1

TRABAJO NO .4
AUDITORIA INFORMTICA

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA

FACULTAD DE CIENCIAS ECONMICAS
ESCUELA DE CONTADURA PBLICA Y AUDITORA
SEMINARIO DE CASOS DE AUDITORIA

PRESENTADO A:
LIC. CARLOS ROBERTO MAURICIO GARCA.
AUXILIAR ERWIN R. CANO DIVAS.
22 DE OCTUBRE DEL 2015

CARN

INTEGRANTES DEL GRUPO 4

SALN 101 S-3

200812792

ARLIN IVONNE CASTAEDA JUANTA.

200912425

ANA MARA OROZCO MAURICIO.

200912500

FREDY ESTUARDO OLMINO ZEPEDA.

200912508

HCTOR ABEL REYES ALECIO.

200912536

EDGAR REN XAJPOT BATZ.

200913302

AURA MARITZA AYALA RODAS.

200913782

EDGAR EDUARDO RODRGUEZ RODRGUEZ.

201010676

SILVIA PATRICIA MAZARIEGOS HERNNDEZ.

201010903

SERAFINA LPEZ LPEZ.

201022062

MARCO ANTONIO DE LEN XILOJ.

201120737

OBDULIO DARO LPEZ CHVEZ.

NDICE
Pagina
INTRODUCCIN...................................................................................................................I
AUDITORA INFORMTICA..................................................1
1.1

ANTECEDENTES1

1.2

DEFINICIN.2

1.3

ALCANCE........3

1.4

IMPORTANCIA3

1.5

OBJETIVOS DE LA AUDITORIA INFORMTICA.4

1.6 CLASIFICACIN DE TIPOS DE AUDITORIA.5

2. TERMINOLOGA UTILIZADA EN LA AUDITORIA INFORMTICA......................10
3. MARCO ESQUEMTICO DE LA AUDITORIA INFORMTICA..............................13
4. METODOLOGAS PARA REALIZAR AUDITORIA INFORMTICA........................16
4.1 Primera Etapa: Planeacin17
4.2 Segunda Etapa: Ejecucin De La Auditoria.18
5. PRINCIPALES PRUEBAS Y HERRAMIENTAS PARA REALIZAR UNA AUDITORIA
INFORMTICA...................................................................................................................19
5.1Principales Pruebas..19
5.2 Principales Herramientas....19

6. CONTROLES EN INFORMTICA...............................................................................20
6.1. Controles Preventivos....22
6.2. Controles Detectivos..23
6.3. Controles correctivos..24
7. PARTICIPACIN DEL AUDITOR EN EL DESARROLLO DE SISTEMAS................25
7.1. Su importancia.25
7.2. Su Oportunidad...25
7.3. Aspectos generales.26
CONCLUSIN.....................................................................................................................32
RECOMENDACIN............................................................................................................33
BIBLIOGRAFA..................................................................................................................34

INTRODUCCIN

El auditor informtico ha de velar por la correcta utilizacin de los amplios recursos que la empresa
pone en juego para disponer de un eficiente y eficaz Sistema de Informacin. Claro est, que para
la realizacin de una auditora informtica eficaz, se debe entender a la empresa en su ms amplio
sentido, ya que una Universidad, un Ministerio o un Hospital son tan empresas como una Sociedad
Annima o empresa Pblica. Todos utilizan la informtica para gestionar sus negocios de forma
rpida y eficiente con el fin de obtener beneficios econmicos y de costos.
Los Sistemas Informticos estn sometidos al control correspondiente, o al menos debera estarlo
de ah la importancia de llevar un control de esta herramienta.
En el siguiente trabajo se hace un anlisis de la Auditora Informtica como se puede aplicar en las
empresas, cual es el objetivo, la terminologa utilizada en el tiempo y espacio para la realizacin de
la auditora informtica, su metodologa, y la debida evaluacin de los controles de sistemas, para
poder desarrollar una evaluacin que permita lograr una mejor eficiencia y eficacia en las
actividades.

CAPTULO I

AUDITORA INFORMTICA

1.1 ANTECEDENTES
Para finales del siglo XX, los sistemas informticos se han constituido en las herramientas ms
poderosas para materializar uno de los conceptos ms vitales y necesarios para cualquier
organizacin empresarial, los sistemas de informacin de la entidad.
La informtica hoy por hoy, esta subsumida en la gestin integral de la entidad, y por eso las
normas y estndares propiamente informticos deben estar, por lo tanto, sometidos a los generales
de la misma. En consecuencia, las organizaciones informticos forman parte de lo que se ha
denominado el management o gestin de la empresa. Cabe aclarar que la informtica no gestiona
propiamente la entidad, ayuda a la toma de decisiones, pero no decide por s misma. Por ende,
debido a su importancia en el funcionamiento de una entidad, existe la auditoria informtica.
En 1988, Echenique public su libro Auditora de sistemas, en el cual establece las principales
bases para el desarrollo de una auditora de sistemas computacionales, dando un enfoque tericoprctico sobre el tema.

En 1992, Lee present un libro en el cual enuncia los principales aspectos a evaluar en una
auditora de sistemas, mediante una especie de gua que le indica al auditor los aspectos que debe
evaluar en este campo.

Motivada por lo especializado de las actividades de cmputo, as como por el espectacular avance
que han tenido estos sistemas en los ltimos aos, ha surgido una nueva necesidad de evaluacin
para los auditores, quienes requieren una especializacin cada vez ms profunda en sistemas
computacionales para dedicarse a este tipo de auditoras. Por ello naci la necesidad de evaluar no
solo de los sistemas, sino tambin la informacin, sus componentes y todo lo que est relacionado
con dichos sistemas.

1.2 DEFINICIN
Es conocida como auditoria de sistemas, teniendo como objetivo evaluar sistemas informticos en
forma integral, los procedimientos y seguridad de los equipos electrnicos o hardware de los
programas o software que posea la empresa sean propios o de modalidad de servicios (Razo)pag2532. Analiza la actividad que se conoce como tcnica de sistemas en todas sus facetas. Hoy, la
importancia creciente de las telecomunicaciones ha propiciado que las comunicaciones, Lneas y
redes de las instalaciones informticas, se auditen por separado, aunque formen parte del entorno
general de sistemas
Es el conjunto de tcnicas, procedimientos y actividades, destinadas a analizar y evaluar el
funcionamiento de los sistemas informticos de un ente, por lo que comprende un examen
metdico y puntual, con el propsito de mejorar aspectos como: control y seguridad de sistemas
informticos; cumplimiento de la normativa tecnolgica del ente; control de los planes de
contingencia; eficacia y rentabilidad
en el manejo de sistemas.

1.3 ALCANCE
El alcance ha de definir con precisin eL entorno y los limites en que va a desarrollarse la
auditoria informtica, se completa con los objetivos de esta (Lucas Morea). El alcance ha de
figurar expresamente en el informe final, de modo que quede perfectamente determinado no
solamente hasta que puntos se ha llegado, sino lo que se esperar lograr con el resultado de la
auditoria

1.4 IMPORTANCIA
Detecta de forma sistemtica el uso de los recursos y los flujos de informacin dentro de una
organizacin y determina qu informacin es crtica para el cumplimiento de su misin y objetivos,
identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de
informacin eficientes (Lucas Morea).Permite a travs de una revisin independiente, la
evaluacin de actividades, funciones especficas resultados u operaciones de una organizacin con
el fin de evaluar su correcta realizacin.
Es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que
consiste en recoger, agrupar u evaluar evidencias para determinar si un Sistema de informacin
salvaguarda el activo empresaria, mantiene la integridad de los datos, lleva a cabo eficazmente los
fines de la organizacin, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones
establecidas. Los principales puntos por lo que es importante realizar esta auditora son, la alta
sistematizacin, las nuevas tecnologas, la automatizacin de los controles, integracin de
informacin y su importancia.

1.5 OBJETIVOS DE LA AUDITORIA INFORMTICA

La evaluacin a los sistemas computacionales, a la administracin del centro de cmputo, el
desarrollo de proyectos informticos, a la seguridad de los sistemas computacionales y a todo lo
relacionado con ellos, ser considerada bajo los siguientes objetivos (Razo)pag122, 140:

Realizar una evaluacin con el personal multidisciplinario y capacitado en el rea de

sistemas, con el fin de emitir un informe independiente sobre las razonabilidad de las

operaciones del sistema y la gestin administrativa del rea de informtica.

Hacer una evaluacin sobre el uso de los recursos financieros en las reas del centro de
informacin, as como del aprovechamiento del sistema computacional, sus equipos

perifricos e instalaciones.
Evaluar el uso y aprovechamiento de los equipos de cmputo, sus perifricos, las
instalaciones y mobiliario del centro de cmputo, as como el uso de los recursos tcnicos y

materiales para el procesamiento de informacin.

Evaluar el aprovechamiento de los sistemas de procesamiento, sus sistemas operativos, los
leguajes, programas y paqueteras de aplicacin y desarrollo, as como el desarrollo e

instalacin de nuevos sistemas.

Evaluar el cumplimiento de planes, programas, estndares, polticas, normas y lineamientos
que regulan las funciones y actividades de las reas y de los sistemas de procesamiento de

informacin, as como de su personal y de los usuarios del centro de informacin.

Realizar la evaluacin de las reas, actividades y funciones de una empresa, contando con el
apoyo de los sistemas computacionales, de los programas especializados para auditoria y de
la paquetera que sirve de soporte para el desarrollo de auditoras por medio de la
computadora.

Objetivos especficos de la auditora de sistemas computacionales es la determinacin, en forma

detallada, de los fines que se pretenden alcanzar con la

Auditora de sistemas, sealando concretamente las reas a evaluar y, especficamente, los

sistemas, componentes o elementos concretos que deben ser evaluados.

1.6 CLASIFICACIN DE TIPOS DE AUDITORIA

A continuacin se presenta la clasificacin y definiciones de auditora informtica, las cuales se
aplican a diferentes reas y disciplinas del ambiente informtico (Razo)pag83, 92. La clasificacin
y definiciones de auditoria informtica son:

Auditoria informtica
Auditoria con la computadora
Auditoria sin la computadora
Auditoria a la gestin informtica
Auditoria al sistema de computo
Auditoria alrededor de la computadora
Auditoria de la seguridad de sistemas computacionales
Auditoria a los sistemas de redes
Auditora integral a los centros de computo
Auditoria ISO-9000 a los sistemas computacionales
Auditoria outsourcing
Auditoria ergonmica de sistemas computacionales

Auditoria Informtica
Es la revisin tcnica, especializada y exhaustiva que se realiza a los sistemas computacionales,
software e informacin utilizados en una empresa, sean individuales, compartidos y/o de redes, as
como a sus instalaciones, telecomunicaciones, mobiliario, equipos perifricos y dems
componentes.
Auditoria Con La Computadora

Es la auditoria que se realiza con el apoyo de los equipos de cmputo y sus programas para evaluar
cualquier tipo de actividades y operaciones, no necesariamente computarizado, pero si susceptibles
de ser automatizados; dicha auditoria se realiza tambin a las actividades del propio centro de
sistemas y a sus componentes.
Auditoria sin la computadora
Es la auditoria cuyo mtodos, tcnicas y procedimientos estn orientados nicamente a la
evaluacin tradicional del comportamiento y validez de las transacciones econmicas,
administrativas y operacionales de un rea de computo, y en s de todos los aspectos que afectan a
las actividades en las que se utilizan sistemas informticos, pero dicha evaluacin se realiza sin el
uso de los sistemas computacionales. Es tambin la evaluacin tanto a la estructura de
organizacin, funciones y actividades de funcionarios y personal de un centro de cmputo, as
como de los perfiles de sus puestos, como de los reportes, informes, y bitcoras de los sistemas, de
la existencia y aplicacin de planes, programas y presupuestos en dicho centro, as como del uso y
aprovechamiento de todos los recursos informticos para la realizacin de las actividades,
operaciones y tareas.
Auditoria A La Gestin Informtica
Es la auditoria cuya aplicacin se enfoca exclusivamente a la revisin de las funciones y
actividades de tipo administrativo que se realiza dentro de un centro de cmputo, tales como la
planeacin, organizacin, direccin y control de dicho centro. Esta auditoria se realiza tambin con
el fin de verificar el cumplimiento de las funciones y actividades asignadas a los funcionarios,
empleados y usuarios de las reas de sistematizacin, as como para revisar y evaluar las

operaciones del sistema, el uso y proteccin de los sistemas de procesamiento, los programas y la
informacin.
Auditoria al sistema de cmputo
Es la auditora tcnica y especializada que se enfoca nicamente a la evaluacin del
funcionamiento y uso correcto del equipo de cmputo, su hardware, software y perifricos
asociados. Esta auditoria tambin se realiza a la composicin y arquitectura de las partes fsicas y
dems componentes del hardware, incluyendo equipos asociados, instalaciones y comunicaciones
internas o externas, as como el diseo, desarrollo del software de operacin, de apoyo y de
aplicacin, ya sean sistemas operativos, leguajes de procesamiento y programas de desarrollo, o
paquetera de aplicacin institucional que se utiliza en la empresa donde se encuentra el equipo de
cmputo que ser evaluado.
Auditoria alrededor de la computadora
Es la revisin especifica que se realiza a todo lo que est alrededor de un equipo de cmputo, como
sus sistemas, actividades y funcionamiento, haciendo una evaluacin de sus mtodos y
procedimientos de acceso y procesamiento de datos, la emisin y almacenamiento de resultados, las
actividades de planeacin y presupuesto del propio centro de cmputo, los aspectos operacionales
y financieros, la gestin administrativa de acceso al sistema, la atencin a los usuarios y el
desarrollo de nuevos sistemas, las comunicaciones internas y externas y, en s, a todos aquellos
aspectos que contribuyen al buen funcionamiento de un rea de sistematizacin.
Auditoria De La Seguridad De Los Sistemas Computacionales

Es la revisin exhaustiva, tcnica y especializada que se realiza a todo lo relacionado con la

seguridad de un sistema de cmputo, sus reas y personal, as como las actividades, funciones y
acciones preventivas y correctivas que contribuyan a salvaguardar la seguridad de los equipos
computacionales, las bases de datos, redes, instalaciones y usuarios del sistema. Es tambin la
revisin de los planes de contingencia y medidas de proteccin para la informacin, los usuarios y
los propios sistemas computacionales, y en si para todos aquellos aspectos que contribuyen a la
proteccin y salvaguarda en el buen funcionamiento del rea de sistematizacin, sistemas de redes
o computadoras personales, incluyendo la prevencin y erradicacin de los virus informticos.
Auditora Integral A Los Centros De Cmputo
Es la revisin exhaustiva, sistemtica y global que se realiza por medio de un equipo
multidisciplinario de auditores, de todas las actividades y operaciones de un centro de
sistematizacin, a fin de evaluar, en forma integral, el uso adecuado de sus sistemas de cmputo,
equipos perifricos y de apoyo para el procesamiento de informacin de la empresa, as como de la
red de servicios de una empresa y el desarrollo correcto de las funciones de sus reas, personal y
usuarios. Es tambin la revisin de la administracin del sistema, de manejo y control de los
sistemas operativos, leguajes, programas y paqueteras de aplicacin, as como de la administracin
y control de proyectos, la adquisicin del hardware y software institucionales, de la adecuada
integracin y uso de los recursos informticos y de la existencia y cumplimiento de las normas,
polticas, estndares y procedimientos que regulan la actuacin del sistema, del personal y usuarios
del centro de cmputo. Todo esto hecho de manera global por medio de un equipo
multidisciplinario de auditores.
Auditoria ISO-9000 A Los Sistemas Computacionales

Es la revisin exhaustiva, sistemtica y especializada que realizan nicamente los auditores

especializados y certificados en las normas y procedimientos ISO-9000, aplicando exclusivamente
los lineamientos, procedimientos e instrumentos establecidos por esta asociacin. El propsito
fundamental de esta revisin es evaluar, informar y certificar que la calidad de los sistemas
computacionales de una empresa se apegue a los requerimientos ISO-9000.
Auditoria Outsourcing
Es la revisin exhaustiva, tcnica y especializada que se realiza para evaluar la calidad de servicio
de asesora o procesamiento externo de informacin que proporciona una empresa a otra. Esto se
lleva a cabo con el fin de revisar la confiabilidad, oportunidad suficiencia y asesora por parte de
los prestadores de servicio de procesamiento de datos, as como el cumplimiento de las funciones y
actividades que tienen encomendados los prestadores de servicios, usuarios y el personal general.
Auditoria Ergonmica De Sistemas Computacionales
Es la revisin tcnica, especfica y especializada que se realiza para evaluar la calidad, eficiencia y
utilidad del entorno hombre-mquina-medio ambiente que rodea el uso de los sistemas
computacionales en una empresa. Esta revisin se realiza tambin con el propsito de evaluar la
correcta adquisicin y uso de mobiliario, equipos y sistemas, a fin de proporcionar el bienestar,
confort y comodidad que requieren los usuarios de los sistemas de cmputo de la empresa, as
como evaluar la deteccin de los posibles problemas y sus repercusiones, y la determinacin de la
soluciones relacionadas con la salud fsica y bienestar de los usuarios de los sistemas de la empresa.

10

2. TERMINOLOGA UTILIZADA EN LA AUDITORIA INFORMTICA

A continuacin mencionamos algunos de los conceptos ms importantes que se deben de conocer
en la realizacin de una Auditoria Informtica (Piattinni)n.f.:
Informtica: Disciplina apoyada por los mtodos y procedimientos que clasifica y ordena datos
dado un hecho, por medios mecnicos, manuales, electromecnicos y electrnicos, generando
informacin confiable, verificable y oportuna, presentada en algn medio como papel, pantalla,
medios magnticos, que debern contener el significado de los datos y/o smbolos una vez
procesados por cualquier medio, para ser transmitida por canales eficientes para la toma de
decisiones.
Conjunto de conocimientos cientficos y de tcnicas que hacen posible el tratamiento automtico de
la informacin por medio de computadoras. Combina los aspectos tericos y prcticos de la
ingeniera, electrnica, teora de la informacin, matemtica, lgica y comportamiento humano.
Los aspectos de la informtica cubren desde la programacin y la arquitectura informtica hasta la
inteligencia artificial y robtica.

Hardware : Es toda aquella parte de la computadora fsica y tangible.

Software: Es un juego de instrucciones electrnicos que le dicen a la computadora que hacer. Es
decir programas con orientaciones especficas para la administracin de la informacin y el uso
eficiente de los recursos de cmputo.

11

Tipos de software: Son el conjunto de mdulos computacionales o manuales organizados e

interrelacionados de una manera formal para la administracin y uso eficiente de todos los recursos
(humanos, materiales, financieros, tecnolgicos, etc.) de un rea especfica de la organizacin.
Programacin: Es el arte de escribir uno o varios programas en cdigo fuente sin importar el
lenguaje que se utilice; es decir, Fox base, FoxPro, COBOL, etc. Todo esto con la finalidad de crear
aplicaciones financieras, comerciales o industriales que solucione problemas dentro de una entidad.
Estndares de programacin: Es la descomposicin de un sistema en sus elementos para fines de
estudio; es decir es un mtodo deductivo de estudio, que va de lo general a lo particular.
Lenguaje de maquina: Cuando se escribe un programa se le conoce como cdigo de que entienda
un programador, para que una maquina pueda ejecutarlo se debe convertir en lenguaje de maquina
esto significa que se debe compilar un programa para que se convierta en un cdigo que la maquina
entiende por lo general en cdigo binario.
Programa fuente: Es el cdigo que se escribe en un lenguaje que entiende un programador, pero
no lo puede entender la mquina.
Compilar: Es la accin que ejecuta un lenguaje de programacin para convertir un programa
fuente en lenguaje de mquina.
Back-up: Copia de archivos o datos de forma que estn disponibles en caso de que un fallo
produzca la prdida de los originales.
Bombas lgicas: Son programas dainos realizados por los crakers, est especialmente diseados
para destruir o alterar informacin.

12

Bucaneros: Son trata de comerciante, porque venden productos comprados los copy Hackers,
como ltimos programas de aplicacin crackeados. Suelen ser personas sin ningn tipo de
conocimiento en electrnica o informtica, pero s de negocios. El bucanero compra al copy
Hackers y vende el producto bajo un nombre comercial.
Caballo de Troya: Programa informtico que lleva en su interior la lgica necesaria para que el
acreedor del programa pueda acceder al interior del sistema en el que se introduce de manera
subrepticia.
Caja Negra: Tcnicas que examinan el comportamiento de un programa basndose en las
especificaciones de las funciones que deben realizar. Consiste en observar salidas en funcin de
entradas, de modo que esta propiedad presenta ms ventajas que inconveniente.
Confidencialidad: Condicin que asegura que la informacin no puede estar disponible o ser
descubierta por personas, entidades o procesos no autorizados.
Copy hackers: Pertenecen a una nueva generacin de falsificadores. Obtienen lo que les interesa y
se lo venden a alguien sin escrpulos que comercializara el sistema posteriormente.
Crackers: Individuo con amplios conocimientos informticos que desprotege y piratea programas
o produce daos en sistemas o redes. En la realidad son Crackers que se dedican nica y
exclusivamente a destruir sistemas informticos.
Delito informtico: Cualquier acto ilegal ejecutado con dolo para el que es esencial el
conocimiento o uso, propio o ajeno, de la tecnologa informtica, para su comisin, investigacin o
persecucin con la finalidad de beneficiarse con ello.
Gurs: Son los maestros que ensean a los futuros hackers.

13

Riesgo: Proximidad o posibilidad de un dao, peligro, etc. Toda contingencia que pueda tener un
efecto adverso sobre la organizacin, a travs de un impacto en las actividades y/o sistema de
informacin.
Seguridad: Conjunto de garantas que se dan a alguien sobre el cumplimiento de algo.
Servidor: Computador dedicado a gestionar el uso de la red por otras computadoras llamadas
clientes. Contiene archivos que puedan ser accesados desde otros computadores.
Virus: Programa cuyo objetivo es causar daos en un sistema informtico y que se oculta o
disfraza para no ser detectado.
Worm gusano: Son programas que se copian en archivos distintos en cadena hasta crear miles
de rplicas de s mismos y tiene como nica misin la de colapsar cualquier sistema.
Configuraciones de redes: Es la accin de conectar computadoras entre s, logrando la
transferencias de informacin entre cada una de ellas

3. MARCO ESQUEMTICO DE LA AUDITORIA INFORMTICA

Evaluacin a:
Hardware

Plataforma de hardware
Tarjeta madre
Procesadores
Dispositivos perifricos
Arquitectura del sistema
Instalaciones elctricas, de datos y de telecomunicaciones
Innovaciones tecnolgicos de hardware y perifricos

14

Software

Plataforma de software
Sistema operativo
Lenguajes y programas de desarrollo
Programas, paqueteras de aplicacin y bases de datos
Utileras, bibliotecas y aplicaciones
Software de telecomunicacin
Juegos y otros tipos de software

Gestin informtica

Actividad administrativa del rea de sistemas

Operacin del sistema de computo
Planeacin y control de actividades
Presupuestos y gastos de los recursos informticos
Gestin de la actividad informtica
Capacitacin y desarrollo del personal informtico
Administracin de estndares de operacin, programacin y desarrollo

Informacin

Administracin, seguridad y control de la informacin

Salvaguarda, proteccin y custodia de la informacin
Cumplimiento de las caractersticas de la informacin

Diseo de sistemas

Metodologas de desarrollo de sistemas

Estndares de programacin y desarrollo
Documentacin de sistemas

Bases de datos

Administracin de datos
Diseo de bases de datos

15

Metodologas para el diseo y programacin de bases de datos

Seguridad, salvaguarda y proteccin de las bases de datos

Seguridad

Seguridad del rea de sistemas

Seguridad fsica
Seguridad lgica
Seguridad de las instalaciones elctricas, de datos y de telecomunicaciones
Seguridad de la informacin, redes y bases de datos
Administracin y control de las bases de datos
Seguridad del personal informtico
Redes de cmputo
Plataformas y configuracin de las redes
Protocolos de comunicaciones
Sistemas operativos y software
Administracin de las redes de computo
Administracin de la seguridad de las redes
Administracin de las bases de datos de las redes
Especializadas
Outsourcing
Helpdesk
Ergonoma en sistemas computacionales
ISO-9000
Internet
Sistemas multimedia

4. METODOLOGAS PARA REALIZAR AUDITORIA INFORMTICA

La metodologa es una secuencia de pasos lgicos y ordenados de proceder para llegar a un
resultado Echenique G. J.A. (2001)
.

16

4.1 Primera Etapa: Planeacin

El primer paso para realizar una auditoria informtica es definir las actividades necesarias

para su ejecucin, lo cual se lograra mediante una adecuada planeacin.

Identificar el origen de la auditoria: lo primero que se debe saber por qu surge la necesidad

o inquietud de realizar una auditora.

Realizar una visita preliminar al rea que ser evaluada: es recomendable que el auditor
realice una visita preliminar al rea de informtica que ser auditada, justo despus de

conocer el origen de la peticin de la auditoria.

Establecer los objetivos de la auditoria: establecer lo ms claro posible las necesidades de

evaluacin.
Determinar los puntos que sern evaluados en la auditoria: los puntos que deben ser
evaluados debe ser realizado considerando aspectos muy especficos de los sistemas

computacionales.
Elaborar planes, programas y presupuestos: realizar la planeacin formal de la auditoria
informtica, en la cual se concreten los planes, programas y presupuestos para dicha

auditoria.
Identificar los mtodos, herramientas, instrumentos y procedimientos: determinar los
medios y documentos con los cuales se llevara a cabo la revisin a los sistemas de la

empresa.
Asignar los recursos sistemas computacionales para la auditoria: asignar los recursos que
sern utilizados para realizar la auditoria, de acuerdo a los aspectos ya establecidos con
anterioridad.

4.2 Segunda Etapa: Ejecucin De La Auditoria

Est determinado por las caractersticas concretas, los puntos y requerimientos que se estimaron en
la etapa de planeacin.

17

Realizar las acciones programadas: de acuerdo con el programa de auditoria, cada auditor
tiene que realizar las actividades que le corresponden conforme fueron diseados, en la
cronologa que le fue asignada a cada una, y de acuerdo con los tiempos y recursos que le

corresponde utilizar.
Aplicar los instrumentos y herramientas programadas: conforme a la gua de auditoria, se
tienen que utilizar, uno a uno, los instrumentos y herramientas elegidos para llevar a cabo la
evaluacin, ya sea mediante la recopilacin y anlisis de la informacin, la observacin, las

pruebas y simulaciones de los sistemas.

Identificar y elaborar los documentos de desviaciones encontradas: se buscan las posibles
desviaciones y se procede a elaborar los documentos desviaciones, en los cuales se anotan
las situaciones encontradas, las causas que la originaron y sus posibles soluciones, as como

los responsable de solucionar dichas desviaciones y las posibles fechas para hacerlo.
Elaborar el informe preliminar: el auditor debe elaborar un documento que contenga todas
las desviaciones detectadas. Una vez hecho esto, es obligacin del auditor comentarlas con
las personas que estn involucradas directamente en las desviaciones, a fin de encontrar de

manera conjunta las causas que la originaron.

Integrar el legajo de papeles de trabajo: el auditor tiene la obligacin de conservar en el
llamado legajo de papeles de la auditoria cada uno de los instrumentos aplicados en la
evaluacin, con el propsito de sustentar, llegado el caso, las observaciones reportadas.

4.3 Tercera etapa Informe de la auditoria.

El ltimo paso de la metodologa es emitir el informe, el cual es el resultado final de la auditoria de
sistemas.

18

Analizar la informacin y elaborar un informe de situaciones encontradas: la actividad

previa, a la deteccin de las desviaciones, es el anlisis de los papeles de trabajo y la

elaboracin en borrador de las llamadas situaciones detectadas.

Elaborar el informe final: el auditor debe terminar de elaborar el informe de auditora de
sistemas y complementarlos con la opinin del auditor, y despus presentarlo a los
directivos del rea de sistemas auditada para que conozcan la situacin actual de dicha rea,

antes de presentarlo al responsable de la empresa.

Presentar el informe de auditora: presentar formalmente el informe de la auditoria al ms
alto directivo de la empresa, con el propsito de informarle los resultados de dicha
auditoria.

5. PRINCIPALES PRUEBAS Y HERRAMIENTAS PARA REALIZAR UNA AUDITORIA

INFORMTICA.
5.1Principales Pruebas
Pruebas sustantivas: verifican el grado de confiabilidad del sistema informtico del organismo.
Pruebas de cumplimiento: verifican el grado de cumplimiento de lo relevado mediante el anlisis
de la muestra.
5.2 Principales Herramientas

Cuestionarios
Entrevistas
Observacin
Conteo fsico (inventario)
Inspeccin
Confirmacin
Comparacin

19

6. CONTROLES EN INFORMTICA
a. Definicin
Es una medida y correccin del desempeo de las actividades de los subordinados para asegurar
que los objetivos y planes de la empresa, diseados para lograrlo, se estn llevando a cabo
(G.J.A.)pag36-42.

b. Funcin
Es aquella que tiene por finalidad asegurar que todos y cada uno de los actos de una organizacin
obtengan los objetivos previstos, dentro de los lmites prefijados.
El control es la suma de factores deliberadamente dispuestos por la organizacin con el fin de:
a) Condicionar cada acto, asegurando que sea realizado de un modo determinado.
b) Determinar la medida en que cada acto dio el resultado previsto.
c) Informar los resultados y las eventuales desviaciones, retroalimentando de esta manera todo el
proceso.
c. Proceso Bsico Del Control

Establecimiento de normas
Evaluacin de la actuacin
Correccin de las desviaciones

d. Requisitos Que Deben Cumplir Los Controles

Deben reflejar la naturaleza y necesidades de la empresa

Deben reportar prontamente las desviaciones
Deben ser futuristas
Deben sealar excepciones
Deben ser objetivos
Deben ser flexibles
Deben ser comprensibles
Deben conducir a la accin correctiva

20

e. Clasificacin De Los Controles

1) Por su naturaleza:

Generales (varios sistemas)

Manuales (uso de humanware)
Automticos (incorporados)

2) Por su estado:

Recomendados
Descartados
Implantados

3) Por Su Efecto:

Disuasivos
De evidencia
Preventivos
Defectivos
Correctivos
Recuperativos

6.1. Controles Preventivos

Son aquellos que reducen la frecuencia con que ocurren las causas de error.

CARACTERSTICAS:

Reducen la frecuencia de errores

Previenen operaciones no autorizadas
Son sutilmente incorporados en los procesos
Son los de ms bajo costo
Autorizacin
Custodia segura
Formas pre numeradas
Formas reimpresas

21

Documento de retorno
Endoso
Cancelacin
Contraseas
Definicin de responsabilidades
Confiabilidad del personal
Entrenamiento
Competencia del personal
Mecanizacin
Segregacin de funciones

6.2. Controles Detectivos

Estos no impiden que ocurra una causa de error, sino que acciona la alarma despus de que haya
ocurrido.
a) Pueden impedir la continuidad de un proceso
b) No impiden que ocurra un error, pero dan la alarma despus que haya ocurrido
c) Requieren de ciertos gastos operativos moderados

Documento de envo
Nmeros consecutivos de lote
Cifras de control de cantidades
Cifras de control de numero de documentos
Cifras de control sin significado monetario
Totales de lote
Verificacin de rebasamiento
Verificacin de formato
Verificacin de integridad
Digito verificador
Razonabilidad
Verificacin de validez
Fechas
Verificacin de la digitacin
Aprobacin
Totales de corrida a corrida

22

Igualizacin / comparacin
Clasificacin por antigedad
Cuenta de partidas pendientes de procesarse
Cotejo
Auditoria peridica
Etiquetas

6.3. Controles correctivos

a) Ayudan a la investigacin y correccin de las causas de los errores que hayan sido detectados.
b) La accin correctiva es siempre necesaria.
c) Son casi siempre muy costosos.

Reportes de discrepancias o inconsistentes

Rastro de auditoria
Estadsticas de errores y su fuente
Correccin automatizada de errores
Respaldo y recuperacin
Re inclusin en el proceso

7. PARTICIPACIN DEL AUDITOR EN EL DESARROLLO DE SISTEMAS

7.1. Su importancia
La participacin del auditor en el desarrollo de sistemas puede darse:

Como consultor PED:

La participacin del CPA es completa, pues forma parte del equipo de PED a cargo del
desarrollo del nuevo sistema, con las responsabilidades inherentes a su funcin.
Como auditor externo:

Si nuestra funcin es la de auditor externo, nuestro papel en el desarrollo de sistemas se reduce

dado que nuestra responsabilidad sobre los sistemas computarizados de contabilidad se contrae a la
que se tiene sobre los sistemas tradicionales de procesamiento de datos y la informacin que la

23

administracin presenta en los estados financieros, pues los sistemas que procesan y producen la
informacin contable y financiera son responsabilidad de la administracin y no del auditor, cuyo
principal es dictaminar los estados financieros de la empresa.

Como auditor interno:

El auditor interno es por excelencia un experto en control interno, por consiguiente, est en las
mejores condiciones de participar activamente, como una tarea inherente a la funcin que realiza,
en el desarrollo de sistemas, y su principal contribucin debe ser asegurar, en forma razonable, que
las aplicaciones computarizadas incluyen controles slidos y confiables.
7.2. Su Oportunidad
Como ya se indic, la participacin del auditor interno en el desarrollo de sistemas debe darse
precisamente en el desarrollo del mismo, a efecto de que los controles que se consideran
necesarios, sean incorporados en las diferentes fases o etapas del desarrollo, ya que una vez
funcionando el sistema, es ms difcil y costoso efectuar las modificaciones.
7.3. Aspectos generales
Normalmente la metodologa utilizada para el desarrollo de sistemas consiste en dividir el esfuerzo.
En la construccin del sistema, en etapas o fases que permitan analizar, evaluar, presupuestar y
controlar el proyecto total, en una forma sencilla y segura.
Tales fases o etapas, claramente definidas, pueden clasificarse as:
a). Planificacin del sistema

Investigacin preliminar
Estudio de factibilidad
Planificacin inicial

b) Desarrollo de sistemas

24

Desarrollo de modelos solucin

Diseo del modelo elegido
Programacin y prueba

c) Implantacin del sistema

Preparacin de la implantacin
Implantacin operativa
Revisin post-implantacin y seguimiento

CAPITULO ll
CASO PRCTICO

INFORME DE AUDITORA INFORMTICA INDEPENDIENTE

Guatemala, 22 de octubre de 2015.

25

Seor
Lorenzo Montenegro
Director General
Servicio Econmico, S.A.

De acuerdo con las instrucciones giradas por el consejo de administracin de la empresa que est a
su cargo, me permito remitir a usted el informe de la auditora practicada al centro de cmputo, con
especial nfasis en la administracin, funcionamiento y operacin del sistema de red de la
institucin, misma que se llev a cabo del 2 de septiembre al 5 de octubre de 2015.

De los resultados obtenidos durante la evaluacin me permito informarle a usted las siguientes
observaciones:
1. Existe copias no autorizadas del sistema de facturacin.
2. No se cuenta con Back-ups peridicos de la informacin que se encuentra fuera del sistema.
3. Las computadoras asignadas al personal no cuentan con password de usuario individual.
4. Hay acceso a personas no autorizadas al rea de sistemas sin supervisin del encargado del
rea.
5. No existe polticas ni manuales corporativos.
6. No cuenta con un sistema de seguridad contra incendios.

Las observaciones antes descritas se explican con ms detalles en nuestro anexo de evaluacin del
centro de cmputo.
De acuerdo a las pruebas realizadas a la administracin, funcionamiento y operacin y de acuerdo a
los criterios descritos de evaluacin, me permito concluir que el rea de informtica presenta un

26

nivel de riesgo alto en sus aspectos significativos, su manejo de servicio no es razonable de acuerdo
al manejo proporcionado por la administracin.

GRUPO No. o4 & ASOCIADOS

CONTADORES PBLICOS Y AUDITO
ANEXO
Resultado de la evaluacin a la empresa Servicio Econmico, S.A. rea de informtica.
Condicin 1
Al realizar el inventario de software en la empresa se detect la existencia de copias no autorizadas
del sistema de facturacin; los programas fueron descargados por internet y no cuenta con las
licencias de los mismos.
Criterio
El artculo 32 del Decreto 33-98 de la Ley de Derechos del Autor y Derechos Conexos de
Guatemala establece que la reproduccin de un programa de ordenador, incluso para uso personal,
exigir la autorizacin del titular de los derechos.
Recomendacin

27

Que la Gerencia General gire instrucciones al personal que interviene en el proceso con el fin de
adquirir el software con representantes autorizados en el pas con la finalidad de obtener garantas y
licencias originales del mismo y mitigar el riesgo legal existente de acuerdo a la ley citada.
Condicin 2
Se verifico que la compaa no realiza Back-ups peridicos de la informacin que se encuentra
fuera del sistema.
Criterio
Debido a la falta de elaboracin de polticas y resguardo de informacin. Existe el riesgo de la
perdida de informacin.
Recomendacin
La administracin debe estructurar un manual de polticas y procedimientos para la elaboracin de
Back-ups del sistema y de cada computador.
Condicin 3
Al realizar la verificacin de proteccin de archivos de la empresa Servicio Econmico, S.A. Se
comprob que las computadoras asignadas al personal no cuentan con password de usuario
personal.
Criterio
Perdida de la eficiencia y efectividad de la informacin.
Recomendacin

28

Implementar la creacin de cuentas de usuarios individuales para los colaboradores de la empresa,

de esa manera evitar el acceso de informacin a personas no autorizadas.
Condicin 4
Se comprob que hay acceso de personas no autorizadas al rea de informtica sin supervisin del
encargado del rea.
Criterio
Las personas encargadas de realizar la limpieza poseen llave para ingresar al rea de informtica.
Recomendacin
Autorizar el acceso al personal de limpieza nicamente cuando se encuentre un encargado del rea
de informtica.
Condicin 5
Durante la visita realizada a la entidad, se observ que no cuenta con polticas ni manuales
corporativo sobre el uso y resguardo de los recursos informticos.
Criterio
Debido a la carencia de polticas y manuales existe el riesgo de prdida de informacin disponible.
Recomendacin
Que la administracin ejecute un plan para autorizar polticas y procedimientos para el resguardo
de los recursos informticos.
Condicin 6

29

De acuerdo a la informacin proporcionada por el departamento de informtica, no se cuenta con

un sistema de seguridad contra incendios.
Criterio
Se efectu una evaluacin en el rea auditada sobre el riesgo de incendios, planificando la inclusin
de extinguidores especiales para el rea, la cual no se llev a cabo.
Recomendacin
La administracin debe considerar la necesidad de contar con extinguidores adecuados y un plan de
accin para actuar en caso de alguna contingencia en el rea de informtica

CONCLUSIN

Toda empresa, pblica o privada que posean sistemas de informacin, debe someterse a un control
estricto de evaluacin. Las habilidades tcnicas requeridas por el auditor en informtica son las de
implantar, ejecutar y comunicar los resultados de la evaluacin en el contexto de la tecnologa de
informacin, de acuerdo con estndares profesionales que gobiernen el objetivo de la auditora.
Se puede decir que Auditoria en Informtica es el conjunto de tcnicas, procedimientos y
actividades, destinadas a analizar y evaluar el funcionamiento de los sistemas informticos de un
ente, por lo que comprende un examen metdico y puntual, con el propsito de mejorar aspectos
como: control y seguridad de sistemas informticos; cumplimiento de la normativa tecnolgica del
ente; control de los planes de contingencia; eficacia y rentabilidad

30

RECOMENDACIN

El auditor debe de estar capacitado para comprender los mecanismos que se desarrollan en un
procesamiento electrnico, tambin debe de estar preparado para enfrentar sistemas
computarizados en los cuales se encuentre la informacin necesaria para auditar, que posea las
herramientas idneas para poder realizar una auditora informtica en cualquier tipo de entidad que
solicite sus servicios profesionales .
Se tiene que tomar en consideracin

el acelerado desarrollo tecnolgico que se est

experimentando en las instituciones, as como tambin el alto grado de riesgo que esto implica.

31

BIBLIOGRAFA

AUDITORIA EN SISTEMAS COMPUTACIONALES. Carlos Muoz Razo. Editorial

Prentice Hall
http://auditoriasistemas.com/auditoria-de-sistemas-informaticos/

Echenique G. J.A. (2001). Auditora en Informtica.2da. Ed. Mc Graw-Hillg

Piattinni, G. M & Peso del E. Auditora Informtica. Un enfoque prctico. Alfa omega