Auditoria de Sistemas

Auditoria de Sistemas
_________________________________________________________________________
Pamplona
Universidad de
Facultad de Estudios a Distancia
Programas de Educacin a Distancia
Auditoria de
Sistemas
Para una Sociedad Inteligente e

Interconectada
Alvaro Gonzlez Joves
Rector
Mara Eugenia Velasco Espitia
Decana Facultad de Estudios a Distancia
_________________________________________________________________________
UNIVERSIDAD DE PAMPLONA-Facultad de Estudios a Distancia
_________________________________________________________________________
Tabla de Contenido
Presentacin
Introduccin
Horizontes
UNIDAD 1: Auditoria de Sistemas y el Auditor de Sistemas de
Informacin Contable
Descripcin Temtica
Horizontes
Ncleos Temticos y Problemticos
Proceso de Informacin.
1.1 SITUACIN ACTUAL DE LA AUDITORIA DE SISTEMAS PARA LA
INFORMACIN CONTABLE
1.1.1 Definiciones
1.2 EL IMPACTO DE LA TECNOLOGA DE INFORMACION EN LA
AUDITORIA FINANCIERA
1.2.1 Tendencias Actuales de la Tecnologa de la Informacin
y sus Implicaciones en la Auditoria Financiera
1.2.2 Efecto de la Globalizacin de los Mercados
1.2.3 Respuesta a las Presiones Competitivas
1.2.4 Cambio en el Funcionamiento de las Empresas
1.2.5 Reduccin de Costos
1.2.6 Disponibilidad de Acceso a la Informacin
1.2.7 Medio Ambiente Regulador
1.2.8 Integracin de los Sistemas de Informacin Contables
1.2.9 Avances Tecnolgicos
1.3 CAMPO DE ACCIN DE LA AUDITORIA DE SISTEMAS DE
INFORMACIN
1.4 UBICACIN TIPICA DE LA AUDITORIA DE SISTEMAS
1.5 TECNICAS DE AUDITORIA DE SISTEMAS DE INFORMACIN
1.5.1 Tcnicas Manuales
1.5.2 Tcnicas Automatizadas
1.5.3 Tcnicas para Verificar Transacciones
1.5.4 Tcnicas para Analizar Programas
1.5.5 Auditoria Alrededor del Computador vs. a Travs del
Computador.
1.6 OBJETIVOS DEL CONTROL EN LA AUDITORIA DE SISTEMAS DE
INFORMACION CONTABLE
1.6.1 Entorno de Auditoria y Control
1.6.2 Objetivos de Autorizacin
_________________________________________________________________________
_________________________________________________________________________
1.6.3 Objetivos del Procesamiento y Clasificacin de

Transacciones Financieras
1.6.4 Objetivos de Salvaguarda Fsica
1.6.5 Objetivos de Verificacin y Evaluacin
1.7 BASES PARA LA AUDITORIA DE SISTEMAS DE INFORMACION.
1.8 REPERCUCIN DEL ENTORNO INTERNACIONAL EN LAS
AUDITORIAS DE SISTEMAS DE INFORMACION CONTABLES
1.9 COMPETENCIAS PRINCIPALES DEL AUDITOR DE SISTEMAS DE
INFORMACIN
1.9.1 Intervencin en el Diseo de Sistemas
1.9.2 Auditoria de Aplicaciones
1.9.3 Revisin de la Integridad de la Informacin
1.9.4 Revisin del Mantenimiento a Sistemas y Programas
1.9.5 Revisin de Procedimientos Generales de Operacin
1.9.6 Revisin del Sistema Operacional
1.9.7 Revisin Administrativa
1.9.8 Administracin
de
Sistemas
de
Informacin
Especializados para Auditores de Sistemas
1.10 FORMACIN DEL AUDITOR DE SISTEMAS DE INFORMACIN
CONTABLE
1.11 RESPONSABILIDADES DEL AUDITOR
Proceso de Comprensin y Anlisis
Solucin de Problemas
Sntesis Creativa y Argumentativa
Autoevaluacin
Repaso Significativo
Bibliografa Sugerida
UNIDAD 2: Control y Riesgo del Sistema de Informacin Contable
Descripcin Temtica
Horizontes
Proceso de Informacin
2.1. DEFINICIN
2.2. MARCO DE REFERENCIA PARA EL CONTROL
2.2.1 Estructura de Control Organizacional
2.2.2 Gerencia versus Control
2.3 CONTROLES
SOBRE
DESARROLLO,
ADQUISICIN
Y
MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIN
CONTABLES
2.3.1 Investigacin Preliminar y Anlisis de Informacin
2.3.2 Diseo de Sistemas de Informacin
2.3.3 Diseo de Controles y Seguridades
2.3.4 Diseo de Pistas de Auditoria
_________________________________________________________________________
_________________________________________________________________________
2.3.5 Desarrollo e Implantacin del Sistema

2.3.6 Operacin y Mantenimiento del Sistema
2.3.7 Post-implantacin de un Nuevo Sistema
Informacin
2.4 REVISIN DE TCNICAS DE FRAUDE INFORMTICO
2.4.1 Manipulacin de Transacciones
2.4.2 Tcnica de Salami
2.4.3 Tcnica del Caballo de Troya
2.4.4 Bomba Lgica
2.4.5 Juego de la Pizza
2.4.6 Ingeniera Social
2.4.7 Trampas- Puerta
2.4.8 Superzaping
2.4.9 Evasiva astuta
2.4.10 Recoleccin de Basura
2.4.11 Ir a Cuestas para Obtener Acceso no Autorizado
2.4.12 Puertas Elevadizas
2.4.13 Tcnica de Taladro
2.4.14 Intercepcin de Lneas de Comunicacin
2.4.15 Los Virus
Autoevaluacin
de
UNIDAD 3:
Identificacin y Evaluacin de Riesgos Potenciales y
Definicin del Alcance de la Auditoria
Descripcin Temtica
Horizontes
3.1 RIESGOS
3.1.1 Fraude / Robo
3.1.2 Prdida de Negocios y Credibilidad Pblica
3.1.3 Sanciones Legales
3.1.4 Decisiones Errneas
3.1.5 Dao y Destruccin de Activos
3.1.6 Desventaja Competitiva
3.2 CAUSAS DE RIESGOS
3.3 MATRIZ DE RIESGOS VS. PROCESOS CON LA UBICACIN DE
LAS CAUSAS DE RIESGOS
3.4 MATRIZ DE RIESGOS VS. DEPENDENCIAS (REAS) CON LA
_________________________________________________________________________
_________________________________________________________________________
UBICACIN DE LAS CAUSAS DE RIESGOS

MATRIZ DE PROCESOS VS.
DEPENDENCIAS
UBICACIN DE LAS CAUSAS DE RIESGOS
Autoevaluacin
3.5
CON
LA
UNIDAD 4: Evaluacin del Sistema de Control Interno Informtico

Descripcin Temtica
Horizontes
4.1 REAS DE CONTROL (PROCESOS)
4.1.1 Origen y Preparacion de Datos
4.1.2 Entrada de Datos
4.1.3 Procesamiento y Actualizacion de Informacin
4.1.4 Salida de Datos
4.1.5 Control de Acceso
4.1.6 Cambio al Software
4.1.7 Respaldos y Planes de Contingencia
4.1.8 Terminales y Comunicacin de Datos
4.1.9 Documentacin
4.1.10 Utilizacion y Control de Resultados y Satisfaccion del
Usuario
4.1.11 Seguridad Fisica y Controles en las Instalaciones.
4.2 EJEMPLOS DE CONTROLES
Autoevaluacin
UNIDAD 5: Papeles de Trabajo del Centro de Computo Aplicacin
(Prctica)
Descripcin Temtica
Horizontes
5.1 PLANEACIN DE LA AUDITORIA
5.2 GUIA PARA ELABORAR EL ARCHIVO PERMANENTE
_________________________________________________________________________
_________________________________________________________________________
5.2.1 Organizacin del Departamento de Sistemas.

5.2.2 Hardware y Software de Computador
5.2.3 Costos Anuales del Departamento de Sistemas
5.2.4 Otros Datos e Inters
5.3 FORMATO PARA DETERMINAR LA IMPORTANCIA DE LAS
APLICACIONES DE COMPUTADOR
5.4 FORMATO PARA DETERMINAR LA IMPORTANCIA DEL CENTRO
DE PROCESAMIENTO DE DATOS
5.5 CUESTIONARIOS DE CONTROL
5.5.1 rea de Planeacin
5.5.2 rea de Organizacin
5.5.3 rea de Backup y Recuperacin
5.5.4 rea de Seguridad
5.5.5 rea de Produccin
5.5.6 Plan de Contingencias
5.5.7 rea de Desarrollo de Sistemas
5.5.8 rea de Eficiencia
5.6 AUDITORIA DE CONTROLES GENERALES AL CENTRO DE
PROCESAMIENTO DE DATOS
5.7 PROBABILIDAD DE LAS AMENAZAS
5.8 EJEMPLO MATRIZ DE EVALUACIN DE RIESGOS Y CONTROLES
5.9 AUDITORIA DE LAS APLICACIONES EN FUNCIONAMIENTO
5.10 GUA PARA ELABORAR EL ARCHIVO PERMANENTE DE LA
APLICACIN
5.10.1 Objetivos, Alcance y Tamao de la Aplicacin
Autoevaluacin
BIBLIOGRAFA GENERAL
_________________________________________________________________________
Presentacin
La educacin superior se ha convertido hoy da en prioridad para el
gobierno Nacional y para las universidades pblicas, brindando
oportunidades de superacin y desarrollo personal y social, sin que la
poblacin tenga que abandonar su regin para merecer de este servicio
educativo; prueba de ello es el espritu de las actuales polticas
educativas que se refleja en el proyecto de decreto Estndares de
Calidad en Programas Acadmicos de Educacin Superior a Distancia de
la Presidencia de la Repblica, el cual define: Que la Educacin
Superior a Distancia es aquella que se caracteriza por disear ambientes
de aprendizaje en los cuales se hace uso de mediaciones pedaggicas
que permiten crear una ruptura espacio temporal en las relaciones
inmediatas entre la institucin de Educacin Superior y el estudiante, el
profesor y el estudiante, y los estudiantes entre s.
La Educacin Superior a Distancia ofrece esta cobertura y oportunidad
educativa ya que su modelo est pensado para satisfacer las
necesidades de toda nuestra poblacin, en especial de los sectores
menos favorecidos y para quienes las oportunidades se ven disminuidas
por su situacin econmica y social, con actividades flexibles acordes a
las posibilidades de los estudiantes.
La Universidad de Pamplona gestora de la educacin y promotora de
llevar servicios con calidad a las diferentes regiones, y el Centro de
Educacin Virtual y a Distancia de la Universidad de Pamplona,
presentan los siguientes materiales de apoyo con los contenidos
esperados para cada programa y les saluda como parte integral de
nuestra comunidad universitaria e invita a su participacin activa para
trabajar en equipo en pro del aseguramiento de la calidad de la
educacin superior y el fortalecimiento permanente de nuestra
Universidad, para contribuir colectivamente a la construccin del pas
que queremos; apuntando siempre hacia el cumplimiento de nuestra
visin y misin como reza en el nuevo Estatuto Orgnico:
Misin: Formar profesionales integrales que sean agentes generadores
de cambios, promotores de la paz, la dignidad humana y el desarrollo
nacional.
UNIVERSIDAD DE PAMPLONA Facultad de Estudios a Distancia
Visin: La Universidad de Pamplona al finalizar la primera dcada del

siglo XXI, deber ser el primer centro de Educacin Superior del Oriente
Colombiano.
UNIVERSIDAD DE PAMPLONA Facultad de Estudios a Distancia
Introduccin
Aunque la nueva generacin de sistemas de informacin contables,
proporciona bastantes beneficios a las organizaciones, la complejidad y
sofisticacin de estos sistemas proporciona nuevos retos a los auditores.
Quizs, el mayor reto para este colectivo est en mantenerse
actualizado y comprender los ltimos avances tecnolgicos en que se
apoyan las aplicaciones (sistemas de administracin de bases de datos,
redes, provisiones de seguridad, hardware y sistemas operativos).
Para auditar eficientemente los sistemas de informacin contables de las
empresas, sin importar el tamao ya que en la PYME es el sector donde
ms esta creciendo el uso de tecnologa informtica, los auditores tienen
que entender los riesgos inherentes de su aplicacin.
Como el avance en la tecnologa informtica y los sistemas de
informacin de los negocios es imparable, los auditores tienen que
mantener siempre un nivel creciente en el conocimiento de estos
sistemas. Para ayudar a las organizaciones a garantizar el control y la
auditabilidad de los sistemas de aplicacin, los auditores deben estar
involucrados en su diseo, desarrollo e implementacin. Los sistemas
que se desarrollen de una manera estructurada y organizada con
controles construidos en su diseo, son los sistemas que ms eficaz y
eficientemente apoyan los objetivos de la organizacin.
El objetivo es analizar el impacto tecnolgico en la auditoria de sistemas
de informacin contable, la formacin, y habilidades que debe poseer el
profesional de la contabilidad y la auditoria para desempear su papel
en la empresa actual, una propuesta metodolgica ordenada eficaz y
fcil de aplicar para auditar la seguridad de los sistemas de informacin
contables y su entorno en una PYME, analizar y comparar algunos de los
principales estndares y regulaciones en materia de auditoria y control
de sistemas de informacin de aceptacin a nivel internacional.
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia
Horizontes
Mantener actualizado y comprender los ltimos avances tecnolgicos

en que se apoyan las aplicaciones; sistemas de administracin de
bases de datos, redes, provisiones de seguridad, hardware y sistemas
operativos.
Auditar eficientemente los sistemas de informacin contables de las

empresas, sin importar el tamao, ya que en la PYME es el sector
donde ms esta creciendo el uso de tecnologa informtica.
Ayudar a las organizaciones a garantizar el control y la auditabilidad

de los sistemas de aplicacin.
Estructurar y organizar los controles construidos en su diseo, siendo

los sistemas ms eficaces y eficientes los que apoyan los objetivos de
la organizacin.
Costos Bsicos
UNIDAD 1: Auditoria de Sistemas y

el Auditor de Sistemas de
Informacin Contable
Descripcin Temtica
En un principio, el inters del auditor en la aplicacin comercial de los
sistemas fue mnimo, ya que el origen del computador como
herramienta fue cientfica y el nfasis del contador era comercial; sin
embargo, se aplicaba en los terrenos contable y financiero donde era
indispensable para preparar cuadros y tablas.
A partir de 1960, la sistematizacin electrnica permeabiliz las
funciones gerenciales y administrativas especialmente la contable lo que
hizo que el auditor se interesara por este mtodo de proceso.
Horizontes
Conocer el principio de inters en la aplicacin comercial del auditor.
Permeabilizar las funciones gerenciales y administrativas.
Identificar el papel desempeado por los contadores y auditores en

todas las sociedades.
Responder a las tendencias de globalizacin e internacionalizacin

con mayores contribuciones y mejores estndares.
Competencias Principales del Auditor de Sistemas de Informacin.
Formacin del Auditor de Sistemas de Informacin Contable.
Responsabilidades del Auditor.
Situacin Actual de la Auditoria de Sistemas para la Informacin

Contable.
El impacto de la tecnologa de informacin en la auditoria financiera.
Campo de accin de la auditoria de sistemas de informacin.
Ubicacin tpica de la auditoria de sistemas.
Tcnicas de auditoria de sistemas de informacin.
Objetivos del control en la auditoria sistemas de informacin

contable.
Bases para la auditoria de sistemas de informacin
Repercusin del entorno internacional en las auditorias de sistemas

de informacin contables.
Competencias principales del auditor de sistemas de informacin.
Formacin del auditor de sistemas de informacin contable.
Responsabilidades del auditor.
1.1
SITUACIN ACTUAL DE LA AUDITORIA DE SISTEMAS PARA

LA INFORMACIN CONTABLE
1.1.1 Definiciones
Auditoria de Sistemas de Informacin
Es la revisin y evaluacin de los controles, sistemas y procedimientos
de informtica; de los equipos de cmputo, su utilizacin, eficiencia y
seguridad, de la organizacin que participa en el procesamiento de la
informacin, a fin de que por medio del sealamiento de cursos
alternativos se logre una utilizacin ms eficiente y segura de la
informacin, de los equipos, del recurso humano, se mejoren los
procesos y se logre de manera integrada una organizacin gil,
dinmica, controlada y segura.
Este tipo de auditoria comprende la evaluacin de todos los aspectos de
los sistemas automatizados de procesamiento de informacin,
incluyendo los procesos no automatizados relacionados y las interfaces

entre ellos
Es la evaluacin del ambiente de procesamiento electrnico de datos
para presentar alternativas de soluciones a la empresa moderna y
promueve la automatizacin en las diferentes modalidades de las
auditorias
Auditoria Informtica
La auditoria es la actividad encaminada a realizar el examen metdico
de una situacin empresarial relativa a un producto, proceso u
organizacin, en materia de calidad, realizado en cooperacin con los
usuarios y encaminado a verificar la concordancia de la realidad con lo
preestablecido y la adecuacin al objeto buscado. Teniendo como el
proceso de recoger, agrupar y evaluar evidencias para determinar si un
sistema informatizado salvaguarda los activos, mantiene la integridad de
los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza
eficazmente los recursos.
Auditoria de Calidad
Es realizar todas las auditorias descritas hasta el momento con un
convencimiento total de que las actividades profesionales del auditor
son de calidad siempre.
Auditoria de Sistemas con Enfoque Operacional
Es la evaluacin del control interno informtico para optimizar el recurso
organizacional.
Auditoria de Procesos
Revisa y evala la eficacia y eficiencia del sistema de control de un
proceso y asesora a la gerencia de manera independiente en el
establecimiento y mejoramiento del sistema de control para que el
proceso alcance los resultados esperados.
La gerencia recibe
informacin sobre dnde hay debilidades de control, sus causas y el
efecto en los costos del proceso o en el producto.
La tendencia actual es el control, entonces empezaremos a hablar de

control informtico o de sistemas, control financiero, control operacional,
control interno, control externo, control ambiental, control de gestin,
control fiscal, control global, control internacional y control de calidad.
Nuestra profesin debe dar un vuelco total para prestar asesoras
dinmicas que faciliten a la administracin la implementacin del control
y no la bsqueda del culpable del fraude, de la ineficiencia o el listado
de errores y fallas.
1.2 EL IMPACTO DE LA TECNOLOGA DE INFORMACIN EN LA
AUDITORIA FINANCIERA
Los avances y el uso de modernas tecnologas para el procesamiento de
la informacin y las telecomunicaciones se ven reflejados en las mejoras
que realizan la mayora de las organizaciones como la automatizacin de
procesos, la eliminacin de espacios fsicos, operaciones virtuales e
integracin de los diferentes sistemas de informacin de las empresas.
Este impacto ha trado como consecuencia el aumento de los riesgos por
la dependencia de las empresas de sus sistemas, incremento drsticos
en procesamiento electrnico de datos, migracin de controles al
ambiente p.e.d., menos visibilidad de las pistas de auditoria,
segregacin de funciones hombre maquina y nuevas funciones y
recursos a auditar.
Tal como lo indica F, Fernndez (1998, Pg. 87-88), en entornos como el
EDI, las implicaciones de las tecnologas de estos sistemas que
disminuyen costos, agilizan las operaciones y permiten redefinir los
procesos de negocio, hacen necesario que los auditores deban
comprender los nuevos controles involucrados y los riesgos que
representa este entorno para la organizacin y as no ver limitado el
alcance de su trabajo.
Estas tecnologas que nos llevan a hablar de la auditoria de sistemas de
informacin han aportado beneficios a las empresas: mejora de la
cultura de control en la organizacin, previene la ocurrencia de
situaciones perjudiciales para la organizacin, genera actitud positiva
hacia los controles en los responsables de las operaciones de la
empresa, promueve la eficiencia operacional en el procesamiento
electrnico de datos, complementa el control que ejerce la gerencia de
sistemas y complementa los controles ejercidos por los usuarios internos
y externos del sistema de informacin contable.
1.2.1 Tendencias Actuales de la Tecnologa de la Informacin y

sus Implicaciones en la Auditoria Financiera
El ambiente de los negocios se ha visto influenciado por varias
tendencias significativas. Por ejemplo la tendencia hacia la globalizacin
de la empresa, el aumento de la competencia en todos los segmentos de
mercado, y el grado de regulacin impuestos emitidas por las agencias
gubernamentales. Como respuesta de las organizaciones a estas y otras
presiones, la demanda de sistemas de informacin apoy el cambio en
las empresas. Esta demanda se reafirma con la influencia de los
avances tecnolgicos sobre las expectativas y necesidades de los
usuarios del sistema, como por ejemplo, la disponibilidad de unidades de
almacenamiento como CD-ROM, D.V.D., etc., la migracin de los
sistemas basados inteligentes de los laboratorios hacia las funciones
normales de los negocios y los avances en la tecnologa de redes.
1.2.2 Efecto de la Globalizacin de los Mercados
Hoy en da y en un futuro, sern solicitados sistemas de tareas
especficas para satisfacer los requerimientos de usuarios a nivel
mundial, tambin como proveer a las empresas de una capacidad de
procesamiento continuo e indefinido. La necesidad de interfaces para
usuarios de diferentes idiomas, traslado de fondos en tiempo real y el
cumplimiento con una variedad de requisitos de regulacin de cada pas
sern el resultado de la demanda generada por la globalizacin.
Esta clase de requerimientos en los sistemas se traducir en una mayor
complejidad de los sistemas y, por ende en un mayor impacto sobre la
auditoria de los mismos. La globalizacin de las empresas generar un
incremento en el uso de la tecnologa de redes, junto con los riesgos
inherentes. Adems del incremento de la complejidad de los sistemas y
plataformas de procesamiento, el auditor llegar a familiarizarse con las
diferentes tendencias resultantes de los aspectos multinacionales de la
organizacin.
1.2.3 Respuesta a las Presiones Competitivas
Debido al aumento de las presiones competitivas, la organizacin deber
ser ms flexible y de esta forma responder a los cambios del mercado.
Igualmente existir una demanda de los sistemas de informacin. Para
cumplir con estas necesidades, el diseo de los sistemas deber abarcar
una amplia variedad de escenarios de los negocios, dando como
resultado un sistema estable que funcionar en diferentes ambientes
comerciales. Alternativamente el uso de las metodologas de desarrollo
10
de los sistemas que facilitan una implementacin rpida de los cambios,

sern necesarios para habilitar funciones en los sistemas de informacin
que permitan dar respuesta a los continuos cambios en el ambiente
comercial.
En cualquier caso, la frecuencia de los cambios en los sistemas
necesitar una mayor atencin por parte de los auditores con el fin de
asegurar un desempeo satisfactorio.
1.2.4 Cambio en el Funcionamiento de las Empresas
La descentralizacin de las empresas sigue ejerciendo un impacto sobre
la arquitectura de los sistemas de informacin contable de las empresas.
Las redes de rea local, la conexin de los microcomputadores, y la
funcionalidad de los microcomputadores continuarn jugando un papel
importante, particularmente en las organizaciones o estructuras
descentralizadas como respuesta a las presiones del mercado.
Igualmente las organizaciones estn reevaluando la forma de manejar
sus empresas con el propsito de readecuar las funciones, reducir los
niveles de soporte y automatizar las labores de mayor demanda.
El auditor debera asumir un papel mas activo en este proceso para
crear nuevos controles y comprender las implicaciones de la auditoria
sobre los nuevos procesos. Por ejemplo, muchas organizaciones han
cambiado sus procesos de pagos desde que se remite el pago hasta
cuando se ha recibido la mercanca. El uso de la tecnologa de los
computadores ha facilitado el cambio en los procesos y como resultado
se ha visto una reduccin en el personal que maneja el proceso de pago.
Al mismo tiempo las labores de ms intensidad, como las rdenes de
compras, el recibo de informes o la facturacin han sido reemplazadas
por rutinas de muestreo o informe de objeciones que suministran la
seguridad de un funcionamiento eficiente en los procesos de
desembolso.
1.2.5 Reduccin de Costos
Como resultado directo del aumento de la competencia, las
organizaciones estn enfrentando una presin adicional en el control de
los costos por medio de diferentes mtodos como la reestructuracin
organizacional y el Downsizing. Estas presiones han conducido a dos
demandas en el sistema de informacin de la empresa: incremento en la
necesidad de que los sistemas ejecuten funciones que anteriormente se
han manejado en forma manual y la participacin de los sistemas de
informacin en el esfuerzo por reducir costos. Como resultado, el
11
vendedor de software es utilizado con ms frecuencia para el suministro

de soluciones rpidas.
La tendencia hacia las soluciones de software influye tanto en el tiempo
como en la naturaleza de la auditoria sobre los procesos de desarrollo.
La revisin de los controles en la pos-implementacin de los sistemas
comprados a distribuidores, pueden ser menos factibles que en los
sistemas desarrollados en la misma empresa.
En el caso de los
paquetes comprados a los distribuidores el cdigo fuente no estar
disponible para la revisin del auditor. Adems, el incremento en el uso
de los paquetes comprados ocasiona un cambio en las actividades de
instalacin y mantenimiento, la cual es llevada a cabo fuera de la
organizacin.
Muchos de los paquetes comprados a distribuidores presentan
condiciones, normalmente accesibles por medio de programas de
configuracin con mens, que permiten adecuar el sistema para
satisfacer las necesidades del cliente. La facilidad con la cual estas
actividades se pueden ejecutar, ha hecho que los usuarios asuman ms
responsabilidad.
Otra tendencia tecnolgica que tiene incidencia en la reduccin de los
costos es la reingeniera de software.
Esta tcnica utiliza las
herramientas de ingeniera de software asistida por computador (CASE),
y partiendo de un sistema ya existente desarrollan un modelo de
proceso. El modelo puede ser modificado para reflejar las condiciones
actuales del negocio y puede ser procesado a travs de la herramienta
de desarrollo de aplicaciones para producir un sistema actualizado.
La madurez de la tecnologa de reingeniera de software tiene diferentes
implicaciones significativas para la auditoria. Adems de proveer un
medio para actualizar los sistemas existentes en forma rpida, la
reingeniera de software puede cambiar tambin los factores
econmicos involucrados en la actualizacin y correccin de los
controles deficientes en los actuales sistemas. Igualmente esta tcnica
puede proveer un mtodo de costo-efectivo para que los auditores
formulen un modelo de proceso para los sistemas antiguos, donde la
documentacin del sistema existente puede estar desactualizado o
incompleto.
1.2.6 Disponibilidad de Acceso a la Informacin
Como el costo del medio de almacenamiento ha disminuido, la cantidad
de datos almacenados electrnicamente por la empresa, ha aumentado
significativamente.
12
La relativa facilidad del acceso en medios magnticos frente a los datos

en papel ha permitido manejar el acceso a base de datos histricos
mucho ms comprensibles, lo que ayuda a la toma de decisiones.
Debido a la globalizacin de las organizaciones y sus mercados, se
continuar incrementada la cantidad de datos requeridos para el manejo
efectivo de los negocios. Estos factores vuelven a colocar a un nivel alto
el nfasis sobre los programas de manejo efectivo de los datos.
Desde la perspectiva del auditor, no slo sern requeridos los controles
para asegurar que los datos necesarios para el manejo, estn
disponibles cuando sean pedidos y sean precisos, pero habr tambin la
necesidad de garantizar que los datos sean destruidos cuando no sean
de utilidad. La destruccin oportuna de los datos elimina el exceso de
costo por la retencin de datos y limita el riesgo que tiene la
organizacin desde un punto de vista de litigios.
Otro aspecto en el incremento de la disponibilidad de informacin
resulta de los cambios filosficos en la relacin que puede haber entre el
trabajo y la administracin en muchas organizaciones. Una vez se ha
caracterizado como adversa la relacin, esta es reemplazada por un
ambiente de cooperacin y compaerismo. Este movimiento tiene
resultado en un medio ambiente abierto, estamos hablando de
compartir datos del negocio entre los participantes.
Desde la
perspectiva del auditor, esto puede afectar, debido a diseminacin
indiscriminada de los datos del negocio, como consecuencia la
valoracin del riesgo y los controles de acceso se enfocarn ms sobre
la sensibilidad de la informacin y la importancia de la confidencialidad.
1.2.7 Medio Ambiente Regulador
Los requerimientos de las diferentes agencias gubernamentales colocan
exigencias adicionales sobre los sistemas de informacin. Debido a que
las regulaciones gubernamentales cambian y las organizaciones
comienzan a depender ms de los datos almacenados en medios
magnticos como soporte de conformidad con las regulaciones, las
aplicaciones debern ser modificadas o perfeccionadas para satisfacer la
demanda.
Adicionalmente las implicaciones de las debilidades del control en
cuanto hace referencia a la retencin de los datos de la organizacin y
las polticas de seguridad sern ms significativas. Por ejemplo, si los
medios magnticos son utilizados para almacenar datos exigidos por la
administracin de impuestos, se podra incurrir en sanciones financieras
13
significativas, si los datos son borrados en forma prematura o no pueden

ser ledos en el momento.
1.2.8 Integracin de los Sistemas de Informacin Contables
Los sistemas integrados continan reemplazando las aplicaciones
individuales del pasado. Los sistemas integrados se caracterizan por
base de datos pblicos, rutinas de edicin y validacin comunes,
mtodos de acceso y navegacin, e informe y formatos de pantalla
consistentes. Los objetivos de la integracin estn orientados a reducir
las redundancias en los datos y funciones, ampliando el desarrollo de
sistemas y actividades de mantenimiento, y mejorar el acceso a la
informacin de vital importancia para la organizacin. Ya que aumenta
la integracin de la informacin, aumenta la complejidad de los sistemas
y el riesgo asociado a stos.
Otra forma de integrar la informacin es el nter organizacin de los
sistemas; estos sistemas se caracterizan por el esfuerzo de dos
organizaciones en el desarrollo cooperativo de los sistemas, es decir el
comprador y el vendedor utilizando en lo posible estndares. Estos
sistemas requieren por lo menos de dos partes, a menudo con diferentes
objetivos comerciales, para colaborar en el desarrollo de la unin de un
sistema basado en computadores. Cada parte normalmente desarrolla y
opera sus componentes, pero cada uno de ellos no trabajar sin el otro
componente.
1.2.9 Avances Tecnolgicos
El promedio de cambios tecnolgicos en los computadores, contina
incrementndose. Los avances en cuanto al poder de procesamiento
tanto en los minicomputadores como en los microcomputadores, la
introduccin de la tecnologa de almacenamiento como el CD-ROM,
D.V.D. etc., ejerce una influencia sobre los sistemas de negocios. Uno
de los mayores cambios que enfrentar el auditor interno ser el
mantenimiento de un nivel de conocimientos suficientes para juzgar las
implicaciones del control de la tecnologa que sirve como fundamento en
los sistemas crticos en las organizaciones. Ser necesario incrementar
la especializacin dentro de la funcin del auditor o alternativamente
incrementar el uso de asesores como un tercer participante u otros
recursos externos especializados para la funcin de auditoria.
Una de las tendencias potencialmente ms importantes es el
procesamiento cooperativo con su fundamento en las arquitecturas
Cliente-Servidor. Esta tecnologa facilita la integracin de computadores
14
personales, estaciones de trabajo (Workstation), minicomputadores,

supercomputadores
(mainframes), redes institucionales orientadas
hacia las necesidades del usuario final. Aunque el procesamiento
cooperativo tiene un mayor impacto en todos los aspectos del
computador y el software, este es ms grande en los programas
aplicativos. Casi todas las categoras de aplicaciones se vern afectadas
por los requerimientos estructurales y oportunidades funcionales de los
procesamientos cooperativos.
1.3
CAMPO DE ACCIN DE LA AUDITORIA DE SISTEMAS DE

INFORMACIN
La auditoria debe comprender una revisin de todas las polticas y

procedimientos de seguridad, adems de las pruebas de estos
procedimientos, para determinar si se estn cumpliendo y si satisfacen
las normas del gobierno, de la industria y de la organizacin en las reas
de evaluacin de los centros de cmputo y tecnologas relacionadas,
evaluacin de los procedimientos especficos, evaluacin de los sistemas
de informacin, entradas, procedimientos, controles, archivos, seguridad
y obtencin de informacin, y soporte a otras reas funcionales de
auditoria.
La auditoria de sistemas de informacin consiste en ejecutar un examen
independiente y objetivo de la Seguridad del entorno, para determinar si
las medidas de seguridad establecidas son razonables y suficientes para
proteger los recursos informticos de la Empresa contra daos
intencionales y no intencionales.
Es indispensable que la auditoria sea realizada por personas que no
estn relacionadas con el Departamento de Sistemas, para permitir que
los resultados sean imparciales. Por esta razn, los auditores son
responsables de evaluar y no de establecer la seguridad.
1.4 UBICACIN TIPICA DE LA AUDITORIA DE SISTEMAS
La mejor ubicacin de la funcin de auditoria de sistemas en una
empresa es la divisin de Auditoria Interna, porque se trabaja de manera
ms independiente.
Algunos opinan que si depende de la Gerencia de Sistemas el flujo de
informacin y las comunicaciones van a ser mejores, pero se pierde en
cierto grado, esa independencia de criterio que es fundamental para el
15
auditor. Se comenta adems que es mejor depender directamente de la

gerencia general porque permite adoptar acciones correctivas ms
rpidas y evitar distorsiones en el contenido de las recomendaciones.
De todas maneras el auditor de sistemas debe trabajar con el gerente de
sistemas, con el gerente administrativo y con el auditor interno general,
para conocer las reas sobre las cuales va a desarrollar sus funciones y
hacer que sus sugerencias lleguen a feliz trmino en un perodo de
tiempo ms corto.
Adems es bastante til y adecuado que la gerencia de sistemas forme
parte de todo el proceso administrativo donde se coordinan las
actividades, los esfuerzos, se distribuyen las responsabilidades, para que
se vean los resultados de manera integral en todo el contexto
organizacional empresarial de acuerdo con los objetivos y polticas
planeadas por la gerencia general. Finalmente la funcin de auditoria de
sistemas tambin puede ser desarrollada en las empresas a nivel de un
trabajo de consultora.
1.5 TCNICAS DE AUDITORIA DE SISTEMAS DE INFORMACIN
Las normas internacionales de auditoria emitidas por IFAC en la NIA 15 y
16 contemplan que en el ejercicio de la auditoria financiera en empresas
de cualquier tamao, cuando estas llevan sus registros contables en
ambientes computacionales, la aplicacin de procedimientos de
auditoria requerir de tcnicas adicionales a las tradicionales. Los
profesionales de la contabilidad y la auditoria debern valerse de estas
tcnicas, para que su trabajo siga siendo eficiente y no caiga en la
obsolescencia.
Cada vez, los volmenes de informacin para revisar o evaluar sern
ms grandes, pretender realizar la labor solo con tcnicas manuales nos
demandar mucho tiempo y los resultados se vern muy tarde. En los
momentos actuales el Contableauditor que no utilice el computador
para aplicar estas tcnicas quedar fuera del mercado.
1.5.1 Tcnicas Manuales
Inspeccin: consiste en examinar los documentos, procedimientos y

activos tangibles.
La inspeccin de registros y documentos
proporciona evidencia de diversos grados de confiabilidad
dependiendo de su naturaleza y fuente, as como de la eficacia de los
controles internos a lo largo del procesamiento. La inspeccin de
16
activos tangibles da lugar a una evidencia fidedigna en relacin con

su existencia pero no necesariamente con su propiedad o valor.
Observacin: consiste en examinar el proceso o procedimientos que

otros realizan. Ejemplo: Observar el conteo de los inventarios o la
ejecucin de los procedimientos que no dejan rastros de auditoria.
Investigacin: consiste en buscar una informacin recurriendo a

personas claves ya sea dentro o fuera de la entidad a travs de
simples preguntas orales a los empleados. Las respuestas de estas
investigaciones permiten al auditor contar con una informacin o
evidencia para corroborar.
Confirmacin: la respuesta que se da a una investigacin que

pretende ratificar los datos contenidos en los registros contables.
Calculo: verificacin de la precisin aritmtica de los documentos

fuente y de los registros contables o en la realizacin de clculos
independientes.
Revisin analtica:
estudiar razones y tendencias financieras
significativas as como investigar fluctuaciones y partidas poco
usuales.
1.5.2 Tcnicas Automatizadas
Datos de prueba: es ejecutar la aplicacin con datos preparados por

el auditor que genera resultados ya establecidos o conocidos por l.
Sirve para saber que hace el programa y que controles tiene.
Caso bsico: es una ligera variacin de datos de prueba. Consiste

en ejecutar la aplicacin con el paquete de datos de prueba
desarrollados por el personal de sistemas.
I.T.F.
(Integraded test facility) prueba integrada de facilidades:
consiste en mezclar informacin ficticia con la real en un proceso
normal
Simulacin paralela: utiliza programas desarrollados por auditoria

para procesar informacin viva y simular el proceso normal.
Operacin paralela:
consiste en procesar los datos reales con
duplicados de los programas que estn bajo el control total del
17
auditor. Debe utilizar otro programa para que le compare los archivos
porque los volmenes de informacin son altos.
Anlisis de listado de compilacin: el auditor estudia y analiza las

instrucciones de los diferentes programas de la aplicacin.
1.5.3 Tcnicas para Verificar Transacciones
Paquetes de auditoria:
conjunto de programas que tienen la
capacidad de procesar archivos, controlados por parmetros de
entrada definidos por el auditor.
Las funciones de estos paquetes son:

control de secuencia,
bsqueda de registros en archivos, seleccin y presentacin de
informacin de los archivos, realizacin de operaciones lgicas con la
informacin, estratificacin, muestreo estadstico, elaboracin de
cartas de confirmacin, preparacin de reportes, clculos para
comparar contendidos en otros archivos, comparar dos archivos y
encontrar diferencias.
Software diseado: son programas elaborados especialmente para

auditoria que se convierten en herramientas necesarias para aplicar
otras tcnicas descritas anteriormente. Estos programas pueden ser
diseados exclusivamente para satisfacer requerimientos de
informacin de auditoria.
Rutinas incluidas en el programa de la aplicacin: uno o ms

mdulos de recoleccin de informacin involucrados en la aplicacin
para seleccionar y registrar informacin para anlisis posterior.
Registros extendidos: consiste en reunir por medio de programas

especiales en un solo registro toda la informacin significativa sobre
una determinada transaccin.
1.5.4 Tcnicas para Analizar Programas
Snapshot: permiten obtener una fotografa interna de el sistema, es

decir de la memoria, por ejemplo de resultados intermedios de un
proceso. Utiliza modelos involucrados dentro de los programas que
activa bajo ciertas condiciones preestablecidas.
18
Traceo: indica por donde pas el programa. Cada vez que se ejecuta
una instruccin me imprime o muestra en pantalla el valor de las
variables. Puede activarse para todo el programa o para parte del
programa y para las variables.
Mapeo: indica caractersticas de los programas tales como el tamao

del programa en bytes, localizacin en la memoria y la fecha de la
ltima modificacin.
Diagramas de flujo:
consisten en una secuencia lgica de un
proceso, que permiten visualizar las etapas de un procedimiento
dentro de un programa.
Comparacin de cdigo: comparacin de cdigo de los programas en

poder de auditoria con el cdigo fuente de los programas en
produccin y con el cdigo objeto de produccin.
Revisin manual de la lgica del programa: se sigue paso a paso

cada una de las instrucciones del programa, verificando los diferentes
valores que toman las variables del programa. El auditor debe
conocer el lenguaje de programacin y dominar la manera de
entender la lgica de un programa.
Job accounting software: el informe de la contabilidad del sistema es

un utilitario del software del sistema que provee los medios para
acumular y registrar la informacin necesaria para facturar a los
usuarios y para evaluar la economa del uso de los sistemas de
computador.
1.5.5 Auditoria Alrededor del Computador vs.

Computador
a Travs del
Un sistema basado en computador puede ser auditado alrededor o a

travs del computador. La auditoria alrededor del computador involucra
examinar la entrada y la salida del computador pero no examina el
procesamiento del computador.
Esta alternativa es ms til en sistemas nicos no sofisticados. Por
ejemplo, supongamos que un sistema de nmina toma los datos y las
horas de la tarjeta de tiempo como entrada y entonces genera totales
de nmina y deducciones y no tiene conexin con otros sistemas. Este
sistema de nmina puede ser auditado alrededor del computador
examinando slo la entrada y la salida. Sin embargo, en sistemas ms
19
complicados, esta alternativa no es posible. La entrada del subsistema

examinado es frecuentemente la salida de otros subsistemas, y esta
salida es la entrada a otros subsistemas. De esta forma, no es posible
tratar cualquier subsistema aisladamente, y la auditoria debe ser a
travs del computador.
Auditoria a travs del computador significa que el computador se audita
a s mismo. Debido a que los datos y la pista de auditoria son en forma
electrnica, no pueden ser ledos examinados directamente por el
auditor, y debe hacerlo el computador por si mismo. El examen
consistir en pruebas de cumplimiento de los controles internos
adecuados y pruebas sustantivas de los balances contables finales.
Despus de una revisin preliminar del sistema, el auditor debe adquirir
evidencia relacionada con la efectividad del control interno.
Esta evidencia es usualmente adquirida mediante la observacin,
revisin de los documentos, pistas de transacciones y cuestionarios de
control interno. Usando esta evidencia, el auditor debe decidir si puede
o no contar con los controles internos para detectar errores. Si el auditor
puede contar con ellos, entonces hay una revisin detallada de los
controles generales y controles de aplicacin. Los controles generales
se aplican a todo el sistema, mientras que los controles de aplicacin
slo se aplican a una aplicacin particular, como cuentas por cobrar.
Los controles de aplicacin son luego agrupados en controles de
entrada, controles de procesamiento y controles de salida. Las pruebas
de cumplimiento incluyen el uso de una prueba de escritorio, una prueba
integrada de facilidades, pista del programa, una revisin de la lgica
del programa, comparacin del programa, simulacin paralela,
implantacin de mdulos de auditoria y datos contables de trabajo.
Las pruebas sustantivas examinarn los balances contables
directamente, usualmente con software independiente bajo el control del
auditor llamado software de auditoria generalizado.
Hay una relacin entre pruebas de cumplimiento y pruebas sustantivas.
La mayor es la confianza que se pueda tomar sobre el control interno del
sistema para detectar errores, la menor es la necesidad para analizar los
balances directamente.
1.6
20
OBJETIVOS DEL CONTROL EN LA AUDITORIA DE SISTEMAS

DE INFORMACIN CONTABLE
1.6.1 Entorno de Auditoria y Control

Asegurar que un adecuado entorno de auditoria y control sea empleado
dentro de la organizacin, es responsabilidad de la administracin, quien
determina los parmetros para toda la organizacin, incluyendo los del
sistema de control interno que manejen los riesgos asociados con el uso
de tecnologa de informacin. El sistema de control interno incluye los
procesos, funciones, actividades, subsistemas, procedimientos y la
organizacin de recursos humanos que proporcionen seguridad
razonable para lograr las metas y objetivos de la organizacin y
garanticen que los riesgos sean reducidos a un nivel aceptable.
Los elementos clave en el sistema de control interno incluyen el entorno
de control, los sistemas manuales y automatizados y los procedimientos
de control. Estos elementos se pueden describir de la siguiente manera:
Un buen entorno de control proporciona las bases para la operacin

de los sistemas y controles, as mismo, contribuye a su confiabilidad.
Los sistemas manuales y automatizados afectan a la forma como la

informacin es procesada, almacenada, informada o transferida.
Los procedimientos de control referentes a sistemas de informacin,

incluyen controles generales y de aplicacin especfica.
Las
consideraciones
de
costo/beneficio
son
extremadamente
importantes en la implementacin de controles que reducen el riesgo.
Todos
los
controles,
independientemente de la clasificacin
(preventivos, detectivos, correctivos, etc.) estn diseados para mitigar
los riesgos y para permitir el logro de tres objetivos principales:
Integridad en la informacin, encaminada a apoyar el proceso de

toma de decisiones.
Seguridad y proteccin del hardware, software e informacin del

sistema de informacin de la organizacin.
Cumplimiento con los procedimientos y disposiciones internas y

externas.
Los adelantos en la tecnologa de informacin y la dependencia de las

organizaciones
en
sus
sistemas
de
informacin,
continan
21
proporcionando retos significativos tanto a la administracin como a los

auditores. Para trabajar efectivamente, todos los auditores requieren
aumentar sus habilidades en sistemas de informacin y tecnologa.
Actualmente, los departamentos de auditoria interna estn asumiendo
estos retos a travs de lo siguiente:
La integracin de la auditoria interna con las habilidades de los

sistemas de informacin.
Enfocar al personal, esto incluye pedir prestados especialistas desde

organizaciones funcionales y turnos de servicio en la seccin de
auditoria.
Ajustar y afirmar el entrenamiento.
Los objetivos generales del control interno en sistemas son la

autorizacin,
procesamiento
y
clasificacin
de
transacciones,
salvaguarda fsica, verificacin y evaluacin
1.6.2 Objetivos de Autorizacin
Todas las operaciones deben realizarse de acuerdo con autorizaciones
generales o especficas de la administracin. Las autorizaciones deben
estar de acuerdo con criterios establecidos por el nivel apropiado de la
administracin.
Las transacciones autorizadas deben quedar en
archivos adecuados y procesarse oportunamente.
1.6.3 Objetivos
del
Procesamiento
Transacciones Financieras
Clasificacin
de
Todas las operaciones deben registrarse para permitir la preparacin de

los estados financieros en conformidad con los principios de contabilidad
generalmente aceptados. Adems deben mantenerse archivos con los
datos correspondientes a los activos sujetos a custodia.
Las transacciones deben clasificarse en forma tal que permitan la
preparacin de los estados financieros, de acuerdo con los principios de
contabilidad generalmente aceptados, las transacciones deben quedar
registradas en el perodo a que corresponden y si afectan varios ciclos
deben quedar especificadas a que ciclos corresponden.
1.6.4 Objetivos de Salvaguarda Fsica
22
El acceso a los activos: equipos e informacin que slo debe

permitirse de acuerdo con autorizaciones de la administracin.
1.6.5 Objetivos de Verificacin y Evaluacin

Los datos registrados relativos a los activos sujetos a custodia deben
compararse con los activos existentes a intervalos razonables y tomar
las medidas apropiadas respecto a las diferencias que existan.
Igualmente debe suceder con los saldos de los estados financieros.
1.7
BASES PARA LA AUDITORIA DE SISTEMAS DE INFORMACIN
Al estudiar un ambiente computarizado el auditor debe tener en cuenta

dos aspectos:
Examinar el marco de control:
El marco de control organizacional y estratgico.

Practicas de control y gerencia de la actividad P.E.D.
Identificacin de las aplicaciones clave desde el punto de vista de

auditoria y asignacin de controles:
Controles sobre entradas y salidas (E/S).

Controles de proceso.
Funcionalidad del ciclo de proceso de auditoria.
Manejo de los errores detectados en el proceso.
Se debe recordar que aunque al auditor se le exige considerar el entorno
E.D.P. desde dos puntos de vista: el del marco de control general y el de
las aplicaciones financieras. El alcance del estudio en cualquier rea
depende de los controles en que confe el auditor.
Sea que el auditor mire los controles generales o los de las aplicaciones,
este tiene que considerar tres niveles de estudio:
Recoger informacin sobre la manera de operar el sistema de E.D.P.
Acumular evidencia para demostrar como opera el sistema E.D.P.
Acumular evidencia en cuanto a razonabilidad y correccin de los

registros sea el sistema computarizado o no.
23
Es decir, al auditor se le exige hacer una evaluacin preliminar del

entorno E.D.P. como parte del proceso de auditoria desde el punto de
vista del control general y de las aplicaciones.
A partir del estudio preliminar el auditor determina al alcance del
anlisis en detalle y las pruebas de cumplimiento procedimental
necesarias, con base en la extensin de la auditoria y el grado de
confianza dados al control.
1.8
REPERCUCIN DEL ENTORNO INTERNACIONAL EN LAS

AUDITORIAS DE SISTEMAS DE INFORMACION CONTABLES
En las auditorias de sistemas de informacin que se realizan en

diferentes pases, el auditor debe considerar unos riesgos que plantea el
entorno por sus caractersticas, que puede llevar a que las diferencias no
sean solo normas y regulaciones de los sistemas de informacin
contable y de los estndares de control de sistemas. No obstante la
auditoria de sistemas de informacin, a nivel internacional por parte los
auditores es una practica que se viene dando cada vez mas a menudo,
debido a que las empresas importan y exportan tecnologa informtica
para la operacin de sus negocios en diferentes partes del mundo. Ya
que esto les permite estar en conocimiento de la informacin en tiempo
real, funcionar operacionalmente y tomar decisiones. Sin embargo esto
conlleva que el auditor de sistemas de informacin incremente los
controles sobre los sistemas locales y remotos, para obtener seguridad
de la integridad de estos.
La diversidad de entornos en los diferentes pases, en cuanto a los
sistemas contables se ven afectadas por diferentes factores como el
sistema legal y fiscal, factores polticos, factores econmicos y factores
socioculturales. Vindose reflejados estos en riesgos como la seguridad
de orden pblico en diferentes pases, los diferentes cambios de
moneda, sindicatos laborales, la calidad y tecnologa de los servicios
pblicos de las comunicaciones y el transporte, el desarrollo tecnolgico
de un pas y otros riesgos que puedan llevar a considerar una ventaja o
desventaja para el negocio y por ende para la auditoria.
1.9
COMPETENCIAS PRINCIPALES DEL AUDITOR DE SISTEMAS

DE INFORMACIN
24
1.9.1 Intervencin en el Diseo de Sistemas

La participacin del auditor en los diseos de sistemas se refiere a
asesorar sobre la implementacin de controles para prevenir la
ocurrencia de riesgos. Cuando se disean los nuevos sistemas de
informacin es el mejor momento para establecer los controles de
dichos sistemas. El papel del auditor debe ser de asesor y no de crtico,
de colaborador y no de ordenador, adems se deben crear las pistas de
auditoria para facilitar el ejercicio o la prctica de la misma
posteriormente.
1.9.2 Auditoria de Aplicaciones
La participacin en las auditorias de las aplicaciones se refiere a evaluar
los controles de las aplicaciones en funcionamiento. Cuando la Auditoria
Interna de Sistemas no est establecida en la empresa contratan a una
persona natural o jurdica para que a travs de un proceso metodolgico
realice su trabajo, determine los puntos crticos, las reas reales de
riesgo, lleve a cabo las pruebas de cumplimiento y sustantivas del caso
y d sus sugerencias y recomendaciones.
1.9.3 Revisin de la Integridad de la Informacin
Evaluar que la informacin sea completa, exacta, autorizada,
consistente, y relevante. Es importante verificar si los procedimientos
de control interno y las pistas administrativas, de proceso y de auditoria
aseguran el control administrativo y la evidencia de auditoria de que la
informacin cumple con los requisitos anotados.
1.9.4 Revisin del Mantenimiento a Sistemas y Programas
Los sistemas necesitan mantenerse, la informacin almacenada en
discos duros durante el proceso necesita bajarse a cintas, cartuchos u
otros perifricos de almacenamiento, las copias de seguridad deben
efectuarse oportunamente, no debe permitirse subir informacin de
terminales al disco duro del servidor; en general estos son algunos de
los aspectos del mantenimiento al sistema.
Particularmente cuando se realiza un cambio a un programa, se
constituye en un momento bastante vulnerable para cometer fraude, el
conocimiento del lenguaje de programacin es bastante til, adems
que el conteo de las instrucciones y la verificacin del listado de
compilacin anterior y el nuevo, el procedimiento de controlar la
25
ejecucin de un cambio a un programa debe incluir autorizacin,

documentacin, fechas, justificacin, copias y pruebas.
1.9.5 Revisin de Procedimientos Generales de Operacin
Es muy tpico del auditor de sistemas externo, verificar todos los
procedimientos de produccin de todas las aplicaciones, evaluando los
puntos de control de cada procedimiento.
1.9.6 Revisin del Sistema Operacional
Para lograrlo hay que tener un conocimiento del funcionamiento del
sistema operacional desde su configuracin inicial, sus usos, sus
procesos, sus seguridades y los usuarios. Este campo forma parte de la
auditoria de sistemas especializada.
1.9.7 Revisin Administrativa
Su objetivo es evaluar la gestin del administrador no el administrador,
es bastante difcil lograrlo, pero es importante involucrar los conceptos
de eficiencia, eficacia y costos vs. beneficios.
1.9.8 Administracin
de
Sistemas
de
Especializados para Auditores de Sistemas
Informacin
Son muy tiles porque permiten en poco tiempo generar muestras,

hacer comparaciones y en general obtener listados que servirn de base
para los anlisis por parte de los auditores de sistemas de los casos
excepcionales o anormales.
1.10 FORMACIN DEL AUDITOR DE SISTEMAS DE INFORMACIN
CONTABLE
La Federacin Internacional de Contables
(IFAC)
en su Gua
Internacional de Formacin No 9 de julio de 1991 revisada en octubre de
1996 (Valoracin de la competencia profesional y requerimientos de
experiencia de contables) y la gua No. 11 de 1995 (Tecnologa de la
Informacin en el Curriculum de Contabilidad), reconoce que no todos
los pases estn en el mismo nivel de utilizacin de tecnologa para la
informacin.
Los organismos miembros, por lo tanto necesitarn;
interpretar las recomendaciones de esta gua a la luz de la tecnologa
actualmente disponible en sus pases, y deben reconocer la necesidad
de que los auditores estn constantemente al tanto de los desarrollos y
cambios que se producen, tanto en sus respectivos pases como en el
26
extranjero: se les anima para que intercambien informacin con otros

organismos u rganos miembros e instituciones y para asegurarse de
que los desarrollos o innovaciones, generalmente, sean conocidos y con
ello se evite la duplicidad de esfuerzos en el campo de la formacin.
La utilizacin de computadores y avances en tecnologa de informacin
estn cambiando continuamente las tcnicas de acumular, manipular y
divulgar
datos
contables;
estos
avances
han
modificado
fundamentalmente los mtodos tradicionales del tratamiento de datos
contables en Auditoria; los avances en los sistemas de proceso de datos
que se han distribuido han conducido a la descentralizacin de la funcin
de automatizacin de los usuarios finales y el bajo coste del
microordenador ha permitido que organizaciones pequeas puedan
mejorar sus sistemas de informacin.
El uso intensivo de TI exige que los auditores se familiaricen con sus
aplicaciones; por tanto, es vital que se entrenen para reconocer,
comprender y evaluar el impacto de la TI en un entorno contable y de
auditoria en los que operan.
El uso de computadores y la disponibilidad de diversos paquetes de
programas ofrece nuevas oportunidades para los auditores financieros;
les capacita para suministrar servicios diversificados a clientes y
empresarios, y para explorar y usar las bases de datos a efectos de
resolver toda clase de problemas: los computadores representan una
herramienta valorable para solucionar problemas en el mbito de la
contabilidad financiera, la Auditoria y la planificacin fiscal.
Los estudiantes de Auditoria pueden adquirir parte de sus conocimientos
y habilidades en la tecnologa de la informacin antes de comenzar su
formacin profesional; por ejemplo, a travs del estudio en su propia
casa, de una formacin pre - profesional, o experiencia de trabajo. El
uso de computadores en programas de formacin le ayudar a
desarrollar an ms sus actuales conocimientos y experiencia.
La Federacin recomienda que los auditores obtengan el conocimiento
necesario de la TI a travs de un sistema de dos componentes: el
primer componente incluye cursos bsicos dirigidos, bien como un
requisito previo al programa de formacin contable y formal, o como los
primeros cursos del programa; el segundo componente trata de la TI
como un elemento esencial integrado dentro del curriculum normal del
programa de formacin contable; por ejemplo, un curso en proceso de
datos sobre Auditoria que es ofrecido como parte de los cursos normales
de Auditoria.
27
Las aplicaciones de sistemas informticos de ordenadores pueden

integrarse dentro de muchas materias, por ejemplo, los sistemas
contables computarizados pueden ser parte del programa de
contabilidad normal, y a los estudiantes se les puede pedir una
preparacin en el diseo de sistemas contables para cubrir distintas
necesidades de la direccin y contabilidad, y para preparar los estados
financieros y consolidados, mediante el uso de programas informticos o
software.
La previsin y anlisis de sensibilidad, basados en programas, pueden
incorporarse como parte de un curso sobre estados financieros,
presupuestos o control presupuestario.
El informe COBIT (1998), recomienda una estructura de conocimientos
bsicos y habilidades en anlisis, diseo, construccin y mantenimiento
de S.I., teora general de riesgos y controles aplicados a los S.I., control
interno en las organizaciones, auditoria operacional, financiera y de
sistemas, tcnicas y herramientas de verificacin de controles manuales
y automatizados en las aplicaciones en computador, elaboracin y
organizacin de papeles de trabajo, conocimientos sobre elaboracin y
presentacin de informes, metodologas, enfoques y tecnologas de
punta, tcnicas de control en etapas del ciclo de vida de sistemas,
planificacin de sistemas, administracin de medios magnticos,
conocimientos de contratacin de servicios de computador, seleccin y
adquisicin de software y hardware, estndares de sistemas, controles
de seguridad fsica en centro de procesamiento de datos y lgica del
software y de los datos, conocimientos y experiencia para planear,
organizar, dirigir y controlar la funcin de Auditoria de Sistemas,
familiaridad con los planes, polticas, normas, estrategias y negocios de
la organizacin, tecnologas de informtica utilizada por la competencia
y conocimientos de los riesgos inherentes a los negocios controlados por
las aplicaciones de la empresa, adems de los conocimientos generales
del Contador - Auditor en administracin, auditoria y contabilidad
financiera, legislacin, estadstica, conocimiento de la empresa y su
entorno.
El auditor de sistemas de informacin deber tener habilidades para el
desarrollo de sus actividades como una visin de negocios, capacidad
para hacer anlisis de situaciones, riesgos y controles, mantener buenas
relaciones interpersonales a todo nivel, fcil comunicacin para
transmitir sus ideas, adaptable fcilmente al trabajo en grupo,
evaluacin de las cosas en su justa dimensin y con objetividad, asesor,
solucionador de problemas, ejecutar su trabajo de acuerdo con los
principios morales adecuados y el cdigo de tica profesional.
1.11
28
RESPONSABILIDADES DEL AUDITOR
El estndar de auditoria (SAS) No.3 Revisin Preliminar de los

Controles Contables en el Sistema Electrnico por parte del Auditor,
establece que es responsabilidad del auditor determinar si su cliente
utiliza el PED., para el proceso de su informacin contable; si es as,
deber considerar los efectos de este en el control interno y estudiar las
aplicaciones del sistema para establecer la funcin individual de los
mismos. Lo anterior se tiene que lograr dentro del contexto general del
anlisis y evaluacin del control interno.
El inters del auditor en el control interno permanece igual ya sea en un
ambiente manual o computarizado.
Sin embargo en sistemas
computarizados se requieren controles adicionales debido a la
exposicin de estos a riesgos o debilidades, lo que hace necesario que el
auditor entienda completamente la estructura del sistema de control a
establecerse cuando PED. Es clave en el sistema de informacin del
cliente.
El inters del auditor en conocer los tipos de control en el entorno PED, y
en el sistema general de control interno, consiste en determinar los
controles en que puede confiar y el alcance de estos a fin de establecer
o poner un lmite a la auditoria y con especial referencia al monto de las
pruebas necesarias. Como resultado de lo que el pronunciamiento No.3
se refiere a la fase preliminar de la revisin del auditor, este deber
obtener:
Un conocimiento de flujo de transacciones tanto de la parte manual

como de la parte automtica del sistema contable.
Conocimiento
automticas.
Conocimiento de la estructura fundamental del control contable.
del
alcance
del
uso
de
aplicaciones
contables
A partir de ello el auditor podr determinar los controles automticos y

no automticos en que puede confiar en el proceso de auditoria para
poder evaluarlos y probarlos.
Adems de las responsabilidades bsicas descritas en el SAS el auditor
tiene un gran inters en el entorno PED. Del cliente, ya que las
empresas hacen cada vez mas uso de los computadores hacindose
29
dicho recurso ms importante tanto a nivel financiero como operacional.

En este aspecto, el auditor deber interesarse en el impacto de estos en
los estados financieros desde el punto de vista inversin y de las
consecuencias que trae la interrupcin del servicio en las operaciones
corrientes de la empresa.
Este aspecto es adicional a las
responsabilidades de evaluacin del control interno, pero se deben tener
en cuenta al disear programas de trabajo y as poder cumplir con los
requerimientos de cada cliente, ya que existen reas que exigen una
mayor atencin y conocimiento.
El auditor de sistemas de informacin debe tener en cuenta que la
mayor responsabilidad por el control no es de l, sino de la
administracin:
Que los controles previenen, detectan y corrigen el riesgo.
El computador cambia la naturaleza del control.
Los problemas y/o prdidas crean la conciencia del control.
En procesamiento se requieren controles mejorados.
La auditoria es un control administrativo esencial.
Los auditores deben participar en el desarrollo de sistemas.
Los auditores deben verificar los controles antes y despus de la

instalacin de un sistema.

Con base a lo estudiado hasta el momento responder los siguientes
interrogantes:
Qu es auditoria de sistemas?
Cul es el principio de auditoria de sistemas?
Qu impacto producen las tecnologas de informacin en la auditoria

financiera?
Identificar las diferentes tcnicas de auditoria de sistemas de

informacin.
Describir los diferentes objetivos de la auditoria de sistemas de

informacin contable.
30
Que papel desempea el auditor de sistemas en la gestin

empresarial?
Como demostrara usted que la utilizacin del computador es un

medio para la minimizacin de costos en la realizacin de una
auditoria financiera?
Identificar Contadores Pblicos que hayan desarrollado dentro de su

ejercicio profesional, auditorias apoyadas por computador y realizar
una entrevista acerca de los temas principales tratados en esta
unidad y relacionados con el concepto, fases, importancia y
legislacin de la auditoria de sistemas.
Con base en la informacin presentada en esta unidad, en dilogos

con Contadores Pblicos en ejercicio y en la legislacin vigente,
realizar un breve ensayo acerca de la situacin actual de la auditoria
de sistemas y su desarrollo en el medio.

Los procesos especficos de auditoria, que se pueden facilitar a travs de
la aplicacin de tecnologa son la direccin, planificacin, administracin
e informes de las auditorias.
Para sustentar sus opiniones y
recomendaciones los contables tienen que planear cuidadosamente su
trabajo, organizar y documentar la evidencia de sus hallazgos, en un
entorno que esta cambiando continuamente.
Los sistemas de informacin de las empresas se pueden resumir en
sistemas de aplicacin central, comunes en la mayora de
organizaciones como contabilidad, nmina, dems sistemas financieros
y sistemas especficos para la industria como son: transferencia
electrnica de fondos, procesamiento de reclamaciones de seguros,
integracin de la computacin al sector industrial, sistemas de servicio
al cliente en empresas de servicio pblico y planificacin de mercadeo
para comerciantes.
Aunque, cada sistema est sujeto a su propio y nico conjunto de
riesgos hay riesgos que son comunes a todos los sistemas de negocios
como el acceso no autorizado a funciones de procesamiento o a
31
informacin, prdida de integridad y/o exactitud de la informacin e

interrupciones en el procesamiento. Las consecuencias de estos riesgos
pueden llevar a errores en la administracin o en los informes
financieros, costos excesivos, prdida de ventaja competitiva, prdida o
destruccin de valores, sanciones legales y la oportunidad para la
ejecucin de actividades incorrectas.
Los controles para mitigar estos riesgos comprenden el control de
acceso al software
(por ejemplo, software de control de acceso,
caractersticas distintivas del sistema de administracin de la base de
datos, etc.), controles de seguridad fsicos para restringir el acceso a
personas no autorizadas, controles sobre la exactitud e integridad de la
informacin,
transacciones rechazadas y adems
pendientes,
procesamiento completo y exacto dentro del perodo de contabilidad
propiamente dicho.
Con base en este contenido, realizar un cuadro sinptico.
Autoevaluacin
Que es auditoria de sistemas?

Enunciar y explicar los diferentes ambientes en que se desenvuelven
las auditorias apoyadas por computador.
Cual es el propsito de la Auditoria de sistemas?
Enunciar y explicar las etapas principales en la realizacin de una

auditoria de sistemas.
Cual es su opinin acerca de la situacin actual en el desarrollo de
las Auditorias apoyadas por computador?
Disear un mapa conceptual que contenga la definicin, funcin y el

alcance de la auditoria de sistemas.
Disear un diagrama que refleje la estructura de la realizacin de una

auditoria de sistemas y su funcionalidad en la gestin empresarial.
32
Elaborar un glosario de trminos que considere ms relevantes en el

ambiente del rea de auditoria de sistemas.
Page, J.; Hooper, P. Accounting and Information Systems, Prantice Hall.
E.E.U.U. (1996).
Piattini, M.; del Peso, E. Auditoria Informtica un enfoque practico, RAMA, Espaa. (1998).
Snchez Toms, A. Sistemas Expertos en Contabilidad, Tcnica Contable,
n 514. (1991).
Serrano, C. L. Fabra y E. Lobera. Planificacin de Sistemas de
Informacin en la Empresa: El Intercambio Electrnico de Datos (EDI)
SCIRE: Representacin y Organizacin del Conocimiento, 1997, Vol. 2.
(1997).
Teodoro, J. "Intercambio electrnico de datos (EDI)", Ministerio de Obras
Pblicas, Transportes y Medio Ambiente, 1994.
The Institute of Internal Auditors Research Foundation's.
Auditability and Control, E.E.U.U. (1994).
SAC Systems
Costos Bsicos
33
UNIDAD 2: Control y Riesgo del

Sistema de Informacin Contable
Descripcin Temtica
Una adecuada estructura de control es necesaria para asegurar los
recursos de los sistemas de informacin contables y los datos que son
usados o producidos por el sistema. Las grandes organizaciones, con
millones de clientes y transacciones, no pueden continuar sus
operaciones sin sistemas que funcionen propiamente.
Las
organizaciones pequeas como las PYMES podran al menos sufrir
prdidas de productividad significativas.
Horizontes
Controlar el riesgo del sistema de informacin contable.
Asegurar los recursos de los sistemas de informacin contables.
Describir que diferencia existe entre riesgo y control
Identificar que tipos de riesgos que se pueden presentar en un

departamento de sistemas
Enunciar e identificar los tipos de controles para minimizar los riesgos

ms comunes en un departamento de sistemas.
Definicin
Marco De Referencia Para El Control
Controles Sobre Desarrollo, Adquisicin Y Mantenimiento De Los
Sistemas De Informacin Contables
Revisin De Tcnicas De Fraude Informtico
34
2.1
DEFINICIN
El informe COSO (1996), define el control como un proceso ejecutado

por el consejo de directores, la administracin y otro personal de una
empresa, diseado para proporcionar seguridad razonable con miras a la
ejecucin de los objetivos de efectividad y eficiencia de las operaciones,
confiabilidad de la informacin financiera y el cumplimiento de
regulaciones. El control interno esta compuesto por cinco componentes
interrelacionados que son el ambiente de control, valoracin de riesgos,
actividades de control, monitoreo, informacin y comunicacin.
2.2
MARCO DE REFERENCIA PARA EL CONTROL
Los elementos generales del control interno, plan organizacional,

sistemas de autorizaciones, estructura contable, prcticas de
desempeo del trabajo, calidad y moral del personal se aplican al
entorno de sistemas de informacin contables con uso del computador.
El control quiz es el ms crtico ya que este opera en ambientes
cerrados, con funciones muy desarrolladas con poco personal, mientras
que en otros entornos, estas, estn muy dispersas.
Existe una jerarqua de controles dentro del sistema P.E.D. El nivel
externo lo suministra la organizacin y la gerencia de la empresa.
Dentro de este marco opera el manejo y organizacin de la actividad
proceso de datos. Un elemento parte de esta actividad es la funcin de
control que supervisa la calidad del proceso. La operacin del proceso
de datos esta sujeta a una estructura organizacional.
2.2.1 Estructura de Control Organizacional
Un sistema computacional es de gran importancia en toda organizacin,
no solo desde el punto de vista de su inversin en equipo y personal sino
tambin por el servicio de registro, manipulacin y almacenamiento de
datos cuyo objetivo es suministrar informacin. Si esta funcin no se
maneja bien, puede convertirse en un gran problema para la empresa,
de donde se observa que la gerencia debe establecer un sistema de
polticas y autorizaciones definido sobre las actividades de esta para
poder evaluar su desempeo.
35
2.2.2 Gerencia versus Control

Las responsabilidades de la gerencia en cuanto al procesamiento de
datos consiste en:
Autorizacin de cambios y adiciones.
Revisin de costos de post-instalacin y efectividad de los proyectos

de sistemas.
Revisin de la organizacin, controles y practicas de a funcin

proceso de datos.
Evaluacin del desempeo.
Con responsabilidad de la gerencia se quiere decir, que los grandes

cambios dentro de la divisin, departamento o centro de computo y
sistemas de informacin se deben aprobar por esta con base en la
presentacin de una propuesta que debe ser evaluada en trminos de
costos y beneficios que se deriven de el. La compra de un sistema
nuevo o mejorado es comparable a la ampliacin de una planta o
fabrica, la cual tiene que ser estudiada en detalle antes de comprometer
grandes desembolsos. Y tambin como el sistema afecta el proceso de
datos de toda la organizacin, la gerencia debe entender toda la
actividad de cambio para poder autorizarlo y establecer los controles
adecuados.
El hecho de exigir la aprobacin gerencial fuerza al departamento o
gerencia de sistemas de informacin a planear y preparar propuestas de
cambio.
La gerencia tiene la responsabilidad de emplear personal competente,
con el entrenamiento adecuado en sistemas e informacin.
La
supervisin y el control diario, es responsabilidad de la direccin del
centro de cmputo de manera que una organizacin con controles y
procedimientos pobres indican debilidad en el manejo de este.
En este sentido A. Lpez (1997, Pg. 129), pone de manifiesto que el
director de informacin realiza funciones en lo relativo a la informacin y
su entorno, planificando y controlando todos aquellos aspectos que
tienen que ver, primordialmente con la obtencin, proceso y distribucin
de la informacin, tanto interna como externa. El control del desempeo
a este nivel exige un plan de actividades contra el cual se puedan
comparar las operaciones reales y reportar las desviaciones:
36
Costo de las actividades de proceso comparado contra el plan.
Frecuencia y duracin de las demoras en cumplimiento de los

programas.
Tasas de deteccin de errores en los distintos puntos de control.
La funcin de procesamiento de datos debiera ser organizada y

manejada usando mtodos de probada eficiencia en otras reas de la
entidad. Debe existir un plan de organizacin y una clara asignacin de
responsabilidades.
2.3
CONTROLES
SOBRE
DESARROLLO,
MANTENIMIENTO DE LOS SISTEMAS
CONTABLES
ADQUISICIN
Y
DE INFORMACIN
2.3.1 Investigacin Preliminar y Anlisis de Informacin

La participacin del auditor de sistemas en el desarrollo de proyectos de
sistemas es la manera ms efectiva y preventiva de asesorar con
esquemas de control.
La gran mayora de personas hemos sentido la necesidad de resolver
nuestros problemas de informacin a travs de sistemas de informacin
que se adapten a las condiciones y caractersticas especficas de nuestra
empresa y no al contrario que mis procedimientos se amolden al
sistema, sin descartar los cambios en los procedimientos, que busquen
agilizar las operaciones; surge entonces la necesidad de elaborar y
desarrollar nuestro propio proyecto de sistemas. En primer lugar se
parte de varios tipos de necesidades:
Requerimientos de informacin para los usuarios que constituyen un

nuevo sistema de informacin.
Necesidad de resolver un problema a travs de una solucin

sistematizada si es factible.
Necesidad de un cambio en el sistema de informacin actual.
Implementacin de un cambio de programas o de equipo por efectos

de introduccin de nuevas tecnologas.
Una vez concebida la anterior situacin, hay que definirla claramente y

concretarla para poder canalizar ms fcilmente las posibles soluciones.
Se pasa posteriormente a realizar los estudios de factibilidad tcnica,
econmica y operacional.
37
Factibilidad Tcnica
Se cuenta con la tecnologa para hacer lo que se propone, el equipo
propuesto tiene la capacidad tcnica para manejar el nuevo sistema o el
cambio, hay garanta tcnica para lograr exactitud, facilidad de acceso,
controles, seguridades, el sistema propuesto provee respuesta adecuada
para consulta sin importar nmero de sitios o de usuarios.
Factibilidad Econmica
Costos del desarrollo, costos de equipos y programas, costos de no
cambiar nada, beneficios en reduccin de costos.
Factibilidad Operacional
Hay suficiente soporte de la gerencia y de los usuarios, los
procedimientos actuales son aceptables para el buen usuario, los
usuarios han sido involucrados en la planificacin y desarrollo del
proyecto, el sistema propuesto puede causar prdida de controles,
dificultad en el acceso a la informacin, disminucin en el rendimiento
de los empleados, va a afectar al cliente de una forma no deseada, va el
sistema a trabajar cuando se desarrolle e instale, va a cumplir con los
procedimientos operacionales de la organizacin. Finalmente, si el
proyecto cumple con estos tres requisitos, es factible realizarlo.
En cuanto a la planificacin, en el departamento de sistemas deben
elaborarse planes a corto, mediano y largo plazo, que sean compatibles
con los planes maestros de la organizacin. Deben adems conformarse
los comits de sistemas donde participen el cuerpo directivo de la
empresa, el personal de sistemas y los usuarios.
El auditor de sistemas dialogar con los integrantes de dicho comit
para identificar y discutir estrategias de acuerdo con los objetivos del
departamento de sistemas y de la organizacin en general. Entrevistar
a los usuarios para concretar si las estrategias se cumplen, en fin,
determinar cuan eficiente y efectivo es dicho plan.
En cuanto a la metodologa para desarrollar proyectos de sistemas debe
estar escrita y contar con parmetros establecidos para estructurar y
controlar el proceso de desarrollo de los sistemas de informacin en la
empresa.
El auditor de sistemas estar en capacidad de evaluar si cada fase de la
metodologa establecida tiene un producto final cuantificable antes de
38
seguir a la fase siguiente. Analizar si la metodologa incluye un

mecanismo de control de cambios en los requerimientos, si es familiar
para todos, si es flexible, si incluye estndares de documentacin, si
valora la adecuacin de la metodologa a los cambios de la tecnologa,
las razones o justificaciones del proyecto, el control interno y la
seguridad que deber satisfacer, el ambiente del proyecto, alcance,
restricciones, beneficios, patrocinadores, necesidades de informacin,
ventajas y desventajas de cada alternativa de solucin.
En la factibilidad tcnica el auditor evaluara las necesidades de equipos,
programas,
equipos
y
programas
para
comunicaciones,
su
disponibilidad, aprovechamiento y los requisitos legales relacionados con
la transferencia nacional e internacional de tecnologa de datos.
En la factibilidad operacional, los ajustes del nuevo proyecto al ambiente
de programas, equipos y comunicaciones de la organizacin. En la
factibilidad econmica, el anlisis de costos y beneficios de cada
alternativa de acuerdo con los requerimientos de informacin que tiene
que satisfacer el proyecto y el impacto en la seguridad, confidencialidad
y requerimientos de control interno de todo el proyecto. Verificar
adems que en el anlisis de alguna manera se incluyan los beneficios
no cuantificables.
Finalmente deber participar junto con los administradores, los
funcionarios responsables de la seguridad, los ingenieros de sistemas,
los usuarios de sistemas y los programadores en el anlisis de riesgos.
Deber contar con una lista de las necesidades de control interno,
vulnerabilidad de la seguridad y protecciones factibles para reducirlas o
eliminarlas.
2.3.2 Diseo de Sistemas de Informacin
En general, la metodologa para desarrollar los proyectos de sistemas
debe garantizar que durante la etapa de diseo se incorporen
adecuadamente todas las especificaciones necesarias y se tenga
presente que ocurrira cuando algo se modifique o cambie. Bsicamente
debe tener en cuenta el desarrollo de la estructura de los siguientes
elementos y procedimientos:
Entradas
Salidas
Archivos
39
Requerimientos fsicos y lgicos de los procesos
Deber por consiguiente especificar:
Documentos fuente
Mecanismos de control
Seguridades importantes
Pistas de auditoria
Siguiendo un orden didctico que permita la mejor comprensin del

tema, partiendo de lo general y global hasta llegar a lo particular y
especfico, es recomendable la elaboracin de la Tabla Visual del
Contenido del proyecto, que permite localizar y empezar a aterrizar las
especificaciones de la etapa de diseo.
Es importante no descuidar el hecho de que los productos finales
cumplan con las especificaciones requeridas.
Estructuracin de entradas:
Edicin y validacin de requerimientos.

Seguridad y medidas de proteccin a los datos.
Definicin de tipos de transacciones y reglas de autorizacin.
Procedimiento de establecimiento de totales de control.
Definiciones y contenidos de los documentos de entrada aprobados
por el usuario.
Estructuracin de salidas:
Contenido y formato del informe

Autorizacin de usuarios para recepcionar informes
Perodos de retencin para archivos
Garanta de que los informes son completos, exactos y con datos
reales
Estructura de los archivos: la definicin de los archivos cubre la parte

fsica, lgica, la relacin de las estructuras de datos, las dependencias
40
de los datos, los requerimientos de almacenamiento de los datos y la

proteccin para garantizar la privacidad.
Participacin del administrador de la base de datos en el
establecimiento escrito de formatos de archivo, definicin de
contenidos y perodos de retencin de los archivos, participacin de
los departamentos usuarios en la aprobacin de la informacin
anterior.
Requerimientos fsicos y lgicos de los procesos:
Definicin de requerimientos de los procesos para garantizar

exactitud, validacin, duracin y flexibilidad en cada paso.
Determinar si los usuarios finales han aprobado los pasos de los
procesos.
Especificaciones de los programas:
Deben ser claras, consistentes y completas.

Revisar la razonabilidad de la lgica del programa a travs de la
navegacin por el flujo de datos para valorar lo relevante y el anlisis
de las tablas de decisin.
Preparacin de los datos.
Los diseos han sido aprobados por la administracin de los
departamentos usuarios.
Los documentos constan de
prenumeracin, autorizacin de
diligenciamiento del documento y
mensajes de error en la pantalla
errores y bloqueo.
espacios exactos de anotacin,

la transaccin independiente del
de la captura. Al digitarlos emiten
para promover exactitud y reducir
2.3.3 Diseo de Controles y Seguridades

Mecanismos que garanticen la integridad de los datos copiados y
procesados, y protecciones a los recursos de los sistemas:
Diseo de controles adecuados en los puntos crticos al interior del

sistema.
Anlisis del costo - beneficio de los controles.

41
Diferencia entre control preventivo y detectivo.
Si el control correctivo se llevo a cabo, cundo y dnde fue apropiado.
Controles que reduzcan o eliminen riesgos asociados con la operacin

del sistema.
Especificaciones de los controles ntegros y acceso con el suficiente

detalle para facilitar la prueba.
2.3.4 Diseo de Pistas de Auditoria

Pista de auditoria es el camino de los datos, programas, procesos o
utilitarios desde su origen hasta los resultados finales. El auditor de
sistemas conocer las polticas administrativas de control de la empresa
y con base en ellas revisar todo tipo de archivo de log. Igualmente
fijar pautas para establecer suficiente grado de confidencialidad sobre
estos archivos para asegurar la integridad y lo adecuado de las pistas
incluidas en las especificaciones del diseo manteniendo un logs que
contenga:
Diagnstico de cada problema y un mtodo de aislar la persona del

componente del software, y del recurso fsico que causa el mal
funcionamiento.
Desarrollar reportes estadsticos de esos logs e iniciar acciones

apropiadas correctivas.
Determinar si cada cargue inicial del sistema queda registrado en el

archivo de logs.
Mantener logs de las terminales.
Determinar si una violacin a la proteccin de la seguridad causa

instantneamente un aborto del trabajo o transaccin y qu mensaje
aparece en la consola.
Registro en el log de la falla elctrica.
Revisin del log del sistema para analizar los tiempos de reproceso
causados por mal funcionamiento y los accesos ilegales u otras
violaciones.
Existen unos archivos denominados log donde de manera particular

quedan registrados todos los accesos que los diferentes usuarios de los
sistemas de informacin hacen a los equipos de computacin y por
42
supuesto a los programas de todo tipo, operacional, de comunicaciones,

de bases de datos, aplicativos.
En estos logs se registran las actividades de las operaciones desde el
momento de entrada inicial, correccin de inconsistencias hasta las
operaciones de consola, donde quedan registradas todas las actividades
que se realizan en el centro de cmputo. En las comunicaciones, las
entradas desde las terminales, la transmisin y recepcin de los
mensajes; y en las bases de datos, las entradas iniciales de registros, las
ejecuciones de las aplicaciones, las modificaciones a los datos, los
procesos de reinicio y recuperacin y el uso de utilitarios.
Los archivos de Log constituyen una evidencia magntica respecto a las
actividades computacionales realizadas por los usuarios del centro de
cmputo.
Cuando nos asignen un password o una clave secreta utilicmoslo con
responsabilidad, evitemos que personas amigas o compaeros de
trabajo conozcan nuestra clave.
Log del sistema: todas las transacciones y mensajes que ingresen al

sistema aplicativo se conservan en archivos independientes. Estos
archivos identifican de cada transaccin, la fecha, la hora,
identificacin del terminal de origen, el cdigo de seguridad del
departamento usuario, el password individual, el archivo utilizado, la
actividad desarrollada.
Log de secuencia:
normalmente el usuario identifica las
transacciones mediante un nmero de secuencia y tambin mantiene
un Log interno de los nmeros de secuencia que sirve para
asegurarse de que los datos estn completos y sirven como pista de
auditoria.
Log de errores: son un elemento valioso como pista de auditoria y

como instrumento para monitorear los errores en el proceso de
correccin y de realimentacin al sistema
Log de operaciones no programadas: todas las intervenciones del

operador que no estn programadas debern quedar registradas y
contener el tipo de transaccin, la fecha, la hora y la accin tomada.
Log de la consola del operador: es oportuno examinar la copia del

log de la consola para determinar el nmero de interrupciones del
43
operador del computador durante la ejecucin de los procesos y

programas.
Log de los registros de problemas de software: debe existir un log

donde se registren los problemas del software que contenga el
diagnstico de cada problema y que de alguna forma se pueda aislar
el componente del software o el dispositivo que lo gener de la
persona. Deben desarrollarse reportes estadsticos de los logs para
poder analizar las tendencias especiales e iniciar las acciones
correctivas.
Log de control del sistema de comunicacin: permite revisar

peridicamente los comandos de la terminal del supervisor de la red.
Entre los comandos examinados deben incluirse los utilizados para
habilitar o inhabilitar lneas y/o terminales.
Log de espera para los mensajes: todos los mensajes que esperan
transmisin se colocan en un log de espera antes de ser incluidos en
la cola de transmisin, a medida que se transmiten y se reciben los
mensajes, el terminal receptor responde que el mensaje se ha
recibido correctamente.
Log de mensajes de entrada y salida: en un dispositivo de registro

magntico se lleva un log de todos los mensajes de entrada y de
salida para facilitar la recuperacin o reinicio del sistema y el rastreo
de los mensajes.
Log de la terminal: para efecto del registro debern asignarse cdigos

para la identificacin de terminales, de manera que sean transmitidos
desde las terminales al computador central para ser verificadas y que
las terminales puedan funcionar en el sistema de red.
Log de la base de datos: el administrador de la base de datos debe
ser el responsable del desarrollo y supervisin de las estadsticas y
otros reportes tales como los logs del sistema y otros dispositivos o
medios de salida con respecto al acceso inicial a los registros
permanentes, modificacin a la base de datos, ejecucin de los
programas de la base de datos, modificacin de los registros del
sistema, de los procedimientos de reinicio y reconstruccin, tablas de
seguridad, y otras estadsticas provistas por el sistema administrativo
de la base de datos, as como los utilitarios.
2.3.5 Desarrollo e Implantacin del Sistema
44
La documentacin de los proyectos se maneja a travs de los manuales

del usuario, de programas, de sistemas, de operaciones y
administrativos.
Manuales del usuario: para explicarle claramente y en palabras

comunes como manejar la aplicacin y los datos.
Manuales del programa: contenido de documentos fuente, diseo de

archivos, informes, diagramas de lgica, datos de prueba, listados de
compilacin.
Manuales de operacin: procedimientos de ejecucin definidos para

realizar las operaciones de produccin por parte de los operadores.
Manuales tcnicos:
para determinar porque fallas tcnicas no
funcionan los programas.
Manuales administrativos:
para identificar la secuencia de los
procedimientos administrativos y el personal responsable.
Existencia de estndares para probar los programas.
Ejecucin en paralelo.
2.3.6 Operacin y Mantenimiento del Sistema

Debe existir la documentacin suficiente y actualizada sobre el manejo
de las operaciones del sistema para agilizar la produccin de la
informacin, controlar y evitar que se aprovechen las circunstancias de
falta de procedimientos de control para cometer fraudes.
Debe hacerse un anlisis de los costos de produccin para determinar si
su monto estaba dentro de los lmites previstos.
En cuanto al mantenimiento, es decir, al cambio de un programa por
necesidades de informacin del usuario o cualquier otra causa,
reglamentacin legal, contable, innovadora, es importante fijar
procedimientos de control claro y con anterioridad al cambio pues dicho
momento es susceptible de incluir rutinas no autorizadas en los
programas con intenciones de cometer fraude.
2.3.7 Post-implantacin de un nuevo sistema de informacin
Despus de la implantacin de un nuevo sistema, debe verificarse si
est satisfaciendo las necesidades del usuario fijadas en los
requerimientos de informacin aprobados inicialmente. Igualmente una
45
revisin del cumplimiento de los objetivos fijados para dicho sistema de

informacin y de la calidad de la informacin.
Finalmente es til efectuar una confrontacin entre los costos y los
beneficios estimados y los costos y beneficios reales para determinar si
los desfases son razonables y estn dentro de los lmites de tolerancia
establecidos.
2.4 REVISIN DE TCNICAS DE FRAUDE INFORMTICO
Las tcnicas de fraude o delitos informticos se pueden explicar como
las acciones u omisiones que las personas realizan para afectar a las
personas y organizaciones o producen beneficios no justificados. Estos
delitos son contra la intimidad, el patrimonio, la informacin y la
falsedad de documentos.
2.4.1 Manipulacin de Transacciones
La manipulacin de transacciones ha sido el mtodo ms utilizado para
cometer fraudes, en ambientes computarizados. El mecanismo para
concretar este tipo de fraude sistmico o informtico, consiste en
cambiar los datos antes o durante la entrada al computador. Puede ser
ejecutado por cualquier persona que tenga acceso a crear, registrar,
transponer, codificar, examinar, comprobar o convertir los datos que
entran al computador. Por ejemplo, alterar los documentos fuente y
modificar el contenido en alto relieve de las tarjetas de crdito entre
otros.
2.4.2 Tcnica de Salami
La tcnica de Salami consiste en sustraer pequeas cantidades
(tajadas) de un gran nmero de registros contables, mediante la
activacin de rutinas incluidas en los programas aplicativos corrientes.
La empresa es duea del salami (archivo de datos) de donde el intruso
toma pequeas sumas para llevarlos a cuentas especiales conocidas
solamente por el perpetrador del fraude. Aqu, normalmente, los totales
de control no se alteran y en consecuencia, se dificulta descubrir el
fraude y a quin lo comete.
La tcnica de Salami es muy comn en los programas que calculan
intereses, porque es all en donde se facilita la sustraccin de residuos
que generalmente nadie detecta, configurndose cmodamente el
fraude.
46
2.4.3 Tcnica del Caballo de Troya

La tcnica del Caballo de Troya consiste en insertar instrucciones, con
objetivos de fraude, en los programas aplicativos de contabilidad,
tesorera, etc. de manera que, adems de las funciones propias del
programa, tambin ejecute funciones no autorizadas.
Las instrucciones fraudulentas se esconden dentro de las dems
obteniendo acceso libre a los archivos de datos, normalmente usados
por el programa. Esta tcnica de fraude es muy comn debido a la
facilidad que se presenta para ocultar instrucciones fraudulentas dentro
de cientos de instrucciones que generalmente componen los programas
aplicativos. Sin embargo, no siempre la tcnica del caballo de Troya se
configura en programas de aplicacin, tambin, se acostumbra en
sistemas operacionales y en programas utilitarios.
Para efectos de incluir la instruccin en un programa legtimo, el
programador aprovecha la autorizacin para hacer cambios corrientes a
los programas y en ese momento incluye las instrucciones fraudulentas,
evidentemente no autorizadas. A esto se debe que la tcnica haya
adoptado el nombre de caballo de Troya.
2.4.4 Bomba Lgica
Las bombas lgicas son una tcnica de fraude, en ambientes
computarizados, que consiste en disear e instalar instrucciones
fraudulentas en el software autorizado, para ser activadas cuando se
cumpla una condicin o estado especfico. Esta tcnica de fraude
informtico es difcil de descubrir, porque mientras no sea satisfecho la
condicin o estado especfico, el programa funciona normalmente
procesando los datos autorizados sin arrojar sospecha de ninguna clase.
Cuando la condicin de fraude se cumple, entonces automticamente,
se ejecuta la rutina no autorizada producindose de esta manera el
fraude. Entre las condiciones ms frecuentes, para la prctica de este
tipo de fraudes tenemos, abonar un crdito o dbito no autorizado a una
cuenta cuando el reloj del computador alcance determinado da y hora,
hacer un traslado de fondos cuando el computador encuentre una
determinada condicin como por ejemplo una fecha.
Esta tcnica de fraude se diferencia de la del caballo de Troya,
bsicamente en que la instruccin o instrucciones fraudulentas se
incluyen en el programa, cuando se est generando originalmente el
sistema. En cambio, en el caballo de Troya, se incluyen las instrucciones
47
fraudulentas cuando es autorizada una modificacin al programa. Esto

es, que se ejecutan las modificaciones autorizadas se aprovecha la
oportunidad para agregar instrucciones fraudulentas.
2.4.5 Juego de la Pizza
El juego de la pizza es un mtodo relativamente fcil para lograr el
acceso no autorizado a los Centros de PED, as estn adecuadamente
controlados. Consiste en que un individuo se hace pasar por la persona
que entrega la pizza y en esa forma se garantiza la entrada a las
instalaciones de PED durante y despus de las horas de trabajo.
2.4.6 Ingeniera Social
Esta tcnica consiste en planear la forma, de abordar a quienes pueden
proporcionar informacin valiosa o facilitar de alguna manera la
comisin de hechos ilcitos.
Se recurre luego, a argumentos
conmovedores y/o sobornar a las personas para alcanzar los objetivos
deseados.
Esta tcnica combina artsticamente las caractersticas del petulante y
del jactancioso para conseguir el hecho fraudulento.
Adems,
normalmente, usan un estilo de actuacin importante, vestido elegante,
amenazas sutiles y porciones aisladas de informacin clave de la
organizacin para influir en otra persona.
2.4.7 Trampas- Puerta
Las trampas puerta son deficiencia del sistema operacional, desde las
etapas de diseo original (agujeros del sistema operacional). Los
expertos programadores del sistema pueden aprovechar las debilidades
del sistema operacional para insertar instrucciones no autorizadas, en
dicho sistema, con el objeto de configurar fraudes informticos. Las
salidas del sistema operacional permiten el control a programas escritos,
por el usuario, lo cual facilita la operacionalizacin de fraudes, en
numerosas opciones.
2.4.8 Superzaping
El superzaping deriva su nombre de superzap, un programa utilitario de
IBM de un alto riesgo por sus capacidades. Permite entrar al sistema,
adicionar, modificar y/o eliminar registros de archivos, datos de registros
o agregar caracteres dentro de un archivo maestro y salir sin dejar rastro
48
y sin modificar ni corregir los programas normalmente usados para

controlar los archivos.
Este programa permite consultar los datos para efectos de conocimiento
o para alterarlos omitiendo todos los controles y seguridades en
actividad establecidas.
Hay otro programa similar al superzap, en el sistemas 34 de IBM,
denominado DFU. Todos los sistemas de computacin tienen programas
de alto riesgo como el superzap, los cuales funcionan como especies de
llaves maestras o programas de acceso universal.
2.4.9 Evasiva Astuta
Esta tcnica consiste en un mtodo inventado como consecuencia de la
aparicin de los compiladores. Se trata de que los programadores de
sistemas se inventaron la forma de comunicarse con la computadora a
travs de lenguaje de mquina.
Esta tcnica tambin se conoce con el nombre de parches. Es un
mtodo limpio para entrar en la computadora, cambiar las cosas, hacer
que algo suceda y hasta cambiarlas para que vuelvan a su forma
original, sin dejar rastro para auditoria.
En la media en que se fue sofisticando la tecnologa de sta metodologa
de fraude, se le llam DEBE: Does Everything But Eat (una rutina que
hace todas las cosas menos comer). Es usada por los fanticos de los
bits, quienes literalmente desean hablar con las computadoras.
2.4.10 Recoleccin de Basura
La recoleccin de basura es una tcnica para obtener informacin
abandonada o alrededor del sistema de computacin, despus de la
ejecucin de un trabajo.
Consiste en buscar copias de listados producidos por el computador y/ o
papel carbn para de all extraer informacin, en trminos de
programas, datos password y reportes especiales bsicamente.
2.4.11 Ir a Cuestas para Obtener Acceso no Autorizado
Se trata de una tcnica de fraude informtico para lograr el acceso no
autorizado a los recursos del sistema entrando detrs o a cuestas de
alguien influyente (piggyback) o por imitacin.
49
El piggybacking fsico consiste en seguir a un usuario autorizado, dentro

de un rea de acceso controlada, protegida por puertas cerradas
electrnicamente. El piggybacking electrnico consiste en usar una
terminal que esta ya activada o usar una terminal secreta conectada a
una lnea activada para accesar la informacin del sistema,
comprometiendo el rgimen de seguridad. La imitacin, sea fsica o
electrnica implica la obtencin de password, cdigos secretos y la
suplantacin de personas autorizadas para entrar al rea de
computacin.
2.4.12 Puertas Elevadizas
Esta tcnica consiste en la autorizacin de datos, sin la debida
autorizacin, mediante rutinas involucradas en el programa o en los
dispositivos de hardware.
Mtodos sofisticados de escape de datos pueden ser ejercidos en
ambientes de alta seguridad y alto riesgo. Por ejemplo, la informacin
robada es decodificada de modo que personal del centro de PED, no
puede descubrir que esta pasando.
Dicha informacin puede ser reportada por medio de radios transmisores
en miniatura (BUGS) colocados secretamente en la CPU de muchos
computadores como sucedi en la guerra de Vietnam. Estos BUGS
fueron capaces de transmitir el contenido de los computadores a
receptores remotos, concretndose de esta manera el escape de datos a
travs del concepto de puertas elevadizas.
El personal del PED puede construir puertas elevadizas en los programas
o en los dispositivos de hardware para facilitar la salida de datos y la
entrada de los mismos sin ser detectados. Los realizadores del fraude
no necesariamente deben estar presentes en el momento de la
ejecucin del mismo.
2.4.13 Tcnica de Taladro
Esta tcnica consiste en utilizar una computadora para llamar o buscar
la manera de entrar al sistema con diferentes cdigos hasta cuando uno
de ellos resulte aceptado y permita el acceso a los archivos deseados.
Mediante el sistema de ensayo permanente se descubren las
contraseas del sistema para entrar a los archivos y extraer informacin
en forma fraudulenta.
50
2.4.14 Intercepcin de Lneas de Comunicacin

Esta tcnica de fraude informtico consiste en establecer una
comunicacin secreta telefnica o telegrfica para interceptar mensajes.
Normalmente, las conexiones activas o pasivas se instalan en los
circuitos de comunicacin de datos, entre terminales y concentradores,
terminales y computadores.
De otra parte, la intercepcin de
comunicaciones por micro - ondas y va satlite es tambin
tcnicamente posible.
El computador afectar todos los negocios poderosamente y por lo
tanto, todos los contables deben familiarizarse con l. Los contables de
pequeos negocios deben conocer ms acerca del computador que los
contables de grandes negocios, dado que ellos no tienen un staff de
procesamiento de datos separados. El impacto del computador sobre la
contabilidad y la auditoria comenz duramente y su uso ser un
porcentaje muy significativo a finales de la dcada de los noventa.
El computador tiene el potencial para liberarlos de la tarea pesada y
aburrida, expandir horizontes, liberar el espritu creativo y expandir
nuestra capacidad productiva. Debemos aprovechar esta oportunidad.
2.4.15 Los Virus
Los virus son programas ilcitos de computador o cdigos dainos que
atacan o "infectan" a otros programas y sistemas. Una vez que un
programa ha sido infectado, este podra ser instruido para realizar
funciones no autorizadas antes de extenderse a otros sistemas. La
interaccin entre usuarios, fsicamente o sobre una red, podra extender
el cdigo malicioso. Los sntomas de un ataque de virus incluyen los
siguientes:
Reduccin significante de la funcin del sistema
Prdidas o cambios inexplicables de los datos
Conteo de datos fuera de balance
Aparicin de grficas o mensajes no familiares
Cambio de los tamaos y fechas de archivos
Activacin de dispositivos que no son requeridos por el programa
Los virus podran ser introducidos de las siguientes maneras:

51
Cargue de software del dominio pblico y juegos de tableros

electrnicos o por va de grupos compartidos es una actividad
popular entre usuarios de PC. Los usuarios podran copiar o cargar
software de tableros electrnicos, porque es ms fcil que obtener
aprobacin para comprar una copia. Hay riesgo de que estas copias
puedan estar contaminadas con un virus u otros programas
destructivos ocultos.
Un programa en un medio sin proteccin podra ser infectado cuando

el medio es usado en un sistema infectado.
Los usuarios podran sin saberlo contaminar numerosos sistemas

compartiendo o transmitiendo un programa o archivo infectado a
travs de las facilidades de red que podran extenderse a fronteras
internacionales.
Si hay inadecuados planes de copias, recuperacin y contingencia,

los usuarios podran no ser capaces de recuperar los datos y
programas si es descubierto un virus que ha daado sus datos y
programas.
El rango de amenazas presentadas por los virus de computadores
estn limitadas solamente por la imaginacin del autor del virus.
Algunos de los ms serios riesgos para la organizacin son los
siguientes:
La destruccin o modificacin de datos: la restauracin de los datos

y programas perdidos o destruidos es una tarea formidable sin
adecuados planes de copia y recuperacin.
Interrupcin de operaciones: un ataque de virus de cualquier tipo

podra interrumpir las operaciones del negocio. El administrador
podra tener que restablecer confidencias de clientes o accionistas en
la organizacin. El personal tcnico podra tener que ser apartado de
la rutina de trabajo para diagnosticar y remover el virus, restaurar los
datos y programas destruidos o corruptos, e implementar medidas
preventivas contra futuros ataques.
Violacin de la confiabilidad o fraude: un virus podra copiar datos

valiosos tales como archivos de clientes, a una localizacin remota o
fondos dispersos sistemticamente en vez de destruir los archivos de
datos.
Impacto en informes financieros: la confianza del administrador en

datos corruptos para la toma de decisiones comerciales, podra tener
serias consecuencias.
52
Desconcierto: la organizacin podra ser renuente en reportar un

ataque de virus por miedo de publicidad adversa. Las noticias del
ataque podran afectar la confidencia de accionistas o clientes en el
manejo de la organizacin.
Cual es la metodologa para el diseo de un sistema de informacin?
Que es una pista de auditoria?
Cuales son los pasos para la implantacin de un sistema de

auditora?
Que es un fraude informtico?
Que es la teora de salami?
De que trata la teora del caballo de Troya?
De que trata la teora de la bomba lgica?
De que trata la teora del juego de la pizza?
En que consiste la ingeniera social?
Que es un Virus?
En equipos de trabajo simular e identificar los fraudes y controles a

aplicar
en
el
departamento
de
sistemas,
y
cuantificar
monetariamente el costo de los controles aplicados en la evaluacin
jerrquica de los mismos.
Elaborar una sntesis que contenga los posibles fraudes que se

presenten y controles a aplicar en un departamento de sistemas e
identifique su consecuencia y su valoracin de acuerdo a su grado
complejidad y gravedad.
53
Autoevaluacin
Enunciar y explicar brevemente los tipos de fraudes que se pueden

presentar en un departamento de sistemas.
Enunciar y explicar brevemente los diferentes tipos de controles

informticos.
Cmo identificara usted un riesgo en un departamento de sistemas?
Cmo valorara usted un control?
Disear un mapa conceptual que contenga definicin, objetivos,

alcance y etapas de la planificacin de la auditoria de sistemas,
incluyendo el concepto de evidencia y los medios utilizados para su
determinacin.
Elaborar un glosario que contenga los trminos que considere ms

importantes dentro de esta unidad.
Leitch, R.A.; Davis, K.R.
Hall. EE.UU. 1995.
Accounting and Information Systems, Prantice
Lpez, A. El cuadro de mando y los sistemas de informacin para la

gestin empresarial, aeca. Madrid. 1998.
Moeller, R. Computer Audit, Control and Security, Wyley & Sons Inc. New
York. 1989.
Page, J.; Hooper, P. Accounting and Information Systems, Prantice Hall.
EE.UU. 1996.
Piattini, M.; del Peso, E. Auditoria Informtica un enfoque practico, RAMA, Espaa. 1998.
Snchez Toms, A. Sistemas Expertos en Contabilidad, Tcnica Contable,
n 514. 1991.
54
Costos Bsicos
55
UNIDAD 3: Identificacin y
Evaluacin de Riesgos Potenciales
Crticos y Definicin del Alcance de
la Auditoria
Descripcin Temtica
Para aplicar un enfoque de auditoria orientada al riesgo es necesario
determinar cules son los riesgos crticos a los que estn expuestos los
servicios o negocios que se soportan en el Sistema de Informacin o
Proyecto que se est auditando.
Se debe valorar o estimar los riesgos inherentes a las operaciones de
negocios y servicios de la empresa, significa medir la exposicin de esta
a los riesgos potenciales que podran presentarse de acuerdo con las
caractersticas del entorno en el que se desarrolla.
El nivel de criticidad (impacto) de los riesgos puede ser: A Alto, M
Medio, B Bajo. En la actualidad se utilizan metodologas como el
Mtodo Delphy y el Mtodo de Cuestionarios.
Horizontes
Valorar o estimar los riesgos inherentes informaticos

operaciones de negocios y servicios de la empresa.
las
Identifiacar y evaluar los riesgos potenciales

operaciones de negocios y servicios de la empresa.
las
Aplicar un enfoque de auditoria orientada al riesgo informatico.
Determinar los niveles de responsabilidad y definir que auditores de

sistemas se desempearan en cada nivel.
Estimar el tiempo requerido para la auditoria de sistemas y el tiempo

que cada auditor asignado estara trabajando en ella.
criticos
56
Riesgos.
Causas de Riesgos
Matriz de Riesgos vs.

Riesgos.
Matriz de Riesgos vs. Dependencias (reas) con la Ubicacin de las

Causas de Riesgos.
Matriz de Procesos vs. Dependencias con la Ubicacin de las Causas

de Riesgos.
Procesos con la Ubicacin de las Causas de
3.1
RIESGOS
3.1.1 Fraude / Robo

Apropiacin indebida por parte de un funcionario o de terceros de los
activos de la empresa o de dineros. Estas se generan por la alteracin
de la informacin (documentos fuentes, antes de ingresar los datos al
sistema, cambios no autorizados a archivos o programas, etc.) que
representan operaciones de los negocios o servicios de la Organizacin.
Este riesgo se produce como consecuencia de Causas Malintencionadas.
3.1.2 Prdida de Negocios y Credibilidad Pblica
Se producen prdidas de dinero cuando los empleados en forma
intencional provocan fallas, interrupcin de los servicios, para vengarse
de la Organizacin o presionar el otorgamiento de beneficios laborales
(Sabotaje), o cuando la Entidad no cumple con los compromisos
pactados con El Cliente.
Se produce en forma accidental o
malintencionada.
3.1.3 Sanciones Legales
Se genera por no cumplir disposiciones gubernamentales (Circulares
Reglamentarias, por ejemplo) o por no entregar informacin exacta y
oportuna exigida por normas legales. Se produce en forma Accidental o
57
Malintencionada.
3.1.4 Decisiones Errneas

Se toman a causa de la no disponibilidad del sistema o de inexactitudes
en la informacin que este genera. Se produce en forma accidental.
3.1.5 Dao y Destruccin de Activos
Prdidas de dinero ocasionadas por desastres naturales (terremotos,
inundaciones, etc.) o provocadas por el hombre sin premeditacin
(errores y omisiones) o con premeditacin (actos terroristas, disturbios
civiles, etc.), los cuales producen daos o la destruccin de los recursos.
Este riesgo se produce como consecuencia de causas accidentales o
alintencionadas.
3.1.5 Desventaja Competitiva
Se genera por ofrecer servicios de inferior calidad que los competidores.
Puede ser causado por demoras en el Procesamiento Electrnico de
Datos. Puede ocurrir por Causas Accidentales o Mal Intencionadas.
3.2. CAUSAS DE RIESGOS
Alteracin del estado de la solicitud de rechazada (REC) a aprobada

(APR).
Creacin de crditos o cuentas cuyo estado de solicitud sea diferente

a aprobado.
Creacin de crditos o cuentas excediendo atribuciones.
Ingreso de cupos al sistema por personal no autorizado.
Creacin de plan de pago diferente al autorizado.
Error en digitacin de datos.
Creacin de crditos o cupos por mayor valor al monto autorizado.
Crear crditos o cuentas sin constituir Garanta Admisible.
Reversin de un pago con la finalidad de aplicar cuota a otra

obligacin.
58
3.3. MATRIZ DE RIESGOS VS. PROCESOS CON LA UBICACIN DE

LAS CAUSAS DE RIESGOS
PROCESOS
Aprobacin de Crditos Administracin
Crdito
CR001
CR001
CR006
del
Fraude / Robo
Perdida de Dinero
Sanciones Legales
Decisiones errneas
Dao y destruccin de
G
activos
O Desventaja Competitiva
S Perdida del Negocio
CAUSA RIESGO:
CR001. Alteracin de Estado de la Solicitud de Rechazada (REC) a
Aprobada (APR).
CR002. Creacin de Crditos o Cuentas cuyo estado de solicitud sea
diferente a Aprobado.
CR006. Error en digitacin de datos
R
I
E
S
3.4. MATRIZ DE RIESGOS VS. DEPENDENCIAS (REAS) CON LA

UBICACIN DE LAS CAUSAS DE RIESGOS.
Oficinas
CR001
CR006
DEPENDENCIAS
Divisin de Crdito
CR001
Fraude / Robo
Perdida de Dinero
Sanciones Legales
Decisiones errneas
Dao y destruccin de
G
activos
O Desventaja Competitiva
S Perdida del Negocio
CAUSA RIESGO:
CR001. Alteracin de Estado de la Solicitud de Rechazada
Aprobada (APR).
R
I
E
S
(REC) a
59

3.5. MATRIZ DE PROCESOS VS.

DEPENDENCIAS
UBICACIN DE LAS CAUSAS DE RIESGOS.
CON
LA
DEPENDENCIAS
Divisin de Crdito
CR001
Oficinas
CR001
P Registro de Solicitudes
R Registro de Datos Bsicos
Creacin
del CR002
O
Crdito/Cuenta
C Desembolsos
CR006
E Liquidaciones
S Generacin de Informes
O Cobranza
S Actualizacin Parmetros
CAUSA RIESGO:
CR001. Alteracin de Estado de la Solicitud de Rechazada (REC) a
Aprobada (APR).
Definir que es identificacin y evaluacin de riesgos potenciales

crticos?
Describir cuales son los riesgos potenciales crticos?
Que significa alcance en la auditoria de sistemas
Como se evala un riesgo inherente?
Son propios de la auditoria de sistemas los riesgos inherentes,

justificar
60
Acudir a algunas entidades a su alcance en las cuales se haya

realizado auditorias de sistemas, evaluar y analizar los dictmenes
obtenidos.
Teniendo en cuenta los informes finales de auditorias de sistemas

obtenidos en el proceso anterior, identificar cada uno de los
elementos tratados en esta unidad y realizar una sntesis de lo
interpretado en los informes.

Identificacin y Evaluacin de Riesgos Potenciales Crticos
La identificacion y evaluacin de riesgos potenciales criticos existen una
clase de argumentos que se deben tener en cuenta para no cometer
ningun riesgo en el momento de realizar una auditoria de sistemas,
dichos argumentos establecen los errores que al momento de realizar la
auditoria se llegan a cometer perjudicando a la empresa que se esta
auditando estos argumentos son:
Fraude / Robo
Prdida de Negocios y Credibilidad Pblica
Sanciones Legales
Decisiones errneas
Dao y dest Desventaja
Competitiva ruccin de activos
Estos argumentos tambien poseen unas causas:

Alteracin de Estado de la Solicitud de Rechazada (REC) a Aprobada
(APR).
Creacin de Crditos o Cuentas cuyo estado de solicitud sea diferente
a Aprobado.
Creacin de Crditos o Cuentas excediendo atribuciones.
Ingreso de Cupos al sistema por personal no autorizado.
Creacin de Plan de Pago diferente al autorizado.
Error en digitacin de datos.
Creacin de Crditos o Cupos por mayor valor al Monto Autorizado.
Crear Crditos o Cuentas sin Constituir Garanta Admisible.
Reversin de un pago con la finalidad de aplicar cuota a otra
obligacin.
61
Con base en lo explicado anteriormente dar su opinin al respecto.
Autoevaluacin
Enunciar los elementos bsicos que debe contener un informe de

auditoria de sistemas.
Explicar los objetivos, caractersticas y afirmaciones que contiene el

informe de auditoria de sistemas.
Explicar los diferentes tipos de opinin.
Explicar las circunstancias con efecto en la opinin del auditor,

apoyados por computador.
Disear un diagrama que contenga la estructura bsica del informe

de auditoria de sistemas para cada tipo de opinin que puede ser
emitida por el auditor que realiza su trabajo apoyado por computador.
El consejo superior de informtica del ministerio de administraciones
pblicas de Espaa. MARGERIT, Metodologa de anlisis y gestin de
riesgos de los sistemas de informacin, MAP, Espaa.
Fernndez, F. Procedimientos de auditoria en los sistemas de EDI,
Revista Tcnica. Instituto de Auditores Censores Jurados de Cuentas de
Espaa. 1998.
Fitzgerald, J. Framework system imformation, Limusa, Mxico. 1990.
FORTUNA, J.M.; BUSTO, B. y SASTRE, J.M. Los Sistemas Expertos:
fundamentos y aplicaciones a la Contabilidad, Partida Doble n17. 1991.
GALN, L. Informtica y Auditoria para las Ciencias Empresariales,
Colombia. 1996.
IFAC.
Federacin Internacional de Contables, Gua Internacional de

62
Formacin No. 11. (Tecnologa de la informacin en el curriculum de

Contabilidad). 1995.
IFAC. International Federation of Accountants Handbook. 1997.
Normas internacionales de auditoria. www.ifac.org.
63
UNIDAD 4: Evaluacin del Sistema

de Control Interno Informtico
Descripcin Temtica
En esta etapa se identifican los controles establecidos por la
organizacin para cada proceso del Sistema de Informacin objeto de la
auditoria y se evala si son apropiados para mitigar los riesgos crticos
objeto de la auditoria.
Es importante que el auditor tenga en cuenta que la implantacin de un
control puede ser costosa y consume tiempo, por eso debe hacerse una
evaluacin realista con respecto a la probabilidad de que un riesgo
especifico afecte un activo.
Es importante evaluar la proteccin que ofrecen los controles existentes
para cada causa de riesgo y objetivo de control, utilizando como criterio.
Horizontes
Identificar los controles establecidos para el proceso del Sistema de

informacin de la auditoria.
Evaluar la proteccin que ofrecen los controles para las causas de

riesgo y objetivos de control.
Aplicar la auditoria de sistemas como instrumento de evalaucin del

departamento de sistemas
Evaluar el control interno dentro de parmetros eficiencia, eficacia y

efectividad
reas de Control.
Ejemplos de Controles.
64
4.1
REAS DE CONTROL (PROCESOS)
Al evaluar el Control Interno deben tenerse en cuenta las Areas de

Control de la aplicacin, estas son:
4.1.1 Origen y Preparacion de Datos
En este proceso se evalan los controles manuales y automatizados
establecidos en las fuentes de la informacin para garantizar la
veracidad y consistencia de los datos que se generan para ser
procesados por los programas de aplicacin.
Comprende las actividades que se realizan desde la generacin de
documentos fuente de operaciones / eventos hasta su recepcin en el
rea o cargo responsable de transcribir o registrar los datos en medio
legible para su proceso
(cintas, discos, diskettes, caracteres
magnticos, reconocimiento de caracteres pticos, imgenes, etc.).
Los responsables son las empresas o clientes que originan, generan,
reciben documentos fuente de operaciones que se constituyen en fuente
de datos (transacciones) para la aplicacin evaluada.
4.1.2 Entrada de Datos
Comprende las actividades manuales y/o automatizadas que se realizan
desde la recepcin de los documentos por el rea / cargo / proceso
responsable de la transcripcin o conversin a medio legible por el
computador, hasta su completa validacin o depuracin antes de iniciar
los procesos de actualizacin sobre los archivos.
Las posibles modalidades son: transcripcin independiente sin validacin
o validacin parcial; con proceso en batch de validacin y correccin
integradas; transcripcin, validacin y correccin integradas; y,
transcripcin, validacin, correccin y actualizacin en lnea.
4.1.3 Procesamiento y Actualizacion de Informacin
Comprende la evaluacin de los controles establecidos para garantizar
su exactitud, integridad y oportunidad del procesamiento de los datos.
Adems se verifica que los datos son creados, modificados o borrados
65
nicamente por los programas y procesos autorizados comprende las

actividades manuales y/o automatizadas, desde la finalizacin del
proceso de validacin y depuracin total del movimiento hasta la
produccin de resultados finales de actualizacin u otros procesos
complementarios, que reflejan el efecto de las transacciones sobre
movimientos en los archivos maestros de la aplicacin.
4.1.4 Salida de Datos
Es la evaluacin de los controles relacionados con la preparacin,
control, custodia y distribucin de los resultados que produce la
aplicacin en papel y medios magnticos.
Comprende todas las actividades desde la finalizacin del proceso de
actualizacin, la produccin de resultados de la aplicacin para los
usuarios finales, la identificacin, preparacin, envo / transmisin de
resultados (salidas), hasta su recepcin por las reas de origen u otros
usuarios.
4.1.5 Control de Acceso
En este Area de Control se evalan los procedimientos establecidos en la
aplicacin y el sistema operacional, para controlar el acceso a los
programas fuente y objetos de la aplicacin. Estos incluyen controles de
identificacin, niveles de autorizacin, autenticacin, encripcin de datos
crticos, segregacin de funciones, Confidencialidad de Claves de
Acceso, Pistas de Auditoria y monitoreo.
Los controles de acceso a la informacin constituyen uno de los
parmetros ms importantes a la hora de Administrar Seguridad. Con
ellos determinamos quin puede acceder a qu datos, indicando a cada
persona un tipo de acceso (perfil) especfico.
En el caso de Bases de Datos se evala la utilizacin y grado de
proteccin de los procedimientos de control de acceso lgico y otras
rutinas de seguridad ofrecidas por el Data Base Management System
(DBMS), para proteger la integridad de los datos y mitigar las amenazas
de modificacin, destruccin y divulgacin de la informacin contenida
en la Base de Datos.
En el caso de Redes de Comunicacin de Datos, se considera necesario
la inclusin de control de accesos a Directorios, Archivos, Registros
,control contra robo de datos, e introduccin de Software forneo con el
riesgo de incorporacin de virus a la Red que pueden traer
66
complicaciones graves.
4.1.6 Cambio al Software

Comprende la evaluacin de los procedimientos de Solicitud, anlisis,
diseo, ejecucin e instalacin de los cambios a los programas de la
aplicacin (mantenimiento del software).
4.1.7 Respaldos y Planes de Contingencia
Comprende la evaluacin de los procedimientos de respaldo, plizas de
seguro y planes de contingencia previstos para garantizar el
funcionamiento continuo de las operaciones sistematizadas en caso de
interrupcin de los servicios de cmputo ocasionados por errores, fallas
de Hardware y actos humano o de la naturaleza.
En la medida que el uso de los Sistemas de Informacin se expande y
ms personas dependen de su continuidad operativa.
Tanto ms
importante es contar con un adecuado Plan de Contingencia y
Recuperacin que facilite superar situaciones no deseadas.
Al evaluar si el plan de contingencias tiene un eficiente nivel de
cobertura ante situaciones de desastres, es conveniente tener en cuenta
una serie de pautas, como:
Se Identificaron en forma preliminar de factores de riesgos ante

situaciones de desastres?
S Planificacin adecuadamente las acciones a seguir?.
S Designaron los Responsables de la implementacin del Plan?
Est asegurado el correcto funcionamiento del Plan?
4.1.8 Terminales y Comunicacin de Datos

Comprende la evaluacin de los procedimientos de seguridad fsica y
ambiental sobre las estaciones de trabajo y terminales de computador,
as como la comunicacin de datos de entradas y salidas de la
aplicacin.
4.1.9 Documentacin
67
Trata del anlisis de la suficiencia, disponibilidad y calidad de la

documentacin tcnica, del usuario y del sistema.
4.1.10 Utilizacion y Control de Resultados y Satisfaccion del

Usuario
Comprende la evaluacin de los controles ejercidos por los propietarios
de los datos (usuarios primarios de la aplicacin) sobre los resultados
de procesamiento; tambin cubre el grado de satisfaccin del usuario
con el sistema de informacin.
4.1.11 Seguridad Fisica y Controles en las Instalaciones
Comprende los controles establecidos por los administradores de las
instalaciones de centro de cmputo para proteger los recursos
informticos (Hardware, Software, Datos, Personas e Instalaciones)
contra los riesgos causados por desastres naturales, accidentes, actos
malintencionados, infidelidad de los empleados, etc.
4.2
EJEMPLOS DE CONTROLES
Control de Acceso (manejo de perfiles de usuario, claves, etc).
Revisin peridica del Gerente de la Relacin de Clientes creados en

el sistema.
El sistema slo puede crear crditos a aquellas Solicitudes que

tengan Estado Aprobado (APR).
El Estado Aprobado slo puede ser registrado por el estamento

autorizado, dependiendo de sus atribuciones.
El Estamento Aprobador debe registrar el monto autorizado, el cual

ser validado por el sistema al momento de la creacin del crdito.
El sistema debe validar el valor mximo del cupo aprobado vs.

utilizaciones.
Rastro de Auditoria que se dispare automticamente para

determinados eventos (Ej: cuando se excedan atribuciones, o se
modifiquen datos crticos).
Validacin del nmero de la cuenta como dato obligatorio.
68
Durante el transcurso de esta etapa se disea el mapa de controles,

el cual utiliza las siguientes matrices:
Matriz de Causas de Riesgo vs. Controles.

Matriz de Controles vs. Procesos.
Para facilitar el anlisis de dichas matrices es recomendable codificar los

controles teniendo en cuenta las reas de control:
Control de Acceso (CA):

CCA001: Asignacin nica de cdigos de usuarios en el sistema
CCA002:Definir caractersticas de los Passwords
Respaldos y Planes de Contingencia (RC):

CRC001: Obtener Backups Peridicos (Copias de Respaldo)
Matriz de Causas de Riesgo vs. Controles
C
O
N
T
R
O
L
E
S
CCA001
CCA002
CRC003
CVA004
CCS005
CTCC01
CTC007
CSFC02
CSU009
CR001
X
X
CR002
CR003
CAUSAS DE RIESGO
CR004 CR005
CR006
CR007
X
CR008
X
X
X
X
X
X
X
Matriz de Controles vs. Procesos

PROCESOS
Aprobacin de Crditos
C Control de Acceso (CA)
O Validaciones Automticas (VA)
N Revisiones Operativas (RO)
CR001
CR001-CR002-CR006
Administracin del
Crdito
CR001
CR006
CR001-CR002
T Rastros de Auditoria (RA)
Planes de Contingencia y Recuperacin CR003
R
de Desastres (RC)
Validaciones de Integridad de datos y
O
auditabilidad de la BD (IN)
69
Controles especiales para Redes de CR001

Datos: Control de Acceso, control contra
L robo de datos y Software & Hardware
especializado para Redes
(firewalls,
encripcin, monitoreos, etc.) (TC)
Controles especiales para Internet: CR001
Autenticacin, autorizacin, integridad
y privacidad de datos, y software &
hardware especializado (firewalls, etc.)
(IT)
CAUSA RIESGO:
CR001. Alteracin de Estado de la Solicitud de Rechazada (REC) a Aprobada (APR).
CR002. Creacin de Crditos o Cuentas cuyo estado de solicitud sea diferente a Aprobado.
CR003: Dao en Equipo.
CR006. Error en digitacin de datos.
Que son reas de control?
Como se preparan los datos?
Que son las entradas de datos?
Que son las salidas de datos?
Que es la actualizacin de la informacin?
Que es el control de acceso?
Cuales son los cambios del software?
Que entiende usted por planes de contingencia?
Acudir a una entidad de carcter privado u oficial a su alcance, y

formular en forma precisa preguntas al contador y director de
sistemas, con el fin de identificar el proceso de la evaluacin del
sistema de control interno informtico.
Teniendo en cuenta la informacin obtenida en el proceso anterior,

determinar las caractersticas y procesos de evaluacin que se siguen
en un departamento de sistemas, con el fin de identificar los tipos de
riesgos y de seguridad que emplea la organizacin. Revisar la
70
legislacin vigente en nuestro pas en relacin con el tratamiento de

archivos que contengan informacin personal, y realizar un ensayo
comparando el cumplimiento de esta normatividad por parte de la
organizacin.
Autoevaluacin
Explicar el concepto y etapas de la Auditoria Informtica.
Explicar los beneficios obtenidos de la ayuda del computador dentro

de la planificacin y ejecucin de la Auditoria financiera.
Explicar las diferentes clases de ficheros.
Explicar los diferentes tipos de seguridad a tener en consideracin

dentro de la Auditoria de Sistemas.
Explicar las caractersticas de la informacin electrnica.
Disear un mapa conceptual que contenga la definicin, funcin y

alcance de la auditoria informtica en el proceso de evaluacin del
sistema de control interno informtico.
Elaborar un glosario de los trminos ms importantes relacionados

con la auditoria informtica y los riesgos informticos.
AICPA. The American Institute of Certified Public Accountants. SAS 78
Consideration of the Internal Control Structure in a Financial Statement
Audit., EE.UU. 1995.
Audisis ltda Metodologa de Auditoria de los centros de cmputo, Vol. 1,
Santa fe de Bogot. 1992.
COLBERT, J. BOWEN, P. A compararison of internal control:
SAC, COSO and SAS 78), 1998. Pgina WEB (www.isaca.org).
COOPERS
&
LYBRAND.
Control
Interno,
Auditoria
(COBIT,
Seguridad
71
Informtica. Vol. 5, Expansin, Madrid. 1996.

Cornella, A. Informacin digital para la empresa. Marcombo, Barcelona.
1996.
COSO. The Committee of Sponsoring Organizations of the Treadway
Commission's Internal Control - Integrated Framework, EE.UU. 1992.
DAVIS, J. CUSHING, B. Accounting Information System. EE.UU. 1980.
E.D.P. Auditors Foundation. Estndares de auditoria de sistemas, L.A.,
EE.UU. 1990.
72
UNIDAD 5: Papeles de Trabajo del

Centro de Computo Aplicacin
(Prctica)
Horizontes
Conocer las diferentes guas de aplicacin que contienen los trabajos

del centro de cmputo.
Evaluar la importancia de los sistemas de la organizacin.
Identificar la naturaleza de los papeles de trabajo.
Describir y evaluar los documentos de seguimientos en el proceso de

la auditoria de sistemas.
Planeacin de la Auditoria.
Gua para Elaborar el Archivo Permanente.
Formato para Determinar la Importancia de las Aplicaciones de

Computador.
Formato para Determinar la Importancia del Centro de Procesamiento

de Datos.
Cuestionarios de Control.
Auditoria de Controles Generales al Centro de Procesamiento de

Datos.
Probabilidad de las Amenazas.
Ejemplo Matriz de Evaluacin de Riesgos y Controles.
Auditoria de las Aplicaciones en Funcionamiento.
73
Gua para Elaborar el Archivo Permanente de la Aplicacin
5.1
PLANEACIN DE LA AUDITORIA
Investigacin Preliminar:
Determinacin de los Recursos de Cmputo de la Organizacin
Evaluar Seguridades Existentes:
Definir los objetivos de Auditoria

Aplicar cuestionarios de control
Elaborar informe de acciones de emergencia
Disear Pruebas de Auditoria
Ejecutar Pruebas de Auditoria
Analizar efecto de las Debilidades de Seguridad:
Determinar el impacto de las debilidades

Determinar la probabilidad de ocurrencia de las amenazas
Estimar perdidas y gastos por interrupcin de actividades
Determinar y Evaluar medidas de seguridad adicionales
Elaborar Informe Final de la Auditoria
5.2
GUA PARA ELABORAR EL ARCHIVO PERMANENTE
5.2.1 Organizacin del Departamento de Sistemas Ref - Pt
Obtenga el organigrama de la Empresa
Obtenga o elabore el organigrama de la Gerencia

Sistemas de Informacin.
(Dpto)
de
74
Obtenga o elabore la descripcin de las funciones asignadas a cada

uno de los cargos existentes en el Dpto. de Sistemas.
Nombre de los Cargos
Cantidad
CENTRO DE COMPUTO___________________________________
OBJETIVO GENERAL DEL TRABAJO A REALIZAR__________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
ALCANCE DEL TRABAJO A REALIZAR (reas de Revisin)
1.
2.
3.
4.
5.
6.
7.
8.
Planeacin
Organizacin
Backup y Recuperacin
Seguridad
Produccin
Plan de Contingencias
Desarrollo de Sistemas
Eficiencia
()
()
()
()
()
()
()
()
PUNTOS DE INTERES PARA ESTE TRABAJO________________

_________________________________________________________
_________________________________________________________
_________________________________________________________
_________________________________________________________
AUDITORES ASIGNADOS.
Supervisor_______________________ Senior ________________
Jnior_________________________________________________
DURACIN ESTIMADA______ Horas____ Das____ Semanas____
75
FECHA INICIACIN_________ FECHA TERMINACIN__________
Obtenga una lista de los nombres de los funcionarios del Dpto de

Sistemas.
Contrato de arrendamiento.
5.2.2 Hardware y Software de Computador
Elabore un esquema de la red de comunicacin y de los equipos de la

Empresa que estn intercomunicados.
Obtenga
(elabore) un inventario de los equipos de computacin
indicando su localizacin.
Obtenga los siguientes datos sobre los equipos de computacin de la

Empresa:
TAMAO
Grandes (mainframes)
Minicomputadores
Microcomputadores
CANTIDAD
MARCA
Describa las caractersticas de los equipos de cada centro de

procesamiento de informacin vital de la Empresa. Obtenga la
siguiente informacin:
Unidad Central de Proceso (CPU)

Fabricante
Nmero de modelo
Fecha de Instalacin
Localizacin fsica
______
______
______
______
Capacidad de memoria instalada.

Capacidad de almacenamiento en disco (cantidad y caractersticas):
unidades de cinta, unidades de disco, unidades de diskette,
terminales on - line locales,
terminales
on-line
remotas,
controladores de comunicacin, UPS's, impresoras, modems,
multiflexores, encriptores, concentradores.
Sistema operacional instalado:
Nombre
76
Versin
Otros paquetes de software ambiental instalados:
-
Software
Software
Software
Software
de seguridad (control de acceso)

control de libreras
de administracin del sistema
de comunicaciones
Software administrador de base de datos (DBMS)

Software especializado diseado por la instalacin
Utilizacin del sistema.
Horas utilizacin: Diarias______ Semanales ____

Das de utilizacin: Semanales_____Mensuales____
Horas mensuales por tipo de trabajo
Produccin
______
Pruebas
______
Reprocesos
______
Mantenimiento de programas ______
Desarrollo de programas ______
Otros
______
Indquelos
Tiempo ocioso ______
Software de aplicaciones en produccin:

Nombre de la Aplicacin Periodicidad de actualizacin
___________________ ________________________
Aplicaciones en desarrollo:
Nombre de la aplicacin Fecha de Terminacin
___________________ __________________
5.2.3 Costos Anuales del Departamento de Sistemas
Total Presupuestado
Ao Fiscal corriente
77
Ultimo ao Fiscal
Costos de Arrendamiento
CPU'S
Otros equipos
Costo de equipos adquiridos (Depreciacin)
CPU'S
Los dems
Costos de mantenimiento de Hardware y otros equipos (especificar)

Incluido dentro del presupuesto general de gastos
PROVEEDOR
____________________
COSTO
__________________
Costos de suministros (especificar conceptos) Vigencia Fiscal 1995
Costos de Servicios Controlados
Conversin de Datos
Otros servicios (especificar)
Otros Costos del Departamento. Vigencia Fiscal 1995
Espacio fsico
Servicios (especificar)
Costos del personal
De planta
Temporales (a destajo)
Costos de seguros (especificar compaas)
5.2.4 Otros Datos de Inters
UPS'S
78
Cantidad
Caractersticas
Sitios de almacenamiento de medios magnticos.
Adyacentes o cercanos a las instalaciones

Cantidad
Localizacin
Lejanos de las instalaciones
Cantidad
Localizacin
Provisiones para procesamiento en instalaciones de respaldo:
5.3
FORMATO PARA DETERMINAR LA IMPORTANCIA DE LAS

APLICACIONES DE COMPUTADOR
EMPRESA_________________CENTRO DE
PROCESAMIENTO__________________
1. NOMBRE DE LA APLICACIN_________________________________________
2. MODO DE PROCESAMIENTO
Batch________Batch/On line________On line/Tiempo Real
3. FUNCIONES QUE SATISFACE
_________________________________________________________________________
_________________________________________________________________________
_______________________________________________________
4 CRITICIDAD DE LA APLICACIN
4.1
Por Tiempo
Muerto
Efecto
A __ M
__ B
Un da
Una semana
Impacto
79
Un mes
Indefinido
3
SUBTOTAL __________
4.2 Por Divulgacin

5.
___________
DILIGENCIADO POR__________REVISADOR POR___________
6. FECHA DE DILIGENCIAMIENTO______________
5.4 FORMATO PARA DETERMINAR LA IMPORTANCIA
CENTRO DE PROCESAMIENTO DE DATOS
EMPRESA
DEL
__________________________________
CENTRO DE PROCESAMIENTO___________________________________
APLICACIONES
________________
EFECTO DEL
TIEMPO MUERTO
EFECTO DE LA
DIVULGACIN
PUNTAJE
__________
_______
________________
__________
_______
________________
__________
_______
________________
__________
_______
________________
__________
_______
________________
__________
_______
____TOTALES_____
__________
_______
CRITICIDAD DEL CENTRO DE CMPUTO (C).

Puntaje Total Obtenido
C = -------------------------------------- x 100
25 x n
Donde, "n" es la cantidad de aplicaciones evaluadas.
"25" es el puntaje mximo que puede obtener una aplicacin.
80
Significado de C
Entre 90 y 100%, la criticidad es ALTA. Entre 80 y 89% la criticidad es
MEDIA. Menos del 80% la criticidad es BAJA.
5.5
CUESTIONARIOS DE CONTROL
5.5.1 rea de Planeacin

Objetivos de Auditoria
Determinar que exista un plan de desarrollo estratgico y el soporte

correspondiente.
Determinar la planeacin propia para el departamento de sistemas.
Asegurarse de que el computador fue comprado previendo que

producir mayores beneficios que cualquiera de las otras alternativas
de automatizacin.
Asegurar la seleccin de servicios adecuados y del equipo de

computacin.
Asegurarse de que se elabor un plan de pre-instalacin contra el

cual verificar los resultados y el avance.
Controles
Que exista un Comit que se responsabilice de iniciar, guiar y revisar

los resultados de la investigacin preliminar.
Que se haga un estudio de factibilidad y se elabore un informe de

investigacin de acuerdo con las especificaciones.
Se deber elaborar un listado de los criterios de seleccin adecuados

para entregrselos a cada proveedor en potencia.
El criterio de seleccin, deber de establecerse en forma de un

cuadro en el cual se anotar la evaluacin de las propuestas de los
proveedores.
81
El proveedor del equipo podr ser sometido a calificacin en la

resolucin de problemas de prueba, mediante la evaluacin de sus
programas y los resultados.
Para evaluar las propuestas de los fabricantes, podrn emplearse

programas paquetes de simulacin.
Los arreglos contractuales, debern ser revisados minuciosamente

antes de hacer las seleccin final del equipo y firmar el contrato.
Que exista un cronograma de actividades y tiempo detallado con
previo cumplimiento de las normas legales establecidas.
Que exista la asignacin presupuestal para la vigencia fiscal

correspondiente.
5.5.2 rea de Organizacin

Objetivo de Auditoria
Determinar que exista

departamento de sistemas.
Determinar que exista un manual de funciones y responsabilidades,

una adecuada segregacin de funciones y un presupuesto para el
departamento de sistemas.
Asegurarse qu organismo o persona ejecuta un control

organizacional al departamento de sistemas y con que periocidad.
una
estructura
organizacional
del
Controles
Asegurar que haya una separacin de deberes adecuada entre los

operadores de la computadora, los programadores de la aplicacin,
los programadores del sistema y los analistas de sistemas. Cuando
alguien entre al rea de operacin de la computadora, adems del
personal de operacin, asegurar que haya los controles externos
apropiados de manera que el personal administrativo adecuado est
informado de esta situacin especial.
Salvar una copia de la bitcora de la consola de la computadora y de

la bitcora de salidas del sistema para la revisin posterior. Estas
dos bitcoras pueden servir como un camino de auditoria en relacin
82
a lo que fue alimentado a la computadora y acerca de las diversas

rdenes del operador.
Cuando sea factible, rotar a los operadores de la computadora entre

diferentes corridas de trabajo.
Asegurar que haya un manual adecuado de las corridas de trabajo

para cada trabajo de cmputo. El manual de la corrida del trabajo
debe incluir por lo menos las instrucciones de operacin para el
trabajo, la informacin de implementacin del trabajo, notas sobre
formas u otras funciones de impresin, y los procesos de
verificacin/reinicio para el caso de falla del trabajo.
Asegurar que haya alguna clase de reporte de utilizacin de mquina

para identificar al menos el trabajo que se est corriendo al operador
de la computadora presente, si fue o no llamado el programador, el
tiempo usado de computadora, y cualesquiera condiciones no usuales
encontradas durante la corrida de la aplicacin.
Procurar un grupo de prueba de sistemas que examine

adecuadamente todas las modificaciones a los sistemas, as como a
los nuevos sistemas que se estn desarrollando.
Revisar los organigramas para asegurar que la organizacin es

funcional y que puede operar exitosamente dentro de los confines de
la organizacin.
Interrelacionar los organigramas totales con los organigramas

departamentales para asegurar que exista una relacin adecuada de
trabajo.
Revisar los procedimientos del departamento de proceso de datos

para ver si siguen y/o llevan a cabo adecuadamente las polticas
bsicas tal como fueron esbozadas por la alta Gerencia de la
organizacin.
Revisar las descripciones de los puestos dentro del departamento de

proceso de datos con el fin de asegurar que existe una separacin de
las funciones laborales; por ejemplo, no se debe de pedir que
programen los operadores de la computadora.
83
Asegurar que haya una separacin adecuada de deberes entre el

personal que trabaje en la biblioteca de cintas y discos y el dems
personal de operacin de la computadora.
Asegurar que los procedimientos de trabajo dentro del rea del

departamento de procesamiento estn escritas en un manual de
polticas o estndares.
Procurar un rea separada de cintoteca /discoteca. Esta rea debe de

estar separada pero contigua a las operaciones de proceso de datos.
Asegurar que existe una documentacin adecuada para todos los

sistemas y programas.
Designar oficialmente a una persona como la encargada de la oficina

de control de la informacin para toda la organizacin. Esta persona
es responsable de la seguridad de todo el proceso de datos, tanto
fsicamente como de la informacin.
Asegurar de que haya una poltica escrita especfica respecto a quin
dentro de la organizacin tiene el derecho de acceso a la informacin
especfica. Esta poltica debe de definir cualesquiera limitaciones en
el uso de esta informacin por los que tengan acceso autorizado a
ella.
5.5.3 rea de Backup y Recuperacin

Objetivo de Auditoria
Asegurar que existan procedimientos adecuados para proteger el

contenido de las libreras contra daos accidentales, prdidas o mal
manejo.
Asegurar que todos los archivos y medios

inventariados y adecuadamente controlados.
Asegurar que existan normas adecuadas de identificacin de

archivos.
Asegurar que existan procedimientos adecuados de backup que

respondan a los requerimientos de recuperacin y que garanticen la
continuidad de las operaciones.
magnticos
sean
84
Asegurarse que solo personas autorizadas accesan los archivos o

medios magnticos.
Controles
Determinar la existencia del manual de procedimientos de Backup y

recuperacin.
Determinar las personas responsables del procedimiento de Backup
Determinar los tipos, clases y periocidad de los Backup.
Que exista una cintoteca.
Determinar mediante pruebas selectivas el contenido de los Backup.
Que exista personal idneo para las pruebas de recuperacin.
Que exista procedimientos adecuados de inventario para la biblioteca

y cintotecas.
Que existan copias de seguridad almacenadas en lugares remotos y

restringidos.
Que existan instrucciones escritas adecuadas para la identificacin de

los archivos y su rotacin.
Que hayan claves de autorizacin para la creacin de Backup y su

recuperacin.
5.5.4 rea de Seguridad

Exposicin al Fuego
Objetivos de Auditoria:
Revisar la suficiencia de las medidas contra incendio en el edificio

construido y la naturaleza no combustible de su contenido.
Revisar si la planificacin de proteccin contra incendios tiene
suficientes medidas de seguridad y revisar las medidas preventivas.
Revisar la suficiencia de: dispositivos de deteccin de incendios,
alarmas e interruptores de la energa elctrica, equipo de extincin
de incendios, luces de emergencia.
Procedimientos de Control
85
El centro de computacin est ubicado en un edificio resistente al

fuego o no inflamable?
El saln de Computador est separado de las reas adyacentes

mediante particiones, paredes, pisos y puertas no combustibles o
resistentes al fuego, y separado de contenidos peligrosos?
Los pisos y techos falsos (incluyendo los materiales de soporte y de

aislamiento), estn hechos a prueba de incendio?
Son a prueba de incendios, las alfombras, los muebles, y las

cubiertas de las ventanas?
El papel y otros suministros combustibles se guardan fuera del rea

del computador?
Est prohibido fumar en el Centro de Cmputo?
El personal de operaciones de PED est adiestrado en tcnicas de

extincin de incendios, y tienen responsabilidades individuales
asignadas para casos de incendio?
El centro de computacin est protegido por sistemas de extincin

automticos?
De agua? En este caso, suena una alarma al activarse y hay alguna

demora para el surtido de agua?
Halgeno?
Dixido de carbono? El personal conoce las precauciones de
seguridad que deben observarse?
Hay extintores de fuego porttiles ubicados estratgicamente en el

centro de computacin, con marcadores de ubicacin bien visibles?
Los controles de emergencia para desconectar la energa elctrica

estn fcilmente accesibles en las salidas?
Los controles de emergencia de energa elctrica desconectan la

calefaccin, la ventilacin y el aire acondicionado?
Se usa una lista de comprobacin para apagar el equipo?
Hay detectores de humo y de ionizacin instalados en:
Varias zonas del centro de computacin?

Techos?
Pisos falsos?
86
Conductos de ventilacin?
Los detectores de humo/ionizacin

emergencia de la energa elctrica?
Se hacen pruebas regulares del funcionamiento de los detectores?
Con regularidad se hacen ejercicios de simulacin de incendios?
Hay disponible un suministro suficiente de agua para la extincin de

incendios?
Hay una cantidad suficiente de cajillas de alarma contra incendios

por todo el centro de computacin?
Al activarse la alarma de incendios, su sonido se escucha:
activan
el
interruptor
de
Localmente?
En el puesto del guardia de seguridad?
En la estacin central de alarmas de incendio?
En la estacin (Departamento) de bomberos?
Se conoce la tasa de incendios suministrada por el cuerpo de

bomberos local?
Se usan materiales inflamables en el mantenimiento del

computador? (Si se usan deben ser en cantidades pequeas y deben
almacenar en recipientes aprobados)
Las cuadrillas de emergencia deben entrar a la sala del computador

sin demora?
Hay suficiente suministro de iluminacin de emergencia distribuida

por todo el centro de computacin y se prueba con regularidad?
Exposicin a Daos por Causa de Agua
Objetivo de Auditoria:
Revisar las medidas para prevenir y reducir los daos causados por el
agua.
Procedimientos de Control:
Los computadores y el equipo relacionado, estn colocados ms

arriba del nivel del suelo?
87
Las tuberas de agua y de vapor que pasan por arriba, estn fuera
de la sala del computador, con excepcin de los surtidores de
emergencia?
Se ofrece un drenaje adecuado debajo de los pisos falsos y en otras
reas del centro de computacin?
Hay un drenaje adecuado en el piso de encima, para evitar que se
filtre el agua por el techo?
Se proporciona un drenaje adecuado en las reas adyacentes al
centro de computacin?
Todas las unidades elctricas estn en cajas colocadas debajo de los
pisos falsos y desconectados de las planchas de dicho suelo para
evitar daos por agua?
Las puertas y ventanas exteriores estn hechas a prueba de agua?
Se tiene proteccin contra agua de lluvia acumulada o contra goteras
en el tejado y en las torres de enfriamiento que estn sobre el
tejado?
Sistema de Aire Acondicionado (Temperatura, Filtracin y Humedad)
Verificar la suficiencia del sistema de aire acondicionado en cuanto a:

temperatura, ventilacin, filtracin, humedad, proteccin, respaldo
Procedimientos de Auditoria:
Se usa el sistema exclusivamente para el centro de computacin?

Los revestimientos de los conductos y los filtros estn hechos en
materiales no combustibles?
Se suministran reguladores de corrientes de aire contra incendio?
El compresor est alejado del centro de computacin?
La torre de enfriamiento est suficientemente protegida?
Existe un sistema de aire acondicionado de respaldo?
Las tomas de aire:
Estn cubiertas con mallas protectoras?
Estn ubicadas a mayor altura que el nivel de la calle?
88
Estn ubicadas para evitar que entren elementos contaminantes

o escombros?
Electricidad
Determinar la calidad de la fuente principal de energa elctrica.

Determinar la necesidad y el tipo de suministro interrumpido de
energa elctrica y revisar las pruebas para el mismo.
Revisar el cumplimiento de los cdigos locales de los cables
elctricos.
Es confiable el suministro elctrico local?

El voltaje de las lneas es registrado por voltmetro?
Si el voltaje de la lnea no es confiable: se han investigado lneas
alternas?
Si es alto el grado crtico de los sistemas que se procesan en el
centro de computacin, se ha investigado sobre suministros de
energa elctrica sin interrupcin (UPS's)?
Todos los canales elctricos del centro de computacin satisfacen los
cdigos elctricos de aceptacin general local?
Exposicin a Desastres Naturales
Determinar si las instalaciones del centro de computacin estn

razonablemente protegidas contra desastres naturales.
El edificio del centro de computacin es slido en su estructura y est
protegido contra: Huracanes y vientos? Daos por inundacin?
Terremotos?
El edificio y el equipo estn correctamente conectados a tierra como
medida de proteccin contra rayos?
Controles de Acceso
89
Revisar los procedimientos apropiados de seguridad y los dispositivos

de cierre para evitar el acceso no autorizado.
Determinar si las puertas y ventanas estn construidas de modo
adecuado.
Identificar la cantidad mnima necesaria de puertas y ventanas.
El centro de computacin es un objetivo poco probable para

delincuentes?
Hay guardias de vigilancia en todas las entradas al centro de
computacin?
Se exige una constancia de identificacin para entrar al centro de
computacin (ejemplo: un sistema de carnet con fotografa)?
El acceso al centro de computacin est restringido solamente a las
personas autorizadas por ser su lugar de trabajo?
La limitacin de acceso al centro de computacin es suficiente
durante las 24 horas cada da?
Se usan llaves, cerraduras de cdigo, lectores de carnet, u otros
dispositivos de seguridad para controlar el acceso?
El personal est adiestrado para retar a los visitantes que no estn
debidamente identificados?
Hay suficientes
computacin?
controles
para
los
visitantes
del
centro
de
Se desestimula la divulgacin de la ubicacin del centro de

computacin?
Es necesaria cada una de las entradas al centro de computacin?
Las puertas del centro de computacin que son necesarias para
ventilacin e iluminacin, estn protegidas por alguna reja o malla
cuando estn abiertas?
Las puertas de las salidas de emergencia estn protegidas con
alarmas de salida?
90
Las puertas las cerraduras, los pasadores de cierre, las bisagras, los
marcos y otros mecanismos del edificio, estn construidos de tal
modo que se disminuya la probabilidad de ingresos no autorizados?
Si el acceso al centro de computacin se controla elctrica o
electrnicamente, hay bateras cerca y disponibles para casos de
interrupciones del sistema de energa primario?
Hay adecuados controles sobre la remocin de materiales del rea
de procesamiento de datos? Los reportes sensitivos se desmenuzan
(Hacen trizas)?
El sistema hace uso de: Guardias, Tarjetas, Badger (escarapelas de
color codificado), Circuito cerrado de televisin, Puntos de entrada
limitados, Monitoreo central, Dispositivos de deteccin, Alarmas,
Sistema de intercomunicacin (intercom), Puertas tramman (entrada
de doble puerta), puertas de salida nicamente en emergencia de
incendio, Las terminales estn localizadas en reas seguras para
prevenir el acceso a las mismas por usuarios no autorizados?
Las terminales incluyen dispositivos de cierre
prevenir uso no autorizado?
(locking)
para
Todas las conexiones de modems y lneas de comunicacin estn

aseguradas para prevenir que sean interceptadas?
Se utilizan lneas arrendadas para la comunicacin de datos
sensitivos?
Se utilizan dispositivos automticos de descripcin
para proteger la transmisin de datos sensitivos?
(criptoboxes)
Las claves del dispositivo de encripcin se cambian con frecuencia?

La alta direccin apoya el sistema de seguridad?
Se utilizan auditores internos y oficiales de seguridad?
La identificacin de las personas se efecta por: alguna cosa que el
usuario tiene, alguna cosa que el usuario conoce, caractersticas de
los usuarios, identificacin de la terminal, por localizacin de las
terminales, mediante nombre y funcin de programas individuales, de
los archivos hacia abajo, hasta el nivel de campo.
Los accesos a los archivos de datos y programas de aplicacin estn
restringidos por uno o todos los siguientes mtodos:
Clasificacin de archivos (e.g. Top Secret, confidencial, etc.)?
Leer nicamente, escribir nicamente, adicionar, copiar, etc.?
91
Categora o usuario?
A todos los empleados o visitantes al centro de computador o a otras
reas sensitivas se les exige identificacin positiva en forma de
escarapelas (badges) o carnets con la foto del individuo, nombre,
posicin y departamento?
Estn previstos procedimientos para
recuperacin de escarapelas y carnets?
controlar
la
emisin
Las existencias de escarapelas o carnets sin utilizar se verifican

peridicamente?
Est establecido un lmite para permitir repeticin de intentos no
vlidos para accesar el sistema desde las terminales (generalmente
de uno a tres)?
El sistema de seguridad incluye caractersticas de autenticacin de

personas y terminales tales como call-back (e.g. una terminal es
desconectada y discada para ver si la terminal apropiada responde)?
Los passwords se cambian frecuentemente?

Los passwords son cuidadosamente manejados por sus propietarios
y el archivo de estos est adecuadamente protegido contra acceso no
autorizado?
Los terminales estn equipados con generadores de identificacin
automticos?
Las llaves de las cerraduras de las terminales se conservan
adecuadamente protegidas?
Se mantiene un log de todos los intentos infructuosos para entrar al
sistema de computador (e. g. va terminales)?
Todos los intentos de violaciones de acceso son inmediatamente
reportados y seguidos de una accin correctiva?
Todas las intervenciones de operacin
registradas en el log y aclaradas?
del
computador
son
Aseo y Mantenimiento
Determinar si los procedimientos de aseo y mantenimiento reducen al

mnimo los riesgos relativos a: materiales combustibles, polvo y otros
elementos contaminables, fuerzas estticas.
92
Se evita la acumulacin de escombros en el centro de computacin?

Se limpian con regularidad el equipo y las superficies de trabajo?
Se lavan los pisos con regularidad?
Se limpian con regularidad las superficies que estn debajo de los
pisos falsos?
Se vacan los recipientes de basura fuera del centro de computacin
para disminuir la descarga de polvo?
Se usan alfombras y cera de pisos antiestticos?
Se prohbe comer en la sala del computador?
Se usan recipientes de basura poca propensin al fuego en el centro
de computacin?
Est prohibido fumar en la sala del computador?
Se mantiene limpia y ordenada el rea de mantenimiento?
Asuntos Generales
Revisar y evaluar la planificacin de la seguridad de la organizacin.
Se ha orientado el personal de seguridad y de operaciones en cmo

se debe reaccionar en caso de disturbios civiles?
Se ha adiestrado al personal en cmo manejar amenazas de
bombas?
Hay un programa de enlace con las agencias locales de orden
pblico?
Polticas del Personal
Revisar la poltica de contratacin para asegurarse que se han

realizado chequeos del pasado profesional de todo el personal de
PED.
93
Revisar si los estndares de educacin y entrenamiento son

suficientes.
Revisar los procedimientos de terminacin de contrato laboral y de
proteccin contra daos por parte de empleados descontentos.
Se hacen chequeos del pasado profesional de todos los empleados

nuevos?
Se vuelve a chequear en forma peridica el pasado profesional
todos los empleados?
Reciben los empleados
relacionadas entre si?
adiestramiento
cruzado
de
de
materias
Se informa a la Gerencia de empleados que dan muestra de

descontento?
Hay polticas establecidas para contener a empleados despedidos de
inmediato, que pueden representar una amenaza para el centro de
computacin?
Existe un programa educativo continuo respecto a las medidas de
seguridad?
Controles
Determinar si la construccin del edificio, incluyendo las paredes,

techo y pisos, son de materiales no combustibles con objeto de
reducir la posibilidad de incendio.
Ver que las paredes adyacentes inmediatas a los archivos o al equipo

crtico son de ladrillo, de manera que no sean penetradas fcilmente.
Separar fsicamente el servicio de computacin de los otros

departamentos.
En edificios de varios pisos situar el servicio de proceso de datos en

un piso alto para reducir el riesgo de una penetracin extraa o dao
por inundacin.
Verificar el tejado para cerciorarse que no haya
goteras.
94
Separar la habitacin de la computadora, y las reas de archivo y

equipo de cinta/disco y la biblioteca, por medio de paredes no
combustibles con un mnimo de resistencia al fuego de dos horas.
No se permite la visita del centro de cmputo.
Verificar que los techos estn a aprueba de agua de manera que esta
no fluya a los pisos.
Procurar un servicio de drenaje adecuado bajo pisos elevados debido

a que los cables con corriente elctrica para debajo de estos pisos.
Verificar que slo haya una puerta de entrada y de salida que sea
usada por el personal de operacin del centro de cmputo. Todas las
puertas deben de estar provista de aberturas, para poder romperlas
en caso de emergencia.
Instalar un sistema automtico de supresin de fuego en el cuarto de

la computadora y especialmente dentro de la biblioteca de
discos/cintas.
El sistema recomendado es el usar un agente
halogenado de contacto seco.
Situar estratgicamente cerca del centro de cmputo a nivel del suelo

extinguidores porttiles, y marcar el lugar con una franja roja del
suelo al techo.
Comprobar que las cortinas, tapetes, muebles, piso falso, falso techo,
filtros de aire acondicionado, materiales aislantes elctricos y
acsticos, etc., estn hechos de materiales no combustibles o bien
est tratado con materiales retardantes de fuego.
Prohibir el fumar, comer y beber en el cuarto de la computadora y en

la bveda de cintas/discos.
Verificar que el sistema de alarma contra incendio automtico tiene la

capacidad de transmitir seales a un punto remoto que sea
supervisado las 24 hrs. El punto remoto puede ser una estacin de
guardia de la organizacin o la estacin de bomberos local.
Almacenar el papel y otros suministros combustibles fuera del cuarto

de la computadora, a excepcin de aquellos que se van a usar
inmediatamente.
95
Conservar en pequeas cantidades los materiales inflamables usados

en el cuarto de la computadora, tales como lquidos limpiadores.
Proteger de las variaciones de voltaje a toda la potencia elctrica que

sirve a la unidad central de proceso
(UCP o CPU), al equipo
relacionado con la UCP, u al equipo de comunicacin de datos
utilizando un transformador.
Marcar apropiadamente a los tableros del circuito de manera que si

se le va a dar servicio al equipo permitan una referencia rpida y
expedita.
Conservar abajo del piso a todo el equipo elctrico y especialmente al

pedestal de los ductos del piso falso con objeto de aumentar la
seguridad personal.
Proporcionar reas cerradas separadas para el equipo de motores

generadores con el fin de afirmar su seguridad
Procurar dar el mantenimiento preventivo apropiado a todos los

motores generadores relacionados con el equipo.
Generar un medio ambiente de temperatura y humedad controladas
en el rea de la computadora. Mantnganse diagramas de humedad
por medio de un registrador continuo.
Procurar capacidad de respaldo para el aire acondicionado, que sea

independiente del edificio central. Esto implica la capacidad de que
opere independientemente el sistema de aire acondicionado en el
caso de que se trabaje en proceso de datos fuera de horas normales.
Dar mantenimiento y verificar mensualmente al sistema de aire

acondicionado.
Proteger las conexiones elctricas y las cajas de los circuitos que

alimenten a los condicionadores de aire. Conserve cerrada a estas
cajas y en una habitacin cerrada independiente.
Asegurar un respaldo adecuado al aire acondicionado para el caso de

que llegar a quedar inoperante. Los acondicionadores de aire
independientes y montados en el piso no llegan a dejar inoperante a
la unidad central de proceso.
96
Verificar el flujo de los circuitos elctricos a travs del edificio para

asegurarse de que estn relativamente seguros.
Proporcionar cubiertas de plstico que protejan al equipo de proceso

de datos si hay una fuga arriba de l.
Hacer que todo el personal porte gafetes o insignias en reas

restringidas; los visitantes deben usar un gafete de color diferente, y
deben firmar el registro y ser escoltados.
No se permita a los programadores y analistas de sistemas entrar en

el cuarto de la computadora. Si por razones especiales estas reglas
deben de ser rotas, las personas deben de tener una escolta
adecuada y una autorizacin externa.
No se permitan paquetes, portafolios y bolsas de mano dentro del

rea de la computadora central, en la cintoteca, u otras reas muy
sensitivas.
Cuando sea factible, utilcese un servicio de guardias de 24 hrs con

respecto a la entrada y salida del centro de cmputo.
Procurar contratar personal instruidos en materias de seguridad, de

manera que la responsabilidad por ella quede fijada y entendida
claramente por aquellos que la tienen.
Desarrollar un boletn mensual o trimestral con informacin relativa a

la seguridad con objeto de supervisar y entrenar continuamente al
personal.
Determinar si es necesario romper los papeles (papel carbn y otros

artculos) para destruir reportes y listas confidenciales. El romper el
papel puede no ser lo conveniente y lo anterior tenga que ir a alguna
otra compaa para su custodia o destruccin.
Verificar que haya sistemas adecuados para la administracin de

cintas/discos, la manera que slo sean borradas las cintas/discos
oportunos.
Ratificar que la Gerencia preste su asistencia a los esfuerzos de

entrenamiento con respecto a la seguridad fsica.
97
Dependiendo de la sensibilidad del sistema, protjase contra el

espionaje electrnico a travs de las emanaciones elctricas, del
equipo de proceso de datos.
Asegurar todas las ventajas, porque no slo puede ser tirado a travs
de ellas algo de afuera sino tambin algo de adentro, tal como un
disco o una cinta.
Hacer que el personal revise el registro de acceso al sistema de mini

computadoras, con objeto de determinar quin y cundo entr al
rea.
Determinar si los empleados del centro de cmputo deben de firmar

un convenio reconociendo el hecho de que no deben vender
programas de computadoras, usar a la mquina para asuntos
particulares, etc.
5.5.5 REA DE PRODUCCION

Operacin
Objetivos de Control:
Determinar que existan controles suficientes sobre las operaciones de

computacin, que proporcionen una seguridad razonable de que sus
resultados son exactos y completos.
Los objetivos de control deben ser orientados a alcanzar los siguientes
objetivos bsicos:
Prevenir y detectar
procesamiento.
errores
accidentales
ocurridos
durante
el
Prevenir o detectar la manipulacin fraudulenta de los datos mientras

son procesados en el departamento de PED, y para prevenir la
inadecuada utilizacin de la informacin confidencial.
Proteger contra la destruccin accidental de los registros y asegurar
la continuidad de las operaciones.
Procesamiento
Objetivos de Control: los controles de procesamiento deben estar

orientados al cumplimiento de los siguientes cuatro objetivos
principales de control:
98
Asegurar que la totalidad de los datos sean procesados por el

computador.
Asegurar la exactitud de los datos procesados en el computador.
Asegurar que todos los datos procesados por el computador estn
debidamente autorizados.
Asegurar que las pistas de Auditoria sean adecuadas.
Controles
Deber establecerse un grupo de control que reciba la totalidad

los datos para el procesamiento y asuma la responsabilidad
comprobar que todos los errores detectados durante
procesamiento sean corregidos, as como para garantizar que
datos de salida se distribuyan adecuadamente.
Debern de utilizarse, siempre que sea posible, los programas de

edicin del computador con el fin de verificar que los datos estn
completos, sean exactos, y estn debidamente autorizados,
complementando as las funciones del grupo de control.
Se debern de proporcionar manuales de sistemas y procedimientos

para todas las funciones de operacin del computador.
La metodologa mediante la cual controla sus propias operaciones el

computador deber evaluarse desde el punto de vista de los
requerimientos generales de control.
Para todas las acciones que se requieran de parte del operador del
computador debern de emitirse manuales de operacin.
Debern de predeterminarse y verificarse peridicamente durante el

procesamiento los totales de los archivos maestros, de entrada y de
salida de los datos.
Siempre que sea posible, deber de emplearse el computador para

hacer la edicin de los errores.
Deber de haber algn mtodo que asegure que los componentes

fsicos del equipo (hardware), trabajen adecuadamente.
de
de
el
los
99
Se deber de independizar la funcin de programacin y la de

operacin del computador.
Es conveniente que los conocimientos de programacin por parte del

operador sean limitados.
Se debern establecer procedimientos con el fin de detectar los

errores lo antes que sea posible.
Se debern de elaborar instrucciones explcitas para el operador

acerca de los procedimientos en caso de error y de detencin del
trabajo.
Cada transaccin deber ser registrada inicialmente en un formato

especial con cdigo de identificacin, el cual deber llenarse de tal
manera que ms adelante sea posible referirse al mismo.
Donde sea posible, se deber de programar el computador de

manera que pueda anticipar cada transaccin y detectar la falta de
datos de entrada (control anticipado).
Los empleados encargados de la preparacin de los datos de entrada,

o que tengan acceso al almacn de papelera, no debern de tener
acceso ni responsabilizarse de los archivos relacionados con los
mismos documentos, ni de programas del computador, ni del
computador en s.
Los datos de entrada debern ser codificados cerca de su punto de

origen para tomar en cuenta los totales de control del lote; debern
de utilizarse formas para el encabezado del lote, que contengan un
cdigo de identificacin, as como un registro del total de control del
lote.
En algunas aplicaciones, los datos de salida debern de ser listados
para revisarlos visualmente en detalle contra los documentos
originales.
La totalidad de los datos rechazados en el ciclo de procesamiento

deber registrarlos el grupo de control en una cdula de errores e
identificar las correcciones sobre la misma cdula al ser
realimentadas; las operaciones aisladas, debern de investigarse con
regularidad.
100
Se deber establecer un sistema bien definido para corregir los

errores y realimentar las correcciones como entrada; y se deber de
asignar y fijar responsabilidades acerca de esta funcin.
Debern revisarse en las fechas de corte, las conciliaciones de los

totales de control con el fin de asegurar que la totalidad de la
informacin de entrada se haya recibido para su procesamiento.
Debern describirse especficamente por medio de manuales, los

procedimientos respecto a la preparacin de los documentos de
origen.
Se deber de proporcionar, entrenamiento y supervisin en la forma

adecuada, a todas las personas relacionadas con la preparacin de
los datos que sern procesados en el computador.
En ausencia de otros controles, los cdigos-clave de identificacin

debern de emplear la tcnica auto verificable del cdigo de control,
para identificar los errores de codificacin.
Adems de la existencia de manuales por escrito, deber de contarse

con la supervisin adecuada del personal y con el necesario
entrenamiento, as como hacer una separacin de funciones.
Los datos particularmente importantes de las transmisiones en lnea,

debern ser controlados por medio del procesamiento de respuesta
programada.
Se deber de mantener controles adecuados acerca de la conversin.
Se debern de cumplir con los procedimientos de mantenimiento

preventivo recomendados por el fabricante respecto al equipo.
En ausencia de otros controles efectivos, los campos clave debern

ser verificados mediante la utilizacin de cifras de control.
En su sistema de procesamiento en lote deber de implantar

procedimientos manuales para la utilizacin de los datos de entrada,
as como para examinarlos posteriormente en busca de dicha
autorizacin.
5.5.6 Plan de Contingencias
101
Objetivos de Control
Revisar que exista un plan de emergencia prctico y totalmente

documentado, para asegurarse de que se toman las acciones
adecuadas para reducir el riesgo al mnimo en caso de que las
instalaciones informticas se destruyan o averen seriamente.
Revisar que el plan de contingencias prevea los siguientes riesgos

ms frecuentes que pueden afectar la continuidad de las operaciones
del departamento de sistemas:
Incendios
Inundaciones
Averas de los equipos auxiliares
Acciones malintencionadas
Robo de informacin
Relaciones laborales
Preguntas Programa de Auditoria
Existe un plan de emergencia por escrito? De ser as se incluyen los

siguientes puntos:
Identificacin de la configuracin mnima de equipo necesaria: tipo

de mquina y modelo; tamao de memoria; cantidad, tipo y modelo
de los perifricos.
Especificacin del sistema operativo, JCL y otro software del

sistema?
Identificacin de las personas responsables de cada rea funcional?
Procedimientos detallados de notificacin para la implantacin de los

planes especificando quin llama a: la Gerencia, las cuadrillas de
emergencia, al departamento usuario, las instalaciones de respaldo,
al personal de la empresa vendedora de PED, al personal de servicios,
otros segn sea necesario?
Criterios para determinar la extensin de la interrupcin?
Responsabilidad para retener los documentos fuente y los archivos

de datos de cada aplicacin?
Identificacin de los individuos responsables de la decisin de

utilizar la instalacin de respaldo y de planificar la solucin
permanente de la interrupcin?
102
Existe un programa de adiestramiento de emergencia para todo el

personal de PED?
Procedimientos de Respaldo
Revisar el hardware de respaldo y su seguridad.

Revisar el acuerdo formal y los resultados de las pruebas del sitio
alterno de procesamiento.
Determinar si el respaldo de Hardware y servicios es suficiente.
Asegurar que hay un respaldo suficiente de: datos y archivos,
programas y software, documentacin e instrucciones de corrida.
Procedimientos de Auditoria
Instalacin de respaldo:
hay computadores de respaldo
disponibles?, el computador est ubicado (dentro del centro de
computador? dentro del mismo edificio? en una ubicacin apartada
del edificio del centro de cmputo principal?
Si se tiene acceso a otro computador que no es de la Empresa: existe
y est vigente un acuerdo contractual, se hacen pruebas peridicas,
las medidas de seguridad en la instalacin de respaldo son
suficientes, la instalacin de respaldo ha sido aprobada por el
personal de seguridad, en las instalacin de respaldo existe
capacidad suficiente para procesar las aplicaciones crticas.
Se ha desarrollado un plan de implantacin del respaldo? este se
revisa y prueba con regularidad?
La empresa vendedora de servicios de PED almacena repuestos
localmente?
Existe un programa regular de mantenimiento preventivo?
Datos, Archivos y Software
Existen polticas y procedimientos para respaldo y retencin de

archivos? Se prueban con regularidad?
Los datos / archivos crticos de apoyo se guardan en:
Las dependencias de la empresa, dentro

prueba de fuego?
103
de
una ubicacin a
Lejos de las dependencias, en una ubicacin a prueba de fuego?

Se ha evaluado que el sitio de almacenamiento apartado ofrezca
seguridad suficiente?
Todos los datos / archivos y software dentro del centro de cmputo,

se guardan en recipientes poco propensos al fuego?
Peridicamente se realizan corridas de prueba, utilizando los datos /

archivos y el software localizados en el sitio apartado y en las
dependencias de la empresa?
Los respaldos de datos / archivos y

peridicamente, con intervalos regulares?
La documentacin de respaldo est al da con los datos, archivos y

software de respaldo?
software
se
generan
Seguros
Revisar la cobertura respecto a una proteccin suficiente contra una

variedad de desastres: todo riesgo, gastos adicionales, prdidas por
interrupcin de actividades.
Est incluido lo siguiente en su seguro de la propiedad?: incendios,

daos causados por el agua, disturbios civiles, vandalismo, desastres
naturales, rayos, huracanes, terremotos, colapso de la estructura,
aeronaves, falla del sistema de aire acondicionado, explosiones, gas,
calderas, daos a la propiedad de la organizacin, entre otros.
Hay cobertura especfica para: el equipo de PED, los medios de
almacenaje, gastos adicionales, prdidas por interrupcin de
actividades, software y documentacin?
Hay seguros para formas de computador que representen ttulos
valores para cubrir las prdidas por medio del computador de:
archivos de cuentas por cobrar, Otros archivos?
Controles
Existe un plan de emergencia por escrito
104
Existe un programa de adiestramiento para todo el personal del PED.

Hay Hardware y Software de respaldo
Existe acuerdos formales para procesamiento alterno.
Existe un plan de implantacin de respaldo.
La cobertura de los seguros ofrece una proteccin suficientes.
5.5.7 rea de Desarrollo de Sistemas

Asegurar que una aplicacin sea convertida al computador,

solamente si se va a producir mayores beneficios que cualquier otra
alternativa.
Asegurar el desarrollo de sistemas y programas efectivos.
Asegurar que los sistemas y programas sean mantenidos con

efectividad.
Controles
Se deber de realizar un estudio de factibilidad efectivo.
La alta gerencia deber de aprobar las conclusiones de los diferentes

grupos de estudio.
Se debern de elaborar planes a largo plazo como una gua para los
subsecuentes diseos de sistemas.
Deber haber una participacin activa de los representantes de los

departamentos usuarios, incluyendo el departamento de contabilidad.
Se deber de separar las funciones de programacin y operacin.
Se deber de establecer, documentar y poner

procedimientos estndar para la programacin.
Cada sistema deber ser revisado y aprobado por la alta gerencia y

los departamentos usuarios interesados antes de iniciar el diseo de
los sistemas.
Deber existir colaboracin entre los departamentos usuarios y el

departamento de PED, para probar y ensayar los sistemas.
Las comprobaciones finales debern comprender todas las fases del

sistema, incluyendo el procesamiento manual y el computador.
en
prctica,
105
Se deber de controlar la conversin de los archivos a fin de prevenir

la realizacin de modificaciones sin autorizacin, y para garantizar la
obtencin de resultados exactos y completos.
Se deber de obtener autorizacin antes de iniciar una modificacin.
Deber controlarse la comprobacin y aprobacin final de las

modificaciones.
5.5.8 rea de Eficiencia
Determinar el grado de satisfaccin de los usuarios del sistema.
Determinar si las aplicaciones de sistemas han sido la solucin a los

diferentes problemas planteados.
Determinar el contenido tcnico de los sistemas y programas que se

desarrollen para asegurarse de que la empresa obtiene el mximo
beneficio de los esfuerzos y recursos que se ponen en juego.
Determinar si los controles existentes en las diferentes reas son

suficientes.
Controles
Las aplicaciones deben solucionar problemas planteados.
La informacin que suministra el sistema debe ser oportuno,

confiable y suficiente para la toma de decisiones.
Deben llevarse estadsticas que permitan evaluar el departamento de

sistemas.
Debe efectuarse reuniones con los Jefes de departamentos usuarios

que permitan evaluar en parte Los resultados del departamento de
sistemas.
Deber ser
computador.
Deber planearse un programa acerca de la rotacin del personal de

la operacin en aplicaciones delicadas.
Deber ser supervisada la eficiencia en el cumplimiento de las

funciones.
Deber ser evaluado el cumplimiento en el desarrollo de los planes

de sistemas.
supervisada
con
eficiencia
las
operaciones
del
106
Normalmente es conveniente que el Comit Tcnico

evaluaciones en relacin a la idoneidad del personal.
Deber acondicionarse el hardware, software y utilitarios del sistema

de acuerdo a las necesidades de la Empresa.
Se realizan estudios de factibilidad.
Asegurar que los programas y sistemas son mantenidas con

seguridad suficiente.
5.6
elabore
AUDITORIA DE CONTROLES GENERALES AL CENTRO DE

PROCESAMIENTO DE DATOS
Ref. PT
PRUEBA No.______
1 OBJETIVOS DE LA PRUEBA
2 TCNICA (S) A EMPLEAR
3 TIPO DE PRUEBA
CUMPLIMIENTO_________SUSTANTIVA___________DOBLE
FINALIDAD________
4 PROCEDIMIENTO A EMPLEAR
107
5 RECURSOS NECESARIOS PARA APLICARLA

(Software, hardware, personal, informacin)
ELABORADO POR_____________________________________________________
REVISADO POR______________________________________________________
FECHA_______________________
Ref. PT
PRUEBA No.______
1 HALLAZGO
___________________________________________________________________
___________________________________________________________________
2 CAUSAS
___________________________________________________________________
___________________________________________________________________
3 SITUACIN DE RIESGO QUE GENERA
4 ESTANDAR DE COMPARACIN
___________________________________________________________________
5 CONCLUSIONES DE AUDITORIA
___________________________________________________________________
6 RECOMENDACIONES DE AUDITORIA
108
_________________________________________________________________________
_____________________________________________________________
DISCUTIDO CON_____________________________________________________
FECHA_________________
5.7
PROBABILIDAD DE LAS AMENAZAS
RIESG
O
DESTRUCCIN
FRAUDE /
ROBO
ERRORES
HUMANOS
DIVULGACIN
NO
AUTORIZADA
FALLAS
DE
HARDWARE
RECURSOS
EQUIPOS
DE PED
INSTALAC.
DE PED
ARCHIVOS
DE DATOS
SOFTWARE
109
DOCUMENT
ACIN
5.8 EJEMPLO
CONTROLES
RIESGOS
EXISTENTES
MATRIZ
PROBABILIDAD
DE
OCURRENCIA
DE
EVALUACIN
CAUSAS
O
AMENAZAS
CONTROLES
EXISTENTES
DE
RIESGOS
EFECTIVIDA
D
1.
2.
3.
4.
RECOMENDAC
ION
5.
6.
0 = INEXISTENTE 1 = BAJO 2 = MEDIO 3 = ALTO

Estimar las prdidas y gastos adicionales por la interrupcin de las
actividades del Centro de Procesamiento:
Determinar el valor de los recursos informticos.
110
Determinar por anticipado cualquier gasto adicional y las prdidas

ocasionadas por la interrupcin de las actividades del centro de
procesamiento hasta que se restaure la normalidad.
Costo de Reemplazo / Recreacin
Equipos, perifricos, comunicaciones, medios de almacenamiento y

suministros
Instalaciones del centro de computo y preparacin del lugar
Datos y archivos
Software
Documentacin
Gastos adicionales (arriendos, personal, etc.)
Perdidas por interrupcin de actividades
Das necesarios para reemplazar / recrear los recursos informticos.
5.9
AUDITORIA DE LAS APLICACIONES EN FUNCIONAMIENTO
Etapas
Planeacin del trabajo
Investigacin preliminar
Evaluacin de los controles existentes
Diagnostico y recomendaciones de los controles existentes
Planear y disear pruebas de auditoria
Ejecutar pruebas de auditoria
Analizar resultados de las pruebas
Emitir informes
reas de Revisin
Origen y Preparacin de Datos.

Captura y Validacin de Datos.
Procesamiento y Actualizacin de Datos.
Salidas de la Actualizacin
Integridad del Sistema y de los datos.
111
Acceso a y seguridad de los programas.
Acceso a y seguridad de los archivos de datos.
Cambios a los programas de la aplicacin.
Backup y recuperacin.
Terminales y Comunicacin de Datos.
Documentacin tcnica y del usuario.
Auditabilidad de la aplicacin.
Utilizacin y Control de Resultados.
APLICACIN________________________________________
OBJETIVO
GENERAL
DEL
TRABAJO
A
REALIZAR_________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
ALCANCE DEL TRABAJO A REALIZAR (reas de Revisin)
1.
2.
3.
4.
5.
6.
7.
8.
9.
(
(
(
(
(
(
(
(
(
)
)
)
)
)
)
)
)
)
Origen y Preparacin de Datos

Captura y Validacin de Datos
Procesamiento y Actualizacin de Datos
Salidas de la Actualizacin
Integridad del Sistema y de los datos
Acceso a y seguridad de los programas
Acceso a y seguridad de los archivos de datos
Cambios a los programas de la aplicacin
Backup y recuperacin
10.
11. ( )
12. ( )
13. ( )
112
( ) Terminales y Comunicacin de Datos

Documentacin tcnica y del usuario
Auditabilidad de la aplicacin
Utilizacin y Control de Resultados
Puntos de inters para este trabajo

_________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
AUDITORES ASIGNADOS
Supervisor_______________________________Senior _____________________
Jnior______________________________________________________________
DURACIN ESTIMADA______Horas____ Das____
Semanas_____________
FECHA INICIACIN_________ FECHA TERMINACIN__________
5.10 GUA PARA ELABORAR EL ARCHIVO PERMANENTE DE LA
APLICACIN
EMPRESA _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
NOMBRE DE LA APLICACIN _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
Diligenciado por _ _ _ _ _ _ _ _ _ _ _ _ _ _ Fecha _ _ _ _ _ _ _ _ _ _ _ _
5.10.1 Objetivos, Alcance y Tamao de la Aplicacin
Objetivos que satisface para la organizacin
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
____________________________________________________________
Procesos automatizados (Funciones) que realiza.
113
Procesos
Periodicidad
___________________________________ __________________
___________________________________ __________________
___________________________________ __________________
___________________________________ __________________
___________________________________ __________________
___________________________________ __________________
___________________________________ __________________
Criticidad por tiempo muerto y divulgacin de la informacin
Por tiempo muerto ALTA

Menos de 1 da
MEDIA
5
IMPACTO
3
________
Una semana
________
Un mes
________
Ms de 30 das
Total Criticidad
BAJA
________
_________
Departamentos que generan informacin

(Transacciones)
alimentar el sistema (Fuentes de la informacin).
Departamento (Dependencia)
para
Transacciones
___________________________________
___________________________________
_____________________________
_____________________________
___________________________________
___________________________________
_____________________________
114
_____________________________
___________________________________
___________________________________
_____________________________
_____________________________
Elabore una lista de los documentos fuente que se utilizan para

registrar los datos en las fuentes de la informacin y anexe una
muestra de ellos.
REF
P/T
________________
Dependencias Externas involucradas en el manejo (proceso) de la

informacin
Dependencia
Procesos que realiza
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
Dependencias que reciben/utilizan informacin producida por el

sistema (Usuarios que satisface):
115
Departamento (dependencia)
_______________________________
Informacin que recibe
_______________________________
_____________________________
_____________________________
_______________________________
_______________________________
_____________________________
_____________________________
Elabore una lista de los informes que produce la aplicacin indicando

los objetivos de cada uno, la frecuencia de su produccin y los
usuarios que lo reciben.
REF.
A
P/T _________________
Elabore una matriz de Dependencias Involucradas en el Manejo de
la Aplicacin Vs. Escenarios de Riesgo.
REF
P/T ___________________
Interfases con otros sistemas.
Informacin que recibe de otras aplicaciones:

Aplicacin
Informacin que recibe
___________________________________
_____________________________
_____________________________
_______________________________
_______________________________
__________________________________
__________________________________
116
Informacin que genera para otras aplicaciones:

Aplicacin
Informacin que genera
____________________________
____________________________
____________________________
____________________________
____________________________
____________________________
____________________________
____________________________
Requerimientos legales que satisface.
________________________________________________________________
_______________________________________________________________
_______________________________________________________________
Programas que componen la aplicacin:

( )
Menos de 15.
( )
Entre 16 y 30.
( )
Ms de 30.
Obtenga una lista de los programas que componen la aplicacin,

indicando su identificacin y funciones que realiza.
REF
P/T
__________________
Archivos de computador importantes que maneja la aplicacin:

Identificacin
Contenido
___________________________
____
_____________________________
___________________________
_____
_____________________________
___________________________
_____
_____________________________
________________________________
_____________________________
________________________________
117
_____________________________
Obtenga una lista de los Archivos de Entrada / Salida que maneja la

aplicacin; adjunte la descripcin de los registros.
REF A P/T _____________
Elabore una lista de los campos codificables de los archivos e indique

su significado.
REF A P/T ______________
Elabore un esquema que grficamente represente el ambiente

operativo y tecnolgico de la aplicacin.
REF A P/T _______________
Elabore una lista de los campos de los archivos que son calculados
por el sistema e investigue las frmulas y algoritmos utilizados por la
aplicacin para obtenerlos.
REF A P/T _____________________
Obtenga los nombres de los cargos claves para el manejo de la

aplicacin en cada una de las dependencias involucradas y de las
personas que los desempean.
REF A P/T ________________________
Obtenga una lista de los manuales de documentacin tcnica del

usuario de la aplicacin e indique su localizacin. Solicite una copia
de ellos.
REF A P/T _______________________
Estructura y Tecnologa
Estructura de los archivos de Computador:

( )
No orientados a Bases de Datos
( )
Orientados a Bases de Datos
( )
Combinacin de las dos anteriores
Modo de procesamiento en el Computador:

( )
Batch
( )
Entrada on line y actualizacin en batch
( )
Entrada y actualizacin en tiempo real
118
Periodicidad de las corridas de Actualizacin.

( )
Diaria
( )
Semanal / Quincenal / Mensual.
( )
Otras (indquelas) ____________________
Sitios de procesamiento:
( )
Uno solo (centralizado) __________________________________________
( )
Varios dentro de la misma ciudad
__________________________________
( )
Distribuido en varias ciudades (localizaciones). Indquelas
_____________
Si el software se desarroll a la medida de la organizacin:
( )
Lo desarroll el personal de la empresa
( )
Lo desarrollaron entre consultores y el personal de la empresa.
( )
Lo desarrollaron los consultores.
Nombre o Razn Social de los Consultores

________________________________
Fecha de instalacin ___________________________
Si el software se desarroll a la medida de la organizacin, en este

proceso participaron:
( )
Usuarios, auditores, consultores y el personal de Sistemas.
( )
Usuarios, auditores y consultores.
( )
Los usuarios, auditores y el personal de sistemas.
( )
Usuarios y Consultores
( )
119
Usuarios y el personal de sistemas
Si el software se desarroll por el personal de la organizacin, la

metodologa de desarrollo:
( )
Se aplic consistentemente
( )
Se aplic parcialmente
( )
Ninguno de los anteriores
Si el software se compr-
( )
Se instal sin modificaciones significativas
( )
Se instal con modificaciones significativas
Fecha de Instalacin _______________________________

Nombre del Proveedor ________________________________________________
Direccin _________________________________
Pas _____________________
Bueno
( )
Regular
( )
Malo
Si el software se compr, el mantenimiento lo realiza:
( )
El vendedor
( )
Personal de la Empresa
( )
Los dos anteriores
Telfonos ________________________________
Si el software se compr, el soporte del vendedor es:
( )
Ciudad __________________
Lenguaje de programacin utilizado.
( )
Alto Nivel
( )
Combinacin de alto y Bajo nivel.
( )
Bajo nivel.
Nombre de los lenguajes de programacin
Documentacin de la Aplicacin.
Del sistema
( )
Disponible, adecuada y actualizada

( )
Disponible pero inadecuada y obsoleta
( )
No existe
De Programas
( )
( )
( )
No existe
De Operaciones
( )
( )
( )
No existe
Del Usuario
( )
( )
( )
No existe
120
Descripcin del Equipo de Computador utilizado para la aplicacin:
CPU:
Marca ___________Modelo _________
Memoria RAM __________
Cantidad______
Unidades de Disco: _____________________________________________

Unidades de Cinta: ______________________________________________
Otras Unidades de E/S ___________________________________________
Otros dispositivos de Hardware
Terminales locales
Terminales remotas
Modems
Encripores
Lneas de Comunicacin de datos:
Pblicas
Privadas
Software del Sistema utilizado por la Aplicacin
Cantidad.
__________________
__________________
__________________
__________________
__________________
__________________
Descripcin
Sistema Operacional
__________________
Software de Comunicaciones
__________________
Software de Seguridad
__________________
Software de Librerias
__________________
Software de Baes de Datos
__________________
Otro (s)
________________ __
121
Nombre
Versin
________________
________________
________________
________________
________________
_______________
Procedimientos de respaldo de la aplicacin

Obtenga informacin sobre los procedimientos de backup de datos,
software, instalaciones y documentacin de la aplicacin. Tambin
obtenga informacin sobre los procedimientos del plan de
contingencias.
REF A P/T ______________
Satisfaccin de los Usuarios
Credibilidad y oportunidad de los resultados del sistema:
( )
( )
( )
Percepcin general de los controles y del funcionamiento del sistema:
( )
( )
( )
Confiables y se producen a tiempo

Confiables pero no se producen a tiempo
Presentan errores significativos.
Buena
Pasable
Deficiente
Participacin del usuario en el mantenimiento de la aplicacin:
( )
Ninguna
( )
( )
122
nicamente solicita cambios

Solicita y Aprueba los cambios
Esfuerzo de Auditoria Requerido
Importancia de la informacin que produce:
( )
( )
( )
Edad del sistema:
( )
( )
( )
Alta
Media
Baja
Privacidad y Confidencialidad de la informacin que procesa:
( )
( )
( )
En proceso de reemplazo.
No se reemplazar antes de dos aos
No se tiene previsto reemplazarla
Susceptibilidad al fraude relacionado con el computador:
( )
( )
( )
Ms de dos aos
Entre dos y cuatro aos
Ms de cuatro aos
Expectativas de vida de la Aplicacin:
( )
( )
( )
Calcula cifras para afectar los estados financieros

Produce informacin importante de tipo administrativo
Las dos anteriores
Significativa
Moderada
No significativa
Auditorias realizadas a la aplicacin en los ltimos tres aos:
( )
( )
( )
Ninguna
Una o ms por Auditores Financieros
Una o ms por Auditores Financieros y de Sistemas
Frecuencia de los cambios (mantenimiento) a los programas de la

aplicacin:
( )
( )
( )
Ninguna
En todo el proceso de mantenimiento
En las pruebas de aceptacin
Si el software se compr la Empresa:
( )
( )
( )
Ninguna
En todo el proceso de desarrollo / adquisicin
En la instalacin
Participacin de la Auditoria en el Mantenimiento de la Aplicacin:
( )
( )
( )
Al menos una vez por mes

Mximo dos veces por semestre
Ms de tres veces por ao
Participacin de la auditoria en el desarrollo / adquisicin de la

aplicacin:
( )
( )
( )
123
Dispone de todos los programas fuente

Dispone de algunos programas fuente
No dispone de programas fuente
Auditabilidad de la Aplicacin:
( )
( )
Las pistas son adecuadas

Las pistas son deficientes
EMPRESA ______________________________________________________
APLICACIN ____________________________________________________
Elaborado por _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
Fecha _ _ _ _ _ _ _ _ _
Objetivos, Alcances y Tamao
Importancia de los objetivos de la aplicacin en los negocios de la

Organizacin:
( ) Significativa
( ) Moderada
( ) No significativa
_________
124
Valor de
Riesgo
5
4
Peso del
Criterio
X
X
3
Puntaje
Criticidad
(Impacto)
de los errores de procesamiento en la
estabilidad financiera del negocio.
Valor de Peso del
Puntaje
Riesgo
Criterio
( ) Significativa
5
X
( ) Moderada
4
X
3
X
_________
Cantidad de dependencias involucradas en el manejo de la aplicacin
( ) Entre 1 y 3
( ) Entre 4 y 10
( ) Ms de diez
Valor de
Riesgo
3
4
5
Peso del
Criterio
X
X
X
Puntaje
_________
Cantidad de interfases con otros sistemas

Valor de Peso del
Riesgo
Criterio
( ) Ninguna
0
X
( ) Entre 1 y 3
3
X
( ) Ms de 3
4
X
Puntaje
_________
Requerimientos legales que satisface

Valor de Peso del
Riesgo
Criterio
( ) Ninguna
0
X
( ) Entre 1 y 3
3
X
( ) Ms de 3
4
X
Puntaje
_________
Cantidad de programas que componen la aplicacin
125
Valor de
Riesgo
( ) Ninguna
( ) Entre 1 y 3
( ) Ms de 3
3
4
Peso del
Criterio
0
X
X
X
Puntaje
_________
Archivos de computador importantes que maneja la aplicacin
( ) Menos de 3
( ) Entre 3 y 5
( ) Ms de 5
Valor de
Riesgo
3
4
5
Peso del
Criterio
X
X
X
Puntaje
_________
Puntaje total de objetivos, alcance y tamao

_________
Estructura y Tecnologa
Estructura de los Archivos de computador

Valor de Peso del
Puntaje
Riesgo
( ) No orientados a bases de datos

( ) Orientados a bases de datos
( ) Combinacin de las dos anteriores
3
4
5
Criterio
X
X
X
_________
Modo de procesamiento en el computador
Valor de
Peso del
Puntaje
Riesgo
Criterio
( ) Batch
3
X
( ) Entrada on line y actualizacin en batch
4
X
( ) Entrada y actualizacin en tiempo real
126
X
________
Periodicidad de las corridas de actualizacin

Valor de
Riesgo
( ) Diaria
5
( ) Semanal / Quincenal / Mensual
4
( ) Otra
3
Peso del
Puntaje
Criterio
X
X
X
_________
Sitios de Procesamiento
Si el software se desarroll a la medida de la organizacin
Valor de Peso del Puntaje

Riesgo
Criterio
( ) Uno solo (centralizado)
3
X
( ) Distribuido en una localizacin (ciudad)
4
X
( ) Distribuido en mltiples localizaciones
5
X
_________
(
(
(
(
(
(
Valor de Peso del

Puntaje
Riesgo Criterio
) Lo desarroll el personal de la empresa
5
X
) Lo desarrollaron entre consultores y el
Personal de la empresa
4
X
) Lo desarrollaron consultores
3
X
_________
Si el software se desarroll a la medida de la organizacin, en este
proceso Participaron
Riesgo
Criterio
) Usuarios, auditores y el grupo de QA
3
X
) nicamente los usuarios
4
X
) Ninguno de los anteriores
5
X
_________
Si el software se desarroll por el personal de la organizacin, la

metodologa de desarrollo
Valor de Peso del
Puntaje
Riesgo
Criterio
( ) Se aplic consistentemente
3
X
( ) Se aplic parcialmente
4
X
( ) Ninguno de los anteriores
5
X
_________
127
Si el software se compr

Riesgo
Criterio
( ) Se compr desarrollado a la medida
3
X
( ) Se instal sin modificaciones significativas
4
X
( ) Se instal con modificaciones significativas
5
X
_________
Si el software se compr, el soporte del vendedor es:
( ) Bueno
( ) Regular
( ) Malo
Peso del Puntaje

Criterio
X
X
X
_________
Si el software se compr, el mantenimiento lo realiza:
( ) El vendedor
( ) Personal de la Empresa
( ) Los dos anteriores
Valor de
Riesgo
3
4
5
Valor de
Riesgo
3
5
4
Peso del
Puntaje
Criterio
X
X
X
_________
Valor de
Riesgo
3
4
5
Peso del
Puntaje
Criterio
X
X
X
_________
Lenguaje de programacin utilizado
( ) Alto nivel
( ) Combinacin de alto y bajo nivel
( ) Bajo nivel
Documentacin de la Aplicacin
Del Sistema:
Valor de
Riesgo
( ) Disponible, adecuada y actualizada

( ) Disponible pero inadecuada y obsoleta
( ) No existe
5
Peso del
Criterio
3
4
Puntaje
X
X
X
_________
128
De programas:
Valor de
Riesgo

( ) No existe
Peso del
Puntaje
Criterio
3
X
4
X
X
_________
De operaciones:
Valor de
Riesgo
3
4
( ) No existe
5
Peso del
Criterio
Puntaje
X
X
X
________
Del usuario:
Valor de
Riesgo

( ) No existe
Peso del
Puntaje
Criterio
3
X
4
X
X
________
Puntaje Total de Estructura y Tecnologa
________
Satisfaccin de los Usuarios
Credibilidad y oportunidad de los resultados del sistema

Valor de
Riesgo
( ) Confiables y se producen a tiempo

( ) Confiables pero no se producen a tiempo
( ) Presenta errores significativos
5
Peso del
Puntaje
Criterio
3
X
4
X
X
_________
Percepcin general de los controles y del funcionamiento del sistema
( ) Buena
( ) Pasable
( ) Deficiente
Valor de
Riesgo
3
4
5
Peso del
Criterio
X
X
X
Puntaje
129
_________
Participacin del usuario en el mantenimiento de la aplicacin

Valor de
Riesgo
( ) Ninguna
( ) nicamente solicita cambios
( ) Solicita y aprueba los cambios
Puntaje para Satisfaccin del Usuario

_____________
Peso del
Puntaje
Criterio
3
X
4
X
X
_____________
_
Esfuerzo de Auditoria Requerido
Importancia de la informacin que produce
Valor de Peso del

Puntaje
Riesgo
Criterio
( ) Calcula cifras para afectar los estados
Financieros
3
X
( ) Produce informacin importante de tipo
Administrativo
4
X
( ) Las dos anteriores
5
X
_________
Edad del Sistema
Valor de Peso del
Puntaje
Riesgo
Criterio
( ) Ms de dos aos
5
X
( ) Entre dos y cuatro aos
4
X
( ) Ms de cuatro aos
3
X
_________
Expectativas de vida de la aplicacin
( ) En proceso de reemplazo
( ) No se reemplazar antes de dos aos
( ) No se tiene previsto reemplazarla
Valor de
Riesgo
3
Peso del
Criterio
X
4
5
Puntaje
X
X
Susceptibilidad al fraude relacionado con el computador
( ) Alta
( ) Media
( ) Baja
(
(
(
Valor de
Riesgo
5
4
Peso del
Criterio
X
X
3
Puntaje
X
_____________
Auditorias realizadas a la aplicacin en los ltimos tres aos

Riesgo
Criterio
) Ninguna
5
X
) Una o ms por auditores financieros
4
X
) Una o ms por auditores financieros y de
Sistemas
3
X
_____________
Frecuencia de los cambios (mantenimiento) a los programas de la
aplicacin
( ) Al menos una vez por mes

( ) Mximo dos veces por semestre
( ) Ms de tres veces por ao
Valor de Peso del

Puntaje
Riesgo
Criterio
5
X
4
X
3
X
_________
Privacidad y Confidencialidad de la informacin que procesa
( ) Significativa
( ) Moderada
130
Valor de
Riesgo
5
4
3
Peso del
Criterio
Puntaje
X
X
X
_____________
Participacin de la Auditoria en el desarrollo / adquisicin de la

Aplicacin

Riesgo
Criterio
( ) Ninguna
5
X
( ) En todo el proceso de desarrollo /adquisicin
4
X
( ) En la instalacin
3
X
131
_________
Participacin de la Auditoria en el Mantenimiento de la aplicacin

Valor de
Riesgo
( ) Ninguna
( ) En todo el proceso de mantenimiento
( ) En las pruebas de aceptacin
Peso del
Puntaje
Criterio
5
X
3
X
X
__________
Si el software se compr en la Empresa

Valor de
Riesgo
( ) Dispone de todos los programas fuente

( ) Dispone de algunos programas fuente
( ) No dispone de programas fuente
Peso del Puntaje

Criterio
3
X
4
X
5
X
________
Puntaje para el Esfuerzo de Auditoria Requerido

_________
Puntaje Total de la Aplicacin (A + B + C + D)
___________
IDENTIFICACIN DE ACTIVIDADES SUJETAS A CONTROL (ASC)

APLICACIN____________________________________________
TRANSACCIN__________________________________________
ACTIVIDADES SUJETAS A CONTROL
1.
2.
3.
4.
132
5.
IDENTIFICACIN DE CONTROLES EXISTENTES
APLICACIN _____________________________________________
TRANSACCIN ___________________________________________
CONTROLES EXISTENTES
1.
2.
3.
4.
5.
IDENTIFICACIN DE DEBILIDADES DE CONTROL

APLICACIN ____________________________________________
TRANSACCION __________________________________________
DEBILIDADES EXISTENTES.
1.
2.
3.
4.
5.
133
IDENTIFICACION DE SITUACIONES DE RIESGO

APLICACIN ____________________________________________
TRANSACCION __________________________________________
SITUACIONES DE RIESGO.
1.
2.
3.
4.
5.
Ejemplo Matriz de Evaluacin de Riesgos y Controles
RIESGOS
EXISTENTE
S
PROBABILIDA
D
DE
OCURRENCIA
CAUSAS
O
AMENAZA
S
CONTROLE
S
EXISTENTE
S
EFECTIVIDA
D
1.
2.
3.
4.
RECOMENDACI
N
5.
6.
134
0 = INEXISTENTE 1 = BAJO 2 = MEDIO 3 = ALTO

FORMATO PARA DISEAR PRUEBAS DE AUDITORIA EN INFORMTICA
APLICACIN_________________________________________
REF.
PRUEBA No. _______

1.
OBJETIVOS DE LA PRUEBA____________________________________
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
_________________________
2. TECNICA (S) A EMPLEAR _____________________________________
_________________________________________________________________________
_________________________________________________
3. TIPO DE PRUEBA
DE CUMPLIMIENTO ____SUSTANTIVA____DE DOBLE FINALIDAD____
4. RECURSOS NECESARIOS PARA APLICARLA
4.1 INFORMACIN ___________________________________________________
___________________________________________________________________
135
4.2 SOFTWARE ______________________________________________________

___________________________________________________________________
4.3 HADWARE_______________________________________________________
___________________________________________________________________
4.4. PERSONAL______________________________________________________
___________________________________________________________________
5.
PROCEDIMIENTO
A
EMPLEAR_________________________________
_________________________________________________________________________
_________________________________________________________________________
______________________________________
8. ELABORADO POR ____________________________________FECHA________
10. REVISADA POR _____________________________________FECHA________
11. REFERENCIA A P/T __________________________________
AUDITORIA DE CONTROLES GENERALES A LAS
APLICACIONES COMERCIALES
Ref. PT
PRUEBA No.
1. HALLAZGO
___________________________________________________________________
___________________________________________________________________
2. CAUSAS
___________________________________________________________________
___________________________________________________________________
3. SITUACIN DE RIESGO QUE GENERA
___________________________________________________________________
4. ESTNDAR DE COMPARACIN
___________________________________________________________________
___________________________________________________________________
5. CONCLUSIONES DE AUDITORIA
136
___________________________________________________________________
___________________________________________________________________
6. RECOMENDACIONES DE AUDITORIA
___________________________________________________________________
___________________________________________________________________
DISCUTIDO CON _____________
FECHA__________
NECESIDADES DE INFORMACIN
Unidad orgnica _____________________________________________________
Localidad ___________________________________________________________
Entrevistado ________________________________________________________
Entrevistador _______________________________________________________
Descripcin de la Informacin
___________________________________________________________________
Propsito (gerencial, operacin, externa)
___________________________________________________________________
Funcin soportada
___________________________________________________________________
Frecuencias
A solicitud....................
Diaria.........................
Semanal........................
Mensual........................
Trimestral.....................
Semestral......................
Anual..........................
137
Otros..........................
Beneficio potencial de tener esta informacin:
Como puede ser usada esta informacin (soporte de decisiones,

administracin de recursos, control operacional).
Ahorro de costos potenciales (operacionales, financieros, incremento
en produccin, incremento en rentabilidad. Incluir valor aprox.)
Cuales de estos aspectos pueden ser apoyados o asistidos por esta
informacin.
Factores crticos de xito
___________________________________________________________________
Funcin
___________________________________________________________________
Problemas / limitaciones
___________________________________________________________________
Que entiende por naturaleza de los papeles de trabajo?
Enunciar y explicar brevemente los archivos que se deben manejar

dentro de los papeles de trabajo.
Que es la plantacin de la auditoria?
Que es investigacin preliminar?
Que es la evaluacin de la seguridad de sistemas?
Que es el diseo de las pruebas de la auditoria?
Que es un informe final de la auditoria?
Que debe contener la gua para elaborar archivos permanentes?
Que considera usted que sea un tiempo ocioso?
138
Con los papeles de trabajo que encuentran en esta unidad preparar

un informe de auditoria diligencindolos en su totalidad e
interpretndolos, segn sus conocimientos adquiridos en este mdulo
y en los anteriores referentes a esta rea de formacin.

Planeacion de la Auditoria
La planeacin de la auditoria de sistemas tiene una serie de parmetros;
investigativos, evaluativos, de diseo, de ejecucion, analisis,
determinacion y elaboracion de un informe; con estos dichos parmetros
se desarrollan una serie de reas tales como:
rea de planeacin: este determina que existe un plan de desarrollo
estrategico y soporte correspondiente, la planeacion propia para el
desarrollo de sistemas.
rea de organizacin: este determina que existe una estructura
organizacional del departamento de sistemas, el organismo o persona
ejecuta un control orgaizacional al departamento.
rea de Backup y Recuperacion: asegura que existan procedimientos
adecuados para proteger el contenido de las libreras contra daos
accidentales, prdidas o mal manejo. Asegura que todos los archivos
y medios magnticos sean inventariados y adecuadamente
controlados.
rea de seguridad: en el rea de seguridad existen una serie de
parametros que se deben de tener en cuenta para no sufrir ningun
retraso con los equipos tales como: exposicin al fuego, exposicin al
dao por causa de agua, sistema de aire acondicionado, temperatura,
filtracion, humedad, electricidad, exposicion a desastres naturales ,
controles acceso, asuntos generales.
rea de produccin: en esta area se trabajan dos parametros que
son indispensables para una buena produccion estos parametros son:
139
Operacin y procesamiento.
rea de desarrollo del sistema:
asegura una aplicacin sea
convertida al comportamiento solamente si se va a producir mayores
beneficios que cualquier otra alternativa. El desarrollo de sistema y
porgrama efectivos.
rea de eficiencia: determina el grado de satisfacin de los usuarios
del sistema. Si los controles existentes en las diferentes reas son
suficientes.
Con base en la informacin presentada anteriormente, extraer una

conclusin general.
Autoevaluacin
Clasificar los diferentes tipos de papeles de trabajo existente.
Indicar la aplicabilidad de los papeles de trabajo.
Legalmente y segn las normas de auditoria

aceptadas, para que sirven los papeles de trabajo?
Cuanto tiempo se deben conservar los papeles de trabajo?
De quien son propiedad los papeles de trabajo?
generalmente
Elaborar un flujograma que identifique claramente los diferentes

procesos en la elaboracin de una auditoria de sistemas.
Identificar por medio de un mapa conceptual los principales papeles

de trabajo utilizados en una auditoria de sistemas.
Analizar e interpretar informes de auditorias de sistemas, y

considerar que valor agregado le puede aportar en su proceso de
aprendizaje como profesional y en el caso de desempearse como
auditor apoyado por computador.
140
SERRANO, C. L. Fabra y E. Lobera. Planificacin de Sistemas de

Informacin en la Empresa: el Intercambio Electrnico de Datos (EDI)
"SCIRE: Representacin y Organizacin del Conocimiento, Vol. 2.
1997.
TEODORO, J. "Intercambio Electrnico de Datos (EDI)", Ministerio de
Obras Pblicas, Transportes y Medio Ambiente, 1994.
The Institute of Internal Auditors Research Foundation's. SAC Systems
Auditability and Control, EE.UU. 1994.
THORIN, M.
La Auditoria Informtica, Mtodos, Normas y Reglas.
Masn, Pars. 1989.
141
BIBLIOGRAFIA GENERAL
AICPA. The American Institute of Certified Public Accountants. SAS 78
Consideration of the Internal Control Structure in a Financial Statement
Audit., EE.UU. 1995.
Audisis Ltda.. Metodologa de Auditoria de los centros de cmputo, Vol.
1, Santa Fe de Bogot. 1992.
COLBERT, J.; Bowen, P. A compararison of internal control: (COBIT, SAC,
COSO and SAS 78), 1998. Pgina WEB (www.isaca.org).
COOPERS & LYBRAND.
Control Interno,
Informtica. Vol. 5, Expansin, Madrid. 1996.
Auditoria
CORNELLA, A.
Informacin digital para la empresa.
Barcelona. 1996.
Seguridad
Marcombo,
COSO. The Committee of Sponsoring Organizations of the Treadway

Commission's Internal Control - Integrated Framework, EE.UU. 1992.
DAVIS, J.; Cushing, B. Accounting Information System. EE.UU. 1980.
E.D.P. Auditors Foundation. Estndares de auditoria de sistemas, L.A.,
EE.UU. 1990.
El consejo superior de informtica del ministerio de administraciones
pblicas de Espaa. MARGERIT, Metodologa de anlisis y gestin de
riesgos de los sistemas de informacin, MAP, Espaa. 1997.
FERNNDEZ, F. Procedimientos de auditoria en los sistemas de EDI,
Revista Tcnica. Instituto de Auditores Censores Jurados de Cuentas de
Espaa. 1998.
FITZGERALD, J. Framework system imformation, Limusa, Mxico. 1990.
FORTUNA, J.M.; Busto, B. y SASTRE, J.M. Los Sistemas Expertos:
fundamentos y aplicaciones a la Contabilidad, Partida Doble n17. 1991.
142
Galn, L. Informtica y Auditoria para las Ciencias Empresariales,

Colombia. 1996.
IFAC. Federacin Internacional de Contables, Gua Internacional de
Formacin No. 11. (Tecnologa de la informacin en el curriculum de
Contabilidad). 1995
IFAC.
International Federation of Accountants Handbook.
internacionales de auditoria. 1997. www.ifac.org.
Normas
IFAC. La Federacin Internacional de Contables, Gua Internacional de

Formacin No 9 de julio de 1991, revisada en octubre de 1996
(Valoracin de la competencia profesional y requerimientos de
experiencia de contables).
ISACA. The Information Systems Audit and Control Foundation: COBIT
Control Objectives for Information and related Technology., EE.UU. 1998.
ISACA. The Information Systems Audit and Control Foundation: General
standars for information systems Auditing. EE.UU. 1987.
LANEZ, J. A.; Callao, S.
Contable, Espaa. 1998.
Anlisis Internacional de la Informacin
LEITCH, R.A.; Davis, K.R. Accounting and Information Systems, Prantice

Hall. EE.UU. 1995.
LPEZ, A. El cuadro de mando y los sistemas de informacin para la
gestin empresarial, aeca. Madrid. 1998.
MOELLER, R. Computer Audit, Control and Security, Wyley & Sons Inc.
New York. 1989.
PAGE, J.; HOOPER, P. Accounting and Information Systems, Prantice Hall.
EE.UU. 1996.
PIATTINI, M.; del Peso, E. Auditoria Informtica un enfoque practico, RAMA, Espaa. 1998.
SNCHEZ TOMS, A.
Sistemas Expertos en Contabilidad, Tcnica
Contable, n 514. 1991.
SERRANO, C. L. FABRA y E. LOBERA. Planificacin de Sistemas de
Informacin en la Empresa: el Intercambio Electrnico de Datos (EDI)
143
"SCIRE: Representacin y Organizacin del Conocimiento, 1997, Vol. 2.

1997.
TEODORO, J. "Intercambio electrnico de datos (EDI)", Ministerio de
Obras Pblicas, Transportes y Medio Ambiente, 1994.
The Institute of Internal Auditors Research Foundation's. SAC Systems
Auditability and Control, EE.UU. 1994.
THORIN, M. La Auditoria Informtica mtodos, normas y reglas. Masson,
Pars. 1989.

Auditoria de Sistemas

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Auditoria de Sistemas

Uploaded by

Copyright:

Available Formats

Auditoria de Sistemas

Facultad de Estudios a Distancia

Programas de Educacin a Distancia

Para una Sociedad Inteligente e

1.6.3 Objetivos del Procesamiento y Clasificacin de

2.3.5 Desarrollo e Implantacin del Sistema

UBICACIN DE LAS CAUSAS DE RIESGOS

UNIDAD 4: Evaluacin del Sistema de Control Interno Informtico

5.2.1 Organizacin del Departamento de Sistemas.

UNIVERSIDAD DE PAMPLONA Facultad de Estudios a Distancia

Visin: La Universidad de Pamplona al finalizar la primera dcada del

UNIVERSIDAD DE PAMPLONA Facultad de Estudios a Distancia

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Mantener actualizado y comprender los ltimos avances tecnolgicos

Auditar eficientemente los sistemas de informacin contables de las

Ayudar a las organizaciones a garantizar el control y la auditabilidad

Estructurar y organizar los controles construidos en su diseo, siendo

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

UNIDAD 1: Auditoria de Sistemas y

Conocer el principio de inters en la aplicacin comercial del auditor.

Permeabilizar las funciones gerenciales y administrativas.

Identificar el papel desempeado por los contadores y auditores en

Responder a las tendencias de globalizacin e internacionalizacin

Competencias Principales del Auditor de Sistemas de Informacin.

Formacin del Auditor de Sistemas de Informacin Contable.

Responsabilidades del Auditor.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Ncleos Temticos y Problemticos

Situacin Actual de la Auditoria de Sistemas para la Informacin

El impacto de la tecnologa de informacin en la auditoria financiera.

Campo de accin de la auditoria de sistemas de informacin.

Ubicacin tpica de la auditoria de sistemas.

Tcnicas de auditoria de sistemas de informacin.

Objetivos del control en la auditoria sistemas de informacin

Bases para la auditoria de sistemas de informacin

Repercusin del entorno internacional en las auditorias de sistemas

Competencias principales del auditor de sistemas de informacin.

Formacin del auditor de sistemas de informacin contable.

Responsabilidades del auditor.

SITUACIN ACTUAL DE LA AUDITORIA DE SISTEMAS PARA

incluyendo los procesos no automatizados relacionados y las interfaces

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

La tendencia actual es el control, entonces empezaremos a hablar de

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

1.2.1 Tendencias Actuales de la Tecnologa de la Informacin y

de los sistemas que facilitan una implementacin rpida de los cambios,

vendedor de software es utilizado con ms frecuencia para el suministro

La relativa facilidad del acceso en medios magnticos frente a los datos

significativas, si los datos son borrados en forma prematura o no pueden

personales, estaciones de trabajo (Workstation), minicomputadores,

CAMPO DE ACCIN DE LA AUDITORIA DE SISTEMAS DE

La auditoria debe comprender una revisin de todas las polticas y

auditor. Se comenta adems que es mejor depender directamente de la

Inspeccin: consiste en examinar los documentos, procedimientos y

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

activos tangibles da lugar a una evidencia fidedigna en relacin con

Observacin: consiste en examinar el proceso o procedimientos que

Investigacin: consiste en buscar una informacin recurriendo a

Confirmacin: la respuesta que se da a una investigacin que

Calculo: verificacin de la precisin aritmtica de los documentos

1.5.2 Tcnicas Automatizadas

Datos de prueba: es ejecutar la aplicacin con datos preparados por

Caso bsico: es una ligera variacin de datos de prueba. Consiste