GE3070 Seguridad y Auditoría en Las TIC - 2008 - Informática

UNIVERSIDAD ESTATAL A DISTANCIA
ESCUELA DE CIENCIAS EXACTAS Y NATURALES

PROGRAMA INFORMTICA ADMINISTRATIVA
GUA DE ESTUDIO DEL CURSO
Seguridad y Auditora en las TICS

CDIGO 3070
Frank A. Mendoza Hernndez
2008
Produccin acadmica:
Fiorella Monge Lezcano
Encargada de ctedra y
especialista de contenidos:
Karol Castro Chaves
Revisin filolgica:
Fiorella Monge Lezcano
TABLA DE CONTENIDO
PRESENTACIN
DESCRIPCIN DEL CURSO

OBJETIVO GENERAL
OBJETIVOS ESPECFICOS
REQUISITOS DEL CURSO
MATERIAL DE APOYO
DESGLOSE DE CAPTULOS
GUA DE LECTURAS
COMENTARIOS GENERALES
6
6
6
6
6
7
8
8
CAPTULO 1: CONCEPTOS GENERALES

SUMARIO
PROPSITO DEL CAPTULO
OBJETIVOS DE APRENDIZAJE
GUA DE LECTURAS
PREGUNTAS PARA AUTOEVALUACIN
9
9
9
10
11
11
16
CAPTULO 3: NORMAS TICO-MORALES QUE REGULAN

LA ACTUACIN DEL AUDITOR
SUMARIO
GUA DE LECTURAS
17
17
16
18
19
19
24
CAPTULO 5: CONTROL INTERNO INFORMTICO

SUMARIO
GUA DE LECTURAS
25
25
25
26
27
27
42
CAPTULO 6: METODOLOGAS PARA REALIZAR

AUDITORAS DE SISTEMAS
COMPUTACIONALES
SUMARIO
GUA DE LECTURAS
43
43
43
44
45
45
48
CAPTULO 7: PAPELES DE TRABAJO PARA

LA AUDITORA DE SISTEMAS
COMPUTACIONALES
SUMARIO
GUA DE LECTURAS
49
49
49
50
51
51
58
CAPTULO 8: INFORMES DE AUDITORA DE

SISTEMAS COMPUTACIONALES
SUMARIO
GUA DE LECTURAS
59
59
59
60
61
61
68
CAPTULO 9: INSTRUMENTOS DE RECOPILACIN DE

INFORMACIN APLICABLES EN
UNA AUDITORA DE SISTEMAS
COMPUTACIONALES
SUMARIO
GUA DE LECTURAS
69
69
69
70
71
71
76
CAPTULO 10: TNICAS DE EVALUACIN APLICABLES

EN UNA AUDITORIA DE SISTEMAS
COMPUTACIONALES
SUMARIO
GUA DE LECTURAS
77
77
77
78
79
79
85
CAPTULO 11: TCNICAS ESPECIALES DE AUDITORA

DE SISTEMAS COMPUTACIONALES
87
SUMARIO
GUA DE LECTURAS
87
87
88
89
89
97
CAPTULO 12: PROPUESTA DE PUNTOS QUE SE DEBEN

EVALUAR EN UNA AUDITORA DE SISTEMAS
COMPUTACIONALES
SUMARIO
GUA DE LECTURAS
99
99
99
100
101
102
116
REFERENCIAS BIBLIOGRFICAS
RESPUESTAS A LAS PREGUNTAS DE AUTOEVALUACIN
117
119
PRESENTACIN
Esta gua de estudio est diseada con la finalidad de orientarlo a travs del
cuatrimestre. Le indica claramente los temas y los captulos del libro de texto as como
la secuencia.
El objetivo de este curso es proporcionar una introduccin a los fundamentos tericos,
prcticos y especializados que deben aplicarse para realizar con xito una auditora de
sistemas computacionales.
No hay empresa o institucin que no utilice hoy los sistemas computacionales para
introducir datos, procesar esos datos, obtener resultados para la toma de decisiones,
llevar el control de la empresa y almacenar dicha informacin para futuras
operaciones.
Al igual que ha crecido la dependencia de los sistemas computacionales han crecido
tambin los riesgos que pueden daar esa informacin sea de manera accidental, por
catstrofes naturales o por personas que traten simplemente de curiosear la
informacin o de manera deliberada o hurtar esa informacin provocando prdidas
econmicas a la empresa.
De all que sea de suma importancia que la empresa est preparada para este tipo de
ataques tanto internos como externos y se creen los mecanismos necesarios para la
prevencin de cualquier posible dao a los datos.
Las empresas deben tener personal capacitado sea interna o externamente para
ayudar a prevenir cualquier tipo de riesgo.
Esta gua incluye diez captulos que resumen los puntos ms importantes que deben
tomarse en cuenta para prevenir los riesgos. Sin embargo, para fines de evaluacin,
esta gua sustituye al libro de texto. Es responsabilidad del estudiante estudiar a fondo
los diferentes tpicos y aclarar dudas o inquietudes en las tutoras presenciales que
brinda este curso.
Los temas son de gran importancia para la formacin acadmica del estudiante. El
orden en que se presentan estos temas est de acuerdo con su nivel de dificultad. Por
lo tanto, el estudiante debe seguir al detalle esta gua para lograr un buen
entendimiento de la materia.
Los temas de estudio son los siguientes:
Conceptos generales.
Normas tico-morales que regulan la actuacin del auditor.
Control interno informtico.
Metodologa para realizar auditoras de sistemas computacionales.
Papeles de trabajo para la auditora de sistemas computacionales.
Informes de auditora de sistemas computacionales.
Instrumentos de recopilacin de informacin aplicables en una auditora de
Tcnicas de evaluacin aplicables en una auditora de sistemas
computacionales.
Tcnicas especiales de auditora de sistemas computacionales.
Propuesta de puntos que se deben evaluar en una auditora de sistemas
computacionales.
DESCRIPCIN DEL CURSO

OBJETIVO GENERAL
Introducir al estudiante en el ambiente de auditora y seguridad en las Tecnologas de
Informacin y Comunicaciones.
OBJETIVOS ESPECFICOS
Al finalizar este curso, usted deber estar en capacidad de:
9 Demostrar conocimientos bsicos sobre los tipos de auditora y las
normas tico-morales que controlan la actuacin del auditor.
9 Dominar los conocimientos sobre los diferentes controles internos que
se deben aplicar para una mayor seguridad en el rea de informtica.
9 Analizar la metodologa para la realizacin de auditoras de sistemas
computacionales y los papeles de trabajo que se requieren para esta
9 Demostrar conocimientos sobre la elaboracin de informes de Auditora
de Sistemas Computacionales y los diferentes instrumentos necesarios
para la recopilacin de informacin.
9 Dominar los diferentes aspectos que se consideran en las tcnicas de
evaluacin y especiales de una auditora, para una mayor seguridad en
los sistemas computacionales.
9 Dominar los conocimientos sobre las diferentes reas que se deben
evaluar en una Auditora de Sistemas Computacionales para una mayor
seguridad en el rea informtica
REQUISITOS DEL CURSO
Este curso est diseado para una carga acadmica asignada de tres crditos.
Es parte del plan de Bachillerato de la carrera de Informtica Administrativa
(cdigo 30). En l se asume que usted ha aprobado, como mnimo, los cursos
de Telemtica y Redes I (883) y Telemtica y Redes II (3076) o, en su defecto,
que posee conocimientos bsicos de dichas reas. El no tener los
conocimientos previos que le entregan los cursos antes mencionados, le
dificultar enormemente el xito en esta asignatura. Por lo tanto, pinselo antes
de seguir adelante.
MATERIAL DE APOYO
La siguiente lista de materiales didcticos se brinda a los estudiantes el da que
matricula el curso. Su objetivo es proporcionar al estudiante la ayuda necesaria
para comprender los temas de estudio.
Libro de texto: Muoz R., Carlos. (2002). Auditora en Sistemas

Computacionales. Primera edicin. Editorial Pearson Prentice Hall. Mxico.
Pacheco Urbina, Adela Mara. (2008). Material Complementario para el

curso de Seguridad y Auditora en las TIC. EUNED.
Pacheco Urbina, Adela Mara. (2008). Orientacin para el curso Seguridad y

Auditora en las TIC. EUNED.
Esta gua de estudio que usted est leyendo.
Adems, se brinda la siguiente lista de bibliografa de apoyo como material de

consulta:
Marcelo C., Julin. (2002). Riesgo y Seguridad de los Sistemas

Informticos. Editorial Universidad Politcnica de Valencia, Espaa.
Merike, Kaeo. (2002). Diseo de seguridad en redes. Editorial Pearson

Educacin. Mxico.
Piattini, Mario G. y del Peso N., Emilio. (2005). Auditora informtica. Un

enfoque prctico. Segunda edicin ampliada y revisada. Editorial Ra-Ma.
Espaa.
Stallings, William. (2004). Fundamentos de seguridad en redes.

Aplicaciones y Estndares. Segunda edicin. Editorial Pearson Educacin.
Madrid.
DESGLOSE DE CAPTULOS
El curso Seguridad y Auditora en las TICS consta de 10 captulos principales:
Para un adecuado aprovechamiento del curso, se escogi utilizar, como unidad
didctica, el libro de texto autodidctico de Muoz, que motiva al estudiante a
continuar con el aprendizaje de los temas sealados.
En la siguiente tabla se detallan los temas principales, los subtemas
correspondientes, el nmero del captulo del libro y el nmero de pginas del
libro donde podrn localizar cada uno de ellos:
TEMA
Conceptos generales
Normas tico-morales que regulan la actuacin del
auditor
Control Interno Informtico
Metodologa para realizar Auditoras de Sistemas
Computacionales
Papeles de rebajo para la Auditora de Sistemas
Computacionales
Informes de Auditora de Sistemas Computacionales
Instrumentos de recopilacin de informacin en una
Auditoria de Sistemas Computacionales
Tcnicas de Evaluacin aplicables en una Auditoria
de Sistemas Computacionales
Tcnicas especiales de Auditora de Sistemas
Computacionales
Propuesta de puntos que se deben evaluar en una
Auditora de Sistemas Computacionales
Captulo
del libro
1
3
Pginas
5
6
133-178
179-242
243-269
8
9
271-326
327-416
10
417-476
11
477-556
12
557-685
2-31
51-94
GUA DE LECTURAS
En cada tema de esta Gua de estudio, usted, encontrar una seccin llamada
Gua de lecturas. Esta tiene como finalidad indicarle las pginas respectivas
que usted debe leer y estudiar de su libro de texto para cada captulo y
subcaptulo.
Los comentarios generales presentados para cada captulo en esta Gua de
estudio brindan aspectos importantes de este captulo y su ubicacin dentro de
cada captulo del libro de texto. Le servirn para sintetizar los conceptos
transmitidos. De esta manera, usted podr determinar si requiere repasar o
aclarar alguno de los conceptos antes de desarrollar los ejercicios.
Captulo 1
Conceptos generales
Sumario
Conceptos bsicos sobre la auditora.
Clasificacin de los tipos de auditoras.
Objetivos generales de la auditora.
Marco esquemtico de la auditora de
Propsito del captulo

El propsito de este captulo consiste en mostrar al
estudiante el mbito de accin de los diferentes tipos de
auditora incluyendo las que se relacionan con las TICS,
as como la presentacin de conceptos bsicos.
Objetivos de aprendizaje
Al finalizar el estudio de este tema, usted, deber estar en la
capacidad de:
Conocer los antecedentes y los conceptos fundamentales de la

materia de auditora as como la clasificacin y definiciones de los
tipos de auditoras.
Contextualizar los elementos que cimentan la existencia de la

disciplina de auditora, en general, para analizar los aspectos
bsicos de la auditora de sistemas computacionales, que
encontrar a lo largo de este libro.
10
Gua de lecturas
Para lograr los objetivos descritos anteriormente, es importante que usted
realice las siguientes lecturas:
Subtema
1.2 Conceptos bsicos sobre la auditora.
1.3 Clasificacin de los tipos de auditoras.
1.3.1 Clasificacin de la auditora por su lugar de origen.
1.3.2 Clasificacin de auditoras por su rea de aplicacin.
1.3.4 Auditora en sistemas computacionales (Auditora informtica)
1.5 Marco esquemtico de la auditora de sistemas computacionales
Pgina
10
12
13
15
22
30
El desarrollo normal de las actividades comerciales y financieras de las
empresas requiere una constante vigilancia y evaluacin; as mismo, las
empresas necesitan una opinin, preferiblemente independiente, que les ayude
a medir la eficiencia y eficacia en el cumplimiento de sus objetivos.
Por lo general, la evaluacin consiste en una revisin metdica, peridica e
intelectual de los registros, tareas y resultados de la empresa, con lo cual se
busca medir y diagnosticar el comportamiento global en el desarrollo de sus
actividades y operaciones. Eso es auditora.
Conceptos bsicos sobre la auditora
Los campos de aplicacin de la auditora han evolucionado mucho, desde su
uso en los aspectos netamente contables, hasta su uso en reas y disciplinas
de carcter especial, como la ingeniera, la medicina y los sistemas
computacionales.
Evidentemente, junto con ese progreso, tambin se ha registrado el desarrollo
de las tcnicas, mtodos, procedimientos y herramientas de cada uno de estos
tipos de auditoras, as como un enfoque cada vez ms caracterstico y
especializado hacia el uso de tcnicas ms apegadas al rea que se va a
evaluar.
En forma general, la definicin que se propone para la auditora es la siguiente:
Es la revisin independiente de alguna o algunas actividades, funciones
especficas, resultados u operaciones de una entidad administrativa, realizada
por un profesional de la auditora, con el propsito de evaluar su correcta
realizacin y, con base en ese anlisis, poder emitir una opinin autorizada
sobre la razonabilidad de sus resultados y el cumplimiento de sus operaciones.
(Para ahondar ms en este tema, refirase a las pginas de la 10 a la 11 del
libro de texto).
11
Clasificacin de la auditora por su lugar de origen

Auditora externa
Es la revisin independiente que realiza un profesional de la auditora, con total
libertad de criterio y sin ninguna influencia, con el propsito de evaluar el
desempeo de las actividades, operaciones y funciones que se realizan en la
empresa que lo contrata, as como de la razonabilidad en la emisin de sus
resultados financieros.
La relacin de trabajo del auditor es ajena a la institucin donde se aplicar la
auditora y esto le permite emitir un dictamen libre e independiente.
Auditora interna
Es la revisin que realiza un profesional de la auditora, cuya relacin de
trabajo es directa y subordinada a la institucin donde se aplicar con el
propsito de evaluar en forma interna el desempeo y cumplimiento de las
actividades, operaciones y funcionales que se desarrollan en la empresa y sus
reas administrativas, as como evaluar la razonabilidad en la emisin de sus
El objetivo final es contar con un dictamen interno sobre las actividades de toda
la empresa, que permita diagnosticar la actuacin administrativa, operacional y
funcional de empleados y funcionarios de las reas que se auditan.
Clasificacin de auditorias por su rea de aplicacin
Auditoria financiera (contable)
Es la revisin sistemtica, explorativa y crtica que realiza un profesional de la
contabilidad a los libros y documentos contables, a los controles y registros de
las operaciones financieras y a la emisin de los estados financieros de una
empresa, con el fin de evaluar y opinar sobre la razonabilidad, veracidad,
confiabilidad y oportunidad en la emisin de los resultados financieros
obtenidos durante un periodo especfico o un ejercicio fiscal.
El propsito final es emitir un dictamen contable sobre la correcta presentacin
de los resultados financieros a los accionistas, clientes, autoridades fiscales y
terceros interesados, en relacin con las utilidades, pago de impuestos y
situacin financiera y econmica de la institucin.
Auditora administrativa
Es la revisin sistemtica y exhaustiva que se realiza a la actividad
administrativa de una empresa, en cuanto a organizacin, las relaciones entre
sus integrantes y el cumplimiento de las funciones y actividades que regulan
sus operaciones.
12
Su propsito es evaluar tanto el desempeo administrativo de las reas de la

empresa, como la planeacin y control de los procedimientos de operacin, y
los mtodos y tcnicas de trabajo establecidos en la institucin, incluyendo la
observancia de las normas, polticas y reglamentos que regulan el uso de todos
sus recursos.
Auditora operacional
Es la revisin exhaustiva, sistemtica y especfica que se realiza a las actividades de
una empresa, con el fin de evaluar su existencia, suficiencia, eficacia, eficiencia y el
correcto desarrollo de sus operaciones, cualesquiera que stas sean, tanto en el
establecimiento y cumplimiento de los mtodos, tcnicas y procedimientos de trabajo
necesarios para el desarrollo de sus operaciones, en coordinacin con los recursos
disponibles, como en las normas, polticas, lineamientos y capacitacin que regulan el
buen funcionamiento de la empresa.
Auditora integral
Es la revisin exhaustiva, sistemtica y global que realiza un equipo
multidisciplinario de profesionales a todas las actividades y operaciones de una
empresa, con el propsito de evaluar, de manera integral, el correcto desarrollo
de las funciones en todas sus reas administrativas, cualesquiera que stas
sean, as como de evaluar sus resultados conjuntos y relaciones de trabajo,
comunicaciones y procedimientos interrelacionados que regulan la realizacin
de las actividades compartidas para alcanzar el objetivo institucional.
Dicha revisin se lleva a cabo tambin a las normas, polticas y lineamientos
sobre el uso de todos los recursos de la empresa.
Auditora gubernamental
Es la revisin exhaustiva, sistemtica y concreta que se realiza a todas las
actividades y operaciones de una entidad gubernamental, cualquiera que sea la
naturaleza de las dependencias y entidades de la Administracin Pblica
Federal.
Esta revisin se ejecuta con el fin de evaluar el correcto desarrollo de las
funciones de todas las reas y unidades administrativas de dichas entidades,
as como los mtodos y procedimientos que regulan las actividades necesarias
para cumplir con los objetivos gubernamentales, estatales o municipales.
Tambin, se desarrolla en la aplicacin y cumplimiento de presupuestos
pblicos, programas, normas, polticas y lineamientos, que regulan la
participacin de los recursos de la entidad en la prestacin de servicios a la
sociedad.
Auditora informtica
Es la revisin tcnica, especializada y exhaustiva que se realiza a los sistemas
computacionales, software e informacin utilizados en una empresa, sean
13
individuales, compartidos y/o de redes, as como a sus instalaciones,

telecomunicaciones, mobiliario, equipos perifricos y dems componentes.
Dicha revisin se realiza de igual manera a la gestin informtica, el aprovechamiento
de sus recursos, las medidas de seguridad y los bienes de consumo necesarios para el
funcionamiento del centro de cmputo.
El propsito fundamental es evaluar el uso adecuado de los sistemas para el
correcto ingreso de los datos, el procesamiento adecuado de la informacin y la
emisin oportuna de sus resultados en la institucin, incluyendo la evaluacin
en el cumplimiento de las funciones, actividades y operaciones de funcionarios,
empleados y usuarios involucrados con los servicios que proporcionan los
sistemas computacionales a la empresa.
libro de texto).
Marco esquemtico de la auditora de sistemas Hardware
Evaluacin a:
Hardware.
Plataforma de hardware.
Tarjeta madre.
Procesadores.
Dispositivos perifricos.
Arquitectura del sistema.
Instalaciones elctricas, de datos y de telecomunicaciones.
Innovaciones tecnolgicas de hardware y perifricos.
Software
Plataforma del software.
Sistema operativo.
Lenguajes y programas de desarrollo.
Programas, paqueteras de aplicacin bases de datos.
Utileras, bibliotecas y aplicaciones.
Software de telecomunicacin.
Juegos y otros tipos de software.
Gestin informtica
Actividad administrativa del rea de sistemas.
Operacin del sistema de cmputo.
Planeacin y control de actividades.
Presupuestos y gastos de los recursos informticos.
Gestin de la actividad informtica.
Capacitacin y desarrollo del personal informtico.
Administracin de estndares de operacin, programacin y desarrollo.
14
Informacin
Administracin, seguridad y control de la informacin.
Salvaguarda, proteccin y custodia de la informacin.
Cumplimiento de las caractersticas de la informacin.
Diseo de sistemas
Metodologas de desarrollo de sistemas.
Estndares de programacin y desarrollo.
Documentacin de sistemas.
Bases de datos
Administracin de bases de datos.
Diseo de bases de datos.
Metodologa para el diseo y programacin de bases de datos.
Seguridad, salvaguarda y proteccin de las bases de datos.
Seguridad
Seguridad del rea de sistema.
Seguridad fsica.
Seguridad lgica.
Seguridad de las instalaciones elctricas, de datos y de
telecomunicaciones.
Seguridad de la informacin, redes y bases de datos.
Administracin y control de las bases de datos.
Seguridad del personal informtico.
Redes de cmputo
Plataformas y configuracin de las redes.
Protocolos de comunicaciones.
Sistemas operativos y software.
Administracin de las redes de cmputo.
Administracin de la seguridad de las redes.
Administracin de las bases de datos de las redes.
Especialidades
Outsourcing.
Helpdesk.
Ergonoma en sistemas computacionales.
ISO-9000.
Internet/Intranet.
Sistemas multimedia.
libro de texto).
15

1- Se puede decir que existe alguna diferencia sustancial en cuanto a
procedimientos de lo que se conoce como Auditora Integral y una Auditora
Gubernamental?
2- Compare lo que se conoce como Auditora al sistema de cmputo y una
auditora alrededor de la computadora.
16
Captulo 3
Normas tico-morales que

regulan la actuacin del auditor
Sumario
Marco conceptual de la tica.
Principios de axiologa y valores ticos.
Criterios y responsabilidades del auditor.
El propsito de este captulo consiste en ofrecer tanto al
estudiante como al profesional las reglas bsicas de
conducta con que debe conducirse un auditor tanto dentro
como fuera de su recinto de trabajo.
17
Al finalizar el estudio de este tema, usted, deber estar en la
capacidad de:
Presentar los conceptos fundamentales de conducta que

ayudan a identificar la correcta actuacin profesional,
laboral, social y personal de un auditor tomando en cuenta
las principales directrices tico-morales, profesionales,
sociales y personales que regulan su accionar ante las
empresas, sus colegas de profesin y ante l mismo como
especialista en la materia.
Identificar los criterios y obligaciones fundamentales que

debe cumplir el auditor en el campo tico, moral y
profesional.
18
Gua de lecturas
Subtema
3.1 Marco conceptual de la tica
3.1.1 Conceptos bsicos relacionados con la tica
3.2 Principios de axiologa y valores ticos
3.2.2 Principios y valores del auditor
3.3 Criterios y responsabilidades del auditor
3.3.2 Criterios y responsabilidades del auditor en el aspecto profesionalpersonal
3.3.3 Criterios y responsabilidades del auditor en el aspecto estrictamente
laboral
3.3.4 Criterios y responsabilidades del auditor en el aspecto de elementos
de juicio
3.3.5 Criterios y responsabilidades del auditor en su respuesta ante las
autoridades, leyes, normas y reglamentos
Pgina
52
53
66
69
73
76
79
82
83
Es muy grande la responsabilidad que tiene el auditor ante la sociedad, sus
colegas de profesin y las empresas, porque el hecho de permitirle que revise
profesionalmente documentos, informacin, activos y operaciones de la
empresa, representa la confianza que se le otorga como profesional
especializado en la materia; ms an, cuando se acepta su opinin en el
dictamen que emite, se da por sentada su calidad moral, profesional y tica.
Por eso, la sociedad, los funcionarios y empleados de las empresas casi
siempre estn convencidos de que la actuacin de un auditor siempre est
respaldada por una gran experiencia, slidos conocimientos en auditora y en la
utilizacin de las herramientas de evaluacin, que corresponden a su rea de
revisin.
Relativo a la tica o moral, o que est de acuerdo con sus principios o su
exigencia. Parte de la filosofa que estudia los fundamentos y las normas de la
conducta humana. Dos son las corrientes principales: la que relaciona la tica
con la naturaleza misma del hombre, la que no ve en las normas de conducta
sociales ms que unos convenios sociales reguladores lo que considera bueno
o malo, conveniente o nocivo.
Lo mismo ocurre con la actuacin del profesional dedicado a la auditora,
porque ste debe conducirse de acuerdo con las normas de conducta social,
moral, religiosa, jurdica y profesional, las cuales regularn su actuacin como
profesional de la auditora ante la sociedad, autoridades, empresas y
empleados de estas ltimas.
19

libro de texto).
La axiologa es la ciencia que trata de los valores de carcter moral que
pretenden normar la conducta de los individuos ante la sociedad. Es evidente
que el auditor, como parte de una sociedad, debe considerar y acatar los
valores tico-morales regulados mediante esta ciencia. Por ello, es necesario
profundizar un poco sobre estos valores antes de proponer las normas ticas
que regularn la actuacin del auditor de sistemas computacionales.
Se dice de quien acta con veracidad, sinceridad, franqueza, honradez e
imparcialidad en el cumplimiento de cualquier encomienda, actividad o trabajo.
Integridad
La persona que posee esta cualidad es de principios slidos y fundamentales y
acta en forma honorable, recta, valerosa y se apega a sus convicciones,
cualesquiera que stas sean y las hace respetar. Lo mismo sucede con el
cumplimiento de los compromisos, trabajo y actividades que se le
encomiendan.
Cumplimiento
Se dice que una persona es cumplida y digna de confianza cuando cumple
escrupulosamente sus promesas, sus compromisos y respeta la esencia y letra
de los convenios que contrae.
Lealtad
En el caso del auditor, se considera que es la fidelidad que guarda con sus
auditados al no utilizar ni revelar informacin que obtiene en forma confidencial
de la empresa que audita.
Imparcialidad
Es cuando una persona, en este caso el auditor, busca actuar de manera
equitativa en el cumplimiento de su trabajo o de cualquier accin que emprende
al tratar de ser siempre justo, honesto y razonable en los juicios que emite y
evitar tomar partido hacia algn lado en cualquier auditora.
Adems, como profesional de la auditora, siempre debe estar dispuesto a
reconocer errores y a cambiar de posicin, creencia y acciones cuando sea
necesario y debe procurar actuar siempre con un amplio compromiso de
justicia, equidad, tolerancia y trato igual con los funcionarios y empleados que
audite.
Respeto a los dems
En la cualidad que caracteriza a quien demuestra consideracin y estima por la
dignidad, la intimidad y el derecho de autodeterminacin de la gente al actuar
20
siempre de manera corts, expedita y decente y al proporcionarles lo que

necesitan para la mejor toma de decisiones sin avergonzarlos ni degradarlos.
Ciudadano responsable
Se dice de la persona, en este caso del auditor, est dispuesta a respetar y
hacer cumplir las leyes, normas y reglamentos del pas al aceptar la
responsabilidad y solidaridad tanto en los derechos como en las obligaciones,
que le imponen la sociedad, las empresas y sus conciudadanos.
Ver por los dems
Cuando una persona es atenta y amable en su trato cuando es compartida,
generosa y, adems, tiene un amplio sentido de ayuda hacia sus semejantes.
Bsqueda de la excelencia
Es evidente que las personas de xito as como los auditores profesionales
destacados son aquellos que buscan la excelencia (que sobresalen en mrito y
bondad) como parte fundamental de su ser al cumplir indefectiblemente con la
responsabilidad personal y profesional que requiere esta importante actividad.
Responsabilidad
Se entiende como responsabilidad al hecho de aceptar el compromiso que
implica la toma de decisiones y las consecuencias previstas por las acciones y
omisiones en el cumplimiento del trabajo, de las actividades cotidianas y del
desempeo profesional.
Confiabilidad
Esta es una de las cualidades ms buscadas en el profesional que se dedica a
la auditora, porque se asume que su actuacin est apegada a las normas y
criterios que regulan esta profesin.
Veracidad
En el caso del auditor, se refiere a la utilizacin de las herramientas, mtodos y
procedimientos de auditora con los cuales puede obtener datos fidedignos,
apegados a los sucesos verdaderos y con resultados reales, que le permiten
hacer juicios fidedignos y confiables.
libro de texto).
Estos criterios son presentados con el propsito de sealar al auditor el rumbo
tico y moral que deber seguir para cumplir y hacer respetar dichos criterios y
responsabilidades y para que norme su actuacin profesional ante las
empresas, la sociedad y sus colegas. Debe esmerarse en el buen cumplimiento
de esta actividad; no slo cuando le sea encomendada una auditora, sino
tambin en su desempeo personal.
21
Tener la suficiente independencia mental y profesional para ejercer la profesin

de auditor.
Contar con la calificacin, habilidad, aptitud y experiencia profesional en
auditora.
Manejar adecuadamente las relaciones personales, profesionales y laborales
entre l y el auditado.
Utilizar la misma metodologa y procedimientos de evaluacin establecidos por
los responsables de la gestin de la auditora.
No modificar, ocultar o destruir evidencias en la evaluacin.
Ser discreto, confiable y profesional con la informacin y los resultados de la
evaluacin.
Actuar con equidad, imparcialidad, razonabilidad y profesionalismo.
Emitir dictmenes profesionales, independientes y razonables.
Cumplir con los planes, programas, contratos y presupuestos acordados.
Aplicar los mtodos, tcnicas y procedimientos de evaluacin debidamente
avalados.
Revisar y profundizar sobre los puntos relevantes de las reas que sern
auditadas.
Elaborar las evaluaciones, dictmenes e informes conforme a las normas y
lineamientos que regulan el desarrollo de las auditoras.
Acatar las normas disciplinarias y de conducta de la empresa de auditora
externa as como las de la empresa auditada.
Capacitar al personal subalterno.
Verificar la autenticidad de hechos, fenmenos y evidencias encontradas.
Apegarse a las normas y lineamientos bsicos de auditora emitidos por
asociaciones y colegios de profesionales, as como a los de la propia empresa
que se est auditando.
Aplicar de manera uniforme los
herramientas y criterios de evaluacin.
mtodos,
tcnicas,
procedimientos,
Evaluar en forma independiente, libre de influencias, presiones y prejuicios.
22
La responsabilidad del auditor va ms all de emitir un dictamen, porque el

resultado de ste tambin puede llegar a otros interesados, aparte de la
empresa, quienes pueden utilizarlo para efectuar acciones de carcter laboral e
incluso acciones de tipo legal y/o penal.
Por esta razn, el dictamen del auditor debe estar bien fundamentado, apoyado
en evidencias y plasmado con la mayor veracidad, debe contener la valoracin
de todo lo contemplado durante la revisin y debe estar totalmente apoyado en
tcnicas, mtodos y procedimientos reconocidos para hacer una auditora. Esto
es lo que le dar vigencia y confiabilidad al trabajo del auditor.
Adems de lo anterior, la actuacin de este profesional puede tener resultados
marginales en caso de que encontrara delitos, faltas e infracciones en perjuicio
de la empresa y sus empleados, de las leyes, las normas y los reglamentos
vigentes, los cuales tendra que denunciar con fundamentos.
Igual pudiera darse el caso de que los resultados de su actuacin como auditor
tuvieran que ser verificados y rectificados como parte de alguna accin de
carcter legal.
Tambin, puede darse el caso de que el propio auditor incurra en un trabajo no
honesto, poco profesional y sin la integridad que se requiere en este tipo de
trabajos. En este caso, el auditor sera el responsable de cometer esos delitos
y su actuacin profesional y laboral tendra que ser evaluada.
Por estas razones, cobran vigencia los criterios y obligaciones que a
continuacin se analizan:
9 CIVILES por delitos e infracciones debidos a negligencia, impericia,
abuso de confianza o dolo, tanto en los resultados encontrados como en
la realizacin de la auditora misma.
9 FISCALES por los delitos e infracciones de carcter fiscal que se
descubran o realicen.
9 PENALES por delitos de fraude, robo, abuso de confianza,
encubrimiento, revelacin del secreto y responsabilidad profesionales
por parte del auditado y del propio auditor.
9 JUDICIALES por los resultados de la auditora y por la actuacin del
auditor.
9 LABORALES por las faltas detectadas al reglamento interno de la
institucin as como a la Ley Federal del Trabajo.
libro de texto).
23

1- Con qu propsito se presentan al auditor los criterios y responsabilidades
como complemento a los principios ticos y morales que todo auditor debe
cumplir?
2-
Cunta importancia tienen para el auditor los principios de equidad,

imparcialidad, razonabilidad y profesionalismo?
3-
El trabajo del auditor puede verse influenciado o recibir presiones externas.

Qu opina al respecto?
24
Captulo 5
Control interno informtico

Sumario
Controles internos para la organizacin del rea de
informtica.
Controles internos para el anlisis, desarrollo e
implementacin de sistemas.
Controles internos para la operacin del sistema.
Controles internos para los procedimientos de entrada de
datos, el procesamiento de informacin y la emisin de
resultados.
Controles internos para la seguridad del rea de sistemas.
El propsito de este captulo es presentar tanto al estudiante como al
profesional de auditora el origen y los responsables de establecer el
control interno en las TICS.
25
Al finalizar el estudio de este tema, usted, deber estar en la capacidad
de:
Estudiar los conceptos y las caractersticas fundamentales del control

interno en los sistemas computacionales a fin de identificar sus principales
aplicaciones en la auditora de sistemas para entender cmo se pueden
satisfacer, con eficiencia y eficacia, las necesidades de evaluacin,
razonabilidad y oportunidad en la proteccin y seguridad de los bienes, de
la informacin y del personal del rea de sistemas de una institucin.
Analizar el desarrollo de las actividades, operaciones y resultados en el

procesamiento de la informacin de las reas de sistemas de una
institucin.
Establecer como prioridad la seguridad y proteccin de la

informacin, del sistema computacional y de los recursos
informticos de una empresa.
Promover la confiabilidad, oportunidad y veracidad de la

captacin de datos, su procesamiento en el sistema y la emisin
de informes en una empresa.
Implementar mtodos, tcnicas y procedimientos necesarios para

coadyuvar al eficiente desarrollo de las funciones, actividades y
tareas de los servicios computacionales para satisfacer los
requerimientos de sistemas en una empresa.
Instaurar y hacer cumplir las normas, polticas y procedimientos

que regulen las actividades de sistematizacin de una empresa.
Establecer las acciones necesarias para el adecuado diseo e

implementacin de sistemas computarizados a fin de que
permitan proporcionar eficientemente los servicios de
procesamiento de informacin en una empresa.
26
Gua de lecturas
Subtema
5.1 Controles internos para la organizacin del rea de informtica
5.1.1 Direccin
5.1.2 Divisin del trabajo
5.1.3 Asignacin de responsabilidad y autoridad
5.1.4 Establecimiento de estndares y mtodos
5.1.5 Perfiles de puestos
5.2 Controles internos para el anlisis, desarrollo e implementacin de
sistemas
5.2.1 Estandarizacin de metodologas para el desarrollo de proyectos
5.2.2 Asegurar que el beneficio del sistema sea ptimo
5.2.3 Elaborar estudios de factibilidad del sistema
5.2.4 Garantizar la eficiencia y eficacia en el anlisis y diseo del sistema
5.2.5 Vigilar la efectividad y eficiencia en la implementacin y
mantenimiento del sistema
5.2.6 Lograr un uso eficiente del sistema por medio de su documentacin
5.3 Controles internos para la operacin del sistema
5.3.1 Prevenir y corregir errores de operacin
5.3.2 Prevenir y evitar la manipulacin fraudulenta de la informacin
5.3.3 Implementar y mantener la seguridad en la operacin
5.3.4 Mantener la confiabilidad, oportunidad, veracidad y suficiencia en el
procesamiento de la informacin de la institucin
5.4 Controles internos para los procedimientos de entrada de datos,
procesamiento de informacin y emisin de resultados
5.5 Controles internos para la seguridad del rea de sistemas
5.5.1 Controles para prevenir y evitar las amenazas, riesgos y contingencias
en las reas de sistematizacin
5.5.2 Controles para la seguridad fsica del rea de sistemas
5.5.3 Controles para la seguridad lgica de los sistemas
5.5.4 Controles para la seguridad de las bases de datos
5.5.5 Controles para la seguridad en la operacin de los sistemas
computacionales
5.5.6 Controles para la seguridad del personal de informtica
5.5.7 Controles para la seguridad en la telecomunicacin de datos
5.5.8 Controles para la seguridad en sistemas de redes y multiusuarios
Pgina
137
137
140
142
143
144
145
147
148
150
152
154
155
157
158
159
160
160
160
164
167
170
172
173
175
176
177
178
Controles internos para la organizacin del rea de informtica
Direccin
La direccin es uno de los subelementos bsicos del control interno en
cualquier empresa, porque sta es la funcin primordial de la entidad o persona
27
que tiene la misin de dirigir las actividades en la institucin o en un rea

especfica as como la de coordinar el uso de los recursos disponibles en el
rea para cumplir el objetivo institucional.
Los recursos de informtica son muy especializados y frecuentemente muy
costosos, pero son de suma importancia en las reas de sistemas; por lo tanto,
es necesario aprovecharlos de la mejor manera posible, lo cual solo se puede
lograr mediante el establecimiento de la direccin como elemento del control
interno. Con ello, se contribuye a la adecuada coordinacin del uso y
aprovechamiento de los recursos computacionales.
La coordinacin de recursos
Como parte fundamental de la direccin del rea de sistemas, se tienen que
asignar y distribuir de manera correcta los recursos informticos disponibles en
la empresa con el fin de que dichos recursos sean ms equitativos y
productivos.
La supervisin de actividades
Es la vigilancia que realiza quien dirige el rea de sistemas sobre la realizacin
adecuada de las funciones y actividades que se tienen encomendadas en esta
rea al supervisar el trabajo que se realiza con los recursos informticos de la
empresa.
La delegacin de autoridad y responsabilidad
Su finalidad es obligar al personal del rea, de acuerdo con la delegacin de
autoridad y responsabilidad, a cumplir con las tareas, funciones y operaciones
que tienen encomendadas.
La asignacin de actividades
Este subelemento se aplica cuando la direccin instituye una definicin clara y
concreta de todas las funciones, tareas y operaciones de cada puesto con el fin
de cumplir de manera adecuada con los objetivos del rea de sistemas.
La distribucin de recursos
Es la asignacin que se hace de los recursos informticos disponibles en el
rea de sistemas con el propsito de que los empleados de esta rea cumplan
eficientemente con las actividades y tareas que tienen encomendadas.
Divisin de trabajo
A continuacin se presentan las funciones bsicas de cualquier centro de
cmputo:
28
Direccin general del rea de informtica

Esta es la entidad encargada de integrar, coordinar y supervisar el buen
desarrollo de las funciones y actividades de los dems recursos del rea.
Tambin, es la entidad encargada de planear, organizar, dirigir y controlar los
objetivos, programas y presupuestos de los recursos asignados del rea de
informtica.
rea de anlisis y diseo
Es la unidad de trabajo encargada de estudiar las necesidades de
procesamiento e informacin de la empresa, as como de proponer mejoras y
cambios en el desarrollo de nuevos sistemas por medio de las metodologas de
anlisis y diseo de stos.
rea de programacin
Sus integrantes son los responsables de realizar todas las actividades y
operaciones que se requieren para codificar adecuadamente los programas a
fin de lograr el buen funcionamiento del rea de cmputo en la empresa.
rea de sistemas de redes
Es el rea que est destinada a la administracin y control de los sistemas de redes
algunas de sus funciones son la configuracin, manejo y mantenimiento de dichos
sistemas a fin de satisfacer las necesidades de cmputo de la empresa.
rea de operacin
Es el rea encargada de realizar la operacin, procesamiento y uso de los
sistemas computacionales as como de la asignacin de sus recursos ntegros
para servicio de los usuarios y de las reas de la empresa.
rea de telecomunicacin
Es la unidad administrativa responsable de todos los servicios de comunicacin
interna o externa del sistema.
rea de administracin
Es la unidad que se encarga de brindar todo el apoyo de tipo administrativo que
se requiere en el centro de cmputo a fin de que pueda realizar con eficiencia y
eficacia todas sus funciones.
Asignacin de responsabilidad y autoridad
Este subelemento nos a ayuda a garantizar la eficiencia y eficacia del control
interno en las unidades de sistemas, porque complementa la divisin del
trabajo y delimita claramente la autoridad y la responsabilidad que tendr cada
integrante de esas reas. Con ello, se asegura el mejor desarrollo de las
29
actividades, funciones y tareas y, consecuentemente, la realizacin del

procesamiento de informacin en la empresa ser ms eficaz.
Establecimiento de estndares y mtodos
En cualquier rea de sistemas es de suma importancia estandarizar el
desarrollo de todas las actividades y funciones a fin de que stas se realicen de
manera uniforme segn las necesidades concretas de las unidades de
informtica que integran la empresa. En esta estandarizacin se deben
respetar la divisin del trabajo y la asignacin de actividades especficas.
La estandarizacin constituye un aspecto bsico que se debe incluir para el
establecimiento del control interno informtico en cualquier empresa.
El siguiente aspecto es Perfiles de puestos:
Perfiles de puestos
Otro aspecto fundamental para la adopcin de este elemento del control interno
informtico consiste en identificar y establecer requisitos, habilidades,
experiencia y conocimientos especficos que necesita tener el personal, que
ocupa un puesto en el rea de sistemas.
Es trascendental destacar la importancia del uso del perfil de puestos para la
seleccin adecuada del personal, que ocupar los puestos dentro del rea de
sistemas debido a que en este documento se establecern en forma precisa y
correcta las caractersticas, conocimientos y habilidades que debern tener
quienes ocupen dichos puestos.
(Para conocer ahondar ms en el tema refirase a las pginas de la 137 a la
145 del libro de texto).
Controles internos para el anlisis, desarrollo e implementacin de
sistemas.
Para entender este elemento del control interno informtico, es vital que
primero presentemos las principales fases de lo que se puede entender como
anlisis y diseo de sistemas:
1. Anlisis del sistema actual.
2. Diseo conceptual.
3. Diseo detallado.
4. Programacin.
5. Pruebas y correcciones.
6. Documentacin del sistema.
7. Capacitacin de usuarios.
8. Implementacin del sistema.
9. Liberacin del sistema.
10. Mantenimiento.
30
El uso de esta metodologa, la cual slo presentamos en sus principales fases,

requiere un seguimiento paso a paso y un uso casi irrestricto de todas sus
fases y de cada una de las etapas que las integran. Con la aplicacin de esta
metodologa para el desarrollo de un proyecto, se puede garantizar el anlisis,
el desarrollo y la implementacin correctos de cualquier sistema.
A continuacin se proponen los siguientes subelementos para el cumplimiento
de este elemento del control interno en el rea de sistemas:
Estandarizacin de metodologas para el desarrollo de proyectos
1. Asegurar que el beneficio del sistema sea ptimo.
2. Elaborar estudios de factibilidad del sistema.
3. Garantizar la eficiencia y eficacia en el anlisis y diseo del
sistema.
4. Vigilar la efectividad y eficacia en la implementacin y el
mantenimiento del sistema.
5. Lograr un uso eficiente del sistema por medio de su
documentacin.
La aplicacin de una metodologa estandarizada para el desarrollo de un
proyecto informtico garantiza la uniformidad en la aplicacin de cualquier
sistema y contribuye en gran medida a la mxima eficiencia en el uso de los
recursos informticos del rea de sistemas; por esta razn, resulta necesario
estandarizar el desarrollo de los proyectos de sistemas en una empresa.
Precisamente, se busca implementar este subelemento del control interno para
el rea de sistemas, cuyo objetivo ser estandarizar su desarrollo.
Es indispensable contar con un elemento de control que regule el desarrollo
correcto de un proyecto, porque este control es el sustento indispensable para
estandarizar la realizacin de cualquier proyecto informtico. As, se contribuye
a la mxima eficiencia en la realizacin de dicho proyecto.
Para conocer los principales puntos, que se debern analizar durante una
auditora de sistemas, en cuanto al desarrollo de proyectos informticos, a
continuacin se presentan las estandarizaciones bsicas que se deben analizar
durante cualquier revisin.
Estandarizacin de mtodos para el diseo de sistemas.
Lineamientos en la realizacin de sistemas.
Uniformidad de funciones para desarrollar sistemas.
Polticas para el desarrollo de sistemas.
Normas para regular el desarrollo de proyectos.
Asegurar que el beneficio del sistema sea ptimo.
Al implementar un nuevo sistema se busca optimizar el desarrollo de las
actividades que normalmente se llevan a cabo en la empresa o en cualquiera
de sus reas. Con ello, se pretenden mejorar las operaciones normales de
31
cmputo que se realizan en la empresa a fin de incrementar la eficiencia de sus

sistemas actuales.
De hecho, el objetivo final, que se espera en las empresas con la implantacin
de un sistema informtico, se puede circunscribir a dos aspectos concreto:
Beneficios tangibles y beneficios intangibles.
Beneficios tangibles
Con el establecimiento de los sistemas en la empresa se pretende lograr
mejoras sustanciales, realmente palpables, por parte de quienes utilizan
dichos sistemas, lo cual exige que puedan ser cuantificados resultados.
Beneficios intangibles
Los beneficios que se espera obtener de los sistemas de cmputo son
intangibles, porque sus resultados no pueden ser contados ni fsicamente
palpables; sin embargo, existen formas de cuantificacin. De esta forma, la
mayora de los sistemas computacionales tienen ciertos valores cualitativos y
es difcil otorgarles un valor cuantitativo.
Un aspecto especfico de aplicacin de este subelemento consiste en que, para
el anlisis y diseo del nuevo sistema, se tienen que establecer todos los
beneficios que se obtendran con el desarrollo de un sistema al enfocarlos
desde mltiples puntos de vista.
Algunos de los beneficios son los siguientes:
1.
2.
3.
4.
5.
6.
El nivel informtico, porque con la instalacin de un nuevo

proyecto se pretende mejorar los sistemas informticos de la
empresa.
El econmico, debido a que los sistemas tienen un valor
econmico y con su desarrollo se pretende economizar el servicio
informtico de las empresas.
El social, porque congrega gente alrededor de los sistemas que
se implementan en las empresas. Esta gente se interrelaciona
con sus congneres al crear vnculos sociales con ellos y con la
ayuda de los sistemas.
El de los servicios, porque el propsito final de un sistema
computacionales proporcionar servicios sistematizados a las
reas de una empresa.
El administrativo, porque ayuda al mejor manejo de la gestin
informtica de las empresas.
El operacional, porque con su adopcin ayuda a la regulacin y
mejor realizacin de todas las operaciones del sistema
computacional de la empresa.
32
Elaborar estudios de factibilidad del sistema

Todo proyecto de informtica se evala desde dos criterios especficos: la
viabilidad y la factibilidad. En estos dos factores se deben considerar por
separado los puntos de vista operativo, econmico, tcnico y administrativo
para poder valorar la optimizacin del nuevo sistema.
El resultado final de estas valoraciones ser la certificacin y confianza de que
el proyecto ser aplicable a las necesidades de la empresa para as poder
satisfacer sus requerimientos de control interno de informtica.
Debemos entender que un nuevo proyecto slo se justifica si con l se busca
satisfacer la eficiencia y eficacia de las actividades de la empresa, lo cual se
logra por medio de la adopcin de una metodologa estndar en la realizacin
de los sistemas para garantizar un buen resultado final con su implementacin.
Entonces, resulta necesario contar con varias herramientas, tcnicas, mtodos
y elementos que permitan uniformar los procedimientos, estndares, normas y
lineamientos requeridos para desarrollar eficientemente estas actividades:
La adopcin y seguimiento de una metodologa institucional.
Adoptar una adecuada planeacin, programacin y presupuestacin para
el desarrollo del sistema.
Contar con la participacin activa de los usuarios finales o solicitantes
del nuevo sistema para garantizar su buen desarrollo.
Contar con personal que tenga la disposicin, experiencia, capacitacin y
conocimientos para el desarrollo de sistemas.
Utilizar los requerimientos tcnicos necesarios para el desarrollo del
sistema, como son el hardware, software y personal informtico.
Disear y aplicar las pruebas previas a la implementacin del sistema.
Supervisar permanentemente el avance de actividades del proyecto.
No basta con elaborar el sistema, tambin se debe implementar totalmente
para liberar el cargo del propio usuario y proporcionar un mantenimiento
permanente que garantice su efectividad. Slo mediante la adopcin de este
subelemento del control interno se pueden asegurar tanto la eficacia como la
eficiencia de los sistemas computacionales de la institucin.
Conviene sealar que es de suma importancia que, antes o durante la
implementacin del sistema, se proporcione la capacitacin a sus usuarios
finales debido a que slo as se pueden garantizar la eficiencia y eficacia en la
implementacin del proyecto.
33
Tambin, se debe contar con la completa documentacin de respaldo y apoyo

que sirva de consulta a los usuarios para el buen uso del sistema.
Otra garanta del buen funcionamiento del sistema es el establecimiento del
control interno informtico en relacin con la documentacin de dicho sistema a
fin de que sirva de ayuda al usuario y al propio desarrollador del proyecto, lo
cual contribuir a su mejor operacin y a su posterior modificacin.
Algunos de los principales documentos del sistema son los siguientes:
Manuales e instructivos del usuario.
Manual e instructivo de operacin del sistema.
Manual tcnico del sistema.
Manual para el seguimiento del desarrollo del proyecto del sistema.
Manual e instructivo de mantenimiento del sistema.
Otros manuales e instructivos del sistema
(Para ahondar ms del tema, refirase a las pginas de la 145 a la 157 del libro
de texto).
Controles internos para la operacin del sistema
Resulta conveniente contar con un elemento de control interno que evale la
adecuada operacin de los sistemas. En este caso, ser la adopcin de un
elemento que se encargue de vigilar y verificar la eficiencia y eficacia en la
operacin de dichos sistemas.
Para entender el papel que juega este elemento en el desarrollo de las
actividades del centro de cmputo, podemos sealar que su existencia ayuda
a garantizar el cumplimiento de los objetivos bsicos del control interno.
Para prevenir y, en su caso, corregir los posibles errores de operacin, ya sean
involuntarios o premeditados, lo mejor es implementar mecanismos de control
que permitan verificar la exactitud, suficiencia y calidad de los datos que sern
procesados al vigilar el adecuado cumplimiento de la captura, el procesamiento
y la emisin de resultados.
Cabe resaltar la utilidad de la aplicacin de este elemento del control interno
informtico para las operaciones de los sistemas, porque requieren una
permanente actualizacin debido a las siguientes razones:
9 Constantes cambios en las caractersticas y modalidades del
funcionamiento de los centros de cmputo, de sus sistemas y de las
bases de datos.
9 Creciente modificacin en los sistemas de red y multiusuarios, la
adopcin de nuevas tcnicas de configuracin, software y otras formas
de comunicacin entre los sistemas y componentes.
34
9 Niveles de acceso al sistema por parte del administrador, operadores y

usuarios, segn su nivel de participacin a fin de satisfacer las
necesidades del procesamiento de datos.
9 Actualizacin en la programacin de sistemas de aplicacin, que
permitan el buen funcionamiento de los sistemas computacionales de la
empresa.
9 Los programas de supervisin de los sistemas operativos con los cuales
se pueden realizar supervisiones de manera rutinaria a los archivos de
datos e, incluso, un monitoreo de las operaciones del sistema y la
emisin de los resultados de dicho monitoreo, tipo auditora del sistema,
los cuales permiten evaluar su funcionamiento.
9 Vigilar y delimitar los accesos y usos de programas y archivos con
informacin privilegiada y otras formas especficas de procesamiento de
informacin, entre otras muchas operaciones.
Otro aspecto de suma importancia para un adecuado control interno es vigilar
la manipulacin de la informacin que ser procesada en el sistema, as como
establecer las medidas necesarias para controlar su acceso y niveles de uso,
para as prevenir un uso inadecuado de los sistemas, ya sea para beneficio de
terceros, para realizar algn boicot en la institucin, propiciar errores durante el
proceso de datos o cualquier otro aspecto que sea ajeno de la operacin
normal de la empresa.
Es evidente que un centro de cmputo debe contar con las normas, programas
y medidas de seguridad que le garanticen la buena operacin y la adecuada
custodia de sus bienes, programas e informacin. Esto se logra a travs de
planes y programas de seguridad de carcter fsico (hardware, instalaciones y
equipos perifricos asociados) y los de carcter lgico (sistemas operativos,
lenguajes, programas e informacin).
Para entender la importancia de este elemento, recordemos algunos de los
principales atributos de la informacin, como la confiabilidad, la oportunidad, la
veracidad y la suficiencia. Estos son los elementos bsicos que se utilizan para
establecer un control interno adecuado en un centro de informacin debido a
que con su adopcin y uso permanente, como norma de trabajo, contribuyen a
la cabal comprensin del objetivo fundamental del rea de sistemas para la
empresa en cuanto a la captura y procesamiento de datos, emisin de
resultados y custodia de la informacin.
(Para ahondar ms en el tema, refirase a las pginas de la 157 a la 160 del
libro de texto).
Controles internos para los procedimientos de entrada de datos,
procesamiento de informacin y emisin de resultados
El control interno informtico constituye el aspecto ms importante para la
adopcin de estos controles en el rea de sistematizacin, por lo que es que
son de gran ayuda para la confiabilidad que brindan en el procesamiento de
informacin.
35
Cuando entendamos que un sistema de informacin es un procedimiento

simple de entrada, proceso y salida, en donde un dato de entrada se
transforma en informacin til de salida mediante algn procesamiento
anterior, entenderemos tambin que el control interno informtico es til para
verificar que este procedimiento se desarrolle correctamente.
Para una mejor comprensin de este punto, sealaremos que dicho proceso
est compuesto de tres fases fundamentales:
1. La entrada de datos al sistema.
2. El procesamiento de datos por medio de un sistema de
procesamiento interno (caja negra).
3. La emisin de resultados tiles para la toma de decisiones.
Estas fases son las que dan vigilancia a cualquier sistema. Utilizando como
referencia lo anterior, a continuacin analizaremos los siguientes subelementos
del control interno:
9 Verificar la existencia y funcionamiento de los procedimientos de captura
de datos.
9 Comprobar que todos los datos sean debidamente procesados.
9 Verificar la confiabilidad, veracidad y exactitud del procesamiento de
datos.
9 Comprobar la suficiencia en la emisin de informacin.
libro de texto).
Controles internos para la seguridad del rea de sistemas
Se refiere a lo relacionado con la seguridad y salvaguarda de los bienes
tangibles de los sistemas computacionales de la empresa, la seguridad, la
prevencin de riesgos y proteccin de los recursos fsicos informticos de la
empresa.
Seguridad lgica
Lo constituye lo relativo a la seguridad de los bienes intangibles de los centros
informticos, las medidas de seguridad, proteccin y forma de acceso a los
archivos e informacin.
Seguridad de las bases de datos
Es la proteccin especfica de la informacin que se maneja en las reas de
sistemas de la empresa, ya sea a travs de las medidas de seguridad y control
que limiten el acceso y uso de esa informacin o mediante sus respaldos
peridicos con el fin de mantener su confidencialidad y prevenir las
alteraciones, los descuidos, los robos y otros actos delictivos que afecten su
manejo.
36
Seguridad en la operacin
Alude a la seguridad en la operacin de los sistemas computacionales en
cuanto a su acceso y aprovechamiento por parte del personal informtico y de
los usuarios, al acceso a la informacin y base de datos, a la forma de archivar
y utilizar la informacin y los programas institucionales, a la forma de proteger
la operacin de los equipos, los archivos y programas, as como las
instalaciones, mobiliario, entre otros aspectos.
Seguridad del personal de informtica
Se refiere a la seguridad y proteccin de los operadores, analistas,
programadores y dems personal que est en contacto directo con el sistema,
as como a la seguridad de los beneficiarios de la informacin.
Seguridad de las telecomunicaciones
Es todo lo relacionado con la seguridad y proteccin de los niveles de acceso,
privilegios, recepcin y envo de informacin por medio del sistema de
cmputo, protocolos, software, equipos e instalaciones que permiten la
comunicacin y transmisin de la informacin en la empresa.
Seguridad en las redes
Se relaciona con la seguridad y el control de contingencias para la proteccin
adecuada de los sistemas de redes de cmputo en cuanto a la salvaguarda de
informacin y datos de las redes, la seguridad en el acceso a los sistemas
computacionales a la informacin y a los programas del sistema.
Prevencin de contingencias y riesgos
Son todas las acciones tendientes a prevenir y controlar los riesgos y posibles
contingencias que se presenten en las reas de sistematizacin, las cuales
prevendrn desde accidentes en los equipos, en la informacin y en los
programas hasta la instalacin de extintores, rutas de evacuacin, resguardos y
medidas preventivas de riesgos internos y externos, as como la elaboracin de
programas preventivos y simulaciones para prevenir contingencias y riesgos
informticos.
Con el establecimiento de los siguientes subelementos del control interno
informtico se busca determinar las bases fundamentales sobre las que se
establecern los requerimientos para manejar la seguridad de los sistemas de
informacin.
Identificar aquellos elementos que pueden influir en la seguridad de sus
instalaciones, de sus programas y de la informacin que se maneja en ellos y
del personal que los opera, ayudar a identificar las eventualidades que
pueden llegar a presentar en dicha rea.
37
Control de accesos fsicos del personal al rea de cmputo

Es el establecimiento de las medidas tendientes a controlar el acceso de las
personas que tengan que entrar la centro de cmputo.
Control de accesos al sistema, a las bases de datos, a los programas y a
la informacin
Es el control que se establece en el sistema en forma administrativa por medio
de procedimientos, claves y niveles de acceso, que permiten el uso del
sistema, de sus archivos y de su informacin a los usuarios y al personal
autorizado.
Uso de niveles de privilegio para acceso, palabras clave y control de
usuarios
Se manejan, mediante un software especial las limitaciones y los privilegios de
los usuarios en el uso del sistema, ya sea al no permitir el acceso a ciertos
archivos y programas o con el uso de contraseas con las cuales se pueda
ingresar al sistema.
Monitoreo de accesos de usuarios, informacin y programas
Es el monitoreo que realiza el administrador del sistema con el propsito de
verificar el uso del sistema, del software, de los archivos y de la informacin
que est permitida al usuario.
Existencia de manuales e instructivos, as como difusin y vigilancia del
cumplimiento de los reglamentos del sistema
Es el seguimiento de los diferentes manuales e instructivos a fin de controlar el
uso de los sistemas, programas y archivos, as como el cumplimiento del
reglamento de uso del centro de sistematizacin por parte de su personal y de
sus usuarios.
Identificacin de los riesgos y amenazas para el sistema, con el fin de
adoptar las medidas preventivas necesarias
Es la identificacin de los posibles riesgos y contingencias que se pueden
presentar en el rea de sistematizacin. Estas contingencias pueden tener un
origen humano o un origen natural.
Elaboracin de planes de contingencia, simulacros y bitcoras de
seguimiento
Es el control de las contingencias y riesgos que se pueden presentar en el rea
de sistemas; estas contingencias se pueden evitar, controlar o remediar a
travs de planes y programas preventivos especficos, en los cuales se
presenten las actividades a realizar antes, durante y despus de alguna
contingencia.
38
Controles para la seguridad fsica del rea de sistemas

Es la sistematizacin para la proteccin y custodia de los equipos de cmputo,
perifricos, mobiliario y equipo asignado a esa rea, as como la proteccin y
seguridad del personal, de los usuarios y dems personal involucrado en el
centro de cmputo:
Inventario del hardware, mobiliario y equipo
Resguardo del equipo de cmputo.
Bitcoras de mantenimientos y correcciones.
Controles de acceso del personal al rea de sistemas.
Control del mantenimiento a instalaciones y construcciones.
Seguros y fianzas para el personal, equipos y sistemas
Contratos de actualizacin, asesora y mantenimiento del hardware.
Controles para la seguridad lgica de los sistemas
Control para el acceso al sistema, a los programas y a la
informacin.
Establecimiento de niveles de acceso.
Dgitos verificadores y cifras de control.
Palabras clave de acceso.
Controles para el seguimiento de las secuencias y rutinas lgicas
del sistema.
Controles para la seguridad de las bases de datos
Es el bien que ms se debe proteger. El control interno informtico ayuda a
proteger las bases de datos de la empresa, por medio de controles especiales
y medidas preventivas y correctivas. Con las restricciones de acceso al sistema
se pueden evitar posibles alteraciones, uso fraudulento, piratera destruccin y
sabotaje de la informacin de la empresa.
Los siguientes son algunos de los controles que se pueden establecer para la
seguridad de las bases de datos de la empresa:
Programas de proteccin para impedir el uso inadecuado y la
alteracin de datos de uso exclusivo.
Respaldos peridicos de informacin.
Planes y programas para prevenir contingencias y recuperar
informacin.
Control de accesos a las bases de datos.
Rutinas de monitoreo y evaluacin de operaciones relacionadas
con las bases de datos.
39
Controles para la
computacionales
seguridad
en
la
operacin
de
los
sistemas
Es necesario establecer controles y medidas preventivas para evitar

accidentes, actos dolorosos premeditados o negligencias que repercutan en la
operacin y funcionamiento del sistema o en la emisin de resultados del
procesamiento de la informacin.
Los siguientes aspectos deben ser tomados en cuenta para la seguridad en la
operacin del sistema:
Controles para los procedimientos de operacin.
Controles para el procesamiento de informacin.
Controles para la emisin de resultados.
Controles especficos para la operacin de la computadora
Controles para el almacenamiento de informacin.
Controles para el mantenimiento del sistema.
Controles para la seguridad del personal de informtica
El activo ms valioso de las empresas es el personal que labora en ellas,
debido a que es el que realiza todas las funciones y actividades desde la
direccin hasta la operacin de sus reas y equipos.
Es indispensable el establecimiento de los controles internos informticos en
los centros de cmputo a fin de ayudar a proteger y salvaguardar la seguridad
de este valioso activo del rea de sistematizacin y de la empresa. Entre los
principales subelementos de control que se pueden adoptar para salvaguardar
la seguridad del personal de estas reas se encuentran las siguientes:
Controles administrativos de personal.
Seguros y fianzas para el personal de sistemas.
Planes y programas de capacitacin.
Controles para la seguridad en la telecomunicacin de datos
Es necesario implementar controles internos informticos en las reas de
sistematizacin para asegurar el buen funcionamiento de los sistemas de
transmisin de datos de la empresa, es decir, desde el establecimiento de
protocolos de comunicacin, contraseas y medios controlados de transmisin
hasta la adopcin de medidas de verificacin de transmisin de la informacin,
las cuales pueden ser dgitos verificadores, dgitos de paridad, protocolos de
acceso a frecuencias y otras especificaciones concretas del rea de
transmisin de datos.
40
Controles para la seguridad en sistemas de redes y multiusuarios

El establecimiento de estos controles para la seguridad en sistemas de redes y
sistemas multiusuarios de una empresa es de vital importancia, porque se
deben establecer medidas especficas para la proteccin, resguardo y uso de
programas, archivos e informacin y de sus dems caractersticas.
(Para ampliar ms la informacin del tema, refirase a las pginas de la 164 a
la 178 del libro de texto).
41

1- Por qu considera que la divisin del trabajo es un elemento de control
interno? Relacione este concepto con el concepto de burocracia en la
funcin pblica.
2- Por qu es importante, bajo el tema el control interno, la estandarizacin?
3- Por qu considera que la prevencin de riesgos y contingencias es
importante a la hora de elaborar el control interno?
4- Se habla de mltiples riesgos y controles para minimizar estos riesgos. Por
qu considera, usted, que se debe aplicar un especial cuidado en los
sistemas de redes y multiusuario?
42
Captulo 6
Metodologa para realizar auditoras

de sistemas computacionales
Sumario
Marco conceptual de la metodologa para realizar auditoras
de sistemas computacionales.
Metodologa para realizar auditoras de sistemas
computacionales.
Primera etapa. Planeacin de la auditora de sistemas
computacionales.
Segunda etapa. Ejecucin de la auditora de sistemas
computacionales.
Tercera etapa. Dictamen de la auditora de sistemas
computacionales.

El propsito de este captulo es presentar las diferentes
metodologas que se pueden emplear a la hora de realizar una
auditora en los sistemas computacionales.
43
Al finalizar el estudio de este tema, usted, deber estar en la capacidad
de:
Proponer una metodologa especfica aplicable a la realizacin de

cualquier tipo de auditora en el campo de los sistemas
computacionales.
Planear, seleccionar las herramientas, desarrollar y presentar los

resultados de las auditoras con base en las necesidades concretas
de revisin en el ambiente de sistemas.
44
Gua de lecturas
Subtema
6.1 Marco conceptual de la metodologa para realizar auditoras de
sistemas computacionales
6.2 Metodologa para realizar auditoras de sistemas computacionales
6.3 Primera etapa: Planeacin de la auditora de sistemas computacionales
6.4 Segn etapa: Ejecucin de la auditora de sistemas computacionales
6.5 Tercera etapa: Dictamen de la auditora de sistemas computacionales
6.5.1 Analizar la informacin y elaborar un informe de situaciones
6.5.2 Elaborar el dictamen final
6.5.3 Presentar el informe de auditora
Pgina
182
185
186
235
237
238
239
241
Llevar a cabo una auditora de sistemas computacionales requiere una serie
ordenada de acciones y procedimientos especficos, los cuales debern ser
diseados previamente de manera secuencial, cronolgica y ordenada, de
acuerdo a las etapas, eventos y actividades que se requieran para su
ejecucin, que sern establecidos conforme a las necesidades especiales de la
institucin. Adems, estos procedimientos se deben adaptar de acuerdo con el
tipo de auditora de sistemas por realizar y con estricto apego a las
necesidades, tcnicas y mtodos de evaluacin del rea de sistematizacin.
Con base en lo anterior, podemos entender la necesidad de establecer una
metodologa especfica de revisin, la cual nos permitir disear correctamente
los pasos por seguir en la evaluacin de las reas de sistemas y actividades
elegidas a fin de que el seguimiento, desarrollo y aplicacin de las etapas
eventos propuestos para esa auditora sean ms sencillos.
Dicha metodologa tambin nos servir para establecer las tcnicas, mtodos y
procedimientos adaptables a las caractersticas especiales de la auditora del
rea especfica de sistemas a evaluar, incluyendo los recursos humanos,
tcnicos y materiales necesarios para dicha revisin.
Metodologa para realizar auditoras de sistemas computacionales
Las principales etapas que nos servirn de gua para la realizacin de una
evaluacin dentro del ambiente de sistemas computacionales son los
siguientes:
Primera etapa. Planeacin de la auditora de sistemas computacionales
El primer paso para realizar una auditora en sistemas computacionales es
definir las actividades necesarias para su ejecucin, lo cual se lograr mediante
45
una adecuada planeacin; es decir, se deben identificar las razones por las que
se realizar la auditora y la determinacin del objetivo, as como el diseo de
los mtodos, las tcnicas y los procedimientos necesarios para desarrollarla y
para preparar los documentos que servirn de apoyo para su ejecucin y
culminar con la elaboracin documental de los planes, los programas y los
presupuestos para dicha auditora:
P.1 Identificar el origen de la auditora.
P.2 Realizar una visita preliminar al rea que ser evaluada.
P.3 Establecer los objetivos de la auditora.
P.4 Determinar los puntos que sern evaluados en la auditora.
P.5 Elaborar planes, programas y presupuestos para realizar la
auditora.
P.6 Identificar y seleccionar los mtodos, herramientas, instrumentos y
procedimientos necesarios para la auditora.
P.7 Asignar los recursos y sistemas computacionales para la auditora.
Segunda etapa. Ejecucin de la auditora de sistemas computacionales
El siguiente paso, despus de la planeacin de la auditora, es su ejecucin, la
cual estar determinada por las caractersticas concretas, los puntos y los
requerimientos que se estimaron en la etapa de la planeacin.
Concretamente, tenemos los siguientes conceptos:
-
Realizar las acciones programadas para la auditora.

Aplicar los instrumentos y herramientas para la auditora.
Identificar y elaborar los documentos de desviaciones.
Elaborar el dictamen preliminar y presentarlo a discusin.
Integrar el legajo de papeles de trabajo de la auditora.
Tercera etapa. Dictamen de la auditora de sistemas computacionales

El ltimo paso de la metodologa, que hemos estudiado, es emitir el dictamen,
el cual es el resultado final de la auditora de sistemas computacionales. Para
ello, presentamos los siguientes puntos:
D.1
Analizar la informacin y elaborar un informe de situaciones

detectadas
D.1.1 Analizar los papeles de trabajo.
D.1.2 Sealar las situaciones encontradas.
D.1.3 Comentar las situaciones encontradas con el personal de las reas
afectadas.
D.1.4 Realizar las modificaciones necesarias.
D.1.5 Elaborar un documento de situaciones relevantes.
46
D.2 Elaborar el dictamen final

D.2.1
D.2.2
D.2.3
D.2.4
Analizar la informacin y elaborar un documento de desviaciones.

Elaborar el informe y el dictamen formales.
Comentar el informe y el dictamen con los directivos del rea.
Realizar las modificaciones necesarias.
D.3 Presentar el informe de auditora

D.3.1
D.3.2
D.3.3
D.3.4
Elaboracin del dictamen formal.

Integracin del informe de auditora.
Presentacin del informe de auditora.
Integracin de los papeles de trabajo.

libro de texto).
47

1- Por qu una auditora debe planearse y qu se entiende por metodologa?
2- Cuando se habla de identificar los diferentes orgenes que pueden dar lugar
a una auditora uno de los ms curiosos o poco comunes es cuando los
mismos empleados la solicitan. Explique.
3- En la informtica hay una frase muy popular que dice si basura entra,
basura sale. Como relacionara esta frase respecto a los riesgos
operativos (lgicos)? Cree, usted, que aunque no entre basura an as
salga basura? Explique.
4- Cuando se planea una auditora, debe contar con una serie de recursos para
permitir que se lleve adecuadamente y sin ningn contratiempo que pudiera
contrariar los objetivos. Cules son estos recursos?
48
Captulo 7
Papeles de trabajo para la auditora de

Sumario
Contenido del legajo de papeles de trabajo.
Claves del auditor para marcar papeles de trabajo.
Cuadros, estadsticas y documentos concentradores de
informacin.
Diagrama de sistemas.

El propsito de este captulo se centra en que el auditor
informtico conozca la importancia de documentar todas
observaciones, que realice en el transcurso de la auditora,
como forma de respaldar su trabajo.
49
Al finalizar el estudio de este tema, usted, deber estar en la capacidad de:
Identificar el apoyo documental que requiere el auditor al realizar

cualquier auditora de sistemas computacionales a fin de contar con
el soporte que le permita avalar y testimoniar la aplicacin de
tcnicas, mtodos y procedimientos de auditora.
Respaldar el trabajo de la auditora para satisfacer las necesidades

especficas de soporte documental para la auditora de sistemas.
50
Gua de lecturas
Subtema
7.1 Contenido del legajo de papeles de trabajo
7.1.1 Hoja de identificacin
7.1.2 ndice del contenido de los papeles de trabajo
7.1.3 Dictamen preliminar
7.1.4 Resumen de desviaciones detectadas
7.1.5 Situaciones encontradas
7.1.6 Programa de trabajo de auditora
7.1.7 Gua de auditora
7.1.8 Inventarios
7.1.9 Respaldo de datos (BACKUPS), informacin y programas
7.1.10 Otros documentos que debe contener el legajo de papeles de trabajo
de la auditora
7.1.11 Otros documentos especializados de una auditora de sistemas
7.2 Claves del auditor para marcar papeles de trabajo
7.3 Cuadros, estadsticas y documentos concentradores de informacin
7.3.1 Cuadro de concentracin estadstica
7.3.2 Cuadro de comparacin de informacin
7.3.3 Grficas de cualquier tipo
7.4 Diagramas de sistemas
7.4.1 Diagrama de flujo
7.4.2 Diccionario de datos
7.4.3 Modelos
Pgina
246
249
251
251
252
253
254
255
256
257
260
262
263
265
265
266
266
267
267
268
269
Una de las caractersticas fundamentales de la auditora de sistemas
computacionales y, en general, de cualquier tipo de auditora es el registro
eficiente de la informacin que el auditor recolecta durante su evaluacin. Esa
informacin le sirve para sostener las opiniones que emite en el informe de la
auditora.
Para ello, tiene que recopilar los datos obtenidos durante la auditora y
registrarlos formalmente en documentos. Estos documentos pueden ser
manuscritos, manuales, instructivos, grficas, resultados de procesamientos,
concentrados de bases de datos en disquetes, respaldos (backups) o cualquier
otro medio escrito o electromagntico en los cuales recopilar los hechos,
pruebas, tabulaciones, interpretaciones, as como el anlisis de los datos
obtenidos. Con todo lo anterior, el auditor tendr un apoyo para confirmar los
hechos y validar la informacin, que utilizar como base para elaborar el
informe de auditora.
El soporte fundamental, aparentemente simple, para la auditora, es el registro
de la informacin recopilada en los llamados papeles de trabajo (para el caso
de auditora de sistemas computacionales pueden ser documentos, grficas y
51
medios electromagnticos), en los cuales se anotan los hechos, los

acontecimientos y los fenmenos observados durante la revisin; asimismo,
estos papeles de trabajo se utilizan para transcribir y concentrar los resultados
de entrevistas, cuestionarios, pruebas, encuestas, investigaciones,
observaciones y opiniones del personal auditado.
En una auditora de sistemas computacionales, los papeles de trabajo
representan el sustento para registrar los datos e informacin que se recolectan
durante la evaluacin; sin embargo, por la especialidad de medios que se
utilizan para el registro de la informacin de las reas de cmputo, la
recopilacin de datos se puede realizar en documentos o en medios
electromagnticos de captura y resguardo de datos.
Para que los papeles de trabajo o medios de captura se puedan admitir como
soporte documental de una auditora de sistemas y se utilicen como
fundamento en los resultados y las opiniones que presenta el auditor, es
necesario que tanto en su diseo como en su uso renan ciertos requisitos y
formalidades, que sern determinados previamente por la empresa encargada
de realizar la auditora o por el auditor responsable.
Contenido del legajo de papeles
El legajo de papeles de trabajo, por su naturaleza y contenido, es el aspecto
fundamental para elaborar el dictamen de la auditora y su uso es confidencial y
exclusivo del auditor de sistemas debido a que ste integra en estos papeles
de trabajo los documentos reservados y de uso exclusivo de la empresa, que
recopila durante su revisin y los complementa con los registros, en papel o en
medios electromagnticos, que obtiene como evidencias formales de alguna
desviacin en el rea de sistemas auditada.
A continuacin presentaremos una propuesta para integrar estos papeles:
Hoja de identificacin.
ndice de contenido de los papeles de trabajo.
Dictamen preliminar (borrador).
Resumen de desviaciones detectadas (las ms importantes).
Situaciones encontradas (situaciones, causas y soluciones).
Programa de trabajo de auditora.
Gua de auditoria.
Inventario de software.
Inventario de hardware.
Inventario de consumibles.
Manual de organizacin.
Descripcin de puestos.
Reportes de pruebas y resultados.
Respaldos (backups) de datos, disquetes y programas de aplicacin de
auditora.
9 Respaldos (backups) de las bases de datos y de los sistemas.
9 Guas de claves para el sealamiento de los papeles de trabajo.
9 Cuadros y estadsticas concentradores de informacin.
9
9
9
9
9
9
9
9
9
9
9
9
9
9
52
9 Anexos de recopilacin de informacin

9 Diagramas de flujo, de programacin y de desarrollo de sistemas.
9 Testimoniales, actas y documentos legales de comprobacin y
confirmacin.
9 Anlisis y estadsticas de resultados, datos y pruebas de
comportamiento del sistema.
9 Otros documentos de apoyo para el auditor.
Hoja de identificacin
Esta es la parte frontal del legajo de papeles de trabajo de la auditora de
sistemas computacionales y es el primer documento formal que se identifica en
dicho legajo. Esta portada (figura 7.2) debe contener, como mnimo, los
siguientes datos:
Nombre de la empresa responsable de llevar a cabo la auditora de
sistemas.
Identificacin del legajo de papeles de trabajo.
Nombre de la empresa o rea de sistemas auditada.
Periodo en que se realiz la auditora.
Puesto y cargo del responsable de realizar la auditora.
Fecha de emisin del dictamen final.
ndice del contenido de los papeles de trabajo
En esta parte se elabora la descripcin detallada y se pagina el contenido total
de los papeles de trabajo con el propsito de identificar rpidamente la pgina
en donde se encuentra cada una de las partes que integran este legajo de
papeles.
Dictamen preliminar (borrador)
El auditor utiliza esta seccin para conservar, como papeles de trabajo, el
resultado del dictamen preliminar que present a discusin con los
involucrados en la evaluacin a fin de procesar el anlisis y la consulta
posteriores de todos los aspectos que present en forma de borrador.
Resumen de desviaciones detectadas (las ms importantes)
El auditor elaborar el informe final con base en el anlisis de estas
desviaciones relevantes y lo presentar como informe final y dictamen de
auditora de sistemas computacionales.
Situaciones encontradas (situaciones, causas y soluciones)
En esta parte de los papeles de trabajo se presentan los manuscritos y en
ocasiones los borradores mecanografiados de todas las situaciones
detectadas durante la auditora segn el formato que se propone en el captulo
siguiente y separar, en situaciones encontradas, las causas que las originan y
53
las posibles soluciones. Tambin se anota al responsable de solucionarlas y las

fechas de solucin para cada causa o situacin reportada.
Programa de trabajo de auditora
Es el documento formal (por escrito) de los planes, programas y presupuestos
hechos para el control y desarrollo de la auditora. Este documento se elabora
en un formato especial o en una grfica en la cual se anotan las etapas y
actividades para la evaluacin, as como los tiempos para llevarla a cabo.
Tambin, se anotan los recursos disponibles para realizar todas esas
actividades.
Estos aspectos se deben sealar en forma cronolgica, secuencial y
correctamente coordinada. Los principales conceptos que el auditor debe incluir
como parte del programa son los siguientes:
Primera etapa. Planeacin de la auditora de sistemas computacionales.
Segunda etapa. Ejecucin de la auditora de sistemas computacionales.
Tercera etapa. Dictamen de la auditora de sistemas computacionales.
Gua de auditoria
En este documento se indica cada de los puntos que deber evaluar el auditor,
as como la forma de evaluarlos y la descripcin de las tcnicas, mtodos y
herramientas que deber utilizar en dicha evaluacin, que deben ser diseados
previamente de acuerdo con el tipo de auditora y la especialidad informtica
que se tenga que evaluar en el centro de cmputo de la empresa (vea la figura
7.5).
Inventarios
Una de las principales herramientas que utiliza el auditor de sistemas son los
inventarios, los cuales le sirven para contar los elementos que existen en el
rea que evaluar, segn los equipos, artculos o partes del sistema que se
traten.
A continuacin presentaremos los principales inventarios para el rea de
sistemas:
-
Inventario de software.
Inventario de hardware.
Inventario de bases de datos e informacin de la empresa.
Inventario de proyectos y desarrollos computacionales.
Inventario de puestos de trabajo en el rea de sistemas.
Inventario de reportes de pruebas y resultados.
Inventario de mobiliario y equipos.
Inventario de instalaciones de voz, datos y energa.
Inventario de instalaciones de redes.
54
Inventario de manuales e instructivos.

Inventario de respaldos, disquetes, cintas y sistemas de resguardo de
informacin.
Respaldo de datos (BACKUPS), informacin y programas de aplicacin de

auditora
Los sistemas computacionales tienen caractersticas especficas en cuanto a la
forma de captura, almacenamiento y emisin de informacin; por esta razn,
encontramos que el respaldo de documentos es importante en una auditora de
En este tipo de auditoras los llamados papeles de trabajo adquieren un matiz
muy especial debido a la forma en que se archiva la informacin en ellos; as
encontramos que debemos documentar datos que muchas veces no estn
archivados en papel sino en sistemas computacionales; por lo tanto, debemos
saber cmo capturar, extraer y archivar esa informacin en algn medio
electromagntico de captura y lectura de informacin.
Otros documentos que debe contener el legajo de papeles de trabajo de la
auditora
Debemos sealar que el responsable de la auditora de sistemas es quien debe
definir el contenido y la forma de guardar los papeles de trabajo, y debe
hacerlo de acuerdo con las necesidades especficas de evaluacin, siguiendo,
de preferencia, la forma acostumbrada de captura y almacenamiento de la
informacin recabada en la empresa o rea auditada.
A continuacin, presentamos algunos otros documentos que debe contener el
citado legajo.
Estadsticas y cuadros concentradores de informacin
Anexos de recopilacin de informacin
Testimoniales, actas y documentos legales de comprobacin y
confirmacin.
Anlisis estadstico de resultados, datos y pruebas de
comportamiento del sistema.
Otros documentos especializados de una auditora de sistemas
En el legado de papeles de trabajo tambin se debe anexar la informacin (en
papel o electrnicamente) relacionada con los reportes, anlisis y resultados de
pruebas, configuraciones y exmenes especializados del sistema
computacional, de las instalaciones o de cualquier otro aspecto relacionado con
el rea de sistemas. Tambin, se debe anexar lo relacionado con el
procesamiento de informacin o con cualquier otra actividad informtica.
55

libro de texto).
Claves del auditor para marcar papeles de trabajo
Son las marcas de carcter informal que utiliza exclusivamente el auditor o el
grupo de auditores que realizan la auditora con el fin de facilitar la uniformidad
de los papeles de trabajo y para identificarlos mejor. El auditor en jefe puede
imponer el uso de estos smbolos o pueden ser utilizados por acuerdo del
grupo, aunque tambin puede suceder que no sean utilizados en una auditora.
Cuando alguien del grupo de auditores se encuentra algn documento con
estas marcas, sabe que ste ya ha sido revisado o que tiene una caracterstica
especial en la cual se tiene que advertir alguna observacin de acuerdo con el
significado de los smbolos.
libro de texto).
Cuadros, estadsticas y documentos concentradores de informacin
En esta parte se presentan todos los documentos del legajo de papeles de
trabajo que servirn de soporte para presentar la informacin recopilada
durante la auditora y que es conveniente destacar por su importancia, por su
nivel de informacin y para comprobar las desviaciones plasmadas en las
situaciones detectadas y en las situaciones importantes.
Algunos documentos que pueden ser considerados dentro de este rubro son
los siguientes:
Cuadro de concentracin estadstica.
Cuadro de comparacin de informacin.
Grficas de cualquier tipo.
libro de texto).
Diagramas de sistemas
En el ambiente de sistemas, este diagrama es la representacin grfica de un
procedimiento de sistematizacin, el cual est representado por lneas de flujo
y smbolos que representan algn tipo de actividad, de documento o de una
decisin. Esta simbologa se acuerda previamente para que quienes la vean la
interpreten de la misma manera.
Diagrama de flujo
En este tipo de diagramas se sealan los procedimientos por medio de
smbolos adoptados para ejemplificar el flujo que siguen los datos.
56
Diccionario de datos
Este es otro de los documentos importantes para el auditor, porque le ayuda a
identificar el contenido y la composicin de las bases de datos, su forma, el
tamao de los archivos, el nmero de dgitos por cada registro que ingresa a la
computadora y dems caractersticas que componen una base de datos.
Modelos
Estos documentos son importantes en la evaluacin de los sistemas
computacionales, porque ayudan al auditor a representar la realidad de lo que
evaluar.
El modelo representa la abstraccin grfica de la realidad que el analista o
programador conceptualiza para plasmarla en un documento.
De hecho, en estricto sentido, todas las grficas y los diagramas de flujo, aqu
mostrados, son modelos que representan la realidad.
libro de texto).
57

1- Con el tema de papeles de trabajo, puede conservarse la informacin en
medio magntico un papel de trabajo?
2- Qu se entiende por claves del auditor para marcar papeles de trabajo?
58
Captulo 8
Informes de auditora de sistemas

computacionales
Sumario
Procedimiento para elaborar el informe de auditora de
Caractersticas del informe de auditora de sistemas
computacionales.
Estructura del informe de auditora de sistemas
computacionales.
Formatos para el informe de auditora de sistemas
computacionales.

El propsito de este captulo consiste en que, tanto el auditor
como el estudiante, conozcan la importancia del informe de
auditora y su adecuada presentacin.
59
Redactar, en forma profesional, los informes de auditora de

sistemas computacionales a fin de expresar su opinin y los
resultados de una revisin de manera correcta.
Identificar las caractersticas bsicas de fondo y forma

informe, el procedimiento fundamental para elaborarlo,
estructura que deber tener su presentacin, as como
formatos que se utilizan para una ptima presentacin de
desviaciones encontradas.
60
del
la
los
las
Gua de lecturas
Subtema
8.1 Procedimiento para elaborar el informe de auditora de sistemas
computacionales
8.1.1 Aplicar instrumentos de recopilacin
8.1.2 Registrar en el formato de situaciones encontradas las desviaciones
halladas durante la revisin
8.1.3 Comentar las situaciones encontradas con los auditados
8.1.4 Encontrar, conjuntamente con los auditados, las causas de las
desviaciones y sus posibles soluciones
8.1.5 Analizar, depurar y corregir las desviaciones encontradas
8.1.6 Jerarquizar las desviaciones encontradas y concentrar las ms
importantes en el formato de situaciones relevantes
8.1.7 Comentar las situaciones relevantes con los directivos del rea de
sistemas y confirmar las causas y soluciones
8.1.8 Concentrar, depurar y elaborar el informe final de auditora y el
dictamen del auditor
8.1.9 Presentar el informe y dictamen final a los directivos de la empresa
8.2 Caractersticas del informe de auditora de sistemas computacionales
8.2.1 Caractersticas fundamentales
8.2.2 Caractersticas de la presentacin del informe
8.3 Estructura del informe de auditora de sistemas computacionales
8.3.1 Oficio de presentacin
8.3.2 Introduccin del informe de auditora de sistemas computacionales
8.3.3 Dictamen de la auditora de sistemas computacionales
8.3.4 Situaciones relevantes
8.3.5 Situaciones encontradas
8.3.6 Anexos
8.3.7 Confirmaciones en papeles de trabajo
8.4 Formatos para el informe de auditora de sistemas computacionales
8.4.1 Formato de situaciones encontradas
8.4.2 Formato de situaciones relevantes
Pgina
273
274
275
276
276
277
277
278
279
280
280
281
282
305
307
309
311
316
316
317
317
317
318
322
El informe es el documento ms importante de la auditora de sistemas
computacionales debido que, a travs de ste, se presentan los resultados
obtenidos durante la evaluacin.
En l se plasman, por escrito, las observaciones y el dictamen que emite el
auditor, quien de acuerdo con su experiencia, conocimientos e informacin
recopilada, evala el comportamiento del sistema, la actuacin y el
cumplimiento de su gestin informtica, la realizacin correcta de sus objetivos,
el cumplimiento de sus funciones, actividades y operaciones o cualquier otro
aspecto de sistemas computacionales.
61
Procedimiento para elaborar el informe de auditora de sistemas

computacionales
En el informe de auditora, tambin llamado dictamen, se reportan las
situaciones encontradas durante la evaluacin. Tambin, se deben incluir las
causas que originan esas situaciones y las posibles sugerencias para
solucionar los problemas encontrados.
El procedimiento para elaborar dicho informe se compone de los siguientes
pasos:
Aplicar instrumentos de recopilacin
Con la aplicacin de estos instrumentos, el auditor detecta las posibles
desviaciones a la actividad que est evaluando y, de acuerdo con sus
conocimientos y experiencia, las analiza y las registra.
Registrar en el formato de situaciones encontradas las desviaciones
halladas durante la revisin
El auditor identifica aquellas posibles desviaciones que encontr durante su
evaluacin y elabora un anlisis comparativo de la operacin normal contra la
esperada. Una vez hecho este anlisis, entonces puede definir aquellas
situaciones que considera como desviaciones y las reporta como situaciones
encontradas en su evaluacin.
Comentar las situaciones encontradas con los auditados
Es indispensable que cada una de estas desviaciones sean discutidas con los
empleados, funcionarios o usuarios que fueron auditados, porque, de alguna
manera, stos son los responsables de que se presenten dichas situaciones (o
cuando menos estn involucrados en ellas). El propsito de informarles
consiste en que ratifiquen o rectifiquen el origen de tales desviaciones.
Encontrar, conjuntamente con los auditados, las causas de las
desviaciones y sus posibles soluciones
El verdadero trabajo del auditor consiste en reportar las desviaciones que
encontr durante su evaluacin, encontrar las causas que las originaron y
acordar las posibles soluciones conjuntamente con el auditado. As, se
entiende y debe entenderse la funcin de la auditora de sistemas.
Cuando se produce esta realimentacin con el personal auditado se puede
seleccionar a los posibles responsables del arreglo y la fecha compromiso en
que se puede llegar a solucionar cada una de las desviaciones presentadas.
62
Analizar, depurar y corregir las desviaciones encontradas

Una vez que se comentaron las desviaciones con los auditados y se obtuvieron
sus causas y posibles soluciones, el responsable de la auditora de sistemas
ser el encargado de analizar las desviaciones al vigilar que cada una est
perfectamente plasmada y correctamente redactada en el formato de
situaciones encontradas.
Jerarquizar las desviaciones encontradas y concentrar las ms
importantes en el formato de situaciones relevantes
Una vez que el responsable de la auditora de sistemas haya supervisado que
el informe de desviaciones encontradas est correctamente elaborado, debe
analizar todas las desviaciones reportadas, a fin de escoger las que considere
ms importantes para reportarlas en el formato de situaciones relevantes; el
propsito es enfatizar lo que considera como lo ms importante de la
evaluacin practicada, a fin de que los directivos conozcan los aspectos ms
relevantes.
Comentar las situaciones relevantes con los directivos del rea de
sistemas y confirmar las causas y soluciones
Por lo general, esta reunin es de carcter formal y en ella se reportan todas y
cada una de las situaciones consideradas como relevantes, aunque se pueden
presentar las llamadas situaciones encontradas.
En esta reunin se presentan los resultados de la auditora de sistemas
computacionales y el informe a los directivos del rea auditada se debe emitir
en forma abierta y, preferentemente, en presencia de todo el personal auditado.
Concentrar, depurar y elaborar el informe final de auditora y el dictamen
del auditor
Debido a que el informe es para el rea directiva de la empresa, no debe
exceder de dos a tres hojas. En este informe el auditor slo debe sealar lo
ms relevante de la evaluacin incluyendo su opinin. El informe final debe ser
sencillo, claro y comprensible para ellos. Debe evitarse el uso de trminos
demasiado tcnicos y desconocidos para personas ajenas a la informtica.
Slo se deben destacar los aspectos ms importantes del rea desde el punto
de vista de los directivos y no del personal que maneja los sistemas.
Presentar el informe y dictamen final a los directivos de la empresa
Este ya es el informe final de la auditora practicada y, por lo tanto, no se debe
admitir ningn comentario adicional que pudiera modificar lo ah presentado,
porque es el producto final de la auditora y, por lo tanto, no cabe ninguna
alteracin. De hacerlo, sera tanto como crear expectativas de duda sobre la
veracidad y confiabilidad de su contenido.
63
Por lo general, a esta presentacin, solamente asisten el cuerpo directivo de la

empresa auditada y el cuerpo ejecutivo de la empresa encargada de realizar la
auditora, aunque nada impide que estn presentes tanto el personal del rea
de sistemas auditada como los auditores participantes.
libro de texto).
Caractersticas del informe de auditora de sistemas computacionales
Caractersticas fundamentales
Caractersticas de fondo
Se refieren al cuidado que debe tener el auditor de sistemas al revisar que el
contenido total del dictamen de auditora sea acorde con lo que realmente tiene
que sealar acerca de la revisin efectuada al referirse exclusivamente al
contenido del informe.
Caractersticas de forma
Alude a la manera en que el auditor debe presentar el informe en cuanto al
estilo de redaccin, el contenido en partes, apartados, apndices, tipo y tamao
de las hojas y el tipo de letra.
Caractersticas de la presentacin del informe
Otras de las caractersticas ms importantes de un informe de auditora de
sistemas computacionales son los atributos que deben tener la redaccin y la
presentacin del informe. Para lograr mejores resultados en la elaboracin del
citado informe, el auditor debe tener en cuenta las caractersticas que
proponemos a continuacin:
Claridad
Confiabilidad
Propiedad
Concisin
Sencillez
Acertividad
Ilacin
Tono y fuerza
Oportunidad
Precisin
Exactitud
Imparcialidad
Objetividad
Congruencia
Familiaridad
Veracidad
Efectividad
Positividad
Sintaxis
Caractersticas importantes para el lector del informe de auditora

Adems de las anteriores caractersticas, el informe de auditora se debe
elaborar conservando los siguientes aspectos fundamentales de fondo y forma:
64
Que el informe tenga familiaridad.

Que el contenido del informe sea coloquial.
Que el contenido del informe sea variado.
Que se entregue y comente oportunamente.
Que su lectura sea sencilla.
Que su contenido est fundamentado.
Que su redaccin sea clara.
Que la informacin contenida sea contundente.
Que est redactado en un estilo impersonal.
Que su contenido est sintetizado.
Que su contenido sea ameno y entendible.
Que sea enftico en las situaciones reportadas.

libro de texto).
Estructura del informe de auditora de sistemas computacionales
Existen distintas formas de presentar el informe de auditora de sistemas
computacionales de acuerdo con las preferencias de la empresa o del auditor
que realiza la auditora. A continuacin, proponemos un modelo para
presentarlo.
Oficio de presentacin
Es la primera parte del informe de auditora y se trata de un documento de
carcter oficial que sirve como presentacin del informe. Debe contener, como
mnimo, los siguientes aspectos (vea la figura 8.3).
Logotipo de identificacin.
Nombre de la empresa (o rea interna de auditora).
Fecha de emisin del informe.
Identificacin de la empresa o rea auditada.
Ejecutivo receptor del informe.
Periodo de la evaluacin.
Contenido (o cuerpo del oficio).
Responsable de emitir el dictamen.
Firma del responsable.
Introduccin del informe de auditora de sistemas computacionales.
Es la parte del informe donde el responsable de la auditora presenta
formalmente su trabajo. En este apartado se manifiesta el objetivo de la
auditora, las razones que motivaron a llevarla a cabo y, si es el caso, los
fundamentos que apoyen su realizacin.
La introduccin es frecuentemente la invitacin a seguir leyendo el resto del
informe.
65
Dictamen de la auditora de sistemas computacionales

Tal vez sta sea la parte ms importante de una auditora de sistemas
computacionales y, en muchas ocasiones, lo que ms esperan los directivos de
la empresa o del rea auditada, debido a que es una opinin profesional
respecto al comportamiento de los sistemas.
Otros aspectos que deben incluirse en el informe de auditora son los
siguientes:
Situaciones relevantes
Estos son los documentos oficiales donde el responsable de la auditora
reporta las desviaciones que, segn su criterio, son las ms importantes
encontradas durante el desarrollo de la auditora.
Situaciones encontradas
Se enumeran todas las desviaciones encontradas durante la evaluacin.
Anexos
Son documentos de grficas, cuadros, declaraciones o cualquier otro formato
que servir de soporte para las desviaciones reportadas en el informe final.
Confirmaciones en papeles de trabajo
Estos documentos no se adjuntan al informe; pero, deben conservarse cuando
se presenta el informe, en caso de duda en relacin con algn asunto en
particular.
libro de texto).
Formatos para el informe de auditora de sistemas computacionales
Formato de situaciones encontradas
Este documento, que es uno de los documentos ms importantes para el
desarrollo de cualquier auditora de sistemas, constituye un formato especial
para la recopilacin de situaciones o desviaciones encontradas, el cual est
formado por una serie de hojas (formatos individuales) en las cuales el auditor
anota en manuscrito o tipografa todas las desviaciones que encuentra durante
su evaluacin.
A continuacin, veremos un formato de presentacin para las situaciones
encontradas (ver la figura 8.5).
Identificacin (en la parte superior izquierda del formato)
rea auditada (en la parte central del formato)
66
Fecha de evaluacin (en la parte superior derecha)

Nmero de referencia (columna o)
Situaciones encontradas (columna 1)
Causas de la situacin (columna 2)
Soluciones propuestas (columna 3)
Fecha de compromiso para la solucin (columna 4)
Responsable de la solucin (columna 5)
Elabor la hoja de situaciones, nombre y firma (parte inferior
izquierda)
Formato de situaciones relevantes
Este documento es una rplica simplificada del formato anterior, slo que en
ste nicamente se anotan las situaciones consideradas como relevantes,
resultado del anlisis al documento anterior, es decir, slo se incluyen aquellas
observaciones que a juicio del auditor o del responsable de la auditora son
realmente importantes para el desarrollo de las actividades del rea de
sistemas evaluada.
A continuacin, presentamos una propuesta del formato de situaciones
relevantes, el cual servir de base para las siguientes aplicaciones de auditora
de sistemas (vea la figura 8.6).
Identificacin (en la parte superior izquierda del formato).
rea auditada (en la parte central del formato).
Fecha de evaluacin (en la parte superior derecha).
Nmero de referencia (columna 0).
Situaciones relevantes (columna 1).
Causas de la desviacin (columna 2).
Soluciones propuestas (columna 3).
libro de texto).
67

1- El informe de auditora es el clmax. A partir de un estudio realizado,
explique la importancia de presentar adecuadamente un informe.
2- Qu debemos entender por el trmino oportunidad en la presentacin de
un informe de auditora?
3- En el informe de auditora hay dos conceptos, entre otros, que deben ser
tomados en cuenta por el auditor: la imparcialidad y la objetividad.
Explquelos y relacinelos con el tema de la tica, que se estudi en el
captulo 3.
68
Captulo 9
Instrumentos de recopilacin de informacin

aplicables en una auditora de
Sumario
Entrevistas
Cuestionarios
Encuestas
Observacin
Inventarios
Muestreo
Experimentacin
El propsito de este captulo consiste en que el auditor conozca
acerca de las diferentes herramientas con que puede contar para
la recopilacin de datos e informacin.
69
Identificar los principales instrumentos, tcnicas, herramientas y

mtodos utilizados en la recopilacin de informacin til y
pertinente para realizar una auditora de sistemas fundamentados
en las herramientas y mtodos tradicionales de recopilacin de
informacin de las auditoras tradicionales en el anlisis y diseo
de sistemas y las ciencias sociales.
Conocer la forma de aplicacin y funcionamiento de los principales

instrumentos, tcnicas, herramientas y mtodos en las auditoras
de sistemas computacionales para adaptarlos a las necesidades
especficas del ambiente de sistemas que se requiere auditar.
70
Gua de lecturas
Subtema
9.1 Entrevistas
9.2 Cuestionarios
9.3 Encuestas
9.4 Observacin
9.5 Inventarios
9.6 Muestreo
9.7 Experimentacin
Pgina
329
339
347
359
367
387
409
El auditor debe aprovechar las tcnicas, los procedimientos y las herramientas
tradicionales de auditora aplicables en el rea de sistemas computacionales.
El propsito consiste en que las disee y las utilice para evaluar en forma
correcta el funcionamiento de dicha rea, de la operacin del propio sistema o
de su gestin informtica; por lo tanto, se beneficiar debido a la ya probada
eficiencia y eficacia en otros tipos de auditoras, en las cuales se han
conseguido los resultados esperados.
Entrevistas
Una de las tcnicas ms utilizada por los auditores es la entrevista, porque se
obtiene informacin sobre lo que auditar.
La entrevista podra entenderse como la recopilacin de informacin que se
realiza en forma directa, cara a cara y a travs de algn medio de captura de
datos, es decir, el auditor interroga, investiga y confirma directamente con el
entrevistado sobre los aspectos que audite.
Ciclo de la entrevista de auditora
Es conveniente sealar que, para realizar una entrevista adecuada, es
indispensable entender y seguir un procedimiento bien estructurado. La eficacia
de una adecuada aplicacin de esta tcnica, en las auditoras tradicionales y en
las ciencias sociales, ha sido plenamente comprobada.
El siguiente procedimiento es indispensable para realizar una entrevista
oportuna:
-
Inicio.
Apertura.
Clima o clmax.
Cierre.
71

libro de texto).
Cuestionarios
Es la recopilacin de datos mediante preguntas impresas en cdulas o fichas,
en las que el encuestado responde de acuerdo con su criterio; de esta manera,
el auditor obtiene informacin til que puede concentrar, clasificar e interpretar
por medio de su tabulacin y anlisis, para evaluar lo que est auditando y
emitir una opinin sobre el aspecto investigado.
El cuestionario tiene la gran ventaja de que puede recopilar una gran cantidad
de informacin debido a que contiene preguntas sencillas cuyas respuestas no
implican ninguna dificultad; adems, como en otros mtodos, su aplicacin es
de carcter impersonal y libre de influencias y compromisos para el
entrevistado.
Ventajas
Entre las ventajas tenemos las siguientes:
-
Facilitan la recopilacin de informacin y no se necesitan muchas

explicaciones ni una gran preparacin para aplicarlos.
Permiten la rpida tabulacin e interpretacin de los datos al
proporcionarles la confiabilidad requerida.
Evitan la dispersin de la informacin requerida al concentrarse en
preguntas de eleccin forzosa.
Por su diseo, los cuestionarios son rpidos de aplicar y ayudan a captar
mucha informacin en poco tiempo.
En el ambiente de sistemas es fcil capturar, concentrar y obtener
informacin til a partir de las respuestas, mediante el uso de la
computadora. Incluso, se pueden proyectar los datos y construir
grficas.
Impersonalidad en la aportacin de respuestas; por lo tanto, en una
auditoria ayudan a obtener informacin til y confiable, si se plantean en
forma adecuada las preguntas.
Desventajas
Entre las desventajas, tenemos las siguientes:
-
Falta de profundidad en las respuestas y no se puede ir ms all del

cuestionario.
Se necesita una eleccin pertinente del universo y de las muestras
utilizadas.
Pueden provocar la obtencin de datos equivocados si se formulan
deficientemente las preguntas, si se distorsionan o si se utilizan trminos
ilegibles, poco usados o estereotipados.
72
La interpretacin y el anlisis de los datos pueden ser simples si el

cuestionario no est bien estructurado o no incluye todos los puntos
requeridos.
Limitan la participacin del auditado, porque ste puede evadir
preguntas importantes o se puede escudar en el anonimato que
proporcionan los cuestionarios.
Impersonalidad en la participacin del personal auditado, por lo que la
aportacin de la informacin til para la auditora es limitada.
Denotan la falta de experiencia y pocos conocimientos del auditor que
las aplica, si no plantea ni estructura correctamente las preguntas, lo
cual puede provocar que su trabajo sea rechazado.

libro de texto).
Encuestas
Es la recopilacin de datos concretos sobre un tema especfico mediante el uso
de cuestionarios o entrevistas diseados con preguntas precisas para obtener
las opiniones de los encuestados, las cuales permiten, despus de elaborar
una rpida tabulacin, anlisis e interpretacin de esa informacin, conocer su
punto de vista y actitud hacia un tpico especfico.
Con la aplicacin de encuestas en las auditoras de sistemas se busca que la
forma de recopilar las opiniones sea gil, sencilla y poco complicada para los
encuestados; esto se logra mediante preguntas claras, sencillas y de fcil
entendimiento, a fin de que las respuestas de los encuestados sean concretas
y enfocadas hacia el tema de estudio.
libro de texto).
Observacin
La accin de observar es el hecho de examinar, analizar, advertir o estudiar
algo. En este caso, cuando el auditor de sistemas aplica esta tcnica, observa
lo relacionado con los sistemas de una empresa con el propsito de percibir,
examinar o analizar lo relacionado con los eventos que se presentan en el
desarrollo de las actividades de un sistema, de un centro de sistematizacin, de
la operacin de la computadora o el desempeo de cualquiera de las
actividades que le permitirn evaluar el cumplimiento de las operaciones del
sistema.
libro de texto).
73
Inventarios
Con la aplicacin de esta herramienta de la auditora tradicional, el auditor de
sistemas tambin puede examinar las existencias de los elementos disponibles
para el funcionamiento del rea de informtica o del propio sistema.
Para ello, contabiliza los equipos componentes de los sistemas de cmputo, la
informacin y datos de la empresa, los programas, perifricos, consumibles,
documentos, recursos informticos y los dems aspectos cuya existencia real
se quiere conocer, a fin de comparar dicha existencia (cantidad) con registros
formales de la existencia que debera haber.
En la auditora de sistemas, este mtodo de recopilacin de informacin ayuda
enormemente a realizar una evaluacin adecuada de la gestin administrativa
del rea de sistemas, as como del aprovechamiento, custodia y control de los
bienes informticos que hay en dicha rea.
A continuacin presentamos los principales tipos de inventarios aplicables en el
ambiente de sistemas computacionales:
-
Inventario del software.

Inventario del hardware.
Inventario de documentos.
Inventario de inmuebles, instalaciones, mobiliario y equipos de
sistemas.
Inventario del personal informtico.
Inventario de bases de datos e informacin institucional.

libro de texto).
Muestreo
Una de las tcnicas que ms aporta a la auditora de sistemas computacionales
es el muestreo, porque una aplicacin correcta de los mtodos y los
procedimientos estadsticos ayuda bastantea seleccionar una parte
representativa del universo que se tiene que revisar.
El propsito es obtener la misma informacin o parecida a la que se obtendra
al revisar todo ese universo. De esta manera, el auditor puede determinar el
comportamiento global de todo el universo y con ello puede contar con los
elementos de juicio necesarios para emitir un dictamen apegado a la veracidad
de los hechos auditados.
Esta herramienta es fundamental en la auditora de sistemas debido a que el
auditor apoya en los propios sistemas computacionales para disear la
muestra, seleccionar la probabilidad de la captura de datos y despus procesar
74
esa informacin para elaborar los cuadros y grficas representativos de los

resultados.
Otro aspecto fundamental del muestreo es que mediante programas especiales
de cmputo tambin se pueden hacer simulaciones y proyecciones que son de
gran utilidad en una auditora de sistemas, aunque el muestreo sea
matemtico, estadstico o por computadora.
libro de texto).
Experimentacin
Es la observacin de un fenmeno en estudio, a la que se le adaptan o
modifican sus variables conforme a un plan predeterminado con el propsito de
analizar sus posibles cambios de conducta como respuesta a las
modificaciones que sufre dentro de su propio ambiente o en un ambiente ajeno.
Todo ello, con el fin de estudiar su comportamiento bajo diversas
circunstancias y sacar conclusiones.
En la experimentacin, quien desarrolla la auditora puede participar o no
activamente en la observacin del fenmeno en estudio y, conforme a un plan
preconcebido (el programa de auditora), puede hacer deliberadamente los
cambios necesarios con los cuales modifica, sistemticamente, el
comportamiento del fenmeno en estudio.
Luego, el auditor observa las alteraciones que se presentan con esas
modificaciones, las valora cuantitativa y cualitativamente y analiza las
repercusiones que se presentan durante la experimentacin a fin de ampliar su
conocimiento sobre el fenmeno en estudio para poder emitir un juicio
adecuado respecto a su comportamiento.
libro de texto).
75

1- Una de las tcnicas ms populares para la recopilacin de datos son los
cuestionarios. Mencione tras ventajas y tres desventajas de la utilizacin de
esta tcnica.
2- En qu circunstancias se debe aplicar la tcnica de recopilacin de datos
cuando se trata de los inventarios?
3- Cundo debe aplicar la tcnica del muestreo?
76
Captulo 10
Tcnicas de evaluacin aplicables en una

auditora de sistemas computacionales
Sumario
Examen
Inspeccin
Confirmacin
Comparacin
Revisin documental
Acta testimonial
Matriz de evaluacin
Matriz DOFA

El propsito de este captulo consiste en que el auditor de
sistemas conozca las diferentes tcnicas, herramientas,
procedimientos y mtodos, para ser aplicados, cuando realice la
auditora.
77
Reconocer las principales tcnicas de evaluacin aplicables en

una auditora tradicional.
Identificar los elementos fundamentales para realizar su auditora

de sistemas, as como todos los procedimientos, herramientas,
tcnicas y mtodos que se pueden aplicar en la evaluacin de los
sistemas computacionales, de las reas de sistemas, de las
actividades, funciones y dems operaciones relacionadas con
dichos sistemas.
78
Gua de lecturas
Subtema
10.1 El examen
10.1.1 Examen del comportamiento del sistema
10.2 La inspeccin
10.3 Confirmacin
10.4 Comparacin
10.5 Revisin documental
10.6 Acta testimonial
10.7 Matriz de evaluacin
10.8 Matriz DOFA
Pgina
418
420
425
427
428
430
435
446
454
Como profesional especializado en el ramo, el auditor de sistemas
computacionales utiliza una serie de tcnicas especficas que le ayudan a
examinar y evaluar correctamente los diferentes aspectos del ambiente de
sistemas en el que realizar su trabajo.
A continuacin, presentamos las tcnicas, los mtodos y los procedimientos o
herramientas que analizaremos:
-
El examen.
La inspeccin.
La confirmacin.
La comparacin.
La revisin documental.
El acta testimonial.
La matriz de evaluacin.
La matriz DOFA.
Examen
Consiste en analizar y poner a prueba la calidad y el cumplimiento de las
funciones, las actividades y las operaciones que se realizan cotidianamente en
una empresa y se aplica en un rea o actividad especfica o en una unidad
administrativa completa.
El examen tambin se utiliza para evaluar los registros, planes, presupuestos,
programas, controles y todos los dems aspectos que afectan la administracin
y control de una empresa o de las reas que la integran.
El auditor aplica esta herramienta con el propsito de investigar algn hecho
comprobar, alguna cosa, verificar la forma de realizar un proceso, evaluar la
aplicacin de las tcnicas, los mtodos y los procedimientos de trabajo,
79
verificar el resultado de una transaccin, comprobar la operacin correcta de un

sistema computacional y para evaluar muchos otros aspectos.
Las principales aplicaciones de los exmenes en una auditora de sistemas
computacionales son las siguientes:
Examen del comportamiento del sistema
Esta aplicacin se refiere a las pruebas que aplica el auditor e, incluso, el
propio desarrollador de un sistema con el propsito de saber cmo se comporta
el sistema en los distintos ambientes en donde se realiza su operacin normal.
Examen de los resultados del sistema
Es la aplicacin de las pruebas necesarias al ciclo normal de captura,
procesamiento y emisin de la informacin procesada en el sistema
computacional de la empresa por medio de exmenes especficos del
comportamiento, velocidad, exactitud y dems caractersticas del
procesamiento de los datos.
Pruebas de implantacin
Son las comprobaciones previas a la implantacin de un sistema
computacional con el fin de verificar si el diseo del nuevo sistema corresponde
al comportamiento real de dicho sistema.
Pruebas del sistema
Es la sucesin de pruebas, exmenes y comprobaciones de la actividad del
sistema computacional en cuanto a la confiabilidad de su operacin, el
procesamiento de informacin, el funcionamiento de sus perifricos y equipos
asociados, su arquitectura, el funcionamiento de sus procesadores, la
velocidad de stos, el trabajo de las memorias, la lectura y grabacin correctas
de informacin en los dispositivos externos y las dems pruebas que se
realizan al sistema, con el propsito de conocer y evaluar su funcionamiento.
Pruebas de los programas de aplicacin
Se conocen como pruebas de escritorio. Son las experimentaciones del diseo
de un nuevo proyecto de sistemas a travs de pruebas que se realizan de
manera manual, mecnica o electromecnica (o tambin por medio de algn
modelo) al comparar, uno por uno, todos los pasos que supuestamente
seguiran las rutinas de procesamiento de informacin del nuevo sistema con el
propsito de localizar las posibles deficiencias del nuevo proyecto.
Pruebas del sistema operativo
Son las rutinas de verificacin y comprobacin instaladas dentro del propio
sistema computacional, las cuales se activan cuando inicia el sistema
operativo.
80
El propsito de estas pruebas es verificar el funcionamiento del procesador, de

sus componentes, las memorias, los sistemas de operacin y procesamiento,
los buses de conexin (conexiones del sistema) y funcionamiento de los
perifricos, comunicaciones y dems partes que hacen funcionar el sistema.
Pruebas de encendido del sistema
Son las verificaciones y comprobaciones que el sistema, al encender, realiza
de sus componentes, perifricos y programas de operacin y procesamiento.
Estas revisiones tambin se realizan por medio de rutinas y procedimientos de
verificacin internos diseados por los fabricantes del sistema.
Exmenes de las instalaciones del centro de cmputo
Es la verificacin y evaluacin del funcionamiento de las instalaciones de un
centro de cmputo, de sus comunicaciones, sus sistemas elctricos, sus
conexiones entre componentes, sus sistemas de aire acondicionado, las
medidas de prevencin para evitar y combatir incendios, inundaciones y dems
riesgos internos o externos, as como de los sistemas de seguridad y planes de
contingencias y, en s, de todos los aspectos que repercuten en el
funcionamiento del rea de sistemas de la empresa.
libro de texto).
Inspeccin
En la auditora de sistemas computacionales, la tcnica de inspeccin est
relacionada con la aplicacin de los exmenes para evaluar el funcionamiento
de dichos sistemas en cuanto a eficiencia y eficacia en relacin con la
operacin y el procesamiento de datos.
Lo mismo ocurre para la gestin administrativa de un centro de cmputo, en
donde se efecta una inspeccin detallada con el propsito de evaluar el
cumplimiento de sus funciones, actividades, estructura organizacional y dems
aspectos administrativos.
La inspeccin se realiza a cualquiera de las actividades, operaciones y
componentes que rodean los sistemas. Con esta tcnica se puede evaluar,
verificar y juzgar el funcionamiento de los sistemas computacionales de la
empresa as como la realizacin adecuada de todas sus actividades.
libro de texto).
Confirmacin
Uno de los aspectos fundamentales para la credibilidad de una auditora es la
confirmacin de los hechos y la certificacin de los datos obtenidos durante la
81
revisin, porque el resultado final de una auditora es la emisin de un dictamen

en el que auditor vierte sus opiniones; pero, para que el dictamen sea
plenamente aceptado, es necesario garantizar la veracidad y confiabilidad de
los datos veraces y confiables y que las tcnicas y mtodos utilizados para la
auditora se consoliden como los adecuados.
Un auditor jams puede fundamentar sus opiniones en suposiciones y
conjeturas falsas ni emitir juicios basados en datos que no sean verdicos o que
no estn certificados plenamente o en datos obtenidos con tcnicas y
herramientas de auditora, que no garanticen la comprobacin de la
informacin recabada.
libro de texto).
Comparacin
Otra de las tcnicas utilizadas en el desarrollo de cualquier auditora es la
comparacin de los datos obtenidos de un rea o de toda la empresa. Se debe
cotejar esa informacin contra datos similares o iguales de un rea o empresa
con caractersticas semejantes. Con la comparacin de la informacin se
pueden encontrar similitudes y diferencias entre ambas reas o empresas, con
lo cual se pueden conjeturar y deducir las desviaciones encontradas.
La utilidad de esta herramienta radica en que evala datos similares o iguales
entre dos entidades (la analizada y una similar); as, se obtiene informacin
relevante para la evaluacin de la entidad evaluada, porque se compara la
forma en que debera funcionar y la forma en que est funcionando en relacin
con la otra entidad.
libro de texto).
Revisin documental
Una de las herramientas tradicionales y quiz, de las ms utilizadas en
cualquier auditora, es la revisin de los documentos que avalan los registros
de operaciones y actividades de una empresa, principalmente en aquellos
casos donde la evaluacin est enfocada a los aspectos financieros, el registro
de los activos de la empresa y a cualquier otro aspecto contable y
administrativo.
Esta tcnica se aplica al verificar el registro correcto de datos en documentos
formales de la empresa y, con mucha frecuencia, en la emisin de sus
libro de texto).
82
Acta testimonial
El acta testimonial es un documento de carcter formal que, por su
representatividad, importancia y posibles alcances de carcter legal y jurdico,
constituye uno de los documentos vitales para cualquier auditora.
Este documento no slo sirve de testimonio para comprobar, corroborar,
ratificar o evidenciar cualquier evento que ocurra durante la revisin, sino que
es tal su alcance que se puede convertir en un documento de carcter legal,
probatorio de alguna anomala de tipo jurdico, penal o de cualquier otro
aspecto legal. Por esta razn, resulta fundamental que el auditor sepa
elaborarla correctamente.
La utilidad de esta herramienta radica en que con su uso se pueden evidenciar
pruebas fehacientes, circunstanciales, probatorias y, en algunos casos,
jurdicas para comprobar desviaciones en el rea auditada.
Incluso, se pueden utilizar para comprobar manejos dolosos, desviaciones de
recursos o cualquier otro tipo de indecencias que el auditor descubra durante
su evaluacin y que, al plasmarlas en actas testimoniales, fundamenten
posibles acciones posteriores a la evaluacin o durante la misma evaluacin.
libro de texto).
Matriz de evaluacin
La matriz de evaluacin es uno de los documentos de recopilacin ms
verstiles y de mayor utilidad para el auditor de sistemas computacionales
debido a que, por medio de este documento, es posible recopilar una gran
cantidad de informacin relacionada con la actividad, operacin o funcin que
se realiza en estas reas informticas as como apreciar anticipadamente el
cumplimiento de dichas actividades.
Esta herramienta consiste en una matriz de seis columnas, de las cuales la
primera corresponde a la descripcin del aspecto que ser evaluado y las otras
cinco a un criterio de calificacin descendente (o ascendente) en las que se
anotan los criterios de evaluacin para acceder a esa calificacin.
libro de texto).
Matriz DOFA (FODA)
Este es un mtodo moderno de anlisis y diagnstico administrativo de gran
utilidad para la evaluacin de un centro de cmputo debido a que no slo
permite recopilar informacin ms verstil, sino que admite evaluar el
desempeo de los sistemas computacionales; asimismo, por medio de este
documento se puede tener una apreciacin preliminar sobre las fortalezas y
83
debilidades del propio centro de informacin de la empresa y se pueden

analizar sus posibles amenazas y reas de oportunidad.
Con dicho anlisis, el auditor evala el cumplimiento de la misin y objetivo
general del rea de sistemas computacionales de la empresa.
libro de texto).
84

1- Una de las herramientas de evaluacin que utiliza el auditor en el rea de
sistemas es el examen. A qu se refiere cuando se dice que el auditor
debe efectuar pruebas de implantacin? Cmo se aplican?
2- Qu debe incluir una evaluacin de las instalaciones de un centro de
cmputo?
3- Qu es el acta testimonial?
85
86
Captulo 11
Tcnicas especiales de auditora de

Sumario
Guas de evaluacin
Ponderacin
Modelos de simulacin
Evaluacin
Diagrama del crculo de evaluacin
Lista de verificacin
Anlisis de la diagramacin de sistemas
Diagrama de seguimiento de una auditora de sistemas
computacionales
Programas para revisin por computadora
El propsito de este captulo consiste en brindar tanto al auditor
como al estudiante una serie de tcnicas especiales, que
complementen las vistas en el captulo anterior, que le sern de
gran utilidad de acuerdo con el tipo de auditora que realice.
87
Dar a conocer las tcnicas, mtodos y herramientas especiales

que pueden ser aplicables en la auditora de sistemas
computacionales.
Reconocer la forma de aplicacin y el funcionamiento en la

evaluacin de los aspectos tcnico-computacionales de las
empresas y, al contar con ese conocimiento, aplicar dichas
herramientas para cualquier otra necesidad especfica de auditora
de sistemas.
88
Gua de lecturas
Subtema
11.1 Guas de evaluacin
11.2 Ponderacin
11.3 Modelos de simulacin
11.3.1 Simulacin a travs de modelos de metodologa de sistemas
11.3.2 Simulacin a travs de diagramas de flujo de sistemas
11.3.3 Simulacin a travs del diseo de circuitos lgicos
11.4 Evaluacin
11.4.1 Evaluacin de la gestin administrativa del rea de sistemas
11.4.2 Evaluacin del equipo de cmputo
11.4.3 Evaluacin integral de sistemas
11.4.4 Evaluaciones con el apoyo de la computadora
11.4.5 Evaluaciones sin el uso de la computadora
11.4.6 Evaluaciones de los controles en sistemas computacionales
11.4.7 Evaluaciones de otros aspectos de sistemas computacionales
11.4.8 Importancia de las evaluaciones de sistemas computacionales
11.5 Diagrama del crculo de evaluacin
11.6 Lista de verificacin (lista de chequeo)
11.7 Anlisis de la diagramacin de sistemas
11.7.1 Modelos de sistemas
11.7.2 Diccionario de datos
11.7.3 Diagrama Nassi-Schneiderman
11.8 Diagrama de seguimiento de una auditora de sistemas
computacionales
11.9 Programas para revisin por computadora
11.9.1 Programas de revisin elaborados por desarrolladores
Pgina
478
487
494
497
501
502
505
508
510
517
519
521
521
523
530
531
535
537
538
539
540
549
553
554
En la auditoria de sistemas computacionales se utilizan mltiples herramientas
y tcnicas tradicionales de la auditora que permiten hacer una eficiente
revisin al funcionamiento de los sistemas de cmputo, a su gestin informtica
y a los diferentes aspectos del ambiente de sistemas.
Sin embargo, como profesional especializado en la evaluacin de los sistemas
de cmputo, el auditor de sistemas tambin debe conocer y utilizar otras
herramientas, tcnicas y procedimientos especficos del rea de informtica,
los cuales le ayudan a examinar y evaluar con mayor eficiencia los aspectos
propios de la actividad computacional.
Guas de evaluacin
Las guas de auditora son las herramientas ms utilizadas y, quiz, las ms
importantes en cualquier auditora de sistemas computacionales. Estas guas
son un documento formal que indica el procedimiento de evaluacin que debe
89
seguir el auditor; asimismo, en este instrumento, se indican todos los puntos,

aspectos concretos y reas que deben ser revisados, as como las tcnicas,
herramientas y procedimientos que deben ser utilizados en la auditora de
Para cualquier auditor, con experiencia o sin ella, la gua de evaluacin es un
documento que le permitir realizar, en forma eficiente y efectiva, su
reconocimiento de auditora para cualquier aspecto relacionado con los
sistemas computacionales, porque en esta gua se le indica todo el
procedimiento que debe seguir, los puntos que debe evaluar y las herramientas
que debe utilizar para su revisin, que incluya la manera de aplicarlas.
libro de texto).
Ponderacin
La ponderacin es una tcnica especial de evaluacin mediante la cual se
procura darle un peso especfico a cada una de las partes que sern
evaluadas. Su objetivo es tratar de compensar el valor que les asignamos a las
actividades o tpicos que tienen poca importancia en la evaluacin en relacin
con los que tienen mayor peso e importancia.
Esta tcnica de evaluacin permite equilibrar las posibles descompensaciones
que existen entre las reas o sistemas computacionales que tienen mayor peso
e importancia y las reas o sistemas que tienen poco peso e importancia en la
evaluacin. Lo que se busca con la ponderacin es que todas las reas tengan
un valor similar y respetar, en cada caso, el peso e importancia representativos
que tienen para el sistema computacional o para todo el centro de cmputo.
libro de texto).
Modelos de simulacin
Esta herramienta es una de las ms utilizadas para el anlisis y diseo de
sistemas. Tambin, puede ser de mucha utilidad para la auditora de sistemas
computacionales, porque mediante el uso del modelo, conceptual o fsico.
Se simula el comportamiento de un sistema computacional de un programa, de
una base de datos, de una operacin, de una actividad o de cualquier tarea de
sistemas que tenga que ser revisada, con el propsito de investigar cul es, fue
o ser el comportamiento del fenmeno de sistemas en estudio, bajo ciertas
condiciones y caractersticas concretas en las que se presentan todas las
simulaciones necesarias que se asemejen al medio ambiente real en donde
acta dicho fenmeno para valorar su autntico aprovechamiento, sus
eficiencias y deficiencias de funcionamiento y sus principales problemas, entre
otros.
90
El uso de esta tcnica de simulacin es indispensable para el trabajo de los

desarrolladores de nuevos sistemas, porque permite elaborar un ambiente
anlogo al del nuevo sistema con el fin de estudia su posible comportamiento.
Una vez estudiado el posible comportamiento del sistema, se pueden obtener
conclusiones para corregir sus fallas de funcionamiento, as como sus
principales problemas antes de implantar dicho sistema.
Con el uso de modelos concretos o de pruebas de simulacin tambin se
pueden evaluar la integridad, seguridad y confiabilidad de la informacin
contenida en las bases de datos originales, as como verificar la existencia de
redundancias, alteraciones y comportamientos irregulares de la informacin
contenida en esas bases de datos.
Adems, se puede simular, por medio de modificaciones controladas en el
prototipo del sistema original, el acceso al sistema, la proteccin, el ingreso a
las bases de datos e, incluso, el comportamiento de los usuarios del sistema o
el manejo de los datos.
La utilidad de la simulacin radica en que se pueden confeccionar pruebas
controladas o libres que permiten realizar una buena evaluacin al sistema sin
necesidad de alterar el funcionamiento del sistema original. En este tipo de
observacin, se pueden aplicar las pruebas en sistemas paralelos: uno es el
propio sistema con datos reales o ficticios y el otro es un modelo semejante al
sistema que ser evaluado.
Algunos de estos modelos de simulacin son los siguientes:
Simulacin a travs de modelos de metodologa de sistemas.
Simulacin a travs de diagramas de flujo de sistemas.
Simulacin a travs del diseo de circuitos lgicos.
Simulacin a travs de otros documentos grficos.
libro de texto).
Evaluacin
La evaluacin es una de
auditora y es considerada
actividad, porque permite
cuantificado (o cualificado)
evaluando.
las tcnicas ms comunes en cualquier tipo de

como la herramienta tpica para auditar cualquier
determinar, mediante pruebas concretas, si lo
es lo que se esperaba obtener de lo que se est
As, se determina si se est cumpliendo con la actividad revisada conforme a lo

que se esperaba de ella.
En esta tcnica se aplica el principio fundamental del control: establecer
parmetros de medicin, recopilacin de informacin y comparacin de lo
realmente alcanzado con lo planeado y con el resultado obtenido se
realimentan los resultados de esta evaluacin.
91
En ambos casos, evaluacin de carcter cuantitativo o cualitativo, el resultado

ser determinado por la posible diferencia que se encuentre entre el valor
esperado y el valor obtenido mediante las pruebas de auditora que se hayan
utilizado.
Despus se contina con la realimentacin a travs de la elaboracin y
presentacin del informe para su valoracin y solucin.
A continuacin, presentaremos los principales tipos de auditora en donde se
aplica la evaluacin:
Evaluacin de la gestin administrativa del rea de sistemas.
Evaluacin del equipo de cmputo.
Evaluacin integral de sistemas.
Evaluaciones con el apoyo de la computadora.
Evaluaciones sin el uso de la computadora.
Evaluaciones de los controles en sistemas computacionales.
Evaluaciones de otros aspectos de sistemas computacionales.
Evaluacin de los sistemas de redes.
Evaluacin del servicio OUTSOURCING
Evaluacin de la funcin ergonmica de los sistemas.
Evaluacin de la calidad ISO-9000 aplicable a los sistemas.
Evaluacin de los proveedores y distribuidores de sistemas.
libro de texto).
Diagrama del crculo de evaluacin
Con esta herramienta de apoyo para la evaluacin de los sistemas
computacionales se puede valorar, visualmente, el comportamiento de los
aspectos de los sistemas que estn siendo auditados, as como su
cumplimiento y limitaciones (ver figura 11.7).
A continuacin, se indican algunos ejemplos de aspectos comunes que pueden
ser evaluados mediante esta herramienta:
Para evaluar la seguridad en el rea de sistemas computacionales (en este
caso siete sectores):
-
Seguridad en el acceso fsico al rea de sistemas.

Seguridad en el acceso y uso de las bases de datos.
Seguridad en el mantenimiento y resguardo de las bases de datos e
informacin.
Seguridad del personal informtico.
Seguridad de las instalaciones del rea de sistemas.
Plan contra contingencias del rea de sistemas.
Seguridad lgica del sistema.
92
Para la evaluacin administrativa del rea de sistemas (en este caso 11

sectores):
-
Evaluacin de la misin, visin y objetivos del rea de sistemas.

Evaluacin de las estrategias, planes y programas del rea de sistemas.
Evaluacin de la estructura de organizacin del rea de sistemas, en lo
relacionado con las funciones, actividades y tareas, lneas de autoridad y
responsabilidad.
Perfil de puestos del rea de sistemas.
Documentacin de sistemas.
Seguridad y proteccin de los activos informticos.
Instalaciones del rea de sistemas.
Capacitacin y promocin del personal del rea de sistemas
computacionales.
Desarrollo de proyectos informticos.
Estandarizacin de metodologas, programas, equipos y sistemas
Mobiliario, equipos y componentes del sistema.
Para la evaluacin de los sistemas computacionales (en este caso 8 sectores):

-
Diseo lgico del sistema computacional.

Diseo fsico del sistema computacional.
Controles de acceso y salida de datos.
Controles de procesamiento de informacin.
Controles de almacenamiento de datos.
Controles de seguridad.
Controles para la operacin del sistema.
Aspectos tcnicos del sistema.

libro de texto).
Lista de verificacin (o lista de chequeo)
Este es uno de los mtodos de recopilacin y evaluacin de auditora ms
sencillos, cmodos y fciles de utilizar debido a la simplicidad de su
elaboracin, la comodidad en su aplicacin y por la facilidad para encontrar
desviaciones, lo cual la hace una de las herramientas ms confiables y
utilizables para cualquier revisin de sistemas computacionales; asimismo, se
aplica tanto para el rea de sistemas, para la gestin administrativa o cualquier
otra funcin informtica.
Esta herramienta consiste en la elaboracin de una lista ordenada, en la cual
se anotan todos los aspectos que se tienen que revisar del funcionamiento de
un sistema, de sus componentes, del desarrollo de una actividad, del
cumplimiento de una operacin o de cualquier otro aspecto relacionado con la
evaluacin del rea de sistemas. Esta lista se complementa con una o varias
columnas en las que se califica el cumplimiento del aspecto evaluado.
93

libro de texto).
Anlisis de la diagramacin de sistemas
Esta es una de las principales herramientas de apoyo para el anlisis y diseo
de los sistemas computacionales y es de las que ms utilizan los
desarrolladores de sistemas debido a que, por medio de estos diagramas el
analista, se pueden representar los flujos de informacin, actividades,
operaciones, procesos y los dems aspectos que intervendrn en el desarrollo
de los propios sistemas; adems, por medio de los diagramas, el programador
puede visualizar el panorama especfico del sistema para elaborar de manera
ms precisa la codificacin de instrucciones del programa.
El auditor de sistemas computacionales tambin puede evaluar el desarrollo
correcto los proyectos de sistemas que se realizan en la empresa, porque le
permite considerar si el flujo de informacin es acorde con las necesidades del
programa y si las operaciones y actividades que se realizan satisfacen los
requerimientos.
El uso de esta herramienta de anlisis y diseo de sistemas puede ser de gran
ayuda para auditar el desarrollo de proyectos informticos de la empresa, las
acciones de cmputo que se satisfacen con dichos proyectos y la forma en que
los usuarios operan el sistema.
Modelos de sistemas
Los modelos de sistemas se utilizan para tratar de interpretar una realidad
acerca de las necesidades informticas del usuario al identificar el
comportamiento que tendr el sistema a travs de sus distintos procesos,
actividades y componentes, que el auditor puede evaluar de manera grfica y
sencilla (ver figura 11.9).
Diccionario de datos
El diccionario de datos se aplica principalmente en el desarrollo de las bases
de datos de un sistema para determinar cada uno de los campos de datos, el
tipo, tamao y descripcin de los datos que contendrn dichas bases de datos,
(ver figura 11.10).
Diagrama Nassi-Schneiderman
Al igual que los diagramas de sistemas anteriores, los desarrolladores de
sistemas computacionales tambin utilizan este diagrama grfico para el
anlisis y diseo del software estructurado de un nuevo sistema. En este
diagrama grfico se definen, lo ms objetiva y claramente posible, procesos,
decisiones e iteraciones del sistema a fin de sealar grficamente todas las
acciones que seguir el programa para su funcionamiento adecuado (ver la
figura 11.11).
94

libro de texto).
Diagrama de seguimiento de una auditora de sistemas computacionales
El uso de esta tcnica, tambin conocida como mapa conceptual de
evaluacin, es utilidad en una auditora de sistemas computacionales, porque
permite elaborar un mapa conceptual de todos los aspectos de los sistemas en
evaluacin.
Al utilizar esta tcnica, se le proporciona un seguimiento concreto de todas y
cada una de las partes que componen el sistema, lo cual permite que el auditor
tenga un panorama completo del sistema a fin de evaluar integralmente todos
sus aspectos. Los diagramas de seguimiento se usan tanto para la gestin
informtica, para la seguridad del sistema, los componentes del sistema o
cualquier otro aspecto informtico en evaluacin.
Esta herramienta informtica se aplica mediante un diagrama descriptivo del
sistema, de tipo secuencial descendente, con sangras significativas de
izquierda a derecha, la cuales sealan cada una de las partes que integran el
aspecto de sistemas auditado, de tal manera que el auditor pueda identificarlas.
Con ello, logra un panorama general de lo que est auditando y puede sealar
las principales observaciones que encuentra, as como las partes que se ven
afectadas por esas desviaciones. Si esta herramienta se aplica correctamente,
evidenciar los aspectos de sistemas involucrados as como sus posibles
desviaciones.
libro de texto).
Programas para revisin por computadora
Esta tcnica es de las ms utilizadas en cualquier auditora de sistemas
computacionales debido a que permite revisar, desde la misma computadora y
mediante un programa especfico, el funcionamiento del sistema, de una base
de datos, de un programa especial o de alguna aplicacin de inters, ya sean
sus procesamientos, su funcionamiento interno, el aprovechamiento de las
aplicaciones informticas, el consumo de recursos, los resultados del
procesamiento de informacin o el comportamiento especfico de alguna
actividad administrativa, entre otros aspectos.
Esta herramienta tiene dos vertientes importantes; por un lado, el uso de
programas especficos, previamente diseados por desarrolladores de
sistemas con el propsito de evaluar aspectos especficos de sistemas de
contabilidad, nminas o cualquier otro aspecto especial de la gestin
administrativa de la empresa o de los propios sistemas computacionales.
Por otro lado, el diseo de programas concretos que el auditor desarrolla le
permiten evaluar aspectos concretos que desea auditar, los cuales pueden ser
95
desde aspectos netamente de sistemas, casos concretos de gestin

informtica, el funcionamiento interno del sistema, su arquitectura o su
procesamiento de datos. Algunas veces hasta la revisin interna del sistema,
en cuanto al hardware, software, componentes, instalaciones y aspectos
tcnicos del sistema.
libro de texto).
96

1- Explique en qu consiste la tcnica de auditora de sistemas denominada
simulacin.
2- Por qu la auditora de sistemas computacionales debe incluir entre sus
objetivos de auditoria a los proveedores y distribuidores de sistemas?
3- En qu consiste la tcnica de auditora llamada lista de verificacin o lista
de chequeo?
4- Dentro de los programas para la revisin por computadora hay unos que son
elaborados por el mismo auditor. En otras palabras, debe el auditor de
sistemas ser un experto desarrollador de programas? Explique.
97
98
Captulo 12
Propuesta de puntos que se deben

evaluar en una auditora de
Sumario
Auditora con la computadora
Auditora sin la computadora
Auditora a la gestin informtica del rea de sistemas
Auditora al sistema computacional
Auditora alrededor de la computadora
Auditora de la seguridad de los sistemas computacionales
Auditora a los sistemas de redes
Auditora outsourcing en los sistemas computacionales
Auditora ISO-9000 a los sistemas computacionales
Auditora ergonmica de los centros de cmputo
Auditora integral a los centros de cmputo
El propsito de este captulo consiste en que el auditor conozca
acerca de las herramientas con que puede contar de acuerdo con
el tipo de auditora que vaya a realizar.
99
Identificar los diferentes tipos de auditora de sistemas computacionales.
Reconocer los puntos especficos que el auditor debe considerar para

aplicarlos de acuerdo con la actividad de sistemas que tenga que auditar.
100
Gua de lecturas
Subtema
12.1 Auditora con la computadora
12.2 Auditora sin la computadora
12.3 Auditora a la gestin informtica del rea de sistemas
12.4 Auditora al sistema computacional
12.4.1 Auditora al sistema computacional segn las caractersticas de su
hardware
12.4.2 Auditora al sistema computacional segn las caractersticas de su
software
12.4.3 Auditora al diseo lgico del sistema
12.4.4 Auditora al diseo fsico del sistema
12.4.5 Auditora a la administracin y control de accesos y salidas de datos
12.4.6 Auditora a la administracin y control del procesamiento de datos
12.4.7 Auditora a los controles de almacenamiento
12.4.8 Auditora a los controles de seguridad del sistema computacional
12.4.9 Auditora a los controles adicionales para la operacin del sistema
12.4.10 Auditora a la administracin del rea de sistemas computacionales
12.4.11 Sugerencias de herramientas, tcnicas y procedimientos aplicables
en la auditora de sistemas computacionales
12.5 Auditora alrededor de la computadora
12.6 Auditora de la seguridad de los sistemas computacionales
12.7 Auditora a los sistemas de redes
12.7.1 Evaluacin del diseo, instalacin y aprovechamiento de la red de
cmputo
en la auditora a los sistemas de redes
12.8 Auditora outsourcing en los sistemas computacionales
12.8.1 Auditora a los sistemas, personal informtico, instalaciones,
comunicacin y dems aspectos relativos al prestador de los servicios
outsourcing
12.8.2 Evaluacin de la forma en que la empresa contratante recibe el
servicio outsourcing
12.8.3 Evaluacin del servicio HelpDesk (ayuda en lnea) de la empresa
en la auditora outsourcing en los sistemas computacionales
12.9 Auditora ISO-9000 a los sistemas computacionales
en la auditora ISO-9000 a los sistemas computacionales
12.10 Auditora ergonmica de los centros de cmputo
12.10.1 Auditora de las repercusiones de los sistemas computacionales en
la salud visual del usuario
12.10.2 Evaluacin de las repercusiones en la salud de la espalda, columna
vertebral, trax, cuello, nuca, piernas y pies a causa de la posicin que
adoptan los usuarios
12.10.3 Evaluacin de las repercusiones musculares-esquelticas de
manos, muecas, dedos y brazos del usuario
12.11 Auditora integral a los centros de cmputo
101
Pgina
559
569
578
584
586
588
591
591
593
593
594
595
596
596
597
600
610
621
623
637
641
645
649
652
655
660
665
668
670
671
673
677
12.11.1 Tipos de auditora integral de sistemas

en la auditora integral a los centros de cmputo
678
684
En los siguientes captulos tambin sealamos los principales elementos de
sistemas que se deben tomar en cuenta en cada uno de los tipos de auditora
ah propuestos.
A continuacin, se analizar la manera de aplicar cada uno de los tipos de
auditora sugeridos a fin de que el lector conozca los puntos que debe
considerar al planear su auditora de sistemas computacionales de acuerdo con
las necesidades especficas de evaluacin de sistemas de la empresa que
audite.
Auditora con la computadora
Podemos definir este tipo de auditora de la siguiente manera:
Es la auditora que se realiza con el apoyo de los equipos de cmputo y sus
programas para evaluar cualquier tipo de actividades y operaciones, no
necesariamente computarizadas pero s susceptibles de ser automatizadas;
dicha auditora se realiza tambin a las actividades del propio centro de
sistemas y a sus componentes.
La principal caracterstica de este tipo de auditora es que, sea en un caso o en
otro, o en ambos, se aprovecha la computadora y sus programas para la
evaluacin de las actividades que se revisarn, de acuerdo con las
necesidades concretas del auditor al utilizar, en cada caso, las herramientas
especiales del sistema y las tradiciones de la propia auditora.
Este tipo de revisiones de auditora se puede clasificar de acuerdo con las
siguientes aplicaciones especficas:
-
Uso de la computadora y aplicaciones exclusivamente en auditoras de

los sistemas computacionales de la empresa.
Uso de la computadora y aplicaciones exclusivamente en auditoras de
las dems reas de la empresa.
Auditoras con la computadora y aplicaciones, en combinacin con las
herramientas tradicionales, para evaluar los sistemas computacionales.

libro de texto).
102
Auditoria sin la computadora

Es la auditora cuyos mtodos, tcnicas y procedimientos estn orientados
nicamente a la evaluacin tradicional del comportamiento y validez de las
transacciones econmicas, administrativas y operacionales de un rea de
secciones econmicas, administrativas y operacionales de un rea de cmputo
y, en s, de todos los aspectos que afectan a las actividades en las que se
utilizan sistemas informticos. Dicha evaluacin se realiza sin el uso de los
Se evala tanto a la estructura de organizacin, funciones y actividades de
funcionarios y personal de un centro de cmputo, as como a los perfiles de sus
puestos, a los reportes, informes y bitcoras de los sistemas a la existencia y
aplicacin de planes, programas y presupuestos en dicho centro, as como del
uso y aprovechamiento de los recursos informticos para la realizacin de
actividades, operaciones y tareas.
Asimismo, es la evaluacin de los sistemas de seguridad y prevencin de
contingencias, de la adquisicin y uso del hardware, software y personal
informtico y, en s, de todo lo relacionado con el centro de cmputo, pero sin
el uso directo de los sistemas computacionales.
A continuacin, presentamos algunas gestiones concretas de carcter
administrativo que pueden ser evaluadas en forma tradicional:
-
Auditora a la actividad administrativa del centro de cmputo.

Auditora a la gestin financiera del centro de cmputo.
Auditora a la operacin de los sistemas.
Auditora al desarrollo de los proyectos de sistemas computacionales.
Auditora a las tcnicas y sistemas de procesamiento.
Auditora a los sistemas de seguridad y prevencin de contingencias.
Auditora a los consumibles para el funcionamiento de los sistemas.
Auditora del uso y acceso a los sistemas y programas computacionales.

libro de texto).
Auditoria a la gestin informtica del rea de sistemas
Es la auditora cuya aplicacin se enfoca exclusivamente a la revisin de las
funciones y actividades de tipo administrativo, que se realizan dentro de un
centro de cmputo tales como la planeacin, organizacin, direccin y control
de dicho centro.
103
Esta auditora tambin se realiza con el fin de verificar el cumplimiento de las

funciones y actividades asignadas a los funcionarios, empleados y usuarios de
las reas de sistematizacin, as tambin para revisar y evaluar las
operaciones del sistema. El uso y la proteccin de los sistemas de
procesamiento, de los programas y de la informacin.
Se aplica tambin para verificar el desarrollo correcto, instalacin,
mantenimiento y explotacin de los sistemas computacionales, as como de
sus equipos e instalaciones con el propsito de dictaminar sobre la adecuada
gestin administrativa de los sistemas computacionales de una empresa y del
propio centro informtico.
Esta auditora bien puede ser realizada por un auditor de sistemas
computacionales, administrativo u operacional, siempre y cuando contemple en
su revisin, entre otras cosas, los siguientes aspectos:
-
Auditora a la planeacin estratgica en la empresa y el rea de

sistemas.
Auditora a la estructura de organizacin del rea de sistemas.
Auditora al cumplimiento de las funciones, tareas y operaciones de la
actividad informtica en la empresa y el rea de sistemas.
Auditora a la direccin del rea de sistemas.
Auditora a la administracin del factor humano en el rea de sistemas.
Auditora a la administracin de los recursos informticos no humanos
del rea de sistemas.
Auditora a los controles informticos del rea de sistemas.
Evaluacin de la existencia, establecimiento y uso de los estndares de
sistemas.
Auditora a la documentacin de los sistemas en el rea de informtica y
a la documentacin de las dems reas de la empresa que cuenten con
servicios informticos.

libro de texto).
Auditoria al Sistema Computacional
Es la auditora tcnica y especializada que se enfoca nicamente a la
evaluacin del funcionamiento y uso correctos del equipo de cmputo, as
como de su hardware, software y perifricos asociados.
Esta auditora tambin se realiza a la composicin y arquitectura de las partes
fsicas y dems componentes del hardware, incluyendo equipos asociados,
instalaciones y comunicaciones internas o externas, as como al diseo,
desarrollo y uso del software de operacin, de apoyo y de aplicacin, ya sean
sistemas operativos, lenguajes de procesamiento y programas de desarrollo, o
paquetera de aplicacin institucional que se utiliza en la empresa donde se
104
encuentra el equipo de cmputo que ser evaluado. Se incluye tambin la

operacin del sistema.
En relacin con lo anterior, a continuacin presentamos algunas de las
consideraciones que se deben tomar en cuenta sobre los sistemas
computacionales:
-
El tipo de procesador del sistema computacional, as como su velocidad,

capacidad, memoria y dems caractersticas con los cuales opera el
sistema de cmputo.
Los fabricantes del hardware, software y perifricos del sistema
computacional.
Las caractersticas y especificaciones del diseo del sistema
computacional.
Las plataformas, ambientes, el tamao y configuracin del sistema
computacional.
Los sistemas operativos, lenguajes, programas de desarrollo y
aplicacin, utileras y dems software del sistema computacional.
La forma de administrar el sistema y sus componentes asociados.
El sistema de administracin de bases de datos e informacin manejado.
La arquitectura del sistema, sus perifricos, equipos asociados y dems
componentes.
Las aplicaciones concretas para las que est destinado el sistema
computacional.
A continuacin, presentamos algunos aspectos que se deben evaluar en este

tipo de auditoras:
Auditora al sistema computacional segn las caractersticas de su
hardware
Auditora al sistema computacional segn las caractersticas de su
software
Auditora al diseo lgico del sistema
Auditora al diseo fsico del sistema
Auditora a la administracin y control de accesos y salidas de
datos
Auditora a la administracin y control del procesamiento de datos
Auditora a los controles de almacenamiento
Auditora a los controles de seguridad del sistema computacional
Auditora a los controles adicionales para la operacin del sistema
Auditora a la administracin del rea de sistemas computacionales
Sugerencias de herramientas, tcnicas y procedimientos aplicables
en la auditora de sistemas computacionales
libro de texto).
105
Auditoria alrededor de la computadora

Es la revisin especfica que se realiza a todo lo que est alrededor de un
equipo de cmputo, como son sus sistemas, actividades y funcionamiento,
evala los mtodos y procedimientos de acceso y procesamiento de datos, la
emisin y almacenamiento de resultados, las actividades de planeacin y
presupuestacin del centro de cmputo, los aspectos operacionales y
financieros, la gestin administrativa de accesos al sistema, la atencin a
usuarios y al desarrollo de nuevos sistemas, las comunicaciones internas y
externas y, en s, todos aquellos aspectos que contribuyen al buen
funcionamiento de un rea de sistematizacin.
A continuacin presentamos algunos aspectos del entorno de la computadora
que deben ser evaluados:
-
El diseo fsico del rea de sistemas y de las reas de la empresa que

cuenten con sistemas computacionales.
El anlisis y aprobacin de las propuestas para la adquisicin del
software, hardware, perifricos, equipos adicionales, bienes muebles,
consumibles y materiales diversos que permiten el funcionamiento del
sistema.
El ambiente de trabajo en el que se realiza la funcin informtica de la
empresa.
La gestin administrativa de la funcin informtica de la empresa.
El diseo de proyectos de nuevos sistemas computacionales en el rea
de sistemas.
El diseo de formatos, formas y mtodos para la recopilacin de
informacin que ser procesada en el sistema.
La administracin y control de los sistemas de seguridad y salvaguarda
de los activos informticos, la informacin, el personal y los usuarios del
sistema.
La administracin y control de accesos a las instalaciones del rea de
cmputo, a los sistemas, a la informacin y los bienes informticos del
rea.
Todos aquellos aspectos especiales que intervienen de alguna manera
en el aprovechamiento y explotacin del sistema computacional y en la
gestin administrativa del centro de cmputo con la condicin
indiscutible de no interferir directamente en el uso del equipo de
cmputo.
A continuacin presentamos los aspectos generales que intervienen en una

auditora alrededor de la computadora, porque esta auditora se debe realizar
de acuerdo con las caractersticas, las necesidades y las repercusiones de la
administracin del rea de sistemas de cada empresa o del propio equipo
procesador:
Auditora a la administracin del software de la empresa.
106
Auditora a la configuracin fsica del rea de sistemas de la empresa

Auditora a los mtodos de acceso, seguridad y salvaguarda de los activos
informticos del rea de sistemas
Auditora a la administracin del rea de sistemas.
Auditora a los aspectos tcnicos del sistema.
Auditora a la administracin del sistema.
(Para ahondar ms en el tema, refirase a las pginas 600 a la 610 del libro de
texto).
Auditoria de la seguridad de los sistemas computacionales
Consiste en la revisin exhaustiva, tcnica y especializada que se realiza a
todo lo relacionado con la seguridad de un sistema computacional, de sus
reas y personal, as como a las actividades, funciones y acciones preventivas
y correctivas que contribuyan a salvaguardar la seguridad de los equipos
computacionales de las bases de datos, redes, sistemas, instalaciones y
usuarios.
Es tambin la revisin de los planes contra contingencias y medidas de
proteccin para la informacin, los usuarios y los propios sistemas
computacionales y, en s, la evaluacin de todos aquellos aspectos que
contribuyen a la proteccin y salvaguarda del buen funcionamiento del rea de
sistematizacin, sistemas de redes o computadoras personales. Se incluye la
prevencin y erradicacin de los virus informticos.
Los principales aspectos que se deben considerar en la auditora de la
seguridad de los sistemas computacionales, los presentaremos de manera
general, porque su real aplicacin se implementa de acuerdo con las
caractersticas y las necesidades de la administracin de la seguridad,
proteccin y salvaguarda de los bienes informticos o del sistema
computacional del rea de cmputo de cada empresa:
-
Auditora de la seguridad en las condiciones e instalaciones fsicas del

rea de sistemas.
Proteccin contra riesgos y contingencias de origen natural relacionadas
con el ambiente de trabajo.
Proteccin contra riesgos y contingencias relacionados con el medio
ambiente de trabajo en las reas de sistemas de la empresa.
Proteccin contra riesgos y contingencias causados por factores
meteorolgicos, atmosfricos y desastres naturales incontrolables.
Proteccin contra riesgos y contingencias derivados del suministro de la
energa elctrica.
107
Proteccin y seguridad de los espacios fsicos de las instalaciones de

cmputo.
El anlisis a los planes de contingencias informticas.
Auditora de la seguridad y proteccin en el diseo de las instalaciones
del rea de sistemas de la empresa o empresas de cmputo.
Auditora de la seguridad en los sistemas computacionales.
Auditora de la seguridad del hardware.
Auditora de la seguridad del software.
Auditora de la seguridad en los sistemas computacionales.
Auditora para verificar la captura, procesamiento de datos y emisin de
resultados.
Auditora de la prevencin de actos premeditados que afecten el
funcionamiento de los sistemas computacionales.
Proteccin contra los actos ilegales en contra de los sistemas, activos
informticos e informacin.
Proteccin contra el mal uso de la informacin.
Proteccin contra la piratera y robo de informacin.
Proteccin para el almacenamiento de la informacin.
Proteccin contra actos no intencionales.
Proteccin contra virus informtico.
Proteccin y seguridad para el desarrollo de programas y proyectos de
sistemas.
Proteccin y seguridad para los accesos al sistema computacional y a la
informacin.
Proteccin y seguridad del hardware, componentes del sistema,
perifricos y equipos asociados.
Mantenimiento preventivo y correctivo a la CPU.
Mantenimiento preventivo y correctivo al sistema.
Mantenimiento preventivo y correctivo a los perifricos.
Mantenimiento preventivo y correctivo al equipo adicional.
Resultados de auditoras de sistemas.
Prevencin de huelgas.
Prevencin ante cambios sociales, econmicos, legales, entre otros.
Prevencin ante cambios tecnolgicos.

libro de texto).
Auditoria a los Sistemas de Redes
Es la revisin exhaustiva, especfica y especializada que se realiza a los
sistemas de redes de una empresa, considerando en la evaluacin los tipos de
redes, arquitectura, topologa, sus protocolos de comunicacin, las conexiones,
accesos privilegios, administracin, funcionamiento y aprovechamiento.
Constituye tambin la revisin del software institucional, de los recursos
informticos e informacin de las operaciones, actividades y funciones que
permiten compartir las bases de datos e instalaciones de un sistema de red.
108
Para analizar el impacto de las redes en las empresas, se examinarn las

siguientes orientaciones que permitirn evaluar los principales aspectos que
impactan el funcionamiento de los sistemas de red de rea local, metropolitana
y amplia, as como de Internet:
-
Los objetivos de una red de cmputo.

Las caractersticas de la red de cmputo.
Los componentes fsicos de una red de cmputo.
La conectividad y comunicaciones de una red de cmputo.
Los servicios que proporciona una red de cmputo.
Los sistemas operativos, lenguajes, programas, paqueteras, utileras y
bibliotecas de la red de cmputo.
Las configuraciones, topologas, tipos y cobertura de las redes de
cmputo.
Los protocolos de comunicacin interna de la red.
La administracin de una red de cmputo.
La seguridad de las redes de cmputo.
Evaluacin del diseo, instalacin y aprovechamiento de la red de

cmputo
En esta parte de la auditora se estudian las razones por las que fue necesario
implantar una red de cmputo en la empresa al investigar el anlisis de las
necesidades del proyecto, el diseo de la red y su configuracin lgica y fsica,
su implementacin y aprovechamiento.
El auditor de sistemas debe analizar, mediante el uso de las herramientas
sealadas en los captulos anteriores, los aspectos relacionados con los
sistemas de red, que se presentan a continuacin:
-
Evaluacin del anlisis de una red de cmputo.

Evaluacin de la existencia y uso de metodologas, normas, estndares
y polticas para el anlisis y diseo de redes de cmputo.
Anlisis de la definicin de la problemtica y solucin para instalar redes
de cmputo en la empresa.
Anlisis del cumplimiento de los objetivos fundamentales de la
organizacin para instalar una red de cmputo.
Anlisis de la delimitacin de los proyectos de red, a fin de evaluar la
manera en que se cumple.
Anlisis de los estudios de viabilidad y factibilidad en el diseo e
instalacin de una red de cmputo en la empresa.
Evaluacin del diseo e implementacin de la red segn el mbito de
cobertura.
Sugerencias de herramientas, tcnicas y procedimientos aplicables en la

auditora a los sistemas de redes
En esta auditoria se evalan los aspectos especficos de la red de cmputo,
considerando las caractersticas de la red, su tamao y cobertura,
109
configuraciones fsica y lgica, topologas, protocolos de comunicacin y

aspectos tcnicos de su composicin.
Tambin, se evala la forma en que se aprovechan los recursos informticos
de la organizacin, la informacin y todo lo relacionado con la funcin
informtica en la institucin con el objeto de validar la administracin adecuada
de la red, su funcionamiento correcto y el aprovechamiento de las actividades
informticas de la empresa.
libro de texto).
Auditoria Outsourcing en los Sistemas Computacionales
Es la revisin exhaustiva, sistemtica y especializada para evaluar la calidad,
eficiencia y oportunidad en el servicio de asesora o procesamiento externo de
informacin que proporciona una empresa a otra con el fin de verificar la
confiabilidad, oportunidad, suficiencia y asesora por parte de los prestadores
de servicios de procesamiento de datos, as como el cumplimiento de las
funciones y actividades que tienen encomendados los prestadores de servicios,
usuarios y el personal, en general. Dicha revisin se realiza tambin en los
equipos y sistemas.
Con la auditora outsourcing en los sistemas computacionales se busca evaluar
la eficiencia y eficacia de los servicios que se proporcionan a las
organizaciones al enfocarlos desde dos puntos de vista: por un lado, aquel en
el cual se auditan las actividades, funciones y operaciones del prestador de
servicios en cuanto a la administracin de sus recursos informticos, la
confiabilidad, la oportunidad y la eficiencia con las que trata la informacin de
las organizaciones, los resultados que obtienen del procesamiento de datos y
la eficiencia y eficacia de sus servicios.
Por otro lado, aquel en donde se evala la forma en que se desarrolla la
actividad de outsourcing en la empresa que lo proporciona, analizar calidad,
rapidez, oportunidad, confiabilidad, eficacia y eficiencia con las que trabaja para
suministrar de una manera adecuada la actividad informtica a la institucin
contratante.
En ambos casos, el auditor de sistemas deber realizar dicha auditora con
base en los siguientes aspectos:
-
La infraestructura informtica para la prestacin de los servicios

outsourcing.
La administracin adecuada y el control en la prestacin del servicio de
outsourcing informtico.
La eficiencia y eficacia de los sistemas de comunicacin entre prestador
y contratante de los servicios informticos.
110
La confiabilidad, veracidad, integridad, oportunidad, suficiencia y calidad

con las que se procesa la informacin de la empresa que contrata los
servicios.
La configuracin, composicin e integracin de los sistemas
computacionales para evaluar la capacidad y suficiencia del prestador
de los servicios de cmputo.
El mantenimiento preventivo y correctivo de los servicios de cmputo
tanto del prestador como del que los contrata.
Auditora a los sistemas, personal informtico, instalaciones, comunicacin y

dems aspectos relativos al prestador de los servicios outsourcing
En esta auditora se evala la eficiencia y la eficacia con las que el prestador
de servicios proporciona los servicios informticos a la organizacin que lo
contrat.
Para realizar esta evaluacin se debe tomar en cuenta estos criterios: si el
servicio se proporciona a travs de sistemas de redes o si los servicios se
aprestan con sistemas individuales.
En el caso de ambas posibilidades, se sugiere aplicar la auditora que
corresponda al tipo de prestacin de servicios junto con los aspectos que
complementan la auditora outsourcing, los cuales se mencionan a
continuacin:
-
Evaluacin de la prestacin de los servicios outsourcing informticos.

Evaluacin de las estructuras de organizacin del rea de sistemas del
prestador de servicios y de la empresa receptora del servicio outsourcing
informtico.
Evaluacin de la administracin de las funciones, actividades, tareas y
operaciones del prestador del servicio para cumplir con la actividad
outsourcing informtica de la empresa contratante.
Evaluacin de la administracin de los recursos informticos no
humanos del rea de sistemas.
Evaluacin de los controles informticos del rea de sistemas dedicada
a la prestacin/recepcin del servicio outsourcing informtico.
Evaluacin de la forma en que la empresa contratante recibe el servicio

outsourcing
Con la realizacin de esta auditora se busca evaluar la calidad, suficiencia,
eficiencia y eficacia de la recepcin de servicios outsourcing informticos en la
empresa, encausando la revisin hacia el anlisis de los sistemas
computacionales con los cuales se proporciona el servicio a los usuarios de la
empresa as como la forma en que se lleva a cabo esta actividad.
Es recomendable aplicar la auditora que corresponda a cualquiera de los dos
tipos de recepcin de servicios que tratamos anteriormente, junto con los
aspectos que complementan la auditora outsourcing, que presentamos a
continuacin:
111
Inventarios de la prestacin de servicios outsourcing informticos.

Evaluacin de la recepcin de los servicios outsourcing informticos.
Evaluacin de las estructuras de organizacin del rea de sistemas del
prestador de servicios outsourcing informticos, as como de las de la
empresa que contrata dichos servicios.
Evaluacin de la administracin de las funciones, actividades, tareas y
operaciones del prestador del servicio para cumplir con la actividad
outsourcing informtica de la empresa contratante.
Evaluacin de la administracin de los recursos informticos no
humanos del rea de sistemas.
Auditora de los controles informticos del rea de sistemas dedicada a
la prestacin/recepcin del servicio outsourcing informtico.
Evaluacin del servicio HelpDesk (ayuda en lnea) de la empresa

El servicio HelpDesk funciona para ayudar a resolver, dentro de la misma
empresa, los problemas que se les presentan a los usuarios en el manejo de
sus sistemas computacionales. Con esta ayuda se abarcan todos los
problemas que ocurren durante la actividad informtica.
La funcin del auditor es, precisamente, evaluar todos los aspectos relativos a
la calidad, rapidez y confiabilidad con la que se proporciona este servicio a los
usuarios.
-
Evaluacin del soporte tcnico, de asistencia y capacitacin a los

usuarios, as como del mantenimiento de los sistemas y deteccin de
incidencias de problemticas para la solucin a los reportes de los
usuarios.
Evaluacin de las actividades tcnicas para proporcionar asistencia y
mantenimiento a los sistemas computacionales.

auditora outsourcing en los sistemas computacionales
Como hemos sealado, en esta auditora outsourcing en los sistemas
computacionales se busca evaluar la eficiencia y eficacia con las que la
empresa prestadora de estos servicios proporciona dichos servicios a la
empresa que los contrata al enfocarlos a la administracin de la actividad de
outsourcing, analizar calidad, rapidez, oportunidad, confiabilidad, eficacia y
eficiencia con las que trabaja para administrar la actividad informtica y la
informacin de la institucin contratante, recursos informticos, manejo,
confiabilidad, oportunidad, calidad, el tratamiento de la informacin y los
resultados.
libro de texto).
112
Auditoria ISO-9000 a los sistemas computacionales

Es la revisin exhaustiva, sistemtica y especializada que realizan, nicamente,
los auditores especializados y certificados en las normas y procedimientos ISO9000 al aplicar, en forma exclusiva, los lineamientos, procedimientos e
instrumentos establecidos por esta asociacin.
El propsito fundamental de esta revisin consiste en evaluar, dictaminar y
certificar que la calidad de los sistemas computacionales de una empresa se
apegue a los requerimientos del ISO-9000.
Por lo general, esta auditora ISO-9000 es de carcter externo y tiene que ser
practicada por algn despacho reconocido y autorizado para otorgar la
certificacin ISO-9001, ISO-9004 o la ms reciente, que es la ISO-14000,
aplicables segn los criterios de certificacin a los sistemas de cmputo.
Los fundamentos de la calidad ISO-9000 se pueden resumir en tres acciones
fundamentales:
-
Documentar lo que se elabore.

Desarrollar lo que se est documentando.
Revisar lo que se elabora con lo documentado.

auditora ISO-9000 a los sistemas computacionales
Esta auditoria incluye aspectos especficos que la diferencian de las dems
auditoras de sistemas, debido a que cuenta con caractersticas peculiares de
aplicacin. Todas ellas enfocadas a la certificacin ISO-9000, porque las
personas que aplican la auditora de certificacin de calidad ya tienen definidas
las herramientas, tcnicas y procedimientos especiales, que utilizan sin
ninguna variacin, porque estn normados para la certificacin de calidad.
libro de texto).
Auditoria Ergonmica de los Centros de Cmputo
Es la revisin tcnica, especfica y especializada que se realiza para evaluar la
calidad, eficiencia y utilidad del entorno, hombre, mquina y ambiente, que
rodean el uso de los sistemas computacionales en una empresa.
Esta revisin se realiza tambin con el propsito de evaluar la adquisicin y el
uso correctos del mobiliario, equipo y sistemas a fin de proporcionar el
bienestar, confort y la comodidad que requieren los usuarios de los sistemas
computacionales de la empresa, as como para evaluar la deteccin de los
113
posibles problemas y sus repercusiones y la determinacin de las soluciones

relacionadas con la salud fsica y el bienestar de los usuarios de los sistemas
de la empresa.
Auditora de las repercusiones de los sistemas computacionales en
la salud visual del usuario.
Evaluacin de las repercusiones en la salud de la espalda, columna
vertebral, trax, cuello, nuca, piernas y pies a causa de la posicin
que adoptan los usuarios.
Evaluacin de las repercusiones musculares-esquelticas de
manos, muecas, dedos y brazos del usuario.
libro de texto).
Auditoria integral a los centros de cmputo
Es la revisin exhaustiva, sistemtica y global de todas las actividades y
operaciones de un centro de sistematizacin, que realiza un equipo
multidisciplinario de auditores a fin de evaluar, en forma integral, el uso
adecuado de sus sistemas computacionales, perifricos y equipos de apoyo
para el procesamiento de informacin de la empresa, as como el desarrollo
correcto de las funciones de sus reas, personal y usuarios.
Adems, incluye la revisin de la administracin del sistema, del manejo y
control de los sistemas operativos, lenguajes, programas y paqueteras de
aplicacin, as como de la administracin y control de proyectos, de la
adquisicin del hardware y software institucionales, de la integracin y uso
adecuado de sus recursos informticos y de la existencia y cumplimiento de las
normas, polticas, estndares y procedimientos que regulan el uso del sistema
y la actuacin del personal y usuarios del centro de cmputo.
Tipos de auditora integral de sistemas
Aunque no existe ninguna clasificacin formal de este tipo de auditoras, a
continuacin presentamos dos formas para realizar una auditora integral de
sistemas; por un lado, la auditora externa y por otro lado la auditora interna:
-
Auditoria externa de sistemas.

Auditoria interna de sistemas.
Auditora externa de sistemas computacionales

La auditoria externa de sistemas computacionales es aquella que realiza un
auditor o un grupo de auditores que son ajenos a la operacin normal de la
organizacin en donde se revisa el sistema.
114
La principal caracterstica de esta auditora consiste en que los profesionales

participen en estos trabajos con absoluta libertad en la aplicacin de sus
mtodos, tcnicas y procedimientos de evaluacin, sin que ningn funcionario o
empleado del centro de cmputo de la empresa interfiera en su trabajo. Por lo
tanto, su dictamen es de carcter independiente.
auditora integral a los centros de cmputo
Esta auditora concentra todos los tipos anteriores slo que, aqu, se enfoca en
una revisin global del lugar donde se supone se concentran todas las
actividades informticas de una empresa.
Se pretende que esta auditora abarque todos los aspectos de sistemas, en
una forma profunda, completa y amplia, a fin de evaluar en forma integral todos
los aspectos que intervienen en el mbito de sistemas. As, la auditora integral
siempre se realizar de acuerdo con el alcance e intencin que se le quiera dar
a la evaluacin, as como con la disponibilidad de recursos y tiempo para
realizarla.
La auditoria integral a los centros de cmputo tiene aspectos especficos, que
vislumbran cada una sea en forma diferente de la otra. Se encuentran notables
diferencias entre una auditora practicada a una empresa con un pequeo
centro de cmputo y a otra cuyo centro sea de mayor envergadura.
Ambas auditoras son de carcter integral y similares en algunos alcances,
intenciones e, incluso, en los puntos que abarquen; no obstante, las
herramientas, los procedimientos, las tcnicas y los mtodos de evaluacin son
totalmente diferentes.
libro de texto).
115

1- Una de las tareas de la auditora de sistemas es realizar evaluaciones a la
gestin informtica del rea de sistemas, qu aspectos principales debe
incluir este tipo de revisin? Mencione, al menos, cuatro de ellos.
2- Cules son los aspectos ms relevantes que deben evaluarse en una
auditora al sistema de redes de una empresa?
3- Hay dos tipos de servicios que se dan a la empresa que deben ser
evaluados por el auditor de sistemas, los servicios outsourcing y el servicio
Help Desk. Qu aspectos se incluyen para cada uno de estos servicios?
116
REFERENCIAS BIBLIOGRFICAS
Marcelo C., Julin. (2002). Riesgo y Seguridad de los Sistemas Informticos.
Editorial Universidad Politcnica de Valencia: Espaa.
Merike, Kaeo. (2002). Diseo de seguridad en redes. Editorial Pearson
Educacin: Mxico.
Muoz Razo, Carlos. (2002). Auditora en Sistemas Computacionales.
Primera edicin. Editorial Pearson Prentice Hall: Mxico.
Pacheco Urbina, Adela Mara. (2008). Material Complementario para el curso
de Seguridad y Auditora en las TIC. EUNED: San Jos, C.R.
_________________________. (2008). Orientacin para el curso Seguridad y
Auditora en las TIC. EUNED: San Jos, C.R.
Piattini, Mario G. y del Peso N., Emilio. (2005). Auditora informtica. Un
enfoque prctico. Segunda edicin ampliada y revisada. Editorial Ra-Ma:
Espaa.
Stallings, William. (2004). Fundamentos de seguridad en redes. Aplicaciones y
estndares. Segunda edicin. Editorial Pearson Educacin: Madrid, Esp.
117
118
RESPUESTAS A LAS PREGUNTAS DE AUTOEVALUACIN
Captulo 1
1- Una diferencia, pero que no es fondo o sustancial, es el hecho de que en la
segunda se realiza para entidades meramente gubernamentales. Por lo
dems, podremos decir que no hay gran diferencia entre ellas pues, en
ambas, se realiza una auditora general de todos los procesos.
Una situacin que s puede marcar diferencia es el hecho de que en el
caso de la auditora, debe realizarse tomando en cuenta todas aquellas
entidades gubernamentales que generan disposiciones para las entidades
pblicas como el caso, en nuestro pas, de la Contralora General de la
Repblica, Procuradura General y la SUGEF, entre otras.
No obstante, la junta directiva de una empresa no gubernamental gira
directrices por seguir en diferentes campos y est interesada de que stos
se cumplan.
2- La primera es la auditora tcnica y especializada se enfoca, nicamente, a
la evaluacin del funcionamiento y usos correctos del equipo de cmputo,
su hardware, software y perifricos asociados.
Esta auditora se realiza a la composicin y arquitectura de las partes fsicas
y dems componentes de hardware incluyendo equipos asociados,
instalaciones, comunicaciones internas y externas, as como el diseo y uso
del software de operacin, de apoyo y de aplicacin, ya sean sistemas
operativos, lenguajes de procesamiento y programas de desarrollo y
paquetera.
La segunda consiste en una revisin especfica que se realiza a lo que est
alrededor de un equipo de cmputo como son sus sistemas, actividades y
funcionamiento mediante una evaluacin de sus mtodos y procedimientos
de acceso y procesamiento de datos, la emisin y almacenamiento de
resultados, las actividades de planeacin y presupuestacin del propio
equipo del centro de cmputo, entre otros.
Captulo 3
1- Con el propsito de sealar al auditor el rumbe tico y moral que deber
seguir para cumplir y hacer respectar dichos criterios y responsabilidades y
para que se norme su actuacin profesional ante las empresas, la sociedad
y sus colegas. As, deber esmerarse en el buen cumplimiento de esta
actividad; no slo cuando le sea encomendada una auditora, sino tambin
en su desempeo personal.
2- La equidad es una virtud que trata de igualar la justicia, ponderacin y
emisin de juicios. La imparcialidad es el tratar de evitar la preferencia
injusta sobre algo y la razonabilidad es la capacidad del individuo para
119
discurrir y emitir un juicio. En el caso del auditor est comprometido a actuar

de manera ecunime (igualdad de nimo), imparcial (sin cargo hacia algn
lado) y razonada (fundada en el razonamiento).
El auditor no puede realizar una revisin si carece de alguna de estas
virtudes, porque en la aplicacin correcta de cada una de ellas es en donde
se fundamenta su actuacin profesional.
3- El trabajo del auditor slo es vlido y confiable si emite un dictamen
confiable y veraz, el cual sea resultado de una avaluacin profesional, libre
de cualquier influencia y presin tanto de carcter interno (de la empresa,
rea o personal auditado) como externo (de autoridades, terceros o de sus
jefes). De esta forma, cuando emita un dictamen, su juicio debe ser
absolutamente independiente.
Captulo 5
1- La divisin del trabajo, desde el punto de vista laboral, se efecta con el
propsito de buscar una mayor eficiencia y eficacia en las labores. Por lo
tanto, se crea una especializacin que beneficia a la empresa.
Desde el punto de vista del control interno la divisin del trabajo se realiza
para evitar que un mismo funcionario u operario realice tareas
incompatibles; por ejemplo, generacin y aprobacin de cheques.
Desde el punto de vista de la burocracia, justamente este el propsito, evitar
tareas incompatibles en la funcin pblica. El problema consiste en que la
funcin pblica la han desmeritado los mismos funcionarios debido a que no
hay supervisin en cuanto a la eficiencia con que deben realizarse los
trmites.
Al haber divisin de trabajo, tanto en lo privado como en lo pblico, para
que haya un fraude deben ponerse de acuerdo, al menos, dos personas
que, aunque se da, es ms difcil. Si un trmite lleva el concurso de dos o
ms personas, sin llegar al abuso en cuanto a divisin de tareas, el riesgo
de un fraude informtico o de otra ndole se minimiza.
2-
En cualquier rea de sistemas es de suma importancia estandarizar el

desarrollo de todas las actividades y funciones a fin de que stas se
realicen de manera uniforme conforme a las necesidades concretas de las
unidades de informtica que integran la empresa.
En esta estandarizacin se deben respetar la divisin del trabajo, la
asignacin de actividades especficas. Este es un aspecto bsico que se
debe considerar para el establecimiento del control interno informtico en
cualquier empresa.
3- Porque la prevencin son todas aquellas acciones tendientes a prevenir y

controlar los riesgos y las posibles contingencias que se presenten en las
reas de sistematizacin, las cuales van desde prevenir accidentes en los
equipos, en la informacin y en los programas.
120
En otras, palabras, no hay que esperar que un riesgo o contingencia se

materialice para actuar sino que la administracin debe ir uno o dos pasos
adelante para evitar que stos se presenten.
4- Precisamente, los sistemas monousuarios son mucho ms fciles de
controlar pues se sabe con certeza quin es el usuario y se puede llevar
una bitcora respecto al uso del sistema.
Pero, en un sistema multiusuario y de redes la afluencia de usuarios es
mucho mayor. Hay muchas aplicaciones puestas a disposicin de las
personas para su uso y ante tanta variedad se hace ms difcil controlar lo
que cada persona realiza. De all, la importancia de mantener un especial
cuidado en los sistemas multiusuario y en los niveles de acceso de cada
uno de ellos.
Captulo 6
1- Desarrollar una auditora de sistemas computacionales requiere una serie
ordenada de acciones y procedimientos especficos, los cuales debern ser
diseados previamente de manera secuencial, cronolgica y ordenada, de
acuerdo con las etapas, los eventos y las actividades que se requieran para
su ejecucin, que sern establecidos conforme a las necesidades
especiales de la institucin.
Adems, estos procedimientos se deben adaptar de acuerdo con el tipo de
auditora de sistemas que se vaya a realizar y con estricto apego a las
necesidades, tcnicas y mtodos de evaluacin del rea de sistematizacin.
Con base en lo anterior, podemos entender la necesidad de establecer una
metodologa especfica de revisin, la cual nos permitir disear
correctamente los pasos por seguir en la evaluacin de las reas de
sistemas y actividades elegidas a fin de que el seguimiento desarrollo y la
aplicacin de las etapas y eventos propuestos para esa auditora sean ms
sencillos.
Dicha metodologa, tambin, nos servir para establecer las tcnicas, los
mtodos y los procedimientos adaptables a las caractersticas especiales de
la auditora del rea especfica de sistemas por evaluar incluyendo los
recursos humanos, las tcnicos y los materiales necesarios para dicha
revisin.
2- Es inusual, porque, generalmente, las auditoras se solicitan por los niveles
ms altos. Es posible que para autorizar la realizacin de esta evaluacin,
tiene que ser analizada por los mandos medios o superiores de la empresa
y si existe algn motivo real y vlido que justifique su ejecucin, entonces se
desarrollar. De todas maneras, es importante averiguar los verdaderos
motivos de esta solicitud.
3- Los riesgos lgicos en los sistemas son frecuentes. Nadie garantiza que el
desarrollador haya tomado en cuenta todos los aspectos de seguridad y
restriccin para que los sistemas funcionen adecuadamente. Tampoco se
121
puede garantizar que a la hora de realizar las pruebas antes de poner el

sistema en produccin, se hayan abarcado todas las posibles situaciones y
que las restricciones de entrada de datos filtren cualquier dato errneo.
Si entra un dato no correcto, se espera que el resultado no sea el correcto.
Pero, an entrando un dato correcto, no siempre es posible garantizar en un
cien por ciento que la salida est correcta.
nicamente, con la ejecucin del programa se podrn ir corrigiendo
aquellos factores que pudieran haberse quedado por fuera en la etapa de
pruebas. Ocurre, con frecuencia, que los programas no estn preparados
para recibir datos que hayan sido cambiados por nuevas polticas de la
compaa.
4- El equipo humano, es decir, funcionarios especializados en el rea y con
vasta experiencia y en cantidad adecuada. Adems, son fundamentales los
recursos informticos y tecnolgicos de acuerdo con el tipo de trabajo que
se realice, accesos a los sistemas de cmputos, a los datos, a los
programas, uso de paquetes especializados para extraccin y anlisis de
datos, entre otros.
Tambin, recursos materiales tales como papelera y, en caso de ser
auditora externa, con mobiliario adecuado y con seguridad donde se
puedan salvaguardar los registros y papelera que servira como evidencia.
Otros recursos son viticos, transporte, tiempo y otros.
Captulo 7
1- En este tipo de auditoras, los llamados papeles de trabajo adquieren un
matiz especial debido a la forma en que se archiva la informacin en ellos;
as encontramos que debemos documentar datos que muchas veces no
estn archivados en papel sino en sistemas computacionales; por lo tanto,
debemos saber cmo capturar, extraer y archivar esa informacin en algn
medio electromagntico de captura y lectura de informacin.
2- Son las marcas de carcter informal que utiliza, exclusivamente, el auditor o
el grupo de auditores que realizan la auditora con el fin de facilitar la
uniformidad de los papeles de trabajo y para identificarlos mejor. El auditor
en jefe puede imponer el uso de estos smbolos o pueden ser utilizados por
acuerdo del grupo, aunque puede suceder que no sean utilizados en una
auditora.
Cuando alguien del grupo de auditores se encuentra algn documento con
estas marcas, sabe que ste ya ha sido revisado o que tiene una
caracterstica especial en la cual se tiene que advertir alguna observacin
de acuerdo con el significado de los smbolos.
122
Captulo 8
1- El informe es el documento ms importante de la auditora de sistemas
computacionales debido que, a travs de ste, se presentan los resultados
de la evaluacin.
En l se plasman, por escrito, las observaciones y el dictamen que emite el
auditor quien, de acuerdo con su experiencia, conocimientos e informacin
recopilada, evala el comportamiento del sistema, la actuacin y el
cumplimiento de su gestin informtica, la realizacin correcta de sus
objetivos, el cumplimiento de sus funciones, actividades y operaciones o
cualquier otro aspecto de sistemas computacionales.
De este informe se emanan, generalmente, una serie de observaciones y
recomendaciones, que debern ser puestas por la administracin para el
mejor funcionamiento del rea y para minimizar los riesgos.
2- La oportunidad
consiste precisamente en presentar a tiempo las
desviaciones que fueron observadas, a fin de corregirlas de inmediato y de
tomar las medidas necesarias para su solucin.
La esencia de la auditora de sistemas es reportar lo que se observa
durante una evaluacin a fin de que los directivos sepan cmo est
funcionando la operacin de los sistemas y cmo se estn utilizando los
recursos asignados a esa rea.
Pero dicho informe deber ser hecho a tiempo y formalmente de tal manera
que, al conocer las desviaciones observadas por el auditor, los directivos
puedan tomar las medias pertinentes y evitar que se presenten a futuro.
3. La imparcialidad es uno de los requisitos ms importantes que se le exigen
al auditor. Incluye conceptos como integridad y profesionalismo en la
elaboracin de un informe anotando las observancias y cmo las encontr
durante su evaluacin, es decir, que reporte con ecuanimidad la situaciones
que informa, que no tome partido ni para perjudicar enfatizando la gravedad
de las desviaciones ni para solapar ni minimizar los errores encontrados
durante su evaluacin.
La objetividad es el entendimiento de las cosas, ideas y valores por s
mismos y no por lo que se piensa, razona o interpreta. En el caso del
informe de auditora de sistemas es la descripcin apegada a la realidad. En
este caso, de lo que se comprueba por medio de la evaluacin con el
propsito de redactar las observaciones tal y como se presentan, se
describen los resultados de la auditora lo ms naturalmente posible.
La aplicacin de estos dos elementos manifiestan la honestidad del auditor
en cuando a las razones por las cuales realiz la auditora. Si el auditor ha
sido influenciado y prejuiciado, por terceras personas o por diferencias
personales con el auditado, es posible que pierda la objetividad y la
imparcialidad, en cuyo caso est atenta contra la tica y la moral.
123
Captulo 9
1- Ventajas
Facilitan la recopilacin de informacin y no se necesitan muchas

explicaciones ni una gran preparacin para aplicarlos.
Por su diseo, los cuestionarios son rpidos de aplicar y ayudan a captar

mucha informacin en poco tiempo.
Confieren un carcter de impersonalidad con la aportacin de

respuestas; por la tanto, en una auditora ayudan a obtener informacin
til y confiable, si se plantean bien las preguntas.
Desventajas
Falta de profundidad en las respuestas y no se puede trascender ms

all del cuestionario.
Limitan la participacin del auditado, porque ste puede evadir

preguntas clave o se puede escudar en el anonimato de los
cuestionarios.
La participacin del personal auditado es impersonal, por lo que el

aporte de la informacin til para la auditora se limita.
2- En la auditora de sistemas, el mtodo de recopilacin de informacin facilita

una evaluacin adecuada de la gestin administrativa del rea de sistemas,
as como el aprovechamiento, la custodia y el control de los bienes
informticos en dicha rea. Con este mtodo, se pretende conocer la
totalidad de los bienes informticos en materia de software, hardware,
documentacin, personal y datos.
3- La aplicacin correcta de los mtodos y los procedimientos estadsticos
ayuda a seleccionar una parte representativa del universo que se tiene que
revisar. El propsito es obtener la misma informacin o parecida a la que se
obtendra al revisar todo el universo.
De esta manera, el auditor puede apreciar el comportamiento global de todo
el universo y con ellos puede contar con los elementos de juicio necesarios
para emitir un dictamen apegado a la veracidad de los hechos auditados.
Captulo 10
1- Son las comprobaciones previas a la implantacin de un sistema
computacional con el fin de verificar si el diseo del nuevo sistema
corresponde al comportamiento real de dicho sistema. Estas
comprobaciones se realizan a travs del procesamiento de datos
(supuestos y verdaderos) comparando los resultados que ofrecen las
pruebas del nuevo sistema con los resultados reales que se obtuvieron por
cualquier otro medio.
124
2- El funcionamiento de las instalaciones de un centro de cmputo, de sus

comunicaciones, sus sistemas elctricos, sus conexiones entre
componentes, sus sistemas de aire acondicionado, las medidas de
prevencin para evitar y combatir incendios, inundaciones y dems riesgos
internos o externos, as como de los sistemas de seguridad y planes de
contingencias y, en s, de todos los aspectos que repercuten en el
funcionamiento del rea de sistemas de la empresa.
3- Es un documento de carcter formal, que por su representatividad,
importancia y posibles alcances legales y jurdicos, es uno de los
documentos vitales para cualquier auditora. Este documento no slo sirve
de testimonio para comprobar, corroborar, ratificar o evidenciar cualquier
evento que ocurra durante la revisin, sino que es tal su alcance que se
puede convertir en un documento legal, probatorio de alguna anomala de
tipo jurdico, penal o de cualquier otro aspecto legal.
Captulo 11
1- Esta herramienta es una de las ms utilizadas para el anlisis y diseo de
sistemas. Tambin puede ser de utilidad para la auditora de sistemas
computacionales, porque mediante el uso de un modelo, conceptual o fsico
se simula el comportamiento de un sistema computacional, de un programa,
de una base de datos, de una operacin, de una actividad o de cualquier
tarea de sistemas que tenga que ser revisada con el propsito de investigar
cul es, fue o ser el comportamiento del fenmeno de sistemas en estudio
bajo ciertas condiciones y caractersticas concretas en las que se presentan
todas las simulaciones necesarias que se asemejen al ambiente real en
donde acta dicho fenmeno para valorar su autntico aprovechamiento,
sus eficiencias y deficiencias de funcionamiento y sus principales
problemas, entre otros.
2- Los permanentes cambios tecnolgicos exigen evaluar constantemente las
adquisiciones de nuevos sistemas no slo en cuanto al software, sino en lo
relativo al hardware, los equipos perifricos y todos los componentes de
sistemas de una empresa. Incluso, en la capacitacin de los usuarios, se
deben verificar que los cambios de la tecnologa computacional sean
conforme a las necesidades reales de las reas de las empresas.
Por eso, el auditor de sistemas computacionales debe evaluar los aspectos
relacionados con la adquisicin de nuevos productos informticos, as como
a los proveedores y distribuidores que los proporcionan a fin de garantizar
las adquisiciones ms adecuadas al menor costo y con la ms alta calidad y
servicio para las necesidades de cmputo de la empresa.
3- Consiste en la elaboracin de una lista ordenada en la cual se anotan todos
los aspectos que se tienen que revisar del funcionamiento de un sistema,
sus componentes, del desarrollo de una actividad, del cumplimiento de una
operacin o de cualquier otro aspecto relacionado con la evaluacin del
rea de sistemas. Esta lista se complementa con una o varias columnas en
las que se califica el cumplimiento del aspecto evaluado.
125
4- El auditor identifica los aspectos de los sistemas de la gestin administrativa

o de las bases de datos que debe revisar en el rea de sistemas y
establece, en forma anticipada, uno a uno los asuntos concretos que
revisar mediante el apoyo de un sistema computacional. Posteriormente,
debe desarrollar una aplicacin que cumpla con el objetivo establecido.
Es frecuente que el auditor de sistemas desconozca el uso del lenguaje o
programas de desarrollo, que se utilizan en el sistema computacional de la
empresa, por lo que tendr que recurrir a los servicios de un programador
de acuerdo con las caractersticas y estndares de programacin, seguir
las instrucciones determinadas por el auditor y el diseo del programa del
auditor.
As, realizar la codificacin de instrucciones, elaborar las pruebas
correspondientes y liberar el programa de cmputo para que el auditor lo
aplique en su revisin.
Sera ideal que el mismo auditor sea quien desarrolle su propia aplicacin,
pero segn las circunstancias mencionadas anteriormente, no es un
requisito indispensable para usar esta tcnica si puede recurrir a los
servicios de un programador de sistemas.
Captulo 12
1
Auditora a la planeacin estratgica en la empresa y el rea de

sistemas.
Auditora a la estructura de organizacin del rea de sistemas.
Auditora al cumplimiento de las funciones, tareas y operaciones de la
actividad informtica en la empresa y el rea de sistemas.
Auditora a la administracin del factor humano en el rea de sistemas.
2- Los objetivos de una red de cmputo.

Las caractersticas de la red de cmputo.
Los componentes fsicos de una red de cmputo.
La conectividad y las comunicaciones de una red de cmputo.
Los servicios que proporciona una red de cmputo.
Las configuraciones, topologas, tipos y cobertura de las redes de
cmputo.
Los protocolos de comunicacin interna de la red.
La administracin de una red de cmputo.
La seguridad de las redes de cmputo.
3- La auditora a los servicios outsourcing es aquella en el cual se auditan las
actividades, las funciones y las operaciones del prestador de servicios en
cuanto a la administracin de sus recurso informticos, la confiabilidad, la
oportunidad y la eficiencia con las que trata la informacin de las
126
organizaciones, los resultados del procesamiento de datos y la eficiencia y

eficacia de los servicios.
Respecto al servicio, el auditor debe evaluar todos los aspectos relativos a
la calidad, la rapidez y la confiabilidad con que se proporciona este servicio
a los usuarios, evaluacin del soporte tcnico, la asistencia y capacitacin a
los usuarios, as como el mantenimiento de los sistemas y deteccin de
incidencias de problemticas para la solucin a los reportes de los usuarios.
127

GE3070 Seguridad y Auditoría en Las TIC - 2008 - Informática

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

GE3070 Seguridad y Auditoría en Las TIC - 2008 - Informática

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD ESTATAL A DISTANCIA

ESCUELA DE CIENCIAS EXACTAS Y NATURALES

GUA DE ESTUDIO DEL CURSO

Seguridad y Auditora en las TICS

Frank A. Mendoza Hernndez

DESCRIPCIN DEL CURSO

CAPTULO 1: CONCEPTOS GENERALES

CAPTULO 3: NORMAS TICO-MORALES QUE REGULAN

CAPTULO 5: CONTROL INTERNO INFORMTICO

CAPTULO 6: METODOLOGAS PARA REALIZAR

CAPTULO 7: PAPELES DE TRABAJO PARA

CAPTULO 8: INFORMES DE AUDITORA DE

CAPTULO 9: INSTRUMENTOS DE RECOPILACIN DE

CAPTULO 10: TNICAS DE EVALUACIN APLICABLES

CAPTULO 11: TCNICAS ESPECIALES DE AUDITORA

CAPTULO 12: PROPUESTA DE PUNTOS QUE SE DEBEN

DESCRIPCIN DEL CURSO

Libro de texto: Muoz R., Carlos. (2002). Auditora en Sistemas

Pacheco Urbina, Adela Mara. (2008). Material Complementario para el

Pacheco Urbina, Adela Mara. (2008). Orientacin para el curso Seguridad y

Esta gua de estudio que usted est leyendo.

Adems, se brinda la siguiente lista de bibliografa de apoyo como material de

Marcelo C., Julin. (2002). Riesgo y Seguridad de los Sistemas

Merike, Kaeo. (2002). Diseo de seguridad en redes. Editorial Pearson

Piattini, Mario G. y del Peso N., Emilio. (2005). Auditora informtica. Un

Stallings, William. (2004). Fundamentos de seguridad en redes.

Propsito del captulo

Conocer los antecedentes y los conceptos fundamentales de la

Contextualizar los elementos que cimentan la existencia de la

Clasificacin de la auditora por su lugar de origen

Su propsito es evaluar tanto el desempeo administrativo de las reas de la

individuales, compartidos y/o de redes, as como a sus instalaciones,

PREGUNTAS PARA AUTOEVALUACIN

Normas tico-morales que

Presentar los conceptos fundamentales de conducta que

Identificar los criterios y obligaciones fundamentales que

(Para ahondar ms en este tema, refirase a las pginas de la 52 a la 65 del

siempre de manera corts, expedita y decente y al proporcionarles lo que

Tener la suficiente independencia mental y profesional para ejercer la profesin

Evaluar en forma independiente, libre de influencias, presiones y prejuicios.

La responsabilidad del auditor va ms all de emitir un dictamen, porque el

PREGUNTAS PARA AUTOEVALUACIN

Cunta importancia tienen para el auditor los principios de equidad,

El trabajo del auditor puede verse influenciado o recibir presiones externas.

Control interno informtico

Estudiar los conceptos y las caractersticas fundamentales del control

Analizar el desarrollo de las actividades, operaciones y resultados en el

Establecer como prioridad la seguridad y proteccin de la

Promover la confiabilidad, oportunidad y veracidad de la

Implementar mtodos, tcnicas y procedimientos necesarios para

Instaurar y hacer cumplir las normas, polticas y procedimientos

Establecer las acciones necesarias para el adecuado diseo e

que tiene la misin de dirigir las actividades en la institucin o en un rea

Direccin general del rea de informtica

actividades, funciones y tareas y, consecuentemente, la realizacin del

El uso de esta metodologa, la cual slo presentamos en sus principales fases,

cmputo que se realizan en la empresa a fin de incrementar la eficiencia de sus

El nivel informtico, porque con la instalacin de un nuevo

Elaborar estudios de factibilidad del sistema

Tambin, se debe contar con la completa documentacin de respaldo y apoyo

9 Niveles de acceso al sistema por parte del administrador, operadores y

Cuando entendamos que un sistema de informacin es un procedimiento

Control de accesos fsicos del personal al rea de cmputo

Controles para la seguridad fsica del rea de sistemas