SEMANA 1

SEMANA 1 – AUDITORÍA DE SISTEMAS

AUDITORÍA DE SISTEMAS
SEMANA 1

Fundamentos generales de la
auditoría informática

Todos los derechos de autor son de la exclusiva propiedad de IACC o de los otorgantes de sus licencias. No está
permitido copiar, reproducir, reeditar, descargar, publicar, emitir, difundir, poner a disposición del público ni
utilizar los contenidos para fines comerciales de ninguna clase.
IACC 1
SEMANA 1 – AUDITORÍA DE SISTEMAS

APRENDIZAJES ESPERADOS
 Identificar la auditoría informática en el
contexto de la auditoría general y el
control interno.

IACC 2
SEMANA 1 – AUDITORÍA DE SISTEMAS

INTRODUCCIÓN ................................................................................................................................... 4
1. DEFINICIÓN DE AUDITORÍA ......................................................................................................... 5
1.1. OBJETIVO DE LA AUDITORÍA ........................................................................................... 6
1.2. CLASIFICACIÓN DE LAS AUDITORÍAS ............................................................................... 7
2. CONTROLES: DEFINICIÓN ............................................................................................................ 9
2.1. CLASIFICACIÓN DE CONTROLES ............................................................................................. 10
2.2. SISTEMA DE CONTROL INTERNO ....................................................................................... 10
2.2.1. CONTROL INTERNO DE LA FUNCIÓN INFORMÁTICA................................................. 12
2.2.2. EJEMPLO DE CONTROL INTERNO .............................................................................. 13
COMENTARIO FINAL.......................................................................................................................... 15
REFERENCIAS ..................................................................................................................................... 16

IACC 3
SEMANA 1 – AUDITORÍA DE SISTEMAS
INTRODUCCIÓN
La auditoría ha cambiado en los últimos años
con la introducción de nuevas herramientas
para el desempeño de las empresas,
particularmente con el ingreso de la
informática, pasando de procesos que se
realizaban en forma manual a métodos
computarizados, como por ejemplo el
proceso de mantenimiento de activos fijos, el
cual hoy parece imposible ejecutar en forma
manual. Para esto, el mercado ha puesto a
disposición de las empresas múltiples
paquetes, que no solo son capaces de
realizar esta tarea, sino que también otras
que mejoran notablemente el desempeño de
este proceso en la empresa.
IACC
De lo anterior se desprende que las
empresas están depositando su
conocimiento en herramientas
especializadas, y aquí es donde aparece la
necesidad de disponer de herramientas que
salvaguarden la confidencialidad, integridad
y disponibilidad de la información: estos son
los llamados controles.
Es así como toda institución al ir
desarrollándose, debe implementar sistemas
que le permitan controlar la información; sin
embargo, estos sistemas son utilizados por
personas que no están exentas de errores y,
de hecho, los mismos sistemas pueden ser
vulnerables, por lo que es importante tener
esto en consideración.
4
SEMANA 1 – AUDITORÍA DE SISTEMAS

1. DEFINICIÓN DE AUDITORÍA
La palabra auditoría proviene del latín auditor que significa aquel que tiene la virtud de “oír”
(Echeñique, 2001). En este sentido, el auditor es el profesional que tiene la capacidad de oír, de
interpretar, de revisar documentos basados en un objetivo específico para evaluar la eficiencia y
eficacia de las operaciones, y así tomar las decisiones que permitirán corregir los errores en caso
de que existan.

El concepto de auditoría ha sido mal interpretado: cada vez que se habla de auditar un área o
sistema se cree equivocadamente que se ha detectado una falla en un proceso productivo en
particular y, por lo tanto, es necesario buscar responsables. Nada más alejado de la realidad, ya
que el concepto de auditoría tiene un alcance más amplio: no solo busca errores, sino que es un
examen que busca evaluar la eficiencia y eficacia de una sección, y producto de los resultados de
esta evaluación buscar los caminos y acciones para mejorar la gestión de la empresa y alcanzar los
objetivos que se ha propuesto la organización.

El Boletín C de Normas de Auditoría del Instituto Mexicano de Contadores, denominado “Normas

y procedimientos de auditoría”, citado en Echeñique (2001, p. 2) especifica lo siguiente:

La auditoría no es una actividad meramente mecánica que implique la aplicación de

ciertos procedimientos cuyos resultados, una vez llevados a cabo, son de carácter

indudable. La auditoría requiere el ejercicio de un juicio profesional, sólido y maduro, para

juzgar los procedimientos que deben de seguirse y estimar los resultados obtenidos.

Por otro lado, el Instituto de Auditores Internos de Colombia (2000) menciona que se puede
considerar la auditoría como una actividad independiente, objetiva de aseguramiento y consulta,
que está pensada para agregar valor y mejorar las operaciones de una empresa. Ayuda a una
organización a cumplir sus objetivos aplicando una metodología para evaluar y mejorar la eficacia
de los procesos de gestión, control y gobierno.

La auditoría surge principalmente para garantizar la información financiera. Se aplica tanto a nivel
privado como público, y las diferencias entre ambas radican en los entes que intervienen en cada
una.

En tanto, la auditoría informática es un tipo específico de auditoría. Es un proceso planificado que

consiste en recoger, agrupar y evaluar evidencias de un sistema X, para determinar si el sistema en
cuestión protege los activos de la empresa, mantiene la integridad de los datos, se cumplen las
normas de la organización y utiliza en forma eficaz el recurso.

IACC 5
SEMANA 1 – AUDITORÍA DE SISTEMAS

1.1. OBJETIVO DE LA AUDITORÍA

De acuerdo a lo expresado por Muñoz (2002, p. 29), los objetivos generales de una auditoría son
los siguientes:

 Realizar una revisión independiente de las actividades, áreas o funciones especiales de

una institución, a fin de emitir un dictamen profesional sobre la razonabilidad de sus
operaciones y resultados.
 Hacer una revisión especializada, desde un punto de vista profesional y autónomo, del
aspecto contable, financiero y operacional de las áreas de una empresa.
 Evaluar el cumplimiento de los planes, programas, políticas, normas y lineamientos que
regulan la actuación de los empleados y funcionarios de una institución, así como evaluar
las actividades que se desarrollan en sus áreas y unidades administrativas.
 Dictaminar de manera profesional e independiente sobre los resultados obtenidos por una
empresa y sus áreas, así como sobre el desarrollo de sus funciones y el cumplimiento de
sus objetivos y operaciones.

La auditoría, a través de una revisión independiente, permite evaluar actividades, funcionalidades

específicas, operaciones y resultados de una empresa, con el único fin de evaluar su correcta
aplicación. Que sea independiente significa que el auditor debe mantener una libertad total desde
el punto de vista emocional, mental, profesional y laboral, buscando evitar cualquier tipo de
situación que pueda invalidar el trabajo que está realizando. Los integrantes del equipo deben ser
auditores de formación y deben tener fuertes conocimientos en el campo de ingeniería y de
auditoría.

Para Echeñique (2001), los objetivos de la auditoría en informática son:

 Salvaguardar los activos: Se refiere a la protección del hardware, software y recursos

humanos.
 Integridad de datos: Los datos deben mantener consistencia y no duplicarse.
 Efectividad de sistemas: Los sistemas deben cumplir con los objetivos de la
organización.
 Eficiencia de sistemas: Que se cumplan los objetivos con los menores recursos.
 Seguridad y confidencialidad.

La auditoría es vital para el buen desempeño de los sistemas de información de la empresa, ya que
con esta se logran obtener, si es que no existen, los controles necesarios para hacer los sistemas
más confiables y seguros, y mejorarlos en el tiempo si ya se han establecido o construido. Cabe
recordar que el objetivo es evaluar la totalidad de lo involucrado: informática, organización de
centros de información, hardware y software.

IACC 6
SEMANA 1 – AUDITORÍA DE SISTEMAS

1.2. CLASIFICACIÓN DE LAS AUDITORÍAS

De acuerdo a lo establecido por Isaca (2014), las auditorías se pueden clasificar en los siguientes
tipos:

 AUDITORÍAS DE CUMPLIMIENTO: Incluyen pruebas específicas de los controles para

demostrar el cumplimiento de normas regulatorias o de la industria. Estas auditorías a
menudo coinciden con las auditorías tradicionales, pero pueden concentrarse en datos o
sistemas particulares. Un ejemplo son las auditorías del consejo de estándares de
seguridad (DSS – Data Security Standard) de la industria de las tarjetas de pagos (PCI –
Payment Card Industry).

 AUDITORÍAS FINANCIERAS: El propósito de este tipo de auditoría es determinar la

exactitud de los estados financieros de una organización. A menudo involucra pruebas
sustantivas detalladas, aunque con cada vez mayor frecuencia los auditores están
poniendo más énfasis en un enfoque basado en riesgo y control. Este tipo de auditoría se
relaciona con la integridad y confiabilidad de la información financiera.

 AUDITORÍAS OPERATIVAS: Una auditoría operativa está diseñada para evaluar la

efectividad de uno o más procesos de negocio o áreas funcionales, y el uso eficiente de
recursos que soportan los objetivos y metas de la organización.

 AUDITORÍAS INTEGRADAS: Una auditoría integrada combina pasos de auditoría financiera

y operativa. También se realiza para evaluar los objetivos generales dentro de una
organización, relacionados con la información financiera y la salvaguarda de activos, la
eficiencia y el cumplimiento.

 AUDITORÍAS ADMINISTRATIVAS: Estas están orientadas a evaluar aspectos relacionados

con la eficiencia de la productividad operativa dentro de una organización.

 AUDITORÍAS FORENSES: La auditoría forense ha sido definida como una auditoría

especializada en descubrir, revelar y hacer seguimiento a fraudes y crímenes. El propósito
principal de dicha revisión es la búsqueda de evidencias para ser revisadas por autoridades
policiales y judiciales. En los casos en que los recursos de un computador puedan haber
sido mal empleados, una investigación adicional es necesaria para recopilar evidencia de
posible actividad criminal que pueda luego ser reportada a las autoridades competentes.

IACC 7
SEMANA 1 – AUDITORÍA DE SISTEMAS

 AUDITORÍAS ESPECIALIZADAS: Existen revisiones especializadas que examinan áreas tales

como los servicios realizados por terceros. En vista de que los negocios dependen cada vez
más de estos servicios, es importante que se evalúen los controles internos en estos
entornos. La Declaración sobre Estándares para Compromisos de Atestiguación
(Statement on Standards for Attestation Engagements – SSAE) 16, titulada “Informes
sobre los Controles en una Organización de Servicio”, es un estándar de auditoría
ampliamente conocido, desarrollado por el Instituto Americano de Contadores Públicos
Certificados (American Institute of Certified Public Accountants – AICPA). Este tipo de
auditoría se ha vuelto cada vez más relevante debido a la actual tendencia a la
externalización (outsourcing) de procesos financieros y de negocios a terceros
proveedores de servicios que, en algunos casos, pueden operar en diferentes
jurisdicciones o incluso en diferentes países.

 AUDITORÍA INFORMÁTICA: Este proceso recolecta y evalúa la evidencia para determinar

si los sistemas de información y los recursos relacionados protegen adecuadamente los
activos, mantienen la integridad y disponibilidad de los datos y del sistema, proveen
información relevante y confiable, logran de forma efectiva las metas organizacionales,
usan eficientemente los recursos y tienen controles internos efectivos que proveen una
certeza razonable de que los objetivos de negocio, operaciones y de control serán
alcanzados y que los eventos no deseados serán evitados o detectados y corregidos de
forma oportuna.

La auditoría informática no solo debe comprender la evaluación de los equipos que son
utilizados para llevar a cabo los procesos de la empresa u organización, sino que su alcance
va más allá: debe incluir los sistemas de información y estos, a su vez, las entradas,
procedimientos, controles, archivos, seguridad y finalmente las salidas de información.

De acuerdo a lo expresado por Campoverde (2014), las auditorías desde el punto de vista
informático son las siguientes:

IACC 8
SEMANA 1 – AUDITORÍA DE SISTEMAS

Tipo de auditoría Campo de acción

Auditoría de la gestión Este tipo de auditoría está relacionada con la contratación

de bienes y servicios, documentación de los programas o
sistemas manejados por la empresa.

Auditoría de los datos Este campo de la auditoría tiene relación con el estudio o
análisis de las aplicaciones, análisis de los flujos y
clasificación de los datos.

Auditoría de la seguridad Busca verificar la disponibilidad, integridad,

confidencialidad de la información.

Auditoría de la seguridad física Está referida a la ubicación física de la organización,

evitando ubicaciones de riesgo y, en ocasiones, no
revelando la ubicación física de esta. Hace referencia,
además, a las protecciones externas y del entorno.

Auditoría de la seguridad lógica Comprende las metodologías de autenticación a los

sistemas de información.

2. CONTROLES: DEFINICIÓN
Hoy todo sistema que esté en producción debe ser regulado, con la finalidad de cumplir con los
objetivos para el que fue pensado y puesto en marcha. La regulación está orientada a medir el
comportamiento de este y realizar las correcciones necesarias si se detectan desviaciones en su
operación. “El conjunto de acciones, procedimientos, normas o técnicas que aseguran la
regulación de un sistema es lo que se denomina control” (Cuellar, 2003, apartado 7.1). Comentado [s1]: Falta incluir n el apartado de Referencias.

Por otro lado, Cuellar señala lo siguiente: “Si consideramos un sistema como un conjunto de
elementos estrechamente relacionados que persiguen un fin común, es posible establecer que
todo aquello que tienda a asegurar el cumplimiento de la finalidad del sistema es control”.

Del anterior planteamiento se deduce que el funcionamiento adecuado de un sistema viene

determinado por el control.

Cabe destacar que para que se efectúe un control, es necesario implantar las bases con las cuales
se velará por el cumplimiento de este. Para ello hoy existen diversas normas o estándares que se
pueden utilizar como base comparativa: un ejemplo de esto se da en la norma ISO 19011, ISO
27001, los estándares proporcionados por Isaca a sus auditores certificados, entre otros. Luego de
haber establecido la base, se deben desarrollar las técnicas o pruebas que medirán el desempeño
del sistema, obteniendo los parámetros que posteriormente se compararán con la base explicitada
al principio. Una vez que se tengan los resultados de la comparación, se podrán realizar las
correcciones o mejoras que correspondan.

IACC 9
SEMANA 1 – AUDITORÍA DE SISTEMAS

2.1. CLASIFICACIÓN DE CONTROLES

Existen dos aspectos claves que los controles deben atender: qué debería lograrse y qué debería
evitarse. Los controles no solo tratan los objetivos de negocio/operativos, sino que también
deberían estar preparados para tratar eventos no deseados a través de la prevención, detección y
corrección.

De acuerdo lo señalado por Isaca (2014), los controles están clasificados como preventivos,
detectivos o correctivos, de acuerdo a su naturaleza.

• Controles preventivos: Detectan los problemas antes de que aparezcan. Monitorean tanto
la operación como las entradas. Intentan predecir los problemas potenciales antes de que
ocurran. Evitan que ocurra un error, omisión o acto malicioso. Un ejemplo de esto es la
segregación de funciones1.

• Controles detectivos: Detectan e informan la ocurrencia de un error, omisión o acto

fraudulento. Un ejemplo de esto son los totales de comprobación (hash totals)2.

• Controles correctivos: Minimizan el impacto de una amenaza. Facilitan la vuelta a la

normalidad cuando se ha producido una incidencia. Un ejemplo de esto son los procedimientos de
respaldo de información.

2.2. SISTEMA DE CONTROL INTERNO

Según Meléndez (2015), el control interno se puede definir como un sistema que está integrado al
proceso administrativo en el proceso de planeación, organización, dirección y control de las
operaciones, buscando asegurar la protección de todos los recursos informáticos y asegurar los
índices de economía, eficiencia y efectividad de los procesos operativos que han sido
automatizados.

Los controles internos están normalmente constituidos por políticas, procedimientos, prácticas y
estructuras organizacionales implementadas para reducir los riesgos para la organización.

1
Segregación de funciones: Permite asegurar que un individuo no pueda llevar a cabo todas las fases de una
operación/transacción, desde su autorización, pasando por la custodia de activos y el mantenimiento de los
registros maestros necesarios.
2
Totales de comprobación: Cuando se quiere almacenar o transmitir información, para la protección frente
a errores fortuitos en el almacenamiento o transmisión, se acompaña a los datos de valores obtenidos a
partir de ellos, aplicando funciones con ciertas propiedades de forma que puedan ser usados para verificar
el propio dato.

IACC 10
SEMANA 1 – AUDITORÍA DE SISTEMAS

Son desarrollados para proveer una certeza razonable a la gerencia de que se alcanzarán los
objetivos de negocio de la organización y que se prevendrán o detectarán y corregirán los eventos
de riesgo. Las actividades de control interno y los procesos que las respaldan pueden ser manuales
o manejados por recursos de información automatizados. Los controles internos operan en todos
los niveles dentro de una organización para mitigar su exposición a riesgos que potencialmente
podrían impedirle alcanzar sus objetivos de negocio. La alta dirección es responsable de establecer
la cultura apropiada para facilitar un sistema efectivo y eficiente de control interno y de
monitorear continuamente la efectividad del sistema de control interno, aunque toda persona
dentro de la organización debe participar en este proceso.

El boletín 3050 del Instituto Mexicano de Contadores (2001, p. 5) señala respecto al control
interno lo siguiente:

El estudio y evaluación del control interno se efectúa con el objeto de cumplir con la

norma de ejecución del trabajo que requiere que: el auditor debe efectuar un estudio y

evaluación adecuados del control interno existente, que le sirvan de bases para

determinar el grado de confianza que va a depositar en él, así mismo, que le permitan

determinar la naturaleza, extensión y oportunidad que va a dar los procedimientos de

auditoría.

Siguiendo esta misma idea, el Instituto Mexicano de Contadores Públicos (citado en Cuellar, 2003,
apartado 7.4) expone que el control interno comprende el plan de organización y todos los
métodos y procedimientos que en forma coordinada se adoptan en un negocio para salvaguardar
sus activos, verificar la razonabilidad y confiabilidad de su información financiera, promover la
eficiencia operacional y provocar la adherencia a las políticas por la administración.

Otra definición la entrega el Informe COSO (Committee of Sponsoring Organizations of the

Treadway Commission) (2013, p. 4), el cual define al control interno como un proceso llevado a
cabo por el Consejo de Administración, la Gerencia y otro personal de la organización, diseñado
para proporcionar una garantía razonable sobre el logro de objetivos relacionados con
operaciones, reporte y cumplimiento.

Para Echeñique (2001), los objetivos básicos del control interno son los siguientes:

 La protección de los activos de la empresa.

 La obtención de información financiera veraz, confiable y oportuna.

IACC 11
SEMANA 1 – AUDITORÍA DE SISTEMAS

 La promoción de la eficiencia en la operación del negocio.

 Lograr que en la ejecución de las operaciones se cumplan las políticas establecidas por los
administradores de la empresa.

2.2.1. CONTROL INTERNO DE LA FUNCIÓN INFORMÁTICA

Madrid (2015) señala que por medio del control interno informático se controlan las actividades
de los sistemas de información, asegurando que estos cumplan con los procedimientos,
estándares y normas fijados por la dirección o los definidos por el departamento. De lo anterior, se
tiene que el control interno informático es función de la dirección, departamento o gerencia de
informática de la empresa, y su objetivo principal es controlar y verificar que las operaciones se
realicen cumpliendo los requisitos definidos y las disposiciones legales definidas, tanto internas
como externas.

Desde el punto de vista informático, Carpio (2012, pp. 4-8) indica que el control interno tiene los
siguientes objetivos básicos:

 Establecer como prioridad la seguridad y protección de la información del sistema

computacional y de los recursos informáticos de la empresa.
 Promover la confiabilidad, oportunidad y veracidad de la captación de datos, su
procesamiento en el sistema y la emisión de informes en la empresa.
 Implementar los métodos, técnicas y procedimientos necesarios para coadyuvar al
eficiente desarrollo de las funciones, actividades y tareas de los servicios computacionales,
para satisfacer los requerimientos de sistemas en la empresa.
 Instaurar y hacer cumplir las normas, políticas y procedimientos que regulan las
actividades de sistematización de la empresa.
• Establecer las acciones necesarias para el adecuado diseño e implementación de sistemas
computarizados, a fin de que permitan proporcionar eficientemente los servicios de
procesamiento de información en la empresa.

De acuerdo a lo expresado por el Grupo de Auditoría Informática del Iteco (2011), las funciones de
los controles internos son las siguientes:

• Informar a todo el equipo del área informática de las normas, procedimientos y estándares.
• Controlar que lo difundido se cumpla.
• Diseñar la estructura del Sistema de Control Interno de la Dirección de Informática en los
siguientes aspectos:
o Desarrollo y mantención de aplicaciones.
o Administración de motores de bases de datos.
o Administración de las redes computacionales.

IACC 12
SEMANA 1 – AUDITORÍA DE SISTEMAS

o Administración de la seguridad informática.

o Administración de las licencias.
o Relación con proveedores.

 Revise el siguiente enlace sobre Sistema de Control Interno para

tenga más antecedentes sobre el tema:

https://prezi.com/yq2lj8exv2ir/sistemas-de-control-interno-
informatico/

Al aplicarse el control interno en áreas de informática se obtienen una serie de documentos y

directrices que son utilizadas por la dirección general de la empresa para poder planificar,
controlar y evaluar la función del área de informática.

De acuerdo a lo expresado por el Grupo de Auditoría Informática del Iteco, los documentos y
directrices que se obtienen son los siguientes:

 Plan estratégico de área informática.

 Plan informático.
 Plan de seguridad general.
 Plan de contingencia ante desastres.
 Controles para el desarrollo de sistemas.
 Controles para testear sistemas.
 Controles para la explotación de sistemas.

2.2.2. EJEMPLO DE CONTROL INTERNO

Hoy la gran mayoría de las empresas manejan sistemas informáticos para la totalidad de las áreas
que las componen: recursos humanos, finanzas, entre otros; por lo que se considera un sistema
contable al cual no todos los usuarios o trabajadores de la empresa pueden tener acceso. Para
esto, la empresa desarrolla planes y procedimientos que apuntan a manejar la confidencialidad de
los datos de este sistema, entre otras finalidades.

IACC 13
SEMANA 1 – AUDITORÍA DE SISTEMAS

La empresa debe asegurar que solo tenga acceso a esta herramienta el personal capacitado y
contratado específicamente para llevar a cabo la funcionalidad prestada por el sistema. Cada vez
que ingresa un nuevo miembro o sale uno, se debe seguir un procedimiento que otorgue los
privilegios o los caduque a quien está saliendo del área involucrada. Aquí se puede tener un
control interno que se lleve a cabo cada treinta días, en el cual se debe involucrar al área de
Recursos Humanos, encargada de informar de las nuevas entradas y las salidas si es que existiesen.

Otro ejemplo más orientado a la función de informática tiene que ver con el desarrollo de
aplicaciones de gestión dentro de la misma empresa. Los desarrolladores de software no deben
tener acceso a los sistemas cuando estos están en un ambiente de producción, es decir, cuando la
aplicación está siendo utilizada por el cliente. Para solucionar esto se puede manejar un esquema
de traspaso desde el área de desarrollo al área de producción, en el cual un ente específico se
encarga de realizar la actualización de las nuevas funcionalidades desarrolladas al sistema de
producción. Aquí el control interno está basado en asegurar que el procedimiento de actualización
de cambios se cumpla y, si se detectan errores, que sean corregidos.

EJEMPLO

Controles • Tratar de evitar o prevenir una acción

• Ejemplo: Software de seguridad evita los
Preventivos accesos no autorizados

Controles
• Cuando fallan los preventivos para tratar de
conocer cuanto antes el evento

Detectivos • Ejemplo: Registro de intentos de acceso no

autorizados

Controles
• Facilitan la vuelta a la normalidad cuando se
han producido fallas

Correctivos • Ejemplo: Recuperación de un archivo dañado

a partir de las copias de seguridad

IACC 14
SEMANA 1 – AUDITORÍA DE SISTEMAS

COMENTARIO FINAL
La dependencia de los procesos de negocio en la tecnología de información ha requerido que los
auditores financieros y operativos tradicionales comprendan las estructuras de control de TI y que
los auditores informáticos comprendan las estructuras de control del negocio.

La auditoría informática tiene mucho en común con otros tipos de auditoría y se solapa en muchos
aspectos con las prácticas de auditoría financiera y operacional. En la medida en que las prácticas
contables y financieras utilicen tecnologías de información, las auditorías financieras deben
abordar controles basados en la tecnología. Las auditorías operacionales examinan la eficacia de
uno o más procesos de negocio o funciones de la organización, y el uso eficiente de los recursos en
el apoyo de las metas y objetivos de la organización.

Es importante comprender la importancia que ha tomado el procesamiento electrónico de datos

en una organización, debido al impacto que esto tiene, puesto que la toma de decisiones se basa
en la información entregada por los sistemas que utilizan las empresas. Aquí es importante
comprender la relevancia que tiene desarrollar una auditoría a un área tan sensible y expuesta
como lo es la informática.

Los controles son los mecanismos o metodologías de los que dispone la empresa para asegurar la
administración correcta de sus activos, en particular los que se refieren a la información,
información contable, de gestión de recursos humanos, etc.

De acuerdo al propósito del control, estos se clasifican en preventivos, detectivos y correctivos.

Los controles preventivos corresponden a aquellos que tratan de evitar un hecho riesgoso para la
compañía, en cambio los controles detectivos se utilizan para descubrir cuándo un hecho riesgoso
ocurrió. Por otra parte, los controles correctivos facilitan la vuelta a la normalidad.

Los controles son procesos, procedimientos que se deben cumplir para asegurar la eficiencia y
eficacia de la utilización de sistemas informáticos y, por tanto, buscan:

 Protección de los activos de la empresa.

 Obtención de información financiera veraz, confiable y oportuna.
 Promoción de la eficiencia en el negocio.
 Asegurar el cumplimiento de las políticas establecidas por los administradores de la
empresa.

Estos cuatro objetivos son fundamentales a la hora de establecer los alcances que abordará una
auditoría, en particular una auditoría informática.

IACC 15
SEMANA 1 – AUDITORÍA DE SISTEMAS

REFERENCIAS
Delgado, X. (1998). Auditoría informática. Capítulo 1. Recuperado de:

www.isaca.org\nonenglishbooks.

Echeñique, J. (2001). Auditoría en informática. Capítulo XXX. 2.ª edición. México: McGraw-Hill.

PARA REFERENCIAR ESTE DOCUMENTO, CONSIDERE:

IACC (2019). Fundamentos generales de la auditoría informática. Auditoría de

Sistemas. Semana 1.

IACC 16
SEMANA 1 – AUDITORÍA DE SISTEMAS

IACC 17