PROCEDIMIENTOS Y TECNICAS DE AUDITORIA DE SISTEMAS

Se requieren varios pasos para realizar una auditoría. El auditor de sistemas debe evaluar los
riesgos globales y luego desarrollar un programa de auditoría que consta de objetivos de control y
procedimientos de auditoría que deben satisfacer esos objetivos. El proceso de auditoría exige que
el auditor de sistemas reúna evidencia, evalúe fortalezas y debilidades de los controles existentes
basado en la evidencia recopilada, y que prepare un informe de auditoría que presente esos temas
en forma objetiva a la gerencia. Asimismo, la gerencia de auditoría debe garantizar una
disponibilidad y asignación adecuada de recursos para realizar el trabajo de auditoría además de
las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia.

Planificación de la auditoría

Una planificación adecuada es el primer paso necesario para realizar auditorías de sistema
eficaces. El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de
realizar la auditoría así como los riesgos del negocio y control asociado. A continuación se
menciona algunas de las áreas que deben ser cubiertas durante la planificación de la auditoría:

Comprensión del negocio y de su ambiente. Al planificar una auditoría, el auditor de sistemas debe
tener una comprensión de suficiente del ambiente total que se revisa. Debe incluir una
comprensión general de las diversas prácticas comerciales y funciones relacionadas con el tema de
la auditoría, así como los tipos de sistemas que se utilizan. El auditor de sistemas también debe
comprender el ambiente normativo en el que opera el negocio. Por ejemplo, a un banco se le
exigirá requisitos de integridad de sistemas de información y de control que no están presentes en
una empresa manufacturera. Los pasos que puede llevar a cabo un auditor de sistemas para
obtener una comprensión del negocio son: Recorrer las instalaciones del ente. Lectura de material
sobre antecedentes que incluyan publicaciones sobre esa industria, memorias e informes
financieros. Entrevistas a gerentes claves para comprender los temas comerciales esenciales.
Estudio de los informes sobre normas o reglamentos. Revisión de planes estratégicos a largo plazo.
Revisión de informes de auditorías anteriores.

Riesgo y materialidad de auditoría.

Se puede definir los riesgos de auditoría como aquellos riesgos de que la información pueda tener
errores materiales o que el auditor de sistemas no pueda detectar un error que ha ocurrido. Los
riesgos en auditoría pueden clasificarse de la siguiente manera: Riesgo inherente: Cuando un error
material no se puede evitar que suceda por que no existen controles compensatorios relacionados
que se puedan establecer. Riesgo de Control: Cuando un error material no puede ser evitado o
detectado en forma oportuna por el sistema de control interno. Riesgo de detección: Es el riesgo
de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. El auditor
puede llegar a la conclusión de que no existen errores materiales cuando en realidad los hay. La
palabra "material" utilizada con cada uno de estos componentes o riesgos, se refiere a un error
que debe considerarse significativo cuando se lleva a cabo una auditoría. En una auditoría de
sistemas de información, la definición de riesgos materiales depende del tamaño o importancia
del ente auditado así como de otros factores. El auditor de sistemas debe tener una cabal
comprensión de estos riesgos de auditoría al planificar. Una auditoría tal vez no detecte cada uno
de los potenciales errores en un universo. Pero, si el tamaño de la muestra es lo suficientemente
grande, o se utiliza procedimientos estadísticos adecuados se llega a minimizar la probabilidad del
riesgo de detección. De manera similar al evaluar los controles internos, el auditor de sistemas
debe percibir que en un sistema dado se puede detectar un error mínimo, pero ese error
combinado con otros, puede convertiré en un error material para todo el sistema. La materialidad
en la auditoría de sistemas debe ser considerada en términos del impacto potencial total para el
ente en lugar de alguna medida basado en lo monetario.

Técnicas de evaluación de Riesgos.

Al determinar qué áreas funcionales o temas de auditoría que deben auditarse, el auditor de
sistemas puede enfrentarse ante una gran variedad de temas candidatos a la auditoría, el auditor
de sistemas debe evaluar esos riesgos y determinar cuáles de esas áreas de alto riesgo debe ser
auditada. Existen cuatro motivos por los que se utiliza la evaluación de riesgos, estos son: Permitir
que la gerencia asigne recursos necesarios para la auditoría.

Garantizar que se ha obtenido la información pertinente de todos los niveles gerenciales, y

garantiza que las actividades de la función de auditoría se dirigen correctamente a las áreas de alto
riesgo y constituyen un valor agregado para la gerencia.

Constituir la base para la organización de la auditoría a fin de administrar eficazmente el

departamento.

Proveer un resumen que describa como el tema individual de auditoría se relaciona con la
organización global de la empresa así como los planes del negocio.

Objetivos de controles y objetivos de auditoría.

El objetivo de un control es anular un riesgo siguiendo alguna metodología, el objetivo de

auditoría es verificar la existencia de estos controles y que estén funcionando de manera eficaz,
respetando las políticas de la empresa y los objetivos de la empresa. Así pues tenemos por
ejemplo como objetivos de auditoría de sistemas los siguientes: La información de los sistemas de
información deberá estar resguardada de acceso incorrecto y se debe mantener actualizada. Cada
una de las transacciones que ocurren en los sistemas es autorizada y es ingresada una sola vez. Los
cambios a los programas deben ser debidamente aprobados y probados. Los objetivos de
auditoría se consiguen mediante los procedimientos de auditoría.
Procedimientos de auditoría.

Algunos ejemplos de procedimientos de auditoría son: Revisión de la documentación de sistemas

e identificación de los controles existentes. Entrevistas con los especialistas técnicos a fin de
conocer las técnicas y controles aplicados. Utilización de software de manejo de base de datos
para examinar el contenido de los archivos de datos. Técnicas de diagramas de flujo para
documentar aplicaciones automatizadas.

Desarrollo del programa de auditoría.

Un programa de auditoría es un conjunto documentado de procedimientos diseñados para

alcanzar los objetivos de auditoría planificados. El esquema típico de un programa de auditoría
incluye lo siguiente:

a. Tema de auditoría: Donde se identifica el área a ser auditada.

b. Objetivos de Auditoría: Donde se indica el propósito del trabajo de auditoría a realizar.
c. Alcances de auditoría: Aquí se identifica los sistemas específicos o unidades de
organización que se han de incluir en la revisión en un período de tiempo
determinado.
d. Planificación previa: Donde se identifica los recursos y destrezas que se necesitan para
realizar el trabajo así como las fuentes de información para pruebas o revisión y
lugares físicos o instalaciones donde se va auditar.
e. Procedimientos de auditoría: para:

• Recopilación de datos.

• Identificación de lista de personas a entrevistar.

• Identificación y selección del enfoque del trabajo

• Identificación y obtención de políticas, normas y directivas.

• Desarrollo de herramientas y metodología para probar y verificar los controles

existentes.

• Procedimientos para evaluar los resultados de las pruebas y revisiones.

• Procedimientos de comunicación con la gerencia.

• Procedimientos de seguimiento.
El programa de auditoría se convierte también en una guía para documentar los diversos pasos de
auditoría y para señalar la ubicación del material de evidencia. Generalmente tiene la siguiente
estructura:

Los procedimientos involucran pruebas de cumplimiento o pruebas sustantivas, las de

cumplimiento se hacen para verificar que los controles funcionan de acuerdo a las políticas y
procedimientos establecidos y las pruebas sustantivas verifican si los controles establecidos por las
políticas o procedimientos son eficaces.

Asignación de Recursos de auditoría.

La asignación de recursos para el trabajo de auditoría debe considerar las técnicas de

administración de proyectos las cuales tienen los siguientes pasos básicos:

Desarrollar un plan detallado: El plan debe precisar los pasos a seguir para cada tarea y estimar de
manera realista, el tiempo teniendo en cuenta el personal disponible.

Contrastar la actividad actual con la actividad planificada en el proyecto: debe existir algún
mecanismo que permita comparar el progreso real con lo planificado. Generalmente se utilizan las
hojas de control de tiempo.

Ajustar el plan y tomar las acciones correctivas: si al comparar el avance con lo proyectado se
determina avances o retrasos, se debe reasignar tareas. El control se puede llevar en un diagrama
de Gantt.

Así mismo las hojas de control de tiempo son generalmente como sigue:

Los recursos deben comprender también las habilidades con las que cuenta el grupo de trabajo de
auditoría y el entrenamiento y experiencia que estos tengan. Tener en cuenta la disponibilidad del
personal para la realización del trabajo de auditoría, como los períodos de vacaciones que estos
tengan, otros trabajos que estén realizando, etc.

Técnicas de recopilación de evidencias.

La recopilación de material de evidencia es un paso clave en el proceso de la auditoría, el auditor

de sistemas debe tener conocimiento de cómo puede recopilar la evidencia examinada. Algunas
formas son las siguientes:

Revisión de las estructuras organizacionales de sistemas de información.

Revisión de documentos que inician el desarrollo del sistema, especificaciones de diseño
funcional, historia de cambios a programas, manuales de usuario, especificaciones de bases de
datos, arquitectura de archivos de datos, listados de programas, etc.; estos no necesariamente se
encontrarán en documentos, si no en medios magnéticos para lo cual el auditor deberá conocer
las formas de recopilarlos mediante el uso del computador.

Entrevistas con el personal apropiado, las cuales deben tener una naturaleza de descubrimiento
no de acusatoria.

Observación de operaciones y actuación de empleados, esta es una técnica importante para varios
tipos de revisiones, para esto se debe documentar con el suficiente grado de detalle como para
presentarlo como evidencia de auditoría.

Auto documentación, es decir el auditor puede preparar narrativas en base a su observación,

flujogramas, cuestionarios de entrevistas realizados. Aplicación de técnicas de muestreo para
saber cuándo aplicar un tipo adecuado de pruebas (de cumplimiento o sustantivas) por muestras.

Utilización de técnicas de auditoría asistida por computador CAAT, consiste en el uso de software
genérico, especializado o utilitario.

Evaluación de fortalezas y debilidades de auditoría.

Luego de desarrollar el programa de auditoría y recopilar evidencia de auditoría, el siguiente paso

es evaluar la información recopilada con la finalidad de desarrollar una opinión. Para esto
generalmente se utiliza una matriz de control con la que se evaluará el nivel de los controles
identificados, esta matriz tiene sobre el eje vertical los tipos de errores que pueden presentarse en
el área y un eje horizontal los controles conocidos para detectar o corregir los errores, luego se
establece un puntaje (puede ser de 1 a 10 ó 0 a 20, la idea es que cuantifique calidad) para cada
correspondencia, una vez completada, la matriz muestra las áreas en que los controles no existen
o son débiles, obviamente el auditor debe tener el suficiente criterio para juzgar cuando no lo hay
si es necesario el control.

En esta parte de evaluación de debilidades y fortalezas también se debe elegir o determinar la

materialidad de las observaciones o hallazgos de auditoría. El auditor de sistemas debe juzgar
cuales observaciones son materiales a diversos niveles de la gerencia y se debe informar de
acuerdo a ello.

Seguimiento de las observaciones de auditoría.

El trabajo de auditoría es un proceso continuo, se debe entender que no serviría de nada el

trabajo de auditoría si no se comprueba que las acciones correctivas tomadas por la gerencia, se
están realizando, para esto se debe tener un programa de seguimiento, la oportunidad de
seguimiento dependerá del carácter crítico de las observaciones de auditoría. El nivel de revisión
de seguimiento del auditor de sistemas dependerá de diversos factores, en algunos casos el
auditor de sistemas tal vez solo necesite inquirir sobre la situación actual, en otros casos tendrá
que hacer una revisión más técnica del sistema.

ELEMENTOS BÁSICOS DEL INFORME DE AUDITORÍA

La materialización final del trabajo llevado a cabo por los auditores independientes se documenta
en el dictamen, informe u opinión de auditoría. Además, para aquellas entidades sometidas a
auditoría legal, este documento junto con las cuentas anuales del ejercicio forma una unidad,
siendo obligatorio para proceder al depósito de cuentas anuales en el Registro Mercantil que se
incluya el informe emitido por los auditores de la sociedad, conjuntamente con las cuentas
firmadas por todos los administradores (o la indicación expresa de no suscripción de las cuentas) y
aprobadas por la Junta General de accionistas de la sociedad; para dar más credibilidad a todo el
procedimiento, se exige depositar también una certificación del acta de la Junta General que
aprobó las cuentas, con las firmas de quien la expide legitimadas notarialmente.

El informe de auditoría independiente deberá contener, como mínimo, los siguientes elementos
básicos:

1. El título o identificación.

2. A quién se dirige y quienes lo encargaron.

3. El párrafo de “alcance”.

4. El párrafo legal o comparativo.

5. *El párrafo o párrafos de “énfasis”.

6. *El párrafo o párrafos de “salvedades”.

7. El párrafo de “opinión”.

8. *El párrafo sobre el “Informe de Gestión”.

9. El nombre, dirección y datos registrales del auditor.

10. La fecha del informe.

11. La firma del informe por el auditor.

Los informes de auditoría son el producto final del trabajo del auditor de sistemas, este informe es
utilizado para indicar las observaciones y recomendaciones a la gerencia, aquí también se expone
la opinión sobre lo adecuado o lo inadecuado de los controles o procedimientos revisados durante
la auditoría, no existe un formato específico para exponer un informe de auditoría de sistemas de
información, pero generalmente tiene la siguiente estructura o contenido:

Introducción al informe, donde se expresara los objetivos de la auditoría, el período o alcance

cubierto por la misma, y una expresión general sobre la naturaleza o extensión de los
procedimientos de auditoría realizados.

Observaciones detalladas y recomendaciones de auditoría.

Respuestas de la gerencia a las observaciones con respecto a las acciones correctivas.

Conclusión global del auditor expresando una opinión sobre los controles y procedimientos
revisados.

La auditoria de los sistemas de informática es de mucha importancia ya que para el buen

desempeño de los sistemas de información, ya que proporciona los controles necesarios para que
los sistemas sean confiables y con un buen nivel de seguridad.

El título o identificación

Deberá identificarse el informe bajo el título de “Informe de Auditoría Independiente de Cuentas

Anuales”, para que cualquier lector del mismo pueda distinguirlo de otros informes que puede
emitir el auditor resultado de trabajos especiales, revisiones limitadas o informes preparados por
personas distintas de los auditores, como pueden ser los informes de la Dirección o de otros
órganos internos de la entidad. Por tanto, dicho título sólo se aplicará por el auditor a informes
basados en exámenes cuya finalidad sea la de expresar una opinión sobre los estados financieros
en su conjunto.

A quién se dirige y quienes lo encargaron

El auditor dirigirá su informe a la persona o al órgano de la entidad del que recibió el encargo de la
auditoría. Normalmente, el informe del auditor se dirigirá a los accionistas o socios. En este caso,
cuando el encargo del trabajo ha sido realizado por la Junta General de accionistas y el informe va
dirigido a ésta (a los accionistas), puede omitirse la especificación referente a que el encargo lo
realizó dicha Junta General. En algunas ocasiones el informe se dirige a los administradores o al
comité de auditoría, aunque esto sucederá, normalmente, si se trata de una auditoría voluntaria.

Normas de Auditoría Generalmente Aceptadas

Si la empresa sometió a auditoría, de forma voluntaria, las cuentas anuales del ejercicio anterior,
las indicaciones a dicho informe de auditoría voluntaria pueden ser omitidas.
En este último caso, el auditor deberá requerir de la entidad que identifique como “no sometidas a
auditoría obligatoria” las cifras relativas al ejercicio anterior incluidas en las cuentas anuales a
efectos comparativos.

Cuando la sociedad no haya sometido a auditoría las cuentas anuales del ejercicio precedente y no
hubiera estado obligado a ello, identificará las cifras comparativas como no auditadas. No
obstante, cuando la sociedad hubiera incumplido la obligación de someterse a auditoría en el
ejercicio anterior, este hecho deberá ser mencionado en el informe de auditoría.

El párrafo de énfasis

Mediante los párrafos de énfasis, el auditor pone de manifiesto aquellos hechos que considera
relevantes o de especial importancia, aunque tales hechos no llegan a afectar a la opinión.

Por tanto, cuando en un informe de auditoría aparece un párrafo de énfasis, el auditor pretende
con ello destacar al lector ese hecho en concreto, el cual considera de especial trascendencia para
la sociedad, si bien ello no significa que la opinión de auditoría deba recoger salvedad alguna.
Nunca debe confundirse, por tanto, un párrafo de énfasis con uno de salvedad.

Un párrafo de énfasis nunca estará referenciado en el informe de auditoría por la expresión

“excepto por” ya que expresa un hecho o circunstancia que no afecta a la opinión de auditoría en
modo alguno.

UN INFORME DE AUDITORÍA NO SUELE VALER PARA NADA CUANDO...

1. El autor o autores desconocen el negocio. No se puede opinar de lo que no se conoce.

Este punto no admite mucha más discusión.
2. El autor o autores no elaboran, cuando es procedente, un mapa de procesos que
englobe el universo qué se está auditando, cuál es el alcance y cuál es el objetivo. Otro
síntoma más de que no se conoce un ápice el negocio analizado.
3. El autor o autores no han presentado, con carácter previo a la auditoría, un plan sobre
qué se va a hacer, cómo y qué recursos harán falta para completar los trabajos. Las
auditorías hay que planificarlas, y si no se planifican, sólo puede ser síntoma de
desorden y de hacer las cosas al vuelo y sin pensarlas.
4. El autor o autores no orientan su trabajo a riesgos. Dedicar el trabajo de auditoría a
descubrir debilidades sin pararse a pensar cuál es el riesgo que comportan es síntoma
de desconocer lo que se tiene entre manos. El resultado es un informe muy útil para el
técnico de sistemas, pero inútil para los gestores.
5. El autor o autores sólo hablan de aspectos técnicos. Las debilidades son muchas veces
de índole técnica, pero las hay también procedimentales. Un informe donde todos los
aspectos de mejora son técnicos es síntoma de que el autor o autores no conocen el
 negocio, y es síntoma de que quien ha realizado el informe no se ha tomado la
molestia de entender que los sistemas son una parte del negocio y no su alma mater.
6. El autor o autores centran su trabajo exclusivamente en la plataforma. Un parche sin
poner en un sistema puede ser relevante, pero es mucho más relevante en muchas
ocasiones analizar qué cosas se pueden hacer en un sistema sin recurrir a explotar
vulnerabilidades técnicas. Por ejemplo, es mucho más crítico que un usuario de diseño
pueda consultar datos reales de producción por no ir enmascardos que el sistema esté
expuesto a un DoS por no tener un parche puesto.
7. El autor o autores abusan del lenguage técnico. Un informe de auditoría hay que
dirigirlo a los gestores del área implicada y preferiblemente, a los responsables del
negocio, ya que ellos son los que deben encarrilar acciones para remediar las
debilidades halladas. Un informe con mucho lenguage técnico no es comprensible por
los gestores de un negocio, y por lo tanto, es inútil.
8. Opinión de auditoría inconsistente o inexistente. Un informe que no condense en dos
o tres páginas un resumen de los riesgos relevantes y lo que significa la exposición a
los mismos para el negocio no aporta valor alguno.
9. El autor o autores dedican gran parte del informe a riesgos irrelevantes. Es obvio, un
informe en el que el 90% de las páginas está repleto de debilidades poco significativas,
no vale absolutamente de nada. Sólo interesan los riesgos relevantes. El resto es paja
para vender el informe. Un razonamiento análogo se puede aplicar a espectaculares
Power Point de cientos de diapositivas, donde sólo unas pocas son relevantes.
10. El autor o autores no expresan de una manera concisa, y para cada debilidad, un título
descriptivo y comprensible, un resumen de la problemática, un pequeño detalle de los
hallazgos, la traducción en términos de riesgo y cuáles son las acciones recomendadas
para subsanar los problemas.
11. El autor o autores no dialogan con los responsables para consensuar responsables y
fechas de resolución. Un informe tiene que servir para medir si las cosas se resuelven
o no, por lo que un informe que no tiene fechas ni responsables concretos de
resolución, pactados con el negocio, no sólo es síntoma de que el autor no comprende
lo que es la gestión de riesgos, sino que es absolutamente inútil para los dueños del
negocio.
12. El autor o autores no han entrevistado a los responsables de las áreas analizadas. Un
informe de auditoría verdadero requiere saber de mano de los que conocen los
sistemas y los procesos cuáles son las fuentes de riesgo y cuáles son los elementos
críticos a analizar. Si no se han producido esas entrevistas, a duras penas ese informe
reflejará las necesidades de quien lo patrocina.
13. El autor o autores no discuten las debilidades de manera previa a la emisión del
informe. No hay peor cualidad que ir sobrado por la vida, y emitir informes que no se
han discutido con los auditados. Además de representar una mala praxis profesional,
esto sólo conduce a emitir recomendaciones que, como no se han consensuado, en su
gran mayoría serán difíciles de aplicar o imposibles de implantar. Además, en caso de
 haber cometido algún error, este pasará al informe y por tanto, dejaremos una imagen
profesional lamentable.
14. El autor o autores no presentan a la dirección del área implicada los hallazgos. Los
resultados hay que explicarlos, y hay que explicarlos en persona. No hay razones para
no hacerlo, salvo que las distancias sean extremas y por tanto, haya que incurrir en
costes elevados. Esconderse en un agujero a la hora de presentar resultados no es el
camino.
15. El autor o autores no establecen un canal para apoyar al área auditada tras emitir el
informe. Si después no hay soporte, apaga y vámonos. Cuanto más cerca del cliente,
mejor. Teléfono y correo son lo mínimo exigido, caminar junto al cliente
presencialmente es recomendable.
16. El autor o autores no hacen un seguimiento de las recomendaciones. ¿De qué vale
emitir un informe si luego no nos preocupamos de si las cosas se han resuelto o no?

USO DEL COBIT EN EL DISEÑO DE UN INFORME DE AUDITORÍA DE SISTEMAS

COBIT (Objetivos de Control para Tecnología de Información y Tecnologías relacionadas)

COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que
trabajan los profesionales de TI. Vinculando tecnología informática y prácticas de control, COBIT
consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la
gerencia, los profesionales de control y los auditores.

COBIT se aplica a los sistemas de información de toda la empresa, incluyendo las computadoras
personales, mini computadoras y ambientes distribuidos. Está basado en la filosofía de que los
recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados
para proveer la información pertinente y confiable que requiere una organización para lograr sus
objetivos. Misión: Investigar, desarrollar, publicar y promover un conjunto internacional y
actualizado de objetivos de control para tecnología de información que sea de uso cotidiano para
gerentes y auditores

Usuarios:

La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las
mismas, analizar el costo beneficio del control.

Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los
productos que adquieren interna y externamente.

Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto
en la organización y determinar el control mínimo requerido.

Los Responsables de TI: para identificar los controles que requieren en sus áreas.
También puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio
en su responsabilidad de controlar los aspectos de información del proceso, y por todos aquellos
con responsabilidades en el campo de la TI en las empresas.

Características

• Orientado al negocio

• Alineado con estándares y regulaciones "de facto"

• Basado en una revisión crítica y analítica de las tareas y actividades en TI

• Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)

Principios: El enfoque del control en TI se lleva a cabo visualizando la información necesaria para
dar soporte a los procesos de negocio y considerando a la información como el resultado de la
aplicación combinada de recursos relacionados con las TI que deben ser administrados por
procesos de TI.

Requerimientos de la información del negocio

Para alcanzar los requerimientos de negocio, la información necesita satisfacer ciertos criterios:

Requerimientos de Calidad: Calidad, Costo y Entrega.

Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes

financieros y Cumplimiento le leyes y regulaciones.

Efectividad: La información debe ser relevante y pertinente para los procesos del negocio y debe
ser proporcionada en forma oportuna, correcta, consistente y utilizable.

Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la forma más
productiva y económica).

Confiabilidad: proveer la información apropiada para que la administración tome las decisiones
adecuadas para manejar la empresa y cumplir con sus responsabilidades.

Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales está
comprometida la empresa.

Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad

Confidencialidad: Protección de la información sensible contra divulgación no autorizada

Integridad: Refiere a lo exacto y completo de la información así como a su validez de acuerdo con
las expectativas de la empresa.
Disponibilidad: accesibilidad a la información cuando sea requerida por los procesos del negocio y
la salvaguarda de los recursos y capacidades asociadas a la misma.

Recursos de TI

En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de
negocio:

Datos: Todos los objetos de información. Considera información interna y externa, estructurada o
no, gráficas, sonidos, etc.

Aplicaciones: entendido como los sistemas de información, que integran procedimientos manuales
y sistematizados.

Tecnología: incluye hardware y software básico, sistemas operativos, sistemas de administración

de bases de datos, de redes, telecomunicaciones, multimedia, etc.

Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de
información.

Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir,
prestar servicios, dar soporte y monitorear los sistemas de Información.

Procesos de TI

La estructura de COBIT se define a partir de una premisa simple y pragmática: "Los recursos de las
Tecnologías de la Información (TI) se han de gestionar mediante un conjunto de procesos
agrupados de forma natural para que proporcionen la información que la empresa necesita para
alcanzar sus objetivos".

COBIT se divide en tres niveles:

• Dominios

• Procesos

• Actividades

Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o una

responsabilidad organizacional.Procesos: Conjuntos o series de actividades unidas con
delimitación o cortes de control.

Actividades: Acciones requeridas para lograr un resultado medible.

Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI. Estos
procesos están agrupados en cuatro grandes dominios que se detallan a continuación junto con
sus procesos y una descripción general de las actividades de cada uno:
Acta Testimonial y su Contenido

¿Qué es y para qué sirve?

Un Acta Testimonial (AT) es un documento en formato papel y electrónico (PDF) en el que un

tercero, la Asociación de Usuarios de Internet, hace constar el contenido de una página de
Internet en una fecha y hora determinada.

Los usuarios pueden utilizarla como procedimiento previo a una demanda, queja o reclamación
relacionada con el contenido a testimoniar y los prestadores de servicios como garantía sobre las
condiciones ofrecidas a través de Internet (condiciones de venta, contratos,…).

¿Qué incluye el servicio Acta Testimonial (AT)?

AT en Papel

Recoge los datos de la persona de la Asociación que da testimonio, la fecha y hora en la que se
hace la consulta, el contenido de la página de Internet (hasta un máximo de 10 folios), una captura
gráfica de la primera pantalla de la página en cuestión y un anexo con los datos que figuran en el
registro WHOIS del dominio en el que esta alojado este contenido.

Todas las hojas del AT en papel van selladas y firmadas manualmente por la persona de la
Asociación que realiza el testimonio (se realizan dos copias una para el solicitante y otra para su
archivo en la Asociación).

AT electrónica Se genera un PDF firmado electrónicamente que incluye los siguientes elementos:
Acta Impresa, una captura completa de la página web y datos del registro de WHOIS.

Envío del AT al solicitante

Una de las copias del Acta Testimonial en papel se envían por correo postal o bien pueden
recogerse en las oficinas de la Asociación C/ Navaleno 32, 28033 de Madriden horario de
mañanas.

El solicitante tambien recibirá un correo electrónico con el acta en formado pdf firmada
electrónicamente.

Archivo en la Asociación

De todas las actas emitidas se conservan copias en papel durante un año. Este servicio no incluye
la personación de la Asociación ni la de la persona que la suscribe en los procedimientos y
procesos donde sea utilizada (de ser necesario sería objeto de una valoración para cada caso).

Tipos de Actas testimoniales en la Auditoria de Sistemas.

Actas por incumplimiento de Actividades.

Debido a que puede ser producto de alguna incidencia disciplinaria, es preferible levantar esta
acta testimonial por incumplimiento, ya que puede llegar a consecuencias que repercutan en la
operación normal de la empresa y en sus activos; por eso es recomendable asentar el hecho lo
más claramente posible con lujos y detalles.

Además el levantamiento de esta acta se puede deslindar responsabilidades y, en su caso, fincarlas

hacia alguien especial.

Actas de Liberación de Sistemas.

En la operación cotidiana de sistema computacionales, la entrega y liberación de un sistema se

realiza mediante algún documento de carácter oficial, mismo que se elaboraran con la
participación del representante del área de sistemas que lo entrega y el representante del área
que lo recibe, sim embargo, lo más aconsejable es que esta entrega y liberación del sistema se
haga por medio de algún acta testimonial, con todos los requisitos indicados anteriormente, a fin
de que sea mas formal.

Actas por faltantes activos.

Cuando se sospecha o se sabe de algún faltante en los activos de la empresa, es indispensable

levantar un acta testimonial, con el propósito de testificar la desaparición del bien, deslindar y
fincar responsabilidades y dejar la constancia del hecho para que sea investigado posteriormente.

Actas por existencia de software pirata en la empresa.

Cuando el auditor encuentra o sospecha de la existencia de software no autorizado o del cual,

aparentemente, hacen falta las licencias correspondientes, es su deber levantar muy por debajo
de lo normal, apenas lo suficiente para efectuar lo encomendado, ya sean funciones,
otorgamientos del servicio o cualquier otro aspecto.

REFERENCIAS

Bibliográficas

• ECHERNIQUE, José Antonio (2004). Auditoría en Informática. Editorial Mc Graw

Hill. Mexico D.F
• MUÑOZ RAZO, . (2002). Auditoría en sistemas computacionales. Editorial Pearson.

Electrónicas

• http://www.geocities.com/lsialer/NotasInteresantes1.htm
• http://www.sahw.com/wp/archivos/2007/10/12/informes-de-auditoria-cuando-
la-orientacion-al-negocio-y-al-cliente-lo-significan-absolutamente-todo/