar información en caso de destrucción de archivos.
• Los backups no deben ser menores de dos (padres e hijos) y deben
guardarse en lugares seguros y adecuados, preferentemente en bóvedas de
bancos.
• Se deben implantar calendarios de operación a fin de establecer prioridades
de proceso.
• Todas las actividades del Centro de Computo deben normarse mediante
manuales, instructivos, normas, reglamentos, etc.
• El proveedor de hardware y software deberá proporcionar lo siguiente:
 Manual de operación de equipos
 Manual de lenguaje de programación
 Manual de utilitarios disponibles
 Manual de Sistemas operativos
• Las instalaciones deben contar con sistema de alarma por presencia de

fuego, humo, así como extintores de incendio, conexiones eléctricas seguras,
entre otras.
• Instalar equipos que protejan la información y los dispositivos en caso de
variación de voltaje como: reguladores de voltaje, supresores pico, UPS,
generadores de energía.
• Contratar pólizas de seguros para proteger la información, equipos, personal
y todo riesgo que se produzca por casos fortuitos o mala operación.
6.- Controles en el uso del Microcomputador
Es la tarea más difícil pues son equipos mas vulnerables, de fácil acceso, de fácil
explotación pero los controles que se implanten ayudaran a garantizar la
integridad y confidencialidad de la información.
Acciones a seguir:
 Adquisición de equipos de protección como supresores de pico,

reguladores de voltaje y de ser posible UPS previo a la adquisición del
equipo
 Vencida la garantía de mantenimiento del proveedor se debe contratar
mantenimiento preventivo y correctivo.
 Establecer procedimientos para obtención de backups de paquetes y de
archivos de datos.
 Revisión periódica y sorpresiva del contenido del disco para verificar la
instalación de aplicaciones no relacionadas a la gestión de la empresa.
 Mantener programas y procedimientos de detección e inmunización de
virus en copias no autorizadas o datos procesados en otros equipos.
 Propender a la estandarización del Sistema Operativo, software utilizado
como procesadores de palabras, hojas electrónicas, manejadores de base
de datos y mantener actualizadas las versiones y la capacitación sobre
modificaciones incluidas.
Analizados los distintos tipos de controles que se aplican en la Auditoría de

Sistemas efectuaremos a continuación el análisis de casos de situaciones
hipotéticas planteadas como problemáticas en distintas empresas, con la finalidad

de efectuar el análisis del caso e identificar las acciones que se deberían
implementar.
7.- Control De Medios De Almacenamiento Masivo
Los dispositivos de almacenamiento representan, para cualquier centro de

cómputo, archivos extremadamente importantes cuya pérdida parcial o total podría
tener repercusiones muy serias, no sólo en la unidad de informática, sino en la
dependencia de la cual se presta servicio. Una dirección de informática bien
administrada debe tener perfectamente protegidos estos dispositivos de
almacenamiento, además de mantener registros sistemáticos de la utilización de
estos archivos, de modo que servirán de base a registros sistemáticos de la
utilización de estos archivos, de modo que sirvan de base a los programas de
limpieza (borrado de información), principalmente en el caso de las cintas.
Además se deben tener perfectamente identificados los carretes para reducir la

posibilidad de utilización errónea o destrucción de la información.
Un manejo adecuado de estos dispositivos permitirá una operación más eficiente y

segura, mejorando además los tiempos de procesos.
8.- Control De Mantenimiento
Como se sabe existen básicamente tres tipos de contrato de mantenimiento: El

contrato de mantenimiento total que incluye el mantenimiento correctivo y
preventivo, el cual a su vez puede dividirse en aquel que incluye las partes dentro
del contrato y el que no incluye partes. El contrato que incluye refacciones es
propiamente como un seguro, ya que en caso de descompostura el proveedor
debe proporcionar las partes sin costo alguno.
Este tipo de contrato es normalmente más caro, pero se deja al proveedor la

responsabilidad total del mantenimiento a excepción de daños por negligencia en
la utilización del equipo. (Este tipo de mantenimiento normalmente se emplea en

equipos grandes).
El segundo tipo de mantenimiento es "por llamada", en el cual en caso de

descompostura se le llama al proveedor y éste cobra de acuerdo a una tarifa y al
tiempo que se requiera para componerlo (casi todos los proveedores incluyen, en
la cotización de compostura, el tiempo de traslado de su oficina a donde se
encuentre el equipo y viceversa). Este tipo de mantenimiento no incluye
refacciones.
El tercer tipo de mantenimiento es el que se conoce como "en banco", y es aquel

en el cual el cliente lleva a las oficinas del proveedor el equipo, y este hace una
cotización de acuerdo con el tiempo necesario para su compostura mas las
refacciones (este tipo de mantenimiento puede ser el adecuado para
computadoras personales).
Al evaluar el mantenimiento se debe primero analizar cuál de los tres tipos es el

que más nos conviene y en segundo lugar pedir los contratos y revisar con
detalles que las cláusulas estén perfectamente definidas en las cuales se elimine
toda la subjetividad y con penalización en caso de incumplimiento, para evitar
contratos que sean parciales.
Para poder exigirle el cumplimiento del contrato de debe tener un estricto control
sobre las fallas, frecuencia, y el tiempo de reparación.
Dificultades para gestionar y controlar adecuadamente los S.I.
a) Percepción de la función de los sistemas de información
Es muy común que se perciba a esta función como un servicio de soporte de las
funciones de línea, por lo que los recursos que se asignan y la atención de la
dirección se dirige a las líneas en teoría más importante, aun en una gran mayoría
se mantiene.
Muchos usuarios ven a la función de los sistemas de información como “un

restaurante de cocina rápida”. Las necesidades de los clientes son siempre
inmediatas y tiene prioridad número uno, sobre cualquier tema de gestión interna
de la función.
Así es frecuente encontrar; documentación escasa de operación y soporte de

explotación, gestión eficiente del almacenamiento, planificación de la capacidad,
seguimiento y gestión del rendimiento de los equipos, instalación desactualizada
de versiones y correcciones de errores en el software proporcionado por los
vendedores, procedimientos de control de cambios en aplicaciones, planes de
recuperación en caso de desastres y prueba de los mismos, revisiones periódicas
de las librerías críticas para asegurar que rutinas no autorizadas no se han
insertado en programas por programaciones de sistemas u otros profesionales y
seguimiento de los informes de intentos de violación de seguridad.
b) Excesivo poder de los informáticos
Los sistemas de información son, por su naturaleza, un tema esotérico y los

técnicos lo saben y han ejercido un tremendo poder debido a su experiencia.
La naturaleza técnica, complejidad y rápida evolución de los sistemas de

información, crean una barrera formidable para los que son ajenos a la función.
La alta dirección carece de tiempo y de inclinación a educarse tales áreas

técnicas.
Los directivos informáticos raramente son promocionados a posiciones de alta

dirección debido a su falta de experiencia en el negocio.
c) Abdicación de la alta dirección
La alta dirección generalmente abdica de sus responsabilidades sobre los

sistemas de información. Los directivos de las empresas se pueden clasificar en
tres categorías:
 Aquellos que desearían que la tecnología desapareciera.

 Los que piensan que este trabajo debería ser elevado en su categoría y
delegado en una persona importante dentro de la organización, alguien
que se ocupe de ello y le mantenga informado y alejado de los problemas.
 Los que perciben la tecnología como una parte integral del día a día y
reconocen que el director de sistemas de información debe formar parte del
equipo de la alta dirección.
d) Los usuarios tienen dificultad para definir sus necesidades Los usuarios
tienen serias dificultades en la definición de sus necesidades.
La dificultad humana básica, es especificar requisitos para sistemas abstractos,

tales como especificar por adelantado los criterios positivos para evaluar los
sistemas actuales.
Así mismo, se demuestra que los usuarios están más capacitados para identificar
fallas, esto es, capacidad que posee un usuario para señalar, cuándo el sistema
no es capaz de resolver su problema como él esperaba.
e) Resistencia de los usuarios al cambio
La tecnología de la información es, a menudo, aplicada inapropiadamente y

desperdiciada muchas de sus potencialidades debido a los procedimientos
obsoletos de trabajo utilizada por los usuarios y su resistencia al cambio.
Una nueva aplicación se desarrolla, de acuerdo con las especificaciones de los

usuarios, ya que estos están muy interesados en mantener las relaciones actuales
de dependencia, se evitan cambios fundamentales en el trabajo.
f) Informática de usuario final
Hoy los usuarios explotan directamente máquinas con una mínima intermediación
en infinidad de áreas, cada vez son más independientes en los trabajos que
realizan.
Hay tres razones importantes para ello:

 La acelerada evolución de la tecnología de computación representada por

los microprocesadores.
 El gran incremento de la formación de los usuarios.
 El gran crecimiento de las carteras de aplicación.
GLOSARIO DE TERMINOS
Afianzar: Garantizar el cumplimiento de una obligación. Afirmar, asegurar

puntualmente.
Aplicaciones: Programa o conjunto de programas concebidos para la realización

de una tarea determinada.
Automatizar: Hacer automático un funcionamiento. Ejecución automática de

tareas industriales, administrativas, o científicas sin la intervención humana
intermediaria.
Competidores: Que compite, acción y efecto de competir respecto de una

empresa o comercio.
Consolida: Dar o adquirir firmeza o solidez. Asegura del todo la alianza.
Directivos: Que tiene facultad y virtud de dirigir.
Hardware: Conjunto de órganos físicos del computador.
Implantación: Establecer, instaurar poner en ejecución practicas o costumbres

nuevas.
Infraestructura: conjunto de trabajos relativos a la cimentación de los edificios.

Base física sobre la que se asienta la economía de un país.
Interactuar: ejercer una acción reciproca.
Líder del proyecto: Dirigir o encabezar un proyecto.
Metodologías: Estudio de los métodos. Aplicación coherente de un método.

Patrocinador: Entidad que favorece o protege una causa, empresa, candidatura.

Sufragar una empresa o institución, generalmente con fines publicitarios.
Pronósticos: Conocer o prever por algunos indicios o señales, el futuro. Predecir

lo que ha de suceder.
Prototipo: Primer ejemplar, modelo.
Relevante: Sobresaliente, excelente. Importante o significativo.
Software: Conjunto de programas procesados, eventualmente documentación,

relativos al funcionamiento de un conjunto de tratamiento de información.
Soporte: Apoyo, sostén. Lo que sirve para sostener algo.
BIBLIOGRAFIA
IVANCEVICH, John M.; LORENZI, Peter; SKINNER, Steven J. y CROSBY, Philip

B.Gestión, calidad y competitividad. Madrid: McGrawHill, 1997.
PRESTHUS, R. The organizational Society. Nueva York, 1962. Citado en:

MOZZELIS, Nicos P. Organización y burocracia. Barcelona: Ediciones Península,
1991.
CHAIN NAVARRO, Celia. Gestión de Información en las Organizaciones. Murcia:

DM, 1997.
LÓPEZ YEPES, José. El desarrollo de los sistemas de información y

documentación. Cuadernos de la EUBD, 1991
KNOWLEDGE-BASED SYSTEMS IN JAPAN, de los autores Edward Feigenbaum

Chair, Peter E. Friedland, Bruce B. Johnson, H. Penny Nii, Herbert Schorr, Howard
Shrobe, Robert S. Engelmore (Ed.).Mayo 1993. Del Japanese Technology
Evaluation Center (JTEC).
GIL PECHUAN, Ignacio. Sistemas y Tecnologías de la Información para la gestión.

Madrid: McGraw Hill, 1997.
FRIEND, D. EIS: straight to the point. Information Strategy: The Executive Journal,
1998
SENN, James A. Análisis y diseño de sistemas de información. México: McGraw-

Hill, 1992
BIRD, J. Executive Information Systems. Management Handbook. Oxford:

Blackwell, 1992.
WEBGRAFIA
http://es.wikipedia.org/wiki/Sistema_de_procesamiento_de_transacciones
(5 de Noviembre del 2011)
http://www.mitecnologico.com/Main/SistemasDeProcesamientoDeTransacciones
www.Gestiopolis.com
Kosciuk H. Nicolas, (2006). “Sistemas de Información Gerencial”. MSN:

nhk@kosciuk.com.ar

Auditoria de Sistemas Trabajo

Caricato da

Informazioni sul documento

Descrizione originale:

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Auditoria de Sistemas Trabajo

Caricato da

Copyright:

Formati disponibili

AUDITORIA DE SISTEMAS UNA PUNO

UNIVERSIDAD NACIONAL DEL ALTIPLANO

En primer lugar agradecemos a Dios,

El presente trabajo, está dedicado

Durante los últimos años se han multiplicado los estudios tendentes a

El dominio de la información externa, no debe hacer olvidar el control de los

Se tiene evidencia de que algún tipo de auditoría se practicó en tiempos muy

Progresivamente se fue introduciendo en Europa y se desarrolló notablemente

 La detección y prevención de fraude;

Este cambio en el objetivo de la auditoría continuó desarrollándose, no sin

La evolución de la función de auditoría ha sido continua a lo largo de estos últimos

 La creciente complejidad de los fenómenos económicos y la dinámica

Entonces entenderemos como Auditoría:

1. Una recopilación, acumulación y evaluación de evidencia sobre información

Auditoría en forma gráfica

Si visualizamos la figura podríamos decir que la auditoría es un proceso a través

Estándar; es el punto de comparación que tiene el auditor, para poder evaluar si

manuales de procedimiento, en otras palabras cualquier documento que nos

1.2. Normas de auditoría generalmente aceptadas

Como ya sabemos todo tipo de norma profesional que se establece es con el

Definición: normas de auditoría son los requisitos mínimos de calidad relativos a

Normas personales: se refieren a las cualidades mínimas que el auditor debe

 Entrenamiento y capacidad profesional; el trabajo de auditoría debe ser

expedido y reconocido, tenga entrenamiento técnico adecuado y capacidad

En la realización de su examen y preparación de su informe el auditor

Esta norma requiere que el auditor desempeñe su trabajo con el máximo de

1.2.1. Informe COSO

COSO : Committee of Sponsoring Organizations of the

Autor del informe : Copers & Lybrand S.A.

Grupo asesor del informe : Ejecutivos de importantes empresa, tales como

Entidades promotoras : American Institute of Certified Public Accoun,

Definición: el control interno se define como un proceso, efectuado por el

como criterios para determinar si el sistema es eficaz (COOPER&LIBRAND,

“El control interno es un proceso efectuado por el directorio, la dirección y el resto

 Eficacia y eficiencia de las operaciones

El primer aspecto clave de la definición propuesta por el informe COSO es que se

La siguiente frase de la definición, indica que el control interno es asunto de

Puede decirse que la parte más importante de la definición propuesta por el

información financiera y el cumplimiento de la normativa, sino también de las

También se pone en manifiesto que la estructura de control abarca las tres

Gráficamente se muestran los cincos elementos que deben actuar en forma

Entorno de control: el entorno de control marca la pauta del funcionamiento de

“El núcleo de un negocio es su personal (sus atributos individuales, incluyendo la

Evaluación de los riesgos; las organizaciones, cualquiera sea su tamaño, se

Actividades de control: las actividades de control son las políticas y los

necesarias para controlar los riesgos relacionados con la consecución de los

“Deben establecerse y ajustarse políticas y procedimientos que ayuden a

Información y comunicación: hay que identificar, recopilar y comunicar

Dichos sistemas no sólo manejan datos generados internamente, sino también

“Las mencionadas actividades están rodeadas de sistemas de información y

Supervisión: los sistemas de control interno requieren supervisión, es decir, un

“Todo el proceso debe ser supervisado, introduciéndose las modificaciones

1.3. Pruebas y evidencias en Auditoría

Pruebas de cumplimiento: los controles se aplican tal como se describe en la

Pruebas sustantivas; son las pruebas que “sustentan” la adecuación de los

La recopilación de material que ayude en la generación de una opinión lo más

Tipos de Evidencia y pruebas aplicables:

o Comparación: es observar la similitud o diferencia existente entre dos o

Evidencia Oral: se obtiene de otras personas en forma de declaraciones hechas

o Indagación: es el acto de obtener información verbal sobre un asunto

Analizar; consiste en la separación y evaluación crítica, objetiva y minuciosa de los

o Confirmación: es la técnica que permite comprobar la autenticidad de los

Evidencia Documental: consiste en la información elaborada, como la contenida