TABLA DE CONTENIDO

1. INTRODUCCION.........................................................................................................................................3
2. QUE ES LA AUDITORÍA DE SISTEMAS...............................................................................................4
2.1 OBJETIVOS GENERALES DE UNA AUDITORÍA DE SISTEMAS...............................................................4
3. ANÁLISIS DE RIESGOS Y DE CONTROLES EN LAS APLICACIONES DE COMPUTADOR. .5
4. CONTROLES GENERALES EN EL DEPARTAMENTO DE SISTEMAS ...........................................8
4.1 REVISIÓN DE DOCUMENTACIÓN............................................................................................................8
4.2 ENTREVISTAS AL PERSONAL..................................................................................................................9
4.3 OBSERVACIÓN DE PERSONAL REALIZANDO SUS TAREAS.....................................................................9
4.4 SEÑALES DE PELIGRO DE AUDITORÍA:..................................................................................................9
4.5 INFORMACIÓN QUE SOLICITA EL AUDITOR:.......................................................................................10
4.6 REVISIÓN DE CENTROS DE CÓMPUTO................................................................................................10
5. ENFOQUE DE LOS TRES NIVELES, BARRERAS O ANILLOS DE CONTROL...........................11
5.1. NIVEL DE CONTROLES PREVENTIVOS................................................................................................11
5.2. NIVEL DE CONTROLES DETECTIVOS..................................................................................................13
5.3. NIVEL DE CONTROLES CORRECTIVOS................................................................................................14
6. TÉCNICAS DE AUDITORÍA DE SISTEMAS......................................................................................14
7. TÉCNICAS DE AUDITORIA MEDIANTE EL USO DE LOS COMPUTADORES.........................15
8. METODOLOGÍAS PARA LA AUDITORIA DE SISTEMAS..............................................................16
8.1 ISACA COBIT.....................................................................................................................................16
8.2 COSO....................................................................................................................................................18
8.3 AICPA-SAS..........................................................................................................................................19
8.4 IFAC-NIA (LA FEDERACIÓN INTERNACIONAL DE CONTABLES IFAC)...................................................19
8.5 SAC........................................................................................................................................................19
8.6 MARGERIT..........................................................................................................................................20
8.7 EDP........................................................................................................................................................20
9. APORTE PERSONAL...............................................................................................................................21
CONCLUSIONES............................................................................................................................................22
BIBLIOGRAFÍA..................................................................................................................................................23

2
 1. INTRODUCCION

El conocimiento y manejo de la tecnología se ha ampliado a todas las esferas; las

empresas no pueden ser la excepción, es más están obligadas a hacer uso de ella
en aras de aumentar su eficiencia.

El computador acompañado de los software es hoy una herramienta facilitadora,

especialmente en las áreas de apoyo de las organizaciones, su uso permite un
manejo sistémico y actualizado de la información. No obstante, cada día es mayor
el número de situaciones irregulares que se presentan, como consecuencia del uso
y aplicación de la Tecnología de Información, en las diferentes organizaciones,
entidades, empresas y compañías en general.

Aunado a lo anterior, las aperturas comerciales, la globalización, las alianzas

estratégicas, y las integraciones de todo tipo, de alguna manera han venido a
complicar la situación en cuanto al sistema de control interno se refiere; también
han recargado las funciones que deben realizar los auditores.

La Auditoría en Sistemas de Información (ASI): se ha preocupado más en las

revisiones posteriores de lo ya realizado (cuando ya es tarde), que en el
establecimiento de controles preventivos.

Todos los aspectos citados, han tenido gran influencia en la situación actual de los
sistemas de información diseñados y desarrollados en la mayoría de nuestras
organizaciones; situación que debe cambiar ya y son los mismos auditores
quienes deben ser agentes de este cambio.

3
 2. QUE ES LA AUDITORÍA DE SISTEMAS

La Auditoria de Sistemas es el conjunto de técnicas que permiten detectar

deficiencias en las organizaciones de informática y en los sistemas que se
desarrollan u operan en ellas, incluyendo los servicios externos de computación,
que permitan efectuar acciones preventivas y correctivas para eliminar las fallas y
carencias que se detecten.

Se verifica la existencia y aplicación de todas las normas y procedimientos

requeridos para minimizar las posibles causas de riesgos tanto en las instalaciones
y equipos, como en los programas computacionales y los datos, en todo el ámbito
del Sistema: usuarios, instalaciones, equipos.

El Auditor emite una opinión objetiva e imparcial sobre el funcionamiento del área
auditada y señala los aspectos que requieren nuevos o mejores controles para
proteger a la organización contra los riesgos que puedan afectarla. Desde este
punto de vista la Auditoria de Sistemas es primordialmente una auditoria
preventiva.

2.1 Objetivos Generales de una Auditoría de Sistemas

 Buscar una mejor relación costo-beneficio de los sistemas automáticos o

computarizados.
 Incrementar la satisfacción de los usuarios de los sistemas computarizados
 Asegurar una mayor integridad, confidencialidad y confiabilidad de la información
mediante la recomendación de seguridades y controles.
 Conocer la situación actual del área informática y las actividades y esfuerzos
necesarios para lograr los objetivos propuestos.
 Seguridad de personal, datos, hardware, software e instalaciones
 Apoyo de función informática a las metas y objetivos de la organización
 Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente
informático
 Minimizar existencias de riesgos en el uso de Tecnología de información
 Decisiones de inversión y gastos innecesarios
 Capacitación y educación sobre controles en los Sistemas de Información

4
 3. ANÁLISIS DE RIESGOS Y DE CONTROLES EN LAS APLICACIONES DE
COMPUTADOR

Se pueden hallar quince riesgos diferentes en el área de sistemas de una

organización, ellos son:

(Áreas de Revisión)

1. Origen y Preparación de Datos.

2. Captura y Validación de Datos.
3. Procesamiento y Actualización de Datos.
4. Salidas de la Actualización.
5. Seguridad Lógica del Software de la Aplicación
6. Seguridad Lógica de los Archivos / Bases de Datos.
7. Cambios al Software de la Aplicación.
8. Procedimientos de Backup y Recuperación.
9. Terminales y Comunicación de Datos.
10. Documentación Técnica y del usuaria
11. Utilización y Control de Resultados por los Usuarios.
12. Seguridad Física de las Instalaciones de Cómputo.

Únicamente para Sistemas de Bases de Datos.

13. Acceso a la Base de Datos a través del DBMS.
14. El Sistema de Directorio / Diccionario de Datos (SD/DD)
15. La Función del Administrador de la Base de Datos (DBA)

Una breve descripción de los quince (15) Escenarios de Riesgo de las aplicaciones
de computador se incluye a continuación:

1) Origen y preparación de datos.

Comprende las actividades que se realizan desde la generación de documentos

fuente de operaciones/eventos hasta su recepción en el área o cargo responsable
de transcribir o registrar los datos en medio legible para su proceso (Cintas,
Discos, Diskettes, Caracteres magnéticos, reconocimiento de caracteres ópticos,
imágenes, etc.).

2) Captura y validación de los datos.

Comprende las actividades manuales y/o automatizadas que se realizan desde la

recepción de los documentos fuente por el área/cargo/proceso responsable de la
trascripción o conversión a medio legible por el computador, hasta su completa

5
validación y depuración antes de iniciar los procesos de actualización sobre los
archivos.

3) Procesamiento de los datos y actualización de archivos.

El objetivo es evaluar la exactitud, completitud y oportunidad del procesamiento de

los datos en la actualización de los archivos oficiales, como también verificar que
los datos solo son creados, destruidos modificados, etc. por los programas y
procesos autorizados.

4) Salidas del proceso de actualización.

Comprende todas las actividades desde la finalización del proceso de actualización,

la producción de resultados de la aplicación para los usuarios finales, la
identificación, preparación, envío/transmisión de resultados (salidas), hasta su
recepción, utilización y archivo por las áreas de origen u otros usuarios.

5) Seguridad lógica del software de la aplicación.

Comprende los procedimientos de identificación, autorización, autenticación,

delegación y monitoring, ofrecidos por la aplicación y el sistema operacional y/o el
software de seguridad de la instalación donde se procesa la aplicación, para
controlar el acceso a los programas fuentes y objeto de la aplicación (Perfiles de
usuario).

6) Seguridad lógica de los archivos de computador.

Comprende los procedimientos de identificación, autorización, autenticación,

delegación, y monitoring, ofrecidos por la aplicación y/o el sistema operacional y/o
el software de seguridad de la instalación en la que se procesa la aplicación, para
controlar el acceso a los archivos de computador utilizados por la aplicación
(Perfiles de autorización).

7) Cambios al software de la aplicación.

Comprende los procedimientos de solicitud, análisis, diseño, ejecución e instalación

de cambios a los programas de la aplicación (Procedimientos de mantenimiento del
software).

6
8) Procedimientos de backup y recuperación.

Comprende los procedimientos de respaldo y planes de contingencia previstos para

garantizar el funcionamiento continuo de las operaciones sistematizadas y
recuperarse de desastres causados por fallas de hardware, actos humanos o de la
naturaleza entre otros.

9) Terminales y comunicación de datos.

Comprende los procedimientos de seguridad física y ambiental sobre las terminales

de computador y la comunicación de datos de entradas y salidas de la aplicación.

10) Documentación del sistema de información.

Comprende la suficiencia, disponibilidad y calidad de la documentación técnica y

del usuario del sistema.

11) Utilización y control de resultados por los usuarios.

Comprende los controles ejercidos por los propietarios de los datos (usuarios
primarios de la aplicación) sobre los resultados del procesamiento. También
cubre el grado de satisfacción del usuario con el sistema de información.

12) Seguridad física y controles en las instalaciones de cómputo.

Comprende los controles ejercidos por los administradores de las instalaciones

de cómputo, para proteger los recursos informáticos (Hardware, software, datos,
personas e instalaciones) contra los riesgos causados por desastres naturales,
accidentes, actos malintencionados, infidelidad de los empleados, etc.

13) Acceso a la base de datos a través del DBMS.

Comprende la evaluación de la utilización y grado de protección de los
procedimientos de control de acceso lógico y de otras rutinas de seguridad,
ofrecidas por el Data Base Management System (D.B.M.S.), para proteger la
integridad de los datos y mitigar las amenazas de modificación, destrucción y
divulgación de la información de la base de datos.

7
14) El Sistema de Directorio/Diccionario de Datos (SD/DD).

Incluye la documentación del Diccionario de Datos y los procedimientos de

mantenimiento, control de acceso y respaldo de los datos del directorio
(Metadatos).

15) La función del administrador de la base de datos.

El Data Base Administrador (D.B.A.) es una función necesaria en el ambiente de

bases de datos. Se evalúan la definición de las funciones asignadas al DBA, el
cumplimiento de las mismas y la protección que ofrece su gestión para
garantizar la eficiencia y seguridad de la base de datos.

4. CONTROLES GENERALES EN EL DEPARTAMENTO DE SISTEMAS

El objetivo de esta revisión es analizar y evaluar las políticas, los procedimientos

operativos, el control de costos, el uso de los recursos materiales y técnicos del
departamento encargado de los sistemas de información dentro de la empresa.
Para conseguirlo, el equipo de auditoría realiza lo siguiente:

4.1 Revisión de documentación

Perfiles de personal. Los perfiles de personal definen las funciones y

responsabilidades de las diversas tareas de una organización, también brindan a la
organización la capacidad de agrupar tareas similares en diferentes niveles de
puestos para garantizar la remuneración justa para su personal.

Informes del comité de sistemas. Los informes del comité de sistemas brindan
información documentada acerca de los proyectos de nuevos sistemas.

Política de seguridad. La documentación de la política de seguridad da un estándar

de cumplimiento, esta debe definir la posición de la organización en cuanto a
cualquiera y todos los riesgos de seguridad. Debe identificar quien es el
responsable de la salvaguarda de los bienes de la empresa, incluyendo programas
y datos.

Manuales de Políticas de personal. Los manuales de políticas de personal dan las

reglas y reglamentaciones determinadas por la organización sobre como se espera
que se comporten los empleados.

8
Objetivos a Corto y Largo Plazo. Planes de trabajo a corto y largo plazo reflejan
estos objetivos de departamento, los cuales deberán estar de acuerdo con las
necesidades de los usuarios y debidamente autorizados.

4.2 Entrevistas al Personal

Personal relacionado a las operaciones del centro de cómputo. La realización de

entrevistas al personal de operaciones del centro de cómputo debe incorporar
garantías adecuadas de que el candidato tiene las destrezas técnicas necesarias
para realizar sus tareas.

Personal usuario. La realización de entrevistas al personal usuario debe también

incorporar garantías adecuadas de que el candidato tiene las destrezas técnicas
necesarias para realizar eficazmente la función específica de sus tareas.

4.3 Observación de personal realizando sus tareas

Permite ver Funciones Reales. La observación es el mejor método para garantizar

que la persona que esta asignada y autorizada a realizar determinada función es la
persona que en realidad esta cumpliendo la tarea.

Percepción de la seguridad. La percepción de seguridad debe ser observada para

comprobar la comprensión y práctica de buenas medidas de seguridad preventiva
y de detección por parte de la persona observada a fin de salvaguardar los bienes
y datos de la empresa.

Relaciones de comunicación jerárquica. Deben observarse las relaciones de quien

reporta a quien a fin de asegurarse de que se ponen en práctica las
responsabilidades asignadas y una adecuada segregación de tareas.

4.4 Señales de peligro de auditoría:

Si bien existen innumerables condiciones de incumbencia para el auditor de

sistemas, algunos de los indicadores más significativos de problemas potenciales
son:

 Actitudes desfavorables de los usuarios finales.

 Costos excesivos.
 Exceso al presupuesto.
 Alta rotación de personal.
 Frecuentes errores de los computadores.
 Atraso excesivo de solicitudes de usuarios no satisfechas.
 Elevado tiempo de respuesta del computador.

9
  Numerosos proyectos de desarrollo abortados o suspendidos.
 Compras de Hardware y Software sin respaldo o autorización.
 Cambios frecuentes a versiones superiores de Hardware y Software.

4.5 Información que solicita el auditor:

El auditor Para evaluar los controles generales solicita lo siguiente:

A nivel organizacional.

 Objetivos del Departamento a corto y largo Plazo.

 Manual de la organización.
 Antecedentes o historia de la empresa.
 Políticas generales.

A nivel del área informática.

 Objetivos a corto y largo plazo.

 Manual de organización que incluya puestos, funciones y jerarquías.
 Manual de políticas, reglamentos y lineamientos internos.
 Procedimientos administrativos del área.
 Presupuestos y costos en el área.
 Recursos materiales y técnicos.
 Solicitar un inventario actualizado de equipos, que incluya:
características, fecha de instalación, ubicación, etc. Contratos
vigentes de compra, renta y servicios de mantenimiento.
 Contrato de seguros.
 Convenios con otras instalaciones.
 Configuraciones de equipos.
 Planes de expansión.
 Políticas de uso y operación de equipos

4.6 Revisión de Centros de Cómputo.

Consiste en revisar los controles en las operaciones del centro de procesamiento

de información en los siguientes aspectos:

a) Revisión de controles en el equipo : Para verificar si existen formas adecuadas

de detectar errores de procesamiento, prevenir accesos no autorizados y
mantener un registro detallado de todas las actividades del computador que
debe ser analizado periódicamente.
b) Revisión de programas de operación: Verifica que el cronograma de actividades
para procesar la información asegure la utilización efectiva del computador.

10
c) Revisión de controles ambientales: Para verificar si los equipos tienen un
cuidado adecuado, es decir si se cuenta con deshumidificadores, aire
acondicionado, fuentes de energía continua, extintores de incendios, etc.
d) Revisión del plan de mantenimiento : Verifica que todos los equipos principales
tengan un adecuado mantenimiento que garantice su funcionamiento continuo.
e) Revisión del sistema de administración de archivos : Verifica que existan formas
adecuadas de organizar los archivos en el computador, que estén respaldados,
así como asegurar que el uso que le dan es el autorizado.
f) Revisión del plan de contingencias : Verifica si es adecuado el plan de recupero
en caso de desastre.

5. ENFOQUE DE LOS TRES NIVELES, BARRERAS O ANILLOS DE CONTROL

La clasificación de los procesos se da por sus tres propósitos básicos:

5.1. Nivel de Controles Preventivos.

Ofrecen la primera línea de defensa o barrera contra los eventos indeseables
(Causas de Riesgo) que podrían ocurrir a los activos de la empresa. Este tipo de
control es "a priori".
Es la respuesta al hecho de que existen agentes causales de exposiciones y que se
requieren medidas preventivas para reducir o eliminar el efecto que puede
ocasionar sobre los activos.

Características.
• Son pasivos, no requieren feedback.
Cerraduras de terminal.
Interruptores de energía.
• Guían y alinean las acciones para que ocurran correctamente.
Formularios preimpresos.
Programas de entrenamiento.
• Reducen la frecuencia de las amenazas.
Inspección de la instalación del computador.
La auditoría.
Verificación de antecedentes del personal.
Segregación de funciones.
• Son transparentes: las personas generalmente no tienen conciencia de su
existencia.

11
• Son de bajo costo.
Cerraduras en las puertas.
Escarapelas (carnets).
• En ambientes de sistemas de información, los controles preventivos están
implementados por medio de procedimientos automáticos para que las acciones
se ejecuten según lo previsto por los usuarios.

• Detienen u obstaculizan la ocurrencia de las causas de los riesgos.

• Por si solos son insuficientes e inapropiados, toleran cierto porcentaje de
violaciones.
Deben operar en combinación con los controles detectives y correctivos.

Ejemplos Genéricos de Controles de Aplicación "Preventivos"

1) Definición de responsabilidades.
2) Confiabilidad del personal.
3) Entrenamiento y supervisión.
4) Competencia del personal.
5) Mecanización.
6) Segregación de funciones.
7) Rotación de funciones.
8) Estandarización.
9) Autorización previa.
10) Custodia segura.
11) Acceso / Control dual.
12) Diseño de documentos fuente.
13) Formularios prenumerados.
14) Formas preimpresas.
15) Preparación simultanea de múltiples copias.
16) Documentos de retorno.
17) Marcas en documentos procesados.
18) Cancelación / anulación de documentos.
19) Documentación.
20) Generación interna de transacciones por el computador.
21) Opciones y valores por default.
22) Passwords.
23) Checklist.
24) Pistas de las transacciones (LOGS).

12
5.2. Nivel de Controles Detectivos.
Ofrecen la segunda línea de defensa contra los agentes causales (Causas del
Riesgo) que pasen la barrera preventiva. Son alarmas que se disparan ante la
ocurrencia de alguna desviación. Son insuficientes por sí solos, al menos que se
tome alguna acción correctiva.

Características.
• Accionan (disparan) alarmas.
• Registran la ocurrencia de una amenaza.
• Bloquean la operación del sistema.
• Monitorean la ocurrencia y rango de aceptación.
• Alertan al personal.
• Verifican la operación de los controles preventivos.
• Anticipan la terminación de la Operación del sistema.

Ejemplos Genéricos de Controles de Aplicación "Defectivos".

1) Predisposición.
2) Documentos remisorios.
3) Número de secuencia de batch.
4) Log de control de batches.
5) Totales de control de cantidad.
6) Totales de control de documentos individuales.
7) Contador de líneas de uno o más documentos fuente.
8) Totales hash.
9) Totales batch.
10) Balanceo de batches.
11) Verificación visual.
12) Verificación de secuencia.
13) Verificación de overflow.
14) Verificación de formato de los datos (numéricos o alfanuméricos.)
15) Pruebas de completitud de los datos de entrada.
16) Dígitos de comprobación.
17) Pruebas de razonabilidad.
18) Pruebas de límite.
19) Validez de código.
20) Read back descriptivo.
21) Fecha de operación.
22) Fecha de expiración.
23) Totales de control de corrida a corrida.
24) Totales de programa a programa.

13
25) Balance a cierres o fechas de corte (balanceo).
26) Reconciliación.
27) Matching.
28) Procesamiento redundante.
29) Labels internos en los archivos.
30) Documentación.

5.3. Nivel de Controles Correctivos.

Generalmente hacen pareja con los controles defectivos. Una vez que la causa de
riesgo ha sido detectada, debe ejecutarse una acción correctiva sobre el agente
causal, para corregir la desviación y prevenir que se presenten nuevamente
(Feedback).
La mayoría son de tipo administrativo. Requieren políticas, procedimientos y
programas para su ejecución.

Características.
• Toman acción para resolver un problema.
• Implican reproceso.
• Son los más costosos.
• Proveen ayuda para investigaciones.

Ejemplos Genéricos de Controles de Aplicación "Correctivos"

1) Reportes de discrepancias (excepciones).
2) Logs / Pistas de auditoría.
3) Procedimientos de backup y recuperación.
4) Reportes de errores.
5) Características de corrección automática de errores.
6) Procedimiento de corrección de errores.
7) Documentación.

6. TÉCNICAS DE AUDITORÍA DE SISTEMAS

Cuando en una empresa se encuentren operando sistemas avanzados de

computadores y sistemas, como procesamiento en línea, bases de datos y
procesamiento distribuido, se podría evaluar el sistema empleando técnicas de
auditoría como las que se enunciarán a continuación.

1) Pruebas integrales: Consiste en el procesamiento de datos de un departamento

ficticio, comparando estos resultados con resultados predeterminados, es decir, las

14
transacciones iniciadas por el auditor son independientes de la aplicación normal,
pero son procesadas al mismo tiempo.

2) Simulación: Consiste en desarrollar programas de aplicación para determinada

prueba y comparar los resultados de la simulación con la aplicación real.

3) Revisiones de Acceso: Se conserva un registro computarizado de todos los

accesos a determinados archivos, es decir, información de la identificación tanto de
la terminal como del usuario.

4) Operaciones en paralelo: Es verificar la exactitud de la información sobre el

resultado que produce un sistema nuevo que sustituye a uno ya auditado.

5) Evaluación de un sistema con datos de prueba : Esta verificación consiste en

probar los resultados producidos en la aplicación con datos de prueba contra los
resultados que fueron obtenidos inicialmente en las pruebas del programa
(solamente aplica cuando se hacen modificaciones de un sistema).

6) Registros extendidos: Consiste en agregar un campo de control a un registro

determinado, como un campo especial a un registro extra, que pueda incluir datos
de todos los programas de aplicación que forman parte del procesamiento de
determinada transacción.

7) Totales aleatorios de ciertos programas : Se consiguen totales en algunas partes

del sistema para ir verificando su exactitud en forma parcial.

8) Selección de determinado tipo de transacciones como auxiliar en el análisis de

un archivo histórico. Por medio de este método podemos analizar en forma parcial
el archivo histórico de un sistema, el cual sería casi imposible de verificar en forma
total.

9) Resultado de ciertos cálculos para comparaciones posteriores : Con ello podemos

comparar en el futuro los totales en diferentes fechas.

7. TÉCNICAS DE AUDITORIA MEDIANTE EL USO DE LOS COMPUTADORES

Las técnicas anteriores ayudan al auditor interno a establecer una metodología

para la revisión de los sistemas de aplicación de una institución, empleando como
herramienta el mismo equipo de cómputo. Sin embargo, actualmente se han
desarrollado programas y sistemas de auditoria que eliminan los problemas de
responsabilidad del departamento de auditoría, al intervenir en las actividades e
información cuyo control corresponde estrictamente al departamento de

15
informática; proporcionando así mayor independencia al auditor en la revisión de
los datos del sistema.

El empleo de los computadores en la auditoria constituye una herramienta que

facilita la realización de actividades de revisión como:

 Trasladar los datos del sistema a un ambiente de control del auditor

 Llevar a cabo las selección de datos
 Verificar la exactitud de los cálculos: muestreo estadístico
 Visualización de datos
 Ordenamiento de la información. Producción de reportes e histogramas.

8. METODOLOGÍAS PARA LA AUDITORIA DE SISTEMAS

Regulación internacional sobre Auditoría de Sistemas de Información

En materia de Auditoría de Sistemas de Información existen varias metodologías

desde el enfoque de control a nivel internacional. Algunas de las más importantes
para los profesionales de la contabilidad y la auditoría son:

 ISACA (COBIT)
 COSO
 AICPA (SAS)
 IFAC (NIA)
 SAC
 MARGERIT
 EDP

8.1 ISACA COBIT

ISACA propone la metodología COBIT (Control Objectives for Information and

related Technology). Es un documento dirigido a auditores, administradores y
usuarios de sistemas de información, que tiene como objetivos de control la
efectividad y la eficiencia de las operaciones; confidencialidad e integridad de la
información financiera y el cumplimiento de las leyes y regulaciones.

COBIT

1. COBIT (Objetivos de Control para Tecnología de Información y Tecnologías

relacionadas) Se aplica a los sistemas de información de toda la empresa,
incluyendo las computadoras personales, mini computadoras y ambientes
distribuidos. Esta basado en la filosofía de que los recursos de Tecnología de
Información (T.I) necesitan ser administrados por un conjunto de procesos

16
naturalmente agrupados para proveer la información pertinente y confiable que
requiere una organización para lograr sus objetivos.

Su misión es investigar, desarrollar, publicar y promover un conjunto internacional

y actualizado de objetivos de control para tecnología de información que sea de
uso cotidiano para gerentes y auditores.

También puede ser utilizado dentro de las empresas por el responsable de un

proceso de negocio en su responsabilidad de controlar los aspectos de información
del proceso, y por todos aquellos con responsabilidades en el campo de la TI en
las empresas.

La metodología COBIT puede ser utilizada por diferentes tipos de usuarios como:

 La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el

rendimiento de las mismas, analizar el costo beneficio del control.
 Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el
control de los productos que adquieren interna y externamente.
 Los Auditores: para soportar sus opiniones sobre los controles de los proyectos
de TI, su impacto en la organización y determinar el control mínimo requerido.
 Los Responsables de TI: para identificar los controles que requieren en sus
áreas.

Entre las características del COBIT se encuentran:

 Orientado al negocio
 Alineado con estándares y regulaciones "de facto"
 Basado en una revisión crítica y analítica de las tareas y actividades en TI
 Alineado con estándares de control y auditoria

El COBIT se desarrolla a través de varios capítulos: planificación y organización,

adquisición e implementación, desarrollo, soporte y control.

 Planificación y organización

P1 Definición de un plan estratégico

P2 Definición de la arquitectura de información
P3 Determinación de la dirección tecnológica
P4 Definición de organización y relaciones
P5 Administración de la inversión
P6 Comunicación de las políticas
P7 Administración de los recursos humanos
P8 Asegurar el cumplimiento con los requerimientos Externos

17
P9 Evaluación de riesgos
P10 Administración de proyectos
P11 Administración de la calidad

 Adquisición e implementación

A11. Identificación de soluciones automatizadas

A12. Adquisición y mantenimiento del software aplicativo
A13. Adquisición y mantenimiento de la infraestructura tecnológica
A14. Desarrollo y mantenimiento de procedimientos
A15. Instalación y aceptación de los sistemas
A16. Administración de los cambios

 Prestación y soporte

D1. Definición de los niveles de servicios

D2. Administrar los servicios de terceros
D3. Administrar la capacidad y rendimientos
D4. Asegurar el servicio continuo
D5. Asegurar la seguridad de los sistemas
D6. Entrenamiento a los usuarios
D7. Identificar y asignar los costos
D8. Asistencia y soporte a los clientes
D9. Administración de la configuración
D10. Administración de los problemas
D11. Administración de los datos
D12. Administración de las instalaciones
D13. Administración de la operación

 Control

M1. Monitoreo del cumplimiento de los objetivos de los procesos de tecnología de

la información.
M2. Obtener realización de las evaluaciones independientes

8.2 COSO

The Committee of Sponsoring Organizations of the Treadway hace

recomendaciones a los contables de gestión de cómo evaluar, informar e
implementar sistemas de control, teniendo como objetivo de control la efectividad
y eficiencia de las operaciones, la información financiera y el cumplimiento de las
regulaciones que explica en los componentes del ambiente de control, valoración
de riesgos, actividades de control, información y comunicación, y el monitoreo.

18
8.3 AICPA-SAS

The American Institute of Certified Public Accountants'

Da una guía a los auditores externos sobre el impacto del control interno en la
planificación y desarrollo de una auditoría de estados financieros de las empresas,
presentado como objetivos de control la información financiera, la efectividad y
eficiencia de las operaciones y el cumplimiento de regulaciones, que desarrolla en
los componentes de ambiente de control, valoración de riesgo, actividades de
control, información, comunicación y monitoreo.

Utiliza los siguientes cuatro principios para evaluar si un sistema de información es

fiable:

 Disponibilidad
 Seguridad
 Integridad
 Que se puede mantener

8.4 IFAC-NIA (La Federación Internacional de Contables IFAC)

IFAC muestra en la NIA 15 (Auditoría en Entornos Informatizados) una referencia

de controles para procesamiento electrónico de datos y la necesidad de estos
cuando estamos en ambientes donde los instrumentos tradicionales del papel y
demás pistas de auditoría no son visibles para los contables en el momento de
realizar su trabajo.

La NIA 16 (Técnicas de Auditoría Asistida por Computador) describe técnicas y

procedimientos de auditoría que se pueden hacer en entornos informatizados con
ayuda de los computadores y otras tecnologías.

La NIA 20 nos presenta los efectos de un entorno informatizado en la evaluación

de sistemas de información contables. Junto con las demás normas da una guía al
auditor de los controles en general a tener en cuenta en un ambiente
informatizado y en las aplicaciones que procesan la información, así como técnicas
de auditoría asistidas por computador y su importancia.

8.5 SAC

The Institute of Internal Auditors Research Foundation's Systems Auditability and

Control (SAC).

19
Ofrece una guía de estándares y controles para los auditores internos en el área de
auditoría de sistemas de información y tecnología. Tiene como objetivos de control
la efectividad y eficiencia de las operaciones, la integridad de la información
financiera y el cumplimiento de normas y regulaciones que explica en el ambiente
de control, sistemas manuales y automatizados y procedimientos de control.

8.6 MARGERIT

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información

Es una metodología de análisis y gestión de riesgos de los sistemas de información

de las administraciones públicas, emitida en el año 1997 por el consejo superior de
informática y recoge las recomendaciones de las directivas de la Unión Europea en
materia de seguridad de sistemas de información, esta metodología presenta un
objetivo definido en el estudio de los riesgos que afectan los sistemas de
información y el entorno de ellos haciendo unas recomendaciones de las medidas
apropiadas que deberían adoptarse para conocer, prevenir, evaluar y controlar los
riesgos investigados.

Margerit desarrolla el concepto de control de riesgos en las guías de

procedimientos, técnicas, desarrollo de aplicaciones, personal y cumplimiento de
normas legales.

8.7 EDP

La E.D.P. Auditors Foundation (EDPAF) fundada en 1976, es otra entidad de

carácter educativo e investigativo en los temas sobre estándares para la auditoría
de los sistemas de información.

Esta fundación ha investigado sobre controles en los sistemas de información,

generando los diez estándares generales de auditoría de sistemas y el código de
ética para los auditores de sistemas.

20
9. APORTE PERSONAL

La apertura y la globalización de la economía, el aumento de la competencia, los

continuos cambios del entorno, entre otros muchos factores hacen requerir a las
empresas de manejo de información (comercial, financiera, etc) actualizada que
permita tomar decisiones adecuadas en el momento indicado, los sistemas
informaticos son hoy una excelente herramienta en las organizaciones y su uso
correcto se hacen cada vez mas indispensables para su eficiente funcionamiento.

Debido a la importancia que tienen los sistemas informaticos en las empresas, se

hace necesaria una supervisión y evaluacion constante de su funcionamiento, el
cual no se puede dejar solo a cargo de los ingenieros de sistemas, los cuales no
tienen una vision y comprensión de cómo funciona y que necesita una
organización. Es ahí, donde la auditoria de sistemas entra a participar y donde
puede generar valor por medio de una buena auditoria, pero sobre todo una
buena asesoria acerca del adecuado manejo y control de estos sistemas.

Aunque es una gran herramienta, trae consigo grandes riesgos que pueden poner
en peligro la estabilidad de la empresa gracias a la importancia y dependencia que
se puede generar de su uso.

Las personas aprenden cada día más, , pero no todos están orientados puramente
al conocimiento como aumento de calidad en todos los campos; a algunos les
interesa aprender más que todo, para ver cómo efectúan o generan
irregularidades en provecho propio, o que como producto de lo que conocen,
adquieren destreza para utilizarlas con fines alevosos y malintencionados; situación
que ligada a la pérdida de valores morales, éticos y religiosos en todos los niveles
y estratos de la sociedad, ha originado todo tipo de acciones fraudulentas, y que
se haga imposible para la administración, establecer controles que disminuyan los
riesgos presentados.

Como ultimo es importante destacar la importancia de tener un control en

sistemas no solo a posteriori, sino uno de tipo preventivo que venga acompañado
de una asesoria inicial, en la cual se determinen las necesidades y posibles
obstáculos que la empresa podria presentar en el desarrollo normal de sus
operaciones.

21
CONCLUSIONES

Es importante lograr que se diseñen sistemas de información como los requieren

las organizaciones, que estén acompañados de las protecciones, seguridades y
controles que permitan su adecuado y correcto funcionamiento, y que soporten los
embates de los que intenten violentarlos para cometer actos irregulares .

La función del auditor de sistemas ha de ser no solo la de evaluar, sino también la

de asesor en pro de obtener sistemas adecuados a las necesidades de las
organizaciones, para así lograr que los sistemas informáticos sean parte de la
solución y no se conviertan en parte del problema.

Un buen auditor debe colaborar en la concientización acerca de la importancia de

los procesos de compra de Tecnología de Información, los cuales deben estar
sustentados en Políticas, Procedimientos, Reglamentos y Normatividad en General,
que aseguren que todo el proceso se realiza en un marco de legalidad y
cumpliendo con las verdaderas necesidades de la organización para hoy y el
futuro, sin caer en omisiones, excesos o incumplimientos.

El auditor de sistemas de información puede, dentro de su planificación, revisar si

existen debilidades en otras áreas de su empresa, en la que pueda asistirlos y
ayudarlos como asesor y consultor, dándole un énfasis mucho más atractivo a los
auditados, el cual es "VALOR AGREGADO”.

22
 BIBLIOGRAFÍA

ECHENIQUE GARCÍA, José Antonio. Auditoría en Informática. M.C. GRAW HILL.

2002

CUBILLOS M, Euclides. AUDAP auditoria a sistemas de información

computarizados. AUDISIS LTDA. 1999.

23