1 Erlugar

1
XIV CONCURSO ANUAL DE

INVESTIGACIN
ENFOQUE METODOLGICO DE AUDITORA A LAS

TECNOLOGAS DE INFORMACIN Y COMUNICACIONES
SEUDNIMO
6free
CONTRALORA GENERAL DE LA REBLICA DE CHILE
2
SUMARIO
Pgina
RESUMEN EJECUTIVO 5
CAPTULO I
1 DEFINICIN DEL PROBLEMA 6
1.1 ANTECEDENTES DEL PROBLEMA 6
1.2 ANTECEDENTES GENERALES DEL ORGANISMO CONTRALOR 7
1.3 OBJETIVOS DE LA INVESTIGACIN 7
1.3.1 OBJETIVO GENERAL 7
1.3.2 OBJETIVO ESPECFICO 8
1.4 ALCANCE DE LA INVESTIGACIN 8
CAPTULO II
2 DISEO METODOLGICO DE LA INVESTIGACIN 9
2.1 METODOLOGA DE LA INVESTIGACIN 9
RESULTADO DE LA INVESTIGACIN
CAPTULO III
3 AUDITORA A LAS TECONOLOGAS DE LA INFORMACIN 9
3.1 MARCO TERICO 9
3.1.1 Clasificacin de las auditoras 9
3.2 LOS SISTEMAS DE INFORMACIN 9
3.2.1 Caractersticas de los sistemas de informacin 10
3.2.2 Estructura de los sistemas de informacin 12
3.2.3 Procesos de los sistemas de informacin 13
3.2.4 Clasificacin de los sistemas de informacin 14
3.3 COBIT 4.1 16
3.3.1 Definicin 16
3.3.2 Misin 16
3.3.3 Estructura 17
3.4 ISO/IEC 27002:2005 25
3.4.1 Definicin y objetivos 25
3
CAPTULO IV
EL ENFOQUE METODOLGICO PROPUESTO
4.1 METODOLOGA 26
4.1.1 Sntesis de actividades y productos entregables por etapas 27
4.2 FASE I. PLANIFICACIN DE LA AUDITORA
4.2.1 Programa de auditora preliminar 29
4.2.2 Programa de trabajo para el desarrollo de la auditora 29
4.2.3 Asignacin de recursos y estimacin del tiempo requerido
para efectuar la auditora 30
4.2.4 Comprensin de los procesos de negocios y sistemas de
informacin que los soportan 31
4.2.5 Levantamiento de la informacin bsica y detallada 32
4.2.6 Estructura y organizacin de los archivos de trabajo 33
4.2.7 Ficha tcnica de los sistemas de informacin 34
4.2.8 Definicin del alcance de la auditora 34
4.2.9 Programa de trabajo para el desarrollo de la auditora 35
4.2.10 Estimacin del tiempo requerido por etapa y auditor 36
4.3 FASE II. EJECUCIN DE LA AUDITORA

4.3.1 Evaluacin del sistema de control interno 41
4.3.2 Levantamiento de controles 42
4.3.3 Criterios para evaluar la proteccin que ofrecen los controles 43
4.3.4 Evaluar la satisfaccin de los objetivos de control 44
4.3.5 Observaciones de auditora 45
4.3.6 Definicin y diseo de las pruebas de auditora 45
4.3.7 Identificacin de Controles claves que sern verificados 46
4.3.8 Agrupamiento de controles por tcnica de comprobacin 47
4.3.9 Definicin y diseo de las pruebas de cumplimiento 48
4.3.10 Definicin y diseo de las pruebas sustantivas 50
4.3.11 Ejecucin de las pruebas de auditora 52
4.3.12 Tcnicas y herramientas de auditora 53
4.3.13 Anlisis del resultado de las pruebas de auditora 70
4.3.14 Anlisis del resultado de las pruebas de cumplimiento 70
4.3.15 Anlisis del resultado de las pruebas sustantivas 72
4
4.4 FASE III. COMUNICACIN DE LOS RESULTADOS
4.4.1 Elaboracin de los informes con los resultados de la auditora 73
4.4.2 Estructura y contenido de los informes 73
4.4.3 Aseguramiento de la calidad de los informes de auditora 74
4.4.4 Organizar y cerrar la carpeta con archivos de trabajo 76
4.4.5 Seguimiento a las observaciones de la auditora 78
4.4.6 Planificar el seguimiento a las observaciones de la auditora 78
4.4.7 Ejecutar el seguimiento a las observaciones de la auditora 79
4.4.8 Informe de seguimiento de la auditora 79
CAPTULO V
CONCLUSIONES 80
BIBLIOGRAFA 81
5
RESUMEN EJECUTIVO
El proyecto Enfoque metodolgico de auditora a las tecnologas de

informacin y comunicacin sobre la base del estndar COBIT 4.1 y la
norma ISO/IEC 27002:2005, tiene como objetivo entregar un marco
referencial para desarrollar auditoras orientadas a los procesos del
negocio, los sistemas de informacin y sus actividades de control.
El Proyecto est estructurado en cinco captulos.
El Captulo I, presenta los antecedentes generales, los antecedentes de la

organizacin y el objetivo general y especficos del proyecto.
En el Captulo II, se analizan los elementos de la auditora a las

tecnologas de informacin a travs de sus aspectos generales y del
anlisis de las tecnologas de informacin y comunicaciones.
El Captulo III, se presenta el estndar COBIT y la norma ISO/IEC 27002
En el Captulo IV, se aborda el enfoque metodolgico explicando los

objetivos metodolgicos, etapas, actividades y productos.
Finalmente, en el Captulo V, se exponen las conclusiones del proyecto.
6
CAPTULO I
1.1 ANTECEDENTES DEL PROBLEMA
En el marco del plan de modernizacin de la Contralora General de la

Repblica de Chile, dentro del mbito de la administracin y desarrollo de
las labores propias de fiscalizacin, se encuentra el proyecto SICA
(Sistema de Control de las Auditoras), el que busca establecer una
metodologa estandarizada para abordar las distintas reas de fiscalizacin
que realiza el organismo de control. Si bien es cierto, ya existe una cultura
organizacional para realizar estas labores, no es menos importante tener
presente que el avance de los servicios pblicos en la automatizacin de
sus procesos ha requerido integrar una visin de sistemas a las mismas.
Desde algn tiempo a la fecha, se han incorporado a las auditoras

realizadas por la Contralora General, ingenieros especialistas en reas de
las ciencias de la informacin y las comunicaciones pero esto ha llevado a
una lenta adecuacin de los distintos criterios y lenguajes propios de los
auditores financieros. A raz de esto, ha surgido la necesidad de apoyar
este proceso de manera estructurada y para ello se dispuso crear una
metodologa para realizar auditoras con el objetivo de maximizar el uso de
los recursos con que cuenta la organizacin para cubrir sus distintas
necesidades de fiscalizacin.
Este proyecto persigue integrar a auditores e ingenieros que apoyan el

desarrollo de las auditoras, basndose para ello en el marco conceptual
que entrega el estndar internacional COBIT y la norma tcnica ISO/IEC
27002, de modo que se logre obtener una mayor sinergia en los equipos
de trabajo y se cumplan en forma oportuna y al menor costo los objetivos
planificados.
7
1.2 ANTECEDENTES GENERALES DEL ORGANISMO CONTRALOR
La Contralora General de la Repblica de Chile tiene como objetivo

principal velar por la correcta aplicacin de la legalidad en los actos
pblicos por parte del poder ejecutivo y resguardar el uso eficiente del
patrimonio pblico, por lo que debe cubrir un amplio espectro de
actividades con la cual dar cumplimiento a su mandato constitucional.
Para esto, la Contralora General se ha estructurado de manera que pueda

abarcar las distintas reas de accin del Gobierno con la idea principal de
conseguir cubrir el mximo rango posible, teniendo presente que los
recursos humanos con que cuenta son escasos.
El accionar de los distintos organismos que conforman la administracin

del estado se desarrolla a travs de planes y programas, los que
actualmente cuentan con componentes tecnolgicos que apoyan el logro
de sus objetivos.
La Contralora hace uso de su facultad de fiscalizacin a travs de equipos

multidisciplinarios, los que necesitan contar con una metodologa
estandarizada para abordar de manera integral los distintos tipos de
proyectos y programas que ha decidido fiscalizar.
Para ello, se ha desarrollado un enfoque que permita integrar la visin

sistmica, de procesos y control al que hacer de los profesionales que
trabajan en la funcin de fiscalizacin.
1.3 OBJETIVOS DE LA INVESTIGACIN
1.3.1 Objetivo general
El objetivo general es ayudar a mejorar la calidad de las auditoras a las

tecnologas de la informacin y las comunicaciones realizadas por la
Contralora General de la Repblica de Chile.
8
1.3.2 Objetivo especfico
El objetivo especfico es apoyar la realizacin de las auditoras a las

tecnologas de la informacin y las comunicaciones utilizando para ello el
marco conceptual que entrega el estndar internacional COBIT y la norma
ISO/IEC 27002.
El logro de este objetivo especfico permitir entre otros:

Desarrollar auditoras de manera estructurada y uniforme.
Entregar normas y procedimientos actualizados para examinar los
sistemas de informacin y la infraestructura tecnolgica que los
soportan.
Especificar los objetivos de control para realizar las pruebas de
cumplimiento y sustantivas.
Promover la evaluacin de los controles claves de los procesos y
sistemas de informacin que soportan el negocio de la organizacin.
Suministrar un marco de referencia para medir el desempeo de los
auditores a cargo y en terreno.
1.4 ALCANCE DE LA INVESTIGACIN
El alcance de la presente investigacin se fundamento en definir un

enfoque metodolgico basado en el estndar internacional COBIT y la
norma ISO/IEC 27002, para la realizacin de auditoras a las tecnologas
de informacin y comunicaciones efectuadas por la Contralora General de
la Repblica de Chile y ser un aporte al trabajo que realizan las Entidades
Fiscalizadoras Superiores.
9
CAPTULO II
2. DISEO METODOLGICO DE LA INVESTIGACIN
2.1 METODOLOGA DE LA INVESTIGACIN
La presente investigacin se bas en el anlisis del enfoque conceptual y

objetivos de control contenidos en el estndar COBIT 4.1 y en los controles
de la norma ISO/IEC 27002:2005.
RESULTADO DE LA INVESTIGACIN
CAPTULO III
AUDITORA A LAS TECONOLOGAS DE INFORMACIN Y

COMUNICACIONES
3.1. MARCO TERICO
3.1.1 Clasificacin de las auditoras
Existen varias formas de clasificar a la auditora, simplemente si se piensa

en las reas de especializacin, stas daran una clasificacin extensa y
vlida. Sin embrago, en esta ocasin se mencionarn dos tipos, las cuales
pueden aportar elementos de inters en su posterior estudio.
La auditora de gestin, est orientada a la evaluacin de aspectos

relacionados con la eficiencia y productividad de las operaciones de una
organizacin. Este tipo de auditora, al igual que la integral que se
menciona a continuacin, puede ser desempeada tanto por auditores
externos como internos.
Constituye objeto de la auditora de gestin, el proceso administrativo, las

actividades de apoyo y operativas; la eficiencia, efectividad y economa en
el empleo de los recursos humanos, financieros, ambientales, tecnolgicos
10
y de tiempo; y el cumplimiento de las atribuciones institucionales.
La auditora integral, se realiza con el fin de evaluar en su totalidad los

objetivos que existen en una organizacin, es decir, los relacionados con
informacin financiera, salvaguardar los activos, eficiencia y normativa,
entre otros. Este tipo de auditoras tambin pueden ser realizadas tanto
por auditores externos como internos.
En ninguna de las clasificaciones anteriores se mencion de manera
especfica a la auditora de las tecnologas de informacin y
comunicaciones. Esto es as, porque esta disciplina no excluye a ninguna
de las auditoras mencionadas, por el contrario, todas ellas deben integrar
a la auditora en tecnologas de informacin para efectuar revisiones
especficas derivadas del uso de la tecnologa de informacin en los
servicios pblicos.
3.2 LOS SISTEMAS DE INFORMACIN
Para adentrarse en el proceso de una auditora a las tecnologas de la

informacin y comunicaciones, es requisito imprescindible comprender los
conceptos de sistemas, informacin y tecnologas de las comunicaciones.
Al lograr una visin y conocimientos del entorno informtico, el auditor
juzgar, de manera suficiente, la naturaleza de la problemtica y riesgos a
los cuales se ver enfrentado al planificar y realizar la auditora.
3.2.1 Caractersticas de los sistemas de informacin
Si se tuviera que resumir con una sola frase, el principal objetivo de un

sistema de informacin dentro de una organizacin, se podra afirmar que
ste se encarga de entregar la informacin oportuna y precisa, con la
presentacin y el formato adecuados a la persona que la necesita dentro
de la organizacin, para tomar una decisin o realizar alguna operacin y
justo en el momento en que esta persona necesita disponer de dicha
informacin.
11
Actualmente, la informacin debe ser considerada como uno de los
recursos ms valiosos de una organizacin y el sistema de informacin es
el encargado de que sta sea gestionada siguiendo criterios de eficiencia y
eficacia.
La informacin ser til para la organizacin, en la medida que facilite la

toma de decisiones, por lo que ha de cumplir una serie de requisitos, entre
los cuales cabe destacar:
Exactitud: La informacin ha de ser precisa y libre de errores.

Completitud: La informacin debe contener todos aquellos hechos que
pudieran ser importantes.
Economicidad: El costo en que se debe incurrir para obtener la
informacin debera ser menor que el beneficio proporcionado por sta
a la organizacin.
Confianza: Para dar crdito a la informacin obtenida, se ha de
garantizar tanto la calidad de los datos utilizados, como la de las
fuentes de informacin.
Relevancia: La informacin ha de ser til para la toma de decisiones.
En este sentido, conviene evitar todos aquellos hechos que sean
superfluos o que no aporten ningn valor.
Nivel de detalle: La informacin debe presentar el nivel de detalle
indicado a la decisin a que se destina. Se debe proporcionar con la
presentacin y el formato adecuados para que resulte sencilla y fcil de
manejar.
Verificabilidad: La informacin ha de poder ser contrastada y
comprobada en todo momento.
Por otra parte, no se debe olvidar que el exceso de informacin tambin

puede ser causa de problemas, suponiendo un obstculo en vez de una
ayuda para la toma de decisiones.
Asimismo, cada funcin y nivel organizativo tiene diferentes necesidades

de informacin, afectando a los formatos, origen, periodicidad, nivel de
12
agregacin y otras caractersticas. A medida que se asciende en el
escalafn organizacional, se observa cmo la informacin requerida
aumenta en nivel de agregacin (menor nivel de detalle), incorpora
informacin del entorno y hace un mayor nfasis en el mediano y largo
plazo, a diferencia de la informacin puramente operativa, que
normalmente se refiere a los hechos ocurridos dentro de la propia
organizacin y a un corto plazo.
Es as como la informacin y el conocimiento que acumulan las

organizaciones, deben ser considerados como un recurso ms, al mismo
nivel que el capital, los bienes, las instalaciones o el personal.
En consecuencia, es necesario protegerlo y controlarlo adecuadamente,

para que pueda contribuir a la realizacin de los objetivos y metas fijados
por la organizacin.
3.2.2 Estructura de los sistemas de informacin
Los sistemas de informacin estn compuestos por diferentes elementos

que interaccionan entre s, entre los cuales se pueden encontrar cinco
componentes fundamentales: personas, actividades, datos, redes y
tecnologa.
Las personas engloban a los propietarios del sistema (entendiendo como

tales, a aquellas personas que patrocinan y promueven el desarrollo de los
sistemas de informacin), a los usuarios (directivos, ejecutivos medios,
jefes de equipo, personal administrativo), a los diseadores y a los
desarrolladores.
Los datos constituyen la materia prima empleada para crear informacin

til.
Dentro de las actividades, se incluyen los procesos que se llevan a cabo en

la organizacin y las actividades de procesamiento de datos y generacin
13
de informacin que sirven de soporte a las primeras.
En el componente redes, se analizan la descentralizacin de la

organizacin, la distribucin de los restantes componentes elementales en
los lugares ms tiles (oficinas, dependencias, delegaciones, etc.), as
como la comunicacin y coordinacin entre dichos lugares.
Por ltimo, el componente tecnologa, hace referencia tanto al hardware
como el software de un sistema de informacin. Se pone de manifiesto la
existencia de una interrelacin entre los elementos propios de la
organizacin y los sistemas de informacin.
3.2.3 Procesos de los sistemas de informacin
Un sistema de informacin, se puede definir como un conjunto de

elementos interrelacionados (entre los que se pueden considerar los
distintos medios tcnicos, las personas y los procedimientos), cuyo
cometido es capturar datos, almacenarlos y transformarlos de manera
adecuada y distribuir la informacin obtenida mediante este proceso.
Su propsito es apoyar y mejorar las operaciones cotidianas de la

organizacin, as como satisfacer las necesidades de informacin, para la
resolucin de problemas y la toma de decisiones, por parte de los
directivos de la organizacin. Por lo tanto, se trata de un sistema que tiene
entradas (datos) y salidas (informacin), procesos de transformacin de
las entradas en salidas y mecanismos de retroalimentacin.
La captura de datos puede ser manual o automatizada y, en general, es

conveniente realizarla en el momento en que se produce el hecho al que
est asociado.
En la etapa de proceso, se transforman los datos de entrada del sistema

en informacin til, mediante una serie de operaciones de clculo,
agregacin, comparacin, filtrado, presentacin, etc. Estas operaciones,
generalmente son realizadas con la ayuda de sistemas informticos.
14
La informacin til se plasma en una serie de documentos, informes y
grficos, para ser distribuida a las personas adecuadas dentro de la
organizacin. Esta informacin, as como los datos de partida, se
almacenan generalmente, en un soporte informtico para poder ser
reutilizados en cualquier momento.
La retroalimentacin (feedback) de la informacin obtenida en todo este

proceso, se puede utilizar para realizar ajustes y detectar posibles errores
en la captura de los datos y/o en su transformacin.
3.2.4 Clasificacin de los sistemas de informacin
Por lo general, las clasificaciones ms extendidas de los sistemas de

informacin suelen agrupar stos en funcin de su propsito. De una
forma muy global, puede considerarse que existen dos propsitos bsicos
para los sistemas:
Soporte a las actividades operativas: Que da lugar a sistemas de

informacin para actividades ms estructuradas (aplicaciones contables,
ventas, adquisiciones y, en general, lo que se denomina gestin
empresarial o tambin sistemas que permiten el manejo de
informacin menos estructurada: aplicaciones ofimticas, programas
tcnicos para funciones de ingeniera, etc.
Soporte a las decisiones y el control de gestin: Que puede

proporcionarse desde las propias aplicaciones de gestin empresarial
(mediante salidas de informacin existentes) o a travs de aplicaciones
especficas.
Los sistemas de soporte a las actividades operativas, surgen para

automatizar actividades operacionales intensivas en el manejo de datos.
Concretamente, se centran en reas como administracin (contabilidad y
facturacin) y gestin de personal, extendindose a otras actividades
como la venta, la compra o la produccin. Estos permiten recoger los
15
datos bsicos en las operaciones y se les denomina sistema de
procesamiento transaccional.
Actualmente, estos sistemas forman parte de lo que normalmente las

organizaciones denominan como su Sistema de Gestin Empresarial o
ERP (Enterprise Resources Planning).
Los sistemas de informacin para la toma de decisiones, permiten sacar

provecho a los datos recogidos por los sistemas transaccionales, siendo
capaces de proporcionar informacin para la gestin. Estos sistemas,
permiten generar informes para los directivos de la organizacin, con el
propsito de mejorar el control de gestin de las distintas reas
funcionales. De este modo, se consigue agilizar el proceso de toma de
decisiones, al proporcionar la informacin necesaria de forma rpida,
precisa y fiable.
En los sistemas de informacin de control de gestin, los informes pueden

ser generados de forma peridica, bajo demanda, en el momento en que
se produzca una situacin excepcional (posibilitando este ltimo caso el
control por excepcin) y en ellos se comparan, para cada rea funcional o
centro de responsabilidad, los objetivos previstos con los resultados
obtenidos, fruto de las distintas operaciones realizadas.
La direccin de una organizacin, adems, requiere sistemas capaces de

soportar decisiones de carcter menos estructurado, con frecuencia el
directivo necesitar herramientas para diagnosticar un problema (anlisis)
y para elegir la mejor alternativa (simulacin, planificacin, etc.). Este tipo
de herramientas se les denomina sistemas de inteligencia de negocios.
Los sistemas de soporte a la direccin son los que asisten a los directivos
de las organizaciones en todos los aspectos de un proceso de toma de
decisiones: generacin de alternativas, anlisis de ellas, simulacin de
resultados que se obtendran con cada una de ellas, etc. Se puede afirmar
que estos sistemas van un paso ms all que los sistemas de informacin
16
tradicionales.
Por ltimo, los sistemas de informacin para ejecutivos, combinan buena

parte de las caractersticas de los sistemas anteriores, para servir de
ayuda a los directivos en el proceso de toma de decisin y seguimiento de
acciones.
3.3 COBIT 4.1

3.3.1 Definicin
COBIT es un acrnimo formado por las siglas derivadas de Control

Objetives for Information and Related Technology (Objetivos de Control
para la Informacin y Tecnologas Relacionadas).
Este conjunto de objetivos representa el producto de un proyecto de

investigacin desarrollado por la Information System Audit and Control
Fundation (ISACF) que fue publicado inicialmente en el ao de 1996.
Como su nombre lo indica, COBIT es un conjunto de objetivos de control

aplicables a un ambiente de tecnologas de informacin que lograron
definirse gracias a un trabajo de investigacin y bsqueda de consenso
entre la normatividad de distintos cuerpos colegiados, estndares tcnicos,
cdigos de conducta, prcticas y requerimientos de la industria y
requerimientos emergentes para industrias especficas (desde la banca
hasta la manufactura). Este extenso trabajo de investigacin realizado por
equipos de expertos de Amrica, Europa y Oceana, dio como resultado un
grupo estructurado de objetivos de control que al ser compatibles con las
principales normas a nivel internacional, cuenta con una aceptacin
implcita como un estndar global en trminos de control interno en
tecnologas de informacin.
3.3.2 Misin
La misin de COBIT es: investigar, desarrollar, publicar y promover un
17
conjunto internacional, autorizado y actual de objetivos de control en
tecnologas de informacin generalmente aceptados por el uso cotidiano de
gerentes de organizaciones y auditores.
Entonces, el propsito de COBIT es proporcionar una gua estndar que

tenga una aceptacin internacional sobre los objetivos de control que
deben existir en un ambiente de tecnologa de informacin para asegurar
que las organizaciones logren los objetivos de negocio que dependen de un
adecuado empleo de dicha tecnologa.
3.3.3 Estructura
COBIT logra un primer acercamiento entre los mundos de los negocios y

del control de tecnologa de informacin, mundos que histricamente
aparecan distantes uno del otro, aunque la necesidad de interaccin fuese
evidente.
La estructura de COBIT se fundamenta en la idea de que los recursos de TI

deben ser utilizados en forma adecuada mediante la ejecucin de procesos
de trabajo para satisfacer los requerimientos de (informacin del) negocio
que existen en las organizaciones.
ESTRUCTURA DEL ESTANDAR COBIT
Recursos Procesos de Requerimientos

de TI trabajo de negocio
Datos Planeacin y Organizacin Efectividad

Sistemas de Informacin Adquisicin e Implementacin Eficiencia
Tecnologa Prestacin de Servicios y Soporte Confidencialidad
Instalaciones Monitoreo Integridad y Disponibilidad
Recursos Humanos Confiabilidad de la Informacin
Cumplimiento Leyes y Regulacin
18
a) Recursos de TI
La clasificacin que propone COBIT sobre los recursos de tecnologa de

informacin es la siguiente:
Datos: Incluye a los objetos de informacin en su sentido ms amplio,

considerando informacin interna y externa, estructurada y no
estructurada, grfica, sonidos, etc.
Sistemas de informacin: Este concepto se entiende como los
sistemas de informacin (aplicaciones) que integran tanto
procedimientos manuales como procedimientos programados (basados
en tecnologa)
Tecnologa: Incluye hardware, sistemas operativos, sistemas de
administracin de base de datos, equipos de redes y
telecomunicaciones, video conferencia, etc.
Instalaciones: Incluye los recursos necesarios para alojar y dar
soporte a los sistemas de informacin.
Recursos Humanos: Este concepto incluye, habilidades, conciencia y
productividad del personal para planear, adquirir, prestar servicios,
proporcionar soporte y monitorear los sistemas y servicios de
informacin.
b) Procesos de Trabajo
COBIT clasifica los procesos de trabajo en tres niveles jerrquicos,

dominios, procesos y actividades o tareas.
Los cuatro dominios definidos se estructuran de acuerdo con el esquema

que se utiliza para representar el ciclo de vida de administracin de
recursos:
Planeacin y organizacin: Planning and organization (PO)

Adquisicin e implementacin: Acquisition and implementation (AI)
Entrega de servicios y soporte: Delivery and support (DS)
19
Monitoreo: Monitoring (M)
Estos dominios a su vez se subdividen en procesos:
1) Planeacin y Organizacin (PO)

PO1: Definir un plan estratgico de sistemas.
PO2: Definir la arquitectura de informacin.
PO3: Determinar la direccin tecnolgica.
PO4: Definir la organizacin y sus relaciones.
PO5: Administrar las inversiones en TI.
PO6: Comunicar la direccin y objetivos de la gerencia.
PO7: Administrar los recursos humanos.
PO8: Asegurar el apego a disposiciones externas.
PO9: Evaluar riesgos.
PO10: Administrar proyectos.
PO11: Administrar calidad.
2) Adquisicin e Implementacin (AI)

AI1: Identificar soluciones de automatizacin.
AI2: Adquirir y mantener software de aplicaciones.
AI3: Adquirir y mantener la arquitectura tecnolgica.
AI4: Desarrollar y mantener procedimientos.
AI5: Instalar y acreditar sistemas de informacin.
AI6: Administrar cambios.
3) Prestacin de Servicios y Soporte (DS)

DS1: Definir niveles de servicio.
DS2: Administrar servicios de terceros.
DS3: Administrar desempeo y capacidad.
DS4: Asegurar la continuidad de servicio.
DS5: Garantizar la seguridad de sistemas.
DS6: Identificar y asignar costos.
DS7: Educar y capacitar usuarios.
20
DS8: Apoyar y orientar a clientes.
DS9: Administrar la configuracin.
DS10: Administrar problemas e incidentes.
DS11: Administrar la informacin.
DS12: Administrar las instalaciones.
DS13: Administrar la operacin.
4) Monitoreo (M)
M1: Monitorear el proceso.
M2: Evaluar lo adecuado del control interno.
M3: Obtener aseguramiento independiente.
M4: Proporcionar auditora independiente.
Posteriormente y como producto de un anlisis ms profundo, COBIT

define las actividades o tareas en que se descompone cada uno de los 34
procesos e identifica los objetivos de control que deben existir en cada uno
de ellos, tal como se muestra en el siguiente ejemplo:
DS. Prestacin de servicios y soporte (dominio)

DS2. Administrar servicios de terceros (proceso)
2.3. Contrato con terceros (actividad o tarea)
Objetivo de control: La Gerencia debe definir procedimientos

especficos para asegurar que un contrato formal es definido y acordado
para cada relacin de servicios con un proveedor.
c) Requerimientos de negocio
Por lo que respecta a requerimientos de negocio COBIT, se orienta en

forma exclusiva a requisitos relacionados con la informacin. En un primer
anlisis presenta la siguiente clasificacin:
Requerimientos de calidad:
o Calidad.
21
o Costo.
o Prestacin de servicio.
Requerimientos de confianza:
o Efectividad y eficiencia de operaciones.
o Confiabilidad de la informacin.
o Cumplimiento de leyes y regulaciones.
Requerimientos de seguridad de la informacin:
o Confidencialidad.
o Integridad.
o Disponibilidad.
De acuerdo con esta clasificacin preliminar y mediante un anlisis de los

conceptos que integra y de las reas comunes de inters que se presentan
entre los mismos, COBIT resume los requerimientos (de informacin) del
negocio en las siguientes siete categoras:
Efectividad: Se refiere a que la informacin debe ser relevante y

pertinente para los procesos de negocio as como ser proporcionada en
forma oportuna, correcta, consistente y utilizable.
Eficiencia: Se refiere a proveer la informacin mediante el empleo
ptimo (la forma ms productiva y econmica impuestas en forma
externa) de los recursos.
Confidencialidad: Se refiere a la proteccin de la informacin sensitiva
contra la divulgacin no autorizada.
Integridad: Se refiere a lo exacto y completo de la informacin as
como a su validez de acuerdo a los valores y expectativas de la
organizacin.
Disponibilidad: Se refiere a la accesibilidad de la informacin cuando
sea requerida por los procesos de negocio ahora y en el futuro.
Tambin se relaciona con la salvaguarda de los recursos necesarios y
las capacidades asociadas a los mismos.
Cumplimiento: Se refiere al cumplimiento de leyes, regulaciones y
compromisos contractuales a los cuales est comprometida la
organizacin, por ejemplo; criterios de negocio.
22
Confiabilidad de la informacin: Se refiere a proveer la informacin
apropiada para que la administracin opere la organizacin y cumpla
con sus responsabilidades de informes financieros y de cumplimiento
normativo.
Cada uno de los 34 procesos de TI definidos por COBIT est orientado a la

satisfaccin de un requisito de negocio especfico, de acuerdo con la
relacin que se muestra en la siguiente tabla:
PROCESOS COBIT Y SUS REQUISITOS DE NEGOCIO

PROCESOS COBIT DE TI REQUISITOS DE NEGOCIO
PLANEACION Y ORGANIZACION (PO)
PO1. Definir un plan estratgico de Obtener un balance ptimo de
sistemas oportunidades en tecnologa de
informacin y requerimientos de negocio
de TI, as como asegurar su logro futuro.
PO2. Definir la arquitectura de Organizar adecuadamente los sistemas
informacin de informacin.
PO3. Determinar la direccin tecnolgica Obtener beneficio de la tecnologa
existente y de la tecnologa emergente.
PO4. Definir la organizacin y sus Proporcionar servicios de tecnologa de
relaciones informacin.
PO5. Administrar las inversiones en TI Asegurar la obtencin de fondos y
controlar el empleo de los recursos
financieros.
PO6. Comunicar la direccin de la Asegurar la concientizacin de los
gerencia usuarios y su entendimiento de las
aspiraciones de la direccin.
PO7. Administrar los recursos humanos Maximizar las contribuciones del
personal a los procesos de TI.
PO8. Asegurar el apego a disposiciones Observar el cumplimiento de
externas obligaciones legales, regulatorias y
contractuales.
PO9. Evaluar riesgos Asegurar el cumplimiento de los
objetivos de TI y la respuesta a
amenazas a la prestacin de servicios de
TI.
PO10. Administrar proyectos Establecer prioridades y cumplir
23
compromisos en tiempo y en costo.
PO11. Administrar calidad Satisfacer los requerimientos de los
clientes de TI.
ADQUISICION E IMPLEMENTACION (AI)
AI1. Identificar soluciones de Asegurar el mejor enfoque para
automatizacin satisfacer los requerimientos del usuario.
AI2. Adquirir y mantener software de Proveer funciones automatizadas que
aplicacin efectivamente soporten los procesos de
negocio.
AI3. Adquirir y mantener la arquitectura Proveer la plataforma adecuada para
tecnolgica proporcionar soporte a las aplicaciones
de negocio.
AI4. Desarrollar y mantener Asegurar el uso apropiado de las
procedimientos aplicaciones y de las soluciones de
tecnologa existentes.
AI5. Instalar y acreditar sistemas de Verificar y confirmar que la solucin
informacin corresponda al propsito pretendido.
AI6. Administrar cambios Minimizar la probabilidad de
interrupciones, alteraciones no
autorizadas y errores.
PRESTACION DE SERVICIO Y SOPORTE (DS)
DS1. Definir niveles de servicio Establecer un entendimiento comn del
nivel de servicio requerido.
DS2. Administrar servicio de terceros Asegurar que los roles y
responsabilidades de terceros estn
definidas claramente, son respetados y
continan satisfaciendo los
requerimientos.
DS3. Administrar desempeo y capacidad Asegurar que la capacidad adecuada se
encuentra disponible y se hace el mejor
y ptimo uso de la misma para
satisfacer los requerimientos de
desempeo.
DS4. Asegurar continuidad de servicio Contar con servicios disponibles de
acuerdo con los requerimientos y
mantener la prestacin de los mismos en
caso de una interrupcin.
DS5. Garantizar la seguridad de sistemas Salvaguardar informacin contra uso no
autorizado, divulgacin o modificacin,
dao o prdida.
24
DS6. Identificar y asignar costos Asegurar una concientizacin correcta de
los costos atribuibles a servicios de TI.
DS7. Educar y capacitar usuarios Asegurar que los usuarios estn
haciendo uso efectivo de la tecnologa y
estn conscientes de los riesgos y
responsabilidades involucradas.
DS8. Apoyar y orientar a clientes Asegurar que cualquier problema
experimentado por los usuarios es
manejado apropiadamente.
DS9. Administrar la configuracin Dar razn de todos los componentes.
Prevenir alteraciones no autorizadas,
confirmar existencia fsica y proveer las
bases para una slida administracin de
cambios.
DS10. Administrar problemas e Asegurar que problemas e incidentes son
incidentes resueltos y que las causas son
investigadas para prevenir cualquier
ocurrencia futura.
DS11. Administrar la informacin Asegurar que la informacin se mantiene
completa, exacta y vlida durante su
entrada, actualizacin y
almacenamiento.
DS12. Administrar las instalaciones Proporcionar una ubicacin fsica
conveniente que proteja al equipo y a las
personas contra riesgos naturales y
riesgos producidos por el hombre.
DS13. Administrar la operacin Asegurar que las funciones importantes
de TI son desarrolladas regularmente y
en una forma ordenada.
MONITOREO (M)
M1. Monitorear el proceso Asegurar el cumplimiento de los
objetivos de desempeo establecidos
para los procesos de TI.
M2. Evaluar lo adecuado del control Asegurar el logro de los objetivos de
interno control interno establecidos para los
procesos de TI.
M3. Obtener aseguramiento Incrementar los niveles de confianza y
independiente beneficiarse con recomendaciones sobre
mejores prcticas.
M4. Obtener auditora independiente Incrementar la confianza y confiabilidad
25
entre la organizacin, clientes y
proveedores.
3.4 ISO/IEC 27002:2005

3.4.1 Definicin y objetivos
El objetivo del estndar ISO/IEC 27002:2005 es brindar informacin a los

responsables de la implementacin de seguridad de la informacin de una
organizacin. Puede ser visto como una buena prctica para desarrollar y
mantener normas de seguridad y prcticas de gestin en una organizacin
para mejorar la fiabilidad en la seguridad de la informacin.
En l se definen las estrategias de 133 controles de seguridad organizados
bajo 11 dominios.
La poltica de seguridad
Organizacin para la seguridad de la informacin
Gestin de activos de informacin
Seguridad del personal
Seguridad fsica y ambiental
Gestin de comunicaciones y operaciones
Control de acceso
Adquisicin, desarrollo y mantenimiento de sistemas
Gestin de incidentes de la seguridad de la informacin
Gestin de la continuidad del negocio
Cumplimiento
Los principios rectores en la norma ISO/IEC 27002 son los puntos de

partida para la implementacin de seguridad de la informacin. Se basan
en los requisitos legales o en las mejores prcticas generalmente
aceptadas.
Las mediciones basadas en los requisitos legales son:

La proteccin y la no divulgacin de datos personales
Proteccin de la informacin interna
Proteccin de los derechos de propiedad intelectual
Las mejores prcticas mencionadas en la norma incluyen:

La poltica de seguridad de la informacin
Asignacin de la responsabilidad de seguridad de la informacin
Escalamiento de problemas
Gestin de la continuidad del negocio
26
CAPTULO IV
ENFOQUE METODOLGICO
El enfoque metodolgico propuesto integra el conocimiento aportado por

las organizaciones que lideran el desarrollo de los estndares y mejores
prcticas en el mbito de las tecnologas de la informacin reconocidas a
nivel internacional, entregando un marco referencial para realizar
auditoras a las tecnologas de informacin centradas en los procesos del
negocio, los sistemas de informacin que los soportan y sus actividades de
control.
4.1 METODOLOGA
Esta constituye una herramienta de apoyo que permite incorporar el uso

del estndar COBIT y la norma tcnica ISO/IEC 27002 a los programas de
auditoras a las tecnologas de informacin y comunicaciones.
A continuacin, se presentan las etapas que componen la metodologa:
a) FASE I. Planificacin de la auditora
1. Plan de auditora preliminar

2. Comprensin de la organizacin, procesos de negocio y sistemas
3. Definicin del programa y alcance de la auditora
b) FASE II. Ejecucin de la auditora
4. Evaluacin del control interno

5. Diseo de las pruebas de auditora
6. Ejecucin de las pruebas de auditora
7. Evaluacin del resultado de las pruebas de auditora
27
c) FASE III. Comunicacin de los resultados
8. Elaboracin del informe con los resultados de la auditora

9. Seguimiento a las observaciones de la auditora
4.1.1 Sntesis de actividades y productos entregables por etapas
A continuacin, se presenta un resumen de las actividades y productos que

componen las etapas a cumplir para realizar una auditora a las
tecnologas de informacin y comunicaciones.
RESUMEN DE ACTIVIDADES Y PRODUCTOS DE LA METODOLOGA
ETAPAS DE LA
ACTIVIDADES QUE SE
METODOLOGA PRODUCTOS DE LA ETAPA
EJECUTAN
N DESCRIPCION
1 Plan de auditora Elaborar un plan de auditora con objetivos Plan de auditora preliminar.
generales. Definicin del perfil del personal
preliminar
Conformar el grupo de trabajo que requerido y asignacin de auditores.
realizar la auditora. Lista con horas estimadas por etapa
Estimar tiempo necesario para realizar la para realizar la auditora.
auditora.
2 Comprensin de Levantamiento de informacin sobre el Archivos de trabajo de la auditora.

estado actual y caractersticas de la Documento con definicin de los
la organizacin,
organizacin, infraestructura, recursos procesos de negocio y diagramas
procesos de
humanos y tcnicos, procesos de negocios descriptivos.
negocio y y sistemas de informacin que los Ficha tcnica de los sistemas de
sistemas soportan. informacin que soportan los procesos
Confeccionar flujograma de los procesos de de negocio.
negocio.
Realizar ficha tcnica de los sistemas de
informacin que soportan los procesos de
negocio.
3 Definicin del Seleccionar los objetivos de control Lista de objetivos de control que deben
aplicables a los procesos de negocio y ser satisfechos por los procesos de
programa y
sistemas de informacin. negocio y sistemas de informacin.
alcance de la
Elaborar el programa de auditora Programa de auditora detallado.
auditora detallado. Carta Gantt del programa de auditora.
Confeccionar Carta Gantt del programa de
auditora.
28
4 Evaluacin del Identificar y documentar los controles Lista de controles existentes para los
existentes en los procesos de negocio y procesos de negocio y sistemas de
sistema de
sistemas de informacin. informacin.
control interno
Evaluar el diseo y grado de proteccin Lista con el grado de proteccin de
que ofrecen los controles existentes. controles existentes para los procesos
Identificar y documentar los controles de negocio y los sistemas.
deficientes. Lista de deficiencias y debilidades de
control interno.
5 Definicin y Definir y disear pruebas de cumplimiento Definicin del alcance de las pruebas
para los controles claves de los procesos de cumplimiento.
diseo de las
de negocio y sistemas agrupados por Diseo detallado de las pruebas de
pruebas de
tcnicas de verificacin. cumplimiento segn tcnicas de
auditora Definir el diseo y alcance de las pruebas verificacin.
sustantivas para datos clave de los Definicin del alcance de las pruebas
procesos y sistemas. sustantivas.
Diseo detallado de las pruebas
sustantivas.
6 Ejecucin de las Ejecutar pruebas de cumplimiento y Lista de controles verificados por el

sustantivas utilizando tcnicas de auditor.
pruebas de
verificacin manuales o asistidas por Soportes de las pruebas de auditora
auditora
computador. realizadas.
7 Evaluacin de los Evaluar los resultados de las pruebas Listado con anlisis de observaciones
efectuadas. de auditora para pruebas de
resultados
Desarrollar el anlisis de las observaciones cumplimiento y sustantivas.
obtenidos en las
de auditora y puntos mejorables para los Conclusiones de los resultados
pruebas de controles y datos deficientes. obtenidos.
auditora Identificar las causas, el impacto y las
implicaciones de las observaciones para la
organizacin y verificar los estndares y
mejores prcticas que no se cumplen.
Disear las conclusiones de auditora para
los resultados no satisfactorios.
8 Elaboracin del Elaborar resumen de observaciones. Resumen de observaciones obtenidas.

Desarrollar y aprobar informe preliminar. Informe preliminar de auditora.
informe con los
Emitir informe preliminar. Documento con el anlisis de las
resultados de la
Analizar respuesta del servicio al informe respuestas emitidas por el servicio
auditora preliminar. auditado al informe preliminar.
Disear conclusiones generales y Informe final de auditora.
especficas de la auditora. Expediente de auditora con
Elaborar y aprobar informe final de observaciones organizadas y
auditora. referenciadas adecuadamente.
Emitir informe final de auditora.
Organizar y cerrar expediente y archivo
con hojas de trabajo.
9 Seguimiento a Planificar seguimiento al cumplimiento de Programa de seguimiento.

las observaciones de auditora. Listado con el resultado del
las
Efectuar seguimiento en fechas cumplimiento de las observaciones.
observaciones de
programadas. Informe de seguimiento.
auditora Analizar y evaluar resultados del
seguimiento.
Elaborar y aprobar informe de seguimiento.
Emitir informe de seguimiento.
29
4.2 FASE I. PLANIFICACIN DE LA AUDITORA
La primera fase de la auditora comprende la realizacin de un plan de

auditora preliminar con el propsito de definir los objetivos de la auditora,
asignar los recursos y estimar el tiempo necesario para efectuar la
revisin.
4.2.1 Plan de auditora preliminar
Esta primera etapa considera la planificacin que realiz el organismo

fiscalizador el ao anterior, donde se definieron los servicios con prioridad
de auditora para cada sector pblico.
Como resultado de esta actividad se realiza el programa de trabajo para la

auditora, el que debe incluir:
Objetivos de la auditora
Definicin del equipo de auditores requerido: perfil y habilidades.
Tiempo estimado para efectuar la auditora.
4.2.2 Programa de trabajo para el desarrollo de la auditora
Este documento consta de tres secciones:
Objetivos de la auditora: En esta seccin se incluyen los objetivos

de control generales que se buscan con la realizacin de la auditora en
tecnologas de la informacin.
Alcance de la auditora: En esta seccin se definen los procesos de
negocio y sistemas de informacin que sern revisados.
Programacin de actividades: Incluye la secuencia de pasos que
debern ejecutarse para desarrollar las etapas de la auditora.
30
4.2.3 Asignacin de recursos y estimacin del tiempo requerido
para efectuar la auditora
Con base en la complejidad tcnica de los procesos de negocio y sistema

de informacin sujetos a auditora y en el volumen de trabajo estimado
para satisfacer los objetivos propuestos, es necesario definir las
competencias necesarias del equipo de auditora y estimar las necesidades
de tiempo que se requerirn.
Suponga que se presupuestan 480 horas para todo el trabajo, las que
podran ser asignadas as: 15% para labores de supervisin, 20% para el
auditor a cargo y el restante 65% para los auditores en terreno.
ASIGNACIN DE HORAS DE AUDITORA

N NIVEL DE HORAS
RESPONSABILIDAD ASIGNADAS
1 Supervisor 72
2 Auditor a cargo 96
3 Auditores en terreno 312
Por cada una de las etapas de la metodologa, un modelo de distribucin

de tiempo podra ser el siguiente:
ESTIMACION DE HORAS POR ETAPAS

N ETAPAS DE LA HORAS ESTIMADAS
METODOLOGIA
1 Plan de auditora preliminar 40
Comprensin del proceso de
2 80
negocio
Definicin del programa y su
3 40
alcance
4 Evaluacin del control interno 120
5 Definicin y diseo de las 80
31
pruebas
6 Ejecucin de las pruebas 40
Anlisis de resultados de las
7 40
pruebas
Elaboracin informe con los
8 40
resultados
4.2.4 Comprensin de los procesos de negocio y sistemas de

informacin que los soportan
Esta etapa tiene como objetivos conocer y comprender el ambiente de

organizacin, tecnolgico y operativo de los procesos de negocio y los
sistemas de informacin que los soportan. Implica para el auditor, realizar
un levantamiento de la informacin detallada a travs de entrevistas con
las personas apropiadas, de observacin de la forma como se ejecutan las
operaciones y de la comprensin de la lgica del negocio, los flujos de
informacin, el rol de las personas y dependencias que intervienen en el
manejo de las operaciones y otros aspectos que el auditor considere
importantes.
Cuando se realiza por primera vez la auditora en un servicio, la

informacin relevante obtenida en esta etapa se organiza en un
documento conocido como archivo permanente o expediente continuo de
auditora. Si el archivo ya existe, es necesario su revisin y actualizacin
con los cambios efectuados desde la ltima auditora.
Este documento contiene informacin sobre los objetivos y procesos que

soportan los sistemas de informacin y sobre los recursos de tecnologa
utilizados (instalaciones de procesamiento, infraestructura, personal,
contratos, etc.) y la importancia relativa de las cifras que se procesan y
otros datos de inters.
32
4.2.5 Levantamiento de la informacin bsica y detallada
El levantamiento de informacin que se realiza en esta etapa, tiene como

finalidad asegurar que el auditor comprenda la filosofa y las caractersticas
de funcionamiento de los procesos de negocio y sistemas de informacin
en estudio. Esto es imperativo dentro del proceso de la auditora, puesto
que toda la pericia y el conocimiento tcnico del auditor seran inaplicables
si antes no obtiene la comprensin de aspectos claves del universo que
ser auditado.
Como resultado de esta actividad, el auditor obtiene la siguiente

informacin:
a) De los procesos de negocio
Estructura organizacional
Estructura de las reas propietarias de la informacin de los procesos
de negocio
Clientes interno y externos
Dependencias de la organizacin
Tareas o actividades que realiza cada dependencia
Terceros que intervienen en el manejo de la informacin
Cuantificacin de las cifras de operaciones que manejan los procesos de
negocio (promedio durante un ao)
Polticas y procedimientos establecidos en la organizacin relacionados
con los procesos de negocio
Normas legales e institucionales que rigen el funcionamiento del
servicio
Informacin sobre fraudes y otros antecedentes en las operaciones del
servicio
b) De las tecnologas de informacin que soportan los procesos de

negocio
Funciones y operaciones del negocio que ejecutan los sistemas
33
Modelo entidad/relacin de las bases de datos de los sistemas
Diccionario de datos de los modelos entidad/relacin
Inventario de documentos fuentes y otros medios de entrada de datos
Personas claves que dan soporte tcnico a la operacin y mantencin
de los sistemas para cada dependencia.
Terceros que prestan servicios de tecnologas de informacin para los
procesos de negocio.
Inventario de informes que producen los sistemas y destinatarios de los
mismos
Interfaces entre sistemas (informacin que reciben o proporcionan a
otros sistemas)
Manuales existentes con la documentacin tcnica y del usuario
Plataforma en la que funcionan los sistemas de informacin (sistema
operativo, software de desarrollo y motor de base de datos utilizados)
Si el sistema de informacin fue adquirido; datos del proveedor, ao de
adquisicin, versin en produccin, cantidad de usuarios con licencia,
poseen programas fuentes y contrato de mantencin)
Si el sistema de informacin fue desarrollado internamente (tipo de
lenguaje utilizado, archivos fuentes y ejecutables, fecha de ingreso a
produccin, versin actual en produccin).
4.2.6 Estructura y organizacin de los archivos de trabajo
Con la informacin obtenida en esta etapa se organiza el primero de

dos archivos de trabajo de la auditora, el archivo permanente o
expediente continuo de auditora, que contiene la informacin que
representa el estado actual del rea objeto de auditora. El otro archivo se
denomina archivo de hojas de trabajo y se construye con los resultados
de cada una de las etapas de la metodologa.
a) Archivo permanente
Es el archivo con los antecedentes que reflejan el estado de organizacin y

funcionamiento de los procesos y sistemas auditados en una entidad.
34
Este archivo contiene informacin de la organizacin que es poco
cambiante y, por consiguiente, tiene validez continua a travs del tiempo.
Generalmente, se elabora completamente en la primera auditora y en las
dems se reemplazan unos documentos por otros actualizados.
b) Archivo de hojas de trabajo
Es el archivo con las hojas de trabajo que contienen las evidencias del
desarrollo de cada una de las etapas de la auditora.
Los documentos de este archivo tienen validez por una sola vez, es decir,
para cada auditora realizada a las aplicaciones que estn en proceso de
evaluacin. Por consiguiente, cada vez que se efecte una auditora se debe
elaborar un nuevo archivo con la informacin recopilada.
4.2.7 Ficha tcnica de los sistemas de informacin
La ficha tcnica es un documento con el resumen gerencial de las

principales caractersticas del proceso de negocio y de las tecnologas de
informacin que soportan sus operaciones.
El objetivo principal de este documento es ubicar a los destinatarios de los
informes de auditora, proporcionndoles informacin que sirva de
referencia para evaluar la importancia de las observaciones y conclusiones
que se presentan en el informe de auditora.
El contenido de la ficha tcnica es un resumen del archivo permanente de

los procesos de negocio y los sistemas de informacin que los soportan.
4.2.8 Definicin del alcance de la auditora
El objetivo de esta etapa es identificar, analizar y seleccionar los objetivos

de control aplicables a los procesos de negocio y sistemas de informacin
sujetos a auditora. Estos objetivos de control sern incorporados al
programa de auditora detallado.
35
De esta etapa se obtiene lo siguiente:
Programa de auditora con objetivos detallados

Carta Gantt de la auditora
Lista con la definicin y anlisis de los objetivos de control aplicables a
los procesos del negocio y sistemas de informacin auditados.
4.2.9 Seleccin de los objetivos de control aplicables
En este paso de la metodologa se deben seleccionar los objetivos de

control que sean aplicables a la auditora de los procesos de negocio y
sistemas de informacin en revisin.
Para agrupar de forma ms comprensiva los controles que proporcionan

COBIT e ISO/IEC 27002, podemos recurrir a los objetivos de control
bsicos que define la Asociacin de Auditores de Sistemas de Informacin
y Control (ISACA) para realizar una revisin y evaluacin de los sistemas
de informacin.
1. Estrategia y direccin
2. Organizacin general
3. Acceso a los recursos de informacin
4. Metodologa de desarrollo de sistemas y control de cambios
5. Procedimientos de operaciones
6. Programacin de sistemas y funciones de soporte tcnico
7. Procedimientos de aseguramiento de calidad
8. Controles de acceso fsico
9. Planificacin de la continuidad del negocio y recuperacin de desastres
10. Redes y comunicaciones
11. Administracin de la base de datos
12. Proteccin y mecanismos de deteccin contra ataques internos y
externos
36
En la etapa evaluacin del sistema de control, se debe analizar si los
controles establecidos por la administracin se encuentran alineados con
los objetivos de control seleccionados de los estndares. Posteriormente,
en la etapa Ejecucin de pruebas de auditora, se debe verificar si la
proteccin de los controles es suficiente para asegurar razonablemente el
cumplimiento de los objetivos del negocio.
4.2.10 Objetivos de control COBIT e ISO/IEC 27002
A continuacin, se presenta la lista con la descripcin de los objetivos de

control COBIT e ISO/IEC 27002 que son aplicables a cada objetivo de
control bsico.
1.- ESTRATEGIA Y DIRECCIN

OBJETIVOS DE CONTROL APLICABLES
COBIT ISO/IEC 27002
PO1.2 Alineacin de TI con el negocio
PO1.4 Plan estratgico de TI
PO2.1 Modelo de arquitectura de informacin
empresarial
PO3.1 Planeamiento de la orientacin tecnolgica
PO3.2 Plan de infraestructura tecnolgica
PO3.4 Estndares tecnolgicos
PO4.2 Comit estratgico de TI
PO4.3 Comit directivo de TI
PO6.5 Comunicacin de los objetivos y de la direccin
de TI
2.- ORGANIZACIN GENERAL

COBIT ISO/IEC 27002
PO4.4 Ubicacin organizacional de la funcin de TI
PO4.5 Estructura organizacional de TI
PO4.6 Establecer roles y responsabilidades
PO4.7 Responsabilidades para el aseguramiento de la
calidad de TI (QA)
PO4.8 Responsabilidad sobre el riesgo, la seguridad y
el cumplimiento
PO4.10 Supervisin
PO4.11 Segregacin de funciones
PO4.12 Personal de TI
PO4.13 Personal clave de TI
PO6.4 Implantacin de polticas, estndares y
procedimientos
37
3.- ACCESO A LOS RECURSOS DE INFORMACIN
COBIT ISO/IEC 27002
PO2.3 Esquema de clasificacin de datos 11.1.1 Polticas de control de acceso
PO6.2 Riesgo corporativo y marco de referencia del
control interno de TI
DS5.2 Plan de seguridad de TI
DS5.4 Gestin de cuentas de usuario 11.2.1 Registro de usuarios
DS5.3 Gestin de identidad 11.2.2 Gestin de privilegios
11.2.4 Revisin de derechos de acceso de usuarios
11.2.3 Gestin de contraseas de usuarios
11.3.1 Uso de contraseas
11.5.1 Procedimientos seguros de inicio de sesin
11.6.1 Restriccin de acceso a la informacin
DS5.9 Prevencin, deteccin y correccin de software 11.4.2 Autenticacin de usuario para conexiones
malicioso externas
DS5.11 Intercambio de datos sensitivos
DS9.2 Identificacin y mantenimiento de elementos 11.4.3 identificacin de equipos en redes
de la configuracin
4.- METODOLOGA DE DESARROLLO DE SISTEMAS Y CONTROL DE

CAMBIOS
COBIT ISO/IEC 27002
AI2.1 Diseo a alto nivel
AI2.2 Diseo detallado
AI2.7 Desarrollo de software aplicativo 10.1.4 Separacin de los entornos de desarrollo,
pruebas y produccin
AI2.9 Gestin de los requisitos de las aplicaciones
AI2.10 Mantenimiento del software aplicativo
AI2.8 Aseguramiento de la calidad del software
AI7.2 Plan de pruebas
AI7.3 Plan de implementacin
AI7.4 Ambiente de prueba
AI7.5 Conversin de datos y sistemas
AI7.6 Pruebas de cambios
AI7.7 Pruebas de aceptacin final 10.3.2 Aceptacin del sistema
AI7.8 Promocin a produccin
AI7.9 Revisin posterior a la implementacin
AI6.1 Estndares y procedimientos para cambios
AI6.2 Evaluacin de impacto, priorizacin y autorizacin 10.1.2 Gestin de cambios
AI6.4 Seguimiento y reporte de estado de los cambios 12.5.1 Procedimientos de control de cambios
AI6.5 Cierre y documentacin del cambio 12.5.3 Restricciones en los cambios a los paquetes
AI6.3 Cambios de emergencia de software
38
5.- PROCEDIMIENTOS DE OPERACIONES
COBIT ISO/IEC 27002
AI4 Facilitar la operacin y el uso 10.1.1 Procedimientos operativos documentados
DS13 Gestionar las operaciones
AI7 Instalar y acreditar soluciones y cambios 10.1.4 Separacin de los entornos de desarrollo,
pruebas y produccin
DS1 Definir y gestionar los niveles de servicio 10.2.1 Entrega de servicios
DS2 Gestionar los servicios de terceros
DS2 Gestionar los servicios de terceros 10.2.2 Monitoreo y revisin de los servicios de terceros
10.2.3 Gestin de cambios a los servicios de terceros
10.3.1 Gestin de la Capacidad
DS11 Gestionar datos 10.5.1 Respaldo de la informacin
10.7.2 Eliminacin de medios de almacenamiento
ME1 Monitorear y evaluar el desempeo de TI 10.10.2 Monitoreo del uso de los sistemas
DS5 Garantizar la seguridad de los sistemas 10.10.4 Logs de administrador y de operador
10.10.5 Logs de errores
6.- PROGRAMACIN DE SISTEMAS Y SOPORTE TCNICO

COBIT ISO/IEC 27002
DS1.3 Acuerdos de niveles de servicio
DS8.1 Mesa de servicios 10.2.1 Entrega de servicios

DS8.2 Registro de consultas de clientes
DS10.3 Cierre de problemas
7.- PROCEDIMIENTOS DE ASEGURAMIENTO DE CALIDAD

COBIT ISO/IEC 27002
PO4.7 Responsabilidades para el aseguramiento de la
calidad de TI (QA)
PO8.1 Sistema de administracin de calidad
PO8.2 Estndares y prcticas de calidad
PO8.5 Mejora continua
PO8.6 Medicin, monitoreo y revisin de la calidad
39
8.- CONTROLES DE ACCESO FSICO
COBIT ISO/IEC 27002
DS12.1 Seleccin y diseo del centro de datos 9.1.1 Permetro de seguridad fsica
DS12.2 Medidas de seguridad fsica
DS12.3 Acceso fsico 9.1.2 Controles fsicos de ingreso
DS12.4 Proteccin contra factores ambientales 9.1.4 Proteccin contra amenazas externas y
ambientales
PO4.14 Polticas y procedimientos para personal 9.1.6 reas de acceso pblico, despacho y recepcin
contratado
PO6.2 Riesgo corporativo y marco de referencia para
el control interno de TI
AI3.3 Mantenimiento de la infraestructura
9.2.1 Ubicacin y proteccin de los equipos
DS5.7 Proteccin de la tecnologa de seguridad
9.2.3 Seguridad del cableado
AI3.3 Mantenimiento de la infraestructura 9.2.4 Mantenimiento de equipos
DS12.5 Gestin de instalaciones fsicas
DS13.5 Mantenimiento preventivo del hardware
DS11.4 Desechar 9.2.6 Eliminacin o reutilizacin segura de equipos
9.- PLANIFICACIN DE LA CONTINUIDAD DEL NEGOCIO Y

RECUPERACIN DE DESASTRES
COBIT ISO/IEC 27002
DS4.1 Marco de trabajo de continuidad de TI 6.1.6 Relacin con las autoridades
6.1.7 Relacin con grupos de inters especial
14.1.1 Incluir la seguridad de informacin en el
proceso de gestin de continuidad del negocio
14.1.4 Marco de planificacin de continuidad del
negocio
DS4.2 Planes de continuidad de TI 14.1.3 Desarrollar e implementar planes de
continuidad que incluyan la seguridad de la
informacin
DS4.4 Mantenimiento del plan de continuidad de TI 14.1.2 Continuidad del negocio y evaluacin de riesgos
DS4.5 Pruebas del plan de continuidad de TI 14.1.5 Pruebas, mantenimiento y revaluacin de los
DS4.6 Entrenamiento en el plan de continuidad de TI planes de continuidad del negocio
DS4.7 Distribucin del plan de continuidad de TI
DS4.8 Recuperacin y reanudacin de servicios TI 14.1.3 Mantener o restaurar operaciones para
asegurar la disponibilidad de la informacin
DS4.9 Almacenamiento externo de respaldos 10.5.1 Respaldo de la informacin
DS4.10 Revisin post-reanudacin 14.1.5 Pruebas, mantenimiento y revaluacin de los
planes de continuidad del negocio
40
10.- REDES Y COMUNICACIONES
COBIT ISO/IEC 27002
11.4.1 Polticas de uso de los servicios de red
DS9.2 Identificacin y mantenimiento de elementos 11.4.3 identificacin de equipos en redes
de la configuracin
11.4.4 Proteccin de puertos de configuracin y
diagnstico remoto
11.4.5 Segregacin en redes
11.4.6 Control de conexiones en la red
11.4.7 Control de enrutamiento en la red
DS5 Garantizar la seguridad de los sistemas 10.6.1 Controles de red
10.6.2 Seguridad de los servicios de red
11.- ADMINISTRACIN DE LA BASE DE DATOS

COBIT ISO/IEC 27002
PO2.1 Modelo de arquitectura de informacin
empresarial
PO2.2 Diccionario de datos empresarial y reglas de
sintaxis de datos
PO4.9 Propiedad de los datos y sistemas 7.1.2 Propiedad de los activos de informacin
12.- PROTECCIN Y MECANISMO DE DETECCIN CONTRA ATAQUES

INTERNOS Y EXTERNOS
COBIT ISO/IEC 27002
DS5 Garantizar la seguridad de los sistemas 12.6.1 Control de vulnerabilidades tcnicas
DS9.2 Identificacin y mantenimiento de elementos
de la configuracin
DS5.6 Definicin de incidente de seguridad 13.1.1 Reporte eventos de seguridad de informacin
PO9.3 Identificacin de eventos
13.1.2 Reporte de debilidades de seguridad de
informacin
13.2.1 Responsabilidades y procedimientos
AI2.3 Control y auditabilidad de las aplicaciones 13.2.2 Aprendiendo de los incidentes de seguridad de
informacin
DS8.3 Escalamiento de incidentes 13.2.3 Recoleccin de evidencia
DS8.4 Cierre de incidentes
41
4.3 FASE II. EJECUCIN DE LA AUDITORA
La segunda fase de la auditora comprende un anlisis del sistema de

control interno de la organizacin con el objetivo de planificar y realizar las
pruebas de cumplimiento y sustantivas que evaluarn si los controles
operan de forma adecuada y cumplen con resguardan el cumplimiento de
los objetivos y requisitos del negocio.
4.3.1 Evaluacin del sistema de control interno
En esta etapa los auditores deben evaluar el sistema de control interno

existente en los procesos de negocio y sistemas de informacin objeto de
la auditora, como base para determinar la naturaleza y extensin de las
pruebas de auditora que se requieran.
Evaluar el sistema de control interno significa: determinar si los controles

establecidos en los procesos de negocio y los sistemas de informacin,
ofrecen la proteccin apropiada para reducir los riesgos a niveles
aceptables para la organizacin.
El propsito de la evaluacin de control interno, es determinar si es

suficiente y efectiva para proteger a la organizacin, contra los riesgos que
podran afectarla en los procesos de negocio y sistemas de informacin
que se estn auditando. Esto es, evaluar la confiabilidad de los controles
utilizados para prevenir o detectar y corregir las causas de los riesgos y
minimizar el impacto que estos tendran en caso de llegar a materializarse.
La evaluacin del sistema de control interno produce resultados

intermedios, de valor importante para las etapas restantes del proceso de
auditora, estos son:
1) El auditor fundamenta su opinin sobre la confiabilidad que ofrecen los

controles utilizados, para reducir la probabilidad de ocurrencia o el
impacto de los riesgos. Los resultados de esta evaluacin sirven al
42
auditor como base para determinar la naturaleza y extensin de las
pruebas de auditora que se consideren necesarias y apropiadas a las
circunstancias.
2) El auditor identifica y soporta debilidades y oportunidades de

mejoramiento (observaciones de auditora) en la estructura de los
controles. Estas observaciones son insumos para el informe de
auditora.
3) El auditor identifica los controles que debern verificarse en la etapa de

ejecucin de pruebas de auditora, para determinar que realmente
existen, estn operando y son entendidos por las personas encargadas
de ejecutarlos (pruebas de cumplimiento).
4) El auditor identifica los datos crticos y actividades sobre las cuales es

necesario aplicar pruebas para verificar la exactitud y confiabilidad de
los clculos y de la informacin que producen los sistemas de
informacin para apoyar el desarrollo de las operaciones del negocio
(pruebas sustantivas).
5) El auditor documenta las observaciones de auditora para los procesos

de negocio y los sistemas de informacin que los soportan. Esta
presenta las debilidades y deficiencias de control interno y seguridad
identificadas en la evaluacin de controles.
4.3.2 Levantamiento de controles por procesos de negocio y

sistemas de informacin
El propsito de esta actividad es identificar y documentar los controles

existentes por cada proceso de negocio y sistemas de informacin. Los
soportes de este levantamiento de controles, generalmente son
flujogramas o la descripcin narrativa de las actividades que se desarrollan
en cada proceso.
43
4.3.3 Criterios para evaluar la proteccin que ofrecen los controles
Para que los controles existentes ofrezcan el nivel de proteccin apropiado,

deben satisfacer al menos dos de los tres criterios que se mencionan a
continuacin:
Que exista la mezcla de los tres tipos de controles. Es decir, que la

causa de riesgo tenga al menos un control de cada tipo (preventivo,
detectivo y correctivo). El incumplimiento de este criterio significa que
los controles existentes para la causa de riesgo o amenaza contra la
seguridad, no cumplen el principio de las tres barreras o anillos de
seguridad recomendado por los expertos.
Que la calificacin promedio de los controles, segn su clase, sea

mayor o igual que 3.5. Las calificaciones para cada clase de control
son:
5.0: Para controles automticos no discrecionales

4.0: Para controles automticos y discrecionales
3.0: Para controles manuales
El incumplimiento de este criterio significa que la mayora de los

controles existentes no estn automatizados y por consiguiente, la
confiabilidad de los controles depende significativamente de las
personas que los ejecutan y supervisan.
Que la relacin costo/beneficio sea razonable. Es decir, que el costo de

los controles sea menor que el valor de las prdidas que originara la
ocurrencia de la causa del riesgo. Los controles, para que sean
apropiados, siempre deben ser menos costosos que el riesgo para el
cual se establecen.
Para estimar la razonabilidad de los costos de los controles, el auditor

debe tener en cuenta lo siguiente:
44
Costo de adquisicin del control
Costo de instalacin del control
Costo de operacin del control
Costo de mantenimiento del control
El incumplimiento de este criterio significa que la inversin en controles

y seguridad est por encima del valor de las prdidas que se pretende
reducir con los controles. En este caso los costos de los controles
exceden los beneficios que podran obtenerse.
En forma cualitativa, se evala la efectividad de los controles

existentes utilizando dos rangos de valoracin: satisfactoria o
insatisfactoria.
4.3.4 Evaluar la satisfaccin de los objetivos de control
Al terminar el levantamiento de los controles de los procesos de negocios y

sistemas de informacin que los soportan, se procede a evaluar la
satisfaccin de los objetivos de control identificados en la etapa anterior.
Para este fin es necesario ejecutar las siguientes actividades:
1) Consultar la lista de los controles levantados indicando sus atributos

(tipo y clase)
2) Distribuir los controles existentes entre los objetivos de control COBIT e

ISO 27002. Para este fin el auditor aplica su experiencia y criterio
profesional para determinar la aplicabilidad de los controles a cada
objetivo de control. Esto requiere del anlisis cuidadoso del auditor
3) Evaluar el grado de satisfaccin que ofrecen los controles asignados a

cada objetivo de control
4) Resumir la evaluacin de satisfaccin de los objetivos de control
45
4.3.5 Observaciones de control interno
Las observaciones de auditora en la evaluacin de control interno, se

refieren a desviaciones que se presentan respecto a los estndares de
seguridad y control o a las normas internas de la organizacin. En la
prctica, se refieren a debilidades o deficiencias que se detectan cuando
los controles no satisfacen los criterios de evaluacin antes mencionados.
Para los controles evaluados con efectividad inapropiada se generan una o

ms observaciones de auditora. Las observaciones de auditora se
registran y posteriormente se analizan y se desarrollan como se especifica
a continuacin.
Primero se describe la observacin o desviacin identificada respecto a los

objetivos y estndares que identific el auditor.
Luego, se presenta el estndar de comparacin que no se cumple y que

debera aplicarse para evitar o resolver el problema.
Posteriormente, se describe el impacto o perjuicios a que se expone la

organizacin como consecuencia de la deficiencia o debilidad de control
identificada.
4.3.6 Definicin y diseo de las pruebas de auditora
El objetivo de esta etapa es definir y disear los procedimientos de

auditora para obtener evidencia vlida y suficiente de la operacin de los
controles existentes (pruebas de cumplimiento) y de la integridad de la
informacin (pruebas sustantivas). Las pruebas pueden ser realizadas con
procedimientos manuales o asistidas por computadora.
Estas pruebas se aplican slo a los controles que en la evaluacin de

control interno presentaron un nivel de proteccin apropiado.
46
El auditor debe verificar que:
Los controles identificados y evaluados en la etapa anterior estn

operando como se previ. Estas se denominan pruebas de
cumplimiento.
La informacin manejada, procesada o producida por el proceso de

negocio o sistema de informacin, es exacta y confiable, es decir,
refleja la realidad. Estas son las pruebas sustantivas.
De la ejecucin de esta etapa se obtienen los siguientes productos:
Para pruebas de cumplimiento: Por cada tcnica de comprobacin a

emplear, un documento con las especificaciones de diseo de cada
prueba, indicando los controles a probar, el procedimiento y los
recursos requeridos para ejecutar la prueba.
Para pruebas sustantivas: Por cada tcnica de comprobacin a

utilizar, un documento con las especificaciones de diseo de cada
prueba, indicando los datos a verificar, el procedimiento y los recursos
requeridos para ejecutar la prueba.
4.3.7 Identificacin de controles claves que sern verificados
Las pruebas de cumplimiento y sustantivas no se aplican para todos los

controles existentes, identificados y evaluados satisfactoriamente en la
etapa anterior. Por razones de efectividad y eficiencia, es suficiente con
probar solamente una muestra de controles seleccionados
cuidadosamente, aplicando criterios que consulten su importancia para
asegurar calidad, seguridad, cumplimiento con aspectos legales y
confiabilidad de los procesos de negocio y sistemas de informacin sujetos
a auditora.
47
Tales controles se denominarn claves.
Un control clave se define como el control que es vital o de la mayor

importancia para asegurar el correcto funcionamiento de los procesos,
sistemas y las actividades del negocio sujetas a auditora.
Los controles claves son aquellos que, a juicio del auditor, son
indispensables para evitar o detectar y corregir el efecto o la probabilidad
de ocurrencia de las causas de riesgo que generan riesgo alto. Tambin,
pueden considerarse claves aquellos controles que con mayor frecuencia
actan sobre varias causas de riesgo, es decir, tienen efecto mltiple. Se
asume que entre mayor frecuencia tenga un control, mayor ser su
importancia y por consiguiente podr ser considerado clave.
Otro criterio que podra emplear el auditor para seleccionar los controles
clave es la clase de control. Por ejemplo, podra decidir seleccionar una
muestra de controles automatizados y otra muestra de controles
manuales.
4.3.8 Agrupamiento de controles por tcnica de comprobacin
Este mtodo consiste en asignar individualmente las tcnicas de

comprobacin a cada uno de los controles y posteriormente agruparlos
bajo el nombre de sta.
Los pasos a seguir para definir las pruebas de cumplimiento utilizando el

mtodo de agrupamiento de controles por tcnica de comprobacin son:
Asignar la tcnica de comprobacin para cada control

Agrupar los controles a verificar por tcnica de comprobacin
Definir el alcance de las pruebas de cumplimiento
Disear las pruebas de cumplimiento (diseo detallado) a ejecutar
Planificar la ejecucin de las pruebas de cumplimiento
Ejecutar el plan de pruebas de cumplimiento
48
La aplicabilidad de cada tcnica de comprobacin depende de la naturaleza
del control, por lo que el auditor debe analizar sus caractersticas y optar
por la tcnica que a su criterio permita la correcta ejecucin y
comprobacin de las pruebas a realizar. En la siguiente etapa de la
auditora se detallan las tcnicas y procedimientos de mayor aceptacin
para realizar las pruebas de cumplimiento y sustantivas en ambientes
informticos.
4.3.9 Definicin y diseo de pruebas de cumplimiento
Las pruebas de cumplimiento tienen como objetivo comprobar (obtener

evidencia) que los controles establecidos estn implantados y que las
personas encargadas de las operaciones los entienden, ejecutan y
supervisan (monitorean) continuamente. Estas pruebas tambin son
necesarias para evaluar si los procedimientos empleados satisfacen las
polticas y procedimientos de la organizacin.
Para efectuar las pruebas de cumplimiento se utiliza una lista de

comprobacin de controles claves ordenados por tcnica de comprobacin
para los procesos de negocio y sistemas de informacin auditados.
Este mtodo de disear pruebas de cumplimiento consiste en asignar

individualmente las tcnicas de comprobacin a cada uno de los controles
claves y, posteriormente, agrupar bajo el nombre de cada tcnica a todos
los controles que sern verificados con ella. Entonces, se est en
capacidad de planear detalladamente el uso de cada tcnica de prueba
considerando todos los controles que sern verificados con ella.
Los pasos a seguir para definir las pruebas utilizando este mtodo se
explican a continuacin:
a) Asignar tcnicas de verificacin para cada control clave
En este primer paso se agrupan los controles claves que sern verificados
49
y se escogen las tcnicas de prueba a emplear. Una misma tcnica puede
ser asignada a diferentes controles.
b) Agrupar los controles clave a verificar por tcnica de

comprobacin asignada
Realizar el agrupamiento de controles que utilicen la misma tcnica de

comprobacin.
Al agrupar globalmente los controles por tcnica de comprobacin se debe

tener presente que una misma tcnica puede ser utilizada para verificar
controles de distintos procesos de negocio o sistemas de informacin.
c) Definir el alcance de las pruebas por tcnica de comprobacin
El alcance de cada tcnica de comprobacin se puede definir globalmente

para todo el proceso de negocio y sistema de informacin que lo soporta,
el que incluye los siguientes aspectos a considerar:
Los controles a probar con la tcnica de comprobacin

Los criterios de la informacin de negocio impactados por los controles
a probar
Los recursos de tecnologa que son impactados por los controles a
probar
d) Diseo detallado de las pruebas de auditora a ejecutar
El diseo detallado implica determinar los recursos necesarios

(infraestructura, datos y personal), el procedimiento a emplear y los
responsables de ejecutarlos.
e) Planificar la ejecucin de las pruebas
El objetivo de este paso es planificar y coordinar con el personal de
50
sistemas y de las reas de negocio la ejecucin de las pruebas de auditora
(manual y asistida por computador) en el lugar de trabajo.
Como factor crtico de xito de las pruebas de auditora, es necesario

programar su ejecucin considerando la disponibilidad de los recursos
necesarios para aplicarlas, el sitio de ejecucin, los auditores asignados
para ejecutarlas y la periodicidad de ejecucin.
Para este fin se elabora un cronograma de pruebas, considerando las

fechas que sean ms oportunas, especialmente cuando para su ejecucin
se requieran equipos de procesamiento que no son administrados por la
auditora y la colaboracin del personal de sistemas.
4.3.10 Definicin y diseo de las pruebas sustantivas
Las pruebas sustantivas tienen como objetivo verificar (obtener evidencia)

la integridad de la informacin y se aplican sobre datos crticos que
representan saldos de activos o de pasivos o, gastos importantes en las
operaciones del negocio objeto de la auditora. Esta informacin
comnmente reside en bases de datos y, son producto de clculos
efectuados por el sistema de informacin que soporta la operacin del
negocio.
El objetivo de esta actividad es asignar individualmente las tcnicas de

prueba a cada uno de los datos claves que sern verificados, slo entonces
se est en capacidad de planear detalladamente el uso de cada tcnica de
prueba.
Los pasos a seguir por el auditor son:
a) Agrupar los datos clave a verificar por tcnica de comprobacin

asignada
Se confecciona una lista con los datos clave para cada una de las tcnicas
51
a utilizar. En este caso, debe considerarse que una misma tcnica puede
ser utilizada para verificar varios datos claves.
b) Definir el alcance de las pruebas por cada tcnica de

comprobacin
El alcance de cada tcnica de comprobacin se define de la siguiente

forma:
Datos claves a probar con la tcnica de comprobacin

Los criterios de la informacin de negocios afectados por los datos a
probar
Los recursos de tecnologa que son impactados por los controles a
probar
c) Disear las pruebas de auditora a ejecutar con cada tcnica de

comprobacin
El diseo detallado implica determinar los recursos necesarios

(infraestructura, datos y personal), los objetivos y el procedimiento de
anlisis a emplear.
d) Planificar la ejecucin de las pruebas sustantivas
El objetivo de este paso es planear y coordinar la ejecucin de las pruebas

de auditora con el personal de sistemas y del rea de negocio en el lugar
de trabajo (manuales y asistidas por computador).
Como factor crtico de xito de las pruebas de auditora, es necesario

programar su ejecucin considerando la disponibilidad de los recursos
necesarios para aplicarlas, el sitio de ejecucin y su periodicidad.
Para este fin, se elabora un plan de pruebas, considerando las fechas que
sean ms oportunas, especialmente cuando para su ejecucin se requiera
52
de los equipos de procesamiento, que no son administrados por la
auditora y la colaboracin del personal de sistemas.
Cuando se requiere desarrollar aplicaciones computacionales para realizar

las pruebas sustantivas, las actividades correspondientes y el tiempo
deben incluirse en este plan.
4.3.11 Ejecucin de las pruebas de auditora
La siguiente etapa del proceso de auditora consiste en ejecutar el plan de

pruebas de auditora especificado en la etapa anterior. Estas pruebas
pueden ser asistidas por computador o completamente manuales. Por cada
prueba que se ejecute deben adjuntarse los soportes correspondientes.
Estos consisten en documentos, archivos, programas de computador y
cualquier otra evidencia que compruebe la ejecucin de la prueba y
muestre los resultados obtenidos.
Como resultado de las pruebas de auditora ejecutadas, se obtienen entre

otros los siguientes soportes:
Lista de comprobacin de controles revisados por el auditor

Documentacin sobre los procedimientos y controles establecidos en los
procesos de negocio o sistemas de informacin sujetos a auditora
Muestras de documentos, listados y cualquier otro material de evidencia
relacionado con deficiencias, debilidades o irregularidades identificadas
por la auditora
Archivos de datos utilizados por el auditor en las pruebas de auditora
asistidas por computador
Documentos con la preparacin de las entrevistas y con las notas
tomadas por el auditor durante su realizacin
Documentacin de los programas o scripts desarrollados por el auditor
para realizar las pruebas asistidas por computador
53
4.3.12 Tcnicas y herramientas de auditora
Los auditores pueden utilizar diferentes mtodos para revisar los controles
de las aplicaciones en funcionamiento y las operaciones en el centro de
servicios informticos. A continuacin se describe en qu consiste cada
tcnica o herramienta.
a) Tcnicas para probar los controles en los sistemas
Mtodo de los datos de prueba

Evaluacin del sistema de caso base
Operacin paralela
Simulacin paralela
b) Tcnicas para analizar sistemas
Snapshot
Mapping y tracing manuales
Mapping y tracing asistidos por el computador
Flujogramas de control (control flowcharting)
c) Tcnicas para verificar datos
Software multipropsito para auditora

Software de auditora para terminales
Programas de auditora de propsito especial
d) Tcnicas para seleccionar y monitorear transacciones
Seleccin de transacciones de entrada

Mdulos de auditora integrados en los sistemas de informacin
Registros extendidos
54
4.3.12.1 Tcnicas para probar los controles en los sistemas
Se utilizan para probar clculos, programas o aplicaciones completas con

el propsito de evaluar los controles, verificar la exactitud del
procesamiento y el cumplimiento con los procedimientos de procesamiento
establecidos.
Tales tcnicas son usadas para dos propsitos: evaluar los sistemas de
aplicacin y probar el cumplimiento.
a) Mtodo de datos de prueba
Este procedimiento ejecuta programas de aplicacin de computador

utilizando archivos de datos de prueba y verifica la exactitud del
procesamiento comparando los resultados del procesamiento de los datos
de prueba con los resultados predeterminados para la prueba.
Los auditores usan esta tcnica para probar la lgica del procesamiento
seleccionado, las rutinas de clculos y las caractersticas de control dentro
de los sistemas de informacin.
Los datos de prueba son transacciones simuladas que incluyen idealmente

todo tipo de condiciones posibles, incluyendo aquellas que el sistema es
incapaz de manejar, debido a la carencia de controles apropiados. Quiere
decir esto, que la lista de transacciones simuladas debera probar
condiciones tanto vlidas como invlidas. Los datos de prueba deben ser
procesados con los programas regulares del sistema.
1) Propsito de los datos de prueba
El auditor no puede ver fsicamente las operaciones y los controles dentro

de la caja negra (sistema de informacin) pero puede ver un listado de los
resultados de la prueba donde por ejemplo, algunas transacciones que
deberan ser rechazadas no lo fueron o donde condiciones de
55
desbordamiento causaron errores o transacciones fuera de lmite fueron
procesadas como si fueran correctas (ejemplo transacciones de clientes
que exceden el lmite de crdito).
El auditor tambin puede determinar si la caja negra est procesando

apropiadamente las transacciones vlidas. El uso de los datos de prueba
abre ventanas en la caja negra, porque las transacciones simuladas se
procesan en el sistema de computador y generan resultados que son
comparados por el auditor con resultados esperados, preparados
manualmente con anterioridad. Es decir, antes de ejecutar los datos de
prueba, el auditor calcula los resultados que debera obtener y luego los
compara con los obtenidos en la prueba.
2) Cmo preparar los datos de prueba?
Generalmente, los datos de prueba se aplican de la siguiente manera:
Se debe revisar todo el sistema de controles.

Sobre la base de esta revisin se disean las transacciones para probar
aspectos seleccionados del sistema o el sistema completo.
Los datos de prueba se transcriben a los formatos de entrada al
sistema.
Los datos se convierten (graban) a medios utilizables por el
computador. El auditor debe verificar la conversin mediante rutinas de
balanceo o en los listados de validacin que se produzcan. Adems,
debe guardar el medio magntico que contiene la informacin hasta
cuando realice la prueba.
Los datos deben procesarse con los programas de la aplicacin que
estn vigentes. El auditor debera estar presente durante el proceso de
los datos para asegurar que:
o No se introduzca informacin adicional.
o Se utilizan los procedimientos de operacin de mquina estndar.
o No ocurra alguna irregularidad cuando se efecta la prueba.
o Todos los documentos impresos que se produzca sean retenidas por
56
el auditor.
Los resultados obtenidos en el punto cinco se deben comparar con los
resultados predeterminados.
3) Controles de auditora sobre los sistemas en produccin
El principal objetivo del uso de datos de prueba es verificar la operacin de

los sistemas de informacin de los clientes para ver si operan como se
piensa (desea).
El auditor debe asegurarse que el programa que se est probando es el

mismo que est actualmente en produccin. No existe una forma segura
de garantizar esta situacin pero hay muchas cosas que puede hacer el
auditor para sentirse ms seguro de estar probando el sistema real.
4) Aplicaciones de los datos de prueba
El auditor debe tener el diseo de los registros de transacciones para

preparar sus transacciones de prueba. Este diseo debe contener el
nombre de cada campo, el tamao y el tipo (numrico o alfanumrico). El
auditor incluye sus propios datos en los campos apropiados para producir
resultados predeterminados. Si los resultados de las pruebas no estn de
acuerdo a los resultados esperados se debe hacer una investigacin ms
profunda para determinar la razn para las variaciones.
Los siguientes son algunos elementos que normalmente deberan ser

incluidos en la aplicacin de datos de prueba:
Verificar si se producen totales de control y se devuelven a la mesa de

control
Tratar de procesar una transaccin sensitiva sin la debida autorizacin y
observar si el sistema la rechaza (por ejemplo, cambiar el lmite de
crdito)
Hacer chequeos numricos, alfabticos y de caracteres especiales
57
Entrar a un campo con signo negativo y observar si se procesa
realmente con este signo
En algunos sistemas sin controles apropiados, el signo negativo se
convierte a positivo
Hacer comprobaciones de validez. Por ejemplo, entrar un cdigo
invlido o un departamento con nmero equivocado
Hacer pruebas de razonabilidad y de lmite
Cuando las transacciones deben estar ordenadas por nmero de
secuencia, entrar transacciones en desorden
Incluir un nmero de cuenta dgito de chequeo predeterminado y ver si
se procesa normalmente
Incluir diversos campos de datos incompletos o inexistentes
Insertar caracteres en campos que causen condiciones de
desbordamiento
Tratar de leer o escribir un archivo equivocado
Los archivos que se van a probar, deben ser copiados como archivos
especiales de trabajo con el fin de permitir todo tipo de pruebas.
5) Ventajas y desventajas de los datos de prueba
Ventajas:
o Su uso puede limitarse a funciones especficas del programa,
minimizando el alcance de la prueba y su complejidad
o Es una buena herramienta de aprendizaje para los auditores porque
su uso requiere mnimos conocimientos de informtica
o No se requiere que el auditor tenga grandes conocimientos tcnicos
o Tiene buena aplicacin donde son pocas las variaciones y
combinaciones de transacciones
o Da una evaluacin y verificacin objetiva de los controles de
programa y de otras operaciones que seran impracticables por otros
medios
o Los datos de prueba se podran correr sorpresivamente para
descubrir la posible modificacin de programas sin autorizacin e
58
incrementar la efectividad de otras pruebas realizadas
Desventajas:
o Se requiere bastante cantidad de tiempo y esfuerzo para preparar y
mantener un lote de datos de prueba representativo. Cualquier
cambio en programas, diseo de registros y sistema implican
cambiar los datos de prueba
o En algunos casos el auditor puede no probar el sistema que
realmente est en produccin
o En un sistema complejo con gran variedad de transacciones es difcil
anticipar todas las condiciones significativas y las variables que
deberan probarse
o El auditor debe estar bastante relacionado con la lgica de
programacin que est probando
o La prueba en si misma no detecta todos los errores. Cuando los
programas son muy complejos, pueden existir infinidad de rutas y es
muy difcil seguirlas todas
o Hay una probabilidad muy alta que los datos de prueba no detecten
manipulaciones inadecuadas de una cuenta o cantidad especfica
6) Sugerencias para desarrollar datos de prueba
Para archivos maestros:

o Duplicar registros.
o Proceso de registros fuera de secuencia.
o Montar e intentar procesar archivos equivocados.
Para registros nuevos:

o Crear un registro nuevo antes del primer registro existente en el
maestro
o Crear un registro nuevo despus del ltimo registro existente en el
maestro
o Crear tres o cuatro registros nuevos con llaves consecutivas dentro
de registros que no existen
59
o Crear un registro para una divisin inexistente, un departamento,
una planta, un elemento de inventario, empleado, cliente y as
sucesivamente
o Crear dos o ms registros de cabecera, uno inmediatamente despus
del otro
o Crear un registro nuevo con llave cero
o Crear un registro nuevo con llaves nuevas
o Crear un registro nuevo pero incompleto. (por ejemplo slo uno o
dos campos de diez posibles)
Para transacciones:
o Crear transacciones para el primer registro del archivo
o Crear transacciones para el ltimo registro del archivo
o Crear transacciones para otros registros diferentes al primero y
ltimo del archivo
o Crear transacciones para un registro nuevo creado en la misma
corrida
o Crear transacciones para varios registros consecutivos
o Crear varios tipos de transacciones para un mismo registro
o Intentar crear transacciones para registros inexistentes que fueran
menores en secuencia que el menor registro existente, mayores en
secuencia que el ltimo registro existente y entre registros
existentes, as como para varios registros consecutivos no existentes
o Crear transacciones de tal manera que los totales se hagan
negativos y verificar el efecto en otros campos del registro
o Crear cantidades demasiado grandes para crear desbordamiento.
Examinar los resultados
o Si se utiliza un registro de encabezado seguido por registros de
detalle, crea registros detallados para el primer registro del archivo,
el ltimo registro, dos registros consecutivos, un registro no
existente y varios registros inexistentes
Para registros borrados e inactivos:

o Eliminar el primer registro de cada archivo
60
o Eliminar el ltimo registro de cada archivo
o Eliminar tres o cuatro registros consecutivos de cada archivo
o Intentar accesar un registro inexistente
o Codificar un registro como inactivo e intentar grabar datos al mismo
registro en la misma corrida
o Volver activo un registro inactivo y crearle transacciones en la misma
corrida
Para fechas:
o Asegurarse que todos los campos de datos de fechas se han
actualizado correctamente.
o Crear fechas con meses 00 y 13, das 0 y 32 y un ao invlido
o Crear fechas que estn fuera de los intervalos de actualizacin.
Ejemplo en un perodo mensual, hacer intervalo de ms de 30 das
o Hacer dos corridas de actualizacin con la misma fecha
Para pruebas de lgica y proceso:

o Verificar todos los clculos que proceden promedios o porcentajes
con pequeos medianos y grandes valores
o Crear una condicin para todas las rutinas de divisin con cero como
denominador
o Crear datos de prueba para valores menores que el mnimo y
mayores que el mximo permitidos
o Crear datos para todas las excepciones y errores
o Crear datos que incluyan excepciones mltiples y errores en la
misma transaccin
o Crear datos para los valores mnimos y mximos de cada campo
Para programas de edicin, los datos de prueba para campos

alfabticos incluirn:
o Campo completamente lleno
o Campo completamente en blanco
o nicamente la primera posicin
o Primera posicin en blanco
61
o Mezcla de caracteres numricos y alfabticos
Datos de prueba para los campos de cantidad o valor que

incluirn:
o Campo lleno de nueves
o Campo lleno de ceros
o Campo lleno de blancos
o Exacto el lmite inferior, si lo hay
o Exacto el lmite superior, si lo hay
o Una cantidad o valor tpico entre los lmites
o Valor superior al lmite, si lo hay (diferente de nueves)
o Valor inferior al lmite, si lo hay (diferente de ceros)
o Valor con un signo errado (+ o -)
o Datos alfabticos en cada campo
Para programas de actualizacin:

o Disear datos para crear varios registros maestros completos
o Crear datos para cambiar un registro maestro inexistente
o Disear datos para crear un registro con la misma llave de otro
existente
o Crear datos con un registro cuya llave sea cero
o Crear datos con un registro cuya llave sea nueve
o Crear uno o dos elementos para establecer un registro del archivo
maestro nuevo pero incompleto
o Disear datos para crear un nuevo registro en el archivo maestro y
hacerle cambios posteriores en la misma corrida
Para programas de proceso:

o Entrar datos que produzcan resultados de clculos con valores
pequeos, medianos y muy grandes
o Entrar datos que creen condiciones de divisin o multiplicacin por
cero
o Entrar datos que originen desbalanceo del registro de control de lote.
Examinar los resultados
62
o Disear varias entradas contables ilgicas (ejemplo: crdito a gastos
de depreciacin y debido a cuentas por cobrar)
Entrar datos que causen desbordamiento.
Para programas de informes:

o Incluir datos de prueba con valores negativos para asegurar que se
impriman los signos para cada campo, en cada lnea de detalle y en
las lneas de total
o Crear datos con nueves en todo el campo para asegurar que se
impriman y que no se ponen en otros
o Entrar datos de prueba con slo ceros para probar la supresin de
ceros no significativos en la impresin
o Verificar todas las sumas y resultados de los clculos
b) Evaluacin del sistema de caso base
Este procedimiento ejecuta programas de sistemas de informacin, usando

archivos de datos de prueba desarrollados como una parte de la prueba
general del programa que verifica la exactitud del procesamiento,
comparando los resultados del procesamiento con los resultados
predeterminados para los datos de prueba.
Esta tcnica usa datos de prueba desarrollados por auditores y usuarios de

aplicaciones de computador, en cooperacin con el personal del centro de
datos, para proporcionar una prueba completa al sistema. El archivo de
datos del caso base est destinado a verificar la correcta operacin del
sistema antes de su aceptacin en produccin, as como para verificar
peridicamente la integridad del procesamiento despus de su aceptacin
en produccin.
Los archivos de prueba del sistema de caso base, por definicin, son
creados para proveer una prueba selectiva de todas las caractersticas y
funciones dentro de un sistema de informacin.
63
Aunque esta tcnica proporciona la ventaja de efectuar pruebas de
cumplimiento y verificar el sistema completo, el esfuerzo requerido para
mantener los archivos de datos despus de su instalacin inicial requiere
de estrecha cooperacin entre usuarios, auditores y el personal del centro
de datos para la preparacin de los datos de prueba y la validacin de los
resultados.
c) Operacin paralela
Este es un procedimiento para verificar la exactitud de sistemas de

aplicacin nuevos o revisados, mediante el procedimiento de datos y
archivos en produccin, usando tanto los procedimientos existentes como
los nuevamente desarrollados, para luego comparar los resultados de
ambos procesamientos e identificar diferencias no esperadas.
Este procedimiento es ampliamente utilizado por el personal del centro de

datos para verificar sistemas nuevos o revisados, antes de remplazar los
procedimientos existentes.
Tiene la ventaja de verificar los nuevos programas del sistema de

informacin antes de discontinuar los existentes. Perodos extensos de
operacin paralela implican, como desventaja, los costos resultantes del
procesamiento adicional.
d) Simulacin paralela
En este procedimiento, las transacciones y los archivos de produccin son

procesados usando programas de computador que simulan la lgica de los
programas de aplicacin. Las funciones de procesamiento seleccionadas
pueden, entonces, ser verificadas mediante la comparacin de los
resultados simulados con los resultados del procesamiento de produccin.
Esta tcnica de prueba tiene la ventaja de verificar los procedimientos de

procesamiento seleccionados, usando datos de produccin, obviando as el
64
tiempo consumido en la preparacin de los datos de prueba.
Los auditores que usen esta tcnica, sin embargo, deben preparar
programas de computador que simulen las funciones de produccin a ser
verificadas. Programas de auditora especialmente preparados o software
generalizado de auditora pueden ser usados para este propsito. El
software generalizado de auditora ha simplificado la preparacin de
programas de simulacin paralela.
4.3.12.2 Tcnicas para analizar los sistemas
En esta seccin, se incluyen las tcnicas y herramientas de auditora

usadas para evaluar la lgica de procesamiento y, los procedimientos
internos en programas de aplicacin y en programas del sistema. Estas
tcnicas se usan durante el desarrollo de los sistemas de aplicacin as
como durante las pruebas de cumplimiento peridicos en la etapa post
instalacin. Estas tcnicas son snapshot, tracing, mapping y flowcharting
(flujogramas de control).
a) Snapshot
Son instrucciones de programa o subrutinas que reconocen y registran el

flujo de transacciones sealadas, durante todo el camino lgico seguido
por tales transacciones dentro de los sistemas de informacin. Esta tcnica
es usada por los auditores para rastrear (localizar el paradero)
transacciones especficas mediante programas de computador para
conseguir evidencia, documentar el recorrido lgico, las condiciones de
control y de las secuencias de procesamiento.
La tcnica tiene la ventaja de verificar el flujo lgico del programa y,

consecuentemente, ayuda al auditor a entender los pasos de
procesamiento dentro de programas de aplicacin. Tiene la desventaja de
requerir bastante conocimiento de sistemas y de programacin por lo que
con frecuencia consume bastante tiempo para el uso de los auditores.
65
b) Tracing y mapping manual
Estos procedimientos identifican el flujo de transacciones y sus controles

de aplicacin asociados, incluyendo la elaboracin, aprobacin y
procesamiento de documentos fuente, as como el procesamiento de
transacciones de entrada, procesamiento en el computador, la distribucin
y uso de los informes.
El tracing y mapping manual pueden incluir el anlisis de listados de

programas de aplicacin, para identificar y evaluar la lgica y las funciones
de control de los programas de aplicacin. Sin embargo, el nfasis es
sobre la identificacin y evaluacin de los procedimientos manuales y de
controles externos a los programas de aplicacin.
Las tcnicas de tracing y mapping ayudadas por computador se usan para

analizar programas de aplicacin, complementando los mtodos manuales.
c) Tracing y mapping asistido por computador
Estas son subrutinas de programas de computador que identifican los

segmentos y/o subrutinas de programa usadas en el procesamiento de
transacciones de prueba. El tracing asistido con el computador proporciona
evidencia documentaria de las instrucciones del programa utilizadas para
procesar transacciones especficas.
Mapping es una tcnica que proporciona evidencia de las secuencias de

procesamiento usadas en la subrutina, ms que a nivel de instruccin en el
programa de computador.
Estas tcnicas y herramientas de auditora son usadas para verificar la

lgica de procesamiento de las transacciones e identificar las porciones de
programa no utilizadas. Dos desventajas estn asociadas con el uso de
stas por parte del auditor: se requiere extenso conocimiento de
programacin de aplicaciones y, segunda, consume bastante tiempo e
66
implican anlisis detallado.
c) Control flowcharting (Flujograma de control)
Este procedimiento usa tcnicas de diagramacin de programas de

computador para identificar y presentar el recorrido lgico y los puntos de
control dentro de los sistemas informtico.
Smbolos y tcnicas estndar de auditora analtica, son usados para

desarrollar diagramas de los sistemas de informacin. Esos esquemas
proporcionan informacin con el objeto de analizar con los usuarios y el
personal de informtica los controles internos de los sistemas de
informacin. Adems, los flujogramas de control sirven como un excelente
mecanismo para entrenar a nuevos auditores.
4.3.12.3 Tcnicas para verificar los datos
Estas tcnicas son usadas posteriormente al procesamiento de la

produccin, para seleccionar datos de archivos basados en requerimientos
lgicos o de muestreo estadstico; para totalizar y balancear archivos o
secciones lgicas de archivos, tales como divisiones organizacionales o
clases de cuentas; para dividir archivos por valores de excepcin; para
ignorar datos o entradas duplicadas o para formatear informes para uso de
auditora.
a) Software general de auditora (SGA)
El SGA accesa, extrae, manipula y presenta datos y resultados de pruebas

en un formato apropiado para los objetivos de la auditora. Tal archivo
generalizado generador de software, generalmente es controlado por
parmetros o instrucciones simplificadas que requieren un mnimo de
conocimientos de informtica. Tiene la ventaja de permitir al auditor
manipular el procesamiento de datos de archivos maestros sin preparar
programas especiales. Una desventaja asociada con esta tcnica es que su
67
evidencia se limita a los archivos de datos y en consecuencia no es
utilizable (funcional) para pruebas de cumplimiento en los programas, para
condiciones que no se reflejan en los archivos.
b) Software de auditora para terminales
Este software de propsito general accesa, extrae, manipula y despliega

datos de bases de datos en lnea, usando comandos de terminales
remotas.
Esta tcnica tiene la ventaja de permitir la investigacin interactiva y

rpida y de proporcionar acceso completo a los archivos de datos,
permitiendo peridicamente examinar archivos sin excesiva preparacin o
procesamiento separado. Este es, sin embargo, utilizado nicamente en
situaciones donde se utilizan bases de datos en lnea.
c) Programas de auditora de propsito especial
Son especialmente desarrolladas para extraer y presentar datos de los

archivos de un sistema de aplicacin especfico, generalmente en formato
invariable.
Las desventajas asociadas con estos programas son su limitada
aplicabilidad, inflexibilidad, costos de preparacin y el alto nivel de
expertos en programacin de computador que es requerido. Debido a la
naturaleza especfica de cada programa de auditora de propsito especial
no se profundiza ms sobre esta herramienta.
4.3.12.4 Tcnicas para seleccionar y monitorear transacciones
Las tcnicas y herramientas usadas para seleccionar y capturar datos de

produccin para su posterior verificacin y auditora manual son indicadas
bajo esta clasificacin. Se utilizan generalmente para supervisar
actividades de produccin y seleccionar muestras como parte de una
continua actividad de auditora dentro del proceso de produccin normal.
68
Los criterios de seleccin son generalmente parmetros controlados por el
auditor y usan pruebas de rango, tcnicas de muestreo o condiciones de
error para implicar la seleccin de registros para su posterior evaluacin
por parte del auditor. Tales tcnicas se usan en pruebas de cumplimiento
para monitorear el procesamiento de transacciones y seleccionar datos
para su verificacin.
Esta categora incluye: programas de seleccin de transacciones de

entrada, los cuales son independientes de los programas del sistema de
informacin, mdulos de auditora integrados en los sistemas de
informacin y la tcnica de registros extendidos.
a) Seleccin de transacciones de entrada
Utiliza software de auditora para separar y seleccionar transacciones, que

son entrada para sistemas de informacin, como parte del ciclo de
procesamiento de produccin regular.
Las capacidades de este software incluyen: monitoreo de niveles de

actividad y razones de error por transaccin, seleccionando
sistemticamente muestras de transacciones para subsiguiente verificacin
manual y, la identificacin y seleccin de condiciones de excepcin
especificadas por el auditor.
El software es controlado por parmetros y totalmente independiente de

su correspondiente software de aplicacin en produccin. Como resultado,
ste es independientemente controlado por el auditor y puede ser
instalado sin requerir modificaciones del software del sistema de
aplicacin. El costo de desarrollo y mantenimiento es la desventaja
primaria asociada con esta tcnica.
69
b) Coleccin de datos de auditora integrados en los sistemas de
informacin
Este procedimiento usa software de auditora para marcar y seleccionar

transacciones de entrada y transacciones generadas dentro del sistema de
aplicacin durante el procesamiento de produccin. Tales subrutinas de
auditora son integradas como huspedes dentro de los sistemas de
informacin.
Actividad de supervisin (monitoreo), muestreo y reportes de excepcin

son todos controlados por parmetros. El diseo y la implementacin de
tales mdulos son altamente dependientes de la aplicacin y generalmente
son ejecutados como parte integral del proceso de desarrollo de
aplicaciones. Con frecuencia este mtodo es referido como SCARF (System
Control Auditing Review File). Tiene la ventaja de proporcionar muestreo y
produccin estadstica incluyendo transacciones, tanto de entrada como
generadas internamente. La desventaja primaria es el alto costo de
desarrollo y mantenimiento y la dificultad asociada con la independencia
del auditor.
c) Registros extendidos
Esta tcnica selecciona, por medio de uno o ms programas creados

especialmente, todos los datos significativos que han afectado el
procesamiento de una transaccin individual. Esto incluye la acumulacin,
dentro de un nico registro, de los resultados del procesamiento sobre el
mismo perodo de tiempo requerido para el procesamiento completo de la
transaccin. El registro extendido incluye datos de todos los sistemas de
aplicacin de computador que contribuyeron al procesamiento de una
transaccin. Tales registros extendidos, son compilados dentro de archivos
que proporcionan una fuente convenientemente accesible para los datos
de las transacciones. Este tiene la desventaja del incremento de los
requerimientos y costos de almacenamiento de datos y los costos
adicionales de desarrollo del sistema.
70
4.3.13 Anlisis del resultado de las pruebas de auditora
El objetivo de esta etapa es analizar y evaluar los resultados de las

pruebas de cumplimiento y sustantivas, efectuadas en la etapa anterior,
con el propsito de obtener conclusiones de la auditora sobre el
funcionamiento de los procesos de negocio y sistemas de informacin
objeto de la auditora.
En esta etapa, se analizan los resultados de las pruebas de auditora que

fueron ejecutadas por medios manuales o asistidas por computador y se
generan indicadores de la proteccin existente para cada control clave
asociado con los procesos de negocio y sistemas sujetos a auditora. Los
resultados pueden ser satisfactorios o insatisfactorios y de ellos se generan
observaciones que son analizadas para determinar su impacto en el
negocio.
Las observaciones se refieren a desviaciones que se detectan en las

pruebas de auditora, respecto a los estndares, de la tecnologa de
informacin, a la normativa legal y las polticas y procedimientos
establecidos en la organizacin.
Como resultado del anlisis y evaluacin de los resultados de las pruebas

de auditora ejecutadas, se obtienen los siguientes productos:
Lista de controles clave comprobados por el auditor en terreno.

Documentacin de las observaciones de auditora obtenidas como
resultado de las pruebas de cumplimiento y sustantivas, el anlisis de
las deficiencias identificadas y/o oportunidades de mejoramiento.
4.3.14 Anlisis del resultado de las pruebas de cumplimiento
El anlisis de los resultados de las pruebas de cumplimiento se realiza

utilizando la agrupacin de controles por tcnica de comprobacin.
71
Por cada tcnica de comprobacin utilizada, para todo el proceso de
negocio o el sistema de informacin, el auditor procede a analizar los
resultados obtenidos como se indica a continuacin:
Por el grupo de controles verificados con una misma tcnica de

comprobacin, establecer globalmente si los resultados de la prueba
son satisfactorios o no satisfactorios y generar una conclusin de la
auditora.
Desarrollar las observaciones de auditora. Por cada tcnica de
comprobacin utilizada se pueden generar una o ms observaciones.
Consolidar los resultados de las pruebas de auditora.
El anlisis del grado de satisfaccin de los objetivos de control para las

pruebas de cumplimiento se realiza utilizando la agrupacin de controles
por objetivo de control.
Las respuestas obtenidas para cada uno de los objetivos de control

sustanciados por el auditor, se procesan siguiendo los pasos que se indican
a continuacin:
1. Por cada objetivo de control seleccionado, calificar el grado de

satisfaccin segn los resultados de las pruebas efectuadas
Para evaluar el grado de proteccin de los controles agrupados por

objetivo de control, es necesario registrar al menos una observacin por
cada control verificado con resultado insatisfactorio.
Un control verificado con resultado insatisfactorio puede estar asociado a

varios objetivos de control. Por consiguiente, una observacin puede
impactar a varios objetivos de control.
Un objetivo de control es satisfecho por los controles verificados cuando la

proteccin existente es superior al 70%, es decir, cuando el significado
cualitativo de la proteccin existente es Media Alta o Alta.
72
2. Para cada control verificado con resultado insatisfactorio,
desarrollar una observacin de auditora
A cada objetivo de control pueden corresponder varias observaciones, al

menos uno por cada control que presenta resultado insatisfactorio.
Si un control que presenta resultado insatisfactorio est asociado con

varios objetivos de control, es suficiente con desarrollar una sola vez la
observacin, analizando su impacto en todos los objetivos relacionados
con el control.
Esta ltima etapa permite consolidar las calificaciones del grado de

satisfaccin de los objetivos de control para cada proceso de negocio y
sistema de informacin.
4.3.15 Anlisis de los resultados de las pruebas sustantivas
Para analizar los resultados de las pruebas sustantivas, el auditor procede

como se indica a continuacin:
1. Establecer si los resultados de la prueba sustantivas son

satisfactorios o no
Para los datos claves verificados por cada proceso de negocio o sistema de
informacin, se debe concluir si los resultados de las pruebas son
satisfactorios o no y generar una observacin de auditora por cada prueba
con resultado negativo.
2. Desarrollar las observaciones de auditora
Por cada dato verificado se pueden generar una o varias observaciones.
73
4.4 FASE III. COMUNICACIN DE LOS RESULTADOS
Esta es la ltima fase de la auditora, en ella se resumen los resultados

ms significativos obtenidos en las etapas anteriores.
Estos son los insumos para elaborar el informe de auditora con el cual se
comunicar a la alta direccin y a los dems interesados, las
observaciones y conclusiones sobre las caractersticas de seguridad,
calidad y confiabilidad de la informacin y de los recursos tecnolgicos y
humanos que intervienen en las actividades de control de los procesos de
negocio y sistemas de informacin.
4.4.1 Elaboracin de los informes con los resultados de la

auditora
Los informes tienen como objetivo comunicar al servicio sobre el resultado

de la auditora, que ste conteste cada una de las observaciones con los
antecedentes pertinentes y posteriormente se elabore y enve el informe
final con las conclusiones de la auditora.
4.4.2 Estructura y contenido de los informes
El objetivo del informe preliminar es comunicar al servicio las

observaciones encontradas, suscitar la respuesta con las acciones de
mejoramiento para solucionar los problemas detectados.
El propsito del informe final es atender las respuestas del servicio a las
observaciones y desarrollar las conclusiones de auditora.
El informe preliminar consta de las siguientes tres secciones:
a) Objetivos y alcance de la auditora
Breve descripcin de los objetivos que se propuso la auditora, de los
74
aspectos de seguridad examinados, los objetivos de controles y las
dependencias en las que se efectu la revisin. Tambin, se mencionan el
perodo de tiempo que cubri la revisin y el rango de las fechas durante
las cuales se efectu la auditora.
Se describen los objetivos especficos fijados en el programa de auditora.

Para definir el alcance, se detallan los aspectos de control generales
revisados (objetivos de control bsicos) por la auditora. Este prrafo es
importante como punto de referencia para que el destinatario evale la
importancia de las observaciones detectadas por la auditora.
b) Antecedentes generales
Este captulo contiene una breve descripcin de las caractersticas y

atributos del rea auditada. El objetivo es ubicar al destinatario del
informe dentro de un marco de referencia que le ayude a comprender el
informe y la importancia de las observaciones de la auditora.
c) Observaciones de la auditora
Esta parte del informe presenta, para cada proceso y sistema evaluado,
las observaciones y debilidades de control identificados por la auditora
que debe contestar la administracin.
Para elaborar el informe final de auditora, se realiza lo siguiente:
Luego de recibir la respuesta al informe preliminar, el auditor analiza los

descargos y antecedentes enviados por el servicio y desarrolla las
conclusiones para cada observacin y la conclusin general de la auditora.
4.4.3 Aseguramiento de la calidad de los informes de auditora
Verificar que la forma y el contenido del informe con los resultados de la

auditora cumplan con el mnimo exigidos por los estndares y las mejores
75
prcticas recomendados por los expertos. Si alguna de las respuestas a las
preguntas que se incluyen a continuacin es negativa, significa que el
informe necesita ms trabajo de revisin.
Lista de comprobacin de calidad de los informes de auditora.
1. Todos los puntos del informe ataen al destinatario del mismo?

2. Todas las observaciones incluidas en el informe fueron respondidas por
el auditado para determinar su exactitud?
3. Todas las observaciones y conclusiones incluidas en el informe son
suficientemente explcitas, para que las reas entiendan su significado e
importancia y se motiven a tomar acciones correctivas?
4. Todas las observaciones incluidas en el informe son lo suficientemente
importantes como para justificar el tiempo que el auditado dedique a su
lectura?
5. En los papeles de trabajo existe suficiente evidencia para soportar las
observaciones y conclusiones de la auditora?
6. Todas las conclusiones incluidas en el informe fueron evaluadas con
suficiente detalle para determinar su costo/beneficio?
7. Si las conclusiones incluidas no son viables por costo/beneficio, otras
circunstancias justifican su inclusin en el informe?
8. En el informe se incluyen nicamente puntos que tienen alto
potencial de prdidas y bajo costo correctivo?
9. Tienen sentido los ttulos utilizados para encabezar las
observaciones?
10. El informe cumple con las expectativas de la jefatura?
11. Existe claridad en los beneficios para los auditados que justifican la
incorporacin de las observaciones de control interno especificadas en
el informe final?
12. El informe se emite oportunamente de modo que el mximo
beneficio pueda obtenerse de l?
Las observaciones y puntos mejorables debern incluir exclusivamente

aspectos que sean importantes, de beneficio para el servicio y factibles de
76
implantar sin causar costos significativos. Cada punto tendr asignado un
nmero de secuencia y un ttulo que exprese de manera resumida lo que
se detect, utilizando un lenguaje positivo y constructivo.
A continuacin, se deben presentar los beneficios que obtendr el servicio

auditado al solucionar la deficiencia o problema observado. Es aqu donde
el auditor debe mostrar que su trabajo contribuye al mejoramiento de los
procesos y sistemas de la organizacin.
Para cada observacin de la auditora siempre se debern expresar los

beneficios para la organizacin. Como por ejemplo, para incrementar la
eficiencia, prestar un mejor servicio a los usuarios, ahorrar costos, evitar
que los errores pasen inadvertidos, mejorar la informacin que recibe la
alta direccin, etc.
El beneficio debe enfocarse para el usuario, no para el auditor

No decir que el beneficio es mejorar el control interno. Tampoco que es
para mejorar los procedimientos
Evitar decir: Es necesario que se establezcan controles de acceso, es
decir es necesario establecer controles de acceso
Deber expresarse con palabras que describan la realidad de la manera
ms exacta posible y con un lenguaje simple
Se escribe en infinitivo
Evitar el uso de superlativos
La conclusin de la auditora debe expresar su concepto sobre la

proteccin que ofrecen los controles y procedimientos utilizados por la
organizacin para asegurar la confiabilidad de los procesos y sistemas
auditados.
4.4.4 Organizar y cerrar la carpeta con archivos de trabajo
La expresin archivos de trabajo se refiere al conjunto organizado de

papeles y archivos computacionales, que contiene:
77
La documentacin del trabajo realizado por los auditores asignados al
desarrollo de un trabajo particular de auditora
Las evidencias vlidas y suficientes de los trabajos de auditora
Las evidencias de las actividades y procedimientos de planeacin,
ejecucin y control de cada una de las etapas de la auditora
La documentacin de auditora es el registro del trabajo y la evidencia que

soporta las observaciones y conclusiones del auditor. La documentacin
demuestra la extensin con la que el auditor cumpli con los estndares
generales para realizar la auditora.
La documentacin debera incluir, como mnimo, un registro de:
La planificacin y preparacin del alcance y objetivos de la auditora

El programa de auditora
Los pasos de auditora ejecutados y reunidos
Las observaciones y conclusiones de la auditora
Cualquier reporte producido como resultado del trabajo de auditora
Las respuestas del auditado a las observaciones del informe preliminar
La extensin de la documentacin del auditor, depender de las

necesidades para una auditora particular y deber incluir:
El entendimiento del auditor sobre el rea que fue auditada

El entendimiento del auditor sobre los sistemas de informacin y su
infraestructura
La fuente de la documentacin de auditora y la fecha de su elaboracin
La evidencia de revisin y supervisin del trabajo de auditora
La documentacin debera incluir informacin de auditora que es exigida

por las regulaciones o cualquier estndar aplicable.
78
Las polticas y procedimientos que en efecto pueden estar para asegurar la
custodia apropiada y retencin de la documentacin que soporta
observaciones y conclusiones de auditora, por un tiempo prudente para
satisfacer los requerimientos legales, profesionales y organizacionales.
La documentacin debera ser organizada, almacenada y asegurada de una

manera apropiada para el medio en el cual se retiene.
4.4.5 Seguimiento a las observaciones de la auditora
El objetivo de esta etapa es establecer las fechas de compromiso para

verificar que los responsables de las observaciones detectadas, inicien e
implementen las acciones correctivas.
En esta etapa se acuerda con los auditados, las fechas de compromiso

para atender las observaciones de la auditora. Tambin, se definen los
responsables de atender estos compromisos y se registran los datos de
planeacin del seguimiento, adems de las fechas especficas para verificar
dicho seguimiento, junto con los cargos de los responsables de verificar el
seguimiento y los resultados del mismo. Con las actividades de esta etapa
se termina el trabajo de auditora.
Los productos de esta etapa son los siguientes:
Programa de seguimiento del informe final

Listado con verificacin de cada observacin pendiente
Emisin del informe con los resultados del seguimiento
4.4.6 Planificar el seguimiento a las observaciones de la auditora
Elaborar tabla con los siguientes encabezados:

Observacin
Cargo responsable de tomar la accin
Fecha de compromiso para implantar la accin de mejoramiento
79
Fecha de seguimiento prevista
Establecer fechas de compromiso de comn acuerdo con el encargado de
cada observacin:
Fijar una fecha de compromiso

Fijar una fecha de seguimiento
Fijar una alerta de compromiso y seguimiento
4.4.7 Ejecutar el seguimiento a las observaciones de la auditora
El objetivo es verificar que se hayan implantado las acciones correctivas

requeridas para atender las observaciones informadas por la auditora. Con
el fin de establecer polticas, normas y procedimientos acordes a mejorar
las deficiencias encontradas en los procesos de negocio y sistemas de
informacin.
Establecer una descripcin detallada de la accin implantada y la opinin

del auditor al respecto, as como los comentarios del auditado y sus
respectivas conclusiones con respecto a la accin implantada.
4.4.8 Informe de seguimiento de la auditora
Al finalizar el seguimiento se elabora el informe con la informacin definida

en la planificacin del seguimiento.
Observaciones corregidas, pendientes de implementar y no

implementadas.
Porcentajes total de observaciones implementadas.
Conclusin del proceso de seguimiento.
80
CAPTULO V
CONCLUSIONES
Las auditoras a las tecnologas de informacin y comunicaciones

realizadas utilizando la metodologa expuesta en este trabajo de
investigacin permiten al auditor y su equipo utilizar un criterio uniforme
para seleccionar los objetivos de control y herramientas de auditora que
los conducir a la obtencin de un informe fundamentado en estndares
conocidos a nivel internacional.
Por otro lado, la incorporacin del estndar COBIT y la norma tcnica

ISO/IEC 27002 es una fortaleza que ayuda a los auditores a orientarse de
mejor forma respecto a los requisitos del negocio que tienen relacin con
el uso de la tecnologa. Cada da surgen nuevas tendencias y productos
que aparentemente ayudan a cumplir de forma ms eficiente y eficaz los
objetivos planteados por la organizacin pero que, por otro lado,
aumentan la complejidad con la cual deben lidiar los directores y
ejecutivos a cargo de la administracin.
El nivel de complejidad con el cual deben convivir las organizaciones ha

aumentado en los ltimos aos a raz de la explosiva masificacin del uso
de sistemas de informacin que soportan la mayora los procesos del
negocio. La adopcin de nuevas tecnologas al interior de una organizacin
impacta directamente en la manera de hacer las cosas, siendo comn
encontrar una gran cantidad de proyectos que fracasan debido a la
resistencia al cambio que manifiestan los empleados y usuarios en la
organizacin.
Ahora bien, si esta problemtica fuese abordada por auditores que

conocen y entienden los problemas y desafos que conlleva el uso de
tecnologas de informacin, la realidad actual que viven los servicios
pblicos podra mejorar de manera positiva.
81
BIBLIOGRAFA
Gmez Viertes, lvaro. Sistemas de Informacin, Herramientas Prcticas

para la Gestin Empresarial. Editora RAMA. Madrid. Espaa. 196 pp.
Information System Auditor and Control Association, COBIT Marco

Referencial, COBIT Objetivos de Control y COBIT Guas de Auditora.
Atlanta, USA. 512 pp.
IT Governance Institute. Control Practice. Atlanta. USA. 698 pp.
Warren Gorham & Lamont. Practical IT Auditing. RIA. New York. USA.
870 pp.
Weber, Ron. Information System Control and Audit. Pearson Education

Inc. New York. USA. 543 pp.
82

1 Erlugar

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

1 Erlugar

Cargado por

Copyright:

Formatos disponibles

1

XIV CONCURSO ANUAL DE

ENFOQUE METODOLGICO DE AUDITORA A LAS

CONTRALORA GENERAL DE LA REBLICA DE CHILE

4.3 FASE II. EJECUCIN DE LA AUDITORA

El proyecto Enfoque metodolgico de auditora a las tecnologas de

El Proyecto est estructurado en cinco captulos.

El Captulo I, presenta los antecedentes generales, los antecedentes de la

En el Captulo II, se analizan los elementos de la auditora a las

El Captulo III, se presenta el estndar COBIT y la norma ISO/IEC 27002

En el Captulo IV, se aborda el enfoque metodolgico explicando los

Finalmente, en el Captulo V, se exponen las conclusiones del proyecto.

1.1 ANTECEDENTES DEL PROBLEMA

En el marco del plan de modernizacin de la Contralora General de la

Desde algn tiempo a la fecha, se han incorporado a las auditoras

Este proyecto persigue integrar a auditores e ingenieros que apoyan el

La Contralora General de la Repblica de Chile tiene como objetivo

Para esto, la Contralora General se ha estructurado de manera que pueda

El accionar de los distintos organismos que conforman la administracin

La Contralora hace uso de su facultad de fiscalizacin a travs de equipos

Para ello, se ha desarrollado un enfoque que permita integrar la visin

1.3 OBJETIVOS DE LA INVESTIGACIN

1.3.1 Objetivo general

El objetivo general es ayudar a mejorar la calidad de las auditoras a las

El objetivo especfico es apoyar la realizacin de las auditoras a las

El logro de este objetivo especfico permitir entre otros:

1.4 ALCANCE DE LA INVESTIGACIN

El alcance de la presente investigacin se fundamento en definir un

2. DISEO METODOLGICO DE LA INVESTIGACIN

2.1 METODOLOGA DE LA INVESTIGACIN

La presente investigacin se bas en el anlisis del enfoque conceptual y

AUDITORA A LAS TECONOLOGAS DE INFORMACIN Y

3.1. MARCO TERICO

3.1.1 Clasificacin de las auditoras

Existen varias formas de clasificar a la auditora, simplemente si se piensa

La auditora de gestin, est orientada a la evaluacin de aspectos

Constituye objeto de la auditora de gestin, el proceso administrativo, las

La auditora integral, se realiza con el fin de evaluar en su totalidad los

3.2 LOS SISTEMAS DE INFORMACIN

Para adentrarse en el proceso de una auditora a las tecnologas de la

3.2.1 Caractersticas de los sistemas de informacin

Si se tuviera que resumir con una sola frase, el principal objetivo de un

La informacin ser til para la organizacin, en la medida que facilite la

Exactitud: La informacin ha de ser precisa y libre de errores.

Por otra parte, no se debe olvidar que el exceso de informacin tambin

Asimismo, cada funcin y nivel organizativo tiene diferentes necesidades

Es as como la informacin y el conocimiento que acumulan las

En consecuencia, es necesario protegerlo y controlarlo adecuadamente,

3.2.2 Estructura de los sistemas de informacin

Los sistemas de informacin estn compuestos por diferentes elementos

Las personas engloban a los propietarios del sistema (entendiendo como

Los datos constituyen la materia prima empleada para crear informacin

Dentro de las actividades, se incluyen los procesos que se llevan a cabo en

En el componente redes, se analizan la descentralizacin de la

3.2.3 Procesos de los sistemas de informacin

Un sistema de informacin, se puede definir como un conjunto de

Su propsito es apoyar y mejorar las operaciones cotidianas de la

La captura de datos puede ser manual o automatizada y, en general, es

En la etapa de proceso, se transforman los datos de entrada del sistema

La retroalimentacin (feedback) de la informacin obtenida en todo este

3.2.4 Clasificacin de los sistemas de informacin

Por lo general, las clasificaciones ms extendidas de los sistemas de

Soporte a las actividades operativas: Que da lugar a sistemas de