UNIVERSIDAD TÉCNICA DE MACHALA

FACULTAD DE CIENCIAS EMPRESARIALES

ESCUELA DE CONTABILIDAD Y AUDITORÍA
CARRERA DE CONTABILIDAD Y AUDITORÍA

AUDITORIA III

PROYECTO DE INVESTIGACIÓN

“LA AUDITORÍA INFORMATICA”

DOCENTE:

ING. JOSÉ VICENTE MAZA IÑIGUEZ, Mgs.

INTEGRANTES:
 AZUERO NEGRON VERONICA PAOLA
 GUERRERO SERRANO JONATHAN GERMAN
 MACAS CHIPANA DIANA PATRICIA
 TORRES ONTANEDA VALERIA SOLANGE
 RAMÍREZ GARCÍA MAYRA ALEJANDRA

NIVEL:

DECIMO

PARALELO:

“D”

SECCIÓN:

NOCTURNA

MACHALA EL ORO ECUADOR

UNIDAD 1.- LA AUDITORIA INFORMÁTICA

1.1 La Auditoría Informática

1.2 Clasificación de la Auditoria de Sistemas

1.3 Perfil de Auditor de Informático

1.4 Marco Jurídico de la Informática

1.5 El contrato de Auditoria Informática

1.6 Organización del Departamento del Auditor Informático

1.7 Principales áreas de la Auditoria Informática.

1.8 La informática como herramienta del Auditor Financiero

1.9 Deontología del Auditor informático y su código ético

UNIDAD 2.- LOS RIESGOS EN UNA AUDITORIA INFORMATICA

2.1. Definición de riesgo

2.2. Clasificación de riesgo

2.3. Identificación de riesgo

2.4. Riesgos en un centro cómputo

2.5. Fraude por computador: naturaleza del fraude del computador

2.6 métodos de fraude relacionados con los sistemas contable y financieros

UNIDAD 3.- CONTROL INTERNO DEL SISTEMA CONTABLE

3.1. Las funciones del control interno y auditoria informática
3.2. Definición de control de sistemas
3.3. El sistema de Control interno informático
3.4 .Metodologías del control interno, seguridad Auditoria informática
3.5. Controles de sistemas en un centro de cómputo
3.6. Controles Administrativos
3.7. Control en la entrada de datos
UNIDAD 4.- PLAN DE DESARROLLO DE UNA AUDITORIA DE SISTEMAS
CONTABLES.

4.1 Manejadores de Bases de Datos.

4.2 Elaboración de Estructura de Archivos.

4.3 Creación de rutinas de auditoria de sistema contables.

4.4 Levantamiento de información al área a auditar.

4.5 Papeles de trabajo de auditoria de sistemas contables.

4.6 Manual de auditoría de sistemas.

4.7 Plan de contingencias.

UNIDAD 5.- INFORMES DE AUDITORÍA

5.1. Las normas
5.2. La documentación y evidencia
5.3. Las irregularidades
5.4. Informe al área auditada
5.5. Conclusiones y recomendaciones
UNIDAD 1.- LA AUDITORIA INFORMÁTICA

1.1 La Auditoría Informática

“Es la revisión técnica, especializada y exhaustiva que se realiza a los sistemas

computacionales, software e información utilizados en una empresa, sean
individuales, compartidos y/o de redes, así como a sus instalaciones,
telecomunicaciones, mobiliario, equipos periféricos y demás componentes. Dicha
revisión se realiza de igual manera a la gestión informática, el aprovechamiento de
sus recursos, las medidas de seguridad y los bienes de consumo necesarios para
el funcionamiento del centro de cómputo. El propósito fundamental es evaluar el
uso adecuado de los sistemas para el correcto ingreso de los datos, el
procesamiento adecuado de la información y la emisión oportuna de sus resultados
en la institución, incluyendo la evaluación en el cumplimiento de las funciones,
actividades y operaciones de funcionarios, empleados y usuarios involucrados con
los servicios que proporcionan los sistemas computacionales a la empresa”.
(MUÑOZ RAZO, 2002)

1.2 Clasificación de la Auditoria de Sistemas

“Las definiciones propuestas para la auditoría de sistemas computacionales son las

siguientes:

Auditoría informática

Es la revisión técnica, especializada y exhaustiva que se realiza a los sistemas

computacionales, software e información utilizados en una empresa, sean
individuales, compartidos y/o de redes, así como a sus instalaciones,
telecomunicaciones, mobiliario, equipos periféricos y demás componentes. Dicha
revisión se realiza de igual manera a la gestión informática, el aprovechamiento de
sus recursos, las medidas de seguridad y los bienes de consumo necesarios para
el funcionamiento del centro de cómputo. El propósito fundamentales evaluar el uso
adecuado de los sistemas para el correcto ingreso de los datos, el procesamiento
adecuado de la información y la emisión oportuna de su resultados en la institución,
incluyendo la evaluación en el cumplimiento de las funciones, actividades y
operaciones de funcionarios, empleados y usuarios involucrados con los servicios
que proporcionan los sistemas computacionales a la empresa”. (MUÑOZ RAZO,
2002).

Auditoría con la computadora

“Es la auditoría que se realiza con el apoyo de los equipos de cómputo y sus
programas para evaluar cualquier tipo de actividades y operaciones, no
necesariamente computarizadas, pero sí susceptibles de ser automatizadas; dicha
auditoría se realiza también a las actividades del propio centro de sistemas y a sus
componentes. La principal característica de este tipo de auditoría es que, sea en
un caso o en otro, o en ambos, se aprovecha la computadora y sus programas para
la evaluación de las actividades a revisar, de acuerdo con las necesidades
concretas del auditor, utilizando en cada caso las herramientas especiales del
sistema y las tradicionales de la propia auditoría”. (MUÑOZ RAZO, 2002).

Auditoría sin la computadora

“Es la auditoría cuyos métodos, técnicas y procedimientos están orientados

únicamente a la evaluación tradicional del comportamiento y validez de las
transacciones económicas, administrativas y operacionales de un área de cómputo,
y en s í de todos los aspectos que afectan a las actividades en las que se utilizan
sistemas informáticos, pero dicha evaluación se realiza sin el uso de los sistemas
computacionales. Es también la evaluación tanto a la estructura de organización,
funciones y actividades de funcionarios y personal de un centro de cómputo, así
como a los perfiles de sus puestos, como de los reportes, informes y bitácoras de
los sistemas, de la existencia y aplicación de planes, programas y presupuestos en
dicho centro, así como del uso y aprovechamiento de los recursos informáticos para
la realización de actividades, operaciones y tareas. Asimismo, es la evaluación de
los sistemas de seguridad y prevención de contingencias, de la adquisición y uso
del hardware, software y personal informático, y en s í de todo lo relacionado con
el centro de cómputo, pero sin el uso directo de los sistemas computacionales”.
(MUÑOZ RAZO, 2002).

Auditoría a la gestión informática

“Es la auditoría cuya aplicación se enfoca exclusivamente a la revisión de las

funciones y actividades de tipo administrativo que se realizan dentro de un centro
de cómputo, tales como la planeación, organización, dirección y control de dicho
centro. Esta auditoría se realiza también con el fin de verificar el cumplimiento de
las funciones y actividades asignadas a los funcionarios, empleados y usuarios de
las áreas de sistematización, así como para revisar y evaluar las operaciones del
sistema, el uso y protección de los sistemas de procesamiento, los programas y la
información. Se aplica también para verificar el correcto desarrollo, instalación,
mantenimiento y explotación de los sistemas de cómputo, así como sus equipos e
instalaciones. Todo esto se lleva a cabo con el propósito de dictaminar sobre la
adecuada gestión administrativa de los sistemas computacionales de una empresa
y del propio centro informático”. (MUÑOZ RAZO, 2002).

Auditoría al sistema de cómputo

“Es la auditoría técnica y especializada que se enfoca únicamente a la evaluación

del funcionamiento y uso correctos del equipo de cómputo, su hardware, software
y periféricos asociados. Esta auditoría también se realiza a la composición y
arquitectura de las partes físicas y demás componentes del hardware, incluyendo
equipos asociados, instalaciones y comunicaciones internas o ex ternas, así como
al diseño, desarrollo y uso del software de operación, de apoyo y de aplicación, ya
sean sistemas operativos, lenguajes de procesamiento y programas de desarrollo,
o paquetería de aplicación institucional que se utiliza en la empresa donde se
encuentra el equipo de cómputo que será evaluado. Se incluye también la
operación del sistema”. (MUÑOZ RAZO, 2002)

Auditoría en el entorno de la computadora

“Es la revisión específica que se realiza a todo lo que está alrededor de un equipo
de cómputo, como son sus sistemas, actividades y funcionamiento, haciendo una
evaluación de sus métodos y procedimientos de acceso y procesamiento de datos,
la emisión y almacenamiento de resultados, las actividades de planeación y
presupuestario del propio centro de cómputo, los aspectos operacionales y
financieros, la gestión administrativa de accesos al sistema, la atención a los
usuarios y el desarrollo de nuevos sistemas, las comunicaciones internas y
externas y, en sí, a todos aquellos aspectos que contribuyen al buen
funcionamiento de un área de sistematización”. (MUÑOZ RAZO, 2002)

Auditoría sobre la seguridad de sistemas computacionales

“Es la revisión exhaustiva, técnica y especializada que se realiza a todo lo

relacionado con la seguridad de un sistema de cómputo, sus áreas y personal, así
como a las actividades, funciones y acciones preventivas y correctivas que
contribuyan a salvaguardar la seguridad de los equipos computacionales, las bases
de datos, redes, instalaciones y usuarios del sistema. Es también la revisión de los
planes de contingencia y medidas de protección para la información, los usuarios y
los propios sistemas computacionales, y en s í para todos aquellos aspectos que
contribuyen a la protección y salvaguarda en el buen funcionamiento del área de
sistematización, sistemas de redes o computadoras personales, incluyendo la
prevención y erradicación de los virus informáticos”. (MUÑOZ RAZO, 2002)

Auditoría a los sistemas de redes

“Es la revisión exhaustiva, específica y especializada que se realiza a los sistemas

de redes de una empresa, considerando en la evaluación los tipos de redes,
arquitectura, topología, sus protocolos de comunicación, las conexiones, accesos,
privilegios, administración y demás aspectos que repercuten en su instalación,
administración, funcionamiento y aprovechamiento. Es también la revisión del
software institucional, de los recursos informáticos e información de las
operaciones, actividades y funciones que permiten compartir las bases de datos,
instalaciones, software y hardware de un sistema de red”. (MUÑOZ RAZO, 2002)
Auditoría integral a los centros de cómputo

“Es la revisión exhaustiva, sistemática y global que se realiza por medio de un

equipo multidisciplinario de auditores, de todas las actividades y operaciones de un
centro de sistematización, a fin de evaluar, en forma integral, el uso adecuado de
sus sistemas de cómputo, equipos periféricos y de apoyo para el procesamiento de
información de la empresa, así como de la red de servicios de una empresa y el
desarrollo correcto de las funciones de sus áreas, personal y usuarios. Es también
la revisión de la administración del sistema, del manejo y control de los sistemas
operativos, lenguajes, programas y paqueterías de aplicación, así como de la
administración y control de proyectos, la adquisición del hardware y software
institucionales, de la adecuada integración y uso de sus recursos informáticos y de
la existencia y cumplimiento de las normas, políticas, estándares y procedimientos
que regulan la actuación del sistema, del personal y usuarios del centro de
cómputo. Todo esto hecho de manera global por medio de un equipo
multidisciplinario de auditores”. (MUÑOZ RAZO, 2002)

Auditoría ISO-9000 a los sistemas computacionales

“Es la revisión exhaustiva, sistemática y especializada que realizan únicamente los

auditores especializados y certificados en las normas y procedimientos ISO-9000,
aplicando exclusivamente los lineamientos, procedimientos e instrumentos
establecidos por esta asociación. El propósito fundamental de esta revisión es
evaluar, dictaminar y certificar que la calidad de los sistemas computacionales de
una empresa se apegue a los requerimientos del ISO-9000”. (MUÑOZ RAZO, 2002)

Auditoría outsorcing

“Es la revisión exhaustiva, sistemática y especializada que se realiza para evaluar

la calidad en el servicio de asesoría o procesamiento externo de información que
proporciona una empresa a otra. Esto se lleva a cabo con el fin de revisar la
confiabilidad, oportunidad, suficiencia y asesoría por parte de los prestadores de
servicios de procesamiento de datos, así como el cumplimiento de las funciones y
actividades que tienen encomendados los prestadores de servicios, usuarios y el
personal en general. Dicha revisión se realiza también en los equipos y sistemas”.
(MUÑOZ RAZO, 2002)

Auditoría ergonómica de sistemas computacionales

“Es la revisión técnica, específica y especializada que se realiza para evaluar la

calidad, eficiencia y utilidad del entorno hombre-máquina-medio ambiente que
rodea el uso de sistemas computacionales en una empresa. Esta revisión se realiza
también con el propósito de evaluar la correcta adquisición y uso del mobiliario,
equipo y sistemas, a fin de proporcionar el bienestar, confort y comodidad que
requieren los usuarios de los sistemas de cómputo de la empresa, así como evaluar
la detección de los posibles problemas y sus repercusiones, y la determinación de
las soluciones relacionadas con la salud física y bienestar de los usuarios de los
sistemas de la empresa”. (MUÑOZ RAZO, 2002)

1.3 Perfil de Auditor de Informático

“El Auditor informático debe ser una persona con un alto grado de calificación
técnica y al mismo tiempo estar integrado en las corrientes organizativas
empresariales que imperan hoy en día. De esta forma, dentro de la función de
auditoria informática, se deben contemplar las siguientes características para
mantener un perfil profesional adecuado y actualizado.

1. La persona o personas que integren esa función deben contemplar en su

formación básica una mezcla de conocimientos de auditoría financiera y de
informática general. Estos últimos deben contemplar conocimientos básicos
en cuanto a:

 Desarrollo informático: gestión del proyecto y del ciclo de vida d un

proyecto de desarrollo.
 Gestión del departamento de Sistemas.
 Análisis de riesgos en un entorno informático.
  Sistema operativo (este aspecto dependerá de varios factores, pero
principalmente de si va a trabajar en un entorno único – auditor interno
– o por el contrario, va a tener posibilidades de trabajar en varios
entornos como auditor externo).
 Telecomunicaciones.
 Gestión de bases de datos.
 Redes locales.
 Seguridad física.
 Operaciones y planificación informática: efectividad de las operaciones
y rendimiento de los sistemas.
 Gestión de la seguridad de los sistemas y de la continuidad empresarial
a través de planes de contingencia de la información.
 Gestión de problemas y de cambios en entornos informáticos.
 Administración de datos.
 Ofimática.
 Comercio electrónico.
 Encriptación de datos.

2. A estos conocimientos básicos se les deberá añadir una especialización en

función de la importancia económica que distintos componentes financieros
puedan tener en un entorno empresarial. Así, en un entorno financiero
puedes tener mucha importancia las comunicaciones, y será necesario que
alguien dentro de la función de auditoria informática tenga esta
especialización, pero este mismo puede no ser válido para un entorno
productivo en el que las transacciones EDI pueden ser más importantes.

3. Uno de los problemas que más han incidido en la escasa presencia de

auditores informáticos en nuestro país, es quizás la a veces escasa relación
entre el trabajo de auditoria informática y las conclusiones con el entorno
empresarial donde se ubicaba la “entidad auditada”. Esta sensación de que
las normas van por sitios diferentes de por dónde va el negocio ha sido fruto
muchas veces de la escasa comunicación entre el auditado (objetivos
empresariales) y el auditor (objetivos de control). Como quiera que la cruda
 realidad nos está demostrando en la actualidad cada vez más la necesidad
de cada vez mayor control en los sistemas de información, se hace
necesario para el auditor informático conocer técnicas de gestión
empresarial, y sobre todo de gestión del cambio, ya que las
recomendaciones y soluciones que se aporten deben estar en la línea de la
búsqueda optima de la mejor solución para los objetivos empresariales que
se persiguen y con los recursos que se tienen.

4. El auditor informático, debe tener siempre el concepto de Calidad Total.

Como parte de un colectivo empresarial, bien sea permanentemente como
auditor interno o puntualmente como auditor externo, el concepto de calidad
total hará que sus conclusiones y trabajo sea reconocido como un elemento
valioso dentro de la organización y que los resultados sean aceptados en
su totalidad. Esta aplicación organizativa debe hacer que la propia imagen
del auditor informático sea más reconocida de forma positiva por la
organización”. (PIATTINI VELTHUIS)

1.4 Marco Jurídico de la Informática

“La Informática Jurídica la podemos contemplar desde tres categorías diferentes:

1. La Informática Jurídica de Gestión que se presenta como un eficaz

instrumento en la tramitación de los procedimientos judiciales, en la
administración de los despachos de abogados, procuradores, notarios, etc.

2. La Informática Jurídica Documental que es la utilización de la Informática

para facilitar el almacenamiento de enormes volúmenes de datos relativos a
Legislación, Jurisprudencia y Doctrina, con el fin de permitir posteriormente
el acceso a la misma de una forma fácil, rápida y segura.

3. La Informática Jurídica Decisional, por último, es la utilización de la

Informática como un instrumento para ayudar a la toma de decisiones. Tal
es el caso de los jueces ante las sentencias. Está basada, principalmente,
 en técnicas de la denominada “inteligencia artificial” con el empleo de
sistemas expertos y herramientas similares”. (PIATTINI VELTHUIS)

1.5 El contrato de Auditoria Informática

“El contrato informático, según DAVARA RODRÍGUEZ “es aquel cuyo objeto es un
bien o un servicio informático – o ambos – o que una de las prestaciones de las
parte tenga por objeto ese bien o servicio informático”

No existe un numerus clausus de los contratos informáticos y pueden seguir

multiplicándose, lo que viene sucediendo en función de los avances técnicos y de
su mayor utilización por la sociedad.

Los contratos individuales se suelen dividir en tres grandes grupos:

 Hardware
 Software y,
 Servicios.

Entendemos que esta división no responde ya a la realidad, y para una mayor

clarificación del problema y una mayor homogeneidad esta clasificación se debe
ampliar del siguiente modo:

1. Contratación del Hardware.

2. Contratación del Software.
3. Contratación de datos.
4. Contratación de Servicios.
5. Contratos complejos.

Contratación de Hardware

El objeto de la contratación en esta clase de contratos es el hardware, o sea, la

parte física del computador y de sus equipos auxiliares.
Este tipo de contratos no suelen presentar problemas específicos. Los contratos
más usuales son los siguientes:

a) Compraventa.
b) Arrendamiento.
c) Arrendamiento financiero (leasing).
d) Mantenimiento.

Contratación de Software

Los contratos más corrientes son:

Desarrollo de Software

Se trata del caso en que una persona física, un colectivo o una empresa crean un
software específico, a medida para otro. El tipo de contrato puede ser:
arrendamiento de servicios o de obra, mercantil o laboral.

Licencia d Uso

Es el contrato en virtud del cual el titular de los derechos de explotación de un

programa de computador autoriza a otro utilizar el programa, conservando el
cedente la propiedad del mismo. Esta autorización, salvo pacto en contrario, se
entiende de carácter no exclusivo e intransferible.

Adaptación de un Software producto

Se trata d la contratación de una licencia de uso de un producto estándar que habrá

que adaptar a las necesidades del usuario.

Mantenimiento
El contrato de mantenimiento, en principio, tiene por objeto corregir cualquier error
detectado en los programas fuera del periodo de garantía. Se consideran varios
tipos de mantenimiento: correctivo, de adaptación, perfectivo y preventivo.

Garantía de acceso al código fuente

Es aquel que tiene por objeto garantizar al usuario el acceso a un programa fuerte
en el caso de que desaparezca la empresa titular de los derechos de propiedad
intelectual. Consiste en el depósito del programa fuente en un fedatario público,
que lo custodia, por si en el futuro es preciso acceder al mismo.

Contratación de Datos

Principales contratos:

Distribución de la información

El contrato de distribución según PÁEZ MAÑA “consiste en la comercialización de

la base de datos, durante un cierto periodo de tiempo a cambio de un precio, lo que
origina a obligación por parte del titular de la base de aportar los datos que deben
hacerse accesibles a los futuros usuarios, en una forma adecuad para un
tratamiento por el equipo informático del distribuidor, y ceder a este último, en
exclusiva o compartidos con otros distribuidores, los derechos de explotación, que
previamente hayan adquirido por cesión o transmisión de los autores de las obras”.

Suministro de información

Mediante este contrato el usuario puede acceder, siempre que lo precise, a las
bases de datos del distribuidor.

Compra

Es un contrato por el que el titular propietario de una base de datos vende a otro
una copia de ésta con la posibilidad de que el adquiriente, a su vez, pueda no sólo
usarla sino mezclarla con otras propias para después comerciar con ellas. Todo
ello, por supuesto, respetando lo dispuesto en la Ley 5/1992.

Cesión

Es un caso parecido al anterior salvo que sólo se permite el uso por cesionario de
la base sin que se le permita la transmisión posterior.

Compra de etiquetas

En este caso no se permite al comprador la reproducción de las etiquetas y sí su

empleo para envíos por correo.

Contratación de servicios

Los contratos de servicios informáticos más importantes son los siguientes:

 Consultoría informática
 Auditoria informática
 Formación
 Seguridad informática
 Contratación de personal informática
 Instalación
 Comunicaciones
 Seguros
 Responsabilidad civil

Contratos complejos

Los contratos complejos son aquellos que contemplan los sistemas informáticos
como un todo incorporado al objeto del mismo, tanto el hardware como el software
algunos servicios determinados. Los más usuales son los siguientes:

Contratación global o parcial de servicios informáticos (outsourcing)

Se trata de la subcontratación de todo o de parte del trabajo informático mediante
un contrato con una empresa externa que se integra en la estrategia e la empresa
y busca una solución a los problemas existentes.

Contrato de respaldo (back-up)

Su finalidad es asegurar el mantenimiento de la actividad empresarial en el caso de

que circunstancias previstas pero inevitables impidan que sigan funcionando el
sistema informático.

Contrato de llave en mano (turn-key-puckage)

Esta clase de contrato el proveedor se compromete a entregar el sistema creado

donde el cliente le indique y asume la responsabilidad total de diseño, realización,
pruebas, integración y adaptación al entorno informático del cliente tanto lógico
como físico.

Contrato de suministro de energía informática

Como señala GETE-LONSO y CALERA es “aquel mediante el que una parte – el

suministrador- poseedor de una unidad central que permanece en sus locales pone
a disposición del usuario la misma, lo que le permite el acceso a los “software”, a
cambio en un precio”. (PIATTINI VELTHUIS)

1.6 Organización del Departamento del Auditor Informático

“Empezaremos diciendo que tanto dentro del contexto estratégico como del
operativo de las organizaciones actuales, los sistemas informáticos y la arquitectura
que los soporta desempeñan un importante papel como uno de los soportes básicos
por la gestión y el control del negocio siendo así uno de los requerimientos básicos
de cualquier organización. Esto da lugar a los sistemas de información de una
organización.
Es evidente que para que dichos sistemas sus objetivos debe existir una función de
gestión de dichos sistemas, de los recursos que los manejan y de las inversiones
que se ponen a disposición de dichos recursos para que el funcionamiento y los
resultados sean los esperados. Esto es lo que llamamos el Departamento de
Sistemas de Información.

Finalmente, y en función de lo anterior, aunque no como algo no enteramente

aceptado aun, debe existir una función de control de la gestión e los sistemas y del
departamento de sistemas de información. A esta función la llamada auditoria
informática.

El concepto de la función de auditoria informática, en algunos casos llamada

función de control informático y en el menos, llamada y conocida por ambos
términos, arranca en su corta historia, cuando en los años cincuenta las
organizaciones empezaron a desarrollar aplicaciones informáticas. En ese
momento, la auditoria trataba con sistemas cada vez más complejos, se hizo
necesario que parte del trabajo de auditoria empezara a tratar con sistemas que
utilizaban sistemas informáticos.

En ese momento, los equipos de auditoria, tanto externos como internos,

empezaron a ser mixtos, con involucración de auditores financieros. En ese
momento se comenzaron a utilizar dos tipos de enfoque diferentes que en algunos
casos convergían:

 Trabajos en los que el equipo de auditoria informática trabajaba bajo un

programa de trabajo propio, aunque entroncando sus objetivos con los de la
auditoría financiera; este era el caso de trabajos en los que se revisaba
controles generales de la instalación y controles específicos de las
aplicaciones bajo conceptos de riesgo pero siempre unido al hecho de que
el equipo de auditoria informática utilizaría este trabajo para sus
conclusiones generales sobre el componente financiero determinado.

 Revisiones en las que la auditoria informática consistía en la extracción de

información para el equipo de auditoría financiera. En este caso el equipo o
 función de auditoria interna era un exponente de la necesidad de las
organizaciones y departamentos de auditoria de utilizar expertos en
informática para proveer el personal de dicho departamento de información
extraída del sistema informático cuando la información a auditor estaba
empezando a ser voluminosa y se estaba perdiendo la pista de como se
había creado.

Esta situación convive hoy en día con conceptos más actuales y novedosos de lo
que es la función y de lo que son los objetivos de la auditoria informática.

En mi opinión, y es algo que vamos a desarrollar a continuación, la tendencia futura

de la auditoria informática en los siguientes principios:

1. Todos los auditores tendrían que tener conocimientos informáticos que les
permitan trabajar en el cada vez más fluctuantes entorno de las tecnologías
de la información dentro de las organizaciones empresariales, culturales y
sociales.

2. Este aspecto no eliminara la necesidad de especialistas en auditoria

informática; antes al contrario, los especialistas necesitaran cada vez más,
unos conocimientos muy específicos, que al igual que sucede en el entorno
de los sistemas informáticos, les permitan ser expertos en las diferentes
ramas de la tecnología informática: comunicaciones, redes, ofimática,
comercio, eléctricos, seguridad, gestión de base de datos, etc.

3. El auditor informática dejara de ser un profesional formado de otra área, con

su consiguiente reciclado, para pasar a ser un profesional formado y titulado
en auditoria informática que tendrá a su alcance diferentes medios de
formación, externa fundamentalmente, y que tendrá que formar una red de
conocimientos compartidos con otros profesionales, tanto en su
organización como con profesionales de otras organizaciones.
El futuro de la auditoria informática estará en la capacidad de cubrir
adecuadamente, en cuanto a experiencia y especialización, todas las áreas de los
sistemas informáticos y de información de una empresa y en saber de forma propia
o con ayuda interna y externa adecuarse a los cambios que suceden en la
tecnología de la información. Para adecuarse a estos cambios, el auditor
informático, tendrá que autogenerar su propia filosofía de gestión de cambio”.
(PIATTINI VELTHUIS)

1.7 principales áreas de la Auditoria Informática.

“Las áreas en las que el auditor ha de interesarse personalmente, una vez que la
parte del edificio ha sido encargada al juicio del Perito, tendrán relación directa con
el hecho informático, siempre considerando el aspecto físico de la seguridad, y que
serán tales como:

Organigrama de la empresa

Por él se conocerán las dependencias orgánicas, funcionales y jerárquicas de los

departamentos y de los distintos cargos y empleos del personal pudiendo analizar,
con ayuda de documentación histórica, las apropiadas Separación de Funciones y
Rotación en el Trabajo.

Auditoria interna

Departamento independiente o subordinado al de Auditoria Financiera, si existe, y

colaborador de éste en cualquier caso, debe guardar las auditorias pasadas, las
Normas, Procedimientos y Planes que sobre la Seguridad Física y su Auditoria haya
emitido y distribuido la Auditoria competente dentro de la empresa.

Administración de la seguridad

Vista desde una perspectiva general que ampare las funciones, dependencia,
cargos y responsabilidades de los distintos componentes:
  Director o Responsable de la Seguridad Integral.
 Responsable de la Seguridad Informática.
 Administradores de Redes.
 Administradores de Base de Datos.
 Responsables de la Seguridad activa y pasiva del Entorno físico.

Normas, Procedimientos y Planes que, desde su propia responsabilidad haya

emitido, distribuido y controlado el departamento.
Centro de proceso de datos e instalaciones

Entorno en el que se encuentra incluso el CPD como elemento físico y en el que

debe realizar su función informática.

Las instalaciones son elementos accesorios que deben ayudar a la realización de

la mencionada función informática y, a la vez, proporcionar seguridad a las
personas al soft y a los materiales.

 Sala de Host.
 Sala de Operadores.
 Sala de Impresoras.
 Cámara Acorazada.
 Oficinas.
 Almacenes.
 Sala de aparamenta eléctrica.
 Sala de Aire Acondicionado.
 Área de descanso y servicios.

Equipos y comunicaciones

Son los elementos principales del CPD: Host, terminales, computadores

personales, equipos de almacenamiento masivo de datos, impresoras, medios y
sistemas de telecomunicaciones….
El auditor debe inspeccionar su ubicación dentro del CPD así como el Control del
Acceso a los mismos como elementos restringidos.

Computadores personales

Especialmente cuando están en red, son elementos muy potentes e indiscretos que
pueden acceder a prácticamente cualquier lugar donde se encuentren los Datos
(primer objetivo de toda seguridad), por lo que merecerán especial atención tanto
desde el punto de vista de acceso a los mismos como a la adquisición de copias
(hard y soft) no autorizadas. Es especialmente delicada su conexión a los medios
de telecomunicaciones.

Seguridad física del personal

Acceso y salidas seguras así como medios y rutas de evacuación, extinción de

incendios y medios utilizados para ello (agua en lugares con conducciones y
aparatos eléctricos, gases asfixiante…), sistemas de bloqueo de puertas y
ventanas, zonas de descanso y de servicios….

Normas y Políticas emitidas y distribuidas por la Dirección referentes al uso de las

instalaciones por el personal”. (PIATTINI VELTHUIS)

1.8 La informática como herramienta del Auditor Financiero

“Dentro de una especialidad tan reciente y expansiva como la llamada auditoria

informática, cabe perfectamente la confusión conceptual tanto entre los diferentes
aspectos, áreas o enfoques en sí mismos como por la debida a la vertiginosa
evolución que experimenta la especialidad.

Pero como ya pretende explicar el título del capítulo, vamos a tratar de auditoría
financiera. Parece indicarse que en cierta medida nos desgajamos del contenido
general del libro y nos desviamos hacia las auditorias financieras.
No es exactamente así. Si desmenuzamos el contenido de la auditoria y su
evolución podemos observar que el concepto permanece inamovible y son su
objeto y finalidad lo que puede variar.

También parece procedente hacer una alusión específica a la consultoría como

especialidad profesional, ya que se hace preciso delimitar sus respectivos campos
que en ocasiones se confunden y superponen.

Como se verá, no se diferencian de las técnicas y herramientas básicas de toda

auditoria y, como en ellas, su fin es obtener la Evidencia física.

Técnicas

 Observación de las instalaciones, sistemas, cumplimiento de Normas y

Procedimientos, etc. no solo como espectador sino también como actor,
comprobando por sí mismo el perfecto funcionamiento y utilización de los
conceptos anteriores.

 Revisión analítica de:

 Documentación sobre construcción y preinstalaciones.

 Documentación sobre seguridad física.
 Políticas y Normas de Actividad de Sala.
 Normas y Procedimientos sobre seguridad física de los datos.
 Contratos de Seguros y de Mantenimiento.

 Entrevista con directivos y personal, fijo o temporal, que no de la sensación

de interrogación para vencer el natural recelo que el auditor suele despertar
en los empleados.

 Consultas a técnicos y peritos que formen parte de la pastilla o

independientes contratados.
Herramientas

 Cuaderno de campo / grabadora de audio

 Máquina fotográfica / cámara de video

Su uso debe ser discreto y siempre con el consentimiento del personal si éste va a
quedar identificado en cualquiera de las máquinas”. (PIATTINI VELTHUIS)

1.9 Deontología del Auditor informático y su código ético

“Antes de entrar a una aproximación de los diferentes principios deontológicos que

normalmente sr asocian a las actividad de los auditores, no está de más recalcar
que en tanto en cuanto estos no esté plenamente asumidos, como configuradores
de la dimensión ética de su profesión, sería preferible apelar a los comportamientos
morales individuales, como medio de ir incidiendo en la sedimentación de
concepciones humanísticas en el entorno profesional e n que se desenvuelven, a
pretender imponer unilateralmente, a través de agrupaciones, sociedades o
colegios profesionales, dichos principios.

 PRINCIPIOS DEONTOLÓGICOS APLICABLES A LOS AUDITORES

INFORMÁTICOS

Los principios deontológicos aplicables a los auditores deben necesariamente estar

en consonancia con los del resto de profesionales y especialmente con los de
aquellos cuya actividad presente mayores conocimientos con la de la auditoria,
razón por la cual, en equivalencia con los principios deontológicos adoptados por
diferentes colegios y asociaciones profesionales de nuestro entorno socio-cultural,
y sin ánimo de exhaustividad, se pueden indicar como básicos, en un orden
meramente alfabético y ajeno, por tanto, a cualquier ponderación de importancia.

 Principio de beneficio del auditado.

El auditor deberá ver cómo se puede conseguir la máxima eficacia y rentabilidad
de los medios informáticos de la empresa auditada, estando obligado a presentar
recomendaciones acerca del reforzamiento del sistema y el estudio de las
soluciones más idóneas según los problemas detectados en el sistema informático
de esta última siempre y cuando las soluciones que se adopten no violen la ley ni
los principios éticos de las normas deontológicas.

 Principio de calidad

El auditor deberá prestar sus servicios a tenor de las posibilidades de la ciencia y

medios a su alcance con absoluta libertad respecto a la utilización de dichos medios
y en unas condiciones técnicas adecuadas para el idóneo cumplimiento de su labor.
 Principio de capacidad

El auditor debe estar plenamente capacitado para la realización de la auditoria

encomendada, máxime teniendo en cuenta que, en la mayoría de los casos, dada
su especialización, a los auditados en algunos casos les puede ser
extremadamente difícil verificar sus recomendaciones y evaluar correctamente las
precisión de las mismas.

 Principio de cautela

El auditor debe ser en todo momento consciente de que sus recomendaciones

deben estar basadas en la experiencia contrastada que se le supone tiene
adquirida, evitando que, por un exceso de vanidad, el auditado se embarque en
proyectos de futuro fundamentados en simples intuiciones sobre la posible
evolución de las nuevas tecnologías de la información.

 Principio de comportamiento profesional

El auditor, tanto en sus relaciones con el auditado como con terceras personas,
deberá, en todo momento, actuar conforme a las normas, implícitas o explicitas, de
dignidad de la profesión y de corrección en el trato personal.
  Principio de concentración en el trabajo

En su línea de actuación, el auditor deberá evitar que un exceso de trabajo supere

sus posibilidad de concentración y precisión en cada una de las tareas a él
encomendadas, ya que la saturación y dispersión de trabajos suele a menudo, si
no está debidamente controlada, provocar la conclusión de los mismos sin las
debidas garantías de seguridad.

 Principio de confianza

El auditor deberá facilitar e incrementar la confianza del auditado en base a una

actuación de transparencia en su actividad profesional sin alardes científico-
técnicos que, por su incomprensión, pueden restar credibilidad a los resultados
obtenidos y a las directrices aconsejadas de actuación.

 Principio de criterio propio

El auditor durante la ejecución de la auditoria deberá actuar con criterio propio y no

permitir que éste esté subordinado al de otros profesionales, aun de reconocido
prestigio, que no coincidan con el mismo.

 Principio de discreción

El auditor deberá en todo momento mantener una cierta discreción en la divulgación

de datos, aparentemente inocuos, que se le hayan puesto de manifiesto durante la
ejecución de la auditoria.

 Principio de economía

El auditor deberá proteger, en la medida de sus conocimientos, los derechos

económicos del auditado evitando gastos innecesarios en el ejercicio de su
actividad.

 Principio de formación continuada

Este principio, íntimamente ligado al principio de capacidad y vinculado a la
continua evolución de las tecnologías de la información y las metodologías
relacionadas con las mismas, impone a los auditores el deber y la responsabilidad
de mantener una permanente actualización de sus conocimientos y métodos a fin
de adecuarlos a las necesidades de la demanda y a las exigencias de la
competencia de la oferta.

 Principio de fortalecimiento y respeto de la profesión.

La defensa de los auditores pasa por el fortalecimiento de la profesión de los

auditores informáticos, lo que exige un respeto por el ejercicio, globalmente
considerado, de la actividad desarrollada por los mimos y un comportamiento
acorde con los requisitos exigibles para el idóneo cumplimiento de la finalidad de
las auditorias.

 Principio de independencia

Este principio, muy relacionado con el principio de criterio propio, obliga al auditor,
tanto si actúa como profesional externo o con dependencia laboral respecto a la
empresa en la que deba realizar la auditoria informática, a exigir una total
autonomía e independencia en su trabajo, condición ésta imprescindible para
permitirle actuar libremente según su leal saber y entender.

 Principio de información suficiente

Este principio de primordial interés, para el auditado, obliga al auditor a ser

plenamente consciente de su obligación de aportar, en forma pormenorizadamente
clara, precisa e inteligible para el auditado, información tanto sobre todos y cada
uno de los puntos relacionados con la auditoria que puedan tener algún interés para
él. Como sobre las conclusiones a las que ha llegado, e igualmente informarle sobre
la actividad desarrollada durante la misma que servido de base para llegar a dichas
conclusiones.
  Principio de integridad moral

Este principio, inherentemente ligado a la dignidad de persona, obliga al auditor a

ser honesto, leal y diligente en el desempeño de su misión, a ajustarse a las normas
morales, de justicia y probidad, y a evitar participar, voluntaria o inconscientemente,
en cualquier acto de corrupción o de terceras personas.

 Principio de legalidad

En todo momento el auditor deberá evitar utilizar sus conocimientos para facilitar,
a los auditados o a terceras personas, la contravención de la legalidad vigente.

 Principio de libre de competencia

La actual economía de mercado exige que el ejercicio de la profesión se realice en

el marco de la libre competencia, siendo rechazables, por tanto, las practicas
colusorias tendentes a impedir o limitar la legitima competencia de otros
profesionales y las prácticas abusivas consistentes en el aprovechamiento en
beneficio propio, y es contra de los intereses de los auditados, de posiciones
predominantes.

 Principios de no discriminación

El auditor en su actuación previa, durante y posterior a la auditoria, deberá evitar

inducir, participar o aceptar situaciones discriminatorias de ningún tipo, debiendo
ejercer su actividad profesional sin prejuicios de ninguna clase y con la
independencia de las características personales, sociales o económicas de sus
clientes.

 Principio de no injerencia

El auditor, dada la incidencia que puede derivarse de su tarea, deberá evitar

injerencias en los trabajos de otros profesionales, respetar su labor y eludir hacer
comentarios que pudieran interpretarse como despreciativos de la misma o
provocar un cierto desprestigio de su cualificación profesional, a no ser que, por
necesidades de la auditoria, tuviera que explicitar determinadas inidoneidades que
pudieran afectar a las conclusiones o el resultado de su dictamen.

 Principio de precisión

Este principio estrechamente relacionado con el principio de calidad exige del

auditor la no conclusión de su trabajo hasta estar convencido, en la medida de lo
posible, de la viabilidad de sus propuestas, debiendo ampliar el estudio del sistema
informático cuanto considere necesario, sin agobios de plazos, (con la excepción
de lo ya indicado anteriormente respecto al principio de economía) siempre que se
cuente con la aquiescencia del auditado, hasta obtener dicho convencimiento.

 Principio de publicidad adecuada

La oferta y promoción de los servicios de auditoria deberán en todo momento

ajustarse a las características, condiciones y finalidad perseguidas, siendo contraria
a la ética profesional la difusión de publicidad falsa o engañosa que tenga como
objetivo confundir a los potenciales de dichos servicios.

 Principio de secreto profesional

La confidencia y la confianza son características esenciales de las relaciones entre

el auditor y el auditado e imponen al primero la obligación de guardar en secreto
los hechos e informaciones que conozca en el ejercicio de su actividad profesional.
Solamente por imperativo legal podrá decaer esa obligación.

 Principio de servicio público

La aplicación de este principio debe incitar al auditor a hacer lo que esté en su mano
y sin perjuicio de los intereses de su cliente, para evitar daños sociales como los
que puedan producirse en los casos en que, durante la ejecución de la auditoria,
descubra elementos de software dañinos (virus informáticos) que puedan
propagarse a otros sistemas informáticos diferentes del auditado. En estos
supuestos el auditor deberá advertir, necesariamente en forma genérica, sobre la
existencia de dichos virus a fin de que se adopten las medidas sociales informativas
pertinentes para su prevención, pero deberá asimismo cuidar escrupulosamente no
dar indicios que permitan descubrir l procedencia de su información.

 Principio de veracidad

El auditor en sus comunicaciones con el auditado deberá tener siempre presente la

obligación de asegurar la veracidad de sus manifestaciones con los límites
impuestos por los deberes de respeto, corrección y secreto profesional”. (PIATTINI
VELTHUIS)
UNIDAD 2.- LOS RIESGOS EN UNA AUDITORIA INFORMATICA

2.1. DEFINICIÓN DE RIESGO

“Es la probabilidad de que suceda un evento, impacto o consecuencia adversos.

Se entiende también como la medida de la posibilidad y magnitud de los impactos
adversos, siendo la consecuencia del peligro, y está en relación con la frecuencia
con que se presente el evento”. ()

“El riesgo se refiere a la incertidumbre o probabilidad de que una amenaza se

materialice utilizando la vulnerabilidad existente de un activo o grupo de activos,
generándole pérdidas o daños”. (SENA, 2004)

“En esta definición pueden identificarse varios elementos que deben comprenderse
para entender el concepto de riesgo”. ()

El riesgo es una condición del mundo real, en el cual hay una exposición a la
adversidad conformada por una combinación de circunstancias del entorno donde
hay posibilidad de pérdidas. Los riesgos informáticos son exposiciones tales como
atentados y amenazas a los sistemas de información.

“Estos elementos son:

Probabilidad

Se puede establecer de manera cuantitativa o cualitativa teniendo en cuenta en

cada caso que posibilidades existen que la amenaza se presente
independientemente del hecho que sea o no contrarrestada” ()

“Amenaza

Una vez que a programación y el funcionamiento de un dispositivo de

almacenamiento de la información se consideren seguras, todavía deben ser
tenidos en cuenta la circunstancias "no informáticas " que pueden afectar los datos,
los cuales son a menudo imprevisibles o inevitables, de modo que la única posible
es la redundancia (en el caso de los datos9 y la descentralización -por ejemplo
mediante estructura de redes- 8en el caso de la comunicaciones).” ()

“Estos fenómenos pueden ser causados por:

1) El usuario: causa del mayor problema ligado de la seguridad de un sistema

informático porque no le importa, no se da cuenta o propósito).

2) Programas maliciosos: programas destinados a perjudicar o hacer uso

ilícito de los recursos del sistema. Es instalado por inatención o maldad) en el
ordenador abriendo una puerta a intrusos o bien modificando datos. estos
programas pueden ser un virus informático, un gusano informático, un troyano, una
bomba lógica o un programa espía o Spyware.

3) Un intruso: persona que consigue acceder a los datos o programas de los

cuales no tiene acceso permitido (cracker, defacer, script kiddie o script boy, viruxer,
entre otros.)

4) Un siniestro (robo, incendio, inundación): una mala manipulación o una

mal intención derivan a la pérdida del material o de los archivos.”

5) El personal interno de sistemas: Las pujas de poder que llevan a

disociaciones entre los sectores y soluciones incompatibles para la seguridad
informática.

6) Activos: recurso del sistema de información o relacionado con este,

necesario para que la organización funcione correctamente y alcance los objetivos
propuestos”.

7) Vulnerabilidades: son aspectos que influyen negativamente en un activo y

que posibilita la materialización de una amenaza”. ()
Aquí podemos encontrar 7 fenómenos más comunes de riesgo q son muy
importantes.

2.2. CLASIFICACIÓN DE RIESGO

1. “RIESGOS DE INTEGRIDAD

Interface del usuario

Procesamiento
Procesamiento de errores
Interface
Administración de cambios
Información

2. RIESGOS DE RELACION

Los riesgos de relación se refieren al uso oportuno de la información creada por

una aplicación. Estos riesgos se relacionan directamente a la información de toma
de decisiones.

3. RIESGOS DE ACCESO

 Procesos de negocio
 Aplicación
 Administración de la información
 Entorno de procesamiento
 Redes
 Nivel físico

4. RIESGOS DE UTILIDAD

 Los riesgos pueden ser enfrentados por el direccionamiento de sistemas

antes de que los problemas ocurran.
  Técnicas de recuperación/restauración usadas para minimizar la ruptura de
los sistemas.
 Backups y planes de contingencia controlan desastres en el procesamiento
de la información.

5. RIESGOS EN LA INFRAESTRUCTURA

o Planeación organizacional
o Definición de las aplicaciones
o Administración de seguridad
o Operaciones de red y computacionales
o Administración de sistemas de bases de datos
o Información / Negocio

6. RIESGOS DE SEGURIDAD GENERAL

o Riesgos de choque de eléctrico

o Riesgos de incendio
o Riesgos de niveles inadecuados de energía eléctrica.
o Riesgos de radiaciones
o Riesgos mecánicos

7. CONCENTRACION DE PROCESAMIENTO DE APLICACIONES MÁS

GRANDES Y DE MAYOR COMPLEJIDAD

Una de las causas más importantes del incremento en los riesgos informáticos
probablemente sea el aumento en la cantidad de aplicaciones o usos que se le da
a las computadoras y la consecuente concentración de información y tecnología de
software para el procesamiento de datos.

8. DEPENDENCIA EN EL PERSONAL CLAVE

La dependencia en individuos clave, algunos de los cuales poseen un alto nivel de
desempeño técnico, con frecuencia pone a la compañía en manos de relativamente
pocas personas, siendo que éstas por lo general son externas a la organización.

9. DESAPARICION DE LOS CONTROLES TRADICIONALES

Las aplicaciones contienen verificadores automáticos que aseguran la integridad

de la información que se procesa. Este gran cambio en el criterio sobre el control
de los empleados y las brechas respecto a la comunicación, crean situaciones de
seguridad totalmente diferentes.

10. HUELGAS, TERRORISMO E INESTABILIDAD SOCIAL

El nivel actual de riesgo en computación se debe revisar también dentro del

contexto de inestabilidad social en muchas partes del mundo. Ha habido ataques
físicos a diversas instalaciones, sin embargo algunas veces se trata de la incursión
de personal interno y no de agitador.

11. MAYOR CONCIENCIA DE LOS PROVEEDORES

Hasta hace pocos años este tema no constituía motivo de gran preocupación para
los proveedores, pero la conciencia acerca de la exposición a los riesgos los ha
obligado a destinar presupuestos considerables para la investigación acerca de la
seguridad.” ()

En la clasificación de riesgo encontramos 13 riesgos que tiene mayor importancia

riesgos de integridad, riesgos de utilidad, ya que estos riesgos se enfocan en tres
diferentes niveles de riesgo. Los riesgos pueden ser enfrentados por el
direccionamiento de sistemas antes de que los problemas ocurran.
2.3. IDENTIFICACIÓN DE RIESGO

“El Contador Público en su papel de administrador de la información debe estar a

la par con el uso de las tecnologías avanzadas que procesan dicha información, es
así que en su rol de Revisor fiscal, Auditor Externo e Interno, etc., es responsable
de la evaluación de cada uno de los procesos sistemáticos que se realizan en la
organización, por esta razón el Contador Público debe tener claro conocimiento de
los sistemas de información existentes para poder evaluar y modificar si es
necesario” ()

Debido a los rápidos cambios en las tecnologías de la información, la lista de

riesgos que afectan a las empresas no puede ser exhaustiva. Sin embargo, sí
podemos describir un grupo de riesgos, suficientemente significativo, que nos
permita diseñar una guía general de apoyo a la gestión de los mismos.

2.4. RIESGOS EN UN CENTRO CÓMPUTO

“Los riesgos en un centro de cómputo son:

 Factores físicos.
 Factores ambientales
 Factores humanos

Factores físicos.

 Cableado.
 La iluminación
 El aire de renovación o ventilación
 Las fuentes de alimentación.

Factores ambientales

 Incendios.
 Inundaciones.
  Sismos.
 Humedad.

Factores humanos

Robos.
Actos vandálicos.
Actos vandálicos contra el sistema de red
Fraude.
Sabotaje.
Terrorismo”. ()

Los riesgos en un centro de cómputo son muchos ya que se caracteriza en 3

grandes grupos que son físicos, ambientales y humanos.

2.5. FRAUDE POR COMPUTADOR: NATURALEZA DEL FRAUDE DEL

COMPUTADOR

“Las redes y los computadores son ingredientes esenciales para perpetuar fraudes
en las aéreas vulnerables de los sistemas.

“Acción culpable realizada por un ser humano que causa un perjuicio a personas
sin que necesariamente se beneficie el autor o que por el contrario produzca un
beneficio ilícito a su autor aunque no perjudique en forma directa o indirecta a la
víctima”. ()

Es una acción culpable realizada por un ser humano que causa un perjuicio a
personas sin que necesariamente se beneficie el autor o que por el contrario
produzca un beneficio ilícito a su autor aunque no perjudique en forma directa o
indirecta a la víctima.

PROBLEMAS PARTICULARES QUE INFLUYEN EN LOS FRAUDES

2.6 METODOS DE FRAUDE RELACIONADOS CON LOS SISTEMAS
CONTABLE Y FINANCIEROS

1. “LA TÉCNICA DEL CABALLO DE TROYA.

Consiste en insertar instrucciones, con objetivos de fraude, en los programas

aplicativos, de manera que, además de las funciones propias del programa,
también ejecute funciones no autorizadas.

Las instrucciones fraudulentas se esconden dentro de las demás, obteniendo

acceso libre a los archivos de datos, normalmente usados por el programa.

Esta técnica es muy común debido a la facilidad que se presenta para ocultar las
instrucciones fraudulentas dentro de cientos de instrucciones que generalmente
componen los programas aplicativos.” ()

2. TÉCNICA DEL TALADRO.

Consiste en utilizar una computadora para llamar o buscar la manera de entrar al
sistema con diferentes códigos hasta cuando uno de ellos resulte aceptado y
permita el acceso a los archivos deseados.

Mediante e del sistema de ensayo permanente se descubren las contraseñas del

sistema para entrar a los archivos y extraer información, en forma fraudulenta” ().

3. “AGUJEROS DEL SISTEMA OPERATIVO O TRAMPAS-PUERTA.

Son deficiencias del sistema operacional, desde las etapas de diseño original.

Los expertos programadores del sistema pueden aprovechar las debilidades del
sistema operacional para insertar instrucciones no autorizadas, en dicho sistema,
con el objeto de configurar fraudes informáticos. Las salidas del sistema
operacional permiten el control a programas escritos, por el usuario, lo cual facilita
la operacionalización de fraudes” ().

4. RECOLECCION DE BASURA

“La recolección de basura es una técnica para obtener información abandonada o

alrededor del sistema de computación, después de la ejecución de un JOB.
Consiste en buscar copias de listados producidos por el computador y papel carbón
para de allí extraer información, en términos de programas, datos, passwords y
reportes especiales básicamente” ().

5. JUEGO DE LA PIZZA.

“Es un método relativamente fácil para lograr el acceso no autorizado a los centros
de PED, así estén adecuadamente controlados.

Consiste en que un individuo se hace pasar por la persona que entrega la pizza y
en esa forma se garantiza la entrada a las instalaciones de PED durante y después
de las horas de trabajo” ().
7. “BOMBAS DE RELOJERÍA O BOMBAS LÓGICAS.

“Las bombas lógicas son una técnica de fraude, en ambientes computarizados, que
consiste en diseñar e instalar instrucciones fraudulentas en el software autorizado,
para ser activadas cuando se cumpla una condición o estado específico.

Esta técnica de fraude, es difícil de descubrir, porque mientras no sea satisfecha la

condición o estado especifico, el programa funciona normalmente procesando los
datos autorizados sin arrojar sospecha de ninguna clase” ().

8. “SUPERZAPPING.

Deriva su nombre de superzap, un programa utilitario de IBM de un alto riesgo por

sus capacidades.

Permite adicionar, modificar y eliminar registros de datos, datos de registros o

agregar caracteres dentro de un archivo maestro, sin dejar rastro y sin modificar ni
corregir los programas normalmente usados para mantener el archivo.

Este programa permite consultar los daros para efectos de conocimiento o para
alterarlos omitiendo todos los controles y seguridades en actividad establecidos” ().

9. “MANIPULACIÓN DE TRANSACCIONES.

La manipulación de transacciones ha sido el método más utilizado para la comisión

de fraudes, en ambientes computarizados.

El mecanismo para concretar el fraude sistémico o informático, consiste en cambiar

los datos antes o durante la entrada al computador. Puede ser ejecutado por
cualquier persona que tenga acceso a crear, registrar, transportar, codificar,
examinar, comprobar o convertir los datos que entran al computador.

Por ejemplo alterar los documentos fuente y modificar el contenido en alto relieve
de las tarjetas de crédito entre otros.” ()
Un auditor tiene que tener bien claro todos los métodos que se puede hacer fraudes.

Ya que aquellos eventos de fraude en donde se ejecutan maniobras con el

propósito de generar estados financieros que no reflejan adecuadamente la
realidad económica de la compañía, es un fraude-

(Ejemplos: registro ficticio de ingresos, inadecuado de reconocimiento de pérdidas,

reporte de activos falsos o sobre-valuados)

UNDAD 3. CONTROL INTERNO DEL SISTEMA CONTABLE

3.1 LAS FUNCIONES DE CONTROL INTERNO Y AUDITORÍA INFORMÁTICA.

Control Interno Informático.

El Control Interno Informático controla diariamente que todas las actividades de los
sistemas de información sean realizadas cumpliendo los procedimientos, estándares y
normas fijados por la Dirección de la Organización y/o la Dirección de Informática, así como
los requerimientos legales.

La misión del Control Interno Informático es asegurarse de que las medidas que se obtienen
de los mecanismos implantados por cada responsable sean correctas y válidas.

El control es diario o muy frecuente cuyos principales objetivos son:

 Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de

los grados adecuados del servicio informático.
 Ver que todo se hace según los procedimientos internos y normas legales: se debe
controlar que todas las actividades se realizan cumpliendo con los procedimientos
y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas
legales.
 Asesorar sobre el conocimiento de las normas al resto de la organización.
 Colaborar y apoyar al trabajo de la Auditoría Informática, así como de las auditorías
externas al Grupo.

Auditoria Informática.

La Auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para

determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de
los datos, lleva al cabo eficazmente los fines de la organización y utiliza eficientemente los
recursos.

La Auditoría Informática es puntual, cuyos principales objetivos son:

 Objetivos de protección de activos y datos, e integridad de los datos.

 Objetivos de gestión sobre la eficacia y eficiencia de los procesos, así como de la
utilidad, fiabilidad e integridad de los equipos e información.

El auditor es responsable de revisar e informar a la Dirección de la Organización sobre el

diseño y el funcionamiento de los controles implantados. Y sobre la fiabilidad de la
información suministrada.

Se puede establecer tres grupos de funciones a realizar por un auditor informático:

1. Participar en las revisiones durante y diseño.

2. Revisar y juzgar los controles implantados en los sistemas informáticos para verificar
su adecuación a las órdenes e instrucciones de la Dirección, así como requisitos legales,
protección de confidencialidad y cobertura ante errores y fraudes.
3. Revisar y juzgar el nivel de eficiencia, utilidad, fiabilidad y seguridad de los equipos y
de la información.

La auditoría suele acometerse con personal externo, además del posible personal interno.
E informa la Dirección del Departamento de Informática

3.2 DEFINICION DE CONTROL DE SISTEMAS

Se define como control de un sistema al conjunto de estrategias, metodologías, y, recursos

que se utiliza para lograr que la(s) variables(s) seleccionada(s) como fundamental(es) para
cierto proceso tecnológico, correspondan a un paradigma preestablecido.

La controlabilidad de un sistema se define como la posibilidad de llevarlo a un estado

particular usando una señal de control adecuada.
La observabilidad en un sistema, se define como la posibilidad de determinar el estado
interno del sistema, mediante la observación del comportamiento de las señales de
entrada y salida del sistema.

Para garantizar el correcto funcionamiento del sistema en lazo cerrado, cada estado de las
variables controladas debe ser controlable y observable.

3.3 SISTEMA DE CONTROL INTERNO DE INFORMATICO

Los controles cuando se diseñen, desarrollen e implanten han de ser al menos completos,
simples, fiables, revisables, adecuados y rentables. Normalmente, estos controles son
automáticos, aunque sus resultados se revisan de forma manual.

Los objetivos de los controles informáticos se han clasificados en las siguientes categorías:

· Controles preventivos: controles para tratar de evitar un hecho, como un software de

seguridad que impida los accesos no autorizados al sistema.

· Controles detectivos: controles para cuando fallan los controles preventivos, se de

tratar de conocer cuanto antes el evento.

· Controles correctivos: controles que facilitan la vuelta a la normalidad cuando se ha

producido incidencias (por ejemplo, copias de seguridad).

Implantación de un sistema de controles internos informáticos.

Los controles pueden implantarse a varios niveles diferentes.

Para llegar a conocer la configuración del sistema es necesario documentar los detalles de
la red, así como los distintos niveles de control y elementos relacionados. Por tanto, se
debe conocer a fondo y documentar:
  Entorno de red.
 Configuración del ordenador/es central/es (hots).
 Entorno de aplicaciones.
 Productos y herramientas de desarrollo de software.
 Seguridad (en especial del ordenador central y bases de datos).

Para la implantación de un sistema de controles internos informáticos habrá que definir

objetivos, métodos y política de control para:

· Gestión de sistemas de información: a través de políticas, pautas y normas técnicas

que sirvan de base para el diseño y la implantación de los sistemas de información y de los
controles correspondientes.

· Administración de sistemas.: a través de controles sobre la actividad de los centros

de datos y otras funciones de apoyo al sistema, incluyendo la administración de las redes.

· Seguridad: que debe incluir las tres clases de controles fundamentales implantados
en el software del sistema, como integridad del sistema, confidencialidad (control de
acceso) y disponibilidad.

· Gestión de cambio: separación de las pruebas y la producción a nivel de software y

controles de procedimientos, para la migración de programas software aprobados y
probados.

La implantación de una política y cultura sobre la seguridad, requiere que sea realizada por
fases, cada función juega un papel importante en las distintas etapas que son, básicamente,
las siguientes:

Dirección de Negocio o Dirección de Sistemas de Información (S.I.): han de definir la

política y/o directrices para los sistemas de información en base a las exigencias del
negocio, que podrán ser internas o externas.

Dirección de Informática: ha de definir las normas de funcionamiento del entorno

informático y de cada una de las funciones de informática mediante la creación y
publicación de procedimientos, estándares, metodología y normas, aplicables a todas las
áreas de informática, así como a los usuarios que establezcan el marco de funcionamiento.

Control Interno Informático: ha de definir los diferentes controles periódicos a realizar

encada una de las funciones informáticas, de acuerdo al nivel de riesgo de cada una de
ellas, y ser diseñados conforme a los objetivos de negocio y dentro del marco legal aplicable
(estos se plasmarán en los oportunos procedimientos de control interno y podrán ser
preventivos o de detección). Realizará periódicamente la revisión de los controles
establecidos de Control Interno Informático, informando de las desviaciones a la Dirección
de Informática y sugiriendo cuantos cambios crea convenientes en los controles.
Auditor interno/externo informático: ha de revisar los diferentes controles internos
definidos en cada una de las funciones informáticas y el cumplimiento de la normativa
interna y externa, de acuerdo al nivel de riesgo y conforme a los objetivos definidos por la
Dirección de Negocio y la Dirección de Informática. Informará también a la Alta Dirección,
de los hechos observados y al detectarse deficiencias o ausencias de controles
recomendarán acciones que minimicen los riesgos que pueden originarse.

La creación de un sistema de control informático es una responsabilidad de la Gerencia y

un punto destacable de la política en el entorno informático.

3.4 METODOLOGIA DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA INFORMATICA

Metodología es un conjunto de métodos que se siguen en una investigación científica o en

una exposición doctrinal, es decir, que cualquier proceso científico debe estar sujeto a una
disciplina definida con anterioridad.

El uso de métodos de auditoría es casi paralelo al nacimiento de la informática, en la que

existen muchas disciplinas en cuyo uso de las metodologías constituyen una práctica
habitual.

En la seguridad de sistemas se utilizan todas las metodologías necesarias para realizar un

plan de seguridad además de la auditoria informática.

Existen dos metodologías de evaluación de sistemas son las de ANALISIS DE RIESGOS y las
de AUDITORIA INFORMATICA, con dos enfoques distintos. La auditoria informática solo
identifica el nivel de exposición por la falla de controles, mientras el análisis de riesgos
facilita la evaluación de los riesgos y recomienda acciones en base al coste-beneficio de las
mismas.

TIPOS DE METODOLOGIAS

Las metodologías existentes en la auditoria y el control informático, se pueden agrupar en

dos familias:

METODOLOGIAS CUANTITATIVAS

Están diseñadas para producir una lista de riesgos que pueden compararse entre sí con
facilidad por tener asignados unos valores numéricos. Estos valores en el caso de
metodologías de análisis de riesgos son datos de probabilidad de ocurrencia de un evento
que se debe extraer de un registro de incidencias donde el número de incidencias tienda al
infinito.

METODOLOGIAS CUALITATIVAS/SUBJETIVAS
Se basan en métodos estadísticos y lógica borrosa. Precisan de un profesional
experimentado, pero requieren menos recursos humanos/tiempo que las metodologías
cuantitativas.

CONTROL INTERNO INFORMATICO. SUS METODOS Y PROCESAMIENTOS. LAS

HERRAMIENTAS DE CONTROL

Función de Control;

En la auditoria Informática; esta tiene función de vigilancia y evaluación mediante

dictámenes, los auditores de tienen diferentes objetivos de los de cuentas, ellos evalúan
eficiencia, costos y la seguridad con mayor visión, y realizan evaluaciones de tipo
cualitativo.

Control interno informático; Cumplen funciones de control dual en los diferentes

departamentos, que puede ser normativa, marco jurídico, la funciones del control interno
es la siguientes determinar los propietarios y los perfiles según la clase de información,
permitir a dos personas intervenir como medida de control, realizar planes de
contingencias, dictar normas de seguridad informática, controla la calidad de software, los
costos, los responsables de cada departamento, control de licencias, manejo de claves de
cifrado, vigilan el cumplimiento de normas y de controles, es clara que esta medida permite
la seguridad informática.

Metodologías de clasificación de información y de obtención de procedimientos de

control;

Es establecer cuáles son las entidades de información a proteger, dependiendo del grado
de importancia de la información para el establecimiento de contramedidas.

Herramientas de control;

Las herramientas de control, son de dos tipos lógicos y físicos , des del punto lógico son
programas que brindar seguridad, las principales herramientas son las siguientes;
seguridad lógica del sistema, seguridad lógica complementaria del sistema, seguridad
lógica en entornos distribuidos, control de acceso físico, control de copias, gestión de
soporte magnéticos, gestión de control de impresión y envío de listados por red, control de
proyectos y versiones , gestión de independencia y control de cambios. Y físicos los
cifradores.

3.5 CONTROLES DE SISTEMAS EN UN CENTRO DE CÓMPUTO

Debido a las características propias del análisis y la programación, es muy frecuente que la
implantación de los sistemas se retrase y se llegue a suceder que una persona lleva
trabajando varios años dentro de un sistema o bien que se presenten irregularidades en las
que los programadores se ponen a realizar actividades ajenas a la dirección de informática.
Para poder controlar el avance de los sistemas, ya que ésta es una actividad de difícil
evaluación, se recomienda que se utilice la técnica de administración por proyectos para
su adecuado control.

Para tener una buena administración por proyectos se requiere que el analista o el
programador y su jefe inmediato elaboren un plan de trabajo en el cual se especifiquen
actividades, metas, personal participante y tiempos. Este plan debe ser revisado
periódicamente (semanal, mensual, etc.) para evaluar el avance respecto a lo programado.
La estructura estándar de la planeación de proyectos deberá incluir la facilidad de asignar
fechas predefinidas de terminación de cada tarea. Dentro de estas fechas debe estar el
calendario de reuniones de revisión, las cuales tendrán diferentes niveles de detalle.

3.6 CONTROLES ADMINISTRATIVOS

Los gerentes deben involucrarse en funciones tales como el desarrollo de una política de
controles, la selección y asignación de personal, el delineamiento de responsabilidad, la
preparación de descripciones de puestos, el establecimiento de estancares, la supervisión,
la preparación de un plan estratégico de sistemas de información y la adquisición de un
seguro adecuado.

Política de controles

Establece que las instalaciones de cómputo el software, la documentación y los datos solo
deben utilizarse para los propósitos apropiados de la empresa. El personal de auditoría
interna realiza, por lo menos una vez al año, pruebas de cumplimiento para asegurarse que
los controles están en su lugar y funcionando según lo planeado. En el desarrollo de nuevos
sistemas, los auditores intervienen en la instalación de controles desde el primer día que
empieza el trabajo en sistemas.

Control del personal.

Una investigación más completa a quienes van a trabajar en áreas confidenciales. La

gerencia debe establecer un programa no solo para capacitar a los nuevos empleados, sino
también para actualizar la experiencia de todos los empleados. El control correcto de un
sistema de computación está en función de la supervisión correcta de los empleados de
computación. Las bases de medición para los entandares son los procedimientos, la
calidad, la cantidad, el tiempo y el dinero. Esta medición de estándares se refiere al
personal, al hardware, al software y a la base de datos.

Plan de sistemas de información estratégica

Dicho plan proporciona un mapa general que da a todos los empleados y departamentos
un sentido de dirección y establece una base para el desarrollo de sistemas. Unifica y
coordina a los sistemas y al personal usuario final. Y proporciona un medio para controlar
las actividades y proyectos.

Protección mediante seguros.

Las pólizas de seguros especiales para procesamiento electrónico de datos cubren perdidas
por robo, vandalismo, incendios, inundaciones, terremotos y otros desastres. Estas pólizas
de seguros deberán hacerse para el costo total de reemplazo del equipo de computación,
así como para el software y otros suministros y materiales al igual los ejecutivos deberán a
adquirir un seguro de interrupción del negocio que compense a la compañía por un
incremento en los costos de operación mientras el sistema no está operando.

3.7 CONTROL EN LA ENTRADA DE DATOS

Para procesar los datos de entrada, se deben validar y editar lo más cerca posible del punto
de origen. Los procedimientos para el manejo de errores deben colocarse en el lugar
apropiado, para facilitar la reentrada, oportuna y precisa, de todos los datos corregidos.

Procedimientos de conversión y entrada de datos

Deben estar establecidos los procedimientos de conversión y entrada de datos, que

garanticen la separación de tareas, así como la rutina de verificación del trabajo realizado
en el proceso de entrada de datos.

Se debe revisar los procedimientos relacionados con la conversión de entrada de datos.

Determinar si existen procedimientos documentados que expliquen la manera en que

convierten e introducen los datos.

Identificar a las personas que ejecutan el trabajo en el proceso de entrada de los datos.

Cerciórese de que ninguna persona realiza más de una de las siguientes operaciones:

 Generación de los datos

 Entrada de los datos
 Procesamientos de los datos
 Distribución de los datos.

Determinar si dentro del departamento de sistemas de información existe un grupo

separado que es responsable de realizar operaciones de entrada de datos

Determinar si existe un grupo de control en el departamento de sistemas de información,

que en forma independiente, controle los datos que se introducirán. Identificar los
dispositivos de control utilizados, como los siguientes:

 Flujo administrativo del documento

 Técnicas de lotificación
  Conteo de registros
 Totales de control predeterminados
 Técnicas de registro

Si el grupo de control del departamento controla los datos de entrada y si el registro de los
datos fuente se realizan en forma simultánea en el punto de origen.

Determinar si los documentos fuente utilizados en la conversión o en la entrada de los

datos, son marcados para protegerlos contra duplicaciones o reentradas.

Validación y edición de datos.

Se deben validar y editar los datos de entrada lo más cerca posible del punto de origen.

Se deberían revisar los procedimientos de validación y edición de datos de entrada.

1. Comprobar si se utilizan formatos preprogramados de captura para asegurarse de

que los datos se incorporan en el campo y en el formato adecuado, etc.
2. Determinar si hay apuntadores ínter construidos para facilitar la entrada de los
datos y reducir el número de errores.
3. Determinar si se utilizan terminales inteligentes para permitir la validación, la
edición y el control de principio a fin. Si no se utilizan terminales inteligentes,
evaluar, mediante el análisis de costo-beneficio, si se deben introducir.
4. Determinar el punto en el cual se validan y editan los datos de entrada, a pesar de
que se haya detectado un error en un campo previo.
5. Determinar si los procedimientos de validación y edición de los datos se aplican a
todos los campos de un registro de entrada, a pesar de que haya detectado un error
en un campo previo.
6. Determinar si los procedimientos de validación y edición realizan las siguientes
comparaciones:

a) Código de aprobación o autorización, nivel superior e individual

b) Dígitos verificadores en todas las llaves de identificación.
c) Dígitos verificadores al final de un conjunto de datos numérico que no
está sujeto a balanceo.
d) Validación de códigos
e) Valores numéricos o alfanuméricos
f) Tamaño de los campos
g) Combinación de campos
h) Límite o rango de valores
i) Signos
j) Cotejo de registros
 k) Secuencias
l) Referencias cruzadas

7. Determinar que a ninguna persona se le permita cancelar o rescribir los datos

validados o los errores editados. Si esto se permite a los supervisores, asegurarse
de que existe un registro automático de estas funciones y que se analice
posteriormente para ver si las acciones fueron acertadas.
8. Investigar si el grupo control del departamento usuario maneja totales de control
de lote, generados por terminales o por concentradores, para asegurarse de que
cada lote está completo.

UNIDAD 4.- PLAN DE DESARROLLO DE UNA AUDITORIA DE SISTEMAS

CONTABLES.

4.1 Manejadores de Bases de Datos.

“En vista del auge que toma cada vez la tecnología, es preciso saber hacer de todo
lo relacionado son software, pero no podemos olvidar que también existe la parte
de cómo manejar datos e información.

Para ello existe afortunadamente formas o maneras de como poder guardar

información necesaria y de vital importancia para nuestras empresas o compañías.

Es por tal motivo, es preciso conocer hacer muy de fondo las diferentes plataformas
o manejadores de bases de datos para poder optar por la más adecuada para ser
implanta, si es necesario, en nuestras compañías o empresas, como lo son”1
(PACHECHO, 2012):

1. - Microsoft SQL Server.

 Soporte de transacciones.
 Escalabilidad, estabilidad y seguridad.
 Soporta procedimientos almacenados.

1
PACHECHO, PABLO COSTA. 2012. http://jorgepabloacostapacheco.blogspot.com/2012/02/principales-
manejadores-de-bases-de.html. [En línea] 6 de 02 de 2012. [Citado el: 23 de 12 de 2014.]
  Incluye también un potente entorno gráfico de administración, que permite
el uso de comandos DDL y DML gráficamente.
 Permite trabajar en modo cliente-servidor, donde la información y datos se
alojan en el servidor y los terminales o clientes de la red sólo acceden a la
información.
 Además permite administrar información de otros servidores de datos.

2. - Microsoft Access

“Microsoft Access es un sistema de gestión de bases de datos relacionales para los

sistemas operativos Microsoft Windows, desarrollado por Microsoft y orientado a
ser usado en un entorno personal o en pequeñas organizaciones. Es un
componente de la suite ofimática Microsoft Office. Permite crear ficheros de bases
de datos relacionales que pueden ser fácilmente gestionadas por una interfaz
gráfica simple. Además, estas bases de datos pueden ser consultadas por otros
programas. Este programa permite manipular los datos en forma de tablas
(formadas por filas y columnas), crear relaciones entre tablas, consultas,
formularios para introducir datos e informes para presentar la información.

3. -My SQL.

My SQL es un sistema de gestión de bases de datos relacional, multihilo y

multiusuario con más de seis millones de instalaciones. My SQL AB —desde enero
de 2008 una subsidiaria de Sun Microsystems y ésta a su vez de Oracle Corporation
desde abril de 2009— desarrolla My SQL como software libre en un esquema de
licenciamiento dual.

Inicialmente, My SQL carecía de elementos considerados esenciales en las bases

de datos relacionales, tales como integridad referencial y transacciones. A pesar de
ello, atrajo a los desarrolladores de páginas web con contenido dinámico,
justamente por su simplicidad.

Poco a poco los elementos de los que carecía My SQL están siendo incorporados
tanto por desarrollos internos, como por desarrolladores de software libre. Entre las
características disponibles en las últimas versiones se puede destacar:

 Amplio subconjunto del lenguaje SQL. Algunas extensiones son incluidas

igualmente.
 Disponibilidad en gran cantidad de plataformas y sistemas.
 Posibilidad de selección de mecanismos de almacenamiento que ofrecen
diferente velocidad de operación, soporte físico, capacidad, distribución
geográfica, transacciones...
 Transacciones y claves foráneas.
 Conectividad segura.
 Replicación.
 Búsqueda e indexación de campos de texto”

Con la idea de facilitarnos las tareas que debemos de desempeñar los humanos,
hemos venido inventado diversas herramientas a lo largo de nuestra historia, que
nos permiten tener una mejor calidad de vida.

Así pues, tratando de dar una solución al problema planteado, surgieron los
lenguajes de programación, que son como un lenguaje cualquiera, pero simplificado
y con ciertas normas, para poder trasmitir nuestros deseos al ordenador.

4.2 Elaboración de Estructura de Archivos.

“Con la información obtenida en esta etapa se organiza el primero de dos archivos

de trabajo de la auditoría, el “archivo permanente o expediente continuo de
auditoría”, que contiene la información que representa el estado actual del área
objeto de auditoría. El otro archivo se denomina “archivo de hojas de trabajo” y se
construye con los resultados de cada una de las etapas de la metodología.

a) Archivo permanente

Es el archivo con los antecedentes que reflejan el estado de organización y

funcionamiento de los procesos y sistemas auditados en una entidad.
Este archivo contiene información de la organización que es poco cambiante y, por
consiguiente, tiene validez continua a través del tiempo.

Generalmente, se elabora completamente en la primera auditoría y en las demás

se reemplazan unos documentos por otros actualizados.

b) Archivo de hojas de trabajo

Es el archivo con las hojas de trabajo que contienen las evidencias del desarrollo
de cada una de las etapas de la auditoría.

Los documentos de este archivo tienen validez por una sola vez, es decir, para cada
auditoría realizada a las aplicaciones que están en proceso de evaluación.

Por consiguiente, cada vez que se efectúe una auditoría se debe elaborar un nuevo
archivo con la información recopilada”2 (ARCHIVO).

Facilitan el desarrollo de la auditoria ya que nos ayudan a plasmar datos, técnicas,

entre otros que ayudan el desenvolvimiento de lo auditado.

4.3 Creación de rutinas de auditoria de sistema contables.

“Las rutinas de auditoría incorporadas a veces están integradas en un sistema de

computadoras de una entidad para proporcionar datos de uso posterior por el
auditor. Incluyen:

— Fotos instantáneas: Esta técnica implica tomar una foto de una transacción
mientras fluye por los sistemas de computadora. Las rutinas del software de
auditoría están incorporadas en diferentes puntos de la lógica del procesamiento

2
http://www.olacefs.com/Olacefs/ShowProperty/BEA%20Repository/Olacefs/uploaded/content/article/20
120829_1.pdf
para capturar imágenes de la transacción mientras avanza por las diversas etapas
del procesamiento. Esta técnica permite al auditor rastrear los datos y evaluar los
procesos de computadora aplicados a los datos.

— Archivo de revisión de auditoría del control del sistema. Este implica

incorporar módulos de software de auditoría dentro de un sistema de aplicaciones
para proporcionar monitoreo continuo de las transacciones del sistema. La
información es reunida en un archivo especial de computadora que el auditor puede
examinar”.

La creación de rutinas de auditoria son importantes ya que nos sirven como

muestra del desarrollo en la proporción de datos.

4.4 Levantamiento de información al área a auditar.

“Esto es imperativo dentro del proceso de la auditoría, puesto que toda la pericia y
el conocimiento técnico del auditor serían inaplicables si antes no obtiene la
comprensión de aspectos claves del universo que será auditado. Como resultado
de esta actividad, el auditor obtiene la siguiente información:

a) De los procesos de negocio

 Estructura organizacional
 Estructura de las áreas propietarias de la información de los procesos de
negocio
 Clientes internos y externos
 Dependencias de la organización
 Tareas o actividades que realiza cada dependencia
 Terceros que interviene en el manejo de la información
 Cuantificación de las cifras de operaciones que manejan los procesos de
negocio (promedio durante un año)
 Políticas y procedimientos establecidos en la organización relacionados con
los procesos de negocio.
 Normas legales e institucionales que rigen el funcionamiento del servicio
  Información sobre fraudes y otros antecedentes en las operaciones del
servicio

b) De las tecnologías de información que soportan los procesos de

negocios

Funciones y operaciones del negocio que ejecutan los sistemas.

 Modelo entidad/relación de las bases de datos de los sistemas

 Diccionario de datos delos modelos entidad/relación
 Inventario de documentos fuentes y otros medios de entrada de datos
 Personas claves que dan soporte técnico a la operación y mantención de los
sistemas para cada dependencia.
 Terceros que prestan servicios de tecnologías de información para los
procesos de negocio.
 Inventario de informes que producen los sistemas y destinatarios de los
mismos
 Interfaces entre sistemas (información que recibe no proporcionan
 a otros sistemas)
 Manuales existentes con la documentación técnica y del usuario
 Plataforma en la que funcionan los sistemas de información (sistema
operativo, software de desarrollo y motor de base de datos utilizados)
 Si el sistema de información fue adquirido;
 datos del proveedor, año de adquisición, versión en producción, cantidad de
usuarios con licencia, poseen programas fuentes y contrato de mantención)
 Si el sistema de información fue desarrollado internamente.
 (tipo de lenguaje utilizado, archivos fuentes y ejecutables, fecha de ingreso
a producción, versión actual en producción)”3.

3
http://www.olacefs.com/Olacefs/ShowProperty/BEA%20Repository/Olacefs/uploaded/content/article/20
120829_1.pdf
El levantamiento de información que se realiza, tiene como finalidad asegurar que
el auditor comprenda la filosofía y las características de funcionamiento de los
procesos de negocio y sistemas de información en estudio.

4.5 Papeles de trabajo de auditoria de sistemas contables.

i“En Auditoría se puede afirmar que los papeles de trabajo son todas aquellas
cédulas y documentos que son elaborados por el Auditor u obtenidos por él durante
el transcurso de cada una de las fases del examen.

Los papeles de trabajo son la evidencia de los análisis, comprobaciones,

verificaciones, interpretaciones, etc., en que se fundamenta el Contador Público,
para dar sus opiniones y juicios sobre el sistema de información examinado. Los
papeles de trabajo constituyen un medio de enlace entre los registros de
contabilidad de la empresa que se examina y los informes que proporciona el
Auditor.

Algunos papeles de trabajo son elaborados por el propio Auditor, y se denominan

Cédulas. Otros son obtenidos por medio de su cliente o por terceras personas
(cartas, certificaciones, estado de cuentas, confirmaciones, etc.) pero al constituirse
en pruebas o elementos de comprobación y fundamentación de la opinión, se
incorporan al conjunto de evidencia que constituyen en general, los papeles de
trabajo.

El cumplimiento de la segunda Norma de Auditoría referente a la "obtención de

evidencia suficiente y competente" queda almacenado en los papeles de trabajo
del
Auditor.

Los papeles de trabajo deben contener los productos del sistema de información
financiera sujeto a examen, desglosados en su mínima unidad de análisis, las
técnicas y procedimientos que el Auditor aplicó, la extensión y oportunidad de las
pruebas realizadas, los resultados de las técnicas y procedimientos tales como
confirmaciones de tipo interno o externo y las conclusiones que obtuvo en cada una
de las áreas examinadas.

Por lo tanto, los papeles de trabajo están constituidos por:

Programas de trabajo
Planillas con análisis y anotaciones obtenidas de la empresa.
Las cartas de confirmación enviadas por terceros.
Manifestaciones obtenidas de la compañía
Extractos de documentos y registros de la compañía.
Planillas con comentarios preparados por el Auditor o Revisor Fiscal.
Memorandos preparados por el Auditor o Revisor Fiscal, para exponer
algunos hechos, que complementan la información de las planillas.

OBJETIVOS DE LOS PAPELES DE TRABAJO

Los papeles de trabajo les permiten tanto al Auditor como al Revisor fiscal dejar
constancia de los procedimientos por él seguidos, de las comprobaciones y de la
información obtenida.

Los objetivos de los papeles de trabajo para el Contador Público que efectúe la
Auditoría de estados financieros pueden ser relacionados así:

 Proporcionar evidencia del trabajo realizado y de los resultados obtenidos

en dicho trabajo.
 Suministrar la base para los informes y opiniones del Auditor Independiente
o del Revisor Fiscal.
 Constituir una fuente de información concerniente a detalles de saldo de
cuentas,
 rubros de los estados financieros y otros datos obtenidos en relación con el
examen o para efectos posteriores a la realización del mismo, como futuras
Auditorías.
  Facilitar los medios para una revisión de los Supervisores, Jefes, organismos
gubernamentales u otros Contadores que determinen la suficiencia y
efectividad del trabajo realizado y las bases que respaldan las conclusiones
expresadas, probar a la vez que el trabajo se realizó con calidad profesional
 Ayudar al Auditor o Revisor Fiscal a la conducción de su trabajo.

REQUISITOS DE LOS PAPELES DE TRABAJO

Los papeles de trabajo deberán adecuarse a cada trabajo en particular, pero deben
poseer las características que les permitan servir de suficiente soporte para
demostrar que los estados financieros u otra información sobre los que el Auditor
Independiente o Revisor Fiscal está emitiendo su opinión, concuerden con los
registros contables de la compañía, o han sido conciliados con los mismos.

Los papeles de trabajo deben dejar expreso que el auditaje ha sido planeado
mediante el uso de planes y programas y el desempeño de los ayudantes ha sido
revisado y supervisado en forma adecuada. También los papeles de trabajo deben
demostrar que la eficiencia del sistema de control interno de la compañía ha sido
revisada y evaluada al determinar el alcance y oportunidad de las pruebas a los
cuales se limitaron los procedimientos de Auditoría.

El respaldo o soporte de los papeles de trabajo para cumplir los anteriores

requisitos podrá tomar variadas formas incluyendo: anotaciones, cuestionarios,
programas de trabajo, planillas, las cuales deberán permitir la identificación
razonable del trabajo efectuado por el Auditor Independiente o Revisor Fiscal.

ESTRUCTURA DE LAS CEDULAS DE AUDITORÍA

Las cédulas que elabora el Auditor pueden tener variadas formas de acuerdo a su
criterio, pero en la práctica común se utilizan hojas multicolumnares manuales o
electrónicas las cuales llevan la siguiente estructura formal:

 Índice de la Cédula o Memorando: Ubicada en la parte superior derecha,

permite la localización rápida del papel de trabajo. Se acostumbra a
 marcarse con lápiz de Auditoría de color, rojo, verde o azul, de tal manera
que sea visible y no quede oculto cuando se pliega la cédula.

Si se trata de una cédula cuya información ocupa más de una planilla, se

indicará con una numeración en cada una así: 1 de 3; 2 de 3; y 3 de 3, etc.
En el caso de las hojas electrónicas como Excel, el índice se ubicaría en la
parte inferior del libro, en la pestaña que se utiliza para nominar las diferentes
hojas de dicho libro.

 Encabezamiento: Donde va el nombre de la compañía auditada, rubro de

los estados financieros examinados el cual da el nombre a la cédula,
memorando u otro tipo de papel de trabajo, con la fecha de Auditoría que es
la misma de los estados financieros examinados.

 Responsables: Se colocan los nombres, iniciales o rubrica de los

responsables por la elaboración y supervisión de la cédula.

 Cuerpo del trabajo: En esta parte se desarrolla toda la Auditoría y se

consignan los datos obtenidos por el Auditor para allegar la evidencia
suficiente y competente.

 Conclusión: Cada área de trabajo donde se ha desarrollado de una manera

completa un trabajo, debe tener conclusiones adecuadas, basadas en el
trabajo de Auditoría, respaldada por la evidencia contenida en los papeles
de trabajo, que corresponda a los objetivos que se persiguen en el trabajo.
Las conclusiones deben expresar en forma clara la opinión de la persona
que efectuó el trabajo con lo cual se responsabiliza del mismo.

 Significado de marcas: Al final de la Cédula a manera de convenciones, se

coloca el significado de las marcas de Auditoría utilizadas en el cuerpo del
trabajo.
  Fuente de información: Si se amerita, se coloca la fuente donde se
obtuvieron los datos del desarrollo del trabajo”4.

EJEMPLO:

Los papeles de trabajo en Auditoria son el conjunto de cedulas y documentos que

elabora u obtiene el auditor en el desarrollo del examen, en los cuales se detallan
las técnicas y procedimientos aplicados, la extensión y oportunidad de las pruebas

4
Clasificacion de los papeles de trabajo. Clasificacion de los papeles de trabajo. [En línea] [Citado el: 23 de
diciembre de 2014.] preparatorioauditoria.wikispaces.com/file/view/Unidad+Nueve.pdf
realizadas, los resultados de la obtención de evidencia suficiente y competente y
las conclusiones a las cuales llegó en cada área examinada.

Estos le permiten probar al Auditor el cumplimiento de las Normas De Auditoria

referentes a la planeación, supervisión y obtención de evidencia suficiente y
competente que servirá para demostrar la calidad del trabajo realizado.

4.6 Manual de auditoría de sistemas.

“Los pasos principales que debe tomar el auditor en la aplicación de una TAAC son:

(a) establecer el objetivo de aplicación de la TAAC;

(b) determinar el contenido y accesibilidad de los archivos de la entidad;

(c) identificar los archivos específicos o bases de datos que deben examinarse;

(d) entender la relación entre las tablas de datos cuando deba examinarse una
base de datos;

(e) definir las pruebas o procedimientos específicos y transacciones relacionadas

y saldos afectados;

(f) definir los requerimientos de datos de salida;

(g) convenir con el usuario y departamentos de CIS, si es apropiado, en las copias

de los archivos relevantes o tablas de bases de datos que deben hacerse en la
fecha y momento apropiado del corte;

(h) identificar al personal que puede participar en el diseño y aplicación de la

TAAC;

(i) refinar las estimaciones de costos y beneficios;

(j) asegurarse que el uso de la TAAC está controlado y documentado en forma

apropiada;
(k) organizar las actividades administrativas, incluyendo las habilidades
necesarias e instalaciones de computación;

(l) conciliar los datos que deban usarse para la TAAC con los registros
contables;

(m) ejecutar la aplicación de la TAAC; y

(n) evaluar los resultados.

Control de la aplicación de la TAAC

Los procedimientos específicos necesarios para controlar el uso de una TAAC

dependen de la aplicación particular. Al establecer el control, el auditor considera
la necesidad de:

(a) aprobar especificaciones y conducir una revisión del trabajo que deba
desarrollar la TAAC;

(b) revisar los controles generales de la entidad que puedan contribuir a la

integridad de la TAAC, por ejemplo, controles sobre cambios a programas y acceso
a archivos de computadora. Cuando dichos controles no son confiables para
asegurar la integridad de la TAAC, el auditor puede considerar el proceso de la
aplicación de la TAAC en otra instalación de computación adecuada; y

(c) asegurar la integración apropiada de los datos de salida dentro del proceso de
auditoría por parte del auditor.

Los procedimientos llevados a cabo por el auditor para controlar las aplicaciones
de la TAAC pueden incluir:

(a) participar en el diseño y pruebas de la TAAC;

(b) verificar, si es aplicable, la codificación del programa para asegurar que esté
de acuerdo con las especificaciones detalladas del programa;

(c) solicitar al personal de computación de la entidad revisar las instrucciones del

sistema operativo para asegurar que el software correrá en la instalación de
computación de la entidad;

(d) ejecutar el software de auditoría en pequeños archivos de prueba antes de

ejecutarlo en los archivos principales de datos;

(e) verificar si se usaron los archivos correctos, por ejemplo, verificando la

evidencia externa, como totales de controles mantenidos por el usuario, y que
dichos archivos estén completos.

(f) obtener evidencia de que el software de auditoría funcionó según lo planeado,

por ejemplo, revisando los datos de salida y la información de control; y

(g) establecer medidas apropiadas de seguridad para salvaguardar la integridad

y confidencialidad de los datos.

Cuando el auditor tiene la intención de desarrollar procedimientos de auditoría en

forma concurrente con procesamiento en línea, el auditor revisa dichos
procedimientos con el personal apropiado del cliente y obtiene aprobación antes de
conducir las pruebas para ayudar a evitar la alteración inadvertida de los registros
del cliente.

Para asegurar procedimientos de control apropiados, no se requiere

necesariamente la presencia del auditor en la instalación de computación durante
la ejecución de una TAAC. Sin embargo, esto puede proporcionar ventajas
prácticas, como controlar la distribución de los datos de salida y asegurar la
corrección oportuna de errores, por ejemplo, si se fuera a usar un archivo de
entrada equivocado.
Los procedimientos de auditoría para controlar las aplicaciones de datos de prueba
pueden incluir:

• controlar la secuencia de presentación de datos de prueba cuando se extienda a

varios ciclos de procesamiento;

• realizar corridas de prueba que contengan pequeñas cantidades de datos de

prueba antes de presentar los datos de prueba principales de la auditoría;

• predecir los resultados de los datos de prueba y compararlos con la salida real
de datos de pruebas, para las transacciones individuales y, en total;

• confirmar que se usó la versión actual de los programas para procesar los datos
de prueba; y

• poner a prueba si los programas usados para procesar los datos de prueba fueron
utilizados por la entidad durante el periodo aplicable de auditoría.

Cuando el auditor utilice una TAAC, puede requerir la cooperación de personal de

la entidad con amplio conocimiento de la instalación de computación. En estas
circunstancias, el auditor puede considerar si el personal influyó en forma
inapropiada en los resultados de la TAAC.

Los procedimientos de auditoría para controlar el uso de un software de ayuda para

la auditoría pueden incluir:

• verificar la totalidad, exactitud y disponibilidad de los datos relevantes, por

ejemplo, pueden requerirse datos históricos para elaborar un modelo financiero;

• revisar la razonabilidad de los supuestos usados en la aplicación del conjunto de

herramientas, particularmente cuando se usa software de modelaje;
• verificar la disponibilidad de recursos con habilidad en el uso y control de las
herramientas seleccionadas; y

• confirmar lo adecuado del conjunto de herramientas para el objetivo de auditoría,

por ejemplo, puede ser necesario el uso de sistemas específicos para la industria
en el diseño de programas de auditoría para negocios con ciclos únicos.

 Ejecución de procedimientos de auditoría utilizando software para

auditoría de sistemas en casos tales como: Estratificación,
antigüedad, comprobación de cálculos, verificación de secuencia
numérica, muestreo estadístico, generación de números aleatorios,
exportación de datos, preparación de informes, gráfica de resultados,
etc.

 Presenta el sistema de información, incidiendo en la elaboración de la

base de datos y su administración.

 Presenta el COBIT explicando sus antecedentes, objetivos, fuentes,

aplicación, usuarios. Dominios.

 Explica las técnicas y procedimientos de auditoría aplicables para

examinar la base de datos y la aplicación de datos de prueba.

La NIA 10095 declara lo siguiente:

Los objetivos y alcance global de una auditoría no cambian cuando se conduce una
auditoría en un ambiente de sistemas de información computarizada (TI). Sin
embargo, la aplicación de procedimientos de auditoría puede requerir que el auditor

5
NIA 1009. IFAC. Manual Internac. de Pronunciamientos de Auditoría y Aseguramiento. Pág. 759 - 770.
considere técnicas conocidas como Técnicas Computarizadas de Auditoría (TCAs)
que usan la computadora como una herramienta de auditoría.

Las TCAs pueden mejorar la efectividad y eficiencia de los procedimientos de

auditoría. Pueden también proporcionar pruebas de control efectivas y
procedimientos sustantivos cuando no haya documentos de entrada o un rastro
visible de auditoría, o cuando la población y tamaños de muestra sean muy
grandes.

El propósito de esta declaración es proporcionar lineamientos sobre el uso de

TCAs. Se aplica a todos los
usos de TCAs que requieran el uso de una computadora o cualquier tipo o tamaño”6
(AUDITORIA).

Para que el Auditor pueda obtener excelentes resultados, este debe de cumplir con
el procedimientos antes detallado para el dato exacto de la auditoria y asi evitar
errores que afecten los datos reflejados.

4.7 Plan de contingencias.

“Entendemos plan de contingencia o continuidad del “servicio” ó “negocio” en las

organizaciones como un enfoque global de la actividad que crea un marco
estratégico para revisar y modificar cuando sea necesario la forma en que la
organización proporciona sus servicios, aumentando su resistencia frente a
interrupciones o pérdidas. Es decir un plan cuyos medios ya sean propios o
contratados nos permiten obtener unas respuestas específicas en momentos
críticos y de emergencia para salvaguardar nuestro negocio y tenerlo operativo
hasta la restitución de la situación anterior al evento perjudicial.

6
AUDITORIA, TECNICAS DE. [En línea] [Citado el: 23 de 12 de 2014.]
http://fccea.unicauca.edu.co/old/taac.htm.
El plan de contingencia no es una mera adición de algo que se debe hacer sino que
es una parte integral de toda la organización. Es importante hacer comprender a
los responsables de la organización acerca de la necesidad de un plan de
contingencia adecuado y que no es “algo más” que hay que hacer sino que es igual
de importante o más que las otras partes del proyecto. Es reconocida como una
buena práctica profesional y es parte integral del buen gobierno de las
organizaciones, de esta forma toma una dimensión estratégica y no debería ser
considerado una mera herramienta operativa.

Identifica los impactos y amenazas potenciales que pueden perjudicar a la

organización y proporciona un marco para construir y reforzar la capacidad de una
respuesta efectiva.

El plan de contingencia nos permite en caso de incidencia grave:

-Mitigar los riesgos de colapso del negocio

-Mantener los procesos críticos del negocio
-Todo ello en un tiempo prefijado

ESQUEMA:

La Norma ISO17799-1 (EN 717799-1) nos dice las buenas prácticas de gestión de
seguridad en su capítulo 11:

Gestión de continuidad del negocio (plan de contingencia):

  Apartados:
 Proceso de gestión de la continuidad del negocio
 Continuidad del negocio y análisis de impactos
 Redacción e implantación de planes de continuidad
 Marco de planificación para continuidad del negocio
 Prueba, mantenimiento y reevaluación de planes de
 continuidad

Como vemos se incluye el plan de contingencia y su evaluación (auditoría).

Un plan de contingencia es un valor en alza y permite asegurar en parte el futuro
de nuestra operatividad como empresa. Para un plan de contingencia que permita
la continuidad del negocio es imprescindible abarcar (tener en cuenta) todo tipo de
tecnologías y soportes tanto antiguos como nuevos, tanto en papel como en soporte
electrónico, tanto manual como automatizado, tanto individual como integrado.
También nos permitirá reducir las pérdidas económicas. Aunque cabe mencionar
que requiere importantes recursos económicos, es de una gran complejidad y es
muy sensible a cambios realizados, por lo tanto se necesita de una actualización
permanente. El mantenimiento y pruebas del plan es una parte importante que
forma parte del plan de contingencia, y eso implica que al menos una vez al año se
hagan pruebas y se introduzcan modificaciones ya que la organización cambia cada
día; el plan responde a las necesidades de un momento determinado y hay que ir
actualizándolo para que no quede inservible y pueda responder a las nuevas
situaciones. Lo peor que puede ocurrir no es que no se tenga un plan sino creer
que se tiene uno y que este no sirva para nada.

Conviene tener presentes tres conceptos importantes a la hora de tratar de

conformar primero y auditar después un plan de contingencia, son diferentes pero
están relacionados:

Continuidad: se refiere al negocio (a sus funciones); requiere la disponibilidad de

la información y por tanto de los sistemas que la tratan y su entorno (suministros,
etc.) Incidencia/Interrupción: evento que interrumpe la continuidad de los
sistemas, con consecuencias limitadas para el negocio; puede reducirse por medios
razonables y disponibles.
Contingencia: evento que interrumpe la continuidad de los sistemas, con
consecuencias catastróficas para el negocio; sólo puede reducirse por medios
extraordinarios y en general muy costosos, organizativa y técnicamente.
El plan de contingencia discierne estos elementos y actúa en función de cómo sean.
Pretendemos una continuidad frente a incidencias y contingencias.

Otros conceptos de los que hemos hablado pero no hemos definido serían:
Amenazas: Que son los eventos que pueden provocar o desencadenar un
incidente en la organización, que pueden provocar daños materiales o inmateriales
en sus activos. Las causas son de diversos tipos: humanas, intencionadas o no; y
no humanas: accidentes o desastres de origen natural o industrial, averías,
interrupciones de servicios o de suministros esenciales.

Vulnerabilidad: Es la potencialidad o posibilidad de la materialización de una

amenaza sobre un activo.

Impacto: Es la consecuencia de la materialización de una amenaza sobre un activo

de la empresa. El impacto será cuantitativo si las pérdidas se pueden monetizar de
alguna manera, será cualitativo cuando las pérdidas sean funcionales.

Riesgo: Es la probabilidad de que se produzca un impacto determinado en un

activo. El análisis del riesgo permite, en conjunto con la vulnerabilidad y el impacto
ambos derivados a su vez de las relación del activo y la amenaza, calcular si dicho
riesgo es asumible o aceptable”7 (HERRERO).

El plan de contingencia es de suma importancia ya que nos permitirá obtener

respuestas rápidas en algún caso de incidente o estados de emergencias. Toda
organización debe constar con un plan de contingencia ya que permitirá ejecutar

7
HERRERO, TESIS RODRIGO. http://e-
archivo.uc3m.es/bitstream/handle/10016/10639/Planes%20de%20contingencia%20y%20su%20auditoria.p
df?sequence=1. [En línea] [Citado el: 23 de 12 de 2014.]
un conjunto de normas, procedimientos y acciones básicas de respuestas que se
debería tomar para afrontar de manera oportuna, adecuada y efectiva.

5. INFORMES DE AUDITORIA

5.1. Normas

“En 1996 la unión europea publico el Libro Verde de Auditoria dedicado al papel,
la posición y la responsabilidad del auditor legal. Su contenido afecta a la Auditoria
Informática.

En principio, el Libro acepta las Normas Internacionales IFAC para su adaptación

adecuada a la Unión Europea; por tanto, se trasmitirán a través de las Directivas
correspondientes a España para que se transforme en legislación positiva.

En lo referente al Tratamiento Automatizado de Datos de Carácter Personal -incluso

disponiendo de una Ley de orgánica, el asunto se resolverá por lo mismo causes,
con la transposición de la Directiva de protección de datos personales y, quizá, de
otra en forma de propuesta todavía, relacionada con los servicios de
telecomunicaciones apoyados en tecnología digital y especialmente Red Digital de
Servicios Integrados.

Otra fuente de normas internacionales es ISACF, ya más específica de auditoria

informática. Nuestro país está representado en ISACA por la Organización de
Auditoria Informática, lento take off.

Hoy por hoy, la normativa española oficial que afecta, en mayor o menor medida, a
la Auditoria Informática, es la siguiente:

 ICAC: Normas Técnicas de Auditoria: punto 2, 4, 10. Estudio y Evaluación

del Sistema de Control Interno.
 AGENCIA DE PROTECCION DE DATOS: Instrucción relativa a la prestación
de servicios sobre solvencia patrimonial y créditos. Norma cuarta: Forma de
Comprobación.
Del Artículo 9 de la LORTAD se desprende el desarrollo reglamentario de medidas
técnicas y organizativas alusivas a la seguridad en lo que concierne a integridad y
confidencialidad de los datos personales automatizados. Todavía no ha sido
publicado tal reglamento, pero sería de esperar que se incluyera en su texto alguna
referencia específica sobre Auditoria Informática.

También conviene reseñar que dentro de la Unión Europea, la FEE tiene en marcha
el Proyecto EDIFICAS.EUROPE, dentro de UN/EDIFACT, en el que España está
representada por el IACJCE, que se estructura en cuatro grupos de trabajo:
Mensajes, Auditoria (Guías de Auditoria de entornos de EDI), Promoción y Asuntos
Especiales.
La Auditoria Informática no está muy desarrollada y, por añadidura, se encuentra
en un punto crucial para la definición del modelo en que deberá implantarse y
practicarse en la Unión Europea y, por tanto, España, vía directivas UE/Legislación
positiva y normas profesionales.

Maticemos este aspecto: hay dos tendencias legislativas y de practica de

disciplinas: la anglosajona, basada en la Common Law, con pocas leyes y
jurisprudencia relevante; y la latina, basada en el Derecho Romano, de legislación
muy detallada.

La tensión entre estos dos modelos, esto es, entre el intervencionismo máximo
latino y el mínimo intervencionismo anglosajón, es ya insostenible. Uno de los dos
deberá prevalecer, si es que realmente nos encaminamos a la sociedad global.

Justo es reconocer que los parámetros del cambio tecnológico parecen hacer más
práctico el modelo anglosajón: no en vano, en Estados Unidos, tanto la Auditoria
como la Informática (y las Comunicaciones), tienen un desarrollo muy
experimentado y, sobre todo, adaptativo. Los parámetros de velocidad y tiempo
hacen aconsejable un esfuerzo por conseguir la disponibilidad armonizada de
normas legales y normas de origen profesional.

Si la globalización antes mencionada es un hecho incuestionable, el sabio uso de

los llamados principios generalmente aceptados hará posible la adaptación
suficiente a la realidad de cada época.

En este sentido, no podemos olvidar que los organismos de armonizacide

normalización, homologación, acreditación y certificación tendrán que funcionar a
un ritmo más acorde con las necesidades cambiantes. El conjunto ISO-CEN-
AENOR y los vinculados con seguridad, ITSEC/ITSEM Europa, TCSEC USA y
Commo Criteria UE/Norteamérica, necesitan ir más rápido, ya que lentitud está
provocando, en un mundo tan acelerado, la aparición de multitud de organizaciones
privadas, consorcios y asociaciones que con muy buena voluntad y óptimo sentido
de la conveniencia mercantil, pretenden unificar normas y promocionar estándares.

Por último, conviene que se clarifique el panorama normativo, de prácticas y

responsabilidades en lo que concierne a los problemas planteados por los
servicios multidisciplinares, ya que el Informe de Auditoria Informática se
compone de tres términos: Informática, Auditoria e Informe.

5.2. La documentación y evidencia

La documentación

En el argot de auditoria se conoce como papeles de trabajo la ¨totalidad de los

documentos preparados o recibidos por el auditor, de manera que, en conjunto
constituyen un compendio de la informática utilizada y de las pruebas afectadas en
la ejecución de su trabajo, junto con las decisiones que ha debido tomar para llegar
a formarse su opinión.

El Informe de Auditoria, si se precisa que sea profesional, tiene que estar basado
en la Documentación o papeles de trabajo, como utilidad inmediata, previa
supervisión.

La Documentación, además de fuente de know how del Auditor Informático para

trabajos posteriores así como para poder realizar su gestión interna de calidad, es
fuente en algunos casos en los que la corporación profesional puede realizar un
control de calidad, o hacerlo algún organismo oficial. Los papeles de trabajo pueden
llegar a tener valor en los Tribunales de justicia.

Por otra parte, no debemos omitir la característica registral del Informe, tanto en su
parte cronológica como en la organizativa, con los procedimientos de archivo,
búsqueda, custodia y conservación de su documentación, cumpliendo toda la
normativa vigente, legal y profesional, como mínimo exigible.

Los trabajos utilizados, en el curso de una labor, de otros auditores externos y/o
expertos independientemente, así como de los auditores internos, se reseñen o no
en el Informe de Auditoria Informática, formaran parte de la documentación.

Además, se incluirán:

 El contrato de cliente/auditor informático y/o la carta de propuesta del auditor

informático.
 Las declaraciones de la Dirección.
 Los contratos, o equivalentes, que afecten al sistema de información, así
como el informe de la asesoría jurídica del cliente sobre asuntos actuales y
previsibles.
 El informe sobre terceros vinculados.
 Conocimientos de la actividad del cliente.
La evidencia

En este epígrafe parece saludable reseñar algunos asuntos previos, referidos a la

redacción del Informe, tratados en otros capítulos de esta obra, puesto que el
referido Informe es su consecuencia.

Por tanto, tratemos de recordar en que consiste la evidencia en Auditoria

Informática, así como las pruebas que la avalan, sin olvidar la importancia relativa
y el riesgo probable, inherente y de control.

La certeza absoluta no siempre existe, según el punto de vista de los auditores; los
usuarios piensan lo contrario. NO obstante lo dicho, el desarrollo del control interno,
incluso del específicamente informático, está en efervescencia, gracias al empuje
de los informes USA/Treadway (1987), UK/Cadbury (1992) y Francia/Vienot (1995),
y en lugar destacado el USA/COSO (1992), traducido al español por Coopers &
Lybrand y el Instituto de Auditores Internos de España.

Pero volvamos a la evidencia, porque ellas es la base razonable de la opinión del

Auditor Informático, esto es, el Informe de Auditoria Informática.

La evidencia tiene una serie de calificativos; a saber:

 La evidencia relevante, que tiene una relación lógica con los objetivos de la
auditoria.
 La evidencia fiable, que es válida y objetiva, aunque con nivel de confianza.
 La evidencia suficiente, que es de tipo cuantitativo para soportar la opinión
profesional del auditor.
 La evidencia adecuada, que es de tipo cualitativo para afectar a las
conclusiones del auditor.
En principio, las pruebas son de cumplimiento o sustantivas.

Aunque ya tratado en otro capítulo, conviene recordar el escollo práctico de la

Importancia relativa o materialidad, así como el registro probable.

La opinión deberá estar basada en evidencias justificativa, es decir, desprovistas

de prejuicios, si es preciso con evidencia adicional.

5.3. Las irregularidades

Las irregularidades, o sea, los fraudes y los errores, especialmente la existencia de

los primeros, preocupa tanto que aparece con énfasis en el ya citado Libro Verde
de la UE. La Dirección General XV (Comercio Interior) y el MARC (Maatricht) está
claramente sensibilizados al respecto.

Recordemos antes de proseguir, que en los organismos y las empresas, la

Dirección tiene la responsabilidad principal y primaria de la detección de
irregularidades, fraudes y errores; la responsabilidad del auditor se centra en
planificar, llevar a cabo y evaluar su trabajo para obtener una expectativa razonable
de su detección.

Es, pues, indudablemente necesario diseñar pruebas antifraude, que lógicamente

incrementaran el coste de la auditoria, previo análisis de riesgos (amenazas,
importancia relativa….)

La auditoría de cuentas se está judicializando –camino que seguirá la Auditoria

Informática, practica importante de Estados Unidos-, ya que aparece en el vigente
Código Penal (delitos societarios y otros puntos) con especial énfasis en los
administradores. No olvidemos, al respecto, la obligatoriedad de suscribir palizas
de seguro de responsabilidad civil para auditores independientes, individuales y
sociedades.
Por prudencia y rectitud, convendrá aclarar al máximo- de ser posible- si el Informe
de Auditoria es propiamente de auditoria y no de consultoría o asesoría informática,
o de otra materia afín o próxima.

Aunque siempre debe prevalecer el deber de secreto profesional del auditor,

conviene recordar que en el caso de detectar fraude durante el proceso de auditoria
procede actuar en consecuencia, con la debida prudencia que aconseja episodio
tan delicado y conflictivo, sobre todo si afecta a los administradores de la
organización objeto de auditoria. Ante un caso así, conviene consultar a la Comisión
Deontológica Código Penal y otras disposiciones; incluso hacer lo propio con las de
organismos oficiales tales como el Banco de España, la Dirección General de
Seguros, la Comisión Nacional del Mercado de Valores, el organismo regulador del
medio ambiente…. Que pudieran estar afectados, no debería desestimarse. El
asunto podría incluso, terminar en los Tribunales de justicia.

5.4. Informe al área auditada

Se ha realizado una visión rápida de los aspectos previos para tenerlos muy
presentes al redactar el Informe de Auditoria Informática, esto es, la comunicación
del Auditor Informático al cliente, formal y, quizá, solemne, tanto del alcance de la
auditoria; (objetivos, periodos de cobertura, naturaleza y extensión del trabajo
realizado) como de los resultados y conclusiones.

Ese momento adecuado de separar lo significativo de lo no significativo,

debidamente evaluados por su importancia y vinculación con el factor riesgo, tarea
eminentemente de carácter profesional y ético, según el leal saber y entender del
Auditor Informático.

Aunque no existe un formato vinculante, si existen esquemas recomendados con

los requisitos mínimos aconsejables respecto a estructura y contenido.

También es cuestión previa decidir si el informe es largo o, por el contrario corto,

por supuesto con otros informes sobre aspectos, bien más detallados, bien más
concretos, como el informe de debilidades del control interno, incluso de hechos o
aspectos; todo ello teniendo en cuenta tanto la legislación vigente como el contrato
con el cliente.

En mi modesta opinión, los términos cliente o proveedor/interno o externo, típico de

la Gestión de la Calidad, resultan más apropiados que informático/auditor
informático/usuario, ya que este último término una lamentable connotación
peyorativa.

En lo referente a su redacción, el Informe deberá ser claro, adecuado, suficiente y

comprensible. Una utilización apropiada del lenguaje informático resulta
recomendable.
Los puntos esenciales, genéricos y mínimos del Informe de Auditoria Informática,
son los siguientes:

1. Identificador del Informe

El título del informe deberá identificarse con objeto de distinguirlo de otro
informe.

2. Identificación del Cliente

Deberá identificarse a los destinatarios y a las personas que efectúen el
encargo.

3. Identificación de la entidad auditada

Identificación de la entidad objeto de la Auditoria Informática.

4. Objetivo de la Auditoria Informática

Declaración de los objetivos de la auditoria para identificar su propósito
señalando los objetivos incumplidos.

5. Normativa aplicada y excepciones

Identificación de las normas legales y profesionales utilizadas, así como las
excepciones significativas de uso y el posible impacto en los resultados de
la auditoria.

6. Alcance de la Auditoria
Concretar la naturaleza y extensión del trabajo realizado área organizativa,
periodo de auditoria, sistemas de información… señalando limitaciones al
alcance y restricciones del auditado.
7. Conclusiones: Informe corto de opinión
Lógicamente, se ha llegado a los resultados y, sobre todo, a la esencia del
dictamen, la opinión y los párrafos de salvedades y énfasis, si procede.

El informe debe contener uno de los siguientes tipos de opinión: favorable o sin
salvedades, con salvedades, desfavorable o adversa, y denegada.

7.1. Opinión favorable. La opinión calificada como favorable, sin salvedades o

limpia, deberá manifestarse de forma clara y precisa, y es el resultado de un
trabajo realizado sin limitaciones de alcance y sin incertidumbre, de acuerdo
con la normativa legal y profesional.
Es indudable que entre el informe de recomendaciones al cliente, que incluye
lo referente a debilidades de control interno en sentido amplio, y las
salvedades, existe o puede existir una zona de gran sensibilidad; tan es así
que tendrá que clarificarse al máximo, pues una salvedad a la opinión deberá
ser realmente significativa; concretando; ni pasarse, ni no llegar, dicho en
lenguaje coloquial; en puridad es un punto de no retorno.
7.2. Opinión con salvedad. Se reitera lo dicho en la opinión favorable al
respecto de las salvedades cuando sean significativas en relación con los
objetivos de auditoria, describiéndose con precisión la naturaleza y razones.
Podrán ser estas las circunstancias, las siguientes:

 Limitaciones al alcance del trabajo realizado; esto es, restricciones

por parte del auditado, etc.
 Incertidumbre cuyo resultado no permite una previsión razonable.
 Irregularidades significativas.
 Incumplimiento de la normativa legal y profesional.

7.3. Opinión desfavorable. La opinión desfavorable o adversa es aplicable en

el caso de:

 Identificación irregularidades
 Incumplimiento de la normativa legal y profesional, que afecten
significativamente a los objetivos de auditoria informática estipulados,
incluso con incertidumbre; todo ello en la evaluación de conjunto y
reseñando detalladamente las razones correspondientes.

7.4. Opinión denegada. La denegación de opinión puede tener su origen en:

 Las limitaciones al alcance de auditoria.

 Incertidumbres significativas de un modo tal que impidan al auditor
formarse una opinión.
 Irregularidades.
 El incumplimiento de normativa legal y profesional.

7.5. Resumen. El siempre difícil tema de la opinión, estrella del Informe de

Auditoria Informática, joven como informática y más todavía como auditoria
informática; por tanto, puede decirse que más que cambiante, mutante.
Debido a ello, y además con la normativa legal y profesional
desacompasadas, la ética se convierte casi en la única fuente de orientación
para reducir el desfase entre expectativas del usuario en general y el informe
de los auditores.
No olvidemos que existe la ingeniería financiera y la contabilidad creativa;
tampoco que las entidades que pueden ser auditadas suelen estar
sometidas a cambio, como , por ejemplo, la implementación de
aseguramiento y gestión de la calidad –vía ISO 9000, vía EFQM (modelo
europeo)-, reingeniería de procesos y otras transformaciones significativas
(adaptaciones al Milenio y al Euro).

8. Resultados: informe largo y otro informes.

Parece ser que, de acuerdo con la teoría de ciclos, el informe largo va a
colocar al informe corto en su debido sitio, o sea, como resumen del informe
 largo (¿Quizás obsoleto?). Los usuarios, no hay duda desean saber más y
desean transparencia como valor añadido.
En indudable que el límite lo marcan los papeles de trabajo o documentación
de la Auditoria Informática, pero existen aspectos a tener en cuenta:

 El secreto de la empresa.
 El secreto profesional.
 Los aspectos relevantes de la auditoria.

Las soluciones previsibles se orientan hacia un informe por cada objetivo

de la Auditoria Informática, tal como el de Debilidades de Control Interno
o los informes especiales y/o complementarios que exigen algunos
organismos gubernamentales, como, por ejemplo, el Banco de España,
la Comisión Nacional del Mercado de Valores y la Dirección General de
Seguros, entre otros y por ahora.

9. Informes previos
No es una práctica recomendable, aunque si usual en algunos casos, ya que
el Informe de Auditoria Informática es, por principio, un informe de conjunto.

Sin embargo, en el caso de detección de irregularidades significativas, tanto

errores como fraudes, sobre todo, se requiere una actuación inmediata
según la normativa legal y profesional, independientemente del nivel
jerárquico afectado dentro de la estructura de la entidad. Recordemos al
respecto el delito societario y la responsabilidad civil del Auditor
(Informático).

10. Fecha del Informe

El tiempo no es neutral; la fecha del Informe es importante, no sola por la
cuantificación de honorarios y el cumplimiento con el cliente, sino para
conocer la magnitud del trabajo y sus aplicaciones. Conviene precisar las
fechas de inicio y conclusión del trabajo de campo, incluso la del cierre del
ejercicio, si es que se está realizando un informe de Auditoria Informática
como herramienta de apoyo a la Auditoria de Cuentas. En casos conflictivos
pueden ser relevantes aspectos tales como los hechos posteriores al fin del
periodo de auditoria, hechos anteriores y posteriores al trabajo de campo.

11. Identificación y firma del Auditor

Este aspecto formal del informe es esencial tanto si es individual como si
forma parte de una sociedad de auditoria, que deberá corresponder a un
socio o socios legalmente así considerados.

12. Distribución del Informe

 Bien en el contrato, bien en la carta propuesta del Auditor Informático, deberá
definirse quien o quienes podrán hacer uso del Informe, así como los usos
concretos que tendrá, púes los honorarios deberán guardar relación con la
responsabilidad civil.”8

5.5. Conclusiones y Recomendaciones

Conclusiones

“¿Qué es el informe de auditoría informática y que le diferencia de otro tipo de

informes (consultoría, asesoría, servicios profesionales…) de informática?

Resulta básico, antes de redactar el informe de auditoría, que el asunto este muy
claro, no solo por expectativas ya citadas, sino porque cada término tiene un
contenido usual muy concreto; la etiqueta auditoria es, en esencia, un juicio de valor
u opinión con justificación.

Por tanto, habida cuenta que tiene base objetiva – sobre todo con independencia
en sentido amplio, es eminentemente una opinión profesional subjetiva.

Además, como se aplican criterios en términos de probabilidad, hay que evitar la

predisposición a algún posible tipo de manipulación, debido a la libertad de elección
de pruebas; no se debe elegir una serie de ellas que de la imagen buscada
(prejuicio) como consecuencia de la acumulación de sesgos ad hoc.

Esta insistencia en clarificar es quizá excesiva, pero resulta importante emitir el

Informe de auditoría informática de acuerdo con la aplicación de la Auditoria
Informática con criterios éticamente profesionales y desestimar los procedimientos
de Auditoria Informática “creativa” sorteando la posible “contaminación” con la
contabilidad “creativa”.

En el precitado Libro Verde de Auditoria Legal de ña Unión Europea y recordando

la Directiva Octava de Derecho de Sociedades, se señala que el auditor debe ser
independiente, pero solo la FEE señala que puede serlo de una manera objetiva.

Es ilustrativo revisar textualmente el punto 4.9 famoso Libro Verde:

En años recientes, se ha manifestado preocupación sobre las amenazas que se

ciernen sobre la independencia de los auditores. Varias encuestas indican el hecho
de que las empresas están cada vez más preparadas a desafiar a los auditores,
comprar opiniones, buscar asesoramiento legal sobre las opiniones de los auditores
y a cambiar de auditores. Algunos informes concluyen que, dadas las presiones

8
Peso, Mario G. Piattini y Emilio del. 2001. Auditoria Informatica Un Enfoque Práctico. Mexico : A.J.
FAOMEGA GRUPO EDITOR S.A., 2001.
competitivas, seria riesgo de perder clientes. Se han manifestado críticas de que el
profesionalismo se ha disminuido en favor de una actitud más de negocio.

En fin, que como indicio del estado del arte, este párrafo resulta bastante
aleccionador.

Navegando entre definiciones y definiciones, encuentro muy explicativa la de

ISACF, que dice así:

“la auditoria de sistemas de información se define como cualquier auditoria que

abarca la revisión y evaluación de todos los aspectos (o alguna sección/área) de
los sistemas automatizados de procedimiento de la información, incluyendo
procedimientos relacionados no automáticos y las interrelaciones entre ellos.

Creo que precisa lo suficiente sobre el sistema informático, el manual y sus

conexiones para delimitar los objetivos de cobertura de un informe de auditoría
informática que, ponderados con los objetivos COSO de la Actividad de
Tecnologías de la Información (planes estratégico, información fiable, adecuada y
disponible, y sistemas de información disponibles), clarifican en forma razonable
las zonas fronterizas con otros tenas afines, por ahora.

En mi opinión, Maastricht está acelerando el asunto; tanto es así que si Maastricht

no existiera habría que inventarlo, aunque el término auditoria tiene connotaciones
no deseables. Espero que el MARC (Maastricht Accounting and Auditing Research
Center) sea un factor positivo en la auditoria de los sistemas de información y, que
por tanto, en los informes y su normativa legal/profesionales correspondiente.”9

Recomendaciones

“Se acaban de presentar la metodología y las frases en la relación de una auditoria

informática. Cabría ahora por tanto enumerar una serie de recomendaciones de
reglas, que conviene observar a la hora de llevar a cabo una auditoria de este estilo.
Recomendaciones que afectaran tanto el examen de la organización y
funcionamiento del propio G.P.D. como a la revisión de las aplicaciones.

Por lo que respecta el primero de los puntos, es decir a la organización y

funcionamiento del G.P.D., se pueden descartar algunas recomendaciones que no
tienen por qué ser exclusivas del ámbito de la auditoria, sino que pueden hacerse
extensivas al campo de la consultoría de Dirección, donde se pueden encuadrar la
auditoria informática. Recomendaciones del orden de las de no hacer juicios sin la

9
Peso, Mario G. Piattini y Emilio del. 2001. Auditoria Informatica Un Enfoque Práctico. Mexico : A.J.
FAOMEGA GRUPO EDITOR S.A., 2001.
suficiente fundamentación, cuidar los aspectos de imagen: presentación, protocolo;
no adelantar resultados parciales que pueden distorsionar el resultado final y, por
supuesto guardar las relaciones jerárquicas.

Además de estas normas, como se ha dicho, de carácter muy generalista, cabe

citar también las siguientes:

 Evitar las situaciones preventivas por parte de los usuarios frente al auditor
que va a escudriñar en sus papeles y en su trabajo. Esto es más que
recomendable en toda actividad auditora.

 Las entrevistas iniciales son un aspecto muy a cuidar. Hay que prepararlas
muy bien para que surtan el efecto que de ellas se esperan.

 Hay que mentalizar a los proveedores de datos para que faciliten la

información con, al menos, los controles elementales que permitan asegurar
una cierta corrección inicial de ésta.

 Igualmente los servicios consumidores de datos deben conseguir hacer un

uso eficiente de la información que se les facilita y examinar la corrección de
los errores. Si estos solicitan modificaciones importantes debe quedar
constancia de estas peticiones. No se puede modificar un fichero o un
programa sin que un servicio lo autorice y se responsabilice este cambio.

 En todo momento hay que extrapolar la idea de la colaboración en el servicio

de informática.

 La función de control estará omnipresente en:

I. Las salidas.
II. Las entradas.
III. El seguimiento de los errores.
IV. Los documentos del G.P.D.

 Hay que evitar las manifestaciones indeseadas, fundamentalmente en

lugares críticos para la integridad del Sistema.

 En todo momento por cordiales que resulten las relaciones con los
auditados, no perder de vista el papel de consultores experimentados que
han de tener los auditores informáticos.

 Airear la idea de que los resultados de la autoría no harán más que intentar
mejorar, a todos los efectos, el servicio de informática con el beneficio que
ello supondrá para todos los implicados en el departamento.
  Al final de la auditoría no se trata de castigar a nadie. El objetivo fundamental
es descubrir deficiencias y corregirlas.

En los siguientes capítulos se desarrollarán estos temas, junto con los

procedimientos de auditoría para cada área, en mayor profundidad.

Por lo que respecta a las aplicaciones en una operación de auditoría informática,

también de un modo absolutamente generalista, valgan unas normas básicas como
las siguientes:

 Cada aplicación ha de llevar su dossier de análisis en el que estarán

claramente detallados los pasos fundamentales del análisis, programación y
explotación de esa aplicación.

 Cada programa deberá estar claramente documentado y tener su

correspondiente cuaderno de carga y juego de ensayo con el que probó
antes de su paso a explotación. Se evitarán los modos de programación
personalistas y confusos.

 Los ficheros maestros deben ser periódicamente revisados.

 Debe de conseguirse que los programas realicen labores de control que

puedan detectar situaciones como es, Por ejemplo, el no tratamiento de
algunas informaciones, la pérdida de datos, la invalidez de códigos, etc.

 En secuencia lógica, detectados los errores, se proveerán procedimientos

para la corrección y el nuevo tratamiento de los datos que fueron detectados
como incorrectos. Es muy recomendable que los programas impriman
informaciones de control.

Todos los puntos citados no han sido más que una breve enumeración de
recomendaciones de tener en cuenta al auditar un servicio informático. Todas ellas,
como se ha dicho, se verán ampliadas cuando en sucesivos capítulos se presenten
las distintas áreas de aplicación de la auditoria informática.”10

10
Rivas, Gonzalo Alonso. 1988. Auditoría Informática. [aut. libro] Gonzalo Rivas. Auditoria Informatica.
Madrid : Ediciones Diaz de Santos S.A., 1988.
Bibliografía
http://audifinysis.blogspot.com/. [En línea]

http://audisistemas2009.galeon.com/productos2229079.html. [En línea]

http://www.uaeh.edu.mx/docencia/P_Presentaciones/tlahuelilpan/sistemas/auditoria_informatic
a/auditoria_informatica.pdf.
http://www.uaeh.edu.mx/docencia/P_Presentaciones/tlahuelilpan/sistemas/auditoria_informatic
a/auditoria_informatica.pdf. [En línea]

MUÑOZ RAZO, CARLOS. 2002. Auditoria en Sistemas Computacionales. Mexico : s.n., 2002.

PIATTINI VELTHUIS, Mario Gerardo. AUDITORÍA INFORMÁTICA UN ENFOQUE PRÁCTICO.

SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo Informático. . Riesgo

Informático. . 2004.

SISTEMAS DE INFORMACIÓN ADMINISTRATIVA, ROBERT G. MURDICK, JOHN C. MUNSON

WEBGRAFIA
http://aabbccddee.galeon.com/Metodo.htm

http://es.slideshare.net/quasar.0360.7912/control-de-sistemas-4644774

http://es.slideshare.net/AnaJulietaGonzlezGarca/control-interno-en-la-auditora-de-s

http://101plissken.blogspot.com/2013/03/control-interno-y-auditoria-informatica.html

BIBLIOGRAFIA

AUDITORIA
INFORMATICAhttp://www.olacefs.com/Olacefs/ShowProperty/BEA%20Repository/Olacefs/uploa
ded/content/article/20120829_1.pdf.

AUDITORIA, TECNICAS DE. [En línea] [Citado el: 23 de 12 de 2014.]

http://fccea.unicauca.edu.co/old/taac.htm.

Clasificacion de los papeles de trabajo. Clasificacion de los papeles de trabajo. [En línea] [Citado
el: 23 de diciembre de 2014.] preparatorioauditoria.wikispaces.com/file/view/Unidad+Nueve.pdf.
HERRERO, TESIS RODRIGO. http://e-
archivo.uc3m.es/bitstream/handle/10016/10639/Planes%20de%20contingencia%20y%20su%20a
uditoria.pdf?sequence=1. [En línea] [Citado el: 23 de 12 de 2014.] http://e-
archivo.uc3m.es/bitstream/handle/10016/10639/Planes%20de%20contingencia%20y%20su%20a
uditoria.pdf?sequence=1.

PACHECHO, PABLO COSTA. 2012.

http://jorgepabloacostapacheco.blogspot.com/2012/02/principales-manejadores-de-bases-
de.html. [En línea] 6 de 02 de 2012. [Citado el: 23 de 12 de 2014.]
http://jorgepabloacostapacheco.blogspot.com/2012/02/principales-manejadores-de-bases-
de.html.