Auditoria de sistemas

Concepto

Auditoría en Informática es la revisión y evaluación de los controles, sistemas,

procedimientos de informática, de los equipos de cómputo, su utilización, eficiencia
y seguridad, de la organización que participan en el procesamiento de la
información, a fin de que por medio del señalamiento de cursos alternativos se
logre una utilización más eficiente y segura de la información que servirá para la
adecuada toma de decisiones

Es el examen crítico y sistemático que hace un Contador Público para evaluar el

sistema de procesamiento electrónico de datos y sus resultados, el cual, le ofrece al
auditor las oportunidades de llevar a cabo un trabajo más selectivo y de mayor
penetración sobre las actividades, procedimientos que involucran un gran número
de transacciones.

El examen de los objetivos de la auditoría, sus normas, procedimientos y sus

relaciones con el concepto de la existencia y evaluación, nos lleva a la conclusión de
que el papel del computador afecta significativamente las técnicas a aplicar.
Mediante una revisión adecuada del sistema de procesamiento electrónico de datos
del cliente, y el uso de formatos bien diseñados para su captura, el auditor puede
lograr un mejor conocimiento de los procedimientos para control del cliente.

Recreando programas de auditoría por computador, el auditor cubre una actividad

más grande de la utilidad mercantil tanto financiera como operacional; y puede
utilizar recursos para analizar y evaluar campos de problemas de evaluación en las
operaciones del cliente. Tal método incrementa su aptitud para remitir óptimos
servicios a los mismos. La evaluación de un sistema informático, estriba primero en
la revisión del mismo para obtener un conocimiento de como se dice que funciona,
y ponerlo a prueba para acumular evidencias que demuestren como es el
funcionamiento en la realidad.

Al evaluar la información automática, el auditor debe revisar varios documentos,

como diagramas de flujo y documentos de programación, para lograr un mejor
entendimiento del sistema y los controles que se diseñaron en él. En el sistema de
procesamiento electrónico de datos, el auditor probablemente, encuentre nuevos
controles, algunos de ellos necesarios para la automatización del proceso, y algunos
que sustituyen aquellos que en los métodos manuales se basaron en juicios
humanos y la división de labores. Muchos de los controles en ambientes
informáticos, pueden combinarse en los programas de computadoras con en el
proceso manual.

Es una función de la auditoría que:

- Evalua (determina),verifica (evidencias) y diseña los controles en las actividades y

recursos de cómputo de las empresas.
- Promueve la automatización de las diferentes modalidades de la auditoría

Objetivos
1. Auditoría a la Seguridad en el Centro de Cómputo

Riesgos Físicos
Organización y Personal
Planes de Respaldo

2. Auditoría hacia el año 2000

Hardware
Sistema Operativo
Software Aplicativo
Archivos

3. Auditoría a las Aplicaciones en Funcionamiento

Entrada de Datos
Procesamiento
Archivos
Salidas
Utilitarios

4. Auditoría al Desarrollo y/o modificaciones a las aplicaciones

Solicitudes
Análisis de factibilidad
Etapas de la metodología adoptada

5. Auditoría al Ambiente de Redes

Seguridad
Perfiles de Usuarios

6.Auditoría al ambiente de Microcomputadores

Seguridad física
Utilización
Respaldo

Diseño de Controles

Máximos controles no son controles óptimos

Pasos

1. Identificación de riesgos

Métodos más usados:

- Lluvias de ideas. (Grupo Delphi). Riesgos macros hasta micros.

- Segmentar sistema por áreas, por operaciones, por recursos u otros conceptos.
- Agrupar causas y efectos de un mismo riesgo.
- Redacción en la forma más clara y explícita del posible riesgo.

Se requiere conocimiento detallado del procedimiento.

2. Selección de riesgos críticos

La eficiencia global de un sistema es inversamente proporcional a la cantidad de

controles existentes en el.
Se diseñan controles para los riesgos más importantes.

Método recomendado.

- Comparación por parejas.

- Análisis cualitativo de efectos y probabilidad de ocurrencia.

3. Evaluar las implicaciones de costos, eficiencia, etc., si se decide controlar

4. La administración decide: Asume el riesgo o controla la operación

5. Se diseña los controles detallados para aquellos riesgos que se decide controlar
Objetivo. Definir controles para riesgos críticos

Método recomendado.
- Descomponer riesgos en causas, efectos y formas de ocurrencia.
- Examinar procedimientos para:

Eliminar causas

Detectar formas de ocurrencia

Reducir efectos
Estos controles deben ser: Prácticos, razonables, costo-efecto, oportunos,
significativos, apropiados, simples y operativos.

Grupo de diseño de controles

Jefe del área. Personal involucrado Administrativo Auditor

6. Análisis de efectividad de controles

Objetivo. Determinar si los controles propuestos son efectivos para los riesgos
críticos.

Método recomendado.

- Elaborar matriz riesgos-controles

- Determinar y calificar la efectividad de cada control para el riesgo o los riesgos
que se aplican. Esta calificación puede ser arbitraria, pero lo que se debe mantener
es la forma relativa que permita comparar el grado de protección que ofrece un
control para un riesgo determinado. Puede ser: Alto, Medio, Bajo, Nulo; 0,1,2 o
Mal, Bien, Excelente.
- Analizar cada columna de la matriz (riesgo) para determinar el grado de
protección global.
- Donde la protección no sea suficiente proponer nuevos controles.
- Analizar las filas (controles) para determinar si el control propuesto se justifica
por su grado de efectividad, para uno o varios riesgos. De lo contrario eliminarlo.

Notas.

Si para un riesgo crítico solo hay un control que lo minimice suficientemente, este
es candidato a selección.
Si hay un control que actúe en forma excelente sobre varios riesgos críticos es
candidato a selección.
Si existen riesgos críticos que no han sido minimizados suficientemente, debo
continuar la búsqueda de controles que lo hagan.
Tener cuidado con la preselección de controles excluyentes.

7. Análisis de eficiencia

8. Selección de controles.

Objetivo. Decidir si se invierte en el control para reducir la posibilidad de ocurrencia

del riesgo, o se acepta la probabilidad de perdidas asociadas al riesgo.
La implantación de los controles no debe ser más costosa que los recursos
involucrados en el riesgo.

9. Definir el punto más adecuado de implantación. La búsqueda del autocontrol,

exige los controles se involucren lo mas natural posible dentro de los procesos.
Deben ser procedimientos que interfieran lo menos posibles en las normales
actividades, es mas, se deben convertir en formas de actuar.

10. Diseñar procedimiento detallado de ejecución del control

11. Documentación. Garantizan el mantenimiento permanente de los controles

implantados

1.1. CONCEPTO DE AUDITORIA DE SISTEMAS

SISTEMA: Conjunto ordenado, lógico y secuencial de normas y procedimientos que persiguen

un fin determinado. Podemos hablar por ejemplo de Sistema:
Contable Planeación
Capitalista Operación
Educativo Financiero
De Información Etc.
Administrativo
Desde este punto de vista, cuando hablemos de AUDITORIA DE SISTEMAS, nos referiremos a
los SISTEMAS DE INFORMACI�?N utilizados en las empresas públicas o privadas, más no al
computador, que en sí es una herramienta de los sistemas de información. Debemos tener
presente que la administración es un sistema abierto y por tanto cambiante en sus conceptos,
técnicas y que está influenciada por lo que acontece en su alrededor.

La auditoría de los sistemas de información se define como cualquier auditoría que abarca la
revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas
automáticos de procesamiento de la información, incluidos los procedimientos no automáticos
relacionados con ellos y las interfaces correspondientes; también podemos decir que es el
examen y evaluación de los procesos del área de Procesamiento Electrónico de Datos (PED) y de
la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de
eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar
conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.

Los Sistemas de Información en las organizaciones, son desarrollados con propósitos diferentes
dependiendo de las necesidades de cada una de ellas y los podemos clasificar así:
�?� Sistema de procesamiento de transacciones
�?� Sistema de Automatización de oficina y de manejo de conocimiento
�?� Sistemas de Información gerencial
�?� Sistema de apoyo a decisiones
�?� Sistemas expertos e inteligencia artificial
�?� Sistema de apoyo a decisiones de grupo
�?� Sistema de apoyo a ejecutivos

1.2. CONCEPTO DE AUDITORÍA INFORMÁTICA

E l concepto de informática es más amplio que el simple uso del computador o de procesos
electrónicos. En 1977, la academia Mexicana de informática propuso la siguiente definición:
�??Ciencia de los sistemas inteligentes de información�?�. El concepto de informática
considera como un todo el sistema de proceso electrónico, información y computadora, y a esta
última como una de sus herramientas.

La Auditoría Informática es la evaluación y verificación de las políticas, controles,

procedimientos y la seguridad en general, correspondiente al uso de los recursos de informática
por el personal de la empresa (usuarios, informática, alta dirección), a fin de que se logre una
utilización más eficiente y segura de la información que servirá para una adecuada toma de
decisiones.

¿QUE ES AUDITORIA?

Hasta ahora la Auditoría, es esencialmente una metodología que permite el examen de distintos
objetos o campos auditables, en la perspectiva de emitir una opinión independiente sobre la
validez científica y/o la técnica del sistema de control que gobierna una determinada realidad que
pretende reflejar adecuadamente y/o cumple las condiciones que le han sido prescritas.

En materia de auditoria, los desarrollos tecnológicos relevantes siempre han girado alrededor del
conocimiento contable o financiero únicamente. Sin embargo, los avances modernos de las áreas
económicas, administrativas y contables han puesto en evidencia que no solo la contabilidad es
objeto de auditoría. También son susceptibles de ser auditados los impuestos, los procesos
operativos, la informática, la acción social de las organizaciones, el tratamiento del medio
ambiente y los proyectos académicos, económicos y sociales, entre otros.

El Auditor de Sistemas actúa sobre el área de sistemas de información, normalmente

representada por los siguientes componentes:

-Desarrollo de sistemas de información

-Asesoría técnica a usuarios
-Servicio de procesamiento electrónico de datos
-Apoyo técnico
-Conocimientos de Hardware y Software
-desarrollo de Sistemas de Información
-Base de datos
-Redes
-Manejo de personal

TALLER: Conceptualización de Contabilidad, Auditoría, Sistema e Informática y construcción

de los conceptos de Auditoría de Sistemas y Auditoría Informática.

1.3. ENFOQUE DE LA AUDITORIA TRADICIONAL

La palabra auditoría se ha empleado incorrectamente y se ha considerado como una evaluación

cuyo único fin es detectar errores y señalar fallas; por eso se ha llegado a acuñar la frase �??
tiene auditoría�?� como sinónimo de que, desde antes de realizarse, ya se encontraron fallas y
por lo tanto se está haciendo auditoría. El concepto de auditoría es más amplio: no solo detecta
errores, sino que es un examen crítico que se realiza con objeto de evaluar la eficacia y eficiencia
de una sección o de un organismo con miras a corregir o mejorar la forma de actuación.

Eficacia: Lograr los objetivos (gastar bien)

Eficiencia: Con el mejor uso de los recursos (gastar sabiamente)

1.4. ENFOQUE DE LA AUDITORIA MODERNA - EL AUDITOR DE SISTEMAS ASESOR

GERENCIAL

Los profesionales responsables del auditaje en ambientes computarizados, deben poseer una
sólida formación en Administración, Control interno, Informática y Auditoría.

En Administración deben manejar con habilidad y destreza las funciones básicas del proceso
administrativo, tales como: planeación, organización, dirección y control, con una mentalidad de
hombre de negocios y dentro de las modernas teorías de la Planeación Estratégica, y la calidad
total.

En la era de la informática, el auditor debe entender que su papel profesional debe ser el de
Asesor Gerencial para asegurar el éxito de la función y, en consecuencia, debe visualizar la
empresa y su futuro en forma sistémico-estructural, articulando ordenadamente los objetivos del
área informática con la misión y los objetivos de la organización, en su conjunto.
En materia de Control Interno, el auditor informático, debe estar en capacidad de diagnosticar su
validez técnica, desde un punto de vista sistémico total. Esto quiere decir que deberá entender el
control interno como sistema y no como un conjunto de controles distribuidos de cualquier
manera en las organizaciones.

El Auditor deberá analizar y evaluar la estructura conceptual del sistema de control interno,
teniendo en cuenta para ello los controles preventivos, detectivos y correctivos. Comprometerse
con una opinión objetiva e independiente, en relación con el grado de seguridad y de
confiabilidad del sistema de control vigente en el área de informática.

En esencia, un sistema de control interno, para el área de informática, comprende por lo menos
los siguientes elementos: Objetivos, políticas y presupuestos perfectamente definido; estructura
de organización sólida; personal competente; procedimientos operativos y de control, efectivos y
documentados; sistema de información confiable y oportuno; sistema de seguridad de todos los
recursos; sistema de auditoría efectivo.

Como puede observarse, la función de Auditoría es un elemento de control interno, solo que
goza de un privilegio muy especial y es el de monitorear permanentemente los otros controles y
operaciones del ente auditado.

La temática del concepto de control interno, exige del auditor una formación avanzada en
administración de recursos informáticos, sobre la base de que no se puede diagnosticar una
determinada realidad sin estar en condiciones de conocerla y entenderla plenamente.

En informática, el auditor debe conocer por lo menos, cómo funcionan los computadores, cuales
son sus reales capacidades y limitaciones. Las marcas, las potencialidades y la calidad de los
componentes de hardware y de software. Los ambientes de procesamiento, los sistemas
operacionales, los sistemas de seguridad, los riesgos posibles, los principales lenguajes de
programación, las tecnologías de almacenamiento y la metodología para la generación y
mantenimiento de sistemas de información. En general el Auditor de Sistemas debe estar al día
en los avances científico-tecnológicos sobre la materia.

En el campo de la auditoría, el auditor informático, debe conocer y manejar deseablemente la

teoría básica de la auditoría, en términos de conceptos, filosofía, ética, taxonomía, normatividad,
técnicas, procedimientos, metodología, papeles de trabajo e informes.

De otra parte, el auditor informático, debe ser una persona de muy buenas relaciones humanas,
respetuoso de la opinión de los demás, analítico, crítico y buen oidor. Amable, objetivo, de
espíritu científico, con habilidad y capacidad para trabajar bajo presión, con un amplio sentido de
responsabilidad social y por sobre todo, que goce de un comportamiento ético a toda prueba.

TIPOS DE AUDITORIA DESDE EL PUNTO DE VISTA DEL CLIENTE

Auditoría Interna: Obedece a la necesidad de la administración de asegurar el resultado

económico planeado.

Auditoría Externa: Satisface la necesidad de información de terceros.

Revisoría Fiscal: Obedece básicamente a exigencias legales.

1.5. ENFOQUES DE LA AUDITORIA INFORMATICA

AUDITORIA ALREDEDOR DEL COMPUTADOR

En este enfoque de auditoría, los programas y los archivos de datos no se auditan.

La auditoría alrededor del computador concentra sus esfuerzos en la entrada de datos y en la

salida de información. Es el más cómodo para los auditores de sistemas, por cuanto únicamente
se verifica la efectividad del sistema de control interno en el ambiente externo de la máquina.
Naturalmente que se examinan los controles desde el origen de los datos para protegerlos de
cualquier tipo de riesgo que atente contra la integridad, completitud, exactitud y legalidad.

La auditoría alrededor del computador no es tan simple como aparentemente puede presentarse,
pues tiene objetivos muy importantes como:

1. Verificar la existencia de una adecuada segregación funcional.

2. Comprobar la eficiencia de los controles sobre seguridades físicas y lógicas de los datos.
3. Asegurarse de la existencia de controles dirigidos a que todos los datos enviados a proceso
estén autorizados.
4. Comprobar la existencia de controles para asegurar que todos los datos enviados sean
procesados.
5. Cerciorarse que los procesos se hacen con exactitud.
6. Comprobar que los datos sean sometidos a validación antes de ordenar su proceso.
7. Verificar la validez del procedimiento utilizado para corregir inconsistencias y la posterior
realimentación de los datos corregidos al proceso.
8. Examinar los controles de salida de la información para asegurar que se eviten los riesgos
entre sistemas y el usuario.
9. Verificar la satisfacción del usuario. En materia de los informes recibidos.
10. Comprobar la existencia y efectividad de un plan de contingencias, para asegurar la
continuidad de los procesos y la recuperación de los datos en caso de desastres.

Se puede apreciar la ambición de los objetivos planteados, pues solamente faltarían objetivos
relacionados con el examen de los archivos y los programas, lo cual es parte de otro enfoque.

Informe de esta Auditoría: deberá redactarse en forma sencilla y ordenada, haciendo énfasis en
los riesgos más significativos e indicando el camino a seguir mediante recomendaciones
económicas y operativamente posibles.

Pasos que se deben seguir en la auditoría:

- Metodología de la auditoría.
- Objetivos de la auditoría.
- Evaluación del sistema de control interno.
- Procedimientos de auditoría.
- Papeles de trabajo.
- Deficiencias de control interno.
- Informe de auditoría.

AUDITORIA A TRAV�?S DEL COMPUTADOR

Este enfoque está orientado a examinar y evaluar los recursos del software, y surge como
complemento del enfoque de auditoría alrededor del computador, en el sentido de que su acción
va dirigida a evaluar el sistema de controles diseñados para minimizar los fraudes y los errores
que normalmente tienen origen en los programas.

Este enfoque es más exigente que el anterior, por cuanto es necesario saber con cierto rigor,
lenguajes de programación o desarrollo de sistemas en general, con el objeto de facilitar el
proceso de auditaje.

Objetivos de esta auditoría

1. Asegurar que los programas procesan los datos, de acuerdo con las necesidades del usuario o
dentro de los parámetros de precisión previstos.
2. Cerciorarse de la no-existencia de rutinas fraudulentas al interior de los programas.
3. Verificar que los programadores modifiquen los programas solamente en los aspectos
autorizados.
4. Comprobar que los programas utilizados en producción son los debidamente autorizados por
el administrador.
5. Verificar la existencia de controles eficientes para evitar que los programas sean modificados
con fines ilícitos o que se utilicen programas no autorizados para los procesos corrientes.
6. Cerciorarse que todos los datos son sometidos a validación antes de ordenar su proceso
correspondiente.

Informe de Auditoría: deberá orientarse a opinar sobre la validez de los controles, en este caso de
software, para proteger los datos en su proceso de conversión en información.

AUDITORIA CON EL COMPUTADOR

Este enfoque va dirigido especialmente, al examen y evaluación de los archivos de datos en

medios magnéticos, con el auxilio del computador y de software de auditoría generalizado y /o a
la medida. Este enfoque es relativamente completo para verificar la existencia, la integridad y la
exactitud de los datos, en grandes volúmenes de transacciones.

La auditoría con el computador es relativamente facil de desarrollar porque los programas de

auditoría vienen documentados de tal manera que se convierten en instrumentos de sencilla
aplicación. Normalmente son paquetes que se aprenden a manejar en cursos cortos y sin
avanzados conocimientos de informática. Los paquetes de auditoría permiten desarrollar
operaciones y prueba, tales como:
1- recálculos y verificación de información, como por ejemplo, relaciones sobre nómina, montos
de depreciación y acumulación de intereses, entre otros.
2- Demostración gráfica de datos seleccionados.
3- Selección de muestras estadísticas.
4- Preparación de análisis de cartera por antigüedad.

Informe de Auditoría: Este informe deberá versar sobre la confiabilidad del sistema de control
interno para proteger los datos sometidos a proceso y la información contenida en los archivos
maestros.

Los tres (3) enfoque de auditoría vistos, son complementarios, pues ninguno de los tres, es
suficiente para auditar aplicaciones en funcionamiento.

Algunos paquetes de Auditoría:

- S/2190 por Peat Mawick, Mitchell & Co.
- Cars por Cullinet International
- EDP-Auditor/3 por Cullinet International
- Audex por Arthur Anderson & Co.
- Cinfex para Bancos
- Audap por Auditoría Informática Ltda. (Colombiano)

TALLER: ENFOQUES DE AUDITORIA INFORMATICA

UNIDAD 2. CONOCIMIENTOS GENERALES DEL CONTADOR PRINCIPIANTE

2.1. CONOCIMIENTO DEL COMPUTADOR

Entrada Proceso Salida

TARJETA MADRE (MAIN BOARD)

HARDWARE Término en inglés que significa ferretería, se emplea con una fina y poco
disimulada ironía, para referirse a los elementos tangibles del equipo, como la tarjeta madre, la
memoria, el disco duro y otros dispositivos de almacenamiento.
SOFTWARE Conjunto de instrucciones que ponen en comunicación los diferentes dispositivos
del PC y le permiten realizar cualquier tarea. Ej. El sistema operativo, los programas, los
archivos de configuración, etc.

UNIDAD CENTRAL DE PROCESO Llamada CPU. Tradicionalmente se ha dicho que la CPU

engloba las partes del hardware de mayor importancia, como la tarjeta madre, el chip, la
memoria o el disco duro en el que se almacenan los datos. Realmente la CPU (conocida por sus
siglas en inglés, CPU), es un circuito microscópico que interpreta y ejecuta instrucciones. La
CPU se ocupa del control y el proceso de datos en las computadoras. Generalmente, la CPU es
un microprocesador fabricado en un chip, un único trozo de silicio que contiene millones de
componentes electrónicos. El microprocesador de la CPU está formado por una unidad
aritmético-lógica que realiza cálculos y comparaciones, y toma decisiones lógicas por una serie
de registros donde se almacena información temporalmente, y por una unidad de control que
interpreta y ejecuta las instrucciones. Para aceptar órdenes del usuario, acceder a los datos y
presentar los resultados, la CPU se comunica a través de un conjunto de circuitos o conexiones
llamado bus. El bus conecta la CPU a los dispositivos de almacenamiento (por ejemplo, un disco
duro), los dispositivos de entrada (por ejemplo, un teclado o un mouse) y los dispositivos de
salida (por ejemplo, un monitor o una impresora).

RAM (Random Access memory) Chip de almacenamiento temporal. Entre mas RAM los
programas trabajan a mayor velocidad. Su unidad de medida es el Byte y su capacidad de
almacenamiento actual esta dado en mega bytes (MB). La memoria RAM almacena
instrucciones, variables y otros parámetros de los programas que el usuario haya activado. Su
contenido se pierde cuando el PC es apagado.

ROM BIOS (Read only memory) Chip que almacena en forma permanente instrucciones y datos
del PC que son solo de lectura, necesarios para activar el sistema operativo y reconocer los
periféricos conectados al sistema.

MEMORIA VIRTUAL Truco tecnológico que permite al PC tomar parte del disco duro como
prolongación de la RAM. Ayuda a salir del paso en una situación apurada, pero no puede
considerarse como una panacea. Al tener que leer y escribir en el disco duro, con un acceso
mucho más lento, la ejecución de los programas se resiente, y acaba siendo considerablemente
lenta.

MICROPROCESADOR es el cerebro del PC. Chip que ejecuta las instrucciones y procesa los
datos con los que trabaja el computador. Su unidad de medida es el hertz y su capacidad de
almacenamiento actual esta dado en mega hertz (MHz). El intenso ritmo de investigación ha
conseguido duplicar la capacidad de estos chips cada año y medio, aproximadamente. (Ver CPU)
TARJETAS DE EXPANSION con chips y otros componentes electrónicos que sirven para
ampliar las capacidades del PC o para controlar algunos periféricos. Estas tarjetas se instalan en
ranuras de expansión.

RANURAS DE EXPANSION comunicadas con el procesador a través del BUS. Permiten la

inserción de chips de memoria, aceleradoras gráficas, tarjetas de sonido o dispositivos de red.

BUS avenida electrónica por medio de la cual se comunica el procesador, la memoria, los
periféricos y otros componentes del PC. Esta formado por líneas de circuito paralelas que
transportan datos e instrucciones entre los dispositivos instalados en la tarjeta madre. De su
capacidad para asimilar el flujo de información depende en gran medida el rendimiento del
sistema.

BUS LOCAL autopista de alta capacidad y velocidad que comunica al procesador con algunos
dispositivos sin tener que usar el BUS principal..

TARJETA MADRE plástica sobre la que están montados los principales componentes del PC:
Procesador, Ram, Rom, Ranuras de expansión, Bus. Si se escoge una tarjeta madre inadecuada
para el equipo, probablemente se producirá el efecto de cuello de botella: el chip central del PC o
sus periféricos llegarán a trabajar con un volumen de datos superior al que los circuitos de la
placa pueden soportar, los datos quedarían atrapados en un trancón y el PC procesaría la
información a una velocidad inferior al límite para el cual ha sido diseñado.

TARJETA DE SONIDO da al PC la capacidad de reproducir sonido, grabar o utilizar programas

de reconocimiento de voz. Los PC que no son multimedia, no tienen Tarjeta de Sonido.

TARJETA GRÁFICA de aquí parte la imagen que se refleja en el monitor y de ella depende el
grado de fineza de la imagen resultante. Se complementa con un acelerador gráfico.

DISCO DURO almacena información y programas de computador de modo estable, su

capacidad se mide en MB o GB.

UNIDAD DE DISQUETE almacena y permite leer información. 1.44 MB

UNIDAD DE CD-ROM Disco de metal recubierto por una capa plástica para almacenar datos.
Su sistema de lectura es por láser: un haz de luz recorre la superficie del disco, mientras que otro
dispositivo se encarga de analizar el reflejo del láser sobre el soporte. Los computadores
multimedia (que pueden manejar video, sonido y animaciones) usan esta unidad para leer CD-
ROM. 650-700 MB (486 disquetes), que pueden almacenar video, sonido, animación, texto,
gráfica, etc. Actualmente se consiguen unidades de grabación de CD.

DVD (Digital Video Disc) supera con creces la capacidad y rapidez del CD-ROM. Actualmente
superan los 4 GB de capacidad (7 CD) y usados en cinematografía por su calidad de imagen,
sonido digital de última generación y diálogos locutados en diferentes idiomas.

SISTEMAS DE COMPRESI�?N Apoyados por estudiadas rutinas, logran reducir el espacio de

memoria necesario para almacenar un documento. Existen dos tipos de compresores: destructivo
y no destructivo. La diferencia principal entre ambos sistemas hace referencia a la pérdida de
calidad en el archivo resultante, después de la compresión.

CHIP pieza de silicio que contiene millones de componentes electrónicos (transistores y

resistores).

SILICIO (SILICON) material que se encuentra en estado natural en al arena y en las rocas.

TRANSISTOR dispositivo semiconductor que funciona como una especie de PUERTA que se
abre o cierra al paso de impulsos eléctricos. Un CHIP como el pentium, agrupa + 3.3 millones de
transistores en una superficie de menos de 2 Cm cuadrados.

BYTE es una medida de la capacidad de almacenamiento de datos del PC. 1 byte equivale a un
caracter. Los textos, dibujos y sonidos están representados por Bytes.

MEGABYTE (MB) = a 1.000.000 de bytes.

GIGABYTE (GB) = A 1.000 MB.
TERABYTE (TB) = A 1.000 GB.
EXABYTE (EB)=A 5.000.000 TB.
HERTZ (Hz) medida de cuantas vibraciones eléctricas (ciclos) se producen en 1 segundo. 1 Hz =
a un ciclo por segundo.

MEGAHERTZ (MHz) = a 1.000.000 de Hz son la unidad de medida del procesador.

PC computador personal. Son el tipo de computadores más difundidos. Por unidades vendidas
representan + del 90% del mercado.

PERIF�?RICOS son todos los dispositivos que se conectan al computador: Ratón, Teclado,
Impresora, Monitor, Audífonos, MODEM, Unidad de CD, etc.

TALLER REVISAR CONFIGURACION Y COTIZACIONES DE PC

2.2. COMPOSICI�?N DE UN DEPARTAMENTO DE PROCESAMIENTO ELECTR�?

NICO DE DATOS P.E.D.

Debe existir un organigrama y una asignación clara de responsabilidades. Aunque los cargos
varían según el centro de procesos, las descripciones siguientes, abreviadas y generales de
puestos de trabajo, cubren la mayor parte de los puestos de proceso de datos en los niveles que
no sean de dirección.

ORGANIGRAMA

CON UN GRADO DE DETALLE MÍNIMO:

O UN DIAGRAMA MÁS ELABORADO COMO:

CARGO DESCRIPCI�?N

Director del PED Como coordinador del Depto. De PED, le corresponde:

�?� Ejecutar la autorización de ampliaciones o cambio en los sistemas principales.
�?� Revisión, posterior a la instalación, del costo y eficacia reales de los proyectos de
sistemas.
�?� Revisión de los proyectos de organización y control del PED.
�?� Revisión del rendimiento.

Su responsabilidad consiste en presentar cada ampliación o cambio principal con una propuesta,
para ser evaluada desde el punto de vista del Costo �?? Beneficio que ocasionará, ya que la
adquisición o introducción de mejoras, equivale a una gran inversión en la ampliación del Activo
Fijo y debe estudiarse minuciosamente antes de comprometer recursos en el proyecto.

Analista de Sistemas Analiza las necesidades de información, evalúa el sistema existente y

diseña procedimientos de procesos de datos nuevos o mejorados. Describe el sistema y prepara
las especificaciones que sirven de guía al programador.

Programador Hace diagramas de la lógica de los programas del PC, especificados por el sistema
diseñado por el analista de Sistemas. Codifica la lógica para su traducción al lenguaje del PC.
Elimina errores del programa resultante. Prepara la documentación.

Operador del PC Opera el PC de acuerdo con los procedimientos de instalación y los específicos
para cada programa descrito en las instrucciones del funcionamiento del PC.

Operador de Textos Prepara información para su proceso en el PC, tecleando en un dispositivo

que lo traduce a lenguaje de máquina.

TALLER: Taller Organigrama Departamento PED

2.3. T�?CNICAS DE AUDITORÍA ASISTIDAS POR COMPUTADOR �?? TAAC.

1- OPERACIONES EN PARALELO: Confrontación de resultados, mediante el proceso de los

mismos datos reales, entre un sistema nuevo que sustituye a uno ya auditado. Los programas y
procedimientos actuales no se abandonarán hasta cuando los nuevos arrojen los resultados
esperados.
2- EVALUACI�?N DE UN SISTEMA CON DATOS DE PRUEBA: Comúnmente llamada
lotes de prueba. Se ensaya la aplicación con datos de prueba contra resultados obtenidos
inicialmente en las pruebas del programa para detectar resultados no válidos. Los datos de
prueba deben representar la aplicación que se examina con todas las posibles combinaciones de
transacciones que se lleven a cabo en situaciones reales. Esta técnica se utiliza en la fase de
prueba del programa, antes de ser enviada a producción y cuando se llevan a cabo
modificaciones a un programa, por tanto, los programas utilizados para digitar los datos de
prueba deben ser los mismos que se encuentran en producción y que se utilizan para procesar los
movimientos diarios. Cuando esta técnica se mantiene en el tiempo para ser, consistente y
cotidianamente, aplicada al sistema en producción, toma el nombre de EVALUACION DEL
SISTEMA DEL CASO BASE �?? ESCB, en tal caso, la prueba es más completa y requiere de
un alto grado de cooperación entres usuarios, auditores y personal de sistemas.
3- PRUEBAS INTEGRALES: Permite examinar el proceso de la aplicación en su ambiente
normal de producción, pues se procesan datos de prueba en la misma aplicación en producción
junto con los datos reales, para lo cual se crea una compañía de prueba con fines de auditoría
dentro de la aplicación, lo cual permite disponer de los mismos archivos maestros. Los resultados
de la prueba se comparan contra resultados precalculados o predeterminados para examinar la
lógica y precisión de los procesos. Se presenta un proceso de información simultáneo para
comparar contra resultados predeterminados.
4- SIMULACI�?N: Se desarrolla un programa de aplicación para determinada prueba y se
compara el resultado con los arrojados por la aplicación real.
5- REVISIONES DE ACCESO: Consiste en conservar un registro computarizado de todos los
accesos a determinados archivos (información del usuario y terminal) �?? Software de
Auditoría.
6- REGISTROS EXTENDIDOS: Agregar un campo de control a un registro - Software de
Auditoría.
7- TOTALES ALEATORIOS DE CIERTOS PROGRAMAS: Consiste en obtener totales de
datos en alguna parte del sistema, para verificar su exactitud en forma parcial - Software de
Auditoría.
8- SELECCI�?N DE DETERMINADO TIPO DE TRANSACCIONES COMO AUXILIAR EN
EL ANÁLISIS DE UN ARCHIVO HIST�?RICO: Con el fin de analizar en forma parcial el
archivo histórico de un sistema, el cual sería casi imposible verificar en forma total - Software de
Auditoría.
9- RESULTADOS DE CIERTOS CÁLCULOS PARA COMPARACIONES POSTERIORES:
Con el fin de comparar en el futuro los totales en diferentes fechas - Software de Auditoría.

La TAAC anteriormente descritas, ayudan al AUDITOR a establecer una metodología para la

revisión de los sistemas de aplicación de una institución, empleando como herramienta EL
MISMO EQUIPO DE COMPUTO.

El COMPUTADOR le facilita al AUDITOR realizar tareas como:

a- Trasladar los datos del sistema a un ambiente de control del auditor.

b- Llevar a cabo la selección de datos.
c- Verificar la exactitud de los datos.
d- Hacer muestreo estadístico.
e- Visualización de datos.
f- Ordenamiento de la información.
g- Producción de reportes e histogramas.

Lo anterior implica una metodología que garantiza una revisión más extensa e independiente,
que podría consistir en los siguientes pasos:

1- Selección del sistema de información a revisar.

2- Obtención de la documentación de los archivos que incluye: Nombre del archivo y
descripción, nombre de los campos y descripción (longitud, tipo), codificación empleada, etc.
3- Trasladar el archivo de datos a un PC con gran capacidad de almacenamiento.
4- Llevar a cabo con un software de auditoría las verificaciones que se mencionan anteriormente.
5- Participación del Auditor en el desarrollo de sistemas.
En resumen: El Auditor debe tener la habilidad para revisar y probar la integridad de los sistemas
y sus ACTIVIDADES PRINCIPALES SERÁN:

a- Verificar los controles y procedimientos de autorización de la utilización y captura de los

datos, su proceso y salida de información, así como los programas que las generan. Es
importante revisar los procedimientos para el mantenimiento de los programas y las
modificaciones a los sistemas.
b- Revisar las transacciones realizadas para asegurarse de que los archivos reflejan la situación
actual.
c- Revisar las transacciones y los archivos para detectar posibles desviaciones de las normas
establecidas.
d- Asegurarse de que las aplicaciones cumplan con los objetivos definidos en la planeación.
e- Revisar todos los cambios hechos a los programas y sistemas para verificar la integridad de las
aplicaciones.

2.4. CONCEPTO DE SISTEMAS AVANZADOS

SISTEMAS EN LÍNEA
Las operaciones son procesadas al momento de registrarlas, en ves de acumularla en lotes. Los
datos pueden ser registrados en una terminal remota de entrada conectada a la unidad central de
proceso por líneas de comunicación. Se refiere a un sistema operativo con terminales, sin
implicar su modo de operación. Un sistema en línea acepta y almacena datos desde varias
terminales, pero no necesariamente implica la actualización de archivo maestro.

SISTEMA EN TIEMPO REAL

Se refiere al tiempo requerido para que una acción, actividad o decisión tenga lugar. El término
se usa para referirse a sistemas de respuestas rápidas en los cuales los archivos son actualizados
tan pronto como las operaciones son registradas y en los cuales los datos de salida son
proporcionados inmediatamente al ser solicitados. Los sistemas en tiempo real, son siempre en
línea.
Un sistema de tiempo real es aquel en el que para que las operaciones computacionales estén
correctas no depende solo de que la lógica e implementación de los programas computacionales
sea correcto, sino también en el tiempo en el que dicha operación entregó su resultado. Si las
restricciones de tiempo no son respetadas el sistema se dice que ha fallado; Por lo tanto, es
esencial que las restricciones de tiempo en los sistemas sean cumplidas. El garantizar el
comportamiento en el tiempo requerido necesita que el sistema sea predecible.
SISTEMAS INTEGRADOS
Diseñados para minimizar las operaciones y los registros duplicados. El sistema se diseña de tal
manera, que los registros para las funciones diferentes con información similar, sean combinados
en un solo registro que los incluya a todos. Algunas características son:
1- Una vez iniciado el sistema, un solo documento fuente, con la descripción de la operación o
proporcionando otros datos inicia la actualización de todos los registros asociados con la
operación o con la partida de datos.
2- Las partes del sistema están interrelacionadas y se eliminan los registros duplicados.
Un Sistema Integrado, no necesita ser un sistema en Tiempo Real. Un sistema puede estar
completo o parcialmente integrado.

BASES DE DATOS
ES cualquier conjunto de datos organizados para su almacenamiento en la memoria de un
ordenador o computadora, diseñado para facilitar su mantenimiento y acceso de una forma
estándar. La información se organiza en campos y registros. Un campo se refiere a un tipo o
atributo de información, y un registro, a toda la información sobre un individuo. Por ejemplo, en
una base de datos que almacene información de tipo agenda, un campo será el NOMBRE, otro el
TEL, otro la DIRECCI�?N..., mientras que un registro viene a ser como la ficha en la que se
recogen todos los valores de los distintos campos para un individuo, esto es, su nombre, teléfono,
dirección... Los datos pueden aparecer en forma de texto, números, gráficos, sonido o vídeo.
Normalmente las bases de datos presentan la posibilidad de consultar datos, bien los de un
registro o los de una serie de registros que cumplan una condición.

PROCESO DE DATOS DISTRIBUIDOS

Hace mención a una red de ordenadores locales; es decir, que los datos están distribuidos en los
PC que conforman la red. A menudo se trata de mini-ordenadores conectados en Línea a uno
central. Los sistemas distribuidos pueden consistir en diversos servidores que alojen datos, de
forma que el cliente no tiene por qué conocer exactamente dónde se encuentran, simplemente
hace una petición de servicio, y es el sistema servidor el encargado de localizarlos y proporcionar
el resultado de la consulta al usuario que hizo la petición

SISTEMAS EXPERTOS
Es un sistema informático que incorpora en forma operativa el conocimiento de una persona
experimentada, de forma que es capaz tanto de responder como esa persona, como de explicar y
justificar sus respuestas. Actúan como ayudantes inteligentes de los expertos humanos y como
consultores cuando no se tiene ninguna otra posibilidad de acceder a la experiencia y al
conocimiento. Este sistema adopta decisiones o resuelve problemas de un determinado campo,
como las finanzas o la medicina, utilizando los conocimientos y las reglas analíticas definidas
por los expertos en dicho campo. Los expertos solucionan los problemas utilizando una
combinación de conocimientos basados en hechos y en su capacidad de razonamiento. En los
sistemas expertos, estos dos elementos básicos están contenidos en dos componentes separados,
aunque relacionados: una base de conocimientos y una máquina de deducción, o de inferencia.
La base de conocimientos proporciona hechos objetivos y reglas sobre el tema, mientras que la
máquina de deducción proporciona la capacidad de razonamiento que permite al sistema experto
extraer conclusiones. Los sistemas expertos facilitan también herramientas adicionales en forma
de interfaces de usuario y los mecanismos de explicación. Las interfaces de usuario, al igual que
en cualquier otra aplicación, permiten al usuario formular consultas, proporcionar información e
interactuar de otras formas con el sistema. Los mecanismos de explicación, la parte más
fascinante de los sistemas expertos, permiten a los sistemas explicar o justificar sus conclusiones,
y también posibilitan a los programadores verificar el funcionamiento de los propios sistemas.

2.5. MATRIZ DE PLANEACI�?N

Es un documento que sirve de guía para seguir una secuencia lógica en la realización de la
auditoría. En este documento, se informa el personal a cargo de cada labor de auditoría, las
pruebas a realizar, los procedimientos a seguir, el tiempo estimado e invertido, el riesgo y la
referencia a papeles de trabajo con el fin de permitir el seguimiento y control del desarrollo de la
auditoría. (Ver modelo propuesto).

2.6. PLANILLA DE CONTROL INTERNO

Es un informe de las situaciones que se presentan en la organización que se deben corregir,

sustentando las apreciaciones y recomendando las acciones a tomar para encausarlas o
corregirlas. Su contenido recomendado es el siguiente.

Planilla de análisis de control interno

Nombre de la compañía Fecha:
*Deficiencia:
Consiste en identificar y transcribir, en forma clara y concreta, la deficiencia de control interno
detectada al interior de la organización; en nuestro caso, al interior de cualquiera de los procesos
del sistema de información que este siendo objeto de auditoría.

*Sustentación:
Consiste en redactar, en forma clara e inequívoca, la evidencia que sustenta la existencia de la
deficiencia sobre la cual el auditor se apoya para identificar su materialización. Esta sustentación
debe ser:
*Relevante�?� Lógica
*Fiable �?� Válida, Objetiva
*Suficiente�?�Cuantitativa
*Adecuada�?� Cualitativa

Firma Auditor:_____________________ *Recomendación:

Es la propuesta del auditor tendiente a contrarrestar la deficiencia de control interno. Debe ser
coherente con la deficiencia detectada consultado la relación costo-beneficio. Para verificar lo
acertado de la recomendación, podemos responder las siguientes preguntas:
1-¿La recomendación es coherente con la deficiencia?
2-¿La recomendación aplica al problema?
3-¿La recomendación es suficiente?; ¿con su aplicación la deficiencia no se vuelve a presentar?
*Beneficio:
Se debe indicar cuál es el beneficio que se obtendrá con la implantación de la recomendación, el
cual debe ser representativo, tangible y atractivo para la administración.

*Compromiso:
Se debe obtener el compromiso de parte del responsable del área o de la administración en el
sentido de que se acoge la recomendación para implantarla, definiendo fecha en que se hará y
firma, de estos, en señal de compromiso y ejecución operativa.

Firma responsable:__________________

VER EJEMPO EN TALLER: MATRIZ DE PLANEACION -hojas- Ejemplo, planilla 1 y

planilla 2

TALLER: Conceptuar Matriz y Planilla

TALLER: matriz planeación �??hojas- matriz1, matriz2 y matriz3

UNIDAD 3. EVALUACI�?N DE LA SEGURIDAD

3.1. SEGURIDAD L�?GICA Y CONFIDENCIAL

La seguridad Lógica y Confidencial hace un gran énfasis en la conservación y protección de la

información y valora esa información como el activo más importante de la empresa y por eso
tiene en cuenta que:

-La computadora es un instrumento que almacena información y por tanto:

�?� Es confidencial
�?� Puede ser mal utilizada
�?� se puede prestar para Fraudes
�?� Se pueden presentar sabotajes que provoquen destrucción de información

-La información puede ser de gran importancia y el no tenerla puede provocar atrasos
sumamente costosos.

Cuanto tiempo pasaría para que una organización estuviese nueva/ en operación?

El centro de computo puede ser el activo + valioso y al también el + vulnerable.

El 95% de los delitos por computadora han sido descubiertos por casualidad y no se divulgan
para no dar ideas a personas mal intencionadas.

Los fraudes, falsificaciones y venta de información hechos a la computadora o por medio de ellas
es una constante.
El incremento de los fraudes por computadora crece más rápido que los sistemas de seguridad.

Los procedimientos de Auditoría y seguridad son responsabilidad del Usuario y del Depto. De
Auditoría Interna.

AL AUDITAR los sistemas, se debe tener en cuenta que no se tengan copias piratas y que al
conectarnos en RED no exista posibilidad de transmisión de VIRUS.

MOTIVO DE LOS DELITOS POR COMPUTADORA

- Beneficio Personal
- Beneficios para la organización
- Síndrome de Robin Hood (Para beneficiar a otras personas)
- Jugando a jugar
- Fácil desfalcar
- El Depto. Es deshonesto
- Odio a la organización (Revancha)
- El individuo tiene problemas financieros
- La computadora no tiene sentimientos ni delata
- Equivocación de ego (Deseo de sobresalir en alguna forma)
- Mentalidad turbada

FACTORES QUE PERMITEN EL INCREMENTO DE DELITOS POR PC.

1- Aumento del # de personas que estudia computación

2- Aumento del # de empleados con acceso a los equipos
3- Facilidad en el uso de los equipos de computo
4- Incremento en la concentración del # de aplicaciones, y de la información

Estos factores son el objetivo del centro de cómputo, pero también constituye un incremento del
riesgo del delito.

El uso inadecuado del computador empieza con la utilización del tiempo de maquina para usos
ajenos al de la organización, la copia de programas para fines comerciales, el acceso vía
telefónica para copiar o modificar datos con fines fraudulentos.

Los delitos pueden ser no intencionales Ej.

IMAGINASE una compañía de publicidad por correo. ¿Cuánto podría costarle que la
competencia adquiriera su lista de correo o que la información sea cambiada o dañada? Ej. Una
Cia. De venta puerta a puerta, le sustrajeron la lista de clientes, la cual fue vendida a la
competencia; la Cia. Estimo la perdida en ventas en $ 7.062�??000.000.

Actualmente las Cias. Tienen grandes dispositivos de seguridad física de las computadoras; LO
GRAVE, es que se tiene la idea que los sistemas no pueden se violados si no se entra a la sala de
computo, olvidándose del uso de terminales y de sistemas remotos de teleproceso.
Se piensa como en el caso de Incendio o robo, que �??eso no me puede suceder a mi�?� 0
�??Es poco probable que suceda aqu��.

Algunos gerentes creen que las computadoras y sus programas son tan complejos, que nadie
fuera de la Cia. Los va a entender y no les van a servir; pero existe gran # de personas que
pueden captar la información de un sistema y hacer de ella su segundo ingreso.

El incremento en los Fraudes, ha ocasionado el incremento en la seguridad Física y Lógica con la

desventaja que la seguridad Lógica requiere mucho recurso de computador.

Lo ideal es obtener la seguridad adecuada, de acuerdo a la seguridad requerida con el menor

costo posible.

Se debe tener en cuenta la posibilidad de Fraude cometida por los empleados en el desarrollo de
sus funciones. A) el mas común es en el desarrollo de programas, en el cual se pueden insertar
rutinas con fines dañinos (borrar información, beneficio personal-nómina, robar información,
venganza, etc.), de hay la necesidad de tener los programas fuente y/o debidamente
documentados.

Peligroso no tener los programas documentados, porque se crea dependencia con aquellos
empleados que concentran en su memoria toda la información referente a la construcción,
mantenimiento y reformas de los programas.

La seguridad empieza con la simple clave de acceso (password), hasta sistemas complicados,
pero debe evaluarse que entre + complicados los dispositivos de seguridad, resultan + costosos;
por tanto, se debe mantener una adecuada relación de seguridad-costo en los sistemas de
información.
TALLER: TRABAJO Claves de acceso -Se aplicará un Taller de claves acceso
Se incluyó en trabajo de A. FISICA

Un sistema integral de seguridad debe comprender:

1- Elementos administrativos
2- Definición de una política de seguridad
3- Organización y definición de responsabilidades
4- Seguridad física y contra catástrofes (incendio, terremoto, etc.)
5- Practicas de seguridad del personal
6- Pólizas de seguros
7- Elementos técnicos y procedimientos
8- Sistemas de seguridad de equipos y de sistemas, incluyendo redes y terminales
9- Aplicación de los sistemas de seguridad incluyendo datos y archivos
10- El papel de los Auditores tanto interno como externo
11- Planeación de programas de desastre y su prueba. Los accidentes pueden surgir por mal
manejo de la Admón., por negligencia o por ataques intencionales hechos por ladrones, fraudes,
sabotajes o por situaciones propias de la Cia. Ej. huelgas
El poder trabajar con la posibilidad de un desastre debe ser algo común, debe planearse como
evitarlo y que hacer cuando ocurra.

Se debe evaluar el riesgo que pueda tener el daño en las instalaciones y/o en las aplicaciones, con
gran impacto en la Cia. y/o en la comunidad si el servicio se interrumpe por cierto período; otras
pueden fácilmente continuar sin afectar fuertemente la Cia. Ej. Por medio de métodos manuales.

Para establecer la RELACI�?N COSTO / BENEFICIO entre el costo por pérdida de

información y el costo de un sistema de seguridad debemos tener en cuenta algunos puntos
como:

1- Clasificar la aplicación en términos de riesgo (alto, medio, bajo)

2- Identificar aplicaciones con alto riesgo
3- Impacto en la suspensión de aplicaciones con alto riesgo
4- Medidas de seguridad necesarias acorde a la seguridad requerida
5- Justificar el costo de implantar las medidas de seguridad

IDENTIFICACI�?N DE LAS APLICACIONES DE ALTO RIESGO Y CLASIFICACI�?N

DEL RIESGO

Para esto debemos preguntarnos:

1- ¿Qué sucedería si no se puede usar el sistema?

a. ¿Se puede trabajar normalmente? Si la respuesta es No, entonces podemos concluir que la
aplicación es de alto riesgo.
2- ¿Qué implicaciones tiene el que no se obtenga el sistema y cuanto tiempo podríamos estar sin
utilizarlo? Unos minutos?, un día? Una semana?.
3- ¿Existe un procedimiento alterno y qué problemas ocasionaría?, si existe, manual, datos
telefónicos, procesar en otro sistema; no existe. Ej. Reserva de tiquetes por las redes y bancos de
datos, retraso e ineficiencia en los despachos de vuelos.
4- ¿Qué se ha hecho para un caso de emergencia? Sistemas paralelos, sistemas duplicados en
áreas críticas (aires acondicionados, discos, etc.), sistemas de energía no interrumpible. Ej.
Elaborar la NOMINA en forma manual o pagarla con la de la quincena anterior.

Una vez definido el grado de riesgo (alto, medio, bajo), se debe elaborar una lista de medidas
preventivas a tomar y las correctivas en caso de desastre señalando prioridades.

Hay que tener mucho cuidado con la información que sale de la oficina, con su utilización y que
sea borrada al momento de dejar la instalación de respaldo.

LOS PLANES DE SEGURIDAD DEBEN ASEGURAR:

1- La integridad y exactitud de los datos

2- Identificar la información confidencial, de uso exclusivo y la delicada
3- Proteger y asegurar los activos de desastres provocados por la mano del hombre y de actos
abiertamente hostiles
4- Asegurar la capacidad de la organización para sobrevivir accidentes
5- Proteger a los empleados contra tentaciones o sospechas innecesarias
6- Proteger a la Administración contra cargos de imprudencia

CLASIFICACI�?N DE LA APLICACI�?N EN T�?RMINOS DE RIESGO

1- Clasificar los datos, archivos y programas con información confidencial, con un alto valor en
el mercado de competencia de una Cia.
2- Clasificar la información de difícil recuperación
3- Identificar la información con un alto costo financiero en caso de pérdida
4- Identificar la información que pueda provocar un gran impacto en la toma de decisiones
5- Determinar la información que tenga una gran pérdida en la Cia. Y posiblemente pueda
ocasionar que no pueda sobrevivir sin esa información.

EJEMPLO:

ALTO RIESGO: Información sobre el mercado y publicidad de una Cia.

MEDIO RIESGO: La nómina, que puede ser hecha a mano, utilizar procedimientos alternos
(pagar con la nómina anterior) o un adecuado sistema de respaldo.

BAJO RIESGO: Los estado financieros, los que se pueden reestructurar con cierta facilidad,
salvo la presentación con fines fiscales.

CUANTIFICACI�?N DEL RIESGO

Se debe entrevistar a los niveles administrativos afectados directamente por la suspensión del
proceso para averiguar en que forma afecta la organización.

PRECAUCIONES EN LA DIVISI�?N DEL TRABAJO

1- El personal que prepara la información no debe tener acceso a la operación

2- Los analistas y programadores no deben tener acceso al área de operación y viceversa
3- Los operadores deben tener acceso restringido a las librerías y a lugares donde se tenga
archivos almacenados; es importante separar las funciones de librería y de operación
4- Los operadores no deben ser los únicos que tengan el control sobre los trabajos procesados y
no deben hacer las correcciones a los errores detectados
5- Evaluar y revisar en forma visual el orden y limpieza de la sala de computo y las oficinas, ya
que una inadecuada limpieza en el trabajo refleja problemas de disciplina y crea posibilidades de
fallas en la seguridad, además de perjudicar el desarrollo normal del trabajo

Los sistemas de seguridad pueden reducir flexibilidad en el trabajo, pero no deben reducir la
eficiencia (IMPORTANTE.)

3.2. SEGURIDAD EN EL PERSONAL

El centro de cómputo depende en gran medida de:

1- Integridad del personal

2- Estabilidad del personal
3- Lealtad del personal
4- Adecuada política de vacaciones
5- Adecuada política de reemplazo, lo cual permite en caso necesario, poder cambiar a una
persona sin riesgo de funcionamiento para la organización.
6- Adecuada política de rotación en puestos de alto nivel de confianza, para mermar la
posibilidad de fraude, identificar el personal indispensable y eliminarlos.
7- Adecuada política motivacional con el fin de fortalecer la lealtad
8- Fomentar la cultura de seguridad en los programas para protegerlos de posibles fraudes.

Se recomienda, pues, los exámenes psicológicos, médicos, antecedentes laborales, Valores

sociales, estabilidad ya que normalmente son personas que trabajan bajo presión y estrés, por lo
que importa mucho su actitud y comportamiento.

3.3. SEGURIDAD FÍSICA

El objetivo es establecer POLÍTICAS, PROCEDIMIENTOS Y PRACTICAS para evitar la

interrupción prolongada del proceso de datos y continuar en un medio de emergencia hasta que
sea restaurado el servicio. Se debe asegurar contra:

1- Incendio
2- Inundación
3- Huelgas
4- Disturbios
5- Sabotaje
6- Material de la construcción (no inflamable, no tóxicos, sin polvo)
7- Temperatura de la sala de computo
8- Ductos, del aire acondicionado, limpios
9- Detectores de humo
10- Equipos de fuente no interrumpible en instalaciones de alto riesgo en la computadora, la red
y equipos de teleproceso
11- Número de extintores, capacidad, fácil acceso (cerca, altura), peso, tipo de producto (que no
sean líquidos, no produzcan gases tóxicos), vencimiento de la carga
12- Entrenamiento del personal en el uso de los equipos contra incendio
13- Suficientes salidas de emergencia debidamente controladas
14- Almacenamiento adecuado de cintas que produce gases tóxicos y papel altamente inflamable

Fue costumbre exhibir la sala de cómputo en grandes ventanales al público como símbolo de
orgullo de la organización, y con gran cantidad de invitados visitándola. Eso cambió
radicalmente para prevenir el riesgo de terrorismo y sabotaje.

3.4. SEGUROS

El seguro es muy importante.

Existe un gran problema:

El agente de seguros es experto en Riesgos Comerciales, de Vida, ect., pero sabe muy poco sobre
computadoras.

El personal de Informática es experto en computadoras, pero conoce muy poco sobre seguros.

En la compra de SEGUROS, se debe tener en cuenta que el proveedor del equipo y/o del
mantenimiento, cubre ciertos riesgos, con el fin de no duplicar el seguro.

La póliza debe cubrir todo el equipo y su INSTALACI�?N

Verificar: -la fecha de vencimiento del SEGURO

-Póliza adecuada
-Actualizada con los nuevos equipos

El valor del seguro debe estar a precio de COMPRA del mercado y no al precio al momento de
la compra de SEGURO.

El SEGURO debe cubrir: -Daños causados por factores externos (Terremotos, inundación, etc.)
-Daños causados por factores internos (Negligencia, Aire acondicionado, Polvo, etc.)

EL SEGURO en programas debe tener en cuenta:

-Costo de elaborarlos en determinado equipo
-Costo de crearlos nuevamente
-Valor comercial

EL SEGURO en cuanto a personal debe cubrir:

-Fianzas contra robo
-Negligencia
-Daños causados por el personal
-Sabotaje
-Acciones deshonestas
-Confidencialidad

SE DEBERÁ ESTABLECER NORMAS Y PRACTICAS EFICACES PARA EVITAR EN LO

POSIBLE EL DA�?O FÍSICO AL PERSONAL, OFICINAS Y EQUIPO DE COMPUTO.

3.5. SEGURIDAD EN LA UTILIZACION DEL EQUIPO

La tendencia en los programas y equipos, son ser más sofisticados y solo algunas personas del
centro PED conocen el detalle el diseño, lo cual puede provocar deterioro de los sistemas, para lo
cual se deberán tomar medidas como:

1- Restringir el acceso a los programas y archivos

2- Los operadores deben trabajar con poca supervisión y sin la participación de los
programadores, y no deben modificar los programas ni los archivos.
3- Asegurar en todo momento que los datos y archivos usados sean los adecuaros, procurando no
usar respaldos inadecuados.
4- No debe permitirse entrar a la red a personas no autorizadas, ni usar las terminales.
5- La información confidencial debe usar formas codificadas o encriptadas.
6- Revisión periódica física del uso de terminales y de los reportes obtenidos.
7- Auditoria periódica sobre el área de operación y utilización de terminales.
8- Asegurar el proceso completo de los datos.
9- Debe existir registros de transferencia de información ente las funciones de un sistema.
10- Debe controlarse la distribución de las salidas (reportes, cintas, etc.)
11- Guardar copia de archivos fuera del Depto, de PED y en instalaciones de alta seguridad
(Bancos)
12- Control estricto en el transporte de cintas y discos del PED al local de almacenaje distante.
13- Identificar y controlar perfectamente los archivos.
14- Estricto control en el acceso físico a los archivos.

SE DEBE TENER UN ESTRICTO CONTROL EN EL MANEJO DE LA INFORMACI�?N;

por tanto se debe:
1- Cuidar que no se obtengan copias de información sin la debida autorización.
2- Solo el personal autorizado debe tener acceso a la información confidencial.
3- Controlar el destino final de los listados correctos e incorrectos.
4- Controlar el # de copias y la destrucción de información y del papel carbón de la información
confidencial.

EL FACTOR + IMPORTANTE EN LA ELIMINACI�?N DEL RIESGO EN LA

PROGRAMACI�?N es que todos los programas y archivos estén debidamente documentados;
por lo cual, se debe tener alto grado de seguridad desde el momento del diseño preliminar del
sistema.

EL SIGUIENTE PUNTO EN IMPORTANCIA ES CONTAR CON LOS RESPALDOS Y

DUPLICADOS DE LOS SISTEMAS, PROGRAMAS, ARCHIVOS Y DOCUMENTACI�?N
necesaria para que pueda funcionar el plan de emergencia.

SEGURIDAD AL RESTAURAR EL EQUIPO

Cuando ocurre una contingencia, es esencial conocer el motivo que la generó y el daño causado,
lo que permite recuperar en el menor tiempo posible el proceso perdido. Se debe analizar el
impacto futuro en el funcionamiento de la organización y prevenir implicaciones negativas.

En una situación ideal, se debe elaborar planes para manejar cualquier contingencia que se
presente.

Se debe definir planes de recuperación y reanudación, para asegurar que los usuarios se afecten
lo menos posible en caso de falla o siniestro. Entre ellas tenemos:
a- No realizar ninguna acción y reanudar el proceso
b- Con copias periódicas de los archivos reanudar un proceso a partir de una fecha determinada.
c- Cambiar el proceso normal por uno alterno de emergencia (Manual, en otro equipo, en equipo
paralelo, en otra instalación, etc.)

Cualquier procedimiento a usar deberá ser planeado y probado previamente.

3.6. PROCEDIMIENTO DE RESPALDO EN CASO DE DESASTRE

Debe elaborarse en cada Depto. De PED un plan de emergencia, el cual debe ser aprobado por el
Depto. De Informática y definir los procedimientos e información para ayudar a la recuperación
de información en caso de interrupciones en la operación del sistema de cómputo.

El plan de emergencia debe ser probado y utilizado en condiciones anormales para en caso de
usarse en condiciones de emergencia se tenga la seguridad de que funcione. Se debe considerar:
-Que la emergencia existe
-Utilizar respaldos (en otros sitios)
-Cambiar la configuración
-Usar métodos manuales
La desventaja de un plan de emergencia es su costo, pero al igual que un seguro, solo se puede
evaluar la ventaja del plan de emergencia si el desastre ocurre.

Una vez aprobado el plan de emergencia, se debe distribuir entre el personal responsable de su
operación y es conveniente guardar copia fuera del Depto. PED.

La información que contiene el plan de emergencia es confidencial o de acceso restringido.

El plan debe permitir su revisión constante y su actualización y a cada responsable debe

asignársele su tarea y una persona de respaldo para cada uno de ellos, con anotación de su
nombre, dirección y # telefónico.

EN LOS DESASTRES PUEDE SUCEDER LO SIGUIENTE:

a- Completa destrucción del centro de cómputo
b- Destrucción parcial del centro de cómputo
c- Destrucción o mal funcionamiento de los equipos auxiliares del centro de cómputo
(electricidad, aire acondicionado, etc)
d- Destrucción parcial o total de los equipos descentralizados
e- Pérdida total o parcial de información, manuales o documentos
f- Pérdida de personal clave
g- Huelga o problemas laborales

EL PLAN DE DESASTRE DEBE INCLUIR

a- La documentación de programas y de operación

b- El acuerdo de soporte recíproco, para lo cual se debe tener en cuenta:
i. Configuración de equipos
ii. Configuración de equipo de captación de datos
iii. Sistemas operativos
iv. Configuración de equipos periféricos
c- Los equipos
i. El equipo completo
ii. El ambiente de los equipos
iii. Datos y archivos
iv. Papelería y equipo accesorio
v. Sistemas (operativo, base de datos, programas, programas de utilería)

CUANDO EL PLAN SEA REQUERIDO EN EMERGENCIA, el grupo deberá:

a- Asegurar que todos los miembros sean notificados

b- Informar al director de informática (Jefe de sistemas)
c- Cuantificar el daño o pérdida del equipo, archivos y documentos para definir qué parte del
plan debe ser activada
d- Determinar el estado de todos los sistemas en proceso
e- Notificar a los proveedores del equipo cual fue el daño
f- Establecer la estrategia para llevar a cabo las operaciones de emergencia tomando en cuenta:
a. Elaborar lista con métodos disponibles para llevar a cabo la recuperación
b. Señalar la posibilidad de alternar los procedimientos de operación (cambio en dispositivos,
sustituir procesos en línea por lotes)
c. Señalar la necesidad para agrupar y transportar al lugar de respaldo los archivos, programas,
etc, que se requieran
d. Estimación del tiempo de computadora para periodo largo.
e. Posponer las aplicaciones de prioridad más baja
f. Cambiar la frecuencia del proceso de trabajos
g. Suspender las aplicaciones en desarrollo

3.7. CONDICIONES, PROCEDIMIENTOS Y CONTROLES PARA OTORGAR SOPORTE A

OTRAS INSTITUCIONES

La idea es establecer convenios con otros centros de PED para utilizar su equipo en caso de
fallas mayores o de desastre, a fin de evitar interrupciones de los servicios de procesamiento por
largo período.

Es importante la intervención de la administración de las empresas o centros que hacen el

convenio PARA ASEGURAR LA SERIEDAD DEL COMPROMISO y para esto se debe
considerar:

a- Calidad de la persona a la que se le otorga el respaldo

b- Condiciones en las que se otorga el respaldo
c- Procedimientos y controles para el uso del lugar y equipos de respaldo
d- Tiempo durante el cual se otorga el respaldo
e- Periodicidad para otorgar el respaldo
f- Costo del servicio de respaldo

TALLER: TRABAJO AUDITORIA - PROGRAMA Y Formas Auditoría Física y aplicaciones

en funcionamiento -hoja- Físico

UNIDAD 4. DISE�?O DE CONTROLES

En los sistemas de información, el control interno se materializa básicamente en controles de dos

tipos.
1- CONTROLES MANUALES: Realizados normalmente por el personal del área usuaria. Son
controles previstos para asegurar que se preparan, autorizan y procesan todas las operaciones, se
subsanan adecuadamente todos los errores, son coherentes los resultados de salida.
2- CONTROLES AUTOMÁTICOS: Incorporados a los programas de la aplicación que sirven de
ayuda para tratar de asegurar que la información se registre y mantenga completa y exacta, los
procesos de todo tipo sean correctos y su utilización por parte de los usuarios respete la
confidencialidad y permita la aplicación de la segregación de funciones.
Según su finalidad, los controles son:
1- CONTROLES PREVENTIVOS: Se diseñan patrones de formatos y estructura (dato
numérico, fecha válida, valores válidos, dígitos de control para códigos de identificación, de
documentos, nomenclaturas etc.) para evitar los errores a base de exigir el ajuste de los datos a
formatos prediseñados
2- CONTROLES DETECTIVOS: con el fin de descubrir errores que no hayan sido posible
evitar.
3- CONTROLES CORRECTIVOS: para asegurar que se subsanen los errores identificados
mediante controles detectivos.

Los controles anteriores pueden ser utilizados en las transacciones de recogida o toma de datos,
en los procesos de información de la aplicación y en la generación de informes y resultados de
salida.
4.1. CONTROL EN EL ORIGEN DE LAS TRANSACCIONES

En el origen de las transacciones deben establecerse controles básicamente, sobre la

AUTORIZACI�?N y PROCESAMIENTO DE DOCUMENTOS FUENTE. Como ejemplo
tenemos:

- PROCEDIMIENTOS EN EL ÁREA USUARIA: Se debe trabajar con base en procedimiento

escritos y aprobados por la dirección, en el proceso de iniciación, revisión y autorización de las
transacciones de entrada, y se utilizan principalmente para las siguientes actividades operativas:
o Preparar documentos fuente.
o Regular el flujo de documentos.
o Establecer la necesidad de ceñirse a los programas de trabajo, como por ejemplo, las fechas de
corte.
o Controlar el uso de códigos espaciales, como los passwords entre otros.
o Describir los requisitos claves de entrada de datos.
o Precisar las correcciones que en nombre de los usuarios pueden hacer el personal de sistemas.
- FORMULARIOS PREIMPRESOS: Guían el registro inicial de las transacciones en un formato
uniforme. El diseño de formularios es un eficiente control preventivo para los sistemas en
funcionamiento, en la etapa de entrada de datos. Un buen diseño de formularios permite que los
datos sean completos y precisos, evitando de esta forma errores y omisiones, logrando un sistema
correcto de autorizaciones y apoyando la objetividad de la contabilidad o de otras aplicaciones,
de las organizaciones. Los formularios diseñados a la medida del sistema facilitan el registro de
transacciones y el establecimiento de controles a través de:
o Bloques de autorización
o Totales de control
o Totalizaciones verticales u horizontales
o Fechas de retención de datos
Los documentos fuente pre-impresos permiten la serialización de los mismos, esto es, verificar la
secuencia del procedimiento de entrada de datos. La identificación y serialización de los
documento fuente facilitan el rastreo de las transacciones hacia delante y hacia atrás, cuando se
hace el trabajo de auditoría.
- IDENTIFICACI�?N DE TRANSACCIONES: Toda operación que se registre en un proceso
computarizado, debe estar suficientemente identificada como norma de control interno; Ej.
Número de serie, número de secuencia, código de la transacción.
- REFERENCIA CRUZADA: En el computador, las transacciones incluyen generalmente un
campo, que tiene por objeto identificar el documento fuente. Si este número hace parte de la
identificación de la transacción, entonces se convertirá en una referencia cruzada que sirve para
rastrear la información hacia delante y hacia atrás. En el registro de CxC, existe un campo para el
número de la factura; esta referencia puede utilizarse para recuperar los documentos fuente
cuando sea necesario.
- LOG DE SECUENCIA: Normalmente se identifican las transacciones con números de
secuencia y lleva además, un LOG interno de los números de secuencia que sirve para asegurarse
de que los datos de entrada estén completos, y como pista de auditoría.
- ACCESO RESTRINGIDO A LOS FORMULARIOS EN BLANCO: Los documentos y
formularios en blanco deben estar adecuadamente controlados para evitar uso fraudulento, en la
entrada de datos. Esta restricción incluye los documentos negociables.
- CUSTODIA DOBLE DE FORMULARIOS: Se acostumbra básicamente para controlar
formularios contables de alto nivel de criticidad. Se requiere que un miembro del Depto. De
usuario y otro del Depto. De PED autoricen conjuntamente la entrega de formularios
prenumerados. El control exige hacer seguimiento riguroso a los formularios en blanco para que
sean devueltos y archivados oportunamente.
- SEGREGACI�?N FUNCIONAL: Este control en sistemas computarizados requiere por lo
menos de:
o Separación del Depto. de PED de los Depto. Usuarios.
o Segr
Publicado por JORGE ALBERTO RESTREPO GOMEZ en Guia del profesor a las 22:34 |
Comentarios (0) | Referencias (0)

1 - Un enfoque sistémico y de mejora continua

los procesos de mejora continua y eliminación de despilfarros / desperdicios en la empresa, las

nuevas herramientas a utilizar con una visión de gestión de calidad total, y por último los nuevos
enfoques a ser incorporados a la luz de los cambios en materia tanto tecnológica como
productiva y comercial; lo cual es producto de la incorporación del Just in Time, la tercerización,
el teletrabajo, internet y la informática (para éste último ítem se da un desarrollo más
pormenorizado de los controles a verificar).

De la experiencia que día a día se va acumulando resulta sorprendente las graves falencias que en
materia de auditoría y control interno adolecen las empresas, incluyéndose entre ellas no sólo a
pequeñas y medianas, sino también a grandes empresas, para ello basta como ejemplo el famoso
caso del Banco Barhing,  o  el de las grandes empresas estatales.

En primer lugar debemos subrayar la falta de cumplimiento a las normas básicas y

fundamentales en materia de control interno, pero por otro lado está la ausencia de amplitud de
conceptos en cuanto al patrimonio a proteger, y de los métodos e instrumentos de análisis a ser
utilizados por los auditores internos.

Al igual que en el control de calidad, la falta de planificación y prevención es la norma en

muchas empresas en lo relativo tanto al control interno, como al accionar de la auditoría interna.
Por ello no es de sorprenderse ver a los auditores tratando de analizar que es lo que salió mal,
porqué, y que hacer para evitar su repetición, cuando lo correcto es actuar preventivamente, y de
acontecer algún hecho perjudicial no quedarse en los aspectos más superficiales sino profundizar
hasta llegar hasta la causa-raíz, tratando de desentrañar de tal forma las razones que llevaron al
sistema a engendrar dichas falencias.

Otro aspecto importante a cuestionar en las auditorías es que la misma sea percibida como una
entidad dedicada sólo a la inspección (y a veces hasta con una perspectiva policíaca), y no al
asesoramiento con el objetivo de proteger y mejorar el funcionamiento de la organización.

Es menester conformar una nueva visión de la empresa desde un enfoque sistémico, de tal
manera de ubicar a la auditoría como un componente de dicho sistema, encargado de proteger el
buen funcionamiento del sistema de control interno (subsistema a nivel empresa), sino además,
de salvaguardar el buen funcionamiento de la empresa a los efectos de su supervivencia y logro
de las metas propuestas.

Es interesante significar que sólo el dirigente que reconozca la necesidad de considerar la

empresa como un conjunto de sistemas interrelacionados y entrelazados, habrá descubierto la
clave para entender cómo opera realmente la empresa.

Muchas empresas han dejado de existir como producto de sus falencias en el control interno, y
en la falta de una auditoría interna que evalúe eficazmente la misma. La falta de buenos controles
internos (no meramente normativos, sino aplicados) no sólo han dado lugar a estafas o
defraudaciones (sea esta por parte de ejecutivos, empleados o clientes), sino también a graves
errores en materia de decisiones producto de graves errores en materia de información.

Ahora bien, cuando de custodia de activos o patrimonios se trata, la auditoría interna tradicional
pone todo su acento en los activos fisicos, derechos y obligaciones de las empresas, dejando
desprotegidos activos tan valiosos como lo son los clientes y sus niveles de satisfacción, el
personal y su capital intelectual, y la calidad de los bienes y servicios producidos por la empresa.

Otro aspecto muy importante es la ubicación de la Auditoría Interna dentro del marco
organizativo en cuanto a su grado de independencia. Que la Gerencia o Departamento de
Auditoría Interna quede a un nivel de negociación o presión, impide alcanzar los objetivos que
motivan su razón de ser.

En la nueva visión de la auditoría interna, ésta debe estar integrada a la Gestión Total de Calidad
haciendo pleno uso de los diferentes instrumentos y herramientas de gestión a los efectos de
lograr mayores niveles en la prestación de sus servicios.

Definiciones y objetivos

Auditoría Interna  

El Instituto de Auditores Internos de los Estados Unidos define la auditoría interna como //“una
actividad independiente que tiene lugar dentro de la empresa y que está encaminada a la revisión
de operaciones contables y de otra naturaleza, con la finalidad de prestar un servicio a la
dirección”.//

Es un control de dirección que tiene por objeto la medida y evaluación de la eficacia de otros
controles.

La auditoría interna surge con posterioridad a la auditoría externa por la necesidad de mantener
un control permanente y más eficaz dentro de la empresa y de hacer más rápida y eficaz la
función del auditor externo. Generalmente, la auditoría interna clásica se ha venido ocupando
fundamentalmente del sistema de control interno, es decir, del conjunto de medidas, políticas y
procedimientos establecidos en las empresas para proteger el activo, minimizar las posibilidades
de fraude, incrementar la eficiencia operativa y optimizar la calidad de la información
económico-financiera. Se ha centrado en el terreno administrativo, contable y financiero.

La necesidad de la auditoría interna se pone de manifiesto en una empresa a medida que ésta
aumenta en volumen, extensión geográfica y complejidad y hace imposible el control directo de
las operaciones por parte de la dirección. Con anterioridad, el control lo ejercía directamente la
dirección de la empresa por medio de un permanente contacto con sus mandos intermedios, y
hasta con los empleados de la empresa. En la gran empresa moderna esta peculiar forma de
ejercer el control ya no es posible hoy día, y de ahí la emergencia de la llamada auditoría interna.

El objetivo principal es ayudar a la dirección en el cumplimiento de sus funciones y

responsabilidades, proporcionándole análisis objetivos, evaluaciones, recomendaciones y todo
tipo de comentarios pertinentes sobre las operaciones examinadas. Este objetivo se cumple a
través de otros más específicos como los siguientes:

a)                  Verificar la confiabilidad o grado de razonabilidad de la información contable y

extracontable, generada en los diferentes niveles de la organización.

b)                 Vigilar el buen funcionamiento del sistema de control interno(lo cual implica su
relevamiento y evaluación), tanto el sistema de control interno contable como el operativo.

Control Interno

El control interno es una función que tiene por objeto salvaguardar y preservar los bienes de la
empresa, evitar desembolsos indebidos de fondos y ofrecer la seguridad de que no se contraerán
obligaciones sin autorización.

Una segunda definición definiría al control interno como “el sistema conformado por un
conjunto de procedimientos (reglamentaciones y actividades) que interrelacionadas entre sí,
tienen por objetivo proteger los activos de la organización.

Entre los objetivos del control interno tenemos

a)                  Proteger los activos de la organización evitando pérdidas por fraudes o

negligencias.

b)                 Asegurar la exactitud y veracidad de los datos contables y extracontables, los cuales
son utilizados por la dirección para la toma de decisiones.

c)                  Promover la eficiencia de la explotación.

d)                 Estimular el seguimiento de las prácticas ordenadas por la gerencia.

e)                  Promover y evaluar la seguridad, la calidad y la mejora continua.

Entre los elementos de un buen sistema de control interno se tiene:

3 - Independencia

Es fundamental considerar de quién debe depender el auditor interno. En una empresa dependerá
directamente del dueño de la misma o de un comité. En una gran empresa deberá depender del
Síndico y de un Comité de Control Interno (cuyos miembros no ejerzan funciones ejecutivas). Es
fundamental que los miembros de la auditoría interna no tengan relaciones con la Gerencia de
Personal (para temas como búsqueda y contratación de personal de auditoría, para planes de
capacitación, jerarquización, liquidación y pago de sueldos, vacaciones o permisos especiales,
etc.), tampoco deberá tener relaciones comerciales con el ente para el cual trabajen. De esta
forma se protege la total independencia de criterio y observación, evitando además las
“politiquerías” internas que tienden a distorsionar información y proteger a personal del ente. Es
también fundamental que no exista lazos directos de familia entre los miembros de la auditoría y
el personal a ser auditado, de existir alguna relación ello debiera dejarse como constancia en los
informes de auditoría respectivos.

No preservar la independencia y objetividad (aunque todo sujeto tiende a la subjetividad) de los

auditores, impide un óptimo y efectivo ejercicio de las funciones que le están encomendadas.

Imaginemos que sucedería en una institución bancaria si los auditores pidieran créditos u otros
servicios a dicha institución, es lógico pensar en intercambio o negociación de favores.

4 - Tercerización

Por todo lo visto arriba y por los menores costos, mayores niveles de productividad y mejores
niveles de calidad sería conveniente utilizar servicios tercerizados de auditoría interna. De tal
forma se evitan costos fijos (sueldos, espacio físico, computadoras, gastos de teléfono), si los
servicios no son adecuados es más fácil el cambio de auditoría, al prestar servicio en distintas
empresas los auditores poseen mayor nivel de experiencia, la capacitación de los auditores no
corre por cuenta de la empresa sino por parte de el ente prestador del servicio, pueden utilizarse
alta tecnología producto de que el costo de la misma puede subdividirse entre numerosos
clientes, pueden lograrse servicios con alto nivel de especialización (el ente prestador del
servicio puede contar con especialistas en: auditoría en informática, en seguridad, en materia
impositiva, en fraude, en calidad y satisfacción del consumidor, e inclusive auditores por tipos de
actividades) lo cual redunda en mejores niveles de calidad.
5 - Alcances de la nueva auditoría

La nueva auditoría ya no comprende sólo los controles tradicionales, sino que en la búsqueda de
proteger los activos de la organización audita el cumplimiento de normativas (sean éstas internas
o externas), políticas y directrices, y principios fundamentales de gestión moderna de empresas,
en todo lo atinente a la calidad de los productos y servicios, niveles de satisfacción de los
clientes, eficiencia de los procesos administrativos y productivos. En el caso de la calidad el
auditor interno no procederá a efectuar mediciones o controles de calidad, su función en este
caso es la de verificar la existencia de dichos controles y los mismos son correctamente llevados
a cabo. En el caso de los procesos administrativos y productivos deberá contarse con auditores
capacitados debidamente en dichas áreas y sus informe tendrán un enfoque netamente de
asesoramiento.

Además deberá tenerse debidamente en cuenta los efectos que en el control interno tienen las
siguientes nuevas maneras de operar:

a)                  Teletrabajo

b)                 Tercerización

c)                  Utilización de internet

d)                 Uso de redes informáticas (cajeros automáticos, transferencias electrónicas)

e)                  Globalización de los mercados

f)                   Cuadro de Mando Integral (necesidad de confirmar la corrección de los datos y del
buen funcionamiento del sistema informático)

g)                  Contribuir en la eliminación de desperdicios y despilfarros, contribuyendo con su

asesoramiento a la mejora de los procesos y actividades

6 - Trabajo en equipo

El mejor uso de las capacidades y experiencias para una evaluación más efectiva del control
interno, como así también la investigación de casos especiales hacen necesario la
implementación del trabajo en equipo incluyendo los Círculos de Calidad en el área de auditoría
interna, como forma de mejorar los procedimientos, logrando de tal forma controles, propuestas,
análisis e informes de mayor calidad y menores costos.

7 - Uso de herramientas de gestión

Ya sea en forma individual, en equipo o en los círculos de calidad se deberá hacer uso de las
herramientas de gestión aplicada en materia de calidad y productividad. Nos referimos tanto a las
siete herramientas clásicas, como a las nuevas herramientas y otras que pueda idear el personal
de auditoría en el ejercicio de sus tareas.

Así tenemos la //Matriz de Ishikawa//, la cual puede ser utilizada para analizar falencias, detectar
causas de errores o ilícitos, búsqueda de soluciones o mejoras del control interno.

El //Diagrama de Pareto// permite entre otras funciones importantes la priorización de controles

en función de la preponderancia que los diferentes factores tienen, como así también la
utilización de la misma para descubrir la causa de problemas, o dar solución a las mismas.

//Los Seis Porqué?// permite mediante preguntas sucesivas llegar a la causa fundamental de los
problemas evitando quedar en los rasgos más superficiales.

El //Control Estadístico de Procesos// (CEP) posibilita determinar la capacidad del proceso para
engendrar productos y servicios externos e internos que satisfagan los niveles requeridos. Así las
diferencias contables, o de inventario o la falta de cumplimentación correcta en las carpetas
crediticias en el caso de las instituciones bancarias se deben a diferentes causas, el CEP permite
conocer si la cantidad de falencias esta dentro de lo que es natural al sistema o si sus causas son
especiales, adoptando según el caso las respectivas medidas de análisis y corrección.

El //fluxograma// es un elemento fundamental no sólo para evaluar el sistema de control interno,

sino además para evaluar la eficiencia de las actividades o procesos.

El //Diagrama de Dispersión// permite poner a prueba la interrelación entre diferentes factores,

como podría ser cantidad de comprobantes recepcionados por caja con las diferencias de caja.

El //histograma //permite analizar la distribución de los errores o falencias detectadas.

La //estratificación //permite mejorar los niveles de cumplimentación y detectar razones de

irregularidades. Si al controlar atrasos crediticios en un Banco se tienen mayores niveles en una
línea crediticia ello puede deberse al sector al cual está destinado o a falencias en la concesión de
los mismos, y si los niveles están concentrados en determinadas sucursales bancarias ello puede
deberse a falta de capacitación del personal crediticio o problemas propios de determinadas
zonas económicas.

//Análisis Preventivos//. Consistentes en utilizar la lluvia de ideas por parte de los auditores
internos a los efectos de detectar para cada proceso, servicio, producto o actividad donde o qué
problemas pueden surgir, analizando como evitar de que se produzcan y fijando sistemas para su
detección.

//El método de las Seis Preguntas Fundamentales//, conformadas por: Qué? Cómo? Quién?
Dónde? Cuándo? y el Porqué? para cada una de las respuestas anteriores permite mejorar el
control interno, detectar irregularidades y mejorar la eficiencia de los procesos y actividades. Así
pueden descubrirse que se están realizando tareas actualmente innecesarias, o que quién lo
ejecuta es un personal demasiado costoso para la ejecución de la misma, o que el lugar donde se
realiza es poco apropiado por razones de seguridad (lugar de la Tesorería), o el como se realiza
resulta costoso o inseguro.

8 - Conocimientos y Aptitudes

En cuanto a conocimientos como es obvio de lo expresado con anterioridad, es menester que los
auditores posean conocimientos a materia de herramientas de gestión, estadística, control
estadístico de procesos (SPC), resolución de problemas, benchmarking, trabajo en equipo,
círculos de calidad, tormenta de ideas, pensamiento sistémico, relevamiento y evaluación del
control interno, planificación, administración, finanzas, a parte de las normativas legales,
contables y conocimientos en sistemas de información.

El benchmarking como metodología que tiene por objetivo detectar las mejores prácticas y
procedimientos a los efectos de su análisis y posterior implementación es muy interesante a los
efectos de adaptar métodos o procedimientos aplicados por otras auditorías. La realización del
benchmarking se ve facilitado por la existencia de las Asociaciones de Auditores Internos a nivel
general como por sectores.

En cuanto a aptitudes el auditor interno deberá tener:

a)      Interés y aptitud por la investigación

b)      Capacidad de análisis estadístico

c)      Conocimientos específicos (técnicos) en materia de auditoría interna, control interno y en

lo concerniente al sector.

d)      Comportamiento organizacional y programación neuro-lingüística

e)      Capacidad de análisis

f)        Aptitud para trabajar en equipo

g)      Actitud proactiva

h)      Alto nivel ético

9 - Planificación
Deberá ante todo definirse claramente los valores, y la misión de la Auditoría Interna. Es
necesario que quede completamente en claro quienes son sus clientes y que requieren. Para lo
cual resulta sumamente interesante implementar un sistema para verificar la calidad de los
trabajos e informes de auditoría, como así también medir los niveles de satisfacción de los
usuarios de la información suministrada. Resulta utilizar recursos para luego de un tiempo tomar
conocimiento de que los informes no eran de importancia o significación para los receptores de
éstos.

Volviendo al elemento central de la planificación, es fundamental ella por cuanto suministra la

visión a compartir por los miembros de la auditoría, lo cual será el eje central que movilizará las
capacidades y recursos para un más efectivo y eficiente logro de los objetivos.

10 - La mejora continua en la auditoría

El sector de auditoría no puede escapar a las consignas del momento que son lograr cada día
mejores niveles tanto en calidad, como en costos, productividad y plazos.

Por ello el realizar las auditorías con el mejor uso de los recursos (sobre todo teniendo en cuenta
que las actividades de auditoría interna no poseen valor agregado para el cliente externo), el
mayor nivel de calidad y en plazos perentorios resulta fundamental. Para ello deben concentrarse
la utilización de los recursos de la forma más eficiente posible, mejorando de manera continua
los niveles de performance. Los controles deben centrarse en cuestiones o elementos
significativos y con un creciente impacto en la organización.

11 - El control interno y los resultados económicos

En la última línea del Cuadro de Resultados está la verdad, en el se refleja que tan bien a operado
la empresa. Muchas empresas con un más que óptimo resultado en materia productiva y
comercial ven reducir sus utilidades y hasta en algunos casos se llegan a los números en rojo
producto de negligencias, fraudes, robos y hurtos. Entre las negligencias podemos mencionar la
falta de seguros ya sea por incendios o accidentes entre otros, también la falta de controles
adecuados al momento de calificar a un cliente para el otorgamiento de crédito. No menos
costosos son las pérdidas por errores de cálculo o falta de cumplimientos formales en materia
impositiva. Estos son sólo unos ejemplos de los hechos que más comúnmente se dan en las
organizaciones. De igual forma es menester evitar los fraudes, robos y hurtos, como así también
acciones destructivas que puedan afectar el patrimonio de la empresa. Sólo un buen control
interno, el cual debe ser relevado y evaluado convenientemente por los auditores de la compañía
puede evitar la disminución de las utilidades o su conversión en pérdidas.

En una Institución Bancaria el no haber actualizado el monto de impuesto de sellos por

chequeras llevó a una percepción menor en concepto de dicho impuesto, y por lo tanto a abonar
menos al Ente Recaudador, teniéndose que hacer cargo luego la Institución Financiera de la
diferencia más los intereses y multas respectivas.

No menor efecto tienen en los resultados de la empresa, tanto en su cálculo, como en la calidad
de la información manejada para la adopción de decisiones, un control interno que asegure
información correcta, precisa y a tiempo.

Como ejemplo podría mencionarse el caso de una Institución Bancaria que por calcular
erróneamente sus Niveles de Efectivo Mínimo Diarios, tomaba fondos interbancarios para
cubrirlos con el alto costo que ello implicaba, cuando en realidad sus situación real le permitía el
otorgamiento de fondos a otras instituciones bancarias con la consiguiente obtención de jugosos
beneficios.

Otro ejemplo de graves resultados es la información incorrecta en materia de Deudores por

Ventas. Reclamar a alguien que ha pagado puede hacer perder el cliente, y no hacerlo a alguien
que no está al día con sus pagos implica también pérdida de liquidez y de resultados.

Tener información confiable en materia de inventarios es muy importante, máxime aún en una
época de altos costos financieros y ante la necesidad de aplicar metodologías como el Just in
Time.

Podemos apreciar con está pequeña cantidad de ejemplos las graves consecuencias que una falta
de control interno eficaz puede traer aparejada para la empresa en materia de resultados.

12 - Auditoría y control de los procesos informaticos

Los procesos informáticos han cambiado notablemente las condiciones internas de las
organizaciones, motivando de tal modo importantes consecuencias en materia de control interno.

Se aconseja a los efectos de evitar fraudes la separación de funciones entre quienes son
encargados de manejar el sistema, los programadores y quienes controlan los inputs, los cuales
deberían ser efectuados por tres técnicos o grupos de técnicos en informática diferentes. Sin
embargo tanto por el tamaño de las empresas, como por las nuevas características que tienen
lugar en los procesos fabriles y de servicios los controles deben adaptarse a esta nueva situación.
La creación de mecanismos paralelos e independientes al sistema para el control comparativo es
adonde apuntan las nuevas metodologías destinadas a salvaguardar los procesos informáticos.
Poner los sistemas informáticos al resguardo del accionar de los “piratas”, como de los “virus”
resulta fundamental por las enormes pérdidas que las mismas pueden ocasionar a la empresa.

No menos importante resulta no sólo el control de acceso a la información, sino la posibilidad de

acceder a archivos de gran valor estratégico como son los relacionados con los clientes y su
respectivas evoluciones comerciales. Muchos tienen interés en hacerse de dichas bases de datos a
los efectos de su venta a la competencia.

En el control de sistemas del procesamiento electrónico de datos (EDP) podemos diferenciar tres
aspectos:

//a)      Controles de la organización del proceso de datos. Podemos estudiar en el cuatro

aspectos: ////  //

1.      División de responsabilidades

2.      Control sobre los operadores del ordenador

3.      Biblioteca de programas

4.      Sistemas de seguridad ante incendios u otros accidentes

A los efectos de mantener la integridad del sistema cuando las funciones de autorización y
registro están comprendidas en el propio programa es necesario separar la función de operación y
manejo de las máquinas y la de mantenimiento del programa y de la memoria o biblioteca. Esta
separación de funciones es importante por cuanto, proporciona una eficaz verificación cruzada
de la exactitud y corrección de los cambios introducidos en el sistema, impide al personal de
operaciones efectuar revisiones sin plena autorización y verificación, evita que el personal ajeno
a la operación tenga acceso al equipo, y por último mejora la eficiencia, puesto que las
capacidades y el adiestramiento que se requieren para desempeñar tan diversas actividades
difieren.

Es importante la separación entre el personal encargado de las bibliotecas, y el de la sección de

adquisición y control de datos.

//b)      Controles de procedimientos. Se refieren a cuatro puntos específicos: ////  //

1.      Datos fuente y controles de salida. Es preciso un control sobre los datos de entrada que
permita verificar que éstos han sido autorizados e introducidos una sola vez. La función de los
controles de salida es determinar que los datos procesados no incluyen ninguna alteración
desautorizada por la sección de operaciones del ordenador y que los datos son correctos o
razonables.

2.      Controles del proceso. Los objetivos principales son descubrir la pérdida de datos o la falta
de su procesamiento, determinar que las funciones aritméticas se ejecuten correctamente,
establecer que todas las transacciones se asienten en el registro indicado, asegurar que los errores
descubiertos en el procesamiento de datos se corrijan satisfactoriamente.

3.      Controles del archivo o biblioteca. Si éstos son defectuosos pueden deformar la
contabilización.

4.      Controles sobre las salidas

//c)      Controles administrativos. Hacen referencia al diseño, programación y operaciones del

EDP. ////  //

//Seguridad física. //Las precauciones básicas a tal objeto son:

1.      Deben mantenerse en otro lugar, duplicados de todos los archivos, programas y
documentación básica.

2.      Protección contra excesos de humedad, variaciones de temperatura, caídas de tensión,

cortes de suministro, campos magnéticos, actos delictivos, etc.

3.      Protección contra incendios, inundaciones, desastres naturales, etc.

4.      Plan de emergencia que prevea las actuaciones básicas y medios alternativos disponibles
ante distintos niveles de sucesos catastróficos.

5.      Designación de un responsable de seguridad y revisión periódica de la operatividad de los

medios dispuestos.

6.      Seguro que cubra el riesgo de interrupción del negocio y el costo de reconstrucción de
ficheros.

13 - La Matriz de Control Interno

La misma es una forma de pensar, de planificar, de delegar, de adoptar decisiones y resolver

problemas, y de ver la organización en su totalidad.

Es una forma de pensar, porque analizando la interrelación de los diversos productos, servicios y
áreas de la empresa con las disposiciones normativas externas e internas, como así también con
los principios de control interno y seguridad, lleva tanto a los funcionarios, como a los auditores
internos (o externos) y a las gerencias de las diversas áreas a preguntarse de que manera afectan,
si es que lo hacen, las diversas normativas a sus procesos y actividades, o bien indagar acerca de
la existencia o no de normas que se relacionen con las mismas.

Cabría preguntarse cuantas veces las organizaciones son pasibles de sanciones pecuniarias por
incumplimiento de deberes formales sólo por el hecho de no haber realizado las indagaciones o
bien de no tener planificados los controles y las respectivas acciones.

Es una manera de planificar por cuanto los funcionarios de la organización establecen cantidad
de controles a ejecutar por período de tiempo, con que elementos o recursos se van a contar, que
cuestionarios se han de utilizar y quienes los elaborarán. Por medio de la delegación se asigna
por un lado quienes son los responsables de realizar los controles.

Como el sistema matricial hace uso de puntajes de eficacia, los aspectos o áreas de mayor
riesgos, los cuales surgen de los puntajes más bajos, son aquellos en los cuales se han de
priorizar los ajustes y correcciones, además a través del análisis de las razones de los bajos
puntajes se logra saber los motivos que los originan y de tal forma adoptar las mejores acciones
tendientes a su resolución.

14 - Bibliografía

Soriano Guzmán, Genaro //– La auditoría interna en el proceso administrativo// – Editoral

CENAPEC – 1992

Suárez Suárez, Andrés – //La moderna auditoría// – McGraw Hill – 1991

Skinner y Anderson – //Auditoría Analítica// – Editores Libreros – 1969

Madariaga, J.M. – //Nociones Prácticas de Auditoría// – Deusto – 1986

Rusenas, Rubén Oscar – //Manual de Control Interno// – Editorial Cangallo – 1978

Pungitore, José Luis – //Sistemas Administrativos y Control Interno// – Club de Estudio - 1994

Poch, Ramón – Manual de control interno – Gestión 2000 – 1997

Lefcovich, Mauricio L. – Matriz de Control Interno – Gestiopolis.com – Noviembre/2003