Comprender lo que es la Auditoria Interna y Externa.

Clasificación de la auditoria. Tradicionalmente se consideran dos tipos de auditoría: las

internas y las externas

La auditoría Interna la desarrollan personas que pueden o no depender de la entidad y actúan

revisando aspectos que interesan particularmente a la administración, aunque pueden
ejecutar revisiones programadas sobre todos los aspectos operativos y de registro de la
empresa, con el fin de emitir un informe sobre su revisión.

La auditoría externa, conocida también como auditoría independiente, la efectúan

profesionistas que no dependen de la empresa, ni económicamente ni bajo cualquier otro
concepto, y a los que se conoce un juicio imparcial merecedor de la confianza de terceros.

El objeto de su trabajo es la emisión de un dictamen. Esta clase de auditoría es la actividad más

característica el contador Público o del Licenciado en Informática.

Por consiguiente, la Auditoría Interna debe funcionar como una actividad concebida para
agregar valor y mejorar las operaciones de una organización, así como contribuir al
cumplimiento de sus objetivos y metas; aportando un enfoque sistemático y disciplinado para
evaluar y mejorar la eficacia de los procesos de gestión.

Argumentar la importancia del alcance de la Auditoria Informática

Auditoria informática: es el proceso de recoger, agrupar y evaluar evidencias para determinar

así un sistema de información salvaguardando el activo empresarial, óseo, mantiene la
integridad de los datos y utiliza eficientemente los recursos.

La auditoría nace como un órgano de control de algunas instituciones estatales y privadas. Su

función inicial es estrictamente económico - financiero, y los casos inmediatos se encuentran
en las peritaciones judiciales y las contrataciones de contables expertos por parte de Bancos
Oficiales.

La función auditora debe ser absolutamente independiente; no tiene carácter ejecutivo, ni son
vinculantes sus conclusiones. Queda a cargo de la empresa tomar las decisiones pertinentes.
La auditoría contiene elementos de análisis, de verificación y de exposición de debilidades y
disfunciones.

El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la

auditoría informática, se complementa con los objetivos de ésta. El alcance ha de figurar
expresamente en el Informe Final, de modo que quede perfectamente determinado no
solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas.
Ejemplo: ¿Se someterán los registros grabados a un control de integridad exhaustivo*? ¿Se
comprobará que los controles de validación de errores son adecuados y suficientes*? La
indefinición de los alcances de la auditoría compromete el éxito de la misma.

*Control de integridad de registros: Hay Aplicaciones que comparten registros, son registros
comunes. Si una Aplicación no tiene integrado un registro común, cuando lo necesite utilizar
no lo va encontrar y, por lo tanto, la aplicación no funcionaría como debería.

*Control de validación de errores: Se corrobora que el sistema que se aplica para detectar y
corregir errores sea eficiente.
Establecer las características de la Auditoria Informática

La información de la empresa y para la empresa, siempre importante, se ha convertido en un

Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de
realizarse inversiones informáticas, materia de la que se ocupa la Auditoría de Inversión
Informática.

Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a
ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría
de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.

Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su

función: se está en el campo de la Auditoría de Organización Informática.

Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una
auditoría parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de
Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de
ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de
ellas.

Identificar los tipos y clases de Auditoría.

El departamento de Informática posee una actividad proyectada al exterior, al usuario, aunque

el "exterior" siga siendo la misma empresa. He aquí, la Auditoría Informática de Usuario.

Se hace esta distinción para contraponerla a la informática interna, en donde se hace la

informática cotidiana y real. En consecuencia, existe una Auditoría Informática de Actividades
Internas.

Una informática eficiente y eficaz requiere el apoyo continuado de su Dirección frente al

"exterior". Revisar estas interrelaciones constituye el objeto de la Auditoría Informática de
Dirección.

Estas tres auditorías, más la auditoría de Seguridad, son las cuatro Áreas Generales de la
Auditoría Informática más importantes.

Dentro de las áreas generales, se establecen las siguientes divisiones de Auditoría Informática:
de Explotación, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos. Estas son las
Áreas Especificas de la Auditoría Informática más importantes.

Cada Área Específica puede ser auditada desde los siguientes criterios generales:
 Desde su propio funcionamiento interno.
 Desde el apoyo que recibe de la Dirección y, en sentido ascendente, del grado de
cumplimiento de las directrices de ésta.
 Desde la perspectiva de los usuarios, destinatarios reales de la informática.
 Desde el punto de vista de la seguridad que ofrece la Informática en general o la rama
auditada.

También existen otros tipos de auditoria como son:

Auditoria operacional, se refiere a a revisión de la operación de una empresa y se juzga la

eficiencia y la operación misma.

Auditoria administrativa, se refiere a la organización y eficiencia de la estructura del personal

con que cuenta la empresa y los procesos administrativos en que actúa dicho personal.

Auditoria social.-se refiere a la revisión del entorno social en que se ubica y desarrolla una
empresa, con el fin de valorar aspectos externos e internos que infieran en la productividad de
la misma.

Establecer cuáles son los objetivos de la Auditoria Informática

 Salvaguardar los activos: protección de hardware, software y recursos humanos

 Integridad de datos: los datos deben mantener consistencia y no duplicarse
 Efectividad de sistema. Los sistemas deben cumplir con los objetivos de la organización.
 Eficiencia del sistema: que se cumplan los objetivos con los menores recursos
 Seguridad y confidencialidad.
 El control de la función informática.
 El análisis de la eficiencia de los sistemas informáticos.
 La verificación del cumplimiento de la normativa en este ámbito. La revisión de la eficaz
gestión de los recursos informáticos

Objetivo fundamental de la auditoría informática: Operatividad

La operatividad es una función de mínimos consistente en que la organización y las maquinas

funcionen, siquiera mínimamente. No es admisible detener la maquinaria informática para
descubrir sus fallos y comenzar de nuevo. La auditoría debe iniciar su actividad cuando los
Sistemas están operativos, es el principal objetivo el de mantener tal situación. Tal objetivo
debe conseguirse tanto a nivel global como parcial. La operatividad de los Sistemas ha de
constituir entonces la principal preocupación del auditor informático. Para conseguirla hay que
acudir a la realización de Controles Técnicos Generales de Operatividad y Controles Técnicos
Específicos de Operatividad.

 Los Controles Técnicos Generales son los que se realizan para verificar la compatibilidad
de funcionamiento simultáneo del Sistema Operativo y el Software de base con todos
los subsistemas existentes, así como la compatibilidad del Hardware y del Software
instalados. Estos controles son importantes en las instalaciones que cuentan con varios
competidores, debido a que la profusión de entornos de trabajo muy diferenciados
obliga a la contratación de diversos productos de Software básico, con el consiguiente
riesgo de abonar más de una vez el mismo producto o desaprovechar parte del Software
abonado. Puede ocurrir también con los productos de Software básico desarrollados
por el personal de Sistemas Interno, sobre todo cuando los diversos equipos están
ubicados en Centros de Proceso de Datos geográficamente alejados. Lo negativo de esta
 situación es que puede producir la inoperatividad del conjunto. Cada Centro de Proceso
de Datos tal vez sea operativo trabajando independientemente, pero no será posible la
interconexión e intercomunicación de todos los Centros de Proceso de Datos si no
existen productos comunes y compatibles.
 Los Controles Técnicos Específicos, de modo menos acusado, son igualmente necesarios
para lograr la Operatividad de los Sistemas. Un ejemplo de lo que se puede encontrar
mal son parámetros de asignación automática de espacio en disco* que dificulten o
impidan su utilización posterior por una Sección distinta de la que lo generó. También,
los periodos de retención de ficheros comunes a varias Aplicaciones pueden estar
definidos con distintos plazos en cada una de ellas, de modo que la pérdida de
información es un hecho que podrá producirse con facilidad, quedando inoperativa la
explotación de alguna de las Aplicaciones mencionadas.

*Parámetros de asignación automática de espacio en disco: Todas las Aplicaciones que se

desarrollan son super-parametrizadas, es decir, que tienen un montón de parámetros que
permiten configurar cual va a ser el comportamiento del Sistema. Una Aplicación va a usar para
tal y tal cosa cierta cantidad de espacio en disco. Si uno no analizó cual es la operatoria y el
tiempo que le va a llevar ocupar el espacio asignado, y se pone un valor muy chico, puede ocurrir
que un día la Aplicación reviente, se caiga. Si esto sucede en medio de la operatoria y la
Aplicación se cae, el volver a levantarla, con la nueva asignación de espacio, si hay que hacer
reconversiones o lo que sea, puede llegar a demandar muchísimo tiempo, lo que significa un
riesgo enorme.

Revisión de Controles de la Gestión Informática:

Una vez conseguida la Operatividad de los Sistemas, el segundo objetivo de la auditoría es la

verificación de la observancia de las normas teóricamente existentes en el departamento de
Informática y su coherencia con las del resto de la empresa. Para ello, habrán de revisarse
sucesivamente y en este orden:

1. Las Normas Generales de la Instalación Informática. Se realizará una revisión inicial sin
estudiar a fondo las contradicciones que pudieran existir, pero registrando las áreas que
carezcan de normativa, y sobre todo verificando que esta Normativa General Informática no
está en contradicción con alguna Norma General no informática de la empresa.

2. Los Procedimientos Generales Informáticos. Se verificará su existencia, al menos en los

sectores más importantes. Por ejemplo, la recepción definitiva de las máquinas debería estar
firmada por los responsables de Explotación. Tampoco el alta de una nueva Aplicación podría
producirse si no existieran los Procedimientos de Backup y Recuperación correspondientes.

3. Los Procedimientos Específicos Informáticos. Igualmente, se revisara su existencia en las áreas

fundamentales. Así, Explotación no debería explotar una Aplicación sin haber exigido a
Desarrollo la pertinente documentación. Del mismo modo, deberá comprobarse que los
Procedimientos Específicos no se opongan a los Procedimientos Generales. En todos los casos
anteriores, a su vez, deberá verificarse que no existe contradicción alguna con la Normativa y
los Procedimientos Generales de la propia empresa, a los que la Informática debe estar
sometida.

Auditoría Informática de Explotación:

La Explotación Informática se ocupa de producir resultados informáticos de todo tipo: listados
impresos, ficheros soportados magnéticamente para otros informáticos, ordenes
automatizadas para lanzar o modificar procesos industriales, etc. La explotación informática se
puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales.
Para realizar la Explotación Informática se dispone de una materia prima, los Datos, que es
necesario transformar, y que se someten previamente a controles de integridad y calidad. La
transformación se realiza por medio del Proceso informático, el cual está gobernado por
programas. Obtenido el producto final, los resultados son sometidos a varios controles de
calidad y, finalmente, son distribuidos al cliente, al usuario.

Auditar Explotación consiste en auditar las secciones que la componen y sus interrelaciones. La
Explotación Informática se divide en tres grandes áreas: Planificación, Producción y Soporte
Técnico, en la que cada cual tiene varios grupos.

Control de Entrada de Datos: Se analizará la captura de la información en soporte compatible

con los Sistemas, el cumplimiento de plazos y calendarios de tratamientos y entrega de datos;
la correcta transmisión de datos entre entornos diferentes. Se verificará que los controles de
integridad y calidad de datos se realizan de acuerdo a Norma.

Planificación y Recepción de Aplicaciones: Se auditarán las normas de entrega de Aplicaciones

por parte de Desarrollo, verificando su cumplimiento y su calidad de interlocutor único. Deberán
realizarse muestreos selectivos de la Documentación de las Aplicaciones explotadas. Se inquirirá
sobre la anticipación de contactos con Desarrollo para la planificación a medio y largo plazo.

Centro de Control y Seguimiento de Trabajos: Se analizará cómo se prepara, se lanza y se sigue

la producción diaria. Básicamente, la explotación Informática ejecuta procesos por cadenas o
lotes sucesivos (Batch*), o en tiempo real (Tiempo Real*). Mientras que las Aplicaciones de
Teleproceso están permanentemente activas y la función de Explotación se limita a vigilar y
recuperar incidencias, el trabajo Batch absorbe una buena parte de los efectivos de Explotación.
En muchos Centros de Proceso de Datos, éste órgano recibe el nombre de Centro de Control de
Batch. Este grupo determina el éxito de la explotación, en cuanto que es uno de los factores más
importantes en el mantenimiento de la producción.

Conocer el perfil del Auditor Informático.

Las habilidades fundamentales que debe tener todo auditor de informática.

· Habilidad para manejar paquetes de procesadores de texto.

· Habilidad para manejo de hoja de cálculo
· Habilidad para el uso de email y conocimientos de internet
· Habilidad para el manejo de bases de datos
· Habilidad para el uso de al menos un paquete de contabilidad.

Síntomas de Necesidad de una Auditoría Informática:

Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles de
debilidad. Estos síntomas pueden agruparse en clases:

 Síntomas de descoordinación y desorganización: No coinciden los objetivos de la Informática

de la Compañía y de la propia Compañía. Los estándares de productividad se desvían
sensiblemente de los promedios conseguidos habitualmente. [Puede ocurrir con algún cambio
masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de
alguna Norma importante].

 Síntomas de mala imagen e insatisfacción de los usuarios: No se atienden las peticiones de

cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario,
refrescamiento de paneles, variación de los ficheros que deben ponerse diariamente a su
disposición, etc. No se reparan las averías de Hardware ni se resuelven incidencias en plazos
razonables. El usuario percibe que está abandonado y desatendido permanentemente. No se
cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas
desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en
los resultados de Aplicaciones críticas y sensibles.

 Síntomas de debilidades económico-financieras: Incremento desmesurado de costes.

Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente
convencida de tal necesidad y decide contrastar opiniones). Desviaciones Presupuestarias
significativas. Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a
Desarrollo de Proyectos y al órgano que realizó la petición).

 Síntomas de Inseguridad: Evaluación de nivel de riesgos: Seguridad Lógica - Seguridad Física -

Confidencialidad [Los datos son propiedad inicialmente de la organización que los genera. Los
datos de personal son especialmente confidenciales] - Continuidad del Servicio. Es un concepto
aún más importante que la Seguridad. Establece las estrategias de continuidad entre fallos
mediante Planes de Contingencia* Totales y Locales. - Centro de Proceso de Datos fuera de
control. Si tal situación llegara a percibirse, sería prácticamente inútil la auditoría. Esa es la razón
por la cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.

Planes de Contingencia:

Por ejemplo, la empresa sufre un corte total de energía o explota, ¿Cómo sigo operando en otro
lugar? Lo que generalmente se pide es que se hagan Backups de la información diariamente y
que aparte, sea doble, para tener un Backup en la empresa y otro afuera de ésta. Una empresa
puede tener unas oficinas paralelas que posean servicios básicos (luz, teléfono, agua) distintos
de los de la empresa principal, es decir, si a la empresa principal le proveía teléfono Telecom, a
las oficinas paralelas, Telefónica. En este caso, si se produce la inoperancia de Sistemas en la
empresa principal, se utilizaría el Backup para seguir operando en las oficinas paralelas. Los
Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y después
se van reciclando.

Fundamentos de los métodos de auditoria:

Metodología de una auditoria de apoyo.

METODOLOGIA PARA LA AUDITORIA ADMINISTRATIVA

La Metodología para la auditoria administrativa comprende las siguientes fases: 1. Planeamiento

2. Instrumentación 3. Examen 4. Informe 5. Seguimiento

1. Planeamiento

Se refiere a la determinación de los objetivos y alcance de la Auditoria, el tiempo que requiere,

los criterios, la metodología a aplicarse y la definición de los recursos que se consideran
necesarios para garantizar que el examen cubra las actividades más importantes de la entidad,
los sistemas y sus correspondientes controles gerenciales.

El planeamiento garantiza que la auditoria satisfaga sus objetivos y tenga efectos productivos ya
que promueve significativos ahorros en el presupuesto de tiempo programado.

Los enfoques que pueden utilizarse para la selección son: consideración de los problemas y
debilidades conocidas e identificación de áreas importantes no auditadas anteriormente.

Los indicios pueden emerger de diversas fuentes, entre ellas: a) reuniones de trabajo, b) quejas
y reclamos, y c) indicadores de rendimiento.

2. Instrumentación

Etapa en la cual se seleccionan y aplican las técnicas de recolección, así como la supervisión
necesaria para mantener una coordinación efectiva.

Recopilación de información: Esta tarea debe enfocarse al registro de todo tipo de hallazgo y
evidencias que haga posible su examen objetivo; de otra manera se puede incurrir en errores
de interpretación que causen retrasos u obliguen a recapturar la información, reprogramar la
auditoria o, en su caso, a suspenderla.

Supervisión del trabajo: Para tener la seguridad de que se sigue y respeta el programa aprobado,
es necesario ejercer una estrecha supervisión sobre el trabajo que realizan los auditores,
delegando la autoridad sobre quien posea experiencia, conocimiento y capacidad.

3. Examen

Consiste en dividir o separar los elementos componentes para conocer la naturaleza, las
características y el origen de su comportamiento.

El examen prevé de una clasificación e interpretación de hechos, diagnóstico de problemas, así

como de los elementos para evaluar y racionalizar los efectos de un cambio.

4. Informe

Al finalizar el examen de la organización, es necesario preparar un informe, en el cual se

consignen los resultados de la auditoria; identificando claramente el área, sistema, programa,
proyecto, etcétera, auditado, el objeto de la revisión, la duración, alcance, recursos y métodos
empleados. Antes de presentar la versión definitiva del informe, es necesario revisarlo en
términos prácticos, partiendo de las premisas acordadas para orientar la acción que se llevaron
a cabo en forma operativa.

5. Seguimiento

Las observaciones que se producen como resultado de la auditoria deben sujetarse a un estricto
seguimiento, ya que no sólo se orientan a corregir las fallas detectadas, sino también a evitar su
recurrencia. En este sentido, el seguimiento no se limita a la determinación de observaciones o
deficiencias, a sino a aportar elementos de crecimiento a la organización

Auditoria de aplicaciones

Es una herramienta de mejora para potenciar los procesos de negocios de las empresas y con
ello ayudar a conseguir de mejor manera los objetivos de esta. La auditoría de aplicaciones nos
va ayudar a planificar, programar y llevar a cabo auditorias para verificar el grado de
cumplimiento de los objetivos para las que fueron creadas.

Generalmente el propósito de las aplicaciones es: Registrar las operaciones que lleva a cabo la
organización. Realizar procesos de cálculos con la información almacenada. Facilitar consultas
sobre la información registrada. Generar los informes de interés de la organización.

Necesidades, Se acude a las auditorias de aplicaciones cuando existen factores tales como:
descoordinación y desorganización, mala imagen e insatisfacción de los usuarios. El sistema
comienza a quedar obsoleto, su seguridad no es la correcta, no está cumpliendo con el perfil,
Síntomas de Inseguridad.

Tiempos La duración de un día auditando aplicaciones es normalmente 8 horas. La duración de

la auditoría para todos los tipos de auditorías, es el tiempo efectivo medido en días auditor
requerido para llevar a cabo las actividades correspondientes, todos los tipos de auditorías
incluye el tiempo in situ en el establecimiento de un cliente y el tiempo dedicado fuera del sitio.

Normativas En la auditoria de aplicaciones se debe cumplir ciertas normativas, entre ellas: Los
requisitos mínimos de calidad relativos a la personalidad del auditor como tal. Al trabajo que
desempeña (estándar, métodos y procedimientos). La información que rinde como resultado
de este trabajo a sus clientes o interesados.

Profesionales Se necesitan algunos perfiles específicos como:

 Un líder de proyecto, será la cara visible, conoce el negocio y es el contacto con el

cliente.
 Analistas, Encargados principalmente de la toma de requerimientos, como la entrevista
y búsqueda de información.
 Programadores, Hábiles en distintos leguajes de programación, en caso de auditar una
aplicación

Etapas Recopilación de información y documentación sobre la aplicación. Entrevistas

Personales, Determinación de los objetivos y alcances de la auditoria, Planificación de la
auditoria, Trabajo de campo, informe e implantación de mejoras

Información Generada Los informes de auditoría recopilaran el trabajo realizado, en

conclusiones y recomendaciones o puestas de mejoras.

Futuras tendencias Las futuras tendencias en la auditoria de aplicaciones van de la mano con la
exigencia de los usuarios y empresas clientes del software auditados. El campo laboral para las
empresas auditoras ira en incremento, de esta misma forma los software de auditoría
aumentaran sus ventas gradualmente.

Conclusión: la auditoria de aplicaciones es muy importante para el desarrollo del proceso del
negocio y puede llegar a ser muy complicado ya que el auditor debe obtener toda la información
(manuales de usuario, revisión de base de datos, etc.), no solo de la aplicación, sino que también
de todo su entorno, e incluso debe buscar al personal con el mejor perfil en cada área o modulo
que utilice el software, para con el comprender los mecanismos y los procesos en el que se
desenvuelve la aplicación, todo esto para optimizar y garantizar, dentro de lo posible, el mejor
uso del sistema y ver las posibles amenazas en cuanto a su funcionamiento y con esto realizar
los planes de trabajo y contingencia en caso de dificultades.

Actividades de aplicación (entrada, procesos, salida)

Auditoria a aplicaciones en funcionamiento

Una de las funciones de la Auditoria de Sistemas es realizar una revisión a las aplicaciones que
se encuentran en funcionamiento en la empresa, pues son estas las que están expuestas a
riesgos por mal manejo de las mismas. Con la Auditoria de Aplicativos, evaluamos la efectividad
de los controles existentes y sugerir nuevos controles, de tal forma que se pueda minimizar los
riesgos y fortalecer el control de dichas aplicaciones. Esas Aplicaciones son:

• Captura e ingreso de datos.

• Funciones de procesamiento
• Funciones de almacenamiento
• Funciones de salida de información.

OBJETIVOS

1. Identificar, analizar y evaluar las fortalezas, debilidades, eficacia y efectividad de: El

Ingreso (entrada), de los datos al sistema de aplicación en funcionamiento. Las
funciones de procesamiento y de almacenamiento en el sistema de aplicación en
funcionamiento. Las funciones de salida de la información.
2. Conocer cuáles son las funciones que debe realizar el auditor de los sistemas de
aplicación en funcionamiento.
3. Conocer e identificar las diferentes formas en que encontramos los sistemas de
aplicación, así como también las diferentes técnicas de control a estos.

AMBIENTE DE SISTEMAS DE APLICACIÓN

Los sistemas de aplicaciones procesados por computación se desarrollan en distintos tipos de

ambientes, lo cual crean condiciones y diferentes técnicas de aplicación de auditoria para cada
tipo de situación: actualización instantánea de archivos, ausencia de evidencias o rastro de
auditoria, etc. Los ambientes en que pueden residir los sistemas de aplicación son los siguientes:

 Procesamiento general  Sistemas de punto de venta

centralizado  Sistemas de procesamiento
 Sistemas integrados cooperativo
 Sistemas de información para  Conexión con archivos de clientes
oficina
PROCESAMIENTO GENERAL CENTRALIZADO

El procesamiento general centralizado es el método tradicional de procesamiento de

información. La documentación con datos de entrada se recibe en el Centro de Procesamiento
de Información, en donde se procesan y se obtienen las salidas, y desde donde se distribuye al
usuario. Los esfuerzos de auditoria se concentran en esta cede central.

SISTEMAS DE INFORMACIÓN PARA OFICINA

La oficina moderna hace uso, cada vez con mayor frecuencia, de herramientas de computación
que implican no solamente el procesador de texto y el correo electrónico, sino que a veces
incluyen también formas de procesamientos de datos que enlazan microcomputadoras con
acceso a la computadora central. Este es un ambiente que interesa al auditor en virtud de la
diversidad de posibles accesos a información sensible.

SISTEMAS DE PROCESAMIENTO COOPERATIVO

En la situación de los sistemas de procesamiento cooperativo participan, en la resolución de
problemas de información, diversos ambientes, debido a que el problema se divide en
segmentos en el cual cada parte es procesada por diferentes dispositivos. El propósito es que se
utilice el procesador más adecuado para el tratamiento de cada una de las unidades del sistema
total, minimizando, así, la necesidad de comunicación entre los componentes (los que solo
comunican entre sí los resultados).

CONEXIÓN CON ARCHIVOS DE CLIENTES.

La conexión con archivos de clientes es frecuente en las organizaciones Consiste en almacenar

datos sobre nombre, cedula, dirección, teléfono del cliente, entre otras.

SISTEMAS INTEGRADOS

Los sistemas modernos automatizados procuran integrar las diversas operaciones que forman
parte de los procesos administrativos. La integración incluye todas las áreas o departamentos
de la organización, ejemplo: desde las operaciones de compras de materias primas y pago a
proveedores, hasta ventas, facturación y cuentas por cobrar; pasando por recepción,
almacenamiento, trabajo en proceso, productos terminados, control de inventarios. En este
caso, el auditor debe cubrir en su revisión áreas diversas y flujos de datos que atraviesan
horizontalmente esas áreas; deberá, en tal ambiente, hacer hincapié en la revisión del control
interno por oposición de intereses.

SISTEMAS DE PUNTO DE VENTA O SUCURSALES

Consiste en capturar y registrar datos en el lugar de la transacción y en el momento en que se

ejecutan. La captura puede efectuarse en la terminal, a través de teclado, scanners ó por medio
de tarjetas magnéticas, estas terminales suelen estar conectadas con el procesador central, o
bien pueden constituir en microcomputadoras que registran las transacciones en el momento
de su ejecución, y luego las acumulan, formando lotes, para su transmisión bajo esa modalidad
a la computadora central. Cada una de las sucursales, proveen reportes importantes el punto de
trabajo principal.

ENTRADA, PROCESO Y SALIDA

En una aplicación debemos tener en cuenta las tres actividades que debe realizar un sistema de
información para poder producir los datos que la empresa requiere para la toma de decisiones
y el control de las operaciones. En cada una de estas actividades se debe ejercer un control, el
cual posteriormente dará los parámetros para la auditoría.

Estos controles son:

• En un sistema computarizado solamente se ingresen datos completos, exactos, válidos

y autorizados por única vez.
• La actualización de esos datos se efectúa en los momentos en que realmente
corresponda y bajo las mismas condiciones de seguridad arriba señaladas.
• El procesamiento se realiza a tiempo y cumpliendo con el diseño aprobado del sistema.
• Los datos se mantendrán protegidos y actualizados.
• Las salidas, resultados de procesamiento, cumplen con las expectativas formuladas o
esperadas.

CONTROLES EN LA ENTRADA DE DATOS

Cualquiera que sea el ambiente en que se procesan los datos, se hace necesario efectuar el
control de ingreso para asegurar que cada transacción a ser procesada cumpla con los siguientes
requisitos:

• Recibir y registrar con exactitud e íntegramente.

• Procesar solamente datos válidos y autorizados.
• Ingresar los datos una vez por cada transacción.

Los controles en el ingreso de datos son preventivos, pues tratan de evitar la producción de
errores exigiendo el ajuste de los datos introducidos a patrones de formato y estructura (fecha
valida, dato numérico, dato dentro de un rango específico, introducción de dígitos de chequeo,
etc.).

Las pantallas de captura de datos deben ser diseñadas de manera similar consistente con los
documentos fuente. En el ingreso de los datos, la aplicación debe tener adecuados mensajes de
ayuda, con el fin de facilitar los ingresos de estos. Restringir el acceso de los usuarios a las
diferentes opciones de la aplicación. Verificar en cada pantalla de captura que los campos de los
datos importantes sean de obligatoria digitación. En toda la aplicación, cada campo debe tener
el formato de datos apropiado. Para los campos numéricos y campos fecha, implantar controles
de limite.

En la captura o modificación de datos críticos debe dejarse una pista (log) donde se identifique
lo siguiente: nombre del usuario, fecha y hora, valor del campo y donde se realizó la transacción.
Verificar que los log´s de la aplicación sean revisados por los responsables para investigar
accesos y manipulaciones no autorizadas. Al ir ingresando los datos, el sistema debe ir
comparando con los registros de los archivos maestros para determinar la validez de los datos
ingresados. En la captura numérica, se debe controlar la correcta digitación de cantidades. La
aplicación debe permitir imprimir listados de datos ingresados para que estos sean revisados
por los usuarios, con el propósito de verificar la correcta inclusión de los datos.

La aplicación no debe permitir que los datos de los archivos maestros puedan ser borrados del
sistema. Los números de documentos fuente, no deben permitir ser ingresados para el
procesamiento más de una vez. Controlar si en el ingreso de los datos hay un rechazo por el
sistema; ese dato sea analizado y corregido por el usuarios.

Dentro del área de control de entrada de datos se localizan los siguientes Puntos de Control:

1. Punto de control: Transacciones en línea o tiempo real. Disponer de mecanismos de control

que minimicen la exposición a riesgos derivados de amenazas como las siguientes:

• Ingreso de transacciones que no cumplan con lo establecido por las regulaciones

vigentes.
• Ingreso de transacciones erróneas o incompletas
• Deterioros o degradación a la base de datos.
• Asegurar la exactitud, razonabilidad y legalidad de las transacciones en línea.
• Asegurar la consistencia de los datos de las transacciones.
• Cerciorar que sólo transacciones aprobadas sean admitidas en las operaciones en línea.
• Asegurar que no exista la posibilidad de perder la transmisión de transacciones.
• Asegurar la eficacia de los mecanismos de detección de errores y de prácticas de
corrección de los mismos.
 • Asegurar que los mecanismos de transacciones en línea provean de pistas de auditoría
para pruebas posteriores y que los mismos sirvan como medio de evidencia ante
requerimientos legales o regulatorios.
• Minimizar el riesgo de que se produzcan interrupciones durante la transmisión de
transacciones.
• Identificar y registrar a los operadores autorizados para ingresar las transacciones
aprobadas.
• Desplegar en pantalla formatos específicos para orientar al operador acerca de la validez
de los datos que debe ingresar.
• Aplicar diálogos interactivos de control.
• Evitar el ingreso, como dato, de fechas inexistentes.
• Mantener un conteo de transacciones ingresadas para comparar con la información
recibida en la central.
• Prever la formulación de informes gerenciales diarios sobre tipos de transacciones
desarrolladas.
• Mantener continuidad en el procedimiento en línea en caso de in-operatividad de
alguna terminal.
• Verificar el debido entrenamiento por parte de los usuarios y operadores de los sistemas
en línea y en tiempo real.

2. Punto de control: usuario y operador de entrada de datos. Los objetivos de este punto de
control se apoyan en la necesidad de:

• Minimizar la posibilidad de que se cometan errores humanos durante la transmisión de

entrada de datos.
• Asegurar q las funciones que ejecutan los operadores de datos sobre áreas reservadas
se ajustan a las políticas y prácticas de control de la organización.
• Restringir la posibilidad de ingresos de datos, consulta y actualización de archivos a
personas exclusivamente autorizadas e identificadas.
• Desactivar la terminal desde la que se hayan intentado, frecuentemente, accesos no
autorizados o erróneos.
• Asegurar el mantenimiento confidencial de las claves de encriptación de datos y
contraseñas.
• Asegurar el mantenimiento confidencial de las claves de encriptación de datos y
contraseñas.
• Facilitar y simplificar la tarea del operador.
• Utilizar opciones limitadas en los módulos del sistema conforme a las funciones de cada
módulo
• Introducir el software rutinas del bloqueo.
• Desactivar terminales después de tres intentos fallidos de ingreso de datos.
• Efectuar control de duplicación

3. Punto de control: Terminal o dispositivo de entrada de datos Objetivos:

• Asegurar, por medio de operadores autorizados y desde lugares autorizados.

• Asegurar la continuidad de las actividades.
• Mantener la confidencialidad y privacidad de los datos agrupados y transmitidos para
su procesamiento dentro de un ambiente protegido.
• Resguardar con seguridad el área destinada a los servidores.
• Asegurar el dispositivo de entrada de datos pueda ser identificado.
 • Asegurar que antes de efectuar una conexión e iniciar una sesión de transmisión de
datos, se verifique que la respectiva terminal sea autentica.
• Asegurar la autenticidad y legitimidad del operador/usuario
• Asegurar que la terminal, por medio del software de la computadora central, tenga la
capacidad de aceptar o rechazar transacciones en conformidad con las reglas
establecidas
• Evitar la exposición de códigos de encriptación.
• Evitar que persona extrañas quieran obtener conocimiento de información confidencial.
• Utilizar el software establecido.
• Manejar el personal no autorizado autorizado.
• Establecer límites de tiempo para el mantenimiento.
• Verificar si todas las terminales quedan fuera de servicio al finalizar la jornada laboral

CONTROLES EN EL PROCESAMIENTO DE LOS DATOS

Los programas de computación deben ser sometidos a pruebas antes de ser lanzados a
producción rutinaria, y los datos de entrada también deben ser controlados antes de ingresar a
un procesamiento, el auditor debe revisar las condiciones bajo las cuales se realiza el
procesamiento interno. Programar controles sobre el procesamiento tiene sus razones; una de
ellas es que un programa puede ser modificado indebidamente (con intención o
accidentalmente). Los controles que comprueban el procesamiento de la computadora son:

1. Importe totales predeterminados En el procesamiento se incluye una corrida, un

importe total que deberá ser conciliado al final del procesamiento de todas las partidas
procesadas.
2. Controles de razonabilidad y de límites de importes calculados por programa Los
programas deben comprobar la razonabilidad de un cálculo aritmético efectuado
durante el procesamiento, comparando el resultado obtenido en cada operación con
límites fijos o flexibles predeterminados.
3. Prueba de sumas horizontales Es un método de control cruzado que consiste en llegar a
un total neto final por dos caminos diferentes. Si las cifras finales obtenidas a través de
estos dos caminos no coinciden, se deberá indicar el error en el procesamiento.

CONTROLES EN LA SALIDA DE LA INFORMACIÓN

La información de salida de un procesamiento computarizado se refleja en listados o tabulados

impresos en papel o formularios continuos. A continuación se explicaran algunos de los
controles de salida más habituales.

1. Custodia de los formulario críticos o negociables, estos son los formularios en blanco
que serán destinados para ser impresos por computadora.
2. Conciliación entre formularios salidos del inventario y aquellos procesados (impresos).
Una persona ajena a quien genere la impresión deberá conciliar y fundamentar las
razones de las diferencias por errores de impresión, mutilaciones, etc.
3. Conciliación de importes totales contenidos en las salidas: El encargado del Control de
Datos deberá conciliar los importes totales de salida con los respectivos importes totales
de datos de entrada.
4. Control de distribución y verificación de recepción: mantener la confidencialidad de la
información reservada.
5. Tiempo de retención de informes: La política de retención deberá determinar los
tiempos fijados desde el punto de vista legal y desde la normativa interna de la empresa.
 6. Información de salida para corrección de errores: Los programas prevén métodos de
detención de errores, en estos casos, los errores se imprimen en un listado o bien se
muestran por pantalla pero lo realmente importante es verificar que los mismos queden
registrados en almacenamiento transitorio hasta tanto se verifique su corrección y
reingreso al proceso.

TAREAS DEL AUDITOR DE SISTEMAS DE APLICATIVOS EN FUNCIONAMIENTO

Las tareas principales del auditor de sistemas de aplicación en funcionamiento son:

1. Obtener una comprensión profunda de cada aplicación a través del examen de la

documentación y de la investigación.
2. Evaluar los controles incorporados a las aplicaciones para identificar sus fortalezas y en
el caso, sus debilidades, y definir, en consecuencia los objetivos de control.
3. Probar los controles existentes para evaluar su funcionalidad, utilizando adecuados
procedimientos de auditoría.
4. Evaluar el ambiente de control para determinar si se han alcanzado los objetivos del
mismo al analizar los resultados de las pruebas.
5. Analizar la eficiencia y eficacia de las operaciones que componen la aplicación.
6. Verificar el grado de cumplimiento, a través de la aplicación, de los objetivos de la
gerencia.

Técnicas y herramientas de control

Son las herramientas que auxilia al administrador para llevar a cabo el proceso de control. Las
técnicas de planeación son, a su vez, de control y, en esencia, los controles no son más que
sistemas de información.

Técnicas de análisis administrativo Organizacionales:

• Administración por objetivos • Diagrama de causa y efecto

• Análisis de sistemas • Diagrama de Pareto
• Análisis costo-beneficio • Diagrama de relaciones
• Análisis de estructuras • Empowerment
• Análisis de criterio múltiple • Ergonomía
• Análisis factorial • Estudio de factibilidad
• Análisis FORD • Estudio de viabilidad
• Análisis marginal • Inteligencia emocional
• Árbol de decisiones • Reingeniería organizacional
• Autoevaluación • Reorganización
• Benchmarking • Técnica Delphi
• Control total de calidad • Teoría de las restricciones
• Desarrollo organizacional • Teoría de la atribución
• Diagrama de afinidad
Cuantitativas:

• Análisis de serie de tiempos • Muestreo

• Cadenas de eventos • Números de índices
• Correlación • Programación dinámica
• Modelos de inventarios • Programación lineal
• Modelos integrados de producción • Simulación
 • Teoría de colas o de líneas de • Teoría de las decisiones
espera • Teoría de los juegos
• Teoría de los grafos

Existen múltiples tipos de reportaje e informes; básicamente pueden clasificarse en:

a) Informes de control que se utiliza para el control directo de las operaciones.

b) Reportes de información que presentan datos más extensos a fin de que la gerencia pueda
formular planes.

Al diseñar, elaborar y presentar un informe, es conveniente tomar en cuenta las siguientes

consideraciones:

1.-Unidad del tema. Cada informe debe referirse a un solo tema a fin de evitar confusiones.

2.- Concentración sobre las excepciones. Debe revelar indicadores importantes, puntos débiles
y fuertes más que situaciones comunes.

3.- Claridad y concisión. Los informes muy largos, detallados y genéricos, originan confusión y
desatención por parte de quien los recibe.

Informes de las operaciones:

Informes de control: Usados para el control directo de las operaciones

Reportes de información. Utilizados para planeación y determinación de normas.

Informes sobre la apreciación de renglones:

Informes de actividad individual. Coincidiendo el renglón y la responsabilidad.

Informes de actividad conjunta: Renglones bajo responsabilidad conjunta.

Informes estáticos. Limitados a un análisis de la fortaleza financiera y de la estructura con

la fecha dada.

Informes dinámicos: Informes de control financiero. Miden la condición financiera real

contra la condición planeada.

Informes de cambio y de condición financiera. Resumen y analizan cambios en la

condición financiera durante un periodo dado.

4.-Complementarse con presentaciones gráficas, audio visuales y verbales.

5.- Equilibrio entre la uniformidad y la variedad. La empresa debe contar con una estructura
fundamental de informes, mismos que no deben cambiarse constantemente

6.- Frecuencia de los reportes. El hecho de que para controlar sea necesario contar con
información oportuna y periódica.

7.-Evaluacion de la información. Es necesario evaluar frecuentemente la utilidad que reditúa la

información.
FORMAS

Son elementos indispensables para la transmisión y registro de datos relativos las actividades
que se desarrollan en cada departamento; existen multitud de formas que se utilizan en las
empresas que van desde una tarjeta de control de asistencia hasta una póliza de contabilidad.
Facilitan la transmisión de información a la vez que sirven para registrar adecuadamente las
operaciones. Al diseñar las formas es conveniente observar los siguientes lineamentos:

a) Aprovechamiento adecuado de los f) Diseñar solo las necesarias (evitar papeleo

espacios excesivo)

b) Claridad y concisión g) Asegurarse de que los asuntos y las

actividades importantes se registren
c) Uniformidad de diseño
adecuadamente
d) Diseñar un diagrama de control de
h) Que el costo de su implantación se
formas
justifique
e) Diseñar un catálogo de formas

Control interno

Se refiere a la aplicación de los principios de control a todo el funcionamiento de la organización;

sus propósitos básicos son:

a) La obtención de información c) La promoción de la eficiencia en la

operación
b) La protección de los activos de la
empresa

Técnicas administrativas.

Permiten al auditor establecer el alcance de la revisión, definir las áreas de interés y la

metodología a seguir para la ejecución del examen.

Selección de Áreas de Auditoría

Mediante esta técnica, el auditor establece las aplicaciones críticas o módulos específicos dentro
de dichas aplicaciones que necesitan ser revisadas periódicamente, que permitan obtener
información relevante respecto a las operaciones normales del negocio. Esta técnica es muy
utilizada por los auditores internos de empresas corporativas grandes o medianas con un alto
volumen de transacciones y exige que el departamento de auditoría interna construya sus
propios aplicativos (con la ayuda del departamento de sistemas), para que puedan realizar su
trabajo de forma eficiente.

Modelaje

Esta técnica es muy similar a la técnica de Selección de Áreas de Auditoria, cuya diferencia radica
en los objetivos y criterios de selección de las áreas de interés; ya que esta técnica tiene como
objetivo medir la gestión financiera de la organización y todo lo que ello involucra.
Sistema de puntajes

A través de esta técnica el auditor selecciona las aplicaciones críticas de la organización de

acuerdo a un análisis de los riesgos asociados a dichas aplicaciones y que están directamente
relacionadas con la naturaleza del negocio mediante asignarle a cada riesgo un puntaje de
ocurrencia, de tal forma que sean examinadas detalladamente aquellas aplicaciones con mayor
nivel de vulnerabilidad ante posibles riesgos.

Software de Auditoría Multisitio

Se basa sobre el mismo concepto de los sistemas distribuidos, en el que una organización con
varias sucursales u oficinas remotas, dispone de un software de auditoria capaz de ser utilizado
en dichas sucursales y a la vez, pueda actualizar y almacenar la información resultante en una
base de datos principal, generalmente ubicada en la matriz de la organización.

Centros de competencia

Consiste en centralizar la información que va a ser examinada por el auditor, a través de la

designación de un lugar específico que recibirá los datos provenientes de todas las sucursales
remotas y que luego serán almacenadas, clasificadas y examinadas por el software de auditoria.

Técnicas para probar controles de aplicaciones en producción.

Las empresas cada vez más dependen de los sistemas como medio para alcanzar los objetivos
definidos, el auditor interno cada vez más debe interiorizarse del funcionamiento de dichas
aplicaciones, de los riegos que las mismas acarrean así como la forma de monitorear y mitigar
dichos riesgos. Un aspecto principal a la hora de analizar el control interno dentro de una
organización es poder diferenciar que es “Un control de aplicación” vs. “Controles generales del
ambiente de computo”.

En primer término, los “Controles de aplicación” son aquellos controles que son aplicables para
un determinado proceso de negocio o aplicación, entre ellos podemos encontrar la edición de
registros, segregación de funciones, totales de control, logs de transacciones y reportes de
errores. El objetivo principal de los controles de aplicación es asegurar:

 Que el ingreso de los datos es exacto, completo, autorizado y correcto

 Que los datos son procesos en tiempo oportuno
 Los datos son almacenados de forma adecuada y completa
 Que las salidas del sistema son adecuadas y completas
 Que registros son mantenidos para realizar un seguimiento de las entradas y eventuales
salidas del sistema.

En este sentido pueden existir distintos tipos de controles de aplicación como ser:

Controles de Ingreso: Los cuales son utilizados para mantener la integridad de los datos que son
ingresados al sistema,

Controles de Procesamiento: Estos controles, principalmente automáticos proveen una manera

automática de asegurar que el procesamiento de las transacciones es completa, adecuado y
autorizado.

Controles de salida: Básicamente estos controles direccionan a que operaciones fueron

realizadas con los datos. Y comparando también básicamente las salidas generadas con los
ingresos realizados.
Controles de integridad: Estos controles permitan verificar la integridad y consistencia de los
datos procesados.

Logs: Principalmente utilizados como “Audit Trail”, permiten a la gerencia identificar hechos
inusuales para posterior investigar los mismos. Adicionalmente como otra clasificación podemos
estar encontrando los controles preventivos, básicamente asociados a los controles automáticos
de una aplicación. Y los controles detectivos, principalmente asociados a controles de aplicación
y manuales posteriores.

Por otro lado tenemos los controles generales del ambiente de cómputo (ITGC). Estos controles
aplican a todos los sistemas, controles y datos.

Los más comunes controles ITGC son:

 Acceso lógico sobre infraestructura, aplicaciones y datos,

 Controles sobre el desarrollo y ciclo de vida de los aplicativos,
 Controles sobre cambios a programas,
 Controles sobre seguridad física en los centros de cómputos,
 Backup de sistemas y controles de recuperación de datos,
 Controles relacionados con operaciones computarizadas.

Un aspecto importante a considerar para el Auditor Interno, es que la confianza que tengamos
sobre los Controles de aplicación estará directamente asociada con la confianza que
depositemos en los ITGC. El segundo aspecto a considerar es la complejidad del ambiente de
sistemas que tengamos. Un ambiente menos complejos, tendrá un menor volumen de
transacciones, y no tendremos un gran número de controles inherentes o configurables en que
la gerencia pueda confiar.

Ejemplo de un enfoque de evaluación de riesgo

En un ejemplo de un método de evaluación de riesgos de control deberemos considerar los

siguientes aspectos:

1. Definir el universo de aplicaciones, bases de datos y tecnología de soporte que utilizan los
controles de aplicación,

2. Definir los factores de riesgo asociados con cada aplicación. Por ejemplo:

¿Es control clave? ¿El diseño es efectivo? ¿Es un software pre configurado o bien desarrollo
propio? ¿La aplicación soporta más de un proceso crítica? ¿Cuál es la frecuencia de los cambios
de la aplicación? ¿Cuál es la complejidad de los cambios? ¿Cuál es el impacto financiero? ¿Cuál
es la efectividad de los ITGC?

Todos estos elementos ponderados terminarán dando para cada aplicación un total que
determinará el ranking del nivel de riesgo para cada aplicación, considerando tanto factores
cuantitativos como cualitativos, como por ejemplo: -Controles con Bajo, medio o alto impacto ó
-Por ejemplo 1= Control fuerte a 5= inadecuado control

Una vez rankeada todas las aplicaciones, y evaluado los resultados, debemos generar un plan de
acción basado en la evaluación de riesgos enunciada anteriormente, que tienda a mitigar los
riesgos asociados con las aplicaciones que tuvieron un mayor score en el ranking.
Técnicas para seleccionar y monitorear transacciones

Para la realización de una transacción o seleccionar una información o datos, se debe usar
técnicas y procedimientos y que permitan la buena ejecución del mismo además de que debe
llevar un monitoreo de los procesos.

Definición de técnicas para seleccionar y monitorear transacciones

Es el conjunto de habilidades, destrezas o formas para la elección de la información o datos de

acuerdo a los patrones ya predeterminados de forma periódica y sistemática destinado a
identificar el desempeño de los procesos, sistemas, entre otros, tanto de selección como de
envío para brindar información útil a la gerencia, permitiendo de este modo una toma de
decisión con menor riesgo.

Estas técnicas para la selección monitoreo de transacciones, tienen como objetivo la selección
y análisis de transacciones significativas de forma permanente utilizando procedimientos
analíticos y técnicas de muestreo.

Entre las técnicas para seleccionar y monitorear transacciones tenemos:

Selección de transacciones de entradas: esta se elabora con software de auditoría

independiente del software aplicativo, radica en seleccionar y separar datos de entradas
llevados a cabo por parámetros diseñados por el auditor. Cuyas ventajas son la de hacer
monitoreo permanente e identificar cambios a transacciones.

Para saber en qué condiciones se encuentra la información que tenemos, la importancia de la

misma y para que nos sirve y para guardarla de acuerdo a su importancia, es importante hacer
una evaluación de la misma y para eso existen técnicas para examen de archivos, viene siendo
la forma, las habilidades o métodos usados para observar, clasificar o evaluar documentos o
datos para conocer sus características, casualidades o estado. Para saber en qué condiciones se
encuentra la información, dato o documento que se está manejando permitiendo de este modo
mejoras.

No solo los archivos necesitan ser examinados, los programas también deben pasar por un
examen para saber de su funcionamiento, se necesitan o no de actualizaciones, se deben o no
ser cambiados por unos mejores, para saber si realmente es importante para la organización,
entre otros. Esto es importante porque permite saber con qué contamos, cuál es su aplicación
y cuáles son los beneficios para la organización, es importante también porque brinda
información por la cual la gerencia puede tomar decisiones sea para la compra o no de otro
programa, de cómo optimizar lo que ya tiene para el mejor desempeño de las actividades dentro
de la organización.

Técnicas para el examen de archivos.

Permiten al auditor establecer el alcance de la revisión, definir las tareas de interés y la

metodología a seguir para la ejecución del examen. Dentro de las técnicas más importantes para
el examen de archivo, tenemos las siguientes.

- Programas Generalizado de auditoria

- Programa de utilería o de servicios
- Programa de auditoria a la medida
- Vaciado de archivos
Programas generalizados de auditoria: esta técnica para evaluar archivos es muy general, se
basa en procesos y procedimientos estándar para evaluar e investigar las deficiencias y falencias.

Programa de utilería o de servicios: consiste en un software que mucha de las instalaciones de

procesamiento electrónico de datos PED lo poseen como parte de sus herramientas para
CLASIFICAR, SELECCIONAR, INSERTAR, COPIAR, FUSIONAR, IMPRIMIR, BUSCAR, INTERCALAR. En
la actualidad la mayoría de los auditores utilizan herramientas o utilitarios como parte de su
apoyo informático que cumplen y realizan funciones iguales en las PED pero así mismo a este
tipo de utilitarios o herramientas hay que ponerle mucho control debido a que muchos de estos
utilitarios pueden hacer gran cantidad de modificaciones y no dejar rastro, pero así mismo
existen otros programas que no alteran los datos de prueba.

Programa de auditoria a la medida: son rutinas diseñadas para evaluar los procesos
sistematizados de la empresa. Se dividen en dos tipos, la primera es diseñada por el
departamento de programación o sistema de la empresa para monitorear o diseñar medidas de
control y el segundo es realizado por el mismo auditor. Este programa es diseñado a la necesidad
de la empresa y disponibilidad del auditor.

Técnicas para examinar programas de aplicación.

Se define a los programas de aplicación como aquellos que siendo estandarizados y a la medida
tiene como objetivo resolver problemas utilizando el computador. Snapshot (Imagen
Instantánea ), Mapping (Mapeo), Tracing (Rastreo), Flujogramas de control (control
flowcharting), Comparaciones de código, Control de bytes, Análisis de la lógica de los programas.

- Snapshot (Imagen Instantánea): es la técnica que permite una copia o fotografía de la

memoria del computador que contiene todos los elementos de un proceso de decisión
en el momento de su ejecución. EL SNAPSHOT es un programa utilitario que opera en
sistema de producciones en los sistemas interactivos y de proceso Bacht. Esta técnica
describe los problemas de programas de las computadoras, además proporciona un
método para examinar la memoria de la computadora durante el procesamiento.
- Mapping (Mapeo): es una técnica ejecutada por una herramienta de medición de
software que analiza un programa de computador, durante su ejecución para
determinar si son utilizadas todas las instrucciones del programa. Posee un contador de
número de veces que es ejecutada cada instrucción y mide el tiempo consumido de cada
instrucción del computador. Esta técnica es la que se encarga de aislar o deshabilitar
funciones que pudieron haber sido ingresada con propósitos ilícitos, además identifica
instrucciones no utilizadas y ejecuta procedimiento de depuración de software.
- Tracing (Rastreo): esta técnica se muestra en un lenguaje de programación y permite
realizar un seguimiento ya que identifica y muestra en forma secuencial las instrucciones
que han sido ejecutadas, como resultado nos arroja un listado de todas las tracciones
efectuadas que servirá como evidencia de todas las acciones y transacciones realizadas
para el auditor.
- Flujogramas de control (control flowcharting): este tipo de técnica permite evaluar de
forma integral al sistema a su vez permite relacionar e interpretar los controles lógicos
con los controles manuales y realizar un seguimiento para verificar la operación de los
mismos controles.´
- Comparaciones de código: sirve para comparar dos tipos de versiones de un mismo
programa, también para revisar la copia del sistema que va a ser entregado al auditor
para que lo evalué o para revisar las secuencias de las actualizaciones de un sistema;
 esto permite verificar los procedimientos de mantenimientos y cambios de los
programa. Esta técnica no proporciona evidencia de la confiabilidad de los archivos de
datos ni sobre la eficiencia y eficacia de los programas. La ejecución de este programa
se lo puede realizar en código fuente y código objeto.
- Control de Bytes: es uno de los más seguros y adoptados por los auditores debido a que
se somete al conteo de números de Bytes para detectar por medio de este, variaciones
o alteraciones del sistema no autorizadas. Este control ofrece un alto grado de
confidencialidad en materia de integridad e inviolabilidad.
- Análisis de la lógica de los Programas: esta expresa que si los controles de los programas
están funcionando de forma eficiente y efectiva y que los procesos de los datos se
encuentran de acuerdo a las políticas establecidas basta con la revisión profunda de la
lógica del sistema mediante varios de los manuales y documentos del sistema tales
como: una narración descriptiva y detallada del programa, el diagrama de la lógica de
los programas detallados y los listados de los programas.

UNIDAD III

1. Concepto de control interno.

El sistema de control interno o de gestión es un conjunto de áreas funcionales en una empresa

y de acciones especializadas en la comunicación y control al interior de la empresa. El Control
Interno en las empresas tiene como finalidad ayudar en la evaluación de la eficacia y eficiencia
de la gestión administrativa.

2. Control interno informático.

El Control Interno Informático es una función del departamento de Informática de una

organización, cuyo objetivo es el de controlar que todas las actividades relacionadas a los
sistemas de información automatizados se realicen cumpliendo las normas, estándares,
procedimientos y disposiciones legales establecidas interna y externamente.

3. Componentes del control interno.

AMBIENTE DE CONTROL

La organización debe establecer un entorno que permita el estímulo y produzca influencia en la

actividad del recurso humano respecto al control de sus actividades. Para que este ambiente de
control se genere se requiere de otros elementos asociados al mismo los cuales son:

EVALUACIÓN DE RIESGOS

Riesgos. Los factores que pueden incidir interfiriendo el cumplimiento de los objetivos
propuestos por el sistema ( organización) , se denominan riesgos. Estos pueden provenir del
medio ambiente ó de la organización misma. Se debe entonces establecer un proceso amplio
que identifique y analice las interrelaciones relevantes de todas las áreas de la organización y de
estas con el medio circundante, para así determinar los riesgos posibles.

ACTIVIDADES DE CONTROL

Las actividades de una organización se manifiestan en las políticas, sistemas y procedimientos,

siendo realizadas por el recurso humano que integra la entidad. Todas aquellas actividades que
se orienten hacia la identificación y análisis de los riesgos reales o potenciales que amenacen la
misión y los objetivos y en beneficio de la protección de los recursos propios o de los terceros
en poder de la organización, son actividades de control. Estas pueden ser aprobación,
autorización, verificación, inspección, revisión de indicadores de gestión, salvaguarda de
recursos, segregación de funciones, supervisión y entrenamiento adecuado.

INFORMACIÓN Y COMUNICACIÓN

La capacidad gerencial de una organización está dada en función de la obtención y uso de una
información adecuada y oportuna. La entidad debe contar con sistemas de información
eficientes orientados a producir informes sobre la gestión, la realidad financiera y el
cumplimiento de la normatividad para así lograr su manejo y control.

SUPERVISIÓN Y SEGUIMIENTO

Planeado e implementado un sistema de Control Interno, se debe vigilar constantemente para

observar los resultados obtenidos por el mismo. Todo sistema de Control Interno por perfecto
que parezca, es susceptible de deteriorarse por múltiples circunstancias y tiende con el tiempo
a perder su efectividad. Por esto debe ejercerse sobre el mismo una supervisión permanente
para producir los ajustes que se requieran de acuerdo a las circunstancias cambiantes del
entorno.

4. Tipos de controles internos.

Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que
impida los accesos no autorizados al sistema.

Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el
evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad
diaria para detectar errores u omisiones.

Controles correctivos: Facilitan la suelta a la normalidad cuando se han producido incidencias.

Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad.

5. Gestión de sistemas de información.

Aplicación de los controles internos en la gestión de sistemas de información

Los controles internos en la gestión de sistemas de información se aplican en:

Entorno de red: esquema de la red, descripción de la configuración hardware de

comunicaciones, descripción del software que se utiliza como acceso a las telecomunicaciones,
control de red, situación general de los ordenadores de entornos de base que soportan
aplicaciones críticas y consideraciones relativas a la seguridad de la red.

Configuración del ordenador base: Configuración del soporte físico, en torno del sistema
operativo, software con particiones, entornos (pruebas y real), bibliotecas de programas y
conjunto de datos.

Entorno de aplicaciones: Procesos de transacciones, sistemas de gestión de base de datos y

entornos de procesos distribuidos.

Productos y herramientas: Software para desarrollo de programas, software de gestión de

bibliotecas y para operaciones automáticas.

Seguridad del ordenador base: Identificar y verificar usuarios, control de acceso, registro e
información, integridad del sistema, controles de supervisión, etc.
Para la implantación de un sistema de controles internos informáticos habrá que definir:

Gestión de sistema de información: políticas, pautas y normas técnicas que sirvan de base para
el diseño y la implantación de los sistemas de información y de los controles correspondientes.

Administración de sistemas: Controles sobre la actividad de los centros de datos y otras

funciones de apoyo al sistema, incluyendo la administración de las redes.

Seguridad: incluye las tres clases de controles fundamentales implantados en el software del
sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.

6. Informe de auditoría.

Esto se define en la Unidad V

UNIDAD IV

1) Definición de políticas de seguridad informática

Una política de seguridad informática PSI es una forma de comunicarse con los usuarios y los
gerentes. Las PSI establecen el canal formal de actuación del personal, en relación con los
recursos y servicios informáticos, importantes de la organización. No se trata de una descripción
técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a
conductas de los empleados. Es más bien una descripción de los que deseamos proteger y el
porqué de ello. Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los
recursos y servicios informáticos críticos de la compañía.

2) Elementos de las políticas de seguridad.

Como mencionábamos en el apartado anterior, una PSI debe orientar las decisiones que se
toman en relación con la seguridad. Por tanto, requiere de una disposición por parte de cada
uno de los miembros de la empresa para lograr una visión conjunta de lo que se considera
importante. Las PSI deben considerar entre otros, los siguientes elementos:

· Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. Es una
invitación de la organización a cada uno de sus miembros a reconocer la información como uno
de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus
negocios. Invitación que debe concluir en una posición.

· Objetivos de la política y descripción clara de los elementos involucrados en su definición.

· Responsabilidades por cada uno de los servicios y recursos informáticos a todos los niveles de
la organización.

Requerimientos mínimos para configuración de la seguridad de los sistemas que cobija el

alcance de la política.

· Definición de violaciones y de las consecuencias del no cumplimiento de la política.

· Responsabilidades de los usuarios con respecto a la información a la que ella tiene acceso. Las
PSI deben ofrecer explicaciones comprensibles acerca de por qué deben tomarse ciertas
decisiones, transmitir por qué son importantes estos u otros recursos o servicios.

3) Activos y factores de riesgos.

Son aquellos recursos (hardware y software) con los que cuenta una empresa. Es decir, todo
elemento que compone el proceso completo de comunicación, partiendo desde la información,
el emisor, el medio de transmisión y receptor. Ejemplo: Servidores, Bases de Datos, Ruters,
Racks, Programas Instaladores, Cables de Red, etc.

El riesgo se refiere a la incertidumbre o probabilidad de que una amenaza se materialice

utilizando la vulnerabilidad existente de un activo o grupo de activos, generándole pérdidas o
daños. Estos fenómenos pueden ser causados por:

 El usuario: causa del mayor problema ligado de la seguridad de un sistema informático

porque no le importa, no se da cuenta o lo hace a propósito.
 Programas maliciosos: programas destinados a perjudicar o hacer uso ilícito de los
recursos del sistema. Es instalado por inatención o maldad) en el ordenador abriendo
una puerta a intrusos o bien modificando datos. Estos programas pueden ser un virus
informático, un gusano informático, un troyano, una bomba lógica o un programa espía
o Spyware.
 Un intruso: persona que consigue acceder a los datos o programas de los cuales no tiene
acceso permitido (cracker, defacer, script kiddie o script boy, viruxer, entre otros.)
 Un siniestro (robo, incendio, inundación): una mala manipulación o una mala intención
derivan a la pérdida del material o de los archivos.
 El personal interno de sistemas: Las pujas de poder que llevan a disociaciones entre los
sectores y soluciones incompatibles para la seguridad informática
 Activos: recurso del sistema de información o relacionado con este, necesario para que
la organización funcione correctamente y alcance los objetivos propuestos.
 Vulnerabilidades: son aspectos que influyen negativamente en un activo y que posibilita
la materialización de una amenaza.

4) Seguridad física en el área de informática: aspectos y elementos físicos. Impacto en la

organización. Consideraciones en caso de desastres naturales e intrusos.

Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el
punto de vista de ataques externos, Hackers, virus, etc. (conceptos luego tratados); la seguridad
de la misma será nula si no se ha previsto como combatir un incendio.

La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema
informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros, como la
detección de un atacante interno a la empresa que intenta a acceder físicamente a una sala de
operaciones de la misma, no.

Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la
sala, que intentar acceder vía lógica a la misma.

Así, la Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de control,

como medidas de prevención y contramedidas ante amenazas a los recursos e información
confidencial". Se refiere a los controles y mecanismos de seguridad dentro y alrededor del
Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados
para proteger el hardware y medios de almacenamiento de datos.

Cuando hablamos de seguridad física nos referimos a todos aquellos mecanismos --

generalmente de prevención y detección-- destinados a proteger físicamente cualquier recurso
del sistema; estos recursos son desde un simple teclado hasta una cinta de backup con toda la
información que hay en el sistema, pasando por la propia CPU de la máquina.

Dependiendo del entorno y los sistemas a proteger esta seguridad será más o menos importante
y restrictiva, aunque siempre deberemos tenerla en cuenta. A continuación mencionaremos
algunos de los problemas de seguridad física con los que nos podemos enfrentar y las medidas
que podemos tomar para evitarlos o al menos minimizar su impacto.

5) Seguridad de datos e información: Aspectos. Elementos. Vigilancia. Condiciones.

Controles de los datos e información. Importancia del sistema operativo. Programas.
Hardware. Controles.

En líneas generales, seguridad de datos se refiere a medidas de protección de la privacidad

digital que se aplican para evitar el acceso no autorizado a los datos, los cuales pueden
encontrarse en ordenadores, bases de datos, sitios web, etc. La seguridad de datos también
protege los datos de una posible corrupción. La seguridad de datos, también conocida como
seguridad de la información o seguridad informática, es un aspecto esencial de TI en
organizaciones de cualquier tamaño y tipo. Se trata de un aspecto que tiene que ver con la
protección de datos contra accesos no autorizados y para protegerlos de una posible corrupción
durante todo su ciclo de vida. Seguridad de datos incluye conceptos como encriptación de datos,
tokenización y prácticas de gestión de claves que ayudan a proteger los datos en todas las
aplicaciones y plataformas de una organización.

Entonces, ¿qué conceptos deberíamos conocer que puedan ayudarnos a proteger nuestra red
y prevenir esta nueva ola de ataques cibernéticos modernos?

Ingeniería de la seguridad de datos: La ingeniería de seguridad cubre mucho terreno e incluye

muchas medidas, desde pruebas de seguridad y revisiones de código regulares hasta la creación
de arquitecturas de seguridad y modelos de amenazas para mantener una red bloqueada y
segura desde un punto de vista holístico.

Encriptación: En el caso de que los datos sean interceptados, la encriptación dificulta que los
hackers hagan algo con ellos. Esto se debe a que los datos encriptados son ilegibles para usuarios
no autorizados sin la clave de encriptación. La encriptación no se debe dejar para el final, y debe
ser cuidadosamente integrada en la red y el flujo de trabajo existente para que sea más exitosa.

Detección de intrusión y respuesta ante una brecha de seguridad: Si en la red ocurren acciones
de aspecto sospechoso, como alguien o algo que intenta entrar, la detección de intrusos se
activará. Los sistemas de detección de intrusos de red (NIDS) supervisan de forma continua y
pasiva el tráfico de la red en busca de un comportamiento que parezca ilícito o anómalo y lo
marcan para su revisión. Los NIDS no sólo bloquean ese tráfico, sino que también recopilan
información sobre él y alertan a los administradores de red.

Firewall: Software o hardware diseñado con un conjunto de reglas para bloquear el acceso a la
red de usuarios no autorizados. Son excelentes líneas de defensa para evitar la interceptación
de datos y bloquear el malware que intenta entrar en la red, y también evitan que la información
importante salga, como contraseñas o datos confidenciales.

Análisis de vulnerabilidades: Los hackers suelen analizar las redes de forma activa o pasiva en
busca de agujeros y vulnerabilidades. Los analistas de seguridad de datos y los profesionales de
la evaluación de vulnerabilidades son elementos clave en la identificación de posibles agujeros
y en cerrarlos. El software de análisis de seguridad se utiliza para aprovechar cualquier
vulnerabilidad de un ordenador, red o infraestructura de comunicaciones, priorizando y
abordando cada uno de ellos con planes de seguridad de datos que protegen, detectan y
reaccionan.

Pruebas de intrusión: El análisis de vulnerabilidad (que identifica amenazas potenciales) también

puede incluir deliberadamente investigar una red o un sistema para detectar fallos o hacer
pruebas de intrusión. Es una excelente manera de identificar las vulnerabilidades antes de
tiempo y diseñar un plan para solucionarlas. Si hay fallos en los sistemas operativos, problemas
con incumplimientos, el código de ciertas aplicaciones u otros problemas similares, un
administrador de red experto en pruebas de intrusión puede ayudarte a localizar estos
problemas y aplicar parches para que tengas menos probabilidades de tener un ataque.

Información de seguridad y gestión de eventos: Hay una línea aún más holística de defensa que
se puede emplear para mantener los ojos en cada punto de contacto. Es lo que se conoce como
Información de Seguridad y Gestión de Eventos (SIEM). SIEM es un enfoque integral que
monitoriza y reúne cualquier detalle sobre la actividad relacionada con la seguridad de TI que
pueda ocurrir en cualquier lugar de la red, ya sea en servidores, dispositivos de usuario o
software de seguridad como NIDS y firewalls. Los sistemas SIEM luego compilan y hacen que esa
información esté centralizada y disponible para que se pueda administrar y analizar los registros
en tiempo real, e identificar de esta forma los patrones que destacan.

Ciberseguridad: HTTPS, SSL y TLS: Las conexiones cifradas y las páginas seguras con protocolos
HTTPS pueden ocultar y proteger los datos enviados y recibidos en los navegadores. Para crear
canales de comunicación seguros, los profesionales de seguridad de Internet pueden
implementar protocolos TCP/IP (con medidas de criptografía entretejidas) y métodos de
encriptación como Secure Sockets Layer (SSL) o TLS (Transport Layer Security).

Detección de amenazas en punto final: Los usuarios reales, junto con los dispositivos que usan
para acceder a la red (por ejemplo, teléfonos móviles, ordenadores portátiles o sistemas TPV
móviles), suelen ser el eslabón más débil de la cadena de seguridad. Se deben implementar
varios niveles de protección, como tecnología de autorización que otorga acceso a un dispositivo
a la red.

Prevención de pérdida de datos (DLP): Puede implementarse software DLP para supervisar la
red y asegurarse de que los usuarios finales autorizados no estén copiando o compartiendo
información privada o datos que no deberían.

Seguridad de datos in house vs en la nube

Mejores capacidades de defensa

La cantidad de experiencia necesaria para administrar una nube eclipsa la experiencia que la
mayoría de las empresas individuales pueden tener. La experiencia que se encuentra en los
proveedores de servicios gestionados por la nube está muy centrada en la seguridad de datos.

Ciclos de vida de desarrollo seguro

La mayoría de soluciones locales se desarrollan a lo largo de años, a veces hasta décadas. Cuando
surgen inquietudes y nuevos requisitos, los arquitectos y los gestores de soluciones se ven
obligados a mejorar y actualizar sus sistemas. Este ciclo de desarrollo es similar para soluciones
en la nube con una diferencia importante: la seguridad se desarrolla en la solución desde el
principio.

Auditoría continua

Si un proveedor de la nube es serio acerca de la seguridad de datos, esa seriedad se extiende a

la auditoría continua, monitorización y pruebas de seguridad de todos los aspectos
operacionales de la infraestructura. La auditoría continua garantiza que todo el software se
actualiza a la última versión, se identifican y resuelven todas las anomalías en el rendimiento del
sistema y se cumplen todos los requisitos de cumplimiento de seguridad. La monitorización
constante asegura que cualquier comportamiento irregular sea inmediatamente identificado e
investigado.

Automatización y Repetibilidad

La infraestructura de la nube se desarrolla pensando en automatización: menos intervención

manual en funciones de rutina y menos oportunidades para que se cometan errores.
Estandarización facilita la seguridad de las infraestructuras cloud.

Controles de acceso más estrictos

Un proveedor de cloud gestionado adecuadamente tendrá varios roles compartiendo

responsabilidades para toda la solución cloud sin que ninguna persona tenga acceso total a
todos los componentes de la solución. En otras palabras, ninguna persona tiene el nivel de
acceso necesario para amenazar la seguridad o confidencialidad de los datos de un cliente.

En las instalaciones vs en la nube

La idea de que las infraestructuras locales son más seguras que las infraestructuras en la nube
es un mito. Las peores infracciones ocurren detrás de los firewalls de las empresas y de sus
propios empleados. Las economías de escala requeridas por los proveedores de la nube han
mostrado un menor número de interrupciones del servicio y recuperaciones más rápidas,
reduciendo el tiempo de inactividad sufrido por los clientes de la nube. La monitorización y la
dotación de personal 24/7/365 permite identificar y resolver problemas rápidamente.

Productos y/o habilidades de seguridad de datos importantes para tu empresa

Las mejores soluciones de seguridad ayudan a las organizaciones a reducir el riesgo de seguridad
de datos, respaldan las auditorías para el cumplimiento con regulaciones y privacidad, frenan el
abuso de información privilegiada y protege los datos confidenciales y confidenciales.

Comprender el riesgo de los datos sensibles es clave. El análisis de riesgo de datos incluye
descubrir, identificar y clasificarlo, por lo que los administradores de datos pueden tomar
medidas tácticas y estratégicas para asegurar que los datos sean seguros.

Riesgo de cumplimiento

Los enfoques de seguridad tradicionales ya no ofrecen la seguridad de datos necesaria. Cuando

el Reglamento General de Protección de Datos (GDPR) de la Unión Europea (UE) se convierta en
ley el 25 de mayo de 2018, las organizaciones pueden enfrentarse a penalizaciones significativas
de hasta el 4% de sus ingresos anuales. Las organizaciones deben supervisar cualquier actividad
sospechosa, el acceso a datos no autorizados y remediar con controles de seguridad, alertas o
notificaciones.

Se hace necesario el uso de algunas herramientas que ayuden a mitigar todo esto:

Productos de seguridad de datos

 Data Masking: Proporciona seguridad de datos y controles de privacidad para prevenir

el acceso no autorizado y la divulgación de información sensible, privada y confidencial.
 Secure @ Source: Proporciona inteligencia de seguridad de datos para que las
organizaciones puedan comprender los riesgos y vulnerabilidades de los datos
confidenciales.
 Test Data Management: proporciona el aprovisionamiento seguro y automatizado de
datasets que no son de producción para satisfacer necesidades de desarrollo.
 Data Archive: Podrás eliminar aplicaciones heredadas, administrar el crecimiento de los
datos, mejorar el rendimiento de las aplicaciones y mantener el cumplimiento con el
archivado estructurado.

UNIDAD V

1) Herramientas y técnicas para la aplicación de una auditoría.

El auditor deberá hacer la recolección y evaluación de evidencia que le permita establecer si un

sistema de información cumple de manera eficiente con los objetivos organizacionales y
salvaguarda información y mantiene la integridad de los sistemas. Para poder cumplir con la
recolección y evaluación de evidencia hará uso de diferentes métodos, técnicas, herramientas y
procedimientos. La utilización adecuada de dichas técnica marcara un punto importante para
que el resultado de la auditoria se satisfactorio. A continuación se listan los principales técnicas,
herramientas y procedimientos de auditoria aplicables al área de sistemas de información: Para
la recolección de datos el auditor podrá utilizar entrevistas y encuestas.

Confirmación: El auditor deberá estar plenamente seguro de que los datos y hechos que
sustentan su dictamen son verídicos y confiables, por lo que deberá confirmar que hayan sido
obtenidos con técnicas de auditoria válidas. Algunos ejemplos de confirmaciones son: Revisar
las licencias del software instalado en los sistemas de cómputo con el objetivo de confirmar que
no hay software pirata Confirmar la confiabilidad de los accesos, protecciones, password y
medidas de seguridad establecidas para el acceso a los sistemas y a las bases de datos con el fin
de confirmar que no son vulnerables. Comparación: Se utiliza para validar la confiabilidad de los
sistemas y procedimientos. Consiste en procesar los mismos datos en dos sistemas similares
para medir la veracidad la oportunidad y la confiabilidad de dichos sistemas. También se puede
realizar una comparación de datos procesados por el sistema con datos procesados de forma
manual. Algunos ejemplos de comparación en el área de sistemas son: Comparar las similitudes
y diferencias en la aplicación de una metodología para análisis y diseño de sistemas entre
diferentes proyectos de sistemas Determinar la eficiencia y efectividad de una instalación
computacional comparando las actividades desarrolladas en dos centros de cómputo similares.
Revisión de documentos: Esta es una herramienta muy socorrida por las auditorias fiscales y
financieras y consiste en revisar los documentos que sustenten los registros del software.
Las herramientas son el conjunto de elementos que permiten llevar a cabo las acciones definidas
en las técnicas. Las herramientas utilizadas son: cuestionarios, entrevistas, checklist, trazas y
software de interrogación.

Los cuestionarios es la herramienta punto de partida que permiten obtener información y

documentación de todo el proceso de una organización, que piensa ser auditado. El auditor
debe realizar una tarea de campo para obtener la información necesaria, basado en evidencias
o hechos demostrables. Inicia su trabajo solicitando que se cumplimenten los cuestionarios
enviados a las personas correspondientes, marcadas por el auditor. Los cuestionarios no tienen
que ser los mismos en caso de organizaciones distintas, ya que deben ser específicos para cada
situación. La fase de cuestionarios puede omitirse si el auditor ha podido recabar la información
por otro medio.

La segunda herramienta a utilizar es la entrevista, en la que llega a obtener información más

específica que la obtenida mediante cuestionarios, utilizando el método del interrogatorio, con
preguntas variadas y sencillas, pero que han sido convenientemente elaboradas.

La tercera herramienta que se utiliza es el checklist, conjunto de preguntas respondidas en la

mayoría de las veces oralmente, destinados principalmente a personal técnico. Por estos
motivos deben ser realizadas en un orden determinado, muy sistematizadas, coherentes y
clasificadas por materias, permitiendo que el auditado responda claramente. Existen dos tipos
de filosofía en la generación de checklists:

 De rango: las preguntas han de ser puntuadas en un rango establecido (por ejemplo de
1 a 5, siendo 1 la respuesta más negativa y 5 la más positiva), permite una mayor
precisión en la evaluación, aunque depende, claro está, del equipo auditor.
 Binaria: las respuestas sólo tienen dos valores (de ahí su nombre) cuya respuesta puede
ser Si o No, con una elaboración más compleja, deben ser más precisos.

No existen checklists estándares, ya que cada organización y su auditoría tienen sus

peculiaridades.

La siguiente herramienta que se utiliza, las trazas, se basa en el uso de software, que permiten
conocer todos los pasos seguidos por la información, sin interferir el sistema.

Además del uso de las trazas, el auditor utilizará, los ficheros que el próximo sistema genera y
que recoge todas las actividades que se realizan y la modificación de los datos, que se conoce
con el nombre de log. El log almacena toda aquella información que ha ido cambiando y como
ha ido cambiando, de forma cronológica. En los últimos años se ha utilizado el software de
interrogación para auditar ficheros y bases de datos de la organización. Las herramientas de
productividad permiten optimizar recursos en el desarrollo del proyecto.

Las más comunes son:

 Procesadores de datos: incluye la  Productos CASE para el modelo de

documentación, entrevistas, los datos, procesos, …
cuestionarios,…  Impresoras y ordenadores
 Diagramas: flujo, de organización,…  Protocolos de seguridad
 Gráficas: de estadísticas, de informática…
tiempo,…

2) Metodología para el desarrollo de una auditoria informática.

 a. Alcance y objetivos de la auditoria informática.

El alcance de la auditoría expresa los límites de la misma. Debe existir un acuerdo muy preciso
entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar. A los
efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las excepciones
de alcance de la auditoría, es decir cuales materias, funciones u organizaciones no van a ser
auditadas. Tanto los alcances como las excepciones deben figurar al comienzo del Informe Final.
Las personas que realizan la auditoría han de conocer con la mayor exactitud posible los
objetivos a los que su tarea debe llegar. Deben comprender los deseos y pretensiones del
cliente, de forma que las metas fijadas puedan ser cumplidas. Una vez definidos los objetivos
(objetivos específicos), éstos se añadirán a los objetivos generales y comunes de a toda auditoría
Informática: La operatividad de los Sistemas y los Controles Generales de Gestión Informática.

b. Estudio inicial del entorno auditable.

Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la

informática. Para su realización el auditor debe conocer lo siguiente:

Organización: Para el equipo auditor, el conocimiento de quién ordena, quién diseña y quién
ejecuta es fundamental. Para realizar esto en auditor deberá fijarse en:

1) Organigrama: El organigrama expresa la estructura oficial de la organización a auditar. Si se

descubriera que existe un organigrama fáctico diferente al oficial, se pondrá de manifiesto tal
circunstancia.

2) Departamentos: Se entiende como departamento a los órganos que siguen inmediatamente

a la Dirección. El equipo auditor describirá brevemente las funciones de cada uno de ellos.

3) Relaciones Jerárquicas y funcionales entre órganos de la Organización: El equipo auditor

verificará si se cumplen las relaciones funcionales y Jerárquicas previstas por el organigrama, o
por el contrario detectará, por ejemplo, si algún empleado tiene dos jefes. Las de Jerarquía
implican la correspondiente subordinación. Las funcionales por el contrario, indican relaciones
no estrictamente subordinables.

4) Además de las corrientes verticales intradepartamentales, la estructura organizativa

cualquiera que sea, produce corrientes de información horizontales y oblicuas
extradepartamentales.

5) Los flujos de información entre los grupos de una organización son necesarios para su
eficiente gestión, siempre y cuando tales corrientes no distorsionen el propio organigrama. En
ocasiones, las organizaciones crean espontáneamente canales alternativos de información, sin
los cuales las funciones no podrían ejercerse con eficacia; estos canales alternativos se producen
porque hay pequeños o grandes fallos en la estructura y en el organigrama que los representa.
Otras veces, la aparición de flujos de información no previstos obedece a afinidades personales
o simple comodidad. Estos flujos de información son indeseables y producen graves
perturbaciones en la organización.

6) Flujos de Información: El equipo auditor comprobará que los nombres de los Puesto de los
Puestos de Trabajo de la organización corresponden a las funciones reales distintas. Es frecuente
que bajo nombres diferentes se realicen funciones idénticas, lo cual indica la existencia de
funciones operativas redundantes. Esta situación pone de manifiesto deficiencias estructurales;
los auditores darán a conocer tal circunstancia y expresarán el número de puestos de trabajo
verdaderamente diferentes.

7) Número de Puestos de trabajo

8) Número de personas por Puesto de Trabajo. Es un parámetro que los auditores informáticos
deben considerar. La inadecuación del personal determina que el número de personas que
realizan las mismas funciones rara vez coincida con la estructura oficial de la organización.

c. Determinación de los recursos necesarios para realizar la auditoría.

Mediante los resultados del estudio inicial realizado se procede a determinar los recursos
humanos y materiales que han de emplearse en la auditoría.

Recursos materiales Es muy importante su determinación, por cuanto la mayoría de ellos son
proporcionados por el cliente. Las herramientas software propias del equipo van a utilizarse
igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas
de uso entre el auditor y cliente.

Los recursos materiales del auditor son de dos tipos:

 Recursos materiales Software

Cantidad y complejidad de Bases de Datos y Ficheros. Programas propios de la auditoria: Son

muy potentes y Flexibles. Habitualmente se añaden a las ejecuciones de los procesos del cliente
para verificarlos.

Monitores: Se utilizan en función del grado de desarrollo observado en la actividad de Técnica

de Sistemas del auditado y de la cantidad y calidad de los datos ya existentes.

 Recursos materiales Hardware

Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos
de control deben efectuarse necesariamente en las Computadoras del auditado. Para lo cual
habrá de convenir, tiempo de máquina, espacio de disco, impresoras ocupadas, etc.

Recursos Humanos

La cantidad de recursos depende del volumen auditable. Las características y perfiles del
personal seleccionado depende de la materia auditable. Es igualmente reseñable que la
auditoría en general suele ser ejercida por profesionales universitarios y por otras personas de
probada experiencia multidisciplinaria.

d. Elaboración del plan y de los programas de trabajo.

Una vez asignados los recursos, el responsable de la auditoría y sus colaboradores establecen
un plan de trabajo. Decidido éste, se procede a la programación del mismo. El plan se elabora
teniendo en cuenta, entre otros criterios, los siguientes:

a) Si la Revisión debe realizarse por áreas generales o áreas específicas. En el primer caso, la
elaboración es más compleja y costosa.

b) Si la auditoría es global, de toda la Informática, o parcial. El volumen determina no solamente

el número de auditores necesarios, sino las especialidades necesarias del personal.
  En el plan no se consideran calendarios, porque se manejan recursos genéricos y no
específicos.
 En el Plan se establecen los recursos y esfuerzos globales que van a ser necesarios.
 En el Plan se establecen las prioridades de materias auditables, de acuerdo siempre con
las prioridades del cliente.
 El Plan establece disponibilidad futura de los recursos durante la revisión.
 El Plan estructura las tareas a realizar por cada integrante del grupo.
 En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado.

Una vez elaborado el Plan, se procede a la Programación de actividades. Esta ha de ser lo

suficientemente como para permitir modificaciones a lo largo del proyecto.

e. Actividades propiamente dichas de la auditoría.

Auditoría por temas generales o por áreas específicas: La auditoría Informática general se realiza
por áreas generales o por áreas específicas. Si se examina por grandes temas, resulta evidente
la mayor calidad y el empleo de más tiempo total y mayores recursos. Cuando la auditoría se
realiza por áreas específicas, se abarcan de una vez todas las peculiaridades que afectan a la
misma, de forma que el resultado se obtiene más rápidamente y con menor calidad.

Técnicas de Trabajo:

- Análisis de la información recabada del - Entrevistas.

auditado.
- Simulación.
- Análisis de la información propia.
- Muestreos.
- Cruzamiento de las informaciones
anteriores.

Herramientas:

- Cuestionario general inicial. - Simuladores (Generadores de datos).

- Cuestionario Checklist. - Paquetes de auditoría (Generadores de

Programas).
- Estándares.
- Matrices de riesgo.
- Monitores.

f. Confección y redacción del informe final

La función de la auditoría se materializa exclusivamente por escrito. Por lo tanto la elaboración

final es el exponente de su calidad. Resulta evidente la necesidad de redactar borradores e
informes parciales previos al informe final, los que son elementos de contraste entre opinión
entre auditor y auditado y que pueden descubrir fallos de apreciación en el auditor.

Estructura del informe final:

El informe comienza con la fecha de comienzo de la auditoría y la fecha de redacción del mismo.
Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas,
con indicación de la jefatura, responsabilidad y puesto de trabajo que ostente.

Definición de objetivos y alcance de la auditoría.

Enumeración de temas considerados: Antes de tratarlos con profundidad, se enumerarán lo más
exhaustivamente posible todos los temas objeto de la auditoría.

Cuerpo expositivo: Para cada tema, se seguirá el siguiente orden a saber:

a) Situación actual. Cuando se trate de una revisión periódica, en la que se analiza no

solamente una situación sino además su evolución en el tiempo, se expondrá la
situación prevista y la situación real
b) Tendencias. Se tratarán de hallar parámetros que permitan establecer tendencias
futuras.
c) Puntos débiles y amenazas.
d) Recomendaciones y planes de acción. Constituyen junto con la exposición de puntos
débiles, el verdadero objetivo de la auditoría informática.
e) Redacción posterior de la Carta de Introducción o Presentación.

Modelo conceptual de la exposición del informe final:

- El informe debe incluir solamente hechos importantes. La inclusión de hechos poco relevantes
o accesorios desvía la atención del lector.

- El Informe debe consolidar los hechos que se describen en el mismo.

El término de "hechos consolidados" adquiere un especial significado de verificación objetiva y

de estar documentalmente probados y soportados. La consolidación de los hechos debe
satisfacer, al menos los siguientes criterios:

El hecho debe poder ser sometido a cambios.

Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situación.

No deben existir alternativas viables que superen al cambio propuesto.

La recomendación del auditor sobre el hecho debe mantener o mejorar las normas y estándares
existentes en la instalación.

La aparición de un hecho en un informe de auditoría implica necesariamente la existencia de

una debilidad que ha de ser corregida.

Flujo del hecho o debilidad:

1. – Hecho encontrado.
o Ha de ser relevante para el auditor y pera el cliente.
o Ha de ser exacto, y además convincente.
o No deben existir hechos repetidos.
2. – Consecuencias del hecho
o Las consecuencias deben redactarse de modo que sean directamente
deducibles del hecho.
3. – Repercusión del hecho
o Se redactará las influencias directas que el hecho pueda tener sobre otros
aspectos informáticos u otros ámbitos de la empresa.
4. – Conclusión del hecho
o No deben redactarse conclusiones más que en los casos en que la exposición
haya sido muy extensa o compleja.
5. – Recomendación del auditor informático
 o Deberá entenderse por sí sola, por simple lectura.
o Deberá estar suficientemente soportada en el propio texto.
o Deberá ser concreta y exacta en el tiempo, para que pueda ser verificada su
implementación.
o La recomendación se redactará de forma que vaya dirigida expresamente a la
persona o personas que puedan implementarla.

g. Redacción de la carta de introducción o carta de presentación del informe

final.

La carta de introducción tiene especial importancia porque en ella ha de resumirse la auditoría

realizada. Se destina exclusivamente al responsable máximo de la empresa, o a la persona
concreta que encargo o contrato la auditoría. La carta de introducción poseerá los siguientes
atributos:

- Tendrá como máximo 4 folios.

- Incluirá fecha, naturaleza, objetivos y alcance.
- Cuantificará la importancia de las áreas analizadas.
- Proporcionará una conclusión general, concretando las áreas de gran debilidad.
- Presentará las debilidades en orden de importancia y gravedad.
- En la carta de Introducción no se escribirán nunca recomendaciones.