1 Erlugar

1
XIV CONCURSO ANUAL DE

INVESTIGACIN
ENFOQUE METODOLGICO DE AUDITORA A LAS

TECNOLOGAS DE INFORMACIN Y COMUNICACIONES
SEUDNIMO
6free
CONTRALORA GENERAL DE LA REBLICA DE CHILE
SUMARIO
Pgina
RESUMEN EJECUTIVO
CAPTULO I
1
DEFINICIN DEL PROBLEMA
1.1
ANTECEDENTES DEL PROBLEMA
1.2
ANTECEDENTES GENERALES DEL ORGANISMO CONTRALOR
1.3
OBJETIVOS DE LA INVESTIGACIN
1.3.1 OBJETIVO GENERAL
1.3.2 OBJETIVO ESPECFICO
1.4
ALCANCE DE LA INVESTIGACIN
CAPTULO II
2
DISEO METODOLGICO DE LA INVESTIGACIN
2.1
METODOLOGA DE LA INVESTIGACIN
RESULTADO DE LA INVESTIGACIN
CAPTULO III
3
AUDITORA A LAS TECONOLOGAS DE LA INFORMACIN
3.1
MARCO TERICO
3.1.1 Clasificacin de las auditoras
3.2
LOS SISTEMAS DE INFORMACIN
3.2.1 Caractersticas de los sistemas de informacin
10
3.2.2 Estructura de los sistemas de informacin
12
3.2.3 Procesos de los sistemas de informacin
13
3.2.4 Clasificacin de los sistemas de informacin
14
3.3
COBIT 4.1
16
3.3.1 Definicin
16
3.3.2 Misin
16
3.3.3 Estructura
17
3.4
ISO/IEC 27002:2005
25
3.4.1 Definicin y objetivos
25
CAPTULO IV
EL ENFOQUE METODOLGICO PROPUESTO
4.1
METODOLOGA
4.1.1 Sntesis de actividades y productos entregables por etapas

4.2
26
27
FASE I. PLANIFICACIN DE LA AUDITORA
4.2.1 Programa de auditora preliminar
29
4.2.2 Programa de trabajo para el desarrollo de la auditora
29
4.2.3 Asignacin de recursos y estimacin del tiempo requerido

para efectuar la auditora
30
4.2.4 Comprensin de los procesos de negocios y sistemas de

informacin que los soportan
31
4.2.5 Levantamiento de la informacin bsica y detallada
32
4.2.6 Estructura y organizacin de los archivos de trabajo
33
4.2.7 Ficha tcnica de los sistemas de informacin
34
4.2.8 Definicin del alcance de la auditora
34
35
4.2.10 Estimacin del tiempo requerido por etapa y auditor
36
4.3
FASE II. EJECUCIN DE LA AUDITORA
4.3.1 Evaluacin del sistema de control interno
41
4.3.2 Levantamiento de controles
42
4.3.3 Criterios para evaluar la proteccin que ofrecen los controles
43
4.3.4 Evaluar la satisfaccin de los objetivos de control
44
4.3.5 Observaciones de auditora
45
4.3.6
Definicin y diseo de las pruebas de auditora
45
4.3.7 Identificacin de Controles claves que sern verificados
46
4.3.8 Agrupamiento de controles por tcnica de comprobacin
47
4.3.9 Definicin y diseo de las pruebas de cumplimiento
48
4.3.10 Definicin y diseo de las pruebas sustantivas
50
4.3.11 Ejecucin de las pruebas de auditora
52
4.3.12 Tcnicas y herramientas de auditora
53
4.3.13 Anlisis del resultado de las pruebas de auditora
70
4.3.14 Anlisis del resultado de las pruebas de cumplimiento
70
4.3.15 Anlisis del resultado de las pruebas sustantivas
72
4
4.4
FASE III. COMUNICACIN DE LOS RESULTADOS
4.4.1 Elaboracin de los informes con los resultados de la auditora
73
4.4.2 Estructura y contenido de los informes
73
4.4.3 Aseguramiento de la calidad de los informes de auditora
74
4.4.4 Organizar y cerrar la carpeta con archivos de trabajo
76
4.4.5 Seguimiento a las observaciones de la auditora
78
4.4.6 Planificar el seguimiento a las observaciones de la auditora
78
4.4.7 Ejecutar el seguimiento a las observaciones de la auditora
79
4.4.8 Informe de seguimiento de la auditora
79
CAPTULO V
CONCLUSIONES
80
BIBLIOGRAFA
81
RESUMEN EJECUTIVO
El proyecto Enfoque metodolgico de auditora a las tecnologas de
informacin y comunicacin sobre la base del estndar COBIT 4.1 y la
norma ISO/IEC 27002:2005, tiene como objetivo entregar un marco
referencial para desarrollar auditoras orientadas a los procesos del
negocio, los sistemas de informacin y sus actividades de control.
El Proyecto est estructurado en cinco captulos.
El Captulo I, presenta los antecedentes generales, los antecedentes de la
organizacin y el objetivo general y especficos del proyecto.
En el Captulo II, se analizan los elementos de la auditora a las
tecnologas de informacin a travs de sus aspectos generales y del
anlisis de las tecnologas de informacin y comunicaciones.
El Captulo III, se presenta el estndar COBIT y la norma ISO/IEC 27002
En el Captulo IV, se aborda el enfoque metodolgico explicando los
objetivos metodolgicos, etapas, actividades y productos.
Finalmente, en el Captulo V, se exponen las conclusiones del proyecto.
CAPTULO I
1.1
ANTECEDENTES DEL PROBLEMA
En el marco del plan de modernizacin de la Contralora General de la

Repblica de Chile, dentro del mbito de la administracin y desarrollo de
las labores propias de fiscalizacin, se encuentra el proyecto SICA
(Sistema de Control de las Auditoras), el que busca establecer una
metodologa estandarizada para abordar las distintas reas de fiscalizacin
que realiza el organismo de control. Si bien es cierto, ya existe una cultura
organizacional para realizar estas labores, no es menos importante tener
presente que el avance de los servicios pblicos en la automatizacin de
sus procesos ha requerido integrar una visin de sistemas a las mismas.
Desde algn tiempo a la fecha, se han incorporado a las auditoras
realizadas por la Contralora General, ingenieros especialistas en reas de
las ciencias de la informacin y las comunicaciones pero esto ha llevado a
una lenta adecuacin de los distintos criterios y lenguajes propios de los
auditores financieros. A raz de esto, ha surgido la necesidad de apoyar
este proceso de manera estructurada y para ello se dispuso crear una
metodologa para realizar auditoras con el objetivo de maximizar el uso de
los recursos con que cuenta la organizacin para cubrir sus distintas
necesidades de fiscalizacin.
Este proyecto persigue integrar a auditores e ingenieros que apoyan el
desarrollo de las auditoras, basndose para ello en el marco conceptual
que entrega el estndar internacional COBIT y la norma tcnica ISO/IEC
27002, de modo que se logre obtener una mayor sinergia en los equipos
de trabajo y se cumplan en forma oportuna y al menor costo los objetivos
planificados.
1.2 ANTECEDENTES GENERALES DEL ORGANISMO CONTRALOR

La Contralora General de la Repblica de Chile tiene como objetivo
principal velar por la correcta aplicacin de la legalidad en los actos
pblicos por parte del poder ejecutivo y resguardar el uso eficiente del
patrimonio pblico, por lo que debe cubrir un amplio espectro de
actividades con la cual dar cumplimiento a su mandato constitucional.
Para esto, la Contralora General se ha estructurado de manera que pueda
abarcar las distintas reas de accin del Gobierno con la idea principal de
conseguir cubrir el mximo rango posible, teniendo presente que los
recursos humanos con que cuenta son escasos.
El accionar de los distintos organismos que conforman la administracin
del estado se desarrolla a travs de planes y programas, los que
actualmente cuentan con componentes tecnolgicos que apoyan el logro
de sus objetivos.
La Contralora hace uso de su facultad de fiscalizacin a travs de equipos
multidisciplinarios,
los
que
necesitan
contar
con
una
metodologa
estandarizada para abordar de manera integral los distintos tipos de

proyectos y programas que ha decidido fiscalizar.
Para ello, se ha desarrollado un enfoque que permita integrar la visin
sistmica, de procesos y control al que hacer de los profesionales que
trabajan en la funcin de fiscalizacin.
1.3 OBJETIVOS DE LA INVESTIGACIN
1.3.1
Objetivo general
El objetivo general es ayudar a mejorar la calidad de las auditoras a las

tecnologas de la informacin y las comunicaciones realizadas por la
Contralora General de la Repblica de Chile.
8
1.3.2 Objetivo especfico

El objetivo especfico es apoyar la realizacin de las auditoras a las
tecnologas de la informacin y las comunicaciones utilizando para ello el
marco conceptual que entrega el estndar internacional COBIT y la norma
ISO/IEC 27002.
El logro de este objetivo especfico permitir entre otros:
Desarrollar auditoras de manera estructurada y uniforme.
Entregar normas y procedimientos actualizados para examinar los

sistemas de informacin y la infraestructura tecnolgica que los
soportan.
Especificar los objetivos de control para realizar las pruebas de

cumplimiento y sustantivas.
Promover la evaluacin de los controles claves de los procesos y

sistemas de informacin que soportan el negocio de la organizacin.
Suministrar un marco de referencia para medir el desempeo de los

auditores a cargo y en terreno.
1.4 ALCANCE DE LA INVESTIGACIN

El alcance de la presente investigacin se fundamento en definir un
enfoque metodolgico basado en el estndar internacional COBIT y la
norma ISO/IEC 27002, para la realizacin de auditoras a las tecnologas
de informacin y comunicaciones efectuadas por la Contralora General de
la Repblica de Chile y ser un aporte al trabajo que realizan las Entidades
Fiscalizadoras Superiores.
CAPTULO II
2.
DISEO METODOLGICO DE LA INVESTIGACIN
2.1 METODOLOGA DE LA INVESTIGACIN

La presente investigacin se bas en el anlisis del enfoque conceptual y
objetivos de control contenidos en el estndar COBIT 4.1 y en los controles
de la norma ISO/IEC 27002:2005.
RESULTADO DE LA INVESTIGACIN
CAPTULO III
AUDITORA
LAS
TECONOLOGAS
DE
INFORMACIN
COMUNICACIONES
3.1.
MARCO TERICO
3.1.1 Clasificacin de las auditoras

Existen varias formas de clasificar a la auditora, simplemente si se piensa
en las reas de especializacin, stas daran una clasificacin extensa y
vlida. Sin embrago, en esta ocasin se mencionarn dos tipos, las cuales
pueden aportar elementos de inters en su posterior estudio.
La auditora de gestin, est orientada a la evaluacin de aspectos
relacionados con la eficiencia y productividad de las operaciones de una
organizacin. Este tipo de auditora, al igual que la integral que se
menciona a continuacin, puede ser desempeada tanto por auditores
externos como internos.
Constituye objeto de la auditora de gestin, el proceso administrativo, las
actividades de apoyo y operativas; la eficiencia, efectividad y economa en
el empleo de los recursos humanos, financieros, ambientales, tecnolgicos
10
y de tiempo; y el cumplimiento de las atribuciones institucionales.

La auditora integral, se realiza con el fin de evaluar en su totalidad los
objetivos que existen en una organizacin, es decir, los relacionados con
informacin financiera, salvaguardar los activos, eficiencia y normativa,
entre otros. Este tipo de auditoras tambin pueden ser realizadas tanto
por auditores externos como internos.
En ninguna de las clasificaciones anteriores se mencion de manera
especfica
la
auditora
de
las
tecnologas
de
informacin
comunicaciones. Esto es as, porque esta disciplina no excluye a ninguna

de las auditoras mencionadas, por el contrario, todas ellas deben integrar
a la auditora en tecnologas de informacin para efectuar revisiones
especficas derivadas del uso de la tecnologa de informacin en los
servicios pblicos.
3.2 LOS SISTEMAS DE INFORMACIN
Para adentrarse en el proceso de una auditora a las tecnologas de la
informacin y comunicaciones, es requisito imprescindible comprender los
conceptos de sistemas, informacin y tecnologas de las comunicaciones.
Al lograr una visin y conocimientos del entorno informtico, el auditor
juzgar, de manera suficiente, la naturaleza de la problemtica y riesgos a
los cuales se ver enfrentado al planificar y realizar la auditora.
3.2.1 Caractersticas de los sistemas de informacin
Si se tuviera que resumir con una sola frase, el principal objetivo de un
sistema de informacin dentro de una organizacin, se podra afirmar que
ste se encarga de entregar la informacin oportuna y precisa, con la
presentacin y el formato adecuados a la persona que la necesita dentro
de la organizacin, para tomar una decisin o realizar alguna operacin y
justo en el momento en que esta persona necesita disponer de dicha
informacin.
11
Actualmente, la informacin debe ser considerada como uno de los

recursos ms valiosos de una organizacin y el sistema de informacin es
el encargado de que sta sea gestionada siguiendo criterios de eficiencia y
eficacia.
La informacin ser til para la organizacin, en la medida que facilite la
toma de decisiones, por lo que ha de cumplir una serie de requisitos, entre
los cuales cabe destacar:
Exactitud: La informacin ha de ser precisa y libre de errores.
Completitud: La informacin debe contener todos aquellos hechos que

pudieran ser importantes.
Economicidad: El costo en que se debe incurrir para obtener la

informacin debera ser menor que el beneficio proporcionado por sta
a la organizacin.
Confianza: Para dar crdito a la informacin obtenida, se ha de

garantizar tanto la calidad de los datos utilizados, como la de las
fuentes de informacin.
Relevancia: La informacin ha de ser til para la toma de decisiones.

En este sentido, conviene evitar todos aquellos hechos que sean
superfluos o que no aporten ningn valor.
Nivel de detalle: La informacin debe presentar el nivel de detalle

indicado a la decisin a que se destina. Se debe proporcionar con la
presentacin y el formato adecuados para que resulte sencilla y fcil de
manejar.
Verificabilidad: La informacin ha de poder ser contrastada y

comprobada en todo momento.
Por otra parte, no se debe olvidar que el exceso de informacin tambin

puede ser causa de problemas, suponiendo un obstculo en vez de una
ayuda para la toma de decisiones.
Asimismo, cada funcin y nivel organizativo tiene diferentes necesidades
de informacin, afectando a los formatos, origen, periodicidad, nivel de
12
agregacin y otras caractersticas. A medida que se asciende en el

escalafn organizacional, se observa cmo la informacin requerida
aumenta en nivel de agregacin (menor nivel de detalle), incorpora
informacin del entorno y hace un mayor nfasis en el mediano y largo
plazo,
diferencia
de
la
informacin
puramente
operativa,
que
normalmente se refiere a los hechos ocurridos dentro de la propia

organizacin y a un corto plazo.
Es as como la informacin y el conocimiento que acumulan las
organizaciones, deben ser considerados como un recurso ms, al mismo
nivel que el capital, los bienes, las instalaciones o el personal.
En consecuencia, es necesario protegerlo y controlarlo adecuadamente,
para que pueda contribuir a la realizacin de los objetivos y metas fijados
por la organizacin.
3.2.2 Estructura de los sistemas de informacin
Los sistemas de informacin estn compuestos por diferentes elementos
que interaccionan entre s, entre los cuales se pueden encontrar cinco
componentes
fundamentales:
personas,
actividades,
datos,
redes
tecnologa.
Las personas engloban a los propietarios del sistema (entendiendo como
tales, a aquellas personas que patrocinan y promueven el desarrollo de los
sistemas de informacin), a los usuarios (directivos, ejecutivos medios,
jefes de equipo, personal administrativo), a los diseadores y a los
desarrolladores.
Los datos constituyen la materia prima empleada para crear informacin
til.
Dentro de las actividades, se incluyen los procesos que se llevan a cabo en
la organizacin y las actividades de procesamiento de datos y generacin
13
de informacin que sirven de soporte a las primeras.

En
el
componente
redes,
se
analizan
la
descentralizacin
de
la
organizacin, la distribucin de los restantes componentes elementales en

los lugares ms tiles (oficinas, dependencias, delegaciones, etc.), as
como la comunicacin y coordinacin entre dichos lugares.
Por ltimo, el componente tecnologa, hace referencia tanto al hardware
como el software de un sistema de informacin. Se pone de manifiesto la
existencia de una interrelacin entre los elementos propios de la
organizacin y los sistemas de informacin.
3.2.3 Procesos de los sistemas de informacin
Un sistema de informacin, se puede definir como un conjunto de
elementos interrelacionados (entre los que se pueden considerar los
distintos medios tcnicos, las personas y los procedimientos), cuyo
cometido es capturar datos, almacenarlos y transformarlos de manera
adecuada y distribuir la informacin obtenida mediante este proceso.
Su propsito es apoyar y mejorar las operaciones cotidianas de la
organizacin, as como satisfacer las necesidades de informacin, para la
resolucin de problemas y la toma de decisiones, por parte de los
directivos de la organizacin. Por lo tanto, se trata de un sistema que tiene
entradas (datos) y salidas (informacin), procesos de transformacin de
las entradas en salidas y mecanismos de retroalimentacin.
La captura de datos puede ser manual o automatizada y, en general, es
conveniente realizarla en el momento en que se produce el hecho al que
est asociado.
En la etapa de proceso, se transforman los datos de entrada del sistema
en informacin til, mediante una serie de operaciones de clculo,
agregacin, comparacin, filtrado, presentacin, etc. Estas operaciones,
generalmente son realizadas con la ayuda de sistemas informticos.
14
La informacin til se plasma en una serie de documentos, informes y

grficos, para ser distribuida a las personas adecuadas dentro de la
organizacin. Esta informacin, as como los datos de partida, se
almacenan generalmente, en un soporte informtico para poder ser
reutilizados en cualquier momento.
La retroalimentacin (feedback) de la informacin obtenida en todo este
proceso, se puede utilizar para realizar ajustes y detectar posibles errores
en la captura de los datos y/o en su transformacin.
3.2.4 Clasificacin de los sistemas de informacin
Por lo general, las clasificaciones ms extendidas de los sistemas de
informacin suelen agrupar stos en funcin de su propsito. De una
forma muy global, puede considerarse que existen dos propsitos bsicos
para los sistemas:
Soporte a las actividades operativas: Que da lugar a sistemas de

informacin para actividades ms estructuradas (aplicaciones contables,
ventas, adquisiciones y, en general, lo que se denomina gestin
empresarial
tambin
sistemas
que
permiten
el
manejo
de
informacin menos estructurada: aplicaciones ofimticas, programas

tcnicos para funciones de ingeniera, etc.
Soporte a las decisiones y el control de gestin: Que puede

proporcionarse desde las propias aplicaciones de gestin empresarial
(mediante salidas de informacin existentes) o a travs de aplicaciones
especficas.
Los sistemas de soporte a las actividades operativas, surgen para

automatizar actividades operacionales intensivas en el manejo de datos.
Concretamente, se centran en reas como administracin (contabilidad y
facturacin) y gestin de personal, extendindose a otras actividades
como la venta, la compra o la produccin. Estos permiten recoger los
15
datos bsicos en las operaciones y se les denomina sistema de

procesamiento transaccional.
Actualmente, estos sistemas forman parte de lo que normalmente las
organizaciones denominan como su Sistema de Gestin Empresarial o
ERP (Enterprise Resources Planning).
Los sistemas de informacin para la toma de decisiones, permiten sacar
provecho a los datos recogidos por los sistemas transaccionales, siendo
capaces de proporcionar informacin para la gestin. Estos sistemas,
permiten generar informes para los directivos de la organizacin, con el
propsito de mejorar el control de gestin de las distintas reas
funcionales. De este modo, se consigue agilizar el proceso de toma de
decisiones, al proporcionar la informacin necesaria de forma rpida,
precisa y fiable.
En los sistemas de informacin de control de gestin, los informes pueden
ser generados de forma peridica, bajo demanda, en el momento en que
se produzca una situacin excepcional (posibilitando este ltimo caso el
control por excepcin) y en ellos se comparan, para cada rea funcional o
centro de responsabilidad, los objetivos previstos con los resultados
obtenidos, fruto de las distintas operaciones realizadas.
La direccin de una organizacin, adems, requiere sistemas capaces de
soportar decisiones de carcter menos estructurado, con frecuencia el
directivo necesitar herramientas para diagnosticar un problema (anlisis)
y para elegir la mejor alternativa (simulacin, planificacin, etc.). Este tipo
de herramientas se les denomina sistemas de inteligencia de negocios.
Los sistemas de soporte a la direccin son los que asisten a los directivos
de las organizaciones en todos los aspectos de un proceso de toma de
decisiones: generacin de alternativas, anlisis de ellas, simulacin de
resultados que se obtendran con cada una de ellas, etc. Se puede afirmar
que estos sistemas van un paso ms all que los sistemas de informacin
16
tradicionales.
Por ltimo, los sistemas de informacin para ejecutivos, combinan buena
parte de las caractersticas de los sistemas anteriores, para servir de
ayuda a los directivos en el proceso de toma de decisin y seguimiento de
acciones.
3.3
COBIT 4.1
3.3.1 Definicin
COBIT es un acrnimo formado por las siglas derivadas de Control
Objetives for Information and Related Technology (Objetivos de Control
para la Informacin y Tecnologas Relacionadas).
Este conjunto de objetivos representa el producto de un proyecto de
investigacin desarrollado por la Information System Audit and Control
Fundation (ISACF) que fue publicado inicialmente en el ao de 1996.
Como su nombre lo indica, COBIT es un conjunto de objetivos de control
aplicables a un ambiente de tecnologas de informacin que lograron
definirse gracias a un trabajo de investigacin y bsqueda de consenso
entre la normatividad de distintos cuerpos colegiados, estndares tcnicos,
cdigos de conducta, prcticas y requerimientos de la industria y
requerimientos emergentes para industrias especficas (desde la banca
hasta la manufactura). Este extenso trabajo de investigacin realizado por
equipos de expertos de Amrica, Europa y Oceana, dio como resultado un
grupo estructurado de objetivos de control que al ser compatibles con las
principales normas a nivel internacional, cuenta con una aceptacin
implcita como un estndar global en trminos de control interno en
tecnologas de informacin.
3.3.2 Misin
La misin de COBIT es: investigar, desarrollar, publicar y promover un
17
conjunto internacional, autorizado y actual de objetivos de control en

tecnologas de informacin generalmente aceptados por el uso cotidiano de
gerentes de organizaciones y auditores.
Entonces, el propsito de COBIT es proporcionar una gua estndar que
tenga una aceptacin internacional sobre los objetivos de control que
deben existir en un ambiente de tecnologa de informacin para asegurar
que las organizaciones logren los objetivos de negocio que dependen de un
adecuado empleo de dicha tecnologa.
3.3.3 Estructura
COBIT logra un primer acercamiento entre los mundos de los negocios y
del control de tecnologa de informacin, mundos que histricamente
aparecan distantes uno del otro, aunque la necesidad de interaccin fuese
evidente.
La estructura de COBIT se fundamenta en la idea de que los recursos de TI
deben ser utilizados en forma adecuada mediante la ejecucin de procesos
de trabajo para satisfacer los requerimientos de (informacin del) negocio
que existen en las organizaciones.
ESTRUCTURA DEL ESTANDAR COBIT
Recursos
de TI
Procesos de
trabajo
Requerimientos
de negocio
Datos
Planeacin y Organizacin
Efectividad
Sistemas de Informacin
Adquisicin e Implementacin
Eficiencia
Tecnologa
Instalaciones
Recursos Humanos
Prestacin de Servicios y Soporte

Monitoreo
Confidencialidad
Integridad y Disponibilidad
Confiabilidad de la Informacin
Cumplimiento Leyes y Regulacin
18
a) Recursos de TI
La clasificacin que propone COBIT sobre los recursos de tecnologa de
informacin es la siguiente:
Datos: Incluye a los objetos de informacin en su sentido ms amplio,

considerando
informacin
interna
externa,
estructurada
no
estructurada, grfica, sonidos, etc.
Sistemas de informacin: Este concepto se entiende como los

sistemas
de
informacin
(aplicaciones)
que
integran
tanto
procedimientos manuales como procedimientos programados (basados

en tecnologa)
Tecnologa: Incluye hardware, sistemas operativos, sistemas de

administracin
de
base
de
datos,
equipos
de
redes
telecomunicaciones, video conferencia, etc.
Instalaciones: Incluye los recursos necesarios para alojar y dar

soporte a los sistemas de informacin.
Recursos Humanos: Este concepto incluye, habilidades, conciencia y

productividad del personal para planear, adquirir, prestar servicios,
proporcionar
soporte
monitorear
los
sistemas
servicios
de
informacin.
b) Procesos de Trabajo
COBIT clasifica los procesos de trabajo en tres niveles jerrquicos,
dominios, procesos y actividades o tareas.
Los cuatro dominios definidos se estructuran de acuerdo con el esquema
que se utiliza para representar el ciclo de vida de administracin de
recursos:
Planeacin y organizacin: Planning and organization (PO)
Adquisicin e implementacin: Acquisition and implementation (AI)
Entrega de servicios y soporte: Delivery and support (DS)
19
Monitoreo: Monitoring (M)
Estos dominios a su vez se subdividen en procesos:

1) Planeacin y Organizacin (PO)
PO1: Definir un plan estratgico de sistemas.
PO2: Definir la arquitectura de informacin.
PO3: Determinar la direccin tecnolgica.
PO4: Definir la organizacin y sus relaciones.
PO5: Administrar las inversiones en TI.
PO6: Comunicar la direccin y objetivos de la gerencia.
PO7: Administrar los recursos humanos.
PO8: Asegurar el apego a disposiciones externas.
PO9: Evaluar riesgos.
PO10: Administrar proyectos.
PO11: Administrar calidad.
2)
Adquisicin e Implementacin (AI)
AI1: Identificar soluciones de automatizacin.

AI2: Adquirir y mantener software de aplicaciones.
AI3: Adquirir y mantener la arquitectura tecnolgica.
AI4: Desarrollar y mantener procedimientos.
AI5: Instalar y acreditar sistemas de informacin.
AI6: Administrar cambios.
3) Prestacin de Servicios y Soporte (DS)
DS1: Definir niveles de servicio.
DS2: Administrar servicios de terceros.
DS3: Administrar desempeo y capacidad.
DS4: Asegurar la continuidad de servicio.
DS5: Garantizar la seguridad de sistemas.
DS6: Identificar y asignar costos.
DS7: Educar y capacitar usuarios.
20
DS8: Apoyar y orientar a clientes.

DS9: Administrar la configuracin.
DS10: Administrar problemas e incidentes.
DS11: Administrar la informacin.
DS12: Administrar las instalaciones.
DS13: Administrar la operacin.
4) Monitoreo (M)
M1: Monitorear el proceso.
M2: Evaluar lo adecuado del control interno.
M3: Obtener aseguramiento independiente.
M4: Proporcionar auditora independiente.
Posteriormente y como producto de un anlisis ms profundo, COBIT
define las actividades o tareas en que se descompone cada uno de los 34
procesos e identifica los objetivos de control que deben existir en cada uno
de ellos, tal como se muestra en el siguiente ejemplo:
DS.
Prestacin de servicios y soporte
(dominio)
DS2.
Administrar servicios de terceros
(proceso)
2.3.
Contrato con terceros
Objetivo de control: La
Gerencia
(actividad o tarea)
debe
definir
procedimientos
especficos para asegurar que un contrato formal es definido y acordado

para cada relacin de servicios con un proveedor.
c) Requerimientos de negocio
Por lo que respecta a requerimientos de negocio COBIT, se orienta en
forma exclusiva a requisitos relacionados con la informacin. En un primer
anlisis presenta la siguiente clasificacin:
Requerimientos de calidad:
o Calidad.
21
o Costo.
o Prestacin de servicio.
Requerimientos de confianza:
o Efectividad y eficiencia de operaciones.
o Confiabilidad de la informacin.
o Cumplimiento de leyes y regulaciones.
Requerimientos de seguridad de la informacin:

o Confidencialidad.
o Integridad.
o Disponibilidad.
De acuerdo con esta clasificacin preliminar y mediante un anlisis de los

conceptos que integra y de las reas comunes de inters que se presentan
entre los mismos, COBIT resume los requerimientos (de informacin) del
negocio en las siguientes siete categoras:
Efectividad: Se refiere a que la informacin debe ser relevante y

pertinente para los procesos de negocio as como ser proporcionada en
forma oportuna, correcta, consistente y utilizable.
Eficiencia: Se refiere a proveer la informacin mediante el empleo

ptimo (la forma ms productiva y econmica impuestas en forma
externa) de los recursos.
Confidencialidad: Se refiere a la proteccin de la informacin sensitiva

contra la divulgacin no autorizada.
Integridad: Se refiere a lo exacto y completo de la informacin as

como a su validez de acuerdo a los valores y expectativas de la
organizacin.
Disponibilidad: Se refiere a la accesibilidad de la informacin cuando

sea requerida por los procesos de negocio ahora y en el futuro.
Tambin se relaciona con la salvaguarda de los recursos necesarios y
las capacidades asociadas a los mismos.
Cumplimiento: Se refiere al cumplimiento de leyes, regulaciones y

compromisos
contractuales
los
cuales
est
comprometida
la
organizacin, por ejemplo; criterios de negocio.

22
Confiabilidad de la informacin: Se refiere a proveer la informacin

apropiada para que la administracin opere la organizacin y cumpla
con sus responsabilidades de informes financieros y de cumplimiento
normativo.
Cada uno de los 34 procesos de TI definidos por COBIT est orientado a la

satisfaccin de un requisito de negocio especfico, de acuerdo con la
relacin que se muestra en la siguiente tabla:
PROCESOS COBIT Y SUS REQUISITOS DE NEGOCIO
PROCESOS COBIT DE TI
REQUISITOS DE NEGOCIO
PLANEACION Y ORGANIZACION (PO)

PO1.
Definir un plan estratgico de
sistemas
Obtener
un
balance
oportunidades
en
ptimo
de
tecnologa
de
informacin y requerimientos de negocio

de TI, as como asegurar su logro futuro.
PO2.
Definir
la
arquitectura
de
Organizar adecuadamente los sistemas
informacin
de informacin.
PO3.
Obtener
Determinar la direccin tecnolgica
beneficio
de
la
tecnologa
existente y de la tecnologa emergente.

PO4.
Definir la organizacin y sus
Proporcionar servicios de tecnologa de
relaciones
informacin.
PO5.
Asegurar
Administrar las inversiones en TI
la
obtencin
de
fondos
controlar el empleo de los recursos

financieros.
PO6.
Comunicar la direccin de la
gerencia
Asegurar
la
concientizacin
usuarios y su
de
los
entendimiento de las
aspiraciones de la direccin.
PO7.
Administrar los recursos humanos
Maximizar
las
contribuciones
del
personal a los procesos de TI.

PO8.
Asegurar el apego a disposiciones
externas
Observar
el
obligaciones
cumplimiento
legales,
regulatorias
de
y
contractuales.
PO9.
Evaluar riesgos
Asegurar
el
cumplimiento
objetivos
de
TI
la
de
respuesta
los
a
amenazas a la prestacin de servicios de

TI.
PO10. Administrar proyectos
Establecer
prioridades
cumplir
23
compromisos en tiempo y en costo.

PO11. Administrar calidad
Satisfacer
los
requerimientos
de
los
clientes de TI.
ADQUISICION E IMPLEMENTACION (AI)

AI1.
Identificar
soluciones
de
Asegurar
el
mejor
enfoque
para
automatizacin
satisfacer los requerimientos del usuario.
AI2. Adquirir y mantener software de
Proveer funciones automatizadas que
aplicacin
efectivamente soporten los procesos de

negocio.
AI3. Adquirir y mantener la arquitectura
Proveer la plataforma adecuada para
tecnolgica
proporcionar soporte a las aplicaciones

de negocio.
AI4. Desarrollar y mantener
Asegurar
el
procedimientos
aplicaciones
uso
y
apropiado
de
las
de
las
soluciones
de
tecnologa existentes.
AI5. Instalar y acreditar sistemas de
Verificar y confirmar que la solucin
informacin
corresponda al propsito pretendido.
AI6. Administrar cambios
Minimizar
la
probabilidad
interrupciones,
de
alteraciones
no
autorizadas y errores.
PRESTACION DE SERVICIO Y SOPORTE (DS)

DS1. Definir niveles de servicio
Establecer un entendimiento comn del

nivel de servicio requerido.
DS2. Administrar servicio de terceros
Asegurar
que
los
responsabilidades
de
roles
terceros
y
estn
definidas claramente, son respetados y

continan
satisfaciendo
los
requerimientos.
DS3. Administrar desempeo y capacidad
Asegurar que la capacidad adecuada se

encuentra disponible y se hace el mejor
y
ptimo
uso
satisfacer
de
los
la
misma
para
requerimientos
de
desempeo.
DS4. Asegurar continuidad de servicio
Contar
acuerdo
con
servicios
con
los
disponibles
requerimientos
de
y
mantener la prestacin de los mismos en

caso de una interrupcin.
DS5. Garantizar la seguridad de sistemas
Salvaguardar informacin contra uso no

autorizado, divulgacin o modificacin,
dao o prdida.
24
DS6. Identificar y asignar costos
Asegurar una concientizacin correcta de

los costos atribuibles a servicios de TI.
DS7. Educar y capacitar usuarios
Asegurar
que
los
usuarios
estn
haciendo uso efectivo de la tecnologa y

estn
conscientes
de
los
riesgos
responsabilidades involucradas.
DS8. Apoyar y orientar a clientes
Asegurar
que
cualquier
experimentado
por
los
problema
usuarios
es
manejado apropiadamente.
DS9. Administrar la configuracin
Dar razn de todos los componentes.

Prevenir
alteraciones
no
autorizadas,
confirmar existencia fsica y proveer las

bases para una slida administracin de
cambios.
DS10. Administrar problemas e
Asegurar que problemas e incidentes son
incidentes
resueltos
investigadas
que
para
las
causas
prevenir
son
cualquier
ocurrencia futura.
DS11. Administrar la informacin
Asegurar que la informacin se mantiene

completa, exacta y vlida durante su
entrada,
actualizacin
almacenamiento.
DS12. Administrar las instalaciones
Proporcionar
una
ubicacin
fsica
conveniente que proteja al equipo y a las

personas
contra
riesgos
naturales
riesgos producidos por el hombre.

DS13. Administrar la operacin
Asegurar que las funciones importantes

de TI son desarrolladas regularmente y
en una forma ordenada.
MONITOREO (M)
M1.
Monitorear el proceso
Asegurar
el
objetivos
de
cumplimiento
desempeo
de
los
establecidos
para los procesos de TI.

M2.
Evaluar lo adecuado del control
interno
Asegurar el logro de los objetivos de

control
interno
establecidos
para
los
procesos de TI.
M3.
Obtener aseguramiento
independiente
Incrementar los niveles de confianza y

beneficiarse con recomendaciones sobre
mejores prcticas.
M4.
Obtener auditora independiente
Incrementar la confianza y confiabilidad
25
entre
la
organizacin,
clientes
proveedores.
3.4
ISO/IEC 27002:2005
3.4.1 Definicin y objetivos

El objetivo del estndar ISO/IEC 27002:2005 es brindar informacin a los
responsables de la implementacin de seguridad de la informacin de una
organizacin. Puede ser visto como una buena prctica para desarrollar y
mantener normas de seguridad y prcticas de gestin en una organizacin
para mejorar la fiabilidad en la seguridad de la informacin.
En l se definen las estrategias de 133 controles de seguridad organizados
bajo 11 dominios.
La poltica de seguridad
Organizacin para la seguridad de la informacin
Gestin de activos de informacin
Seguridad del personal
Seguridad fsica y ambiental
Gestin de comunicaciones y operaciones
Control de acceso
Adquisicin, desarrollo y mantenimiento de sistemas
Gestin de incidentes de la seguridad de la informacin
Gestin de la continuidad del negocio
Cumplimiento
Los principios rectores en la norma ISO/IEC 27002 son los puntos de

partida para la implementacin de seguridad de la informacin. Se basan
en los requisitos legales o en las mejores prcticas generalmente
aceptadas.
Las mediciones
La proteccin
Proteccin de
Proteccin de
basadas en los requisitos legales son:

y la no divulgacin de datos personales
la informacin interna
los derechos de propiedad intelectual
Las mejores prcticas mencionadas en la norma incluyen:

La poltica de seguridad de la informacin
Asignacin de la responsabilidad de seguridad de la informacin
Escalamiento de problemas
Gestin de la continuidad del negocio
26
CAPTULO IV
ENFOQUE METODOLGICO
El enfoque metodolgico propuesto integra el conocimiento aportado por
las organizaciones que lideran el desarrollo de los estndares y mejores
prcticas en el mbito de las tecnologas de la informacin reconocidas a
nivel
internacional,
entregando
un
marco
referencial
para
realizar
auditoras a las tecnologas de informacin centradas en los procesos del

negocio, los sistemas de informacin que los soportan y sus actividades de
control.
4.1
METODOLOGA
Esta constituye una herramienta de apoyo que permite incorporar el uso

del estndar COBIT y la norma tcnica ISO/IEC 27002 a los programas de
auditoras a las tecnologas de informacin y comunicaciones.
A continuacin, se presentan las etapas que componen la metodologa:
a) FASE I. Planificacin de la auditora
1. Plan de auditora preliminar
2. Comprensin de la organizacin, procesos de negocio y sistemas
3. Definicin del programa y alcance de la auditora
b) FASE II. Ejecucin de la auditora
4. Evaluacin del control interno
5. Diseo de las pruebas de auditora
6. Ejecucin de las pruebas de auditora
7. Evaluacin del resultado de las pruebas de auditora
27
c) FASE III. Comunicacin de los resultados

8. Elaboracin del informe con los resultados de la auditora
9. Seguimiento a las observaciones de la auditora
4.1.1 Sntesis de actividades y productos entregables por etapas
A continuacin, se presenta un resumen de las actividades y productos que
componen las etapas a cumplir para realizar una auditora a las
tecnologas de informacin y comunicaciones.
RESUMEN DE ACTIVIDADES Y PRODUCTOS DE LA METODOLOGA

ETAPAS DE LA
ACTIVIDADES QUE SE
METODOLOGA
N
DESCRIPCION
Plan de auditora
preliminar
PRODUCTOS DE LA ETAPA
EJECUTAN
Elaborar un plan de auditora con objetivos
Plan de auditora preliminar.
generales.
Definicin del perfil del personal
Conformar
el
grupo
de
trabajo
que
realizar la auditora.
requerido y asignacin de auditores.
Estimar tiempo necesario para realizar la
Lista con horas estimadas por etapa

para realizar la auditora.
auditora.
Comprensin de
la organizacin,
procesos de
negocio y
sistemas
Levantamiento de informacin sobre el

estado
actual
organizacin,
caractersticas
infraestructura,
de
la
recursos
humanos y tcnicos, procesos de negocios

y
sistemas
de
informacin
que
los
soportan.
Archivos de trabajo de la auditora.

Documento
procesos
con
de
definicin
negocio
de
los
diagramas
descriptivos.
Ficha
tcnica
de
los
sistemas
de
informacin que soportan los procesos
Confeccionar flujograma de los procesos de
de negocio.
negocio.
Realizar ficha tcnica de los sistemas de
informacin que soportan los procesos de
negocio.
Definicin del
programa y
alcance de la
auditora
Seleccionar
control
Lista de objetivos de control que deben
aplicables a los procesos de negocio y
los
objetivos
de
ser satisfechos por los procesos de
sistemas de informacin.
Elaborar
el
programa
negocio y sistemas de informacin.

de
auditora
detallado.
Programa de auditora detallado.

Carta Gantt del programa de auditora.
Confeccionar Carta Gantt del programa de

auditora.
28
Evaluacin del
sistema de
control interno
Identificar
controles
Lista de controles existentes para los
existentes en los procesos de negocio y
documentar
los
procesos de negocio y sistemas de
sistemas de informacin.
informacin.
Evaluar el diseo y grado de proteccin

que ofrecen los controles existentes.
Identificar
documentar
los
Lista con el grado de proteccin de

controles existentes para los procesos
controles
deficientes.
de negocio y los sistemas.

Lista de deficiencias y debilidades de
control interno.
Definicin y
diseo de las
pruebas de
auditora
Definir y disear pruebas de cumplimiento

para los controles claves de los procesos
de
negocio
sistemas
agrupados
por
tcnicas de verificacin.
para
de cumplimiento.
Diseo detallado de las pruebas de
cumplimiento
Definir el diseo y alcance de las pruebas

sustantivas
Definicin del alcance de las pruebas
datos
clave
de
los
procesos y sistemas.
segn
tcnicas
de
verificacin.
Definicin del alcance de las pruebas
sustantivas.
Diseo
detallado
de
las
pruebas
sustantivas.
Ejecucin de las
pruebas de
auditora
Evaluacin de los
resultados
obtenidos en las
pruebas de
auditora
Ejecutar
pruebas
sustantivas
de
cumplimiento
tcnicas
de
asistidas
por
utilizando
verificacin
manuales
computador.
Evaluar
Lista de controles verificados por el

auditor.
Soportes de las pruebas de auditora
realizadas.
los
resultados
de
las
pruebas
efectuadas.
Listado con anlisis de observaciones

de
Desarrollar el anlisis de las observaciones

de auditora y puntos mejorables para los
controles y datos deficientes.
auditora
para
pruebas
de
cumplimiento y sustantivas.
Conclusiones
de
los
resultados
obtenidos.
Identificar las causas, el impacto y las

implicaciones de las observaciones para la
organizacin y verificar los estndares y
mejores prcticas que no se cumplen.
Disear las conclusiones de auditora para
los resultados no satisfactorios.
Elaboracin del
informe con los
resultados de la
auditora
Elaborar resumen de observaciones.
Resumen de observaciones obtenidas.
Desarrollar y aprobar informe preliminar.
Informe preliminar de auditora.
Emitir informe preliminar.
Documento
Analizar respuesta del servicio al informe

preliminar.
Disear
el
anlisis
de
las
auditado al informe preliminar.

conclusiones
generales
especficas de la auditora.
Elaborar
con
respuestas emitidas por el servicio
aprobar
Informe final de auditora.

Expediente
informe
final
de
auditora.
de
auditora
observaciones
organizadas
con
y
referenciadas adecuadamente.
Emitir informe final de auditora.

Organizar y cerrar expediente y archivo
con hojas de trabajo.
Seguimiento a
las
observaciones de
auditora
Planificar seguimiento al cumplimiento de

las observaciones de auditora.
Efectuar
seguimiento
en
Listado
fechas
programadas.
Analizar
Programa de seguimiento.
con
el
resultado
del
cumplimiento de las observaciones.

Informe de seguimiento.
evaluar
resultados
del
seguimiento.
Elaborar y aprobar informe de seguimiento.
Emitir informe de seguimiento.
29
4.2
FASE I. PLANIFICACIN DE LA AUDITORA
La primera fase de la auditora comprende la realizacin de un plan de

auditora preliminar con el propsito de definir los objetivos de la auditora,
asignar los recursos y estimar el tiempo necesario para efectuar la
revisin.
4.2.1 Plan de auditora preliminar
Esta primera etapa considera la planificacin que realiz el organismo
fiscalizador el ao anterior, donde se definieron los servicios con prioridad
de auditora para cada sector pblico.
Como resultado de esta actividad se realiza el programa de trabajo para la
auditora, el que debe incluir:
Objetivos de la auditora
Definicin del equipo de auditores requerido: perfil y habilidades.
Tiempo estimado para efectuar la auditora.

Este documento consta de tres secciones:
Objetivos de la auditora: En esta seccin se incluyen los objetivos

de control generales que se buscan con la realizacin de la auditora en
tecnologas de la informacin.
Alcance de la auditora: En esta seccin se definen los procesos de

negocio y sistemas de informacin que sern revisados.
Programacin de actividades: Incluye la secuencia de pasos que

debern ejecutarse para desarrollar las etapas de la auditora.
30
4.2.3 Asignacin de recursos y estimacin del tiempo requerido

para efectuar la auditora
Con base en la complejidad tcnica de los procesos de negocio y sistema
de informacin sujetos a auditora y en el volumen de trabajo estimado
para
satisfacer
los
objetivos
propuestos,
es
necesario
definir
las
competencias necesarias del equipo de auditora y estimar las necesidades

de tiempo que se requerirn.
Suponga que se presupuestan 480 horas para todo el trabajo, las que
podran ser asignadas as: 15% para labores de supervisin, 20% para el
auditor a cargo y el restante 65% para los auditores en terreno.
ASIGNACIN DE HORAS DE AUDITORA
N
NIVEL DE
HORAS
RESPONSABILIDAD
ASIGNADAS
Supervisor
72
Auditor a cargo
96
Auditores en terreno
312
Por cada una de las etapas de la metodologa, un modelo de distribucin

de tiempo podra ser el siguiente:
ESTIMACION DE HORAS POR ETAPAS
N
ETAPAS DE LA
HORAS ESTIMADAS
METODOLOGIA
1
2
3
Plan de auditora preliminar

Comprensin del proceso de
negocio
Definicin del programa y su
alcance
Evaluacin del control interno
Definicin y diseo de las
40
80
40
120
80
31
pruebas
6
7
8
Ejecucin de las pruebas
40
Anlisis de resultados de las
40
pruebas
Elaboracin informe con los
40
resultados
4.2.4 Comprensin de los procesos de negocio y sistemas de

informacin que los soportan
Esta etapa tiene como objetivos conocer y comprender el ambiente de
organizacin, tecnolgico y operativo de los procesos de negocio y los
sistemas de informacin que los soportan. Implica para el auditor, realizar
un levantamiento de la informacin detallada a travs de entrevistas con
las personas apropiadas, de observacin de la forma como se ejecutan las
operaciones y de la comprensin de la lgica del negocio, los flujos de
informacin, el rol de las personas y dependencias que intervienen en el
manejo de las operaciones y otros aspectos que el auditor considere
importantes.
Cuando se realiza por primera vez la auditora en un servicio, la
informacin relevante
obtenida en
esta etapa se
organiza en un
documento conocido como archivo permanente o expediente continuo de

auditora. Si el archivo ya existe, es necesario su revisin y actualizacin
con los cambios efectuados desde la ltima auditora.
Este documento contiene informacin sobre los objetivos y procesos que
soportan los sistemas de informacin y sobre los recursos de tecnologa
utilizados
(instalaciones
de
procesamiento,
infraestructura,
personal,
contratos, etc.) y la importancia relativa de las cifras que se procesan y

otros datos de inters.
32
4.2.5 Levantamiento de la informacin bsica y detallada

El levantamiento de informacin que se realiza en esta etapa, tiene como
finalidad asegurar que el auditor comprenda la filosofa y las caractersticas
de funcionamiento de los procesos de negocio y sistemas de informacin
en estudio. Esto es imperativo dentro del proceso de la auditora, puesto
que toda la pericia y el conocimiento tcnico del auditor seran inaplicables
si antes no obtiene la comprensin de aspectos claves del universo que
ser auditado.
Como resultado de esta actividad, el auditor obtiene la siguiente
informacin:
a) De los procesos de negocio
Estructura organizacional
Estructura de las reas propietarias de la informacin de los procesos

de negocio
Clientes interno y externos
Dependencias de la organizacin
Tareas o actividades que realiza cada dependencia
Terceros que intervienen en el manejo de la informacin
Cuantificacin de las cifras de operaciones que manejan los procesos de

negocio (promedio durante un ao)
Polticas y procedimientos establecidos en la organizacin relacionados

con los procesos de negocio
Normas legales e institucionales que rigen el funcionamiento del

servicio
Informacin sobre fraudes y otros antecedentes en las operaciones del

servicio
b) De las tecnologas de informacin que soportan los procesos de

negocio
Funciones y operaciones del negocio que ejecutan los sistemas

33
Modelo entidad/relacin de las bases de datos de los sistemas
Diccionario de datos de los modelos entidad/relacin
Inventario de documentos fuentes y otros medios de entrada de datos
Personas claves que dan soporte tcnico a la operacin y mantencin

de los sistemas para cada dependencia.
Terceros que prestan servicios de tecnologas de informacin para los

procesos de negocio.
Inventario de informes que producen los sistemas y destinatarios de los

mismos
Interfaces entre sistemas (informacin que reciben o proporcionan a

otros sistemas)
Manuales existentes con la documentacin tcnica y del usuario
Plataforma en la que funcionan los sistemas de informacin (sistema

operativo, software de desarrollo y motor de base de datos utilizados)
Si el sistema de informacin fue adquirido; datos del proveedor, ao de

adquisicin, versin en produccin, cantidad de usuarios con licencia,
poseen programas fuentes y contrato de mantencin)
Si el sistema de informacin fue desarrollado internamente (tipo de

lenguaje utilizado, archivos fuentes y ejecutables, fecha de ingreso a
produccin, versin actual en produccin).
4.2.6 Estructura y organizacin de los archivos de trabajo

Con la informacin obtenida en esta etapa se organiza el primero de
dos archivos de
trabajo
de
la
auditora, el archivo
permanente
expediente continuo de auditora, que contiene la informacin que

representa el estado actual del rea objeto de auditora. El otro archivo se
denomina archivo de hojas de trabajo y se construye con los resultados
de cada una de las etapas de la metodologa.
a) Archivo permanente
Es el archivo con los antecedentes que reflejan el estado de organizacin y
funcionamiento de los procesos y sistemas auditados en una entidad.
34
Este archivo contiene informacin de la organizacin que es poco

cambiante y, por consiguiente, tiene validez continua a travs del tiempo.
Generalmente, se elabora completamente en la primera auditora y en las
dems se reemplazan unos documentos por otros actualizados.
b) Archivo de hojas de trabajo
Es el archivo con las hojas de trabajo que contienen las evidencias del
desarrollo de cada una de las etapas de la auditora.
Los documentos de este archivo tienen validez por una sola vez, es decir,
para cada auditora realizada a las aplicaciones que estn en proceso de
evaluacin. Por consiguiente, cada vez que se efecte una auditora se debe
elaborar un nuevo archivo con la informacin recopilada.
4.2.7 Ficha tcnica de los sistemas de informacin
La ficha tcnica es un documento con el resumen gerencial de las
principales caractersticas del proceso de negocio y de las tecnologas de
informacin que soportan sus operaciones.
El objetivo principal de este documento es ubicar a los destinatarios de los
informes
de
auditora,
proporcionndoles
informacin
que
sirva
de
referencia para evaluar la importancia de las observaciones y conclusiones

que se presentan en el informe de auditora.
El contenido de la ficha tcnica es un resumen del archivo permanente de
los procesos de negocio y los sistemas de informacin que los soportan.
4.2.8 Definicin del alcance de la auditora
El objetivo de esta etapa es identificar, analizar y seleccionar los objetivos
de control aplicables a los procesos de negocio y sistemas de informacin
sujetos a auditora. Estos objetivos de control sern incorporados al
programa de auditora detallado.
35
De esta etapa se obtiene lo siguiente:
Programa de auditora con objetivos detallados
Carta Gantt de la auditora
Lista con la definicin y anlisis de los objetivos de control aplicables a

los procesos del negocio y sistemas de informacin auditados.
4.2.9 Seleccin de los objetivos de control aplicables

En este paso de la metodologa se deben seleccionar los objetivos de
control que sean aplicables a la auditora de los procesos de negocio y
sistemas de informacin en revisin.
Para agrupar de forma ms comprensiva los controles que proporcionan
COBIT e ISO/IEC 27002, podemos recurrir a los objetivos de control
bsicos que define la Asociacin de Auditores de Sistemas de Informacin
y Control (ISACA) para realizar una revisin y evaluacin de los sistemas
de informacin.
1.
Estrategia y direccin
2.
Organizacin general
3.
Acceso a los recursos de informacin
4.
Metodologa de desarrollo de sistemas y control de cambios
5.
Procedimientos de operaciones
6.
Programacin de sistemas y funciones de soporte tcnico
7.
Procedimientos de aseguramiento de calidad
8.
Controles de acceso fsico
9.
Planificacin de la continuidad del negocio y recuperacin de desastres
10. Redes y comunicaciones

11. Administracin de la base de datos
12. Proteccin y mecanismos de deteccin contra ataques internos y
externos
36
En la etapa evaluacin del sistema de control, se debe analizar si los

controles establecidos por la administracin se encuentran alineados con
los objetivos de control seleccionados de los estndares. Posteriormente,
en la etapa Ejecucin de pruebas de auditora, se debe verificar si la
proteccin de los controles es suficiente para asegurar razonablemente el
cumplimiento de los objetivos del negocio.
4.2.10 Objetivos de control COBIT e ISO/IEC 27002
A continuacin, se presenta la lista con la descripcin de los objetivos de
control COBIT e ISO/IEC 27002 que son aplicables a cada objetivo de
control bsico.
1.- ESTRATEGIA Y DIRECCIN

OBJETIVOS DE CONTROL APLICABLES
COBIT
ISO/IEC 27002
PO1.2 Alineacin de TI con el negocio

PO1.4 Plan estratgico de TI
PO2.1 Modelo de arquitectura de informacin
empresarial
PO3.1 Planeamiento de la orientacin tecnolgica
PO3.2 Plan de infraestructura tecnolgica
PO3.4 Estndares tecnolgicos
PO4.2 Comit estratgico de TI
PO4.3 Comit directivo de TI
PO6.5 Comunicacin de los objetivos y de la direccin
de TI
2.- ORGANIZACIN GENERAL

COBIT
ISO/IEC 27002
PO4.4 Ubicacin organizacional de la funcin de TI

PO4.5 Estructura organizacional de TI
PO4.6 Establecer roles y responsabilidades
PO4.7 Responsabilidades para el aseguramiento de la
calidad de TI (QA)
PO4.8 Responsabilidad sobre el riesgo, la seguridad y
el cumplimiento
PO4.10 Supervisin
PO4.11 Segregacin de funciones
PO4.12 Personal de TI
PO4.13 Personal clave de TI
PO6.4 Implantacin de polticas, estndares y
procedimientos
37
3.- ACCESO A LOS RECURSOS DE INFORMACIN

COBIT
PO2.3 Esquema de clasificacin de datos
PO6.2 Riesgo corporativo y marco de referencia del
control interno de TI
DS5.2 Plan de seguridad de TI
DS5.4 Gestin de cuentas de usuario
DS5.3 Gestin de identidad
DS5.9 Prevencin, deteccin y correccin de software

malicioso
DS5.11 Intercambio de datos sensitivos
DS9.2 Identificacin y mantenimiento de elementos
de la configuracin
ISO/IEC 27002
11.1.1 Polticas de control de acceso
11.2.1 Registro de usuarios

11.2.2 Gestin de privilegios
11.2.4 Revisin de derechos de acceso de usuarios
11.2.3 Gestin de contraseas de usuarios
11.3.1 Uso de contraseas
11.5.1 Procedimientos seguros de inicio de sesin
11.6.1 Restriccin de acceso a la informacin
11.4.2 Autenticacin de usuario para conexiones
externas
11.4.3 identificacin de equipos en redes
4.- METODOLOGA DE DESARROLLO DE SISTEMAS Y CONTROL DE

CAMBIOS
COBIT
AI2.1 Diseo a alto nivel
AI2.2 Diseo detallado
AI2.7 Desarrollo de software aplicativo
AI2.9 Gestin de los requisitos de las aplicaciones
AI2.10 Mantenimiento del software aplicativo
AI2.8 Aseguramiento de la calidad del software
AI7.2 Plan de pruebas
AI7.3 Plan de implementacin
AI7.4 Ambiente de prueba
AI7.5 Conversin de datos y sistemas
AI7.6 Pruebas de cambios
AI7.7 Pruebas de aceptacin final
AI7.8 Promocin a produccin
AI7.9 Revisin posterior a la implementacin
AI6.1 Estndares y procedimientos para cambios
AI6.2 Evaluacin de impacto, priorizacin y autorizacin
AI6.4 Seguimiento y reporte de estado de los cambios
AI6.5 Cierre y documentacin del cambio
AI6.3 Cambios de emergencia
ISO/IEC 27002
10.1.4 Separacin de los entornos de desarrollo,
pruebas y produccin
10.3.2 Aceptacin del sistema
10.1.2 Gestin de cambios

12.5.1 Procedimientos de control de cambios
12.5.3 Restricciones en los cambios a los paquetes
de software
38
5.- PROCEDIMIENTOS DE OPERACIONES

COBIT
AI4 Facilitar la operacin y el uso
DS13 Gestionar las operaciones
AI7 Instalar y acreditar soluciones y cambios
DS1 Definir y gestionar los niveles de servicio
DS2 Gestionar los servicios de terceros
DS2 Gestionar los servicios de terceros
DS11 Gestionar datos

ME1 Monitorear y evaluar el desempeo de TI
DS5 Garantizar la seguridad de los sistemas
ISO/IEC 27002
10.1.1 Procedimientos operativos documentados
10.1.4 Separacin de los entornos de desarrollo,
pruebas y produccin
10.2.1 Entrega de servicios
10.2.2 Monitoreo y revisin de los servicios de terceros
10.2.3 Gestin de cambios a los servicios de terceros
10.3.1 Gestin de la Capacidad
10.5.1 Respaldo de la informacin
10.7.2 Eliminacin de medios de almacenamiento
10.10.2 Monitoreo del uso de los sistemas
10.10.4 Logs de administrador y de operador
10.10.5 Logs de errores
6.- PROGRAMACIN DE SISTEMAS Y SOPORTE TCNICO

COBIT
ISO/IEC 27002
DS1.3 Acuerdos de niveles de servicio

DS8.1 Mesa de servicios
10.2.1 Entrega de servicios
DS8.2 Registro de consultas de clientes

DS10.3 Cierre de problemas
7.- PROCEDIMIENTOS DE ASEGURAMIENTO DE CALIDAD

COBIT
ISO/IEC 27002
PO4.7 Responsabilidades para el aseguramiento de la

calidad de TI (QA)
PO8.1 Sistema de administracin de calidad
PO8.2 Estndares y prcticas de calidad
PO8.5 Mejora continua
PO8.6 Medicin, monitoreo y revisin de la calidad
39
8.- CONTROLES DE ACCESO FSICO

COBIT
DS12.1
DS12.2
DS12.3
DS12.4
ISO/IEC 27002
Seleccin y diseo del centro de datos

Medidas de seguridad fsica
Acceso fsico
Proteccin contra factores ambientales
PO4.14 Polticas y procedimientos para personal

contratado
PO6.2 Riesgo corporativo y marco de referencia para
el control interno de TI
AI3.3 Mantenimiento de la infraestructura
DS5.7 Proteccin de la tecnologa de seguridad
AI3.3 Mantenimiento de la infraestructura
DS12.5 Gestin de instalaciones fsicas
DS13.5 Mantenimiento preventivo del hardware
DS11.4 Desechar
9.-
PLANIFICACIN
DE
LA
9.1.1 Permetro de seguridad fsica

9.1.2 Controles fsicos de ingreso
9.1.4 Proteccin contra amenazas externas y
ambientales
9.1.6 reas de acceso pblico, despacho y recepcin
9.2.1 Ubicacin y proteccin de los equipos

9.2.3 Seguridad del cableado
9.2.4 Mantenimiento de equipos

9.2.6 Eliminacin o reutilizacin segura de equipos
CONTINUIDAD
DEL
NEGOCIO
RECUPERACIN DE DESASTRES
COBIT
DS4.1 Marco de trabajo de continuidad de TI
DS4.2 Planes de continuidad de TI

DS4.4 Mantenimiento del plan de continuidad de TI
DS4.5
DS4.6
DS4.7
DS4.8
Pruebas del plan de continuidad de TI

Entrenamiento en el plan de continuidad de TI
Distribucin del plan de continuidad de TI
Recuperacin y reanudacin de servicios TI
DS4.9 Almacenamiento externo de respaldos

DS4.10 Revisin post-reanudacin
ISO/IEC 27002
6.1.6 Relacin con las autoridades
6.1.7 Relacin con grupos de inters especial
14.1.1 Incluir la seguridad de informacin en el
proceso de gestin de continuidad del negocio
14.1.4 Marco de planificacin de continuidad del
negocio
14.1.3
Desarrollar
e
implementar
planes
de
continuidad que incluyan la seguridad de la
informacin
14.1.2 Continuidad del negocio y evaluacin de riesgos
14.1.5 Pruebas, mantenimiento y revaluacin de los
planes de continuidad del negocio
14.1.3 Mantener o restaurar operaciones para
asegurar la disponibilidad de la informacin
10.5.1 Respaldo de la informacin
14.1.5 Pruebas, mantenimiento y revaluacin de los
planes de continuidad del negocio
40
10.- REDES Y COMUNICACIONES

COBIT
ISO/IEC 27002
11.4.1 Polticas de uso de los servicios de red
11.4.3 identificacin de equipos en redes
de la configuracin
11.4.4 Proteccin de puertos de configuracin y

diagnstico remoto
11.4.5 Segregacin en redes
11.4.6 Control de conexiones en la red
11.4.7 Control de enrutamiento en la red
10.6.1 Controles de red
10.6.2 Seguridad de los servicios de red
11.- ADMINISTRACIN DE LA BASE DE DATOS

COBIT
PO2.1 Modelo de arquitectura de informacin
empresarial
PO2.2 Diccionario de datos empresarial y reglas de
sintaxis de datos
PO4.9 Propiedad de los datos y sistemas
ISO/IEC 27002
7.1.2 Propiedad de los activos de informacin
12.- PROTECCIN Y MECANISMO DE DETECCIN CONTRA ATAQUES

INTERNOS Y EXTERNOS
COBIT
de la configuracin
DS5.6 Definicin de incidente de seguridad
PO9.3 Identificacin de eventos
ISO/IEC 27002
12.6.1 Control de vulnerabilidades tcnicas
13.1.1 Reporte eventos de seguridad de informacin
13.1.2 Reporte de debilidades de seguridad de
informacin
13.2.1 Responsabilidades y procedimientos
AI2.3 Control y auditabilidad de las aplicaciones

DS8.3 Escalamiento de incidentes
DS8.4 Cierre de incidentes
13.2.2 Aprendiendo de los incidentes de seguridad de

informacin
13.2.3 Recoleccin de evidencia
41
4.3
FASE II. EJECUCIN DE LA AUDITORA
La segunda fase de la auditora comprende un anlisis del sistema de

control interno de la organizacin con el objetivo de planificar y realizar las
pruebas de cumplimiento y sustantivas que evaluarn si los controles
operan de forma adecuada y cumplen con resguardan el cumplimiento de
los objetivos y requisitos del negocio.
4.3.1 Evaluacin del sistema de control interno
En esta etapa los auditores deben evaluar el sistema de control interno
existente en los procesos de negocio y sistemas de informacin objeto de
la auditora, como base para determinar la naturaleza y extensin de las
pruebas de auditora que se requieran.
Evaluar el sistema de control interno significa: determinar si los controles
establecidos en los procesos de negocio y los sistemas de informacin,
ofrecen la proteccin apropiada para reducir los riesgos a niveles
aceptables para la organizacin.
El propsito de la evaluacin de control interno, es determinar si es
suficiente y efectiva para proteger a la organizacin, contra los riesgos que
podran afectarla en los procesos de negocio y sistemas de informacin
que se estn auditando. Esto es, evaluar la confiabilidad de los controles
utilizados para prevenir o detectar y corregir las causas de los riesgos y
minimizar el impacto que estos tendran en caso de llegar a materializarse.
La
evaluacin
del
sistema
de
control
interno
produce
resultados
intermedios, de valor importante para las etapas restantes del proceso de

auditora, estos son:
1) El auditor fundamenta su opinin sobre la confiabilidad que ofrecen los
controles utilizados, para reducir la probabilidad de ocurrencia o el
impacto de los riesgos. Los resultados de esta evaluacin sirven al
42
auditor como base para determinar la naturaleza y extensin de las

pruebas de auditora que se consideren necesarias y apropiadas a las
circunstancias.
2) El
auditor
identifica
soporta
debilidades
oportunidades
de
mejoramiento (observaciones de auditora) en la estructura de los

controles. Estas observaciones son insumos para el informe de
auditora.
3) El auditor identifica los controles que debern verificarse en la etapa de
ejecucin de pruebas de auditora, para determinar que realmente
existen, estn operando y son entendidos por las personas encargadas
de ejecutarlos (pruebas de cumplimiento).
4) El auditor identifica los datos crticos y actividades sobre las cuales es
necesario aplicar pruebas para verificar la exactitud y confiabilidad de
los clculos y de la informacin que producen los sistemas de
informacin para apoyar el desarrollo de las operaciones del negocio
(pruebas sustantivas).
5) El auditor documenta las observaciones de auditora para los procesos
de negocio y los sistemas de informacin que los soportan. Esta
presenta las debilidades y deficiencias de control interno y seguridad
identificadas en la evaluacin de controles.
4.3.2 Levantamiento de controles por procesos de negocio y

sistemas de informacin
El propsito de esta actividad es identificar y documentar los controles
existentes por cada proceso de negocio y sistemas de informacin. Los
soportes
de
este
levantamiento
de
controles,
generalmente
son
flujogramas o la descripcin narrativa de las actividades que se desarrollan

en cada proceso.
43
4.3.3 Criterios para evaluar la proteccin que ofrecen los controles

Para que los controles existentes ofrezcan el nivel de proteccin apropiado,
deben satisfacer al menos dos de los tres criterios que se mencionan a
continuacin:
Que exista la mezcla de los tres tipos de controles. Es decir, que la

causa de riesgo tenga al menos un control de cada tipo (preventivo,
detectivo y correctivo). El incumplimiento de este criterio significa que
los controles existentes para la causa de riesgo o amenaza contra la
seguridad, no cumplen el principio de las tres barreras o anillos de
seguridad recomendado por los expertos.
Que la calificacin promedio de los controles, segn su clase, sea

mayor o igual que 3.5. Las calificaciones para cada clase de control
son:
5.0: Para controles automticos no discrecionales
4.0: Para controles automticos y discrecionales
3.0: Para controles manuales
El incumplimiento de este criterio significa que la mayora de los
controles existentes no estn automatizados y por consiguiente, la
confiabilidad de los controles depende significativamente de las
personas que los ejecutan y supervisan.
Que la relacin costo/beneficio sea razonable. Es decir, que el costo de

los controles sea menor que el valor de las prdidas que originara la
ocurrencia de la causa del riesgo. Los controles, para que sean
apropiados, siempre deben ser menos costosos que el riesgo para el
cual se establecen.
Para estimar la razonabilidad de los costos de los controles, el auditor
debe tener en cuenta lo siguiente:
44
Costo de adquisicin del control

Costo de instalacin del control
Costo de operacin del control
Costo de mantenimiento del control
El incumplimiento de este criterio significa que la inversin en controles
y seguridad est por encima del valor de las prdidas que se pretende
reducir con los controles. En este caso los costos de los controles
exceden los beneficios que podran obtenerse.
En forma cualitativa, se evala la efectividad de los controles
existentes
utilizando
dos
rangos
de
valoracin:
satisfactoria
insatisfactoria.
4.3.4 Evaluar la satisfaccin de los objetivos de control
Al terminar el levantamiento de los controles de los procesos de negocios y
sistemas de informacin que los soportan, se procede a evaluar la
satisfaccin de los objetivos de control identificados en la etapa anterior.
Para este fin es necesario ejecutar las siguientes actividades:
1) Consultar la lista de los controles levantados indicando sus atributos
(tipo y clase)
2) Distribuir los controles existentes entre los objetivos de control COBIT e
ISO 27002. Para este fin el auditor aplica su experiencia y criterio
profesional para determinar la aplicabilidad de los controles a cada
objetivo de control. Esto requiere del anlisis cuidadoso del auditor
3) Evaluar el grado de satisfaccin que ofrecen los controles asignados a
cada objetivo de control
4) Resumir la evaluacin de satisfaccin de los objetivos de control
45
4.3.5 Observaciones de control interno

Las observaciones de auditora en la evaluacin de control interno, se
refieren a desviaciones que se presentan respecto a los estndares de
seguridad y control o a las normas internas de la organizacin. En la
prctica, se refieren a debilidades o deficiencias que se detectan cuando
los controles no satisfacen los criterios de evaluacin antes mencionados.
Para los controles evaluados con efectividad inapropiada se generan una o
ms observaciones de auditora. Las observaciones de auditora se
registran y posteriormente se analizan y se desarrollan como se especifica
a continuacin.
Primero se describe la observacin o desviacin identificada respecto a los
objetivos y estndares que identific el auditor.
Luego, se presenta el estndar de comparacin que no se cumple y que
debera aplicarse para evitar o resolver el problema.
Posteriormente, se describe el impacto o perjuicios a que se expone la
organizacin como consecuencia de la deficiencia o debilidad de control
identificada.
4.3.6 Definicin y diseo de las pruebas de auditora
El objetivo de esta etapa es definir y disear los procedimientos de
auditora para obtener evidencia vlida y suficiente de la operacin de los
controles existentes (pruebas de cumplimiento) y de la integridad de la
informacin (pruebas sustantivas). Las pruebas pueden ser realizadas con
procedimientos manuales o asistidas por computadora.
Estas pruebas se aplican slo a los controles que en la evaluacin de
control interno presentaron un nivel de proteccin apropiado.
46
El auditor debe verificar que:
Los controles identificados y evaluados en la etapa anterior estn

operando
como
se
previ.
Estas
se
denominan
pruebas
de
cumplimiento.
La informacin manejada, procesada o producida por el proceso de

negocio o sistema de informacin, es exacta y confiable, es decir,
refleja la realidad. Estas son las pruebas sustantivas.
De la ejecucin de esta etapa se obtienen los siguientes productos:
Para pruebas de cumplimiento: Por cada tcnica de comprobacin a

emplear, un documento con las especificaciones de diseo de cada
prueba, indicando los controles a probar, el procedimiento y los
recursos requeridos para ejecutar la prueba.
Para pruebas sustantivas: Por cada tcnica de comprobacin a

utilizar, un documento con las especificaciones de diseo de cada
prueba, indicando los datos a verificar, el procedimiento y los recursos
requeridos para ejecutar la prueba.
4.3.7 Identificacin de controles claves que sern verificados

Las pruebas de cumplimiento y sustantivas no se aplican para todos los
controles existentes, identificados y evaluados satisfactoriamente en la
etapa anterior. Por razones de efectividad y eficiencia, es suficiente con
probar
solamente
una
muestra
de
controles
seleccionados
cuidadosamente, aplicando criterios que consulten su importancia para

asegurar
calidad,
seguridad,
cumplimiento
con
aspectos
legales
confiabilidad de los procesos de negocio y sistemas de informacin sujetos

a auditora.
47
Tales controles se denominarn claves.

Un control clave se define como el control que es vital o de la mayor
importancia para asegurar el correcto funcionamiento de los procesos,
sistemas y las actividades del negocio sujetas a auditora.
Los
controles
claves
son
aquellos
que,
juicio
del
auditor,
son
indispensables para evitar o detectar y corregir el efecto o la probabilidad

de ocurrencia de las causas de riesgo que generan riesgo alto. Tambin,
pueden considerarse claves aquellos controles que con mayor frecuencia
actan sobre varias causas de riesgo, es decir, tienen efecto mltiple. Se
asume que entre mayor frecuencia tenga un control, mayor ser su
importancia y por consiguiente podr ser considerado clave.
Otro criterio que podra emplear el auditor para seleccionar los controles
clave es la clase de control. Por ejemplo, podra decidir seleccionar una
muestra
de
controles
automatizados
otra
muestra
de
controles
manuales.
4.3.8 Agrupamiento de controles por tcnica de comprobacin
Este
mtodo
consiste
en
asignar
individualmente
las
tcnicas
de
comprobacin a cada uno de los controles y posteriormente agruparlos

bajo el nombre de sta.
Los pasos a seguir para definir las pruebas de cumplimiento utilizando el
mtodo de agrupamiento de controles por tcnica de comprobacin son:
Asignar la tcnica de comprobacin para cada control
Agrupar los controles a verificar por tcnica de comprobacin
Definir el alcance de las pruebas de cumplimiento
Disear las pruebas de cumplimiento (diseo detallado) a ejecutar
Planificar la ejecucin de las pruebas de cumplimiento
Ejecutar el plan de pruebas de cumplimiento

48
La aplicabilidad de cada tcnica de comprobacin depende de la naturaleza

del control, por lo que el auditor debe analizar sus caractersticas y optar
por la tcnica que a su criterio permita la correcta ejecucin y
comprobacin de las pruebas a realizar. En la siguiente etapa de la
auditora se detallan las tcnicas y procedimientos de mayor aceptacin
para realizar las pruebas de cumplimiento y sustantivas en ambientes
informticos.
4.3.9 Definicin y diseo de pruebas de cumplimiento
Las pruebas de cumplimiento tienen como objetivo comprobar (obtener
evidencia) que los controles establecidos estn implantados y que las
personas encargadas de las operaciones los entienden, ejecutan y
supervisan (monitorean) continuamente. Estas pruebas tambin son
necesarias para evaluar si los procedimientos empleados satisfacen las
polticas y procedimientos de la organizacin.
Para efectuar las pruebas de cumplimiento se utiliza una lista de
comprobacin de controles claves ordenados por tcnica de comprobacin
para los procesos de negocio y sistemas de informacin auditados.
Este mtodo de disear pruebas de cumplimiento consiste en asignar
individualmente las tcnicas de comprobacin a cada uno de los controles
claves y, posteriormente, agrupar bajo el nombre de cada tcnica a todos
los controles que sern verificados con ella. Entonces, se est en
capacidad de planear detalladamente el uso de cada tcnica de prueba
considerando todos los controles que sern verificados con ella.
Los pasos a seguir para definir las pruebas utilizando este mtodo se
explican a continuacin:
a) Asignar tcnicas de verificacin para cada control clave
En este primer paso se agrupan los controles claves que sern verificados
49
y se escogen las tcnicas de prueba a emplear. Una misma tcnica puede

ser asignada a diferentes controles.
b) Agrupar
los
controles
clave
verificar
por
tcnica
de
comprobacin asignada
Realizar el agrupamiento de controles que utilicen la misma tcnica de
comprobacin.
Al agrupar globalmente los controles por tcnica de comprobacin se debe
tener presente que una misma tcnica puede ser utilizada para verificar
controles de distintos procesos de negocio o sistemas de informacin.
c) Definir el alcance de las pruebas por tcnica de comprobacin
El alcance de cada tcnica de comprobacin se puede definir globalmente
para todo el proceso de negocio y sistema de informacin que lo soporta,
el que incluye los siguientes aspectos a considerar:
Los controles a probar con la tcnica de comprobacin
Los criterios de la informacin de negocio impactados por los controles

a probar
Los recursos de tecnologa que son impactados por los controles a

probar
d) Diseo detallado de las pruebas de auditora a ejecutar

El
diseo
detallado
implica
determinar
los
recursos
necesarios
(infraestructura, datos y personal), el procedimiento a emplear y los

responsables de ejecutarlos.
e) Planificar la ejecucin de las pruebas
El objetivo de este paso es planificar y coordinar con el personal de
50
sistemas y de las reas de negocio la ejecucin de las pruebas de auditora

(manual y asistida por computador) en el lugar de trabajo.
Como factor crtico de xito de las pruebas de auditora, es necesario
programar su ejecucin considerando la disponibilidad de los recursos
necesarios para aplicarlas, el sitio de ejecucin, los auditores asignados
para ejecutarlas y la periodicidad de ejecucin.
Para este fin se elabora un cronograma de pruebas, considerando las
fechas que sean ms oportunas, especialmente cuando para su ejecucin
se requieran equipos de procesamiento que no son administrados por la
auditora y la colaboracin del personal de sistemas.
4.3.10
Definicin y diseo de las pruebas sustantivas
Las pruebas sustantivas tienen como objetivo verificar (obtener evidencia)

la integridad de la informacin y se aplican sobre datos crticos que
representan saldos de activos o de pasivos o, gastos importantes en las
operaciones
del
negocio
objeto
de
la
auditora.
Esta
informacin
comnmente reside en bases de datos y, son producto de clculos

efectuados por el sistema de informacin que soporta la operacin del
negocio.
El objetivo de esta actividad es asignar individualmente las tcnicas de
prueba a cada uno de los datos claves que sern verificados, slo entonces
se est en capacidad de planear detalladamente el uso de cada tcnica de
prueba.
Los pasos a seguir por el auditor son:
a) Agrupar los datos clave a verificar por tcnica de comprobacin
asignada
Se confecciona una lista con los datos clave para cada una de las tcnicas
51
a utilizar. En este caso, debe considerarse que una misma tcnica puede
ser utilizada para verificar varios datos claves.
b) Definir
el
alcance
de
las
pruebas
por
cada
tcnica
de
comprobacin
El alcance de cada tcnica de comprobacin se define de la siguiente
forma:
Datos claves a probar con la tcnica de comprobacin
Los criterios de la informacin de negocios afectados por los datos a

probar
Los recursos de tecnologa que son impactados por los controles a

probar
c) Disear las pruebas de auditora a ejecutar con cada tcnica de

comprobacin
El
diseo
detallado
implica
determinar
los
recursos
necesarios
(infraestructura, datos y personal), los objetivos y el procedimiento de

anlisis a emplear.
d) Planificar la ejecucin de las pruebas sustantivas
El objetivo de este paso es planear y coordinar la ejecucin de las pruebas
de auditora con el personal de sistemas y del rea de negocio en el lugar
de trabajo (manuales y asistidas por computador).
Como factor crtico de xito de las pruebas de auditora, es necesario
programar su ejecucin considerando la disponibilidad de los recursos
necesarios para aplicarlas, el sitio de ejecucin y su periodicidad.
Para este fin, se elabora un plan de pruebas, considerando las fechas que
sean ms oportunas, especialmente cuando para su ejecucin se requiera
52
de los equipos de procesamiento, que no son administrados por la

auditora y la colaboracin del personal de sistemas.
Cuando se requiere desarrollar aplicaciones computacionales para realizar
las pruebas sustantivas, las actividades correspondientes y el tiempo
deben incluirse en este plan.
4.3.11
Ejecucin de las pruebas de auditora
La siguiente etapa del proceso de auditora consiste en ejecutar el plan de

pruebas de auditora especificado en la etapa anterior. Estas pruebas
pueden ser asistidas por computador o completamente manuales. Por cada
prueba que se ejecute deben adjuntarse los soportes correspondientes.
Estos consisten en documentos, archivos, programas de computador y
cualquier otra evidencia que compruebe la ejecucin de la prueba y
muestre los resultados obtenidos.
Como resultado de las pruebas de auditora ejecutadas, se obtienen entre
otros los siguientes soportes:
Lista de comprobacin de controles revisados por el auditor
Documentacin sobre los procedimientos y controles establecidos en los

procesos de negocio o sistemas de informacin sujetos a auditora
Muestras de documentos, listados y cualquier otro material de evidencia

relacionado con deficiencias, debilidades o irregularidades identificadas
por la auditora
Archivos de datos utilizados por el auditor en las pruebas de auditora

asistidas por computador
Documentos con la preparacin de las entrevistas y con las notas

tomadas por el auditor durante su realizacin
Documentacin de los programas o scripts desarrollados por el auditor

para realizar las pruebas asistidas por computador
53
4.3.12
Tcnicas y herramientas de auditora
Los auditores pueden utilizar diferentes mtodos para revisar los controles
de las aplicaciones en funcionamiento y las operaciones en el centro de
servicios informticos. A continuacin se describe en qu consiste cada
tcnica o herramienta.
a) Tcnicas para probar los controles en los sistemas
Mtodo de los datos de prueba
Evaluacin del sistema de caso base
Operacin paralela
Simulacin paralela
b) Tcnicas para analizar sistemas
Snapshot
Mapping y tracing manuales
Mapping y tracing asistidos por el computador
Flujogramas de control (control flowcharting)
c) Tcnicas para verificar datos
Software multipropsito para auditora
Software de auditora para terminales
Programas de auditora de propsito especial
d) Tcnicas para seleccionar y monitorear transacciones
Seleccin de transacciones de entrada
Mdulos de auditora integrados en los sistemas de informacin
Registros extendidos
54
4.3.12.1 Tcnicas para probar los controles en los sistemas

Se utilizan para probar clculos, programas o aplicaciones completas con
el
propsito
de
evaluar
los
controles,
verificar
la
exactitud
del
procesamiento y el cumplimiento con los procedimientos de procesamiento

establecidos.
Tales tcnicas son usadas para dos propsitos: evaluar los sistemas de
aplicacin y probar el cumplimiento.
a) Mtodo de datos de prueba
Este procedimiento ejecuta programas de aplicacin de computador
utilizando archivos de datos de prueba y verifica la exactitud del
procesamiento comparando los resultados del procesamiento de los datos
de prueba con los resultados predeterminados para la prueba.
Los auditores usan esta tcnica para probar la lgica del procesamiento
seleccionado, las rutinas de clculos y las caractersticas de control dentro
de los sistemas de informacin.
Los datos de prueba son transacciones simuladas que incluyen idealmente
todo tipo de condiciones posibles, incluyendo aquellas que el sistema es
incapaz de manejar, debido a la carencia de controles apropiados. Quiere
decir esto, que la lista de transacciones simuladas debera probar
condiciones tanto vlidas como invlidas. Los datos de prueba deben ser
procesados con los programas regulares del sistema.
1) Propsito de los datos de prueba
El auditor no puede ver fsicamente las operaciones y los controles dentro
de la caja negra (sistema de informacin) pero puede ver un listado de los
resultados de la prueba donde por ejemplo, algunas transacciones que
deberan
ser
rechazadas
no
lo
fueron
donde
condiciones
de
55
desbordamiento causaron errores o transacciones fuera de lmite fueron

procesadas como si fueran correctas (ejemplo transacciones de clientes
que exceden el lmite de crdito).
El auditor tambin puede determinar si la caja negra est procesando
apropiadamente las transacciones vlidas. El uso de los datos de prueba
abre ventanas en la caja negra, porque las transacciones simuladas se
procesan en el sistema de computador y generan resultados que son
comparados
por
el
auditor
con
resultados
esperados,
preparados
manualmente con anterioridad. Es decir, antes de ejecutar los datos de

prueba, el auditor calcula los resultados que debera obtener y luego los
compara con los obtenidos en la prueba.
2) Cmo preparar los datos de prueba?
Generalmente, los datos de prueba se aplican de la siguiente manera:
Se debe revisar todo el sistema de controles.
Sobre la base de esta revisin se disean las transacciones para probar

aspectos seleccionados del sistema o el sistema completo.
Los datos de prueba se transcriben a los formatos de entrada al

sistema.
Los
datos
se
convierten
(graban)
medios
utilizables
por
el
computador. El auditor debe verificar la conversin mediante rutinas de

balanceo o en los listados de validacin que se produzcan. Adems,
debe guardar el medio magntico que contiene la informacin hasta
cuando realice la prueba.
Los datos deben procesarse con los programas de la aplicacin que

estn vigentes. El auditor debera estar presente durante el proceso de
los datos para asegurar que:
o No se introduzca informacin adicional.
o Se utilizan los procedimientos de operacin de mquina estndar.
o No ocurra alguna irregularidad cuando se efecta la prueba.
o Todos los documentos impresos que se produzca sean retenidas por
56
el auditor.
Los resultados obtenidos en el punto cinco se deben comparar con los

resultados predeterminados.
3) Controles de auditora sobre los sistemas en produccin

El principal objetivo del uso de datos de prueba es verificar la operacin de
los sistemas de informacin de los clientes para ver si operan como se
piensa (desea).
El auditor debe asegurarse que el programa que se est probando es el
mismo que est actualmente en produccin. No existe una forma segura
de garantizar esta situacin pero hay muchas cosas que puede hacer el
auditor para sentirse ms seguro de estar probando el sistema real.
4) Aplicaciones de los datos de prueba
El auditor debe tener el diseo de los registros de transacciones para
preparar sus transacciones de prueba. Este diseo debe contener el
nombre de cada campo, el tamao y el tipo (numrico o alfanumrico). El
auditor incluye sus propios datos en los campos apropiados para producir
resultados predeterminados. Si los resultados de las pruebas no estn de
acuerdo a los resultados esperados se debe hacer una investigacin ms
profunda para determinar la razn para las variaciones.
Los siguientes son algunos elementos que normalmente deberan ser
incluidos en la aplicacin de datos de prueba:
Verificar si se producen totales de control y se devuelven a la mesa de

control
Tratar de procesar una transaccin sensitiva sin la debida autorizacin y

observar si el sistema la rechaza (por ejemplo, cambiar el lmite de
crdito)
Hacer chequeos numricos, alfabticos y de caracteres especiales

57
Entrar a un campo con signo negativo y observar si se procesa

realmente con este signo
En algunos sistemas sin controles apropiados, el signo negativo se

convierte a positivo
Hacer comprobaciones de validez. Por ejemplo, entrar un cdigo

invlido o un departamento con nmero equivocado
Hacer pruebas de razonabilidad y de lmite
Cuando las transacciones deben estar ordenadas por nmero de

secuencia, entrar transacciones en desorden
Incluir un nmero de cuenta dgito de chequeo predeterminado y ver si

se procesa normalmente
Incluir diversos campos de datos incompletos o inexistentes
Insertar
caracteres
en
campos
que
causen
condiciones
de
desbordamiento
Tratar de leer o escribir un archivo equivocado
Los archivos que se van a probar, deben ser copiados como archivos
especiales de trabajo con el fin de permitir todo tipo de pruebas.
5) Ventajas y desventajas de los datos de prueba
Ventajas:
o Su uso puede limitarse a funciones especficas del programa,
minimizando el alcance de la prueba y su complejidad
o Es una buena herramienta de aprendizaje para los auditores porque
su uso requiere mnimos conocimientos de informtica
o No se requiere que el auditor tenga grandes conocimientos tcnicos
o Tiene
buena
aplicacin
donde
son
pocas
las
variaciones
combinaciones de transacciones
o Da una evaluacin y verificacin objetiva de los controles de
programa y de otras operaciones que seran impracticables por otros
medios
o Los datos de prueba se podran correr sorpresivamente para
descubrir la posible modificacin de programas sin autorizacin e
58
incrementar la efectividad de otras pruebas realizadas
Desventajas:
o Se requiere bastante cantidad de tiempo y esfuerzo para preparar y
mantener un lote de datos de prueba representativo. Cualquier
cambio en programas, diseo de registros y sistema implican
cambiar los datos de prueba
o En algunos casos el auditor puede no probar el sistema que
realmente est en produccin
o En un sistema complejo con gran variedad de transacciones es difcil
anticipar todas las condiciones significativas y las variables que
deberan probarse
o El auditor debe estar bastante relacionado con la lgica de
programacin que est probando
o La prueba en si misma no detecta todos los errores. Cuando los
programas son muy complejos, pueden existir infinidad de rutas y es
muy difcil seguirlas todas
o Hay una probabilidad muy alta que los datos de prueba no detecten
manipulaciones inadecuadas de una cuenta o cantidad especfica
6) Sugerencias para desarrollar datos de prueba
Para archivos maestros:

o Duplicar registros.
o Proceso de registros fuera de secuencia.
o Montar e intentar procesar archivos equivocados.
Para registros nuevos:

o Crear un registro nuevo antes del primer registro existente en el
maestro
o Crear un registro nuevo despus del ltimo registro existente en el
maestro
o Crear tres o cuatro registros nuevos con llaves consecutivas dentro
de registros que no existen
59
o Crear un registro para una divisin inexistente, un departamento,

una planta, un elemento de inventario, empleado, cliente y as
sucesivamente
o Crear dos o ms registros de cabecera, uno inmediatamente despus
del otro
o Crear un registro nuevo con llave cero
o Crear un registro nuevo con llaves nuevas
o Crear un registro nuevo pero incompleto. (por ejemplo slo uno o
dos campos de diez posibles)
Para transacciones:
o Crear transacciones para el primer registro del archivo
o Crear transacciones para el ltimo registro del archivo
o Crear transacciones para otros registros diferentes al primero y
ltimo del archivo
o Crear transacciones para un registro nuevo creado en la misma
corrida
o Crear transacciones para varios registros consecutivos
o Crear varios tipos de transacciones para un mismo registro
o Intentar crear transacciones para registros inexistentes que fueran
menores en secuencia que el menor registro existente, mayores en
secuencia
que
el
ltimo
registro
existente
entre
registros
existentes, as como para varios registros consecutivos no existentes

o Crear transacciones de tal manera que los totales se hagan
negativos y verificar el efecto en otros campos del registro
o Crear cantidades demasiado grandes para crear desbordamiento.
Examinar los resultados
o Si se utiliza un registro de encabezado seguido por registros de
detalle, crea registros detallados para el primer registro del archivo,
el ltimo registro, dos registros consecutivos, un registro no
existente y varios registros inexistentes
Para registros borrados e inactivos:

o Eliminar el primer registro de cada archivo
60
o Eliminar el ltimo registro de cada archivo

o Eliminar tres o cuatro registros consecutivos de cada archivo
o Intentar accesar un registro inexistente
o Codificar un registro como inactivo e intentar grabar datos al mismo
registro en la misma corrida
o Volver activo un registro inactivo y crearle transacciones en la misma
corrida
Para fechas:
o Asegurarse que todos los campos de datos de fechas se han
actualizado correctamente.
o Crear fechas con meses 00 y 13, das 0 y 32 y un ao invlido
o Crear fechas que estn fuera de los intervalos de actualizacin.
Ejemplo en un perodo mensual, hacer intervalo de ms de 30 das
o Hacer dos corridas de actualizacin con la misma fecha
Para pruebas de lgica y proceso:

o Verificar todos los clculos que proceden promedios o porcentajes
con pequeos medianos y grandes valores
o Crear una condicin para todas las rutinas de divisin con cero como
denominador
o Crear datos de prueba para valores menores que el mnimo y
mayores que el mximo permitidos
o Crear datos para todas las excepciones y errores
o Crear datos que incluyan excepciones mltiples y errores en la
misma transaccin
o Crear datos para los valores mnimos y mximos de cada campo
Para programas de edicin, los datos de prueba para campos

alfabticos incluirn:
o Campo completamente lleno
o Campo completamente en blanco
o nicamente la primera posicin
o Primera posicin en blanco
61
o Mezcla de caracteres numricos y alfabticos
Datos de prueba para los campos de cantidad o valor que

incluirn:
o Campo lleno de nueves
o Campo lleno de ceros
o Campo lleno de blancos
o Exacto el lmite inferior, si lo hay
o Exacto el lmite superior, si lo hay
o Una cantidad o valor tpico entre los lmites
o Valor superior al lmite, si lo hay (diferente de nueves)
o Valor inferior al lmite, si lo hay (diferente de ceros)
o Valor con un signo errado (+ o -)
o Datos alfabticos en cada campo
Para programas de actualizacin:

o Disear datos para crear varios registros maestros completos
o Crear datos para cambiar un registro maestro inexistente
o Disear datos para crear un registro con la misma llave de otro
existente
o Crear datos con un registro cuya llave sea cero
o Crear datos con un registro cuya llave sea nueve
o Crear uno o dos elementos para establecer un registro del archivo
maestro nuevo pero incompleto
o Disear datos para crear un nuevo registro en el archivo maestro y
hacerle cambios posteriores en la misma corrida
Para programas de proceso:

o Entrar datos que produzcan resultados de clculos con valores
pequeos, medianos y muy grandes
o Entrar datos que creen condiciones de divisin o multiplicacin por
cero
o Entrar datos que originen desbalanceo del registro de control de lote.
Examinar los resultados
62
o Disear varias entradas contables ilgicas (ejemplo: crdito a gastos

de depreciacin y debido a cuentas por cobrar)
Entrar datos que causen desbordamiento.
Para programas de informes:

o Incluir datos de prueba con valores negativos para asegurar que se
impriman los signos para cada campo, en cada lnea de detalle y en
las lneas de total
o Crear datos con nueves en todo el campo para asegurar que se
impriman y que no se ponen en otros
o Entrar datos de prueba con slo ceros para probar la supresin de
ceros no significativos en la impresin
o Verificar todas las sumas y resultados de los clculos
b) Evaluacin del sistema de caso base

Este procedimiento ejecuta programas de sistemas de informacin, usando
archivos de datos de prueba desarrollados como una parte de la prueba
general del programa que verifica la exactitud del procesamiento,
comparando
los
resultados
del
procesamiento
con
los
resultados
predeterminados para los datos de prueba.

Esta tcnica usa datos de prueba desarrollados por auditores y usuarios de
aplicaciones de computador, en cooperacin con el personal del centro de
datos, para proporcionar una prueba completa al sistema. El archivo de
datos del caso base est destinado a verificar la correcta operacin del
sistema antes de su aceptacin en produccin, as como para verificar
peridicamente la integridad del procesamiento despus de su aceptacin
en produccin.
Los archivos de prueba del sistema de caso base, por definicin, son
creados para proveer una prueba selectiva de todas las caractersticas y
funciones dentro de un sistema de informacin.
63
Aunque esta tcnica proporciona la ventaja de efectuar pruebas de

cumplimiento y verificar el sistema completo, el esfuerzo requerido para
mantener los archivos de datos despus de su instalacin inicial requiere
de estrecha cooperacin entre usuarios, auditores y el personal del centro
de datos para la preparacin de los datos de prueba y la validacin de los
resultados.
c) Operacin paralela
Este es un procedimiento para verificar la exactitud de sistemas de
aplicacin nuevos o revisados, mediante el procedimiento de datos y
archivos en produccin, usando tanto los procedimientos existentes como
los nuevamente desarrollados, para luego comparar los resultados de
ambos procesamientos e identificar diferencias no esperadas.
Este procedimiento es ampliamente utilizado por el personal del centro de
datos para verificar sistemas nuevos o revisados, antes de remplazar los
procedimientos existentes.
Tiene la ventaja de verificar los nuevos programas del sistema de
informacin antes de discontinuar los existentes. Perodos extensos de
operacin paralela implican, como desventaja, los costos resultantes del
procesamiento adicional.
d) Simulacin paralela
En este procedimiento, las transacciones y los archivos de produccin son
procesados usando programas de computador que simulan la lgica de los
programas de aplicacin. Las funciones de procesamiento seleccionadas
pueden, entonces, ser verificadas mediante la comparacin de los
resultados simulados con los resultados del procesamiento de produccin.
Esta tcnica de prueba tiene la ventaja de verificar los procedimientos de
procesamiento seleccionados, usando datos de produccin, obviando as el
64
tiempo consumido en la preparacin de los datos de prueba.

Los auditores que usen esta tcnica, sin embargo, deben preparar
programas de computador que simulen las funciones de produccin a ser
verificadas. Programas de auditora especialmente preparados o software
generalizado de auditora pueden ser usados para este propsito. El
software generalizado de auditora ha simplificado la preparacin de
programas de simulacin paralela.
4.3.12.2 Tcnicas para analizar los sistemas
En esta seccin, se incluyen las tcnicas y herramientas de auditora
usadas para evaluar la lgica de procesamiento y, los procedimientos
internos en programas de aplicacin y en programas del sistema. Estas
tcnicas se usan durante el desarrollo de los sistemas de aplicacin as
como durante las pruebas de cumplimiento peridicos en la etapa post
instalacin. Estas tcnicas son snapshot, tracing, mapping y flowcharting
(flujogramas de control).
a) Snapshot
Son instrucciones de programa o subrutinas que reconocen y registran el
flujo de transacciones sealadas, durante todo el camino lgico seguido
por tales transacciones dentro de los sistemas de informacin. Esta tcnica
es
usada
por
transacciones
los
auditores
especficas
para
mediante
rastrear
programas
(localizar
de
el
paradero)
computador
para
conseguir evidencia, documentar el recorrido lgico, las condiciones de

control y de las secuencias de procesamiento.
La tcnica tiene la ventaja de verificar el flujo lgico del programa y,
consecuentemente,
ayuda
al
auditor
entender
los
pasos
de
procesamiento dentro de programas de aplicacin. Tiene la desventaja de

requerir bastante conocimiento de sistemas y de programacin por lo que
con frecuencia consume bastante tiempo para el uso de los auditores.
65
b) Tracing y mapping manual

Estos procedimientos identifican el flujo de transacciones y sus controles
de
aplicacin
asociados,
incluyendo
la
elaboracin,
aprobacin
procesamiento de documentos fuente, as como el procesamiento de

transacciones de entrada, procesamiento en el computador, la distribucin
y uso de los informes.
El tracing y mapping manual pueden incluir el anlisis de listados de
programas de aplicacin, para identificar y evaluar la lgica y las funciones
de control de los programas de aplicacin. Sin embargo, el nfasis es
sobre la identificacin y evaluacin de los procedimientos manuales y de
controles externos a los programas de aplicacin.
Las tcnicas de tracing y mapping ayudadas por computador se usan para
analizar programas de aplicacin, complementando los mtodos manuales.
c) Tracing y mapping asistido por computador
Estas son subrutinas de programas de computador que identifican los
segmentos y/o subrutinas de programa usadas en el procesamiento de
transacciones de prueba. El tracing asistido con el computador proporciona
evidencia documentaria de las instrucciones del programa utilizadas para
procesar transacciones especficas.
Mapping es una tcnica que proporciona evidencia de las secuencias de
procesamiento usadas en la subrutina, ms que a nivel de instruccin en el
programa de computador.
Estas tcnicas y herramientas de auditora son usadas para verificar la
lgica de procesamiento de las transacciones e identificar las porciones de
programa no utilizadas. Dos desventajas estn asociadas con el uso de
stas por parte del auditor: se requiere extenso conocimiento de
programacin de aplicaciones y, segunda, consume bastante tiempo e
66
implican anlisis detallado.

c) Control flowcharting (Flujograma de control)
Este procedimiento usa tcnicas de diagramacin de programas de
computador para identificar y presentar el recorrido lgico y los puntos de
control dentro de los sistemas informtico.
Smbolos y tcnicas estndar de auditora analtica, son usados para
desarrollar diagramas de los sistemas de informacin. Esos esquemas
proporcionan informacin con el objeto de analizar con los usuarios y el
personal de informtica los controles internos de los sistemas de
informacin. Adems, los flujogramas de control sirven como un excelente
mecanismo para entrenar a nuevos auditores.
4.3.12.3 Tcnicas para verificar los datos
Estas
tcnicas
son usadas
posteriormente
al procesamiento
de
la
produccin, para seleccionar datos de archivos basados en requerimientos

lgicos o de muestreo estadstico; para totalizar y balancear archivos o
secciones lgicas de archivos, tales como divisiones organizacionales o
clases de cuentas; para dividir archivos por valores de excepcin; para
ignorar datos o entradas duplicadas o para formatear informes para uso de
auditora.
a) Software general de auditora (SGA)
El SGA accesa, extrae, manipula y presenta datos y resultados de pruebas
en un formato apropiado para los objetivos de la auditora. Tal archivo
generalizado generador de software, generalmente es controlado por
parmetros o instrucciones simplificadas que requieren un mnimo de
conocimientos de informtica. Tiene la ventaja de permitir al auditor
manipular el procesamiento de datos de archivos maestros sin preparar
programas especiales. Una desventaja asociada con esta tcnica es que su
67
evidencia se limita a los archivos de datos y en consecuencia no es

utilizable (funcional) para pruebas de cumplimiento en los programas, para
condiciones que no se reflejan en los archivos.
b) Software de auditora para terminales
Este software de propsito general accesa, extrae, manipula y despliega
datos de bases de datos en lnea, usando comandos de terminales
remotas.
Esta tcnica tiene la ventaja de permitir la investigacin interactiva y
rpida y de proporcionar acceso completo a los archivos de datos,
permitiendo peridicamente examinar archivos sin excesiva preparacin o
procesamiento separado. Este es, sin embargo, utilizado nicamente en
situaciones donde se utilizan bases de datos en lnea.
c) Programas de auditora de propsito especial
Son especialmente desarrolladas para extraer y presentar datos de los
archivos de un sistema de aplicacin especfico, generalmente en formato
invariable.
Las
desventajas
asociadas
con
estos
programas
son
su
limitada
aplicabilidad, inflexibilidad, costos de preparacin y el alto nivel de

expertos en programacin de computador que es requerido. Debido a la
naturaleza especfica de cada programa de auditora de propsito especial
no se profundiza ms sobre esta herramienta.
4.3.12.4 Tcnicas para seleccionar y monitorear transacciones
Las tcnicas y herramientas usadas para seleccionar y capturar datos de
produccin para su posterior verificacin y auditora manual son indicadas
bajo
esta
clasificacin.
Se
utilizan
generalmente
para
supervisar
actividades de produccin y seleccionar muestras como parte de una

continua actividad de auditora dentro del proceso de produccin normal.
68
Los criterios de seleccin son generalmente parmetros controlados por el

auditor y usan pruebas de rango, tcnicas de muestreo o condiciones de
error para implicar la seleccin de registros para su posterior evaluacin
por parte del auditor. Tales tcnicas se usan en pruebas de cumplimiento
para monitorear el procesamiento de transacciones y seleccionar datos
para su verificacin.
Esta categora incluye: programas de seleccin de transacciones de
entrada, los cuales son independientes de los programas del sistema de
informacin,
mdulos
de
auditora
integrados
en
los
sistemas
de
informacin y la tcnica de registros extendidos.

a) Seleccin de transacciones de entrada
Utiliza software de auditora para separar y seleccionar transacciones, que
son entrada para sistemas de informacin, como parte del ciclo de
procesamiento de produccin regular.
Las capacidades de este software incluyen: monitoreo de niveles de
actividad
razones
de
error
por
transaccin,
seleccionando
sistemticamente muestras de transacciones para subsiguiente verificacin

manual y, la identificacin y seleccin de condiciones de excepcin
especificadas por el auditor.
El software es controlado por parmetros y totalmente independiente de
su correspondiente software de aplicacin en produccin. Como resultado,
ste es independientemente controlado por el auditor y puede ser
instalado
sin
requerir
modificaciones
del
software
del
sistema
de
aplicacin. El costo de desarrollo y mantenimiento es la desventaja

primaria asociada con esta tcnica.
69
b) Coleccin de datos de auditora integrados en los sistemas de

informacin
Este procedimiento usa software de auditora para marcar y seleccionar
transacciones de entrada y transacciones generadas dentro del sistema de
aplicacin durante el procesamiento de produccin. Tales subrutinas de
auditora son integradas como huspedes dentro de los sistemas de
informacin.
Actividad de supervisin (monitoreo), muestreo y reportes de excepcin
son todos controlados por parmetros. El diseo y la implementacin de
tales mdulos son altamente dependientes de la aplicacin y generalmente
son ejecutados como parte integral del proceso de desarrollo de
aplicaciones. Con frecuencia este mtodo es referido como SCARF (System
Control Auditing Review File). Tiene la ventaja de proporcionar muestreo y
produccin estadstica incluyendo transacciones, tanto de entrada como
generadas internamente. La desventaja primaria es el alto costo de
desarrollo y mantenimiento y la dificultad asociada con la independencia
del auditor.
c) Registros extendidos
Esta tcnica selecciona, por medio de uno o ms programas creados
especialmente,
todos
los
datos
significativos
que
han
afectado
el
procesamiento de una transaccin individual. Esto incluye la acumulacin,

dentro de un nico registro, de los resultados del procesamiento sobre el
mismo perodo de tiempo requerido para el procesamiento completo de la
transaccin. El registro extendido incluye datos de todos los sistemas de
aplicacin de computador que contribuyeron al procesamiento de una
transaccin. Tales registros extendidos, son compilados dentro de archivos
que proporcionan una fuente convenientemente accesible para los datos
de las transacciones. Este tiene la desventaja del incremento de los
requerimientos y costos de almacenamiento de datos y los costos
adicionales de desarrollo del sistema.
70
4.3.13 Anlisis del resultado de las pruebas de auditora

El objetivo de esta etapa es analizar y evaluar los resultados de las
pruebas de cumplimiento y sustantivas, efectuadas en la etapa anterior,
con el propsito de obtener conclusiones de la auditora sobre el
funcionamiento de los procesos de negocio y sistemas de informacin
objeto de la auditora.
En esta etapa, se analizan los resultados de las pruebas de auditora que
fueron ejecutadas por medios manuales o asistidas por computador y se
generan indicadores de la proteccin existente para cada control clave
asociado con los procesos de negocio y sistemas sujetos a auditora. Los
resultados pueden ser satisfactorios o insatisfactorios y de ellos se generan
observaciones que son analizadas para determinar su impacto en el
negocio.
Las observaciones se refieren a desviaciones que se detectan en las
pruebas de auditora, respecto a los estndares, de la tecnologa de
informacin, a la normativa legal y las polticas y procedimientos
establecidos en la organizacin.
Como resultado del anlisis y evaluacin de los resultados de las pruebas
de auditora ejecutadas, se obtienen los siguientes productos:
Lista de controles clave comprobados por el auditor en terreno.
Documentacin de las observaciones de auditora obtenidas como

resultado de las pruebas de cumplimiento y sustantivas, el anlisis de
las deficiencias identificadas y/o oportunidades de mejoramiento.
4.3.14 Anlisis del resultado de las pruebas de cumplimiento

El anlisis de los resultados de las pruebas de cumplimiento se realiza
utilizando la agrupacin de controles por tcnica de comprobacin.
71
Por cada tcnica de comprobacin utilizada, para todo el proceso de

negocio o el sistema de informacin, el auditor procede a analizar los
resultados obtenidos como se indica a continuacin:
Por el grupo de controles verificados con una misma tcnica de

comprobacin, establecer globalmente si los resultados de la prueba
son satisfactorios o no satisfactorios y generar una conclusin de la
auditora.
Desarrollar las observaciones de auditora. Por cada tcnica de

comprobacin utilizada se pueden generar una o ms observaciones.
Consolidar los resultados de las pruebas de auditora.
El anlisis del grado de satisfaccin de los objetivos de control para las

pruebas de cumplimiento se realiza utilizando la agrupacin de controles
por objetivo de control.
Las respuestas obtenidas para cada uno de los objetivos de control
sustanciados por el auditor, se procesan siguiendo los pasos que se indican
a continuacin:
1. Por cada objetivo de control seleccionado, calificar el grado de
satisfaccin segn los resultados de las pruebas efectuadas
Para evaluar el grado de proteccin de los controles agrupados por
objetivo de control, es necesario registrar al menos una observacin por
cada control verificado con resultado insatisfactorio.
Un control verificado con resultado insatisfactorio puede estar asociado a
varios objetivos de control. Por consiguiente, una observacin puede
impactar a varios objetivos de control.
Un objetivo de control es satisfecho por los controles verificados cuando la
proteccin existente es superior al 70%, es decir, cuando el significado
cualitativo de la proteccin existente es Media Alta o Alta.
72
2. Para
cada
control
verificado
con
resultado
insatisfactorio,
desarrollar una observacin de auditora

A cada objetivo de control pueden corresponder varias observaciones, al
menos uno por cada control que presenta resultado insatisfactorio.
Si un control que presenta resultado insatisfactorio est asociado con
varios objetivos de control, es suficiente con desarrollar una sola vez la
observacin, analizando su impacto en todos los objetivos relacionados
con el control.
Esta ltima etapa permite consolidar las calificaciones del grado de
satisfaccin de los objetivos de control para cada proceso de negocio y
sistema de informacin.
4.3.15 Anlisis de los resultados de las pruebas sustantivas
Para analizar los resultados de las pruebas sustantivas, el auditor procede
como se indica a continuacin:
1. Establecer si los resultados de la prueba sustantivas son
satisfactorios o no
Para los datos claves verificados por cada proceso de negocio o sistema de
informacin, se debe concluir si los resultados de las pruebas son
satisfactorios o no y generar una observacin de auditora por cada prueba
con resultado negativo.
2. Desarrollar las observaciones de auditora
Por cada dato verificado se pueden generar una o varias observaciones.
73
4.4 FASE III. COMUNICACIN DE LOS RESULTADOS

Esta es la ltima fase de la auditora, en ella se resumen los resultados
ms significativos obtenidos en las etapas anteriores.
Estos son los insumos para elaborar el informe de auditora con el cual se
comunicar
la
alta
direccin
los
dems
interesados,
las
observaciones y conclusiones sobre las caractersticas de seguridad,

calidad y confiabilidad de la informacin y de los recursos tecnolgicos y
humanos que intervienen en las actividades de control de los procesos de
negocio y sistemas de informacin.
4.4.1 Elaboracin
de
los
informes
con
los
resultados
de
la
auditora
Los informes tienen como objetivo comunicar al servicio sobre el resultado
de la auditora, que ste conteste cada una de las observaciones con los
antecedentes pertinentes y posteriormente se elabore y enve el informe
final con las conclusiones de la auditora.
4.4.2 Estructura y contenido de los informes
El
objetivo
del
informe
preliminar
es
comunicar
al
servicio
las
observaciones encontradas, suscitar la respuesta con las acciones de

mejoramiento para solucionar los problemas detectados.
El propsito del informe final es atender las respuestas del servicio a las
observaciones y desarrollar las conclusiones de auditora.
El informe preliminar consta de las siguientes tres secciones:
a) Objetivos y alcance de la auditora
Breve descripcin de los objetivos que se propuso la auditora, de los
74
aspectos de seguridad examinados, los objetivos de controles y las

dependencias en las que se efectu la revisin. Tambin, se mencionan el
perodo de tiempo que cubri la revisin y el rango de las fechas durante
las cuales se efectu la auditora.
Se describen los objetivos especficos fijados en el programa de auditora.
Para definir el alcance, se detallan los aspectos de control generales
revisados (objetivos de control bsicos) por la auditora. Este prrafo es
importante como punto de referencia para que el destinatario evale la
importancia de las observaciones detectadas por la auditora.
b) Antecedentes generales
Este captulo contiene una breve descripcin de las caractersticas y
atributos del rea auditada. El objetivo es ubicar al destinatario del
informe dentro de un marco de referencia que le ayude a comprender el
informe y la importancia de las observaciones de la auditora.
c) Observaciones de la auditora
Esta parte del informe presenta, para cada proceso y sistema evaluado,
las observaciones y debilidades de control identificados por la auditora
que debe contestar la administracin.
Para elaborar el informe final de auditora, se realiza lo siguiente:
Luego de recibir la respuesta al informe preliminar, el auditor analiza los
descargos y antecedentes enviados por el servicio y desarrolla las
conclusiones para cada observacin y la conclusin general de la auditora.
4.4.3 Aseguramiento de la calidad de los informes de auditora
Verificar que la forma y el contenido del informe con los resultados de la
auditora cumplan con el mnimo exigidos por los estndares y las mejores
75
prcticas recomendados por los expertos. Si alguna de las respuestas a las

preguntas que se incluyen a continuacin es negativa, significa que el
informe necesita ms trabajo de revisin.
Lista de comprobacin de calidad de los informes de auditora.
1. Todos los puntos del informe ataen al destinatario del mismo?
2. Todas las observaciones incluidas en el informe fueron respondidas por
el auditado para determinar su exactitud?
3. Todas las observaciones y conclusiones incluidas en el informe son
suficientemente explcitas, para que las reas entiendan su significado e
importancia y se motiven a tomar acciones correctivas?
4. Todas las observaciones incluidas en el informe son lo suficientemente
importantes como para justificar el tiempo que el auditado dedique a su
lectura?
5. En los papeles de trabajo existe suficiente evidencia para soportar las
observaciones y conclusiones de la auditora?
6. Todas las conclusiones incluidas en el informe fueron evaluadas con
suficiente detalle para determinar su costo/beneficio?
7. Si las conclusiones incluidas no son viables por costo/beneficio, otras
circunstancias justifican su inclusin en el informe?
8.
En el informe se incluyen nicamente puntos que tienen alto

potencial de prdidas y bajo costo correctivo?
9.
Tienen
sentido
los
ttulos
utilizados
para
encabezar
las
observaciones?
10. El informe cumple con las expectativas de la jefatura?
11. Existe claridad en los beneficios para los auditados que justifican la
incorporacin de las observaciones de control interno especificadas en
el informe final?
12. El informe se emite oportunamente de modo que el mximo
beneficio pueda obtenerse de l?
Las observaciones y puntos mejorables debern incluir exclusivamente
aspectos que sean importantes, de beneficio para el servicio y factibles de
76
implantar sin causar costos significativos. Cada punto tendr asignado un

nmero de secuencia y un ttulo que exprese de manera resumida lo que
se detect, utilizando un lenguaje positivo y constructivo.
A continuacin, se deben presentar los beneficios que obtendr el servicio
auditado al solucionar la deficiencia o problema observado. Es aqu donde
el auditor debe mostrar que su trabajo contribuye al mejoramiento de los
procesos y sistemas de la organizacin.
Para cada observacin de la auditora siempre se debern expresar los
beneficios para la organizacin. Como por ejemplo, para incrementar la
eficiencia, prestar un mejor servicio a los usuarios, ahorrar costos, evitar
que los errores pasen inadvertidos, mejorar la informacin que recibe la
alta direccin, etc.
El beneficio debe enfocarse para el usuario, no para el auditor
No decir que el beneficio es mejorar el control interno. Tampoco que es

para mejorar los procedimientos
Evitar decir: Es necesario que se establezcan controles de acceso, es

decir es necesario establecer controles de acceso
Deber expresarse con palabras que describan la realidad de la manera

ms exacta posible y con un lenguaje simple
Se escribe en infinitivo
Evitar el uso de superlativos
La conclusin de la auditora debe expresar su concepto sobre la

proteccin que ofrecen los controles y procedimientos utilizados por la
organizacin para asegurar la confiabilidad de los procesos y sistemas
auditados.
4.4.4 Organizar y cerrar la carpeta con archivos de trabajo
La expresin archivos de trabajo se refiere al conjunto organizado de
papeles y archivos computacionales, que contiene:
77
La documentacin del trabajo realizado por los auditores asignados al

desarrollo de un trabajo particular de auditora
Las evidencias vlidas y suficientes de los trabajos de auditora
Las evidencias de las actividades y procedimientos de planeacin,

ejecucin y control de cada una de las etapas de la auditora
La documentacin de auditora es el registro del trabajo y la evidencia que

soporta las observaciones y conclusiones del auditor. La documentacin
demuestra la extensin con la que el auditor cumpli con los estndares
generales para realizar la auditora.
La documentacin debera incluir, como mnimo, un registro de:
La planificacin y preparacin del alcance y objetivos de la auditora
El programa de auditora
Los pasos de auditora ejecutados y reunidos
Las observaciones y conclusiones de la auditora
Cualquier reporte producido como resultado del trabajo de auditora
Las respuestas del auditado a las observaciones del informe preliminar
La extensin de la documentacin
del auditor, depender
de
las
necesidades para una auditora particular y deber incluir:
El entendimiento del auditor sobre el rea que fue auditada
El entendimiento del auditor sobre los sistemas de informacin y su

infraestructura
La fuente de la documentacin de auditora y la fecha de su elaboracin
La evidencia de revisin y supervisin del trabajo de auditora
La documentacin debera incluir informacin de auditora que es exigida

por las regulaciones o cualquier estndar aplicable.
78
Las polticas y procedimientos que en efecto pueden estar para asegurar la

custodia
apropiada
retencin
de
la
documentacin
que
soporta
observaciones y conclusiones de auditora, por un tiempo prudente para

satisfacer los requerimientos legales, profesionales y organizacionales.
La documentacin debera ser organizada, almacenada y asegurada de una
manera apropiada para el medio en el cual se retiene.
4.4.5 Seguimiento a las observaciones de la auditora
El objetivo de esta etapa es establecer las fechas de compromiso para
verificar que los responsables de las observaciones detectadas, inicien e
implementen las acciones correctivas.
En esta etapa se acuerda con los auditados, las fechas de compromiso
para atender las observaciones de la auditora. Tambin, se definen los
responsables de atender estos compromisos y se registran los datos de
planeacin del seguimiento, adems de las fechas especficas para verificar
dicho seguimiento, junto con los cargos de los responsables de verificar el
seguimiento y los resultados del mismo. Con las actividades de esta etapa
se termina el trabajo de auditora.
Los productos de esta etapa son los siguientes:
Programa de seguimiento del informe final
Listado con verificacin de cada observacin pendiente
Emisin del informe con los resultados del seguimiento
4.4.6 Planificar el seguimiento a las observaciones de la auditora

Elaborar tabla con los siguientes encabezados:
Observacin
Cargo responsable de tomar la accin
Fecha de compromiso para implantar la accin de mejoramiento

79
Fecha de seguimiento prevista
Establecer fechas de compromiso de comn acuerdo con el encargado de

cada observacin:
Fijar una fecha de compromiso
Fijar una fecha de seguimiento
Fijar una alerta de compromiso y seguimiento
4.4.7 Ejecutar el seguimiento a las observaciones de la auditora

El objetivo es verificar que se hayan implantado las acciones correctivas
requeridas para atender las observaciones informadas por la auditora. Con
el fin de establecer polticas, normas y procedimientos acordes a mejorar
las deficiencias encontradas en los procesos de negocio y sistemas de
informacin.
Establecer una descripcin detallada de la accin implantada y la opinin
del auditor al respecto, as como los comentarios del auditado y sus
respectivas conclusiones con respecto a la accin implantada.
4.4.8
Informe de seguimiento de la auditora
Al finalizar el seguimiento se elabora el informe con la informacin definida

en la planificacin del seguimiento.
Observaciones
corregidas,
pendientes
de
implementar
no
implementadas.
Porcentajes total de observaciones implementadas.
Conclusin del proceso de seguimiento.
80
CAPTULO V
CONCLUSIONES
Las
auditoras
realizadas
las
utilizando
tecnologas
la
de
metodologa
informacin
expuesta
en
comunicaciones
este
trabajo
de
investigacin permiten al auditor y su equipo utilizar un criterio uniforme

para seleccionar los objetivos de control y herramientas de auditora que
los conducir a la obtencin de un informe fundamentado en estndares
conocidos a nivel internacional.
Por otro lado, la incorporacin del estndar COBIT y la norma tcnica
ISO/IEC 27002 es una fortaleza que ayuda a los auditores a orientarse de
mejor forma respecto a los requisitos del negocio que tienen relacin con
el uso de la tecnologa. Cada da surgen nuevas tendencias y productos
que aparentemente ayudan a cumplir de forma ms eficiente y eficaz los
objetivos planteados por la organizacin pero que, por otro lado,
aumentan la complejidad con la cual deben lidiar los directores y
ejecutivos a cargo de la administracin.
El nivel de complejidad con el cual deben convivir las organizaciones ha
aumentado en los ltimos aos a raz de la explosiva masificacin del uso
de sistemas de informacin que soportan la mayora los procesos del
negocio. La adopcin de nuevas tecnologas al interior de una organizacin
impacta directamente en la manera de hacer las cosas, siendo comn
encontrar una gran cantidad de proyectos que fracasan debido a la
resistencia al cambio que manifiestan los empleados y usuarios en la
organizacin.
Ahora bien, si esta problemtica fuese abordada por auditores que
conocen y entienden los problemas y desafos que conlleva el uso de
tecnologas de informacin, la realidad actual que viven los servicios
pblicos podra mejorar de manera positiva.
81
BIBLIOGRAFA
Gmez Viertes, lvaro. Sistemas de Informacin, Herramientas Prcticas

para la Gestin Empresarial. Editora RAMA. Madrid. Espaa. 196 pp.
Information System Auditor and Control Association, COBIT Marco
Referencial, COBIT Objetivos de Control y COBIT Guas de Auditora.
Atlanta, USA. 512 pp.
IT Governance Institute. Control Practice. Atlanta. USA. 698 pp.
Warren Gorham & Lamont. Practical IT Auditing. RIA. New York. USA.
870 pp.
Weber, Ron. Information System Control and Audit. Pearson Education
Inc. New York. USA. 543 pp.
82

1 Erlugar

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

1 Erlugar

Cargado por

Copyright:

Formatos disponibles

1

XIV CONCURSO ANUAL DE

ENFOQUE METODOLGICO DE AUDITORA A LAS

CONTRALORA GENERAL DE LA REBLICA DE CHILE

DEFINICIN DEL PROBLEMA

ANTECEDENTES DEL PROBLEMA

ANTECEDENTES GENERALES DEL ORGANISMO CONTRALOR

1.3.1 OBJETIVO GENERAL

1.3.2 OBJETIVO ESPECFICO

DISEO METODOLGICO DE LA INVESTIGACIN

AUDITORA A LAS TECONOLOGAS DE LA INFORMACIN

3.1.1 Clasificacin de las auditoras

LOS SISTEMAS DE INFORMACIN

3.2.1 Caractersticas de los sistemas de informacin

3.2.2 Estructura de los sistemas de informacin

3.2.3 Procesos de los sistemas de informacin

3.2.4 Clasificacin de los sistemas de informacin

3.4.1 Definicin y objetivos

4.1.1 Sntesis de actividades y productos entregables por etapas

FASE I. PLANIFICACIN DE LA AUDITORA

4.2.1 Programa de auditora preliminar

4.2.2 Programa de trabajo para el desarrollo de la auditora

4.2.3 Asignacin de recursos y estimacin del tiempo requerido

4.2.4 Comprensin de los procesos de negocios y sistemas de

4.2.5 Levantamiento de la informacin bsica y detallada

4.2.6 Estructura y organizacin de los archivos de trabajo

4.2.7 Ficha tcnica de los sistemas de informacin

4.2.8 Definicin del alcance de la auditora

4.2.9 Programa de trabajo para el desarrollo de la auditora

4.2.10 Estimacin del tiempo requerido por etapa y auditor

FASE II. EJECUCIN DE LA AUDITORA

4.3.1 Evaluacin del sistema de control interno

4.3.2 Levantamiento de controles

4.3.3 Criterios para evaluar la proteccin que ofrecen los controles

4.3.4 Evaluar la satisfaccin de los objetivos de control

4.3.5 Observaciones de auditora

Definicin y diseo de las pruebas de auditora

4.3.7 Identificacin de Controles claves que sern verificados

4.3.8 Agrupamiento de controles por tcnica de comprobacin

4.3.9 Definicin y diseo de las pruebas de cumplimiento

4.3.10 Definicin y diseo de las pruebas sustantivas

4.3.11 Ejecucin de las pruebas de auditora

4.3.12 Tcnicas y herramientas de auditora

4.3.13 Anlisis del resultado de las pruebas de auditora

4.3.14 Anlisis del resultado de las pruebas de cumplimiento

4.3.15 Anlisis del resultado de las pruebas sustantivas

FASE III. COMUNICACIN DE LOS RESULTADOS

4.4.1 Elaboracin de los informes con los resultados de la auditora

4.4.2 Estructura y contenido de los informes

4.4.3 Aseguramiento de la calidad de los informes de auditora

4.4.4 Organizar y cerrar la carpeta con archivos de trabajo

4.4.5 Seguimiento a las observaciones de la auditora

4.4.6 Planificar el seguimiento a las observaciones de la auditora

4.4.7 Ejecutar el seguimiento a las observaciones de la auditora

4.4.8 Informe de seguimiento de la auditora

ANTECEDENTES DEL PROBLEMA

En el marco del plan de modernizacin de la Contralora General de la

1.2 ANTECEDENTES GENERALES DEL ORGANISMO CONTRALOR

estandarizada para abordar de manera integral los distintos tipos de

El objetivo general es ayudar a mejorar la calidad de las auditoras a las

1.3.2 Objetivo especfico

Desarrollar auditoras de manera estructurada y uniforme.

Entregar normas y procedimientos actualizados para examinar los