Definicion de auditoria de sistema

 https://www.emprendepyme.net/auditoria-de-sistemas.html
Los datos y la información generada en las empresas a día de hoy son infinitos. La
información que se procesa y trata dentro de una empresa es incalculable. Las empresas,
cada vez en mayor medida, necesitan la tecnología para trabajar, precisando complejos
softwares y equipos informatizados para desarrollar su actividad de manera optimizada y
eficiente. Esa presencia imperante de softwares y tecnología, provoca la necesidad de la
auditoría de sistemas.
La auditoría de sistemas tiene como principal objetivo validar la integridad de la
información y datos almacenados en las bases de datos de los sistemas de información y su
procesamiento. Se trata de uno de los tipos de auditoría que van más allá del factor
económico.
¿Qué es una auditoría de sistemas?
La auditoría de sistemas supone la revisión y evaluación de los controles y sistemas de
informática, así como su utilización, eficiencia y seguridad en la empresa, la cual procesa la
información. Gracias a la auditoría de sistemas como alternativa de control, seguimiento y
revisión, el proceso informático y las tecnologías se emplean de manera más eficiente y
segura, garantizando una adecuada toma de decisiones.

 Funciones de la auditoria de sistemas

Documento descargado funciones y perfil

 Perfil profesional de los auditores de sistemas

Especialización en función de la importancia económica que tienen distintos componentes
financieros dentro del entorno empresarial
Debe conocer técnicas de administración de empresas y de cambio, ya que las recomendaciones y
soluciones que aporte deben estar alineadas a los objetivos de la empresa y a los recursos que se
poseen
El auditor debe tener un enfoque de calidad total, lo cual hará que sus conclusiones y trabajo sean
reconocidos como un elemento valioso dentro de la empresa

 Funciones de los auditores de sistemas

 Hablando de la realidad actual se podría afirmarse que las funciones deben mantenerse los
objetivos de revisión que le demande la organizacion:
 Análisis de la administración de los riesgos de la información y de la seguridad implícita
 Análisis de la administración de los sistemas de información, desde un enfoque de riesgo de
seguridad, administración y efectividad de la administración
 Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de
aplicaciones
Hablando de las actividades que ha de realizarse el auditor informático en desarrollo de su
función
 Planificar las actividades de auditoria.
 Consensuar un cronograma en el auditado o cliente.
 Solicitar y analizar documentación, con objeto de emitir una opinion.
 Análisis de datos a través de herramientas y sintesis de conclusiones
 Trabajos de campo, entrevistas y revisiones in-situ
Se debe poseer una mezcla de conocimientos de auditoría financiera y de informática en
general:
 Gestion de Proyectos
 Administración del Departamento de informatica
 Análisis de riesgos en un entorno informático
 Sistemas Operativos
 Redes y Telecomunicaciones
 Bases de Datos
 Seguridad Informática
 Comercio Electrónico
 Ofimatica

 Metodologías de auditoría de sistemas

Metodología para realizar auditorías de sistemas informáticos JORGE FERNANDO CRUZ

PARRA
2 Metodología general para la auditoria en Informática  Método: Modo razonado de obrar y
hablar. Manera de efectuar una operación o una secuencia de operaciones.  Metodología:
Estudio de los métodos que se siguen en una investigación, un conocimiento o una
interpretación.  Planeación: Es el proceso de decidir de antemano qué se hará y de qué
manera. Incluye determinar las misiones globales, identificar resultados claves y fijar objetivos
específicos, así como políticas de desarrollo, programas y procedimientos para alcanzarlos. 
Plan: Es el curso de acción basado en el análisis de un problema, en el que hay que concretar
los puntos y las partes de una situación dada, de tal suerte que sea factible ordenarlos y lograr
un situación programada.

3  Programa: Conjunto estructurado de diversas actividades con un cierto grado de

homogeneidad respecto del producto o resultado final, al cual se le asignan recursos
humanos, materiales y financieros con el fin de que produzca en un tiempo determinado
bienes o servicios destinados a la satisfacción total o parcial de los objetivos señalados a una
función dentro del marco de planeación.  Presupuesto: Estimación programada de forma
sistemática de los ingresos y egresos de un organismo en un periodo determinado, puede
considerarse como un plan de acción expresado en términos monetarios y cuyo ejercicio
abarca generalmente un año de actividad. Metodología general para la auditoria en
Informática

4  Evento: Suceso esperado al cual se debe llegar después de una serie de actividades. 
Actividad: Una o más tareas afines que forman parte de una función y que son ejecutadas por
una persona o unidad administrativa.  Políticas: son esencialmente un principio o varios,
relacionados entre sí, con sus consiguientes reglas de acción que condicionan y gobiernan al
logro de un objetivo.  Tarea: Es la subdivisión del trabajo para concretizar una actividad. 
Plan de trabajo (Gráfica de Gantt): Es la representación gráfica en la que se muestran las
actividades que integran un proyecto, el periodo de tiempo necesario para realizar cada una
de ellas y sus responsables, así como los de cada actividad.

5 Metodología de la Auditoría Serie ordenada de acciones y procedimientos específicos, los

cuales deberán ser diseñados previamente de manera secuencial, cronológicas y ordenada,
de acuerdo a las etapas, eventos y actividades que se requieran para su ejecución, mismos
que serán establecidos conforme a las necesidades especiales de la institución.

6 Metodología de la Auditoría  Una metodología de auditoría es un conjunto de

procedimientos documentados de auditoría, diseñados para alcanzar los objetivos de la
auditoría.  Los procedimientos se deben adaptar de acuerdo al tipo de auditoría que se va a
realizar, con estricto apego a las necesidades, técnicas y métodos de evaluación del área de
sistematización  La metodología de la auditoría debe ser aprobada por la gerencia de
auditoría, y debe ser comunicada a todo el personal de auditoría.

Advertisements

7 Metodología: ISO 27001

8 METODOLOGÍA DE UNA AUDITORÍA DE SISTEMAS Existen algunas metodologías de

Auditorías de Sistemas y todas dependen de lo que se pretenda revisar o analizar, pero como
estándar analizaremos las cuatro fases básicas de un proceso de revisión: 1. Estudio
preliminar 2. Revisión y evaluación de controles y seguridades 3. Examen detallado de áreas
criticas 4. Comunicación de resultados
9 1.- Estudio preliminar Incluye definir el grupo de trabajo, el programa de auditoría, efectuar
visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario
para la obtención de información para evaluar preliminarmente el control interno, solicitud de
plan de actividades, Manuales de políticas, reglamentos, Entrevistas con los principales
funcionarios del PAD.

10 2.- Revisión y evaluación de controles y seguridades Consiste de la revisión de los

diagramas de flujo de procesos, realización de pruebas de cumplimiento de las seguridades,
revisión de aplicaciones de las áreas criticas, Revisión de procesos históricos (backups),
Revisión de documentación y archivos, entre otras actividades.

11 3.- Examen detallado de áreas criticas Con las fases anteriores el auditor descubre las
áreas criticas y sobre ellas hace un estudio y análisis profundo en los que definirá
concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los
motivos, objetivos, alcance Recursos que usará, definirá la metodología de trabajo, la duración
de la auditoría, Presentará el plan de trabajo y analizará detalladamente cada problema
encontrado con todo lo anteriormente analizado.

12 4.- Comunicación de resultados Se elaborará el borrador del informe a ser discutido con
los ejecutivos de la empresa hasta llegar al informe definitivo, el cual se presentará
esquemáticamente en forma de matriz, cuadros o redacción simple y concisa que destaque
los problemas encontrados, los efectos y las recomendaciones de la Auditoría.

13 Metodología general para la auditoria en Informática 1. Origen de la auditoría 2. Visita

Preliminar 3. Establecer objetivos 4. Determinar los puntos que deben ser evaluados 5.
Elaborar planes, presupuestos y programas 6. Seleccionar las herramientas, técnicas,
métodos y procedimientos que serán utilizados en la auditoría.

Advertisements

14 Metodología general para la auditoria en Informática 7. Asignar los recursos y sistemas

para la auditoría. 8. Aplicar la auditoría. 9. Identificar desviaciones y elaborar borrador de
informe. 10. Presentar desviaciones a discusión 11. Elaborar borrador final de desviaciones.
12. Presentar el informe de la auditoria.

16 1era. etapa Planeación de la Auditoría de Sistemas Computacionales. 2da. etapa

Ejecución de la Auditoría de Sistemas Computacionales. 3ra. Etapa Dictamen de la Auditoría
de Sistemas Computacionales. Metodología general para la auditoria en Informática

17 1er etapa: Planeación de la auditoria de sistemas computacionales  Identificar origen de

la auditoria.  Realizar visita preliminar al área que será evaluada.  Establecer objetivos de
auditoría.  Determinar puntos que serán evaluados.  Elaborar planes, programas y
presupuestos para realizar auditoría.  Identificar y seleccionar los métodos, herramientas,
instrumentos y procedimientos para la auditoría.  Asignar recursos y sistemas
computacionales

19 2da Etapa: Ejecución de la auditoria de sistemas computacionales  Realizar acciones

programadas para auditoria.  Aplicar los instrumentos y herramientas para la auditoria. 
Identificar y elaborar los documentos de desviaciones encontradas.  Elaborar el dictamen
preliminar y presentarlo a discusión.  Integrar la documentación de trabajo de la auditoria.
20 3er. Etapa: Dictamen de la auditoria de sistemas computacionales  Analizar la
información y elaborar un informe de situaciones detectadas.  Elaborar el dictamen final. 
Presentar el informe de auditoría.

21 Bibliografía ECHENIQUE, J. (2001). Auditoría en Informática. México: McGraw-Hill. ACHA,

J. (1994). Auditoría Informática en la Empresa. Madrid: Paraninfo S. A. Contraloría General del
Estado. (2014). Normas de Control Interno. Quito: Contraloría General del Estado.
ECHENIQUE, J. (2001). Auditoría en Informática. México: McGraw-Hill. ISACA, I. S. (2013).
Cobit 4 -5. EEUU: ISACA. MUÑOZ, C. (2002). Auditoría en Sistemas Computacionales.
México: Person Educación.

 Informe final de auditoría de sistemas

Documento descargado informe final

1. Identificación del informe

Auditoria de la Ofimática
2. Identificación del Cliente
El área de Informática
3. Identificación de la Entidad Auditada
Municipalidad Provincial Mariscal Nieto
4. Objetivos
Verificar si el hardware y software se adquieren siempre y cuando tengan la

seguridad de que los sistemas computarizados proporcionaran mayores beneficios

que cualquier otra alternativa.
Verificar si la selección de equipos y sistemas de computación es adecuada

Verificar la existencia de un plan de actividades previo a la instalación

Verificar que los procesos de compra de Tecnología de Información, deben estar

sustentados en Políticas, Procedimientos, Reglamentos y Normatividad en

General, que aseguren que todo el proceso se realiza en un marco de legalidad y
cumpliendo con las verdaderas necesidades de la organización para hoy y el
futuro, sin caer en omisiones, excesos o incumplimientos.
Verificar si existen garantías para proteger la integridad de los recursos

informáticos.
Verificar la utilización adecuada de equipos acorde a planes y objetivos.

5. Hallazgos Potenciales
Falta de licencias de software.
Falta de software de aplicaciones actualizados
No existe un calendario de mantenimiento ofimatico.
Faltan material ofimática.
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI

34
AUDITORIA DE SISTEMAS

Carece de seguridad en Acceso restringido de los equipos ofimaticos

y software.
6. Alcance de la auditoria
Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado
especialmente al Departamento de centro de cómputo de acuerdo a las
normas y demás disposiciones aplicable al efecto.
El alcance ha de definir con precisión el entorno y los límites en que va a
desarrollarse la auditoria Ofimática, se complementa con los objetivos de
ésta.
7. Conclusiones:
Como resultado de la Auditoria podemos manifestar que hemos
cumplido con evaluar cada uno de los objetivos contenidos en el
programa de auditoria.
El Departamento de centro de cómputo presenta deficiencias sobre el
debido cumplimiento de Normas de seguridad.
La escasez de personal debidamente capacitado.
Cabe destacar que la sistema ofimatico pudiera servir de gran apoyo a
la organización, el cual no es explotado en su totalidad por falta de
personal capacitado.
8. Recomendaciones
Se recomienda contar con sellos y firmas digitales
Un de manual de funciones para cada puesto de trabajo dentro del área.
Reactualizacion de datos.
Implantación de equipos de ultima generación
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI

35
AUDITORIA DE SISTEMAS

Elaborar un calendario de mantenimiento de rutina periódico .

Capacitar al personal.
9. Fecha Del Informe
PLANEAMIENTO EJECUCION INFORME
FECHAS 01–10–04 al 15–10-04 16-10–04 al 20–11-04 23–11–04 al 28–11-04
10. Identificación Y Firma Del Auditor
APELLIDOS Y NOMBRES CARGO
QUIÑONEZ MAYTA CARMEN AUDITOR SUPERIOR

 Definición y estructuración de auditoría de sistemas

INDICACIONES PARA ELABORAR EL PLAN DE AUDITORIA

Una vez conocido el área auditada o sistema de información en la fase de

conocimiento, se pueden evidenciar las vulnerabilidades y amenazas de manera
preliminar que pueden ser las fuentes de riesgos potenciales, lo ideal es que cada
miembro del equipo de trabajo haga una lista de los problemas observados y que
posteriormente en reuniones del equipo auditor se pueda analizar lo observado
por cada integrante y hacer un listado consolidado de los problemas observados.

El objetivo general de la auditoría tendrá en cuenta la fuente que origina el

proceso de auditoría y los problemas que se evidencian en la realidad, de esta
manera el objetivo quedará definido en concordancia con lo que desea quien
origina el proceso y dará solución a los problemas que se están presentando.

Una vez definido el objetivo de la auditoría, se desglosa los ítems que serán
evaluados (hardware, software, redes, sistemas de información, bases de datos,
seguridad física, seguridad lógica, otros) y de cada uno de ellos se debe definir el
alcance donde se especifica que aspectos se tendrán en cuanta en cada ítem
evaluado. Una vez está definido el objetivo general, para alcanzarlo se definen los
objetivos específicos teniendo en cuenta la metodología de la auditoría que se
descompone en tres o cuatro fases dependiendo si es una auditoría interna o es
una auditoría externa, para cada fase será necesario definir un objetivo específico
que permita cumplirlo. Como se puede mirar en el cuadro anterior las fases de la
auditoría en general son las siguientes: conocer el sistema, planear la auditoría,
ejecutar la auditoría, y la fase de resultados, para cada fase se define un objetivo
específico.

Por ejemplo, si la fuente de la auditoría es el gerente, el informára que aspectos

quiere que sean auditados y la intencionalidad de llevar a cabo el proceso, una
vez conocidos los aspectos que se desea sean auditados, se procede a realizar
visitas al sitio "in situ" a el área o sistema para hacer la observación y entrevistas
con el administrador del área informática, los empleados de dicha área, los
sistemas de información y ususrios para detectar posibles vulnerabilidades y
amenazas que puedan ocasionar riesgos potenciales.

Si las vulnerabilidades y amenazas se presentan en las redes, conectividad y el

servicio de internet y en la infraestructura tecnológica de hardware, el objetivo
podría ser: Realizar la auditoría a la red de datos y la infraetructura de
hardware que soportan los sistemas de información en la empresa "xxxxxx"
de la ciudad de "xxxxxx".

De acuerdo a este objetivo se definen los objetivos específicos teniendo en cuanta

las etapas de la auditoría, por ejemplo:

Objetivo 1: Conocer las redes de datos y la infraestructura tecnologica que

soportan los sistemas de información con el fin de analizar los riesgos que
puedan presentarse en la funcionalidad de los sistemas de información y
servicios que se prestan mediante visitas a la empresa y entrevistas con
empleados y usuarios.
 Objetivo 2: Elaborar el plan de auditoría, y programa de auditoría teneiendo
en cuenta los estándares que serán aplicados para hacer el diseño de
los instrumentos de recolección y plan de pruebas que serán aplicados en el
proceso de auditoría con el fin de obtener una información confiable para
realizar el dictamen.

Objetivo 3: Aplicar los instrumentos de recolección de información y

pruebas que se han diseñado para determinar los riesgos existentes en la
red de datos y la infraestructura tecnológicade acuerdo a las
vulnerabilidades y amenazas que se han evidenciado preliminarmente con el
fin de hacer la valoración de los riesgos que permitan medir la probabilidad
de ocurrencia y el impacto que causa en la organización.

Objetivo 4: De acuerdo a los hallazgos comprobados mediante pruebas,

elaborar el dictamen de la auditoría de acuerdo al nivel de madurez en los
procesos evaluados, determinar el tratamiento de los riesgos y definir
posibles soluciones que serán recomendadas en el informe final para se
entrega a quien originó la auditoría.

Una vez definidos los objetivos de la auditoría, para cada ítem se menciona los
aspectos más relevantes que serán evaluados en cada uno de ellos. Por
ejemplo, los alcances serían:

De la red de datos se evaluará los siguientes aspectos:

- El inventario hardware de redes
- La obsolescencia del hardware y cableado estructurado
- El cumplimiento de la norma de cableado estructurado
- La seguridad en la red de datos
- Del servicio de internet se evaluará:
- El contrato con la empresa que presta el servicio de internet
- La seguridad que brinda el operador para el servicio de internet
- La seguridad de la red inalámbrica wifi
- La monitorización de la red por parte del administrador

Estos son algunos de los aspectos elegidos para ser evaluados en cuanto a la red,
lo mismo debe hacerse para el hardware de servidores y equipos terminales que
soportan los sistemas y algo importante es la opinión de los usurios respecto a los
problemas que se están presentando a causa de la infraestructura tecnológica y la
red que soportan los sistemas.

La intención es de que los integrantes del grupo de auditoría se distribuyan las

actividades de acuerdo a su especialidad y se pueda concretar los aspectos a
evaluar y las pruebas que se pueden realizar para poder evidenciar
las vulnerabilidades, amenazas y riesgos encontrados inicialmente.
Posteriormente se debe especificar la metodología donde se trata de especificar
las actividades para lograr cada uno de los objetivos esécíficos propuestos
anteriormente, aquí cada objetivo específico se descompone en actividades
generales que se deberán realizar para poder cumplirlos.

A continuación se presenta un ejemplo con el primer objetivo formulado:

Metodología para Objetivo 1: Conocer las redes de datos que soportan la
infraestructura tecnológica con el fin de analizar algunos de los riesgos que
puedan presentarse realizando visitas a la empresa y entrevistas con los usuarios.
- Solicitar la documentación de los planos de la red
- Solicitar el inventario del hardware de las redes
- Realizar una entrevista inicial con el encargado de administrar la red
Realizar pruebas de seguridad en las redes para determinar las
vulnerabilidades
- Conocer los problemas más frecuentes en la red por parte de los usuarios
- Estas son las actividades para lograr el primer objetivo, de la misma manera se
hace para los otros objetivos específicos planteados.
Posteriormente se hace una relación de los recursos que uno necesita para
desarrollar la auditoría, en este caso los recursos se dividen en talento humano
que serán los integrantes del equipo auditor, los recursos físicos que son el sitio o
empresa donde se llevará a cabo la auditoría, los recursos tecnológicos (el
hardware, cámaras, grabadoras digitales, memorias, celulares y el software que se
necesite para pruebas) y los recursos económicos que se presentan en una tabla
de presupuesto.
Recursos humanos: Nombres y apellidos del grupo auditor
Recursos físicos: La auditoría se llevará a cabo en el área informática de
la empresa xxxxx.
Recursos tecnológicos: grabadora digital para entrevistas, cámara fotográfica
para pruebas que servirán de evidencia, computador portátil, software para
pruebas de auditoría sobre escaneo y tráfico en la red
Recursos económicos:
Ítem Cantidad subtotal
Computador 2 2.000.000
Cámara digital 1 400.000
Grabadora digital 1 120.000
otros …. ….
Total 0000000000

Y finalmente se hace el cronograma de actividades, mediante un diagrama de

GANNT, para construirlo se toman las actividades que han sido definidas para
cumplir cada objetivo y se especifica el tiempo de duración de cada actividad en el
tiempo. El tiempo se debe definir desde ahora hasta la entrega final del informe de
auditoría.

A continuación se presenta un ejemplo completo de un plan de auditoría o

 memorando de planeación donde se muestra los contenidos de cada uno de
los ítems:
Plan de Auditoria

Antecedentes: En las Aulas de informática de una Institución educativa se

realiza anualmente un plan de seguimiento a todos los procesos técnicos y
académicos de la institución, esto debido a que las instituciones requieren la
acreditación de calidad en el manejo de sus procesos y para ello se hace
necesario realizar auditorías internas permanentes y de tipo externo
periódicamente para lograrlo.

Uno de los recursos tecnológicos disponibles en las instituciones educativas

es el de la red de datos que opera en las diferentes sedes y que
generalmente se encuentra certificada bajo la normas de la IEEE\EIA\TIA,
las cuales se deben cumplir estrictamente.

Objetivos

 Objetivo general: Realizar la revisión y verificación del cumplimiento de

normas mediante una auditoría a la infraestructura física de la red de datos
en una de las instituciones educativas.

 Objetivos específicos:

 Planificar la auditoría que permita identificar las condiciones actuales de la

red de datos de la institución educativa.
 Aplicar los procesos de auditoría teniendo en cuenta el modelo estándar de
auditoría COBIT como herramienta de apoyo en el proceso inspección de la
red de datos de la institución educativa.

 Identificar las soluciones para la construcción de los planes de

mejoramiento a la red de la institución educativa de acuerdo a los
resultados obtenidos en la etapa de aplicación del modelo de auditoría.

Alcance y delimitación: La presente auditoria pretende identificar las

condiciones actuales del hardware, la red de datos y eléctrica de la
institución educativa, con el fin de verificar el cumplimiento de normas y la
prestación del servicio de internet para optimizar el uso de los recursos
existentes para mejorar el servicio a los usuarios.

Los puntos a evaluar serán los siguientes:

De las instalaciones físicas se evaluará:

 Instalaciones eléctricas
 Instalación cableado de la red de datos
 Sistemas de protección eléctricos
. Seguridad de acceso físico a las instalaciones

De equipos o hardware se evaluará:

 Inventarios de hardware de redes y equipos

 Manteninimiento preventivo y correctivo de equipos y redes
. Hojas de vida de los equipos de cómputo y redes
 Los programas de mantenimiento de los equipos de computo y redes
 Revisión de informes de mantenimiento
. Personal encargado de manetnimiento
. Obsolecencia de la tecnología

Metodología: Para el cumplimiento de los objetivos planteados en la

auditoría, se realizaran las siguientes actividades:

1. Investigación preliminar: visitas a la institución para determinar el

estado actual de la organización, entrevistas con administradores y usuarios
de las redes para determinar posibles fallas, entrevistas con administrador y
usuarios para determinar la opinión frente al hardware existente y
obsolecencia de equipos.

2. Recolectar información: Diseño de formatos de entrevistas, diseño de

formatos para listas de chequeo, diseño de formatos para cuestionarios,
diseño del plan de pruebas, selección del estándar a aplicar, elaboración del
programa de auditoría, distribución de actividades para los integrantes del
grupo de trabajo.

3. Aplicación de instrumentos: Aplicar entrevistas al adminsitrador y

usuarios, aplicar listas de chequeo para verificar controles, aplicar
cuestionarios para descubrir nuevos riesgos y conformar los que han sido
detectados anteriormente.

4. Ejecucción de las pruebas: ejecutar las pruebas para determinar la

obsolecencia del hardware, ejecutar pruebas sobre la red, ejecutar pruebas
 para comprobar la correspondencia de los inventarios con la realidad.

5. Realizar el proceso de análisis y evaluación de riesgos: elaborar el

cuadro de vulnerabilidades y amenzas a que se ven enfrentados, determinar
los riesgos a que se ven expuestos, hacer la evaluación de riesgos, elaborar
el mapa o matriz de riesgos.

6. Tratamiento de riesgos: determinar el tratamiento de los riesgos de

acuerdo a la matriz de riesgos, proponer controles de acuerdo a la norma de
buenas práctica aplicada, definir las posibles soluciones

7. Dictamen de la auditoría: Determinar el grado de madurez de la

empresa en el manejo de cada uno de los procesos evaluados, medir el
grado de madurez de acuerdo a los hallazgos detectados en cada proceso.

8. Informe final de auditoría: elaboración del borredor del informe técnico

de auditoría para confrontarlo con los auditados, elaboración del informe
técnico final, elaboración del informe ejecutivo, organización de papeles de
trabajo para su entrega.
Recursos:

 Humanos: La auditoría se llevará a cabo por el grupo de auditores

especializados en redes de datos con la asesoría metodológica de un
Ingeniero Auditor.

 Físicos: Instalaciones de la institución educativa, aulas de informática y

dispositivos de red.
  Tecnológicos: equipos de cómputo, software instalado para la red, cámara
digital, Intranet institución educativa

Presupuesto:

Ítem Valor
Útiles y Papelería $ 20.000.oo
Equipos de Oficina como calculadoras. $ 80.000.oo
Medios de almacenamiento magnético como: 1 caja de CD, 1 caja $ 20.000.oo
Diskettes.
Gastos generales: Cafetería, imprevistos, transporte, etc. $300.000.oo
Pago de Honorarios (1 millon mensual x c/au) $4.000.000
Total presupuesto $4.420.000

Cronograma

Mes 1 Mes 2 Mes 3

Actividad
1 2 3 4 1 2 3 4 1 2 3 4
Estudio Preliminar
Planificar la
Determinación de Áreas
auditoría
Críticas de Auditoria
Elaboración de Programa de
Auditoria
Aplicar el modelo
Evaluación de Riesgos
de auditoria
Ejecución de Pruebas y
Obtención de Evidencias
Construir los Elaboración de Informe
planes de
mejoramiento Sustentación de Informe
Estructura del informe de auditoría de sistemas

computacionales
1. Oficio de presentación
1.1. Mediante este documento se pone a considera- ción de los directivos de

la empresa el resultado de la auditoría practicada al área de sistemas.

2. Introducción

2.1. Es la parte del informe donde el responsable de la auditoría hace la

presentación formal de su trabajo; en este apartado se manifiesta el objetivo

de la auditoría, las razones que motivaron a llevarla a cabo.

3. Dictamen de la auditoría

3.1. Tal vez ésta sea la parte más importante de una auditoría de sistemas
computaciona- les y, en muchas ocasiones, lo que más esperan los directivos

de la empresa o del área auditada, debido a que es una opinión profesional

respecto al comportamiento de los sistemas.

4. Situaciones relevantes

4.1. Son los documentos oficiales donde el responsable de la auditoría

reporta las desviaciones que, según su criterio, son las más importantes

encontradas durante el desarrollo de la auditoría.

5. Situaciones detectadas

5.1. Es donde se concentran todas las desviaciones encontradas durante la

evaluación
6. Anexos

6.1. Son documentos en forma de gráficas, cuadros, declaraciones o

cualquier otro formato que servirá de soporte para las desviaciones

reportadas en el informe final.

7. Confirmaciones en papeles de trabajo

7.1. Este documento no se debe integrar al informe final de la auditoría, sin

embargo, al presentar el informe a los directivos, es muy conveniente que el
auditor tenga a la mano el legajo de papeles de trabajo, ya que podría
necesitar hacer aclaraciones importantes de lo reportado.

 Introducción del informe final de auditorías de sistemas

 Formatos anexo 1 anexo 27
 Herramientas para la recolección e datos en las auditorias de sistemas

RECOLECCIÓN DE INFORMACIÓN PARA AUDITORÍA

INFORMÁTICA Y DE SISTEMAS
Observación

Es una de las técnicas más utilizadas para examinar los diferentes aspectos
que intervienen en el funcionamiento del área informática y los sistemas
software, permite recolectar la información directamente sobre el
comportamiento de los sistemas, del área de informática, de las funciones y
actividades, los procedimientos y operación de los sistemas, y de cualquier
hecho que ocurra en el área. En el caso específico de la auditoria se aplica
para observar todo lo relacionado con el área informática y los sistemas de
una organización con el propósito de percibir, examinar, o analizar los
eventos que se presentan en el desarrollo de las actividades del área o de
un sistema que permita evaluar el cumplimiento de las funciones,
operaciones y procedimientos.

Entrevistas
Esta técnica es la más utilizada por los auditores ya que a través de esta se
obtiene información sobre lo que esta auditando, además de tips que
permitirán conocer más sobre los puntos a evaluar o analizar. La entrevista
en general es un medio directo para la recolección de información para la
captura de los datos informados por medio de grabadoras digitales o
cualquier otro medio. En la entrevista, el auditor interroga, investiga y
conforma directamente sobre los aspectos que se está auditando. En su
aplicación se utiliza una guía general de la entrevista, que contiene una
serie de preguntas sobre los temas que se quiere tocar, y que a medida que
avanza pueden irse adaptando para profundizar y preguntar sobre el tema.

Cuestionarios

Los cuestionarios son preguntas impresas en formatos o fichas en que el

auditado responde de acuerdo a su criterio, de esta manera el auditor
obtiene información que posteriormente puede clasificar e interpretar por
medio de la tabulación y análisis, para evaluar lo que se está auditando y
emitir una opinión sobre el aspecto evaluado.

Encuestas

Las encuestas son utilizadas frecuentemente para recolectar información

sobre aspectos como el servicio, el comportamiento y utilidad del equipo, la
actuación del personal y los usuarios, entre otros juicios de la función
informática. No existen reglas para el uso de las encuestas, solo los que
regulan los aspectos técnicos y estadísticos tales como la elección del
universo y la muestra, que se contemplan dentro de la aplicación de
métodos probabilísticas y estadísticos para hacer la mejor elección de las
muestras y recolección de opiniones.

Inventarios

Consiste en hacer el recuento físico de lo que se está auditando, con el fin

de compararla con la que existe en los documentos en la misma fecha.
Consiste en comparar las cantidades reales existentes con las que debería
haber para comprobar que sean iguales, de lo contrario iniciar la
investigación de la diferencia para establecer las causas. Con la aplicación
de esta herramienta de la auditoria tradicional, el auditor de sistemas
también puede examinar las existencias de los elementos disponibles para
el funcionamiento del área informática o del sistema, contabilizando los
equipos de cómputo, la información y los datos de la empresa, los
programas, periféricos, consumibles, documentos, recursos informáticos, y
demás aspectos que se desee conocer, con el fin de comparar la cantidad
real con las existencias que se registra en los documentos.

Normas, técnicas y procedimientos de

auditoría en informática.

El desarrollo de una auditoría se basa en la aplicación de normas, técnicas

y procedimientos de auditoría. Para nuestro caso, estudiaremos aquellas
enfocadas a la auditoría en informática.
Es fundamental mencionar que para el auditor en informática conocer los
productos de software que han sido creados para apoyar su función
aparte de los componentes de la propia computadora resulta esencial,
esto por razones económicas y para facilitar el manejo de la información.
 El auditor desempeña sus labores mediante la aplicación de una serie de
conocimientos especializados que vienen a formar el cuerpo técnico de su
actividad. El auditor adquiere responsabilidades, no solamente con la
persona que directamente contratan sus servicios, sino con un número de
personas desconocidas para él que van a utilizar el resultado de su
trabajo como base para tomar decisiones.
La auditoría no es una actividad meramente mecánica, que
implique la aplicación de ciertos procedimientos cuyos
resultados, una vez llevados a cabo son de de carácter
indudable. La auditoría requiere el ejercicio de un juicio
profesional, sólido maduro, para juzgar los procedimientos
que deben seguirse y estimar los resultados obtenidos[37].

Normas.
Según se describe en [bib-imcp], las normas de auditoría son los
requisitos mínimos de calidad relativos a la personalidad del auditor, al
trabajo que desempeña ya la información que rinde como resultado de
este trabajo.
Las normas de auditoría se clasifican en:
a. Normas personales.
b. Normas de ejecución del trabajo.
c. Normas de información.
Normas personales
son cualidades que el auditor debe tener para ejercer sin
dolo una auditoría, basados en un sus conocimientos
profesionales así como en un entrenamiento técnico, que le
permita ser imparcial a la hora de dar sus sugerencias.
Normas de ejecución del trabajo
son la planificación de los métodos y procedimientos, tanto
como papeles de trabajo a aplicar dentro de la auditoría.
Normas de información
 son el resultado que el auditor debe entregar a los
interesados para que se den cuenta de su trabajo, también
es conocido como informe o dictamen.

Técnicas.
Se define a las técnicas de auditoría como “los métodos prácticos de
investigación y prueba que utiliza el auditor para obtener la evidencia
necesaria que fundamente sus opiniones y conclusiones, su empleo se
basa en su criterio o juicio, según las circunstancias”.
Al aplicar su conocimiento y experiencia el auditor, podrá conocer los
datos de la empresa u organización a ser auditada, que pudieran
nesecitar una mayor atención.
Las técnicas procedimientos están estrechamente relacionados, si las
técnicas no son elegidas adecuadamente, la auditoría no alcanzará las
normas aceptadas de ejecución, por lo cual las técnicas así como los
procedimientos de auditoría tienen una gran importancia para el auditor.
Según el IMCP en su libro Normas y procedimientos de auditoría las
técnicas se clasifican generalmente con base en la acción que se va a
efectuar, estas acciones pueden ser oculares, verbales, por escrito, por
revisión del contenido de documentos y por examen físico.
Siguiendo esta clasificación las técnicas de auditoría se agrupan
específicamente de la siguiente manera:
 Estudio General
 Análisis
 Inspección
 Confirmación
 Investigación
 Declaración
 Certificación
 Observación
 Cálculo

Procedimientos.
 Al conjunto de técnicas de investigación aplicables a un grupo de hechos o
circunstancias que nos sirven para fundamentar la opinión del auditor
dentro de una auditoría, se les dan el nombre de procedimientos de
auditoría en informática.
La combinación de dos o más procedimientos, derivan en programas de
auditoría, y al conjunto de programas de auditoría se le denomina plan de
auditoría, el cual servirá al auditor para llevar una estrategia y
organización de la propia auditoría.
El auditor no puede obtener el conocimiento que necesita para sustentar
su opinión en una sola prueba, es necesario examinar los hechos,
mediante varias técnicas de aplicación simultánea.
En General los procedimientos de auditoría permiten:
 Obtener conocimientos del control interno.
 Analizar loas características del control interno.
 Verificar los resultados de control interno.
 Fundamentar conclusiones de la auditoría.
Por esta razón el auditor deberá aplicar su experiencia y decidir cuál
técnica o procedimiento de auditoría serán los mas indicados par obtener
su opinión.

Análisis de datos.
Dentro de este trabajo, desarrollaremos diversos tipos de técnicas y
procedimientos de auditoría, de los cuales destacan el análisis de datos,
ya que para las organizaciones el conjunto de datos o información son de
tal importancia que es necesario verificarlos y comprobarlos, así también
tiene la misma importancia para el auditar ya que debe de utilizar
diversas técnicas para el análisis de datos, basados en [bib-solis-2002],
las cuales se describen a continuación.
Comparación de programas
esta técnica se emplea para efectuar una comparación de
código (fuente, objeto o comandos de proceso) entre la
versión de un programa en ejecución y la versión de un
 programa piloto que ha sido modificado en forma indebida,
para encontrar diferencias.
Mapeo y rastreo de programas
esta técnica emplea un software especializado que permite
analizar los programas en ejecución, indicando el número
de veces que cada línea de código es procesada y las de las
variables de memoria que estuvieron presentes.
Análisis de código de programas
Se emplea para analizar los programas de una aplicación. El
análisis puede efectuarse en forma manual (en cuyo caso
sólo se podría analizar el código ejecutable).
Datos de prueba
Se emplea para verificar que los procedimientos de control
incluidos los programas de una aplicación funcionen
correctamente. Los datos de prueba consisten en la
preparación de una serie de transacciones que contienen
tanto datos correctos como datos erróneos
predeterminados.
Datos de prueba integrados
Técnica muy similar a la anterior, con la diferencia de que
en ésta se debe crear una entidad, falsa dentro de los
sistemas de información.
Análisis de bitácoras
Existen varios tipos de bitácoras que pueden ser analizadas
por el auditor, ya sea en forma manual o por medio de
programas especializados, tales como bitácoras de fallas del
equipo, bitácoras de accesos no autorizados, bitácoras de
uso de recursos, bitácoras de procesos ejecutados.
Simulación paralela
Técnica muy utilizada que consiste en desarrollar
programas o módulos que simulen a los programas de un
 sistema en producción. El objetivo es procesar los dos
programas o módulos de forma paralela e identificar
diferencias entre los resultados de ambos.

Monitoreo.
Dentro de las organizaciones todos los procesos necesitan ser evaluados a
través del tiempo para verificar su calidad en cuanto a las necesidades de
control, integridad y confidencialidad, este es precisamente el ámbito de
esta técnica, a continuación se muestran los procesos de monitoreo:
 M1 Monitoreo del proceso.
 M2 Evaluar lo adecuado del control Interno.
 M3 Obtención de aseguramiento independiente.
 M4 Proveer auditoría independiente.

M1 Monitoreo del proceso

Asegura el logro de los objetivos para los procesos de TI, lo cual se logra
definiendo por parte de la gerencia reportes e indicadores de desempeño
y la implementación de sistemas de soporte así como la atención regular
a los reportes emitidos.
Para ello la gerencia podrá definir indicadores claves de desempeño y
factores críticos de éxito y compararlos con los niveles propuestos para
evaluar el desempeño de los procesos de la organización.

M2 Evaluar lo adecuado del control Interno

Asegura el logro de los objetivos de control interno establecidos para los
procesos de TI, para ello se debe monitorear la efectividad de los
controles internos a través de actividades administrativas, de supervisión,
comparaciones, acciones rutinarias, evaluar su efectividad y emitir
reportes en forma regular[38].

M3 Obtención de aseguramiento independiente

Incrementa los niveles de confianza entre la organización, clientes y
proveedores, este proceso se lleva a cabo a intervalos regulares de
tiempo.
 Para ello la gerencia deberá obtener una certificación o acreditación
independiente de seguridad y control interno antes de implementar
nuevos servicios de tecnología de información que resulten críticos, así
como para trabajar con nuevos proveedores de servicios de tecnología de
información, luego la gerencia deberá adoptar como trabajo rutinario
tanto hacer evaluaciones periódicas sobre la efectividad de los servicios
de tecnología de información, de los proveedores de estos servicios así
como también asegurarse el cumplimiento de los compromisos
contractuales de los servicios de tecnología de información y de los
proveedores de dichos servicios.

M4 Proveer auditoría independiente.

Incrementa los niveles de confianza de recomendaciones basadas en
mejores prácticas de su implementación, lo que se logra con el uso de
auditorías independientes desarrolladas a intervalos regulares de tiempo.
Para ello la gerencia deberá establecer los estatutos para la función de
auditoría, destacando en este documento la responsabilidad, autoridad y
obligaciones de la auditoría.
El auditor deberá ser independiente del auditado, esto significa que los
auditores no deberán estar relacionados con la sección o departamento
que esté siendo auditado y en lo posible deberá ser independiente de la
propia empresa, esta auditoría deberá respetar la ética y los estándares
profesionales, seleccionando para ello auditores que sean técnicamente
competentes, es decir que cuenten con habilidades y conocimientos que
aseguren tareas efectivas y eficientes de auditoría informática.
La función de la auditoría informática deberá proporcionar un reporte que
muestre los objetivos, período de cobertura, naturaleza y trabajo de
auditoría realizado, así como también la organización, conclusión y
recomendaciones relacionadas con el trabajo de auditoría informática
llevado a cabo.

Análisis de bitácoras.
Hoy en día los sistemas de cómputo se encuentran expuestos a distintas
amenazas, las vulnerabilidades de los sistemas aumentan, al mismo
tiempo que se hacen más complejos, el número de ataques también
aumenta, por lo anterior las organizaciones deben reconocer la
importancia y utilidad de la información contenida en las bitácoras de los
sistemas de computo así como mostrar algunas herramientas que ayuden
a automatizar el proceso de análisis de las mismas.
El crecimiento de Internet enfatiza esta problemática, los sistemas de
cómputo generan una gran cantidad de información, conocidas como
bitácoras o archivos logs, que pueden ser de gran ayuda ante un
incidente de seguridad, así como para el auditor.
Una bitácora puede registrar mucha información acerca de eventos
relacionados con el sistema que la genera los cuales pueden ser:
 Fecha y hora.
 Direcciones IP origen y destino.
 Dirección IP que genera la bitácora.
 Usuarios.
 Errores.
La importancia de las bitácoras es la de recuperar información ante
incidentes de seguridad, detección de comportamiento inusual,
información para resolver problemas, evidencia legal, es de gran ayuda
en las tareas de cómputo forense.
Las Herramientas de análisis de bitácoras mas conocidas son las
siguientes:
 Para UNIX, Logcheck, SWATCH.
 Para Windows, LogAgent
Las bitácoras contienen información crítica es por ello que deben ser
analizadas, ya que están teniendo mucha relevancia, como evidencia en
aspectos legales.
El uso de herramientas automatizadas es de mucha utilidad para el
análisis de bitácoras, es importante registrar todas las bitácoras
 necesarias de todos los sistemas de cómputo para mantener un control de
las mismas.

Técnicas de auditoría asistida por computadora

La utilización de equipos de computación en las organizaciones, ha tenido
una repercusión importante en el trabajo del auditor, no sólo en lo que se
refiere a los sistemas de información, sino también al uso de las
computadoras en la auditoría.
Al llevar a cabo auditorías donde existen sistemas computarizados, el
auditor se enfrenta a muchos problemas de muy diversa condición, uno
de ellos, es la revisión de los procedimientos administrativos de control
interno establecidos en la empresa que es auditada.
La utilización de paquetes de programas generalizados de auditoría ayuda
en gran medida a la realización de pruebas de auditoría, a la elaboración
de evidencias plasmadas en los papeles de trabajo.
Según [bib-zavaro-martinez] las técnicas de auditoría Asistidas por
Computadora (CAAT) son la utilización de determinados paquetes de
programas que actúan sobre los datos, llevando a cabo con más
frecuencia los trabajos siguientes:
 Selección e impresión de muestras de auditorías sobre
bases estadísticas o no estadísticas, a lo que agregamos,
sobre la base de los conocimientos adquiridos por los
auditores.
 Verificación matemática de sumas, multiplicaciones y otros
cálculos en los archivos del sistema auditado.
 Realización de funciones de revisión analítica, al establecer
comparaciones, calcular razones, identificar fluctuaciones y
llevar a cabo cálculos de regresión múltiple.
 Manipulación de la información al calcular subtotales, sumar
y clasificar la información, volver a ordenar en serie la
información, etc.
 Examen de registros de acuerdo con los criterios
especificados.
  Búsqueda de alguna información en particular, la cual
cumpla ciertos criterios, que se encuentra dentro de las
bases de datos del sistema que se audita.
Consecuentemente, se hace indispensable el empleo de las CAAT que
permiten al auditor, evaluar las múltiples aplicaciones específicas del
sistema que emplea la unidad auditada, el examinar un diverso número
de operaciones específicas del sistema, facilitar la búsqueda de
evidencias, reducir al mínimo el riesgo de la auditoría para que los
resultados expresen la realidad objetiva de las deficiencias, así como de
las violaciones detectadas y elevar notablemente la eficiencia en el
trabajo.
Teniendo en cuenta que se hacía imprescindible auditar sistemas
informáticos; así como diseñar programas auditores, se deben incorporar
especialistas informáticos, formando equipos multidisciplinarios capaces
de incursionar en las auditorías informáticas y comerciales,
independientemente de las contables, donde los auditores que cumplen la
función de jefes de equipo, están en la obligación de documentarse sobre
todos los temas auditados.
De esta forma los auditores adquieren más conocimientos de los
diferentes temas, pudiendo incluso, sin especialistas de las restantes
materias realizar análisis de esos temas, aunque en ocasiones es
necesario que el auditor se asesore con expertos, tales como, ingenieros
industriales, abogados, especialistas de recursos humanos o de
normalización del trabajo para obtener evidencia que le permita reunir
elementos de juicio suficientes.

Evaluación del control interno.

En un ambiente de evolución permanente, determinado por las actuales
tendencias mundiales, las cuales se centran en el plano económico
soportadas por la evolución tecnológica, surge la necesidad de que la
función de auditoría pretenda el mejoramiento de su gestión.
La práctica de nuevas técnicas para evaluar el control interno a través de
las cuales, la función de auditoría informática pretende mejorar la
 efectividad de su función y con ello ofrecer servicios más eficientes y con
un valor agregado.
La evolución de la teoría del control interno se definió en base a los
principios de los controles como mecanismos o prácticas para prevenir,
identificar actividades no autorizadas, más tarde se incluyó el concepto de
lograr que las cosas se hagan; la corriente actual define al control como
cualquier esfuerzo que se realice para aumentar las posibilidades de que
se logren los objetivos de la organización.
En este proceso evolutivo se considera actualmente, y en muchas
organizaciones que el director de finanzas, contralor o al director de
auditoría como los responsables principales del correcto diseño y
adecuado funcionamiento de los controles internos.

Benchmarking
Las empresas u organizaciones deben buscar formas o fórmulas que las
dirijan hacia una mayor calidad, para poder ser competitivos, una de
estas herramientas o fórmulas es el Benchmarking.
Existen varios autores que han estudiado el tema, y de igual manera
existen una gran cantidad de definiciones de lo que es benchmarking, a
continuación se presentan algunas definiciones.
Benchmarking es el proceso continuo de medir productos,
servicios y prácticas contra los competidores o aquellas
compañías reconocidas como líderes en la industria.[39]
Esta definición presenta aspectos importantes tales como el concepto de
continuidad, ya que benchmarking no sólo es un proceso que se hace una
vez y se olvida, sino que es un proceso continuo y constante.
Según la definición anterior podemos deducir que se puede aplicar
benchmarking a todas las facetas de las organizaciones, y finalmente la
definición implica que el benchmarking se debe dirigir hacia aquellas
organizaciones y funciones de negocios dentro de las organizaciones que
son reconocidas como las mejores.
Entre otras definiciones tenemos la extraída del
libro Benchmarking de Bengt, la cual es: “benchmarking es un proceso
sistemático y continúo para comparar nuestra propia eficiencia en
términos de productividad, calidad y prácticas con aquellas compañías y
organizaciones que representan la excelencia”.
Como vemos en esta definición se vuelve a mencionar el hecho de que
benchmarking es un proceso continuo, también se presenta el término de
comparación y por ende remarca la importancia de la medición dentro del
benchmark.
Estos autores se centran, a parte de la operaciones del negocio, en la
calidad y en la productividad de las mismas, considerando el valor que
tienen dichas acciones en contra de los costos de su realización lo cual
representa la calidad, y la relación entre los bienes producidos y los
recursos utilizados para su producción, lo cual se refiere a la
productividad.
Por lo que podemos ver existen varias definiciones sobre lo que es
benchmarking, y aunque difieren en algunos aspectos también se puede
notar que concuerdan o presentan una serie de elementos comunes.
Para empezar en la mayoría de ellas se resalta el hecho de que
benchmarking es un proceso continuo que al aplicarla en nuestra empresa
resuelva los problemas de la misma, sino que es un proceso que se
aplicará una y otra vez ya que dicho proceso está en búsqueda constante
de las mejores prácticas de la industria, y como sabemos la industria está
en un cambio constante y para adaptarse a dicho cambio desarrolla
nuevas practicas, por lo que no se puede asegurar que las mejores
prácticas de hoy lo serán también de mañana.
También se vio en las diferentes definiciones que este proceso no sólo es
aplicable a las operaciones de producción, sino que puede aplicarse a
todas la fases de las organizaciones, por lo que benchmarking es una
herramienta que nos ayuda a mejorar todos los aspectos y operaciones
del negocio, hasta el punto de ser los mejores en la industria, observando
aspectos tales como la calidad y la productividad en el negocio.
De igual manera podemos concluir que es de suma importancia como una
nueva forma de administrar ya que cambia la práctica de compararse sólo
 internamente a comparar nuestras operaciones en base a estándares
impuestos externamente por las organizaciones conocidas como las de
excelencia dentro de la industria.
Dentro del benchmarking existen los siguientes tipos:[40]
Benchmarking interno
en la mayor parte de las grandes organizaciones con
múltiples divisiones o internacionales hay funciones
similares en diferentes unidades de operación, una de las
investigaciones de benchmarking más fácil es comparar
estas operaciones internas, también debe contarse con
facilidad con datos e información y no existir problemas de
confidencialidad y los datos ser tan amplios y completos
como se desee.
Este primer paso en las investigaciones de benchmarking es
una base excelente no sólo para descubrir diferencias de
interés sino también centrar la atención en los temas
críticos a que se enfrentara o que sean de interés para
comprender las practicas provenientes de investigaciones
externas, también pueden ayudar a definir el alcance de un
estudio externo.
Benchmarking competitivo
los competidores directos de productos son contra quienes
resulta más obvio llevar a cabo el benchmarking, ellos
cumplirían, o deberían hacerlo, con todas las pruebas de
comparabilidad, en definitiva cualquier investigación de
benchmarking debe mostrar cuales son las ventajas y
desventajas comparativas entre los competidores directos.
Uno de los aspectos más importantes dentro de este tipo de
investigación a considerar es el hecho que puede ser
realmente difícil obtener información sobre las operaciones
de los competidores, quizá sea imposible obtener
 información debido a que está patentada y es la base de la
ventaja competitiva de la empresa.
Benchmarking genérico
algunas funciones o procesos en las organizaciones son las
mismas, el beneficio de esta forma de benchmarking, es
que se pueden descubrir prácticas y métodos que no se
implementan en la organización propia del investigador.
Este tipo de investigación tiene la posibilidad de revelar lo
mejor de las mejores prácticas, la necesidad de objetividad
y receptividad por parte del investigador.
Que mejor prueba que la posibilidad de ponerlo en práctica
si se pudiera obtener que el hecho de que la tecnología ya
se ha probado y se encuentra en uso en todas partes, el
benchmarking genérico requiere de una amplia
conceptualización, pero con una comprensión cuidadosa del
proceso genérico.