UNIVERSIDAD TÉCNICA DE MANABÍ

FACULTAD DE CIENCIAS INFORMÁTICAS

CÁTEDRA:
AUDITORÍA INFORMÁTICA

DOCENTE:
Ing. Jaime Meza, Phd

UNIDAD 1

2021
INTRODUCCIÓN
Desde que la informática se enfocó hacia el apoyo de la sistematización en las áreas del
negocio, se empezaron a implantar aplicaciones administrativas como la contabilidad,
nómina, entre otras, lo que originó el proceso conocido como auditoria a sistemas de
información.

Posteriormente, el uso de la informática cubrió las áreas del negocio en todos los niveles
por medio de productos y servicios variados; aparecieron las mini computadoras o equipos
departamentales; posterior a ello surgieron las microcomputadoras o computadoras
personales e interrumpieron de lleno las redes locales.

Tal tecnificación del medio imposibilitó al responsable de informática y a los auditores

de sistemas tradicionales continuar evaluando este campo con métodos y procedimientos
anticuados y se convirtió en una necesidad el replanteamiento del fondoy forma de la
auditoría en informática.

Todo lo que se planea debe ejecutarse con formalidad y oportunidad, esto se relaciona
con el hecho de que cualquier organización debe mantener sus activos en las mejores
condiciones posibles y salvaguardar su integridad.

La función del auditor en informática no es fungir como capataz o policía del negocio, como
tantas veces se ha planteado en forma sarcástica o costumbrista en las organizaciones. Este
profesional se orienta a funcionar como un punto de control y confianza para la alta
dirección, además busca ser un facilitador de soluciones.

Por analogía el auditor se asemeja al médico que evalúa al paciente y le recomienda el

tratamiento idóneo para estar en óptimas condiciones de salud. Según la situación del
enfermo, recomendará tratamientos ligeros o fuertes y estrictos. Lo importante es lograr que
el paciente sepa que puede mejorar su salud.

Esa es la orientación del auditor en auditoría en informática: Conducir a la empresa y / o

institución a la búsqueda permanente de la “salud” de los recursos de informática y de
aquellos elementos que se relacionan con ella.

No hay que pensar que este proceso cambiará la cultura organizacional de la noche a la
mañana, los métodos de trabajo, la mala calidad ni la improductividad en las áreas
relacionadas con la informática; es un elemento estratégico directo que apoya la eliminación
de cada una de las debilidades mencionadas. Sin embargo, ha de coexistir

1
con personal responsable y profesional, así como con directores (niveles gerenciales) y
accionistas comprometidos con la productividad, calidad y otros factores recomendados
para ser empresas de clase mundial.

Video recomendado:

 https://www.youtube.com/watch?v=Q2yHQQDTDEU

DEFINICIÓN DE LA AUDITORÍA INFORMÁTICA

Uno de los factores más importantes que hay que tener en cuenta cuando se habla de
auditoría informática es que el término "auditoría informática" puede significar muchas
cosas diferentes para diferentes personas. Lo que puede considerarse como auditoría
informática en una organización, y en gran medida el ámbito del auditor informático
especializado, puede ser realizado por auditores empresariales en otra organización similar.
Por ejemplo, la auditoría informática puede restringirse a la auditoría de sistemas de
software en una organización, mientras que áreas como la auditoría de sistemas en
desarrollo pueden ser responsabilidad del auditor empresarial.

De forma similar, en algunas organizaciones, no es raro que la función de la auditoría

informática se amplíe para incluir la revisión de los procedimientos administrativos y la
elaboración de programas de trabajo de auditoría basados en el cumplimiento para los
auditores de campo, proporcionando así un servicio más amplio de auditoría de sistemas.

No existen normas estrictas sobre lo que constituye la auditoría informática. A menudo,

organizaciones de tamaño similar que operan en el mismo sector pueden tener enfoques
diferentes de la auditoría informática. Incluso cuando parece haber una coincidencia en
el alcance de las áreas de auditoría, puede haber variaciones significativas en la profundidad
de la auditoría realizada. La auditoría de un sistema operativo en una organización puede
requerir entre 5 y 10 días-hombre, mientras que en otra, el mismo sistema operativo puede
ser objeto de un examen más detallado que dura varios meses.

En forma general es un examen que se realiza con carácter objetivo, crítico, sistemático
y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos
informáticos, de la gestión informática y si estas han brindado el soporte adecuado a los
objetivos y metas del negocio.

La auditoría en informática se desarrolla en función de normas, procedimientos y técnicas

definidas estándares establecidos a nivel nacional e internacional; por lo tanto,
2
nada más se señalarán algunos aspectos básicos para su entendimiento. Así, la auditoría
en informática es:

“Un proceso formal ejecutado por especialistas del área de auditoría y de

informática; se orienta a la verificación y aseguramiento de las políticas y
procedimientos establecidos para el manejo y uso adecuado de la tecnología de
informática en la organización se lleve a cabo de una manera oportuna y eficiente.”

Se deben tomar en cuenta las actividades ejecutadas por los profesionales del área de
Informática y de auditoría encaminadas a evaluar el grado de cumplimiento de políticas,
controles y procedimientos correspondientes al uso de los recursos de informática por el
personal de la empresa (usuarios, informática, alta dirección, etc.).

El conjunto de acciones que realiza el personal especializado en las áreas de auditoría y

de informática para el aseguramiento continuo de que todos los recursos de informática
deben operar en un ambiente de seguridad y control eficientes, con la finalidad de
proporcionar a la alta dirección o niveles ejecutivos la certeza de que la información que
pasa por el área se maneja con los conceptos básicos de integridad, totalidad, exactitud,
confiabilidad, etc.

Este proceso metodológico tiene el propósito principal evaluar todos los recursos (humanos,
materiales, financieros, tecnológicos, etc.) relacionados con la función de inherente a la
informática para garantizar al negocio que dicho conjunto opera con un criterio de
integración y desempeños de niveles altamente satisfactorios para que apoyen la
productividad y rentabilidad de la organización.

La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para

determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad
de los datos, lleva a cabo eficazmente los fines de la organización y utilizaeficientemente
los recursos.

Otra definición más formal establece que la auditoria informática es:

“Es un examen metódico del servicio informático, o de un sistema informático

en particular, realizado de una forma puntual y objetiva, a instancias de 1a dirección
y con la intención de ayudar a mejorar conceptos como la seguridad, eficiencia y
rentabilidad del servicio informático.”

3
En esta definición hay cuatro palabras que destacan: "examen", "metódico", "puntual"
y "objetivo":

 La auditoría informática es un examen, pues se verifica o comprueba el sistema

informático actualmente en uso.
 Este examen es metódico, ya que sigue un plan de trabajo, perfectamente diseñado,
que permite llegar a conclusiones suficientemente fundamentadas.
 Este examen es puntual, ya que se realiza en un momento determinado y bajo
petición de la dirección.
 Este examen es objetivo, ya que se realiza por un equipo externo al servicio de
informática para buscar la objetividad requerida. El servicio de auditoría cubre una
serie de actividades (controles, verificaciones, pruebas, etc.) para concluir
elaborando un conjunto de recomendaciones y un plan de acción. La elaboración
de este plan de acción es una de las características que verdaderamente diferencia
la auditoría informática del resto de tipos de auditorías.

OBJETIVOS DE LA AUDITORÍA INFORMÁTICA

Dada la diversidad de las tecnologías de la información, no es posible que en un documento
se especifique la auditoría informática en determinados sectores o en relación con
determinados equipos o programas informáticos. Los principios básicos dela auditoría
informática deben ser comunes a todos los sectores y a la mayoría de los tipos de hardware
y software.

De este modo la auditoria informática sustenta y confirma la consecución de los objetivos

tradicionales de la auditoria:

 Objetivos de protección de activos e integridad de datos.

 Objetivos de gestión que abarcan, no solamente los de protección de activos, sino
también los de eficacia y eficiencia.

La Auditoría Informática deberá comprender no sólo la evaluación de los equipos de

cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los
sistemas de información en general desde sus entradas, procedimientos, controles, archivos,
seguridad y obtención de información.

4
GENERALIDADES
La ausencia de una definición común de auditoría informática puede deberse en parte, a
la relativa novedad de la auditoría informática.

La auditoría informática es un desarrollo relativamente reciente. No fue hasta finales de los

años setenta cuando la mayoría de las principales organizaciones a nivel mundial
establecieron por primera vez una capacidad de fiscalización informática.

El uso de la TI en los negocios es también un desarrollo relativamente reciente, no fue hasta

el estallido de la Segunda Guerra Mundial y el desarrollo generalizado de la tecnología de
válvulas, que se usaron las computadoras de la primera generación, incluso entonces, fue
muchos años después que se convirtieron común en los negocios.

Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las

comunicaciones, líneas y redes de las instalaciones informáticas, se auditen por separado,
aunque formen parte del entorno general de sistemas. Su finalidad es el examen y análisis
de los procedimientos administrativos y de los sistemas de control interno de la compañía
auditada.

Al finalizar el trabajo realizado, los auditores exponen en su informe aquellos puntos débiles
que hayan podido detectar, así como las recomendaciones sobre los cambios convenientes
a introducir, en su opinión, en la organización de la compañía.

Normalmente, las empresas funcionan con políticas generales, pero hay procedimientos
y métodos, que son términos más operativos. Los procedimientos son también sistemas
que si están bien hechos, la empresa funcionará mejor.

ALCANCE DE LA AUDITORÍA INFORMATICA

El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse
la auditoría informática y a la vez se completa con los objetivos de ésta.

El alcance ha de figurar expresamente en el Informe Final, de modo que quede

perfectamente determinado no solamente hasta qué puntos se ha llegado, sino cuáles
materias fronterizas han sido omitidos.

5
Para el desarrollo de este curso de forma general las principales áreas de actividad de la
auditoría informática son:

- Los sistemas en desarrollo

- Las aplicaciones en tiempo real

- La infraestructura de TI

- La automatización de la auditoría

La medida en que se examinen esas áreas y la profundidad con que se realicen variará,
la clave para el desempeño de la labor de auditoría es una evaluación integral basada en
el riesgo que debe determinar la cantidad de recursos de auditoría necesarios y que también
debe ayudar a determinar en la evaluación de un satisfactorio nivel de seguridad y control.

PERFIL DEL AUDITOR EN TECNOLOGÍAS DE

INFORMACIÓN
A lo largo de los años, la función del auditor informático ha cambiado para ser más consultivo y
añadir valor; evidentemente, cuando se desarrolla un nuevo sistema, es más rentable que se
proporcionen comentarios de auditoría antes de que se implante un sistema, cuando se pueden
incluir mejores características de seguridad y control de forma más fácil y barata.

De modo análogo, aunque los auditores informáticos realizan periódicamente auditorías de, por
ejemplo, los controles de acceso lógico, hay un margen considerable para que los auditores
informáticos participen en el diseño de esos componentes.

Existe una cuestión de independencia si el auditor informático participa en el proceso de diseño,

ya que esto puede verse comprometido si la misma persona audita posteriormente ese sistema.
Sin embargo, se reconoce generalmente que los costos de no involucrarse son tan grandes que
esto no es una opción. Es poco probable, por ejemplo, que la alta dirección se alegre de recibir
un informe de auditoría justo después de que se haya puesto en marcha un nuevo sistema
informático que detalle las exposiciones significativas de seguridad y control.

El papel del auditor informático sigue madurando y desarrollándose. Esto es esencial si la

auditoría informática ha de proporcionar un servicio de valor añadido a la empresa frente a una
tecnología cada vez más sofisticada. Un desafío clave para los auditores informáticos es para
mantenerse al día con la constante y rápida los desarrollos en TI. La formación continua y el

6
desarrollo profesional es esencial ya que una auditoría exitosa se basa en un conjunto de
conocimientos técnicos excelencia. Sin esto, los auditores informáticos en algunos casos son
limitados en su capacidad de auditar eficazmente y de proporcionan un valioso servicio a la
organización.

También hay que señalar que el papel del auditor informático en algunas áreas, puede
superponerse con el de la función de seguridad informática y esto puede causar confusión. Es
esencial definir claramente las respectivas responsabilidades para que la duplicación innecesaria
sea evitada. Esencialmente, el papel del auditor informático en la sección de seguridad es para
ayudar a los usuarios a desarrollar soluciones de seguridad y administrar esa seguridad en un día
a día. El papel del auditor informático es para proporcionar al personal directivo superior una y
una garantía objetiva en cuanto al nivel de seguridad aplicado en el entorno de la informática.
Como una parte integral parte del proceso de auditoría, los auditores informáticos también
proporcionar asesoramiento y es en esta área que la duplicación y puede surgir una
superposición.

Se establecen características en el perfil profesional del auditor informático, tales como:

 Comprender los procesos de gestión de los servicios públicos y la normativa legal en

que se apoyan los sistemas de información.
 Evaluar programas y políticas públicas.
 Revisar y evaluar riesgos de áreas gestionadas por las TIC.
 Identificar o diagnosticar problemas y plantear soluciones.
 Llenar el vacío de comunicación entre usuarios y técnicos.
 Saber comunicar los temas claves a la dirección.
 Saber negociar y resolver situaciones de conflicto.
 Saber cuándo solicitar asistencia de profesionales especializados.

Finalmente es necesario señalar que los trabajos de auditoría más exitosos serán aquellos en los
cuales el equipo auditor y los auditados se consideren asimismo como consultores y clientes
respectivamente. El entendimiento y aplicación de este concepto tiende a establecer una relación
de trabajo más constructiva, y puede resultar en la mejora de la operativa de la unidad bajo
revisión.

Los profesionales que por su formación y capacitación profesional deben asumir la función
de Auditoría Informática son sin lugar a duda los profesionales TIC. En elámbito del
sector privado existen organizaciones profesionales que habilitan a un profesional como
auditor informático mediante la certificación profesional que gestionan. El modelo de
currículo que dichas organizaciones definen, y que un

7
profesional debería acreditar para ser reconocido como un auditor informático, se basa
en áreas de conocimiento, las que suelen ser:

 Técnica o metodología de Auditoría Informática.

 Gestión, planificación y organización de las tecnologías de la información.
 Infraestructura técnica, prácticas operativas y protección de activos informáticos.
 Recuperación de desastres y continuidad de la actividad soportada por los
sistemas de información.
 Desarrollo, adquisición, implantación y mantenimiento de sistemas de
información.
 Evaluación de procesos de negocio y gestión de riesgos.

La certificación se obtiene después de aprobar un examen sobre esas materias, acreditar una
experiencia profesional adecuada en el campo de las TIC y aceptar un código deética
profesional; y se mantiene acreditando una formación continua en la materia. Se cubriría así
que el auditor informático, como un técnico o especialista informático más, recibiese una
formación constante para actualizar sus conocimientos, capacidades y habilidades.

NORMAS ÉTICAS, MORALES DEL AUDITOR

La ISACF (Information Systems Audit and Control Foundation - Fundación de Auditoría
y Control de Sistemas de Información) propone el siguiente código de ética profesional:

 Apoyar el establecimiento y cumplimiento de normas, procedimientos y Controles

de las auditorías de S.I.
 Actuar en interés de sus empleadores, accionistas, clientes y público en general de
forma diligente, leal y honesta, y no contribuir a sabiendas en actividades ilícitas o
incorrectas
 Mantener la confidencialidad de la información obtenida durante sus deberes. La
información no deberá ser utilizada en beneficio propio o divulgada a terceros
no legitimados.
 Cumplir con sus deberes en forma independiente y objetiva, y evitar toda actividad
que comprometa o parezca comprometer su independencia

8
  Mantener su capacidad en los campos relacionados con la auditoría y los S.I.
mediante la participación en actividades de capacitación profesional.
 Cumplir con sus deberes en forma independiente y objetiva, y evitar toda
actividad que comprometa o parezca comprometer su independencia.
 Mantener su capacidad en los campos relacionados con la auditoría y los S.I.
mediante la participación en actividades de capacitación profesional.
 Ejercer sumo cuidado al obtener y documentar material suficiente sobre el cual
basar sus conclusiones y recomendaciones.
 Informar a las partes involucradas del resultado de las tareas de auditoría que se
hayan realizado.
 Apoyar la entrega de conocimientos a la dirección, clientes y al público en
general para mejorar su comprensión de la auditoría y los S.I.
 Mantener altos estándares de conducta y carácter tanto en las actividades
profesionales como en las privadas.

FUNCIONES A DESARROLLAR
El auditor es responsable de revisar e informar a la Dirección de la Organización sobre el
diseño y funcionamiento de los controles implantados y sobre la fiabilidad de lainformación
suministrada.

Se pueden establecer tres grupos de funciones a realizar por un auditor informático:

 Participar en las revisiones durante y después del diseño, realización, implantación

y explotación de las aplicaciones informáticas, así como en las fases análogas de
realización de cambios importantes.

 Revisar y juzgar los controles implantados en los sistemas informáticos para

verificar su adecuación a las órdenes e instrucciones de la Dirección, requisitos
legales, protección de confidencialidad y cobertura ante errores y fraudes.

 Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos

e información.

9
CONOCIMIENTOS Y HABILIDADES A DESARROLLAR
Entre los conocimientos y habilidades que posee el auditor informático se encuentra,
una base fuerte de conocimientos informáticos, acompañados con conocimientos sólidos
de auditoría, valoración de riesgos y control, además debe demostrar un conocimiento del
ambiente legal necesario para su trabajo como litigante.

Lo anteriormente señalado debe ser acompañado con una serie de habilidades necesarias
para una ejecución eficiente en su labor, tales como: facilidad de comunicación, habilidades
de detective, criminología y de litigante audaz.

El auditor informático debe tener la competencia y la preparación de un experto, ya que

de su opinión se tomarán decisiones y su informe debe tener la validez para impartir justicia.

En el desarrollo de una auditoría informática se identifican, además, las nuevas habilidades

y competencias demandas a los auditores:

 Conocimiento del negocio, comprendiendo su funcionamiento y forma de

planificar, administrar y controlar, anticipándose a la posibilidad de hechos
fraudulentos.
 Adoptar una visión estratégica a fin de cumplir con una función investigadora de la
gestión empresarial.
 Conocimiento avanzado de tecnologías de información.
 Adopción de técnicas innovadoras de auditoría para prevenir hechos delictuosos.
 Desarrollar habilidades de investigación, en especial en los tipos de fraudes, delitos
y operaciones ilícitas que se pueden cometer en las empresas y/o instituciones
financieras.

10
CLASES DE AUDITORÍA INFORMÁTICA
Es importante establecer que la auditoría informática tiene algunos de sus fundamentos
en otras auditorías y que se toman diferentes conceptos e insumos deellas para
ejecutarla. A continuación, se presenta una clasificación de diferentes tipos de
auditorías la cual es diversa, tomando en cuenta variables o factores según su origen
y/o ámbito de su aplicación.

1. Por la Aplicación
Privadas: son ejecutadas y requeridas por los diferentes sectores de la economía
como son comercio, industrias, financiera y de servicios
Publicas: Son ejecutadas y desarrolladas en el Estado y sus dependencias tales
como: Gobierno Central, Entidades Autónomas, Municipalidades, etc.

2. Por el Ámbito
Auditoría Interna
Auditoría Externa

3. Por Contenido y fines

Auditoria de Gestión
Auditoria Financiera
Auditoria Contable
Auditoria Informática
Auditoria de Obras e Infraestructuras
Etc.

4. Por el Contexto y Amplitud

Auditoria Total e Integral
Auditoria Parcial o especifica

La auditoría informática es un proceso llevado a cabo por profesionales especialmente

capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para
determinar si un sistema de información salvaguarda el activo empresarial, mantiene la

11
integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza
eficientemente los recursos, y cumple con las leyes y regulaciones establecidas.

Permiten detectar de forma sistemática el uso de los recursos y los flujos de información
dentro de una organización y determinar qué información es crítica para el cumplimiento
de su misión y objetivos

En la actualidad existe un sin número de clasificaciones de esta rama de la auditoría,

para este curso se tomará de referencia la siguiente:

- Auditoría informática de explotación

- Auditoria informática de sistemas
- Auditoria informática de comunicaciones y redes
- Auditoría informática de desarrollo de proyectos o aplicaciones
- Auditoría de la seguridad informática

AUDITORÍA INFORMÁTICA DE EXPLOTACIÓN

La Explotación Informática se ocupa de producir resultados informáticos de todo tipo

como puede ser listados impresos, ficheros soportados magnéticamente para otros
informáticos, ordenes automatizadas para lanzar o modificar procesos industriales, etc.
Para realizar la Explotación informática se dispone como materia prima los Datos, que
es necesario transformar, y que se someten previamente a controles de integridad y
calidad.
El proceso de transformación se realiza por medio del Proceso Informático, el cual está
dirigido por programas y permite obtener el producto final, los resultados de este son
sometidos a controles de calidad, y finalmente son distribuidos al cliente, al usuario.
Auditar la Explotación consiste en auditar las secciones que la componen y sus
interrelaciones, además se debe tener claro que la Explotación Informática se divide en
tres grandes áreas: Planificación, Producción y Soporte Técnico.

AUDITORIA INFORMÁTICA DE SISTEMAS.

Dentro de esta auditoría se analizan lo siguiente:

a) Sistemas Operativos Proporcionados por el fabricante junto al equipo.

12
 Los Sistemas deben estar actualizados con las últimas versiones del fabricante,
indagando las causas de las omisiones si éstas se han producido. El análisis delas
versiones de los S.O. permite descubrir posibles incompatibilidades entre algunos
productos de Software adquiridos por la instalación y determinadas versiones.

b) Software Básico.
Conjunto de productos que, sin pertenecer al Sistema Operativo, configuran
completamente los Sistemas Informáticos, haciendo posible la reutilización de
funciones básicas no incluidas en aquél. El auditor debe verificar que el software no
agrede, no condiciona al Sistema, debe considerar el esfuerzo realizado en términos
de costos, por si hubiera alternativas más económicas.

c) Tunning.
Es el conjunto de técnicas de observación y de medidas encaminadas a la evaluación
del comportamiento de los sistemas.
El Tunning posee una naturaleza más revisora, estableciéndose previamente planes
y programas de actuación según los síntomas observados.
Los Tunning pueden realizarse cuando existe la sospecha de deterioro del
comportamiento parcial o general del Sistema, de un modo sistemático y periódico,
por ejemplo cada seis meses.
El auditor informático deberá conocer el número de Tunning realizados el último
año y sus resultados, además analizará los modelos y los niveles e índices de
confianza de las observaciones.

d) Administración de Base de Datos.

Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los
accesos a la información almacenada en las bases de datos incluyendo la capacidad
de determinar:
 Quien accede a los datos.
 Cuando se accedió a los datos.
 Desde que tipo de dispositivo/aplicación.
 Desde que ubicación en la red.
 Cual fue la sentencia SQL ejecutada.
 Cual fue el afecto del acceso a la base de datos.

13
AUDITORIA INFORMÁTICA DE COMUNICACIONES Y REDES

La creciente importancia de las Telecomunicaciones ha determinado que se estudien

separadamente del ámbito de las técnicas de Sistemas, siendo términos esenciales en los
conceptos generales de Sistemas y de Arquitecturas de los Sistemas Informáticos.

Se ha producido un cambio conceptual muy profundo en el tratamiento de las

comunicaciones informáticas y en la construcción de los modernos Sistemas de
Información, basados en Redes de Comunicaciones muy sofisticadas.

La Auditoria de este sector abarca un campo muy amplio por lo que requiere un de
equipo de especialistas, expertos simultáneamente en Comunicaciones y en Redes Locales;
tomando en cuenta entornos geográficos reducidos lo que ha llevado a algunas empresas a
optar por el uso de Redes Locales, diseñadas y cableadas con recursos propios.

AUDITORÍA INFORMÁTICA DE DESARROLLO DE PROYECTOS O

APLICACIONES

La función de Desarrollo hace referencia al Análisis y Programación de Sistemas y

Aplicaciones. Esta engloba muchas áreas que pueda tener la empresa. Una Aplicación
recorre las siguientes fases:
- Prerrequisitos del Usuario y del entorno
- Análisis funcional
- Diseño
- Análisis orgánico (Cómo va a ser la Programación)
- Pruebas
- Entrega a Explotación

Estas fases deben estar sometidas a un exigente control interno, caso contrario además
de subir los costos, podrá producirse la insatisfacción del usuario. Finalmente, la auditoría
deberá comprobar la seguridad de los programas en el sentido de garantizar que los
ejecutados por la maquina sean exactamente los previstos y no otros.
Una auditoría de Aplicaciones debe pasar ineludiblemente por la observación y el análisis
de cuatro consideraciones:

14
 1. Revisión de las metodologías utilizadas: Se analizarán éstas, de modo que pudiesen
existir posibles futuras ampliaciones de la Aplicación y el fácil mantenimiento de
las mismas.
2. Control Interno de las Aplicaciones: Se deberán revisar las mismas fases que
presuntamente han debido seguir el área correspondiente de Desarrollo.
3. Satisfacción de usuarios: Una Aplicación técnicamente eficiente y bien
desarrollada, deberá considerarse fracasada si no sirve a los intereses del usuario
que la solicitó.
4. Control de Procesos y Ejecuciones de Programas Críticos: El auditor no debe
descartar la posibilidad de que se esté ejecutando un módulo que no se corresponde
con el programa fuente que desarrolló, codificó y probó el área de Desarrollo de
Aplicaciones.

AUDITORÍA DE LA SEGURIDAD INFORMÁTICA. -

En un computador de cualquier tipo se almacena por lo general gran cantidad de

información, la cual puede ser confidencial para individuos, empresas o instituciones, y
puede ser mal utilizada o divulgada a personas que hagan mal uso de esta.

También pueden ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o
parcial de la actividad computacional. Esta información puede ser de suma importancia,
y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos.

En la actualidad y principalmente en las computadoras personales, se tiene otro factor

que hay que considerar, específicamente los "virus" de las computadoras; los cuales aunque
tiene diferentes intenciones, se encuentra principalmente para paquetes que son copiados
sin autorización ("piratas") y borra toda la información que se tiene en un disco. Al auditar
los sistemas se debe tener cuidado que no se tengan copias "piratas" o bien que, al conectarse
en red con otras computadoras, no exista la posibilidad de transmisión del virus.

15
El uso inadecuado de la computadora comienza desde la utilización de la misma en usos
ajenos de la organización, la copia de programas para fines de comercialización sin reportar
los derechos de autor hasta el acceso vía remota a bases de datos a fin de modificar la
información con propósitos fraudulentos.

Se debe tomar en cuenta que la seguridad en la informática abarca los conceptos de

seguridad física y seguridad lógica.

 La seguridad física se refiere a la protección del Hardware y de los soportes de

datos, así como a la de los edificios e instalaciones que los albergan. Contempla las
situaciones de incendios, sabotajes, robos, catástrofes naturales, etc.

 La seguridad lógica se refiere a la seguridad de uso del software, a la protección

de los datos, procesos y programas, así como el acceso de los usuarios a la
información de manera ordenada y con la autorización mediante permisos.

CONTROL Y AUDITORÍA
Auditar es efectuar el control y la revisión de una situación pasada, es observar lo que pasó
en una entidad y contrastarlo con normas predefinidas. Aunque un sistema informático
puede lograr el mismo resultado final que un sistema manual, la forma en que lo hace, y
por lo tanto el nivel de seguridad y control requerido, puede diferirconsiderablemente.
Hay una serie de riesgos importantes asociados con la el procesamiento de los sistemas
informáticos; es importante por lo tanto, que los altos estándares de seguridad y control sean
implementados para minimizar el impacto potencial en la organización.
El fraude y el abuso informático pueden tener un efecto perjudicial efecto en una
organización; encuestas periódicas emprendidas por organizaciones en todo el mundo
indican los siguientes casos comunes de fraude y abuso informático:
- La divulgación no autorizada de información confidencial información
- La falta de disponibilidad de los sistemas informáticos clave
- Modificación/destrucción no autorizada del software
- Modificación/destrucción no autorizada de los datos

16
- Robo de hardware y software de IT
- Uso de las instalaciones de TI para negocios personales

Al considerar la auditoría informática, cabe señalar que los objetivos y principios básicos
de control no cambian. Sin embargo, la forma en que se logran esos objetivos sí cambia
fundamentalmente.
Concretamente, se necesitan mayores controles preventivos en lugar de depender de los
mecanismos de control más detectivescos y correctivos que normalmente se encontrarían
en los sistemas manuales. El desarrollo de sistemas en línea en tiempo real por ejemplo, en
los que la inmediatez del procesamiento puede dar lugar a que se transfieran millones de
dólares en un sistema de transferencia de fondos, requiere un sólido nivel de seguridad.
Existen varias definiciones del término control, difieren debido a distinciones conceptuales
o bien respecto al objeto del mismo (dónde será aplicado).
Se lo define al control como “el proceso de ejercitar una influencia directiva o restrictiva”,
es decir, las posibilidades de dirigir actividades hacia objetivos buscados ode evitar que
se produzcan resultados no deseados.
La clave para el desempeño de la labor de auditoría es una evaluación integral basada en
el riesgo que debe determinar la cantidad de recursos de auditoría necesarios y que también
debe ayudar a determinar en la evaluación de un satisfactorio nivel de seguridad y control.
En general, se reconoce al control como una función administrativa básica; consiste en
verificar que las diferentes actividades que se realizan en una organización tiendan a
alcanzar sus objetivos.
Se considera que el control produce dos tipos de acciones según sea el ámbito donde se
aplique:
 Influencia directiva, intenta que las actividades del sistema se realicen de modo
tal que produzcan determinados resultados o alcancen objetivos específicos
predefinidos.

 Influencia restrictiva, la acción se ejerce de modo tal que evite que las actividades
de un sistema produzcan resultados no deseados.

17
En síntesis, el control es un proceso y consiste en una comparación, un contraste de un
resultado (ocurrido o proyectado) con otro (esperado o deseable) y, por lo tanto, implica una
medición.

- TIPOS DE CONTROL
Se estableció que la auditoría es una actividad de control, por lo tanto, se puede profundizar
clasificando a estos últimos:

a) De acuerdo a su objetivo
 Correctivos, son aquellos que cuentan en su estructura con los elementos para medir
las desviaciones e informar sobre ellas, implican la determinación de los desvíos y
su informe a quien debe actuar sobre éstos. Los controles correctivos, también,
pueden ser retroalimentados (datos del pasado) o pre alimentado, por ejemplo:
presupuestos, etc.
 No correctivos, son los que prescinden de la medición e información de losdesvíos
que se pueden producir, como es el caso de controles de separación por funciones y
oposición de intereses.

b) De acuerdo a su marco temporal

 Retroalimentados, operan sobre hechos sucedidos, comparan los resultados
ocurridos con los esperados.
 Pre alimentados, operan sobre eventos futuros (en los procesos industriales se
denominan “control anticipante”) y previenen la ocurrencia de resultados
indeseados.

c) De acuerdo a su pertenencia al sistema operante

 De secuencia abierta, donde el grupo de control no pertenece al sistema
operante; es independiente del mismo.
 De secuencia cerrada, en el que todos los elementos del control pertenecen al
propio sistema operante.

ETAPAS DEL CONTROL

18
Las etapas para establecer un sistema de control son las siguientes:

1. Establecimiento de estándares: es la acción de determinar el/los parámetros/ssobre

los cuales se ejercerá el control y, posteriormente, el estado o valor de esos
parámetros considerado deseable. Este es el primer elemento a establecer para
instrumentar un sistema de control. En esta especificación se deberán incluir, entre
otros, la precisión con que se medirá el parámetro a verificar, el método de medición
y el instrumento sensible que se aplicará, la periodicidad en la aplicación y hasta
los responsables de esta tarea.

2. Comparación o diagnóstico: implica el cotejo entre los resultados reales con los
deseables. En esta etapa se investiga (más o menos extensamente) acerca de las
causas de las desviaciones que acompañarán un informe con las discrepancias
detectadas, para ser fuente de información de la siguiente fase.

3. La determinación de acciones correctivas es la tercera etapa. Lleva implícita una

decisión: corregir o dejar como está. Obviamente será más certera y económica
la solución de la discrepancia mientras más correcto sea el diagnóstico hecho en
la etapa anterior.

4. La ejecución de las acciones correctivas es el último paso. Sin éste, el control será
estéril, inútil e incompleto. Los costos de no implementar esta etapa serán altos ya
que se planificó una respuesta al problema que intentó solucionar. Por ello, se
considera que sin esta etapa simplemente no ha existido una acción de control.

19