Auditoria Informática

Instituto Nacional de Estadística
e Informática
¿QUÉ ES LA AUDITORÍA
INFORMÁTICA?
COLECCIÓN CULTURA INFORMÁTICA

_________________________________________________________
INSTITUTO NACIONAL DE ESTADÍSTICA E INFORMÁTICA
Elaborado por la Subjefatura de Informática
Dirección Técnica Desarrollo Informático
Teléfono 433-4223 – Anexos 314– 315
Telefax 433-5568
INTERNET infoinei@inei.gob.pe
Impreso en los talleres de la Oficina de Impresiones de la Oficina

Técnica de Difusión Estadística y Tecnología Informática del Instituto
Nacional de Estadística e Informática (INEI)
Edición :
Dirección, Redacción y Talleres: Av. General Garzón N° 658
Jesús María
Orden :
PRESENTACIÓN
El Instituto Nacional de Estadística e Informática

(INEI), como ente rector del Sistema Nacional de Informática,
continuando con la publicación de la Colección “Cultura
Informática”, pone a disposición su Vigésimo Sexto Número
titulado: “¿Qué es la Auditoría Informática?”.
En esta oportunidad la publicación que se presenta como “¿Qué es

la Auditoría Informática?”, pretende despertar el interés,
despejando asimismo dudas e inquietudes con respecto a éste tema.
Por su contenido, esperamos que sea del agrado de nuestro

distinguido público lector, ya que el tema es muy interesante, debido
a que la auditoría Informática es una actividad de suma importancia
para el desarrollo de las empresas por que la gran mayoría tiene las
bases de su desarrollo en esta actividad. Los temas que se tratan
durante el desarrollo de esta publicación son los que generalmente
se dan en una Auditoría Informática, como por ejemplo, conceptos
generales de Auditoría, Auditoría Interna y Externa, alcance de la
Auditoría Informática, sus objetivos principales, Auditoría
Informática de Explotación, de Desarrollo de Proyectos, de
Sistemas, de Comunicaciones y Redes, de Seguridad Informática y
otros temas que son importantes como: Metodología de Trabajo,
Determinación de los recursos a utilizar, Actividades que realiza la
Auditoría Informática, hasta el Informe final, para finalmente llegar
a las conclusiones.
El Instituto Nacional de Estadística e Informática, pone a

disposición de sus lectores, la presente publicación, esperando sea
de utilidad.
Econ. Félix Murillo Alfaro

JEFE
INSTITUTO NACIONAL DE ESTADÍTICA
E INFORMÁTICA
CONTENIDO
Introducción 7
Auditoría 10
Auditoría Interna y Auditoría Externa 11
Alcance de la Auditoría Informática 13
Tipos y Clases de Auditoría 16
¿Cuáles son los objetivos principales? 17
Auditoría Informática de Explotación 20
Auditoría Informática de Desarrollo de Proyectos 23
Auditoría Informática de Sistemas 25
Auditoría Informática de Comunicaciones y Redes 30
Auditoría de Seguridad Informática 30
Técnicas y Herramientas usadas por la Auditoría
Informática 33
Metodología de Trabajo 39
Determinación de Alcances y Objetivos 39
Análisis de Ambiente a Auditar y del entorno Auditable 40
Determinación de Recursos de la Auditoría Informática 42
Elaboración y Planteamiento del plan de trabajo
y de los Programas 43
Actividades a realiza en la Auditoría 44
Elaboración del Informe Final 45
Elaboración de la Carta de Introducción
Correspondiente al Informe Final 48
Conclusiones 49
¿Qué es la Auditoría Informática?
INTRODUCCION:
El desarrollo a pasos agigantados de los medios de

comunicación, nos lleva a concluir en que los Sistemas
Informáticos, con el paso de los años se han constituido en
herramientas muy poderosas para la organización en un nivel
empresarial, materializando conceptos que son completamente
vitales, los cuales conforman los Sistemas de Información de
las empresas, convirtiéndose a finales del último siglo en
pilares fundamentales para el desarrollo empresarial en
general.
La gestión empresarial cumple un rol muy importante hoy en

día, estando la informática involucrada en todos los procesos
que se requieren para una buena gestión, es por ello que los
aspectos normativos y estándares informáticos deben
encontrarse en acorde a los establecidos. El “management” o
gestión de la empresa se denomina así a la forma como las
organizaciones están afrontando el mercado. La informática no
es quien maneja las empresas, lo que sucede es que tiene un
poder de decisión, pero no decide por sí misma. Y de acuerdo
a como se tome su importancia dentro del ámbito empresarial,
se da la existencia de la Auditoría Informática.
Pero se ha podido advertir que el término de Auditoría ha

tenido un uso incorrecto frecuentemente, ya que se encasillado
en el concepto de evaluación el cual está equivocado, por que
se considera que tiene un solo fin y es el de detectar errores y
señalar las fallas. Con esto se determina que las causas de esto
se deben a que se ha tomado la frase “Tiene Auditoría” como
si el significado de esta frase quisiera decir que en dicha
entidad, antes de realizarse la auditoría, ya se habían detectado
fallas.
Realmente Auditoría tiene una concepción mucho más amplia,

por que la auditoría es un examen crítico que se lleva a cabo
con la finalidad de evaluar la eficacia y eficiencia de una
sección, un organismo, una entidad, etc.
Instituto Nacional de Estadística e Informática 7

Si nos remontamos al campo de la etimología veremos que

auditoría viene del latín auditorius, proviniendo de aquí la
palabra auditor, la misma que significa o que se refiere a aquel
que tiene la virtud de oir.
La Auditoría informática puede ser definida de diversas

formas, y una de las definiciones que tienen la da el
diccionario Español Sopena, el cual define a la auditoría como
Revisor de Cuentas colegiado. Careciendo inicialmente de una
definición clara por que no se explica el objetivo fundamental,
es decir no se especifica labor del auditor, la cual es evaluar la
eficacia y eficiencia.
Si hacemos una investigación tratando de documentarnos con

respecto al rol que cumple la auditoría entonces llegaremos a
concluir en que esta actividad no es sólo una actividad
mecánica, donde se apliquen conocimientos y procedimientos
ya establecidos, sino que también es una actividad en la que el
auditor realizará un a análisis crítico, en el cual no implica que
ya hayan existido fallas en la entidad auditada, y que la
finalidad está en que se trata de evaluar y mejorar la eficiencia
y eficacia de una entidad o en todo caso la sección que se está
evaluando.
8 Instituto Nacional de Estadística e Informática

El objetivo principal de la
Auditoría Informática es llegar
a tener un control en la
actividad informática, también
se rige de la normatividad que
rige los parámetros
establecidos por la empresa y
su cumplimiento, el análisis de
la eficiencia de los sistemas
informáticos, supervisión de la
gestión de los recursos
humanos informáticos y materiales. Los sistemas de
información son recursos de vital importancia para las
empresas de hoy, es entonces que el auditor tiene la
responsabilidad de hacer que el uso de los recursos de la
empresa se lleven en buena forma y correctamente. Cabe
destacar que una Auditoría bien realizada es la que toma en
cuenta a todas las instituciones de forma igual e importante,
debido a que un ministerio, una universidad o una entidad
pública deben ser consideradas de la misma manera
tomándolas en su más amplio sentido. Y es que en todas estas
entidades la informática es importante pues la utilizan para
realizar la gestión de negocios en forma óptima con la
finalidad de obtener los beneficios económicos y de costes
deseados.
De acuerdo a todo esto los sistemas de información están

sujetos a un control permanente y se toman en cuenta tanto
como los otros órganos de la empresa o entidad a la que se
está haciendo la auditoría.
El hecho de realizar una auditoría informática es importante

debido a que las herramientas que se utilizan pueden definir o
marcar la diferencia con respecto a la competencia o al
momento en que se está viviendo. Algunos de los aspectos que
deben ser considerados son:

El mal diseño de los sistemas puede

ser muy perjudicial, por que puede
traer consecuencias desastrosas para
la organización debido a que las
máquinas sólo acatan órdenes
recibidas de forma irrefutable, y el
modelamiento de las organizaciones
se encuentra supeditada al buen
funcionamiento de estas mismas,
las cuales materializan los sistemas
de información, entonces la empresa no puede permitir
que el software y el hardware presenten falta de eficiencia
por que va en contra de sus propios intereses.
La sofisticación en los equipos informáticos han dado pie

para que los centros de control de procesos sean los
puntos en el blanco para la delincuencia, el espionaje, o
para manifestaciones terroristas. Para esto la seguridad en
Auditoría informática es importante.
Todos sabemos que hasta las

computadoras pueden tener fallas
en la información elaborada y
arrojar resultados erróneos, pero si
es que dichos datos son
igualmente erróneos. Esto se da
frecuentemente cuando las
instituciones pierden de vista la
naturaleza y calidad de la
información que ingresan a sus
sistemas de consulta, con el peligro de que otros sistemas
que son independientes se vean afectados por este hecho,
para este hecho la Auditoría de datos es la más
recomendable.

La necesidad de realizar una auditoría informática es

importante para las empresas, por que les permitirá conocer la
capacidad que tienen, a nivel informático para poder afrontar
sus necesidades más importantes.
AUDITORIA
La Auditoría cumple una función muy valiosa e

independiente, no toma acciones pero da sugerencias, y sus
conclusiones deben tomarse en cuenta en la toma de
decisiones. La auditoría se apoya de herramientas de análisis,
verificación y exposición conformando así elementos de
juicio, los cuales permitirán determinar las debilidades y
disfunciones.
Es muy probable que se afecte la susceptibilidad del personal

auditado, debido a que se interrumpe de alguna manera sus
tareas, en el momento de realizar la auditoría, además esta
actitud es comprensible. Pero los sistemas en ocasiones son
muy sofisticados, lo cual hace que el auditor disponga de un
nivel técnico adecuado e insuficiente frente al tiempo que
tiene para realizar su trabajo.
Como parte de la auditoría está la evaluación del personal,
para esto existe el Chek List, que es un cuestionario, el cual es
archivado bajo estrictas medidas de seguridad por las
empresas que se encargan de realizar este trabajo de Auditoría,
por considerarse información confidencial y activos muy
importantes que respaldan su actividad. La evaluación debe
ceñirse de acuerdo a las normas o reglas implantadas y se
considera que debe aplicarse una metodología que pueda
resolver los problemas que puedan presentarse.

Con todos los elementos de juicio

recolectados el Auditor podrá emitir un
informe en el cual expresara el estado
en el que ha encontrado los sistemas,
expondrá las fallas en cuento a
hardware y software encontradas y
también sobre la correcta utilización
del recurso informático.
AUDITORÍA INTERNA Y AUDITORÍA EXTERNA
Existen dos tipos de auditoría, como se ve en el titulo de este

párrafo, y estas son dos La Auditoría Interna y la Auditoría
Externa, de las cuales en el caso de la Auditoría Interna es
realizada con recursos humanos propios de la empresa, lo
mismo sucede con los recursos materiales, pues todos estos
pertenecen a la empresa auditada. Considerando que los
empleado que realizan esta labor reciben una remuneración
económica. La Auditoría es una actividad que existe por
decisión propia de la empresa, es decir, que la empresa puede
decidir en el momento en que esta labor puede ser disuelta.
En el caso de la Auditoría Externa el personal que debe

realizarla es un personal que debe guardar afinidad a la
empresa que es auditada, este tipo de Auditoría tiene más
consideración debido a que tiene una mayor objetividad por
existir un mayor distanciamiento entre el personal auditor y el
personal auditado.
El caso de la Auditoría informática es ventajoso en vista de

que puede ser realizada periódicamente, la cual puede ser
incluida en el plan anual de trabajo realizando una revisión
completa de los sistemas y los equipos de cómputo, es por ello
que guarda cierta ventaja con la auditoría externa.

Esto permite también al personal auditado a poder adecuarse

al plan de trabajo de la auditoría, y mucho más cuando las
consecuencias de las recomendaciones crean beneficio laboral.
Es tarea del personal de informática de escuchar y orientar

sobre las ventajas o desventajas técnicas que puedan existir y
sobre los costos que pueda demandar un sistema.
Generalmente su opinión no tiene voto en las decisiones que

se toman en la empresa pero si tiene voz para dar la opinión
que sea más adecuada y así poder satisfacer las necesidades
más apremiantes.
Todas las empresas desean tener un control sobre sus sistemas

informáticos, necesitando también que su gestión esté
adecuada a los procedimientos, que todo esto implica. Es por
ello que esta necesidad se ve reflejada en la imagen del auditor
interno informático.
Sólo las empresas grandes pueden contar con una oficina de

auditoría, debido a que es costoso contar con este servicio
permanentemente, es así que las empresas pequeñas acuden a
la auditoría externa.
Pero cuando la empresa adopta por tener este servicio como

auditoría interna, parte del personal informático pasa a formar
parte de esta actividad.
Se puede dar que una institución que cuente con una oficina de
auditoría interna solicite los servicios de una auditoría externa,
debido a razones que pueden ser:
♦ La falta de capacidad técnica, para realizar la auditoría de

materia especializada en gran cantidad.
♦ Cruzar las informaciones emitidas tanto de la auditoría

interna como de la auditoría externa, sobre todo con la
emisiones internas de graves recomendaciones las mismas

que pueden discrepar con la opinión general de la empresa

misma.
♦ Esto puede servir como mecanismo protector ante la

posibilidad de auditorías informáticas externas que hayan
sido solicitadas por la empresa.
♦ La oficina de auditoría interna forma parte de la misma

empresa pero es independiente del Departamento de
Sistemas es por ello que es recomendable solicitar los
servicios de una auditoría externa, lo cual permitirá tener
una visión externa de la empresa.
Tanto la auditoría externa como interna, deberán estar libres

de toda influencia política, debido a que pueden afectar
gravemente la estrategia y política general de la empresa. La
oficina de auditoría puede actuar por decisión propia ya que es
un órgano independiente de la empresa aún estando dentro de
la misma, también actúa a solicitud de la dirección o de parte
del cliente.
ALCANCE DE LA AUDITORÍA INFORMÁTICA:

La auditoría informática actuará dentro de parámetros
establecidos, es decir que se desarrollará en un entorno y
límites determinados, y es complementada con los objetivos.
Estos límites deben estar claramente estipulados en el informe
final, para que quede claro hasta donde puede llegar la
auditoría y no solamente eso sino que hay materias fronterizas
que pueden ser omitidas. Cuando estos puntos no son bien
definidos, puede implicar el que esta no tenga éxito.

Auditoría Informática y sus características:
La información es netamente confidencial, es de la empresa y

para la empresa, tendrá una importancia especial, además esta
información es considerada como un activo real que al igual
que sus stocks y materias primas, si es que las hay. Debido a
esto es que se realizan inversiones de carácter informático, y
de esto se ocupa la Auditoría de Inversión Informática.
La Auditoría de Seguridad Informática

se encargará de la protección los
sistemas informáticos, o también
pueden ocuparse de esto la auditoría
de seguridad de cada área, si es que
existe. La función de la informática
puede ser reorganizada, si es que se
producen cambios estructurales, y esto
es lo ve la Auditoría de Organización
Informática.
Es así que una auditoría parcial esta conformada por estos tres
tipos de actividades auditoras. De otra forma cuando se lleva a
cabo una auditoría informática en un área de desarrollo de
Proyectos Informáticos es por que existen ineficiencias,
debilidades de organización, de inversiones, de seguridad, o
alguna mezcla de ellas.
Razones para determinar la necesidad de una Auditoría

Informática:
Cuando existen síntomas de debilidad en la empresa, éstas
acuden a las auditorías externas para poder determinar en
donde están las falencias. Estos síntomas se pueden agrupar
clases:
♦ Cuando existe Desorganización y descoordinación:

- Los promedios conseguidos no se habitúan a los
estimados, por que los parámetros de productividad
no son respetados y sufren un desvío.

- Los objetivos que la empresa persigue, no coinciden
con los obtenidos.
- Esto puede darse debido a un cambio masivo de
personal, o también por que un área tuvo una mala
reestructuración, también puede deberse a una norma
importante que haya sido modificada.
♦ Cuando hay insatisfacción del cliente y una mala

imagen
- Cuando no hay capacidad de satisfacer las
necesidades del cliente.
- Las fallas en hardware no son reparadas, ni se
resuelven las incidencias en plazos establecidos y
razonables, ocasionando un descontento en el usuario
por sentirse abandonado.
- Los resultados periódicos no son entregados en los
plazos establecidos. Las pequeñas imprecisiones
pueden ocasionar que la información no refleje lo real
y que la actividad que ejerce el usuario se vea
afectada por este motivo.
♦ Debilidades Económico-Financieras:
- Elevación de costos de forma repentina y
desmesurada.
- Cuando se da la necesidad de justificar las
inversiones informáticas.
- Cuando se dan otras prioridades en el aspecto
presupuestario.
- Costos y plazos de nuevos proyectos.
♦ Cuando existe inseguridad:

Se da una evaluación de nivel de riesgos, la que
contempla los puntos siguientes:
• Seguridad Lógica.
• Seguridad Física.
• Aspectos de confidencialidad.
- La continuidad en el servicio es importante. En
ocasiones se considera más importante que los
aspectos de seguridad.
- Si existen problemas en los que el centro de
procesamiento de datos se encontrara fuera de
control, una auditoría no tendría sentido por
considerarse inútil, por eso deben tomarse en cuenta
los más mínimos indicios para su aplicación.
Planes de Contingencia:
Por lo general las empresas deben aplicar una política de
Backups, lo la cual puedan resguardar la información en forma
diaria, estos backups deberán ser en forma doble asegurándose
que uno de ellos se encuentre dentro de la empresa y otro fuera
de ella. Estos backups pueden estar guardados el tiempo que la
empresa lo determine, de acuerdo a la periodicidad con la que
van renovando sus backups.

TIPOS Y CLASES DE AUDITORÍA

El departamento de
informática a pesar de tener
sus actividades dentro de la
misma empresa, trabaja como
si fuera una entidad
independiente, debido a que
su actividad está proyectada
al exterior y a los usuarios, de
aquí nace la Auditoría Informática de Usuario, la misma
que se distingue de la informática interna, ya que en esta
última se realiza una actividad informática cotidiana y real, es
por ello que existe una Auditoría Informática de
Actividades Internas.
La dirección es quien realiza el control de las actividades del

departamento de informática con el exterior. La importancia
de se control se debe a que es posible entender las necesidades
que tiene la compañía. El apoyo de la dirección a la
Informática frente al “exterior” es muy importante para que
esta sea eficiente y eficaz. Este tipo de relaciones forma lo que
se conoce como Auditoría Informática de Dirección y su
objetivo.
Con estos tres tipos de Auditoría, y sumado a esta la

Auditoría de Seguridad, se determina las cuatro grandes
Areas Generales de la Auditoría Informática más importantes.
Dentro de estas Areas Generales existen otras divisiones en la

que la Auditoría Informática se subdivide, estas son:
Auditorías de Explotación, de Sistemas, de Comunicaciones y
de Desarrollo de Proyectos. Conformando así las áreas
específicas de la Auditoría Informática más importantes.
Los criterios que se aplican para cada área específica en una

auditoría son:

- Se debe tomar desde el punto de vista de la seguridad

que la informática ofrece en general, o en la rama que
se está auditando.
- Desde el funcionamiento interno.
- De acuerdo al apoyo que se recibe desde la dirección,
realizándola en un sentido ascendente, del grado de
cumplimiento de las directrices de ésta.
- Considerando las necesidades de los usuarios
juntamente con sus perspectivas.
Los criterios que se han mencionado pueden ser ampliados, y

establecidos de acuerdo a la real necesidad de la empresa
Auditada y a sus características.

¿CUÁLES SON LOS OBJETIVOS PRINCIPALES?

La auditoría Informática tiene muchos fines y entre los que
son más importantes tenemos:
Operatividad: Esta función consiste

en que la organización pueda
funcionar con la cantidad mínima de
recursos. No se puede permitir que la
maquinaria detenga sus actividades
para poder detectar los fallos, y así
empezar de nuevo. Cabe destacar
que la auditoría debe llevarse a cabo
estando los sistemas en marcha, y este es un proceso que debe
realizarse tanto a nivel global, como parcial.
El auditor tiene una principal preocupación y esta es la de

conseguir que los sistemas se encuentren en total operatividad,
para lograr esto se deben realizar una serie de Controles
Técnicos Generales de Operatividad, y dentro de ellos unos
Controles Técnicos Específicos de Operatividad, los que
deben estar desarrollados previamente
- Controles Técnicos Generales:

Estos son controles que verifican la compatibilidad
que existe entre el Sistema Operativo y el Software de
base con todos los subsistemas existentes, así como la
compatibilidad entre el Hardware y el Software
instalado. La importancia de estos controles en las
instalaciones que cuentan con varios competidores se
da debido a que como existen entornos de trabajo
muy diferenciados se obliga a contratar diferentes
productos de software básico, existiendo el riesgo de
que se pueda desaprovechar parte del software que a
sido contratado.
Esto se puede dar también con los productos de
software básico que han sido desarrollados por el
propio personal de la empresa, en especial cuando la
ubicación de los equipos se encuentra

geográficamente distante. También se puede ver que

esto tiene un aspecto negativo, el cual se puede
reflejar en la inoperatividad del grupo. La
interconexión o intercomunicación. Es posible que
cada Centro de Proceso de Datos sea operativo
trabajando sólo e independiente, pero lo que no podrá
ser posible será la interconexión e intercomunicación
de todos los centros de procesos de datos si es que no
existen productos compatibles y comunes.
- Controles Técnicos Específicos:

Son igual de importantes como los Controles
Técnicos Generales para lograr la Operatividad de los
Sistemas. Estos se encargan de verificar el
funcionamiento correcto de partes específicas del
sistema, como “parámetros de asignación
automática de espacio en el disco”, los cuales
pueden crear dificultad o impedir su uso posterior por
una sección diferente a la que lo genero. También los
periodos de retención de los ficheros comunes a
varias aplicaciones pueden estar definidos con
distintos plazos en cada una de ellas, de modo que la
perdida de información es un hecho que podrá
producirse con facilidad, quedando inoperativa la
explotación de alguna de las aplicaciones
mencionadas.
¿Qué son los parámetros de asignación automática

de espacio en disco?
Las aplicaciones a desarrollarse son super-

parametrizadas, lo que significa que existen muchos
parámetros los cuales permiten la configuración del
sistema. Es decir que cada aplicación necesitará un
espacio de disco determinado. Si es que no se pudo
analizar cual es el tiempo que se empleará en la
asignación del espacio durante la operación, es muy

probable que la aplicación no funcione y se caiga.

Sería muy arriesgado el volver a levantar la
aplicación haciendo una nueva asignación de espacio
y una reconversión ya que demandaría demasiado
tiempo.
Verificación de Controles de la Gestión Informática:

Cuando ya se ha conseguido
que los sistemas se encuentren
en total operatividad, se
procede a cumplir el siguiente
objetivo de la auditoría, el cual
es el cumplimiento exacto de
las normas previamente
establecidas en el departamento
de informática y que tengan
coherencia con el resto de la empresa. Esto se realiza
siguiendo un orden el cual es el siguiente:
- Las Normas Generales de la Instalación

Informática. Se hará una verificación inicial no
considerando a fondo las contraindicaciones que
puedan existir, pero si anotando las zonas que se
encuentren en carencia de aspectos normativos
requeridos, y por sobre todo teniendo mucho cuidado
en que esta normativa no se encuentre en
contradicción con las normas generales de la
empresa.
- Los Procedimientos Generales Informáticos. Se

procederá a la comprobación de su existencia,
mínimo en los sectores más importantes.
- Los Procedimientos Específicos Informáticos: De

igual forma se procederá a la verificación de su
existencia en las principales áreas. Hay que asegurar
que los Procedimientos Específicos no se opongan a
los Procedimientos Generales. En los casos antes

- mencionados sin excepción se deberá tener cuidado

en no contradecir ninguna normativa y los
Procedimientos Generales de la propia empresa. Los
procedimientos que se dan a continuación son los que
se han estado mencionando.
AUDITORÍA INFORMÁTICA DE EXPLOTACIÓN
En la Explotación
Explotación Informática
Informática se producen los
resultados informáticos de
1.
Planificación todo tipo, es así que arroja
resultados como: listados
impresos, ficheros
2. 3.Soporte soportados magnéticamente
Producción Técnico para otros informáticos,
ordenes automatizadas para
lanzar o modificar procesos
industriales, etc. Esta es vista como la fabrica un centro de
producción que tiene características particulares, las cuales la
hacen diferente a las reales. La materia prima es importante,
los datos serán transformados en la información requerida esta
información pasará por un control de integridad y calidad
previamente. El proceso informático es la vía para esta
transformación el cual es gobernado por programas. Al final
los resultados se someten a controles de calidad, para asegurar
que la salida al mercado del producto final se haga en óptimas
condiciones.
La Explotación Informática está dividida en tres grandes áreas.

Estas son: Planificación, Producción y Soporte Técnico, y
estas a su vez están subdivididas en varios grupos.

1° Control de Entrada de Datos

La información obtenida será analizada para su compatibilidad
con los sistemas, se debe tomar en cuenta los plazos
establecidos para la entrega de los datos y la correcta entrega
de la información a los entornos diferentes. También se tomará
en cuenta que estos procedimientos se realicen de acuerdo a
las normas vigentes.
2° Planificación y Recepción de Aplicaciones

Las normas de entrega de Aplicaciones por parte de desarrollo
serán auditadas, comprobando su cumplimiento y su calidad.
Una forma de evaluar la información también es escogiendo
una serie de muestras representativas de la documentación de
las aplicaciones en explotación. Se hará las investigaciones
pertinentes a fin de determinar sobre la anticipación de
contactos con desarrollo para la planificación a medio y largo
plazo.
3° Centro de Control y Seguimiento de Trabajos:

La producción diaria es un
procedimiento al que se realizará un
análisis exhaustivo. La explotación
informática dará ejecución básicamente
a procesos por cadenas o lotes
sucesivos(Batch), o en tiempo
real(Tiempo Real). Las aplicaciones de
teleproceso se encuentran en
permanente actividad limitando a las
funciones de Explotación a vigilar y recuperar incidencias, y
mientras esto sucede el trabajo Batch absorbe una buena parte
de los efectivos de Explotación. Aquí se determina el éxito de
la explotación, debido a que este se considera uno de los
artífices en el mantenimiento de la producción.

Batch y Tiempo Real

Aplicaciones Batch, son un tipo de aplicación que carga
mucha información en el transcurso del día, durante la noche
corre un proceso, el cual relaciona a la
información en general, también lo que hace es
calcular cosas y obtener como salida alguna
acción. Entonces lo que hace es sólo recaudar
información sin que sea procesada, es decir que
solamente se trata de un tema Data Entry, el
cual recolecta la información y corre el proceso
batch(por lotes), este realiza posteriormente
cálculos para comenzar a trabajar el día siguiente. En cambio
lo que sucede con las aplicaciones que son Tiempo Real, es
que estas procesan la información inmediatamente después de
ser ingresada devolviendo el resultado en el preciso instante.
Operación, Salas de ordenadores

Las relaciones que unen a las personas y la conexión lógica
que existe de cargos y salarios serán estudiadas, también se
verá si es que la distribución de turnos es equitativa. Cada
turno de trabajo estará bajo el cargo de un responsable de sala.
Los Manuales de Operación son importantes, así como su
utilización, también los comandos y su grado de
automatización serán analizados con el fin de despejar dudas
acerca de su buen funcionamiento. Los planes de formación
deben ser analizados, además estos deben ser cumplidos
también es importante que se cumpla el tiempo transcurrido
para cada operador, desde le tiempo en que recibió el último
curso. Se verificarán los montajes diarios y por horas de cintas
o cartuchos, luego el tiempo que transcurre a solicitud de
montaje por parte del sistema hasta el montaje real. Serán
verificadas las líneas de papel impresas día a día y en las horas
de impresión, así también la manipulación de papel que este
implica.

Control de Red y Control de Diagnosis

Existe un centro de control de red, el cual se encuentra
siempre ubicado dentro del área de producción Explotación.
Este centro dedica sus funciones exclusivamente al entorno de
las comunicaciones, se relaciona mucho con el Software de
Comunicaciones de Técnicas de Sistemas. La fluidez en
cuanto a la relación y el grado de coordinación entre ambos
debe ser analizado. La existencia de un punto equidistante
será estudiada, desde donde sean perceptibles todas las líneas
que se encuentren asociadas al sistema.
En cuanto al Centro de Diagnosis,

aquí se atienden llamadas de los
usuarios clientes, quienes se ha
averiado o han sufrido alguna
incidencia, tanto en Software como
en Hardware. Este centro es para
informáticos grandes con usuarios
dispersos en un territorio amplio.
El Centro de Diagnosis es uno de
los que más ayuda a disponer la
configuración de la imagen de la
informática de la empresa. La auditoría debe tomar este punto
de vista. Desde el punto de eficacia y eficiencia del usuario en
cuanto al servicio que recibe. La verificación de la eficiencia
técnica del centro no es suficiente, por que será necesario un
análisis simultáneo, en el entorno del usuario.
AUDITORÍA INFORMÁTICA DE DESARROLLO DE

PROYECTOS
El Análisis y, la Programación de Sistemas y Aplicaciones es
lo que ha dado lugar al nacimiento del llamado Desarrollo.
Este último abarca muchas áreas, y son tantas como sectores
informáticos tiene la empresa. Sencillamente, una aplicación
tiene fases, las mismas que son:

- Prerequisitos del usuario (único o plural) y del

entorno.
- Análisis Funcional.
- Diseño.
- Análisis orgánico (preorogramación y programación).
- Pruebas.
- Entrega a explotación y alta para el proceso.
El control interno es una actividad a la cual estén sujetas estas

fases, si se diera el caso contrario puede originarse un usuario
insatisfecho, provocado también por un elevamiento de los
costes.
Al final debe comprobarse la total garantía en la seguridad de
los programas, es decir que los resultados que se arrojen sean
los deseados.
Se deben considerar cuatro puntos que son importantes para la
Auditoría de Aplicaciones, quien obligadamente deberá pasar
por la observación y el análisis.
1. Una revisión obligada de las metodologías utilizadas, es

decir estas serán analizadas, para así asegurar la
modularidad de las nuevas ampliaciones de aplicación, así
como también su mantenimiento.
2. Dentro del control interno se revisarán las mismas fases,

las mismas que han debido continuar en el área
correspondiente de desarrollo:
♦ Cuando la aplicaciones son grandes, caras y
complejas es importante un análisis de su aplicación.
♦ Las aplicaciones deberán ser definidas de acuerdo a
una lógica. Se observan los postulados, en función
de la metodología que se aplica y los objetivos que el
proyecto persigue.
♦ El Desarrollo Técnico de la Aplicación. Es
importante que este desarrollo técnico sea ordenado y
correcto. Deberán ser compatibles las herramientas
técnicas que se usen ya que la diversidad de
programas así lo requiere.
♦ Diseño de Programas, deben ser muy sencillos, serán

también económicos y tendrán modularidad, es decir
regulable.
♦ Debe haber un periodo de pruebas y para eso se debe
utilizar un método, el cual será realizado de acuerdo a
las normas de instalación. Se harán pruebas de
ensayo de datos, para mayor seguridad y los datos
reales no serán permitidos.
♦ Documentación. Toda actividad realizada será
documentada y deberá cumplir la normativa
establecida en la instalación.
♦ Habrá un equipo de programación. Debido a que hay
tareas que deben ser observadas, estas son tareas de
análisis puro, de programación e intermedias.
3. Los usuarios cumplen un rol importante debido a que las

aplicaciones que se encuentren técnicamente eficientes y
bien desarrolladas, que no satisfagan los requerimientos
de estos mismos, serán vistas como fracasadas, la
aceptación por parte del usuario otorga ventajas, debido a
que se podrán evitar nuevas programaciones, ahorrando
en mantenimiento de la aplicación.

4. Otro punto son los programas críticos a quienes hay que

mantener un control de procesos
y ejecuciones: entonces el
Auditor debe tener la
posibilidad de ejecutar un
módulo el cual no corresponde
con el programa fuente que
desarrollo, codificó y probó en
el área de Desarrollo de
Aplicaciones. La compilación
debe corresponder al programa
codificado, de no ser así podrían
provocar graves daños y altos
costes de mantenimiento, lo que también puede suceder
es que se prestaría para fraudes y sabotajes, etc. Cuando
un programa se da por bueno entonces se sujeta a ciertas
normas que determinan el ser entregados a explotación
con el fin de copiar el programa fuente en la librería de
fuentes de explotación, ha esta librería nadie más tiene
acceso. Después la compilación y el montaje del
programa poniéndolo en la librería de módulos de
explotación, a esta tampoco nadie tiene acceso, y por
último hacer una copia de los programas fuente que se
soliciten para modificarlos o en todo caso para ser
arreglados una vez hecho esto es necesario volver a
verificar todo.
Este sistema para auditar es bastante complejo y arduo, por

eso se utiliza un sistema llamado U.A.T. (User Acceptance
Test). Este sistema consiste en la medida en que el usuario de
uso a una aplicación los errores sean detectados. Estos errores
que van encontrándose deben ser corregidos a medida que se
va desarrollando el sistema U.A.T. cuando se consigue el
U.A.T. el usuario debe dar el visto, es decir el “Sing Off” (esto
esta bien). La Auditoría debe controlar todo este testeo,
además deberá analizar que este sea correcto, y que exista un
planeamiento para esto, donde se encuentren involucrados el

cliente y el desarrollador a fin de corregir estos errores. Este

análisis al final debe ser confirmado.
AUDITORÍA INFORMÁTICA DE SISTEMAS
La técnica de Sistemas
tiene varias facetas de
las cuales ésta rama de
la auditoría esta
ocupándose y
analizando. Con el
avance de la
tecnología en cuanto a
las
telecomunicaciones se
ha dado origen a que
se den auditorías de las comunicaciones, redes y líneas de
instalaciones informáticas sean auditadas individualmente, así
sean parte del entorno general de sistemas.
Tenemos a los Sistemas Operativos:

Los sistemas deben encontrarse actualizados y esto es tarea del
sistema operativo, quien abarca los sub-sistemas de
procesamiento de data, los dispositivos de Entrada/Salida,
etc., la verificación de esto debe hacerse con las últimas
versiones de la casa fabricante o proveedora, se debe hacer un
seguimiento por posibles fallas u omisiones si es que las
hubiera.
Con esta labor se puede determinar la incompatibilidad que

existe entre un software básico que pueda haber sido
adquirido, o quizás el posible conflicto que pueda estarse
generando entre un software con otro. Los límites variables de
las librerías deben ser observados constantemente, sobre todo
los más importantes de los sistemas, debido a que hay que
tener cuidad para que no cumplan otra función sino para la que
ha sido creada por fabricante.

Software Básico:
Los software básicos son
productos que muchas veces han
sido adquiridos posteriormente a
la adquisición de los equipos de
cómputo, y siendo así, el auditor
debe tener pleno conocimiento
de la facturación de estos
productos. Debido a intereses
económicos y a razón de que la
computadora pueda funcionar sin
el producto adquirido
posteriormente por el cliente. Después debe comprobarse que
el software desarrollado por el propio personal de la empresa
no cree conflicto con el Sistema. En el aspecto económico, si
se presentara el caso de encontrar alternativas que signifiquen
una mejora en términos de costes y esfuerzo, deberá ser
tomado en cuenta.
Software de Teleproceso (Tiempo Real):
Por la función específica que cumple e importancia el
Software Básico no es incluido. Pero las consideraciones antes
establecidas son válidas para éste también.
El Tunning:
La conducta de los sub-sistemas es evaluada por un conjunto
de técnicas de observación y de medida, así también el
Sistema es evaluado en todo su conjunto. El tunning debe ser
diferenciado de otros controles que el personal de sistemas
realiza normalmente.
De acuerdo a los indicios observados es que se establecen

planes y programas de acción, estos planes pueden ser
desarrollados cuando se determina que existe deterioro en
cuanto a la actitud parcial o general del sistema. Y de forma
periódica, aplicando alguna metodología, por cada cierto
tiempo las acciones que se toman tienen un planeamiento ya
determinado.

El tunning es una actividad que debe ser realizada un

determinado número de veces por año, y esto debe ser de
conocimiento pleno del auditor, así como también los
resultados que arrojen estos. Las observaciones deben ser
consideradas por ser de mucha importancia.
Los Sistemas, Sub-Sistemas y su Optimización:
A consecuencia de los
tunnings que se han realizado,
el personal de sistemas hará
una acción de optimización
permanente. Las acciones de
optimización estarán
monitoreadas por el auditor
quien se encargará de
comprobar que estas son
efectivas y que no perjudicarán el sistema manteniéndolo
operativo juntamente con el plan critico de producción diaria.
La optimización viene a ser nada más que la mejora en el
rendimiento del software, ya que estos a veces se ponen muy
lentos por toda la información manejan y a medida que se van
cargando más, se van volviendo más lentos. Y esto se logra
con un análisis de la performance de la aplicación.
Administración de Base de Datos

Una tarea bastante complicada se ha convertido la
construcción de Bases de Datos, ya sean relaciones o
jerárquicas, generalmente estas se desarrollan en un entorno de
técnica de sistemas, de acuerdo a las áreas de desarrollo y
usuarios de la empresa. La administración de la arquitectura y
diseño de programas esta a cargo de Sistemas. Se han
observado algunas deficiencias por el mal funcionamiento,
debido a la falta de experiencia que el personal de sistemas
tiene sobre el problema general de usuarios de Bases de Datos.

Quien debería estar a cargo de la explotación es la

administración. El auditor de bases de datos debería
asegurarse que explotación conoce suficientemente las que son
accedidas
por los procedimientos que ella ejecuta. Revisará los sistemas
de seguridad que puedan existir, los que son de competencia
de Explotación. Por último se verificará la integridad y
consistencia de los datos, también se verificará la ausencia de
repeticiones innecesarias entre ellos.
Investigación y Desarrollo
Las empresas de hoy necesitan de informáticas desarrolladas,
y saben que su propio personal desarrolla aplicaciones y
ganancias que, pensadas inicialmente para su utilización
interna, pueden ser susceptibles de otras empresas, creando
una competencia a las compañías del ramo. La auditoría
informática debe tener cuidado que la Investigación y el
Desarrollo no sea una actividad que estorbe a otras actividades
internas de la empresa.
AUDITORÍA INFORMÁTICA DE COMUNICACIONES

Y REDES
Tanto el informático como el auditor, las Redes Nodales,
Concentradores, Redes Locales, Líneas, Multiplexores
conforman lo que ellos conocen como la estructura de lo que
conocen como el soporte físico-lógico del Tiempo Real. El
auditor debe saber enfrentar las deficiencias técnicas del
entorno, debido a que debe realizar un estudio profundo de
todas las actividades, siendo partícipe de situaciones y hechos
alejados entre sí, encontrándose parametrado a la participación
del monopolio telefónico que se presta por parte de soporte.
Aquí la auditoría necesita de especialistas expertos que presten
servicio simultáneo en Redes Locales y Comunicaciones.
En las comunicaciones el auditor deberá estudiar sobre el uso

de las líneas contratadas con gran cantidad de información
sobre tiempos de desuso. La topología de red con la que

trabaje deberá ser la más actualizada, de no ser así significaría
una debilidad grande.
La carencia de información provocaría la inoperatividad

informática. Pero el mal funcionamiento organizativo es en
muchos casos el producto de las debilidades más frecuentes.
Los puestos de trabajo van de acuerdo a como están dispuestas
las contrataciones e instalaciones de líneas.
Las actividades en su conjunto deben tener una buena

coordinación o en todo caso depender de una sola
organización.
AUDITORÍA DE SEGURIDAD INFORMÁTICA
Los equipos de cómputo son

herramientas muy útiles,
debido a que agilizan
enormemente el
procesamiento de
información, esta información
puede ser confidencial, para
las personas, también para
empresas o instituciones, la cual puede ser a su vez mal
utilizada. La seguridad es importante en todo sentido debido a
que puede prestarse para realizar robos, fraudes o sabotajes, lo
que podrían causar la destrucción de esta actividad en su
totalidad o parcialmente, y junto con ello vendría un retraso no
esperado.
Los virus informáticos tienen intenciones diversas, los hay

para softwares que no tienen autorización generalmente y que
han sido copiados, es decir los que son piratas, causando
mucho daño a la información que Ud., pueda tener en su disco
incluso podría llegar a borrarla.
El auditor debe cuidar este aspecto debido a que al momento

de conectarse con otros equipos en red, podría infectarse de

virus. Esto comienza cuando la actividad que se le asigna al
equipo de cómputo no es cumplida totalmente y se le da un
uso ajeno a la organización, por lo general se da estos casos
por tratarse de fines de comerciales en algunos casos
fraudulentos.
La seguridad física y lógica son dos conceptos que la

seguridad informática toma. La seguridad física se ocupa del
Hardware y de los soportes de datos, también se ocupa de
toda la estructura de la que forman parte es decir los ambientes
e instalaciones que alberga al hardware, toma en cuenta
situaciones de desastres como incendios, sabotajes, catástrofes
naturales, robos, etc.
Obviamente la seguridad lógica se refiere al cuidado del
software y a la protección de los datos, programas y demás
procesos, además está incluido la forma de acceso a la
información por parte de los usuarios.
Cuando se puede tener el software dentro del control de

acceso, se puede manejar mucho mejor el control de
protección del sistema. Es decir que los accesos son
controlados a usuarios no autorizados, ya que la información
se considera como confidencial.
En los últimos años se ha observado un incremento en cuanto

a los delitos informáticos y las agresiones a centros e
instalaciones informáticas, dando lugar a que se tomen las
medidas pertinentes, con el fin de mejorar la seguridad
informática en un nivel físico. Para esto se ha acelerado el
desarrollo de productos de seguridad lógica y el uso de medios
criptográficos bastante desarrollados. Podemos dividir a la
seguridad informática en Area General y como Area específica
(seguridad de Explotación, seguridad de Aplicaciones). Los
sistemas integrales de seguridad deben considerar lo siguiente:
♦ Se debe definir una política de seguridad en la empresa.

♦ La seguridad física es importante y debe considerar
catástrofes como incendios, terremotos, etc.
♦ Elementos administrativos.
♦ Deben ser organizados y deben dar responsabilidades.

♦ Se deben ejecutar prácticas de seguridad del personal.
♦ Deben contemplar elementos técnicos y procedimientos.
♦ Seguridad de los equipos, de los sistemas, de redes y de
terminales y de todos los elementos en general.
♦ La aplicación de sistemas de seguridad debe ser extensiva
a datos y archivos.
♦ Por seguridad debe planearse programas de desastre y
probarse constantemente.
♦ Debe definirse el rol que cumplirán los auditores internos
como externos.
Los riesgos potenciales son uno de los factores a los que se

debe la decisión de optar por una Auditoría Informática de
Seguridad Global. Para esto se desarrollan matrices de riesgo,
donde son consideradas las “amenazas” de una instalación y
como pueden verse afectadas éstas debido a ello. Estas
matrices pueden representarse con cuadros que disponen de
una doble entrada en la que se enfrentan las Amenazas Vs.
Impacto, aquí los elementos de la matriz son sometidos a un
intenso análisis.
Impacto Amenaza
Error Incendio Sabotaje ….. 1: No probable
Destrucción ----- 1 1 2: Probable
De Hardware 3: Certeza
Borrado de 3 1 1 4: Despreciable
Información

TÉCNICAS Y HERRAMIENTAS USADAS POR LA

AUDITORÍA INFORMÁTICA
Cuestionarios
La información recopilada es muy
importante, y esto se consigue con el
levantamiento de información y
documentación de todo tipo. Los
resultados que arroje una auditoría se
ven reflejados en los informes finales
que estos emitan y su capacidad para el
análisis de situaciones de debilidades o
de fortalezas que se dan en los diversos
ambientes. El denominado trabajo de
campo consiste en que el auditor busca
por medio de cuestionarios recabar
información necesaria para ser
disernida y emitir finalmente un juicio global objetivo, los que
deben ser sustentados por hechos demostrables, a quienes se
les llama evidencias.
Esto se puede conseguir, solicitando el cumplimiento del

desarrollo de formularios o cuestionarios lo que son
preimpresos, los cuales son dirigidas a las personas que el
auditor considera más indicadas, no existe la obligación de que
estas personas sean las responsables de dichas áreas a auditar.
Cada cuestionario es diferente y muy específico para cada
área, además deben ser elaborados con mucho cuidado
tomando en cuenta el fondo y la forma.
De la información que ha sido analizada cuidadosamente, se
elaborará otra información la cual será emitida por el propio
Auditor. Estas informaciones serán cruzadas, lo que vine a sr
uno de los pilares de la auditoría.
Muchas veces el auditor logra recopilar la información por

otros medios, y que estos preimpresos podían haber
proporcionado, cuando se da este caso, se puede omitir esta
primera fase de la auditoría.

Entrevistas:
Existen tres formas para que el auditor logre relacionarse con
el personal auditado.
1. La solicitud de la información requerida, esta debe ser

concreta y debe ser de la materia de responsabilidad del
auditado.
2. En la entrevista no se sigue un plan predeterminado ni un
método estricto de sometimiento a un cuestionario.
3. La entrevista es un medio por el que el auditor usará
metodologías las que han sido establecidas previamente
con la finalidad de encontrar información concreta.

La importancia que la entrevista tiene

en la auditoría se debe a que, la
información que recoge es mayor se
encuentra mejor elaborada, y es más
concreta que las que pueden
proporcionar los medios técnicos, o
los cuestionarios. La entrevista
personal entre el auditor y el personal
auditado, es basada en una serie de
preguntas específicas en las que el
auditado deberá responder
directamente. El sistema de
interrogación se establece previamente y el auditor tendrá
mucho cuidado, esta entrevista se debe dar de una forma muy
cordial y bajo los parámetros de lo correcto, esto se hace con
la finalidad de que sea lo menos tensa posible, y que el
auditado conteste de la forma más natural, con mucha
sencillez. Sólo que esta sencillez con la que se elaboran las
preguntas deberán tener un fondo muy profundo, el cual es
distinto en cada caso.
El auditor cuando es ducho en la materia y tiene mucha

experiencia, realiza un trabajo de reelaboración de sus
cuestionarios de acuerdo a la situación y al escenario auditado.
Este es un personaje que sabe que es lo que busca, debido a
que tiene bien en claro lo que necesita, y por que lo necesita.
Su trabajo es el pilar fundamental para el análisis, cruce y
elaboración posterior del informe final, pero esto no indica que
el auditado tenga que ser sometido a un interrogatorio
automatizado lo cual no ofrece ningún camino. Por el
contrario el auditor realizara la entrevista de tal forma que el
auditado pueda responder a las preguntas formuladas de
manera normal, lo que servirá para llegar ala cumplimiento de
los cuestionarios de sus checklists.
El uso del Checklist goza de opiniones compartidas, debido a

que descalifica en cierta forma al auditor informático, por que
al hacer uso de este tipo de cuestionarios el auditor incurre en

la falta de profesionalismo. Por eso es mejor que se de un

procesamiento de la información a fin de llegar a respuestas
que tengan coherencia y así poder definir correctamente los
puntos más débiles y los más fuertes. El profesionalismo del
auditor se refleja en la elaboración de preguntas muy bien
analizadas, las mismas que se hacen de forma no muy
rigurosa.
Estos cuestionarios son denominados Checklist. Estos
cuestionarios deben ser contestados oralmente, ya que superan
en riqueza a cualquier otra forma de obtención de información.
De acuerdo a la claridad de y a la metodología empleada por el
auditor, es que el auditado podrá responder, de diferentes
puntos de vista. El personal auditado generalmente se
encuentra familiarizado con el perfil técnico y lo percibe
fácilmente, así como los conocimientos del auditor. De
acuerdo a esta percepción denota el respeto y el prestigio que
debe poseer el auditor.
Por ello es muy importante tener elaboradas las listas de
preguntas, pero aún es mucho más importante la forma y el
orden en que estas se formulan, ya que no servirían de mucho
si es que no se desarrollarían oportuna y adecuadamente. Algo
que es muy importante también es el hecho de no olvidar que
la actividad auditora se ejerce sobre bases de prestigio
autoridad y ética.
El Checklist debe ser aplicado de tal manera que el personal

auditado pueda contestar sencillamente. Se deberá interrumpir
lo menos posible a éste, sólo en los casos en que las
respuestas se desvíen del objetivo principal. Incluso se puede
presentar el caso en el que el auditado sea invitado a exponer
un tema concreto, pero en cualquiera de las situaciones no se
podrá presionar absolutamente al mismo. Puede ser que
alguna pregunta deba repetirse, pero en este caso deberá ser
formulada en forma diferente, o su equivalencia. Con la ayuda
de este método los puntos contradictorios serán notorios de
forma más rápida. Cuando se dan casos en los que existe
contradicción, entonces se hará una reelaboración de preguntas
para complementar a las formuladas previamente y así poder

conseguir consistencia. El auditor no debe representar

demasiado formalismo ya que deberá actuar naturalmente al
momento de formular sus preguntas y de acuerdo al desarrollo
de la entrevista tomará las notas que considere importantes en
presencia del auditado, pero nunca marcará con aspas ni
escribirá cuestionarios en su presencia.
Estos Checklist responden a dos tipos de razonamiento para su
calificación o evaluación:
1. Checklist de rango: contendrá preguntas que se harán

dentro de los parámetros establecidos, por ejemplo, de 1 a 5,
siendo 1 la respuesta más negativa y 5 la más positiva.
2. Checklist Binario: preguntas que son formuladas con

respuesta única y excluyente, Si o No; verdadero o falso.

Trazas y/o Huellas

Las funciones que deben
realizar los programas,
tanto de los sistemas
como de los usuarios
deberán ser las previstas y
esto debe ser verificado
por el auditor informático.
Es entonces que utiliza
herramientas de software
potentes y modulares, los que sirven de rastreadores, para dar
un seguimiento a los datos a través de los programas.
Las Trazas se utilizan para comprobar que las validaciones de

datos previstas sean ejecutadas. El sistema no debe ser
modificado absolutamente por causa de estas. Si por causa de
las herramientas del auditor se da un aumento de carga se
podrá optar por darle uso en los momentos más adecuados.
La comprobación de los valores asignados por técnica de
sistemas, se realizan por medio de productos usado por los
auditores y esta comprobación se da a cada uno de los
parámetros variables de las librerías más importantes del
mismo, los parámetros variables deben estar sujetos a un
intervalo delimitado por el fabricante.
Las trazas son muy útiles, pero aún así debe repetirse lo que ha
sido dicho de la Auditoría Informática de Sistemas, que el
auditor utiliza la información proporcionada por el sistema.
De igual forma, el sistema ayudará a detectar automáticamente

sobre la detección de errores de máquina central, periféricos,
etc.
Las trazas son utilizadas con frecuencia por la auditoría

financiero-contable convencional. Estos se usan para verificar
que los cálculos se dan en forma correcta, con respecto a
nóminas, primas, etc.

Software de Interrogación
Los paquetes de auditoría son
elementos que el auditor a utilizado
hasta hace pocos años, estos son
paquetes de software, los cuales son
capaces de generar programas para
aquellos auditores que no carecen de
cualidades, desde una visión
informática. Luego de un tiempo estos
productos se desarrollaron, logrando
realizar muestreos estadísticos, los que
permitieron realizar proyecciones de acuerdo a consecuencias
e hipótesis de situaciones reales de una instalación.
Los paquetes de software para Auditoría Informática de hoy

están orientados, a lenguajes de interrogación de ficheros y
bases de datos de la empresa auditada. Los auditores internos
no disponen de este software, por que cuentan sólo con
software que la instalación les proporciona.
Las empresas desarrolladoras de software se han visto a

fabricar interfaces de transporte de datos entre computadoras
personales y Mainframe, esto debido a la expansión de las
redes locales y de su filosofía Cliente–Servidor, así, el auditor
rescata la información más importante para su trabajo.
Conectados al Host, los terminales almacenan datos que han

sido proporcionados por el mismo, estos datos son tratados
posteriormente de un modo PC. El auditor esta obligado a
recopilar información de los usuarios finales, esto se puede
hacer con mucha facilidad, de acuerdo a los productos
descritos. El trabajo del auditor informático en el campo se
deberá hacer con productos del cliente. Para la realización
del trabajo de Auditoría Informática es importante una
metodología:

METODOLOGÍA DE TRABAJO
El Auditor Informático utiliza un método de trabajo el cual se
divide en fases o etapas:
♦ Determinar los Alcances y Objetivos.

♦ Análisis del ambiente a Auditar y del entorno Auditable.
♦ Determinación de recursos de la Auditoría Informática.
♦ Establecer cuales son los recursos mínimos a emplear en
la Auditoría.
♦ Elaboración y planteamiento del plan de trabajo y de los
programas.
♦ Actividades a realizar en la Auditoría.
♦ Elaboración del informe Final.
♦ Elaboración de la Carta de Introducción correspondiente
al Informe final.
DETERMINACION DE ALCANCES Y OBJETIVOS.
Debe delimitarse cual va a

ser el alcance que tenga la
auditoría. Las funciones
que se van a cumplir
deben plantearse mediante
un acuerdo muy preciso y
este se dará entre
auditores y clientes,
igualmente sobre las
materias y entidades a
auditar.
Esto es importante, pues implica un ahorro de tiempo y otorga
beneficios a ambas partes, ya que de acuerdo a este punto se
podrán determinar cuales son las materias, funciones o quizás
organizaciones que serán auditadas. Estos alcances y
limitaciones serán expresadas en el principio del informe final.
Los objetivos que tiene la auditoría deben ser conocidos hasta
el último detalle por las personas que harán la auditoría, así
como también, los objetivos a los que su tarea quiere llegar.
La necesidad del cliente deberá ser satisfecha con el

cumplimiento de sus pretensiones, de la manera que las metas
trazadas sean cubiertas.
Los objetivos determinados deberán añadirse a los Objetivos

Generales de la Auditoría Informática, los que son: Los
controles Generales de la Gestión Informática y la
Operatividad de los Sistemas.
ANALISIS DEL AMBIENTE A AUDITAR Y DEL

ENTORNO AUDITABLE.
Para llevar a cabo esta actividad debe realizarse un análisis de
exhaustivo de las funciones que cumple la informática, tanto
como sus actividades generales. Para llevar a esto a cabo el
auditor debe tener pleno conocimiento de:
Organización:
Conocer a las personas responsables, quien es el que ordena,
quien diseña y quien ejecuta es importante para el auditor y
todo su equipo. Deben tomarse en cuenta los siguiente puntos:
- Organigrama.
- Departamentos.
- Relaciones de jerarquía y funcionales entre
organismos y la organización.
- Flujos de Información.
- Cantidad de Personal por puesto de trabajo.
- Número de puestos de trabajo
Ambiente de trabajo
Es de suma importancia que el equipo auditor conozca el
ambiente sobre el cual va a trabajar y en el que se va a
desenvolver.

Esto permitirá que:

- Haya un conocimiento pleno de la situación
geográfica de los sistemas, ya que podrá determinarse
la ubicación de los Centros de Procesamiento de
Datos de la organización.
- Se conocerá la Arquitectura y Configuración de
hardware y Software.
- Inventario de Hardware y
Software, es importante
saber donde figuran todos
los elementos físicos y
lógicos de la instalación. En
este inventario deben estar
todos los productos lógicos
del sistema, desde el
software básico hasta
programas de uso y
adquiridos o desarrollados
internamente.
- Comunicación y Redes de Comunicación, las
características de las líneas y de acceso a la red
pública de comunicaciones deben estar a disposición
del auditor. De igual forma podrán tener información
de las redes locales de la empresa.
Aplicaciones Bases de datos y ficheros

Al final del estudio realizado por los auditores, este se cerrará
y terminará con una idea global sobre los procesos
informáticos realizados en la empresa auditada.
Previamente deberán tener conocimiento de:
1. El volumen, antigüedad y complejidad de las

aplicaciones.
- Metodología del Diseño.
- Documentación.
- Cantidad y complejidad de Bases de Datos y
Ficheros.

DETERMINACION DE RECURSOS DE LA
AUDITORÍA INFORMÁTICA
Una vez concluido el estudio inicial se procede a determinar la
cantidad de recursos humanos y materiales que se utilizarán
durante el desarrollo de la auditoría.
Recursos materiales:
Los recursos materiales son proporcionados por el cliente
mayormente. El sistema auditado será evaluado por las
herramientas de software propias del equipo, por este motivo
habrá una coordinación entre el equipo auditor y el cliente.
Estos recursos pueden ser de dos tipos:
Recursos de software:
Los mismos que pueden estar comprendidos de programas
que son herramientas de auditoría, estos tienen gran
potencia y flexibilidad.
Luego están los monitores: son usados de acuerdo al
desarrollo obtenido por la técnica del auditado, la calidad
y la cantidad de los datos.
Recursos de hardware:
Estos recursos serán proporcionados por el cliente. Las
computadoras del auditado serán evaluadas de forma
obligatoria por el auditor. Para que esto se lleve a cabo, se
deberá coordinar con el cliente para evitar cualquier
contratiempo. Se evaluará tiempo de máquina, espacio en
disco, impresoras ocupadas, etc.
Recursos Humanos
La materia Auditable será quien determine
la cantidad de recursos, y también el
personal que será asignado para su
desarrollo considerando el perfil personal
y profesional de cada uno. Una auditoría
general se ejerce generalmente por
profesionales universitarios, los cuales han

obtenido en la universidad el criterio necesario para poder

disernir cada situación presentada en estos casos, o también
por personal con experiencia multidisciplinaria comprobada.
ELABORACIÓN Y PLANTEAMIENTO DEL PLAN DE

TRABAJO Y DE LOS PROGRAMAS
El plan de trabajo es una actividad que se realiza cuando ya se
tienen asignados los recursos, el responsable de la auditoría y
sus colaboradores son quienes tienen a cargo esta labor. Una
vez terminado este comenzará a llevarse a cabo la
programación del mismo.
Los criterios a tomarse en consideración deben ser elaboración

con sumo cuidado, pudiendo ser los siguientes:
1. La elaboración es más compleja o más costosa si
se da el caso de que la revisión se realice por
áreas generales o específicas.
2. Si es que la auditoría abarca toda el área
informática o sólo en forma parcial, el número de
auditores necesarios es determinado por el
volumen a auditar, determina también las
especialidades necesarias del personal.
3. Deben ser especificadas la ayudas de parte del
auditado que el auditor necesitará y recibirá.
4. Las materias a auditar deben tener una escala de
prioridad y esta estará dada en el plan, de
acuerdo a las necesidades y prioridades del
cliente.
5. Los calendarios no son de consideración dentro
del plan, debido a que solo son manejados
recursos genéricos y no específicos.
6. La disponibilidad de los recursos posteriormente,
es establecida durante la revisión.
7. Los recursos y esfuerzos globales que serán
necesarios se establecerán en el plan.

8. Cada miembro del grupo recibirá instrucciones y

tareas a realizar, estas tareas son designadas de
acuerdo al plan estructural.
La programación de actividades es lo que sigue a
continuación, el plan debe ser de fácil maniobrabilidad con la
finalidad de aceptar modificaciones a lo largo del proyecto.
ACTIVIDADES A REALIZAR EN LA AUDITORÍA
Por temas generales o áreas específicas

La Auditoría Informática general es realizada por áreas
generales o por áreas específicas. El empleo de mayores
recursos y más tiempo total se darían si es que se examina por
grandes temas.
Si una auditoría es realizada por áreas específicas, se acaparan

las peculiaridades que afectan a al misma a la vez, de esta
forma el resultado el resultado es obtenido de manera más
rápida pero con menor calidad.
Técnicas de Trabajo
- Estudio exhaustivo de la información recopilada del
personal auditado.
- Análisis de información propia.
- Cruce de ambas informaciones.
- Entrevistas.
- Muestreos.
- Simulación.
Herramientas a utilizar
- Cuestionario inicial general.
- Simuladores (Generadores de Datos).
- Cuestionario Checklist.
- Matrices de riesgo.
- Estándares.
- Paquetes de auditoría (Generadores de Programas).
- Simuladores (Generadores de Datos).
- Monitores.

ELABORACIÓN DEL INFORME FINAL.
El documento final, el cual

refleja el trabajo realizado, los
procedimientos llevados a cabo
y las conclusiones finales y sus
respectivas recomendaciones,
se materializa en el informe
final. De acuerdo a la
elaboración final del informe se
determina la calidad del trabajo
realizado.
Antes de la elaboración de este informe ya se han realizado
varios borradores en los cuales las opiniones del auditor y del
auditado son contrastadas, para así disipar cualquier duda que
pueda existir o descubrir algún fallo de apreciación por parte
del auditor.
El informe se realizará comenzando con la fecha de inicio de

la auditoría y la fecha de redacción del mismo. Aquí son
incluidos los nombres del personal perteneciente al equipo
auditor, y los nombres de las personas auditadas, con
indicación de jefatura, responsabilidad y puesto de trabajo que
ostente.
Se determinan los objetivos y alcances de la auditoría,

enumerando los temas considerados. Y se enumeran de
manera exhaustiva los temas objeto de la Auditoría, antes de
entrar profundamente en cada uno de ellos.
Para la exposición de los temas evaluados se seguirá un orden,

el cual es:
- La situación actual, esta actividad es realizada cuando
se trata de una revisión periódica, aquí no solo se
analiza el estado actual sino también el progreso que
haya tenido en el tiempo. Se dará a conocer el estado
actual y luego se expondrá la situación real.

- Las tendencias que existen, de acuerdo a los
parámetros establecidos, se hará una proyección de la
evolución futura.
- Se expondrán los puntos débiles y las amenazas.
- Se darán las recomendaciones y los planes de acción,
aquí se expondrá el verdadero objetivo de la auditoría
informática, junto con la exposición de los puntos
débiles.
- Por último se redactará la carta de presentación o
introducción
Sobre la exposición del informe final se puede decir que:
- El informe debe incluir

hechos netamente
importantes, ya que los
hechos irrelevantes no
hacen más que distraer
la atención del lector.
- Los hechos que se
describen en el informe
deben ser sustentados
por el mismo. Es decir que, estos hechos deben estar
documentalmente probados y soportados mediante
una verificación objetiva. Y esta verificación debe
seguir criterios que serán:
- Podrán ser sometidos a cambios.
- El cambio otorgará ventajas que superarán los
inconvenientes derivados de mantener la
situación.
- No habrá alternativas viables que superen al
cambio propuesto.
- Las recomendaciones del auditor serán utilizadas
para mantener o mejorar las normas y estándares
existentes en la instalación.
Los hechos que aparecen en un informe de auditoría significan

que pueden ser una debilidad la cual debe ser corregida.

Flujo del hecho o debilidad:

Cuando se da una ocurrencia la cual reporta un hecho o una
debilidad, entonces se da un flujo que es como sigue:
Cuando se encuentra un hecho:

- Todo hecho tiene importancia para el auditor y el
cliente.
- Tiene que tener un fundamento para ser convincente
y debe ser exacto.
- Los hechos no deben repetirse.
Qué consecuencias puede traer este hecho:

- Estas consecuencias deben ser redactadas, de tal
forma que puedan deducirse del hecho.
Consecuencias ocasionadas por el hecho:

- Las consecuencias directas que el hecho pueda
ocasionar serán redactadas, debido a que las
influencias directas pueden darse sobre aspectos
informáticos u otros ámbitos de la organización.
- Las conclusiones se dan sólo en el caso de que los
casos expuestos sean de condición extensa, o en todo
caso si es que tienen un grado de complejidad grande.
El Auditor Informático y sus recomendaciones:

- Las recomendaciones deberán ser simples y
entendibles, con sólo leerlas.
- Tendrán una sustentación bien fundamentada.
- Deberá ser claro y exacto en el tiempo, así, su
implementación podrá ser verificada.
- Las recomendaciones serán expresadas en forma
directa a personas que puedan hacer la
implementación respectiva.

ELABORACIÓN DE LA CARTA DE INTRODUCCIÓN

CORRESPONDIENTE AL INFORME FINAL
Esta carta es muy importante debido a
que es un resumen bastante compacto de
la Auditoría Realizada. Esta carta va
dirigida a la persona que se encuentra
como responsable de la empresa, o en
todo caso a la persona que pidió la
auditoría.
El informe final podrá tener tantas
copias como sea solicitado el cliente,
pero sólo se presentará una carta de
introducción o presentación.
La carta de introducción constará de:

- Deberá expresar de manera explícita la cantidad de
áreas analizadas.
- Se deben incluir fechas, objetivos, alcances y
naturaleza.
- Deberá tener un máximo de 4 folios.
- Dará a conocer una conclusión general, explicando
cuales son las áreas más débiles
- Las Debilidades serán expuestas llevando un orden el
cual se regirá de acuerdo a la importancia o gravedad.
- Nunca deben escribirse recomendaciones.

CONCLUSIONES
La Auditoría Informática es importante, en toda empresa ya

sea pública o privada y basta que posean Sistemas de
Información que tengan un grado de complejidad
considerable, deben ser sometidas a un riguroso control, y a
una evaluación constante de eficacia y eficiencia.
Prácticamente un porcentaje considerable de las empresas de
hoy tienen su información estructurada en Sistemas
informáticos, ese es el motivo para que estas entidades se
preocupen por su correcto funcionamiento.
La informatización de las empresas de hoy, es obligada,

debido a que la eficiencia de estas depende de sus sistemas de
Información. La vulnerabilidad de los sistemas hará que las
empresas nunca salgan adelante por más que cuenten con un
personal altamente calificado
La Auditoría deberá realizarse con gente muy capaz, seria, con

minuciosidad y responsabilidad. Ya que una Auditoría mal
hecha, puede traer consecuencias económicas graves para la
empresa que ha sido evaluada.

Auditoria Informática

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Auditoria Informática

Caricato da

Copyright:

Formati disponibili

Instituto Nacional de Estadística

COLECCIÓN CULTURA INFORMÁTICA

Impreso en los talleres de la Oficina de Impresiones de la Oficina

El Instituto Nacional de Estadística e Informática

En esta oportunidad la publicación que se presenta como “¿Qué es

Por su contenido, esperamos que sea del agrado de nuestro

El Instituto Nacional de Estadística e Informática, pone a

Econ. Félix Murillo Alfaro

El desarrollo a pasos agigantados de los medios de

La gestión empresarial cumple un rol muy importante hoy en

Pero se ha podido advertir que el término de Auditoría ha

Realmente Auditoría tiene una concepción mucho más amplia,

Instituto Nacional de Estadística e Informática 7

Si nos remontamos al campo de la etimología veremos que

La Auditoría informática puede ser definida de diversas

Si hacemos una investigación tratando de documentarnos con

8 Instituto Nacional de Estadística e Informática

De acuerdo a todo esto los sistemas de información están

El hecho de realizar una auditoría informática es importante

Instituto Nacional de Estadística e Informática 9

El mal diseño de los sistemas puede

La sofisticación en los equipos informáticos han dado pie

Todos sabemos que hasta las

10 Instituto Nacional de Estadística e Informática

La necesidad de realizar una auditoría informática es

La Auditoría cumple una función muy valiosa e

Es muy probable que se afecte la susceptibilidad del personal

Instituto Nacional de Estadística e Informática 11

Con todos los elementos de juicio

AUDITORÍA INTERNA Y AUDITORÍA EXTERNA

Existen dos tipos de auditoría, como se ve en el titulo de este

En el caso de la Auditoría Externa el personal que debe

El caso de la Auditoría informática es ventajoso en vista de

12 Instituto Nacional de Estadística e Informática

Esto permite también al personal auditado a poder adecuarse

Es tarea del personal de informática de escuchar y orientar

Generalmente su opinión no tiene voto en las decisiones que

Todas las empresas desean tener un control sobre sus sistemas

Sólo las empresas grandes pueden contar con una oficina de

Pero cuando la empresa adopta por tener este servicio como

♦ La falta de capacidad técnica, para realizar la auditoría de

♦ Cruzar las informaciones emitidas tanto de la auditoría

Instituto Nacional de Estadística e Informática 13

que pueden discrepar con la opinión general de la empresa

♦ Esto puede servir como mecanismo protector ante la

♦ La oficina de auditoría interna forma parte de la misma

Tanto la auditoría externa como interna, deberán estar libres

ALCANCE DE LA AUDITORÍA INFORMÁTICA:

14 Instituto Nacional de Estadística e Informática

Auditoría Informática y sus características:

La información es netamente confidencial, es de la empresa y

La Auditoría de Seguridad Informática

Razones para determinar la necesidad de una Auditoría

♦ Cuando existe Desorganización y descoordinación:

Instituto Nacional de Estadística e Informática 15

♦ Cuando hay insatisfacción del cliente y una mala

♦ Cuando existe inseguridad:

Instituto Nacional de Estadística e Informática 17

TIPOS Y CLASES DE AUDITORÍA

La dirección es quien realiza el control de las actividades del

Con estos tres tipos de Auditoría, y sumado a esta la

Dentro de estas Areas Generales existen otras divisiones en la

Los criterios que se aplican para cada área específica en una

18 Instituto Nacional de Estadística e Informática