La Auditoría Informática es el proceso de revisión y evaluación de los controles y

medidas de seguridad que se aplican a los recursos:

a) Tecnológicos.
b) Personal.
c) Software
d) Procedimientos.
que se utilizan en los Sistemas de Información manejados en la empresa.

En este sentido, se deben revisar y evaluar si se han desarrollado e implementados

controles apropiados y adecuados en los sistemas de información.

La auditoría Informática va mucho más allá de la simple detección de errores. Si bien

es cierto que la Auditoría es un proceso que permite detectar fallas, es menester de la
auditoría, el presentar algunas sugerencias que puedan ser aplicadas para evitar de
esta manera la repetición de las mismas en un futuro.

Básicamente, el objetivo principal de la auditoría informática es garantizar la

operatividad de los procesos informáticos. En otras palabras, ofrecer la continuidad los
procesos de generación, distribución, uso y respaldo de información dentro de las
organizaciones.

Importancia de la Auditoría Informática

Su importancia radica en el hecho de garantizar la operatividad de los procesos

informáticos. Del mismo modo, la Auditoría es compatible con la calidad, ya que
mediante la auditoría, se buscan implantar mejoras en busca del perfeccionamiento de
los procesos, incorporando nuevas técnicas y tecnologías.

La Auditoría Informática debe realizarse dentro de un marco de auditoría general.

Fases de la auditoria Informática

Fase I: Conocimientos del Sistema
Fase II: Análisis de transacciones y recursos
Fase III: Análisis de riesgos y amenazas
Fase IV: Análisis de controles
Fase V: Evaluación de Controles
Fase VI: El Informe de auditoria
Fase VII: Seguimiento de las Recomendaciones

Fase I: Conocimientos del Sistema

1.1. Aspectos Legales y Políticas Internas.

Sobre estos elementos está construido el sistema de control y por lo tanto constituyen
el marco de referencia para su evaluación.

1.2. Características del Sistema Operativo.

 • Organigrama del área que participa
• Manual de funciones de las personas que participan en los procesos del
sistema
• Informes de auditoría realizadas anteriormente.

1.3. Características de la aplicación de computadora

• Manual técnico de la aplicación del sistema
• Funcionarios (usuarios) autorizados para administrar la aplicación
• Equipos utilizados en la aplicación de computadora
• Seguridad de la aplicación (claves de acceso)
• Procedimientos para generación y almacenamiento de los archivos de la
aplicación.

Fase II: Análisis de transacciones y recursos

2.1. Definición de las transacciones.

Dependiendo del tamaño del sistema, las transacciones se dividen en procesos y
estos en subprocesos. La importancia de las transacciones deberá ser asignada con
los administradores.

2.2. Análisis de las transacciones

• Establecer el flujo de los documentos
En esta etapa se hace uso de los flujogramas ya que facilita la visualización del
funcionamiento y recorrido de los procesos.

2.3. Análisis de los recursos

• Identificar y codificar los recursos que participan en el sistema

2.4. Relación entre transacciones y recursos

Fase III: Análisis de riesgos y amenazas

3.1. Identificación de riesgos
• Daños físicos o destrucción de los recursos
• Pérdida por fraude o desfalco
• Extravío de documentos fuente, archivos o informes
• Robo de dispositivos o medios de almacenamiento
• Interrupción de las operaciones del negocio
• Pérdida de integridad de los datos
• Ineficiencia de operaciones
• Errores

3.2. Identificación de las amenazas

 Amenazas sobre los equipos:
 Amenazas sobre documentos fuente
 Amenazas sobre programas de aplicaciones

3.3. Relación entre recursos/amenazas/riesgos

La relación entre estos elementos deberá establecerse a partir de la observación de
los recursos en su ambiente real de funcionamiento.

Fase IV: Análisis de controles

4.1. Codificación de controles
Los controles se aplican a los diferentes grupos utilizadores de recursos, luego la
identificación de los controles debe contener una codificación la cual identifique el
grupo al cual pertenece el recurso protegido.

4.2. Relación entre recursos/amenazas/riesgos

La relación con los controles debe establecerse para cada tema (Rec/Amz/Rie)
identificado. Para cada tema debe establecerse uno o más controles.

4.3. Análisis de cobertura de los controles requeridos

Este análisis tiene como propósito determinar si los controles que el auditor identificó
como necesarios proveen una protección adecuada de los recursos.

Fase V: Evaluación de Controles

5.1. Objetivos de la evaluación

• Verificar la existencia de los controles requeridos
• Determinar la operatividad y suficiencia de los controles existentes

5.2. Plan de pruebas de los controles

• Incluye la selección del tipo de prueba a realizar.
• Debe solicitarse al área respectiva, todos los elementos necesarios de
prueba.

5.3. Pruebas de controles

5.4. Análisis de resultados de las pruebas

Fase VI: Informe de Auditoria

6.1. Informe detallado de recomendaciones

6.2. Evaluación de las respuestas

6.3. Informe resumen para la alta gerencia

Este informe debe prepararse una vez obtenidas y analizadas las respuestas de
compromiso de las áreas.
• Introducción: objetivo y contenido del informe de auditoria
• Objetivos de la auditoría
• Alcance: cobertura de la evaluación realizada
• Opinión: con relación a la suficiencia del control interno del sistema evaluado
• Hallazgos
• Recomendaciones

Fase VII: Seguimiento de Recomendaciones

7.1. Informes del seguimiento

7.2. Evaluación de los controles implantados

 Fin de la sesión.
 Revisión
 Evaluación
  Controles y las Medidas de Seguridad que se Aplican a los Recursos de un
Sistema de Información
 Auditoría Informática
 Objetivos

Tipos de Auditoría

1. Interna: Aplicada con el personal que labora en la empresa.

La auditoría Interna ofrece algunas ventajas en relación a la externa, en primer

lugar es menos costosa, puesto que se realiza con el mismo personal, y por otro
lado, no se corre el riesgo de que personas extrañas conozcan la información
generada dentro de la firma. Sin embargo, tiene sus limitaciones, entre las cuales
se mencionan: la poca especialización que tienen los integrantes en la materia
conlleva al hecho de que se escapen algunos detalles dentro del proceso (omisión
de detección de errores) y por otro lado se corre el riesgo de que se “encubran”
deficiencias. Es factible que dentro del proceso de auditoría, las personas no
informen de alguna anomalía a fin “de no perjudicar al amigo”.

2. Externa: Se contrata a una firma especializada para realizar la misma.

Con este tipo de auditoría existe menor margen de error, puesto que las personas
que se encargan de realizarla son especialistas en el área. Entonces, deben ser
pocos los errores que se detecten y las sugerencias aportadas son muy valiosas.
Del mismo modo existe poco margen de encubrimiento, ya que son personas
ajenas a la firma.

Auditoría Informática Externa

Las empresas recurren a la auditoría externa cuando existen:
• Síntomas de Descoordinación
• Síntomas de Mala Imagen
• Síntomas de Debilidades Económicas
• Síntomas de Inseguridad

Tipos de Auditoría

Auditoría Informática de Desarrollo de Aplicaciones:

Cada una de las fases del desarrollo de las nuevas aplicaciones informáticas deben
ser sometidas a un minucioso control, a fin de evitar un aumento significativo de los
costos, así como también insatisfacción de los usuarios.

Auditoría de los Datos de Entrada: Se analizará la captura de la información en

soporte compatible con los Sistemas, el cumplimiento de plazos y calendarios de
tratamientos y entrega de datos; la correcta transmisión de datos entre entornos
diferentes. Se verificará que los controles de integridad y calidad de datos se realizan
de acuerdo a las Normas establecidas.

En la Auditoría Informática de Sistemas Se audita

• Sistema Operativo: Verificar si la versión instalada permite el total
funcionamiento del software que sobre ella se instala, si no es así, determinar
la causa.
• Software de Aplicación: Determinar el uso de las aplicaciones instaladas.
 • Comunicaciones: Verificar que el uso y el rendimiento de la red sea el más
adecuado.

Técnicas de Auditoría

Existen varias técnicas de Auditoría Informática de Sistemas, entre las cuales

se mencionan:
• Lotes de Prueba: Transacciones simuladas que se introducen al Sistema a fin
de verificar el funcionamiento del mismo. Entre los datos que se deben incluir
en una prueba se tienen:
•Datos de Excepción.
• Datos Ilógicos.
• Transacciones Erróneas

Auditoría para el Computador: Permite determinar si el uso de los equipos de

computación es el idóneo. Mediante esta técnica, se detectan equipos sobre y
subutilizados.

Peligros Informáticos
• Incendios: Los recursos informáticos son muy sensibles a los incendios, como
por ejemplo reportes impresos, cintas, discos.
 Inundaciones: Se recomienda que el Departamento de computación se
encuentre en un nivel alto. La Planta Baja y el Sótano son lugares propensos a
las inundaciones.
• Robos: Fuga de la información confidencial de la empresa.
• Fraudes: Modificaciones de los datos dependiendo de intereses particulares.

Medidas de Contingencia Mecanismos utilizados para contrarrestar la pérdida o daños

de la información, bien sea intencionales o accidentales. La más utilizada es la Copia
de Seguridad (Backup), en la cual se respalda la información generada en la empresa.

 Copias de Seguridad: Las copias pueden ser totales o parciales y la frecuencia

varía dependiendo de la importancia de la información que se genere.
 Backup Se recomienda tener como mínimo dos (2) respaldos de la información,
uno dentro de la empresa y otro fuera de ésta (preferiblemente en un Banco en
Caja Fuerte

Medidas de Protección:

Medidas utilizadas para garantizar la Seguridad Física de los Datos. Aquellos

equipos en donde se genera información crítica, deben tener un UPS. De igual forma,
el suministro de corriente eléctrica para el área informática, debe ser independiente del
resto de las áreas.

Medidas de Control y Seguridad

Mecanismos utilizados para garantizar la Seguridad Lógica de los Datos.

En los Sistemas Multiusuarios se deben restringir el acceso a la Información,
mediante un nombre de usuario (login) y una contraseña (password). Del mismo
modo, se debe restringir el acceso a los Sistemas en horas no laborables salvo casos
excepcionales.
Existen dos enfoques básicos para la Auditoria de Sistemas de Información, conocidos
como:
1. Auditoria Alrededor del Computador y
2. Auditoria a través del Computador.

Auditoria Alrededor del Computador: La cual comprende la verificación tanto de los

datos de entrada como de salida, sin evaluar el software que procesó los datos.
Aunque es muy sencillo, no hace el seguimiento de las transacciones ni la exactitud ni
integridad del software utilizado. Es por ello, que se recomienda como complemento
de otros métodos de auditoria.

Auditoria a Través del Computador: Comprende la verificación de la integridad del

software utilizado, así como también los datos de entrada y la salida generada tanto
por las redes y sistemas computacionales. Sin embargo, la auditoria a través del
computador requiere de un conocimiento tanto de las redes como del desarrollo de
software.

Una de las actividades que más dolores de cabeza trae a las organizaciones es el
desarrollo de los nuevos sistemas informáticos. Existen muchas razones para tantos
inconvenientes, entre las que se destaca: una pobre determinación de los
requerimientos (tanto los analistas como los usuarios, que en muchas oportunidades
asumen cosas que el otro no ha dicho), carencia de un prototipo adecuado, una
deficiente prueba del sistema y la premura con la que se implanta el mismo.

En este sentido, la auditoría debe verificar que se cumplan a cabalidad cada una de
las fases del desarrollo del sistema. Se deben chequear los instrumentos y métodos
empleados para la determinación de los requerimientos, las herramientas que se
utilizan para la construcción del sistema, evaluar el prototipo que va a ser mostrado a
los usuarios y verificar que se hagan las pruebas al sistema antes de ser implantado.
Recuerde: es preferible esperar un poco más por un sistema probado y ajustado a las
necesidades que querer implantar “en dos días” un software que no ayudará en nada a
los procesos empresariales, por el contrario: entorpecerá los mismos.

La materia prima para la generación de la información son los datos de entrada, es por
ello que todo proceso de auditoría informática debe contemplar el estudio de los
mismos. Bajo esta premisa, es importante llevar un control del origen de los datos que
se introducen al sistema y en la medida de lo posible, el responsable de la introducción
de los mismos.

Por ejemplo, para un banco el origen de los datos lo representan las planillas de
depósito, retiro, entre otras. Si se lleva un control de dichos documentos es fácil
auditar lo que tiene el sistema contra el soporte físico (las planillas). Dicho proceso
permite entonces detectar errores de trascripción de datos al Sistema.