EVALUACIÓN DE CONTROLES

BLEYDI ALEJANDRA RIVEROS TRASLAVIÑA

MARIO ANTONIO AVENDAÑO BELTRÁN
JOSE GEOVANNY CHAVARRO MÁRTINEZ

FUNDACIÓN UNIVERSITARIA PANAMERICANA

FACULTAD DE INGENIERÍA
BOGOTA D.C
2016
 EVALUACIÓN DE CONTROLES

BLEYDI ALEJANDRA RIVEROS TRASLAVIÑA

MARIO ANTONIO AVENDAÑO BELTRÁN
JOSE GEOVANNY CHAVARRO MÁRTINEZ

MARIO GORDILLO MOLANO

FUNDACIÓN UNIVERSITARIA PANAMERICANA

FACULTAD DE INGENIERÍA
BOGOTA D.C
2016
TABLA DE CONTENIDO
1. Introducción.
2. Evaluación de controles.
2.1. Controles de autenticidad.
2.2. Controles de exactitud.
2.3. Controles de totalidad.
2.4. Controles de redundancia.
2.5. Controles de privacidad.
2.6. Controles de pistas de auditoria.
2.7. Controles de existencia.
2.8. Controles de protección de activos.
2.9. Controles de efectividad.
2.10. Controles de eficiencia.
3. Pruebas de Controles.
3.1. Pruebas de cumplimiento.
3.2. Pruebas de control.
3.3. Pruebas analíticas.
3.4. Pruebas sustantivas.
3.5. Pistas de auditoria informática.
3.6. Pruebas online.
3.7. Pruebas de informe de excepciones.
3.8. Pruebas de cambios a datos permanentes.
4. Análisis de las pruebas de resultados.
5. Conclusiones.
6. Bibliografía.
 1. INTRODUCCIÓN.

A lo largo de las ultimas décadas, la auditoria informática se ha convertido en una

herramienta de apoyo para la revisión del desarrollo de los procesos en el área de sistemas
de cualquier Organización, tomando como referencia la información la cual cada vez cobra
mas valor e importancia dentro de la misma, considerándose así como el activo fijo
intangible de las empresas. Teniendo en cuenta que la información de una compañía tiene
un costo incalculable en caso de perdida, la auditoria de sistemas se encarga de la revisión
y la evaluación de los controles, procedimientos de la información, así como también de los
equipos de computo, su utilización y seguridad con el propósito de brindar una mayor
eficiencia en la utilización de la información, para bien de la organización.

La auditoria de sistemas no solo implica revisar la parte física de un centro de computo sino
que también se debe evaluar y verificar los sistemas de información que se relacionan de
una u otra forma con la organización, desde sus entradas, procedimientos, rutinas, hasta
sus archivos, reportes y log de eventos generados por dichos sistemas.

Para para evaluar los procedimientos de un departamento de sistemas de una organización,

se debe tener en cuenta una serie de controles los cuales servirán de ayudar para verificar
que los procedimientos que se tienen establecidos se cumplan a cabalidad según lo
estipulado en cada procedimiento. Así mismo se debe realizar pruebas las cuales
corroboren y confirmen que las políticas establecidas dentro del área se estén ejecutando
según lo indique la norma.

A continuación se detallara un poco más acerca de los controles utilizados en la auditoria,

como también los tipos de pruebas y su respectivo análisis el cual será determinante para
evidenciar si se están ejecutando correctamente los procedimientos o no.
 2. EVALUACIÓN DE CONTROLES

La evaluación de controles se realiza con el fin de determinar si son confiables como fuente
de satisfacción de auditoria, la cual comprende:

 Identificación de los controles claves.

 Reconsideración de la evaluación inicial del riesgo de control.
 Evaluación de las debilidades.
Los principales controles a evaluar son:
2.1. Controles de autenticidad: Son los controles que permiten identificar la identidad
de un usuario o un proceso que va a realizar un evento en el sistema; ejemplo,
contraseñas, número de identificación personal, etc.
2.2. Controles de exactitud: Son aquellos que aseguran el grado de corrección de los
datos y los procesos de un sistema; ejemplo, validación de exceso en campos,
conteo de registros, etc.
2.3. Controles de totalidad: Con estos controles se determina que no se omita ningún
dato y que el proceso se realice completamente hasta llegar al final; ejemplo,
validación de campos en blanco, validación de secuencia de registros, etc.
2.4. Controles de redundancia: Se encargan de asegurar que el procesamiento de los
registros se realice una sola vez; ejemplo, registro al sistema, verificación de
secuencia de registros, etc.
2.5. Controles de privacidad: Son los controles que se encargan de garantizar la
seguridad de los datos y su privacidad; ejemplo, contraseñas, inscripción de datos,
etc.
2.6. Controles de pista de auditoria: Estos controles permiten llevar un registro de los
procesos que se realizaron en el sistema, tal y como sucedieron.
2.7. Controles de existencia: Permiten garantizar la disponibilidad de los recursos del
sistema; ejemplo, procedimientos de recuperación, duplicación de hardware, etc.
2.8. Controles de protección de activos: Son aquellos controles que se encargan de
asegurar que todos los recursos del sistema estén protegidos contra daños y
destrucción; ejemplo, extinguidores, contraseñas, etc.
2.9. Controles de efectividad: Permiten asegurar que el sistema cumpla el objetivo;
ejemplo, encuestas de satisfacción al cliente, medición de los niveles de servicios,
etc.
2.10. Controles de eficiencia: Estos controles garantizan que se haga uso adecuado y
optimo de los recursos del sistema; ejemplo, bitácora de uso de recursos, análisis
costo – beneficio, etc.
 3. PRUEBAS DE CONTROLES

Son técnicas o procedimientos que utiliza el auditor para la obtención de evidencia

comprobatoria.

3.1. Pruebas de cumplimiento.

El objetivo para esta prueba es determinar si el control es el adecuado y si dicho control se
esta aplicando de acuerdo a lo establecido por el área de sistemas. Para determinar si se
esta cumpliendo a cabalidad, el auditor se debe de apoyar en la documentación de los
procedimientos, para el caso de los sistemas de información se debe apoyar en los
manuales de usuario, manuales técnicos de instalación, en la documentación de los
controles de cambios en dado caso de que los haya, en el set de pruebas por parte de los
usuarios, en las actas de aceptación, copias de seguridad y respaldo, entre otros.

3.2. Pruebas de control.

Las pruebas de control representan procedimientos de auditoría diseñados para verificar si

el sistema de control interno del cliente está siendo aplicado de acuerdo a la manera en que
se le describió al auditor y de acuerdo a la intención de la gerencia.

3.3. Pruebas analíticas.

Se utilizan haciendo comparaciones entre dos o más estados de uno o varios sistemas o
haciendo un análisis de varias entidades para observar su comportamiento.

3.4. Pruebas sustantivas.

El objetivo de esta prueba es determinar el grado de certeza de los procesos que se

ejecutan dentro del área. Dentro de estas pruebas se destacan las siguientes:

 Pruebas para evaluar integridad en los datos

 Pruebas para identificar datos inconsistentes
 Pruebas para comparar resultados en diferentes ambientes.
 Pruebas para identificar procesos erróneos.

3.5. Pistas de auditoria informática.

Estas pruebas están relacionadas con la ejecución y operación de los sistemas de
información, así mismo se debe guardar evidencia de las mismas como soporte para el
auditor. Algunas de estas pruebas son:
  Autenticidad del usuario en el sistema.
 Privilegios acordes al perfil enrolado.
 Identificación de la terminal donde se logueo.
 Numero de intentos antes de lograr conexión exitosa.

3.6. Pruebas online.

Se usan en sistemas interactivos en donde se verifican que los registros se actualicen en
tiempo real, sin la intervención del usuario.

3.7. Pruebas de informe de excepciones.

Estas pruebas se hacen para verificar que los controles de validación por excepción sean
las correctas, mediante el procesamiento de las pruebas que contengan errores a propósito,
estas excepciones deben funcionar para que las pruebas sean exitosas,

3.8. Pruebas de cambios a datos permanentes.

Estas pruebas permiten confirmar si que la información que es de solo lectura no se pueda
modificar y/o el impedimiento a modificaciones no autorizadas o erróneas.

4. ANÁLISIS DE LAS PRUEBAS DE RESULTADOS.

Para realizar el análisis de los resultados de las pruebas, estas se debe recopilar por:

Los papeles de trabajo

Es la documentación que mantiene el auditor sobre los procedimientos aplicados, sobre las
comprobaciones parciales realizadas y sobre las conclusiones alcanzadas después del
examen. En resumen, constituyen la totalidad de los documentos preparados o recibidos
por el auditor.
En las normas técnicas de auditoría se establecen los objetivos principales de los papeles
de trabajo, que son los siguientes:

 Recoger la evidencia obtenida en la ejecución del trabajo, y también la descripción

de los medios que han conducido a formar la opinión del auditor.
 Ser útiles para efectuar la supervisión del trabajo del equipo de auditoría.
 Ayudar al auditor en la ejecución de su trabajo.
 Ser útiles para sistematizar y perfeccionar el desempeño de futuras auditorías,
 Hacer posible que cualquier persona capacitada pueda supervisar la actuación
realizada.
Figura 1.

Figura 2.

Figura 3.
El objetivo de estos procedimientos es identificar riesgos, amenazas y controles.

Identificar riesgos

 Pérdida de información.
 Pérdidas económicas por uso indebido de la aplicación.
 Daño en los recursos de una aplicación (hardware, software, datos y
comunicaciones).
 Multas o sanciones.
 Interrupciones prolongadas en las operaciones del negocio.

Identificar amenazas

 Falta de segregación de funciones.

 Mantenimiento deficiente de los equipos.
 Mantenimiento deficiente de la aplicación.
 Accesos inadecuados a los datos y programas.
 Falta de capacitación a los usuarios.
 Cálculos incorrectos.
 Ausencia o desactualización del plan de contingencias.

Identificar controles requeridos en cuanto a los riesgos y amenazas

 Copias internas y externas de datos y programas.

 Acceso restringido a los datos y programas.
 Procedimiento para otorgar y eliminar los accesos a los datos y programas.
 Bitácoras de auditoria (log´s) y la revisión periódica de éstas.
 Pólizas de seguro para los equipos.
 Manuales de la aplicación completos y actualizados.
 Estándares para el desarrollo y mantenimiento de las aplicaciones.
 5. CONCLUSIONES

 Mediante la evaluación de controles se puede verificar el cumplimiento de los

procedimientos, según lo establecido por las organizaciones.
 Las pruebas nos ayudan a verificar y comprobar que tan certeramente se están
cumpliendo con los procedimientos establecidos.
 Es importante la verificación y el análisis de los resultados obtenidos, ya que por
medio de estos se toman las decisiones sobre la auditoría aplicada.
 6. BIBLIOGRAFÍA.

[1] Manual de Auditoria Gubernamental – Contraloría General de la Republica – Auditoria

Informática – Managua – Nicaragua. Julio de 2009.