Universidad de San Carlos de Guatemala

Facultad de Ciencias Económicas

Escuela de Auditoría
Jornada Fin de Semana
Seminario de Integración Profesional

EVALUACIÓN DE CONTROL INTERNO DE TI

Integrantes Grupo No.14

9721318 Marta Idania Alvarez Sarmiento

200115731 José Elias Kestler Rosales
200912596 Gustavo Adolfo Granados López
200912707 Paulo Humberto Flores González
200921265 Santos David Xocoxic Chavalo
200921522 Maria Onofre González Castillo
201011085 Raúl Alexander Díaz González
201111104 Victoria Marisela Ramírez García

Guatemala, 13 de mayo de 2,018

Indice
 INTRODUCCIÓN

La auditoría de TI realiza la evaluación de norma, controles, técnicas y procesos

establecidos en una organización que permite lograr confiabilidad, oportunidad,
seguridad y confidencialidad de la información que se procesa a través de los
sistemas de información.

El objetivo final es proporcionar una serie de herramientas para que la gerencias

pueda conectar los requerimientos de control con los aspectos técnicos y los
riesgos del negocio, permitir el desarrollo de las políticas y buenas prácticas para
el control de las tecnologías en toda la organización, enfatizar el cumplimiento
regulatorio, ayudar a las organizaciones a incrementar su valor a través de las
tecnologías y permitir su alineamiento con los objetivos del negocio.

Mediante la aplicación de la tecnología se logra la excelencia operativa y mantiene

los riesgos relacionados con TI en un nivel aceptable, se genera incremento en la
realización de beneficios a través de del uso efectivo e innovados de la tecnología,
optimiza el costo de los servicios de tecnología, su principal activo es la
información la cual posee un ciclo de vida: se crea, se utiliza se conserva, se
revela y se destruye.
 CAPITULO I
Los sistemas informáticos y el trabajo del Auditor.
Sistema
Es un conjunto de elementos o partes que se integran o relacionan para producir
un resultado.
Sistema de Información
Es el conjunto de elementos y procedimientos íntimamente ligados que inter
actuando entre sí con las demás partes de la organización, llevan a cabo el
proceso de captación de datos y entrega de información, con el objeto de
proporcionar conocimientos necesarios a las personas indicadas, para la toma de
decisiones.
Tipos de Sistema de Información:
 Manual.
 Mecánico.
 Electromecánico.
 Electrónico.
Informática
Conjunto de conocimientos científicos y técnicos que hacen posible el
procesamiento automático de los datos, mediante el uso de computadores, para
producir información útil y significativa para el usuario.
Sistema informático
Es el conjunto que resulta de la integración de cuatro elementos:
1. Hardware
2. Software
 3. Datos
4. Personas
Estos componentes se relacionan (dando origen a los PROCESOS) haciendo
posible el procesamiento automático de los datos, a través de ordenadores, para
producir información útil.
Proceso Electrónico de Datos
Consiste en la transformación de datos, (que no son útiles por sí mismos) a través
de un proceso a fin de obtener un producto (información) que es útil sin
transformaciones posteriores. Transformación vía medios electrónicos para
nuestro caso COMPUTADORAS. Esto trae como beneficio el proceso rápido y
económico de enormes cantidades de datos.
Ciclo Básico del PED
Consiste en un método sistemático para manejar datos y obtener la información
deseada y está constituido por tres etapas:

Entrada
Consiste en la recopilación de todos los datos requeridos, ordenándolos en una
forma adecuada para su procesamiento. En esta etapa los datos deben
“registrarse” de una manera adecuada para el sistema de procesamiento que se
utilice.
Proceso
Es la etapa en la cual se realizan o ejecutan todos los cálculos o pasos necesarios
con los datos de entrada. En esta etapa se realizan labores como: Clasificación,
cálculo, comparación y análisis.
Salida
Es el resultado del procesamiento de datos o representación de la información
deseada.
Ciclo Extendido del PED
Se conoce así al ciclo Básico más otras dos etapas que son:
Documentos Fuente:
Se refiere al origen y la forma como se registra, pudiendo ser grande, pequeño,
manuscrito, impreso, etc.
Almacenamiento de Datos:
Al finalizar el ciclo del procesamiento o dentro del mismo, es un punto donde se
obtienen resultados intermedios, se almacenan datos de manera que se puedan
recuperar rápidamente.

Auditoria del PED – Enfoque tradicional

Es el conjunto de técnicas y actividades destinadas a analizar, evaluar, verificar y
recomendar sobre el control, planificación, la adecuación, eficacia y seguridad de
la función computacional en la empresa.
También se dice que “es el examen discontinuo de un sistema computacional, o
del servicio computacional a petición de su dirección para mejorar la rentabilidad,
la seguridad y la eficacia”.
Por ello, la Auditoría de PED es la verificación del control en 3 áreas que son:
  Aplicaciones y mantenimiento de las mismas
 Desarrollo de Sistemas
 Operaciones de la Instalación
Auditoría Informática
Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un
sistema informatizado salvaguarda los activos, mantiene la integridad de los datos,
lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los
recursos.
Objetivos de la Auditoria Informática
La Auditoria Informática sustenta y confirma la consecución de los objetivos
tradicionales de auditoria:
 Objetivos de protección de activos e integridad de datos
 Objetivos de gestión que abarcan, no solamente los de protección de
activos, sino también los de eficacia y eficiencia.
Auditoría de Tecnologías de Información -A.T.I.-
Conocida también como Auditoría en Informática, Auditoría de Sistemas o también
como Auditoría de TI
Se ha consolidado en el mundo entero como cuerpo de conocimientos cierto y
consistente, respondiendo a la acelerada evolución de la tecnología informática de
los últimos 10 años.
En algunos países altamente desarrollados es catalogada como una actividad de
apoyo vital para el mantenimiento de la infraestructura crítica de una nación, tanto
en el sector público como privado, en la medida en que la información es
considerada un activo tan o más importante que cualquier otro en una
organización.
El Rol de la Auditoría de TI en la empresa
El auditor de sistemas debe jugar un rol proactivo a través de todas las etapas del
proceso de sistematización del negocio.
Adicionalmente debe apoyar a la Auditoría Financiera en su proceso de obtención
de evidencia y validación de procedimientos de control a través del uso de C.A.A.T
(Computer Audit Assisted Technologies) y del computador.
Los servicios de Auditoría de Tecnologías de Información se encuentran
orientados al mercado pro-activo y preventivo, brindándole a nuestros clientes
evaluaciones de sus controles, que sirvan para el fortalecimiento de su seguridad
e infraestructura tecnológica.
Objetivos Específicos de la Auditoría de T.I.
 La información y la tecnología es el activo más valioso del nuevo milenio.
 La información puede constituirse en una ventaja competitiva de la empresa
frente a terceros. Su uso inadecuado puede convertirse en la peor
amenaza.
 La información es la memoria y conocimiento de la empresa. Base de su
desarrollo y adaptación futura.
 Todo lo que la rodea (la información) y la soporta, debe estar
adecuadamente asegurado y controlado. Hablamos de equipos, personas y
programas de computador.
Funciones del Auditor Informático
 Participar en las revisiones durante y después del diseño, realización,
implantación y explotación de aplicaciones informáticas, así como en las
fases análogas de realización de cambios importantes.
 Revisar y juzgar los controles implantados en los sistemas informáticos
para verificar su adecuación a las órdenes e instrucciones de la dirección,
requisitos legales, protección de confidencialidad y cobertura ante errores y
fraudes.
 Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los
equipos e información.

Controles
Riesgos que amenazan la información:
Externos
Son riesgos naturales como por ejemplo: temblor, incendio, inundación, tormenta,
riesgos humanos ejemplo: robo, sabotaje, motines sociales, fraude, riesgos
materiales ejemplo: desperfectos en el equipo y fallas de energía.
Internos
Robo de (papelería y útiles, recursos, información de datos, programas)
Sabotaje destrucción de (datos y/o recursos, voluntaria o involuntaria)
huelgas fraude.
Ambiente débil de control propicio para el fraude:
 Poca o ninguna restricción física en el acceso al equipo
 Carencia de un Depto. de auditoría interna
 Control absoluto sobre las actividades desarrolladas por el PED
 Falta de documentación sobre los sistemas y programas en producción.
 Errores corregidos mediante solicitudes verbales
 Cambios en línea a los datos contenidos en el sistema
 Poco o ningún control sobre el uso de reportes elaborados por el PED
 Uso del PED en horario nocturno, sin ninguna supervisión sobre las
funciones que se realizan.
 Poco o ningún control sobre el consumo y circulación de suministros.
 Los Deptos. usuarios no revisan la información procesada y preparada por
el PED
 Solicitudes verbales de cambios de programas. Programas fuente que
permanecen en el sistema.
 Presencia en el directorio de programas ajenos a la producción de la
empresa.
 Poca o ninguna rotación de personal, ausencia de planes de vacaciones,
etc.
Procesamiento de datos fuera del ámbito de la empresa, con gran flujo de
documentos e información sin ningún control.
Definiciones de control
“Control” puede usarse de diferentes formas: comprobación, examen, inspección,
verificación, dirección, gobierno, mando.
En el campo de la administración de empresas se suele utilizar ambos
significados:
 Acto aislado y simple de verificación (sentido estricto)
  Función de la dirección de empresas (sentido amplio).
“Es una medida y corrección del desempeño de las actividades de los
subordinados para asegurar que los objetivos y planes de la empresa, diseñados
para lograrlo, se están llevando a cabo.”
La función de control:
 Control es todo lo que tiende a evitar errores.
 Control es todo lo que tiende a minimizar riesgos.
Es aquella que tiene por finalidad asegurar que todos y cada uno de los actos de
una organización obtengan los objetivos previstos, dentro de los límites prefijados.
No se limita exclusivamente a verificar en qué medida se logra un objetivo.
El control íntegramente considerado debe considerar que los actos logren los
resultados previstos y no solamente señalar las eventuales desviaciones.
El control es la suma de factores deliberadamente dispuestos por la organización
con el fin de:
Condicionar cada acto, asegurando que sea realizado de un modo determinado.
 Determinar la medida en que cada acto dio el resultado previsto.
 Informar los resultados y las eventuales desviaciones, retroalimentando de
esta manera todo el proceso.
Proceso básico del control:
 Establecimiento de Normas
 Evaluación de la Actuación
 Corrección de las Desviaciones
Requisitos que deben cumplir los controles:
 Deben reflejar la naturaleza y necesidades de la empresa
 Deben reportar prontamente las desviaciones
 Deben ser futuristas
 Deben señalar excepciones
 Deben ser objetivos
 Deben ser flexibles
 Deben ser económicos
 Deben ser comprensibles
 Deben conducir a la acción correctiva.
“Las labores de control se enfrentan siempre a fuerte oposición:
Por parte de los eficientes y honestos, porque lo consideran innecesario, inhibitorio
o degradante.
De los deficientes, porque no se percatan de su utilidad, y por parte de los
deshonestos, porque les estorba.”
Clasificación de los controles
a) Por su naturaleza
 Generales (varios sistemas)
 Manuales (uso de humanware)
 Automáticos (incorporados)
b) Por su efecto:
 Disuasivos
 De evidencia
 Preventivos
 Defectivos
 Correctivos
 Recuperativos
c) Por su estado:
 Recomendados
 Descartados
 Implantados
Controles Preventivos
Son aquellos que reducen la frecuencia con que ocurren las causas de error.
Características:
 Reducen la frecuencia de errores
 Previenen operaciones no autorizadas
 Son sutilmente incorporados en los procesos
 Son los de más bajo costo.
Autorización:
La iniciación de una transacción o la ejecución de un proceso se limitan a los
individuos autorizados para ello, ya que los mismos deben contar con ciertos
permisos de autorización para cumplir con el procedimiento.
Custodia Segura:
A los activos de información se les aplican medidas de seguridad similares a las
de los activos tangibles, tales como efectivo, valores negociables, etc.
Formas pre-numeradas:
En las formas individuales se pre-imprimen números consecutivos a fin de permitir
la detección posterior de su pérdida o mala colocación, por ejemplo las facturas
autorizadas por la Administración Tributaria obligatoriamente deben de llevar una
secuencia cronológica en número. 
Formas pre-impresas:
Los elementos fijos de información se anotan por anticipado en las formas y, en
algunos casos, en un formato que permite el procesamiento directo por el
computador, a fin de prevenir errores en la anotación de datos repetitivos.
Documento de retorno:
Es un documento producido por el computador, con el objeto de que vuelva a
entrar al sistema.
Endoso:
Marcar una forma o un documento a fin de dirigir o restringir su uso posterior en el
procesamiento.
Cancelación:
Marcar o identificar los documentos de las transacciones a fin de prevenir su uso
posterior una vez que han cumplido su función. 
Contraseñas:
La autorización que permite el acceso a información o procesos, por medio de una
señal o clave conocida únicamente por los individuos autorizados para ello.
Confiabilidad del personal:
Puede confiarse en que el personal que efectúa el procesamiento maneja los
datos en forma adecuada y consistente.
Entrenamiento:
Se proporcionan instrucciones explícitas al personal y se verifica que las hayan
comprendido, antes de asignárseles nuevas tareas.
Competencia del personal:
Las personas asignadas a funciones de procesamiento o de supervisión dentro de
los sistemas de información, poseen el conocimiento técnico necesario para llevar
a cabo sus funciones. 
Mecanización:
El utilizar medios mecánicos o electrónicos para procesar la información,
proporciona consistencia al procesamiento.
Segregación de funciones:
La responsabilidad de la custodia, control del manejo y el procesamiento de la
información, se encuentran separadas.
Controles Detectivos
Estos no impiden que ocurra una causa de error, sino que acciona la alarma
después de que haya ocurrido.
Pueden impedir la continuidad de un proceso
No impiden que ocurra un error, pero dan la alarma después que haya ocurrido
Requieren de ciertos gastos operativos moderados.
Documento de envío
Es el medio para comunicar las cifras control a través del movimiento físico de la
información, particularmente de la fuente al punto de procesamiento o entre
puntos de procesamiento.
Números consecutivos de lote
Los lotes de documentos de transacciones se numeran en forma consecutiva y se
controlan.
Cifras de control de cantidades
Son totales de valores homogéneos para un grupo de transacciones o registros,
generalmente en valores monetarios o cantidades.
Cifras de control de número de documentos:
Consiste en que se efectúa un conteo del número de documentos individuales y
este total es el que se controla.
Cifras de control sin significado monetario:
Es un total no significativo, pero útil, obtenido de la sumatoria de información
numérica no monetaria.
Totales de lote
Es cualquier tipo de cifra control o conteo que se aplica a un número específico
de documentos de transacciones o a los documentos de las transacciones que se
reciben en un periodo de tiempo específico.
Verificación de rebasamiento:
Es una verificación de límite que se basa en la capacidad de un área de la
memoria o de un archivo para aceptar información.
Verificación de integridad
Consiste en comprobar que se hayan anotado datos en aquellos campos que no
pueden procesarse si se dejan en blanco.

Dígito verificador
Es un dígito, generalmente el ultimo de un campo de identificación, que es una
función matemática de todos los demás dígitos en el campo. La validez de todo el
campo se comprueba al calcular, con base en los demás dígitos del campo, el
digito verificador y compararlo con el consignado en el campo.
Razonabilidad
Pruebas que se aplican a varios campos de información mediante la comparación
con otra información disponible en los registros de transacciones o los maestros, a
efecto de establecer su razonabilidad.

Verificación de límite
Pruebas de los campos de importes específicos, contra limites inferiores o
superiores de aceptabilidad estipulados. Cuando se verifican ambos limites, la
prueba suele denominarse “verificación de rango”.
Verificación de validez
Los caracteres en un campo codificado son cotejados contra un conjunto
aceptable de valores en una tabla, o examinados con respecto a un patrón
definido de formato, utilizando la lógica y la aritmética.

Fechas
Registrar fechas de calendario para efectos de comparaciones posteriores o de
pruebas relativas a la expiración de documentos.

Verificación de la digitación
La entrada redundante de datos por medio de un teclado, a fin de verificar la
exactitud de una entrada anterior. Las diferencias entre los datos previamente
registrados y los datos accesados en la verificación originan una señal mecánica.
Aprobación
Consiste en la aceptación de una transacción para que sea procesada, después
de que se ha iniciado.
Totales de corrida a corrida
Consiste en el uso de las cifras de control de salida que resultan de un proceso,
como cifras de control para un procesamiento posterior. Las cifras control se
utilizan como enlaces en una cadena para unir un proceso con otro en una
secuencia de procesos.

Igualización / comparación
Es una prueba para determinar la igualdad entre los valores de dos conjuntos
equivalentes de partidas o entre un conjunto de partidas y una cifra control.
Cualquier diferencia indica un error.
Clasificación por antigüedad
Consiste en la identificación de partidas sin o con poco movimiento, de acuerdo
con su fecha, generalmente la fecha de la transacción. Esta clasificación segrega
las partidas de acuerdo con varios límites de fechas.
Cuenta de partidas pendientes de procesarse
Cotejar las partidas del flujo del procesamiento en una aplicación con otras
desarrolladas en forma independiente, a fin de identificar partidas no procesadas o
diferencias en las mismas.
Cotejo
Cotejar las partidas del flujo del procesamiento en una aplicación con otras
desarrolladas en forma independiente, a fin de identificar partidas no procesadas o
deferencias en las mismas.
Auditoria periódica
Consiste en la verificación de un archivo o de una frase de procesamiento, con el
objeto de detectar problemas y fomentar el cumplimiento de los procedimientos
establecidos.
Etiquetas
Consiste en la identificación externa o interna de los lotes de transacciones o de
los archivos de acuerdo con su fuente, aplicación, fechas u otras características de
identificación.

Controles Correctivos

Ayudan a la investigación y corrección de las causas de los errores que hayan

sido detectados. La acción correctiva es siempre necesaria., son casi siempre muy
costosos.
Reportes de discrepancias o inconsistencias
No es más que un listado de las partidas que han violado algún control detectivo y
que, consecuentemente, requieren investigación posterior.
Rastro de auditoria
Pista de auditoria o pista de las transacciones, consiste en la disponibilidad de un
medio manual o legible por computador que permita rastrear el estado y el
contenido del registro de una transacción individual, hacia atrás o hacia delante,
entre salida, procesamiento y fuente.
El rastro de auditoria en los sistemas de procesamiento de información no
electrónico, consiste en documentos, libros, diarios, mayor, registros auxiliares y
hojas de trabajo, que permiten al auditor comprobar una operación hacia delante a
un total de resumen o investigar un total de resumen hacia atrás a la operación
original.
Utilizando ese rastro, el auditor puede efectuar pruebas para determinar si el saldo
de determinada cuenta refleja fielmente las operaciones efectuadas por la
empresa.

Cabe comentar que, en opinión de muchos autores, el término “rastro de auditoria”

o “pista de auditoria”, no es del todo adecuado, pues tal “rastro” o “pista” más bien
es una herramienta para dar seguimiento a las transacciones y corregir
excepciones, utilizada especialmente por los empleados asignados a la corrección
de errores o a funciones de control de calidad. Además, se estima que es la
empresa la que hace más uso de estos rastros en su operación normal, pues está
sujeta constantemente a investigaciones y a preguntas provenientes de fuentes
externas, tales como clientes, proveedores, dependencias gubernamentales, etc.
En los sistemas que no utilizan procesamiento electrónico de información, por la
capacidad de proceso del computador, sufre cambios que tienen que ver
principalmente, con el uso de registros legibles a máquina, así:
Los documentos fuente, una vez transcritos al medio legible a máquina, ya no son
utilizados en el ciclo de procesamiento, por lo que pueden ser archivados en una
forma que haga difícil el acceso posterior a ellos.
En algunos sistemas, los documentos fuente tradicionales pueden ser eliminados
por el uso de dispositivos de acceso directo.
Los resúmenes (saldos) del mayor pueden ser sustituidos por archivos maestros
que no muestran las cantidades que conducen a la determinación de los valores
resumidos.
El ciclo del procesamiento de información no proporciona necesariamente un
listado o diario de las operaciones. Proporcionar un listado de este tipo puede
requerir una acción específica a un costo apreciable.
Algunas veces es innecesario preparar informes impresos de los registros
históricos. Los archivos pueden ser conservados en medios utilizados por el
computador y los informes impresos preparados solamente por excepción.
Los archivos conservados en medios magnéticos solo pueden ser leídos con el
uso del computador y del programa correspondiente.
La secuencia de los registros y las actividades del procesamiento son difíciles de
observar debido a que muchos de los datos y muchas de las actividades están o
se realizan dentro del computador.

Los principios generales aplicables al diseño de rastros adecuados para auditoria,

son los siguientes:
Para todas las operaciones que afectan los estados financieros debe haber un
medio de establecer la cuenta a la cual son transcritas las operaciones.
Por todas las cuentas reflejadas en los estados financieros debe haber un medio
para comprobar el importe de las cifras del total, hacia los elementos de las
operaciones individuales.
Por todas las operaciones y cuentas que originan un número importante de
consultas deben existir medidas para proporcionar los registros necesarios para
contestar las consultas en forma regular.
Por todas las operaciones y cuentas que típicamente no son objeto de consultas,
debe haber un medio de comprobación, aun cuando no se establezcan medidas
para contestar consultas en forma regular.

Los métodos mediante los cuales se pueden aplicar estos principios generales,
están limitados solamente por el ingenio del diseñador del sistema; sin embargo,
existen tres métodos básicos, a saber:
El archivo proporciona el saldo actual y las referencias de todos los cambios
mediante un listado de transacciones o número de lote. Cada cambio en el saldo
del archivo es registrado por referencia al listado de transacciones o al de lote. El
listado de transacciones proporciona los detalles para comprobar hacia atrás hasta
llegar a la operación original.
El archivo proporciona solamente el saldo. Los cambios en el saldo son obtenido
de listados de transacciones. El uso de listados de transacciones es el único
medio para comprobar los cambios en una cuenta; en consecuencia, los cambios
pueden ser combinados y sumarizado por periodos, semanales, mensuales.
El archivo proporciona el saldo y tiene referencia de los documentos para cada
transacción, en consecuencia, ningún listado de transacciones es usado para
referencia. Este método es adecuado cuando el número de operaciones para
cada registro es pequeño.

Estadísticas de errores y su fuente

Consiste en llevar control estadístico de la información relativa a los diversos tipos
de errores que se dieron en el proceso y cal fue el origen de los mismos. Esta
información se utiliza para determinar los procedimientos que deberán aplicarse a
efecto de reducir la cantidad de errores.

Corrección automatizada de errores

Se refiere a que el propio computador realiza un proceso para corregir cierto tipo
de errores de transacciones o de registros que violan un control detectivo; así, si
por error se pagó una factura que excedía al valor de la orden de compra
correspondiente, el computador produce automáticamente una nota de cargo al
proveedor, por la diferencia.
Respaldo y recuperación
Consiste en que deben conservarse los archivos maestros y las transacciones del
día anterior, a efecto de tener la posibilidad de volver a crear nuevos archivos
maestros actualizados, en caso se destruyera el archivo maestro del día.
Re inclusión en el proceso
Se refiere a que las transacciones cuyos errores detectados, fueron corregidos,
deben re incluirse en el proceso como si fueran datos de entrada nuevos,
debiendo en consecuencia, pasar a través de todos los controles detectivos que
se aplican sobre las transacciones normales.
Participación Del Auditor En El Desarrollo Del Sistemas

Los Sistemas Informáticos se han constituido en las herramientas más poderosas

para materializar uno de los conceptos más vitales y necesarios para cualquier
organización empresarial, los Sistemas de Información de la empresa.
Los sistemas de información hoy están incluidos en la gestión integral de la
empresa, en consecuencia, las organizaciones informáticas forman parte de lo que
se ha denominado la gestión de la empresa, ayudando a la toma de decisiones,
por ende, debido a su importancia en el funcionamiento de una empresa, existe la
auditoria de sistemas.
La participación del Auditor en los diseños de sistemas se refiere a asesorar sobre
la implementación de controles para prevenir la ocurrencia de riesgos.
Cuando se diseñan los nuevos sistemas de información es el mejor momento para
establecer los controles de dichos sistemas. El papel del auditor debe ser de
asesor y no de crítico, de colaborador y no de ordenador, además se deben crear
las pistas de auditoria para facilitar el ejercicio o práctica de esta posteriormente.
Desarrollo de sistemas
Podemos definir el desarrollo de sistemas informáticos como el proceso mediante
el cual el conocimiento humano y el uso de las ideas son llevados a las
computadoras; de manera que pueda realizar las tareas para la cual fue
desarrollada.
Auditor de Sistemas
Conociendo la importancia y el valor que se le da a toda la información que de
forma sistematizada se maneja en las compañías actuales y que más aún se ven
obligadas a mantenerse a la vanguardia, nace también la necesidad de controlar
el correcto funcionamiento y utilización no solo de la información sino, además de
los sistemas que procesan dicha información, en todos los aspectos asegurándose
de que estos cumplan todas las normativas que la rigen obteniendo como
resultado un proceso de calidad y acorde a las exigencias, debido a estas
necesidades se dio cabida a lo que ahora conocemos como Auditoria de
Sistemas, la cual da como resultado la formación de profesionales que tengan la
capacidad de desarrollarlas.
Auditoria de sistemas de Información
La auditoría de sistemas es la revisión y la evaluación de los controles en los
sistemas de información, para determinar su uso adecuado, eficiencia y seguridad
en el procesamiento de la información, a fin de que por medio el señalamiento de
cursos alternativos se logre una utilización más eficiente y segura de la
información que servirá para una adecuada toma de decisiones.
Realizada por personal externo a la empresa, proporciona al negocio una
evaluación independiente y objetiva de los hechos que, en ocasiones es difícil de
obtener cuando se está inmerso en la operación y en presión de la problemática
del día a día.
Determinar si los controles implementados son eficientes y suficientes,
identificar las causas de los problemas existentes en los sistemas de información y
a su vez las áreas de oportunidad que puedan encontrarse, determinando las
acciones preventivas y correctivas necesarias para mantener a los sistemas de
información confiables y disponibles.
La auditoría de sistemas identifica causas y soluciones a problemas específicos de
los sistemas de información, que pueden estar afectando a la operación y a las
estrategias del negocio. Por ejemplo:
 Cumplimiento de licencias de software (identificar software pirata, control de
licencias).
 Incompatibilidad del hardware y software.
 Errores frecuentes de la aplicación (“caída”, resultados inexactos, lentitud).
 Bases de Datos con problemas de integridad.
 Bajo desempeño del hardware y software.
 Proyectos con retrasos o que “nunca terminan”.
 Insatisfacción de los usuarios para con los sistemas de información.
 Corrección frecuente a los programas de las aplicaciones.
 Fallas en el control de versiones.
Participación del auditor en el desarrollo de sistemas
La participación del auditor es uno de los mejores controles en el desarrollo de
sistemas. Es el mejor momento para que el auditor pueda influir en el diseño de
controles. Durante este periodo se pueden hacer cambios en la estructura del
control del aplicativo, a un costo mucho más bajo y con esfuerzos menores. Que
después de estar el sistema en su etapa productiva su contribución principal
consiste en asegurar que los nuevos sistemas incluyan controles apropiados
(efectivos y suficientes).
En estas actividades su interés se concentrará primordialmente en el desarrollo
e implantación de controles de aplicación adecuados.
Su principal función es asegurar que los sistemas, recientemente implantados
incluyan características de control sólidas y confiables. En términos generales es
ayudar a prevenir que se implanten sistemas de aplicación que tengan riesgos
importantes. El auditor participa en el proceso de desarrollo de sistemas revisando
la documentación generada como producto final de ciertas actividades de
desarrollo de sistemas.
El auditor necesita reconocer que su participación durante el desarrollo de los
sistemas ya que puede amenazar su independencia y deberá tomar medidas para
evitar esta pérdida. Estas medidas incluyen:
 Permanecer organizacionalmente independiente del grupo de sistema. Esto
significa que el auditor no es un miembro en propiedad del grupo de
desarrollo de sistema y no le quita la dirección del proyecto al gerente del
grupo del proyecto.
 Redactar los informes independientemente del grupo del proyecto. Las
opiniones del auditor, sus recomendaciones y sus evaluaciones no
deberían incluirse en los informes de status del proyecto puesto que el
emisor de los informes (usualmente el gerente del grupo del proyecto) tiene
autoridad editorial para modificar las declaraciones del auditor.
 Investigar independientemente del grupo del proyecto. El grupo del
proyecto puede estar restringido a ciertos contactos y cierta autoridad, pero
el auditor tiene libre acceso a la información y al personal de la
organización.
Importancia
La participación del auditor en el desarrollo de sistemas puede darse:
 Como consultor de TI
o Cualquier empresa ya sea grande o PYME, tarde o temprano,
necesitará un informático que le preste unos determinados servicios.
Pero muchas de ellas no tienen la posibilidad de incluirlo en plantilla.
Si eres de esas empresas, al menos sí que es necesario tener
un consultor tecnológico disponible y que pueda solventar
cualquier eventualidad que surja, como la reparación de
ordenadores o instalación de equipos informáticos.
o Un problema informático, por simple que sea, puede paralizar una
empresa en un momento dado. En esos casos es donde se requiere
la ayuda de ese informático externo que ya debes tener localizado de
antemano y que tiene los conocimientos suficientes como para
solucionarte el problema en un instante.
o Una consultoría va enfocada hacia cualquier aspecto informático que
la empresa o PYME precise en ese momento, como pueden ser
algunos de los siguientes puntos:
 Un servidor controlado en todo momento (servicio de hosting).
 La configuración de la red de ordenadores de la empresa.
 Los sistemas de seguridad, archivos de copias y antivirus.
 Las actualizaciones de licencias.
 Las migraciones a otros sistemas operativos como Windows 8
o GNU/Linux…
De esta forma, la PYME estará centrada en su negocio, pero con la tranquilidad
que da el disponer de un consultor informático que, aunque externo, siempre está
atento y dispuesto a solventar un problema, porque si el negocio de una empresa
se paraliza por un error informático, las consecuencias para dicha PYME pueden
ser irreparables y catastróficas.
Como Auditor Externo
Si nuestra función es la de Auditor Externo, nuestro papel en el desarrollo de
sistemas se reduce dado que nuestra responsabilidad sobre los sistemas
computarizados de contabilidad se contrae a la que se tiene sobre los sistemas
tradicionales de procesamiento de datos y la información que la administración
presenta en los estados financieros, pues los sistemas que procesan y
producen la información contable y financiera son responsabilidad de la
administración y no del Auditor Externo, cuyo principal propósito es dictaminar
los estados financieros de la empresa
Como Auditor Interno
La auditoría interna es una función de control interno posterior de la organización,
que se realiza a través de una unidad especializada, cuyos integrantes no
participan en las operaciones y actividades administrativas. Su propósito es
contribuir al logro de los objetivos de la entidad mediante la evaluación periódica
del control interno.

Sistema de información y comunicación

Sistema de información
“Consiste de infraestructura (física y componentes de hardware), software,
persona, procedimientos y datos. La infraestructura y el software estarán
ausentes, o tendrán menos importancia, en sistemas que sean exclusivamente o
principalmente manuales. Muchos sistemas de información hacen uso extenso de
tecnología de la información (TI)”.
Sistemas de información nuevos o renovados
Los cambios importantes y rápidos en los sistemas de información pueden
cambiar el riesgo relativo al Control Interno.
Nueva tecnología
Incorporar nuevas tecnologías en los procesos de producción o sistemas de
información puede cambiar el riesgo asociado con el Control Interno.
Evaluación del Control Interno
La evaluación del control interno consiste en analizar, estudiar, comparar y dar un
valor estimado a lo que se haya examinado.
Es un servicio gerencial, por lo que sus objetivos deben ser idóneos a los objetivos
de la gerencia: reducción de costos innecesarios, incremento de la eficiencia de
operación, eliminación del mal uso de activos de la empresa y obtención de
mayores utilidades.
La evaluación de un sistema de control se realiza comparando los hechos
realizados con los estándares. Los estándares son los mecanismos de control que
forman parte y regulan un sistema de control, por ejemplo:
 Manuales de políticas, riesgos, procedimientos, organización y funciones
 Reglamento de Control Interno, Auditoría Interna, Auditoría Externa,
 organización y funciones
 Planes estratégicos
 Presupuestos
 Programas de inversiones
 Programas de financiamiento
Para que la auditoria interna esté en condiciones de hacer un trabajo efectivo,
son necesarios los aspectos mínimos siguientes:
 Respaldo total de la administración
 Comunicación fluida y permanente con el departamento de TI
 Personal de auditoria interna con suficientes conocimientos en materia de
TI
Oportunidad
La participación del auditor interno en el desarrollo de sistemas debe darse
precisamente en el desarrollo del mismo, a efecto de que los controles que se
consideran necesarios, sean incorporados en las diferentes fases o etapas del
desarrollo, ya que una vez funcionando el sistema, es mas difícil y costoso
efectuar las modificaciones.
Aspectos generales
Normalmente la metodología utilizada para el desarrollo de sistemas consiste en
dividir el esfuerzo en fases o etapas, claramente definidas, pueden clasificarse así:
Planificación del sistema
a. Investigación preliminar
b. Estudio de factibilidad
c. Planificación inicial
Desarrollo de sistemas
a. Desarrollo de modelos de solución
b. Diseño del modelo elegido
c. Programación y prueba
Implantación del sistema
a. Preparación de la implantación
b. Implantación operativa
c. Revisión post- implantación y seguimiento Normativa

Principales dificultades del auditor en el desarrollo de sistemas

Problemas
 los auditores pierden su independencia mental y objetividad al participar
en el desarrollo de sistemas?
 ¿Si el auditor participa y dice que los controles son apropiados,
posteriormente se sentirá impedido para decir son inadecuados los
controles?
 ¿Se justifica producir aplicativos con pobres controle simplemente para
que el auditor pueda mantener independencia?
 Se justifica asignar auditores para periodos extensos de tiempo a la
actividad de desarrollo de sistemas
Soluciones:
• Hacer que las aplicaciones en funcionamiento sean revisadas por
auditores diferentes a los que participaron durante el desarrollo del
sistema.
 • Efectuar revisiones solo en puntos críticos del ciclo de vida del desarrollo
de sistemas
Participación del auditor interno en el desarrollo de sistemas
 Solicitud del usuario: Conocer y verificar la necesidad y sus objetivos
 Estudio de Factibilidad: Conocer el dictamen que justifica el proyecto.
Planear la participación de la auditoria
 Análisis del sistema: Determinar los controles de que debe constar el nuevo
sistema
 Diseño del Sistema: Precisar que el proyecto sea acorde con las
necesidades del usuario y que cuente con los controles suficientes
 Programación: Definir que el programa contemple todos los controles
analizados anteriormente.
 Implantación: Probar el sistema con sus propios datos y con las pruebas en
paralelo que se realicen para garantizar la efectividad del sistema
 Documentación del Sistema: Constatar que la documentación se encuentre
completa y debidamente formalizada, revisando las medidas de seguridad
adoptadas.
Auditoria al proyecto de desarrollo de sistemas
Incluye las actividades conducentes a evaluar e informar al comité directivo del
sistema “que tan bien se lleva a cabo las fases de desarrollo del sistema”. La
intervención de la autoridad está orientada a:
 Monitorear y evaluar el cumplimiento de las políticas y estándares de
desarrollo de sistema.
 Evaluar el cumplimiento de los estándares de programación y
documentación.
 Evaluar la objetividad de las revisiones y aprobaciones administrativas de
cada fase.
 Evaluar el cumplimiento del cronograma/presupuesto del proyecto.
 Evaluar la responsabilidad y grado de participación de los usuarios,
proveedores, técnicos, contratistas etc.
 Evaluar la planeación y ejecución de la fase de implantación.
Auditoria a la administración de proyectos de desarrollo de sistema
Los puntos de intervención de la auditoria se establecerán en cada una de las
etapas del ciclo de desarrollo del sistema en que se divida la metodología de
desarrollo que se utilice, la que debe incluir de una u otra manera las siguientes
actividades:
 Definición de necesidades de información.
 Definición del modelo de datos.
 Diseño del sistema de información.
 Construcción y pruebas del sistema.
 Implantación del sistema.
 Operación y ajuste al sistema.
Revisión de las fases de estudio previo
Los objetivos básicos de la participación del auditor en el proceso de desarrollo de
sistemas son:
• verificar que son razonables los procesos que llevan a la solución de los
problemas.
• Determinar que las necesidades del usuario están definidas y
documentadas.
• Verificar que se han elaborado estudios sobre la relación coste/beneficio
y que esta es razonable.
• Determinar que el problema empresarial se ha solucionado.
• Verificar que se han especificado los requisitos de control.
El auditor puede revisarla fase de diseño, deberá tener en cuenta que tiene que
conseguir varios objetivos en su participación en esta fase, como son:
• Identificación de los riesgos de la aplicación determinación de los
controles de la aplicación para reducir el riesgo a niveles aceptables.
• Cumplimiento en la aplicación de estándares, políticas, regulaciones y
procedimientos.
• La documentación de la aplicación ha de completarse.
• La aplicación ha de ser capaz de resolver los problemas planteados.
Los documentos producidos en la fase de diseño por el grupo de proyecto
normalmente incluyen:
• Especificaciones de entrada.
• Especificaciones de proyecto.
• Especificaciones de salida.
• Flujogramas de sistemas.
• Necesidades de hardware y software.
• Especificaciones de procedimiento del manual de operaciones.
• Política de retención de datos.
Revisión de la fase de programación
Los documentos producidos en la fase y que el auditor podrá revisar son,
principalmente;
• Especificaciones de programación.
• Estudio general de la aplicación: diseño físico de los datos y estructura de
la aplicación (transacciones y cadenas).
• Documentación de programas.
• Instrucciones de operación.
• Documentación de los juegos de ensayo: diseño y resultados de las
pruebas.
La información que se obtiene de la fase de pruebas incluye:
• Pruebas del plan.
• Pruebas de los datos.
• Resultados de las pruebas informe del usuario con la aceptación o rechazo
de la aplicación.
La información que el auditor podrá tener a su disposición para la revisión de
esta fase incluye:
• Plan de conversión.
• Flujograma de la conversión.
• Listados de los programas y documentación de la conversión.
• Documentación necesaria para la sustitución de los programas antiguos por
los nuevos en las librerías de explotación y traspaso de programas desde
otras librerías.
• Nuevo manual del operador.
• Nuevo manual del usuario.
• Procedimientos de la verificación de que la fase conversión de ha ejecutado
con éxito.
 CAPITULO II

COBIT 5
Definición
Objetivos de Control para la Información y Tecnologías Relacionadas (Control
Objetives for Informatition an related Technology, por sus siglas en ingles), es una
metolodología publicada en 1996 por el Instituto de Control de TI y la ISACA
(Asociación de Auditoria y Control de Sistemas de Información.
proporciona un marco integral que ayuda a las Organizaciones a lograr su metas y
entregar valor mediante un gobierno y una administración efectivos de la TI de la
Organización.
ISACA ha desarrollado el marco de COBIT 5 para ayudar a las compañías a
implementar unos habilitadores de gobierno sanos. De hecho, la implementación
de un buen GEIT es casi imposible sin la activación de un marco efectivo de
gobierno. También están disponibles las mejores prácticas y los estándares que
soportan al COBIT 5.
Los marcos, mejores prácticas y normas son útiles solamente si son adoptados y
adaptados de manera efectiva. Hay que superar muchos retos y resolver varios
asuntos para poder implementar el Gobierno Corporativo de la Tecnología de la
Información (GEIT por su sigla en inglés) de manera exitosa.

Evolución de la visión general de Cobit desde su creación:

Fuente: Cobit 5, ISACA 2012, Figura1

Principios de COBIT 5
1. Satisfacer las necesidades de las Partes Interesadas
Las Organizaciones tienen muchas partes interesadas y “crear valor” significa
cosas diferentes – a veces conflictivas – para cada una de ellas.
En el Gobierno se trata de negociar y decidir entre los diversos intereses de
beneficio de las diferentes partes interesadas.
El sistema de Gobierno deberá considerar a todas las partes interesadas al
tomar decisiones con respecto a la evaluación de riesgos, los beneficios y el
manejo de recursos.
Para cada decisión se puede, y se debe, hacer las siguientes preguntas:
¿Quién recibe los beneficios?
¿Quién asume el riesgo?
¿Qué recursos se necesitan?
Las necesidades de las Partes Interesadas deben ser transformadas en una
estrategia accionable para la Organización.
Las metas en cascada de COBIT 5 traducen las necesidades de las Partes
Interesadas en metas específicas, accionables y personalizadas dentro del
 contexto de la Organización, de las metas relacionadas con la TI y de las
metas habilitadoras.

2. Cubrir la Compañía de Forma Integral

COBIT 5 se concentra en el gobierno y la administración de la tecnología de la
información y relacionadas desde una perspectiva integral a nivel de toda la
Organización.
Esto significa que COBIT 5:
Integra el gobierno de la TI corporativa en el gobierno corporativo, o sea, el
sistema de gobierno para la TI corporativa propuesto por COBIT 5 se integra,
de una manera fluida, en cualquier sistema de gobierno, toda vez que COBIT
5 está alineado a los últimos desarrollos en gobierno corporativo.
Cubre todas las funciones y los procesos dentro de la Organización; COBIT 5
no solamente se concentra en la “Función de la TI”, sino trata la tecnología de
la información y relacionadas como activos que necesitan ser manejados
como cualquier otro activo, por todos en la Organización.

3. Aplicar un único Marco Integrado

COBIT 5 está alineado con los últimos marcos y normas relevantes usados
por las organizaciones:
Corporativo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000
Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF,
PMBOK/PRINCE2, CMMI
Etc.
Así se permite a la Organización utilizar COBIT 5 como integrador macro en el
marco de gobierno y administración.
ISACA está desarrollando el modelo de capacidad de los procesos para
facilitar al usuario de COBIT el mapeo de las prácticas y actividades contra los
marcos y normas de terceros.
4. Habilitar un Enfoque Holístico
Los Habilitadores de COBIT 5 son:
Factores que, individual y colectivamente, influyen sobre si algo funcionará –
en el caso de COBIT, Gobierno y Administración sobre la TI corporativa.
Impulsados por las metas en cascada, o sea: las metas de alto nivel
relacionadas con la TI definen qué deberían lograr los diferentes habilitadores.
Descritos por el marco de COBIT 5 en siete categorías.
a. Procesos – Describen una serie organizada de prácticas y
actividades para lograr determinados objetivos y producir una serie
de resultados como apoyo al logro de las metas globales
relacionadas con la TI.
b. Estructuras Organizacionales – Constituyen las entidades claves
para la toma de decisiones en una organización.
c. Cultura, Ética y Comportamiento – De los individuos así como de la
organización; se subestima frecuentemente como factor de éxito en
las actividades de gobierno y administración.
d. Principios, Políticas y Marcos – Son los vehículos para traducir el
comportamiento deseado en una orientación práctica para la
administración diaria.
e. Información – Se encuentra presente en todo el ambiente de
cualquier organización; o sea se trata de toda la información
producida y usada por la Organización. La información es requerida
para mantener la organización andando y bien gobernada, pero a
nivel operativo, la información frecuentemente es el producto clave
de la organización en si.
f. Servicios, Infraestructura y Aplicaciones – Incluyen la
infraestructura, la tecnología y las aplicaciones que proporcionan
servicios y procesamiento de tecnología de la información a la
organización.
g. Personas, Habilidades y Competencias – Están vinculadas con las
personas y son requeridas para completar exitosamente todas las
actividades y para tomar las decisiones correctas, así como para
llevar a cabo las acciones correctivas.
 Fuente: Cobit 5, ISACA 2012, Figura2

5. Separar el Gobierno de la Administración

El marco de COBIT 5 plasma una distinción muy clara entre el Gobierno y la
Administración.
Dichas dos disciplinas:
a. Comprenden diferentes tipos de actividades
b. Requieren diferentes estructuras organizacionales
c. Cumplen diferentes propósitos
Gobierno— En la mayoría de las organizaciones el Gobierno es responsabilidad
de la Junta Directiva bajo el liderazgo de su Presidente.
Administración— En la mayoría de las organizaciones, la Administración es
responsabilidad de la Gerencia Ejecutiva, bajo el liderazgo del Gerente General
(CEO).
El Gobierno asegura que se evalúen las necesidades de las partes interesadas,
así como las condiciones y opciones, para determinar los objetivos corporativos
balanceados acordados a lograr; fijando directivas al establecer prioridades y
tomar decisiones; así como monitorear el desempeño, cumplimiento y progreso
comparándolos contra las directivas y objetivos fijados (EDM).
La Administración planifica, construye, ejecuta y monitorea las actividades
conforme a las directivas fijadas por el ente de Gobierno para lograr los objetivos
de la Compañía (PBRM por su sigla en inglés – PCEM).
COBIT 5 no es obligatorio, pero propone que las organizaciones implementen los
procesos de gobierno y administración de tal manera que las áreas claves queden
cubiertas, tal como se muestra a continuación:

Fuente: Cobit 5, ISACA 2012, Figura3

Separar el Gobierno de la Administración:

Una compañía puede organizar sus procesos como estime conveniente, siempre
y cuando queden cubiertos todos los objetivos necesarios de gobierno y
administración. Las compañías más pequeñas podrán tener menos procesos, las
compañías más grandes y más complejas podrán tener muchos procesos, todos
para cubrir los mismos objetivos.
COBIT 5 incluye un Modelo de Referencia de Procesos (PRM por su sigla en
inglés), que define y describe en detalle un número de procesos de administración
y de gobierno. Los detalles de dicho modelo habilitador específico pueden
encontrarse en el Volumen de COBIT 5: Procesos Habilitadores.
Procesos Habilitadores:
Procesos Habilitadores complementa COBIT 5 y contiene una guía detallada de
referencias a los procesos definidos en el Modelo de Referencia de Procesos de
COBIT 5:
En el Capítulo 2 se recapitula las metas en cascada de COBIT 5 y se
complementa con una serie de métricas ejemplo para las metas corporativas y las
metas relacionadas con la TI.
En el Capítulo 3 se explica el Modelo de Procesos de COBIT 5 y se definen sus
componentes.
En el Capítulo 4 se muestra el diagrama de dicho Modelo de Referencias de
Procesos.
El Capítulo 5 contiene la información detallada de procesos para todos los 37
procesos de COBIT 5 en el Modelo de Referencias de Procesos.
El Modelo de Referencia de Procesos de COBIT 5 subdivide las actividades y
prácticas de la Organización relacionadas con la TI en dos áreas principales –
Gobierno y Administración – con la Administración a su vez dividida en dominios
de procesos:
a. El Dominio de GOBIERNO contiene cinco procesos de gobierno; dentro de
cada proceso se definen las prácticas para Evaluar, Dirigir y Monitorear
(EDM).
b. Los cuatro dominios de la ADMINISTRACIÓN están alineados con las áreas
de responsabilidad de Planificar, Construir, Operar y Monitorear (PBRM por su
sigla en inglés).

Ruta de implementación de COBIT 5:

Fuente: Cobit 5, ISACA 2012, Figura 4
 CAPITULO III
CASO PRÁCTICO

EMPRESA A AUDITAR:

LA ÚLTIMA EXPO, S.A.

17 Avenida 50-21 zona 12 Bodega 2, Ciudad de Guatemala.
Tipo de Actividad: Venta de proyectos y equipos de Iluminación
Tipo de empresa: Transnacional
Nombre del Gerente: Licenciado Carlos Enrique Guzmán Luján
Sistema utilizado: BMS,

AUDITORES A CARGO:

Integrantes GrupoNo. 14

Carne Nombre
9721318 Marta Idania AlvarezSarmiento
200115731 Jose Kestler
200912596 Gustavo Granados
200912707 Paulo Flores
200921265 Santos David Xocoxic Chavalo
200921522 Maria González
201011085 Raúl Díaz
201111104 Victoria Ramirez

PERÍODO A CUBRIR:
Primer trimestre 2,018

1. OBJETIVOS Y ALCANCE DE LA AUDITORÍA:

Objetivos
 Definir el cumplimiento de los objetivos del Departamento de Tecnología de
Información.

 Evaluar la existencia de un espacio físico para el resguardo de los servidores

que posea la empresa.

 Verificar que existan los controles necesarios con el fin de supervisar y regular
las operaciones que posea el departamento de TI y el cumplimiento de los
mismos;

 Evaluar el grado de seguridad y confiabilidad de las aplicaciones y programas

para determinar el nivel de riesgo de manejo de la información.
Alcance:
Evaluar y calificar el cumplimiento de los estándares y métodos con respecto
a:
 La entrada de datos y salida de información;
 La operación y manipulación de datos en el sistema;
 Y el procesamiento de la información.
Junto con la verificación oportuna de la existencia y cumplimiento de los
manuales o instructivos implementados en el área auditada y las políticas de
mantenimiento preventivo y correctivo del sistema computacional.

a) Evaluar los métodos de acceso, seguridad y salvaguarda de los

activos informáticos del área de sistemas.
Por la importancia que representa la pérdida de información para una
organización, con esta auditoría se pretende verificar que se cuente con
planes y programas de prevención contra contingencias en el
funcionamiento de los sistemas, información y datos de la empresa; planes
contra contingencias para seguridad y protección de los programas; y para
la prevención y oportuna erradicación de virus informáticos.
b) Evaluar la configuración física del área de sistemas de la empresa.
Objetivo que pretende determinar la existencia de una configuración y
adecuada ubicación de las áreas físicas del centro de cómputo en relación
con aspectos como el aire acondicionado, iluminación, instalaciones y todo
componente físico necesario para el bienestar y comodidad de los usuarios
del sistema, tanto del departamento informático como de los demás
departamentos de la empresa que utilicen los sistemas.

c) Evaluar la seguridad de la información generada por la empresa.

Para minimizar los riesgos de fuga de información importante de la
empresa, verificando la utilización de controles de seguridad.

d) Evaluar la calidad de la información.

Determinar la Calidad de la Información generada por los datos ingresados
por los usuarios.
 Guatemala 7 de marzo de 2018

Licenciado
Carlos Enrique Guzmán Luján
Gerente General
LA ÚLTIMA EXPO
Presente

Cordial saludo, Licenciado Guzmán:

De acuerdo a la solicitud de Evaluación al ambiente general de Tecnología de

Información en la empresa a su cargo, tenemos el agrado de confirmar nuestra
aceptación y compromiso de realizarla. Nuestra evaluación se llevará a cabo con
el objetivo de comunicar por medio de un informe los resultados obtenidos.
En virtud de la naturaleza comprobatoria y de otras limitaciones inherentes de una
evaluación de cualquier sistema y control interno, hay un riesgo inevitable que
algunos fraudes Informáticos importantes puedan permanecer sin ser
descubiertos.
Además de nuestro informe de la evaluación del ambiente de Tecnología de
Información esperamos proporcionarle una carta por separado, referente a
cualquier debilidad sustancial en tales sistemas y control interno que haya llamado
nuestra atención.
Les recordamos que la responsabilidad de tener un adecuado ambiente de
tecnología de información y la adecuación de la misma, corresponde a la
administración de la compañía. Esto incluye el diseño, implementación,
mantenimiento de equipos de cómputo y de controles internos adecuados, la
selección y aplicación de políticas, y salvaguarda de los activos de la compañía
Como parte del proceso de nuestra evaluación, pediremos de la administración
confirmación escrita referente a las representaciones hechas a nosotros en
conexión con la evaluación.
Esperamos una cooperación total con su personal y confiamos en que ellos
pondrán a nuestra disposición toda la información que se requiera en relación con
nuestra evaluación.
Nuestros honorarios serán de cincuenta y ocho mil quetzales exactos (Q.58,
000.00) que se facturará el 50% en el avance del trabajo y el otro 50% en la
entrega del informe.
Favor de firmar y devolver la copia adjunta de esta carta para indicar su
comprensión y acuerdo sobre los arreglos para nuestra evaluación del ambiente
de la Tecnología de Información.
Atentamente,

____________________________ ______________________________
Licenciada Victoria Ramírez Licenciada Maria González

Firma de Aceptación:

__________________________________
Licenciado Carlos Enrique Guzmán Luján
Gerente General
FECHAS CLAVE DE LA AUDITORÍA

Fechas clave Fecha

Visita preliminar 16 de Marzo de 2018
Visita Final 30 de Marzo de 2018
Elaboración del Informe 01 de Abril al 10 de Mayo 2018
Entrega de Informe 13 de Mayo de 2018

3. DOCUMENTACIÓN DE VISITA PRELIMINAR (OTROS TEMAS)

Origen de la auditoría:

Con el fin de cumplir con la práctica de Auditoría de Tecnología de la información,

se realizará la evaluación de riesgos en tecnología de la empresa LA ÚLTIMA
EXPO

4. ASIGNACIÓN DEL EQUIPO DE AUDITORÍA

Nombre Nivel Experiencia

 Licda. Victoria Ramírez Socia de Auditoría
Lic. Raúl Díaz Socio de Auditoría
Licda. María González Socia de Auditoría
José Kestler Senior de Auditoría
Santos Xocoxic Auxiliar de Auditoría
Gustavo Granados Auxiliar de Auditoría

COMUNICACIÓN CON EL CLIENTE

Personal del Cliente al Tema Forma de

que va Dirigido Principal Comunicación Oportunidad
Lic. Carlos Enrique Auditoría de Escrita y Visitas
Guzmán Luján Gerente Tecnología de la Verbal Realizadas
General Información
Andalucita Álvarez Auditoría de Escrita y Visitas
Tecnología de la Verbal Realizadas
Información

5. COMPRENDER LA ENTIDAD Y SU AMBIENTE

Al realizar un Compromiso de Auditoría, debemos tener y obtener una

comprensión de la entidad y su ambiente suficiente para permitirnos identificar y
comprender los eventos, transacciones y prácticas que, a nuestro juicio, puedan
tener un efecto significativo en el Compromiso de Auditoría en su conjunto.

Datos Generales de la empresa:

LA ÚLTIMA EXPO,S.A.
17 Avenida 50-21 zona 12 Bodega 2, Ciudad de Guatemala
Tipo de Actividad: Venta de proyectos y equipos de Iluminación
Tipo de empresa: Trasnacional
Nombre del Gerente: Licenciado Carlos Enrique Guzmán Luján
Sistema utilizado: BMS.

6. COMPRENDER EL AMBIENTE TI

VISTA GENERAL DE LOS SISTEMAS DE INFORMACIÓN

Ambiente TI: Las políticas y procedimientos que la Entidad implementa y la
infraestructura TI (hardware, sistemas operativos, etc.) y el software de aplicación
que usa para soportar las operaciones de negocios y lograr las estrategias de
negocios.
Los dos amplios grupos de actividades de control de los sistemas de información
son controles de aplicación, que aplican al procesamiento de aplicaciones
individuales, y los controles generales TI, que son políticas y procedimientos que
se relacionan con muchas aplicaciones y soportan el funcionamiento efectivo de
los controles de aplicación ayudando a asegurar la apropiada operación continua
de los sistemas de información.

Áreas de Controles Generales TI

Los Controles Generales TI son políticas y procedimientos que se relacionan con

varias aplicaciones y soportan el funcionamiento efectivo de los controles de
aplicación.
Los Controles Generales TI que mantienen la integridad de la información y la
seguridad de los datos comúnmente incluyen controles sobre lo siguiente:
 • Centro de datos y operaciones de red
• Adquisición, cambio y mantenimiento del software de sistemas
• Cambio en el programa
• Seguridad de acceso
• Adquisición, desarrollo y mantenimiento del sistema de aplicación

TI también plantea riesgos específicos para el control interno de una entidad

Organización y Personal de los Sistemas de Información

¿Está centralizado o descentralizado el enfoque de la Entidad Centralizado
acerca de los sistemas de información y las actividades de soporte
relacionadas o es una combinación?

Para los Sistemas de Información observados arriba, mencionar los

departamentos relevantes, el número aproximado de personal en cada
departamento y los nombres y puestos del personal clave.

Ambiente TI Departamento / No. Aprox. Nombre y Puestos

Unidad de Negocios de del Personal Clave
Personal

En la empresa no está constituido u organizado el departamento de TI.

 CRONOGRAMA

PERÍODO DE ACTIVIDADES POR SEMANA

No. ACTIVIDAD RESPONSABLE Febrero Marzo Abril Mayo
1 2 3 4 1 2 3 4 5 1 2 3 4 1 2 3 4
Inicio de la práctica, presentación, integración de grupos
1 Docente                                  
de trabajo y asignación de temas de investigación
2 Planeación de actividades grupo de trabajo Estudiantes                                  
Preparación de Cuestionarios y Carta para Visita a
3 Estudiantes                                  
Cliente
4 Revisión de Cuestionario y Carta Docente                                  
Estudiantes
5 Visita a Cliente, desarrollo Trabajo de Campo                                  
Docentes
Vaciado de Información a papeles de Trabajo y
6 Estudiantes                                  
actualización de Matriz
7 Elaboración de Informe Estudiantes                                  
8 Presentación de Informe Estudiantes                                  
9 Recepción de Información Docente                                  
COMPRENDER LAS ÁREAS DE LOS CONTROLES GENERALES TI
Los Controles Generales TI son políticas y procedimientos que se relacionan con
muchas aplicaciones y soportan el funcionamiento efectivo de los controles de
aplicación. Estos aplican a ambientes mainframe, miniframe y usuario final.
A continuación, se proporcionan los cuestionarios que se deben utilizar:

ORGANIZACIÓN DEL CENTRO DE TECNOLOGÍA DE LA INFORMACIÓN

Cuestionario sobre la evaluación de los sistemas, equipos, instalaciones y
componentes.
1. ¿Las instalaciones donde se resguarda el equipo de cómputo son
adecuados para el mismo?
SI NO
2. ¿El equipo de cómputo con que se cuenta actualmente en la empresa es
suficiente para la información que se procesa?
SI NO
3. ¿La empresa cuenta con uso de redes sociales?
SI NO
4. ¿Las instalaciones y conexiones eléctricas para el equipo de cómputo son
efectivo y seguro?
SI NO
5. ¿Todo el equipo de cómputo cuenta con los programas necesarios para el
buen funcionamiento y desempeño de las labores diarias?
SI NO
6. ¿Se cuenta con servicios de mantenimiento?
SI NO
7. ¿Se cuenta con procedimientos definidos para la adquisición de nuevos
equipos?
SI NO
8. ¿La empresa cuenta con modelos definidos para el manejo de los activos
de tecnología de información?
SI NO
9. ¿Existen lugares de acceso restringido?
SI NO
10. ¿Se cuenta con detectores de emergencia, como sistemas de humo
alarmas u otro de sensores?
SI NO
11. ¿Se tienen medios adecuados para extinción de fuego?
SI NO
12. ¿Se cuenta con iluminación de emergencia?
SI NO
13. ¿Se tienen sistema de seguridad para evitar sustraigan equipos de las
instalaciones?
SI NO
14. ¿Existen prohibiciones para fumar, consumir alimentos y bebidas dentro del
centro?
SI NO
15. ¿La instalación eléctrica se realizó específicamente para centro de TI?
SI NO
16. ¿Se cuenta con un inventario de todos los equipos que integran el centro de
TI?
SI NO

17. ¿Son funcionales los muebles instalados dentro del centro de TI?
SI NO

18. ¿El centro de TI cuenta con un sistema de ventilación?

SI NO
19. ¿Se realiza mantenimiento al sistema de ventilación?
SI NO
20. ¿Se cuenta con planta eléctrica de emergencia?
SI NO
CONCLUSIONES:
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
______________________________
 CUESTIONARIO SISTEMA Y MEDIDAS DE SEGURIDAD
1. ¿La entidad le proporciona un usuario para el acceso al equipo de
cómputo?
SI NO
2. ¿La entidad le proporciona contraseña para ingresar al sistema que utiliza
la empresa?
SI NO
3. ¿Existen niveles de usuarios para el acceso al sistema?
SI NO
4. ¿La empresa le proporciona cuenta de correo electrónico?
SI NO
5. ¿Las hojas electrónicas utilizadas en la empresa cuentan con protección del
usuario para no ser modificadas por otros usuarios?
SI NO
6. ¿Cuentan con uno o varios administradores del sistema?
SI NO
7. ¿Existen claves de acceso para las impresoras o fotocopiadoras?
SI NO
8. ¿Posee clave de acceso para el uso de banca electrónica o banca en
línea?
SI NO
9. ¿Cuenta con acceso delimitado para el uso de RetenISR Web?
SI NO
10. ¿Posee acceso delimitado para RetenIVA?
SI NO
11. ¿Cuenta con acceso delimitado para el uso de AsisteLibros?
SI NO
12. ¿El sistema cuenta con notificaciones de confirmación al momento de
realizar una operación en la misma?
SI NO
13. ¿Existe otro sistema que coadyuve en su puesto de trabajo?
 SI NO
14. ¿El equipo de cómputo está programado para bloquearse al momento que
no se esté utilizando?
SI NO
15. ¿Existe un tiempo periódico para el cambio de las contraseñas?
SI NO
16. ¿Al prescindir de los servicios del personal, se elimina el usuario y clave de
acceso de correo electrónico?
SI NO
17. ¿Al prescindir de los servicios del personal, el administrador elimina el
usuario y clave de acceso del sistema?
SI NO
18. ¿Existen permisos para autorizar cambios en el sistema?
SI NO
19. ¿Las actualizaciones del sistema se realizan periódicamente?
SI NO
20. ¿Existen roles de acceso dentro del equipo de cómputo?
SI NO
CONCLUSIONES:
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
______________________________

CUESTIONARIO SEGURIDAD DE LA INFORMACIÓN

Cuestionario sobre la protección y respaldo de archivos e información.
1. ¿Considera que la protección del equipo que utiliza es el adecuado?
SI NO
2. ¿La custodia y salvaguarda del equipo de cómputo por parte de la entidad
es oportuno?
SI NO
3. ¿La entidad facilita los medios magnéticos para archivar la información
procesada?
SI NO
4. ¿Se realiza un back-up al final del día, de la información procesada?
SI NO
5. ¿La entidad le proporciona contraseña para ingresar al sistema?
SI NO
6. ¿Se revisa constantemente la batería UPS de cada una de las
computadoras?
SI NO
7. ¿Después de guardar o grabar la información procesada la almacena en un
lugar fresco y alejado de la humedad?
SI NO
8. ¿Cuándo utiliza un medio magnético lo revisa antes de abrirlo en el sistema
para estar seguro de que no esté infectado con virus?
SI NO
9. ¿El manual de procedimientos para utilización del equipo de cómputo es de
utilidad?
SI NO

10. ¿Recibe instrucciones de su superior inmediato de la información que debe

guardar en medios magnéticos?
SI NO
11. ¿Los archivos y documentos que usted graba permanecen a la vista de
todos y cualquiera puede utilizarlos?
SI NO
12. ¿La información almacenada en discos magnéticos es vulnerable a ser
modificada?
 SI NO
13. ¿Existen normas y disciplina de protección de la confidencialidad de los
datos o información de la empresa?
SI NO
14. ¿El sistema presenta fallos o errores con frecuencia?
SI NO
15. ¿Se encuentra la información debidamente respaldada por back-ups o
copias a manera que esté disponible para trabajar con ellas al momento de
una perdida de datos?
SI NO
16. ¿Los back-ups se encuentran debidamente custodiados?
SI NO
17. ¿Cuenta alguna certificación especial para el manejo de la Tecnología de
Información?
SI NO
18. ¿Cuentan con licencias del sistema autorizados en Guatemala?
SI NO
19. ¿Con que frecuencia se realizan el Back-up del sistema de informática?
SI NO
20. ¿Se eliminan los derechos de acceso a funcionarios inactivos o que han
dejado de laborar para la empresa?
SI NO
CONCLUSIONES:
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
______________________________

CUESTIONARIO CALIDAD DE LA INFORMACION

1. ¿La información almacenada en medios magnéticos es vulnerable a ser
modificada?
SI NO

2. ¿Existe supervisión que permita asegurarse que la información que despliega

el sistema sea íntegra, exacta y verídica?
SI NO

3. ¿Los reportes generados por el sistema contienen información necesaria?

SI NO

4. ¿Los reportes generados por el sistema son amigables para el usuario?

SI NO

5. ¿Se pueden parametrizar los reportes?

SI NO

6. ¿Existe un responsable de la parametrización de los reportes?

SI NO

7. ¿Los reportes son generales o específicos para cada departamento?

SI NO

8. ¿Lo solicitud de reportes es en línea o tiene un tiempo de espera?

SI NO

9. ¿Los reportes que genera el sistema son en archivos de texto?

SI NO

10. ¿Los reportes que genera el sistema son en archivos PDF?

SI NO
11. ¿Los reportes que genera el sistema son en archivos Excel?
SI NO

12. ¿La solución o fallas en el sistema son inmediatas o tienen un tiempo de

espera?
SI NO

13. ¿La parametrización del sistema permite efectuar cruces de información entre
módulos?
SI NO

14. ¿Existen políticas, lineamientos y normas que regulan la entrada de datos al

sistema?
SI NO

15. ¿Se tiene una clasificación de la información de la empresa por nivel de

sensibilidad o privacidad?
SI NO

16. ¿El personal tiene acceso a la sustracción por medios dispositivos (USB,
Discos o Disquetes) a la información almacenada?
SI NO
17. ¿El equipo tiene restricciones al ingreso de dispositivos para evitar la
sustracción de la información almacenada y la protección del mismo?
SI NO
18. ¿Cuenta con asesoría de una entidad externa para sustentar la calidad de la
información?
SI NO
19. ¿Le informan oportunamente los cambios y procesos a realizar en el sistema
de contable?
SI NO
20. ¿Se tiene implantada una gestión para los equipos de la empresa que realicen
actualizaciones en el sistema operativo y la actualización del antivirus?
SI NO

CONCLUSIONES:
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
______________________________
PROGRAMA DE AUDITORÍA

Resumen del Plan de Pruebas de Controles para Ambientes TI

Descripción de los procedimientos

Área de los Controles
Ambiente TI planeados de pruebas de controles que Referencia
Generales TI
se van a realizar al final del período

ASIGNACION DE RECURSOS
Humanos
Personal especializado
Auditores:

Personal de la empresa
Departamento de Tecnología e Información

Tecnológicos, físicos y materiales

Computadoras
Impresoras
Scanner
Fotocopiadoras
USB`s
Cartuchos de tinta color - blanco y negro
Físicos
Escritorios
Mesas de estudio
Salón de clases para reuniones de planeación y ejecución

Materiales
Hojas de papel bond
Bolígrafos, lápices, borradores
USB`s y CD`s
Marcadores, resaltadores
Engrapadoras
Libro de Auditoria en Sistemas computacionales, Muñoz Razo,
Libro de Metodología COBIT
Financieros
Para cubrir gastos en el transcurso de nuestra auditoria de sistemas, cada
integrante aportará la cantidad de cien quetzales (Q.100.00).
 PRESUPUESTO DE AUDITORIA
Informáticos y Materiales y de
Cantidad Humanos Costo Unitario Costo Total
Tecnológicos consumo
Catedrático de Curso
1 3 Q.500.00 Q.1,500.00
Seminario Integrada
Estudiantes del 11o.
4 Semestre del curso 3 horas por persona en 3 visitas Q.106.00 Q.3,816.00
Seminario Integrada
Estudiantes del 11o.
11 Semestre del curso 10 horas en Análisis e Informe Q.106.00 Q.11,660.00
Seminario Integrada
Invitación al Gerente
General y Asistente de 8 personas Q. 100.00 Q. 800.00
Sistemas
Computadoras
3 Q2,500.00 Q7,500.00
Portátiles
Impresora de
1 Q400.00 Q400.00
inyección
2 Servicio telefónico Q800.00 Q1,600.00
1 Cámara Digital Q800.00 Q800.00
1 Servicio de internet Q150.00 Q150.00
3 Cd´s recargables Q10.00 Q30.00
Cartuchos de tinta
2 Q235.00 Q470.00
para impresora
11 Lapiceros Q1.00 Q11.00
11 Lápices Q1.00 Q11.00
Hojas de papel
300 Q0.30 Q90.00
bond tamaño carta
Galones de
10 Q20.00 Q200.00
Combustible
Alimentación Q200.00 Q200.00
Fotocopias Q100.00 Q100.00
TOTAL PRESUPUESTO DE GASTOS Q29,338.00
 CONCLUSION
1. La Auditoría de Sistemas de Información, hoy en día es de vital
importancia para las empresas modernas con visión de futuro, sobre
todo inmersas en el mundo globalizado, porque si no se prevee los
mecanismos de control, seguridad y respaldo de la información dentro
de una institución se verá sumida a riesgos lógicos, físicos y humanos,
que conlleven a fraudes no solamente económicos sino de
información, es decir, pérdidas para la empresa.

2. La auditoría de sistemas de información deberá comprender no sólo la

evaluación de los equipos de cómputo de un sistema o procedimiento
específico, sino que además habrá de evaluar los sistemas de
información en general desde sus entradas, procedimientos, controles.
En la mayoría de empresas existe una constante preocupación por la
presencia ocasional de fraudes, sin embargo, muchos de estos
podrían prevenirse.

3. La auditoría en informática es de vital importancia para el buen

desempeño de los sistemas de información, ya que proporciona los
controles necesarios para que los sistemas sean confiables y con un
buen nivel de seguridad. Además, debe evaluar todo (informática,
organización de centros de información, hardware y software).
 RECOMENDACIONES
1. Considerar los programas y desarrollos de aplicaciones, las
operaciones computarizadas y los controles de almacenamiento, entre
otros subprocesos, debido que deben aportar valor a la organización
para prevenir todo tipo de contingencias.
2. Realizar buenas prácticas de administración de los datos a partir de
una comprensión de la problemática y una descripción de las
principales amenazas informáticas. Conocer las políticas de seguridad
de la compañía, es ideal que los empleados conozcan cuán
importante es la protección de la información de la empresa. También
se recomienda solicitar su compromiso para el cumplimiento de dichas
normas a partir de la firma de un documento de consentimiento.
3. No, ignorar los códigos maliciosos es decir los software maliciosos- es
uno de los ataques más comunes de la actualidad. La infección de un
código malicioso, representa riesgos de pérdida de información, del
tiempo y también de dinero. Verificar que las contraseñas sean fuertes
y seguras. Si se traslada información en dispositivos de
almacenamiento de USB o memorias estos deben ser debidamente
analizados con un antivirus al momento de insertarlos en el equipo.
Informar sobre el peligro de conectarse en redes WiFi públicas, y
realizar conexiones sensibles como accesos al correo corporativo,
debido a que la información puede verse expuesta.
 REFERENCIAS BIBLIOGRAFICAS

Cobit 5, español, ISACA 2012.

 ANEXOS

(PAPELES DE TRABAJO)
(MATRIZ DE RIESGO)
(INFORME DE TI)