Aus115 Unidad I

UNIDAD I - AMBITO DE DESARROLLO DE LA
AUDITORIA INFORMATICA
Universidad de El Salvador | Auditora de Sistemas - AUS115
UNIDAD I mbito de desarrollo de la Auditora de
Sistemas Informticos.
Terminologa y generalidades de la auditoria informtica.
Tcnicas de auditora informtica asistida por computadoras TAACs.
La funcin control.
Universidad de El Salvador | Auditora de Sistemas - AUS115 UNIDAD I

1.1 Antecedentes de la auditora.
Histricamente
La importancia de la auditora es reconocida desde los tiempos ms
remotos, se intuye que naci desde el momento en que fue necesario
medir cuentas de algn negocio y revisar que estas fueran correctas. En
la medida que se expanda el comercio y por ende las operaciones
comerciales, los primeros comerciantes tuvieron la necesidad de
establecer mecanismos rudimentarios de registros que los permitieran
dominar las actividades mercantiles que realizaban.
En tiempos histricos, auditor era aquella persona a quien le lean los

ingresos y gastos producidos por un establecimiento.
La actividad del auditor nace formalmente, como consecuencia al

crecimiento de las actividades empresariales y la necesidad de que un
profesional calificado avalara, comprobara y dictaminara sobre la
veracidad y confiabilidad de los resultados presentados por los
financieros de la empresa.
Etimolgicamente
El origen etimolgico de la palabra es del verbo latino audire, que significa or, que a
su vez tiene su origen en que los primeros auditores ejercan su funcin juzgando la
verdad o falsedad de lo que les era sometido a su verificacin principalmente oyendo.

1.2 Conceptos bsicos sobre auditora.
Auditora
Es la revisin independiente de alguna actividad o algunas actividades, funciones especificas, resultados u

operaciones de una entidad administrativa, realizada por un profesional de la auditora, con el propsito de
evaluar su correcta realizacin y con base en ese anlisis, poder emitir una opinin autorizada sobre la
razonabilidad de sus resultados y el cumplimiento de sus operaciones .
Auditora
En su acepcin mas amplia significa verificar la informacin financiera, operacional y administrativa que
se presenta es confiable, veraz y oportuna. Es revisar que los hechos, fenmenos y operaciones se den
en la forma como fueron planeados; que las polticas y lineamientos establecidos han sido observados y
respetados; que se cumplen con obligaciones fiscales, jurdicas y reglamentarias en general.
.

1.3 Clasificacin de los tipos de auditora.
Clasificacin Tipos
Lugar de Aplicacin Interna y externa.
Marco de Accin Correctivas, preventivas y optimizacin.
Financiera, administrativa, operacional, integral, gubernamental

rea de Aplicacin
y sistemas.
Mdica, desarrollo de obras y construcciones, fiscal, laboral,

reas Especficas proyectos de inversin, caja chica o caja mayor, manejo de
mercancas (inventarios), ambiental y sistemas.
Informtica, con la computadora, sin la computadora, a la

gestin informtica, al sistema de computo, alrededor de la
computadora, seguridad de sistemas computacionales, a los
Sistemas Computacionales
sistemas o redes, a las unidades informticas, ISO-9000 a los
sistemas computacionales, outsourcing, ergonmica de
sistemas computacionales, etc.

1.4 Auditora Informtica.
Es la revisin tcnica, especializada y exhaustiva que se realiza a los
sistemas computacionales, software e informacin utilizados en una
empresa, sean individuales, compartidos y/o de redes, as como a sus
instalaciones, telecomunicaciones, mobiliario, equipos perifricos y
dems componentes. Dicha revisin se realiza de igual manera a la
gestin informtica, el aprovechamiento de sus recursos, las medidas de
seguridad y los bienes de consumo necesarios para el funcionamiento de
la unidad informtica.
Su propsito fundamental es evaluar el uso adecuado de los sistemas para el correcto ingreso de los datos,
el procesamiento adecuado de la informacin y la emisin oportuna de sus resultados en la institucin,
incluyendo la evaluacin en el cumplimiento de las funciones, actividades y operaciones de funcionarios,
empleados y usuarios involucrados con los servicios que proporcionan los sistemas computacionales a la
empresa.
La INFORMACIN es considerada un activo tan o ms importante que cualquier otro en una organizacin.

1.5 Objetivos de la auditora informtica.
Los principales objetivos de la auditora informtica son los siguientes:
Salvaguardar los activos (proteccin de hardware y software).
Integridad de datos (los datos de mantener consistencia y no duplicarse).
Efectividad de sistemas (los sistemas deben de cumplir con los objetivos de la organizacin).
Eficiencia de sistemas (que se cumplan los objetivos con los menores recursos).
Seguridad y confidencialidad.

1.5 Objetivos de la auditora informtica.
La auditora informtica tiene por objeto examinar y evaluar la calidad y suficiencia de los controles establecidos
por la empresa u organismo para lograr su mejor funcionamiento. El objetivo de la auditora informtica deber
comprender no slo la evaluacin de los equipos de cmputo, de un sistema o procedimiento especfico, sino que
adems habr de evaluar los sistemas de informacin en general; desde sus entradas, procedimientos, controles,
archivos, seguridad y obtencin de informacin.
El auditor deber formarse opinin e informar acerca de la razonabilidad de tales controles, dando cuenta de los
hallazgos donde se detecta que se producen desviaciones con respecto al sistema de control interno vigente, y
recomendando las propuestas para su mejora.
La emisin de informacin financiera y operativa confiable,
ntegra, oportuna y til para la toma de decisiones.
El cumplimiento de los planes, programas, polticas, normas y

lineamientos aplicables.
La proteccin de los activos y dems recursos, incluyendo

actividades para la disuasin de fraudes y otras irregularidades.
El conocimiento, por parte de la direccin superior, del grado

de consecucin de los objetivos operacionales, sobre la base
de la aplicacin de criterios de eficacia, eficiencia y economa.

1.6 Alcance de la auditoria informtica.
El alcance ha de definir con precisin el entorno y los lmites en que va a

desarrollarse la auditoria informtica, se complementa con los objetivos
de sta. La definicin de los alcances de la auditoria compromete el
xito de la misma.
El alcance ha de figurar expresamente en el informe final, de modo que

quede perfectamente determinado no solamente hasta que puntos se
ha llegado, sino cuales materias fronterizas han sido omitidas.
Ejemplos
Se sometern los registros grabados a un control
de integridad exhaustivo?
Se comprobar que los controles de validacin de

errores son adecuados y suficientes?

1.7 Campo de la auditora informtica.
El campo de accin de la auditora informtica es:

A. Evaluacin administrativa del rea informtica.
Esto comprende la evaluacin de:
Objetivos del departamento, direccin o gerencia.
Metas, planes, polticas y procedimientos de procesos electrnicos y estndares .
Organizacin del rea y su estructura orgnica.
Funciones y niveles de autoridad y responsabilidad del rea de procesos electrnicos.
Integracin de los recursos materiales y tcnicos.
Direccin.
Costos y controles presupuestales.
Controles administrativos del rea de procesos electrnicos.

B. Evaluacin de los sistemas y procedimientos, y de la eficiencia que se
tiene en el uso de la informacin, lo cual comprende de:
Evaluacin del anlisis de los sistemas y sus diferentes etapas.
Evaluacin del diseo lgico del sistema.
Evaluacin del desarrollo fsico del sistema.
Facilidades para la elaboracin de los sistemas.
Control de proyectos.
Control de sistemas y programacin.
Instructivos y documentacin.
Formas de implantacin.
Seguridad fsica y lgica de los sistemas.
Confidencialidad de los sistemas .
Prevencin de factores que puedan causar contingencias; seguros y recuperacin en caso de desastres.
Productividad.
Derechos de autor y secretos industriales.
C. Evaluacin del proceso de datos y de los equipos de computo que
comprende:
Controles de datos fuentes y manejo de cifras de control (la mayora de los delitos por computadora son
cometidos por modificaciones de datos fuente al suprimir u omitir datos, adicionar datos, alterar datos,
duplicar procesos, a travs alteracin en cdigo fuente con rutinas creadas o segn los niveles de acceso
a las plataformas).
Control de operacin.
Control de salida.
Control de asignacin de trabajo.
Control de medios de almacenamiento masivos.
Control de otros elementos de computo.
Control de medios de comunicacin.
Orden en la unidad informtica.

D. Seguridad:
Seguridad fsica y lgica.
Confidencialidad.
Respaldos.
Seguridad del personal.
Seguros.
Seguridad en la utilizacin de los equipos.
Plan de Contingencia y procedimiento de respaldo para casos de desastre.
Restauracin de equipos y de sistemas.
D. Aspectos legales:
Contratos.
Licencias.

1.8 Marco esquemtico de la auditora informtica.
Tipo Elemento
Hardware Plataforma de hardware.
Tarjeta madre.
Procesadores.
Dispositivos perifricos.
Arquitectura del sistema.
Instalaciones elctricas, de datos y de telecomunicaciones.
Innovaciones tecnolgicas de hardware y perifricos.
Software Plataforma de software.
Sistema operativo.
Lenguaje y programas de desarrollo.
Programas y paqueteras de aplicacin y bases de datos.
Utileras, bibliotecas y aplicaciones.
Software de telecomunicacin.
Juegos y otros tipos de software.
Administracin de seguridad y control de informacin.
Informacin Salvaguarda, proteccin y custodia de la informacin.
Cumplimiento de las caractersticas de la informacin.

Tipo Elemento
Gestin informtica Actividad administrativa del rea de sistemas.
Operacin del sistema de computo.
Planeacin y control de actividades.
Presupuestos y gastos de los recursos informticos.
Gestin de la actividad informtica.
Capacitacin y desarrollo del personal informtico.
Administracin de estndares de operacin, programacin y desarrollo.
Bases de datos Administracin de bases de datos.
Diseo de bases de datos.
Metodologas para el diseo de bases de datos.
Seguridad, salvaguarda y proteccin de las bases de datos.
Seguridad de rea de sistemas.
Seguridad fsica.
Seguridad lgica.
Seguridad Seguridad de las instalaciones elctricas, de datos y de telecomunicaciones.
Seguridad de la informacin, redes y bases de datos.
Administracin y control de las bases de datos.
Seguridad del personal informtico.

Tipo Elemento
Redes de computo
Plataformas y configuracin de redes.
Protocolos de comunicaciones.
Sistemas operativos y software.
Administracin de redes de computo.
Administracin de la seguridad de las redes.
Administracin de las bases de datos de las redes.
Especializadas
Outsourcing.
Helpdesk.
Ergonoma en sistemas computacionales.
ISO 9000.
Internet/Intranet.
Sistemas multimedia.

1.9 Mtodos, herramientas, tcnicas y
procedimientos para la auditora informtica.
Los mtodos, herramientas, tcnicas y procedimientos para la auditora informtica se ubicaran en 3 grandes
grupos:
Instrumentos de recopilacin de datos:

Entrevistas.
Cuestionarios.
Check-list.
Tcnicas especiales:
Encuestas. Guas de evaluacin.
Observacin. Ponderacin.
Simulacin.
Tcnicas de evaluacin:
Inventarios.
Examen.
Muestreo. Evaluacin.
Inspeccin.
Experimentacin. Diagramas de sistemas.
Confirmacin.
Matriz de evaluacin.
Comparacin.
Programas de verificacin.
Trazas y/o huellas.
Seguimiento de programacin.
Revisin documental.

La funcin control.

2.1 Generalidades de las TAACs.
Diferentes tcnicas se utilizan en el proceso de auditora, muchas de ellas relacionadas con el uso de la computadora
dentro del proceso. Algunas normas internacionales se refieren a este tema, la norma SAP 1009, denominada
Computer Assisted Audit Techniques (CAATs) o Tcnicas de Auditora Asistidas por Computadora (TAACs), remarca la
importancia de la computadora en el proceso de auditora de sistemas, esta norma define a las TACCs como el
conjunto de programas en la computadora y el conjunto de datos que el auditor utiliza durante el proceso de
auditora, tanto para recolectar como para analizar datos e informacin.
SAS No. 94 (The Effect of Information Technology on the Auditor's Consideration of Internal Control in a Financial
Statement audit) indica que una organizacin que usa Tecnologas de Informacin IT, se puede ver afectada en uno de
los 5 componentes del control interno: El ambiente de control, evaluacin de riesgos, actividades de control,
informacin, comunicacin y monitoreo adems de la forma en que se inicializan, registran, procesan y reporta las
transacciones.
Las TACCs
Las TAACs son un conjunto de tcnicas y herramientas utilizados en el desarrollo de las auditorias informticas con el
fin de mejorar la eficiencia, alcance y confiabilidad de los anlisis efectuados por el auditor, a los sistemas y los datos
de la entidad auditada. Incluyen mtodos y procedimientos empleados por el auditor para efectuar su trabajo y que
pueden ser administrativos, analticos, informticos, entre otros; y los cuales, son de suma importancia para el auditor
informtico cuando este realiza una auditora. Estas permiten al auditor obtener suficiente evidencia confiable sobre
el cual, sustentar sus observaciones y recomendaciones, lo que obliga al auditor a desarrollar destrezas especiales en
el uso de estas tcnicas, tales como: mayores conocimientos informticos, discernimiento en el uso adecuado de las
herramientas informticas y analticas, eficiencia en la realizacin de los anlisis, etc.; sin dejar a un lado las tcnicas
tradicionales de auditora como son la inspeccin, observacin, confirmacin, revisin, entre otros.

2.1 Generalidades de las TACCs.
Las TACCs pueden ser usadas en:
Pruebas de detalles de transacciones y balances (reclculos de intereses, extraccin de ventas por encima de
cierto valor, aplicacin de descuentos, etc.).
Procedimientos analticos: por ejemplo identificacin de inconsistencias o fluctuaciones significativas.
Seleccin de determinados tipo de transacciones como auxiliar en el anlisis de un archivo histrico.
Pruebas de controles generales, tales como configuraciones en sistemas operativos, procedimientos de acceso al
sistema, comparacin de cdigos y versiones.
Programas de muestreo para extractar datos.
Pruebas de control en aplicaciones.
Pruebas integrales.
Simulacin.
Revisiones de accesos.
Operaciones en paralelo.
Evaluacin de un sistema con datos de prueba.
Registros extendidos.
Totales aleatorios de ciertos programas.
Resultados de ciertos clculos para comparaciones posteriores.

2.2 Tipos de software relacionados a las TAACs.
Entre los tipos de software relacionados con las TACCs tenemos:
Paquete de auditora. Son programas de uso comercial especficamente diseados para asistir al auditor en su
tarea, como por ejemplo para analizar el contenido de bases de datos, seleccionar informacin, realizacin de
clculos para verificar transacciones, crear archivos de datos para su posterior anlisis, imprimir informes en un
formato especificado, verificar el cumplimiento de buenas prcticas, etc.
Software para un propsito especfico o diseado a medida. Estos programas pueden ser desarrollados por el
auditor, por la entidad que est siendo auditada, tambin estas herramientas pueden ser desarrolladas por un
programador externo. En algunos casos cuando el software es desarrollado por la empresa los programas
pueden ser usados en su formato original o para garantizar mayor independencia y eficiencia pueden ser
modificados a pedido del equipo de auditora. Dentro de esta categora pueden incluirse por ejemplo programas
que permitan generar check-list adaptados a las caractersticas de la empresa y de los objetivos especficos de la
auditora.
Los programas de utilera. Son usados por la organizacin auditada para desarrollar funciones comunes de
procesamiento de datos, como clasificacin, creacin e impresin de archivos. Como por ejemplo, planillas de
clculo, procesadores de texto, etc. El uso de este tipo de programas debe ser complementario a la
implementacin de software especficamente diseado para la auditora.
Los programas de administracin del sistema. Son herramientas software que normalmente son parte de los
sistemas operativos sofisticados, sistemas de gestin de bases de datos y en algunos casos tambin de
aplicaciones, por ejemplo software para recuperacin de datos, comparacin de cdigos fuentes y ejecutables,
comparaciones de contenidos y estructuras de bases de datos, etc.

Entre los tipos de software relacionados con las TACCs tenemos:
Rutinas de auditora embebidas en programas de aplicacin. Se trata de mdulos del sistema de aplicacin que
posibilitan el registro en lo que se denominan logs de auditora de las operaciones que se realizan dentro del
sistema.
Sistemas expertos. Se trata de sistemas basados en inteligencia artificial que simulan la tarea que puede realizar
un experto en auditora, entre otras aplicaciones utilizados en la gestin de riesgos, en el seguimiento de
incidentes, etc.
Ejemplos de las formas tradicionales que existen en un proceso manual y las

maneras en que la computadora puede cambiarlas:
La revisin de transacciones por el personal, que deja constancia con sus firmas, iniciales y sellos en los
documentos para indicar la autorizacin del proceso.
El transporte de documentos de una estacin de trabajo a otra por personas, correos o servicios similares de un
lugar del negocio a otro sitio completamente distinto.
Procesamiento manual de grandes cantidades de datos que pueden requerir la repeticin o cruzamiento de
diversos elementos de la informacin.
La divisin de tareas entre los empleados.
Almacenamiento de documentos de entrada, proceso y salida en registro de archivos o similares.

Ejemplos de software para auditora:

2.3 Ventajas del uso de las TAACs.
Incrementan o amplan el alcance de la investigacin y permiten realizar pruebas que no pueden efectuarse
manualmente.
Incrementan el alcance y calidad de los muestreos, verificando un gran nmero de elementos.
Elevan la calidad y fiabilidad de las verificaciones a realizar.
Reducen el perodo de las pruebas y procedimientos de muestreos a un menor costo.
Garantizan el menor nmero de interrupciones posibles a la entidad auditada.
Brindan al auditor autonoma e independencia de trabajo.
Permiten efectuar simulaciones sobre los procesos sujetos a examen y monitorear el trabajo de las unidades.
Realizar un planeamiento a priori sobre los puntos con potencial violacin del Control Interno.
Disminucin considerable del riesgo de no-deteccin de los problemas.
Posibilidad de que los auditores actuantes puedan centrar su atencin en aquellos indicadores que muestren
saldos inusuales o variaciones significativas, que precisan de ser revisados como parte de la auditora.
Elevacin de la productividad y de la profundidad de los anlisis realizados en la auditora.
Posibilidad de rescatar valor en el resultado de cada auditora.
Elevacin de la autoestima profesional del auditor, al dominar tcnicas de punta que lo igualan al desarrollo de
la disciplina.

2.4 Ejemplos de las TAACs.
Software de Control de Biblioteca:
Usado para separar las bibliotecas de prueba de las bibliotecas de produccin. Asegura que los cambios de programa
hayan sido autorizados. El riesgo de no tener controles sobre ambas bibliotecas es contener cdigo no autorizado o
fraudulento. El propsito primario es:
Prohibir a los programadores tener acceso a las bibliotecas fuente y objeto en produccin.
Prohibir la actualizacin de programas de lote.
Requerir que el operador actualice la biblioteca objeto despus de prueba.
Requerir que el programador entregue el cdigo fuente.
Permitir acceso de lectura solamente al cdigo fuente.
Implantar un estndar de nomenclatura de programas.
Permitir que los cambios puedan ser revertidos.
Hacer cumplir las normas de programacin.
Aseguramiento de Calidad.
Generadores de cdigo:
Analizador Hash: Analiza la secuencia de cdigos compilados a lenguaje de mquina (Hash).
Analizador de texto:
Notepad++
Bombas lgicas. Universidad de El Salvador | Auditora de Sistemas - AUS115 UNIDAD I
2.4 Anlisis de aplicacin de las TAACs.

La funcin control.

3.1 Definicin de control.
El control es una etapa primordial en la administracin, aunque una empresa cuente con magnficos planes, una
estructura organizacional adecuada y una direccin eficiente, el ejecutivo no podr verificar cul es la situacin real de
la organizacin si no existe un mecanismo que se cerciore e informe si los hechos van de acuerdo con los objetivos. El
concepto de control es muy general y puede ser utilizado en el contexto organizacional para evaluar el desempeo
general frente a un plan estratgico.
A fin de incentivar que cada uno establezca una definicin propia del concepto se revisara algunos planteamientos de
varios autores estudiosos del tema:
Henry Fayol: El control consiste en verificar si todo ocurre de conformidad con el PANM adoptado, con las
instrucciones emitidas y con los principios establecidos. Tiene como fin sealar las debilidades y errores a fin de
rectificarlos e impedir que se produzcan nuevamente.
Robert B. Buchele: El proceso de medir los actuales resultados en relacin con los planes, diagnosticando la razn
de las desviaciones y tomando las medidas correctivas necesarias.
George R. Terry: El proceso para determinar lo que se est llevando a cabo, valorizacin y, si es necesario,
aplicando medidas correctivas, de manera que la ejecucin se desarrolle de acuerdo con lo planeado.
Robert C. Appleby: La medicin y correccin de las realizaciones de los subordinados con el fin de asegurar que
tanto los objetivos de la empresa como los planes para alcanzarlos se cumplan econmica y eficazmente.
Harold Koontz y Ciril ODonell: Implica la medicin de lo logrado en relacin con lo estndar y la correccin de las
desviaciones, para asegurar la obtencin de los objetivos de acuerdo con el plan.
Chiavenato: El control es una funcin administrativa: es la fase del proceso administrativo que mide y evala el
desempeo y toma la accin correctiva cuando se necesita. De este modo, el control es un proceso esencialmente
regulador.
3.2 Control Interno y Auditoria Informtica.
Similitudes entre Control Interno y Auditora

Informtica:
Lo puede acometer personal interno; conocimientos especializados en
TI; verificacin del cumplimiento de controles internos, normativas, y
procedimientos establecidos por la Direccin de Informtica y la
Direccin General para los sistemas de informacin.
Diferencias
Control Interno Informtico Auditora Informtica

Anlisis de los controles en el da a da. Anlisis en un momento determinado.
Informa a la Direccin del Departamento de
Informa a la Direccin General de la Organizacin.
Informtica.
Solo persona interno. Tanto personal interno como externo.
El alcance de sus funciones tiene cobertura sobre todos
El alcance de sus funciones es nicamente sobre el
los componentes de los sistemas de informacin de la
Departamento de Informtica.
Organizacin.

3.3 Sistemas de control interno informtico.
Los controles cuando se diseen, desarrollen e implanten han de ser al menos completos, simples, fiables,
revisables, adecuados y rentables. Normalmente, estos controles son automticos, aunque sus resultados se revisan
de forma manual.
Los objetivos de los controles informticos se han clasificados en las siguientes

categoras:
Controles preventivos: controles para tratar de evitar un hecho, como un software de seguridad que impida los
accesos no autorizados al sistema.
Controles detectivos: controles para cuando fallan los controles preventivos, se de tratar de conocer cuanto
antes el evento.
Controles correctivos: controles que facilitan la vuelta a la normalidad cuando se ha producido incidencias (por
ejemplo copias de seguridad).
Se deben definir objetivos de control y mtodos de control interno.
Ejemplo: como objetivo tenemos seguridad de acceso y el mtodo de control en este caso ser identificacin
de usuarios. Las relaciones no siempre son uno a uno.

3.4 Implantacin de un sistema de controles internos
informticos.
Los controles pueden implantarse a varios niveles diferentes.
Para llegar a conocer la configuracin del sistema es necesario documentar los detalles de la red, as como los
distintos niveles de control y elementos relacionados. Por tanto, se debe conocer a fondo y documentar: Entorno de
red, configuracin del computador/es central/es, entorno de aplicaciones, productos y herramientas de desarrollo
de software, seguridad (en especial del computador central y bases de datos).
Para la implantacin de un sistema de controles internos informticos habr que definir objetivos, mtodos y
poltica de control para:
Gestin de sistemas de informacin: a travs de polticas, pautas y normas tcnicas que sirvan de base para el
diseo y la implantacin de los sistemas de informacin y de los controles correspondientes.
Administracin de sistemas: a travs de controles sobre la actividad de los centros de datos y otras funciones de
apoyo al sistema, incluyendo la administracin de las redes.
Seguridad: debe incluir las tres clases de controles fundamentales implantados en el software del sistema, como
integridad del sistema, confidencialidad (control de acceso) y disponibilidad.
Gestin de cambio: separacin de las pruebas y la produccin a nivel de software y controles de procedimientos,
para la migracin de programas software aprobados y probados.

informticos.
La implantacin de una poltica y cultura sobre la seguridad, requiere que sea realizada por fases, como se puede ver
en la figura, y est respaldada por la direccin, donde cada funcin juega un papel importante en las distintas
etapas.
Auditora Interna y Externa

Direccin de Negocio o Direccin de Sistemas de Informacin: han de
definir la poltica y/o directrices para los sistemas de informacin en base
a las exigencias del negocio, que podrn ser internas o externas.
Direccin de Informtica: ha de definir las normas de funcionamiento del

entorno informtico y de cada una de las funciones de informtica
mediante la creacin y publicacin de procedimientos, estndares,
metodologa y normas, aplicables a todas las reas de informtica,
as como a los usuarios que establezcan el marco de funcionamiento.
Control Interno Informtico: ha de definir los diferentes

controles peridicos a realizar encada una de las funciones
informticas, de acuerdo al nivel de riesgo de cada una de
ellas, y ser diseados conforme a los objetivos de negocio
y dentro del marco legal aplicable (estos se plasmarn en los
oportunos procedimientos de control interno y podrn ser preventivos
o de deteccin). Realizar peridicamente la revisin de los controles
establecidos de Control Interno Informtico, informando de las desviaciones a la Direccin de Informtica y sugiriendo
cuantos cambios crea convenientes en los controles.
informticos.
Auditora Informtica Interna y Externa
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informticas
y el cumplimiento de la normativa interna y externa, de acuerdo al nivel de riesgo y conforme a
los objetivos definidos por la Direccin de Negocio y la Direccin de Informtica. Informar
tambin a la Alta Direccin, de los hechos observados y al detectarse deficiencias o ausencias
de controles recomendarn acciones que minimicen los riesgos que pueden originarse.
La creacin de un sistema de control informtico es una responsabilidad de la Gerencia y un punto destacable de la

poltica en el entorno informtico.
Controles internos, agrupados por secciones funcionales: Son los que Control Interno
Informtico y la Auditora Informtica deberan de verificar para determinar su cumplimiento y validez.
A. Control generales organizativos.

B. Controles sobre desarrollo, adquisicin y mantenimiento de sistemas de informacin.
C. Controles sobre la explotacin de los sistemas de informacin.
D. Controles sobre las aplicaciones.
E. Controles especficos de ciertas tecnologas.
F. Controles de Calidad.

informticos.
A. Control generales organizativos.
Polticas generales.
Planificacin (plan estratgico de informacin, plan informtico, plan general de seguridad y plan de
emergencia ante desastres).
Estndares de adquisicin.
Procedimientos.
Organizar el departamento de informtica.
Descripcin de las funciones y responsabilidades dentro del departamento.
Polticas de personal.
Asignacin de funciones y responsabilidades.
Asegurar que la direccin revisa todos los informes de control y resuelve las excepciones que ocurran.
Asegurar que existe una poltica de clasificacin de la informacin.
Designar oficialmente la figura del Control Interno Informtico y de la Auditora Informtica.

informticos.
B. Controles sobre desarrollo, adquisicin y mantenimiento de sistemas de
informacin. Estos controles se utilizan para que se puedan alcanzar la eficacia del sistema, economa y
eficiencia, integridad de los datos, proteccin de los recursos y cumplimiento con las leyes y regulaciones. Se
compone de:
Metodologa del ciclo de vida del desarrollo de sistemas (como especificaciones, estndares de pruebas,
pases a produccin, roll-back, etc.).
Explotacin y mantenimiento.
C. Controles sobre la explotacin de los sistemas de informacin.

Planificacin y gestin de recursos.
Presencia de personal en momentos crticos (calendario personal).
Reparto de costes informticos a la organizacin.
Controles propios (por ejemplo, accesos muy restringidos al host).
Revisiones tcnicas preceptivas.
Controles para usar de manera efectiva los recursos en computadoras.
Procedimientos de seleccin del software del sistema, de instalacin, de mantenimiento, de seguridad y
de control de cambios.
Seguridad fsica y lgica.
informticos.
D. Controles sobre las aplicaciones.
Cada aplicacin debe llevar controles incorporados para garantizar la entrada, actualizacin, y mantenimiento
de los datos:
Control de entrada de datos (validaciones, conversiones, formatos, procedencias, etc.).

Controles de tratamiento de datos (sobre usos no previstos).
Controles de salida de datos (validaciones, conversiones, formatos y procedencias ms seguridad).
E. Controles especficos de ciertas tecnologas.

Controles en Sistemas de Gestin de Bases de Datos.
Controles en informtica distribuida y redes.
Controles sobre computadoras personales (ofimtica) y redes de rea local.
Controles conexiones OPEN <-> HOST.

informticos.
F. Controles de Calidad.
Existencia de un Plan General de Calidad basado en el Plan de la Entidad a Largo Plazo, y el Plan a Largo
Plazo de Tecnologa.
Esquema general de garanta de calidad: debe abordar todos los mbitos empresariales, no slo los de TI.
Compatibilidad de la revisin de garanta de calidad con las normas y procedimientos habituales en las
distintas funciones de Informtica.
Metodologa de desarrollo de sistemas.
Actualizacin de la metodologa de desarrollo de sistemas respecto a cambios en la tecnologa.
Coordinacin y comunicacin.
Relaciones con proveedores que desarrollan sistemas.
Normas de documentacin de programas.
Normas de pruebas de programas.
Normas respecto a la prueba de sistemas.
Pruebas piloto o en paralelo.
Documentacin de las pruebas de sistemas.
Evaluacin del cumplimiento de garanta de calidad de las normas de desarrollo.

informticos.
Criterios aplicables a un sistema de controles internos informticos.
Polticas de respaldo.
Los respaldos de la informacin deben realizarse mensual, semanal o diario, y se deben observar los siguientes
puntos:
- Contar con polticas formales por escrito para efectuar los respaldos mensuales, semanales y diarios de la
informacin.
- Todos los medios magnticos de respaldo no deben estar almacenados en un mismo lugar en caso de
contingencia.
- Debe tenerse acceso restringido al rea en donde se tienen almacenados los medios magnticos (operacin
y respaldo).
- Identificar las cintas por fechas, concepto y consecutivo.
- Se debe contar con una poltica que indique los procedimientos a seguir en cuanto al almacenamiento de
cintas de respaldo y se pueda tener acceso las 24 horas. Para que el responsable pueda mantener
actualizada la informacin vital de la organizacin. El hecho de no contar con estas polticas de respaldo
puede provocar que no se sigan los procedimientos adecuados para los respaldos, que haya riesgo de
prdida de la informacin y de no tener disponibilidad inmediata a la informacin de respaldo para darle
continuidad.

informticos.
Polticas y procedimientos.
Las polticas existentes debe estar actualizadas en todas las actividades, estar debidamente documentadas y ser
del conocimiento del personal. No contar con polticas y procedimientos actualizados que rijan la administracin
del rea de sistemas podra ocasionar:
- Administracin inadecuada de la operacin.
- Relajamiento en el cumplimiento de las obligaciones del personal.
- Inadecuada divisin de labores.
Las polticas y procedimientos deben incluir los siguientes puntos:
- Seguridad de la informacin (fsica y lgica).
- Adquisicin de hardware y software.
- Operacin de centro de cmputo.
Es recomendable que se documenten todos los procedimientos, las normas y polticas por escrito en manuales
de operacin. Al proceder de esta manera, se obtendrn las siguientes ventajas:
- Se tiene una base uniforme, estable y formal para capacitacin, consulta y supervisin.
- Rotacin del personal.
- Responsabilidad individual de los participantes en una operacin.

informticos.
Polticas de revisin de bitcora (soporte tcnico).
Deben existir bitcoras de operacin en las que se registren los procesos realizados, los resultados de su
ejecucin, la concurrencia de errores, los procesos ejecutados en el equipo y la manera en que concluyeron. No
contar con una poltica de revisin de las bitcoras de operacin de los diferentes procesos pueden ocasionar
problemas como:
- Carecer de bases para el rastreo de errores de procedimiento.
- Falta de parmetros de evaluacin respecto al funcionamiento del equipo y del departamento de sistemas.
- Ausencia de controles en cuanto a registro de seguimiento de problemas.
- Falta de parmetro para determinar las causas de una falla significativa en el sistema y corregirlo.
- Dependencia del personal para soluciones de errores.
- Los errores pueden presentarse en forma recurrente y no ser detectados, provocando prdidas de tiempo
en la correccin.
- Puede presentarse una prdida de tiempo al no programarse adecuadamente las funciones, lo que tiene
como consecuencia una confusin en el rea respecto a los procesos que ya se realizaron y los que se deben
de realizar.

informticos.
Control de las licencias de software.
Todas las organizaciones deben de tener un inventario de las licencias del software actualizado, que asegure que
toda la paquetera y software en general sea legal y est amparada por una licencia.
Al no contar con las licencias correspondientes, no se puede exigir al proveedor del servicio de soporte o
actualizacin de software.
Por ello es muy importante:
- Actualizar el inventario de hardware y software verificando que este ltimo este amparado por una licencia.
- En caso de no contar con licencias, e necesario contactar el proveedor del software o del paquete en
cuestin para actualizarlas o adquirirlas.
- Elaborar un plan verificador de software, para que no se instale paquetera pirata.
- Designar una forma responsable del rea de informtica para guardar y tener actualizadas las licencias.
- Promover un plan de concientizacin entre el personal con el fin de que no se instale paquetera pirata en
las mquinas propiedad de la empresa y aplicar sanciones.

informticos.
Polticas de seguridad fsica.
Las instalaciones deben ser las adecuadas para asegurar el buen funcionamiento y continuidad necesaria en las
operaciones. Deben existir polticas y procedimientos que describan los aspectos de seguridad fsica mnimos
que deben de regir dentro del departamento de sistemas.
Por tal motivo, durante la visita a las instalaciones se debe observar los siguientes puntos:
- El acceso al sitio debe estar restringido por una puerta, la cual contar con una chapa adecuada de
seguridad, o con un dispositivo electrnico de control de acceso.
- Se debe tener dispositivos adecuados de deteccin de humo, as como aspersores de calor para la extincin
de incendios, adems de contar con extintores.
- Se debe tener proteccin en los servidores para que no puedan ser desconectados accidentalmente y
provocar serios daos.
- Deben existir documentos y carteles que indiquen las normas de seguridad mnima que deben de
observarse al estar en el sitio.
- El personal operativo no debe permitir el acceso a personal ajeno.
- No conectar a la toma de corriente donde estn los equipos de cmputo y los servidores los aparatos de
limpieza.
- Los equipos elctricos, interruptores o de comunicacin, no deben estar al alcance de cualquier persona.

informticos.
Plan de contingencias.
Debe existir un plan de contingencias que permita que los sistemas sigan funcionando en caso de algn siniestro
o huelga. Un plan de contingencia puede asegurar que se est preparado para enfrentar imprevistos y desastres
de cualquier ndole, asegurando una continuidad en la operacin de los sistemas de cmputo. Con la
importancia y dependencia que se tiene de las computadoras, una prdida de informacin o la imposibilidad
potencial para procesarla originada por una contingencia puede ser significativa.
Se sugiere la revisin del plan de contingencias para que contenga los siguientes controles:
- Delegacin de funciones y entrenamiento de personal.
- Resumen de actividades a seguir en caso de contingencias.
- Estudio detallado de las que tienen ms posibilidad de ocurrir y los impactos que cada una de stas
ocasionara (de acuerdo a la zona geogrfica).
- Realizar un estudio de tiempo estimado de restablecimiento de operaciones de acuerdo a una determinada
contingencia, as como un estudio de consecuencias potenciales que se desprenderan por la inoperatividad
de los sistemas.

informticos.
Plan de contingencias.
Se sugiere la revisin del plan de contingencias para que contenga los siguientes controles (continuacin):
- Identificar las aplicaciones y archivos de datos crticos para la operacin de los servicios computacionales,
as como determinar las prioridades de restablecimiento de stos. Se deben incluir especificaciones de
hardware y software, tiempo de procesamiento, programas, archivos y documentacin de programas y
operacin.
- Promover los lineamientos necesarios para el restablecimiento de operaciones a partir de los respaldos de
informacin.
- Desarrollo de pruebas peridicas del plan de contingencia, as como el establecimiento de niveles de
autoridad y responsabilidades para garantizar el buen resultado de la prueba.
- Establecer procedimientos y responsabilidades para mantener el plan de contingencia.
- Establecimiento de procedimientos manuales de operacin por parte de los usuarios para establecer
operaciones mientras se recuperan los sistemas
- Lineamientos para garantizar que dicho plan sea aprobado y actualizado peridicamente.
- El plan de contingencias, revisado y aprobado, debe ser distribuido a cada una de las reas de la divisin de
informtica de la empresa y ser dado a conocer a todo el personal que labora en ellas.

informticos.
Ejemplo (anlisis de elementos de un control interno) El control de acceso.
El control de acceso es un conjunto de procedimientos administrativos formado por mecanismos fsicos y lgicos
utilizados para proteger los sistemas de informacin y las infraestructuras, y permitir el acceso solamente a las
personas autorizadas. Varios factores influyen sobre el tipo de control del acceso fsico utilizado, incluyendo el
tamao de la empresa, su ubicacin y la naturaleza de las actividades que se llevan a cabo en la misma.
Algunos ejemplos de reas tecnolgicas o fsicas que deben controlarse por medio del control de acceso son:
Los sistemas operativos.
Los dispositivos para copias de seguridad.
Las aplicaciones informticas especficas.
Las puertas de entrada y salida.
Existen varios tipos de tarjetas utilizadas para el control de acceso fsico.
Para visitantes: Pase de acceso temporario.
Para empleados y, en algunos casos, asociados de negocios: Tarjeta de identificacin con foto, tarjeta con banda
magntica, tarjeta con cdigo de barras, tarjeta de proximidad, tarjeta inteligente.
En general, los requisitos son: Registrar la hora de llegada y de partida de los visitantes; solicitar a un empleado que
acompae al visitante en el edificio; solicitar a los empleados que lleven sus tarjetas de identificacin, se las
muestren a los guardias de seguridad o las usen como dispositivos electrnicos de control de acceso (ejemplos:
tarjeta de acceso, caractersticas de las tarjetas con NIP o con elementos biomtricos).

informticos.
Ejemplo (anlisis de un control interno) El control de acceso.
Verificacin
Etapas del control

de acceso
Autorizacin

informticos.
Autenticacin
Etapas del control

de acceso
Autorizacin

informticos.
Verificacin
Autenticacin
Etapas del control

de acceso

Bibliografa.
El contenido de la presentacin es un resumen obtenido de los temas desarrollados en los siguientes libros:
LIBRO: AUDITORIA EN SISTEMAS COMPUTACIONALES.

AUTOR: CARLOS MUOZ RAZO.
AO PUBLICACION: 2002.
EDITORIAL: PRENTICE HALL.
LIBRO: AUDITORIA EN INFORMATICA.

AUTOR: JOSE ANTONIO ECHENIQUE.
AO: 2001.
EDITORIA: McGRAW HiLL.

UNIDAD I - AMBITO DE DESARROLLO DE LA
AUDITORIA INFORMATICA
Universidad de El Salvador | Auditora de Sistemas - AUS115

Aus115 Unidad I

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Aus115 Unidad I

Transféré par

Droits d'auteur :

Formats disponibles

UNIDAD I - AMBITO DE DESARROLLO DE LA

Terminologa y generalidades de la auditoria informtica.

Tcnicas de auditora informtica asistida por computadoras TAACs.

Universidad de El Salvador | Auditora de Sistemas - AUS115 UNIDAD I

En tiempos histricos, auditor era aquella persona a quien le lean los

La actividad del auditor nace formalmente, como consecuencia al

Universidad de El Salvador | Auditora de Sistemas - AUS115 UNIDAD I

Es la revisin independiente de alguna actividad o algunas actividades, funciones especificas, resultados u

Universidad de El Salvador | Auditora de Sistemas - AUS115 UNIDAD I

Lugar de Aplicacin Interna y externa.

Marco de Accin Correctivas, preventivas y optimizacin.

Financiera, administrativa, operacional, integral, gubernamental

Mdica, desarrollo de obras y construcciones, fiscal, laboral,

Informtica, con la computadora, sin la computadora, a la

Universidad de El Salvador | Auditora de Sistemas - AUS115 UNIDAD I

Universidad de El Salvador | Auditora de Sistemas - AUS115 UNIDAD I

Integridad de datos (los datos de mantener consistencia y no duplicarse).

Universidad de El Salvador | Auditora de Sistemas - AUS115 UNIDAD I

El cumplimiento de los planes, programas, polticas, normas y

La proteccin de los activos y dems recursos, incluyendo

El conocimiento, por parte de la direccin superior, del grado

Universidad de El Salvador | Auditora de Sistemas - AUS115 UNIDAD I

El alcance ha de definir con precisin el entorno y los lmites en que va a

El alcance ha de figurar expresamente en el informe final, de modo que

Se comprobar que los controles de validacin de

Universidad de El Salvador | Auditora de Sistemas - AUS115 UNIDAD I

El campo de accin de la auditora informtica es:

Universidad de El Salvador | Auditora de Sistemas - AUS115 UNIDAD I

Objetivos del departamento, direccin o gerencia.

Metas, planes, polticas y procedimientos de procesos electrnicos y estndares .

Organizacin del rea y su estructura orgnica.

Funciones y niveles de autoridad y responsabilidad del rea de procesos electrnicos.

Integracin de los recursos materiales y tcnicos.

Costos y controles presupuestales.

Controles administrativos del rea de procesos electrnicos.

Universidad de El Salvador | Auditora de Sistemas - AUS115 UNIDAD I

Control de asignacin de trabajo.

Control de medios de almacenamiento masivos.

Control de otros elementos de computo.

Control de medios de comunicacin.

Orden en la unidad informtica.

Universidad de El Salvador | Auditora de Sistemas - AUS115 UNIDAD I

Universidad de El Salvador | Auditora de Sistemas - AUS115 UNIDAD I

Universidad de El Salvador | Auditora de Sistemas - AUS115 UNIDAD I

Universidad de El Salvador | Auditora de Sistemas - AUS115 UNIDAD I

Universidad de El Salvador | Auditora de Sistemas - AUS115 UNIDAD I

Instrumentos de recopilacin de datos:

Universidad de El Salvador | Auditora de Sistemas - AUS115 UNIDAD I

Terminologa y generalidades de la auditoria informtica.

Tcnicas de auditora informtica asistida por computadoras TAACs.

Universidad de El Salvador | Auditora de Sistemas - AUS115 UNIDAD I

Universidad de El Salvador | Auditora de Sistemas - AUS115 UNIDAD I

Universidad de El Salvador | Auditora de Sistemas - AUS115 UNIDAD I

Universidad de El Salvador | Auditora de Sistemas - AUS115 UNIDAD I

Ejemplos de las formas tradicionales que existen en un proceso manual y las

Universidad de El Salvador | Auditora de Sistemas - AUS115 UNIDAD I

Universidad de El Salvador | Auditora de Sistemas - AUS115 UNIDAD I

Universidad de El Salvador | Auditora de Sistemas - AUS115 UNIDAD I

Universidad de El Salvador | Auditora de Sistemas - AUS115 UNIDAD I

Terminologa y generalidades de la auditoria informtica.

Tcnicas de auditora informtica asistida por computadoras TAACs.

Universidad de El Salvador | Auditora de Sistemas - AUS115 UNIDAD I

Similitudes entre Control Interno y Auditora