Universidad Tecnológica Nacional

F.R.C.
Auditoría de Explotación y Aplicaciones

INTRODUCCIÓN
A finales del siglo XX, los Sistemas Informáticos se han constituido en las herramientas más
poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier
organización empresarial, los Sistemas de Información de la empresa.
La Informática hoy, está integrada en la gestión integral de la misma, y por eso las normas y
estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la
empresa. En consecuencia, las organizaciones informáticas forman parte de lo que se ha
denominado el "management" o gestión de la empresa. Cabe aclarar que la Informática no gestiona
propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende,
debido a su importancia en el funcionamiento de una empresa, existe la Auditoría Informática.
Ésta, realizada periódicamente es uno de los instrumentos más eficaces con que cuentan las
empresas para asegurar su existencia y superar a los competidores.
A continuación, desarrollaremos algunos conceptos sobre un ámbito de la Auditoría
Informática, como lo son la Auditoría de Explotación y de Aplicaciones. También se determinarán
los objetivos de las mismas y los controles a realizar en una Auditoría de ese tipo.

Curso 5K3 1
 Universidad Tecnológica Nacional
F.R.C.
Auditoría de Explotación y Aplicaciones

Auditoria de Explotación
La Explotación Informática se ocupa de producir resultados informáticos de todo tipo: listados
impresos, archivos soportados magnéticamente, órdenes automatizadas para lanzar o modificar
procesos industriales, etc. Para realizar la Explotación informática se dispone de una materia prima,
los Datos, que es necesario transformar, y que se someten previamente a controles de integridad y
calidad. Explotación debe recepcionar solamente programas fuente, los cuales hayan sido aprobados
por Desarrollo.

¿ Qué es la Auditoría de Explotación ?

La Auditoria de explotación es el control que se realiza sobre las funciones del Sistema de
Información para asegurar que las mismas se efectúen de forma regular, ordenada y que satisfagan
los requisitos empresariales.
¿ Por qué es necesaria la Auditoría de Explotación ?

El nivel de competencia que existe, hoy en día, entre las empresas les obliga a tomar decisiones
rápidas y acertadas. Es necesario, para ello el funcionamiento adecuado de los sistemas
informáticos (mediante la incorporación de las nuevas tecnologías) y su continua actualización.

¿ Para qué se utiliza la Auditoría de Explotación ?

Combinando los nuevos avances tecnológicos con una adecuada organización y una gestión
eficiente, las empresas podrán alcanzar sus objetivos de manera satisfactoria. La auditoria
informática periódica es uno de los instrumentos mas eficaces con que cuentan las empresas para
asegurar su existencia y superar a sus competidores. La detección oportuna de las debilidades del
sistema permite mejorarlo racionalizando los recursos.

Objetivos de la Auditoria de Explotación

 Controlar los manuales de instrucciones y procedimientos de explotación.

 Controlar los inicios de los procesos y otra documentación de funcionamiento.
 Revisar la agenda de trabajo.
 Verificar la continuidad del proceso.
 Realizar controles sobre la explotación remota.
 Comprobar que en ningún caso los operadores acceden a documentación de programas que no
sea la exclusiva para su explotación.
 Revisar que existen procedimientos que impidan que puedan correrse versiones de programas
no activos.

Curso 5K3 2
 Universidad Tecnológica Nacional
F.R.C.
Auditoría de Explotación y Aplicaciones

 Verificar los procedimientos según los cuales se incorporan nuevos programas a las librerías
productivas.
 Examinar los lugares en donde se almacenan cintas y discos, así como la perfecta y visible
identificación de estos medios.
 Verificar los planes de mantenimiento preventivo de la instalación.
 Comprobar que existen normas escritas que regulen perfectamente todo lo relativo a copias de
seguridad: manejo, autorización de obtención de datos, destrucción, etc.

Componentes del Sistema de Información según el proyecto COBIT.

 Datos: En general se consideraran datos tanto los estructurados como los no estructurados, las
imágenes y los sonidos.
 Aplicaciones: Se incluyen las aplicaciones manuales y las informáticas.
 Tecnología: El software y el hardware, los sistemas operativos, los sistemas de gestión de base
de datos, los sistemas de red, etc.
 Instalaciones: En ellas se ubican y se mantienen los sistemas de información.
 Personal: Los conocimientos específicos que h de tener el personal de los sistemas de
información para planificarlos, organizarlos, administrarlos y gestionarlos.
Estos recursos de los sistemas de información se han de utilizar de forma que
 permitan la eficacia y la eficiencia de la empresa; que los datos elaborados por su sistema de
información muestren una imagen fiel de la misma y que la empresa cumpla la legislación vigente.

Procedimiento de la Auditoría

Carta de Encargo
En este documento debe quedar reflejado de la forma mas clara posible, entre otros aspectos, cual
será el alcance del trabajo del auditor.

Planificación Estratégica
Es una revisión global que permite conocer la empresa, el sistema de información y su control
interno con la intención de hacer una primera evaluación de riesgos. Según los resultados de esa
evaluación se establecerán los objetivos de la auditoría y se podrá determinar su alcance y las
pruebas que hayan de aplicarse, así como el momento de realizarla. Para llevar a cabo esta tarea es
necesario conocer entre otros aspectos los siguientes:
 Las características de los equipos informáticos
 El sistema o los sistemas operativos
 Características de los ficheros o de las base de datos

Curso 5K3 3
 Universidad Tecnológica Nacional
F.R.C.
Auditoría de Explotación y Aplicaciones

 La organización de la empresa
 La organización del servicio de explotación.
 Las aplicaciones que el Sistema de información de la empresa que se esté auditando o que se
vaya a auditar estén en explotación.
 El sector donde opera la empresa.
 Información comercial.
La instalación de un sistema informático introduce nuevos elementos de control y origina cambios
en los procedimientos tradicionales de control de procesamiento de datos. Estos cambios pueden ser
clasificados como:
 Nuevos controles necesarios para la automatización del procesamiento.
 Controles que sustituyen a aquellos que en los sistemas manuales están basados en el
criterio humano y en la división de labores.
Se necesitan nuevos controles debido a la automatización. Su objeto es detectar y controlar errores
derivados del uso del equipo informático y de los métodos de procesamiento del equipo.
Si estos controles no existen, el sistema puede quedar expuesto a un riesgo indebido de error.
En un sistema manual, el control interno depende de factores como la vigilancia humana, el
cuidado, la aceptación de responsabilidad y la división de labores. En vista de que la actividad de
procesamiento de información está concentrada desaparecen muchos controles basados en el
criterio humano y la división mencionada.
Los controles en un sistema informático deben proporcionar una seguridad razonable de que el
procesamiento está siendo efectuado correctamente. Debe detectar errores e irregularidades
rápidamente y asegurar una acción correctiva apropiada.
Los controles necesarios en este tipo de sistema pueden dividirse en aquellos relacionados con las
actividades de procesamiento, para prevenir y detectar errores, y aquellos relacionados con la
organización y administración.
Con respecto a la organización y administración:
Este aspecto se refiere a la asignación de responsabilidades y autoridad para las
diversas funciones a realizar dentro de la organización.
Para establecer responsabilidades se deben preparar descripciones de los trabajos a a efectuar por
todo el personal que interviene en el procesamiento de información. Estas descripciones deberán
incluir los títulos de los puestos y describir claramente las funciones.
También se debe considerar la Separación de Labores la cual constituye un elemento de control
interno que se aplica, en nuestro caso, en las funciones básicas del sistema de información.

FUNCION DE PUESTO
PROCESAMIENTO
Análisis y Diseño de Sistemas Analista de Sistemas

Programación Programador

Operación del Equipo Operador

Control Encargado de Control, Grupo de

Control, Auditor, etc.

Curso 5K3 4
 Universidad Tecnológica Nacional
F.R.C.
Auditoría de Explotación y Aplicaciones

El control interno estará fortalecido si estas cuatro funciones quedan separadas. Esta separación
también puede dar por resultado mayor eficiencia en la operación debido a que las cuatro requieren
diferentes niveles de habilidad y entrenamiento.
En la mayoría de los casos no es deseable combinar actividades de preparación de programas con la
operación, aún cuando solamente esto ocurre en organizaciones muy pequeñas.
Un plan de organización adecuado con la consiguiente división de labores es importante en vista e
la concentración de la actividad de procesamiento de información en un menor número de personas
del que requiere en un sistema manual.
El menor número de empleados y el alto grado de informatización exponen al sistema a
manipulaciones y fraudes si una sola persona tiene tanto el conocimiento operacional como acceso
fácil a los procedimientos.

 Clasificación de los controles

1) Controles generales

 Planificación y Recepción de Aplicaciones:

Se auditarán las normas de entrega de Aplicaciones por parte de Desarrollo,
verificando su cumplimiento y su calidad de interlocutor único. Deberán realizarse
muestreos selectivos de la Documentación de las Aplicaciones explotadas. Se
inquirirá sobre la anticipación de contactos con Desarrollo para la planificación a
medio y largo plazo.
 Controles operativos y de organización:
Se intentarán analizar las relaciones personales y la coherencia de cargos, así como la
equidad en la asignación de turnos de trabajo. Se verificará la existencia de un responsable
de Sala en cada turno de trabajo. Se analizará el grado de automatización de comandos, se
verificara la existencia y grado de uso de los Manuales de Operación. Se analizará no solo
la existencia de planes de formación, sino el cumplimiento de los mismos y el tiempo
transcurrido para cada Operador desde el último Curso recibido.
 Controles sobre los Programas y los Equipos.
 Características para detectar, de manera automática, errores.
 Hacer mantenimientos preventivos periódicos
 Procedimientos para salir de los errores de los equipos (Hardware)
 Control y autorización Adecuada en la implementación de sistemas y en las
modificaciones de los mismos.
 Controles de acceso
 Sirven para detectar y/o prevenir errores accidentales o deliberados, causados por el
uso o la manipulación inadecuada de los ficheros de datos y por el uso incorrecto o
no autorizado de los programas
 Controles sobre los procedimientos y los datos.
 Manuales escritos como soporte de los procedimientos y los sistemas de
aplicación.
 Controles de las conciliaciones entre los datos fuente y los datos informáticos.
 Capacidad para restaurar ficheros perdidos, deteriorados o incorrectos.

Curso 5K3 5
 Universidad Tecnológica Nacional
F.R.C.
Auditoría de Explotación y Aplicaciones

2) Controles de aplicaciones

 Control de Entrada de Datos:

Se analizará la captura de la información en soporte compatible con los Sistemas, el
cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la correcta
transmisión de datos entre entornos diferentes. Se verificará que los controles de
integridad y calidad de datos se realizan de acuerdo a las Normas.
 Controles sobre la captura de Datos
 Altas de movimientos
 Modificaciones de movimientos.
 Consultas de movimientos
 Mantenimiento de ficheros

 Controles de Proceso
Normalmente se incluyen en los programas. Se diseñan para detectar o prevenir los
siguientes tipos de errores.
 Entradas de datos repetidos.
 Procesamiento y actualización de fichero o ficheros equivocados.
 Entrada de datos ilógicos
 Pérdida o distorsión de datos durante el proceso.
 Controles de salida y distribución
Los controles de salida se diseñan para asegurarse de que el resultado del proceso es
exacto y que los informes y demás salidas los reciben sólo las personas que estén
autorizadas.

 Evaluación de los controles internos:

Para hacer el seguimiento y comprobar que el sistema de información está actuando como
es preceptivo, éste habrá de disponer de un control int3erno que prevenga los eventos no
deseados o en su defecto los detecte y los corrija.
Es función del auditor evaluar el nivel de control interno; también es de responsabilidad
juzgar si los procedimientos establecidos son los adecuados para salvaguardar el sistema
de información.
Para evaluar los controles es necesario buscar evidencia sobre:
 La terminación completa de todos los procesos.
 La separación física y lógica de los programas fuentes y objetos de las bibliotecas
de desarrollo, de pruebas y de producción.
 Las estadísticas de funcionamiento, donde al menos se incluya:
 Capacidad y utilización del equipo central y de los periféricos.
 Utilización de la memoria.
 Utilización de las telecomunicaciones.
 Las normas del nivel de servicios de los proveedores.
 Los estándares de funcionamiento interno.
 El mantenimiento y revisión de los diarios de explotación.

Curso 5K3 6
 Universidad Tecnológica Nacional
F.R.C.
Auditoría de Explotación y Aplicaciones

 La realización del mantenimiento periódico de todos los equipos.

 La evidencia de la rotación de los turnos de los operadores y de las vacaciones
tomadas.

Planificación Administrativa
En esta fase se asignan los recursos de personal, tiempo y se determina la documentación que se
utilizara.

Planificación Técnica
En esta fase se indican los métodos, los procedimiento, las herramientas y las técnicas que se
utilizaran para alcanzar los objetivos de la auditoria.

Realización del trabajo

Pruebas de Cumplimiento
Si se confirma que realmente no existen manuales, no se pueden hacer pruebas de cumplimiento,
pues las pruebas de cumplimiento consisten en comprobar que se están cumpliendo las normas
establecidas.
El objetivo de las pruebas de cumplimiento consiste en analizar el nivel de cumplimiento de las
normas de control que tiene establecidas el auditado . Se supone que esas normas de control
establecidas son eficientes y efectivas.

Pruebas Sustantivas
Este tipo de pruebas se realizan cuando no existen normas o manuales, por lo cual es necesario
realizar cálculos y utilizar técnicas para comprender y evaluar los riesgos.
El objetivo de las pruebas sustantivas consiste en realizar las pruebas necesarias sobre los datos para
que proporcionen la suficiente seguridad a la dirección sobre si se ha alcanzado su objetivo
empresarial.
Habrá que realizar el máximo numero de pruebas sustantivas si:
 No existen instrumentos de medida de los controles.
 Los instrumentos de medida que existen se considera que no son los adecuados.
 Las pruebas de cumplimiento indican que los instrumentos de medida de los controles no se han
aplicado de manera consistente y continua.

Curso 5K3 7
 Universidad Tecnológica Nacional
F.R.C.
Auditoría de Explotación y Aplicaciones

Auditoria de Aplicaciones

¿ Que es la Auditoria de Aplicaciones ?

El objetivo de la Auditoria de aplicaciones es analizar y evaluar la eficacia de los controles

existentes, estos controles deben asegurar que solo se ingresan y actualizan datos completos,
exactos y válidos en un sistema, que el procesamiento de estos datos sea el correcto, que los
resultados del procesamiento cumplen las expectativas; y que los datos se mantengan seguros.
En resumen podemos enunciar que el objetivo de la auditoría de aplicaciones es :
Evaluar la efectividad de los controles existentes y sugerir nuevos controles con el fin de minimizar
riesgos y fortalecer el control de dichas aplicaciones.

¿ Por que se realiza la Auditoria de Aplicaciones ?

porque se presentan muchos riesgo que deben ser eliminados. Los posibles riesgos son, errores
voluntarios e involuntarios y la posibilidad de fallos de cualquiera de los elementos que intervienen
en el proceso informatico. También, la conexión de la empresa a entornos abiertos como a Internet
multiplica los riesgos que amenazan la condifencialidad e integridad de la información de los
sistemas de la empresa.
Todas estas amenazas y cualquier otra que pueda ser identificada contra el correcto funcionamiento
de las aplicaciones y la consecución de los objetivos han de ser objeto de un análisis minucioso.

¿ Para que se realiza la Auditoria de Aplicaciones?

La auditoria de aplicaciones se realiza para tomar medidas que eliminen o al menos reduzcan los
riegos a las que están expuestas las aplicaciones. Dichas medidas consisten en procedimientos para
verificar, evaluar y tratar de garantizar que todo funcione como se espera, de acuerdo con las
políticas, normas y procedimientos establecidos.

Objetivo de la Auditoria de Aplicaciones

 Evaluar la efectividad de los controles existentes y sugerir nuevos controles con el fin de
minimizar riesgos y fortalecer el control de dichas aplicaciones.
 Controlar los ingresos de datos
 Detectan posibles errores en la digitación
 Ingresos de datos incompletos
 Ingresos repetidos u omisiones
 Controles en el procesamiento de datos
 :
 Los controles en el procesamiento de datos permiten identificar las transacciones que son
actualizadas en forma incorrecta o incompleta

Curso 5K3 8
 Universidad Tecnológica Nacional
F.R.C.
Auditoría de Explotación y Aplicaciones

 Controles en la salida : Los controles en la salida sirven para verificar la exactitud,

funcionalidad, además del adecuado uso y distribución de los reportes

Controles Manuales y Automáticos

En el terreno de una aplicación informática, el control interno se materializa fundamentalmente en

controles de dos tipos:
Controles manuales : a realizar normalmente por parte del personal del área usuaria: actuaciones
previstas para asegurar que -en su caso- se preparan, autorizan y procesan todas las operaciones, se
subsanan adecuadamente todos los errores, son coherentes los resultados de salida respectos a
referencias disponibles sobre los datos de entrada, y las bases de datos que dan soporte a la
aplicación mantienen en los niveles debido diferentes indicadores de medición de su integridad y
totalidad (números de registros en ficheros y/o tablas, de relaciones o índices, totales de magnitudes
numéricas, conciliaciones, etc. )
Controles Automáticos: incorporados a los programas de la aplicación que sirvan de ayuda para
tratar de asegurar que la información se registre y mantenga completa y exacta, los procesos de todo
tipo sobre la misma sean correctos y su utilización por parte de los usuarios respete los ámbitos de
confidencialidad establecidos y permita poner en práctica principios generales de control interno
como el referente a la segregación de funciones.

Según su finalidad estos controles se suelen clasificar en :

 Controles preventivos: Tratan de ayudar e evitar la producción de errores a base de exigir el

ajuste de los datos introducidos a patrones de formato y estructura (dato numérico, fecha válida,
etc.), pertenencia a una lista de valores válidos , rango entre límites determinados, incorporación
de dígitos de control en datos clave (códigos de identificación, referencias de documentos,
nomenclaturas, etc.) y , en general, cualquier criterio que ayude a asegurar la corrección formal
de y verosimilitud de los datos (la exactitud sólo puede garantizarla el usuario).
 Controles detectivos: Tratan de descubrir a posteriori errores que no hay sido posible evitar.
 Controles correctivos: Tratan de asegurar que se subsanen todos los errores identificados
mediante controles detectivos.
Y pueden ser utilizados:
 En las transacciones de recogida o toma de datos.
 En todos los procesos de información que la aplicación realiza.
 En la generación de informes y resultados de salida.

Etapas de la Auditoria de una Aplicación Informática.

Programa de Revisión

1. Identificar el área a revisar (por ejemplo a partir del calendario de revisiones) notificar al
responsable del área y prepararse utilizando papeles de trabajo de auditorias anteriores.
2. Identificar y obtener información necesaria para la auditoria y para las pruebas. En esta
etapa, se definen los objetivos y el alcance de la auditoria y se identifican los usuarios
específicos que estarían afectados por la auditoria (plan de entrevistas).

Curso 5K3 9
 Universidad Tecnológica Nacional
F.R.C.
Auditoría de Explotación y Aplicaciones

3. Identificar los puntos de control críticos del sistema, esto se realiza mediante entrevistas con
los usuarios. El auditor debe identificar los peligros y los riesgos que podrían aparecer en
cada punto. Los puntos de control critico son aquellos en donde el riesgo es mas grave, es
decir, donde la necesidad de un control es mas importante.
4. Ejecución de pruebas en los puntos críticos de control. Estas pruebas pueden ser:
a. Pruebas de Conformidad: Estas pruebas son orientada específicamente a comprobar
que determinados procedimientos, normas o controles internos se cumplen o
funcionan de acuerdo con lo previsto y esperado, según lo descrito en la
documentación oportuna.
b. Pruebas substantivas o de Validación: Orientadas a detectar la presencia o ausencia
de errores o irregularidades en procesos, actividades, transacciones o controles
internos. Están especialmente indicadas en situaciones en las que no hay evidencia
de que existan controles internos relevantes, suficientes como para garantizar el
correcto funcionamiento del proceso o elemento considerado.

Controles de Entrada de datos.

 Cuando sea necesario, verificar que todos los datos de entrada en un sistema pasan por
validación antes de su tratamiento.
 Revisar los procedimientos de corrección de errores.
 Para sistemas interactivos, verificar el uso de métodos preventivos para evitar la entrada
incorrecta de datos, por medio de funciones de ayuda en pantalla, formatos fijos, el uso de
menús y mensajes para el operador.
 Determinar la grabación de datos de entrada con fecha y hora actual, así como la identificación
del usuario/terminal y ubicación.
 Revisar los programas para determinar si contiene procesos internos de validación de datos y así
evaluar su exactitud.
 Verificar que los datos se verifican en el momento de su entrada en el sistema.
 Control de secuencia: Los registros de las transacciones llevan un número que los identifica y
son consecutivos, por lo que no pueden haber duplicidades ni intervalos vacíos de secuencia.
 Control de límite: Se verifican los límites de valores que puede asumir una variable de entrada y
que se rechazara o advertirá en caso no cumpla con los límites establecidos.
 Control de validez: Consiste en considerar como válidos aquellos campos codificados con
valores predeterminados

Curso 5K3 10
 Universidad Tecnológica Nacional
F.R.C.
Auditoría de Explotación y Aplicaciones

 Búsquedas en tablas: Se valida un campo con el contenido de una tabla de datos, por ejemplo
una tabla de códigos de países y los nombres de países se utiliza para validar el campo país de
una pantalla de ingreso de datos.
 Control de integridad: consiste en que un campo siempre debe contener datos, no puede estar
vacío, etc. Dígito de control: Consiste en agregar al dato ingresado un dígito, el que se calcula
matemáticamente por un algoritmo sobre los dígitos del dato ingresado, los más comunes son el
módulo 10 o módulo 11.
 Verificar que las aprobaciones corresponden al personal responsable y autorizados.
 Verificar que se registra la estación y el operador que ingresa los datos.
 Comprobar que una persona no realice mas de una de estas tareas:
 Generación de datos.
 Entrada de datos.
 Procesamiento de datos.
 Distribución de datos.
 Determinar que las terminales asignadas al Ingreso de datos sean perfectamente identificables y
supervisados.
 Efectuar un control sobre todas las claves asignadas.

Validación y edición de datos

 Comprobar la validación de datos de entrada :

 Código de aprobación de autorización.
 Validación de códigos.
 Valores numéricos o alfanuméricos.
 Tamaño de los campos.
 Rango.
 Cotejo de registros.
 Revisar la documentación relacionada con los procedimientos de identificación , corrección y
entrada de datos rechazados y determinar si los errores son listados inmediatamente después de
detectados y registrados en el archivo de asuntos pendientes.
 Determinar si los supervisores revisan y aprueban las correcciones antes de su reentrada.
 Realizar un control estadístico de los errores de entrada.

Control del procesamiento de datos

Integridad del procesamiento de datos

 Verificar que el procesamiento de datos esta adecuadamente documentado.

 Identificar el personal involucrado y verificar que no intervengan en la generación entrada
y distribución de datos.
 Determinar si existen bitácoras que permiten la reconstrucción de archivos.

Curso 5K3 11
 Universidad Tecnológica Nacional
F.R.C.
Auditoría de Explotación y Aplicaciones

 Verificar si se llevan a cabo actividades de control como:

 Control de la actividad de las terminales.
 Investigar cualquier intervención del operados en la desviación.
 Asegurarse que los reinicios se realicen adecuadamente.
 Balance de los contadores de lotes y datos procesados.
 Determinar si los programas de aplicación :
 Impiden la actualización concurrente de datos.
 Identifican los tipos de datos de entrada.
 Generan totales de control y llevan a cabo el proceso.
 *Si verifican las etiquetas de archivos antes de su procesamiento.

Los errores y el operador

 Revisar los procedimientos de control de errores de procesamientos y verificar que los

errores se registren en el archivo de pendientes.
 Determinar que los procedimientos estándar especifiquen las limitaciones de la
intervención de un operador en cuanto a las condiciones de errores.
 Verificar el registro del sistema para controlar las intervenciones del operador.
 Cerciorarse que solo los operadores tiene acceso a la documentación de los sistemas,
programas , datos y software del sistema.

Controles de salidas de datos

 Determinar si el control de datos revisa los informes de salida (listados) para detectar errores
evidentes tales como campos de datos que faltan, valores no razonables o datos incorrectos.
 Verificar que se hace una identificación adecuada de los informes como por ejemplo, nombre y
numero de informe, fecha de salida, nombre del área/ departamento, etc.
 Compara la lista de distribución de informes con los usuarios que los reciben en realidad.
 Verificar que los informes que pasan de aplicabilidad se destruyen, y que no pasan simplemente
a la basura, sin seguridad de destrucción.
 Revisar la justificación de informes, que existe una petición escrita para cada uno y que se
utilizan realmente, así como que esta autorizada la petición.
 Revisar los procedimientos de corrección de datos de salida.
Revisión de las salidas

 Se deben revisar los procedimientos relacionados con el balance y conciliación de salidas.

 Verificar que el control de salida se realice antes de que la información sea distribuida.
 Revisar si las transacciones pueden rastrearse tanto hacia las salidas finales, como hacia
los documentos fuentes.

Curso 5K3 12
 Universidad Tecnológica Nacional
F.R.C.
Auditoría de Explotación y Aplicaciones

 Establecer si se reportan las excepciones en las salidas.

Distribución de los resultados

 Se deben revisar los métodos de distribución de las salidas.

 Detectar errores de distribución.
 Verificar el control de acceso a los informes de salida que esperan ser distribuidos.

Controles de Documentación

 Verificar que dentro de las actividades de desarrollo y mantenimiento de aplicaciones se

produce la documentación de sistemas, programas, operaciones, funciones y procedimientos de
usuario.
 Existencia de una persona especifica encargada de la documentación y que mantiene un archivo
de documentos ya distribuidos y a quienes.
 Comprobar que los jefes de ara se informen de faltas de documentación adecuada para sus
empleados.
 Destrucción de toda la documentación de antiguos sistemas.
 Que los usuarios no acepten una nueva aplicación sin su documentación correcta.
 Actualización en la documentación al mismo tiempo que los cambios y modificaciones en los
sistemas.
 La existencia de documentación de sistemas, programas, de operación y de usuario por cada
aplicación ya implantada.

Controles de Backup y Rearranque.

Resulta necesario estudiar medidas para salvar circunstancia de tipo accidental o intencional que
impida la continuidad de la operatoria.

 Backup de equipos : se trata de abarcar todas las posibilidades que podrían presentarse en un
centro de cómputos. Las variantes frente a esta situación son:
 Tener equipo de repuesto : El equipo de repuesto puede ser total (lo que implica duplicar el
hardware) o limitarse a ciertas unidades en función de un análisis previo, elementos que
deberían situarse en un lugar no muy próximo al centro de procesamiento.
 Posibilidad a efectuar el procesamiento en equipos similares : Conviene llevar a cabo
investigaciones para determinar la posibilidad de realizar el procesamiento en
computadoras similares, para el caso de una interrupción prolongada.

Curso 5K3 13
 Universidad Tecnológica Nacional
F.R.C.
Auditoría de Explotación y Aplicaciones

 Backup de archivos maestros o base de datos: La necesidad de contar con elementos de respaldo
está motivada por cinco clases de circunstancias
 Errores en la programación
 Errores en el software de base (sistema operativo)
 Fallas del hardware
 Errores de procedimientos.
 Acontecimientos naturales.
 Acciones humanos intencionales.

 Pautas para el establecimiento de un sistema de Backup:Todas las tareas referentes al estudio de

las medidas a adoptar para la estrategia de “backup” y recuperación , planeamiento y
documentación de todas las normas a emitirse y la revisión periódica son responsabilidad del
Administrador de la Base de Datos.
Un elemento importante es la realización de pruebas para verificar que las estrategias adoptadas
funcionan, técnica y administrativamente.
Para construir una norma para el resguardo de los archivos maestros se deben considerar los
siguientes puntos:
 Establecimiento de cuales son los procedimientos “críticos” de la entidad.
 Determinación de la metodología o estrategia para el back up.
 Determinación del lugar donde se almacenarán los medios magnéticos.
 Actualización periódica del resguardo.
 Realización de inventarios periódicos sobre los elementos de backup.
El auditor realizará una exhaustiva inspección del lugar de “backup” y determinará el nivel de
protección que proporciona contra robo, accesos no autorizados y destrucción de la totalidad de
lso elementos almacenados(esta observación está ligada con la documentación del software y
otros elementos que también se guardan en el lugar del backup.)
Aspectos a tener en cuenta :
 Existencia de procedimientos de backup y rearranque documentados y comprobados para cada
aplicación en uso actualmente.
 Procedimientos escritos para la transferencia de materiales y documentos de backup entre el
Centro de Procesamiento de Datos y el sitio de backup (centro alternativo). Mantenimiento de
un inventario de estos materiales.
 Existencia de un plan de contingencia.
 Identificación de aplicaciones y ficheros de datos críticos para el plan de contingencia.
 Pruebas de aplicaciones criticas en el entorno de backup, con los materiales del plan de
contingencia (soporte magnético, documentación, personal, etc)
 Grabación de todas las transacciones realizadas durante el día por teleproceso, para facilitar la
reconstrucción de ficheros actualizados durante el día en caso de fallo del sistema.

Curso 5K3 14
 Universidad Tecnológica Nacional
F.R.C.
Auditoría de Explotación y Aplicaciones

Controles sobre Programas de Auditoria

Consiste en determinar que metodología se utilizara para probar los datos o procesos del sistema,
generalmente se usa lo siguiente:
 Software de auditoría generalizado. Módulos de auditoría incorporados.

 Transferencia de información (downloading) a una Pc para tratarla con software de

análisis.
 Uso de sistemas expertos.
Con la ayuda de este software o técnica asistida por computador, se realizan pruebas de auditoría,
estas pruebas incluyen por ejemplo:
 Muestreo estadístico, con el cual se selecciona la muestra de transacciones o del universo de
datos que serán probados.

 Pruebas de rangos, se usan para probar que los datos en prueba son válidos porque están en
un rango de valores adecuado.

 Pruebas de excepciones, se usan para verificar que el procesamiento de las transacciones es

correcto que no existen excepciones en los datos con los que trabaja el sistema
 Distribución de políticas y procedimientos escritos a auditores y responsables de áreas sobre la
adquisición, desarrollo y uso de software de auditoria.
 Uso de software de auditoria únicamente por personas autorizadas.
 Participación del auditor en la adquisición, ,odoficacion, instalación de paquetes de software de
auditoria.
 Participación únicamente del auditor en la planificación, diseño, desarrollo e implantación de
software de auditoria desarrollado internamente.
 Verificación que los programas de utilidad se utilizan correctamente (cuando no se puede
utilizar software de auditoria)

Controles de la satisfacción de los usuarios

 Disponibilidad de políticas y procedimientos sobre el acceso y uso de la información.

 Resultados fiables, completos, puntuales y exactos de las aplicaciones (integridad de datos).

Curso 5K3 15
 Universidad Tecnológica Nacional
F.R.C.
Auditoría de Explotación y Aplicaciones

 Comprensión por los usuarios de los informes e informaciones de salida de la aplicaciones.

 Revisión de los controles de recepción, archivo, protección y acceso de datos guardados sobre
todo tipo de soporte.
 Resolución fácil de problemas, errores, irregularidades y omisiones por buenos contacto=s entre
usuarios y el personal de Centro de Procesamiento de Datos.
 Evaluación de la revisión y/o resultados de pruebas. En esta etapa se identifican y evaluan los
puntos fuertes y débiles de los procedimientos y practicas de control interno con su adecuación,
eficiencia y efectividad. Cuando se identifique una debilidad de determinara su causa.
 Preparación del informe. Recomendaciones.

Curso 5K3 16
 Universidad Tecnológica Nacional
F.R.C.
Auditoría de Explotación y Aplicaciones

CONCLUSION

La situación de haber investigado sobre todo lo referente a Auditoría de Explotación y de

Aplicaciones, nos ha permitido conocer y tomar aún más conciencia de la necesidad de efectuar
controles a los Sistemas de Información y a las Aplicaciones. Esta necesidad surge de la creciente
importancia asignada a los mismos como ayuda imprescindible en el desarrollo de los procesos de
negocio aportando conocimiento que apoye la correcta toma de decisiones. Debido a ésto tiene
gran importancia la Auditoría (desarrollada en este trabajo) como garante del correcto cumplimiento
de las funciones desarrolladas por los Sistemas y aplicaciones.
Podemos

Curso 5K3 17
 Universidad Tecnológica Nacional
F.R.C.
Auditoría de Explotación y Aplicaciones

concluir diciendo que la labor del auditor informático es esencial para garantizar la adecuación de
los sistemas informáticos: para ello el auditor debe realizar su trabajo ateniéndose a las Normas de
Auditoría aceptadas y aplicables como requisito necesario que asegure la calidad del trabajo
realizado.

Curso 5K3 18
 Universidad Tecnológica Nacional
F.R.C.
Auditoría de Explotación y Aplicaciones

BIBLIOGRAFIA

 “Auditoría Informática, Un Enfoque Práctico”

Autores: Piattini, Del Peso
Editorial Rama

 www.monografías.com
 www.todogratis.com

Curso 5K3 19