Glosario

Auditoría (1): Es la actividad consistente en la emisión de una opinión

profesional sobre si el objeto sometido a análisis presenta adecuadamente la
realidad que pretende reflejar y/o cumple las condiciones que le han sido
prescriptas. [Piattini-Del Peso]

Auditoría (2): La Auditoría no es una actividad meramente mecánica que

implique la aplicación de ciertos procedimientos cuyos resultados, una vez
llevados a cabo, son de carácter indudable. La Auditoría requiere el ejercicio de
un Juicio Profesional, sólido y maduro, para juzgar los procedimientos que
deben seguirse y estimar los resultados obtenidos. [Echenique]

Auditoría (3): Es la Capacidad de Verificación independiente.

Auditoría (4): Es el Control del Control.

Auditoría Informática(1): Es el proceso de recoger, agrupar y evaluar

evidencias para determinar si un sistema informatizado salvaguarda los
activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines
de la organización y utiliza eficientemente los recursos. [Piattini-Del Peso]

Auditoría Informática(2): Es la revisión y evaluación de los controles,

sistemas, procedimientos de informática; de los equipos de cómputo, su
utilización, eficiencia y seguridad, de la organización que participa en el
procesamiento de la información, a fin de que por medio del señalamiento de
cursos alternativos se logre una utilización más eficiente y segura de la
información que servirá para una adecuada toma de decisiones. [Echenique]

Control Interno Informático: Controla diariamente que todas las actividades

de sistemas de información sean realizadas cumpliendo los procedimientos,
estándares y normas fijados por la Dirección de la Organización y/o la Dirección
de Informática, así como los requerimientos legales. [Piattini-Del Peso]

Control Interno: Comprende el plan de organización y todos los métodos y

procedimientos que en forma coordinada se adoptan en un negocio para
salvaguardar sus activos, verificar la razonabilidad y confiabilidad de su
información financiera, promover la eficiencia operacional y provocar la
adherencia a las políticas prescriptas por la administración. [Echenique]

Control: Las políticas, procedimientos, prácticas y estructuras

organizacionales diseñadas para garantizar razonablemente que los objetivos
del negocio serán alcanzados y qué eventos no deseables serán prevenidos o
detectados y corregidos. [El Marco Referencial de COBIT (Control OBjectives for
Information and related Technology)]

Delito informático: Toda acción (acción u omisión) culpable realizada por un

ser humano que cause un perjuicio a personas sin que necesariamente se
beneficie el autor o que, por el contrario, produzca un beneficio ilícito a su
autor, aunque no perjudique en forma directa o indirecta a la víctima, tipificado
por la ley, que se realiza en el entorno informático y está sancionado con una
pena.
[Landaverde Contreras – Soto Campos – Torres Lipe]
Delito: Es una acción antijurídica, realizada por un ser humano, tipificado,
culpable y sancionado por una pena. [Landaverde Contreras - Soto Campos -
Torres Lipe]

El Plan de Auditoría Informática: Es el esquema metodológico más

importante del Auditor Informático. En este documento se debe describir todo
sobre esta función y el trabajo que realiza en la entidad. Debe estar en sintonía
con el plan de Auditoría del resto de los auditores de la entidad. [Echenique]

Objetivo de Control en la Tecnología de la Información: Una definición

del resultado o propósito que se desea alcanzar implementando
procedimientos de control en una actividad de Tecnología de la información
particular. [COBIT]

Perito informático: Es un profesional con titulación oficial en Informática y

colegiado, que opina, a instancias de terceros, sobre algún asunto sobre el cual
entiende y en el que su experiencia profesional lo avala. [Colegio Oficial de
Ingenieros Técnicos en Informática del Principado de Asturias – España]

Procedimiento: Forma especificada para llevar a cabo una actividad o un

proceso. [ISO 9000:2000]

Riesgo técnico del software: Medida de la probabilidad y severidad de

efectos adversos inherentes en el desarrollo de software que no cumplimenta
sus funciones previstas y sus requerimientos de desempeño. [Chittister-93]

Auditoría de Aplicaciones: Revisión de la eficacia del funcionamiento de los

controles diseñados para cada uno de los pasos de la aplicación frente a los
riesgos que tratan de eliminar o minimizar, como medios para asegurar la
fiabilidad, seguridad, disponibilidad y confidencialidad de la información
gestionada por dicha aplicación.

Auditoría de Bases de Datos: Control y evaluación del Ciclo de Vida de una

Base de Datos. [Piattini-Del Peso]

Auditoría de la Calidad: Es una herramienta de valoración. Es un documento

interpersonal de exámen y análisis de evidencias objetivas. [EEA – Electronic
Engineering Association]

Auditoría de la Dirección: Involucra el control y evaluación de ciertas

actividades básicas de todo proceso de la dirección, a saber: Planificar,
Organizar, Coordinar y Controlar. [Piattini-Del Peso]

Auditoría de la Explotación: Control, verificación y evaluación de que el

sistema de información está actuando como es preceptivo, este habrá de
disponer de un control interno que prevenga los eventos no deseados o en su
defecto los detecte y los corrija.

Auditoría de la Ofimática: Control, verificación y evaluación del sistema

informatizado que genera, procesa, almacena, recupera, comunica y presenta
datos relacionados con el funcionamiento de la oficina. [Piattini-Del Peso]
Auditoría de Redes: Involucra el control y evaluación del área o función de
Comunicaciones, la red física y la red lógica. [Piattini-Del Peso]

Auditoría de Seguridad: Es el control, verificación y evaluación de los

aspectos vinculados a la seguridad, ya sea esta física y lógica.

Auditoría del Desarrollo: Control y evaluación de todo el Ciclo de Vida del

Software, con excepción de la explotación, mantenimiento y retirada del
servicio de una aplicación. [Piattini-Del Peso]

Auditoría del Mantenimiento: Esta auditoría considera como factor crítico

de estudio la Mantenibilidad, factor de calidad que engloba todas aquellas
características del software destinadas a hacer que el producto sea más
fácilmente mantenible y, en consecuencia, a conseguir una mayor
productividad durante la etapa de mantenimiento. [Piattini-Del Peso]

Auditoría Física: Involucra la comprobación de la existencia de los medios

físicos, como así también su funcionalidad, racionalidad y seguridad. [Piattini-
Del Peso]

Seguridad Física: La seguridad física garantiza la integidad de los activos

humanos, lógicos y materiales de un CPD. [Piattini-Del Peso]
Capítulo 1.
LA INFORMÁTICA COMO HERRAMIENTA DEL AUDITOR FINANCIERO.

Definición del ambiente

El texto se refiere a delimitar el campo de la auditoría. No dice mucho de esto,

sólo comenta que el concepto de auditoría se mantiene en el tiempo y lo que
cambia es el objeto y finalidad de la misma. Esto decir que la auditoría como
disciplina es más o menos siempre la misma y va actuando sobre diferentes
procesos o cosas, como queramos verlo. La auditoría como tal es previa a la
Auditoría Informática, obviamente pero en principio la Auditoría Informática es
una aplicación de la Auditoría a otro objeto que es la informática.

CONCEPTO DE AUDITORÍA

Es la actividad consistente en la emisión de una opinión profesional sobre si el

objeto sometido a análisis presenta adecuadamente la realidad que pretende
reflejar y/o cumple con las condiciones que le han sido prescritas.

Elementos:
1) Contenido: una opinión.
2) Condición: profesional.
3) Justificación: sustentadas en determinados procedimientos.
4) Objeto: una determinada información obtenida de cierto soporte.
5) Finalidad: determinar si presenta adecuadamente la realidad o esta
responde a las expectativas que le son atribuidas, es decir, su finalidad.

Es una función que se realiza a posteriori.

PROCEDIMIENTOS
La opinión profesional se fundamenta y justifica por medio de procedimientos
específicos tendientes a proporcionar una seguridad razonable de lo que se
afirma.

La auditoría se resumen en:

1. El trabajo se planificará apropiadamente y se supervisará
apropiadamente.
2. Se estudiará y evaluará el sistema de control interno.
3. Se obtendrá evidencia suficiente y adecuada.
4. La evidencia obtenida debe recogerse en los papeles de trabajo del
auditor como justificación y soporte del trabajo efectuado y la opinión
expresada.

Requisitos mínimos de un Procedimiento:

• Código de identificación
• Titulo
• Objetivo
• Limites
• Alcances
• Recursos (Propios y del auditado)
 • Documentación (propia y requerida)
• Responsabilidades
• Diagrama de Flujo (Actividades, Responsabilidades, Documentación
(instructivos y registros), Descripción de las actividades)

CLASES DE AUDITORÍA
El objeto sometido a estudio y la finalidad con que se realiza el estudio
determina el tipo de auditoría de que se trata.
1) Financiera:
1. contenido: opinión
2. objeto: cuentas anuales
3. finalidad: presentan realidad
2) informática
1. contenido: opinión
2. objeto: sistemas de aplicación, recursos informáticos, plantes de
contingencia, etc.
3. finalidad: operatividad eficiente y según normas establecidas
3) gestión
1. contenido: opinión
2. objeto: dirección
3. finalidad: eficacia, eficiencia, economicidad
4) cumplimiento
1. contenido: opinión
2. objeto: normas establecidas
3. finalidad: las operaciones se adecúan a estas normas

CONCEPTO DE CONSULTORÍA
Consiste en dar asesoramiento o consejo sobre lo que se ha de hacer o como
llevar adecuadamente una actividad para obtener los fines deseados

Elementos:
1) Contenido: dar asesoramiento o consejo.
2) Condición: de carácter especializado.
3) Justificación: en base a un examen o análisis.
4) Objeto: actividad o cuestión sometida a consideración.
5) Finalidad: establecer la manera de llevarla a cabo adecuadamente

Es una función a priori con el fin de determinar como llevar a cabo una función
o actividad de forma que obtenga los resultados pretendidos. La auditoría
verifica a posteriori si estas condiciones una vez realizada la actividad se
cumplen y si se obtienen los resultados pretendidos.

CLASES DE CONSULTORÍA
1) financiera
2) informática

Ventajas de la informática como herramienta de la auditoría

financiera.
• Grado de informatización
• Mejora de las técnicas habituales
◦ texto, planillas, flowcharting, utilidades
 ◦ revisión analítica
◦ sistemas expertos
◦ test checks
◦ integradores
• grado de utilización
◦ costo económico
◦ complejidad técnica
◦ falta de entrenamiento y experiencia
CAPÍTULO 2
CONTROL INTERNO Y AUDITORÍA INFORMÁTICA.
Las funciones de control interno y auditoría informática.

CONTROL INTERNO INFORMÁTICO

• Controla diariamente que las actividades de sistemas de información
cumplan estándares, procedimientos y normas fijados por la organización
y/o la dirección informática, así como los requerimientos legales.
• Suele ser un órgano staff de la dirección del departamento informática.

Principales objetivos:
1. Controlar que las actividades se realicen cumpliendo los procedimientos
y normas fijados, evaluar su bondad y asegurar el cumplimiento de las
normas legales.
2. Asesorar sobre el conocimiento de las normas.
3. Colaborar y apoyar el trabajo de la auditoría informática y auditorías
externas al grupo.
4. Definir, implantar y ejecutar mecanismos y controles para comprobar el
logro de los grados adecuados del servicio informático.
5. Realizar en los diferentes sistemas, centrales, departamentos, etc. el
control de las diferentes actividades operativas sobre:
1. cumplimiento de normas y procedimientos y controles dictados
2. vigilancia sobre el control de cambios y versiones de software
3. controles sobre la producción diaria
4. controles sobre la calidad y eficiencia de los desarrollos y el
mantenimiento del software
5. controles en las redes de comunicaciones
6. controles sobre los software de base
7. controles en los sistemas microinformáticos
8. la seguridad informática
9. licencias y relaciones contractuales con terceros
10. asesorar y transmitir cultura sobre el riesgo informático

AUDITORÍA INFORMÁTICA
Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un
sistema informatizado salvaguarda los activos, mantiene integridad de datos,
lleva a cabo eficazmente los fines de la organización y utiliza eficientemente
los recursos.

La auditoria informática sustenta y confirma la consecución de los objetivos

tradicionales de la auditoria:

1. objetivos de protección de activos e integridad de datos.

2. Objetivos de gestión que abarcan no solo la protección de activos sino
también los de eficacia y eficiencia.

El auditor es responsable de revisar e informar a la dirección sobre el diseño y

el funcionamiento de los controles implantados y sobre la fiabilidad de la
información suministrada.
Funciones del auditor informático:

1. Participar de las revisiones durante y después del diseño, realización,

implantación y explotación de aplicaciones informativas, así como las
fases análogas de realización de cambios importantes.
2. Revisar y juzgar los controles implantados en los sistemas informativos
para verificar su adecuación a las órdenes e instrucciones de la dirección,
requisitos legales, protección de confidencialidad y cobertura ante
errores y fraudes.
3. Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los
equipos informáticos.

CONTROL INTERNO Y AUDITORÍA INFORMÁTICA: CAMPOS ANÁLOGOS.

(Muchos controles internos fueron alguna vez auditores.)

SIMILITUDES:
• personal interno
• conocimientos especializados en tecnología de la información
• verificación de cumplimiento de controles internos, normativas y
procedimientos establecidos por la dirección general para los sistemas
de información

DIFERENCIAS:
CONTROL INTERNO AUDITORÍA
Control diario Control en momento determinado
Informa al departamento informática Informa a la dirección general
Personal interno Personal interno y/o externo
Alcanza sólo al departamento Cobertura sobre todos los
informática componentes de los sistemas de
información de la organización

Sistema de control interno informático. Definición de tipos de controles

internos:
Se puede definir el control interno como cualquier actividad o acción realizada
manual o automáticamente para prevenir y corregir errores o irregularidades
que pueden afectar al funcionamiento de un sistema para conseguir sus
objetivos.

Tipos de controles:
1. preventivos: evitar el hecho (soft q impida acceso no autorizados al
sistema)
2. detectivos: cuando fallan los preventivos, para tratar de conocer
cuanto antes el evento. Registro de intentos no autorizados.
3. correctivos: volver a la normalidad una vez producido un hecho.
Recuperación de archivos dañados.

La relación que existe entre los métodos de control y los objetivos de control
puede demostrarse en el que un mismo conjunto de métodos de control
se utiliza para satisfacer objetivos de control tanto de mantenimiento como
de seguridad de programas. (ej. Objetivo de control de mantenimiento:
asegurar que las modificaciones de los procedimientos programados estén
adecuadamente diseñadas, probadas e implantadas – Objetivo de control de
seguridad de programas: garantizar que no se puedan efectuar cambios no
autorizados en los procedimientos programados)

Implantación de un sistema de controles internos informáticos.

Es importante llegar a conocer bien la configuración del sistema, con el

objeto de identificar los elementos, productos y herramientas que existen para
saber en donde pueden implementarse los controles e identificar posibles
riegos.
Para llegar a conocer la configuración del sistema es necesario
documentar los detalles de la red, así como los distintos niveles de control y
elementos relacionados.

Donde implantar controles:

• entorno de red (esquema – configuración hardware – descripción soft –
control red etc.)
• configuración del computador base (so – programas – conjunto de datos-
particiones)
• entorno de aplicaciones (transacciones – sist.Gestion DB – entorno
procesos distribuidos)
• productos y herramientas (soft para desarrollo – soft para gestión
bibliotecas y operaciones automatices)
• seguridad del computador base( usuarios – accesos – registro –
integridad – supervisión)

Para la implantación de un sistema de controles internos informáticos habrá

que definir:
• gestión de sistemas de información. (políticas, pautas y normas técnicas
para el diseño)
• Administración de sistemas
• Seguridad (integridad – confidencialidad //control de acceso//– y
disponibilidad)
• gestión del cambio (separar pruebas de producción – procedimientos de
migración)

La implantación y cultura sobre la seguridad requiere que sea realizada por

fases y esté respaldada por la dirección.
• Dirección de Negocios: define la política o directrices del sistema de
información
• Dirección de Informática: Define las normas de funcionamiento del
entorno informático y cada una de las funciones de Informática.
• Control Interno Informático: Define los controles periódicos a realizara
cada función informática.
• Auditor Interno/externo informático: revisa los controles internos
definidos y el cumplimiento de normativa interna y externa.
La creación de un sistema interno de control informático es una
responsabilidad de la gerencia y un punto destacable de la política en el
entorno informático.

Algunos controles internos:

1) controles generales organizativos (Políticas – Planificación – estándares –
procedimientos – organización del Dpto. de Informática definiendo
funciones y responsabilidades - política de clasificación de información –
designar control interno y auditoria informática)
2) controles de desarrollo, adquisición y mantenimiento de sistemas de
información (Metodología del ciclo de vida del desarrollo de sistemas –
Explotación y Mantenimiento)
3) controles de explotación de sistemas de información (planificación y
gestión de recursos – seguridad física y lógica //incendios – accesos
físicos – plan de contingencia para el respaldo de recursos críticos //)
4) controles de aplicaciones (control de entrada– tratamiento - y salidas de
datos)
5) controles específicos de ciertas tecnologías (controles de sistemas de
gestión de DB //responsabilidades DBA , acceso y concurrencia, backup y
recuperación, integridad// , control de informática distribuida y redes,
control sobre PC y LAN)
METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA
INFORMATICA

Método:
Es el modo de decir o hacer con orden una cosa.

Metodología:
Conjunto de métodos que se siguen en una investigación científica o en una
exposición doctrinal. Esto significa que cualquier proceso científico debe estar
sujeto a una disciplina de procesos definida con anterioridad que llamaremos
metodología.

La informática crea riesgos informáticos de los que hay que proteger y

preservar a la entidad con un entramado de contramedidas, la calidad y la
eficacia de las mismas es el objetivo a evaluar para poder identificar los puntos
débiles y mejorarlos. ESTA ES UNA DE LAS FUNCIONES DEL AUDITOR
INFORMATICO

Factores que componen una contramedida

1. normativa: debe definir todo lo que debe existir y ser cumplido.
Inspirada en estándares, políticas , marcos jurídicos y normas de la
empresa, experiencia y practica profesional
2. organización: la integran personas con funciones específicas y
actuaciones concretas
3. metodologías: son necesarias para desarrollar cualquier proyecto de
manera ordenada y eficaz
4. objetivos de control: objetivos a cumplir en el control de procesos
5. procedimientos de control: procedimientos operativos de las distintas
áreas de la empresa obtenidos con una metodología apropiada para la
 consecución de uno o varios objetivos de control
6. tecnología de seguridad: elementos hard y soft que ayudan a
controlar un riesgo informático (cifradores, autentificadores, equipos
tolerantes a fallos, etc)
7. herramientas de control: elementos software que permiten definir uno
o más procedimientos de control para cumplir una normativa y un
objetivo de control.

La evaluación del nivel de seguridad de sistemas (estos factores) da lugar a

un PLAN DE SEGURIDAD que mejore todos los factores; esto es una
estrategia planificada de acciones y productos que lleven a un sistema de
información de una situación inicial determinada a una mejorada.

METODOLOGÍAS DE EVALUACIÓN DE SISTEMAS

Las 2 metodologías de evaluación de sistemas por antonomasia son las de:

• análisis de riesgos: facilita la evaluación de los riesgos y recomienda

acciones en base al costo-beneficio de las mismas
• auditoría informática: identifica el nivel de exposición por la falta de
controles.

Definiciones
• amenaza: persona o cosas, posibles fuentes de catástrofes.
• vulnerabilidad: situación creada por falta de controles ( la amenaza
puede acaecer)
• riesgo: probabilidad de que una amenaza acontezca por una
vulnerabilidad.
• exposición o impacto: evaluación del efecto del riesgo.

Los riesgos pueden:

1. evitarse
2. transferirse
3. reducirse
4. asumirse

TIPOS DE METODOLOGÍAS DE EVALUACIÓN DE SISTEMAS

1. cuantitativas: diseñadas para producir una lista de riesgos que pueden

comparase fácilmente entre si por tener asignados valores numéricos
(coeficientes: ALE, reducción del ALE, ROI retorno de la inversión)

2. cualitativas/subjetivas: basados en métodos estadísticos y lógica

borrosa. Requiere de la involucración de un profesional experimentado
pero requiere de menos recursos y tiempo que la metodología
cuantitativa.

Cuantitativa Cualitativa
P *Enfoca pensamientos en
r base a números
o *Facilita la comparación de
s vulnerabilidades muy
distintas
*Proporciona una cifra
justificante para cada
contramedida
C * Estimación de
o probabilidad depende de
n estadísticas fiables
t inexistentes
r * Estimación de las
a perdidas potenciales solo si
s son valores cuantificables
* Metodologías estándares
* Difíciles de mantener o
modificar
* Dependencia de un
profesional
* Enfoque lo amplio que se desee
* Plan de trabajo flexible y reactivo
* Se concentra en la identificación de
eventos
* Incluye factores intangibles
* Depende fuertemente de la
habilidad y calidad del personal
involucrado
* Puede excluir riesgos significantes
desconocidos
* Identificación de eventos reales mas
claros al no tener que aplicarles
probabilidades complejas de calcular
* Dependencia de un profesional

METODOLOGÍAS MÁS COMUNES DE EVALUACIÓN DE SISTEMAS:

• Análisis de riesgo : cuantitativas y cualitativas

• Plan de contingencia:
• Auditorias de controles generales

Metodologías de análisis de riesgo:para la identificación de la falta de

controles y establecer un plan de contramedidas

El esquema básico de una metodología de análisis de riesgo esta

formada por:
• cuestionario
• identificar los riesgos
• calcular el impacto
• identificar las contramedidas y el costo
• simulaciones
• creación de los informes

Plan de contingencia.
Es una estrategia planificada constituida por: un conjunto de recursos de
respaldo, una organización de emergencia, y unos procedimientos de actuación
para conseguir una restauración progresiva y ágil de los servicios de negocios
afectados por una paralización total o parcial de la capacidad operativa de la
empresa.

Fases de un plan:
• fase 1: análisis y diseño: estudio de problemática, necesidades de
recursos, alternativas de respaldo y análisis de costo / beneficio de las
 mismas. En la forma de desarrollar esta fase se diferencian dos familias
metodológicas: RISK ANALISIS (estudio de los posibles riesgos desde la
probabilidad de que estos ocurran) y BUSSINES IMPACT (estudio del
impacto –económico o de imagen – que ocasiona la falta de algún
recurso)
• fase 2: desarrollo del plan: desarrollo de la estrategia seleccionada.
Aquí se analiza la vuelta a la normalidad, dado que pasar de una
situación normal a una alternativa debe concluir con la reconstrucción
de la situación inicial antes de la contingencia.
• fase 3: pruebas y mantenimientos: definir pruebas, características y
sus ciclos, realización de las pruebas. Así también estrategia de
mantenimiento, y la normativa y procedimientos para llevarlo a cabo

METODOLOGÍAS DE AUDITORÍA INFORMÁTICA.

• Auditorías de controles generales: su objetivo es dar una opinión

sobre la fiabilidad de los datos del computador para la auditoría
financiera
• Metodologías de los auditores internos: debe ser diseñada por el
propio auditor

Plan auditor informático

Es el esquema metodológico más importante del auditor informático. En este
documento se debe describir todo sobre esta función y el trabajo que realiza en
la entidad. Debe estar en sintonía con el plan auditor del resto de los auditores
de la entidad.

Partes:
• funciones: ubicación de la figura en el organigrama de la empresa,
segregación de funciones con la informática y el control interno
informático.
• procedimientos: apertura, entrega y discusión de debilidades, entrega
de informes etc.
• tipos de auditorías que realiza: metodologías y cuestionarios de las
mismas (ej. Revisión de seguridad física, etc.) Existen TRES TIPOS : 1-
Full o completa 2-limitada a un aspecto 3 - Corrective Action
Review CAR que es la acción correctiva de auditorías anteriores.
• sistema de evaluación: y los distintos aspectos que evalúa (nivel de
gestión económica, gestión de recursos humanos, cumplimento de
normas, etc.)
• nivel de exposición: es un número del uno al diez definido
subjetivamente y que me permite en base a la evaluación final de la
última auditoría realizada, definir la fecha de repetición. El valor del
nivel de exposición significa la suma de factores como impacto, peso del
área, situación de controles del área.
• lista de distribución de informes
• seguimiento de las acciones correctoras
• plan quinquenal (cada 5 años)
• plan de trabajo anual
Las metodologías de auditoría informática son del tipo cualitativo/ subjetivo.
Son las subjetivas por excelencia y están basadas en profesionales de gran
nivel de experiencia y formación.

CONTROL INTERNO INFORMÁTICO, SUS MÉTODOS Y PROCEDIMIENTOS.

LAS HERRAMIENTAS DE CONTROL.
Hoy en día la tendencia es contemplar al lado de la figura del auditor
informático la figura del control interno informático.

La función de control informático debe ser independiente del

departamento controlado, ya que por segregación de funciones la informática
no debe controlarse a sí misma.
- El área informática monta los procesos informáticos seguros
- El Control Interno monta los controles
- La Auditoria Informática evalúa el grado de control

Auditoría informática
• tiene función de vigilancia y evaluación
• tiene sus propios objetivos distintos a los auditores de cuentas
• operan según el plan auditor
• utilizan metodologías del tipo cualitativo
• establecen planes quinquenales
• sistemas de repetición de la auditoría por nivel de exposición
• función de soporte informático de todos los auditores

Control interno informático

• tiene funciones propias (administrar la seguridad lógica, etc.)
• funciones de control dual con otros departamentos
• función normativa y del cumplimiento del marco jurídica
• operan según procedimientos de control en los que se ven involucrados
• pueden ser el soporte informático de control interno no informático.

Funciones de control interno más comunes:

• definición de propietarios y perfiles
• administración delegada en control dual de la seguridad lógica (2
personas intervienen en una acción como medida de control)
• responsable del desarrollo y actualización del plan de contingencias,
manuales de procedimientos y plan de seguridad
• dictar normas de seguridad informática
• definir procedimientos de control
• control del entorno de desarrollo
• control de soportes magnéticos
• control de soportes físicos
• control de información sensible
• control de microinformática y usuarios
• control de calidad de soft
• control de calidad del servicio informático
• control de costos
• responsables del departamento
 • control de licencias y contratos
• control de claves de cifrado
• control de cambios y versiones
• control de paso de aplicaciones a explotación
• controles de medidas de seguridad física
• responsable de datos personales (LOPD y código penal)

METODOLOGÍAS DE CLASIFICACIÓN DE LA INFORMACIÓN Y DE

OBTENCIÓN DE LOS PROCEDIMIENTOS DE CONTROL
Si identificamos distintos niveles de contramedidas para distintas entidades de
información con distinto nivel de criticidad, estaremos optimizando la eficiencia
de las contramedidas y reduciendo los costos de las mismas.

Las jerarquías (de la información) suelen ser cuatro:

• vital
• critica
• valuada
• no sensible

o bien
• altamente confidencial
• confidencial
• restringida
• no sensible

o según PRIMA
• estratégica
• restringida ( a los propietarios de la info)
• de uso interno (a los empleados)
• de uso general

Pasos de la metodología de clasificación:

• identificación de la información
• inventario de entidades de información ( programas, archivos de datos,
etc)
• Identificación de los propietarios
• Definición de las jerarquías (4)
• Definición de la matriz de clasificación
• confección de la matriz de clasificación
• realización del plan de acciones
• Implantación y mantenimiento

OBTENCION DE LOS PROCEDIMIENTOS DE CONTROL

Metodología:
Fase1: Definición de objetivos de control
• Tarea 1: análisis de la empresa: se estudian los procesos
organigramas y funciones
• Tarea 2: recopilación de estándares: se estudian todas la fuentes de
 información necesarias para conseguir en la fase los objetivos de
control a conseguir.
• Tarea 3: definir los objetivos de control

Fase 2: definición de los controles

• Tarea 1: definición de los controles: con los objetivos definidos
analizamos los procesos y vamos definiendo los distintos controles
que se necesitan.
• Tarea 2 definición de necesidades Tecnológicas (hard y
herramientas de control)
• Tarea 3: definición de los procedimientos de control:
• Tarea 4: Definición de las necesidades de recursos humanos

Fase 3: Implantación de los controles (en forma de acciones especificas)

Una vez terminado este proceso, se debe documentar aquellos procedimientos

nuevos y revisar los modificados

HERRAMIENTAS DE CONTROL

Son elementos de software que por sus características funcionales

permiten vertebrar un control de una manera más actual y más
automatizada.

• seguridad lógica del sistema

• seguridad lógica complementaria al sistema
• seguridad lógica para entornos distribuidos
• control de acceso físico
• control de copias
• gestión de soportes magnéticos
• gestión y control de impresión y envío de listados por red
• control de proyectos
• control de versiones
• control de gestión de incidencias
• control de cambios

CAPITULO 4
EL INFORME DE LA AUDITORÍA
El informe de auditoría informática es el objetivo de la auditoria informática.

Las normas
• Libro verde de la auditoría (acepta normas internacionales IFAC) esta
dedicado al papel, la posición y la responsabilidad del auditor legal.
• ISACF (específica de la AI)
• ISACA
• ICAC
• Agencia de protección de datos
Dos tendencias legislativas
• Anglosajona (basada en Common Law)
• Latina (basada en el Derecho Romano)

La evidencia

Es la base razonable de la opinión del auditor informático, eso es el informe de

la auditoria informática.

Calificativos:

• evidencia relevante: tiene relación lógica con los objetivos de la

auditoría.
• evidencia fiable: que es válida y objetiva, aunque con nivel de
confianza
• evidencia suficiente: que es de tipo cuantitativo para soportar la
opinión profesional del auditor.
• evidencia adecuada: que es del tipo cualitativo para afectar a las
conclusiones del auditor.

En principió las pruebas son de cumplimiento o sustantivas.

Las irregularidades
Los fraudes y los errores preocupan tanto que aparece con énfasis en el libro
verde la unión europea.
La dirección tiene la responsabilidad principal y primaria de la detección de
irregularidades, fraudes y errores.
La responsabilidad del auditor se centra en la planificar, llevar a cabo y evaluar
su trabajo para obtener una expectativa razonable de su detección.

La documentación
El informe de auditoría, si se precisa que sea profesional, tiene que estar
basado en la documentación o papeles de trabajo, como utilidad inmediata,
previa supervisión.
La documentación además de fuente de know how del auditor para trabajos
posteriores, puede ser fuente para q la corporación profesional o algún
organismo oficial realice un control de calidad. Los papeles de trabajo pueden
llegar a tener valor en los tribunales de justicia.

Papeles del auditor:

• contrato cliente / auditor
• declaraciones de la dirección
• contratos equivalentes
• informes sobre terceros vinculados
• conocimiento de la actividad del cliente.

El informe
El informe de la auditoria es la comunicación del auditor al cliente, formal,
solemne, tanto del alcance como de los resultados y conclusiones de la
auditoria.
El informe deberá ser claro, adecuado, suficiente y comprensible.
Puntos esenciales
• identificación del informe
• identificación del cliente
• identificación de la entidad auditada
• objetivos de la auditoría informática
• normativa aplicada y excepciones
• alcance de la auditoría
• conclusiones: informe corto de opinión
• opinión favorables
• opinión con salvedades
• opinión desfavorable
• opinión denegada
• resumen
• resultados: informe largo y otros informes
• informes previos
• fecha del informe
• identificación y firma del auditor
• distribución del informe
CAPITULO 5
ORGANIZACIÓN DEL DEPARTAMENTO DE AUDITORÍA INFORMATICA

Para que los sistemas cumplan sus objetivos debe existir una función de
gestión de dichos sistemas, de los recursos que manejan y de las inversiones
que se ponen a disposición de dichos recursos.

Principios:

• todos los auditores tendrán que tener conocimientos informáticos que les
permitan trabajar en un entorno de tecnología de la información.
• La necesidad de especialistas en auditorias.
• El auditor informático dejara de ser un profesional procedente de otra
área, para pasar a ser un profesional titulado en auditoria informática.

Clases y tipos de auditorias.

• Auditoria informática como soporte a la auditoria tradicional, financiera,

etc.
• Auditoria informática con el concepto anterior pero añadiendo la función
de auditoria de la función de gestión del entorno informático.
• Auditoria informática como función independiente.
• Las acepciones anteriores desde el punto de vista interno y externo.
• Auditoría como función de control dentro de un departamento de
sistemas.

Función de auditoria informática.

La función del auditor informático general (AIG), debe ser realizada por
personas con experiencia en informática y auditoria, debe ser un profesional
dedicado al análisis de sistemas de información que este especializado en
algunas de las múltiples ramas de la auditoria informática.

Perfiles profesionales de la función de auditoria informática.

El auditor informático debe ser una persona con un alto grado de calificación
técnica y al mismo tiempo integrado a las corrientes organizativas
empresariales.
Las personas que desarrollen esta actividad deben poseer formación en
auditoría financiera e informática a en general, también deben contemplar
conocimientos en:
• Desarrollo informático
• Gestión de dpto. de sistema
• SO
• Análisis de riesgo en entorno informático
• Telecomunicaciones
• Gestión de DB
• LAN
• Seguridad Física
• Seguridad de sistemas
 • Administración de datos
• Ofimática
• Comercio electrónico
• Encriptación de datos
• Especialización en función de la importancia económica de distintos
componentes financieros de la organización
• El AI debe tener siempre presente el concepto de calidad total

Funciones a desarrollar por la función de AI

La función de AI debe realizar un amplio abanico de actividades objetivas.

Debe revisar la seguridad, el control interno, la efectividad, la gestión de
cambio e integridad de la información.

Organización de la función de AI

El auditor informático pasa a ser auditor y consultor del ente empresarial, en el

que va a ser analista, auditor y asesor en materias de:
• seguridad
• control interno operativo
• eficiencia y eficacia
• tecnología informática
• continuidad de operaciones
• gestión de riesgos

CAPÍTULO 6
EL MARCO JURIDICO DE LA AUDITORIA INFORMATICA.

Nuevas tecnologías inciden en el derecho desde dos perspectivas:

- Como herramienta del Operador Jurídico (Informática Jurídica)
o Tres categorías:
 Informática Jurídica De Gestión: tramitación de los
procedimientos judiciales
 Informática Jurídica Documental: almacenamiento de
datos //doctrina – jurisprudencia//
 Informática Jurídica Decisional: ayuda en la toma de
decisiones // sistemas expertos – I. Artificial

- Como nueva rama del derecho (El derecho Informático)

o Protección de datos personales
o Protección Jurídica de los programas de computador
o Las Bases de Datos y la Multimedia
o Delitos Informáticos
 Contra la Intimidad
 Contra el patrimonio
 Falsedades documentales
o Los Contratos Informáticos
  Contratación de hardware
 Contratación de software
 Contratación de datos
 Contratación de servicios
 Contratos complejos: aquellos que incorporan todo //hard y
soft
o Intercambio electrónico de datos
o La transferencia electrónica de fondos
o La contratación electrónica: aquella en la que el contrato se
establece en el momento de la transacción
o El documento electrónico

CAPÍTULO 7
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS.

Los principios deontológicos aplicables a los auditores deben necesariamente

estar en consonancia con los del resto de profesionales y especialmente con
los de aquellos cuya actividad presente mayores concomitancias con la
auditoria.

Los códigos deontológicos deben ser elaborados por los propios profesionales
en el marco de los colegios, asociaciones o agrupaciones que los representen y
asumirlos en forma generalizada como forma de autorregulación ética de su
actividad. Los principios contenidos en los códigos deontológicos exigen
asimismo por su especificidad moral que los propios profesionales coadyuven a
su difusión.

Principios deontológicos aplicables a los auditores informáticos

• Principio de beneficio del auditado:

La actividad del Auditor Informático debe estar orientada en todo
momento a lograr el máximo beneficio para su cliente. Con esto, es
importante evitar cualquier actitud del auditor que se interponga con
este objetivo. Ejemplo: que el auditor tenga intereses en algún SW o que
esté ligado con alguna persona de la firma.
Para cubrir al auditado, de este principio surge que las organizaciones
tienen libre derecho de elección del auditor, para evitar dependencias del
tipo organización-auditor. Además, el auditado puede pedir otra auditoría
con otro auditor, y para eso puede usar todo el maldito informe de
auditoría.

• Principio de calidad:
El auditor deberá prestar sus servicios de la mejor forma y en el mejor
contexto, para lograr la mayor calidad de su trabajo. Si las condiciones
no están dadas, podrá negarse a hacer la Auditoría Informática.

• Principio de capacidad:
El Auditor Informático debe estar plenamente capacitado para hacer la
auditoría que se le solicita. Tener en cuenta que para el cliente es más o
 menos lo mismo. El tema es que el auditor tiene una alta autonomía y
de lo que dice o recomienda hay un impacto muy fuerte. Así que por esto
el Auditor Informático debe evitar sobreestimar sus conocimientos, al
igual que subestimarlos, ya que en ambos casos perjudican al cliente.

• Principio de cautela:

El auditor debe basar sus recomendaciones en base a su experiencia, no

aventurar alcances tecnológicos futuros.

• Principio de comportamiento profesional:

El auditor deberá actuar conforme a las normas, implícitas y explícitas,

de dignidad de la profesión y de corrección en el trato personal.
Para esto, deberá cuidarse de no exagerar al hacer juicios u opiniones,
buscando siempre transmitir una imagen de precisión para dar seguridad
al cliente.
Acudir a otros expertos en caso de ser necesario.

• Principio de concentración en el trabajo:

El auditor deberá evitar trabajar en exceso, ya que esto afectará sus

capacidades de concentración y precisión en sus tareas..... Habla de las
consecuencias de trabajar cansado sobre el producto final de la auditoría.

• Principio de confianza:
El auditor deberá buscar que el auditado confíe en él y trabajar para que
esa confianza crezca. Para eso, el auditor debe trabajar con
transparencia en su actividad profesional, ya que cualquier duda va a
restar credibilidad a su trabajo desde el punto de vista del auditado.

• Principio de criterio propio:

El auditor deberá actuar con criterio propio y no permitir que este esté
subordinado al de otros profesionales.

• Principio de discreción:

El auditor mantendrá discreción respecto a los datos obtenidos.

• Principio de economía:
El auditor deberá proteger la economía de los auditados, evitando gastos
innecesarios en el ejercicio de su actividad.

• Principio de formación continuada:

El auditor debe mantener una permanente actualización de sus
conocimientos y métodos.

• Principio de fortalecimiento y respeto de la profesión:

Los auditores deberán cuidar del reconocimiento del valor de su trabajo,
y la correcta valoración de los resultados obtenidos.
• Principio de independencia:
Esta relacionado con el principio de criterio propio. el auditor exigirá
autonomía e independencia para realizar su trabajo. La independencia
del auditor constituye la garantía de que los interese del auditado seran
asumidos con objetividad.

• Principio de información suficiente:

El auditor debe aportar información clara y precisa sobre todos los puntos
relacionados con la auditoría que puedan tener algún interés para el
auditado, así como darle las conclusiones e informarle sobre la actividad
desarrollada para llegar a las conclusiones.

• Principio de integridad moral:

El auditor debe ser honesto, leal y diligente en el desempeño de su
misión. Evitar participar en cualquier acto de corrupción personal o de
terceras personas.

• Principio de legalidad:
El auditor deberá evitar utilizar su conocimiento para facilitar a los
auditados la contravención de leyes vigentes.

• Principio de libre competencia:

Son rechazables las prácticas tendientes a impedir la legítima
competencia de otros profesionales.

• Principio de no discriminación:
El auditor deberá evitar situaciones de discriminación de cualquier tipo.

• Principio de no injerencia:
El auditor deberá evitar injerencias en el trabajo de otros profesionales.

• Principio de precisión:
Este principio obliga al auditor a la no conclusión de su trabajo hasta
estar convencido de la viabilidad de sus propuestas.

• Principio de publicidad adecuada:

No difusión de publicidad falsa o engañosa que desvirtúen la realidad de
su servicio, enmascaren los límites de los mismos, etc.

• Principio de responsabilidad:
El auditor deberá responsabilizarse de lo que haga, diga o aconseje. Es
conveniente la suscripción de seguros que cubran la responsabilidad civil
de los auditados.

• Principio de secreto profesional:

La confidencia y la confianza son características esenciales entre el
auditor y el auditado e imponen al auditor la obligación de guardar en
secreto los hechos e informaciones que conozca en el ejercicio de su
profesión a menos que deba hacerlo por exigencia legal.

• Principio de servicio público:

 el auditor hará lo que esté a su alcance para evitar daños sociales como
los que puedan producirse en los casos en que durante la ejecución de la
auditoría descubra software dañinos, virus que puedan propagarse a
otros equipos informáticos.

• Principio de veracidad:
El auditor deberá asegurar la veracidad de sus manifestaciones con los
límites impuestos por los deberes de respeto, corrección y secreto
profesional.
CAPÍTULO 8
LA AUDITORÍA FÍSICA.

La auditoría es el medio que va a proporcionar la evidencia o no de la

Seguridad física en el ámbito en el que se va a desarrollar la labor profesional.
Es por tanto, necesario asumir que la auditoría física no se debe limitar a
comprobar la existencia de los medios físicos, sino también su funcionalidad,
racionalidad y seguridad.

La seguridad física.
La seguridad física garantiza la integridad de los activos humanos, lógicos y
materiales de un Centro de proceso de datos (CPD).

• Antes: obtener y mantener un nivel adecuado de seguridad física sobre

los activos.
• Durante: ejecutar un plan de contingencia adecuado.
• Después: contratos de seguros que compensen las pérdidas.

Áreas de la seguridad física.

• organigrama de la empresa
• auditoría interna
• administración de la seguridad
• centro de proceso de datos e instalaciones
• equipos y comunicaciones
• computadores personales
• seguridad física del personal

Definición de auditoría física.

Auditoría parcial, difiere de la auditoría general sólo en el alcance.

Fuentes de la auditoría física.

• políticas, normas y planes sobre seguridad
• auditorías anteriores
• contratos de seguros, proveedores, etc.
• entrevistas con el personal
• actas e informes de técnicos
• plan de contingencia
• informes sobre accesos y visitas
• políticas de personal
• inventarios de soportes

Objetivos de la auditoría física.

• Edificio
• instalaciones
• equipamiento y telecomunicaciones
• datos
• personas

Técnicas y herramientas del auditor

Técnicas:
• observaciones de instalaciones, sistemas, cumplimiento de normas y
procedimientos
• revisión analítica de documentación, políticas y normas, contratos de
seguros y de mantenimientos
• entrevistas con directivos y personal
• consultas a técnicos y peritos

Herramientas:
• cuaderno de campo / grabadora de audio
• máquina fotográfica / cámara de video

Responsabilidades de los auditores

• Auditor informático interno:
• revisar los controles relativos a seguridad física
• revisar el cumplimiento de los procedimientos
• evaluar riesgos
• participar sin perder independencia en:
◦ selección de equipos
◦ planes de seguridad, contingencia, etc.
• revisión del cumplimiento de políticas y normas de seg física
• efectuar auditorías programadas e imprevistas
• emitir informes y efectuar el seguimiento de las recomendaciones

Fases de la auditoría física

1) alcance de la auditoría
2) adquisición de información general
3) administración y planificación
4) plan de auditoría
5) resultado de las pruebas
6) conclusiones y comentarios
7) borrador del informe
8) discusión con los responsables del área
9) informe final
10) seguimiento de las modificaciones acordadas

Desarrollo de las fases de la auditoría física.

Igual que en otro tipo de auditorias.

Ejemplo Fase 2: Adquisición de la información General
Técnica de check list para un mejor entendimiento de los
conceptos
CAPÍTULO 9 (BREVE)

AUDITORÍA DE LA OFIMÁTICA.

Según Schill, la ofimática es el sistema informatizado que genera,

procesa, almacena, recupera, comunica y presenta datos relacionados
con el funcionamiento de la oficina.

Controles de auditoría
• economía, eficacia y eficiencia
◦ determinar si el inventario ofimático refleja con exactitud los equipos
y aplicaciones existentes
◦ determinar y evaluar el procedimiento de adquisiciones de equipos y
aplicaciones
◦ determinar y evaluar la política de mantenimiento definida en la
organización
◦ evaluar la calidad de las aplicaciones del entorno ofimático
desarrollado por personal de la propia organización
◦ evaluar la corrección del procedimiento existente para la realización
de los cambios de versiones y aplicaciones
◦ determinar si los usuarios cuentan con suficiente formación y la
documentación de apoyo necesaria para desarrollar sus tareas de un
modo eficaz y eficiente
◦ determinar si el sistema existente se ajusta a las necesidades reales
de la organización
• seguridad
◦ determinar si existen garantías suficientes para proteger los accesos
no autorizados a la información reservada de la empresa y la
integridad de la misma
◦ determinar si el procedimiento de generación de copias de respaldo es
fiable y garantiza la recuperación de la información en caso de
necesidad.
◦ determinar si está garantizado el funcionamiento ininterrumpido de
aquellas aplicaciones cuya caída podría suponer pérdidas de
integridad de la información y aplicaciones
◦ determinar el grado de exposición ante la posibilidad de intrusión de
virus
• normativa vigente
◦ determinar si en el entorno ofimático se producen situaciones que
puedan suponer infracciones a lo dispuesto en la ley orgánica
◦ determinar si en el entorno ofimático se producen situaciones que
puedan suponer infracciones a lo dispuesto sobre la propiedad
intelectual
CAPÍTULO 10
AUDITORÍA DE LA DIRECCIÓN
Actividades básicas del proceso de dirección:
• Planificar
• Organizar
• Coordinar
• Controlar

Planificar
Se trata de prever la utilización de las tecnologías de la información en la
empresa.
Hay varios tipos de planes informáticos.
El principal es el Plan Estratégico de sistemas de información.

Plan estratégico de sistemas de información

Debe asegurar el alineamiento de los sistemas de información con los objetivos
de la empresa.
Es responsabilidad no sólo de la dirección de informática, sino que incumbe a
otros estamentos de la empresa, comité de informática, dirección general.

Guía de auditoría
El auditor debe examinar el proceso de planificación de sistemas de
información y evaluar si se cumplen los objetivos.
• Atención adecuada al plan estratégico
• asignación de recursos y plazos realistas

Acciones a realizar
• lecturas en sesiones del comité de actas, planes, documentos
intermedios, objetivos
• entrevistas a director de informática y otros miembros del comité.

Otros planes relacionados

• plan operativo anual: sistemas a desarrollar, cambios tecnológicos
previstos, recursos y plazos.
• plan de dirección tecnológica
• plan de arquitectura de la información
• plan de recuperación ante desastres: planificar lo necesario para
hacer frente a incendios, inundaciones, fallo de hardware, robo, sabotaje,
terrorismo, etc.

Organizar y coordinar
Estructurar los recursos, flujos de información y controles que permitan
alcanzar los objetivos.

Comité de informática
Lugar de encuentro entre los usuarios y los informáticos donde se debaten los
asuntos informáticos que afectan a la empresa.
Funciones:
• Aprobación del plan estratégico de SI
• aprobación de las inversiones en tecnología
 • fijación de prioridades
• vehículo de discusión entre la informática y sus usuarios
• seguimiento de la actividad del departamento de informática

Guía de auditoría
• Lectura de la normativa interna sobre las funciones del comité
• entrevistas a miembros del comité para conocer las funciones del mismo
• entrevista a los representantes de usuarios, miembros del comité.

Posición del departamento de informática en la empresa

La ubicación del departamento de informática en la estructura organizativa de
la empresa debería estar lo suficientemente alto en jerarquía para disponer de
autoridad e independencia.
En general depende de la Dirección general.

Guía de auditoría.
El auditor deberá revisar el emplazamiento del Dpto. de informática y evaluar
su independencia frente a departamento de usuarios.

Descripción de funciones y responsabilidades del departamento de

informática. Segregación de funciones.
Las unidades organizativas del Dpto. informática deben tener sus funciones
descritas y su responsabilidad delimitada.
El objetivo de esta separación de papeles es impedir que un solo individuo
pueda trastornar un proceso crítico.

Aseguramiento de la calidad
La calidad de los servicios ofrecidos por el departamento de informática debe
estar asegurada mediante el establecimiento de una función organizativa de
aseguramiento de la calidad.

Guía de auditoría:
• identificación de las unidades organizativas del Dpto. informática
• revisión de documentación de funciones y responsabilidades
• entrevista a los directores de unidades organizativas
• evaluación de adecuada segregación de funciones.

Estándares de funcionamiento y procedimientos. Descripción de los

puestos de trabajo.
Deben existir estándares de funcionamiento y procedimientos que gobiernen la
actividad del Dpto. informática y sus relaciones con el Dpto. usuarios.

Guía de auditoría:
• evaluar la existencia de estándares
• revisión de estándares y procedimientos existentes
• revisión de las descripciones de los puestos de trabajo

Gestión de recursos humanos: selección, evaluación del desempeño,

formación, promoción, finalización.
Guía de auditoría.
• Evaluar que la selección de personal se base en criterios objetivos
teniendo en cuenta formación, experiencia, etc.
• evaluar que el rendimiento de los empleados se evalúa regularmente en
base a estándares específicos del puesto.
• Existen procesos para determinar necesidades de formación
• procesos para promoción de personal
• controles que tiendan a asegurar el cambio de puesto de trabajo y
finalización de contratos.

Comunicación
Es necesario que exista una comunicación efectiva y eficiente entre la
dirección de informática y el resto del personal.
Guía de auditoría:
• evaluar características de la comunicación entre la dirección y el
personal de informática.

Gestión económica
• presupuestación: el auditor deberá constatar la existencia de un
presupuesto económico.
• adquisición de bienes y servicios: la auditoría de este área no es
diferente de una auditoría tradicional de un proceso de compras.
• medida y reparto de costos: reparto del precio de transferencia o costo
interno que el Depto. de informática transmite a los usuarios
Seguros
Guía de auditoría:
• el auditor debe estudiar las pólizas y evaluar la cobertura existente,
analizando si la empresa está suficientemente cubierta.

Controlar
Control y seguimiento
Existe obligación de la dirección de controlar y efectuar un seguimiento
permanente de las distintas actividades del departamento.

Guía de auditoría:
• análisis de los procesos existentes en el Dpto. para llevar a cabo el
seguimiento y control. Evaluar la periodicidad de los mismos y los
procesos de presupuestación.
• Revisión de planes y proyectos de años anteriores para comprobar que
se analizan desviaciones y se toman medidas correctoras.

Cumplimiento de la normativa legal

Guía de auditoría:
• evaluar si se cumple con las normativas.
CAPÍTULO 11.
AUDITORÍA DE LA EXPLOTACIÓN (funcionamiento adecuado y
actualizado de los SI).

Sistemas de información
Conjunto de componentes que interactúan para que la empresa alcance sus
objetivos satisfactoriamente.

Según CobiT los componentes o recursos de un SI son:

• Datos: estructurados y no estructurados, sonidos, imágenes, etc.
• Aplicaciones: manuales e informativas
• Tecnología: software y hardware, sist. Operat., bases de datos, soft de
red, etc.
• Instalaciones: Donde se alojan y dan soporte a los SI (edificio y
mobiliario)
• Personal: Habilidad, planificación, administración del personal para con
los SI

Para auditar la explotación del sistema se adoptarán las normas de ISACA y

otras Normas de Auditoría de Sistemas de Información Generalmente
Aceptadas y aplicables (NASIGAA)

Cartas de encargo: las responsabilidades del trabajo de auditoría deben

quedar recogidas en un contrato o carta de encargo antes de comenzar.

Planificación: las auditorías de SI deben planificarse y supervisarse.

Entre la planificación tenemos:

Planificación estratégica: revisión global de la empresa, el SI y su entorno

para hacer una primera evaluación de riesgos y establecer los objetivos de la
auditoria. Es necesario conocer entre otros:
• Características de equipos
• Sist. op.
• Archivos
• bases de datos
• organización de la empresa
• organización del servicio de explotación
• Aplicaciones
• Sector donde opera la empresa
• inform. comercial.

La información puede obtenerse de

• entrevistas (responsables de explotación, resp. de plan de
contingencia, usuarios, proveedores de hard y soft)
• inspeccionando documentación (informes de auditorías previas,
normas relacionadas a la explotación de SI, planes de contingencia,
agenda de trabajo, instrucciones de equipos, contratos de
mantenimiento, procedim. de emergencia, seguridad física y lógica,
separación de bibliotecas de desarrollo y producción, instrucciones
operativas de aplicaciones más importantes.
Controles: Clasificacion
Controles generales:
• Controles operativos y de organización
• Controles sobre el desarrollo de programas y su documentación
• Controles sobre programas y equipos
• Controles de accesos
• Controles sobre los procedimientos y datos
• Controles de las aplicaciones
• controles sobre la captura de datos
• controles de proceso
• controles de salida y distribución

Clasificación de Cobit para gestión de recursos

• Actividades y tareas: las actividades son cíclicas, las tareas implican
un concepto más discreto
• Procesos: serie de actividades o tareas
• Dominios: dominios de responsabilidad de las estructuras organizativas
de la empresa.

Cobit recoge 32 procesos de los SI donde se sugieren los objetivos de control.

Estos procesos se agrupan en cuatro dominios:
• Planificación y organización
• Adquisición e implementación
• Suministro y mantenimiento
• Monitorización

Evaluación de controles internos:

buscar evidencia sobre:
• Terminación completa de los procesos
• Separación física y lógica de programas fuentes y objetos de bibliotecas
de desarrollo, pruebas y producción
• Normas y procedimientos para pasar programas de una biblioteca a otra
• Estadísticas de funcionamiento (utilización de equipo, memoria,
telecomunicaciones)
• Normas de nivel de servicios de proveedores
• Estándares de funcionamiento interno
• Revisión de diarios de explotación (logs)
• Mantenimiento de equipos
• Rotación de turnos y vacaciones

Establecimiento de objetivos:
Según los riesgos detectados se establecen los objetivos de la auditoría.
Para alcanzar los distintos objetivos de control se deben diseñar pruebas
(procedimientos) de cumplimiento y sustantivas.

Planificación administrativa:
Debe realizarse luego de haber concluido la planificación estratégica. Deben
quedar claros los siguientes aspectos:
• Evidencia: se podrá relacionar con la documentación disponible de la
etapa anterior
• Personal: de que se va disponer y si va a ser necesario contar con
expertos externos.
• Calendario: fecha inicio y fin de la auditoria
• Coordinación y cooperación: buena relación con el auditado sin perder la
independencia

Planificación técnica: en esta última fase se debe elaborar el plan de trabajo

indicando métodos, procedimientos, herramientas y técnicas que se utilizarán
para alcanzar los objetivos de la auditoría.

REALIZACIÓN DEL TRABAJO (PROCEDIMIENTOS)

Llevar a cabo las pruebas de cumplimiento y sustantivas que se han

planificado para alcanzar los objetivos de la auditoria

Objetivo general (CobiT)

Asegurarse de que las funciones que sirven de apoyo a las tecnologías de la
información se realizan con regularidad, de forma ordenada y satisfacen los
requisitos empresariales.

Objetivo Específicos (para alcanzar el objetivo Gral.)

• Comprender las tareas, las actividades del proceso que se audita
• Determinar si son apropiados los controles instalados
• Hacer pruebas de cumplimiento para determinar si los controles
instalados funcionan según lo establecido de manera consistente y
continua
• Hacer pruebas sustantivas cuando sea necesario

INFORMES
Tipos de informes
1. favorable (el sistema es satisfactorio)
2. desfavorable (el sistema es un desastre)
3. con salvedades (el sistema es válido pero tiene fallos)
4. denegación de opinión ( no hay suficientes elementos de juicio para
opinar)

Recomendaciones del auditor

Esquema para confeccionarla ante la detección de debilidades en el SI
• describir la debilidad
• indicar el criterio o instrumento de medida utilizado
• efectos que puede tener en el SI
• describir la recomendación con la que esa debilidad se puede eliminar

Normas para elaborar los informes

Los informes de auditoría deben ajustarse a las Normas de Auditoría de
Sistemas de Información Generalmente Aceptadas y Aplicables (NASIGAA)
DOCUMENTACIÓN DE LA AUDITORÍA Y SU ORGANIZACIÓN
Papeles de trabajo
Todo el trabajo de auditoría debe quedar reflejado en papeles de trabajo por los
siguientes motivos:
• recogen la evidencia obtenida
• ayudan al auditor en el desarrollo del trabajo
• ofrecen soporte de trabajo realizado para futuras auditorías
• permiten que el trabajo sea realizado por terceros
• son la única prueba de que el auditor ha llevado a cabo un examen
adecuado

Archivos
Los papeles de trabajo del auditor se pueden organizar en dos archivos
principales:
• archivo permanente o continuo
◦ características y manuales de equipos y aplicaciones
◦ descripción de control interno
◦ organigramas de la empresa y servicio de información
◦ planificación de auditoría
◦ contratos
◦ Etc

• archivo corriente: dividido en:

◦ archivo general ( informe del auditor, carta de recomendaciones,
planificación, correspondencias, tiempos empleados)
◦ archivo por áreas o procesos (programa de auditoría de cada área
o proceso, conclusiones de áreas, procesos y procedimientos.
CAPÍTULO 12
AUDITORÍA DEL DESARROLLO
Tratara de verificar la existencia y aplicación de procedimientos de control,
adecuados que permitan garantizar que el desarrollo del SI se ha llevado a
cabo según estos principios de ing. o por el contrario determinar las
deficiencias existentes en ese sentido

Importancia de la auditoría de desarrollo

• el factor de éxito de la informática es la calidad del soft
• el gasto destinado a soft es cada vez mayor que el destinado al hard
• crisis de software (desarrollo y mantenimiento)
• mayor control en el proceso de desarrollo incrementa la calidad y reduce
costos de mantenimiento
• índice de fracasos de desarrollo de proyectos demasiado alto
• las aplicaciones informáticas pasan a ser la herramienta de trabajo
principal

Planteamiento y metodología
Funciones que son responsabilidad del área:
• planificación del área y elaboración del plan estratégico de informática
• desarrollo de nuevos sistemas
• estudio de nuevos lenguajes y herramientas, metodologías, etc.
• plan de formación para el personal del área
• normas y controles para las actividades del área

Auditoría del área de desarrollo:

• auditoría de la organización y gestión del área de desarrollo
• auditoría de proyectos de desarrollo de SI

AUDITORÍA DE LA ORGANIZACIÓN Y GESTIÓN DEL ÁREA DE

DESARROLLO
Objetivo de control A1:
1. establecer de forma clara las funciones del área de desarrollo
2. organigrama del área y personal, puestos que ocupa cada persona.
Promoción de personal
3. el área debe tener su propio plan que será coherente con el plan de
sistemas
4. control presupuestario propio.
Objetivo de control A2: formación y motivación del personal de desarrollo
1. procedimientos objetivos de contratación de personal para desarrollo
2. plan de formación en consonancia con los objetivos tecnológicos
3. protocolo de recepción, abandono del personal del área
4. biblioteca y hemeroteca disponibles para el area
5. motivación del personal en la realización de su trabajo.
Objetivos de control A3: Si hay un plan de sistemas los proyectos se deben
basar en dicho plan y mantenerlo actualizado
1. la realización de nuevos proyectos debe basarse en el plan de sistemas
2. el plan de sistemas debe actualizarse con la información que se genera a
lo largo de un proceso de desarrollo.
Objetivos de control A4: Propuesta y aprobación reglada
 1. procedimiento para la propuesta de nuevos proyectos
2. procedimiento de aprobación de nuevos proyectos
Objetivos de control A5: asignación de recursos reglada
1. procedimiento para asignar director y equipo de desarrollo a casa
proyecto
2. procedimiento para obtener los recursos materiales necesarios
Objetivos de control A6: Aplicar principios de Ing. de Soft. aceptados
1. metodología de desarrollo de sistemas de información soportada por
herramientas CASE
2. mecanismo de creación y mantenimiento de estándares.
3. Lenguajes, compiladores, herramientas CASE etc. deben estar
homologadas.
4. Debe practicarse la reutilización de soft.
5. Método para catalogar y estimar tiempo de cada fase de los proyectos
6. registro de problemas y fracasos que se producen en los proyectos del
área
Objetivos de control A7: relaciones con el exterior del dpto.
1. deben mantenerse contactos con proveedores para recibir información
sobre productos de interés
2. protocolos para contratación de terceros
Objetivos de control A8: adaptar la organización del área a las necesidades del
momento
1. la organización debe revisarse de forma regular

AUDITORÍA DE PROYECTOS DE DESARROLLO DE SI

El proyecto tendrá objetivos marcados y afectará a determinadas unidades de
la organización. Debe tener un responsable y ser gestionado con técnicas que
permitan conseguir los objetivos marcados.
Cada proyecto tendrá un plan distinto dependiendo de los riesgos, la
complejidad y los recursos disponibles para realizar la auditoría.

Aprobación, planificación y gestión del proyecto.

Objetivo de control B1: proyecto de desarrollo debe estar aprobado, definido y
planificado formalmente
1. Debe existir una orden de aprobación del proyecto que defina los
objetivos, restricciones y unidades afectadas
2. debe asignarse un responsable o director del proyecto
3. el proyecto debe ser catalogado, y en función de sus características, se
debe determinar el modelo de ciclo de vida a seguir
4. una vez determinado el ciclo de vida, se debe elegir el equipo técnico
que realizará el proyecto y se determinará el plan de proyecto.
Objetivo de control B2: gestionar el proyecto de forma de obtener los mejores
resultados posible
1. los responsables de las unidades o áreas afectadas por el proyecto deben
participar enla gestión del proyecto
2. se debe establecer un mecanismo para la resolución de problemas que
surjan a lo largo del proyecto
3. control de cambios del proyecto
4. cuando sea necesario reajustar el plan de proyecto, normalmente al
finalizar un módulo o fase.
5. Debe hacerse un seguimiento de los tiempos empleados tanto por tarea
como a lo largo del proyecto
 6. se debe controlar que se siguen las etapas del ciclo de vida adoptado
para el proyecto y se generan los documentos asociados.
7. Al terminar el proyecto cerrar la documentación del mismo, liberar los
recursos empleados y hacer balance

AUDITORÍA DE LA FASE DE ANÁLISIS

Se divide en dos módulos:
Análisis de los requisitos del sistema (ARS)
Objetivos de control C1: los usuarios y responsable establecen los requisitos
del sistema
1. en el proyecto deben participar usuarios de todas las unidades a las que
afecte el nuevo sistema.
2. Se debe realizar un plan detallado de entrevistas con los usuarios del
proyecto y responsables de las unidades
3. a partir de las entrevistas se debe documentar el sistema actual y los
problemas asociados al mismo. Se deben catalogar los requisitos del
nuevo sistema
4. debe existir un procedimiento formal para registrar cambios en los
requisitos del sistema por parte de los usuarios.
Objetivos de control C2: utilizar la alternativa más viable para la construcción
del sistema
1. definir diferentes alternativas de construcción, ventajas y desventajas.
Seleccionar la más adecuada
2. la actualización del plan de proyecto seguirá los criterios ya comentados.

Especificación Funcional del Sistema (EFS)

Objetivos de control D1: especificación funcional completa con aprobación de
usuarios.
1. realizar modelo lógico del nuevo sistema, modelo lógico de procesos
(MLP) y modelo lógico de datos (MLD)
2. debe existir diccionario de datos o repositorio
3. debe definirse la forma en que el sistema interactuará con los distintos
usuarios
4. la especificación del nuevo sistema incluirá requisitos de seguridad,
rendimiento, copias de seguridad y recuperación, etc.
5. deben especificarse las pruebas que el nuevo sistema debe superar para
ser aceptado
6. la actualización del plan seguirá los criterios ya comentados

AUDITORÍA DE LA FASE DE DISEÑO

Diseño técnico del sistema (DTS)
Objetivo de control E1: definir arquitectura física coherente con la
especificación funcional y el entorno tecnológico.
1. el entorno tecnológico debe estar definido claramente y ser conforme a
los estándares del Dpto. informática
2. se deben identificar las actividades físicas a realizar por el sistema y
descomponer las mismas en forma modular
3. se debe diseñar la estructura física de los datos adaptando las
especificaciones del sistema al entorno tecnológico
4. se debe diseñar un plan de pruebas que permita la verificación de los
distintos componentes del sistema por separado, así como el
funcionamiento de los distintos subsistemas y del sistema en conjunto.
 5. la actualización del plan de proyecto seguirá los criterios ya comentados

AUDITORÍA DE LA FASE DE CONSTRUCCIÓN

Desarrollo de los componentes del sistema (DCS)
Objetivo de control F1: usar técnicas de programación correctas.
1. preparar adecuadamente el entorno de desarrollo y de pruebas
2. programar, probar y documentar cada uno de los componentes
identificados en el diseño del sistema
3. pruebas de integración para asegurar que los componentes o módulos
funcionan correctamente.
Desarrollo de los procedimientos de usuario (DPU)
Objetivos de control G1: al término del proyecto los usuarios deben estar
capacitados para hacer uso del mismo.
1. el desarrollo de los componentes de usuario debe estar planificado.
2. Especificar perfiles de usuarios para el nuevo sistema
3. desarrollar todos los procedimientos de usuario con arreglo a los
estándares del área
4. a partir de los perfiles actuales de los usuarios, definir los procesos de
selección o formación de personal
5. definir los recursos materiales necesarios para el trabajo de los usuarios
con el nuvo sistema

AUDITORÍA DE LA FASE DE IMPLANTACIÓN

Pruebas, implantación y aceptación del sistema (PIA)
Objetivo de control H1: el sistema debe ser aceptado formalmente por los
usuarios antes de ser puesto en explotación
1. realizar las pruebas del sistema que se especificaron en el diseño del
mismo
2. el plan de implantación y aceptación se debe revisar para adaptarlo a la
situación final del proyecto
3. el sistema debe ser aceptado por los usuarios antes de ponerse en
explotación
Objetivo de control H2: el sistema se pondrá en explotación y pasara a estar en
mantenimiento solo cuando haya sido aceptado y este preparado el entorno en
el que se ejecutara
1. se deben instalar todos los procedimientos de explotación
2. si existe un sistema antiguo, el sistema nuevo se pondrá en explotación
en forma coordinada con la retirada del antiguo, migrando los datos si es
necesario
3. debe firmarse el final de la implantación por parte de los usuarios
4. se debe supervisar el trabajo de los usuarios con el nuevo sistema en las
primeras semanas para evitar abandono del uso del sistema
5. para terminar el proyecto se pondrá en marcha el mecanismo de
mantenimiento
CAPÍTULO 13
AUDITORÍA DEL MANTENIMIENTO
La etapa de mantenimiento consume la mayor parte de los recursos empleados
en un proyecto de software. Por tanto esta etapa debe ser especialmente
considerada en los estudios de productividad y AI.

Listas de comprobación en auditoría informática del mantenimiento

Cinco enfoques:
1. ¿se han tenido en cuenta las implicaciones laterales asociadas al
cambio?
2. ¿se han tenido en cuenta los aspectos documentales en cuánto a evaluar
y aprobar la petición de cambios?
3. ¿se ha documentado el cambio, una vez realizado?
4. ¿se han realizado las adecuadas revisiones de técnicas formales?
5. ¿se ha hecho una revisión de aceptación final?

Modelización de la etapa de mantenimiento

Podemos tomar como referente el COCOMO (Constructive Cost Model). Este
modelo ofrece fórmulas empíricas de estimación de costos o esfuerzos de
software, basados en la cantidad de líneas de código.
Existen tres modos:
1. orgánico
2. semidetached
3. embedded
Por otro lado se ofrecen tres versiones del modelo:
1. básico
2. intermedio
3. detallado

Modelo de estimación en el mantenimiento

La mantenibilidad es sin duda el factor de calidad del software con mayor
influencia en la etapa de mantenimiento.
Elementos de la mantenibilidad
1. Comprensión del cambio a realizar
2. Modificación o realización del cambio
3. Prueba del cambio realizado
CAPÍTULO 14
AUDITORÍA DE BASES DE DATOS
La gran difusión de los sistemas de gestión de bases de datos (SGBD) ha hecho
que los temas relativos a su control interno y auditoría cobren cada vez más
interés.

Metodologías para la auditoría de bases de datos

METODOLOGÍA TRADICIONAL
En este tipo de metodología el auditor revisa el entorno con la ayuda de una
lista de control que consta de una serie de cuestiones a verificar. Las
respuestas pueden ser S, N o No aplicable

METODOLOGÍA DE EVALUACIÓN DE RIESGOS

Es la propuesta por ISACA, y empieza fijando los objetivos de control que
minimizan los riesgos potenciales a los que está sometido el entorno.
Objetivo de control
El SGDB deberá preservar la confidencialidad de los datos. Una vez
establecidos los objetivos de control se especifican las técnicas
Técnica de control
Establecer tipos de usuarios, perfiles y privilegios para el acceso a la
base de datos.
Si los controles existen se realizan pruebas de cumplimiento para
verificar la consistencia de los mismos

METODOLOGÍA DE EVALUACIÓN DE RIESGOS

Este tipo de metodología, conocida también por risk oriented approach, es la
que propone el ISACA, y empieza fijando los objetivos de control que minimizan
los riesgos potenciales a los que está sometido el entorno.

Riesgos más importantes debido a la utilización de una base de datos

• incremento de la dependencia del servicio informático debido a la
concentración de datos
• mayores posibilidades de acceso en la figura del administrador de la
base de datos
• incompatibilidad entre sistemas de seguridad de acceso propios del
SGBD
• mayor impacto de los errores en datos o programas que en sistemas
tradicionales
• ruptura de enlaces por fallos del software
• mayor impacto de
• accesos no autorizados al diccionario de la base de datos que a un
fichero tradicional
• mayor dependencia del nivel de conocimientos técnicos del personal que
realice tareas relacionadas con el software de bases de datos

Considerando estos riesgos se podrían definir:

Objetivo de control: El SGBD deberá preservar la confidencialidad de los

datos.
Técnicas de control: Establecer tipos de usuarios, perfiles y privilegios
necesarios para controlar el acceso a la base de datos.
Si los controles existen se realizan pruebas de cumplimiento

Prueba de cumplimiento
• Listar privilegios y perfiles del SGBD
• Si hay inconsistencias o los controles no existen se realizan pruebas
sustantivas
Pruebas sustantivas
• Comparar si la información ha sido corrompida comparándola con otra
fuente o revisando entradas de datos y transacciones

Una vez valorados los resultados de las pruebas se obtienen conclusiones que
serán comentadas y discutidas con los responsables directos del área.
El auditor emitirá comentarios donde describa la situación, riesgos existentes,
deficiencias y posibles soluciones.

OBJETIVOS DE CONTROL EN EL CICLO DE VIDA DE UNA BASE DE DATOS

Objetivos y técnicas propuestas por ISACA.
1. Estudio previo y plan de trabajo: estudio tecnológico de viabilidad,
análisis costo-beneficio, gestión de riesgos
2. Concepción de la base de datos y selección del equipo: utilización
de modelos y técnicas definidos en la metodología de desarrollo de
sistemas.
3. Diseño y carga: diseños lógico y físico de las bases de datos, migración
o carga manual.
4. Explotación y mantenimiento: asegurar que los datos se tratan de
manera congruente y exacta, auditoría sobre el rendimiento del sistema
de BD
5. Revisión post-implantación: evaluar resultados, satisfacción de
necesidades, costos y beneficios previstos.
6. Otros procesos auxiliares: formación de usuarios, administrador, etc.

Auditoría y control interno en un entorno de bases de datos

Una vez que el sistema está en ejecución, el auditor estudiará el SGBD y su
entorno.
1. Sistema de gestión de bases de datos: funciones de auditoría del SGBD.
2. software de auditoría: paquetes que pueden emplearse para facilitar la
tarea del auditor.
3. sistema de monitorización y ajuste: facilidades del SGBD para optimizar
el sistema.
4. sistema operativo
5. monitor de transacciones: confidencialidad y rendimiento.
6. protocolos y sistemas distribuidos: riesgos de seguridad.
7. paquetes de seguridad: de control de accesos, privilegios, perfiles de
usuarios, etc.
8. diccionarios de datos: integración de componentes y cumplimiento de
seguridad de los datos.
9. Herramientas CASE (computer aided system/software engineering), IPSE
(integrated project support environments): herramientas clave para que
el auditor pueda revisar el diseño de la DB, empleo de metodología
 correcta y nivel mínimo de calidad.
10.
Lenguajes de cuarta generación (L4G) independientes: Generadores de
aplicaciones, informes, formas, etc. que actúan sobre la base de datos.
11.
Facilidades de usuarios: Interfaces gráficas fáciles de usar. Las aplicaciones
desarrolladas empleando facilidades de usuario deben seguir los mismos
principios de control y tratamiento de errores que el resto.
12.
Herramientas de minería de datos
13.
Aplicaciones: controlar que las aplicaciones no atenten contra la integridad
de los datos.

Técnicas para el control de bases de datos en un entorno complejo.

1. Matrices de control: sirven para identificar los conjuntos de datos del SI y
los controles de seguridad e integridad implementados. Controles
defectivos, preventivos y correctivos.
2. Análisis de los caminos de acceso: técnica para documentar el flujo,
almacenamiento y procesamiento de los datos en todas las fases por la
que atraviesan.
Es el primer filtro lógico por el que las empresas prevalecen
CAPÍTULO 16.
AUDITORÍA DE LA CALIDAD.
en el mercado, el segundo es la productividad empleada para conseguir esa
calidad.

Definición de Pressman sobre calidad de software.

Concordancia con los requisitos funcionales y de rendimiento explícitamente
establecidos, con los estándares de desarrollo explícitamente documentados y
con las caracteristicas implícitas que se espera de todo software desarrollado
profesionalmente.

Estándares: En el caso de los procesos de revisión de calidad, tenemos la

norma IEEE Standard 1028 for software reviews and audits, que define los
requerimientos para los procesos de revisión y auditoría.
1. Revisión: evaluación de elementos de software o estado del proyecto que
investiga discrepancias entre los resultados planificados y las mejoras
recomendadas.
2. Elemento software: producto entregable o documento producido durante
el proceso, desarrollo o mantenimiento del software.
3. Auditoría: evaluación independiente de los procesos, productos software,
progreso del proyecto que investiga las coincidencias con los estándares,
líneas guía, especificaciones y procedimientos basados en criterios
objetivos.
4. Concepto de evaluación según la EEA: proceso de recolección y análisis
de información, y a partir de ella presentar recomendaciones para
facilitar la toma de decisiones.
5. Concepto de auditoría según la EEA: herramienta de valoración,
documento interpersonal de exámen y análisis de evidencias objetivas.

Características de la calidad según ISO 9126

1. Características:
• Funcionalidad: conjunto de funciones y sus propiedades
específicas.
• Fabilidad: capacidad del software de mantener su nivel de
rendimiento bajo condiciones específicas durante un período
determinado.
• Uusabilidad: esfuerzo necesario para usarlo, valoración
individual de tal uso por parte de los usuarios.
• EEficiencia: relaciones entre el nivel de rendimiento del
software y la cantidad de recursos utilizados bajo condiciones
predefinidas.
• Mantenibilidad: esfuerzo necesario para hacer
modificaciones.
• Portabilidad: habilidad del software para ser transferido de un
entorno a otro.
2. Modelo ISO extendido: incluye al modelo ISO 9126 con el agregado de 12
características.

Las características no pueden ser cuantificadas como tales, y para

cuantificarlas de alguna forma se utilizan indicadores.
Objetivos de las auditorías de calidad
Tiene como objetivo mostrar la situación real para aportar confianza y destacar
las áreas que pueden afectar adversamente esa confianza.
Razones para auditar:
1. establecer el estado de un proyecto
2. verificar la capacidad de realizar o continuar un trabajo específico
3. verificar qué elementos del programa o plan de aseguramiento de la
calidad han sido desarrolloados y documentados.
4. Verificar la adherencia de esos elementos con el programa o plan de
aseguramiento de calidad.
El propósito y la actividad de la auditoría es recoger, examinar y analizar la
información necesaria para tomar las decisiones de aprobación.

Procesos de calidad
Necesidades del cliente:
1. calidad de productos y servicios
2. plazo de entrega adecuado
3. costo dentro de límites fijado

Principales procesos para conseguir objetivos de calidad (IEEE 1028)

Objetivos Procesos que incluye

Evaluación Revisiones de gestión, revisiones
técnicas
Verificación Inspecciones
Validación Pruebas
Conformidad, confirmación Auditoría

Proceso de auditoría del software

1. Objetivo: meta del proceso.
2. Resumen: panorama del proceso.
3. Responsabilidades especiales: roles únicos para procesos específicos.
4. entradas: productos a los que es aplicado el proceso de información
soportada.
5. Criterio de comienzo: Condiciones que deben ser satisfechas antes de
comenzar el proceso.
6. Procedimientos: Pasos estándar seguidos para realizar el proceso.
7. Criterio de terminación: condiciones que deben ser satisfechas antes de
dar por terminado el proceso.
8. Salidas: mínimo conjunto de productos resultante de la terminación del
proceso.
9. Auditabilidad: Descripción de la evidencia necesaria para determinar en
una fecha posterior como se ha seguido el proceso.

Auditoría de sistemas de calidad de software

Proceso de aseguramiento de la calidad descrito por ISO 12207

• Implementación del proceso
 • Aseguramiento del producto
• Aseguramiento del proceso
• Aseguramiento de la calidad de los sistemas

Proceso de auditoría descrito por ISO 12207

• Implementación del proceso
• Auditorías
Auditoría de Seguridad ampliar

La auditoría viene a ser el control del control.

Controles:
1. Controles directivos: establecen las bases, como las políticas, creación de
comités relacionados a la seguridad o sistemas de información interna.
2. Controles preventivos: antes del hecho como identificación de visitas
(seg física) y contraseñas (seg lógica)
3. Controles de detección: ejemplo: revisiones de accesos o detección de
incendios.
4. Controles correctivos: rectificar errores, negligencias o acciones
intencionadas, como la recuperación de un archivo dañado.
5. Controles de recuperación: que facilitan la vuelta a la normalidad
después de accidentes o contingencias, como puede ser un plan de
continuidad adecuado.

COBIT