República Bolivariana de Venezuela

Ministerio del Poder Popular Para la Educación

Instituto Universitario de Tecnología

“Juan Pablo Pérez Alfonzo”

IUTEPAL

Auditoria de Sistemas

Jose C. Avellaneda V.
Control interno y auditoria informática

Básicamente todos los cambios que se realizan en una organización someten a

una gran tensión a los controles internos existentes.

Cuando un auditor profesional se somete a auditar una empresa, lo primero

que se le viene a la cabeza es mejorar todos los procesos que se llevan en la
misma para buscar la eficiencia total. Este trabajo no se hace de la noche a la
mañana; para ello se empieza ya bien sea por áreas o departamentos o mejor
dicho se empieza a trabajar internamente.

La mayoría de las organizaciones han acometido varias iniciativas en tal

sentido tales como:

 La reestructuración de los procesos empresariales.

 La gestión de la calidad total.
 El redimensionamiento por reducción y/o por aumento de tamaño hasta
el nivel correcto.
 La contratación externa.
 La descentralización.

Control interno informático

El control interno informático controla diariamente que todas las actividades de

sistemas de información sean realizadas cumpliendo los procedimientos,
estándares y normas fijados por la dirección de la organización y/o la dirección
informática, así como los requerimientos legales.

La función del control interno informático es asegurarse de que las medidas

que se obtienen de los mecanismos implantados por cada responsable sean
correctas y válidas.

Control interno informático suele ser un órgano staff de la dirección del

departamento de informática y está dotado de las personas y medios
materiales proporcionados a los cometidos que se le encomienden.

Como principales objetivos podemos indicar los siguientes:

Controlar que todas las actividades se realicen cumpliendo los procedimientos

y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las
normas legales.

Asesorar sobre el conocimiento de las normas.

Colaborar y apoyar el trabajo de Auditoria informática, así como de las

auditorías externas al grupo.
Definir, implantar y ejecutar mecanismos y controles para comprobar el logro
de los graso adecuados del servicio informático, lo cual no debe considerarse
como que la implantación de los mecanismos de medida y responsabilidad del
logro de esos niveles se ubique exclusivamente en la función de control interno,
si no que cada responsable de objetivos y recursos es responsable de esos
niveles, así como de la implantación de los medios de medida adecuados.

La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias

para determinar si un sistema informatizado salvaguarda los activos, mantiene
la integridad de los datos, lleva a cabo los eficazmente los fines de la
organización y utiliza eficiente mente los recursos.

Diferencias y Similitudes entre Control interno informático y auditor

informático

Control interno Auditor informático

informático
similitudes Personal Interno

Conocimientos especializados en tecnologías de

información verificación del cumplimiento de controles
internos, normativa y procedimientos establecidos por la
dirección informática y la dirección general para los
sistemas de información.
Diferencias Análisis de los controles en el Análisis de un momento
día a día informático determinado

Informa a la dirección del Informa a la dirección

departamento de informática
sólo personal interno el
enlace de sus funciones es
únicamente sobre el
departamento de informática
general de la
organización
Personal interno y/o
externo tiene cobertura
sobre todos los
componentes de los
sistemas de información
de la organización

Definición y tipos de controles internos

Se puede definir el control interno como "cualquier actividad o acción realizada

manual y/o automáticamente para prevenir, corregir errores o irregularidades
que puedan afectar al funcionamiento de un sistema para lograr o conseguir
sus objetivos.

Los controles internos se clasifican en los siguientes:

  Controles preventivos: Para tratar de evitar el hecho, como un software
de seguridad que impida los accesos no autorizados al sistema.
 Controles detectivos: Cuando fallan los preventivos para tratar de
conocer cuanto antes el evento. Por ejemplo, el registro de intentos de
acceso no autorizados, el registro de la actividad diaria para detectar
errores u omisiones.etc.
 Controles correctivos: Facilitan la suelta a la normalidad cuando se han
producido incidencias. Por ejemplo, la recuperación de un fichero
dañado a partir de las copias de seguridad.

Técnicas de auditoria de sistemas

Existen varias técnicas de Auditoría Informática de Sistemas, entre las cuales

se mencionan:

Lotes de Prueba:

Transacciones simuladas que se introducen al Sistema a fin de verificar el

funcionamiento del mismo. Entre los datos que se deben incluir en una prueba
se tienen:

 Datos de Excepción.
 Datos Ilógicos.
 Transacciones Erróneas

La prueba de un Sistema es una tarea un poco más compleja de lo que

realmente parece ser. La misma no se limita exclusivamente a introducir
algunos datos al Sistema a fin de verificar que arroje el resultado esperado. Va
mucho más allá. En primer lugar, la prueba del Sistema no debe ser efectuada
por los programadores, ya que éstos conocen los “trucos del sistema”, e
inconscientemente introducirán datos que no harán fallar a la aplicación, razón
por la cual se recomienda la designación de un equipo responsable para las
misma. Dicho equipo debe diseñar una “Batería de Prueba”, la cual consiste
en un conjunto de datos a ser introducidos en el sistema para observar su
comportamiento. Por supuesto los resultados de dichos datos se deben
conocer con antelación a fin de que puedan ser cotejados contra los que arroja
el sistema. En toda batería de prueba aparte de las transacciones comunes, se
debe contar con:
Datos de Excepción: Aquellos que rompen con la regla establecida. Se
deben incluir dichos datos a fin de determinar si el sistema contempla las
excepciones.

Datos Ilógicos: Son datos que no tienen ningún sentido. Se incluyen dentro
de la prueba a fin de determinar si el sistema posee los mecanismo de
validación adecuados que impidan el procesamiento de los mismos.

Datos Erróneos: Son aquellos que no están acordes con la realidad. El

sistema no está en capacidad de determinar si un dato esta correcto o no.
Sencillamente, se introducen este tipo de datos a fin de verificar si el sistema
posee los mecanismos que permitan revertir la transacción.

Auditoría para el Computador:

Permite determinar si el uso de los equipos de computación es el idóneo.

Mediante esta técnica, se detectan equipos sobre y subutilizados

Es importante determinar el uso de las computadoras. Esto a fin de verificar

que no existan computadores sobre o subutilizados. Por ejemplo, suponga el
caso de un computador con la configuración más actualizada que esté siendo
empleado únicamente como terminal del sistema de facturación de la empresa,
por supuesto, es fácil deducir que no se está aprovechando al máximo las
bondades del equipo. Ahora suponga la contrario, es decir, que exista un
equipo con mediana capacidad en donde se manejen todas las aplicaciones
Office (Word, Excel y Power Point) y se ejecuten algunos Sistemas
Informáticos propios de la empresa. ¿Está subutilizado?.

La aplicación de dicha técnica no reviste de mayor complicación, lo que se

hace es anotar la configuración del equipo y las actividades que se realizan en
él, a fin de determinar si tal configuración está acorde con lo que se realiza en
él. Con esto se logran varias cosas: primero, se determinan los equipos
candidatos a ser sustituidos o repotenciados y segundo, ofrece un mecanismo
para una futura de reasignación de equipos de acuerdo a las necesidades
existentes.

Prueba de Minicompañía:

Revisiones periódicas que se realizan a los Sistemas a fin de determinar

nuevas necesidades.

Evaluación de riesgos en la auditoria de sistemas

Riesgo: es la probabilidad de que un evento ocurra siempre habrán riesgos en

toda empresa
Tipos de Riesgos

 Riesgo inherente
 Riesgo de control
 Riesgo de detección

Riesgo Inherente

Es la susceptibilidad que un área posee a un error, en el sentido que puede ser

material individual o conjuntamente con otros errores, asumiendo que esos
errores no están relacionados al control interno.

Por ejemplo, el riesgo inherente asociado con seguridad en los sistemas

operativos, es ordinariamente alto, ya que el cambio o incluso la divulgación de
los datos o programas.

A través de las debilidades de seguridad del sistema operativo podría dar lugar
a un falso manejo de la información o desventajas competitivas.

El riesgo inherente asociado con la seguridad de una pc que no esta conectada

a una red. Cuando un apropiado análisis demuestre que estas no son utilizadas
para propósitos de negocios delicados, su riesgo es bajo.

Riesgo de Control

Es aquel riesgo de sufrir algún error en el área auditada y que este pueda ser
material, individual o combinado con otros errores, no será prevenido o
detectado y corregido a tiempo basado en el sistema de control interno.

Por ejemplo, el riesgo de control asociado con revisiones manuales a accesos

a computadoras puede ser alto porque las actividades que requieren
investigación son a menudo extraviadas fácilmente, debido al volumen de
accesos al equipo.

Riesgo de Detección

Es aquel que los procedimientos sustantivos del auditor se SI no logran

detectar un error que puede ser material individual o combinado con otros
errores.

Por ejemplo, el riesgo de detección asociado con la identificación de

infracciones de seguridad en un sistema es algo porque los registros de todo el
periodo auditado no están disponibles al momento de la auditoria. La detección
del riesgo asociado con la identificación de la falta de planes de recuperación
en caso de desastre es ordinariamente bajo, debido a que es verificable
fácilmente