Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
ENFOQUE METODOLÓGICO
AUDITORÍA DE SISTEMAS
INFORMÁTICOS.
ENFOQUE METODOLÓGICO
PATRICIO BARBERÁN ARBOLEDA
657.458
B234a
BARBERÁN ARBOLEDA, PATRICIO
Auditoría de sistemas informáticos: enfoque metodológico.-
Guayaquil: 1ª edición.- Dirección de Publicaciones
de la Universidad Católica de Santiago de Guayaquil, 2017
144 p.
ÁREA: ADMINISTRACIÓN
1. AUDITORÍA INTERNA.
2. ADMINISTRACIÓN DE EMPRESAS.
3. ADMINISTRACIÓN DE SISTEMAS COMPUTACIONALES.
ISBN: 978-9942-904-62-1
TEDICIÓN
DALIANA DEL CARMEN RODRÍGUEZ CAMPOS
DISEÑO Y DIAGRAMACIÓN
OMAR GUTIÉRREZ GRANELA
ISBN
XXX-XXXX-XXX-XX-X
DEPÓSITO LEGAL
GYE-XXXXXX
DIRECCIÓN DE PUBLICACIONES
DE LA UNIVERSIDAD CATÓLICA
DE SANTIAGO DE GUAYAQUIL QUEDA RIGUROSAMENTE PROHIBIDA, SIN LA AUTORIZACIÓN ESCRITA
AV. CARLOS JULIO AROSEMENA, KM. 1,5 DE LOS TITULARES DEL COPYRIGHT, BAJO LAS SANCIONES ESTABLECIDAS
TELÉFONO: +593 4 220 9210 EN LAS LEYES, LA REPRODUCCIÓN TOTAL O PARCIAL DE ESTA OBRA POR
GUAYAQUIL, ECUADOR CUALQUIER MEDIO O PROCEDIMIENTO, COMPRENDIDO LA REPROGRAFÍA Y EL
correo electrónico: editorial@cu.ucsg.edu.ec TRATAMIENTO INFORMÁTICO, Y LA DISTRIBUCIÓN DE EJEMPLARES DE ELLA
http://www.ucsg.edu.ec MEDIANTE ALQUILER O PRÉSTAMOS PÚBLICOS.
ÍNDICE
PRÓLOGO 9
IDEAS PRELIMINARES 17
INTRODUCCIÓN 21
PARTE I 25
I. INTRODUCCIÓN A LA AUDITORÍA Y AUDITORÍA DE SISTEMAS 29
II. FUNCIONES DEL AUDITOR DE SISTEMAS 45
III. EVALUACIÓN DE APLICACIONES 65
PARTE II 99
IV. EVALUACIÓN DEL DEPARTAMENTO DE SISTEMAS 103
BIBLIOGRAFÍA 139
PRÓLOGO
El objetivo general de este libro es la presentación de una metodología que
puede aplicarse a las auditorías de sistemas en las empresas. Esta publicación
es el resultado de la amplia experiencia profesional y esfuerzos del autor para
proporcionar a los auditores y a cualquier persona con responsabilidad en los
sistemas de control interno contable o preparación de información financie-
ra, una herramienta que les permita afrontar los desafíos profesionales que
representa el alto desarrollo tecnológico que han experimentado las empresas
para el procesamiento de la información, que en ciertos casos constituyen un
elemento de ventaja competitiva dentro del segmento de mercado donde actúan.
Las empresas han crecido y el volumen de sus operaciones ha aumentado
a tal punto que el funcionamiento actual de las mismas no se concibe sin la
presencia del computador, que no solo se usan para automatizar los procesos
manuales del pasado, sino que incorporan técnicas analíticas orientadas a
proporcionar información para la toma de decisiones. En consecuencia, un
auditor en la ejecución de su trabajo, no solo se enfrenta a un computador,
sino también a nuevos conceptos tecnológicos de sistemas de información.
No existe ninguna duda de que los procedimientos de auditoría se afec-
tan en función del tamaño y las características del sistema de información
implementado por cada compañía. Por esta razón, el auditor necesita
un conocimiento suficiente de los computadores, del procesamiento de la
información y de las maneras en que puede usarlos para ejecutar las pruebas
de auditoría.
Este texto está enfocado en su primer capítulo a identificar y desarrollar
las principales funciones de un auditor de sistemas, dando al lector una me-
todología de cómo aplicarlas en las empresas. Describe el marco conceptual
que conforma la responsabilidad de un auditor con respecto a las tecnologías
implementadas en las empresas.
En los siguientes dos capítulos se desarrollan temas relacionados con las
tecnologías que se presentan en las empresas, las revisiones de las aplicaciones
10 AUDITORÍA DE SISTEMAS INFORMÁTICOS. ENFOQUE METODOLÓGICO
AGRADECIMIENTO
CERRAR LA BRECHA
Nosotros vamos a auditar al Dpto. de Sistemas o aplicaciones que son maneja-
das desde un computador, por lo cual necesitamos conocer o familiarizarnos
con temas de sistemas.
Una opción que le brinda el mercado sería matricular en una carrera de
Ingeniería de Sistemas u otras afines a la misma; considero que es una buena
idea, pero tal vez no aplicable, por lo cual le propongo cerrar la brecha tecnoló-
gica que existe entre ustedes y la tecnología.
Esto implica incorporar en su estilo de vida diferentes actividades, tales como:
GENERAL
Lograr que el lector sea capaz de: manejar metodologías, técnicas y he-
rramientas para plantear y efectuar evaluaciones en las aplicaciones
22 AUDITORÍA DE SISTEMAS INFORMÁTICOS. ENFOQUE METODOLÓGICO
ESPECÍFICOS
RESULTADOS DE APRENDIZAJE
DESTINATARIOS
Enfocado a profesionales de la carrera de Contaduría Pública, adicionalmente
puede ser utilizado como material referencial por profesionales técnicos del
área de sistemas. Además, pueden utilizarlo empresas auditoras medianas,
que no cuentan en su estructura personal técnico de auditoría de sistemas.
INTRODUCCIÓN 23
INTRODUCCIÓN
En este capítulo está planificado inicialmente revisar una introducción de
las NIIF en el Ecuador y la importancia de la auditoría de sistemas. Con esta
introducción se analizará el concepto de auditoría de sistemas, para lo cual se
han tomado como referencia a dos autores.
El objetivo de revisar dicho concepto es tener una visión del alcance de la
auditoría de sistemas y cómo puede servir en la formación profesional y
laboral.
Una vez que tenemos definido en qué consiste la auditoría de sistemas, las
primeras actividades que ustedes deberían realizar antes de cualquier inicio
de un trabajo al aplicar auditoría de sistemas, son:
De la misma forma la aplicación de las NIIF en Ecuador permitió a los entes re-
guladores tener un mayor grado de control sobre la información que presenten
las empresas anualmente y llevó a que las empresas apliquen diferentes estra-
tegias para realizar su adopción de forma práctica y ordenada. Las empresas
optaron por diseñar un programa que incluya principalmente:
▪▪ Pruebas de controles.
▪▪ Procedimientos sustantivos (analíticos sustantivos y pruebas
de detalle).
Las pruebas de controles son realizadas por el auditor una vez que se ha
obtenido evidencia suficiente sobre los procesos de la empresa, considerando
solamente los controles implementados por la empresa para prevenir, detectar
y corregir incorrecciones inmateriales. En un ambiente de control el auditor
tiene una mayor confianza y grado de seguridad en el desarrollo de la auditoría
financiera.
Los procedimientos sustantivos comprenden la realización de procedi-
mientos para cada tipo de transacción, saldo contable e información a revelar.
(International Federation of Accountants, 2011: 15)
De acuerdo a (Martínez, 2015): «Los procedimientos analíticos sustantivos
son procedimientos que utiliza el auditor con el fin de evaluar la razonabili-
dad de una cuenta y consisten en comparar lo registrado con expectativas del
auditor».
Para analizar los métodos académicos nos enfocaremos en la evaluación de
los riesgos existentes en la información producida por la entidad y utilizada
en la realización de pruebas de detalle, debido a que las mejores respuestas
a los riesgos pueden incluir una combinación de procedimientos analíticos
sustantivos (basado en expectativas) y pruebas de detalle.
Las pruebas de detalle pueden incluir principalmente los siguientes pro-
cedimientos:
dos en una empresa, sean individuales, compartidos y/o redes, así como a sus
instalaciones, telecomunicaciones, mobiliarios, equipos periféricos y demás
componentes. Dicha revisión se realiza de igual manera a la gestión infor-
mática, el aprovechamiento de sus recursos, las medidas de seguridad y los
bienes de consumo necesarios para el funcionamiento del centro de cómputo.
El propósito fundamental es evaluar el uso adecuado de los sistemas para el
correcto ingreso de los datos, el procesamiento adecuado de la información y la
emisión oportuna de sus resultados en la institución, incluyendo la evaluación
en el cumplimiento de las funciones, actividades y operaciones de funciona-
rios, empleados y usuarios involucrados con los servicios que proporcionan los
sistemas computacionales a la empresa.» (Muñoz, 2002: 19)
«La Auditoría Informática es el proceso de recoger, agrupar y evaluar evi-
dencias para determinar si un sistema informatizado salvaguarda los activos,
mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la
organización y utiliza eficientemente los recursos.» (Piattini y del Peso, 2001:
28-29)
●● Nombre de la aplicación.
●● Breve descripción.
●● A qué áreas soporta.
●● Si es desarrollo local o comprado.
●● Fecha de implementación.
●● Cambios significativos que haya tenido, y en qué fecha se
han presentado los mismos.
▪▪ Plan de trabajo del presente año y del año anterior del Dpto. de
Sistemas, con el análisis de cumplimiento de los mismos.
▪▪ Principales inconvenientes que se han presentado en los temas
de infraestructura, aplicaciones y personal, correspondiente al
año anterior y al actual.
▪▪ Informes de auditorías de sistemas efectuadas correspondien-
tes a los últimos tres años.
▪▪ Informes de consultorías realizadas en el Dpto. de Sistemas en
el último año.
▪▪ Estructura
▪▪ Equipos
▪▪ Aplicaciones implementadas
▪▪ Gestión del Dpto. de Sistemas
Cabe indicar que toda información debe ser canalizada a través del respon-
sable del Dpto. de Sistemas; el no cumplir dicho lineamiento puede generar
malestar al responsable del mismo, o la persona que nos entrega la informa-
ción podría entregarnos datos errados sin que exista responsabilidad en dicha
entrega; adicionalmente esta solicitud debería ser enviada formalmente a
través de un correo.
El siguiente procedimiento es cruzar la información investigada versus lo
entregado, pues nos podemos encontrar en ciertas situaciones con respecto al
cruce de la información:
Preparar lista de preguntas o check list como guía para el trabajo a realizar, la
misma que estará enfocada para las siguientes personas:
Para los temas que se investigaron y la empresa no cuenta con los mismos, se
deberían efectuar las siguientes preguntas:
Con respecto a las preguntas que se deberían realizar a los responsables de las
áreas críticas y al Auditor:
ACTIVIDADES
A continuación, se detallan ciertas actividades que tienen como objetivo ayu-
dar a reforzar los conceptos y lineamientos indicados en el presente material.
Actividad 1: Investigar otros conceptos de auditoría de sistemas.
Lineamientos de la actividad recomendada:
Investigar conceptos adicionales de auditoría de sistemas (mínimo dos), y
efectuar las siguientes actividades para cada uno de los conceptos investiga-
dos:
▪▪ Analizar y obtener una conclusión de los conceptos investiga-
dos.
I. INTRODUCCIÓN A LA AUDITORÍA Y AUDITORÍA DE SISTEMAS 39
RESUMEN
En este capítulo se han visto dos temas fundamentales, el concepto de au-
ditoría de sistemas y las primeras actividades que deben realizar antes de
cualquier inicio de trabajo, las mismas que son:
▪▪ Estructura
▪▪ Equipos
▪▪ Aplicaciones implementadas
▪▪ Gestión del Dpto. de Sistemas
42 AUDITORÍA DE SISTEMAS INFORMÁTICOS. ENFOQUE METODOLÓGICO
MAPA CONCEPTUAL
INTRODUCCIÓN
En el presente capítulose definen las funciones de un auditor de sistemas, las
cuales servirán como lineamiento de las actividades que se realizarán en cada
trabajo, a diferencia de las funciones que realicen; si son auditores financieros-
contables o auditores de sistemas deben considerar estas funciones dentro de
sus nuevas actividades en su empresa o donde desempeñan sus labores.
El tener un conocimiento de las funciones los hará responsables de sus
nuevos retos y obligaciones dentro de su desempeño profesional.
Una vez detalladas las catorce funciones de un auditor de sistemas, para
cada una de ellas se procederá a definir una guía de los temas o consideracio-
nes que deben evaluarse para realizar. Cabe mencionar que, las dos principa-
les funciones del auditor de sistemas, se detallarán en los siguientes capítulos
del presente libro.
Una vez detallada las funciones y revisada la guía de cómo evaluarlas, la
siguiente actividad es determinar cómo dar prioridad según importancia a
las mismas, considerándolas desde el punto de vista de un auditor. Estaprio-
rización es un criterio personal y depende de otros elementos como el tipo de
negocio, cultura organizacional de la empresa, riesgo existente en el negocio,
entre otros temas.
Finalmente, en este capítulo se elaborará un concepto de auditoría de sis-
temas considerando las principales funciones; cabe indicar que cada auditor
puede elaborar su propio concepto de auditoría de sistemas según la informa-
ción revisada en este presente capítulo.
46 AUDITORÍA DE SISTEMAS INFORMÁTICOS. ENFOQUE METODOLÓGICO
que deben realizarse para cumplir las mismas, con el objetivo, no solo de
conocer cuáles son las funciones, sino tener los lineamientos de los pasos que
deben realizarse:
2.1. DISEÑO DE UN PROGRAMA FORMAL DE AUDITORÍA DE SISTEMAS
Un programa formal de auditoría de sistema debe realizarse en noviembre,
para que en diciembre la Administración lo haya aprobado, y el primer día del
siguiente año exista un documento formal de cuáles serán las actividades a
realizar.
Si el auditor se incorpora a una empresa a mediados de año, debe revisar
la planificación de trabajo existente y evaluar si la misma incluye actividades
que cubren las funciones del auditor de sistemas; en caso contrario debe eva-
luarse la situación y ajustar el plan de trabajo.
Un programa formal de auditoría de sistemas incluye la siguiente infor-
mación:
▪▪ Seguridades.
▪▪ Ingreso de datos.
▪▪ Rechazo de datos.
▪▪ Procesamiento de datos.
▪▪ Por ser una de las funciones más importantes del Auditor de
sistemas, estos puntos serán revisados en detalle en el capítulo
tres del presente libro.
▪▪ Actualizadas.
▪▪ Aprobadas.
▪▪ Formalizadas y conocidas por el personal involucrado.
▪▪ Definir qué procesos críticos del Dpto. de Sistemas van a ser eva-
luados, para lo cual se debe realizar una matriz de riesgo para
determinar qué procesos son de mayor riesgo en el negocio. Más
adelante detallaremos consideraciones para la elaboración de la
matriz de riesgo.
52 AUDITORÍA DE SISTEMAS INFORMÁTICOS. ENFOQUE METODOLÓGICO
caso que no exista dicho cargo, se reunirá con la persona que efectúa tales
funciones.
El analista de sistemas es la persona encargada de efectuar el análisis
de las aplicaciones existentes en la empresa, actividad requerida cuando se
desarrolla una aplicación o cuando se modifica, por lo cual conoce como está
diseñada una aplicación y sus tablas.
Información requerida para efectuar un análisis de datos de la informa-
ción registrada en las aplicaciones:
sumar todas las facturas del mes y cruzar con el total de ventas registrado en
la contabilidad.
Una limitación que podría afectar la ejecución de esta función es que la
aplicación evaluada sea una aplicación comprada y no se cuenta con los sufi-
cientes conocimientos o con la información técnica de las tablas.
2.9. ELABORAR INFORME DE LAS EVIDENCIAS OBSERVADAS COMO PARTE DEL TRABAJO, CON SUS RESPECTIVAS
RECOMENDACIONES, Y REALIZAR UN SEGUIMIENTO A LOS MISMOS
La experiencia adquirida como auditores hace que esta función sea fácil de
ejecutar; sin embargo, se detallan ciertas recomendaciones:
2.10. PARTICIPACIÓN ACTIVA EN EL DISEÑO Y DESARROLLO DE LAS APLICACIONES CON EL PROPÓSITO DE QUE ESTAS
SEAN AUDITABLES DESDE UN COMIENZO, TENGAN CONTROLES ADECUADOS Y CUMPLAN CON REQUERIMIENTOS
▪▪ Perfil profesional, que podría ser técnico o no, por lo que la revi-
sión de los riesgos del Dpto. de Sistemas y sus controles requiere
de un perfil más técnico, al recomendar que a dicha función se
le asigne una prioridad menor de ejecución.
▪▪ Características propias del negocio.
▪▪ Requerimientos puntuales de la Administración.
ACTIVIDADES
A continuación, se detallan ciertas actividades que tienen como objetivo ayu-
dar a reforzar los conceptos y lineamientos indicados en el presente material.
Actividad 1: Análisis de las funciones del Auditor de sistemas.
Lineamientos de la actividad:
En base al material detallado con respecto a las funciones del auditor de
sistemas, efectuar un análisis y evaluación de las mismas, considerando los
siguientes lineamientos:
▪▪ Su perfil profesional.
▪▪ La planificación de la auditoría interna o financiera.
▪▪ Consideraciones propias de un negocio.
RESUMEN
En este capítulo se revisaron las catorce funciones del auditor de sistemas con
su respectiva guía o lineamientos de las actividades que deben efectuarse para
cumplir con las mismas, dándole prioridad desde su importancia para el audi-
tor financiero-contable, se detallan las mismas en un orden de importancia:
▪▪ Perfil profesional.
▪▪ Características propias del negocio.
▪▪ Requerimientos puntuales de la Administración.
MAPA CONCEPTUAL
INTRODUCCIÓN
En este capítulo se ofrecen los lineamientos para una revisión de las aplica-
ciones y sus controles, como se indicó en el capítulo 2, tema 3: Priorización
de las funciones. En primera instancia se revisará la definición de aplicación
y ejemplos de las mismas, para definir cuál de esas aplicaciones son las que
tienen un mayor riesgo en el negocio, y en consecuencia evaluarla.
Lo fundamental en cualquier revisión es poder contar con una metodolo-
gía, por lo que en este capítulo se presenta un esquema de trabajo que consiste
en la evaluación de cuatro riesgos:
▪▪ Fácil de ejecutar.
▪▪ Aplicable a la mayoría de las situaciones, como tipo de negocios,
tamaño de la empresa, entre otros.
68 AUDITORÍA DE SISTEMAS INFORMÁTICOS. ENFOQUE METODOLÓGICO
2.1 INTRODUCCIÓN
De acuerdo a lo definido en las funciones del auditor de sistemas, la segunda
función es «Revisión de los riesgos existentes en las aplicaciones y sus contro-
les», y como lo indicamos anteriormente es una de las funciones principales
para un auditor de sistemas.
Igualmente, de acuerdo a lo indicado con respecto a la metodología utiliza-
da para evaluar una aplicación está enfocada en cuatro riesgos:
Estos puntos nos son obligatorios, pero el desarrollo de los mismos puede
contribuir a un mejor trabajo.
2.3. METODOLOGÍA PARA EVALUACIÓN DEL PRIMER RIESGO – ACCESO A FUNCIONES DE PROCESAMIENTO
EN LAS APLICACIONES
Una vez definida la aplicación, se debe evaluar el primer riesgo, para lo cual
se recomienda aplicar la metodología que se indicó para la primera reunión
con el responsable del Dpto. de Sistemas, y tener un conocimiento de dicho
departamento. Sin embargo, se han incluido actividades adicionales como so-
porte para la presente revisión. Este nuevo esquema metodológico se utilizará
en la evaluación de todos los riesgos, tanto de aplicaciones como del Dpto. de
Sistemas:
III. EVALUACIÓN DE APLICACIONES 71
El leer sobre los temas indicados y otros ofrecerá una mayor visión e informa-
ción sobre el riesgo a evaluar, lo cual se verá reflejado en la información que
solicitarán (paso dos de la metodología) o en las preguntas o revisiones que se
realizarán (paso cuatro de la metodología).
▪▪ Organigrama
▪▪ Manual de funciones del administrador de seguridades
▪▪ Manual de funciones del personal del área que se va a
revisar
▪▪ Políticas de seguridad
▪▪ Listado de personal
▪▪ Listados de usuarios
▪▪ Perfiles de usuarios (es un archivo - BD)
Cabe mencionar que como auditor la información debe cruzarse con dos usua-
rios diferentes para validar la misma, a excepción de los listados de usuarios y
perfiles de usuarios que son temas técnicos, y el Administrador de Seguridad
es el único que maneja dicho tema.
Los tres esquemas son interesantes y tienen puntos positivos y negativos, más
adelante en la revisión de la «Primera reunión para revisar con los involucra-
dos las revisiones definidas» se amplía este tema.
6. Primera reunión para revisar con los involucrados las revisio-
nes definidas.
▪▪ Administrador de Seguridades.
▪▪ Responsable del Dpto. de Sistemas.
▪▪ Usuarios operativos.
Una vez concluida las reuniones, se efectuará una revisión operativa del nivel
de riesgo del acceso a las aplicaciones, lo cual dependerá del esquema de eva-
luación definido:
3.1. INTRODUCCIÓN
De acuerdo a lo definido en temas anteriores con respecto a la metodología uti-
lizada para evaluar una aplicación, la misma está enfocada en cuatro riesgos:
●● Formato
●● Campos faltantes
●● Límites
●● Validación
●● Correlación de campos
●● Dígito verificador
●● Balanceo
●● Procesamiento duplicado
▪▪ Doble ingreso
●● Numérico
●● Alfanumérico
●● Fecha
●● Booleano, tiene dos estados Si/No, Verdadero/Falso o 1/0.
En el ingreso de una factura se debe evaluar qué campos son los que se ingresan
en la aplicación y de dichos campos determinar cuáles son requeridos; para
los mismos se valida que el sistema exija su ingreso al usuario, por ejemplo;
ruc, código del producto, cantidad, son campos mínimos requeridos en dicho
proceso.
Existe otras informaciones no necesariamente obligatorias, dependerá de
la empresa o de la situación propia de la transacción, tales como: dirección,
teléfono, ciudad, descripción, descuento, entre otros; los mismos no son
requeridos, es decir, el usuario, al ingresar una factura podría ingresar infor-
mación en los mismos o no, y el sistema le permitirá grabar dicho documento.
Los puntos mencionados nos son obligatorios, pero el desarrollo de los mismos
puede contribuir en un mejor trabajo.
El leer sobre los temas indicados y otros se tendrá una mayor visión e informa-
ción sobre el riesgo a evaluar, lo cual se verá reflejado en la información que
solicitarán (paso dos de la metodología) o en las preguntas o revisiones que se
realizarán (paso cuatro de la metodología).
82 AUDITORÍA DE SISTEMAS INFORMÁTICOS. ENFOQUE METODOLÓGICO
Esta información debe ser validada, la misma información debería ser pedida
a dos usuarios diferentes.
Cruzar la información investigada versus lo solicitado: Al efectuar dicha
actividad nos vamos a encontrar con los siguientes escenarios:
Definir el esquema de revisión: Los esquemas que existen para la revisión del
presente riesgo son:
Sobre los archivos «logs» investigados que se pueden activar y que la empresa
no los tiene implementados, se debería preguntar:
Primera reunión para revisar con los involucrados las revisiones definidas: De
acuerdo al detalle de preguntas elaborado en el punto anterior se efectuarán
las reuniones con los diferentes involucrados:
III. EVALUACIÓN DE APLICACIONES 85
▪▪ Usuarios operativos.
▪▪ Analista de Sistemas.
Las reuniones deben ser realizarse en dicho orden, primero con los usuarios
operativos y luego con el personal de sistemas (Analista de Sistemas).
Una vez concluida las reuniones se debe efectuar una revisión operativa del
proceso del ingreso de la información a las aplicaciones, para lo cual depende-
rá del esquema de evaluación definido:
Revisión con el usuario, esta prueba se realizará en el ambiente de produc-
ción, por lo que es limitado el alcance de las revisiones realizadas, por lo que
se recomienda:
4.1. INTRODUCCIÓN
En este tema se darán los lineamientos que se deben considerar para efectuar
una revisión del siguiente riesgo que se presentan en las aplicaciones, que es el
rechazo. De acuerdo a lo definido en temas anteriores con respecto a la meto-
dología utilizada para evaluar una aplicación está enfocada en cuatro riesgos:
Una vez detallado los temas mencionados definimos como riesgo de rechazo:
a la información perdida y no procesada en la aplicación, por lo cual el esquema ideal desde el punto de vista de control es el
manejo del rechazo con registro de la información.
Pero solo el hecho de que se registre en tablas de trabajo la información
rechazada no minimiza el riesgo, por lo cual es fundamental que el aplicativo
tenga medios de control (reportes, alarmas) de manera que se identifique de
manera oportuna estos registros que están en los archivos de trabajo y solucio-
narlos para que actualicen a las tablas de producción.
Leer sobre los temas indicados y otros dará una mayor visión e información so-
bre el riesgo a evaluar, lo cual se verá reflejado en la información que solicitada
(paso dos de la metodología) o en las preguntas o revisiones que se realizarán
(paso cuatro de la metodología).
Solicitar información de la aplicación o proceso crítico del negocio audita-
do: La siguiente información se solicitará de los procesos críticos del negocio a
ser revisados, detallamos:
Definir el esquema de revisión: Los esquemas que existen para la revisión del
presente riesgo son:
Para cada uno de los casos se debe preguntar que controles se tienen imple-
mentados y pedir evidencia para confirmar el cumplimiento de los mismos.
Entre los controles para los rechazos totales de la información tenemos:
90 AUDITORÍA DE SISTEMAS INFORMÁTICOS. ENFOQUE METODOLÓGICO
Primera reunión para revisar con los involucrados las revisiones definidas: De
acuerdo al detalle de preguntas elaborado en el punto anterior se efectuarán
las reuniones con los diferentes involucrados:
▪▪ Usuarios operativos.
▪▪ Analista de Sistemas.
Las reuniones deberían ser realizadas en dicho orden, primero con los usuarios
y luego con el personal de sistemas (Analista de sistemas). En las reuniones se
debe efectuar una revisión operativa del nivel de riesgo del rechazo de la infor-
mación a las aplicaciones, para lo cual dependerá del esquema de evaluación
definido.
5.1. INTRODUCCIÓN
En este tema se darán los lineamientos que se deben considerar para la
revisión del siguiente riesgo que se presentan en las aplicaciones, que es el
procesamiento de la información. Cuando se evalúa este riesgo no interesa
identificar los temas o razones que generan los inconvenientes en el proceso
crítico de negocio evaluado, el objetivo es evaluar qué controles existen para
identificar oportunamente dichos inconvenientes.
Las situaciones que podrían generar inconvenientes en el proceso crítico
del negocio podrían ser, entre otras:
5.2. METODOLOGÍA PARA EVALUACIÓN DEL CUARTO RIESGO: PROCESO DE LA INFORMACIÓN EN LAS APLICACIONES
Una vez definida la aplicación y el proceso crítico de la empresa que se va a
revisar, se recomienda aplicar la metodología utilizada para evaluar el primer
riesgo de acceso en las aplicaciones:
Definir el esquema de revisión: Los esquemas que existen para la revisión del
presente riesgo son:
Primera reunión para revisar con los involucrados las revisiones definidas: De
acuerdo al detalle de preguntas elaborado en el punto anterior se efectuarán
las reuniones con los diferentes involucrados, detallamos:
▪▪ Usuarios operativos.
▪▪ Analista de Sistemas.
94 AUDITORÍA DE SISTEMAS INFORMÁTICOS. ENFOQUE METODOLÓGICO
En las reuniones se debe efectuar una revisión operativa del nivel de riesgo del
proceso en las aplicaciones considerando los siguientes esquemas de revisión:
ACTIVIDADES
A continuación, se detallan ciertas actividades que tienen como objetivo ayu-
dar a reforzar los conceptos y lineamientos indicados en el presente material.
Actividad 1:
Lineamientos de la actividad recomendada a efectuar:
Para la selección de una aplicación para ser evaluada se propone en el pre-
sente material la elaboración de una matriz de riesgo, ante lo cual se solicita:
RESUMEN
La «Revisión de los riesgos existentes en las aplicaciones y sus controles», es
una de las funciones principales para un auditor de sistemas.
De acuerdo a lo indicado con respecto a la metodología utilizada para eva-
luar una aplicación está enfocada en cuatro riesgos:
Riesgo I: Acceso a funciones de procesamiento, personas no autorizadas
pueden tener acceso a las funciones de procesamiento de transacciones de los
programas de aplicación, permitiéndoles leer, modificar, agregar o eliminar
datos o ingresar transacciones no autorizadas para su procesamiento.
Riesgo II: Ingreso de datos/información, la información ingresada al siste-
ma puede ser incompleta, imprecisa o ingresada más de una vez (duplicada).
Riesgo III: Ítems rechazados/suspensos, al momento de ingresar la infor-
mación al sistema, este la puede rechazar por diferentes situaciones.
Riesgo IV: Procesamiento, el momento de procesar la información en el
sistema, este presente inconvenientes.
En esencia, para efectuar una auditoría de sistemas a una aplicación la
primera actividad que se debe realizar es la selección de las mismas, para lo
cual existen las siguientes opciones que podrían ser consideradas:
MAPA CONCEPTUAL
Evaluación de Aplicaciones
PARTE II
IV. EVALUACIÓN DEL DEPARTAMENTO
DE SISTEMAS
EVALUACIÓN DEL DEPARTAMENTO DE SISTEMAS
INTRODUCCIÓN
Este capítulo trata los lineamientos que se deben considerar para una revi-
sión del Departamento de Sistemas en las empresas, como se indicó en el
capítulo 2, Tema 3 (Priorización de las funciones), al indicar que una de las
funciones principales que debe realizar un auditor de sistemas es la evalua-
ción de los principales riesgos en un Dpto. de Sistemas.
Lo primero que se debe identificar son las áreas existentes en un Dpto. de
Sistemas, adicionalmente se debería evaluar qué temas son de interés para un
auditor de sistemas; en base a dicha información se podría determinar cuáles
son los mayores riesgos que deben revisarse por el auditor de sistemas en dicho
departamento.
Existen muchos elementos que podrían ser de interés desde el punto de
vista de un auditor de sistemas, por lo que es fundamental en una evaluación
contar con una metodología que guíe dicho proceso, que consiste en cuatro
riesgos:
c. Que pasa para el negocio si los mismos fallan o dejan de operar.
d. Principales cambios significativos que se han presentado en los
últimos dos años para cada una de ellos.
e. Principales inconvenientes y cuáles son las consecuencias de los
mismos en el último año para cada una de ellas.
cual podría limitar su revisión dependiendo del perfil profesional de cada uno
de ustedes.
Ante lo indicado, si el perfil de del auditor podrían tener limitaciones en
el desarrollo de las revisiones de estos elementos críticos, las cuales no van
a estar enfocadas en evaluar temas técnicos, como si dichos equipos están
dimensionados adecuadamente a la infraestructura de la empresa o si están
obsoletos, entre otros; lo que si van a poder efectuar son revisiones enfocándo-
las con su perfil profesional, que les van a permitir evaluar otros riesgos con
dichos equipos e infraestructuras tecnológicas, tales como: están asegurados,
existe una contingencia con los mismos, existe un contrato de mantenimien-
to, entre otros temas.
Entre los elementos críticos de un departamento de sistemas podemos
detallar:
▪▪ Equipos servidores
▪▪ Equipos de comunicaciones (switch, routers, antenas)
▪▪ Equipos de seguridad (firewall)
▪▪ Equipos de respaldos
▪▪ Equipos UPS
▪▪ Fácil de ejecutar.
▪▪ Aplicable a diferente tipo de situaciones, como son: tipo de
negocios, tamaño de la empresa, entre otros.
▪▪ Que integre el conocimiento de múltiples áreas y la experiencia.
2.1. INTRODUCCIÓN
De acuerdo a lo definido en las funciones del auditor de sistemas, la tercera
función es «Revisión de los riesgos del Dpto. de Sistemas y sus controles», y
como lo indicamos anteriormente es una de las funciones principales para un
auditor de sistemas.
Igualmente, de acuerdo a lo indicado con respecto a la metodología utiliza-
da para evaluar al Dpto. de Sistemas está enfocado en cuatro riesgos:
Es importante el recordar que cada uno de los riesgos puede ser evaluado de
manera independiente, no se requiere mantener un orden en su evaluación,
IV. EVALUACIÓN DEL DEPARTAMENTO DE SISTEMAS 109
la decisión dependerá de ustedes como auditores cual consideren que les gene-
ra mayor riesgo para la empresa.
Otra variable que debería ser considerada en la evaluación de estos riesgos
técnicos del Dpto. de Sistemas, es con cuál ustedes se sienten más cómodo en
su evaluación, lo que los fortalecerá y motivara para que efectúen revisiones
en dicho departamento.
Con respecto al primer riesgo podríamos indicar que las áreas o departa-
mentos críticos en las empresas deben ser auditados con mayor frecuencia, y
sus procesos deberían estar controlados, y unos de los elementos fundamen-
tales de control desde el punto de vista de la auditoría es que existan políticas
y procedimientos que normen dichos procesos.
El Dpto. de Sistemas es un área crítica en la empresa, por lo que podemos
concluir que todos sus procesos deberían estar normados con políticas y proce-
dimientos formalizados en un documento físico o digital.
Pero la evaluación de dichas políticas y procedimientos del Dpto. de Sis-
temas es un tema que podría requerir de mayores conocimientos técnicos
de parte del auditor, ya que los mismos van a referirse a temas operativos y
de gestión muy propia del área de Sistemas, lo cual podría considerarse una
limitación para efectuar dicho trabajo.
Sin embargo, la metodología propuesta está enfocada a que el auditor
valide que existan dichas políticas y procedimientos y que las mismas sean
conocidas en el personal involucrado en el proceso, verificar el cumplimiento
de las mismas y ratificar que estén actualizadas, entre otros puntos, temas
que un auditor tiene una amplia experiencia.
Pero la realidad es que el auditor, revisa y evalúa políticas y procedimientos
de todas las áreas de la empresa, a excepción del área de Sistemas, entonces
nos deberíamos preguntar, ¿por qué no se evalúa las políticas y procedimien-
tos del Dpto. de Sistemas?, mi apreciación es que simplemente el auditor tiene
miedo de ingresar al área de Sistemas.
Por lo indicado, se recomienda que este riesgo sea evaluado como una de
las primeras actividades que ustedes efectúen como auditor de sistemas, ya
que le va a permitir ingresar realizar trabajos en el área de sistemas en un
tema que ustedes dominan como auditores, que es validar el cumplimiento de
las políticas y procedimientos. El efectuar esta actividad le va a dar seguridad
para futuros trabajos de auditoría de sistemas.
2.2. CONOCIMIENTOS TÉCNICOS REQUERIDOS PARA LA EVALUACIÓN DEL PRIMER RIESGO, POLÍTICAS
Y PROCEDIMIENTOS DEL DPTO. DE SISTEMAS
Para la evaluación delas políticas y procedimientos del Dpto. de Sistemas es
importante que ustedes conozcan e investiguen la siguiente información:
110 AUDITORÍA DE SISTEMAS INFORMÁTICOS. ENFOQUE METODOLÓGICO
▪▪ Investigar.
▪▪ Solicitar información del área o elemento crítico a auditar.
▪▪ Cruzar la información investigada versus lo solicitado.
▪▪ Definir el esquema de revisión.
▪▪ Preparar lista de preguntas y pruebas a efectuar como guía para
el trabajo a realizar.
▪▪ Primera reunión para revisar con los involucrados las revisiones
definidas.
▪▪ Revisar los resultados obtenidos.
▪▪ Segunda reunión para ampliar cualquier inquietud sobre las
revisiones efectuadas.
▪▪ Elaboración de informe.
▪▪ Revisar informe con los involucrados.
▪▪ Entrega de informe final.
3.1. INTRODUCCIÓN
En este tema vamos a revisar el segundo riesgo «Acceso físico y lógico a ele-
mentos críticos del Dpto. de Sistemas», cuando personal no autorizado pueda
ingresar de manera física o lógica a los elementos críticos del Dpto. de Siste-
mas sin la debida autorización y sin que existan controles en su ingreso.
Para iniciar en la aplicación de la metodología en la revisión del segundo
riesgo en la evaluación del Dpto. de Sistemas, definamos qué temas deberían
haberse cubierto por ustedes antes de la respectiva evaluación, detallamos:
3.2. CONOCIMIENTOS TÉCNICOS REQUERIDOS PARA LA EVALUACIÓN DEL SEGUNDO RIESGO: ACCESO FÍSICO
Y LÓGICO A ELEMENTOS CRÍTICOS DEL DPTO. DE SISTEMAS
Para una mayor comprensión de la metodología y obtención de mejores resul-
tados de la evaluación que ustedes van a efectuar, existen ciertos temas que
son importantes que los investiguen y se relacionen con dichos conceptos.
En la evaluación de los riesgos del Dpto. de Sistemas, se van a revisar temas
más técnicos, por lo que es importante que le den la prioridad de cerrar la bre-
cha de conocimientos técnicos existente entre ustedes y el personal del Dpto.
de Sistemas. Detallamos los puntos que deberían ser investigados:
3.3. METODOLOGÍA PARA EVALUACIÓN DEL SEGUNDO RIESGO: ACCESO FÍSICO Y LÓGICO PARA ELEMENTOS CRÍTICOS
DEL DPTO. DE SISTEMAS
Como la metodología recomendada para la evaluación es la misma tanto para
las aplicaciones como para el Dpto. de Sistemas, sólo vamos a desarrollar los
pasos cuyas actividades tengan un manejo especial en la evaluación del pre-
sente riesgo del Dpto. de Sistemas.
Para aquellas actividades que no son desarrolladas en este riesgo, deberían
tomar como referencia lo visto en el capítulo uno y demás capítulos donde se
desarrolla la metodología para cada uno de los riesgos de las aplicaciones y del
Dpto. de Sistemas.
Detallamos el desarrollo de las actividades de la metodología para la eva-
luación del segundo riesgo del Dpto. de Sistemas:
Investigar: Como se detalló en el epígrafe 3.2 del presente capítulo, respecto
a los conocimientos requeridos para la evaluación del riesgo de «Acceso físico
y lógico de los elementos críticos al Dpto. de Sistemas», los puntos que ustedes
deben investigar son:
Estos temas de investigación deberían ser cubiertos enfocándose con los si-
guientes lineamientos:
4.1. INTRODUCCIÓN
La situación en algunas empresas es que no se tengan identificados los riesgos
operativos y de gestión más críticos y factibles que puedan afectar al Dpto. de
Sistemas, y que los mismos tengan incidencia significativa en la operación de
la empresa.
El tener identificado los riesgos permite elaborar un detalle de las activida-
des que deberían realizarse en caso de que sucedan los mismos, con el objetivo
de minimizar el impacto en la empresa, dicho detalle se lo conoce como un
plan de contingencia. Un plan de contingencia, es una guía de lo que se debe
de efectuar en caso de una contingencia; por ejemplo, si existe un incendio
que debe de hacer el personal del área afectada, como se debe de manejar al
recurso humano, a quien se debe de avisar, como se debe manejar a la prensa,
entre otros temas.
El documento donde está detallado cada paso de lo que se debe de hacer, es
lo que se llama plan de contingencia.
Lo fundamental de un plan de contingencia es que debe estar enfocado a
los riesgos más importantes y con mayor posibilidad de ocurrencia dentro de
la empresa.
En base a lo indicado, el concepto de riesgos y plan de contingencia, está
enfocado a la empresa, y no puntualmente al Dpto. de Sistemas, pero al ser
el Dpto. de Sistemas un área crítica dentro de la empresa aplica el concepto
de evaluar los riesgos operativos y de gestión críticos y revisar su plan de con-
tingencia, lo cual dará un nivel de confianza al auditor en la continuidad del
negocio.
Podemos indicar que existen tipos de negocios donde su dependencia
dela tecnología y del Dpto. de Sistemas es tan alta, que si no cuentan con los
servicios brindados por ellos, el negocio podría verse afectado; por ejemplo:
qué tiempo podría estar un banco sin sistemas en sus ventanillas; tengo una
empresa enfocada en comercio electrónico, qué pasaría si no tengo internet…
la respuesta para estos casos es que las empresas no podrían operar; igual que
en el banco, podrá estar por unas horas, pero luego de eso podría afectar la
imagen y al mismo negocio.
En esencia, ante lo indicado en esta introducción se ha determinado la
importancia de evaluar los riesgos operativos y de gestión críticos existen en
el Dpto. de Sistemas que tengan un alto nivel de probabilidad y que el impacto
es alto, para los cuales deberían de existir un plan de contingencia que ayude
a mitigar el impacto, ya que el objetivo no es prevenirlo.
IV. EVALUACIÓN DEL DEPARTAMENTO DE SISTEMAS 123
4.2. CONOCIMIENTOS TÉCNICOS REQUERIDOS PARA LA EVALUACIÓN DEL TERCER RIESGO – RIESGOS OPERATIVOS
Y DE GESTIÓN CRÍTICOS DEL DPTO. DE SISTEMAS
Para la evaluación delos riesgos operativos y de gestión críticos del Dpto. de
Sistemas es importante que ustedes conozcan e investiguen la siguiente in-
formación:
4.3. METODOLOGÍA PARA EVALUACIÓN DEL TERCER RIESGO: RIESGOS OPERATIVOS Y DE GESTIÓN CRÍTICOS
DEL DPTO. DE SISTEMAS
Para la revisión de los riesgos operativos y de gestión críticos del Dpto. de Sis-
temas se aplicarán todos los pasos definidos en la metodología de evaluación
que ha sido utilizada en los diferentes riesgos revisados en el presente libro.
A continuación, desarrollamos sólo los temas de la metodología de evalua-
ción que tienen un tratamiento particular con respecto al presente riesgo:
Investigar: Los temas que se deberían de investigar para tener información
sobre los riesgos operativos y de gestión críticos del Dpto. de Sistemas que
vamos a evaluar corresponden a:
Para cada una de los temas detallados se los va a desarrollar como guía para
su aplicación.
Revisión de la definición de los riesgos operativos y de gestión críticos en el
Dpto. de Sistemas - matriz de riesgo: En este punto lo fundamental que ustedes
deben validar es que los riesgos que están definidos como críticos sean los más
factibles de ocurrir en la empresa y que su impacto afecte significativamente
a la gestión del Dpto. de Sistemas.
Entre los tipos de riesgos que podrían considerarse tenemos:
Estos riesgos deberían ser determinados por los responsables de las principa-
les áreas de la empresa con el soporte de consultores externos que permitan
visualizar otros riesgos que afecten a la misma.
Para efectuar la revisión las preguntas que deberían realizarle al responsa-
ble del Dpto. de Sistemas son:
Temas que pueden afectar los periodos de los simulacros son: si habido
mucha rotación del personal que interviene en el plan de contingencia,
han existido cambios en el plan de contingencia significativos, han existi-
do cambios en el negocio que pueden afectar al plan de contingencia,
entre otros.
Evaluar que las personales involucradas en el plan de contingencia conozcan
del mismo: Para cubrir este punto se debería escoger una muestra de personas
128 AUDITORÍA DE SISTEMAS INFORMÁTICOS. ENFOQUE METODOLÓGICO
5.1. INTRODUCCIÓN
El cuarto riesgo es que la estructura del Dpto. de Sistemas no soporte una se-
gregación de funciones en su personal y que no existan controles para mitigar
la falta de dicha segregación.
Para revisar este riesgo se debe considerar dos temas, el primero consiste en
evaluar la estructura del Dpto. de Sistemas y el segundo tema es la evaluación
de los controles implementados para mitigar la falta de segregación que puede
presentarse en un Dpto. de Sistemas. Los dos temas están muy relacionados
por qué al evaluar los controles implementados, estos mitigan el riesgo de
falta de segregación en la estructura del Dpto. de Sistemas.
Con respecto a la evaluación de la estructura del Dpto. de Sistemas es un
tema que considero que ustedes como auditores deberían manejarlo muy deli-
cadamente, ya que es un tema técnico y sensible porque está relacionado con
el personal que trabaja en un área crítica de la empresa.
5.2. CONOCIMIENTOS TÉCNICOS REQUERIDOS PARA LA EVALUACIÓN DEL CUARTO RIESGO: ESTRUCTURA
DEL DPTO. DE SISTEMAS
Los temas que deberían de investigar para poder evaluar el presente riesgo
son:
5.3. METODOLOGÍA PARA EVALUACIÓN DEL CUARTO RIESGO: ESTRUCTURA DEL DPTO. DE SISTEMAS
Para la revisión del presente riesgo se aplicarán todos los pasos definidos en
la metodología de evaluación que ha sido utilizada en los diferentes riesgos.
A continuación, desarrollamos sólo los temas de la metodología de eva-
luación que tienen un tratamiento particular con respecto al presente riesgo,
detallamos los mismos:
Investigar: Los temas a investigar para la evaluación del presente riesgo
son:
En caso de que dicho personal no pueda asumir dichas funciones, estas debe-
rían ser asumidas por el responsable del Dpto. de Sistemas.
Una vez indicados ciertos lineamientos que apoyan a la revisión del riesgo de
la estructura en el Dpto. de Sistemas, detallamos las preguntas y enfoque
de revisión que se deberían realizar:
ACTIVIDADES
A continuación, se detallan ciertas actividades que tienen como objetivo
ayudar a reforzar los conceptos y lineamientos indicados en el presente ma-
terial referente a una auditoría de sistemas al Dpto. de Sistemas, por lo que
recomiendo considerar efectuar las mismas, éxitos.
Actividad 1: Aplicación de metodología para el riesgo de políticas y procedi-
mientos del Dpto. de Sistemas.
En base a la información detallada sobre «Evaluación del Riesgo I: Políticas
y procedimientos del Dpto. de Sistemas», realice todas las actividades detalla-
das en dicha metodología con las siguientes consideraciones:
RESUMEN
La «Revisión de los riesgos existentes en el Dpto. de Sistemas», es una de las
funciones principales para un auditor de sistemas. De acuerdo a lo indicado
con respecto a la metodología utilizada para evaluar un Dpto. de Sistemas,
ella está enfocada en cuatro riesgos:
Riesgo I: Políticas y procedimientos del Dpto. de Sistemas.
Todo departamento o área crítica en una empresa debe estar normada y
soportada por políticas y procedimientos, ante lo indicado el Dpto. de Siste-
mas es un área crítica por lo que todos sus principales procesos deben estar
normados con políticas y procedimientos.
Es uno de los riesgos que para su evaluación el perfil de un auditor es exce-
lente, ya que es una actividad que frecuentemente la realiza en las diferentes
áreas de la empresa.
Riesgo II: Acceso físico y lógico a elementos críticos del Dpto. de Sistemas.
Personal no autorizado pueda ingresar a áreas físicas o lógicas restringidas
del Dpto. de Sistemas sin la debida autorización y sin controles en su ingreso.
En la evaluación física es un tema que los auditores tienen experiencia en
su evaluación, esta actividad la efectúan frecuentemente en las diferentes
áreas de la empresa, sin embargo, en el Dpto. de Sistemas no lo realizan, por
lo que deberían planificar efectuar la misma.
En lo referente al acceso lógico será una oportunidad de comenzar a cerrar
esa brecha de conocimiento.
Riesgo III: Riesgos operativos y de gestión críticos del Dpto. de Sistemas.
Los riesgos operativos y de gestión críticos del Dpto. de Sistemas deberían de
contar con un plan de contingencia que permita mitigar el impacto ante contingencia.
Riesgo IV - Estructura del Dpto. de Sistemas.
La estructura y la asignación de las funciones del personal del Dpto. de Sis-
temas pueden no soportar la segregación de funciones, lo cual es un elemento
de control y es de manera significativo en áreas críticas.
Para la evaluación de un Dpto. de Sistemas existen ciertos conceptos que
ustedes deberían investigar, de los cuales los más importantes son:
MAPA CONCEPTUAL
Evaluación del Dpto. de Sistemas
BIBLIOGRAFÍA
BIBLIOGRAFÍA
Asociación Española de Normalización y Certificación. (2016). AENOR. Ob-
tenido de www.aenor.es
Braga, G. (5 de 1 de 2015). www.Isaca.org. Obtenido de COBIT 5 aplicado al siste-
ma de registro contable informático argentino: http://www.isaca.org/
COBIT/focus/Pages/COBIT-5-Applied-to-the-Argentine-Digital-Accounting-
System-Spanish.aspx
Carlos Muñoz Razo. (2002). Auditoría en sistemas computacionales. Pren-
tice Hall.
Deloitte. (2016). Encuesta 2016 sobre tendencias de Cyber riesgos y seguridad de la información en Latonoamé-
rica. Deloitte. Obtenido de https://www2.deloitte.com/ec/es/pages/deloitte-
analytics/articles/Informativo-gerencial-Deloitte-Ecuador.html
Hernández Sampieri, R., Fernández Collado, C., & Baptista Lucio, P.
(2010). Metodología de la investigación (Quinta ed.). México D.F.: McGraw Hill.
Information System Audit and Control Foundation. EEUU.
International Federation of Accountants. (2011). Normas Internaciona-
les de Auditoría y Control de Cálidad.
International Federation of Accountants. (2011). NIA 330.
ISACF COBIT. (s.f.) Control Objectives for Information and Related Technology,
the
ISO/IEC IS 27000. (s.f.) Reference Model of Data Management.
Mario G. Piattini, Emilio del Peso. (2001). Auditoría informática, un enfoque práctico (Se-
gunda ed.). Alfaomega RAMA.
Martínez, V. (30 de 11 de 2015). Auditool. Obtenido de http://auditool.org/
blog/auditoria-externa/232-icomo-realizar-procedimientosanaliticos-sus-
tantivos-de-forma-efectiva
Murdick Robert, Munson John.(2000). Sistemas de Información Administrativo (Segunda
ed.). México D.F.: Prentice Hall.
PricewaterhouseCoopers. (2014). La auditoría del futuro y el futuro de la auditoría. España:
PricewaterhouseCoopers.
140 AUDITORÍA DE SISTEMAS INFORMÁTICOS. ENFOQUE METODOLÓGICO
Quintero Gomez Luisa. (2015). En Modelo basado en ITIL para la gestión de los servicios de TI (pág.
18). Colombia: Universidad Autónoma de Manizales - Facultad de Ingenie-
ría, Maestría en Gestión y Desarrollo de Proyectos de Software.
Sánchez Peña Juan Jose, F. V. (2013). ITIL, COBIT and EFQM: Can They Work
Together? International Journal of Combinatorial Optimization Problems and Informatics Morelos, México, 62.
Sanchéz-Henarejos - et al. (2014). Guía de buenas prácticas de seguridad
informática en el tratamiento de datos de salud para el personal sanitario
en atención primaria. Revista Elsevier Doyma, España, 214-222.
Soto Peñafiel Bernardo. (abril de 2016). La auditoría y las TI. El futuro de la
auditoría. (I. M. Públicos, Ed.) Revista de Conatduría Pública.
Superintendencia de Compañías. (2008).Resolución No. 08.G.DSC.010 de
2008.11.20, R.O. No. 498 de 2008.12.3.
Superintendente de Compañías. (s/f). Resolución No.06.Q.ICI.004, publica-
da en el Registro Oficial No. 348.
Esta edición de
Auditoría de sistemas informáticos. Enfoque
metodológico,
se imprimió en 2017,
en la ciudad de Guayaquil, Ecuador.