QU ES LA AUDITORIA DE SISTEMAS

Auditoria de Sistemas
1) Auditoria de Sistemas
Para verificar si se estn aplicando las medidas de control ms apropiadas para la salvaguarda e integridad
de la informacin y de los sistemas en prevencin de riesgos de fraude, prdida, manipulacin, fallos de
servicio, etc., el papel de la auditoria informtica es muy importante. La auditora de sistemas consiste en
una revisin profunda y detallada de todos los elementos de que dispone una empresa en el rea de sistemas
de

2)

informacin.

Regulacin

internacional

sobre

Auditoria

de

Sistemas

de

Informacin

En materia de Auditoria de Sistemas de Informacin existen varias metodologas desde el enfoque de control
a nivel internacional. Algunas de las ms importantes para los profesionales de la contabilidad y la auditoria
son:
ISACA

(COBIT)

COSO
AICPA

(SAS)

IFAC

(NIA)

SAC
MARGERIT
EDP

A)

ISACA-COBIT

ISACA propone la metodologa COBIT (Control Objectives for Information and related Technology). Es un
documento realizado en el ao de 1996 y revisado posteriormente, dirigido a auditores, administradores y
usuarios de sistemas de informacin, que tiene como objetivos de control la efectividad y la eficiencia de las
operaciones; confidencialidad e integridad de la informacin financiera y el cumplimiento de las leyes y
regulaciones.
COBIT

[19-ene-2007]

El COBIT se desarrolla a travs de varios captulos: planificacin y organizacin, adquisicin e

implementacin,
Planificacin

desarrollo,

soporte
y

control.
organizacin

Po1 Definicin de un plan estratgicoPo2 Definicin de la arquitectura de informacinPo3 Determinacin

de la direccin tecnolgicaPo4 Definicin de organizacin y relacionesPo5 Administracin de la

inversinPo6 Comunicacin de las polticasPo7 Administracin de los recursos humanosPo8 Asegurar el

cumplimiento con los requerimientos ExternosPo9 Evaluacin de riesgosPo10 Administracin de
proyectosPo11

Administracin

de

Adquisicin

la

calidad

implementacin

A11. Identificacin de soluciones automatizadasA12. Adquisicin y mantenimiento del software

aplicativoA13. Adquisicin y mantenimiento de la infraestructura tecnolgicaA14. Desarrollo y
mantenimiento de procedimientosA15. Instalacin y aceptacin de los sistemasA16. Administracin de los
cambios
Prestacin

soporte

Ds1. Definicin de los niveles de serviciosDs2. Administrar los servicios de tercerosDs3. Administrar la
capacidad y rendimientosDs4. Asegurar el servicio continuoDs5. Asegurar la seguridad de los sistemasDs6.
Entrenamiento a los usuariosDs7. Identificar y asignar los costosDs8. Asistencia y soporte a los clientesDs9.
Administracin de la configuracinDs10. Administracin de los problemasDs11. Administracin de los
datosDs12.

Administracin

de

las

instalacionesDs13.

Administracin

de

la

operacin

Control
M1. Monitoreo del cumplimiento de los objetivos de los procesos de tecnologa de la informacin.M2.
Obtener

realizacin

de

las

evaluaciones

independientes

B)

COSO

The Committee of Sponsoring Organizations of the Treadway Commission's Internal Control - Integrated
Framework

(COSO).

Publicado en 1992 hace recomendaciones a los contables de gestin de cmo evaluar, informar e
implementar sistemas de control, teniendo como objetivo de control la efectividad y eficiencia de las
operaciones, la informacin financiera y el cumplimiento de las regulaciones que explica en los componentes
del ambiente de control, valoracin de riesgos, actividades de control, informacin y comunicacin, y el
monitoreo.
C)

AICPA-SAS

The American Institute of Certified Public Accountants' Consideration of the Internal Control Structure in a
Financial

Statement

Audit

(SAS

55),

que

ha

sido

modificado

por

el

(SAS

78),

1995.

Da una gua a los auditores externos sobre el impacto del control interno en la planificacin y desarrollo de
una auditora de estados financieros de las empresas, presentado como objetivos de control la informacin
financiera, la efectividad y eficiencia de las operaciones y el cumplimiento de regulaciones, que desarrolla en
los componentes de ambiente de control, valoracin de riesgo, actividades de control, informacin,
comunicacin

monitoreo.

D)

IFAC-NIA

La Federacin Internacional de Contables IFAC (http://www.ifac.org) emiti las Normas Internacionales de

Auditora

NIA

15,

16

20

en

1991.

IFAC muestra en la NIA 15 (Auditora en Entornos Informatizados) una referencia de controles para
procesamiento electrnico de datos y la necesidad de estos cuando estamos en ambientes donde los
instrumentos tradicionales del papel y dems pistas de auditora no son visibles para los contables en el
momento

de

realizar

su

trabajo.

La NIA 16 (Tcnicas de Auditora Asistida por Computador) describe tcnicas y procedimientos de auditora
que se pueden hacer en entornos informatizados con ayuda de los computadores y otras tecnologas.
La NIA 20 nos presenta los efectos de un entorno informatizado en la evaluacin de sistemas de informacin
contables. Junto con las dems normas dan una gua al auditor de los controles en general a tener en cuenta
en un ambiente informatizado y en las aplicaciones que procesan la informacin, as como tcnicas de
auditora

asistidas

DECLARACIONES
1001

por

computador

INTERNACIONALES

Ambiente

de

PARA

procesamiento

LA

electrnico

su

PRACTICA
de

datos

importancia.
DE

AUDITORIA

Microcomputadores

(Declaracin

1)

El propsito de esta Declaracin es ayudar al auditor en la aplicacin de la norma 400 describiendo el

sistema de micro computacin usado en estaciones de trabajo individuales. Esta Declaracin describe los
efectos del microcomputador sobre el sistema contable y los controles internos relacionados y sobre los
procedimientos

de

auditora.

1002 Ambiente de procesamiento electrnico de datos- Sistemas de computadores en lnea (Declaracin 2)

Esta Declaracin forma parte de una serie cuyo objeto es ayudar al auditor en la aplicacin de la norma 400
mediante la descripcin de los sistemas computarizados en lnea y su efecto en el sistema contable y los
controles

internos

relacionados

en

los

procedimientos

de

auditora.

1003 Ambiente de procedimiento electrnico de datos- Sistemas de base de datos (Declaracin 3)

Esta Declaracin forma parte de una serie cuyo objeto es ayudar al auditor en la aplicacin de la norma 400
mediante la descripcin de los sistemas de base de datos y su efecto en el sistema contable y los controles
internos

relacionados

en

los

procedimientos

de

auditoria.

1008 Evaluacin de riesgos y control interno- Caractersticas y consideraciones en un ambiente de

procesamiento

electrnico

de

datos

(Addendum

NIA

6)

Esta Declaracin contiene las caractersticas y consideraciones ms importantes del ambiente PED:
estructura organizativa, naturaleza del procesamiento, aspectos de diseo y procesamientos, controles
interno, controles generales PED, controles de aplicacin PED, revisin y evaluacin de los controles

generales

de

aplicacin

PED.

E)

SAC

The Institute of Internal Auditors Research Foundation's Systems Auditability and Control (SAC).
Realizado en 1991 y revisado posteriormente. Ofrece una gua de estndares y controles para los auditores
internos en el rea de auditora de sistemas de informacin y tecnologa. Tiene como objetivos de control la
efectividad y eficiencia de las operaciones, la integridad de la informacin financiera y el cumplimiento de
normas y regulaciones que explica en el ambiente de control, sistemas manuales y automatizados y
procedimientos

de

control.

F)

MARGERIT

Consejo superior de informtica del ministerio de administraciones pblicas de Espaa MARGERIT

(Metodologa

de

Anlisis

Gestin

de

Riesgos

de

los

Sistemas

de

Informacin).

1997

Es una metodologa de anlisis y gestin de riesgos de los sistemas de informacin de las administraciones
pblicas, emitida en el ao 1997 por el consejo superior de informtica y recoge las recomendaciones de las
directivas de la Unin Europea en materia de seguridad de sistemas de informacin, esta metodologa
presenta un objetivo definido en el estudio de los riesgos que afectan los sistemas de informacin y el entorno
de ellos haciendo unas recomendaciones de las medidas apropiadas que deberan adoptarse para conocer,
prevenir, evaluar y controlar los riesgos investigados. Margerit desarrolla el concepto de control de riesgos
en las guas de procedimientos, tcnicas, desarrollo de aplicaciones, personal y cumplimiento de normas
legales.

G)

EDP

La E.D.P. Auditors Foundation (EDPAF) fundada en 1976, es otra entidad de carcter educativo e
investigativo en los temas sobre estndares para la auditora de los sistemas de informacin.
Esta fundacin ha investigado sobre controles en los sistemas de informacin, generando los diez estndares
generales de auditora de sistemas y el cdigo de tica para los auditores de sistemas que relacionamos a
continuacin.