ENFOQUE DE LA AUDITORIA DE LAS TIC

INTRODUCCIÓN

La Auditoria de TIC, se ha consolidado en el mundo entero como cuerpo de conocimientos

cierto y consistente, respondiendo a la acelerada evolución de la tecnología en los últimos
años. En algunos países altamente desarrollados es catalogada como una actividad de apoyo
vital para el mantenimiento de la infraestructura crítica de una nación, tanto en el sector
público como privado, en la medida en que la Información es considerada un activo tan o más
importante que cualquier otro en una organización.

Existe pues, un cuerpo de conocimientos, normas, técnicas y buenas prácticas dedicadas a la

evaluación y aseguramiento de la calidad, seguridad, razonabilidad, y disponibilidad de la
Información tratada y almacenada a través del computador y equipos afines, así como de la
eficiencia, eficacia y economía con que la administración de un ente están manejando dicha
Información y todos los recursos físicos y humanos asociados para su adquisición, captura,
procesamiento, transmisión, distribución, uso y almacenamiento. Todo lo anterior con el
objetivo de emitir una opinión o juicio, para lo cual se aplican técnicas de auditoría de general
aceptación y conocimiento técnico específico.

Antes de entrar de lleno, a la auditoria de las TIC, es importante tener conocimiento pertinente
de algunas definiciones y elementos básicos sobre auditoria, mismos que se desarrollaran en el
presente tema.

DEFINICIÓN DE AUDITORIA
La auditoría es un proceso sistemático para obtener y evaluar evidencia de una manera
objetiva respecto de las afirmaciones concernientes a actos económicos, financieros y
operativos para determinar el grado de correspondencia entre estas afirmaciones y los
criterios establecidos, y comunicar los resultados a los usuarios interesados.
La actividad de auditar consiste en realizar un examen de los procesos y de la actividad
económica de una organización para confirmar si se ajustan a lo fijado por las leyes o los
buenos criterios. Puede decirse un tipo de examen o evaluación que se lleva a cabo siguiendo
una cierta metodología.
La persona encargada de realizar dicha evaluación recibe el nombre de auditor. Su trabajo
implica analizar detenidamente las acciones de la empresa y los documentos donde las mismas
han sido registradas y determinar si las medidas que se han tomado en los diferentes casos son
adecuadas y han beneficiado a la compañía.

1
La auditoría intenta también brindar pautas que ayuden a los miembros de una empresa a
desarrollar adecuadamente sus actividades, evaluando, recomendando determinadas mejoras y
revisando detenidamente la labor que cada uno cumple dentro de la organización.

CLASIFICACIÓN DE LAS AUDITORIAS

 Auditoría Financiera, contabilidad o cuentas

Clasificación según el objeto
Clasificación según el sujeto
Clasificación según la
naturaleza de las auditorias
Clasificación según tipo de 
auditor  Auditor Operativo
 Auditoria operacional, administrativa o de gestión
 Auditoria de sistemas
 Auditoria social
 Auditoria socio-laboral
 Auditoría interna
 Auditoría externa
 Ámbito Público
– Auditoria Política
– Auditoria Gubernamental
– Auditoría Universitaria
 Ámbito Privado
 Ámbito Social
 Auditor externo
Auditor Interno

Según el alcance  Total o completa

Según la motivación
 Parcial o limitado
 Auditoría de legalidad
 Auditoría de cumplimiento
 Auditoría voluntaria
 Auditoria obligatoria

OBJETIVOS DE LA AUDITORIA
De acuerdo a la anterior conceptualización, el objetivo principal de una Auditoría es la
emisión de un diagnóstico sobre un sistema de información empresarial, que permita tomar
decisiones sobre el mismo. Estas decisiones pueden ser de diferentes tipos respecto al área
examinada y al usuario del dictamen o diagnóstico.

En la conceptualización tradicional los objetivos de la auditoría eran tres:

 Descubrir fraudes
 Descubrir errores de principio
 Descubrir errores técnicos

2
Pero el avance tecnológico experimentado en los últimos tiempos en los que se ha denominado
la "Revolución Informática", así como el progreso experimentado por la administración de las
empresas actuales y la aplicación a las mismas de la Teoría General de Sistemas, ha llevado a
Porter y Burton [ Porter,1983 ] a adicionar tres nuevos objetivos :
 Determinar si existe un sistema que proporcione datos pertinentes y fiables para la
planeación y el control.
 Determinar si este sistema produce resultados, es decir, planes, presupuestos,
pronósticos, estados financieros, informes de control dignos de confianza, adecuados y
suficientemente inteligibles por el usuario.
 Efectuar sugerencias que permitan mejorar el control interno de la entidad.

CARACTERÍSTICAS DE LA AUDITORIA
La auditoría debe ser realizada en forma analítica, sistémica y con un amplio sentido crítico
por parte del profesional que realice el examen. Por tanto no puede estar sometida a conflictos
de intereses del examinador, quien actuará siempre con independencia para que su opinión
tenga una verdadera validez ante los usuarios de la misma.
Todo ente económico puede ser objeto de auditaje, por tanto la auditoría no se circunscribe
solamente a las empresas que posean un ánimo de lucro como erróneamente puede llegar a
suponerse. La condición necesaria para la auditoría es que exista un sistema de
información. Este sistema de información puede pertenecer a una empresa privada u oficial,
lucrativa o no lucrativa.
La Auditoría es evaluación y como toda evaluación debe poseer un patrón contra el cual
efectuar la comparación y poder concluir sobre el sistema examinado. Este patrón de
comparación obviamente variará de acuerdo al área sujeta a examen. Para realizar el examen
de Auditoría, se requiere que el auditor tenga un gran conocimiento sobre la estructura y el
funcionamiento de la unidad económica sujeta al análisis, no sólo en su parte interna sino en el
medio ambiente en la cual ella se desarrolla así como de la normatividad legal a la cual está
sujeta.
El diagnóstico o dictamen del auditor debe tener una intencionalidad de divulgación, pues solo
a través de la comunicación de la opinión del auditor se podrán tomar las decisiones
pertinentes que ella implique. Los usuarios de esta opinión pueden ser internos o externos a la
empresa.

MÉTODO A USAR EN LA AUDITORIA

Como ya se dijo la Auditoría es la búsqueda de la verdad, por lo tanto, el método que debe
utilizar para realizar su examen es sin duda el método científico. El enfoque científico es un
método sistemático de análisis que ayuda a la interpretación y síntesis de aspectos que
necesitan ser investigados. Tanto la investigación como el análisis abarcan un examen

3
 escudriñador de la lógica involucrada, las necesidades y justificación de la actividad que se
investiga.
La evaluación científica involucra un proceso de medición y comprobación de los principios y
prácticas reconocidas y en las cuales se busca si es o no el mejor plan, política, sistema o
procedimiento. Obtenida la información necesaria, se evaluará, a efecto de hacer las
sugerencias necesarias a la dirección.
La auditoría utiliza el método deductivo - inductivo, pues realiza el examen y evaluación de
los hechos empresariales objetos de estudio partiendo de un conocimiento general de los
mismos, para luego dividirlos en unidades menores que permitan una mejor aproximación a la
realidad que los originó para luego mediante un proceso de síntesis emitir una opinión
profesional. Todo este proceso requiere que el auditor utilice una serie de pasos realizados en
forma sistemática, ordenada y lógica que permita luego realizar una crítica objetiva del hecho
o área examinada.

a) Método inductivo

El método inductivo al contrario del deductivo se parte de fenómenos particulares con

incidencia tal que constituyen un axioma, ley, norma, teoría, es decir parte de lo particular y va
hacia lo universal. Desde el punto de vista de la auditoría, se descompone el sistema a estudiar
en las mínimas unidades de estudio, efectuándose el examen de estas partes mínimas
(particulares) para luego mediante un proceso de síntesis se recompone el todo descompuesto
y se emite una opinión sobre el sistema tomado en conjunto.
Estos dos métodos se combinan en forma armónica no excluyente. De esta manera, en forma
esquemática se pueden plantear así las fases generales a seguir en una auditoría:

 Conocimiento general de la organización  Determinación de los objetivos específicos

 Establecimiento de los objetivos generales
del examen
 Evaluación del Control Interno
 Determinación de las áreas sujetas a examen
 Conocimiento específico de cada área a
examinar
del examen de cada área
 Determinación de los procedimientos de
auditoría
 Elaboración de papeles de trabajo
 Obtención y análisis de evidencias
Informe de auditoría y recomendaciones

b) Método deductivo

El método deductivo consiste en derivar aspectos particulares de lo general, leyes axiomas,

teorías, normas etc. en otras palabras es ir de lo universal a lo específico o particular. Para
aplicar el método deductivo a la auditoría se necesita:
 Formulación de objetivos generales o específicos del examen a realizar
 Una declaración de las NAGAs y principios de contabilidad de general aceptación.

4
  Un conjunto de procedimientos para guiar el proceso del examen
 Aplicación de normas generales a situaciones específicas
 Formulación de un juicio sobre el sistema examinado tomado en conjunto
AUDITORIA DE LAS TIC
INTRODUCCIÓN
La Auditoria de las TIC está adquiriendo cada vez mayor relevancia, desde su aparición en el
año 1969, debido a la mayor importancia y protagonismo de los sistemas informáticos en
todos los ámbitos de nuestra Sociedad. Estas auditorías ayudan a las organizaciones a evaluar
la manera en que hacen sus negocios o proveen sus servicios apoyados por TIC, buscando
proteger los intereses del Estado, de los Trabajadores y de los Clientes. Un elemento que ha
propiciado, en gran medida, reducir los riesgos en materia de utilización de las TIC, han sido
las auditorias.

La participación del Auditor es uno de los mejores controles en el desarrollo de sistemas

informáticos de gestión empresarial, en tanto es el mejor momento para que el Auditor pueda
influir en el diseño de controles, debido a que la información es el recurso más importante de
cualquier compañía, por ser el único que no se puede o es muy difícil reemplazarlo; al mismo
tiempo, es el recurso que está sujeto a mayores vulnerabilidades.

Cuando en materia de Auditoría se logra incluir los temas relacionados con la aplicación de las
TIC en la gestión empresarial, se logra evaluar la efectividad del control interno. La Auditoría
de las TIC es un proceso llevado a cabo por profesionales especialmente capacitados para el
efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un Sistema
de Información salvaguarda el activo empresarial, mantiene la integridad de los datos ya que
esta lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos,
cumple con las leyes y regulaciones establecidas.

Permiten detectar de forma sistemática el uso de los recursos y los flujos de información
dentro de una Organización y determinar qué Información es crítica para el cumplimiento de
su Misión y Objetivos.

CARACTERÍSTICAS DE LA AUDITORIA DE LAS TIC

La información de la empresa y para la empresa, siempre importante, se ha convertido en un

activo real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de
realizarse inversiones en las TIC, materia de la que se ocupa la Auditoría de Inversión en la
TIC. Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y
particular: a ello se debe la existencia de la Auditoría de Seguridad de las TIC en general, o a
la auditoría de seguridad de alguna de sus áreas, como pudieran ser desarrollo o Técnica de
sistemas.

5
Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su
función: se está en el campo de la Auditoría de Organización de las TIC. Estos tres tipos de
auditorías engloban a las actividades auditoras que se realizan en una auditoría parcial. De otra
manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la Informática
de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades de
organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.

1. Síntomas de Necesidad de una Auditoría de las TIC

Las empresas acuden a las auditorías externas cuando existen síntomas muy perceptibles de
debilidad. Estos síntomas dependiendo de las tecnologías de información y comunicación
pueden agruparse en las siguientes clases de síntomas:

a) Síntomas de descoordinación y desorganización: no coinciden los objetivos de la de las

TIC con la empresa, los estándares de productividad se desvían sensiblemente de los
promedios conseguidos habitualmente.

b) Síntomas de mala imagen e insatisfacción de los usuarios: no se atienden las peticiones de

cambios de los usuarios, no se reparan las averías de Hardware ni se resuelven incidencias
en plazos razonables. El usuario percibe que está abandonado y desatendido
permanentemente.

c) Síntomas de debilidades económico-financieras: incremento desmesurado de costes,

necesidad de justificación de inversiones en TIC, desviaciones presupuestarias muy
significativas.

d) Síntomas de Inseguridad: evaluación de nivel de riesgos, seguridad lógica, seguridad física,

confidencialidad.

CONCEPTO DE LA AUDITORIA DE LAS TIC

La Auditoría de las Tecnologías de Información y Comunicaciones, consiste en el examen de
carácter objetivo, crítico, sistemático y selectivo de las políticas, normas, funciones,
actividades, procesos e informes de una entidad, con el fin de emitir una opinión profesional
con respecto a la eficiencia en el uso de los recursos informáticos, validez y oportunidad de la
información, efectividad de los controles establecidos y la optimización de los recursos
tecnológicos.
También se pude definir como un proceso sistemático por el cual un equipo o una persona
calificada, competente e independiente, obtiene y evalúa objetivamente la evidencia respecto a
las afirmaciones acerca de un proceso con el fin de formarse una opinión sobre el particular e

6
informar sobre el grado de cumplimiento en que se implementa dicha afirmación. Es
conveniente leerla un par de veces, para caer en el significado y trascendencia que implica.
Aparecen términos como competencia, independencia, evidencia, opinión y grado de
cumplimiento, por lo que es importante y conveniente tomar nota de estos elementos para
tener una concepción íntegra del concepto.

OBJETIVO DE LA AUDITORIA TIC

2. Objetivo General
El objetivo de la auditoría de las TIC es evaluar la eficiencia, economía, efectividad y
confiabilidad de la información, para la toma de decisiones que permitan corregir los errores,
en caso de que existan, o bien mejorar la forma de actuación.

3. Objetivos Específicos

 Asegurar la integridad, confidencialidad, confiabilidad y oportunidad de la información

 Seguridad de los datos, el hardware, el software y las instalaciones
 Minimizar existencias de riesgos en el uso de las TIC
 Conocer la situación actual del área informática para el logro de objetivos estratégicos y
operativos de la institución
 Apoyo de función del área de las TIC a las metas y objetivos de la organización.
 Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente tecnológico
 Incrementar la satisfacción de los usuarios que reciben los servicios sistematizados
 Buscar una mejor relación costo-beneficio de los sistemas automatizados.

HABILIDADES DEL AUDITOR DE LAS TIC

El auditor es la persona o el equipo de personas calificado, competente e independiente, con
capacitación y capacidad de desarrollar una auditoria al interior de cualquier empresa. Una
persona calificada es aquella que cumple con una serie de requisitos; en el caso de la auditoria
de las TIC deberá contar con conocimientos legales y técnicos para poder realizar su trabajo,
esos conocimientos deberán estar avalados por alguna certificación, donde se relacione la
formación y conocimiento acerca de sistemas de información.
Una persona competente es aquella persona calificada que a la vez asume a cambio de sus
servicios, responsabilidades y obligaciones. Las habilidades y destrezas que pueda tener un
auditor, lograran conseguir que se pueda desenvolver con naturalidad dentro de su trabajo y
sabrá enfrentar con mayor facilidad obstáculos que se encuentre a la hora de desarrollar su
trabajo. Entre esas habilidades que deben tener se pueden nombrar las siguientes:

 Actitud positiva  Iniciativa

 Saber escuchar  Facilidad de trabajar en equipo
 Mente analítica  Asesor-consultor

7
  Capacidad de negociación  Comunicador

La capacitación y la experiencia obtenida por el auditor a lo largo de su vida profesional

repercute en mejores resultados, proporcionando a la empresa fluidez y agilidad, encontrando
con facilidad los puntos críticos en el área de las TIC, logrando redactar un informe de calidad,
donde se identifiquen fortalezas y debilidades que se detecten en la auditoria.

AUDITORIA TRADICIONAL VS AUDITORIA DE LAS TIC

SIMILITUDES DIFERENCIAS
 No se requiere nuevas normas de  Se establecen algunos
auditoria nuevos procedimientos
AUDITORIA  Los elementos básicos de un buen de auditoria
TRADICIONAL sistema de control, siguen siendo  Hay diferencias en las
los mismos técnicas destinadas a
VS
 Los propósitos principales del mantener un adecuado
AUDITORIA DE
estudio y evaluación del control control interno
LAS TIC interno son la obtención de
evidencia para respaldar una
conclusión y determinar la
naturaleza, alcance y oportunidad
de los procedimientos de auditoria

8
 ESTUDIO DE LOS CONTROLES APLICADOS A LAS TIC
INTRODUCCIÓN
En la actualidad existen múltiples riesgos asociados a los equipos y sistemas de información y
comunicaciones que no cuenten con controles de seguridad, las amenazas en las TIC son
globales, y están repartidas en distintos niveles críticos según sea la orientación y el ámbito de
utilización. Es preocupante para grandes, medianas y pequeñas empresas el espionaje
industrial, los ladrones de información, la interrupción de servicios y las fallas en la
infraestructura y sistemas centrales de información, en nuestro medio social se advierte más
las tres últimas.
Cada día, se desarrollan nuevos métodos que afectan a la seguridad de la información de las
empresas, es por ello la necesidad de una estrategia de seguridad, para de prevenir fugas y
fallas en los sistemas. A lo antes expuesto se suman vulnerabilidades internas (misma
organización), que son un factor de riesgo no menor, y por lo tanto, existe alta probabilidad de
pérdida de dinero y repercusiones en la confiabilidad por parte de usuarios, clientes y socios
de negocios.

No se pueden obviar los factores de riesgos por desastres que al no estar previstos
eficientemente y sin planes de contingencia y/o de recuperación pueden provocar daños
irreparables en tiempo y costos de recuperación. Estos que son, difícilmente cuantificable,
puede incluso determinar la continuidad de una organización.

FUNCIONES DEL CONTROL

El control es la función que cierra y completa el proceso administrativo al iniciar la
retroalimentación de las acciones que se toman; en tal sentido, se trata de una fase
íntimamente interrelacionada con la de planificación. En definitiva, proporciona información
valiosa para planificar y puede servir de estímulo a los distintos componentes de la
organización si lo toman como un incentivo y no, así como fiscalización. Mediante el control,
se regula, mide y rectifica, las actividades, para asegurar que se cumplan los objetivos
formulados y se desarrollen correctamente los planes creados.

Como sistema, observa y comprueba, en primer término, cómo responde el proceso de

funcionamiento de la empresa a los acuerdos de gestión adoptados; después, revela los
resultados de la influencia directa sobre dicho funcionamiento y las desviaciones respecto de

9
las exigencias de lo planificado y de los principios vigentes de organización y regulación. Al
explicitar las desviaciones y sus causas, determina las maneras para corregir la organización
vigente, con el fin de superar las desviaciones y suprimir los obstáculos que entorpezcan el
funcionamiento óptimo de la misma.

CONCEPTO DEL CONTROL

El control consiste en verificar si todo se realiza conforme al programa adoptado, a las órdenes
impartidas y a los principios admitidos, tiene la finalidad de señalar las faltas y los errores, a
fin de que se puedan reparar y evitar la repetición. La información del proceso de control,
admite distintos destinatarios; desde los individuos o unidades controladas, hasta los directivos
de tales unidades o los directivos de niveles superiores.
Según Henry Fayol: consiste en verificar si todo ocurre en conformidad con las instrucciones
emitidas y con los principios establecidos. Harold Koontz dice: consiste en medir y corregir el
desempeño individual y organizacional para asegurar que las actividades se desarrollan de
acuerdo a los planes.

IMPORTANCIA DE LOS CONTROLES

Cada actividad empresarial se realiza mediante una metodología de trabajo, teniendo en forma
complementaria reglas explícitas o implícitas que forman parte del sistema metodológico que
busca no tener errores o al menos que reduzcan los mismos a una cantidad mínima, de modo
tal que no interfiera en el resultado y no vuelvan repetirse. Consecuentemente, el control es de
vital importancia dado que:

1. Establece medidas para corregir, de tal forma que se alcancen planes exitosamente.
2. Se aplica a todo: a las cosas, a las personas, y a los actos
3. Detecta y analiza las causas que originan desviaciones, para que no se repitan
4. Localiza a los lectores responsables, desde que se establecen medidas correctivas
5. Proporciona información de la ejecución de planes, y sirve de reinicio del proceso
6. Reduce costos y ahorra tiempo al evitar errores
7. Racionaliza la administración y coadyuva a la productividad de todos los recursos

TIPOS DE CONTROL
Existen tres tipos de controles administrativos preventivos, concurrentes y de
retroalimentación, cada uno de ellos es relevante en una fase diferente del ciclo de las
actividades de entrada- operación – salida de la organización. Todos cumplen un papel muy
importante.
a) Control preventivo: También llamados controles preliminares, se realizan antes de que se
realice una actividad de trabajo. Define objetivos, rumbo adecuado y recursos disponibles.

10
b) Control concurrente: Se ejecuta durante el proceso de trabajo, monitorean las operaciones y
actividades en curso para asegurar que las cosas se hagan de acuerdo con lo planeado.

c) Control posterior: Se implementan después de que la actividad u operación se ejecuta. Se

concentran en la calidad de los resultados finales y no en las entradas y procesos.

CONTROLES EN LOS SISTEMAS COMPUTARIZADOS

El control de un sistema computarizado puede expresarse como un plan destinado a asegurar

que solo los datos válidos sean aceptados, procesados completa y exactamente y que prevea
la información y los registros necesarios. Los controles dentro de un sistema de información
automatizado es necesario enfocarlos bajo tres aspectos esenciales:

1. Incidencia de la Computadora en la Organización

Aun cuando una empresa está estructurada organizativamente acorde con la variedad de
influencias modernas, las líneas de responsabilidad y autoridad deben estar definidas
claramente. La división de responsabilidades funcionales debe definirse por:

a. Funciones de iniciar y autorizar la transacción.

b. Registro de la transacción por escrito.
c. Resguardo de activos resultantes.

Tal división implica especialización brindando mayor eficiencia, evita duplicación y malgasto
de esfuerzos y aumenta la efectividad del control directivo. El resultado de centralizar las
actividades de procesamiento de datos y la concentración de funciones de proceso, produce en
efecto notable sobre las estructuras de la organización desde punto de vista de control.

2. Controles Generales

 El departamento de procesamiento de datos debe funcionar independiente

organizacionalmente de otros departamentos.
 El personal de procesamiento de datos no debe ejercer ningún control directo ni indirecto
sobre los activos ni hacer cambios en archivos principales sin la debida autorización.
 Deberá haber una clara segregación de funciones entre: diseño y análisis de sistemas,
programación, procesamiento, etc.

3. Controles Específicos

Se den consideran los siguientes elementos:

a. Ambiente físico.
b. Protección de la lógica de programas

11
c. Operación del equipo
d. Bibliotecas
e. Flujo de datos

CLASIFICACIÓN DE LOS CONTROLES COMPUTARIZADOS

1. Control de los proyectos de sistemas
Antes de ver el control como una etapa separada, se debe tener claro que éste es una acción
que siempre está presente durante el desarrollo del proyecto. Su fin primordial es detectar
desviaciones del plan de ejecución en forma oportuna, de manera que permita tomar acciones
correctivas y preventivas. De ser necesario se deberá retomar el proceso de planeación, para
ejecutar las acciones necesarias, reflejándolas en una nueva versión del plan. Entre los
controles destacan:

 Cronograma de proyecto actualizado

 Control de avance de implementación
 Formularios de acciones correctivas y preventivas
 Control de cambios
 Control de insumos (informes de avance, Plan de trabajo, recursos)
 Control de productos (cronograma, gráfico de avance, acciones correctivas, cambios)

2. Control de las operaciones del computador

En el ambiente informático, el control se materializa fundamentalmente en controles de dos

tipos: controles manuales; aquellos que son ejecutados por el personal del área usuaria o de
informática sin la utilización de herramientas computacionales y controles automáticos; son
generalmente los incorporados en el software, llámense estos de operación, de comunicación,
de gestión de base de datos, programas de aplicación, etc.

Los controles sobre computadores se relacionan a las políticas de adquisición, instalación y

soporte técnico, tanto del hardware como del software de usuario, así como la seguridad de los
datos que en ellos se procesan. Identificar y verificar usuarios, control de acceso, registro e
información, integridad del sistema, controles de supervisión, etc.

3. Control de las áreas restringidas

Por seguridad de las organizaciones es necesario tener sistemas de acceso para el personal que
labora en un área determinada, como lo pueden ser oficinas, cubículos o almacenes, dar acceso
a las personas correctas por medios confiables es el reto que deben de resolver los
programadores de sistemas de seguridad. Entre los controles se mencionan:
 Contar con un sistema para el acceso de personal a las instalaciones
 El sistema debe de contar con un registro histórico de los ingresos y egresos del personal

12
 El personal debe de acceder mediante una clave de usuario y un password
 El personal con acceso al área del laboratorio debe de estar registrada en una base de datos
 Restringir el acceso a un área en un horario determinado
 Imprimir y generar reportes de los usuarios registrados, las entradas y salidas
 Hoja de asistencia lo cual involucra la hora de entrada y salida en un día especifico.

4. Protección de los datos

Es el proceso de proteger la información importante de la corrupción y/o pérdida, la

protección de datos, conocida como seguridad de la información o seguridad informática, es
esencial en las TIC de organizaciones de cualquier tamaño y tipo. El término protección de
datos se utiliza para describir tanto el respaldo operativo de datos y la recuperación de
desastres (continuidad del negocio), una estrategia de protección de datos debe incluir la
gestión del ciclo de vida de datos, una estrategia global para la valoración, catalogación y
protección de los activos de información de errores de aplicación/usuario, ataques de
malware/virus, fallo de la máquina o cortes de energía/interrupciones en las instalaciones,
debe considerar los siguientes aspectos:

a) Ingeniería de la seguridad de datos: La ingeniería de seguridad cubre mucho terreno e

incluye muchas medidas, desde pruebas de seguridad y revisiones de código regulares hasta
la creación de arquitecturas de seguridad y modelos de amenazas para mantener una red
bloqueada y segura desde un punto de vista holístico.

b) Encriptación: Protege los datos y archivos reales almacenados en ellos o que viajan entre
ellos a través de Internet. La encriptación dificulta que los hackers hagan algo con ellos,
debido a que los datos encriptados son ilegibles para usuarios no autorizados sin la clave de
encriptación. La encriptación no se debe dejar para el final, y debe ser cuidadosamente
integrada en la red y el flujo de trabajo existente para que sea más exitosa.

c) Detección de intrusión y respuesta ante una brecha de seguridad: Si ocurren

acciones sospechosas, como alguien o algo que intenta entrar, la detección de intrusos se
activará. Los sistemas de detección de intrusos de red supervisan de forma continua y
pasiva el tráfico de la red en busca de un comportamiento que parezca ilícito o anómalo y
lo marcan para su revisión, no sólo bloquean ese tráfico, sino que también recopilan
información sobre él y alertan a los administradores de red.

d) Firewall: Software o hardware diseñado con un conjunto de reglas para bloquear el acceso
a la red de usuarios no autorizados. Son excelentes líneas de defensa para evitar la
interceptación de datos y bloquear el malware que intenta entrar en la red, y también evitan
que la información importante salga, como contraseñas o datos confidenciales.

13
e) Análisis de vulnerabilidades: El software de análisis de seguridad se utiliza para aprovechar
cualquier vulnerabilidad de un ordenador, red o infraestructura de comunicaciones,
priorizando y abordando cada uno de ellos con planes de seguridad de datos que protegen,
detectan y reaccionan.

f) Detección de amenazas en punto final: Se pueden prevenir ataques de ransomware con

software antivirus, el último sistema operativo y copias de seguridad de datos en la nube y
en un dispositivo local. Sin embargo, esto es diferente para organizaciones que tienen
múltiple personal, sistemas e instalaciones que son susceptibles a ataques.

g) Prevención de pérdida de datos: Dentro de la seguridad de punto final hay otra estrategia,
la prevención de pérdida de datos. Esto abarca las medidas que se toman para asegurar que no
se envían datos confidenciales desde la red, ya sea a propósito, o por accidente.

5. Controles de acceso lógico

El control de acceso lógico a sistemas y aplicaciones es la primera barrera a superar por un
atacante no autorizado a un equipo y a la información que contiene. La utilización de métodos
de seguridad combinados como la autenticación de dos factores, la biometría y las técnicas de
OTP (One Time Password) y SSO (Single Sign On) permiten reducirla probabilidad de éxito
en los intentos de acceso por personal no autorizado. Entre ellos destacan:

 Conceptos generales sobre el control de acceso lógico

 Mejoras en la utilización de contraseñas para el control de acceso
 Utilización de tarjetas y tokens como factor de autenticación
 Sistemas biométricos para el control de acceso.
 Sistemas de Single Sign On

6. Controles en la tramitación de datos

Los controles de acceso para la tramitación de datos proporcionan los servicios esenciales de:
autorización, identificación y autenticación, aprobación del acceso y rendición de cuentas.

 La autorización específica lo que un sujeto puede hacer.

 La identificación y autenticación garantizan que sólo el sujeto legitimados puedan entrar
 La aprobación garantiza el acceso durante las operaciones
 La rendición de cuentas identifica que se ha hecho.

7. Plan de contingencias
Conjunto de estrategias, acciones, procedimientos planificados y responsabilidades definidas
para minimizar el impacto de una interrupción imprevista de las funciones críticas y conseguir
la restauración de las mismas, dentro de unos límites de tiempo establecidos; el mismo, se

14
diseñada en función de una serie de posibles escenarios previamente definidos. Para este
efecto se realizan las siguientes actividades:
 Análisis de la situación actual de las TIC (riesgos: naturales, técnicos, organizativos, etc.)
 Análisis de impacto (tiempo de solución)
 Definir estrategias de contingencias (alternativas, costo, geografía, etc.)
 Equipos de recuperación (persona que ejecuta actividades - proceso de recuperación
efectivo)
 Plan de acción (procedimientos de: emergencia, respuesta y recuperación)
 Pruebas y actualizaciones (revisión periódica, ejercicio de entrenamiento y pruebas
técnicas)

8. Controles en los datos de origen

El control de origen de datos se utiliza para sustituir el origen de datos predeterminado o el

origen de datos actual de una aplicación. Este control se utiliza principalmente en ventanas de
diálogo para hacer referencia a un objeto de negocios que los controles de la ventana pueden
utilizar como origen de datos. Se puede colocar un control de origen de datos en los
siguientes: área del cliente, diálogo, página, sección, ficha, tabla, etc.

9. Validación de los datos

Los controles de validación permiten comprobar los datos proporcionados por el usuario en
una página web. Existen controles para distintos tipos de validación, como la comprobación de
un intervalo o la comparación de modelos. Cada control de validación hace referencia a un
control de entrada (un control de servidor) situado en otra parte de la página. Cuando se
procesan los datos proporcionados por el usuario (por ejemplo, cuando se envía una página), el
control de validación comprueba dichos datos y establece una propiedad para indicar si han
pasado la comprobación. Una vez llamado a todos los controles de validación, se establece una
propiedad en la página que indica si alguna de las comprobaciones de validación ha producido
un error.

10. Controles de mantenimiento de archivos

Mediante el mantenimiento de archivos se puede añadir, duplicar, borrar, modificar y

consultar los datos en los archivos de la aplicación (clientes, facturas de compra o venta,
proveedores, etc.). El mantenimiento consta de dos ventanas: ventana de mantenimiento y
detalle del registro.

a) Ventana del mantenimiento: La pantalla de mantenimiento consta de: un menú que contiene
opciones disponibles para el archivo en cuestión, una barra de herramientas con las
opciones más usuales, los controles para localizar y filtrar datos y la rejilla de datos donde
se muestran los registros del archivo.

15
b) Orden de visualización de los registros: Puede ordenar por cualquiera de los títulos de las
columnas de la rejilla pulsando sobre ellos. La primera vez que se pulsa se ordena
ascendentemente y al volver a pulsar el orden es descendente.

11. Controles de salida.

La información de salida de un procesamiento computarizado se refleja en listados o tabulados
impresos en papel o formularios continuos. A continuación se explicaran algunos:
 Custodia de los formulario críticos o negociables
 Conciliación entre formularios salidos del inventario y aquellos procesados (impresos)
 Conciliación de importes totales contenidos en las salidas
 Control de distribución y verificación de recepción
 Tiempo de retención de informes
 Información de salida para corrección de errores
LOS SISTEMAS DE INFORMACIÓN

INTRODUCCIÓN
Para adentrarse en el proceso de una auditoría a las TIC, es requisito imprescindible
comprender los conceptos de sistemas, información y tecnologías de las comunicaciones. Al
lograr una visión y conocimientos del entorno informático, el auditor juzgará, de manera
suficiente, la naturaleza de la problemática y riesgos a los cuales se verá enfrentado al
planificar y realizar la auditoría.

Un sistema de información automatizado, es un conjunto de elementos que interactúan entre sí

con el fin de apoyar las actividades de una empresa o negocio. El equipo computacional: el
hardware necesario para que el sistema de información pueda operar; así como el recurso
humano que interactúan con el sistema de información, el cual está formado por las personas
que utilizan el sistema.

La captura de datos puede ser manual o automatizada y, en general, es conveniente realizarla

en el momento en que se produce el hecho al que está asociado. En la etapa de proceso, se
transforman los datos de entrada del sistema en información útil, mediante una serie de
operaciones de cálculo, agregación, comparación, filtrado, presentación, etc. Estas
operaciones, generalmente son realizadas con la ayuda de sistemas informáticos. La
información útil se plasma en una serie de documentos, informes y gráficos, para ser
distribuida a las personas adecuadas dentro de la organización.

Esta información, así como los datos de partida, se almacenan generalmente, en un soporte
informático para poder ser reutilizados en cualquier momento. La retroalimentación
(feedback) de la información obtenida en todo este proceso, se puede utilizar para realizar
ajustes y detectar posibles errores en la captura de los datos y/o en su transformación.

16
CARACTERÍSTICAS DE LOS SISTEMAS DE INFORMACIÓN
Si se tuviera que resumir con una sola frase, el principal objetivo de un sistema de información
dentro de una organización, se podría afirmar que éste se encarga de entregar la información
oportuna y precisa, con la presentación y el formato adecuados a la persona que la necesita
dentro de la organización, para tomar una decisión o realizar alguna operación y justo en el
momento en que esta persona necesita disponer de dicha información.
Actualmente, la información debe ser considerada como uno de los recursos más valiosos de
una organización y el sistema de información es el encargado de que ésta sea gestionada
siguiendo criterios de eficiencia y eficacia. La información será útil para la organización, en la
medida que facilite la toma de decisiones, por lo que ha de cumplir una serie de requisitos,
entre los cuales cabe destacar: exactitud, completos, económicos, confiables, relevancia,
pertinente, verificable, etc.

ESTRUCTURA DE LOS SISTEMAS DE INFORMACIÓN

Los sistemas de información están compuestos por diferentes elementos que interaccionan
entre sí, entre los cuales se pueden encontrar cinco componentes fundamentales: personas,
actividades, datos, redes y tecnología.

Las personas engloban a aquellas personas que patrocinan y promueven el desarrollo de los
sistemas de información; los datos constituyen la materia prima empleada para crear
información útil; en las redes se analizan la descentralización de la organización; la tecnología,
hace referencia tanto al hardware como el software de un sistema de información.

PROCESOS DE LOS SISTEMAS DE INFORMACIÓN

Un sistema de información, se puede definir como un conjunto de elementos interrelacionados

(entre los que se pueden considerar los distintos medios técnicos, las personas y los
procedimientos), cuyo cometido es capturar datos, almacenarlos y transformarlos de manera
adecuada y distribuir la información obtenida mediante este proceso.

Su propósito es apoyar y mejorar las operaciones de la organización, así como satisfacer las
necesidades de información, para la resolución de problemas y la toma de decisiones, por parte
de los directivos de la organización. Por tanto, un sistema de información realiza cuatro
actividades básicas: entrada, almacenamiento, procesamiento y salida de información.

1. Entrada de Información:

Es el proceso mediante el cual el Sistema de Información toma los datos que requiere para
procesar la información. Las entradas pueden ser manuales o automáticas. Las unidades típicas
de entrada de datos a las computadoras son las terminales, memorias externas, pendriver, los

17
códigos de barras, los escáners, la voz, los monitores sensibles al tacto, el teclado y el mouse,
entre otras.

2. Almacenamiento de información:

El almacenamiento es una de las actividades o capacidades más importantes que tiene una
computadora, ya que a través de esta propiedad el sistema puede recordar la información
guardada en la sección o proceso anterior. Esta información suele ser almacenada en
estructuras de información denominadas archivos. La unidad típica de almacenamiento son los
discos magnéticos o discos duros, pendriver y los discos compactos (CD-ROM).

3. Procesamiento de Información:

Es la capacidad del Sistema de Información para efectuar cálculos de acuerdo con una
secuencia de operaciones preestablecida. Estos cálculos pueden efectuarse con datos
introducidos recientemente en el sistema o bien con datos que están almacenados. Esta
característica de los sistemas permite la transformación de datos fuente en información que
puede ser utilizada para la toma de decisiones, lo que hace posible, entre otras cosas, que un
tomador de decisiones genere una proyección financiera a partir de los datos que contiene un
estado de resultados o un balance general de un año base.

4. Salida de Información:

La salida es la capacidad de un sistema de información para sacar la información procesada o

bien datos de entrada al exterior. Las unidades típicas de salida son las impresoras, terminales,
la voz, los graficadores y los plotters, entre otros. Es importante aclarar que la salida de un
sistema de información puede constituir la entrada a otro sistema de información o módulo. En
este caso, también existe una interfase automática de salida.

CLASIFICACIÓN DE LOS SISTEMAS DE INFORMACIÓN

Por lo general, las clasificaciones más extendidas de los sistemas de información suelen
agrupar éstos en función de su propósito. De una forma muy global, puede considerarse que
existen dos propósitos básicos para los sistemas:

1. Soporte a las actividades operativas

Que da lugar a sistemas de información para actividades más estructuradas aplicaciones
contables, ventas, adquisiciones y, en general, lo que se denomina “gestión empresarial” o
también sistemas que permiten el manejo de información menos estructurada: aplicaciones
ofimáticas, programas técnicos para funciones de ingeniería, etc.

2. Soporte a las decisiones y el control de gestión

18
Que puede proporcionarse desde las propias aplicaciones de gestión empresarial (mediante
salidas de información existentes) o a través de aplicaciones específicas. Los sistemas de
soporte a las actividades operativas, surgen para automatizar actividades operacionales
intensivas en el manejo de datos. Concretamente, se centran en áreas como administración
(contabilidad y facturación) y gestión de personal, extendiéndose a otras actividades como la
venta, la compra o la producción.
Actualmente, estos sistemas forman parte de lo que las organizaciones denominan como su
“Sistema de Gestión Empresarial”, los sistemas de información para la toma de decisiones,
permiten sacar provecho a los datos recogidos por los sistemas transaccionales, siendo capaces
de proporcionar información para la gestión. Estos sistemas, permiten generar informes para
los directivos de la organización, con el propósito de mejorar el control de gestión de las
distintas áreas funcionales. De este modo, se consigue agilizar el proceso de toma de
decisiones, proporcionando información necesaria de forma rápida, precisa y fiable.

COBIT (OBJETIVOS DE CONTROL PARA LA

INFORMACIÓN Y TECNOLOGÍAS RELACIONADAS)
INTRODUCCIÓN
Existe una creciente preocupación en la alta dirección de todas las organizaciones, públicas o
privadas, acerca de las actividades de la función de las TIC, hoy en día, el papel que juegan las
TIC en las organizaciones es cada vez más vital, no solo para mantener la competitividad, sino
para garantizar las operaciones diarias. En el sector privado, los consejos de administración de
las empresas son conscientes de que una parada en sus sistemas significa una pérdida
inmediata de los ingresos de la compañía.
En el sector público se reconocen las TIC como factor necesario para prestar un servicio
público de calidad; en ambos casos, existe una marcada sensibilidad a la relación entre el
correcto funcionamiento de los servicios de las TIC y la imagen pública de la organización.
Asimismo, la dirección se ve en la necesidad de justificar el valor de las importantes
inversiones en las TIC, asegurar el cumplimiento normativo a la vez que se minimizan los
riesgos en un entorno sujeto a amenazas internas y externas.
Todos estos factores han propiciado la aparición de modelos, metodologías y prácticas
dirigidas a garantizar un mejor gobierno o un rendimiento más óptimo de las TIC en las
organizaciones. Algunas de estas prácticas han sido desarrolladas por la propia dirección de
las áreas de las TIC, mientras que otras externas tienen como propósito el control externo de
las propias unidades TIC. Entre las prácticas más aceptadas se puede citar a COBIT.

“Los Objetivos de Control para la Información y la Tecnología relacionada” (conocidos

generalmente por su acrónimo COBIT) brindan un conjunto de buenas prácticas a través de un
marco de trabajo basado en procesos, y presenta las actividades de una estructura manejable y

19
lógica. Las buenas prácticas de COBIT están enfocadas fuertemente en el control y menos en
la ejecución, es decir, indican más qué se debe conseguir sin focalizarse en el cómo.

DEFINICIÓN
COBIT es un acrónimo formado por las siglas derivadas de: Control Objetives for Information
and Related Technology (Objetivos de Control para la Información y Tecnologías
Relacionadas). Este conjunto de objetivos representa el producto de un proyecto de
investigación desarrollado por la Information System Audit and Control Fundation (ISACF)
que fue publicado inicialmente en el año de 1996.

Como su nombre lo indica, COBIT es un conjunto de objetivos de control aplicables a un

ambiente de tecnologías de información que lograron definirse gracias a un trabajo de
investigación y búsqueda de consenso entre la normatividad de distintos cuerpos colegiados,
estándares técnicos, códigos de conducta, prácticas y requerimientos de la industria y
requerimientos emergentes para industrias específicas (desde la banca hasta la manufactura).

Este extenso trabajo de investigación realizado por equipos de expertos de América, Europa y
Oceanía, dio como resultado un grupo estructurado de objetivos de control que al ser
compatibles con las principales normas a nivel internacional, cuenta con una aceptación
implícita como un estándar global en términos de control interno en tecnologías de
información.

MISIÓN DE COBIT
La misión de COBIT es: “investigar, desarrollar, publicar y promover un conjunto
internacional, autorizado y actual de objetivos de control en tecnologías de información
generalmente aceptados por el uso cotidiano de gerentes de organizaciones y auditores”.
Entonces, el propósito de COBIT es proporcionar una guía estándar que tenga una aceptación
internacional sobre los objetivos de control que deben existir en un ambiente de tecnología de
información para asegurar que las organizaciones logren los objetivos de negocio que
dependen de un adecuado empleo de dicha tecnología.

ESTRUCTURA DE COBIT.
COBIT logra un primer acercamiento entre los mundos de los negocios y del control de
tecnología de información, mundos que históricamente aparecían distantes uno del otro,
aunque la necesidad de interacción fuese evidente. La estructura de COBIT se fundamenta en
la idea de que los recursos de TI deben ser utilizados en forma adecuada mediante la ejecución
de procesos de trabajo para satisfacer los requerimientos de (información del) negocio que
existen en las organizaciones.

20
 ESTRUCTURA COBIT

RECURSOS PROCESOS DE REQUERIMIENTO

TIC TRABAJO DE NEGOCIO

Datos Planeación y Organización Efectividad

Sistemas de Información Adquisición e Implementación Eficiencia
Tecnología Prestación de Servicios y Soporte Confidencialidad
Instalaciones Monitoreo Integro y disponible
Recursos Humanos Información confiable
Cumplir Leyes

ENFOQUE METODOLÓGICO DE LAS AUDITORIAS APLICADAS A TIC

INTRODUCCIÓN
La realización de una auditoria de las tecnologías de información y comunicación al igual que
otros tipos de auditoria, necesita contar con una metodología estandarizada para abordar de
manera integral los distintos tipos de proyectos y programas relacionadas con las TIC. Con
este propósito, se desarrolla un enfoque que permita integrar la visión sistémica, de procesos y
control al que hacer de los profesionales auditores informáticos que trabajan en la función de
control posterior.
La presente metodología, es la aproximación más globalmente aceptada para la gestión de
servicios de tecnologías de información en todo el mundo, ya que se basa en una recopilación
de las mejores prácticas tanto del sector público como del sector privado que se apoyan en
herramientas de evaluación e implementación. Propone el establecimiento de estándares que
ayudan al control, operación y administración de los recursos, para mejorar la calidad de las
auditorías a las tecnologías de la información y las comunicaciones realizadas por los
profesionales del área.
El enfoque metodológico integra el conocimiento aportado por las organizaciones que lideran
el desarrollo de los estándares y mejores prácticas en el ámbito de las tecnologías de la
información reconocidas a nivel internacional, entregando un marco referencial para realizar
auditorías a las tecnologías de información centradas en los procesos del negocio, los sistemas
de información que los soportan y sus actividades de control. El enfoque metodológico
comprende la planificación, ejecución y comunicación de resultaos.

21
METODOLOGÍA
a) FASE I. Planificación de la auditoría
 Plan de auditoría preliminar
 Comprensión de la organización, procesos de negocio y sistemas
 Definición del programa y alcance de la auditoría
b) FASE II. Ejecución de la auditoría
 Evaluación del control interno
 Diseño de las pruebas de auditoría
 Ejecución de las pruebas de auditoría
 Evaluación del resultado de las pruebas de auditoría
c) FASE III. Comunicación de los resultados
 Elaboración del informe con los resultados de la auditoría
 Seguimiento a las observaciones de la auditoría
1. Síntesis de actividades
ETAPAS ACTIVIDADES
Nº DESCRIPCIÓN
 Elaborar un plan de auditoría con
1 Plan de auditoría objetivos generales.
preliminar  Conformar el grupo de trabajo que
realizará la auditoría.
 Estimar tiempo para realizar la auditoría.
 Levantamiento de información, estado
Comprensión de la actual, características de la organización,
2 organización, procesos infraestructura, recursos, procesos de
de negocio y sistemas negocios y sistemas de información.
 Confeccionar flujograma.
 Realizar ficha técnica de los sistemas.
 Seleccionar los objetivos de control
3 Definición del programa aplicables al negocio y las TIC.
y alcance de la auditoría  Elaborar el programa de auditoría.
 Confeccionar Carta Gantt del programa.
 Identificar y documentar los controles
existentes de procesos de negocio y TIC.
4 Evaluación del sistema  Evaluar el diseño y grado de protección
de control interno que ofrecen los controles existentes.
 Identificar y documentar los controles
deficientes.
 Definir y diseñar pruebas de
cumplimiento para los controles claves
5 Definición y diseño de de los procesos de negocio y sistemas
las pruebas de auditoría agrupados por técnicas de verificación.
 Definir el diseño y alcance de las pruebas
sustantivas para datos clave de los
procesos y sistemas.
22
PRODUCTOS
 Plan de auditoría preliminar.
 Definición del perfil del personal
requerido y asignación de auditores.
 Lista con horas estimadas por etapa para
realizar la auditoría.
 Archivos de trabajo de la auditoría.
 Documento con definición de los
procesos de negocio y diagramas.
 Ficha técnica de los sistemas de
información que soportan los procesos.
 Lista de objetivos de control de los
procesos de negocio y TIC.
 Programa de auditoría detallado.
 Carta Gantt del programa de auditoría.
 Lista de controles existentes para los
procesos de negocio y sistemas TIC.
 Lista de grado de protección de
controles existentes para los procesos y
TIC.
 Lista de deficiencias y debilidades de
control interno.
 Definición del alcance de las pruebas de
cumplimiento.
 Diseño detallado de las pruebas de
cumplimiento según técnicas.
 Definición del alcance de las pruebas
sustantivas.
 Diseño detallado de pruebas
 sustantivas.
 Ejecutar pruebas de cumplimiento y  Lista de controles verificados por el
6 Ejecución de las pruebas sustantivas utilizando técnicas de auditor.
de auditoría verificación manuales o asistidas por  Soportes de las pruebas de auditoría
computador. realizadas.
 Evaluar los resultados de las pruebas.  Listado con análisis de observaciones
 Desarrollar análisis de observaciones de de auditoría para pruebas de
Evaluación de los auditoría y puntos mejorables. cumplimiento y sustantivas.
7 resultados obtenidos en  Identificar causas, impacto,  Conclusiones de los resultados
implicaciones y verificar los estándares obtenidos.
las pruebas de auditoría
y mejores prácticas que no se cumplen.
 Diseñar las conclusiones de auditoría
para los resultados no satisfactorios.
 Elaborar resumen de observaciones.  Resumen de observaciones obtenidas.
 Desarrollar y aprobar informe preliminar.  Informe preliminar de auditoría.
Elaboración del informe  Emitir informe preliminar.  Documento con el análisis de las
8 con los resultados de la  Analizar respuesta del informe respuestas emitidas por el servicio
preliminar. auditado al informe preliminar.
auditoría
 Diseñar conclusiones de la auditoría.  Informe final de auditoría.
 Elaborar y aprobar informe final.  Expediente de auditoría con
 Emitir informe final de auditoría. observaciones organizadas.
 Organizar y cerrar archivo (hojas trabajo).
 Planificar seguimiento al cumplimiento  Programa de seguimiento.
de las observaciones de auditoría.  Listado con el resultado del
Seguimiento a las  Efectuar seguimiento programado. cumplimiento de las observaciones.
9 observaciones de  Analizar y evaluar el seguimiento.  Informe de seguimiento.
auditoría  Elaborar/aprobar informe de seguimiento.
 Emitir informe de seguimiento.
PLANIFICACIÓN DE LA AUDITORIA
En la primera fase se realiza un plan de auditoría preliminar para definir los objetivos de la
auditoría, asignar los recursos y estimar el tiempo necesario para efectuar la revisión.

1. Plan de auditoría preliminar

Esta primera etapa se ejecuta en auditorias recurrentes, considera la planificación que se
realizó el año anterior. El resultado de esta actividad es el programa de trabajo, el que debe
incluir:

 Objetivos de la auditoría
 Definición del equipo de auditores requerido: perfil y habilidades.
 Tiempo estimado para efectuar la auditoría.

2. Programa de trabajo para el desarrollo de la auditoría

 Objetivos de la auditoría
 Alcance de la auditoría:
 Programación de actividades

3. Asignación de recursos y estimación del tiempo requerido para efectuar la auditoría

23
 Con base a la complejidad técnica del negocio y las TIC sujetos a auditoría y los objetivos
propuestos, definir competencias y responsabilidades del equipo de auditoría (gerente,
supervisor, sénior, junior) y estimar la necesidad de tiempo (horas asignadas a cada auditor).

4. Comprensión de los procesos de negocio y sistemas de información que los soportan

Los objetivos son conocer y comprender el ambiente de organización, tecnológico y operativo
y los sistemas de información que los soportan, se realiza un levantamiento de la información
a través de entrevistas, observación de la ejecución de las operaciones y la comprensión de la
lógica del negocio, los flujos de información, el rol de las personas y dependencias; así como,
otra información que el auditor considere importante.

5. Levantamiento de la información básica y detallada

Tiene como finalidad la comprensión de la filosofía y las características de funcionamiento del
negocio y las TIC en estudio. Como resultado de esta actividad se obtiene:

a) De los procesos de negocio

 Estructura organizacional  Terceros que intervienen

 Procesos del negocio  Cuantificación de cifras de operaciones
 Clientes interno y externos  Políticas y procedimientos establecidos
 Dependencias de la organización  Normas legales e institucionales
 Tareas o actividades que realizan  Información sobre fraudes y otros

b) De las tecnologías de información que soportan los procesos de negocio

 Funciones y operaciones de los sistemas
 Modelo entidad/relación de base de datos
 Diccionario de datos entidad/relación
 Inv. de documentos y fuente de otros
medios de entrada de datos
 Personas claves que dan soporte técnico
 Terceros que prestan servicios de las TIC
Inv. de informes que producen los sistemas
Interfaces entre sistemas
Manuales técnicos del usuario
Plataforma de funcionamiento de las TIC
Datos de adquisición de las TIC
Datos de desarrollo interno (tipo de lenguaje,
archivos fuentes y ejecutables, versión, etc.)

6. Estructura y organización de los archivos de trabajo

Con la información obtenida se organiza el “archivo permanente”, con información que
representa el estado actual del área objeto de auditoría y el “archivo de hojas de trabajo” que
construye los resultados de cada una de las sub etapas de la metodología (papeles de trabajo).

7. Ficha técnica de los sistemas de información

24
 La ficha técnica es un documento con el resumen gerencial de las principales características
del proceso de negocio y de las tecnologías de información que soportan sus operaciones. El
contenido de la ficha técnica es un resumen del archivo permanente de los procesos de
negocio y los sistemas de información que los soportan.

8. Definición del alcance de la auditoría

El objetivo es identificar, analizar y seleccionar los objetivos de control aplicables a los
procesos de negocio y sistemas de información, los cuales se incorporan al programa. Se
obtiene:
 Programa de auditoría con objetivos detallados
 Carta Gantt de la auditoría
 Lista de definición y análisis de objetivos de control aplicables a los procesos y las TIC

9. Selección de los objetivos de control aplicables

Se seleccionan los objetivos de control que sean aplicables a la auditoría de los procesos de
negocio y las TIC.

 Estrategia y dirección  Procedimientos de calidad

 Organización general  Controles de acceso físico
 Acceso a los recursos de información  Plan/continuidad y recuperación/desastres
 Metodología de TIC y control de cambios  Redes y comunicaciones
 Procedimientos de operaciones  Administración de la base de datos
 Programación de TIC y funciones de soporte  Protección y mecanismos de detección
técnico internos y externos
EJECUCIÓN DE LA AUDITORIA
Esta fase de auditoría realiza un análisis del control interno de la organización, para planificar
y realizar las pruebas de cumplimiento y sustantivas; consecuentemente, determinar si los
controles operan de forma adecuada y apoyan al cumplimiento de los objetivos definidos.

1. Evaluación del sistema de control interno

Se evalúa el control interno existente en los procesos de negocio y las TIC objeto de auditoría,
para determinar la naturaleza, oportunidad y extensión de las pruebas. La evaluación del
control interno produce resultados intermedios, para las siguientes etapas de auditoría, estos
son:
 Fundamenta su conclusión sobre la confiabilidad de controles utilizados, los resultados de
esta evaluación sirven al auditor como base para determinar las NAO.
 Identifica y soporta debilidades y oportunidades de mejoramiento (insumos para el
informe)
 Identifica los controles que deberán verificarse en la ejecución

25
 Identifica datos críticos y actividades, para aplicar pruebas y verificar la exactitud y
confiabilidad de los cálculos y la información que producen las TIC (pruebas sustantivas).
 Documenta las observaciones de auditoría para los procesos de negocio y las TIC.

2. Levantamiento de controles por procesos de negocio y sistemas de información

Se identifica y documenta los controles existentes en el proceso del negocio y las TIC. Los
soportes de este levantamiento de controles, generalmente son flujogramas o la descripción
narrativa de las actividades que se desarrollan en cada proceso.

3. Criterios para evaluar la protección que ofrecen los controles

Para que los controles existentes ofrezcan el nivel de protección apropiado, deben satisfacer al
menos dos de los tres criterios que se mencionan a continuación:
 Exista la mezcla de los tres tipos de controles (preventivo, detectivo y correctivo)
 La calificación de los controles sea eficiente (dependiendo del criterio de evaluación)
 El costo/beneficio sea razonable (adquisición, instalación, operación y mantenimiento)

4. Evaluar la satisfacción de los objetivos de control

Al terminar el levantamiento de los controles de los procesos de negocios y sistemas de
información que los soportan, se procede a evaluar la satisfacción de los objetivos de control
identificados en la etapa anterior. Para este fin es necesario la ejecución de las siguientes
actividades:

 Consultar la lista de los controles levantados indicando sus atributos (tipo y clase)
 Distribuir los controles existentes entre los objetivos de control COBIT
 Evaluar el grado de satisfacción de los controles asignados a cada objetivo de control
 Resumir la evaluación de satisfacción de los objetivos de control

5. Observaciones de control interno

Las observaciones de auditoría en la evaluación de control interno, se refieren a desviaciones
que se presentan respecto a los estándares de seguridad y control o a las normas internas de la
organización. En la práctica, se refieren a debilidades o deficiencias, las observaciones se
registran y posteriormente se analizan de acuerdo a los pasos siguientes:
 Se describe la observación o desviación identificada respecto a los objetivos y estándares
 Se presenta el estándar, el que debería aplicarse para evitar o resolver el problema.
 Se describe el impacto o perjuicios a que se expone la organización por la deficiencia

6. Definición y diseño de las pruebas de auditoría

26
 Se define y diseña los procedimientos de auditoría para obtener evidencia válida y suficiente
de la operación de los controles existentes (pruebas de cumplimiento) y de la integridad de la
información (pruebas sustantivas), se obtienen los siguientes productos:

a) Para pruebas de cumplimiento: Por cada técnica de comprobación a emplear, un

documento con las especificaciones de diseño de cada prueba, indicando los controles a
probar, el procedimiento y los recursos requeridos para ejecutar la prueba.

b) Para pruebas sustantivas: Por cada técnica de comprobación a utilizar, un documento con
las especificaciones de diseño de cada prueba, indicando los datos a verificar, el
procedimiento y los recursos requeridos para ejecutar la prueba.

7. Identificación de controles claves que serán verificados

Las pruebas de cumplimiento y sustantivas no se aplican para todos los controles existentes,
identificados y evaluados satisfactoriamente. Por razones de efectividad y eficiencia, se
selecciona cuidadosamente una muestra de controles, aplicando criterios que consulten su
importancia para asegurar calidad, seguridad, cumplimiento con aspectos legales y
confiabilidad de los procesos de negocio y las TIC. Tales controles se denominarán claves,
porque son vitales o de mayor importancia para asegurar el correcto funcionamiento de los
procesos, sistemas y las actividades del negocio sujetas a auditoría. Son características de los
controles clave:
 Indispensables, evitan, detectan y corrigen el efecto o la ocurrencia de un riesgo alto
 Actúan con mayor frecuencia sobre varias causas de riesgo, es decir, tienen efecto múltiple
 Clase de control, muestra de controles automatizados y muestra de controles manuales

8. Agrupamiento de controles por técnica de comprobación

Este método consiste en asignar individualmente las técnicas de comprobación a cada uno de
los controles y posteriormente agruparlos bajo el nombre de ésta. Los pasos a seguir para
definir las pruebas de cumplimiento utilizando el método de agrupamiento de controles por
técnica de comprobación son:
 Asignar técnica de comprobación de control  Diseñar las pruebas de cumplimiento
 Agrupar los controles a verificar por técnica  Planificar la ejecución de las pruebas
 Definir el alcance de las pruebas  Ejecutar el plan de pruebas de cumplimiento

La aplicabilidad de cada técnica de comprobación depende de la naturaleza del control, por lo

que el auditor debe analizar sus características y optar por la técnica que a su criterio permita
la correcta ejecución y comprobación de las pruebas a realizar.

9. Definición y diseño de pruebas de cumplimiento

27
Las pruebas de cumplimiento tienen como objetivo comprobar (obtener evidencia) que los
controles establecidos están implantados y que las personas encargadas de las operaciones los
entienden, ejecutan y supervisan (monitorean) continuamente. Estas pruebas también son
necesarias para evaluar si los procedimientos empleados satisfacen las políticas y
procedimientos de la organización.

a) Asignar técnicas de verificación para cada control clave: Se agrupan los controles claves
que serán verificados y se escogen las técnicas de prueba a emplear.
b) Agrupar los controles clave a verificar por técnica de comprobación asignada: Realizar el
agrupamiento de controles que utilicen la misma técnica de comprobación.

c) Definir el alcance de las pruebas por técnica de comprobación: El alcance de cada técnica
de comprobación se puede definir globalmente para todo el proceso de negocio, considerando:

 Los controles a probar con la técnica de comprobación

 Los criterios de la información de negocio impactados por los controles a probar
 Los recursos de tecnología que son impactados por los controles a probar

d) Diseño detallado de las pruebas de auditoría a ejecutar: Implica determinar los recursos
necesarios (infraestructura, datos y personal), el procedimiento a emplear y los responsables.
e) Planificar la ejecución de las pruebas: Planificar y coordinar con el personal de sistemas y
de las áreas de negocio la ejecución de las pruebas de auditoría (manual y computarizado).

10. Definición y diseño de las pruebas sustantivas

Tienen como objetivo verificar la integridad de la información y se aplican sobre datos que
representan saldos de activos, pasivos y gastos importantes en las operaciones del negocio.
Esta información comúnmente reside en bases de datos. Se siguen los siguientes pasos:

a) Agrupar los datos clave a verificar por técnica de comprobación asignada: Se confecciona
una lista con los datos clave para cada una de las técnicas a aplicar, se puede repetir técnicas.

b) Definir el alcance de las pruebas por cada técnica de comprobación: El alcance de cada
técnica de comprobación se define de la siguiente forma:
 Datos claves a probar con la técnica de comprobación
 Los criterios de la información de negocios afectados por los datos a probar
 Los recursos de tecnología que son impactados por los controles a probar

28
c) Diseñar las pruebas de auditoría a ejecutar con cada técnica de comprobación: El diseño
detallado implica determinar los recursos necesarios (infraestructura, datos y personal), los
objetivos y el procedimiento de análisis a emplear.

d) Planificar la ejecución de las pruebas sustantivas: El objetivo de este paso es planear y

coordinar la ejecución de las pruebas de auditoría con el personal de sistemas y del área de
negocio en el lugar de trabajo (manuales y asistidas por computador). Como factor crítico de
éxito de las pruebas de auditoría, es necesario programar su ejecución considerando la
disponibilidad de los recursos necesarios para aplicarlas, el sitio de ejecución y su
periodicidad.

11. Ejecución de las Pruebas de Auditoría

Ejecutar el plan de pruebas de auditoría especificado en la etapa anterior, estas pruebas pueden
ser asistidas por computador o completamente manuales. Por cada prueba que se ejecute deben
adjuntarse los soportes correspondientes. Se obtienen entre otros los siguientes soportes:
 Lista de comprobación de controles revisados por el auditor
 Documentación sobre procedimientos y controles establecidos en los procesos del negocio
 Muestras de documentos, listados y cualquier otro material de evidencia
 Archivos de datos utilizados en las pruebas de auditoría asistidas por computador
 Documentos con la preparación de las entrevistas y con las notas tomadas por el auditor
 Documentación de los programas desarrollados para las pruebas asistidas por computador

12. Técnicas y Herramientas de Auditoría

Los auditores pueden utilizar diferentes métodos para revisar los controles de las aplicaciones
en funcionamiento y las operaciones en el centro de servicios informáticos, como:
a) Técnicas para probar los controles en los sistemas: 1. Método de los datos de prueba, 2.
Evaluación del sistema de caso base, 3. Operación paralela y 4. Simulación paralela
b) Técnicas para analizar sistemas: 1. Snapshot, 2. Mapping y tracing manuales, 3. Mapping
y tracing asistidos por el computador y 4. Flujogramas de control (control flowcharting)
c) Técnicas para verificar datos: 1. Software multipropósito para auditoría, 2. Software de
auditoría para terminales y 3. Programas de auditoría de propósito especial
d) Técnicas para seleccionar y monitorear transacciones: 1. Selección de transacciones de
entrada, 2. Módulos de auditoría integrados en las TIC y 3. Registros extendidos

13 Análisis del Resultado de las Pruebas de Auditoría

El objetivo de esta etapa es analizar y evaluar los resultados de las pruebas de cumplimiento y
sustantivas ejecutados, para obtener conclusiones de la auditoría sobre el funcionamiento de
los procesos de negocio y las TIC objeto de la auditoría. Como resultado se obtiene lo
siguiente:

29
 Lista de controles clave comprobados por el auditor en terreno
 Documentación de las observaciones y análisis de las deficiencias y como mejorarlas

COMUNICACIÓN DE RESULTADOS.
Esta es la última fase de la auditoría, en ella se resumen los resultados más significativos
obtenidos en las etapas anteriores. Consecuentemente, son los insumos para elaborar el
informe de auditoría, comunicando a la alta dirección y a los demás interesados, las
observaciones y conclusiones sobre las características de seguridad, calidad y confiabilidad de
la información y de los recursos tecnológicos y humanos que intervienen en las actividades de
control de los procesos de negocio y las TIC.

1. Elaboración de los Informes con los Resultados de la Auditoría

Los informes tienen como objetivo comunicar al servicio sobre el resultado de la auditoría,
que éste conteste cada una de las observaciones con los antecedentes pertinentes y
posteriormente se elabore y envíe el informe final con las conclusiones de la auditoría.

2. Estructura y Contenido de los Informes

El objetivo del informe preliminar es comunicar las observaciones encontradas, con las
acciones de mejoramiento para solucionar los problemas detectados. El propósito del informe
final es atender las respuestas del servicio a las observaciones y desarrollar las conclusiones de
auditoría; el informe preliminar consta siguientes tres secciones:

a) Objetivos y alcance de la auditoría: Breve descripción de los objetivos de auditoría, de los

aspectos de seguridad examinados, los objetivos de controles y las dependencias en las que se
efectuó la revisión. También, se mencionan el período de revisión y el rango de las fechas en
las cuales se efectuó la auditoría. Se describen los objetivos específicos fijados en el programa
de auditoría, para definir el alcance, se detallan los aspectos de control generales revisados
(objetivos de control básicos) por la auditoría.

b) Antecedentes generales: Este capítulo contiene una breve descripción de las características
y atributos del área auditada. El objetivo es ubicar al destinatario del informe dentro de un
marco de referencia que le ayude a comprender el informe y la importancia de las
observaciones.
c) Observaciones de la auditoría: Esta parte del informe presenta, para cada proceso y sistema
evaluado, las observaciones y debilidades de control identificados por la auditoría que debe
contestar la administración. Para elaborar el informe final de auditoría, se realiza lo siguiente:

Luego de recibir la respuesta al informe preliminar, el auditor analiza los descargos y

antecedentes enviados por el servicio y desarrolla las conclusiones para cada observación y la
conclusión general de la auditoría.

30
3. Aseguramiento de la Calidad de los Informes de Auditoría

Verificar que la forma y el contenido del informe cumplan con lo mínimo exigido por los
estándares y mejores prácticas recomendados por los expertos. Según las preguntas siguientes:
 ¿Todos los puntos del informe atañen al destinatario del mismo?
 ¿Todas las observaciones incluidas en el informe fueron respondidas por el auditado?
 ¿Todas las observaciones y conclusiones incluidas en el informe son explícitas y
entendibles?
 ¿Todas las observaciones incluidas en el informe son lo suficientemente importantes?
 ¿En los papeles de trabajo existe suficiente evidencia que soporte las observaciones?
 ¿Todas las conclusiones del informe son evaluadas para determinar su costo/beneficio?
 ¿Se incluyen solo puntos que tienen alto potencial de pérdidas y bajo costo correctivo?
 ¿Tienen sentido los títulos utilizados para encabezar las observaciones?
 ¿El informe cumple con las expectativas de la jefatura?
 ¿Existe claridad en los beneficios para los auditados?
 ¿El informe se emite oportunamente?

Para cada observación de auditoría se deberán expresar los beneficios para la organización,
por ejemplo, para incrementar la eficiencia, prestar un mejor servicio a los usuarios, ahorrar
costos, evitar que los errores pasen inadvertidos, mejorar la información que recibe la
dirección, etc.

4. Organizar y Cerrar la Carpeta con Archivos de Trabajo

Se refiere al conjunto organizado de papeles y archivos computacionales, que contiene:

 La documentación del trabajo realizado por los auditores

 Las evidencias válidas y suficientes de los trabajos de auditoría
 Las evidencias de las actividades y procedimientos de planeación, ejecución y control

La documentación de auditoría es el registro del trabajo y la evidencia que soporta las

observaciones y conclusiones del auditor y debe incluir, como mínimo, un registro de:

 La planificación y preparación del alcance y objetivos de la auditoría

 El programa de auditoría
 Los pasos de auditoría ejecutados y reunidos
 Las observaciones y conclusiones de la auditoría
 Cualquier reporte producido como resultado del trabajo de auditoría
 Las respuestas del auditado a las observaciones del informe preliminar

La extensión de la documentación del auditor, dependerá de sus necesidades y deberá incluir:

 El entendimiento del auditor sobre el área que fue auditada
31
 El entendimiento del auditor sobre los sistemas de información y su infraestructura
 La fuente de la documentación de auditoría y la fecha de su elaboración
 La evidencia de revisión y supervisión del trabajo de auditoría

5. Seguimiento a las Observaciones de la Auditoría

El objetivo es establecer las fechas de compromiso para verificar que los responsables de las
observaciones detectadas, inicien e implementen las acciones correctivas. Los productos son:
 Programa de seguimiento del informe final
 Listado con verificación de cada observación pendiente
 Emisión del informe con los resultados del seguimiento

6. Planificar el Seguimiento a las Observaciones de la Auditoría

Elaborar tabla con los siguientes encabezados:
 Observación
 Cargo responsable de tomar la acción
 Fecha de compromiso para implantar la acción de mejoramiento
 Fecha de seguimiento prevista

7. Ejecutar el Seguimiento a las Observaciones de la Auditoría

El objetivo es verificar que se hayan implantado las acciones correctivas requeridas para
atender las observaciones informadas por la auditoría, con el fin de establecer políticas,
normas y procedimientos acordes a mejorar las deficiencias encontradas en los procesos de
negocio y sistemas de información. Establecer una descripción detallada de la acción
implantada y la opinión del auditor al respecto, así como los comentarios del auditado.

8. Informe de Seguimiento de la Auditoría

Al finalizar se elabora el informe con la información definida en el plan del seguimiento.

 Observaciones corregidas, pendientes de implementar y no implementadas.

 Porcentajes total de observaciones implementadas.
 Conclusión del proceso de seguimiento.

TÉCNICAS DE AUDITORIA ASISTIDAS POR COMPUTADOR (TAAC)

INTRODUCCIÓN

32
Los objetivos globales y el alcance de una auditoría no cambian cuando una auditoría se
conduce en un entorno que se define en las Norma Internacional de Auditoría (NIA)
"Auditoría en un entorno de sistemas de información por computadora"; sin embargo, la
aplicación de procedimientos de auditoría puede requerir que el auditor considere técnicas que
usen la computadora como una herramienta de auditoría. Estos diversos usos de la
computadora son conocidos como Técnicas de Auditoría con Ayuda de Computadora
(TAACs).

Por ejemplo, los detalles de la aplicación de algunos controles generales pueden mantenerse en
forma de archivos de texto u otros archivos por aplicaciones que no sean parte del sistema
contable. El auditor puede usar TAACs para revisar dichos archivos para obtener evidencia de
la existencia y operación de dichos controles. Las TAACs pueden consistir en programas de
paquete, programas escritos para un propósito, programas de utilería o programas de
administración del sistema. Independientemente del origen de los programas, el auditor
ratifica que sean apropiados y su validez para fines de auditoria antes de usarlos

CARACTERÍSTICA DE LAS TÉCNICAS DE AUDITORIA

Las técnicas de auditoría son los métodos prácticos de investigación y prueba que el auditor
utiliza para comprobar la gestión de las Tecnologías de Información y Comunicación (TIC).
Las TAACs pueden mejorar la efectividad y eficiencia de los procedimientos de auditoria,
pueden también proporcionar pruebas de control efectivas y procedimientos sustantivos
cuando no haya documentos de entrada o un rastro visible de auditoria, o cuando la población
y tamaños de muestra sean muy grandes.

TÉCNICAS DE AUDITORIA CON AYUDA DEL COMPUTADOR

Las TAACs son programas y datos de computadora que el auditor usa como parte de los
procedimientos de auditoria para procesar datos importantes para la auditoria contenidos en
los sistemas de información de una entidad. Los datos pueden ser datos de transacciones, sobre
los que el auditor desea realizar pruebas de controles o procedimientos sustantivos, o pueden
ser otros tipos de datos.

1. Datos de Prueba
Se ejecuta programas de aplicación de computador utilizando archivos de datos de prueba y
verifica la exactitud del procesamiento comparando los resultados del procesamiento de los
datos de prueba con los resultados predeterminados para la prueba. Los auditores usan esta
técnica para probar la lógica del procesamiento seleccionado, las rutinas de cálculos y las
características de control dentro de los sistemas de información. Los datos de prueba son
transacciones simuladas que incluyen idealmente todo tipo de condiciones posibles,
incluyendo aquellas que el sistema es incapaz de manejar, debido a la carencia de controles
apropiados.

33
a) Propósito de los datos de prueba: El auditor no puede ver físicamente operaciones y
controles dentro de la caja negra (SIT) pero puede ver un listado de los resultados de la prueba
donde por ejemplo, algunas transacciones que deberían ser rechazadas no lo fueron o donde
errores o transacciones fuera de límite fueron procesadas como si fueran correctas.

b) Preparar los datos de prueba: Generalmente, se aplican de la siguiente manera:

 Se debe revisar todo el sistema de controles

 Sobre la base de revisión diseñar las transacciones a probar
 Los datos de prueba se transcriben a los formatos de entrada al sistema
 Los datos se convierten (graban) a medios utilizables por el computador
 Los datos deben procesarse con los programas de la aplicación que están vigentes

c) Controles de auditoría sobre los sistemas en producción: El principal objetivo del uso de
datos de prueba es verificar la operación de los sistemas de información de los clientes para
ver si operan como se piensa (desea). Asegurarse que el programa probado es el que está
operando.

d) Aplicaciones de los datos de prueba: El auditor debe tener el diseño de los registros de
transacciones para preparar sus transacciones de prueba. Si los resultados de las pruebas no
están de acuerdo a los resultados esperados se debe hacer una investigación más profunda para
determinar la razón para las variaciones.

e) Ventajas de los datos de prueba:

 Se limita a funciones específicas y minimiza el alcance y complejidad de la prueba
 Es una herramienta útil porque su uso requiere mínimos conocimientos de informática
 No requiere que el auditor tenga grandes conocimientos técnicos
 Tiene buena aplicación donde son pocas las variaciones y combinaciones de transacciones
 Evaluación y verifica los controles que serían impracticables por otros medios

f) Desventajas de los datos de prueba:

 Se requiere tiempo y esfuerzo para preparar y mantener un lote de datos de prueba
representativo. Cualquier cambio implica cambiar los datos de prueba
 En algunos casos el auditor puede no probar el sistema que realmente está en producción
 En un sistema complejo es difícil anticipar todas las condiciones significativas a probarse
 El auditor debe estar bastante relacionado con la lógica de programación que está probando
 La prueba en sí misma no detecta todos los errores cuando los programas son muy
complejos
 Hay una probabilidad alta que los datos de prueba no detecten manipulaciones específicas

2. Simulación Paralela

34
En este procedimiento, las transacciones y los archivos de producción son procesados usando
programas de computador que simulan la lógica de los programas de aplicación. Las funciones
de procesamiento seleccionadas pueden, ser verificadas mediante la comparación de los
resultados simulados con los resultados del procesamiento de producción. Esta técnica de
prueba tiene la ventaja de verificar los procedimientos de procesamiento seleccionados,
usando datos de producción, obviando así el tiempo consumido en la preparación de los datos
de prueba.
Los auditores que usen esta técnica, deben preparar programas de computador que simulen las
funciones de producción a ser verificadas. Programas de auditoría especialmente preparados o
software generalizado de auditoría pueden ser usados para este propósito. El software
generalizado de auditoría ha simplificado la preparación de programas de simulación paralela.

3. Generadores de Flujogramas (GF)

Este procedimiento usa técnicas de diagramación de programas de computador para identificar
y presentar el recorrido lógico y los puntos de control dentro de los sistemas informáticos,
símbolos y técnicas estándar de auditoría analítica, son usados para desarrollar diagramas de
los sistemas de información. Esos esquemas proporcionan información con el objeto de
analizar con los usuarios y el personal de informática los controles internos de los sistemas de
información; además, los flujogramas de control sirven como un excelente mecanismo para
entrenar a nuevos auditores.

4. Facilidad de Pruebas Integradas (ITF)

Es una técnica para probar los sistemas de aplicación en producción con datos reales
evaluándolo en un ambiente normal de producción. Se procesan las transacciones de prueba en
una entidad ficticia junto con las transacciones reales de producción. Por esta razón se llama
prueba integrada.

5. Tracing and Mapping (Rastreo y Mapeo)

a) Manual: Estos procedimientos identifican el flujo de transacciones y sus controles de
aplicación asociados, incluyendo la elaboración, aprobación y procesamiento de documentos
fuente, así como el procesamiento de transacciones de entrada, procesamiento en el
computador, la distribución y uso de los informes. El tracing y mapping manual puede incluir
el análisis de listados de programas de aplicación, para identificar y evaluar la lógica y las
funciones de control de los programas de aplicación. Pero, el énfasis es sobre la identificación
y evaluación de los procedimientos manuales y de controles externos a los programas de
aplicación.

b) Computador: Estas son subrutinas de programas de computador que identifican los

segmentos y/o subrutinas de programa usadas en el procesamiento de transacciones de prueba,
el tracing asistido con el computador proporciona evidencia documental de las instrucciones

35
del programa utilizadas para procesar transacciones específicas. Mapping es una técnica que
proporciona evidencia de las secuencias de procesamiento usadas en la subrutina, más que a
nivel de instrucción en el programa de computador.
Estas técnicas y herramientas de auditoría son usadas para verificar la lógica de procesamiento
de las transacciones e identificar las porciones de programa no utilizadas. Dos desventajas
están asociadas con el uso de éstas por parte del auditor: 1. Se requiere extenso conocimiento
de programación de aplicaciones y 2. Consume bastante tiempo e implican análisis detallado.

6. Análisis del LOG del Sistema

En informática, se usa el término log, historial de log o registro a la grabación secuencial en

un archivo o en una base de datos de todos los acontecimientos (eventos o acciones) que
afectan a un proceso particular (aplicación, actividad de una red informática, etc.). De esta
forma constituye una evidencia del comportamiento del sistema. Por derivación, el proceso de
generación del log se le suele llamar guardar, registrar o loguear (neologismo del inglés
logging) y al proceso o sistema que realiza la grabación en el log se le suele llamar logger o
registrador.

Evaluar y analizar logs de aplicaciones, servidores, sistemas operativos y dispositivos de red

permite obtener evidencia relacionada con la seguridad y confidencialidad de todos los
procesos que han sido definidos como relevantes por el programador de la aplicación. Por
ejemplo, en el caso de los archivos log de una base de datos se registran todos los cambios de
aquellas transacciones completadas exitosamente. Así, en caso de que un fallo del sistema
elimine información de la base de datos, el log será la clave para la restauración completa de la
base de datos correspondiente.
7. Utilitarios y Ayudas de Servicio
Los utilitarios o utilidades, son programas diseñados para realizar una función determinada,
por ejemplo, un editor, un depurador de código o un programa para recuperar datos perdidos o
borrados accidentalmente en el disco duro. El término utilitario se refiere normalmente al
software que resuelve problemas relacionados con la administración del sistema de la
computadora. Existen utilitarios que ayudan a resolver gran cantidad de problemas, entre ellos
las llamadas utilidades Norton, Disk Manager, etc.

8. Técnicas Basadas en SQL y QUERY

SQL (por sus siglas en inglés Structured Query Language; en español lenguaje de consulta
estructurada) es un lenguaje específico del dominio que da acceso a un sistema de gestión de
bases de datos relacionales que permite especificar diversos tipos de operaciones en ellos. SQL
consiste en un lenguaje de definición de datos, un lenguaje de manipulación de datos y un
lenguaje de control de datos. El alcance de SQL incluye la inserción de datos, consultas,
actualizaciones y borrado, la creación y modificación de esquemas y control de acceso a datos.
36
En base de datos, QUERY significa consulta. Es decir, un es una búsqueda o pedido de datos
almacenados en una base de datos. En forma genérica, QUERY también puede tratarse de una
inserción, actualización, búsqueda y/o eliminación en una base de datos. Busca los registros
que corresponden al criterio especificado en criterio búsqueda y devuelve una selección de
registros de tabla. QUERY modifica la selección actual de tabla para el proceso actual y
vuelve el primer registro de la nueva selección el registro actual.

9. Software Generalizado de Auditoria

El SGA accesa, extrae, manipula y presenta datos y resultados de pruebas en un formato
apropiado para los objetivos de la auditoría, tal archivo generalizado generador de software,
generalmente es controlado por parámetros o instrucciones simplificadas que requieren un
mínimo de conocimientos de informática. Tiene la ventaja de permitir al auditor manipular el
procesamiento de datos de archivos maestros sin preparar programas especiales. Una
desventaja asociada con esta técnica es que su evidencia se limita a los archivos de datos y en
consecuencia no es utilizable (funcional) para pruebas de cumplimiento en los programas, para
condiciones que no se reflejan en los archivos.
10. Generadores de Informes
El Generador de informes es un entorno de creación de informes destinado a los usuarios
empresariales que prefieren trabajar en el entorno de Microsoft Office. Al diseñar un informe,
especifica dónde obtener los datos, qué datos obtener y cómo mostrar los datos. Al ejecutar el
informe, el procesador de informes toma toda la información especificada, recupera los datos
y los combina con el diseño del informe para generar el informe. El Generador de informes
permite hacer lo siguiente:

 Usar la cinta de opciones para agregar elementos a los informes, tabla, gráfico y mapa
 Agregar datos integrados mediante los diseñadores de consultas para incluir en el informe
 Crear y usar parámetros de informe para personalizar los datos y variar la presentación
 Crear expresiones de campos integrados, colecciones, operadores y funciones
 Abrir informes directamente desde un servidor de informes
 Obtener una vista previa de los informes con datos compartidos locales o publicados
 Exportar los informes a otros formatos de archivo como Microsoft Excel.
 Guardar el informe y los elementos relacionados en una biblioteca de SharePoint,.

11. Otras TAACs

a) Archivo de revisión de auditoria como control del sistema (SCARF): Consiste en el diseño
de ciertas medidas de control para el procesamiento electrónico de los datos, para luego
incorporarlos dentro de los aplicativos en producción (como rutinas de huéspedes), con el
objetivo de garantizar un control permanente de las transacciones realizadas. El resultado final

37
será la generación de un archivo de datos que almacenará una réplica de los registros que
hayan presentado anomalías.
b) Archivo de revisión de auditoria por muestreo: Esta es una técnica muy utilizada por los
auditores externos y consiste en la definición de ciertos parámetros de selección de registros
utilizando muestreo, para luego analizarlos detalladamente.

NORMAS DE AUDITORIA DE TIC EMITIDOS POR LA CGE

PROPÓSITO
El presente documento contiene un conjunto de normas y aclaraciones que permiten asegurar
la uniformidad y calidad de la auditoría gubernamental en Bolivia.

APLICACIÓN
Estas normas son de aplicación obligatoria en la práctica de la auditoría realizada en toda
entidad pública comprendida en los artículos 3 y 4 de la Ley Nº 1178, de Administración y
Control Gubernamentales, promulgada el 20 de julio de 1990, por los auditores
gubernamentales de las siguientes organizaciones de auditoría:

 Contraloría General del Estado

 Unidades de Auditoría Interna de las entidades públicas
 Profesionales o firmas de auditoría

Cuando cualquiera de los miembros de las organizaciones mencionadas ejecuta tareas de

auditoría en el sector público, se los denomina auditores gubernamentales, para efectos de la
aplicación de estas Normas.

CONSIDERACIONES BÁSICAS
Los servidores públicos deben rendir cuenta de su gestión a la sociedad. En este sentido, los
servidores públicos, los legisladores y los ciudadanos en general desean y necesitan saber, no
sólo si los recursos públicos han sido administrados correctamente y de conformidad con el
ordenamiento jurídico administrativo y otras normas legales aplicables, sino también de la
forma y resultado de su aplicación, en términos de eficacia, eficiencia, economía y efectividad.

VACÍOS TÉCNICOS
Si durante el desarrollo de la auditoría gubernamental surgiesen aspectos no contemplados en
las Normas, deben observarse las Normas Generales de Auditoría de Sistemas de Información
emitidas por la Asociación de Auditoría y Control de Sistemas de Información ISACA (The
Information Systems Audit and Control Association), el modelo de control COBIT (Objetivos
de Control para la Información y Tecnologías Relacionadas), las Normas Internacionales de
Auditoría (NIA) emitidas por la Federación Internacional de Contadores (IFAC); las

38
Declaraciones sobre Normas de Auditoría (SAS) emitidas por el Instituto Americano de
Contadores Públicos (AICPA) y las Normas de Auditoría emitidas por la Organización
Internacional de Entidades Fiscalizadoras Superiores (INTOSAI).

FUENTES
Estas Normas incorporan los principales criterios de la normatividad emitida al respecto, por:

 La Fundación para la Auditoría y Control de Sistemas de Información (ISACF)

 La Asociación de Auditoría y Control de Sistemas de Información (ISACA)
 La Federación Internacional de Contadores (IFAC).
 El Instituto Americano de Contadores Públicos (AICPA).

CONTRATACIÓN DE SERVICIOS DE AUDITORIA

Aunque no constituye norma de auditoría, es importante aplicar políticas y procedimientos
idóneos para la adjudicación y contratación de servicios de auditoría y supervisar que las
mismas se realicen de acuerdo a las condiciones pactadas conforme establece el Reglamento
emitido por la Contraloría General del Estado.

REGISTRO DE FIRMAS Y PROFESIONALES INDEPENDIENTES DE AUDITORIA

EXTERNA
Para prestar servicios de auditoría en las entidades públicas comprendidas en los artículos 3 y
4 de la Ley Nº 1178 y en aquellas entidades comprendidas en las previsiones del artículo 5 de
la referida disposición legal, concordante con el artículo 5 del Reglamento aprobado por el
Decreto Supremo Nº 23215, los profesionales independientes y las firmas de auditoría externa,
deben inscribirse en el Registro que está a cargo de la Contraloría General del Estado. Al
respecto, el proceso de inscripción debe sujetarse al Reglamento que el Órgano Rector del
Sistema de Control Gubernamental emita a tal efecto.

EJERCICIO DE LA AUDITORIA
Para la aplicación de las presentes Normas, en lo que corresponda, necesariamente deberán
tomarse en cuenta las Normas Generales de Auditoría Gubernamental 210.
AUDITORIA DE TIC
Es el examen objetivo, crítico, metodológico y selectivo de evidencia relacionada con
políticas, prácticas, procesos y procedimientos en materia de tecnologías de la información y
la comunicación, para expresar una opinión independiente respecto:
 A la confidencialidad, integridad, disponibilidad y confiabilidad de la información
 Al uso eficaz de los recursos tecnológicos
 A la eficacia del control interno asociado a los procesos de las TIC.

39
Los incisos señalados, podrán ser considerados en forma individual o en conjunto, la auditoría
de TIC está definida por sus objetivos y puede ser orientada a los siguientes enfoques:

a) Enfoque a las seguridades: Es evaluar los controles de seguridad implementados en los

sistemas de información para mantener la confidencialidad, integridad y su disponibilidad.

b) Enfoque a la información: Consiste en evaluar la estructura, integridad y confiabilidad de la

información gestionada por el sistema de información.
c) Enfoque a la infraestructura tecnológica: Consiste en evaluar la correspondencia de los
recursos tecnológicos en relación a los objetivos previstos.

d) Enfoque al software de aplicación: Consiste en evaluar la eficacia de los procesos y

controles inmersos en el software de aplicación, que el diseño conceptual de éste cumpla con
el ordenamiento jurídico administrativo vigente.
e) Enfoque a las comunicaciones y redes: Consiste en evaluar la confiabilidad y desempeño
del sistema de comunicación para mantener la disponibilidad de la información.

NORMAS DE AUDITORIA DE TIC

PLANIFICACIÓN
La auditoría de tecnologías de la información y la comunicación se debe planificar en forma
metodológica, para alcanzar eficientemente los objetivos de la misma.

La planificación debe permitir un adecuado desarrollo de las etapas subsecuentes; para el

efecto, se debe tomar conocimiento del sujeto y del objeto a evaluar. Además, es un proceso
continuo y dinámico que puede modificarse o ampliarse durante el desarrollo de la auditoría.
El auditor gubernamental debe comprender del objeto de auditoría: el diseño conceptual,
políticas de gestión, formas de registro, niveles de seguridad y uso de las comunicaciones para
la gestión de la información y el ordenamiento jurídico administrativo relacionado con el
objeto de auditoría.
En función de la naturaleza, complejidad y modularidad del objeto de auditoría, la evaluación
del control interno y la evaluación de riesgos, se determinarán las áreas críticas, dependiendo
de éstas se definirán los objetivos o el(los) enfoque(s) y el alcance de la auditoría. Se
diseñarán programas de trabajo que se aplicarán durante la ejecución del trabajo de campo,
para el efecto, en función a la evaluación del control interno y evaluación de riesgos, se
determinará la naturaleza, oportunidad y extensión de los procedimientos de auditoría que se
aplicarán.

Como resultado del proceso de planificación de la auditoría de tecnologías de la información y

la comunicación, se debe elaborar el Memorándum de Planificación de Auditoría.

SUPERVISIÓN
40
Personal competente debe supervisar sistemática y oportunamente el trabajo realizado por
los profesionales que conformen el equipo de auditoría.
La supervisión implica dirigir los esfuerzos del equipo de auditores gubernamentales hacia la
consecución de los objetivos de auditoría, la supervisión debe ser realizada en cada una de las
etapas de la auditoría, la misma incluye:
 Examinar la factibilidad y/o razonabilidad técnica de los objetivos y alcances propuestos
 Asegurar que los miembros del equipo comprendan los objetivos de auditoría, en particular
asegurar que entiendan el trabajo a realizar, por qué se va efectuar y qué se espera lograr
 Guiar a los miembros del equipo de auditoría a lo largo del desarrollo de las tareas
asignadas
 Revisar oportunamente el trabajo realizado, de papeles de trabajo físicos y/o electrónicos
 Ayudar a absolver problemas técnicos y administrativos
 Detectar debilidades del personal asignado y proporcionar o solicitar la capacitación
 Asegurar que la evidencia obtenida sea suficiente y competente
La supervisión efectuada durante el desarrollo de la auditoría, debe estar evidenciada en los
papeles de trabajo en medios físicos y/o electrónicos, acumulados durante la misma.

CONTROL INTERNO
Debe obtenerse una comprensión del control interno relacionado con el objeto del examen.
Evaluar el control interno para identificar las áreas críticas que requieren un examen profundo
y determinar su grado de confiabilidad a fin de establecer la naturaleza, alcance y oportunidad
de los procedimientos de auditoría a aplicar; se establecen dos tipos de controles: el control
general y el control específico. La evaluación incluye dos fases:
a) Conocimiento y comprensión de los procedimientos establecidos: Referente a los sistemas
de información, al término del cual, el auditor gubernamental debe ser capaz de emitir una
opinión preliminar presumiendo un satisfactorio cumplimiento del control interno.
b) Comprobación de que los procedimientos relativos a los controles internos: Si están siendo
aplicados tal como fueron observados en la primera fase.

EVIDENCIA
Debe obtenerse evidencia competente y suficiente como base razonable para sustentar los
hallazgos y conclusiones del auditor gubernamental.
Se denomina evidencia al conjunto de hechos comprobados, suficientes y competentes que
sustentan las conclusiones del auditor, es la información específica obtenida durante la labor
de auditoría a través de observación, inspección, entrevistas, examen de los registros, etc. La
acumulación de evidencia es un proceso integrado a toda la ejecución de la auditoría y debe
sustentar todos los atributos de los hallazgos de auditoría.

41
Las Técnicas de Auditoría Asistidas por Computador (TAAC) pueden producir parte de la
evidencia de auditoría, como consecuencia de ello, el auditor debe planificar y ser competente
en el uso de las TAAC. La evidencia obtenida por el auditor gubernamental debe conservarse
en papeles de trabajo en medios físicos y/o electrónicos.
COMUNICACIÓN DE RESULTADOS
El informe de auditoría de TIC debe ser oportuno, objetivo, claro, convincente, conciso y será
el medio para comunicar los resultados obtenidos durante la misma.
El informe de auditoría de TIC debe ser emitido en forma escrita, lógica y organizada, el
informe debe contener información suficiente para ser entendido por los destinatarios y
facilitar la acción correctiva si corresponde, deberá hacer referencia a:
 Los antecedentes, acciones o circunstancias que dieron origen a la auditoría
 Los objetivos, que identificarán los propósitos específicos que se cubrirán durante la misma
 El objeto, identifica aquello que ha sido examinado
 El alcance, se referirá al periodo examinado; así como a la cobertura del trabajo realizado
 Si se presentaron limitaciones al alcance y estas deben mencionarse de manera expresa
 La metodología, explicará técnicas y procedimientos usados para obtener/analizar evidencia
 En el resultado del examen, se expondrá: los hallazgos significativos con información
suficiente que permita su comprensión y las recomendaciones que se consideren apropiadas
para eliminar o minimizar las causas que originaron las deficiencias
 Las conclusiones, que son inferencias lógicas sobre el objetivo de auditorías basadas en los
hallazgos, deben ser expresadas explícitamente de manera convincente y persuasiva,

Si correspondiera, se debe hacer referencia a las auditorías especiales que se hubieran iniciado
por alguna situación evidenciada en la auditoría de tecnologías de la información y la
comunicación, o a los informes de auditoría especial emergentes de la misma.

42