Material de Apoyo

AUDITORIA DE LA TECNOLOG A DE LA
INFORMACIN

Curso Virtual
 AUDITORIA DE LA TECNOLOGA DE LA INFORMACIN

La auditora informtica aparece en respuesta al desarrollo acelerado de la informtica y tecnologa,

que hace necesario la actualizacin y adaptacin constante, tanto de los escenarios como controles
a proponer e implementar en una entidad. Hoy en da la informacin se ha convertido en uno de los
activos principales de las empresas, y es la base de la mayora de las decisiones adoptadas por los
directivos; dando origen a los sistemas de informacin, por lo cual surge la necesidad de verificar y
evaluar estos sistemas, y determinar si son eficaces y eficientes, as como la adopcin de sistemas
y procedimientos para la proteccin de los mismos.

El fcil acceso a la informacin, debido al rpido avance de la tecnologa, ha generado que las
organizaciones hagan un uso ms frecuente de las TICs (Tecnologas de la informacin y la
comunicacin), lo que por una parte ha ayudado a automatizar y agilizar procesos; pero por otro
lado, ha generado situaciones, tales como, la fuga de informacin, robo y modificacin ilegal de
datos, prdida de capacidad de procesamiento, dao de equipos, entre otras, que han hecho
susceptibles a las organizaciones y provocado en algunas, grandes prdidas.

Es por esto, que el papel de los auditores informticos es fundamental para minimizar los riesgos de
fraude y de malversacin de los recursos informticos, y ayudar a aprovechar al mximo los recursos
informticos en una entidad; por lo tanto existe una gran necesidad de su formacin, capacitacin y
actualizacin continua.

Garantizar un control y administracin adecuada de los recursos informticos, ayuda en la

prevencin, deteccin y correccin oportuna de cualquier falla, acciones que con la ayuda de una
auditoria informtica, fortalecen el entorno informtico de la entidad. El centro informtico tiene
entonces, una importancia crucial debido a que soporta los sistemas de informacin del negocio,
aumentando las necesidades de control y auditoria en la entidad, an ms teniendo en cuenta que
hoy en da las empresas han tenido que reorganizarse y tomar medidas como la restructuracin de
los procesos empresariales (BPR, Bussiness Process Re-Engineering), Gestin de Calidad Total
(TQM, Total Quality Management), Contratacin externa (Outsourcing), entre otras.

En una auditoria, el auditor emite una opinin profesional sobre si el objeto analizado, se presenta
acorde a la realidad y cumple con las caractersticas prescritas. De esta manera, una auditoria
informtica consiste en la revisin, evaluacin y valoracin sistmica de la aplicabilidad de controles
generales y especficos, con el fin de salvaguardar los recursos informticos de una entidad,
mantener la integridad de los datos y utilizar eficientemente los recursos. Este trabajo tiene como
objeto de estudio los recursos informticos, tales como hardware, software, bases de datos, redes,
o instalaciones; e implica la creacin, apropiacin y adaptacin de metodologas y procedimientos
de desarrollo de auditoria informtica, que orienten y guen al auditor de manera eficiente y eficaz,
con el fin de proporcionar una seguridad razonable de lo que se afirma.

Por consiguiente, el auditor debe estar preparado para encontrar diferentes entornos informticos en
las empresas, debido a que mientras unas empresas cuentan con una infraestructura actualizada y
a la vanguardia de las tecnologas de informacin, otras estn iniciando los procesos informticos.
Estos entornos heterogneos requieren que el auditor est preparado para actuar en dos reas, la
auditoria y la informtica; el auditor debe revisar, diagnosticar y controlar los sistemas de informacin
y los sistemas informticos.

Por lo tanto el auditor debe trabajar en las reas de seguridad, control interno operativo, eficacia y
eficiencia, tecnologa informtica, continuidad de operaciones y gestin de riesgos, as como tener
conocimiento en:

1
www.auditool.org
 Desarrollo informtico y gestin de proyectos
Gestin del departamento de sistemas
Anlisis de riesgos en un ambiente informtico
Sistemas operativos
Telecomunicaciones
Gestin de bases de datos
Redes
Seguridad fsica y lgica de los sistemas
Operaciones y planificacin informtica
Gestin de planes de contingencia
Gestin de problemas y de cambios en los entornos informticos
Administracin de datos
Ofimtica
Comercio electrnico
Encriptacin de datos

Este curso tiene como objetivo presentar al auditor, en primera medida, conceptos claros de sistemas
informticos, tecnologa de informacin y seguridad informtica, para luego presentar la auditoria
informtica, su concepto y rea de trabajo, objetivos, etapas y tipos de auditoria dentro de la auditoria
informtica. Esta informacin le brinda al auditor las herramientas necesarias para el desarrollo
exitoso de una auditoria informtica. Finalmente, se presenta la estructura del modelo COBIT,
establecido por ISACA.

SISTEMAS DE INFORMACIN

Los datos son smbolos que describen condiciones, hechos, situaciones, o valores; los cuales al
estar en conjunto se convierten en informacin, la cual obtiene un significado e importancia dentro
del mbito que se maneje. La mayora de los datos que maneja una entidad, ya sean contables, de
fabricacin, de recursos humanos, entre otros, son recolectados, tratados, y almacenados en
sistemas informticos, los cuales sirven para prestar un servicio especfico, y para la toma de
decisiones en una organizacin.

La informacin puede envolver cuatro niveles:

Tcnico: Aspectos de eficiencia y capacidad de los canales de transmisin.
Semntico: Significado de la informacin.
Pragmtico: Contexto especifico del receptor.
Normativo: Uso de la informacin.

Estos niveles deben ser abarcados por la informtica, entendida como la utilizacin de las
aplicaciones del computador para almacenar y procesar informacin, debido a que el uso de medios
electrnicos permite manejar la informacin de forma rpida y a grandes volmenes, as como,
duplicar y distribuir la informacin de forma sorprendente, haciendo necesario un control ms grande
en el cuarto nivel, asegurando que la informacin sea usada y manipulada por personas autorizadas
para fines correctos y establecidos en una empresa.

Un sistema de informacin se define como un conjunto de componentes que interactan para que la
empresa alcance los objetivos planteados de manera satisfactoria. Estos componentes son datos,
aplicaciones, tecnologa, instalaciones y personal.

2
www.auditool.org
 NORMAS

CONTROL

ENTRADA PROCESOS SALIDA

PERSONAL APLICACIONES TECNOLOGIA INSTALACIONES DATOS

La creacin de un sistema de informacin para una empresa, comprende aspectos como, funcin de
anlisis de sistemas de informacin, funcin de diseo y construccin de sistemas de informacin,
administracin y control de sistemas de informacin y el entorno operativo de los sistemas de
informacin, hasta llegar a la adaptacin e implementacin de la tecnologa de informacin,
seguridad y gestin en la funcin informtica, y procesamiento electrnico de los datos.

Este proceso inicia con la funcin de anlisis de los sistemas de informacin, que permite definir los
requerimientos y necesidades de informacin y especificar la funcionalidad del sistema ideal de
informacin. A travs de diagramas de flujo, en esta funcin se realiza la modelacin conceptual de
la informacin o laicalizacin de las funciones de la organizacin. Cuando no se realiza un anlisis
adecuado de los sistemas de informacin pueden presentarse problemas como:

Falta de integralidad entre las aplicaciones

Informacin redundante
Un departamento informtico catico y sin un plan estratgico de sistemas e informacin
Aplicaciones que no soportan la misin de la empresa
Sistemas de informacin de vida til corta
Falta de polticas de mantenimiento de los sistemas

La funcin de diseo y construccin de sistemas de informacin comprende el modelamiento de la

solucin de informacin ideal a implementar en la organizacin, por lo cual la actividad ms
importante a realizar, es la definicin del esquema o estructura lgica de la base de datos.
Acompaada a esta actividad se realiza el diseo externo o interfaz de usuario, durante la cual se
disean las pantallas, mens y reportes que cubren las necesidades de informacin de los usuarios,
y recoleccin e introduccin de datos al sistema. Si esta funcin no se desarrolla adecuadamente,
pueden presentarse los siguientes problemas:

Sistemas de difcil operacin, ineficaces, inseguros y con vida til corta.

Sistemas que no propician la integralidad con otros sistemas de informacin de la
organizacin.
Sistemas con redundancia de datos

La administracin y control de los sistemas de informacin comprenden todos los aspectos

relacionados al desarrollo de los sistemas de informacin, relacionados a los lineamientos y polticas
establecidas en la empresa. Sin una buena administracin y control de los sistemas de informacin
se pueden generar problemas como:

3
www.auditool.org
 Ausencia de polticas y objetivos corporativos
Inexistencia de un plan estratgico y sistema de control interno en la entidad
Recursos informticos obsoletos
Falta de metodologas y estrategias para gerenciar proyectos de tecnologa de informacin

La productividad de un sistema de informacin implica las polticas de operacin y los recursos de

infraestructura, que garanticen la prestacin eficiente de un servicio, facilitando a los usuarios
informacin oportuna y confiable. Esta funcin debe incluir un mantenimiento preventivo oportuno y
apropiado de los equipos, as como la instalacin de nuevos cuando sea necesario. Algunos
problemas que se pueden presentar por una inadecuada operacin de los sistemas de informacin
son:

Falta de polticas, normas y procedimientos de operacin y mantenimiento de los sistemas

Inapropiada infraestructura locativa y elctrica
Escasa infraestructura de hardware y software
Obsoleta infraestructura de comunicaciones
Presupuesto insuficiente

Anlisis de sistemas de Diseo y construccion de Administracion y control de

informacion sistemas de informacion sistemas de informacion

Entorno operativo de los Adaptacion e

Seguridad y gestion de la
sistemas de informacion implementacionde
funcion informatica
tecnologia de informacion

Procesamiento electronico
de los datos

Clasificacin de los sistemas de informacin

De acuerdo al nivel organizacional y funcin, los sistemas se clasifican en:

Sistemas de informacin segn el nivel organizacional que respaldan
Sistemas a nivel operativo: Sistemas diseados para apoyar a los gerentes
operativos en el seguimiento de las actividades y transacciones de la organizacin,
tales como ventas, ingresos, nomina, flujo de materiales, entre otros. Ejemplo:
Sistema de procesamiento de transacciones (SPT), Transaction Processin System
(TPS).
Sistemas a nivel de conocimiento: Apoyan a los trabajadores del conocimiento y
datos de una organizacin. Ejemplo: Sistema del trabajo del conocimiento (STC),
Knowledge Work system (KWS), Sistemas de Oficina (SO), Office System (OS).
Sistemas a nivel administrativo: Sirven a las actividades de supervisin, control,
toma de decisiones y administrativas de la gerencia. Ejemplo: Sistema de

4
www.auditool.org
 Informacin Gerencial (SIG), Management Information System (MIS), Sistema de
apoyo a la toma de decisiones (SAD), Decision Support System (DSS).
Sistemas a nivel estratgico: Apoyan a los directivos para enfrentar y resolver
aspectos estratgicos y tendencias a largo plazo, tanto en la empresa como en el
entorno, y permiten adquirir una ventaja competitiva. Ejemplo: Sistemas de apoyo a
ejecutivos (SAE), Executive Support Systems (ESS).

Sistemas de informacin segn la funcin organizacional a que dan servicio

Sistemas de ventas y marketing

Sistemas de manufactura y produccin
Sistemas de finanzas y contabilidad
Sistemas de recursos humanos

Aplicaciones empresariales especificas

Sistemas empresariales, ERP, Enterprise Resource Planning, Planeacin de

recursos empresariales: Son sistemas que integran aplicaciones informticas para
gestionar todos los departamentos y funciones de una empresa. Estos sistemas
influyen en cuatro dimensiones de la empresa: estructura de la empresa, proceso
administrativo, plataforma tecnolgica, y capacidad de negocios.
Sistemas de administracin de la cadena de abastecimiento, SCM, Supply Chain
Management: Son sistemas enfocados a que la empresa administre su relacin con
los proveedores.
Administracin de la relacin con el cliente, Customer Relationship Management:
Metodologa, informacin y procesos que le permiten a una empresa administrar sus
contactos con los clientes de una forma organizada y adecuada.

TECNOLOGIA DE INFORMACIN

Las exigencias del mundo de hoy han hecho que la forma de manejar una empresa cambie y se
adapte a las necesidades de sus usuarios y clientes. Una de estas, es la tecnologa de informacin,
la cual en los ltimos aos ha alcanzado una gran amplitud e impacto en diferentes sectores,
cambiando as la forma y el lugar para hacer el trabajo. Ahora, las organizaciones deben satisfacer
la calidad, requerimientos y seguridad de su informacin, a travs de la optimizacin de los recursos
de TI disponibles, incluyendo aplicaciones, informacin, infraestructura y personal.

Las primeras generaciones de computadoras se limitaban a guardar los registros y monitorear el

desempeo operativo de una entidad, sin embargo la informacin no era pertinente ya que esta
obedeca a tiempos pasados y desactualizados dentro de los distintos procesos de las entidades.

Con los nuevos avances tecnolgicos, las tecnologas hacen posible capturar y utilizar la informacin
en el momento en que se crea, es decir procesos en lnea. Cuando se llevan a cabo las distintas
labores de una entidad apoyadas en la tecnologa de la informacin se beneficia con un
procesamiento ms rpido y confiable de los datos, por lo tanto la informacin que resulta es
favorecida con mayor movilidad y de fcil acceso, adems de proveer una visin de ms integralidad.

La tecnologa de informacin, TI, se refiere al uso de la tecnologa para el manejo y procesamiento

de informacin, como lo es la captura, procesamiento, almacenamiento, proteccin y recuperacin
de datos e informacin, para la toma oportuna y eficiente de decisiones, evidenciando as una gestin
pertinente, apropiada y precisa para los distintos procesos de la entidad.

5
www.auditool.org
En una empresa debe existir un departamento o rea que se encargue de estudiar, disear,
desarrollar, implementar y administrar los sistemas de informacin, utilizados para el manejo de la
informacin dentro de la empresa, para gestionar los procesos del negocio, como lo son los registros
financieros y transaccionales, registros de empleados, facturacin, pagos, compras, entre otros. El
uso de TI garantiza ventajas en competitividad en la empresa, debido a que puede:

Obtener presencia y reconocimiento a travs de internet.

Mantener un control exacto y preciso de los procesos de la entidad u organizacin.
Tomar decisiones argumentadas por medio de mtodos cuantitativos.
Uso de la comunicacin oportuna e inmediata en todos los niveles de la entidad u
organizacin.
Acceso a procesos en lnea.
Usar herramientas que le permiten diferenciar sus recursos humanos, productos y servicios
en relacin a sus competidores.
Facilita la evaluacin y medicin de distintos procesos de la entidad u organizacin.
Acoger buenas prcticas que aportan a la alta calidad, seguridad y confiabilidad de los
servicios de la entidad u organizacin.
Beneficia tiempos, costos y calidad en los distintos procesos de la entidad u organizacin,
con el diseo e implementacin de mtodos apropiados y actualizados.

SEGURIDAD INFORMTICA

La seguridad informtica es el conjunto de hardware, software y procedimientos establecidos para

asegurar que personal no autorizado acceda a la informacin, o el personal que maneja los sistemas
realice operaciones que puedan poner en peligro el sistema y los datos. Para esto la organizacin
debe establecer controles informticos para prevenir, detectar o corregir cualquier falla en la
seguridad informtica.

El aseguramiento de la informacin es imprescindible para la toma de decisiones en la empresa; si

no se garantiza que la informacin sobre la que se sustentan es confiable, segura y est disponible,
las decisiones de la direccin de la empresa no tendrn validez. Por esta razn, adems de la
auditoria informtica, las empresas deben implementar un Plan de Seguridad, que permita llevar a
cabo el anlisis de riesgos, debido a que la auditoria identifica el nivel de exposicin que pueda tener
la empresa por falta de controles.

El acceso a la informacin de la empresa debe estar restringido y organizado, por lo tanto se deben
establecer controles de acceso, los cuales encierran los siguientes aspectos:

Separacin de funciones entre los usuarios del sistema con perfiles definidos, de acuerdo a
la informacin que manejan.
Integridad de los log, e imposibilidad de desactivarlos por ningn perfil para revisarlos.
Legibles e interpretables por control informtico.
Contrasea nica para los distintos sistemas de red, con autentificacin de entrada una sola
vez, y controles de derechos de uso.
Contrasea y archivos con perfiles y derechos inaccesibles a todos, incluyendo a los
administradores de la seguridad.
El sistema debe rechazar e inhabilitar a los usuarios que no usan las claves o los derechos
de uso correctamente, y avisar a control informtico.
Cambio de contraseas peridicamente.
Uso de mecanismos de auto-logout, el cual saca del sistema al usuario despus de un
tiempo determinado.

6
www.auditool.org
AUDITORIA INFORMATICA

Los sistemas de informacin de las empresas cada vez son ms dependientes de la informtica,
sistemas de cmputo y tecnologas de informacin, lo que hace necesario verificar su correcto
funcionamiento y eficiencia, para evitar cualquier riesgo de fraude o prdida de informacin con
ayuda de los computadores. Es as como, la auditoria informtica cobra una real importancia para
las empresas, ms aun teniendo en cuenta que la informacin se ha convertido en uno de los activos
principales, y que las inversiones en sistemas de informacin son cada vez ms grandes

Sin embargo hoy en da todava existen empresas que no asimilan las nuevas tecnologas, manejan
aplicaciones obsoletas, no planifican los sistemas de informacin, e incluso llevan a cabo procesos
manuales difciles y costosos. Esto no solo causa prdidas a las entidades sino que representa
riesgos en el manejo de la informacin. La auditora informtica aqu juega un papel primordial,
porque aporta soluciones tanto en el reconocimiento de fallas o indicios de un mal procedimiento,
que pueda tener consecuencias negativas para la empresa, como una forma de mejorar los procesos
en el mbito de la informtica aportando al funcionamiento general de la empresa y a la reduccin
de costos.

Ante estas situaciones, y los rpidos cambios en el mundo, los directivos deben tomar decisiones
para revaluar y restructurar sus sistemas de informacin y controles internos, asegurando la
integridad de la informacin.

Concepto

La auditora informtica es un proceso llevado a cabo por profesionales especialmente capacitados,

que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de
informacin salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo
eficazmente los fines de la organizacin, utiliza eficientemente los recursos, y cumple con las leyes
y regulaciones establecidas. Adems, la auditoria permite detectar de forma sistemtica el uso de
los recursos y los flujos de informacin dentro de una organizacin y determinar qu informacin es
crtica para el cumplimiento de su misin y objetivos, identificando necesidades, duplicidades, costes,
valor y barreras, que obstaculizan flujos de informacin eficientes.

El desarrollo de una auditoria informtica es importante debido a que permite identificar fortalezas,
debilidades y riesgos en la gestin de proyectos, funcionalidad de los sistemas de informacin,
configuracin de la plataforma informtica, calidad en los servicios prestados, y dems aspectos
incluidos en el mbito del uso y aplicacin de las Tics en la entidad. A partir de esta informacin, el
auditor puede brindar recomendaciones y propuestas para el mejoramiento de los procesos de la
entidad, dando as soluciones integrales y un apoyo para el logro de los objetivos establecidos en la
entidad.

La auditora informtica se puede desarrollar de dos maneras, por medio de una auditoria interna,
aquella que se hace dentro de la empresa por un auditor interno; y auditoria externa, como su nombre
lo indica es aquella en la cual la empresa contrata a personas de afuera para que haga la auditoria
en su empresa. Asimismo, la auditoria informtica se desarrolla en tres etapas, que aseguran su
eficacia y eficiencia, planeacin, ejecucin e informacin. Estas etapas se llevan a cabo
consecutivamente, y permiten una retroalimentacin constante durante el desarrollo de la auditoria,
garantizando as su calidad y pertinencia.

7
www.auditool.org
El auditor durante el desarrollo de la auditoria adquiere responsabilidades, tanto en el ejercicio de la
auditoria como en la planeacin y ejecucin de la misma. Al aceptar la auditoria, el auditor debe
definir sus objetivos y alcance, y planificar y evaluar los siguientes aspectos, trabajando bajo unos
principios ticos:

Realizacin de un estudio inicial o diagnostico organizacional

Determinacin de perfiles del equipo de trabajo
Elaboracin de planes de evaluacin
Elaboracin de programas de control interno
Diseo de los cuestionarios de control interno
Definicin del riesgo computacional
Aplicacin de pruebas de auditoria
Contar con el apoyo de la direccin
Solicitar con antelacin la informacin necesaria
Anlisis de datos con software de auditoria
Elaboracin del informa final
Formulacin de conclusiones y recomendaciones
Realizacin de auditoria de seguimiento

Estas responsabilidades estn contempladas en los diferentes aspectos de la auditoria informtica,

que permiten establecer el mbito de actuacin del auditor. Los aspectos funcionales se enfocan a
la adecuacin de los sistemas en funcin de las necesidades reales y la evaluacin del rendimiento
y fiabilidad de los mismos. Los aspectos econmicos relacionados con la informtica le permitirn al
auditor conocer sobre los presupuestos del servicio informtico o los costos del desarrollo de un plan
de sistemas. Los aspectos tcnicos envuelven los equipos, perifricos, procedimientos de captura
de datos, redes, comunicaciones, entre otros. Los aspectos de direccin, contemplan las
indicaciones hacia los planes informticos, en cuanto a su adecuacin y seguimiento. Finalmente,
los aspectos de seguridad se relacionan a la confidencialidad de los datos, seguridad de acceso,
proteccin de las instalaciones, y dems factores que garanticen la seguridad de los sistemas
informticos.

CAMPO DE ACCION DEL AUDITOR ELEMENTOS

Evaluacin administrativa del rea
informtica
Evaluacin de los sistemas y
procedimientos, y de la eficacia que se
tiene en el uso de la informacin.
Evaluacin de la eficiencia y eficacia
con la que se trabaja.
Objetivos del departamento, direccin o gerencia.
Metas, planes, polticas y procedimientos de procesos
electrnicos estndares.
Organizacin del rea y su estructura orgnica.
Funciones y niveles de autoridad y responsabilidad del
rea de procesos electrnicos.
Integracin de los recursos materiales y tcnicos.
Direccin y controles administrativos del rea de
procesos electrnicos.
Costos y controles presupuestales.
Evaluacin del anlisis de los sistemas y sus diferentes
etapas.
Evaluacin del diseo lgico del sistema.
Evaluacin del desarrollo fsico del sistema.
Facilidades para la elaboracin de los sistemas.
Control de proyectos.
Control de sistemas y programacin.
Instructivos y documentacin.
Formas de implantacin.

8
www.auditool.org

Evaluacin del proceso de datos, de
los sistemas y equipos de cmputo
(software, hardware, redes, bases de
datos y comunicaciones).
Seguridad y confidencialidad de la
informacin.
Aspectos legales de los sistemas de
informacin.
Seguridad fsica y lgica de los sistemas.
Confidencialidad de los sistemas.
Control de mantenimiento y forma de respaldo de los
sistemas.
Utilizacin de los sistemas.
Prevencin de factores que puedan causar
contingencias; seguros y recuperacin en caso de
desastres.
Productividad.
Derechos de autor y secretos industriales.
Control de los datos fuente y manejo de cifras de
control.
Control de operacin.
Control de salida.
Control de asignacin de trabajo.
Control de medios de almacenamiento masivos.
Control de otros elementos de cmputo.
Control de medios de comunicacin.
Orden en el centro de cmputo.
Seguridad fsica y lgica.
Confidencialidad.
Respaldos.
Seguridad del personal.
Seguros.
Seguridad en la utilizacin de los equipos.
Plan de contingencia y procedimiento de respaldo para
casos de desastre.
Restauracin de equipo y de sistemas.
Cumplimiento de las normas y leyes pertinentes.

El departamento o rea de informtica en una empresa, debe llevar a cabo un control interno
informtico, que permita controlar las actividades diarias de los sistemas de informacin y verificar si
estas cumplen a cabalidad con los procedimientos, estndares y normas pertinentes, tanto dentro
de la empresa como las establecidas nacional e internacionalmente. El trabajo realizado en control
interno informtico colabora y apoya el trabajo de la auditoria informtica.

Perfil del auditor

Para el desarrollo de una auditoria informtica exitosa, el auditor debe ser un profesional con un alto
grado de conocimiento en informtica y suficiente experiencia en el rea, as como habilidad para
comunicarse efectivamente y dar un trato adecuado a las personas. El auditor, ya sea interno o
externo, debe ser independiente de las actividades que audita, asegurando un trabajo objetivo y
profesional.
Al momento que el auditor acepta el trabajo de auditoria, est aceptando la responsabilidad de actuar
a favor del inters pblico, cumpliendo no solo las necesidades de su cliente, sino acogindose a los
requisitos establecidos en el Cdigo de tica para profesionales, el cual establece los principios
fundamentales de tica profesional relevantes al auditor cuando conduce una auditoria, estos
principios son:

9
www.auditool.org
 Integridad: El auditor debe ser sincero y honesto en todas las relaciones profesionales y de
negocios.
Objetividad: El auditor no debe permitir que favoritismos o conflictos de inters influyan en
sus juicios profesionales.
Competencia profesional y debido cuidado: El auditor debe mantener sus habilidades y
conocimientos profesionales en el nivel apropiado y actualizados, para prestar un servicio
de calidad y competente, de acuerdo a las legislaciones o regulaciones vigentes.
Confidencialidad: El auditor debe respetar la confidencialidad de la informacin obtenida
como resultado de su trabajo, y no debe revelar la informacin a terceros que no cuenten
con la debida autorizacin.
Conducta profesional: El auditor debe cumplir con los reglamentos y leyes relevantes, as
como rechazar cualquier accin que desacredite a la profesin.

1.1 Objetivos

Verificar si los riesgos del negocio y de Tecnologa de informacin han sido identificados y
gestionados apropiadamente.
Salvaguardar los activos, en trminos de proteccin de hardware, software y recursos
humanos.
Verificar control interno.
Control de la funcin informtica:
Verificar que las aplicaciones proporcionen informacin oportuna, exacta, necesaria
y suficiente.
Revisar las medidas de seguridad, integridad de la informacin, procedimientos de
operacin, infraestructura de sistemas, procedimientos de mantenimiento, proceso
de desarrollo de sistemas, software y hardware.
Revisar y evaluar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos
e informacin.

Anlisis de la eficiencia de los sistemas informticos y el estado del arte tecnolgico de las
instalaciones.
Anlisis de la gestin de los riesgos de la informacin y de la seguridad implcita.
Diagnosticar el grado de cobertura de las aplicaciones a las necesidades estratgicas y
operativas de la informacin de la organizacin.
Verificacin del cumplimiento de la normatividad de la empresa
Verificar la proteccin de activos e integridad de los datos y nivel de continuidad de las
operaciones.
Revisin de la eficaz gestin de los recursos materiales y humanos informticos

Control interno informtico

El control interno informtico controla diariamente todas las actividades de los sistemas de
informacin para asegurar que se estn cumpliendo los procedimientos, estndares y normas
pertinentes dentro de la entidad. Esta tarea la lleva a cabo el personal asignado dentro del
departamento de informtica en la entidad, quienes tienen como objetivos:

Controlar que todas las actividades sean realizadas de acuerdo a los procedimientos,
estndares y normas establecidas y pertinentes.
Asesorar sobre las normas y regulaciones pertinentes.
Colaborar y apoyar el trabajo de la auditoria informtica.
Definir, implantar y ejecutar mecanismos y controles para comprobar el logro.

10
www.auditool.org
 Asegurar que las modificaciones de los procedimientos, correspondientes al mantenimiento,
estn adecuadamente diseadas, probadas, aprobadas e implementadas.
Garantizar la proteccin en los procedimientos programados, evitando as cambios no
autorizados.

Los controles se clasifican en controles preventivos, detectivos y correctivos, definidos de la siguiente

manera:

Controles preventivos: Implica el software de seguridad que impide los accesos no

autorizados al sistema.
Controles detectivos: En caso de que los controles preventivos no funcionen correctamente,
los controles detectivos deben estar atentos para reconocer cualquier eventualidad.
Controles correctivos: Son la correccin de las fallas que se han producido, permitiendo que
el sistema vuelva a su normalidad.

Para determinar la implementacin de controles es importante conocer el sistema, sus elementos,

productos y herramientas; lo que permite identificar los posibles riesgos. Este conocimiento envuelve
el entorno de red, configuracin del computador base, entorno de aplicaciones, productos y
herramientas, y seguridad del computador base. La responsabilidad de este sistema de control
interno informtico es de la gerencia o direccin de la empresa, quienes deben definir las normas de
funcionamiento del entorno informtico mediante el establecimiento de procedimientos, estndares,
metodologas y normas a seguir.

Controles internos:

Controles generales organizativos

Polticas: Son base para la planificacin, control y evaluacin de las actividades del
departamento de informtica.
Planificacin: Realizacin del plan estratgico de informacin, plan informtico, plan
general de seguridad fsica y lgica, y plan de emergencia ante desastres.
Estndares: Regulan la adquisicin de recursos, el diseo, desarrollo y modificacin
y explotacin de sistemas.
Procedimientos: Describen la forma y responsabilidades de ejecucin para regular
las relaciones entre el departamento de informtica y los usuarios.
Funciones y responsabilidades dentro del departamento.
Polticas de seleccin, capacitacin y evaluacin del personal.
Autorizacin y control de accesos al sistema.

Controles de desarrollo, adquisicin y mantenimiento de sistemas de informacin: Permiten

alcanzar la eficacia del sistema, economa y eficiencia, integridad de los datos, proteccin
de los recursos y cumplimiento de las leyes y regulaciones.

Metodologa del ciclo de vida del desarrollo de sistemas

Explotacin y mantenimiento: Asegurar que los datos se tratan de forma congruente
y exacta, y que los cambios solo se realizaran con las autorizaciones pertinentes.

Controles de explotacin de sistemas de informacin

Planificacin y gestin de recursos: Definicin de presupuesto operativo, plan de

adquisicin de equipos, y gestin de la capacidad de equipos.

11
www.auditool.org
 Controles para uso de los recursos: Calendario de carga de trabajo, programacin
de personal, mantenimiento preventivo, gestin de problemas y cambios,
procedimientos de facturacin a usuarios, soportes.
Procedimientos de seleccin del software del sistema, de instalacin, de
mantenimiento, seguridad y control de cambios.
Seguridad fsica y lgica

Controles especficos de ciertas tecnologas

Controles en sistemas de gestin de bases de datos

Controles en informtica distribuida y redes
Controles sobre computadores personales y redes de rea local

Etapas de una auditoria informtica

Para que la auditoria informtica se desarrolle apropiadamente, esta se debe llevar a cabo en tres
etapas bien definidas, planeacin, ejecucin, e informacin.

Planeacin

La planeacin de la auditoria debe hacerse cuidadosa y objetivamente. Esta funcin de planear la

auditoria se desarrolla en tres procesos: conocimiento general de la entidad, definicin del mbito y
alcance de la auditoria, y definicin del programa de auditoria; procesos que permiten llevar a cabo
la auditoria de una manera eficaz y eficiente.

El proceso de planeacin comprende el establecer metas, programas de trabajo de auditoria, planes

de contratacin de personal, presupuesto financiero, e informes de actividades. De esta manera,
esta etapa inicia con un diagnostico general de la organizacin o entidad, en torno a los ambientes
organizacional, informtico y de control interno; que permite reconocer los sistemas y procesos
dentro de la entidad, y a su vez identificar cualquier falla o anomala que afecte los mismos.
Esta informacin permite que el auditor establezca el alcance y planeacin de los procedimientos a
seguir, as como:

Destinatario de las conclusiones, documentacin a entregar y fechas.

Informacin y documentacin previa a solicitar (informes previos de auditora, organigrama
funcional y departamental, esquema de arquitecturas, procesos o interfaces).
Programas de trabajo detallados y estndares que se van a seguir (COBIT, ISO).
Identificacin de interlocutores (administradores de bases de datos, responsables de la
seguridad) e identificacin de herramientas tecnolgicas para la realizacin del trabajo.

Conocimiento general de la entidad

El conocimiento de la entidad inicia desde la direccin y su plan estratgico corporativo, que contiene
todos los lineamientos y polticas por las que se rige la empresa, as como su visin y misin. Todos
los proyectos desarrollados en la empresa estn bajo el plan estratgico, y deben obedecer a las
necesidades de informacin de cada rea de la empresa. La satisfaccin de estas necesidades
originan un plan estratgico informtico y de sistemas, que une todos los recursos tanto de personal
como tecnolgicos, para la creacin de estrategias informticas, orientadas a la integralidad eficiente
para la produccin y gestin inteligente de informacin para la administracin, operacin y control de
la empresa, as como la atencin oportuna, eficaz y segura de clientes y proveedores.
En este sentido, el auditor debe evaluar las funciones que la alta gerencia debe realizar:

12
www.auditool.org
 Planeacin: Determinar los objetivos del rea y la forma en que se van a lograr.
Organizacin: Proveer las facilidades, estructura, divisin del trabajo, responsabilidades,
actividades de grupo y personal, necesarios para realizar las metas.
Recursos humanos: Seleccin, capacitacin y entrenamiento del personal requerido para
realizar las metas.
Direccin: Coordinar las actividades y procesos dentro del rea, con liderazgo, gua y
motivando al personal.
Control: Comparar lo real con lo planeado, de tal manera que se identifiquen problemas o
anomalas, para realizar los ajustes necesarios.

Por ende el auditor debe tener en cuenta los siguientes aspectos:

Estructura organizacional: Revisin de jerarqua, estructura orgnica, funciones y objetivos.

Polticas corporativas
Plan estratgico corporativo
Manual de funciones
Presupuesto
Indicadores de gestin
Misin y visin
Planta de cargos, nmero de personas y distribucin por reas
Plan anual operativo
Plan de capacitacin
Recursos humanos
Polticas de seleccin y administracin del recurso humano
Matriz DOFA
Plan de contingencias
Distribucin geogrfica
Soporte legal de las funciones
Plan de calidad

ESTRATEGIA
CORPORATIVA
NECESIDADES DE
INFORMACION

ESTRATEGIA INFORMATICA

PLAN ESTRATEGICO INFORMATICO Y DE

SISTEMAS

AUDITORIA INFORMATICA

13
www.auditool.org
Evaluacin de control interno

Al evaluar el rea de control interno de la empresa, el auditor debe verificar las actividades,
operaciones y actuaciones, administracin de recursos en relacin a las normas y polticas legales
y definidas por la direccin de la empresa. Para esto debe tener en cuenta aspectos como:

Estructura de la auditoria interna

Funciones de control
Plan anual de revisin
Plan de contingencias
Polticas y normatividad de control y proteccin
Valoracin de riesgos
Evaluaciones anteriores
Estructura funcional
Objetivos y metas del control interno
Tipos de control

El marco de control interno sugerido para cumplir con los lineamientos establecidos por la Ley SOX,
es el diseado por el Comit de organizaciones patrocinadoras de la Comisin Treadway, COSO,
en cul fue diseado con el fin de estudiar los factores que llevaran a acciones fraudulentas en las
operaciones de una organizacin; y permite evaluar el sistema de control interno implementado en
la organizacin.

El modelo COSO comprende cinco componentes de control, que permiten lograr los objetivos de
control para alcanzar los objetivos del negocio y cumplir con las normas y regulaciones pertinentes,
estos son:

Ambiente de control: Factores que inciden en el ambiente de control, tales como integridad
y valores morales del personal, contratacin de personal de calidad, capacidad de
identificacin de riesgos operacionales, entrenamiento especializado sobre la aplicacin de
controles internos, y roles y responsabilidades de la junta y comit de auditora.
Evaluacin de riesgos: Procedimientos para identificar cambios externos que puedan afectar
a la organizacin; herramientas y metodologas para la identificacin, evaluacin y medicin
de los riesgos operacionales y evaluacin peridica de riesgos en las diferentes reas de la
organizacin.

Actividades de control: Acciones tomadas para implementar polticas y estndares dentro de

la organizacin. Estas actividades incluyen administracin de los riesgos operacionales,
control de acceso a los sistemas de informacin y recursos informticos, controles para
mitigar errores operacionales, y evaluacin de controles generales de cmputo asociados al
rea de TI.

Informacin y comunicacin: Informacin suficiente para la toma de decisiones, informacin

adecuada y oportuna de los sistemas de informacin, y comunicacin apropiada entre los
diferentes departamentos de la organizacin, disponibilidad de medios para comunicar
irregularidades y resultados de alta gerencia de la organizacin.

Monitoreo: Monitoreo continuo del sistema de control para asegurar que opera
efectivamente, a travs de actividades de supervisin, auditoria interna, monitoreo
permanente de los indicadores de riesgos operacionales y situaciones crticas, efectividad
de los controles implantados, y disponibilidad de herramientas.

14
www.auditool.org
rea informtica

En cuanto al rea informtica el diagnostico comprende la revisin y evaluacin de la organizacin,

administracin, operacin, seguridad, infraestructura de computo, procesamientos electrnico de
datos, y herramientas de tecnologa de informacin. El auditor debe tener en cuenta los siguientes
aspectos:

Estructura de funciones del rea de sistemas

Estudios de viabilidad: Anlisis de costos y beneficios sobre el uso de los computadores a
largo plazo, definiendo tipo de hardware, software, perifricos, y equipo de comunicaciones,
necesarios para lograr los objetivos de la organizacin y el departamento de informtica. De
la misma manera, este estudio permite evaluar si un procedimiento puede ser llevado a cabo
por el computador, y cules son las alternativas para un mejor resultado. Los resultados del
estudio de viabilidad deben ser distribuidos al personal de informtica, como base y soporte
para la compra, contratacin o elaboracin de un proyecto.
Plan estratgico de sistemas e informtico: Definicin de objetivos a largo plazo y las metas
necesarias para lograrlos. Este plan envuelve el plan estratgico de organizacin, plan
estratgico de sistemas de informacin, plan de requerimientos y plan de aplicaciones de
sistemas de informacin.
Plan de proyectos: Plan bsico para desarrollar un sistema y asegurar que el proyecto es
consistente con las metas y objetivos de la organizacin.
Plan estratgico de instalaciones
Plan de seguridad: Debido a que las instalaciones de informtica estn expuestas a
desastres por varias razones, huracanes, inundaciones, fuego, terremotos, entre otros; debe
existir un plan que permita reducir los riesgos a un nivel aceptable, planeando los seguros
que se deban obtener, y el plan de recuperacin en caso de un desastre, que permita
garantizar el funcionamiento de las operaciones en el menor tiempo posibles y con el menor
impacto para la organizacin.
Plan de contingencias: En la organizacin pueden ocurrir diferentes accidentes debido a mal
manejo de la administracin, negligencia, ataques o desastres naturales. Es por esto que la
organizacin debe contar con un plan de contingencia que prevea cualquier riesgo que
afecta a la organizacin y determinar cules son las acciones a seguir. El plan de
contingencias es definido como la identificacin y proteccin de los procesos crticos de la
organizacin y los recursos requeridos para mantener un aceptable nivel de transacciones y
de ejecucin, protegiendo estos recursos y preparando procedimientos para asegurar la
sobrevivencia de la organizacin en caso de desastre. Este plan debe asegurar la
continuidad de las operaciones o la restauracin de los equipos en el menor tiempo posible,
evitando consecuencias negativas para la entidad. De la misma manera, el plan de seguridad
debe garantizar la integridad y exactitud de los datos, permitir identificar la informacin
confidencial, proteger los activos de desastres naturales u ocasionados por el hombre,
asegurar la capacidad de la organizacin para sobrevivir a las eventualidades. El plan de
contingencia debe ser probado, sobre la base de que puede ocurrir un desastre, para evaluar
si responde adecuadamente.

En la elaboracin del plan de contingencias debe intervenir los niveles ejecutivos de la

organizacin y el personal usuario y tcnico de los procesos, quienes determinaran el
desarrollo del plan de contingencias, el cual envuelve:

Planificacin: Definicin del alcance, fases del plan de eventos, estrategia de

planificacin de la continuidad del negocio, identificacin y asignacin de los grupos
de trabajo, definicin de roles y responsabilidades.

15
www.auditool.org
 Elaboracin del directorio de emergencia.
Objetivos del plan de contingencia:

elementos considerados como crticos, que componen los

sistemas de informacin.
Definir acciones y procedimientos a ejecutar en caso de fallas de los
elementos que componen el sistema de informacin.

Aprobacin y respaldo de la empresa y directivos.

Identificacin y Anlisis de Riesgos: Esta fase busca minimizar las fallas que se
puedan generar en los sistemas de informacin, a partir del anlisis de los proyectos
en desarrollo. Es importante realizar un anlisis de impacto econmico y legal, y
determinar el efecto de las fallas de los principales sistemas de informacin y
produccin de la organizacin. Este anlisis se lleva a cabo teniendo en cuenta:

Un diagnstico integral del sistema de informacin.

Listado de servicios afectados, evaluando su importancia y magnitud de
impacto.
Identificacin de todos los procesos de los servicios afectados.
Anlisis de los procesos crticos de los servicios.
La naturaleza, extensin y complejidad de las actividades de la organizacin.
Grado de riesgo al que la organizacin est expuesto.
Tamao de las instalaciones de la organizacin.
Evaluacin de los procesos considerados como crticos.
Nmero de procesos crticos.

Anlisis del impacto en la organizacin

Identificacin de soluciones: Identificacin de alternativas, eventos activadores, y
soluciones.
Seleccin de la estrategia: Las estrategias permiten identificar prioridades y
determinar en forma razonable las soluciones, algunas de estas pueden ser:

Respaldar toda la informacin importante en medio magntica.

Generar discos de arranque de acuerdo a los sistemas operativos, libres de
virus y protegidos contra escritura.
Mantener copia de antivirus actualizado para emergencias.
Guardar una copia impresa de la documentacin de los sistemas e
interfaces, y planes de contingencia definidos.
Ubicacin y disposicin adecuada del centro de cmputo.
Control de accesos
Vigilancia
Control adecuado y peridico de los medios magnticos.
Establecer controles de impresin.

Formulacin de las medidas de seguridad necesarias.

Justificacin del costo requerido para implantar las medidas de seguridad.
Documentacin del proceso: Es necesario documentar todo el plan de contingencia
y distribuirlo al personal y directivos de la organizacin.
Pruebas y Validacin: Las pruebas permitirn evaluar el plan y determinar si est
acorde a las necesidades de la organizacin. Es importante designar en cada unidad
o departamento de la organizacin un responsable de la seguridad de la informacin
de su rea.

16
www.auditool.org
 Implementacin y mantenimiento:

Dentro del plan de contingencias esta un plan de respaldo, plan de emergencia, y plan de
recuperacin.

Plan de accin: Se deben establecer los procedimientos relacionados con los

sistemas de informacin, equipos de cmputo, backups y polticas.
Plan de emergencia: Acciones a seguir en el momento del desastre, teniendo en
cuenta los posibles escenarios de ocurrencia del siniestro, personal presente, vas y
salidas de emergencia, plan de evacuacin, ubicacin y sealizacin de elementos
contra el siniestro, secuencia de llamadas, elementos de iluminacin, y listado de
telfonos.
Formacin de equipos y entrenamiento: establecer claramente cada equipo y
funciones, teniendo en cuenta el entrenamiento recibido para la lucha y reaccin
ante diferentes tipos de siniestros.
Plan de recuperacin: Cuando ocurre una contingencia, se debe conocer el motivo
que la origino en el menor tiempo posible, y el dao que se ha producido, lo que
permitir recuperar el proceso perdido. Este plan debe incluir actividades previas al
desastre, actividades durante el desastre, y actividades despus del desastre.
Actividades despus del desastre: Se debe evaluar los daos, priorizacin de
actividades del plan de accin, ejecucin de actividades, evaluacin de los
resultados y retroalimentacin del plan de accin.

Inventario de software y hardware

Polticas de operacin, seguridad, capacitacin y mantenimiento
Metodologas de desarrollo
Polticas de backup y recuperacin
Planta de cargos y perfiles
Distribucin fsica del rea de sistemas
Infraestructura de comunicaciones
Inventario de aplicaciones
Planeacin de cambios, modificaciones y actualizacin: Especificar metas y actividades para
realizar los cambios y modificaciones necesarios.
Manual de procedimientos
Estndares de desarrollo
Recursos financieros
Herramientas de tecnologa de informacin
Prcticas de hacer negocios

17
www.auditool.org
Anlisis y Evaluacin de Controles

Una vez terminado el diagnostico, el auditor debe iniciar el anlisis de la informacin obtenida para
determinar los controles a evaluar. Por un lado se encuentra el ambiente de control especfico, que
evala todas aquellas normas, procedimientos, acciones y uso de recursos empleados en el
procesamiento electrnico de datos, entrada, procesamiento, salida, bases de datos, aplicaciones y
procesamiento distribuido, es decir todo lo relacionado a lo que ocurre al interior de los equipos de
cmputo.

Redes y
comunicaciones
Bases de datos
Entrada

Procesamiento

Salida

Aplicaciones

Y en segundo lugar est el ambiente de control general que evala todas aquellas normas,
procedimientos, acciones y uso de recursos empleados para soportar el desarrollo y produccin de
los sistemas de informacin, es entonces todo lo concerniente a lo que ocurre alrededor de los
equipos de cmputo. Esta informacin permite identificar los sectores de riesgo o que necesitan ser
mejorados, para direccionar el desarrollo de la auditoria informtica y definir su alcance.
Los controles se dividen en generales y de las aplicaciones, los de aplicaciones comprenden los
operativos y tcnicos.

Controles generales: Estos controles se aplican al procesamiento de la informacin y

establecen un marco de referencia de control global sobre las actividades de TI, y
proporcionar un nivel razonable de certeza de que se logran los objetivos globales del control
interno: efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y
confiabilidad de la informacin.

Preinstalacin
Controles operativos y de organizacin
Polticas, procedimientos y estndares
Desarrollo de sistemas de aplicacin y control de mantenimiento
Administracin de recursos
Controles sobre el desarrollo de programas y su documentacin
Controles sobre los programas y los equipos

18
www.auditool.org
 Seguridad y confidencialidad
Controles de acceso
Controles sobre los procedimientos y los datos

Controles de las aplicaciones

Controles operativos: Comprenden cada uno de los sistemas en forma individual.

Control de flujo de la informacin
Control de proyectos
Organizacin del proyecto
Reporte de avance
Revisiones del diseo del sistema
Tcnicas de usuario y de control
Control de cambios a programas
Mantenimiento y documentacin
Produccin
Controles de documentacin
Documentacin del sistema y del programa
Mantenimiento y acceso a la documentacin
Control de sistemas y programas
Sistemas en lote (batch)
Reporte de control
Validacin de entradas
Controles de programas miscelneos
Controles de entrada
Correccin de errores
Puntos de verificacin y reinicio
Controles de salida

Controles tcnicos

Controles de operacin y uso del computador

Supervisor
Capturistas
Bibliotecario
Operadores
Controles de entrada y salida
Recepcin de informacin
Deteccin y correccin de errores
Distribucin de la informacin
Calendarizacin
Reporte de fallas y mantenimiento preventivo
Controles sobre archivos
Recuperacin de desastres
Controles de preparacin de datos
Control de usuarios
Control de origen de datos
Origen de documentacin fuente
Autorizacin de documentacin fuente
Recoleccin y preparacin de entrada y documentacin fuente
Manejo de errores de documentacin fuente
Revisar procedimientos escritos para iniciar, autorizar, recoger, preparar y
aprobar los datos de entrada en forma de manual de usuario.

19
www.auditool.org
 Verificar que los usuarios entienden y siguen los procedimientos.
Verificar que todos los datos de entrada en el sistema pasan por validacin
y registro antes de su tratamiento.
Controles de entrada de datos
Controles de actualizacin y tratamiento de datos
Controles de salida de datos
Controles de documentacin
Controles de back-up
Existencia de un plan de contingencia.

Evaluacin de controles generales de tecnologa de informacin, ITGCs (Information

Technology General Controls)

El auditor debe entender y evaluar el ambiente de control general de tecnologa de informacin. Los
controles generales son las polticas y procedimientos que se aplican a los sistemas de informacin,
infraestructura y plataformas de TI en una organizacin, asegurando as un correcto funcionamiento
de todas las operaciones.
Dentro de este ambiente existen cuatro dominios:
Acceso a programas y datos: Verificar que solo el personal autorizado accede a los
programas e informacin bajo la autentificacin de la identidad de los usuarios.
Cambios en los programas: Verificar que los cambios a los programas y los componentes
de infraestructura relacionados, son solicitados, autorizados, desarrollados, evaluados e
implementados para alcanzar los objetivos de control de gestin de aplicaciones.
Operaciones informticas: Confirmar que los sistemas de produccin , y los problemas de
procesos son identificados y solucionados adecuadamente para mantener la integridad de
la informacin:
Desarrollo de programas: Determinar si los sistemas son desarrollados, configurados e
implementados de acuerdo a los objetivos de control de gestin de aplicaciones.

mbito, Alcance y Programa de auditoria

De esta manera el auditor puede proceder a elaborar por escrito el programa de auditoria a seguir,
teniendo en cuenta los siguientes puntos:

Introduccin
Antecedentes
Justificacin
Objetivos
Alcance

Evaluacin de la direccin informtica

Evaluacin de los sistemas
Evaluacin de los equipos
Evaluacin de procesos de datos
Evaluacin de la seguridad

Informacin de apoyo
Metodologa
Establecer comunicaciones necesarias con el personal involucrado en la auditoria
Tiempo y costo
Recursos
Comunicacin de resultados
Aprobacin del plan de trabajo de la auditoria informtica

20
www.auditool.org
As mismo, el plan del auditor debe definir:

Funciones: Descripcin de forma precisa de las funciones y organizacin del departamento

de auditoria, con todos sus recursos.
Procedimientos: Actividades a realizar en la auditoria, definiendo tipos de auditoria, sistema
de evaluacin, nivel de exposicin, lista de distribucin de informes, seguimiento de acciones
correctivas, plan de cinco aos y plan de trabajo anual.

Programa De Auditora Informtica

Organismo: Hoja
#:
Fecha:
Periodo
Personal
Fase Descripcin Actividad Estimado Das Das
Participante
Inicio Trmino

Ejecucin

Durante la ejecucin se disean y aplican los cuestionarios de control, se evala el riesgo

computacional, y se realizan todos los procedimientos detallados en los programas para obtener
evidencias del desarrollo del trabajo. Para obtener estas evidencias el auditor puede usar tcnicas,
mtodos y herramientas:

Observacin: Observacin de los procedimientos y actividades ms significativas realizadas

por los usuarios, de tal manera que el auditor pueda identificar cualquier falla o falta de
formacin en los usuarios, o mejoras de diseo que puedan aumentar la agilidad y
productividad en el uso de una aplicacin o sistema de informacin. As mismo, es una
herramienta que brinda la oportunidad de probar la efectividad de los controles establecidos,
solicitando la simulacin de errores previsibles, para comprobar si la respuesta del sistema
es la esperada.
Estudio de procesos concretos
Cuestionarios
Entrevistas: El auditor debe seleccionar las personas a entrevistar que puedan aportar a su
propsito. As mismo el auditor debe preparar la entrevista con anterioridad, estableciendo
fecha y hora de la entrevista, autorizacin previa de los entrevistados, temas a tratar,
documentos necesarios, e invitacin a sugerir en el proceso, dejando abierta la posibilidad
de nuevas entrevistas.

Encuestas: Se debe preparar un cuestionario que permita, recoger tambin las

observaciones y sugerencias de los encuestados y datos de la entidad donde se est
desarrollando y si es posible de los encuestados, cuando estos lo necesitan as.
Anlisis de la documentacin
Muestreo estadstico
Flujo-gramas, mapas conceptuales
Listas de chequeo: Son vitales para el trabajo de anlisis, cruzamiento y sntesis posterior.
Verificaciones fsicas
Revisin de contratos de prestacin de servicios y acuerdos de nivel de servicio

21
www.auditool.org
 CAAT (Computer Assisted Audit Techniques), Tcnicas de auditoria asistidas por
computador: software de auditoria generalizado, software utilitario, datos de prueba y
sistemas expertos de auditoria. Estas tcnicas pueden ser utilizadas para varios
procedimientos como: prueba de los detalles de operacin y saldos, procedimientos de
revisin analticos, pruebas de cumplimiento de los controles generales de SI, y pruebas de
cumplimiento de los controles de aplicacin. Cuando el auditor decide utilizar herramientas
CAAT, debe controlar el uso de las herramientas para asegurar que se cumple con los
objetivos de la auditoria, y documentar el trabajo que se realice incluyendo: planificacin,
objetivos de los CAAT, CAATs a utilizar, controles a implementar, personal involucrado,
tiempo y costos, procedimientos de la preparacin y prueba de los CAAT y controles
relacionados, detalle de las pruebas, detalles de los input, evidencia de auditoria output,
resultado de auditoria, conclusiones, y recomendaciones.

TIPOS DE HERRAMIENTAS CAAT

HERRAMIENTA FUNCIN
Esta herramienta permite leer, visualizar, analizar y manipular
datos, llevar a cabo muestreos y extraer archivos de datos.
Adems, el uso de esta herramienta disminuye costos de anlisis
y realzar la calidad de trabajo.
Funciones: importacin de datos, manejo de archivos y clientes,
IDEA estadsticas de campo, historial, extracciones, extraccin
indexada, extraccin por valor clave, funciones, conector visual,
uniones, agregar, comparar, duplicados, omisiones, grficos,
Ley de Benford, estratificacin, sumarizacin, antigedad, tabal
pivot, agrupador de procesos, muestreo, agregar campos, e
IDEASscript.
Herramienta enfocada al acceso de datos, anlisis y reportes
para auditores y profesionales financieros. ACL lee y compara
datos, permitiendo que la fuente de datos permanezca intacta,
para una completa integridad y calidad de los datos. As mismo
ACL ACL permite analizar datos para un completo aseguramiento,
localizar errores y fraudes potenciales, identificar errores y
controlarlos, limpiar y normalizar los datos para incrementar la
consistencia de los resultados, realizar un test analtico
automtico y manda una notificacin va e-mail con el resultado.
Sistema completo para la automatizacin de la funcin de
auditoria, soportando todo el proceso del trabajo, desde la
planificacin, trabajo de campo, hasta la preparacin del informe
final. Auto Audit permite planificar la auditoria en funcin de
evaluacin de riesgos, asignacin de auditores para el trabajo de
campo, flexibilidad, mantenimiento de bibliotecas estndares,
Auto Audit
establecimiento de usuarios con perfil definidos, creacin del
informe final, monitoreo de hallazgos, registro de tiempos y
costos, elaboracin de encuestas y evaluaciones a los auditores,
registro histrico, adaptar cualquier estructura de auditoria, y
encriptamiento de datos asegurando la confidencialidad de la
informacin.
Metodologa y software que asiste a los diseadores de
controles, analistas de seguridad y analistas de riesgos en el
AUDICONTROL APL
desarrollo de todas las etapas de proyectos de gestin de riesgos
y diseo de controles Internos, reingeniera del sistema de

22
www.auditool.org
 control interno, sistemas de informacin y la infraestructura de
Tecnologa de informacin de la organizacin.
Solucin de supervisin de transacciones a nivel de bases de
AUDITMASTER datos, controlando toda la actividad que tiene lugar en una base
de datos.
Sistema experto que posee conocimientos especficos en
DELOS materia de auditoria, seguridad y control de tecnologa de
informacin.

El auditor encuentra tres tipos de control, preventivos, de deteccin y correctivos. El control

preventivo es la primera lnea de defensa contra cualquier factor o elemento que pueda afectar los
sistemas de informacin. El control de deteccin ofrece una segunda lnea de defensa contra los
agentes causales que no son detectados en la fase preventiva, adems estos activan una alerta de
alguna desviacin; y los correctivos proceden a ejecutar una accin correctiva.

Esta fase de ejecucin se desarrolla en tres procesos, evaluacin del sistema de control interno,
riesgo computacional y elaboracin de pruebas de auditoria.

Evaluacin del sistema de control interno

En la evaluacin del sistema de control interno se aplican los cuestionarios de control por cada
actividad de riesgo definida en el alcance de la auditoria, a partir de esta informacin se evala el
riesgo computacional. Este proceso permite medir la eficiencia y eficacia de los diferentes
mecanismos de control establecidos en la entidad, que deben garantizar la confiabilidad,
confidencialidad, oportunidad, integralidad y seguridad en el manejo de la informacin como de los
recursos informticos.

Antes de evaluar el riesgo computacional, es importante determinar el tipo de software con que
cuenta la organizacin para cumplir con los requerimientos. La seleccin de tipo de software a ser
usado en la empresa, debe estar definida en el plan estratgico, evaluando las ventajas y
desventajas de cada uno, y acorde a las necesidades y requerimientos de la entidad.
Estas pueden ser:
Software elaborado por el usuario
Software comercial
Software compartido o regalado
Software transportable
Un solo usuario o multiusuario
Categorizacin del software de aplicacin por usuario
Software a la medida de la oficina

Los sistemas deben ser evaluados de acuerdo con su ciclo de vida, teniendo claridad del mismo.

Definicion del Aprobacion,

problema y planificacion y
requerimientos gestion del
Anlisis Diseo Construccin Implantacin
del usuario proyecto

23
www.auditool.org
Riesgo computacional

Al evaluar el riesgo computacional, el auditor debe conocer los diferentes riesgos informticos que
pueden presentarse en una entidad; un riesgo es una contingencia o proximidad de un dao o
amenaza interna o externa que puede afectar la operacin del sistema de control. Los riesgos
pueden ser de perdida, estos exponen al sistema a interrupciones, inaccesibilidad y demoras en el
procesamiento de la informacin, los cuales representan una perdida financiera para la empresa;
riesgos de revelacin de la informacin, estos vulneran el sistema debido al acceso sin autorizacin
faltando as a los requerimientos de confidencialidad y seguridad; y los riesgos de modificacin que
hacen referencia a los cambios no autorizados en la informacin o componentes del sistema;

Algunos de estos riesgos son:

Riesgo computacional
Incendio
Naturaleza Inundacin
Terremoto
Dao del computador o impresora
Fallas de
Dao del equipo de transcripcin
Riesgos segn su hardware
Dao en la transmisin
origen
Fallas humanas Error de reporte, transcripcin y transmisin
Saqueos
Fallas humanas Sabotajes
intencionales Violacin de la privacidad
Fraude
Alteracin de la informacin
Caballo Troya: Colocar instrucciones adicionales en
un programa, para que efecte una funcin no
autorizada.
Tcnica del salami: Robo de informacin mediante el
fraude de un programa.
Bombas lgicas: Diseo de un programa que busca
una condicin o estado especifico. El programa
funciona correctamente hasta que esa condicin se
Mtodos de fraudes Fraudes cumple y se realiza una accin no autorizada.
Escobitas: Mtodo que consigue informacin dejada
en el computador despus de la ejecucin de un
trabajo.
Accesos no autorizados a computadores o cualquier
recurso del sistema a travs del uso de passwords,
cdigos u otro mtodo que suplante personal
autorizado.
Intercepcin: intervencin de los circuitos de
comunicacin.

Falsedad de la informacin en las nminas de pago.

Cuentas incobrables
No registro de ventas
Desfalcos Desfalcos
Malversar pagos de clientes
Alteraciones en planillas
Falsificacin de inventarios

24
www.auditool.org
 Pruebas de auditoria

El tercer proceso es la realizacin de pruebas de auditoria que permiten constatar la aplicacin de

los controles informticos, estas pruebas pueden ser:

Pruebas de consentimiento: Se implementan para determinar si los controles internos

operan adecuadamente, y cumplen con la funcin para la cual fueron diseados. As mismo,
el auditor debe verificar si los controles establecidos, en realidad existen y son confiables.
Estas pruebas pueden utilizar tcnicas manuales de recoleccin de evidencia o tcnicas
asistidas por computador (CAATs).

Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo, es decir,

estn orientadas a detectar la presencia o ausencia de errores o irregularidades en procesos,
actividades, transacciones o controles. Se suelen obtener mediante observacin, clculos,
muestreos, entrevistas, tcnicas de examen analtico, revisiones y conciliaciones. Verifican
asimismo la exactitud, integridad y validez de la informacin.

Pruebas de cumplimiento: Verifican el grado de cumplimiento de procedimientos, normas

o controles de acuerdo con lo previsto y esperado en la documentacin pertinente. Esto se
comprueba a travs de la revisin de registros, documentos, y observacin directa del
funcionamiento especfico. Proporciona evidencias de que los controles claves existen y que
son aplicables efectiva y uniformemente.

El auditor luego de analizar el riesgo computacional y aplicar las pruebas y cuestionarios

correspondientes, debe recolectar toda la evidencia necesaria para soportar la opinin que el auditor
va formando durante el desarrollo de la auditoria. Esta evidencia debe ser relevante, fiable, suficiente,
y adecuada.

Informacin

Esta ltima etapa es la presentacin del informe final de auditoria, las conclusiones preliminares y
definitivas, y las recomendaciones; para esto se debe tener en cuenta que la informacin se debe
presentar de tal manera que se facilite la comunicacin eficaz entre los auditores y los directivos y
administrativos de la entidad auditada.

Luego de las revisiones y evaluaciones realizadas el auditor puede emitir un informe previo de los
puntos principales de la revisin, dando a los responsables del rea auditada la posibilidad de
contribuir a la elaboracin del informe final, y permitir su aceptacin.

El informe final de auditoria debe cumplir con los siguientes objetivos:

Comunicar a la administracin los resultados de la auditoria informtica. Estos resultados

pueden ser problemas identificados o riesgos, entonces el auditor debe explicar su impacto
en trminos organizativos y econmicos.
Facilitar el anlisis de los hallazgos de la auditoria informtica entre los auditados.
Facilitar el proceso de decisin gerencial para adoptar las estrategias del orden
administrativo, operativo y tecnolgico en la organizacin.
Facilitar el seguimiento posterior.

El informe de auditora de informtica contiene el resumen de la gestin y el informe detallado de la

auditoria, y para su redaccin el auditor debe tener en cuenta el destinatario y presentar un informe

25
www.auditool.org
coherente, pulcro, de calidad, confiable y veraz. El resumen de la gestin es un informe ejecutivo
preparado para la direccin o alta gerencia de la entidad y se estructura a partir de los siguientes
elementos:

Ambientes, escenarios de riesgo y actividades sujetas de control evaluados.

Periodo de la auditoria.
Objetivo
Alcance
Restricciones
Resultados y hallazgos de la auditoria
Conclusiones
Opinin del auditor: Esta puede ser favorable, con salvedades, desfavorable, o denegada.
Recomendaciones razonables, verificables, y acordes a la organizacin.
Acuerdos

El informe detallado de auditoria informtica est preparado para los directamente involucrados en
la auditoria informtica y responsables de las reas de informtica; este informe consta de los
siguientes aspectos:

Introduccin
Antecedentes
Justificacin
Alcance
Objetivos
Metodologa
Hallazgos
Determinacin del riesgo computacional
Realizacin de pruebas de auditoria de cumplimiento y sustantivas
Evaluacin de los usuarios
Situaciones encontradas (correctas, para ser mejoradas, de riesgo)
Conclusiones
Recomendaciones e impacto
Anexos
Bibliografa

Estos informes estn soportados por los papeles de trabajo, los cuales facilitan la planeacin de la
auditoria, la recoleccin, anlisis, sntesis de la informacin de control obtenida y representan las
evidencias suficientes de las actividades realizadas.

Tipos de Auditora informtica

Dentro de la auditora informtica encontramos los siguientes tipos de auditoria:

Auditoria Fsica

La auditora fsica envuelve todo lo que rodea los equipos informticos y Centro de Procesamiento
de Datos, de tal manera que se asegure la integridad de los activos humanos, lgicos y materiales.
Por esta razn se refiere a la ubicacin de la organizacin, evitando ubicaciones de riesgo, las
protecciones externas y protecciones del entorno.

26
www.auditool.org
 Instalaciones
Administracin de Organigrama de
la seguridad la empresa

Seguridad Fsica

Centro de proceso Auditoria interna

de datos
Equipos y
comunicaciones

Una seguridad fsica adecuada debe comprender:

Ubicacin del edificio.

Ubicacin del Centro de Procesamiento de Datos: Es importante que el centro de cmputo
este localizado en un lugar seguro, que permita la realizacin eficaz del trabajo. As mismo
se debe tener en cuenta aspectos como los materiales de construccin, espacios y ubicacin
de ventanas, evitando ambientes calurosos o manejo de elementos inflamables que puedan
ocasionar un desastre. Otro aspecto importante es la proteccin del cableado del sistema, a
travs del uso de pisos falso o canales y paneles adecuados de resistencia al fuego, en
lugares aislados y fuera de los lugares de transito del personal.
Aire acondicionado: Instalacin de aire acondicionado, que permita prevenir la entrada de
polvo y suciedad, que puedan afectar los equipos de cmputo; as como garantizar una
temperatura adecuada en el centro de cmputo.
Compartimentacin de reas.
Elementos de construccin.
Potencia elctrica e instalaciones: Es importante que el auditor se asesore de un especialista
en lo que concierne al adecuado funcionamiento del sistema elctrico y el respectivo
suministro de energa, con el fin de evaluar y controlar con rigurosidad las instalaciones
elctricas, debido a que estas pueden ocasionar fallas de energa que ponen en riesgo la
informacin y trabajo, e incluso provocar incendios en las instalaciones de la entidad. Por lo
tanto, es importante conocer los planos de las instalaciones elctricas y el sistema de
cableado elctrico, con el fin de identificar tanto positivos y negativos como polo a tierra, que
proteger los equipos de cmputo contra un cortocircuito durante una descarga elctrica.
para evitar cortocircuitos, tener una estrategia de proteccin contra roedores o fauna nociva
en el sistema cableado elctrico, porque estos pueden morder el plstico de los cables. El
uso de reguladores puede disminuir el riesgo de tener accidentes relacionados con los
cambios de corriente, siempre y cuando se garantice que el nmero de equipos conectados
este acorde con las cargas y especificaciones del regulador, para evitar sobre carga en los
contactos y terminar en un incendio. As mismo, para no tener problemas con las
sobrecargas elctricas en el dao de los equipos es recomendable utilizar un sistema de
energa no interrumpido (UPS) que presta consistencia a la corriente elctrica que hace
funcionar los equipos de cmputo en caso que haya algn tipo de falla en el suministro de
energa elctrica, este sistema de energa no interrumpido provee de energa al computador

27
www.auditool.org
 por cierto periodo que pueden ser en horas o minutos de acuerdo a su sofisticacin,
resguardando as la informacin.
Sistema contra incendios: Las instalacin de los detectores de incendios debe hacerse en lugares
no tan cercanos a los aparatos de aire acondicionado, debido a que estos pueden difundir el calor o
el humo y dificultar as la activacin de los detectores. Es recomendable que estos detectores se
instalen cerca a los centros de cmputo, en las reas de oficina y depsitos de la papelera, entre
otros. Las alarmas contra incendios deben estar conectadas a la alarma central o si es posible,
directamente al departamento de bomberos.
Toda la documentacin de la organizacin debe estar protegida contra incendios, por lo que se debe
contar con un plan de respaldo, y guardar todas las copias de seguridad en un lugar seguro y alejado.
Esta informacin y procedimientos a seguir deben estar incluidos en el plan de contingencias. El
sistema de cmputo debe contar con:
Sistema de deteccin de humo por ionizacin para aviso anticipado.
Dispositivo manual para cortar el sistema elctrico y el aire acondicionado.
Extintores porttiles de CO para equipos elctricos de fcil acceso y peso, y que
estn recargados.
Sealizacin de las salidas de emergencia.
Capacitacin al personal para que acten de la manera adecuada en caso de una
emergencia.

Control de acceso: Todo el personal debe identificarse para tener acceso al centro de
cmputo. Para asegurar que no ingrese personal no autorizado se puede utilizar:
Puerta con cerradura
Puerta de combinacin
Puerta electrnica
Puertas sensoriales
Registros de entrada
Videocmaras
Personal de vigilancia
Puertas dobles
Alarmas
Seleccin y capacitacin del personal
Seguridad de los medios
Medidas de proteccin
Duplicacin de medios

Acompaado a este cubrimiento de las instalaciones fsicas de la empresa, debe existir un plan de
contingencia que permita coordinar las operaciones de recuperacin en caso de desastre. Este plan
debe desarrollarse a partir de un anlisis de riesgos, anlisis de prioridades, procesos y objetivos de
recuperacin, designacin de un centro alternativo de proceso de datos, y asegurar la capacidad de
comunicacin y servicios de back-up.

Auditoria Ofimtica

La auditora ofimtica comprende el conjunto de herramientas de tecnologa de informacin que

permiten generar, procesar, almacenar, recuperar, comunicar y presentar los datos relacionados con
el funcionamiento de las oficinas. El desarrollo de sistemas ofimticos envuelve el escritorio virtual y
el trabajo cooperativo; los cuales deben posibilitar el trabajo personal de cada empleado, permitir
distribuir las aplicaciones por los diferentes departamentos de la organizacin y la aplicacin de los
controles necesarios de los sistemas de informacin.

Los controles ofimticos se establecen teniendo en cuenta la economa, eficacia y eficiencia,

seguridad y normatividad vigente en la organizacin, de esta manera estos controles deben:

28
www.auditool.org
 Determinar la exactitud del inventario ofimtico
Evaluar los procedimientos de adquisicin de los equipos y aplicaciones.
Determinar y evaluar la poltica de mantenimiento de la organizacin
Evaluar la calidad de las aplicaciones del entorno ofimtico
Evaluar los procedimientos para cambio de versiones y aplicaciones.
Determinar si los usuarios cuenta con la formacin y documentacin suficiente y pertinente.
Determinar si los sistemas existentes se ajustan a las necesidades de la empresa.
Determinar si existen garantas suficientes para proteger los accesos no autorizados a la
informacin de la empresa y la integridad de la misma.
Evaluar la fiabilidad y confiabilidad de los procesos de copia de respaldo y back-up,
garantizando la recuperacin de la informacin en caso de que sea necesario.
Determinar si se garantiza el funcionamiento continuo de las aplicaciones sin interrupciones
que puedan generar prdidas de la integridad de la informacin y aplicaciones.
Determinar el grado de exposicin ante la posibilidad de intrusos y virus en los sistemas
informticos.
Determinar si el entorno ofimtico aplica y cumple con las normas y regulaciones
establecidas en la organizacin, as como evaluar si existen situaciones que puedan generar
infracciones segn los dispuesto en la ley.

Auditoria de la direccin

Las organizaciones hoy en da trabajan con base a la informacin, por lo que invierten grandes
sumas de dinero en la implementacin de herramientas tecnolgicas y nuevas prcticas de negocio.
Estas actualizaciones estn incorporadas en el Plan Estratgico Corporativo y general cambio en los
procesos y relaciones desarrollados en la empresa, generando una estructura organizacional en la
que las reas y procesos se integran como un todo a partir de las soluciones de negocio. Debido a
esto, cada proceso y actividad en la empresa tendr repercusiones de orden financiero y logstico, y
estarn enfocadas a la eficiencia, costos, satisfaccin del cliente, rentabilidad, competencia y
cooperacin.

La direccin debe entonces, planificar, organizar, coordinar y controlar todos los procesos y
procedimientos llevados a cabo en la empresa, soportados en la tecnologa de informacin.
Planificar: La direccin debe prever la utilizacin de las tecnologas de informacin de la
empresa, estas directrices constituyen el Plan Estratgico de Sistemas de informacin, el
cual debe asegurar el alineamiento de los sistemas de informacin con los objetivos de la
empresa.
Organizar y coordinar: Esta funcin permite estructurar los recursos, flujos de informacin y
controles que permitan alcanzar los objetivos marcados durante la planificacin.
Controlar: La direccin debe controlar y efectuar un seguimiento permanente de todas las
actividades del departamento de informtica, evaluando as su rendimiento y funcionamiento

Auditoria de la explotacin

La auditora informtica peridica permite detectar las debilidades del sistema para mejorarlas a
tiempo, racionalizando los recursos informticos.
La auditora de explotacin sigue los controles establecidos en el modelo COBIT:

29
www.auditool.org
 INICIO Contrato

Planificacin estratgica:
Estudio y evaluacin de riesgos
Establecimiento de objetivos

PLANIFICACION
Planificacin administrativa

Planificacin administrativa

Actualizacin del programa de trabajo

Pruebas de cumplimiento
TRABAJO
Pruebas Sustantivas

Revisin del trabajo

Elaboracin de informes
REVISIONES E INFORMES
Distribucin de informes

FIN Archivar los papeles del trabajo

Auditoria del desarrollo

El rea de desarrollo abarca todas las fases, desde que surge la necesidad de los sistemas de
informacin hasta su creacin e implementacin. La auditora del desarrollo envuelve todo el ciclo
de vida del software, exceptuando su explotacin y mantenimiento; y verifica la existencia y
aplicacin de procedimientos de control adecuados, que garanticen que los sistemas de informacin
se han desarrollado de acuerdo a los principios de ingeniera.

Para llevar a cabo la auditoria del desarrollo, el auditor, en primer lugar, debe determinar las
funciones del rea de desarrollo, para establecer su plan a seguir. Algunas de las funciones del rea
de desarrollo son:
Planificacin del rea y participacin en la elaboracin del plan estratgico de informtica.
Desarrollo de sistemas de informacin, incluyendo anlisis, diseo, construccin e
implementacin.
Mantenerse actualizado en el campo de tecnologa e informtica, para aplicar los lenguajes,
tcnicas, metodologas, estndares, herramientas y dems elementos relacionados.
Capacitacin continua para el personal del rea de desarrollo.
Establecer normas y controles para la realizacin de las actividades del rea.

El auditor, una vez conozca las funciones del rea de desarrollo, llevara a cabo la auditoria por una
parte de la organizacin y gestin del rea, y por otra de los proyectos de desarrollo de sistemas de

30
www.auditool.org
informacin. El auditor basa su trabajo en la evaluacin de riesgos, estableciendo controles que
minimicen los riesgos relacionados al desarrollo de un sistema de informacin. As mismo se deben
utilizar pruebas de cumplimiento, que permitan la comprobacin de la existencia y correcta
implementacin de los controles, obteniendo as evidencia. El anlisis de esta informacin le
permitir al auditor conocer los puntos fuertes y dbiles de los controles, para determinar cules
riesgos son cubiertos y cules no, y en qu medida lo son, y lo que puede representar para la
organizacin. Estas conclusiones son presentadas en el informe de auditora.

Los controles de la auditoria de desarrollo se pueden organizar de la siguiente manera:

rea de desarrollo Objetivos de control

Comprobar la existencia de un documento que contiene las funciones,
competencia del rea de desarrollo, aprobado por la direccin de
informtica.
Verificar el organigrama con la estructura de la organizacin del rea,
especificando las funciones de cada puesto, requisitos mnimos de
formacin y experiencia, y dependencia jerrquica.
Verificar la existencia de un manual que establezca las relaciones
entre los puestos de trabajo, y los procedimientos de promocin de
personal a puestos superiores.
El rea debe tener su plan, el cual debe ser coherente con el plan de
sistemas.
Verificar que el rea de desarrollo lleva a cabo su propio presupuesto,
lo cumple, y est acorde a los objetivos establecidos.
El personal del rea debe contar con una formacin adecuada, para
el desarrollo de sus funciones. Para el cumplimiento de control, deben
existir procedimientos objetivos de contratacin.
Se deben establecer planes de formacin y capacitacin para el
personal, acordes a la poltica tecnolgica del rea y departamento
de sistemas.
Debe existir un protocolo de recepcin y abandono para el personal
Organizacin y gestin
del rea.
del rea de desarrollo.
Debe existir una biblioteca y una hemeroteca a disposicin para el
personal del rea.
Garantizar la satisfaccin y motivacin del personal para realizar su
trabajo.
Los proyectos deben realizarse de acuerdo al plan de sistemas.
Se debe garantizar la actualizacin del plan de sistemas, de acuerdo
a la informacin que se genera a lo largo del desarrollo.
La propuesta y aprobacin de nuevos proyectos debe realizarse de
acuerdo a los procedimientos y normas establecidas. As mismo la
asignacin de recursos y personal para los proyectos deben seguir
los procedimientos adecuados.
Para el desarrollo de los sistemas de informacin, se deben aplicar
los principios de ingeniera, implementando una metodologa de
desarrollo de sistemas soportada por herramientas de ayuda CASE.
Esta metodologa debe cubrir todas las fases de desarrollo del
sistema, y adaptarse a los diferentes tipos de sistemas.
Comprobar la existencia de mecanismos de creacin y actualizacin
de estndares. Los nuevos estndares deben estar documentados y
conocidos en el rea.

31
www.auditool.org
 rea de desarrollo Objetivos de control
Deben existir mecanismos para la adquisicin y homologacin de
cualquier nuevo software, garantizando las capacitaciones al personal
y registros de configuracin.
Reutilizacin del software. A travs de un catlogo se debe dar a
conocer el software a ser reutilizado.
Implementacin de metodologa que permita establecer los tiempos
de cada una de las fases de los proyectos.
El rea de desarrollo debe estar en contacto con los suficientes
proveedores, para recibir una informacin objetiva y completa. La
contratacin de estos servicios externos debe ser regulada por
protocolos establecidos.
El rea debe evaluar sus actividades y rendimiento, para adaptarse a
las necesidades de la organizacin. Al momento de realizar cualquier
cambio o modificacin a los procesos y actividades, estas deben ser
documentadas, incluyendo la fecha.
Aprobacin, planificacin y gestin del proyecto: El proyecto de
desarrollo debe estar aprobado, definido y planificado formalmente.
El documento resultante debe presentar los objetivos del proyecto,
presentando recursos, tiempos, presupuestos, y unidades de la
organizacin que involucra. Adems, cada proyecto debe tener un
director asignado, ser catalogado y dimensionado segn las normas
establecidas, determinar el ciclo de vida a seguir y el equipo tcnico.
Se debe constituir un comit de direccin del proyecto, el cual debe
reunirse peridicamente y documentar mediante actas, las decisiones
tomadas. As mismo, se deben establecer procedimientos para los
cambios o resolucin de problemas, dejando constancia de los
mismos.

Documentar cada etapa del proceso de desarrollo del proyecto,

garantizando que se cumplan con las normas y regulaciones
establecidas. Al terminar el proyecto se debe cerrar toda la
documentacin, liberar recursos empleados y hacer un balance, para
Proyectos de incorporar la nueva aplicacin al catlogo de la organizacin.
desarrollo de sistemas Anlisis: Esta fase debe determinar las necesidades de informacin
de informacin. que deben ser cubiertas con la nueva aplicacin. El proceso inicia
identificando los requisitos del nuevo sistema, incluyendo los
requisitos funcionales y no funcionales. Este anlisis debe permite
determinar las posibles soluciones que puedan cubrir los requisitos.
Los usuarios de las reas involucradas en el proyecto deben participar
en esta fase de anlisis, para determinar los requisitos. Estar
intervenciones se realizaran por medio de entrevistas, que permitan
conocer como los usuarios valoran el sistema actual y cules son sus
expectativas del nuevo sistema.

Las entrevistas deben ser programadas y coordinadas por el comit

de direccin, y dar a conocer esta programacin a los usuarios
seleccionados. Una vez realizadas las entrevistas, se deben
comprobar las conclusiones con los entrevistados. De la misma
manera esta informacin debe permitir documentar el sistema actual
con las caractersticas y problemas, y determinar los requisitos para
el nuevo sistema.

32
www.auditool.org
 rea de desarrollo Objetivos de control
Una vez definidos los requisitos para el nuevo sistema, se deben
establecer las alternativas para la construccin, analizando sus
ventajas, desventajas y riesgos asociados. Estas alternativas deben
ser presentadas en un documento, que describa sus caractersticas
objetivamente, para que el comit de direccin pueda escoger la ms
adecuada.
Se debe elaborar una especificacin funcional del nuevo sistema
acorde a las determinaciones y requisitos establecidos, incluyendo el
Modelo Lgico de Procesos (MLP) y Modelo Lgico de datos (MLD),
usando diagramas de flujo de datos y modelo entidad-relacin o
diagramas de estructura de datos. Los modelos deben ser aprobados
por los usuarios y el comit de direccin.
Debe existir un diccionario de datos.
Se debe definir la forma en que el nuevo sistema interactuara con los
usuarios, definiendo as su forma de trabajo con el sistema. Esta
definicin debe presentar los pantallazos, teclas de funcin
disponibles, mens, botones, informes, formularios y dems
caractersticas. As mismo se especificara los requisitos de seguridad,
rendimiento, copias de seguridad y recuperacin de informacin.
El sistema debe pasar por diferentes pruebas para la aceptacin y
aprobacin por parte de los usuarios y comit de direccin. De la
misma manera se debe determinar la entrega y transicin del nuevo
sistema.
Diseo: En esta fase se elabora el conjunto de especificaciones
fsicas del nuevo sistema; a partir de las caractersticas funcionales y
teniendo en cuenta el entorno tecnolgico, se disea la arquitectura
del sistema y el esquema externo de datos.
En primera medida se debe definir el entorno tecnolgico para el
proyecto: servidores, computadores, sistemas operativos, conexiones
de red, protocolos de comunicacin, bases de datos, compiladores,
herramientas CASE, y dems.

Documentar todas las actividades fsicas que debe realizar el sistema,

para disear la estructura fsica de datos.
Disea un plan de pruebas, que permita verificar los componentes del
sistema, subsistemas y el sistema en conjunto.
Construccin: Programacin y prueba del sistema, para la puesta en
marcha de todos los procedimientos necesarios para que los usuarios
trabajen en el nuevo sistema. Esta fase se divide en dos mdulos,
desarrollo de los componentes del sistema y desarrollo de los
procedimientos de usuario.
Desarrollo de los componentes del sistema: Los componentes deben
desarrollarse usando tcnicas de programacin correcta,
asegurndose que estn disponibles todos los elementos lgicos y
fsicos.

El equipo de desarrollo debe realizar las pruebas necesarias para

asegurar que las interfaces funcionan correctamente.
Desarrollo de los procedimientos de usuario: Envuelve la instalacin,
conversin de datos, operacin y explotacin. Al finalizar el proyecto,
todos los usuarios deben ser capacitados para dar uso al sistema.

33
www.auditool.org
 rea de desarrollo Objetivos de control
Se deben especificar los perfiles de usuario necesarios para la
implementacin y explotacin del nuevo sistema. Tambin, se deben
desarrollar todos los procedimientos de usuario y recopilarlos en el
manual del usuario.
Definir y preparar los recursos materiales necesarios para el trabajo
de los usuarios en el nuevo sistema.
Implantacin: Es la aceptacin del sistema por parte de los usuarios.
En esta fase se debe verificar que se cumplen con todos requisitos
establecidos en el anlisis, para dar su aprobacin y aceptacin.
Se da inicio a la instalacin de todos los componentes y
procedimientos desarrollados, inicializacin de datos, y explotacin
formalmente. Si existe un sistema antiguo, se debe coordinar su
retirada, manteniendo un periodo de funcionamiento de los dos
sistemas, hasta que el nuevo sistema est funcionando con todas las
garantas.
Los usuarios y el comit de direccin deben firmar la implantacin del
sistema. Durante las primeras semanas se debe supervisar el
funcionamiento del nuevo sistema, incluyendo un acompaamiento a
los usuarios.
Para terminar el proyecto se debe poner en marcha el mantenimiento
del sistema.

Auditoria del mantenimiento

El mantenimiento es un factor de calidad que engloba todas las caractersticas del software que
hacen que un sistema sea ms fcilmente mantenible. En esta auditora, entran en juego diferentes
elementos, uno de estos es la productividad, la cual est directamente relacionada con el
mantenimiento del sistema.

Se pueden establecer tres tipos de contrato de mantenimiento en una empresa, mantenimiento total,
mantenimiento por llamada, y mantenimiento en banco. El mantenimiento total incluye un
mantenimiento correctivo y preventivo, y se deja al proveedor la responsabilidad total del
mantenimiento, con excepcin de daos por negligencia en la utilizacin de los equipos. En el
mantenimiento por llamada, se contacta al proveedor en el caso de una falla y se presta el servicio
tcnico, acorde a las tarifas establecidas. Y el mantenimiento en banco, se lleva a cabo cuando el
cliente lleva a las oficinas del proveedor el equipo para el arreglo necesario.

La empresa, debe hacer una anlisis sobre cual tipo de contrato de mantenimiento le conviene, para
solicitarlo y revisar con detalle las clausulas y artculos, con el fin de evitar inconvenientes con los
proveedores. El auditor debe determinar si los contratos de mantenimiento celebrados por la
empresa estn de acuerdo a las polticas y necesidades de la empresa.

De la misma manera, el auditor debe evaluar que controles ha establecido la empresa con respecto
a la utilizacin del sistema de cmputo, debido a que un control adecuado permitir acceder al
mantenimiento necesario, reduciendo costos y teniendo control sobre las fallas que se puedan
presentar.

Se debe realizar mantenimiento no solo del equipo central, sino del total de los equipos, incluyendo
computadores personales, impresoras, equipos de comunicacin, y perifricos.

Se debe evaluar:

34
www.auditool.org
 Registros de la utilizacin del sistema de computo
Uso adecuado del sistema de cmputo, evitar que:
Programadores utilicen el equipo para aplicaciones ajenas a la empresa.
Personal utilice los equipos para trabajos personales, trabajos no autorizados o
juegos.
Instalacin de programas mal elaborados, que degradan los equipos.
Degradacin en los equipos por fallas en equipos perifricos.
Registros de fallas, causas y procedimientos llevados a cabo.

Auditora de bases de datos

La auditora de bases de datos evala y verifica los controles de acceso, de actualizacin, de

integridad y calidad de los datos. Una base de datos es definida como la organizacin sistemtica
de archivos de datos, para facilitar su acceso, recuperacin, consulta y actualizacin. Los archivos
estn relacionados unos con otros, y son tratados como una entidad.

El auditor debe evaluar y verificar en la base de datos:

Independencia de los datos
Si existe redundancia de datos
Consistencia de los datos
Diccionario de datos
Lenguaje de datos
Monitoreo de teleproceso
Software de seguridad
Sistema de almacenamiento, respaldo y recuperacin
Lenguajes de consulta (Query languages)
Bases de datos de multiplataforma

Los auditores pueden usar una metodologa tradicional o metodologa de evaluacin de riesgos. En
la metodologa tradicional el auditor utiliza lista de chequeo o checklist, para revisar el entorno de las
bases de datos. La metodologa de evaluacin de riesgos, la propone ISACA, y se inicia fijando los
objetivos de control que minimizan los riesgos a los que est el entorno de bases de datos durante
su ciclo de vida. Una vez establecidos estos objetivos, se determinan las tcnicas de control para
alcanzar dichos objetivos. Para la verificacin de los objetivos se utilizan las pruebas de cumplimiento
y pruebas sustantivas, cuando sean necesarias.

35
www.auditool.org
 Bases de datos Objetivos de control
Elaborar un estudio tecnolgico de viabilidad y anlisis de costo-
beneficio, que contemple todas las alternativas para alcanzar los
objetivos del proyecto, y que sea revisado y aprobada por la
direccin de la empresa.
Comprobar la existencia de plan para el seguimiento y gestin del
proyecto, que cumpla los estndares y procedimientos generales
de la organizacin.
Aprobacin de la estructura orgnica del proyecto de base de
Estudio previo y plan de
datos y de la unidad que tendr la responsabilidad de su gestin y
trabajo
control, por lo tanto de debe asignar administrador de datos y
administrador de la base de datos.
Asegurar la separacin de funciones entre el personal de
desarrollo de sistemas y el de explotacin, explotacin y control de
datos, y administracin de bases de datos y desarrollo. Esta
separacin permite verificar las funciones de cada puesto de
trabajo, requisitos mnimos de formacin y experiencia, y
dependencia jerrquica.
Esta fase comprende el diseo de la base de datos de acuerdo a
los modelos y tcnicas definidos en la metodologa de desarrollo
de sistemas de la empresa. Dicha metodologa determina los
documentos fuentes, mecanismos de control y seguridad.
Concepcin de la base de La seleccin del equipo de trabajo debe realizar mediante un
datos y seleccin de procedimiento riguroso, que tenga en cuenta las necesidades de
equipo la empresa y los servicios que prestan los sistemas de gestin de
bases de datos (SGBD).
El personal del rea debe contar con una formacin adecuada,
para el desarrollo de sus funciones. Para el cumplimiento de
control, deben existir procedimientos objetivos de contratacin.
Diseo lgico y fsico de la base de datos. El auditor debe
determinar si el diseo esta realizado correctamente, revisando la
definicin de los datos, asociaciones y restricciones,
especificaciones de almacenamiento de datos y seguridad.
Verificar que el departamento de informtica, los usuarios y el
administrador de la base de datos aprobaron el diseo de los datos
y aplicaciones.
Una vez diseada y aprobada la base de datos se procede a su
Diseo y carga
carga, la cual se debe programar y planificar debidamente, para
evitar la prdida de informacin y transmisin de sistemas de datos
errneos.
Se deben realizar las pruebas necesarias, para verificar el
cumplimiento de los controles y correccin de las fallas
detectadas.
Establecer controles que aseguren la integridad de los datos
durante la entrada manual de datos.
Comprobar que se establecen los procedimientos de explotacin
y mantenimiento, que aseguran que los datos se tratan de
congruente y exacta, y que cualquier modificacin se realiza con
Explotacin y
previa autorizacin.
mantenimiento
Verificar el rendimiento del sistema de base de datos, para
comprobar que se lleve a cabo un proceso de ajuste y optimizacin
adecuados.

36
www.auditool.org
 Desarrollar un plan de revisin de post-implantacin de la base de
datos, para determinar si se han conseguido los resultados
Revisin post- esperados, se satisfacen las necesidades de los usuarios, y los
implantacin costos y beneficios son acorde a los previstos.
Revisar la documentacin de todo el ciclo, para verificar si es
suficiente y se ajusta a los estndares de la empresa.

El auditor debe revisar la utilizacin de todas las herramientas que ofrece el Sistema de Gestin de
Bases de Datos SGBD, las polticas y procedimientos definidas para su utilizacin, y as determinar
si son suficientes o se deben mejorar. Es responsabilidad de la empresa coordinar los distintos
elementos y controles de seguridad, a travs del monitoreo de los controles, gestin rigurosa de la
configuracin del sistema y dems procedimientos necesarios. El auditor puede utilizar dos tcnicas
para evaluar estos procedimientos:

Matrices de control: Esta tcnica permite identificar el conjunto de datos de los controles de
seguridad o integridad implementados. Los controles se clasifican en detectivos, preventivos y
correctivos.
Anlisis de los caminos de acceso: Permite documentar el flujo, almacenamiento y procesamiento
de los datos en todas las fases, identificando los componentes del sistema y los controles
asociados. Esta tcnica le permite al auditor identificar las debilidades o fallas que puedan
exponer a los datos a riesgos de integridad, confidencialidad y seguridad.

Auditoria de tcnica de sistemas

La tcnica de sistemas consiste en desempear las actividades de instalar y mantener en adecuado

orden de utilizacin la infraestructura informtica. El avance de la informtica exige un alto grado de
especializacin en el manejo de las aplicaciones, determinando todas las actividades relacionadas
para alcanzar los objetivos. La auditora de tcnica de sistemas envuelve los siguientes aspectos:
Instalaciones: Salas de proceso, con sus sistemas de control y seguridad, y elementos de
conexin y cableados.
Equipos de proceso: Computadores, perifricos, dispositivos de comunicacin y conmutacin.

Software de base: Sistemas operativos, compiladores, traductores e intrpretes de comandos y

programas, gestores de datos, herramientas y componentes auxiliares e intermedios.

Estos aspectos deben ser evaluados para determinar el nivel de servicio, es decir su eficacia. Para
garantizar la eficacia y calidad de los servicios, es importante determinar los procedimientos que
permiten lograr los objetivos propuestos. Estos procedimientos son:

Instalacin y puesta en servicio: Actividades para conseguir el funcionamiento adecuado de la

aplicacin o sistema.
Mantenimiento y soporte: Conjunto de acciones necesarias para la puesta en marcha del sistema
o aplicacin. Se incluye la asistencia a los usuarios para su mejor utilizacin.
Requisitos para otros componentes: Requerimientos para el mejor comportamiento de otros
componentes del sistema.
Resolucin de incidencias: Procedimiento para registrar, analizar, diagnosticar, calificar y seguir
las incidencias que se presenten para lograr su resolucin.
Seguridad y control: Estos procedimientos son de gran importancia, debido a que permiten
detectar a tiempo cualquier incidencia. Adems, la proteccin de la informacin debe ser
garantizada por medio de procedimientos, tales como el control de accesos y perfiles de trabajo.
Los entornos de desarrollo y mantenimiento de programas deben dejar documentados los
cambios, modificaciones o actualizaciones.

37
www.auditool.org
 Informacin sobre la actividad: Documentacin sobre la evolucin, objetivos, estndares, y dems
aspectos relacionados al desarrollo de la actividad.

Junto a los procedimientos, se encuentran los controles, que permiten determinar el comportamiento
del sistema y prevenir cualquier situacin relacionada al software y hardware. Para esto se
determinan los siguientes objetivos de control:

Tcnica de sistemas Objetivos de control

Planificacin estratgica para el cumplimiento de los objetivos
Definicin del plan establecidos en la empresa, buscando un balance entre la
estratgico tecnolgico tecnologa de la informacin, infraestructura actual, y resultados
de los estudios de factibilidad.
A travs del plan de infraestructura tecnolgica, se busca adecuar
Determinacin de la
las tecnologas emergentes para evolucionar la capacidad de la
direccin tecnolgica
infraestructura, siguiendo los lineamientos de la empresa.
Determinacin de presupuestos que permitan buscar alternativas
Gestin de inversiones de financiacin, al momento de invertir.
Identificacin de riesgos relacionados a la tecnologa de
informacin, y anlisis de su impacto para la toma de decisiones
Apreciacin de riesgos adecuadas, teniendo en cuenta eficacia, eficiencia,
confidencialidad, integridad, disponibilidad, legalidad y fiabilidad.
Organizacin de proyectos en lnea con el plan operativo de la
Gestin de proyectos empresa, y puesta en marcha de los proyectos siguiendo los
procedimientos y ciclos adecuados.
Seleccin de las mejores opciones para satisfacer las necesidades
Identificacin de de los usuarios, teniendo en cuenta restricciones internas y
soluciones automatizadas externas, direccin de la tecnologa, estudios de factibilidad,
requerimientos y arquitectura de la informacin.
Adquisicin de las plataformas adecuadas para soportar las
Adquisicin y aplicaciones de la empresa, determinando consideraciones
mantenimiento de especficas de requerimientos funcionales y operativos. Adems,
infraestructura se debe tener en cuenta la disponibilidad de la tecnologa,
tecnolgica direccin de su evolucin, polticas de seguridad, procedimientos
de instalacin y flexibilidad.
Desarrollo y Uso adecuado de las aplicaciones y soluciones tecnolgicas
mantenimiento de instaladas. Los usuarios deben estar involucrados en el proceso
procedimientos de desarrollo y conocer el manual de los procedimientos
relacionados a los operativos y requerimientos del sistema.
sistemas de informacin
Verificacin del cumplimiento de los objetivos establecidos para el
proyecto desarrollado, evaluando si est acorde a las necesidades
Instalacin y certificacin de la empresa y los usuarios. Para esto se debe revisar la
de sistemas aprobacin de la estructura, documentacin, pruebas especficas,
entrenamiento, conversin y carga de datos, y revisiones post-
implantacin.
Anlisis, implantacin y seguimiento de los cambios, previamente
Gestin de cambios autorizados por los entes pertinentes, en la infraestructura
tecnolgica.
Entendimiento sobre el nivel de servicio requerido, estableciendo
Definicin de niveles de
criterios de rendimiento, para medir la cantidad y calidad del
servicio
servicio.

38
www.auditool.org
 Control de los contratos con terceras personas, as como los
Gestin de relaciones de
servicios prestados, verificando la eficacia y cumplimiento de las
servicios de terceros
polticas y lineamientos de la empresa.
Gestin de rendimiento y Corroborar la capacidad y rendimiento adecuado, de acuerdo a los
capacidad requerimientos establecidos.
Aseguramiento de la Garantizar el funcionamiento continuo, y puesta en marcha de un
continuidad del servicio plan de contingencia al momento de presentarse una incidencia.
Proteger la informacin contra usos no autorizados, revelacin,
modificacin, corrupcin o prdida; a travs del control de acceso
Aseguramiento de la
lgico y fsico al sistema, datos y programas, usando autorizacin,
seguridad de los sistemas
autenticacin, perfiles de usuarios, gestin de claves, informe y
seguimiento de incidencias.
Identificacin y reparto de Correcta asignacin de costes a los servicios de tecnologa de
costes informacin, usando un sistema de contabilidad adecuado.
Control adecuado de los componentes del sistema de informacin,
Gestin de la a travs de inventarios y gestin de cambios, para prevenir
configuracin alteraciones no autorizadas y verificar su existencia.
Establecer procedimientos adecuados para la deteccin y
correccin de problemas e incidencias que afecten el sistema de
Gestin de problemas e
informacin. Es necesario hacer los registros seguimientos
incidencias
pertinentes. Estos registros se convierten en pistas de auditoria
para el conocimiento de los problemas existentes.
Monitorizacin de los Controles de los procesos, determinacin si alcanzan los objetivos
procesos establecidos, definiendo informes de gestin y rendimiento.
Realizacin de auditoras independientes a intervalos regulares,
Seguridad independiente
para incrementar los niveles de confidencialidad.

El auditor, una vez evale los procedimientos y controles, deber emitir su juicio, y soportarlo con
los resultados y evidencias de las pruebas de cumplimiento y sustantivas llevadas a cabo.

Auditoria de la calidad

La calidad es un factor importante al momento de competir en el mercado, y se define como la

concordancia con los requisitos funcionales (funciones realizadas por el software) y el rendimiento,
establecidos por los usuarios, con los estndares de desarrollo de software determinados y normas
de calidad. Una auditoria de calidad tiene como objetivo el mostrar la situacin real, para aportar
confianza y destacar las reas que puedan afectar esa confianza, es decir evaluar los proyectos o
sistemas, y verificar la aplicacin de los estndares, lneas gua, especificaciones y procedimientos.
En este proceso, se establece el estado del sistema o del proyecto, capacidad de realizar o continuar
un trabajo especfico, verificar que elementos del programa o plan de aseguramiento de la calidad,
han sido desarrollados y documentados. Esta informacin debe ser analizada, y sirve como base
para la toma de decisiones en la organizacin.
Para garantizar la calidad de los proyectos de software, es necesario asegurar dentro del desarrollo,
la realizacin del Plan General de Calidad, el cual determina las especificaciones para garantizar la
calidad del software.
As mismo se deben seguir y cumplir diferentes normas de calidad de software, algunas de estas
son:

39
www.auditool.org
 NORMA DESCRIPCION
Define los requerimientos para los procesos de revisin y auditoria. La
revisin est definida como la evaluacin de los elementos del software o
proyecto en curso.
Para conseguir procesos de calidad se debe llevar a cabo evaluaciones,
verificacin, validacin, conformidad y confirmacin de los mismos durante
el ciclo de vida del proyecto.
Otro estndares son:
IEEE 730-2002: Planes de aseguramiento de la calidad del software
IEEE Standard IEEE 829-1998: Documentacin de pruebas de software
1028 for Software
IEEE 982.1 982.2: Diccionario estndar de medidas para producir
Reviews and
software fiable
Audits
IEEE 1008-1987: Pruebas de unidad del software
IEEE 1012- 1998: Verificacin y validacin del software
IEEE 1044-1993: Clasificacin estndar para anomalas del
software
IEEE 1061-1998: Estndar para una metodologa de mtricas de
calidad del software
IEEE 1228-1994: Planes de seguridad del software

Define calidad de software como el conjunto de atributos del software, a

travs de los cuales la calidad es descrita y evaluada, y se estructura en
forma jerrquica. Estos atributos o caractersticas son:
Funcionalidad: Existencia de un conjunto de funciones y
propiedades fsicas, que cumplen con los requerimientos y
necesidades establecidas.
Fiabilidad: Capacidad del software para mantener un nivel de
rendimiento, bajo unas condiciones especficas durante un periodo.
ISO 9126
Usabilidad: Condiciones necesarias para el uso de software, y
valoracin de estas por parte de los usuarios.
Eficiencia: Relacin entre el nivel de rendimiento del software y la
cantidad de recursos usados.
Mantenibilidad: Esfuerzo necesario para hacer modificaciones
especficas.
Portabilidad: Habilidad del software para ser transferido desde un
entorno a otro.
Esta norma contiene las directrices para los procesos del ciclo de vida del
software, y los procesos actividades y tareas para aplicar durante la
adquisicin del software; fundamentales para una buena ingeniera de
software.
Componentes del Sistema de Calidad:
Revisin de controles
Especificaciones de los requisitos de los usuarios y clientes
Planificacin del desarrollo
Norma ISO/IEC Planificacin de la calidad
12207 Diseo y realizacin
Ensayo y validacin
Aceptacin
Reproduccin, despacho e instalacin
Mantenimiento

40
www.auditool.org
 Control de documentos
Registros de calidad
Mediciones
Reglas, prcticas y convenciones
Herramientas y tcnicas

Esta norma es denominada tecnologas de informacin: proceso de

evaluacin. Se realiza la evaluacin del proceso y la aplicacin del proceso
Norma ISO/IEC de evaluacin para el mejoramiento y determinacin de la capacidad;
12207 precisa los requisitos mnimos para realizar una evaluacin que asegure un
nivel de consistencia y capacidad de repeticin, y que los resultados de la
evaluacin sean objetivos.

Una caracterstica de los procesos de calidad es la repetitividad de los mismos; estos deben estar
definidos, para conseguir los mismos resultados, cada vez que se repitan. Esta repeticin permite
redefinir los procesos y corregir las fallas encontradas. En el desarrollo de la auditoria se debe llevar
a cabo procesos de revisin, que permiten evaluar el software o proyecto para identificar las
discrepancias sobre los resultados planificados y expresar las recomendaciones necesarias.

Los requisitos de calidad son establecidos desde las necesidades de los usuarios y clientes, y
teniendo en cuenta la calidad de los productos y servicios, tiempos acordados de entrega y costos.
El auditor, tambin, puede usar software de evaluacin de calidad, para suministrar una valoracin
independiente.

La auditora de calidad debe permitir evaluar si:

Los productos software codificados reflejan lo diseado en la documentacin.
Los requerimientos de la revisin de aceptacin y de pruebas prescritos por la
documentacin, son adecuados para la aceptacin de los productos software.
Los datos de prueba cumplen con las especificaciones.
Los informes de prueba son correctos y los problemas que se presentaran, fueron resueltos.
La documentacin del usuario cumple a cabalidad con los estndares.
Las actividades se han desarrollado de acuerdo requerimientos, planes y contrato
establecido.
Los costos y cronograma se ajustan a los planes establecidos.

Auditora de la seguridad

La importancia de la informacin manejada por las empresas, cada da tiene un valor mayor, por
esta razn surge la necesidad de una proteccin adecuada que garantice la disponibilidad,
integridad, confidencialidad y autenticacin de la informacin. Si no existen las medidas adecuadas
de proteccin puede perderse informacin vital para la empresa, y que puede generar la toma de
decisiones errneas, o causar problemas mayores.

Los objetivos de la auditoria de seguridad son:

Verificar la proteccin de la integridad, exactitud y confidencialidad de la informacin.

Verificar la proteccin de los activos ante desastres provocados por el hombre y actos
hostiles.
Corroborar la proteccin de la empresa contra situaciones externas como desastres
naturales y sabotajes.
Comprobar la existencia de planes y polticas de contingencias, para lograr una pronta
recuperacin de la informacin.

41
www.auditool.org
 Comprobar la existencia de seguros necesarios que cubran las prdidas econmicas, en
caso de desastre.

El auditor debe evaluar en primera instancia, si los modelos de seguridad estn acorde a las nuevas
arquitecturas, plataformas y posibilidades de comunicacin. As mismo debe evaluar las siguientes
reas:
Controles directivos: Polticas, planes, funciones, comits, objetivos de control,
presupuestos y evaluacin de riesgos.
Desarrollo de polticas: Procedimientos, estndares, normas y guas.
Amenazas fsicas externas: inundaciones, incendios, explosiones, corte de suministros,
terremotos, terrorismo, o huelgas.
Control de accesos fsicos y lgicos: Establecer rutas de acceso, claves, software de control
y encripta miento.
Proteccin de datos, programas, instalaciones, equipos y soportes.
Comunicaciones y redes: Usos autorizados, con la asignacin de dominios segn los
perfiles de los usuarios. Se deben revisar y evaluar el uso de internet e intranet, correo
electrnico, y dems servicios en lnea.
Entorno de produccin: desarrollo de las aplicaciones en un entorno seguro, e incorporacin
de controles en los productos realizados, haciendo posible el desarrollo de la auditoria.
Todos los proyectos deben ser autorizados, para verificar el cumplimiento de los estndares
y normas establecidas. Otro aspecto importante es la contratacin de servicios y su
respectivo seguimiento.
Continuidad de las operaciones: Desarrollo de un plan de contingencias.

En la evaluacin de riesgos se deben considerar tipo de informacin almacenada, procesada y

transmitida, criticidad de las aplicaciones, tecnologa usada, marco legal aplicable, sector de la
entidad y momento de la evaluacin. A partir de esta evaluacin las entidades deben considerar que
riesgos importantes se debe tratar. El auditor debe verificar si se ha dado el trato correcto a estas
amenazas y darle a conocer a las entidades que la seguridad en un factor, que puede representar
rentabilidad y buena imagen. Es por esto que la seguridad no solo debe implicar procesos fsicos,
sino formacin y capacitacin al personal, para generan una estructura segura en toda la empresa.

El personal debe ser seleccionado a travs de procesos objetivos y pertinentes para los cargos a
desempear. As mismo es importante separar las funciones y tener un organigrama claro, con
distribucin de puestos de trabajo y funciones, para evitar que solo unas personas manipulen las
operaciones y transacciones importantes, lo que podra llevar a fraudes o el acceso y manipulacin
de informacin, sin las autorizaciones previas. Esto empieza a generar una cultura de seguridad en
la entidad, que debe ser acompaada de un modelo de seguridad adecuado para la entidad que
incluya medidas como sistemas de deteccin y extincin de riesgos, revisiones peridicas, copia de
archivos, contraseas y controles.

Un riesgo al que los sistemas y equipos estn expuestos, son los virus (malware, software malicioso),
rutinas que se esconden en los programas, y se activan cuando se cumple una condicin especfica,
y llevan a cabo actividades como copia de archivos e incluso el borrado de toda la informacin
contenida en disco del equipo. Existen varios tipos de virus, como son:

Caballos de Troya: Se ubican dentro de un programa y actan con determinada indicacin.

Permiten robar informacin o alterar el sistema del hardware, e incluso el acceso de un
usuario externo al equipo.
Gusano: Tienen la propiedad de duplicarse a s mismos.
Bombas lgicas o de tiempo: Programas que se activan al producirse una accin
determinada.

42
www.auditool.org
 Hoax: Mensajes de contenido falsos, que incitan a los usuarios a hacer copias y enviarlas a
los contactos.
Joke: Crean algn efecto molesto o humorstico en el equipo.

La auditora de seguridad debe garantizar cuatro aspectos importantes de la informacin,

confidencialidad, integridad, disponibilidad y autenticidad, mencionados anteriormente, a travs de
la implementacin de procedimientos pertinentes.

Confidencialidad: Asegurar que solo las personas autorizadas tiene los accesos a la
informacin correspondiente.
Integridad: Garantizar que solo los usuarios autorizados pueden realizar cambios en la
informacin correspondiente, dejando los registros pertinentes para el desarrollo de la
auditoria.
Disponibilidad: Asegurar el acceso de las personas con las autorizaciones pertinentes, a la
informacin en los tiempos determinados.
Autenticidad: Garantizar que la informacin sea autentica y manipulados por las personas
autorizadas.

Una forma de proteger la informacin y el control de accesos, es el encriptamiento, arte de proteger

la informacin transformndola con un determinado algoritmo, dentro de un formato, para que no
pueda ser leda normalmente. Solo los usuarios autorizados podrn, desencriptar la informacin.

Auditora de los sistemas redes

La auditora de redes debe determinar que la funcin de gestin de redes y comunicaciones este
claramente definida en la empresa y se tenga en cuenta:
Gestin de la red, inventario de equipos y normas de conectividad.
Monitorizacin de las comunicaciones, registro y solucin de problemas.
Revisin de costes y su asignacin de proveedores y servicios de transporte, balanceo de
trfico entre rutas y seleccin de equipamiento.
Evaluar:
La existencia de una gerencia de comunicaciones con autoridad para establecer
procedimientos y normatividad.
Procedimientos y registros de inventarios y cambios.
Funciones de vigilancia del uso de la red de comunicaciones, ajustes de rendimiento,
registro de incidencias y resolucin de problemas.
Procedimientos para vigilar el uso de la red de comunicaciones.
Participacin activa de la gerencia en el desarrollo de nuevas aplicaciones en lnea,
para asegurar que se sigue la normatividad establecida.

Garantas y vulnerabilidad de las instalaciones fsicas de la empresa.

Controlar las reas para los equipos de comunicaciones, para prevenir accesos
inadecuados.
Proteccin de cables y lneas de comunicacin, para evitar accesos fsicos.
Monitoreo de la red y su trfico, para impedir usos inadecuados e identificar
anomalas y seguir los procedimientos establecidos.
Establecer contraseas y los procedimientos necesarios para limitar y detectar
cualquier intento de acceso no autorizado a la red.
Control e identificacin de errores de transmisin, para restablecer las
retransmisiones apropiadas.
Controles para asegurar que las transmisiones van a los usuarios autorizados.

43
www.auditool.org
 Registros de la actividad en la red, para reconstruir incidencias y detectar accesos
no autorizados.
Controles adecuados para la importacin o exportacin de datos a travs de puertas
a otros sistemas informticos.

Entonces, el auditor debe definir el sistema de comunicacin de la empresa, teniendo en cuenta los
siguientes elementos:

Servidor y husped
Terminal o estacin de trabajo
Convertidores de protocolo
Modem
Equipo de conexin de terminales
Modo de comunicacin
Medio de comunicacin
Topologa de las redes:
Punto a punto, estrella y tipologa jerrquica
Multidrop o bus y ring
Mesh
Sin cables, wireless
Tipos de red
Local
WAN
Enterprise
Internacional

Para la auditoria de redes se trabaja con base al modelo OSI (Open systems Interconnection), el
cual consta de siete etapas:

Aplicacin: Conexin entre la aplicacin con el sistema de comunicaciones.

Presentacin: Formato de datos que van a presentar la aplicacin.
Sesin: Establecer procedimientos de apertura y cierre de sesiones, e informacin de la
sesin en curso.
Transporte: Comprobacin de la integridad de los datos transmitidos.
Red: Rutas de comunicacin entre el emisor y receptor.
Enlace: Transformacin de los paquetes de informacin en trama adaptadas por los
dispositivos fsicos, usados para la transmisin.
Fsico: Transformacin de la informacin en seales fsicas adaptadas al medio de
comunicacin.

Para establecer una comunicacin, la informacin debe pasar por cada una de las siete etapas, a
travs de los mtodos prefijados para establecer la comunicacin entre las mismas etapas. En las
tres primeras etapas se definen las redes LAN (Local rea Network), MAN (Metropolitan rea
Network), y WAN (Wide rea Network).

Existe un elemento que influye en la redes, es la vulnerabilidad, debido a que la informacin transita
por diferentes lugares, fsicamente a diferentes distancias, lo que hace necesario implementar
modelos de seguridad apropiados. Segn el origen de los riesgos se pueden dividir en tecnolgicos
o fsicos:

44
www.auditool.org
 Tecnolgicos
Alteracin de bits
Ausencia de tramas
Alteracin de secuencias
Fsicos
Indagacin
Suplantacin
Modificacin

Una forma de responder a estos riesgos en las redes es la criptografa, y el uso de protocolos de alto
nivel, estos son:

SNA , System Network Architecture

OSI
Netbios
IPX
TCP/IP, Transfer Control Protocol/Internet Protocol

Este ltimo protocolo TCP/IP ha generado la siguiente clasificacin de redes:

Intranet: Red interna, privada y segura de una empresa.

Extranet: Red privada y segura compartida por un conjunto de empresas.
Internet: Red de redes, a donde se conecta cualquier red. Es de alcance mundial y pblico,
donde se pueden conectar los interlocutores.

Uno de los mayores riesgos que se presentan a raz del uso del protocolo TCP/IP, es la que se
genera a raz de su mayor ventaja, la disponibilidad de utilidades. Si no se dispone de la seguridad
necesaria, puede suceder que terceros utilicen los servicios para su beneficio. Un dispositivo utilizado
para la proteccin es el corta-fuegos, Firewall, el cual revisa cada paquete de datos que entra y sale,
para decidir si pasa o no.

El auditor tambin debe evaluar las siguientes caractersticas en la red:

Confiabilidad
Tiempos de respuesta
Costo de la red
Compatibilidad con otras redes
Seguridad
Diseo lgico: entradas, salidas, procesos, especificacin de datos y procesos, mtodos de
acceso, operaciones, manipulacin de datos, identificacin de archivos, proceso en lnea,
frecuencia y volumen de operaciones, sistemas de seguridad, sistemas de control,
responsables, nmero de usuarios, software necesario, y bases de datos requeridas.

Auditoria de aplicaciones

La auditora de aplicaciones se basa en la ltima etapa del ciclo de vida de la aplicacin, su

funcionamiento, en la cual se evala el grado de cumplimiento de los objetivos establecidos para la
aplicacin, y se realiza una revisin de la eficacia del funcionamiento de los controles diseados
frente a los riesgos, asegurando la fiabilidad, seguridad, disponibilidad y confidencialidad de la
informacin gestionada por la aplicacin.
Es importante que el auditor para llevar a cabo la auditoria de aplicacin, conozca la organizacin y
los procedimientos de los servicios que utilizan la aplicacin, as como el entorno en que se desarrolla
la aplicacin. Una aplicacin o sistema de informacin de una empresa tiene los siguientes objetivos:

45
www.auditool.org
 Registro de la informacin de las operaciones y actividades de la empresa.
Realizacin de procesos de clculo y edicin necesarios.
Dar respuesta a consultas autorizadas, sobre la informacin almacenada, solicitadas con el
fin de dar cobertura a las necesidades de los usuarios.
Generar informes con la informacin correcta y utilizando criterios de seleccin.

A pesar del cumplimiento de estos objetivos, el sistema siempre est en riesgo de una falla, ya sea
tcnica o humana, que amenazan la confidencialidad, integridad y disponibilidad de la informacin.
Es por esto que desde la etapa de diseo de la aplicacin o sistema, se debieron tomar las medidas
de control interno para reducir los riesgos que afecte la informacin, y el sistema o aplicacin en su
totalidad. Estas medidas pueden clasificarse en dos grupos, el primero son los controles manuales
y automticos, y el segundo grupo son controles preventivos, detectivos, y correctivos. Los controles
manuales son realizados por el personal del rea y establecidos para asegurar que se preparan,
autorizan y procesan todas las operaciones, se subsanan adecuadamente los errores, las bases de
datos dan soporte a la aplicacin, y los resultados son coherentes respecto a los datos de entrada.

Los controles automticos son incorporados en los programas de la aplicacin, para asegurar que la
informacin se registre y mantenga completa y exacta, los procesos de todo tipo sean correctos, y
los usuarios respeten los mbitos de confidencialidad establecidos.

De esta manera, el auditor debe entender el software bsico de la aplicacin, identificando la

seguridad que ofrece, y los riesgos inducidos, incluyendo la arquitectura y caractersticas lgicas.
Este entendimiento le permite identificar cualquier falla o riesgo significativo en la aplicacin.

Auditoria Jurdica de entorno informticos

La auditora jurdica es parte fundamental de la auditoria informtica, debido a que su objetivo es

comprobar el cumplimiento legal de las medidas del uso de la informtica y de seguridad exigidas
por el Reglamento de desarrollo de la Ley Orgnica de Proteccin de Datos. Esta auditoria es
esencial para evitar posibles reclamaciones contra la entidad auditada. Entonces, el trabajo del
auditor ser preventivo, y evitara cualquier sancin administrativa o legal, cuando sea posible; as
como costos econmicos como indemnizaciones, por negligencias que pudieron haber prevenido a
tiempo. La auditora informtica llevada a cabo a tiempo, puede prevenir el delito informtico,
generando beneficios para la empresa.

La auditora informtica comprende cuatro reas:

Auditoria del entorno informtico: Revisin y evaluacin de los elementos del hardware,
software y contratos de paquetes gestionados, outsourcing.
Auditoria de las personas que manipulan la informacin: Evaluar al personal que utiliza los
sistemas de informacin y equipos, verificando as: quienes tienen acceso a la informacin,
adecuacin del personal al cargo que ostentan, conocimiento de la normatividad pertinente
y actitud tica frente al desarrollo de las funciones relegadas, establecimiento en el contrato
del personal de la labor que cumplen y responsabilidad que ostentan, y si los contratos con
proveedores aseguran la confidencialidad de la informacin.
Auditoria de la informacin: cumplimiento de la normatividad en cuanto al manejo de la
informacin, evitando su uso con finalidades incompatibles con aquellas para las que se
seleccion la informacin.
Auditoria de los archivos: Evaluacin de los niveles de proteccin de los archivos,
mecanismos de seguridad, y figura del responsable del archivo.

46
www.auditool.org
Aspectos legales en una auditoria informtica

El derecho informtico regula el mundo informtico por medio de procedimientos y regulaciones

como lo son la proteccin de datos personales, proteccin jurdica de los programas, delitos
informticos, documento electrnico, comercio electrnico, y dems elementos relacionados a la
informtica. Esta parte del derecho es imprescindible para el auditor, este debe conocer esta rama,
ya que define las normas y procedimientos que envuelven la auditoria informtica, en el mbito legal.

Todas las normas y regulaciones se basan en un bien jurdico, la informacin. Como profesional el
auditor debe desarrollar su trabajo en busca de la proteccin de este bien, y bajo unos principios
deontolgicos que garantizan el desarrollo correcto y tico de la profesin, estos son:

Principio de beneficio del auditado

Calidad
Capacidad
Cautela
Comportamiento profesional
Criterio propio
Discrecin
Formacin continuada
Independencia
Informacin suficiente
Legalidad
Principio de no injerencia
Veracidad

PAIS LEYES Y REGULACIONES

Congreso de las Naciones Unidas en Viena en octubre del 2000, sobre
prevencin del delito y tratamiento de delincuentes, relacionados con las
redes informticas.
Ley orgnica 15/1999 de 13 de Diciembre de Proteccin de datos de carcter
personal
Ley 527 de 1999, por la cual se define y reglamenta el acceso y uso de los
mensajes de datos, del comercio electrnico y de las firmas digitales.
Colombia
Decreto 1747 de 2000, se reglamenta parcialmente la ley 527 de 1999.
Ley 1286 de 2009, Ley de Ciencia y Tecnologa.
Ley Federal del derecho de autor, ttulo IV, capitulo IV, ltima reforma febrero
de 2012.
Mxico
Decreto No. 142, ley para el uso de medios electrnicos del Estado de Mxico,
septiembre de 2010.
Estados Unidos Ley estadounidense Sarbanes-Oxley Act.
Ley Orgnica de las telecomunicaciones, Marzo de 2000.
Decreto No. 825, Decreto referente al acceso y uso de Internet en el territorio
nacional.
Decreto No. 2.479, creacin de la Red del Estado.
Venezuela Ley sobre mensajes de datos y firmas electrnicas.
Ley orgnica de ciencia, tecnologa e innovacin.
Ley especial contra los delitos informticos.
Decreto 3.390, se determina el uso prioritario de Software libre con estndares
abiertos, en sus sistemas, proyectos y servicios informticos.

47
www.auditool.org
Los programas de computador, software, tambin deben ser protegidos jurdicamente. Estos son
concebidos como bienes inmateriales y se pueden proteger a travs de estipulaciones contractuales,
secreto comercial, derecho de patentes, derecho de marcas, y derechos de autor. Estos derechos le
dan al autor una serie de derechos que pueden ser morales y patrimoniales.

Los delitos informticos son definidos como toda accin culpable realizada por el ser humano, que
cause un perjuicio a personas sin que necesariamente se beneficie el autor, que se realiza en el
entorno informtico y est sancionado con una pena. Los delitos informticos se pueden presentar
como delitos contra la intimidad, contra el patrimonio, falsedades documentales, estafas
informticas, defraudaciones, daos informticos, propiedad intelectual.

48
www.auditool.org