Auditoria y Sistemas Informatic Blanco E

Edición: Deborah Prats López
Diseño de c ubierta: Frank Herrera García

Diseño in terior: Arsenio Fou rnier Cuza
Diagramación: Rolando Maikel Torres Muiña
la
re
Va
© Lázaro Jesús Bla nco Encinosa, 2008
© Sobre la pre sente edición:
Editorial Félix Varela, 2008
ix
él
lF
ria
i to
Ed
ISBN 978-95 9-07-0950-0
EDITORIAL FÉLIX VARELA

Calle A No. 703 e/ 29 y Zapata
Vedado, La Habana, Cuba.
Introducción / 7
Capítulo 1: De finiciones iniciales. Desarr ollo histórico
de la auditoría / 11
• Introducc ión / 11
• Definiciones básicas / 11
• Breve reseña histórica de la auditoría / 21
• Caso 1 para meditar / 28
• Preguntas / 28
Capítulo 2: No rmas y organizaciones de a uditoría / 29
• Organizaciones p rofesionales de la actividad d e auditoría / 29
• Documentos normativos de la auditoría / 32
• Preguntas / 35
• Problema de inve stigación 1 / 35
Capítulo 3: El auditor contemporáneo y la informática / 36
• Funciones a de sarrollar / 36
• Conocimientos y habilidades necesarias / 41
• Preguntas / 45
Capítulo 4: Ca usas de riesgos. Riesgos y controles / 47
• Causas de riesgo : la calidad en los sistemas com putarizados / 48
• Controles info rmativos / 53
• Preguntas / 72
Capítulo 5: El control interno en condiciones de informatización / 74
• Debilidades en e l control interno de algunos sistemas de conta-
bilidad computarizados / 75
• Viejos conceptos, n uevos enfoques / 77
• Los principios d e control interno en los siste mas informáticos
contables: nue va visión / 79
• Preguntas / 87
Capítulo 6: El auditor ante la elaboración o la a dquisición de un
sistema info rmático / 89
• Modelos básicos de los ciclos de vida de los sistemas informáti-
cos / 91
• El a uditor d uran te la e labo ración o ad quisición d el siste ma
informático / 98
• Preguntas / 101
• Problemas de inve stigación 4 / 101
Capítulo 7: Audit oría a sistemas informatizados en explotación / 102
• Pr epa rac ión de l trab ajo de la a uditor ía en un amb ien te de
informatiza ción / 104
• Realización del traba jo de auditoría / 106
• Conclusión del trabajo de auditoría / 120
• Preguntas / 123
• Problema de investigación 5 / 124
Capítulo 8: Audito ría a las área s de procesamiento de datos: el
logro de la seguridad y protección de los recur sos informativos
de la entidad / 125
• La segur idad y protección de los recu rsos informativ os de la
entidad. Visión general / 126
• Proceso de elabo ración y aplicación del sistem a de medidas de
seguridad y pro tección de los recursos info rmativos / 134
• Algunas medidas de seguridad y protección de recursos infor-
mativos / 140
• Un caso particular: la seguridad en internet / 148
• Preguntas / 153
Ca pít ulo 9: Riesgo s e spe cíf ico s: la ame naz a de lo s prog ramas
maligno s, la consulta no autorizada a las bases de dato s y el
acceso indebido a los sistemas de aplicación / 155
• Contraseñas o pala bras de pase / 155
• Encriptac ión / 159
• Virus informá ticos y otros programas m alignos / 162
• Preguntas / 171
Capítulo 10: Herr amientas y métodos utilizados en la auditoría a los
sistemas informativos en explotación / 172
• Auditoría a las ba ses de datos / 173
• Auditoría a las entradas / 180
• Auditoría a las inform aciones de salida 187
• Subsistema de auditoría, auditoría sistemática o auditoría desde
el sistema / 191
• Métodos de datos de prueba / 193
• Método de simulación paralela / 195
• Software general d e auditoría / 196
• Preguntas / 199
Capítulo 11: Auditoría a la función informática en la entidad / 200
• Definiciones g enerales / 201
• Auditoría a la planificación de la info rmática / 202
• Auditoría a la organización de la info rmática / 204
• Auditoría a la seguridad y protección de los rec ursos informati-
vos / 206
• Auditoría a la gestión informática / 207
• Auditoría a lo s sistemas en proceso de ela boración / 209
• Auditorías a redes d e computación / 209
• Preguntas / 212
Capítulo 12: Auditoría a sitios WEB / 214
• La auditoría a sitios WEB / 215
• Detalle de los aspectos a evaluar en una auditoría a sitios WEB / 216
• Conclusio nes / 220
• Preguntas / 221
Capítulo 13: Auditoría de la información y del co nocimiento / 222
• El problema inf ormativo en las entidades empr esariales / 223
• La solución / 227
• COBIT: un modelo integral / 231
• El modelo Hene zel: de los datos al conoc imiento / 234
• Presentación de otros modelos de auditoría de la información y
del conocim iento / 237
• El perfeccionamiento de la gestión en las organizaciones: algunas
herramientas / 238
• Hacia los sistemas empresariales inteligentes / 246
• Preguntas / 247
Capítulo 14: Inteligencia artificial y a uditoría / 249
• Sistemas basados en el conocimiento (sistemas expertos) / 250
• Aplicaciones de los sistemas expertos en la auditoría / 258
• Una propuesta de aplicación / 260
• Las redes neuronales artificiales / 262
• El paradigma BM LP y su empleo como base de u na red neuronal
de utilización en la auditoría / 263
• Conclusio nes / 266
• Preguntas / 267
Bibliogra fía / 269
La sociedad moderna se ha informatizado. Es un hecho innegable. Millones de
computadoras, enlazadas en red o aisladas (stand alone) se utilizan diariamente en
fábricas, hospitales, escuelas, empresas de variado tipo, bancos, etc. Dependemos de
estas máquinas para comunicarnos, para conservar nuestras informaciones, para ela-
borar nuestros informes, nuestros artículos, nuestros libros. Las utilizamos para diseñar
edificios, autos y aviones; para predecir el comportamiento climático, para garantizar
nuestros controles contables y estadísticos. Cuando queremos descansar las utilizamos
con fines lúdicos. Son, además, la base de la revolución que está ocurriendo en las
escuelas y universidades. Están en toda actividad humana. Si no existiesen, habría que
dedicar la mitad de los seres humanos que vivimos en este planeta, a procesar las
informaciones que obtiene la otra mitad. Han permitido el actual desarrollo humano,
pero a la vez lo condicionan.
Semejante dependencia exige medios de control efi caces y eficientes, que garan-
ticen la calidad de esos servicios computacionales y comunicacionales, que contri-
buyan a proteger y conservar las informaciones almacenadas, el equipami ento utili-
zado, que eviten desastres. Imaginemos por un momento las historias clí nicas de un
hospital al teradas, o las cuent as de un banco borradas. Pensemos que una compañía
de aviación recibe datos climát icos erróneos o que pierda todas sus res ervaciones.
Consideremos lo que podría pasar si se pierden todas las informaciones de nues tros
seguros médicos o de vej ez. La sociedad no puede dar se el l ujo de semejantes catás-
trof es. Esa compr ensión fue lo que motivó el esfuer zo mundial que se realizó para
atenuar los efect os del “error del mi lenio” o “ Y2K”. Es tábamos aterrados por lo
7
que podría pasar en cent rales atómicas , en aviones en vuel o, en s ervici os de gas y
calefacción. Esa comprens ión de nuest ra dependencia cas i total de los si stemas de
computación y de peligros que eso conlleva, nos hace enfocar nuestros esfuerzos a
garantizar la mayor calidad posi ble de estos sistemas, de los procesos de captación,
transmisi ón, almacenamiento y diseminación de la información al macenada.
Esa información adquiere un valor incalculable: s on datos insustitui bles sobre
per sonas, procesos, fenómenos, objetos, etc. Incluye además los programas de
computadoras, “la inteligencia” , utilizados para pr ocesarlos. Muchos de ellos son
únicos, hechos a la medida del problema y por progr amadores muy especializados, lo
que incrementa su valor práctico y financiero.
Es una inf ormación que descri be procesos y fenó menos cada vez más complejos.
El ser humano ha construido r edes de computadoras cada vez más perf ectas, por
donde trans mite informaciones de variado tipo y formato. Libros, cuentas por pagar,
facturas, contratos comerciales, números de tarjetas de créditos, datos sobre cuentas
bancarias, canciones, películas, ... prácticamente todo tipo de información viaja por
las redes y se encuentra almacenada en las bases de datos accesibles por esas redes.
O sea, cualquier daño a esos s istemas podría provocar un efecto catas trófico en
la vida del ser humano, tanto en los aspectos económicos, sociales, culturales, pero
también fís icos y biológicos; pues muchas de las ar mas más destructivas pueden ser
accesibles por los sistemas de computación, y muchos de los datos sobre las bacterias
y virus más dañinos que se conservan en los laboratorios de investigación también lo
son.
Por otra parte, el empleo masivo de esos sistemas ha propiciado el surgimiento de
un nuevo ti po de delito: el delit o informático, mediante el cual se sustraen diariamen-
te millones de dólares indebidamente.
¿Cómo prot egernos de esas catástrofes?; ¿cómo asegurar que la dependencia
casi total de los sistemas de computación y las redes de comunicación basadas en
computadoras no se traduzca en desastres que afecten nuestra vida y nues tra activi-
dad?
Se impone desarrollar sistemas , métodos y procedimientos que garanticen la cali-
dad de esas redes, del software utilizado y de las informaciones procesadas; sistemas
que eviten errores y disminuyan lo posible los riesgos de catástrofes, de fraudes, de
delitos; que detecten incorrecciones y mala utilización de las computadoras y los
recursos informativos.
Prácticamente desde el comienzo del uso comercial de las computador as, se co-
menzaron a crear esos sistemas, a proponer esos mét odos. En cierto sent ido fue el
desarrolllo natural de los métodos y sistemas de auditoría, que el ser humano ha
venido per feccionando desde el surgimiento de la humanidad, extendidos y adapta-
dos a un entorno de control mucho más riesgoso y complejo.
8
Este libro se refiere precisamente a esos sistemas, procedimientos y métodos de
control y de aseguramiento de la calidad y la protección de los sistemas de información
computari zados . Es un libro sobre auditor ía, s obre seguri dad de los recur sos
informáticos, sobre su protección. Es un texto que describe los principales métodos
de auditoría, sus principales herramientas, desarrolladas a través de cincuenta años de
actividad de los auditores en el mundo informático. Incluye experiencias del autor, pero
sobre todo de los mejores auditor es del mundo, relatadas en libros y artícul os, descri-
tas en normat ivas y document os of iciales, obtenidas en proyectos prácticos de
auditorías, en el intercambio en cursos o encuentros i nformales, en diferentes países.
Es un libr o que recoge lo más actual, pero también lo que se está gestando y
vendrá en años futuros a enr iquecer el arsenal práctico de los auditores.
Se ha escr ito con un enfoque muy práctico, pero contando con la necesaria teoría
“no hay nada más práctico que una buena teoría” para que los lectores tengan un
bagaje más duradero en las inf ormaciones que aquí reciban. De esa combinación de
teoría y pr áctica, de pasado útil , de presente y de fut uro; se ha conformado este libro.
Este comienza analizando las principales denominaciones que históri camente se
han utilizado para nombrar a la auditoría en el ámbito de los sistemas de computa-
ción. Ello no será un mero ejer cicio semántico, sino que nos permitirá definir el
campo de atención del texto. Además, se fundament ará una tesis que el autor ha
defendido en diferentes foros –congresos de auditoria, artículos, libros– y que senci-
llamente apunta que no hay una auditoria tradicional y una dedicada a l os sistemas
de información computarizados ; hay sencillamente una auditoría contemporánea y
otra que no lo es. Seguidamente se analizarán las f unciones, habilidades, conoci-
mientos, formación, etc.; que requiere el auditor y qué hacer para su reconocimiento
internacional oficial.
Como elemento imprescindible, se estudiarán las organizaciones int ernaciona-
les que norman el trabajo de auditoría y se mencionarán las principales normas y
documentos de apoyo al trabajo del auditor, pero f undamentalmente las normas bá-
sicas inter nacionales. Se analiz arán los principales tipos de auditoría y su relación
con la informática y los sistemas de comunicación computarizados.
Se analizará el rol del audi tor en condiciones de compra o de di seño de un
sistema computarizado.
Se explicarán los principios, métodos y herramientas a utilizar en auditorias a
sistemas que se encuentran en explotación. Para muchos, esta es la auditor ía a siste-
mas de computación por antonomasia, por lo que s e le dedicará mucha atención,
enfatizando aplicaciones contables y financieras de amplia difusión, con soluciones
concretas a problemas muy comunes que pueden pres entarse. Así, dará r espuesta a
cómo acomet er auditorías financi eras o temáticas (a inventarios, a activos fijos, al
personal, etc.) en condiciones de una gran informatización.
9
Para reali zar este trabajo, se adoptará el enfoque más aceptado en el mundo
actual: en la atención a los controles, riesgos y causas de riesgos para r ealizar una
auditoría preventiva, más que correctiva. Se profundi zará en los controles internos a
aplicar en entidades que utilicen sistemas informáti cos para automatizar sus princi-
pales funciones de dirección.
Como un complemento, se abor dará también la auditoría a la propi a función
informática, a la seguridad y pr otección de los recursos informativos, a los métodos
concret os de solución de problemas, a la elaboración y apl icación de pl anes de
contingencia contra catástrof es y situaciones indeseables.
Por su act ualidad e importancia, se abordará det alladamente el tema sobre los
virus infor máticos o programas malignos, haciendo una descripción de los principa-
les tipos, las acciones que reali zan, y las medidas de protección, desinfección y recu-
peración a tomar en caso de su actuación. Se analizan otras amenazas que sufren los
sistemas i nformáticos en la actualidad.
Se incluye un capítulo destinado a la auditoría de la información y el conoci-
miento, por su actualidad y vigencia, e incluirá también una propuesta de auditoría
a sitios WEB, aspecto cada vez más necesario en el trabajo del auditor.
En los aspectos más perspectivos , se incluirá el análisis de la inteligencia artifi-
cial y su aplicación a la auditor ía; pero además, el uso de otras técnicas r elativamen-
te novedosas, como los hipertextos e hipermedias, así como otras de des arrollo re-
ciente.
La auditor ía contemporánea y l os métodos y procedimientos de protecci ón y segu-
ridad de los recursos informativos, están en plena ebullición. Auditores e investiga-
dores en todo el mundo dedican sus esfuerzos a estos aspectos, por lo que hay mucho
cambio, mucha evolución. Sin embargo, la actualidad de este libro le augura varios
años de utilidad práctica, de vigencia. Su ciclo de vida puede extenders e mucho
tiempo.
L ÁZARO J. BLANCO ENCINOSA

La Habana, diciembre de 2007
10
INTRODUC CIÓN
En este capítulo se abordarán los problemas terminológicos y de enfo-

que. Esto resulta importante porque no existe un consen so universal sobre
la auditoría contempo ránea en los a mbientes info rmáticos. El p roblema
pudiese ser intrasc endente, sino se relacionara con la ac tividad profesional
del auditor: unos a uditores piensan que la auditoría en ambientes de siste-
mas computarizados les concierne y otros no; es por ello que se expondrán
opiniones de instituciones y personalidades de la auditor ía y también, lógi-
camente, el punto d e vista del autor.
También en la segu nda sección del capítulo, se realiz ará un breve reco-
rrido histórico, ha ciendo énfasis en los últimos cincue nta años, donde la
auditoría se ha adaptado a la informática y su cambiante mundo.
DEFINICIONES B ÁSIC AS
El m undo de la auditoría n o ha co nseguid o poner se de ac uerdo sobre

la deno minac ión que d ebe recib ir la aplicación d e ésta a los siste mas
comp utariza dos o informáticos. E sa ind efinición ha llevado a confu sio-
nes entre los espec ialista s y los que no lo son. Por ejemplo, la auditoría
de gestión financiera que se realiza por un auditor interno a los sistemas de
inv entario s d e u na empr esa , los cuales se enc uentran in for matizad os
¿cómo debe denominarse? Algunos opinan que esa pu ede ser catalogada
11
com o “Auditoría inform ática”; otros opinan que no, que ese término debe
reservarse a aquellas auditorías que se le hacen a la f unción informática
exc lusiv amen te.
El problema no es sólo terminológico. Estos proble mas se agravan al
traduc ir de un idioma a otro los diferentes términos. Muchos aud itores
sostienen todavía e l punto de vista de que auditar sistemas informatizados
no debe incluirse en su campo profesional de acción, sino que correspon-
de a un personal m ás especializado en la informática. Esos profesionales
se autodenominan “ auditores” y consideran a aquellos como un tipo más
especializado, los “au ditores informáticos”.
Otros auditores c onsideran que la Informática es u n conjunto de me-
dios para procesar información mediante computadoras, y por tanto, los
sistemas computarizados se comprenden con su rango p rofesional de ac-
ción. Estos a uditores, sin negar la existencia y la necesidad en ciertas oca-
siones, de pe rsonal más especializado, enfrentan la realización de auditorías
en instituciones qu e utilizan computadoras, y cuentan c on los conocimien-
tos y las habilidades necesarias para esto.
Por ello, comenza remos con las definiciones básicas, primigenias, de
la auditoría y las compararemos con las definiciones q ue se le atribuyen
una vez que se encuentra en un entorno informático.
El Com ité Inte rnac iona l de Prá ctic as de Auditoría , in stitució n re s-
ponsabilizada con las normas y estándares de esta actividad, en el docu-
mento 110, “Glosario d e Términos”, expresa:
Auditoría: El ob jetivo de una auditoría de estados financieros

es hacer posible al auditor el expresar una opin ión sobre si los
estados financie ros están preparados, respecto de todo lo sus-
tancial, de acue rdo a un marco de referencia p ara reportes fi-
nancieros identif icado o a otros criterios. Las f rases usadas para
expresar la opin ión del auditor son “dar un pun to de vista ver-
dadero y justo” o “presentar en forma apropiad a, en todos los
aspectos susta nciales”, que son términos equivalentes.1
La American Accou nting Association ha preparado la siguiente defini-

ción de a uditoría:
1
Comité Internacional de Prácticas de Auditoría. Codificación de Normas Internacionales de
Auditoría (NIAs) y Declaraciones Internacionales de Auditoría, pp. 18-19.
12
La auditoría es un proceso sistemático para obtener y evaluar de
manera objetiva las evidencias relacionadas con informes sobre
actividades económicas y otros acontecimientos relacionados. El
fin del proceso consiste en determinar el grado de corresponden-
cia del contenido informativo con las evidencias que le dieron
origen, así como determinar si dichos informes se han elaborado
observando principios establecidos para el caso.2
Un concepto impor tante es el expuesto por W. B. M eigs, en su obra

Principios de auditoría. Su autor define:
Una auditoría e s un examen de los estados fin ancieros de una

compañía, realizada por una firma de contador es públicos in-
dependientes. L a auditoría consiste en una in vestigación mi-
nuciosa de los r egistros contables y otras pru ebas que apoyan
esos estados financ ieros.3
Otra importante or ganización, el American Institute o f Certified Public

Accountant, expresa:
El objetivo del examen ordinario de los estados fin ancieros

por el auditor independiente es la expresión de una opinión
sobre la rectitu d con que presentan la situación financiera, los
resultad os de las opera ciones, y los cambios en la situación
financiera, de c onformidad con los principios de contabilidad
generalmente ac eptados. El informe del audito r es el medio a
través del cual éste expresa su opinión o, si la s circunstancias
lo requieren, de clina hacerlo. 4
Un excelente dicc ionario económico ofrece la siguie nte definición de

“auditoría”:
El requerimiento legal para una corporación d e tener sus ba-

lances y sus estados financieros y un sistema de contabilidad
2
“Report of the Committee on Basis Concepts”,en Auditoría, p.5.
3
W.B. Meigs: Principios de auditoría, p. 24.
4
American Institute of Certified Public Account. Declaración sobre normas de AuditoríaNo. 1,
AICPA, en W. B. Meig s: ob. cit., p. 24.
13
y registro examinados por un auditor calificad o, capaz de emi-
tir una opinión que se formará por la certez a de que dichos
estados represen tan la real condición financie ra de la mencio-
nada corporació n y de que estos cumplimenta n sus estatutos
más relevantes.5
En esas definic iones se destacan los siguie ntes aspectos:
• La auditoría com o proceso sistemático de obtención de evidencias

sobre hechos eco nómicos que se encuentran reflejados en informes
y estados f inancieros.
• La auditoría como un necesario conjunto de proced imientos y méto-
dos lógicos y or ganizados de la mejor manera posible, y que debe
seguir el au ditor para recopilar la información.
• La existencia de estándares y normas a seguir por el auditor.
• La necesidad de o btener la evidencia y de evaluar la misma de ma-
nera objetiva.
• La independencia del auditor, administrativa y le gal, pero también
mental.
• El auditor debe usar su criterio selectivo para sele ccionar la eviden-
cia apropiada.
• Las definiciones permiten que se considere cualquier tipo de informe
económico-financiero, incluyendo fundamentalmente, los estados fi-
nancieros, las declaraciones de impuestos, los contratos, los informes
de funcionamiento, los estudios de factibilidad, etc.
• El auditor debe determinar el gr ado de correspondencia entre los
que ocurrió en rea lidad y lo reflejado en los inform es; y asegurarlo a
los usuarios d e los mismos.
• La comprobación de los hechos, la medición y la comparación con
lo reflejado en los informes, debe estar acorde a principios meto-
dológicos, que garanticen la estandar ización de procedimie ntos y
métodos. Lo no rmal es que el auditor se base en los “Principios de
contabilidad genera lmente aceptados”, pero también debe hacerlo
en ley es, reglame ntos, reso luciones, c onvenios co ntractuale s, ma-
nuales de normas y p rocedimientos, etc.
Se acepta no rmalmente que las auditorías sean externas o internas. Las

primeras se realizan cuando las orga nizaciones presentan sus estados fi-
5
C. Pass,y otros: The Harper Collins Dictionary of Economics, p. 23. (Latraducción es del autor.)
14
nancie ros a banc os, acreed ores, prop ietarios, probables inversionistas o
agencias del gobierno; y necesitan la certificación de una c onsultora de
con tado res públicos y au dito res certifica dos, y r econo cida nac iona l e
internacionalmente. La segunda se lleva a cabo por auditores de la empresa,
pero independientes de aquellas áreas, o empleados cuyo trabajo revisan.
También pueden existir auditorías realizadas por age ncias gubernamen-
tales o inte rnacionales.
Por supuesto, el término “Auditoría” en la actualidad ha pasado a ser patri-
monio de toda una serie de actividades humanas como la medicina, la econo-
mía, el control medioambiental, etc. Ello ha motivado que su esfera de acción
se haya ampliado considerablemente y hoy se hable de “Auditoría médica”,
“Auditoría medioambiental”, “Auditoría de construcción”, “Auditoría a la
información y el conocimiento”, etc. Cada una de las mismas tiene su arsenal
de técnicas, procedimientos y métodos de trabajo; que en cierto sentido se
aparta de las clásicas auditorías del ámbito económico, financiero y de ges-
tión. Ha quedado solamente la esencia del término: “Auditoría”, como sinóni-
mo de revisión, análisis, control, examen, búsqueda, etc.
Acerquemos más nu estras definiciones a la temática que nos interesa,
para encontrar puntos de contacto y diferencias con ésta definiciones clá-
sicas aquí ofrecidas.
El menciona do Comité de Práctica s de Auditoría, cuand o emitió su
NIA 15, para estab lecer la normatividad necesaria sob re el tema, usó el
término “Auditoría en u n ambiente de información por computadoras”; y
expresó que esa er a aplicable “cuando está involucra da una computadora
de cualquier tipo o tamaño en el procesamiento por la e ntidad de informa-
ción financiera de importancia para la auditoría, ya se a que dicha compu-
tadora sea oper ada por la entidad o por una tercera parte”. 6
Echenique y Sánch ez, en una difundida obra, utilizan el término “Audi-
toría con in formática”7 y bajo este engloban otros concepto s relaciona-
dos, como el de “Auditoría de programas”8, donde la de scribe como:
[...] la evaluación de la eficiencia técnica del uso de diversos

recursos (cantidad de memoria) y del tiempo que utilizan los
programas, su seguridad y confiabilidad con el objetivo de op-
timizarlos y evaluar el riesgo que tienen para la organización.
6
Comité Internacional de Prácticas de Auditoría, ob. cit., p. 135.
7
J. A. Echenique: Auditoría en informática,p. 9.
8
Ibídem,p. 18.
15
También en la misma obra se habla de “Auditoría de la función informáti-
ca”,9 y la define como la revisión de los aspectos relacionados con la función
de procesamiento de computarizado de datos en la entidad, abarcando la es-
tructura organizativa del departamento de Informática, la situación de los re-
cursos humanos, los recursos informáticos (hardware y software), la situación
presupuestal y financiera, las normas y políticas vigentes, los planes de traba-
jo, los controles, los estándares y procedimientos vigentes.
Se ocupa tam bién de la evaluación de los sistemas ,10 y en ella engloba
la evaluación del a nálisis, del diseño lógico del sistema , su desarrollo, el
control del pr oyecto, los instructivos d e operación,11 las formas de implan-
tación, el eq uipo y las facilidades de programación.
Se infiere de las definiciones de esos autores, que enfocan su defini-
ción a lo que se conoce como “Computer assisted audit.”, o “Auditoría
asistida por computadora”.1 2
Otros autores utilizan términos cercanos, pero no id énticos. Por ejem-
plo, D. H. L i prefiere “Auditoría en cen tros de cómputo”, que comprende
la auditoría aplica da al diseño, desarrollo y mantenimien to de sistemas; las
operaciones y la tecnología en que se apoyan.
Se han utilizado tam bién los términos “Auditoría de sistemas compu-
tariza dos”,13 “Au ditoría de sistemas con comp utador”, 14 “Au ditoría de
los sistemas ele ctrónicos de procesamiento de la información”,15 sin dife-
rencias significa tivas de enfoque.
Zaba ro y Mar tínez, en su ob ra Audito ría informá tica distinguen dos
tér mino s:
Auditoría Infor mática: “Conjunto de procedim ientos y técni-
cas que permiten en una entidad: evaluar, total o parcialmen-
te, el grado en que se cumplen la observancia de los controles
9
Ibídem,p. 27.
10
Ibídem, pp. 51 y ss.
11
El autor ha respetado la terminología de todas las fuentes informativas queha citado, aunque no
siempre estéde acuerdo con ella.
12
Esa posición teórico-semántica semantiene en versiones más recientes deese texto. El señor
Echeniqueha tenido la inmensa amabilidad defacilitar al autor un borrador actualizado de este
(México D.F., junio de 2000), donde puede apreciarse esto.
13
Ver, por eje mplo, los procee dings del Primer Congreso Nacion al de Auditoría de Sistemas
Computarizados, celebrado en Colombia, 1995.
14
Auditoría, ob. cit., pp 372 y ss.
15
W. B. M eigs: ob., c it., pp. 207 y ss.
16
internos asociados al Sistema Informático; determinar el grado de
protección de sus activos y recursos; verificar si sus actividades
se desarrollan eficientemente y de acuerdo con la normativa in-
formática y general existentes en la entidad, y para conseguir la
eficacia exigida en el arco de la organización correspondiente.
Aud itoría con la info rmátic a: utilización de las té cnicas de
auditoría asistida por computadora.
Hernández Pascual utiliza el término “Auditoría Informática”,16 limitándolo

a la seguridad y protección de los medios informáticos. Nos dice que auditoría
informática es la “comprobación científica y sistemática de los controles sobre
la Política Informática, los medios técnicos y los sistemas informáticos de una
entidad, con el objeto de determinar la exactitud, integridad, eficiencia y cali-
dad de los mismos y eliminar las deficiencias detectadas”.
El autor de este libro, en un lejano artículo, donde p ublicó por primera
vez sus experiencias sobre la tem ática,17 utilizó el término “Auditor ía a
sistemas au tomatizados d e direc ción”, basánd ose en corrie ntes mu y en
boga en Cuba en ese momento –no se utilizaba el térm ino “informática”,
en su lugar se usab a una traducción del término ruso eq uivalente: “siste-
mas automatizados de dirección”, por motivos fundame ntalmente políti-
cos–, el cual a barcaba tres grandes corrien tes de trabajo:
• Auditoría a las aplicaciones informáticas e n explotación.
• Auditoría a los sistemas informáticos en proceso de elaboración
• Auditoría a las ár eas de proceso de datos. En esencia, revisión de la
seguridad y p rotección de los recursos informativos.
En años más recien tes, en otras publicaciones, se reitera esa posición,
aunque utilizando el término más comprensible en el m undo hispano-lati-
no de “informática ”, en lugar del citado término prov eniente del ruso.18
En otra publicación suya relativamente reciente,19 emplea también el
término “Aud itoría Informática (AI)” , y expresa:
La AI representa un cambio cualitativo total c on respecto a la
mal llam ada “Auditoría tradicional”. La AI es una a ctividad
16
E. Hernández Pascual: “Auditoría informática”, revista Visión del Auditor,p. 5.
17
L. Blanco: “La auditoríade los sistemas automatizados: una introducción a su estudio”, revista
Economía y Desarrollo, pp. 21-45.
18
L. Blanco: Auditoría informática para el nuevo milenio, p. 11.
19
L. Bl anco: “La auditor ía infor mática en el año 2000”, en N. Mont es: Siste mas conta bles,
pp. 49 5-496.
17
que cada vez gana más autonomía y personalidad. En realidad,
es un conjunto de métodos y técnicas de trabajo, vinculadas a la
problemática de conservar adecuadamente los recursos infor-
mativos de las entidades y de avalar la autenticidad, corrección
e integridad de las informaciones de estas.
Además, parte de su objeto de trabajo, es la r evisión, compro-

bación, examen, estudio y análisis de las inf ormaciones pro-
cesad as por las computad oras en cu alquier tipo de entidad;
emple ando las técnicas, métodos y artes apr opiados, c on la
finalidad de ex poner los hechos y situacione s económico-fi-
nancieras y de e valuar el estado general de la gestión de di-
chas entidades.
En otra faceta d e su actividad, la AI contribu ye a mejorar el

diseño de los sistemas informativos, basados o no en compu-
tadoras, a aumen tar la eficiencia del aparato directivo que uti-
liza dichas info rmaciones y a garantizar la seg uridad y protec-
ción de los recursos informativos de la entidad.
Como se argumentará detalladamente más adelante, la auditoría a través

de la historia ha tenido como uno de sus objetivos fundamentales la protec-
ción de los activos de las entidades donde se desarrolla (esto es más evidente
en el caso de las auditorías internas, pero se cumple en el caso de las exter-
nas también); y pa ra ello se ha basado en las tecnolo gías imperantes de
tratamiento de la información. En la actualidad, esas tecnologías son las
informáticas, y la auditoría desarrolla su trabajo utilizando las mismas (lo
que Echenique y otros autores llaman “auditoría con la informática”), pero
también en ámbitos organizacionales totalmente informatizados (como se
exp resa e n la NIA 1 5, “au ditor ía en un am biente de inform ación por
computadoras”). El auditor actual vive en un mundo informatizado, y no se
concibe que esté ajeno a eso. Debe realizar su trabajo en ese ambiente, lo
cual es ya un fenómeno normal, habitual.
Actualmente el aud itor debe realizar auditorías finan cieras, temáticas,
operacionales e integrales, de gestión, etc. Son tareas que emprende desde
hace mucho tiempo, antes de que surgieran las computad oras y se utiliza-
ran en la gestión económico-financiera de las empresas. Los objetivos de
esas auditorías en esencia no han cambiado, pero el en torno en que deben
realizarse sí y también las herramienta s y técnicas utilizadas p or el auditor
18
(en la actua lidad basadas en la info rmática). Esto es recono cido por las
autoridades que nor man el trabajo del auditor, de ahí la emisión de la ya
mencionada NIA 15 , donde se plantea en su acápite 1 2: “Los objetivos
específicos de aud itoría del auditor no cambian ya se a que los datos de
contabilidad se procesen manualmente o po r computadora.”20
Pero también la a uditoría debe cumplir otra funció n –ya mencionada–
de la que siempre se ocupó: la protección de los activo s de la entidad, de
los cuales la info rmación y el conocimiento son los elementos más valio-
sos, y los distintos medios utilizados para procesarlos, y conservarlos. La
forma en que el au ditor debe contribuir a su protecció n es analizando la
seguridad informativa y sugiriendo medidas para reducir o eliminar ries-
gos de daños, malos usos y pérdidas. Hoy en día los re cursos informativos
están soportados por la informática, por lo que el auditor debe dedicar aten-
ción también a estos problemas. Esto ha sido reconocido por las autoridades
normativas competentes, y han emitido al respecto la Declaración 1, Docu-
me nto 1 00 1, “E ntorn os PE D (Pr oc esamien to Electró nic o de Da to s)
Microcomputadoras independientes; y la Declaración 2 , Documento 1002,
“Entornos PED-Sistemas de computadora s en línea”;21 en las cua les se ha-
cen recomendacione s para garantizar la seguridad de los recursos infor-
mativos de la entidad b asados en computadoras.
Una tercera función a la que debe dedicarse el auditor es la relacionada
con la adquisición o la elaboración de sistemas de procesamiento de la
información (contable, estadísticos, financieros, etc.). Tampoco en este caso
han cambiado los objetivos, sólo los medios y el ámbito de trabajo. Al res-
pecto, también se ha pronunciado el Comité Internacional de Prácticas de
Auditoría, con el Addendum 1 a la NIA 6, Documento 1008, “Evaluación
de riesgos y control interno-características y consideraciones de PED”.22
En otras palabras, es aceptado –y también normado–, que el auditor con-
temporáneo debe realizar su trabajo en estos tres aspectos mencionados.
Entonces, ¿por qué la necesidad de ese “apellido” que todos nos hemos
visto en la necesidad de agregarle al término “auditoría”, para vincularlo a la
informática?, ¿por qué se ha motivado esa profusión de términos que ha
contribuido a crear cierta confusión en la profesión, haciendo pensar a mu-
chos p rofesionales que la “au ditoría info rmática es un problema de los
informáticos, no de auditores?”.
20
21
Ibídem, pp. 326-348.
22
Ibídem,p. 469.
19
Lo que ha creado esa situación es la relativa noved ad de las tecnolo-
gías informáticas y su complejidad, unido al desconocimiento que de esas
técnicas han tenido algunas generaciones anteriores de auditores. Pero el
tiempo pasa y ya esa n ovedad no lo es tanto.
En muchas consultoras de auditoría, al comenzar a difundirse las compu-
tadoras en las orga nizaciones, contrataron informáticos y los incorporaron
a los equipos de au ditores, para complementar los conoc imientos y habili-
dades de estos. Lo s auditores “tradicionales” encabez aban los equipos y
dividían el trabajo. Los informáticos se encargaron de la seguridad y pro-
tección de la información y de evaluar el diseño de las aplicaciones en explo-
tación o en proceso de compra o adquisición. Emitían sus informes, donde
expresaban sus criterios acerca del nivel de certeza con que se podían evaluar
los controles de los sistemas informáticos que habían auditado, los riesgos,
etc. Basándose en esos informes, el auditor “tradicional”, analizaba los esta-
dos financieros y realizaba el resto del trabajo de auditoría. Muchos todavía
trabajan así, sobre todo en aquellas instituciones que tienen en su equipo de
trabajo auditores formados en décadas anteriores.
Pero poco a poco esa situación ha ido cambiando. Las generaciones
más actuales de au ditores han dejado de ser “tradicion ales”. Conocen los
elementos fundamen tales de la informática, dominan p aquetes especiali-
zados de auditoría y tienen la cultura básica necesaria sobre la seguridad y
protección de los r ecursos informativos. Pueden realiza r auditorías en en-
tidades que cuenta n con sistemas computarizados de m ediana y baja com-
plejidad sin requer ir de la ayuda complementaria de per sonal informático.
Esa tendencia se acentuará en los próximos años, co mo es de esperar.
Indudab lemente, hay situaciones en que la participación de técnicos
info rmático s es im prescindible. En el caso de sistem as com putariz ados
complejos (por eje mplo, redes con decenas, cientos o miles de máquinas
interconectadas), r esulta adecuado añadir al equipo de auditores ese tipo
de personal especializado, algo por demá s, previsto.23 Pero ello no quiere
decir que estemos e n presencia de una actividad de obje tivos diferentes a
la Auditoría que conoc emos desde hace años.
Es sólo cuestión de tiempo. Poco a poco desapar ecerán los cr iterios
que con sideran que estamos en prese ncia de actividades diferentes. Las
auditorías serán ca da vez más complejas, pero a la vez más fáciles de en-
frentar, pues los a uditores contarán con técnicas y her ramientas cada vez
más po tentes. A su vez, esto s tendrán un arsenal mucho más a mplio y
23
Ibídem, pp. 225 y ss.
20
prof undo de conocimientos y habilidades. Los e xpertos auxiliares in ter-
vend rán cad a vez má s sólo en aspe ctos mu y puntu ales, de mucha com-
ple jida d.
Hay otra razón pa ra garantizar que el futuro más o menos inmediato
será similar al descrito en el párrafo anterior: el facto r económico. Imagi-
nemos una auditoría externa a una pequeña empresa, co n todos sus siste-
mas contables y f inancieros soportados en una micro computadora. ¿Ha-
bría que formar un equipo con dos o más tipos de especialistas para hacer
la auditoría en dicha empresa? Evidentemente esto sería muy costoso. Igual-
men te, la s auditorías inter nas re querirían d e un p ersona l espe cializ ado
informático perman entemente en sus plantillas de carg o, para complemen-
tar a unos supuesto s “auditores tradicionales”, lo que indudablemente re-
dundar ía en costo s mucho más altos. Se impone, pue s, un auditor más
completo e integra l, con una formación en auditoría propiamente dicha,
pero también con una sólida base en informática.
Se puede concluir entonces que la auditoría actual se realiza con y so-
bre la informática. Hablar de una “auditoría tradicional” es, sencillamente,
hablar de una auditoría anticuada. La llamada auditoría informática, es la
que se realiz a a la función informática de las entidades, y no será objeto de
un análisis muy pr ofundo en este libro, dirigido fund amentalmente a los
auditores del ár ea financiera, contable, económica y de gestión.
BR EVE RESEÑA HISTÓRICA DE LA AUDITOR ÍA
El surgimiento de la Auditoría se remonta a los albo res de la humani-

dad. Es de suponer que en su etapa prehistórica, cuand o el ser humano se
vio obligado a inventar y desarrollar el comercio,24 entendió la necesidad
de la auditoría y comenzó a desarrollarla y a aplicarla. “Desde el mismo
momento en que existió el comercio, se llevaron a cabo auditorías de al-
gún tipo”.25
Las técnicas preliterarias de la auditoría definieron p ara siempre su nom-
bre: el auditor er a llamado así porque “escuchaba” los informes de aque-
llos que debían re portar el resultado de su actividad económica o comer-
cial. Desde entonce s, la tecnología dominante para el p rocesamiento de la
información, definió el carácter y la naturaleza de la actividad.
24
H. E. Barnes: Historia de la economía del mundo occidental, UTEHA, México, 1995, p. 4.
25
Auditoría, ob. cit., p. 13.
21
Hasta el momento, los documentos más antiguos que se conocen fue-
ron descubiertos en los años 3000-2800 a.C. cerca del a ntiguo estuario del
Eufrates. Puede afirmarse que representaban el soporte físico de un siste-
ma de control econ ómico: se tratan de libros de cuenta s y de inventarios
redactados en escritura cuneiforme arcadiana en tabletas de arcilla. En esa
época también apare ció en Egipto la escritura jeroglífica . Por entonces tam-
bién apareció en Eg ipto la escritura jeroglífica. En ese Estado, fuertemente
centralizado alrede dor de la figura del Faraón, los aud itores fueron alta-
mente respetados y útiles, puesto que ayudaban al señor a controlar todos
sus activos.2 6
Pero es de suponer que el verdadero impulso a la aud itoría moderna lo
dio el Renacimiento , con el auge del comercio, el desarr ollo de la Contabi-
lidad, prima herman a de la Auditoría, y el auge del capital financiero y de
préstamo. En ob ra ya citada,27 se sugiere que “las pr imeras auditorías fue-
ron revisiones meticulosas y detalladas de los registro s establecidos para
determinar si cada operación había sido asentada en la cuenta apropiada y
por el importe corr ecto. El propósito principal de estas primeras auditorías
era detectar desfalcos y determinar si las personas en posiciones de con-
fianza estaban actuando e informando de manera respo nsable”. Los ban-
queros desde época temprana, al analizar los balances d e los solicitantes
de préstamos, “exig ían que un auditor independiente rec tificara la exacti-
tud de dichos bala nces generales”. 28
El siguiente paso de desarrollo de la Auditoría fue el que se produjo
con la Revolución Industrial, cuando el alcance y la complejidad de los
negocios, de la pr oducción y del comercio se ampliaro n considerablemen-
te. Surge la contab ilidad industrial, y con ella la nec esidad de conocer y
controlar los costo s. El auditor se vio obligado a desarr ollar nuevas artes,
métodos y habilida des. Su papel cambió, agregando a la búsqueda de des-
falcos y de certificar la exactitud de un balance general, a la revisión del
sistema de informa ción y comprobación de las evidenc ias a fin de poder
emitir una opin ión correcta sobre los estado s financieros.29
Otro factor que in cidió en el desarrollo de la auditor ía fue la atomiza-
ción de la propieda d, al surgir las sociedades por accio nes, y separarse la
26
Al respecto, puede consultarse la novela histórica Faraón, del autor polaco Boleslaw Prus, en la
quese muestra un excelente ejemplo literario de cómo actuaban los auditores en ese entonces.
27
28
Ibídem,p. 14.
29
Ibídem.
22
propiedad de las co rporaciones de su gestión y direcció n. Ello ha obligado
a los auditor es a enfocar su trabajo al análisis de la actividad de dirección
y control de las entidades.
Desde el punto de vista de la evolución de las tecnolo gías de tratamien-
to de la informació n, la evolución de la auditoría ha se guido una trayecto-
ria perfectamente identificada. Desde la etapa oral ya mencionada, el si-
guiente paso fue da do por el desarrollo de la escritura y los soportes de la
información de man ipulación práctica, como el papel. Es sabido que los
chinos inventaron e l papel y la imprenta (ya en el año 98 d.C. puede ase-
gurar se de la existenc ia del p apel en China, y de donde pasa a Japón,
Corea, llegando al mundo islámico en 750. Asimismo, e n 868 ya se impri-
mían libros en China, y como prueba de tal aseveración , es la existencia
del Sutra del Diam ante, versión china de un texto bu dista sánscrito).
En la Edad Media ya se utilizaban los libros encuad ernados y cosidos
tal y como los con ocemos hoy en día, pero no es hasta el Renacimiento,
con la invención de la imprenta de tipos móviles por Gu tenberg, donde los
mismos se hicieron prácticos y de un costo relativamente bajos. La conta-
bilidad los acogió, así como el método de contabilidad por partida doble,
desarrollado por Paccioli y sus antecesores. Nació así la audito ría financie-
ra moderna. Esos m étodos se utilizaron cientos de años prácticamente sin
cambios, hasta que en 1890 Herman Hollerith desarrolla una máquina elec-
tromecánica de tabulación para procesar la información del censo de 1890
de los Esta dos Unidos.
Los sistemas de ta bulación electromecánica fueron pr ofusamente utili-
zados en el mundo p ara procesar tareas contables, estad ísticas y financie-
ras. Los auditores se adaptaron a esa nueva tecnología y desarrollaron téc-
nicas y métodos ade cuados a ellas, para asegurar la ver acidad, integridad
y completitud de las in formaciones procesadas.
En esa mitad prim era del siglo XX se sistematizan rigurosamente los
principios y técnic as de la auditoría. Se escriben textos clásicos que han
servido para que miles de auditores en todos los confines de la tierra, estu-
dien y se formen.30
En 1944 se desarrolla el primer computador electrónico práctico, y ya en
1950 comienzan a ser utilizadas esas máquinas en tareas de tipo económico
y contable. Como resultado de ello, ya en los tempranos años sesenta se ha
sistem atizado un conjunto de práctica s útiles e n la auditoría a sistem as
30
Para ampliarinformación al respecto, puede consultar las obras de A. W. Holmes y A. Kohler
consignadas en la bibliografía.
23
computarizados y se edita una guía para describirlas, destinada a las fuer-
zas armadas de los EE.UU., pero de aplicación en cualq uier lugar o enti-
dad.31 Ya en ella se describían métodos tales como “auditoría alrededor de
la computadora” (“a udit. around the computer”) y “auditoría a través de la
computadora” (“aud it trough the computer”), que se h an utilizado hasta
nuestros días. Es el momento del surgimiento de la aud itoría contemporá-
ne a.
En la tabla 1.1 se puede apreciar un conjunto de hitos importantes so-
bre el desarrollo d e la tecnología de procesamiento de la información hasta
el advenimiento d e la computadora electrónica y su comercialización.
Tabla 1.1
31
Esa guía en Cubase editó con la siguiente identificación: Autores varios. Guía para la auditoría
de sistemas automatizados de procesamiento de datos, Edición Revolucionaria, Instituto del
Libro, La Habana, 1972.
24
Tabla 1.1 (continuación)
Fuente: T. H. Athey y R. W. Zmud: Introduction to Computers and Information Systems.

2nd Edition. Scott, Foresman and Co. Glenview, Illinois. 1988. Adaptada y traducida por
el autor, p. A-2.
Los años setenta y ochenta permiten la consolidación del procesamien-

to informatizado d e la información en el mundo. La inf ormatización de la
sociedad es un hec ho que se avizora, y prácticamente n o queda en el mun-
do desarrollado n inguna empresa grande o mediana qu e no tenga infor-
matizada la in formac ión co ntable fina ncier a que maneja . Los siste mas
computarizados se han tornado extremadamente comple jos, respondiendo
a la necesidad de los negocios y las actividades que desarrollan las empre-
sas. Las fun ciones automatizadas se han in tegrado, creánd ose base s de
datos que almacenan todas las informaciones necesarias, y pro pician su
utilización por dif erentes usuarios. Los sistemas han c recido: de algunas
decenas de program as y unos pocos cientos o miles de instrucciones de
programación, ahor a cuentan con cientos o miles de p rogramas y cientos
de miles y hasta m illones de instrucciones de program ación. En la tabla
1.2 se pueden apre ciar algunos hitos de la evolución d e las computadoras
electrónicas y la informática en general. (La tabla muestra una relación
hasta el año 1986, teniendo en cuenta q ue el desarrollo posterio r, y hasta el
presente, ha sido v ertiginoso, por lo que obliga a inter rumpir esta exposi-
ción). Ya no es po sible utiliz ar los métod os simples d e auditoría de los
años 50 y 60, y es necesario emplear métodos más complejos, como la
auditoría a las bases de datos, actividad que se realiza muchas veces con soft-
ware especializado, por ejemplo, Idea, del cual se hablará en esta obra más
25
adelante. La auditoría con la computadora se convierte en una realidad in-
dispensable. A fina les de los ochenta, surgen las prime ras normas interna-
cionales, algun as ya citadas aquí (por ejemp lo, la NIA 15).
Tabla 1.2
26
Fuente: T. H. Athey y R. W. Zmud, Introduction to Computers and Information Systems.

2nd Edition. Scott, Foresman and Co. Glenview, Illinois. 1988, pp. A-4 a A-14. Adaptada y
traducida por el autor.
Los años no venta traen la eclosión de Intern et y la s rede s mundiales

de co mputador as,32 que había n come nzado a desa rrolla rse a finale s de
los sesenta . Parejamente con esto, apar ece el comercio electrónico, con
nuev as nece sidades de cer tificac ión y au tentificación, y la a uditoría se
encu entra a nte nue vos retos.33 Lo s sistemas inform ático s se hacen más
comp lejos. Por eje mplo, incorpor an eleme ntos de inteligencia artific ial,
tec nolo gía q ue se ven ía d esarr olla ndo desde los años cin cuenta, p ero
que sólo en las última s décadas del siglo XX se utiliza en la economía y las
finanzas. La auditoría responde incorporando también esas tecnologías a
su queh acer. 3 4
En la actualidad estamos comenzando un siglo que pe rmite avizorar un
desarrollo tecnológ ico sin precedentes en la historia d e la humanidad. La
auditoría será parte de él, y no es una excepción en ese desarrollo. ¿Qué
métodos incorporará ? ¿Qué técnicas utilizará? Es difícil predecirlo, pero al
menos, en este texto, se describirá los métodos, técnica s y herramientas de
trabajo utilizados en la actualidad, de forma tal que los lectores queden
con la información necesaria para realizar auditorías e n sistemas de con-
trol económico, co ntable y financiero de cualquier niv el de complejidad.
¿Qué nos traerá el futuro? Es de suponer que sigan a centuándose algu-
nas de las tendencias mencionadas aquí, como el empleo de las técnicas de
inte ligenc ia artificia l y el empleo de so ftware cada v ez más completo.
32
Sobre la historia de internet consulte la obra de J. R. Levine y C. Baroudi, consignada en la
bibliografía.
33
Sobrecomercio electrónico y algunas de sus regulaciones, consulte la obrade O.Hance consignada
en la bibliografía.
34
Sobre inteligencia artificial en laauditoría, consulte la obra de G. J. Sierra y otros, consignada en
la bibliografía.
27
Pero nadie puede predecir como será la actividad de auditoría dentro de
veinte años. Es de suponer que sus objetivos y principios de trabajo sean
aproximadamente como hace veinte siglos, pero sus métodos, herramientas
y técnicas serán totalmente diferentes a la actualidad. La asociación entre
auditoría y tecnologías de tratamiento de la información, que se ha resumido
en las pocas líneas anteriores, se mantendrá en los próximos años.
C aso 1 par a m edit ar
Un auditor joven graduado de la Licenciatura en Contabilidad y Fi-

nanzas se encuentra con uno de sus profesores, prestigioso profesional de
la a uditoría , Contad or Público. Después de los saludos, el profeso r le
pregunta a su a ntiguo alumno:
– ¿Y qué está s haciendo?

– Estoy trabajando en auditoría, en la consultora A uditoría Interna-
cional. Esto y haciendo un trabajo muy interesante, emplea ndo software
auditor de última generación –le conte sta el joven.
– Entonces te estás dedicando a la auditoría informática.
– No profesor, esto y trabajando auditorías temática s de inventario.
– ¿Con info rmática?
– Sí, con informátic a, para revisar las bases de datos sobre inventarios,
detectar situacione s anormales y concentrar mis investigaciones en ellas.
El profesor no co ntinuó preguntando, y la conversa ción continuó por
otros rumbos, hasta que se despidieron.
¿Qué le hace pensar esa situación sobre el enfoque que ambos profe-
sionales tienen de su profesión?
Pre gunt as
1. ¿Existe una auditoría tradicional y una audito ría informática?
2. ¿Es la auditoría contemporánea una evolución lógic a de la auditoría
a través de los siglos?
3. ¿Resulta imprescindible utilizar la informática pa ra auditar entida
des que tienen todas sus funciones de dirección informatizadas?
4. Defina las difere ncias entre la auditoría informática y la auditoría
con la informática.
28
INTRODUC CIÓN
El trabajo de auditoría se realiza sobre la base de un conjunto de princi-

pios y estándares de auditoría, que en ocasiones gan an categoría de nor-
mas o reglamentaciones, en otras se limitan a ser recomendacio nes técnicas
u organizativas y en otras, principios éticos y profesionales. Las organiza-
ciones que estable cen esas normas, emiten esas recom endaciones o esta-
blecen esos princip ios son de carácter variado, y se han creado por acuerdo
de los propio s auditores para contribuir al desarrollo de la pro fesión. Exis-
ten organizaciones internacionales, nacio nales o corporativas.
En este capítulo se analizarán tanto los principios y estándares, como
las organizaciones, con el objetivo de brindar una pano rámica general del
ambiente normativo de la auditoría. En capítulos poster iores se enfatizará
en aquellos docume ntos más relacionados con la auditoría en ambientes
de sistemas co mputarizados.
OR GANIZAC IONES PROFESIONALES

DE LA ACTIVIDAD DE AUDITORÍA
Entre las má s importantes organiza ciones profesionales internaciona-

les relacionadas co n la actividad de auditoría se encue ntra la Federación
Internaciona l de Contadores (IFAC), de quien depende el Comité Inter-
nacion al de Práctic as de Auditoría (IAPC), el cual ha sido comisio nado
29
permanentemente para facilitar “...el desarrollo y enriquecimiento de una
profesión contable que sea capaz de proporcionar servic ios de una consis-
tente alta c alidad para el interés p úblico...”, 1 a través del de sarrollo y emi-
sión d e no rmas y está ndar es y de clar acio nes de auditor ía y ser vicios
relacionados, de tal manera que se contribuya a perfec cionar y uniformar
las prácticas de auditoría en todo el mundo.
Las normas y declaraciones emitidas por el IAPC son promovidas entre
los países y organ ismos miembros, para lograr su acep tación voluntaria.
Un meca nismo para ello es integra r el IAPC por miembros de la IFAC
designados por los países y organismos, de manera qu e queden plasmadas
las opiniones de todos en cada documento emitido. Par a lograr un amplio
espectro de p untos de vista, el IAPC está facultado para invitar a sus sesio-
nes de trabajo a pr ofesionales de países que no están r epresentados en la
IFAC.
En su tr abajo, el I APC p uede basarse en las n ormas nacio nales de
auditoría y servicios relacionados, pub licados en diferentes países. En otras
ocasiones, el proc eso es inverso, y los documentos del IAPC son utiliza-
dos para establecer las normas nacionales.
El procedimiento de trabajo del IAPC comienza cuan do se seleccionan
las materias que serán objeto de estudio por un subco mité establecido ad
hoc para ese propósito. Este estudia el problema en cue stión y redacta un
borrador de la norm a o declaración. Para ello se basa en distintas fuentes,
como normas nacion ales, literatura técnica, otros do cumentos del IAPC,
experiencias profesionales, etc. El borrador o proyecto se distribuye am-
pliamente para ser estudiado por los organismos miem bros de IFAC, y a
aquellas organizaciones internacionales que tengan inter és en la auditoría,
según sea convenie nte. Se concede un tiempo para su estudio y para el
envío de las corre spondientes consideraciones y opiniones sobre el pro-
yecto . Estas se analiz an por el IAPC, y se revisa y adecu a el pro yecto
segú n se estime. Si se aprue ba el p royecto, se emite como u na Norma
Internacional de Auditoría (NIA) o como una Declaración I nternacional
de Auditoría (DIA), y se vuelve o perativa a partir de la fech a que se esta-
blez ca.
Es habitual que el texto de las NIA o las DIA se redacte en idioma inglés,
pero los países miembros pueden preparar versiones en otros idiomas.
El IAPC apoya y a yuda a los países miembros a adop tar las NIA y las
DIA como norma s nacionales.
1
30
Dentro de cada país, existen diferentes organizacion es profesionales y
oficiales de conta dores y auditores que tienen como m isión normar y re-
glamentar la activ idad dentro de sus fronteras. Pued en tomar como base
para ello las NIA y las DIA, su propia experiencia y prin cipios de la tradi-
ción contable y de auditoría de su nación, los criterios profesionales de sus
especialistas, entre otros.
Algunas de estas o rganizaciones tienen una gran influ encia fuera de las
fronteras del país donde actúan. Tal es e l caso de la American A ccounting
Association (AAA), el American Institute of Certified Public Accountants
(AICPA) y el Institute of Internal Au ditors (IIA), todos de EE. UU.; los cua-
les, debido a la ex periencia y nivel técnico de sus mie mbros, emiten docu-
mentos normativos y técnicos que generalmente son considerados como
fuente de inspiración para la IFAC y el IAPC. Por ejemp lo, el AICPA emite
los Statements on Auditing Standars (SAS), donde establec en las normas y
procedimientos de trabajo a seguir en la práctica de la a uditoría en EE.UU.,
pero que también son considerados como fuente de traba jo en el IFAC y el
IAPC y en otras organizaciones nacionales de muchos países.
El siguiente nivel de definic ión de las norma s y proc edimientos de
auditoría se estab lece dentro de la propia corporació n o empresa, donde
normalmente se ela boran e implantan manuales de norm as, políticas, in-
formación, organiz ación y procedimientos donde se describen las activi-
dades a r ealizar por los pr opios auditores (g eneralmente intern os), para
llevar a cabo las a uditorías en la entidad. Por supuesto , estos «estándares
de empresa» se diseñan en correspondencia con las no rmas y declaracio-
nes nacionales e intern acionales de auditoría.
Con este sistema jerarquizado de organizaciones, se establece el per-
feccionamiento y estandarización constante de la actividad de auditoría. Y
es lógico que sea a sí. El mundo se encuentra en un proce so de globalización
muy a centuado . En tod os los pa íses actúan empre sas tran snaciona les y
multinacionales, co n sistemas de contabilidad definidos por sus casas ma-
trices, las cuales no siempre radican en el país donde ac cionan. Esos siste-
mas contables tiene n que vincularse a los sistemas nacionales, y no sería
correcto que tuvie sen enfoques muy diferentes. En otr os casos, organis-
mos privados (como los bancos) nacionales e internacionales; conceden
créditos a instituc iones y países para la realización d e determinados pro-
yectos, pero exigen controlarlos para evitar el uso ina decuado de los re-
cursos financieros que están facilita ndo. Consecuentemente, exigen también
que se utilicen sistemas y métodos de contro l contable en esos países y
organizaciones q ue se adecuen a sus propios sistemas y métodos.
31
Otra razón que con tribuye a esa convergencia, es el uso de igual litera-
tura. Prácticamente , con la acción de empresas editoriales transnacionales,
presentes en la may oría de los países, los profesionales de la contabilidad
y la auditoría estudian y se forman por los mismos tex tos. Esa situación
presenta aristas fa vorables, pero desfavorables también , pues pudiera lle-
var al empobrecimie nto de la teoría contable, o al meno s, a no considerar
aspectos interesantes de la experien cia de algunos profesionales que no
tengan acceso a publicar sus estudios en grand es editoriales.
Pero felizmente, n o parece estar ocurriendo esa situa ción. La actividad
contable y la de au ditoría se desarrollan y perfecciona n constantemente, y
responden adecuada mente a los retos tecnológicos que les impone la épo-
ca. Y en ello no p oca contribución tienen las organiz aciones que se han
descrito aquí.
DOCUMENTOS NORMATIVOS DE LA AUDITORÍA
Las organizacione s mencionadas anteriormente emiten documentos con

carácter normativo o de recomendaciones técnicas, que contribuyen a que
los profesionales d e la auditoría desarrollen su trabajo sobre bases unifor-
mes y técnicamente correctas y avanzadas. Estos docum entos pueden adop-
tar la forma de normas internacionales o nacionales, de dec laraciones o
recom endaciones técnicas o de manu ales de e mpresas o corporaciones.
Todos se convier ten en herramientas de trabajo para el auditor.
En e sta sec ción se analiza rán solamente las nor mas y de claraciones
que tienen carácter internacional.
El documento más importante que emite la IFAC a través del IAPC es
la Norma Internacional de Auditoría (NIA). Las NIAs se em iten con el fin
de que sean aplicad as en la auditorías de los estados financieros, y con la
adaptación necesaria, a las auditorías de otra informac ión y de servicios
rela cionad os.
Las NIAs contienen los principios básicos y los procedimientos esencia-
les, unido a lineamientos relativos en forma de materiales explicativos y de
algún otro tipo. Se aplican a asuntos sustanciales y tanto al sector privado
como al público, especificándose las peculiaridades de cada uno cuando sea
necesario.
Las NIAs son norm as, pero su aplicación depende en muchos casos del
criterio del a uditor durante la ejecució n de su trabajo, para logr ar el objeti-
32
vo de la auditor ía que realiza.2 El auditor debe estar preparado para justifi-
car el apartarse de la NIA. Igualmente, las NIAs no pre valecen sobre nor-
mas de los paíse s particulares.
En muchos casos las NIAs se complementan con las llamadas Declara-
ciones Internacionales de Auditoría (DIA). Las DIAs son d ocumentos téc-
nicos que se emiten para proporcionar apoyo práctico a los auditores en la
instrumentación de las normas y para promover la práctica adecuada de la
profesión.
En la tabla 2.1 se ofrece un listado de las NIAs y las DIAs establecidas
hasta años recie ntes.3
Tabla 2.1
2
Ibídem,p. 11.
3
No se ha relacionado la DIA sobre la actuación del auditor con relación al error del año 2000
(Y2K), por no estarincluida en el documento fuente consultado.
33
Fuente: Instituto Mexicano de Contadores Públicos. Codificación de Normas Interna-

cionales deAuditoría (NIAs) y Declaraciones Internacionales de Auditoría (DIAs), Méxi-
co D.F. 1995, pp. 5-8.
Las NIAs, DIAs y otros documentos internacionales, nacionales y em-

presariales son las herramientas de trabajo con que cuenta el auditor. No se
concibe un profesional que no domine su contenido con suficiente soltura
como para permitir su a plicación sistemática.
En Cuba la instituc ión que rige la auditoría es el Ministerio de Auditoría
y Control (MAC), c reado por el decreto-ley 219 del Consejo de Estado,
34
heredero directo de la antigua Oficina Nacional de Auditoría (ONA). Entre
la s re gula cio nes lega les más imp ortante s qu e n orma n la ac tividad de
auditoría, se encue ntra el Decreto-Ley 159 “De la auditoría” y su legisla-
ción complementaria, donde se exponen las definicion es básicas para el
trabajo auditor.
Prácticamente en todos los minister ios existen direccione s o departa-
mentos de auditoría interna que se responsabilizan por la realización de
auditorías de variado tipo en sus áreas de competencia. También existen
en muchas empresas grandes y medianas, así como en los gobiernos pro-
vinciales y municipales. A ello se unen consultoras in dependientes, como
Interaudit, Conas y otras, que fungen como auditores e xternos cuando son
requeridos su s servicios.
Todas esas institu ciones conforman el sistema de la auditoría en Cuba.
Pre gunt as
1. ¿Cuáles son las instituciones internaciona les más influyen tes en el

trabajo de auditoría?
2. ¿Qué instru mentos se utilizan par a apoyar técnicamente el trabajo
de auditoría?
3. ¿Las NIA son d e obligatorio cumplimiento en cada país?
4. ¿Existen norma s de auditoría de aplicació n en empresas?
Pr ob lem a de investigaci ón 1
Investigue en los documentos legales cubanos más importantes, como

el Decreto-Ley 21 9, los tipos de auditoría que se p ractican en Cuba.
35
INTRODUC CIÓN
En este capítulo se analizará la figura del auditor contemporáneo, cu-

yas funciones se ha n venido delineando a través de los siglos de práctica
profesional e n diferentes países. En la s últimas décadas, la irr upción en los
negocios de la info rmática, crea un nuevo entorno de tr abajo, diferente al
que existía hace 5 0 años, por la forma en que se pro cesa y almacena la
información conta ble y financiera.
Se propondrán sus funciones, se definirán los conocimientos y habili-
dades necesarias, se expondrá n posibles vías de form ación. Adem ás, se
dedicarán algunos párrafos al reconocimiento internacional de dicho pro-
fesio nal.
El objetivo del capítulo será propiciar la formación y actualización de los
auditores, de forma tal que puedan desenvolverse en el ambiente informático,
que caracteriza la actividad contable-financiera en la actualidad.
FUNCIONES A DESARROLLAR
El reconocimiento de las responsabilidades y funcio nes de los conta-

dores públicos y lo s auditores frente a sus clientes y al resto del público,
motivó la creación en Inglaterra y Escocia, hace más de un siglo y medio,
36
de Institutos de Contadores Públicos (Institutes of Chartered Accountants).1
Ello significó un paso importante para la continua organización, perfeccio-
namiento y estructuración de una profesión que cambia y se adapta por y a
las condiciones que le imponen el medio y el desarrollo social y científico-
técnico.
Es histórico que se han realizado auditorías a lo largo de los siglos para
precisar si las per sonas que ocupaban específicos puestos, o que realiza-
ban determinadas o peraciones, actuaban de un modo ho nesto, legal, ade-
cua do.
Antes de 1900, la auditoría se ocupaba fundamentalm ente de identifi-
car y revelar fraudes. Posteriormente, con el desarrollo de la industria y el
comercio, se enfatizó más en definir si los estados fina ncieros presentaban
una imagen co rrecta de la situación de la empresa.2 Era una ép oca en que
el auditor debía po seer grandes conocimientos de contab ilidad, sobre todo,
además de los m étodos y técnicas propias de su actividad.
Poco a poco se am pliaron los objetivos y conceptos que guiaban a las
auditorías. El desa rrollo de empresas que ofrecían sus valores de venta al
público, hizo que los posibles inversionistas requirier an de mayor infor-
mación, para funda mentar su inversión; y además, estos exigieron que esa
inform ación estuviera avalada por terceras partes, car acterizadas por su
competencia, su independencia, su o bjetividad, su integrid ad y por una
ética rigurosa. Lo anterior propició que los auditores ampliaran su campo
de acción hacia lo s procedimientos de control interno, de manera que pu-
dieran garantizar n iveles de certeza adecuados a la inf ormación que anali-
zaban. Ello, por supuesto requirió que aumentaran el c onjunto de conoci-
mientos y habilidad es que necesitaban, pues debieron de incursionar en el
campo de la gestión, el control y la organización del trabajo administrativo.
Progresivamente, e l auditor se vio obligado a adquir ir nuevos conoci-
mientos que propic iaran adaptar su trabajo a las nuev as condiciones que
encontraba. Por ejemplo, si en las empresas relativame nte pequeñas y con
sistemas contables de innegable simplicidad que caracte rizaban la activi-
dad económica en lo s siglos anteriores, podía realizar investigaciones ex-
haustivas; en las grandes empresas con un control con table cada vez más
complejo, que se de sarrollaron en el siglo XX, se vio o bligado a incorpo-
rar técnicas de muestreo, transformando el proceso de auditoría en una apli-
cación de pruebas selectivas de las transacciones, a los efectos de pode r
1
W. Meigs: ob. cit., p. 23.
2
Ibídem,p. 27.
37
realizar su trabajo, sin perder la certeza razonable de que las transacciones
analizadas era n representativas de la po blación total.
Otro elemento que obligó al auditor a adquirir nueva s responsabilida-
des fue la utilizac ión de equipos electromecánicos de tabulación de dife-
rentes características, que dio una nueva tónica a los procesos de control
interno para garantizar la integridad y confiabilidad de la información pro-
cesada. Ello requirió estudiar profundamente las técnicas de elaboración
de sistemas de información.
Pero también surg ieron nuevas necesidades de audito ría, por ejemplo,
la auditoría llamada administrativ a, de gestión, funcional o de operacio-
nes, orientada a dete rminar el cumplimiento de los obje tivos y metas por
parte de las administraciones de las organizaciones, a evaluar la forma en
que utilizaban las informaciones y los métodos y técn icas que empleaban
para desarrollar su trabajo y lograr sus objetivos. Ello requirió un estudio
profundo por parte del auditor tanto de las características de la organiza-
ción que auditaba, como de la ciencia de la dirección (generalmente este
tipo de auditoría se realiza por auditores internos, pero no es exclusiva de
ello s).
No es de extrañar pues, que con el empleo masivo de la informática, en
las organizaciones se produjera otro cambio cualitativo en las formas en que
el auditor debe desarrollar su trabajo. A las funciones anteriores, se ha unido
la necesidad de que el auditor analice los propios sistemas informatizados
para tener la certeza de que la información y todos los recursos tengan la
seguridad y la protección necesarias para permitirle el aval de los estados
financieros y otros informes.
Entonces, sobre e sta base se puede exponer las fun ciones que deberá
realizar un audito r contemporáneo (interno o externo) , que se vea en la
necesidad de traba jar en un entorno de informatización , para evaluar in-
formes de tipo eco nómico-financiero.
En entidad es c on sus p rinc ipales f unciones eco nómico-f inan cier as
informatizada s, el auditor deberá hac er revisiones al efectiv o disponible
(caja); a los valor es y otras inversiones, a las cuentas, los documentos por
cobrar y las transa cciones de ventas en general; a los inventarios de mate-
rias primas, materiales y otros artículos almacenados, a sí como al costo de
la me rca ncía v end ida y los se rvicio s pre sta dos; a lo s a ctivos fijos o
inmovilizados, como los bienes raíces, la planta y los e quipos; a los acti-
vos fijos intangibles, como licencias, patentes, marcas y otros; a las cuen-
tas por pagar y otr os pasivos; a las deudas con pago de intereses y gastos
por ta l concepto ; al capital contable ; a los re ndimientos y gastos; a los
infor mes financ ieros, co mo Balance General o de Situa ción, Esta do de
38
Pérd idas y Ganancias o d e Resultado, E stado d e Orige n y Ap licació n de
Fond os, etc .; a los sistem as de c ontrol interno existen tes; a los manu ales
de o rganizac ión, no rmas y p rocedim ientos; etc.
Para realizar su función, el auditor deberá hac er primero una Investiga-
ción preliminar, donde estudie p rimariamente las características generales
de la entidad dond e desarrollará su trabajo, su condición económico-fi-
nanciera, y su sistema de control interno. Con los criter ios que gane en esa
investigación prelim inar, realizará la Planificación d e la auditoría, donde
planeará y organiza rá con sumo cuidado la actividad a r ealizar, los méto-
dos de auditoría a emplear, las pruebas de cumplimiento y control a aplicar
y si es proce dente, la discutirá con lo s directivos de la empresa y organiza-
rá los equipos d e trabajo requeridos. Seguidamen te pasará a la Realización
de la auditoría, donde ejecutará las tareas planificadas, procura ndo en-
contrar las evidenc ias necesarias que le permitirán form ar un criterio sus-
tentado con una ce rteza razonable, sobre las funcione s y la información
analizada. Deberá utilizar las artes, los métodos, las técnicas y herramientas
necesarias; tales como entrevistas, observaciones, análisis de documentos,
búsqueda en bases de datos, empleo de datos de prueba, uso de software de
auditoría de carácter variado, análisis de programas y procedimie ntos, etc.
En la etapa siguiente, Elaboración del informe, o también Conclusión de
la auditoría, el auditor resumirá la información captada, re alizando su eva-
luación de los asp ectos analizados, y emitiendo sus re comendaciones. Ese
informe se discute con la dirección de la entidad auditad a y con sus niveles
superiores, sean accio nistas u otra entidad.
Durante la realiza ción de la auditoría, el auditor ine vitablemente debe-
rá analiz ar las causas de riesgos, los riesgos y los controles ejercidos sobre
el sistema informativo de la entidad o la función que se está auditando. El
objetivo será determinar el n ivel de seguridad y protección que tienen los
activos informativ os de la empresa, y cómo puede influir este en la calidad
de la información u tilizada en los estados financieros u otros informes eco-
nómico-financieros a revisar en la auditoría. Esta tare a puede requerir de
algún especialista en seguridad y protección de la info rmación en ambien-
tes informáticos, p ero en una gran parte puede ser realizada por el mismo
auditor financiero con un entrenamiento adecuado. Por ejemplo, una sim-
ple observación pue de indicar si las computadoras están protegidas contra
robos físicos, o si las palabras de pases o contraseñas tienen una longitud
adecuada para imped ir o dificultar el acceso indebido a los equipos o siste-
mas. Tampoco es m uy complejo, por poner otro ejemplo, conocer si las
bases de datos d e los sistemas están encriptad as o si lo s equipos tienen
39
protecciones para evitar daños a la información almace nada por interrup-
ción de la ener gía eléctrica.
Es posible que el auditor (fundamentalmente el inter no) deba analizar
si los sistemas informáticos que se encuentran en proceso de diseño o de
compra, satisfacen los requisitos establecidos para ello; por ejemplo, los
objetivos de toma de decisiones y de control, los requerimientos informati-
vos de los niveles superiores, las necesidades de control interno para lograr,
una vez que estén en explotación. Esta tarea no compromete la independen-
cia del auditor (el autor de este libro, en sus cursos, se ha encontrado con
auditores entre sus alumnos que han planteado esta inquietud, no justificada
por la realid ad), todo lo contrario: le permite conocer de antem ano el siste-
ma que se va a implantar, y concebir mejor los procedim ientos de auditoría
que utilizará. El a uditor con una formación fuerte en c ontabilidad, finan-
zas, dirección de e mpresa, sistemas y controles, informá tica, actividad co-
mercial y productiva de la empresa, etc; puede ser una contrapartida muy
útil para diseñadores de sistemas (analistas de sistemas, ingenieros en soft-
ware, programadores, etc.), que no necesariamente conocen profundamente
la ese ncia económica, financie ra y directiva de la actividad que se está
informatizando. Ig ualmente, comprar o adquirir por otr as vías (legales o
ilegales) un softwa re de aplicación que se utilizará par a automatizar algu-
na actividad de la empresa, puede ser una decisión mu y arriesgada, pues
quizás éste no satisface totalmente los requisitos econó micos, financieros,
de tom a de decisiones y de c ontrol y una vez que esté adquirid o y en
proceso de implanta ción, o en explotación, puede requer ir de modificacio-
nes que podrían resultar muy costosas. El auditor puede asesorar la empre-
sa que está en vías de adquirir ese software, para evitar le decisiones inco-
rrectas e inversion es no fundamentadas. Por supuesto, n o se supone que el
auditor dé opinione s técnicas en el ámbito informático (lenguaje en que se
ha programado o se programará la aplicación, estructu ra y diseño de las
bases de datos, per formance de la aplicación en explotac ión, etc.); sino de
aquellos aspectos r elacionados con la utilización de la información resul-
tante para la toma de decisiones y el control, con la solución de la tarea a
que se destina, con el control interno.
El Informe de Auditoría que realice como resultado de su tr abajo, debe-
rá contener, entre otros aspectos, sus opiniones y sus evaluaciones de los
siste mas inform ativos (b asados en computado ras o pro cesados ma nual-
mente) analizados, sus sugerencias para proteger mejor los activos de la
empresa (incluyendo , por supuesto, los activos informativos), y sus crite-
rios sobre el software a desarrollar o a adquirir.
40
Como se ha expuesto en otras secc iones d e esta obra, n o todos los
auditores en activo tienen la comprensión de que deben ejecutar estas ta-
reas al desarrollar una auditoría, debido en parte porqu e no tienen la for-
mación necesaria e n informática. Sin embargo, como se ha expuesto tam-
bién, hay total coincidencia entre autores especializad os y organizaciones
profesionales sobre la necesidad y la posibilidad de que los auditores rea-
licen estas funciones. 3
CONOCIMIENTOS Y HABILIDADES NECESARIAS
Lógicamente, los conocimientos y habilidades que d ebe poseer un au-

ditor que desarrolla su actividad en el siglo XXI debe n ser superiores y
diferentes a los qu e poseían aquellos cuya labor transcu rría a mediados del
siglo XX. En el pr imer caso los conocimientos de info rmática desempeñan
un papel cada vez más importante, comparado práctica mente con el de la
contabilidad, las f inanzas o la legislación relacionada c on la actividad em-
presarial, comerc ial, entre otras.
A continuación se expondrá un conjunto de aspecto s que un auditor
contemporáneo debe dominar para poder realizar las f unciones anterior-
mente de scritas.
 Informátic a básica:
• Sistemas operativo s de las máquinas utilizadas en la entidad que debe
auditar.
Conocimientos gen erales sobre hardware de las máq uinas existentes
en la entidad.
• Programas utilitarios del sistema operativo.
• Procesadores de textos, hojas electrónicas, gestore s de bases de da-
tos, graficadores par a exposiciones, etc.
• Conocimientos básicos generales sobre la teoría bá sica de la compu-
tación: arquitectura de las computadoras, estructura y formatos de
los archivos, etc.
• Aspectos culturales generales sobre informática y redes de comuni-
cación basadas e n computadoras.
3
Cfr. W. B. Meigs: ob. cit., pp. 207-244; también Auditoría, ob. cit., pp. 372-395; y Normas
Internacionales de Auditoría y Declaraciones Intenacionales de Auditoría, todos consignados en la
bibliografía.
41
 Programación de computadoras:
• Técnicas de programación básicas ( paradigmas básicos: estructurados
y orientación a objetos).
• Lenguajes más conocidos y utilizados e n la entidad.
 Bases de datos:
• Conceptos y de finiciones básicas sobre b ases de datos.
• Mode los fund amentale s en la actualid ad: rela cional, orientad os a
objetos e h ipertextos.
• Carac terístic as de lo s gestor es de ba ses de d atos emp leados e n la
entidad.
• Administración d e bases de datos: funciones, re sponsabilidades.
• Protección y seg uridad de la información en las bases de datos.
 Redes de co mputadoras:
• Conceptos y definiciones generales.
• Arquitectur as básicas y sus carac terísticas.
• Sistemas opera tivos de redes empleados e n la entidad.
• Protección y seguridad de la información en la red.
 Tecnología d e diseño y elaboración de sistemas:
• Concepto de sistemas de información y otras definiciones.
• Diseño de entrad as y salidas de información (sob re papel o sobre
panta lla).
• Diseño de proceso s automatizados.
• Diseño de procedimientos manuales.
• Elaboración de manu ales de operación.
• Metodología de tr abajo utilizada (Paradigmas básic os: estructurados
u orientados a objeto ). Normas de trabajo.
• Diseño de controles informáticos.
 Seguridad y protec ción de la información en ambiente s informatizados:
• Seguridad y protec ción física, organizativo-administrativa, por soft-
ware, por instala ción de equipos y dispositivos, p or construcción y
remodelación de locales, mediante medidas educativas y culturales,
legales, en tre otros.
• Actuación con tra virus informáticos y o tros ataques.
• Elaboración de planes de seguridad y protección y de contingencias
ante catá strofes.
42
 Técnicas criptográficas:
• Conceptos básicos: encriptación y desencriptación.
• Métodos g enerales.
• Software esp ecializado.
 Internet y redes glob ales de comunicación:
• Internet y su s servicios.
• Navegadores, p ortales y otros softwares e specializados.
 Técnicas de auditoría asistida por computadora:
• Métodos existentes y sus características.
• Software genera l y específico.
 Comercio electrónico:
• Definicio nes generales. Mod alidades.
• Problemas de seg uridad y protección de la docume ntación electró-
nica en el c iberespacio.
• Firmas ele ctrónicas.
• Organizacione s normativas.
La lista anterior es bastante completa para describir los conocimientos
generales que en la actualidad debe tener un auditor sobre informática. Pero
no es una lista definitiva: las ciencias de la computación y las comunicacio-
nes están en constante desarrollo, por lo que es probable que dentro de un
año haya que añadirle otros elementos. Tampoco todos los conocimientos
expuestos tienen el mismo nivel de importancia en todo momento, depende
del ámbito de trabajo en que se desarrolle el auditor. Por ejemplo, los cono-
cimientos sobre comercio electrónico son convenientes, pero no imprescin-
dibles para alguien que no trabaje en una firma relacionada (directa o indi-
rectamente) con esa actividad.
Por otra parte, aunque es una lista bastante amplia, debe entenderse que
no se requiere que un auditor la domine a la profundidad que debiera hacer-
lo un informático, por ejemplo, un ingeniero en software. Un auditor debe
poder trabajar con el sistema operativo de las máquinas de la entidad que
audita, pero no es necesario que conozca sus interioridades organizativas
(estructura del kernel, bibliotecas, etc.). Debe conocer la metodología de
análisis y diseño de sistema que se utiliza, para poder analizar la documenta-
ción de diseño del mismo (por ejemplo, la simbología empleada), pero a un
nivel general, porque no se espera de él que diseñe nada, sino que pueda
entender qué y cómo lo están haciendo los elaboradores.
En otras palabras, los conocimientos que describe la lista anterior pueden
obtenerse en muchos cursos de nivel de licenciatura, complementánd olos
43
con algu nos cursos de p osgrado.4 No represe ntan un valladar inf ranqueable
para nadie , ni tampoco el au ditor que lo s pose a debe considerarse un
“Leona rdo Da Vinci” de la aud itoría , sino simplemente un pr ofesio nal
actu alizado . Obser ve el lector q ue muc hos de ellos lo posee n, incluso,
niño s que c ursan los prim eros gr ados d e la escuela secundar ia (com o el
co no cimien to de los siste mas o pe ra tivo s y la ca pa cidad d e utiliz ar
inte rnet).
Por supuesto, esos conocimientos descritos se añaden a los más clási-
cos que se supone que tenga un auditor, entre los q ue se encuentran:
• Teoría y práctica con table en alto grado.
• Técnicas y métodos de auditoría en general.
• Técnicas estadísticas, en particular muestreo.
• Finan zas.
• Dirección d e empresas.
• Tecnología produc tiva o de servicios de las entidad es donde trabaja.
• Legislación v igente relacionada con su actividad.
• Elementos de micro y macroeconomía.
• Elementos de marketing.
• Políticas de las entidades que audita. Programas, p lanes y objetivos
de trabajo.
• Comunicación o ral y escrita.
Se añaden a estos conocimientos, las habilidades que se le ha exigido
siempre a este tipo de profesional: cap acidad investigativa, ten acidad, inte-
ligencia, organización , sistematicidad, etc.
También, por supuesto, debe tener esas características que han definido a
la profesión desde su surgimiento: honestidad, discreción, alto sentido de la
ética, entre otras.
Un profesional que reúna los conocimientos y habilid ades aquí descri-
tos puede enfrentar las funciones esbozadas en el e pígrafe anterior.
Se ha reconocido esta c ombinació n de cono cimientos y habilidades
para formar lo que internacionalmente se conoce como “Auditores CISA”
(Certified Informa tion Systems Auditor) o Auditor Certificado de Sistemas
4
El autorofrece cursos todos los años sobreauditoría en ambientes de sistemas computarizados,
donde en 60 horas aborda muchos de los problemas aquí descritos, y donde los asistentes egresan
con los conocimientos básicos necesarios para realizarauditorías en entidades que posean sistemas
informáticos de complejidad pequeña o mediana. Estos cursos se imparten regularmente en las
facultad es de Contabil idad y Finanza s y de Economí a de la Univer sidad de La Ha bana, o
eventualmente en otras universidades deAmérica Latina y España.
44
de información. Los auditores que dese en lograr la certificación CISA,
deben realizar un exam en elaborado por la EDP Auditors Association (Aso-
ciación de auditores de Procesamiento electró nico de datos). Estos exá-
menes presen tan gran rigor, pero gar antizan un alto nivel técnico en la
profesión. Se c onvocan periódicamente en dif erentes países.
El auditor que desee trabajar como tal, al menos en los próximos veinte
años, debe realizar esas fun ciones, y dom inar los con ocimie ntos a ntes
mencionados. Pero sobre todo deberá ser capaz de apren der, de adecuarse,
de adaptarse a lo único permanente que tend rá: el cambio.
Juan, estudiante de Contabilidad y Finanzas que ha terminado su pri-

mer año, se encuen tra con Raúl, graduado de la misma carrera en el año
2004, que se desempeña como auditor interno en una g ran empresa. Des-
pués de los saludos y comentarios habituales, Juan le p lantea una inquie-
tud:
–Sabes, me interesa la auditoría, pero me preocupa q ue en la actuali-
dad hay que conoc er mucha informática. A mí no me gusta mucho esa
materia, y teng o miedo d e no dar la talla co mo audito r. ¿Tendría que
pasar cursos de po sgrado de computación, aprender programación y esas
cosas?
–No te preocupe s –le con testa Raú l– los co nocimientos que re cibes
aquí son suficiente s para empezar; además, el software de auditoría siem-
pre es muy amigable. Lo que sí tienes que tener es muy buena base conta-
ble y de la pro pia auditoría.
–Bueno, si es así, pues voy a considerar orientarme en esa actividad.
–Eso sí, te aclaro q ue tendrás que estudiar toda la vida, pues tanto la
auditoría, co mo la informática, están en evolución.
¿Refle ja la preoc upación de Juan la realidad sobre la relación de la
auditoría con la informática?
Pre gunt as
1. ¿La auditoría y la informática son actividades ajenas o incompatibles?

2. ¿Lo s auditores contem poráne os deb en estudiar progra mación de
computadoras para r ealizar su trabajo?
45
3. ¿La asimilación d e nuevos conocimientos relaciona dos con la infor-
mática significa u na desviación esencial del trabajo que siempre rea-
lizó el auditor?
4. ¿Debe convertirse el auditor en un experto en materias tales como
criptografía, por ejemplo, o basta con que conozc a que esa técnica
existe y cuándo debe utilizarla?
5. En caso de ser ne cesario, ¿podría el auditor apoya rse en un experto
en informática?
46
INTRODUC CIÓN
El enfoque de la a uditoría en ambientes de sistemas informatizados se

dirige más a preven ir fraudes y errores que a detectarlos. Es fácil entender
por qué. Los siste mas de información computarizados se desarrollan para
satisfacer las nece sidades informativas de la dirección en los procesos de
toma d e decisiones y de contr ol. Las inf ormaciones p rimarias qu e esos
sistemas informátic os procesan para emitir informacione s de resultado para
la dirección, puede n ser susceptibles de errores o de ac ciones fraudulentas
que las modifiquen , afectando de ese modo los resulta dos que emiten las
computadoras. Para evitar eso s errores o esas posibles ac ciones fraudu-
lentas, deben inclu irse controles de diferentes categorías en dichos siste-
mas. Si estos funcion aran perfectamente siempre, no ha bría necesidad de
controles, pero desgra ciadamente no es así.
Los r iesgos d e perder valiosa s inform aciones que se o btienen en el
proceso de las actividades p roductivas, de ser vicios, comerciale s, de las
empresas son mayor es al utiliz ar sistemas informático s, que al pr ocesar
manualmente las in formaciones. Los sistemas computar izados deficientes
repetirán sus errores cada vez que se u tilicen. Además, un error en la infor-
mación proce sada ge nerará u n efecto en ca scada a través de todos los
programas o que se aplique en el sistema, por lo que el efecto perjudicial
será mayor.
Muchas veces las e ntidades no prestan atención a las causas de riesgos
de perder información, lo cual les impide detectar la necesidad de establecer
47
controles para elim inar esas causas. Se tornan vulnerable s a las situaciones
indeseables que af ectan a los recursos informativos. Ante el surgimiento
de una de esas situaciones, la entidad puede perder va liosas informacio-
nes, lo cual se pue de traducir en pérdidas cuantiosas, ta nto materiales como
cualitativ as.
En este capítulo se estudiarán las causas de riesgos de ver a fectados
sus recursos inf ormativos, los riesgos que son generados por estas causas
y los controles que ayudan a r educir o a eliminar dichas c ausas, y conse-
cuentemente, los r iesgos. Se explicarán algunos instru mentos y métodos a
utilizar en estos casos.
C AUSAS DE R IESGO: LA CALIDAD

EN LOS SISTEMAS COMPUTARIZADOS
Las causas de riesgo de afectación de los recursos informativos de las

entidades muchas ve ces se deben a la calidad deficiente de las aplicacio-
nes informáticas en algunas de las fases de su ciclo de vida. Por ello es
necesario que el diseño y la elaboración de los sistemas, así como las posi-
bles adquisic iones de estos, tengan e l más alto nivel de calidad posible.
Para alcanzar este objetivo se deben cumplir los sigu ientes requisitos:
• Seleccionar adecu adamente el personal que diseñar á o trabajará con
las aplicacione s informáticas.
• Entrenarlo ad ecuadamente para la labo r en equipo.
• Escoger la metodo logía de trabajo adecuada para el diseño del siste-
ma y aplicarla correctamente.
• Escoger la metodo logía adecuada para la dirección y el control del
proyecto y utilizarla consecuentemente.
• Estable cer relacione s de trabajo adecuadas, sinceras, de co labora-
ción mutua entre diseñadores o vendedores y usua rios o clientes.
• Realizar un estudio profundo de la situación informativa, organizativa,
de dirección y de control de la entidad o la función a automatizar.
Detectar las deficiencias y conocer realmente cuále s son las necesi-
dades informativas de l usuario o cliente.
• Diseñar o seleccionar correctamente el nuevo siste ma, que satisfaga
las nec esidades ya d etectadas, y adecuarlo a los requerimientos y
limitaciones del usuario y su entorno.
• Realizar co nvenien temente la pro gramac ión del sistem a. Prob ar o
comp robar co n los d atos de prueba necesar ios los program as, tanto
48
ind ividua l como integrada mente, para detectar cualq uier situación
ind eseab le.
• Elaborar correctamente la documentación técnica del proyecto y man-
tenerla ac tualizada.
• Elaborar correcta mente la documentación de utiliza ción del sistema,
sea electrónica (h ipertextos de ayuda, manuales elec trónicos, etc.) o
tradicio nal (manuales de usuario sobre papel), de maner a que no
contenga errores, resulte clara y completa y sea agr adable y fácil de
consu ltar.
• Implantar correcta mente el sistema, y capacitar a lo s usuarios. Esta-
blecer las condiciones requeridas, de tipo informativo, organizativo,
material, física s, legales, etc.
• Realizar la prueb a del sistema en su funcionamien to normal (prueba
“beta”, en “vivo” o “en caliente”).
• Instalar equipos inform áticos más confiables.
• Cumplir con los plazos acordados con el usu ario o cliente.
• Modificar y adaptar el sistema a los cambios necesarios a través de
su vida útil, con u n mínimo de gastos.
• Hacer cor responder el niv el tecnológico a ctual, tanto con el soft-
ware como con e l hardware, y con los criter ios de diseño.
• Velar por que el costo resulte razonable y se corre sponda a lo acor-
dado por las partes.
• Diseñar conveniente mente los pr ocedimientos manuales de capta-
ción y transmisió n de información desde el lugar de la generación
del dato primario , hasta su alimentación a las co mputadoras, para
evitar pérdidas d e información, errores o captacio nes y transmisio-
nes no aprob adas por los empleados r esponsables.
• Conserv ar las infor maciones alma cenadas en las bases de datos y
utilizarlas cuand o sea necesario.
• Diseñar e implantar con éxito los procedimientos adecuados de pro-
tección y segurid ad de la información: sólo las per sonas autorizadas
accederán al sistema y sus diferente s elementos.
• Crea r proce dimientos de c onserva ción d e los r ecursos inform ati-
vos para se r utilizados en caso s de e mergenc ias, tale s como c atás-
tro fes natur ales o a rtificiales, a ccio nes dolosas o irre spon sables,
erro res, e tc.
• Crear procedimientos racionales y seguros de corrección de errores.
La calidad de las aplicaciones individuales se combina con la calidad
de la utilización d e todas las aplicaciones en forma in tegral, para poder
49
evaluar la de la in formatización de la entidad; por lo q ue a los requisitos
anteriores hay que a ñadir, entre otros:
• Procedimientos adecuados de acceso a las áreas de proceso de datos.
• Procedimientos a decuados de conservación física de equipos, pro-
gramas y archivos de información, en condiciones correctas de tem-
peratura, humedad, ambientación, entre otros.
• Procedimientos co nvenientes de evitación de robos, pérdidas, etc.
• Política correcta de seguros contra los principales riesgos de pérdida
o destrucción de los r ecursos informativos.
• Política adecuada de selección, formación, actualización y rotación del
personal responsabilizado con el procesamiento de la información.
• Procedimientos ef icaces y actualizados de protección y actuación en
caso de ataques d e virus u otros programas malign os y de hackers o
crack ers.
• Procedimientos ad ecuados de recuperación de la in formación en caso
de pérdid a o daño.
• Política correcta contra desastres: existencia de ex tintores, desagües
correctos, pararr ayos, equipos de alimentación eléc trica ininterrum-
pida, y otros.
• Política adecuada de establecimiento y cambio de contraseñas y pa-
labras de pase.
• Política adecu ada de so licitud d e modific aciones y cambios a las
aplicac ione s.
• Política adecuada de adquisición de medios de alm acenamiento (dis-
cos, cintas), imp resión (papel) y captación (formu larios), para ga-
rantizar su calidad.
La figura 4.1 muestra gráficamente esta situación.
Fig. 4.1: Determinación de la calidad de la informatización en la entidad
50
Cuando no se cump len los requisitos expuestos, pued en ocurrir diver-
sas situaciones, c omo los que se enumeran a continuac ión, que conllevan
a la afectación de los recursos informativos de la entidad.
• Err ores humanos: E lecc ión inc orr ecta de volúme nes de info r-
ma ción (discos, cintas, disque tes, etc .), elec ción err ónea de alte r-
nativas de ejec ució n en el sistema, man ipulació n in corr ecta de fi-
ch eros, in trod ucción e rrón ea d e d atos, en vío de los lista dos de
salida a lo s de stin atar ios inco rrec tos, lle nado inc orre cto de f or-
mulario s, e ncua dern ació n er róne a de listado s, u tilización d e ve r-
sione s d e a rc hiv os cor respon die ntes a f ech as o p eríod os inc o-
rr ecto s, c aptu ra e rrón ea d e in for mación, info rmac ión de e ntra da
ex trav iada , en tre otro s.
• Delitos o acciones mal intencionadas: Consulta inde bida de infor-
mación, destrucción física o mediante acciones in formáticas de da-
tos y programas, alteración de las informaciones almacenadas y los
programas, destru cción de equipos, soportes magné ticos o en papel
e instalaciones, robo, y otros.
• De sast res naturale s o artificiales: In cend ios, inu ndac ione s, tem-
per atur as m uy a ltas o m uy b ajas, hu meda d ex cesiva, polv o ex ce-
sivo, var iaciones mu y gr and es e n el vo ltaje d e la alimen tación
elé ctrica, inte rrup ción de la m isma , hu raca nes o viento s fu erte s,
lluvia s ex cesivas, sismos, de scar gas elé ctricas, de rrum bes, entre
otro s.
• Afect aciones electrónicas y de softwa re: Esp ionaje elec trónico,
virus informáticos y otros programas malignos, errores en el hardware,
errores en la tra nsmisión de la información, error es en los progra-
mas, falta de integridad en las bases d e datos, etc.
Esa afectación es mayor en la medida que esos recursos están más aso-
ciados a la entidad en cuestión: la afectación menor es en el hardware; en el
siguiente nivel está el software operativo, los programas utilitarios, las bases
de datos generales y el software de tipo general; y en el nivel más alto de
afectación están los programas de aplicación particulares de la entidad y las
bases de datos creadas a partir de informaciones generadas por la actividad
de la propia entidad. Las medidas de seguridad y protección a establecer
deberán tener en cuenta esta peculiaridad y considerar el costo de afectación
que se producirá si se carece de algunos de esos elem en to s. La figu ra 4 .2
mu estr a gr áfic amen te e sta situ ació n.
51
Fig. 4.2. Nivel de las afectaciones en los recursos i nformativos
Resumiendo, la falta de calidad en algunos de los elementos del siste-

ma, o de la explotación conju nta de todo s o algunos de los sistemas o
aplicaciones de la entidad, genera causas de riesgos de pérdida o daño de
los re cursos infor mativos. Ese riesgo pue de concretar se en afecta ciones
que produzcan pérd idas reales o costos de oportunidad (ganancias dejadas
de obtener, daños d e imagen, etc.) para la entidad. La figura 4.3 permite
apreciar gráficamen te esta situación.
Fig. 4.3. Efecto en cascada de la falta de calidad en las aplicaciones
Esa situación sólo puede solucionarse, si se crea un sistema d e contro-

les informativos eficaz y eficiente, lo cual se verá en la próxima sección.
52
CONTROLES INFOR MATIVOS
Un control in formativo es una a cción que se diseñ a en u n sistema

informático, o en un área de procesamiento de informac ión, para eliminar
o disminuir posibles causas de riesgos durante la explotación u opera-
ción. Se diseña y activ a para garantizar un alto nivel de c alidad en el siste-
ma, con un criterio de costo-beneficio. Puede ser un co ntrol diseñado ex-
clusiv amen te p ara activar lo dentro d el sistema info rmá tico , me dian te
acciones de softwa re; un control requerido en el áre a en que hombre y
computado ra interactúan (d urante la captació n de los datos pr imarios o
durante la consulta de las informaciones de resultado); o un control para
emplearlo en la parte donde exclusivamente tra baje el hombre.
Es ne cesario profundizar en esta últim a asevera ción. La lista d e los
controles que se o frecerá más adelante, no es exhaustiva –siempre pueden
ser necesarios otro s adicionales, que se diseñen para d eterminadas aplica-
ciones– pero es ba stante completa. Su utilización no puede ser indiscrimi-
nada. Un control cuesta, requiere recursos de diseño, tiempo de máquina,
etc. Diseñarlo e implantarlo depende de la necesidad de su existencia, y esa
necesidad está definida por la naturaleza del riesgo que ese control quiere
eliminar, así como del recurso informativo que se quiere proteger. El costo
del control no pued e ser excesivo con relación al costo de oportunidad de
perder ese recurso informativo. Dicho en palabras más simples, controlar
una causa de riesgo para eliminar ese posible riesgo, n o debe ser más cos-
toso que lo que costaría perder la información, el prog rama o, incluso, la
computadora.
Conce pto ge ner al de contr ol

Acción correctiv a que se toma para poner en con sonancia el com-
portamiento de un sistema con sus objetivos. Actúa basado en infor-
maciones sobre el e stado del sistema.
Entre sus requisitos se encuentran:
– Reflejar las necesid ades de la dirección
– Ser económico, esto es, tener un costo de diseño y activación ra-
zonable, con rela ción a su efecto
– Indicar rápidamente las desviaciones
– Ser comprensible
– Ser predictor de situaciones futuras
– Ser flexible an te nuevos casos
53
El control puede ser diseñado y accionado durante las etapas y fases de
creación o adquisic ión del sistema (controles de desarrollo) o durante su
explotación (controles de explotación). Asimismo, p uede ser un control de
software, administrativo, organizativo, físico o legal.
Los controles de desarrollo se aplican durante la elaboración o adquisi-
ción del sistema, y en cada una de las etapas y fases de cr eación o ad-
quisición. En dependencia del modelo de ciclo de vida que se utilice para
crear el sistema, pueden existir etapas y fases diferentes, con denominacio-
nes distintas (véase la sección correspondiente de esta obra), pero a los efec-
tos de esta exposición se utilizarán nombres de etapas que sean lo más gené-
rico posible. Se tendrá entonces:
• Controles de a nálisis de factibilidad técn ico-económica.
• Controles de an álisis detallado de la situa ción existente.
• Controles de diseño detallado.
• Controles de desarro llo y programación.
• Controles d e pruebas e implantación.
• Controles de m antenimiento.
Los con troles de a nálisis de factib ilida d técn ico-e conómica tien en
como objetivo gara ntizar que la s decisiones q ue se tomen e n esa e tapa
sean las c orrectas y así poder ela borar u n proye cto in formático con alta
racionalidad técnica y econ ómica. Para lograrlo es necesario aplicar estos
controles fu ndamenta les:
• Apoyo del trabajo de sistemas por parte de la más alta dirección de
la entidad.
• Seleccionar el me jor equipo posible de analistas de sistemas y miem-
bros del Grupo Mu ltidisciplinario de Sistemas –GM S– (ver más ade-
lante), para g arantizar la más alta calida d del trabajo.
• Presentación del equipo de analistas ante el equip o de dirección de
la entidad y exp lica r cla rame nte sus f uncio nes y ob jetiv os. Los
analistas pueden ser externos o internos. Apoyo a los mismos para
que puedan realizar su investigación y elabo rar su informe.
• Exigir al equipo de analistas la presentación de un informe donde se
expo ngan en términos no técn icos las especif icacione s detalladas
que tendrá el sistema que se pretende diseñar, los c ostos y beneficios
esperados y el plan de trabajo general y el de la etapa siguiente.
• Establecer procedimientos formales de análisis de las propuestas técni-
cas de los a nalistas de sistemas q ue están realizando el estudio de
factibilidad. Estos procedimientos deben basarse en la existencia de un
54
GMS, integrado po r los funcionarios de más alto niv el y por los téc-
nicos má s destacados relacionados con la aplicación que se desea
informatizar; y los mismos; que responda ante la a utoridad más alta
de la entidad, y que se responsabilice con la pro puesta de aproba-
ción o no del estudio presentado.
• Garantizar la par ticipación de un auditor interno (o externo) para
evaluar el informe.
Los controles d e análisis detallado d e la situación existe nte tie nen
como objetivo garan tizar q ue en e sta eta pa los analista s de sistemas rea-
lice n una correc ta y p rofunda investigación, y q ue log ren de tectar las
deficiencia s del sistema a plicado y la e sencia de los p rocesos que se de-
sea informa tizar, a los ef ectos d e que e jecuten las eta pas sig uientes con
la m ayor ca lidad p osible. Para lograr este fin, debe p onerse en prác tica
los contro les básicos siguien tes:
• Exigir que se utilice una adecuada metodología de trabajo para realizar
la investigación detallada, con herramientas y métodos específicos.
• Garantizar que se apoye al equipo de diseño en su trabajo de inves-
tigación, que los funcionarios y empleados que deba n ser entrevista-
dos estén disponibles, con el estado de ánimo corr ecto y preparados
con toda la inform ación que solicitarán los analista s de sistemas para
realizar su estudio; y que las áreas que deban visita r estén dispuestas
para ello.
• Garantizar que lo s usuarios fundamentales participen en la evalua-
ción del in forme elaborado por lo s analistas de sistema s sobre las
deficiencias dete ctadas y los requerimientos inform ativos detallados
elaborados; de fo rma que incorporen sus principales criterios técni-
cos y admin istrativos.
• Analizar por la dirección de la entidad del informe detallado entrega-
do por los analistas y de los criterios aportados por los usuarios princi-
pales. Evaluación del programa de trabajo de las próximas etapas.
evaluar el info rme mencionado.
Los controles de diseño tienen como objetivo garantizar qu e el sistema
que se elabora ten ga unas especificaciones de diseño q ue respondan a los
requerimientos de la dirección de la entidad y a sus nec esidades informati-
vas. Para gara ntizar esto, los controles básicos son:
• Exigir que se utilice una metodología adecuada de trabajo para rea-
lizar el diseño, con métodos y herramientas de trab ajo convenientes.
55
• Exigir que quede n documentados todos los eleme ntos fundamenta-
les del sistema: o bjetivos del mismo, funciones y ta reas que desarro-
llará, bases de d atos, formularios de entrada o de captura de datos
primarios, listad os y reportes de salida, procedim ientos manuales y
flujos de información, estructura computacional del sistema, hardware
a utilizar, costo s y beneficios. Además, exigir que existan procedi-
mientos correctos de modificación y actualización de esa documen-
tación.
• Garantizar que ex istan procedimientos eficaces y e ficientes de con-
trol interno en el nuevo sistema, que garanticen la calidad de la in-
formación que se procesará.
• Garantizar que lo s usuarios fundamentales participen en la evalua-
ción del infor me elabor ado por lo s analistas de sistemas sob re el
diseño del nu evo sistema.
• Análisis por la dirección de la entidad del informe detallado entrega-
do por los analistas y de los criterios aportados por los usuarios prin-
cipales. Evaluación del programa de trabajo de las próximas etapas.
Los controles de desarro llo y programación tienen como objetivo fun-
damental que el diseño realizado en la etapa anterior sea programado con
calidad y los manuales de u tilización, o usua rio sean completos, claros,
refle jen adec uadamente el proc eso del sistema y sus requ erimientos de
operación y utiliza ción, y tengan un diseño correcto y agradable. Para ga-
rantizar esto, los controles fundam entales son:
• Verificar qu e existe una ad ecuada metodolo gía de programa ción
aplicada, y que todos los programadores están entrenados en ellas.
• Garantizar que se efectúen actividades de compren sión del proble-
ma a programar, e ntre diseñadores y programadores, que se efectúe
una adecuada utilización de los estándares de pro gramación que se
establezcan, como los diagramas, la codificación convenientemente
realizada y comen tada; que se efectúen pruebas ade cuadas a los pro-
gramas, con los d atos de prueba suficientemente c ompletos y repre-
sentativos de las diferentes situaciones, y que se c umplan los proce-
dimientos de documenta ción de los programas.
• Supervisar estrec hamente a los programadores sobr e su estilo y mé-
todos de pro gramar y los tiempos de desarrollo.
• Garantizar la pru eba integral de los programas, y verificar que sus
resultados responden a las especificacio nes de diseño.
56
• Ga ra ntiza r q ue lo s usu ar ios f und am entales de l sistem a (GM S)
eva lúen los r esulta dos d e la prueb a integral de lo s pro grama s y
analicen si los re sultado s de los mismos, así c omo su perform ance
satisface las nece sidades y requ erimien tos de su trab ajo.
• Analizar detenida mente los manuales de utilizació n y usuario para
comprobar que re sponden a las especificaciones d el sistema y que
su descripción e stá acorde con la operación de los programas.
• Análisis por la dirección de la entidad del informe detallado entrega-
do por los analistas y de los criterios aportados por los usuarios prin-
cipales. Evaluación del programa de trabajo de las próximas etapas.
Los controles de prueb as e implantación tienen como objetivo garanti-
zar que el sistema elaborado se implante correctamente y que fun cione en
la práctica tal y c omo se espera, con eficacia y eficien cia. Para esto, los
controles más importantes son:
• Garantizar que la s condiciones para la implantación se han creado
convenientemente. Algunas de estas son:
– Entrenamiento adec uado del personal.
– Adquisición e in stalación del equipamiento com putacional y de
comunicaciones, así como del software básico n ecesario. Prueba
técnica d el mismo.
– Impresión de los formularios que se utilizarán.
– Creación de las bases de datos necesarias.
– Remodelación y reconstrucción de locales, si es necesario.
– Información amplia y completa a todos los implicados en la prueba.
• Revisar que los m anuales de utilización y usuario son adecuados y
que están a dispo sición de los mismos por parte de las personas que
deberán usarlos.
• Organ izar la p rueba “be ta” de fo rma que no se afe cte el sistema
existente en caso de que existan dificultades en el nuevo. Empleo de
métodos como “prueba en paralelo” o “pr ueba piloto”.
• Vigilar la realiza ción de la prueba.
• Garantizar que du rante la prueba, y a partir de la implantación, se
estable zca la separ ación de func ione s ne cesar ia p ara la c orre cta
explotación del sistema: los prog ramador es no tendrán acceso a la
oper ación d el sistema, lo s opera dores n o tendr án acce so a la do-
cume ntación de diseño, a los programas fuente ni a las bibliotecas de
57
programas maestro s ni datos. Estas bibliotecas deb en estar protegi-
das convenientemente para evitar cambios no aprobados.
• Vigila r que se re alicen corr ectamente las accione s necesaria s para
rectificar los err ores e insuficiencias detectadas d urante la prueba.
• Garantizar que lo s usuarios fundamentales del sistema evalúen los
resultados de la prueba e implantación, los analice n, y expresen sus
crite rios.
• Análisis por el eq uipo de dirección de la entidad de l informe detalla-
do entregado por los analistas y de los criterios aportados por los
usuarios principales. Realizar la aceptación oficial del sistema cuan-
do estén satisfec hos de su desempeño, acorde a lo c ontratado o acor-
dado al inicio de proyecto, o durante su desarrollo.
• Analizar en la pr áctica los controles a la informac ión de entrada, a
los resultados de sa lida y a las b ases de datos (véase esta sección
más adelante).
• Analizar en la prá ctica que el sistema se inserta en su operación, a la
política general de controles que se ha establecido en la entidad, y
que esto resulte satisfactorio.
Los controles de mantenimiento tienen como objetivo garantizar que
los cambios y modif icaciones que se realicen al sistema durante su explo-
tación, sean los ad ecuados y estén aprobados por las in stancias capacita-
das para ello; y así evitar modificaciones indebidas o injustificadas. Para
garantizar esto, los co ntroles necesarios son:
• Las solicitudes d e cambios debe ser realizadas ofic ialmente, y deben
ser aprobadas por el GMS, integrado por los principales usuarios, así
como por la sección de Auditoría Interna.
• Vela r que las solicitudes de camb ios inc luyan la metod ología para
mod ifica r la docume ntación de dise ño y utilización del siste ma,
pa ra r epro gram ar los p rogr amas, pa ra m odif icar los pro gram as
maestros co nservad os en las bibliotecas y para utiliza r una c opia
de e stos e n la ex plotac ión.
• Verificar que los operadores y restantes usuarios estén informados
de los cambios y entre nados en su operación.
• Garantizar que qu ede documentada:
– La fecha de solicitud y realización del cambio.
– El nombre y car go del funcionario solicitan te del cambio.
– La argumentación de la necesidad del cambio.
58
– Aproba ción del cam bio por el GMS y la se cción de Aud itoría
Interna.
– El nombre de los analistas y programadores encargados del cambio.
– La fecha de modificación de los programas maestr os en la biblio-
teca de programa s y nombre del funcionario que realizó esa mo-
difica ción.
– La fecha y nombre del funciona rio que hizo el cam bio en los
equipos de explo tación del sistema. Por supuesto, ese funciona-
rio debe tener la contraseña o palabra de pase pa ra acceder a cam-
biar esos programas.
Los controles de explotación se realizan, como su nombre lo indica,
durante la fase de explotación del sistema. Algunos se han mencionado ya,
pues forman parte d e los controles de mantenimiento. Otros se especifica-
rán seguidamente . Los controles de explotación se componen de:
• Controles a la información primaria y de entrada.
• Controles a la información de resultado o de salida.
• Controles de p rocesamiento.
• Controles de ajustes y corrección de errores.
• Controles de almace namiento de datos.
• Controles de aplicación en diferentes modalidades de procesamiento.
Los controles a la información primaria y de entrada tienen como obje-
tivo garantizar la calidad de la información primaria que refleja los hechos
económico-financieros acaecidos, y que después se utilizará para alimentar
el sistema informático y producir, mediante el procesamiento adecuado, la
actualización de las bases de datos y la emisión de los resultados. Pueden ser
controles de preparación, de transmisión o de captura de información. A
continuación se especifican cada uno de estos grupos de controles.
Los controles de preparación son aquellos que se realizan cuando se
efectúa la captació n del dato primario y se preparan lo s soportes adecua-
dos para su transmisión. Entre los más importante s se encuentran:
• Garantizar que lo s empleados autorizados sean los únicos ejecutores
y responsables de la preparación y aprobación de las informaciones
que produzcan de terminados hechos, derivados de las funciones y
actividades prop ias de su cargo.
• Cuidar que se utilicen los formularios oficiales del sistema, preimpre-
sos y bien diseñados.
• Cuidar que cada formulario tenga un código o nú mero de documen-
to secuencial y preimpreso.
59
• Cuidar que cada c opia de cada formulario tenga un código de iden-
tifica ción.
• Garantizar que los procedimientos para crear lotes de formularios
sean claros y ade cuados, incluyendo, de ser necesar io, el cálculo de
sumas control.
• Si se usa la técn ica de envíos por lotes, debe existir un formulario
reimpreso por cad a lote, donde se especifique el número secuencial
del lote, el nomb re del formulario, la fecha de env ío y de recepción
en el lugar de pr ocesamiento, la suma control men cionada, el total
de formularios env iados y la identificación y firma de la persona que
preparó el lote y de la que lo revisó y aprobó.
• Cuidar que todos los formularios se llenaron corr ectamente, inclu-
yendo los nombres y firmas autorizadas de las per sonas encargadas
de su llenado, revisión y aprobación.
• Cuidar que se respeten las fechas establecidas par a el envío de los
formularios.
• Garantizar que en el área emisora quede una copia de los formula-
rios y documentos enviados, y que se retengan por el tiempo mínimo
establecido.
• Cuidar, en el caso de que la alimentación de los d atos primarios se
realice directame nte en equipos de captura o captac ión de datos, sin
tener un soporte de papel para avalar al mismo, que exista un proce-
dimiento seguro d e establecimiento y actualizació n de palabras de
pase o contraseña s, para garantizar que sólo las p ersonas autoriza-
das alimenten los datos al sistema informático. Ade más, en ese caso,
el sistema debe de jar un registro exhaustivo de toda s las transaccio-
nes procesadas, para posibles comprobaciones futuras.
Los controles de transmisión tienen co mo objetivo garantizar que el
traslado de la info rmación primaria al área de procesamiento informatizado,
sea totalmente segu ra, sin dar lugar a pérdidas, extravío o deterioro. Algu-
nos de esos c ontroles son:
• Garantizar, en el caso de traslado físico de formula rios, que esa ac-
ción la realice la persona autorizada.
• Registrar la entre ga, mediante el nombre y la firma, los lotes de for-
mularios entregad os, con total claridad, el total de documentos, la
fecha de entrega, la fecha y hora en que deben se r entregados por
quien los traslada al área de procesamiento.
• Indicar claramente las instrucciones de traslado y e ntrega de los do-
cumentos al empleado en cargado de esa misión.
60
• Garantizar un emp aquetado adecuado de los formula rios a trasladar,
para evitar pérdidas o deterioros.
• En el caso de traslado electrónico, garantizar que e xista un registro
de entrega de las transacciones en el área de proce samiento, unido a
los controle s mencionados en el pun to anterior.
Los controles d e captu ra de informac ión tie nen com o obje tivo ga ran-
tiza r que la captac ión de los datos de e ntrada por el sistema informá tico
se r ealice adecuad amente, dismin uyendo lo más posible los er rores y las
modificacio nes intenciona les, de maner a que la infor mación que se ali-
mente al sistema r efleje fielmen te los h echos a caecido s. Algu nos de esos
controles son:
• Utilizar un registro de todos los lotes de documen tos que llegan al
proceso de captura o captación d e datos, que incluyan al menos:
fecha y hora de r ecepción, formularios, persona a utorizada a apro-
bar los formularios, número del lote recibido, su mas control, área
emisora, persona que entrega el lote, desviaciones de lo programado
o especificado en los documentos de traslado del lote y persona que
recepciona el lote.
• Establecer un programa de recepc ión de los lotes de f ormularios.
Utilizarlo para ev aluar las fechas y horarios de lle gada de cada lote.
• Practicar procedimientos de verificación de los d ocumentos recibi-
dos contra los documentos de tra slado de cada lote, y determinar
desviaciones, las cuales deben ser comprobadas.
• Practicar proced imientos de sumas control o con trol de totales.
• Comprobar que los formularios utilizados son los adecuados, y que
los nombres y fir mas de las personas que los han aprobado son los
corre ctos.
• Utiliza r pantallas de captación de datos que sean imagen de cada
tipo de formulario, con el orden exacto de captación de cada campo.
• Cuid ar que se utilicen cr iterios ergonó micos ( colores adecua dos,
sonidos, etc.) par a garan tizar qu e los o perador es de c aptació n de
dato s traba jen en la form a más c orrecta posible, evitando de ese
modo cansan cio adicional que pue da contribuir a intro ducir e rro-
res adiciona les.
• Captar sólo aque llos campos que no puedan ser ob tenidos de bases
de datos o calculados. Si hay incompatibilidad entr e el contenido de
estas o lo calculado, proceder a comprobar la situa ción, sin aceptar
el documento c on problemas hasta que no se rectifique.
61
• Marcar todos los documentos procesados correcta mente, y también
los que no fueron aceptados por tener errores, con o tro tipo de marca
iden tificativa.
• Procesar cad a documento en la forma establecida.
• Rechazar cada documento erróneo sin incorporarlo a la base de datos.
• Garantizar median te un control de palabras de pases o contraseñas,
que sólo la persona autorizada proceda a la ca ptura de datos.
• Establecer una “b itácora” de todas las capturas de datos realizadas,
para poder compr obar exhaustivamente quién efectuó cada captura.
• Crear en el sistema un archivo con todas las transacciones capturadas,
para efectos de auditorías. Si se decide crear un archivo con las tran-
sacciones erróneas, este debe ser actualizado cuando se rectifiquen.
• En el caso de aqu ellas captaciones de datos donde no existan sopor-
tes en papel, ace ntuar la acción de los tres controles anteriores.
Los controles a la información de resultado o de salida tienen como
objetivo garantiza r que el procesamiento realizado culmine exitosamente,
con la in formación resulta nte obtenida corre ctamente y entreg ada a sus
destinatarios adecuados. Pueden dividirse en controles de distribución, de
conciliación y adicionales.
Los controles de distribución se crean para garantizar que los destina-
tarios reciban en tiempo y forma la información correc ta. Algunos de los
mismos son:
• Garantizar que to dos los reportes de salida tienen números de copias
preimpresos en cad a copia y página.
• Verificar que tod os los reportes de salida utiliza dos como documen-
tos oficiales para negociaciones econó micas o financ ieras ( como
cheque s o factur as), tenga n un númer o secuencial preimpr eso en
cada página.
• Comprobar que ca da página de cada copia de cada reporte tenga su
código de reporte en cada página, para permitir su identificación.
• Asegurar que se imprima un número de página en cada una de las
emitida s de cada re porte, complementado por el número total de
pá gina s d e esa e dición del repo rte . De esta m ane ra, el núme ro
“49 de 83”, indicaría que se está en presencia de la página 49 de un total
de 83. La página siguiente, lógicamente, llevaría el “50 de 83”. En cier-
tos casos el número de página sería equivalente al número secuencial
preimpreso al que se hace referencia, arriba, en el segundo control de
esta serie.
62
• Garantizar que existen actualizadas las instruccione s de distribución
de cada reporte, las cuales deben incluir: identificac ión de cada lista-
do o reporte, cop ias, nombre cargo y otros datos d e localización de
la persona destina taria de cada copia del reporte, d escripción de los
procedim ientos de encuad ernación para la entrega de cad a copia,
programación de entrega de cada copia, nivel de confidencialidad
de cada reporte, si es necesario, etc.
• Controlar en un r egistro apropiado cuando se entreg a cada copia a la
persona encargad a de distribuirla, incluyendo ad emás, nombre del
listado, copia que se entrega, fecha y hora de entre ga, nombre, cargo
y firma de la persona que recibió el do cumento, etc.
• Si la entrega es on-line, a través de una red de computadoras, y a
solicitud de dete rminado usuario, el único control posible es tener
establecido y actualizado un sistema de contraseñas y palabras de
pase, asociado a los privilegios o derechos que ten drá cada poseedor
de cada contraseñ a, para que cada uno reclame y rec iba el reporte de
salida que necesita y al cual tiene derecho. El repor te solicitado apa-
recerá en su panta lla directamente, y será su responsabilidad su utili-
zación.
• Garantizar que c ada reporte diseñado para que sa lga en pan talla,
tenga su copia en papel si lo requiere, o que no la tenga si no debe
tenerla. Para ello habrá que programar adecuadam ente el acceso a
las impresoras remotas, en caso de una red.
Los controles de conciliación tienen como objetivo establecer compara-
ciones entre ciertas operaciones, para garantizar la integridad de la informa-
ción procesada, así como su corrección. Puede exigir operaciones adiciona-
les en el sistema informático, así como otras operaciones realizadas por las
personas que manipulan los listados. Algunos de estos controles son:
• Comparar los con troles de totales calculado por la computadora e
inclu idos en ciertos listados o repor tes, con las sum as contr ol de
totales calculadas durante la preparación de las tra nsacciones de en-
trada, en algunas de las fases del procesamiento. En caso de incom-
patibilidades, se requerirá analizar todas las transacciones.
• Garantizar que los listados de validación de la info rmación de entra-
da se comparen co ntra los documentos fuente o con tra los listados
de transacciones alimentadas al sistema, para gar antizar que no se
han introducido informaciones erróneas. Téngase en cuenta que exis-
ten casos cuya ún ica forma de detectar un error y d e rectificarlo es
63
hacer un chequeo visual: por ejemplo, la captación de nombres de
personas o descripciones de productos para alimentar bases de datos.
• Garantizar que lo s reportes de salida incluyen toda s las transaccio-
nes que en algún momento entraron con errores y se rechazaron,
para ser rectif icadas después.
• Verif icar selectivame nte las transacc iones ge neradas internam ente
por la computad ora y volcadas en algunos repo rtes de salida.
• Verificar los docu mentos impreso s para garantizar su integridad.
Analizar el número real de copias y páginas impresas con el generado
por la computadora, el control de totales, el diseño de los documentos
impresos contra el que debía imprimirse, acorde a los manuales de
utilización; ciertos cálculos para comprobar su corrección (sobre todo
en las primeras ediciones de aquellos listados importantes), etc.
• Garantizar que los errores detectados se registran, corrigen y se elimi-
na la causa del error y se chequean de nuevo en corridas posteriores.
• Verificar el emple o que se le da a cada listado, par a evaluar constan-
temente su utilid ad real para el sistema de dirección de la entidad.
Otros controles a dicionales a la información de salida pueden ser:
• Revisar periódicame nte los proce dimientos establecidos pa ra con-
servar y/o destru ir reportes y sus copias, garantizando que se cum-
plan reglas y plazos.
• Revisar los proce dimientos establecidos para emitir copias adiciona-
les, incluyendo: personas que solicitaron y perso nas que aprobaron
la emisió n adicional, fec ha de la emisión, razones de la solicitud,
copias emitidas, p rocedimientos de distribución, utilización, archivo
y destrucc ión, etc.
• Gara ntizar que se registr en los posible s docum entos e xtravia dos,
especificando fec ha, formulario, descripción del p roblema, acciones
tomadas, etc.
Los controles de p rocesamiento se incluyen en el sistema informatizado,
y tienen como objetivo automatizar al mayor nivel posible las acciones
necesarias p ara la detección y depur ación de errores en la información;
aunque pu eden existir muc hos de ellos que se apliquen en f orma “ma-
nual” o combin ada con ac ciones in formatiza das. Puede n ser muc hos y
muy variados, en d ependencia de las posibilidades y las necesidades del
sistema informático, y de los niveles de desarrollo alcanzado por el hardware
y el software, o se a, por la tecnología de procesamiento de la información.
Algunos de estos controles son:
64
• Garantizar que se determine en cada aplicación el número de tran-
sacciones proce sadas, así como la fecha de su procesamiento.
• Garantizar que se diseñen rutinas de cálculo de su mas control, y se
comparen con las sumas obtenidas por otros medio s en otras fases
del proceso, destacando las incompatibilidades. E sto puede incluir
información correcta, incorrecta o total.
• Ante discrepancia s en los casos anteriores, deben establecerse pro-
cedimientos de re ctificación de errores y garantiz ar su aplicación.
• Garantizar que en los casos de captación o captura de información,
estén establecidos procedimientos de validación de caracteres y cam-
pos, que incluyan: tipo de campo (alfabético, numérico, etc.), existen-
cia de la información, tamaño, signos, razonabilidad (por ejemplo, no
es razonable tener trabajadores de 80 o 90 años en la entidad), rango y
límite, corrección del campo contra bases de datos (por ejemplo, si
existe un código determinado en una base de datos ya validada), valor
específico, dígito verificador o de chequeo, secuencia de campos, exis-
tencia de transacciones, etc.
• Asegurar que se p roduce la validación de toda la transacción, y se
detectan tod os los posibles errores en cada una.
• Asegurarse que no se incorporan al proceso transacciones incorrectas.
• Asegurarse que se aplican los procesos de rectifica ción de errores y
de incorporació n posterior de transacciones rectificadas.
• Establecer la existencia actualizada de archivos de transacciones para
su comprobación posterior. Esto es especialmente necesario en el caso
de transacciones que no estén avaladas por formularios de papel. De-
ben conservarse el tiempo legalmente establecido para cada caso.
• Deben emitirse in formes con las transacciones erró neas para su rec-
tificación y posterior control.
• Garantizar la existencia en los programas de rutinas de control de
identificación de archivos y versiones de archivos, para evitar pro-
cesar version es atrasadas o archivos incorrectos.
• Garantiza r la existencia de procedimiento s de actualización de las
bases de datos, y chequear su realización (por ejem plo, puede llegar
una transacción a procesarse sobre un producto que no existía en los
almacen es, y por en de tampoco en las bases d e datos. El sistema
debe garantizar q ue se incluya en las bases de dato s antes de proce-
sarse).
• Garantizar que el sistema registre las operaciones realizadas en una
especie de bitáco ra de su propio procesamiento. Inc luir los listados
emitidos, la cantidad de páginas, las copias, etc.
65
• Garantizar que se realicen todas las operaciones imp rescindibles. Por
ejemplo, que no re alice un cierre contable si falta procesar los com-
probantes de la nómina de pagos.
• Asegurarse que se emiten los reportes periódicos en los momentos
estable cido s.
• Garantizar que se realicen las actualizaciones nece sarias en los ar-
chivos de las bases de datos en los períodos establecidos para ello.
• Garantizar que se ejecuten los procedimientos esta blecidos para ac-
tualizar las palab ras de pase o contraseñas. Estas p ueden orientarse a
las funciones (de finidas en forma de menues. Cada funcionario ten-
drá disponible só lo aquellos menues para los que e stén capacitados,
en dependencia d e su responsabilidad como trabajadores, manifes-
tada en los derech os habilitados para su contraseña) y a los archivos
que pueden o no acceder.
• Incluir pista de a uditoría en aquellos sistemas que lo requieran (por
ejemplo, co nservar todas las tran sacciones procesadas, incluyendo
las generadas internamente).
• Garantizar la existencia y aplicación de programas antivirus actualiza-
dos, en todas sus modalidades: centinelas, detectores, limpiadores, etc.
• Garantizar la existencia de procedimientos de detección y limpieza
de virus informáticos, y de actuación en caso de que se detecte la
acción real o posible de alguno de ellos.
Los controles de ajustes y corrección de errores tienen com o objetivo
garantizar que toda s las transacciones erróneas se han de tectado, rectifica-
do e incluido de nu evo en el flujo normal de datos del sistema. Algunos de
estos controles ha n sido ya mencionados por lo que d eben considerarse
adicionalmente a los descritos en la sig uiente lista:
• Garantizar la existencia y ejecución de los procedimientos de detec-
ción, información , registro y rectificación de erro res. Son una com-
binac ión de pr ocedimie ntos auto matizados y manua les los c uales
deben complementarse. Algunos se han mencionad o anteriormente.
• Verificar que los procedimientos de detección y verificación de erro-
res son lógicos y racionales.
• Registrar los erro res y su detección para evaluar la calidad del pro-
ceso y el desempe ño del sistema y las personas qu e trabajan en el
mismo. Estadísticas de errores.
• Verificar que se r ectifican los errores detectados y que se supervisa
este pr oceso.
• Analizar los erro res que se producen, su frecuenc ia de ocurrencia,
sus causas y e liminar estas.
66
Los controles de almace namiento de datos son muy impor tantes, pues
se refieren a medidas de protección y seguridad de las informaciones al-
macenadas en las b ases de datos. Resultan de una com binación de proce-
sos informatizado s y manuales complementarios. Much os ya se han men-
cionado de un a forma u otra. Algunos de estos son:
• Revisar la existe ncia y aplicación práctica y efic az de procesos de
copias de respald o (back-up) y restauración de los archivos más im-
portantes d el sistema.
• Garantizar la aplicación del método de conservación de generacio-
nes abuelo-pa dre-hijo en los archivos del sistema que lo requieran.
• Establecer proced imientos de encriptación adecuad os de los archi-
vos que lo requieran.
• Verificar que existen y se aplican procedimientos de comprobación
de archivos, generaciones de archivos y sus copias.
• Establecer y aplicar procedimientos actualizados y eficaces de com-
probación de contraseñas y palabras de pases, códig os de identifica-
ción de terminale s, códigos de seguridad de transacciones, códigos
de seguridad de a rchivos/programas y otros que gar anticen la reali-
zación confiable d e la consulta y actualización de las bases de datos.
• Establecer proce dimientos adecuados de comproba ción de la inte-
gridad referencial de los registros en las bases de datos para impedir
pérdidas y deterioros de las informacione s almacenadas.
Los controles de aplicación en difere ntes modalidades de procesamiento
se refieren a la fo rma en que pueden operar las aplicac iones informáticas.
Las modalidades son:
1. Modo batch o por lotes.
2. Consulta en línea con actualización en f orma de lotes.
3. Consulta en línea con actualización en tiempo real.
La tenden cia a ctual es re alizar el p rocesa miento en las do s últimas
modalidades, pero la p rimera aún se utiliza.
Los co ntroles me ncionados se pueden emplear en una modalidad u
otra, con las adaptaciones requeridas pa ra cada caso.
Un control no me ncionado hasta ahora y que puede adaptarse a una
variante u otra, es la realización de procesos (en form a de programas del
sistema) en función de su sistematicidad y periodicidad . Así, los procesos
se pueden d ividir en procesos periód icos o ad hoc; y los per iódicos po-
drán dividirse en horarios, diarios, semanales, quincenales, mensuales, tri-
mestrales y anuales. Una vez clasificados así, se pueden establecer reglas
67
automa tizadas de r ealización de los mismo s, y garantizar, por ejemplo,
que no se ejec ute dos veces en el año un proceso anual.
Si esto se une a los derechos de invocación (activac ión) de un proceso
que puede estar aso ciado al trabajo de algún funcionario usuario del siste-
ma (manifestado a través del empleo de su contraseña), se garantizará aún
más la segurida d de utilización del sistema o de sus partes.
Otro control muy útil se r efiere a la ubica ción y el acceso físico de
determinados recur sos. Por ejemplo, la ubicación remota de una impresora
para dar servicio a varios usuarios, puede crear un prob lema de acceso real
a la información q ue imprime, pues esta información pu ede ser consultada
indebidamente por las personas que tengan acceso físico al lugar donde se
encuentra dic ha impresora.
Otras clasificacio nes de controles pueden encontrarse en la literatura.
Por ejemplo, Zab aro y Martínez1 proponen la siguie nte clasificación:
 Controles Generales.
• Controles de organización.
» Control de segrega ción de funciones.
– Control de funcion es incompatibles.
– Delimitación de r esponsabilidades.
– Separación a través de la división del conocimiento.
– Función de los especialistas qu e atiende n los sistemas
en explotación.
– Detección y corre cción de errores.
» Responsabilidad por el control.
• Controles de hard ware y software.
» Controles d e hardware.
– Control d e medios.
– Control de ambiente.
– Control de protec ción de energía.
» Controles d e software.
– Seguridad del sof tware de sistema.
– Protección d e ficheros.
– Protección d e programas.
– Desarrollo de software de aplicación.
– Control de do cumentación.
1
L. Zabaro y C. Martínez: Auditoría informática, pp. 19-42.
68
• Controles de segurid ad de los sistemas.
» Controles qu e proveen seguridad a los sistemas.
– Controles de administración de seguridad.
– Control de medio s de seguridad.
– Control de documentación, programas y ficheros de datos.
– Control de acceso desde terminales.
– Control de id entificación.
» Controle s para la detec ción de fallos en la segurida d de los
sistema s.
– Control de a utenticidad.
– Monitoreo d el sistema.
» Controles para la recuperación de fallos en la seguridad del
sistem a.
– Plan de rec uperación.
• Controles de aplicaciones.
• Controles d e accesos.
• Controles d e entrada.
» Controles p reventivos.
» Controles d etectores.
• Controles c orrectivos.
• Controles de p rocesamiento.
» Controles c orrectivos.
• Controles d e salidas.
» Controles p reventivos.
» Controles c orrectivos.
La clasificación d e Zabaro y Martínez no difiere sig nificativamente de
la ya propuesta en esta obra, aunque hay diferencias menores de denomi-
nación y agrupamiento. Quizá s también es una clasif icación dem asiado
detallada, con exce sivas clases, lo que complica la catalogación de algu-
nos controles.
El Com ité I nte rn ac ion al de Prá ctica s de Au ditor ía (CIPA), e n el
Addendum 1 a la NIA 6, denominado “Evaluación de riesgos y control
interno. Cara cterísticas y consideraciones de PED” 2 propone la siguiente
clasificac ión:
2
Comité Internacional de P rácticas de Auditoría, ob. cit., pp. 465-473.
69
 Controles gene rales de PED.
• Controles de organizac ión y administración.
• Desarrollo de sistemas de aplicación y controles de mantenimiento.
• Controles de operación de computadoras.
• Controles del software de sistemas.
• Controles de entrada de datos y programas.
 Controles de aplicación de PED.
• Controles sobre d atos de entrada.
• Controle s sobre el proce samiento y sobre archivos de datos en la
computadora.
• Controles sobre lo s datos de salida.
Esta clasificación del CIPA, por el contrario, es de masiado general y
evidentemente care nte de mencionar ciertos controles de gran importan-
cia; pero muestra también gran coincidencia con la prop uesta en esta obra.
D. H. Li muestra otra clasificación, sin contradiccione s con las ya ex-
puestas, pero mu cho más general:
 Controles g erenciales.
 Controles de sistemas d e información general:
• Controles de diseño, desarrollo y mantenimien to de sistemas.
• Controles de operaciones.
 Controles de aplicación.
 Controles de tecnología.
Esta breve revisió n indica que puede haber diferencias de matices, de
ciertos enfoques, p ero no contradicciones ni visiones irr econciliables entre
diferentes autores y organizaciones.
Antes de concluir este capítulo se hacen necesarias u nas palabras fina-
les de carác ter general.
No se han analizad o todavía otros controles generales para las áreas de
procesamiento elec trónico de datos (Controles Generale s de PED, según el
Addendum 1 a NIA 6),3 como los con troles de acceso físico a las áreas de
proceso de datos, los controles de tipo legal, donde se establecen respon-
sabilidades por el acceso y uso indebido de los recurso s informativos, los
administrativos y o rganizativos, donde se establecen la s formas de acceso
a los recursos info rmativos y estos se regulan práctica mente en cada enti-
dad; las recomenda ciones de tipo cultural-educativo, donde las personas
3
Ibídem.
70
vinculadas a los m encionados recursos, reciben la inf ormación necesaria
sobre los recursos informativos y su conservación y protección; la existen-
cia de puertas y ve ntanas seguras, locales resistentes y bien construidos,
desagües adecuados, pararrayos, etc. En la sección sobr e seguridad y pro-
tección de la inf ormación se le dedicará atención a estos aspectos.
Igualmente será ne cesario analizar otro enfoque de lo s controles, desde
el punto de vista del llamado Control interno, el cual ha sido desarrollado
por siglos de práctica de la auditoría en general. Se analizará en un capítu-
lo dedicad o al tema.
Los controles men cionados (o los que se mencionarán en otras seccio-
nes de esta obra) f orman parte de un sistema general de controles para el
procesamiento electrónico de datos de la entidad o en particular para cada
uno de sus aplicaciones. Como se mencionó, deben diseñarse y aplicarse
con un criterio de costo-beneficio, muy relacionado con las características
de los recursos informativos que se desea proteger y con las posibilidades de
la entidad dueña de esos recursos. El auditor (interno o externo) tiene la
responsabilidad de evaluar en su trabajo, la necesidad de la existencia de
esos controles y su aplicación real y práctica. Tiene la obligación de realizar
la protección de los activos informativos de la entidad. Debe llevarlo a cabo
durante el proceso de diseño o adquisición de una aplicación informática
(en caso de que tenga esa oportunid ad y reciba esa tarea) o durante su
explotación. En am bos casos, en otras secciones de esta obra se abordará
nuevamente el tem a de los controles y su aplicación y evaluación.
El director de informática de la corporación se encu entra con el audi-

tor y le pregunta sobre la última auditoría realizada en una de las grandes
tiendas q ue posee.
–Hay mucha s violaciones de precios –le con testa el auditor–; no sé

cómo es posible que ocurra, si se supone que los precio s se fijen central-
mente aquí, en las bases de datos maestras de productos.
–Es que hemos tenido que permitir que den de alta a algunos produc-
tos e n forma descentra lizada, y el sistema info rmático n o cheque a que
esos productos tengan el precio correcto.
–¿Cómo es posible eso? Si permiten que eso suceda vendrán a monto-
nes los fraudes de precios, como ya comienza a ocurrir, y ya ves que hasta
en la prensa están apareciendo quejas por las difere ncias en precios.
71
–Sí, pero es que n o podemos llenar los sistemas de “policías”, pues
entonces todo se demoraría mucho.
–¿Cuándo dices “po licías” te refieres a controles? Yo creo que debes
reconsiderar ese criterio, pues los controles son necesarios para la cali-
dad de la información.
–El problema e s que le quitan la rapide z al sistema.
Pre gunt as
1. La tarjeta que los trabajadores marcan en un reloj, para registrar su
entrada y salida d e su trabajo, ¿es un control, acord e a las definicio-
nes dadas en e ste capítulo?
2. Una computadora sin palabras de pase para su pro tección, situada
en una oficina de acceso abierto e indiscriminado, ¿se convierte en
causa de riesgo de pé rdida de información?
3. ¿Qué posible rie sgo enfrenta una empresa que no seleccione ade-
cuadamente a sus opera dores de computadoras?
4. Si no se entrena correctamente al personal en el uso de un nuevo
sistema informático de procesamiento contable, ¿a qué riesgo se en-
frenta la entidad?
5. En u n siste ma info rmático de pro cesamiento financier o, se e stán
encontr ando frecuen tes errores e n la informac ión procesad a. Cite
tres posibles causa s de esa situación.
6. La llegada de la temporada ciclónica en el país p uede ser causa de
riesgos de pérdid a de información. ¿Qué puede hac erse para evitar
esa situación?
7. ¿Resulta conveniente asegurar las bases de datos de una entidad contra
deterioros y pérdidas?
8. Diga tres medidas encaminadas a disminuir los rie sgos de pérdidas
por la acción de virus informáticos u otros pro gramas malignos.
9. ¿Las palabras de pase o contraseñas deben establec erse para toda la
vida, o al me nos para un largo períod o de tiempo?
10. ¿Por qué se deben comprar equipos de procesamiento de la informa-
ción fiables?
11. Diga tres posible s afectaciones que genere la falta de calidad de un
sistema in formático.
12. ¿Por qué el control tiene que ser económico?
13. ¿Se puede garantizar la seguridad de las bases de d atos de un siste-
ma, sólo con el emp leo de contraseñas?
72
14. ¿Cómo puede el au ditor apoyar al logro de una may or calidad en el
diseño de un sistema informático?
15. Mencion e tres medid as que garan ticen la ade cuada prueba de un
sistema in formático.
16. ¿Cómo puede garan tizarse que la información de en trada a un siste
ma informático esté autorizada para su p rocesamiento?
17. ¿Cómo puede gara ntizarse que un determinado listado con informa
ción de resultados llegue al destinata rio correcto?
18. ¿Qué finalida d tienen los controles de conciliación?
19. ¿Deben ser conser vadas en el sistema informático todas las transac-
ciones que este p rocese? ¿Por qué?
20. ¿Cómo se puede e stablecer un adecuado sistema de copias de segu-
ridad en las b ases de datos?
Analice, en el caso particular de su puesto de traba jo, cuáles son las

principales causas de riesgo que pueden producir afectaciones en las in-
formaciones que pr ocesa y propóngase un sistema de m edidas para dismi-
nuirlas o e liminarlas.
73
INTRODUC CIÓN
El presente capítulo 1 reitera y ha sta redunda en muchos aspectos rela-

cionados con el con trol, los riesgos y las causas de riesgo, pero lo hace
desde una perspectiva más clásica, más relacionada con el enfoque conta-
ble y financiero de l control, eso que los contadores y au ditores identifican
desde hace decena s de años como control interno.
Se de stacan cierta s situa ciones indese ables q ue ocur ren en los pr oce-
sos de control interno de alguno s sistem as info rmatiza dos con tables y se
prop orciona n recom endacio nes prá cticas que pu eden se r de utilidad para
contadores y auditores in ternos y extern os, par a consu ltores contables y
fina ncieros y para inform áticos d iseñado res de softwar e conta ble.
Se hace evidente q ue en la etapa actual de desarrollo humano, caracte-
rizada por el proc esamiento masivo de información po r sistemas compu-
tariza dos, incluso en las peq ueñas y medianas empresas, se requiere de
enfoques de contro l interno adaptados a esas nuevas te cnologías. En este
capítulo se recoge lo mejor del conocimiento humano so bre esta temática,
además de algunas experiencias personales. No se tien en grandes preten-
1
Unaversión de este capítulo ha sido publicada bajo el título “El control interno en los sistemas
informáticos de las pequeñas y medianas empresas”,en larevista Auditoría y Control, número especial
diciembrede 2003.
74
siones de novedad, pero todo lo que aquí se incluye pu ede ser muy útil a
los especialistas que se mencionan en el pá rrafo anterior.
DEBILIDADES EN EL CONTROL INTERNO DE ALGUNOS

SISTEMAS DE CONTABILIDAD COMPUTARIZADOS
La existencia de un buen sistema de control interno que desarrolle infor-

mación contable-financiera de calidad en una entidad, ha sido condición
indispensable para que se puedan con trolar eficazmente sus activos. Esa
aseveración forma parte del arsenal de axiomas de que disponen contadores
y auditores y ambos proceden o –se supone que lo hagan– a evaluar y me-
jorar constantemente dicho sistema para apoyar el traba jo de control e in-
formación de las en tidades en que laboran. Tan importan te se le considera
al control interno, que en ocasiones se hacen esfuerzos a nivel de país para
contribuir a su pe rfeccionamiento.2
Los principios y m étodos que rigen el diseño de los sistemas de control
interno, se ha n con solid ado d urante siglos de actividad conta ble y de
auditoría. Han evolucionado desde la época preliteraria hasta la actual era
de la información y el conocimiento. En cada época, se han adaptado a las
tecnologías imperantes de proc esamiento de la información. 3 La actual etapa
de desarrollo human o, caracterizada por la revolución informática y de las
comu nicacion es, no es una excepció n. Sin embargo , en esta época los
cambio s han sido tantos y tan sustan ciales, de sde la introducción de la
partida doble, en el Renacimiento, y del libro impreso en papel, que mu-
chos contadores y auditores han sido superados por esta marea inconteni-
ble que es la informatización.
De esa forma, algunos sistemas informatizados de contabilidad carecen
de buenos controles para garantizar la calidad de la información procesada.
2
Por ejemplo, considérese la“Comprobación nacional del control interno”, que periódicamente se
realiza en Cuba porla Asociación Nacional deEconomistas y Contadores deCuba y el Ministerio
de Finanzas y Precios. Además, se ha puesto en vigor en nuestro país la Resolución 297-2003
que norma y establece nuevos enfoques del control interno, haciéndoseeco de los conocidos
informe s COSO (EE.UU.), COCO (Canad á) y Turnbull (Reino Unido). En esa resolu ción se
establecen cinco componentes básicos del control: ambiente de control, evaluación de riesgos,
actividades de control, información y comunicación,y supervisión y monitoreo. El espíritu de esa
resolución, y de los mencionados informes y sus recomendaciones, están presentes en este libro.
3
Esto ha sido destacado por historiadores y muchos especialistas en auditoría. El autorde este
libro, desde su modesta posición, lo ha expuesto en congresos científicos y trabajos que ha
publicado,todos consignados en la bibliografía general.
75
Por ejemplo, en oc asiones el autor ha visto en algunas entidades cuentas
contables que adoptan saldos contrarios a su naturaleza –en la jerga de los
contadores cubanos “se viró la cuenta”–, como por ejemplo, una cuenta
de inversión estatal –equivalente en c iertos aspe ctos, como se sabe en
Cuba , a la cuenta de capital de otras socieda des–, c on sald o deudo r al
prin cipio d e un ejercicio contab le. Otro ejemplo que h a podid o detec tar,
son cuentas de algun os activos c irculantes con sa ldos acreed ores tam-
bié n al inicio de un perío do co ntable . Amb as situacion es se produ cen
por debilid ades en el sistema de control intern o, no a daptado a la n ueva
situ ación d e infor matizac ión.
Otra situación que se ha podido detectar, ha sido la existencia de medidas
de control interno típicas de sistemas manuales de procesamiento de la infor-
mación (basados en la existencia de libros, tarjeteros, registros sobre papel y
otros medios similares), pero que en condiciones de informatización se con-
vierten en lastres burocráticos que entorpecen la operatividad del sistema y
que además tampoco garantizan la calidad de la información que procesan.
Una tercera situa ción lamentablemente habitual es e ncontrar sistemas
informáticos que n o incluyen medidas de control inte rno como parte del
sistema informá tico. Por e jemplo , uno de ellos, b astan te dif undido en
América Latina, pe rmite borrar comprobantes de diario erróneos, sin con-
siderar la ce ntenaria y saludable práctica de invertir el asiento para cance-
lar su efecto. Otro s sistemas tienen chequeos de valida ción débiles, o no
incluyen controles de precedencia, integridad de la inf ormación y comple-
titud para evitar q ue ocurran cierres contables sin antes haber procesado
todas las o peraciones.
En una ocasión, un a entidad, celosa de la protección que debía propor-
cionarles a sus rec ursos informativos, dispuso un complejo sistema de con-
traseñas par a impedir el acc eso no a utoriza do a las bases d e datos; sin
embargo, las misma s se encontraban creadas en el clá sico formato .DBF
de los sistemas xBASE, y los disquetes con las copias de dichas bases se
podían encontrar e n la misma mesa de la computadora que las almacena-
ba, sin prote cción alguna.
Situaciones como las ejemplificadas no son las única s, son sólo algu-
nas de las encontra das por el autor en su trabajo diario, pero son suficien-
tes para evidenciar que muchos sistemas actuales no tie nen un control in-
terno fuerte, que muchos contadores y auditores no h an comprendido la
verdadera naturalez a de las nuevas tecnologías de proce samiento de infor-
mación y conocimie ntos y que muchos informáticos car ecen de la forma-
ción contable, orga nizativa y gerencial necesaria para in cluir los controles
requeridos en los sistemas que elaboran.
76
VIEJOS CONC EPTOS, NUEVOS ENFOQUES
Se acepta que:
El control inter no es el sistema interior de u na compañía que
está integrado por el plan de organización, la asignación de
deberes y respon sabilidades, el diseño de cuen tas e informes y
todas las medid as y métodos empleados: 1) pa ra proteger los
activos; 2) obte ner la exactitud de la contabilidad y de otros
datos e informes operativos; 3) promover y juz gar la eficien-
cia de las opera ciones de todos los aspectos de las actividades
de la compañía, y 4) comunicar las políticas ad ministrativas, y
estimular el cu mplimiento de las mismas […] Incluye mucho
más que el sistema contable y cubre cosas com o las prácticas
de empleo y entrenamiento, control de calidad , planeación de
la producción, políticas de ventas y auditoría interna. 4
Otro autor clásico, W. B Meigs expone complemen tariamente que “…el

control interno está forma do por todas las medidas que se toman para
suministrar a la a dministración la seguridad de que to do está funcionan-
do como debe”.5
Ambos planteamien tos mantienen su vigencia en los momentos actua-
les, a pesar de que estos textos citados se escribieron hace más de treinta
años. La Norma Internacional de Auditoría (NIA) No. 6 del Comité Inter-
nacional de Prácticas de Auditoría,6 ratifica eso s conceptos.
Es aceptado tambié n que el control interno se divida en dos categorías:
controles administrativos y contables. Los primeros son procedimientos y
métodos que se relacionan sobre todo con las operaciones de una empresa y
con las directivas, políticas e informes administrativos. Incluyen el llamado
plan de organización, los procedimientos y registros que se relacionan con los
procesos de decisión que conducen a la autorización de operaciones por la
administración. Los segundos consisten en los métodos, los procedimientos y
el plan de organización, que se refieren sobre todo a la protección de los acti-
vos y a asegurar que las cuentas y los informes financieros sean confiables.7
La introducción de los sistemas informatizados no ha cambiado en nada
el espíritu de esos conceptos, al menos en lo referido a las consideraciones
4
Auditoría, ob. cit., pp. 207-208.
5
W. B. Me igs: ob cit., p. 168.
6
El autorconsultó unaexcelente edición hecha porel Instituto Mexicano deContadores Públicos,de 1995.
7
Auditoría, ob.cit., pp. 207-208.
77
conta bles, ec onómicas y financ ieras. Ya se ha ido recono ciendo q ue la
información, el con ocimiento y el capital humano en gen eral, son los acti-
vos más importante s de una entidad.8
Ha cambiado también la forma en que se debe implementar y aplicar el
control interno. Sí ha cambiado la manera en que se debe concebir las medi-
das y acciones de control interno. No olvidar que un sistema informatizado
contable no es un sistema manual (formado solamente por seres humanos)
ni automático (integrado totalmente por máquinas): es un sistema hombre-
máquina, con todas las implicaciones filosóficas y prácticas que esto tiene.
Es ahí donde está la verdadera diferencia entre la era preinformática y la era
informática y de las comunicaciones. Es ahí donde debemos centrar la aten-
ción, donde se exigirá de nosotros despojarnos de prejuicios y de criterios
preconcebidos y consolidados en nuestras mentes por siglos de aplicación
de métodos, criterios y estilos de trabajo condicionados por la utilización de
formas de procesamiento de la información, ya superadas.
Las computadoras han demostrado que pueden efectuar satisfactoria-
mente, y en ocasiones incluso mejor que el ser humano, muchas tareas de
procesamiento de la información y de toma de decisiones. Emplearlas sola-
mente en tareas rutinarias de procesamiento de datos de bajo nivel (cálculos
más o menos complejos, ordenamiento de información, almacenaje, etc.), es
subu tilizarlas. Y c uando su butiliza mos a las compu tadoras, lo hac emos
también con los h ombres que las rodean, pues esto s deben hacer –habi-
tualmente en forma menos eficiente– las tareas que las máquinas pudieran
hacer –más rápida y eficientemente– y no hacen. Dicho en otras palabras,
toda la eficiencia integral del sistema disminuye. Hace ya más de cincuenta
años que un gran adelantado, Norbert Weiner, conocido por muchos como
el “padre de la cibernética”, por sus aportes a esa ciencia, dijo ese gran
aforismo que reza: “Dad al hombre lo que es del hombre y a la máquina lo
que es de la máquina”.
Con referencia al control interno, muchas tareas, tanto de los controles
ad ministra tivos co mo co nta bles, de be n ser re aliza das po r el siste ma
computarizado y de ben reservarse al hombre algunas q ue la computadora
no pueda realizar.
8
Como se expresaen otros capítulos de esta obra, la contabilidad clásica todavía desconoce esas
realidades de laactual erade la información y el conocimiento. Para comprobar esto basta con
revisar el sistemacontable de ciertos países.Mucho se ha escrito sobre el tema y el autor de este
libro también hizo su modesto aporteen el Congreso Internacional “INFO 2002” y lo publicó en
el trabajo “Información, conocimientos y economía. Reflexiones sobre el valor y el costo de los
recursos informativos”, consignado en bibliografía.
78
El problema estrib a entonces en diseñar un sistema informatizado con-
table que tenga la suficiente solidez como para que la parte computarizada
asimile ciertas tar eas de control, las más estructuradas, las más relaciona-
das con el proceso automatizado de la información; y la parte humana el
resto de las tareas, aquellas que requieren de más creatividad, o de habili-
dades típicam ente humanas.
Que algunos siste mas informatizados contables tenga n controles débi-
les, no quier e decir que todos los deba n tener así. En definitiva los sistemas
manuales llevan miles de años de desarrollo e igualmente tienen debilida-
des e insuf iciencias.
Hay que trabajar p recisamente en el fortalecimiento de esos controles,
para elaborar siste mas informatizados sólidos y fiables. En ello, los conta-
dores y auditores tienen una responsabilidad indelegable, pues los infor-
máticos necesitan de sus conocimien tos técnicos p ara poder expr esarlos
en mejores programa s de computadoras.
Seguidamente se p asará a exponer soluciones concre tas a cada uno de
los aspectos relacionados con el control interno.
LOS PRINCIPIOS DE CONTROL INTERNO EN LOS

SISTEMAS INFORMÁTICOS C ONTABLES: NUEVA VISIÓN
Un ade cuado siste ma de control interno comienza p or la definición

clara y sin cuestio namiento alguno, de la responsabilidad de diseñarlo y
manten erlo, para que produzc a información confiable y oportun a. Esa
responsabilidad pertenece a la administración de la entidad. 9
Para que la administración pueda asumir esa responsa bilidad, debe apo-
yarse en dos especialistas idóneos para esa función: el contador y el audi-
tor interno, aunque también puede utilizar a algún consu ltor externo. En el
caso de un sistema informatizado, donde el control interno se comparte
entre los programas de computadora que integran el sistema y las personas
que trabajarán con él, se impone la definición de los re quisitos de control
desde el momento de la elaboración del sistema o desde el análisis de los
disponibles en el mercado para su compra. Elaborar un sistema o comprar-
lo sin considerar los requisitos reales de control inter no de la entidad es
una gr an irrespon sabilidad, pues despué s de termin ado o de co mprado
resulta prácticamen te imposible su adecuación. Por ello , la administración
9
Auditoría, ob. cit., pp. 209-212.
79
o gerencia, debe pr opiciar y exigir que sus máximos esp ecialistas en con-
tabilidad y auditor ía participen en la elaboración del sistema o en la eva-
luación para su adquisición.
Resulta asombrosa la cantidad de entidades que adquieren costosas li-
cencias de software contable, resultando después que no pueden utilizarlo,
porque no se adecu a a sus requisitos informativos y de control interno.10
En relación con la responsabilidad de la administració n sobre el control
interno en los sistemas informatizados, debe tenerse en cuenta también el
concepto de certeza razonable, el cual se vincula al análisis costo/benefi-
cio que debe realiz arse al sistema de control. Este deb e ser económico. Un
sistema computariza do contable extremadamente caro tal vez no se justifi-
ca. Todo dependerá del valor de la información que se deba proteger. La
administración, ase sorada por sus especialistas en contab ilidad y auditoría,
debe analizar hasta dónde incurrir en esfuerzos de control, y consecuente-
mente en gastos, pa ra proteger la certeza de las inform aciones que se pro-
cesan.
Algo más que debe considerar la administración con r elación al control
interno y a su resp onsabilidad, es el aseguramiento de que los cambios que
se hagan al sistema de contabilidad computarizado, a lo s efectos de mante-
nimiento, sean justificados técnica, organizativa y ec onómicamente. Para
ello es una práctic a sana el que dichos cambios estén a probados, o incluso
dirigidos, p or el contador y el auditor interno.
Otro aspecto que debe atender la máxima responsabilidad de la enti-
dad, es la estimu lación para el surgimiento y florecimiento de una cultura
de control interno y de protección de los recursos info rmativos y de cono-
cimiento de la entidad. Cuando todos los empleados han interiorizado la
importancia d el control interno, lo valioso que resultan las bases de datos y
el software, lo nec esario que resulta cumplir con los planes y procedimien-
tos establecidos, e ntre otros elementos a considerar; el control interno se
hace más efectivo. Par a garantizar e sto, no basta con declaracio nes por
escrito o verbales en alguna reunión. Se requiere de un trabajo cultural,
administrativo y or ganizativo; del ejemplo, el chequeo, el apoyo sistemáti-
co. Todos los empleados deben ver y sentir que la administración concede
una gran importancia al control interno y a la seguridad y protección de los
10
En investigaciones que el autorha realizado y en cursos que ha impartido,ha escuchado más de
unavez, las amargas quejas de gerentes, funcionarios, contadores y auditores, referidas aque “el
sistema quecompraron”, caro, complejo y por lo general defirmas internacionales, no soluciona
los problemas. Cosas así ocurren porque adquieren un producto sin evaluarlo adecuadamente y
sin analizar sus verdaderas necesidades informativas y de control.
80
recursos informativ os, que aprecien que ellos piensen y actúen igual y que
de no hacerlo enfr entarán consecuencias a dministrativ as y hasta legales
por ello.
Los aspe ctos culturales deben apoyarse en el plan de org anizac ión,
documento en el qu e deben definirse las responsabilida des y la autoridad
de aq ue llo s v in culado s a los pro ce sos y pr oce dim ien to s d el siste ma
computarizado contable; así como los medios materiales necesarios para
asumir esa resp onsabilida d y para e jercer esa autorida d. Ese doc umen-
to debe ser amplia mente discutido y aceptado por todos los implicados, y
debe ser el soporte administrativo para el chequeo y ap oyo sistemático al
control interno.
Un aspecto clásic o en el control interno desde tiem pos inmemoriales,
es la separación de funciones incompatibles. Se plantea en general que las
funciones de ejecu ción y custodia deben mantenerse separadas de las de
registro. ¿Cómo se manifiesta este principio en el caso de sistemas conta-
bles computarizado s? Por supuesto, se cumple en su aspecto clásico: por
ejemplo, quien pag a la nómina no debe participar en su elaboración. Sin
embarg o, debe amp liarse para reconocer las nuevas r ealidades. Veamos
alguna s recomendac iones adicio nales:
• Los ana listas de sistemas y prog ramadores qu e confeccion aron el
sistema no deben ser sus operadores.
• El custodio de la versión original y operativa del sistema no debe ser
uno de sus opera dores, ni uno de sus elaboradore s, ni tampoco el
contador. Igualmen te debe ocurrir en el caso del custodio de las ver-
siones de seguridad d e las bases de datos.
• Los cambios al sistema, sea por nuevas necesidade s de la adminis-
tración, sean por cambios en el sistema contable nac ional, sea por la
introducción de nuevo hardware o de nuevo software básico o por
otras consideraciones técnicas, deben ser solicita dos y aprobados o
no por la administración y por sus delegados, el co ntador y el audi-
tor. Las nuevas ve rsiones sustituirán a las antiguas en todas las má-
quinas en un pro ceso cuidadosamente controlado p or el contador y
el auditor, incluyendo, por supuesto, la versión de seguridad.
• Las personas que alimenten al sistema contable computarizado con los
datos primarios, no deben ser los utilizadores de la información final ya
procesada. Para lograr esto, el sistema computarizado debe ser integra-
do. Por ejemplo, la función “Elaboración de la nómina” debe servir no
sólo para confeccionar la nómina de salarios y sueldos del personal,
sino también para elaborar automáticamente el comprobante de gastos
81
por el mismo concepto. Otro ejemplo de comprobante au tomático
puede ser e l de la depreciación mensual y su acumula ción de los
activos fijos.
• Sólo las perso nas autor izadas po drán consultar las informac iones
procesadas po r el sistema.
• Los operad ores de l sistema com putariz ado no podrán manip ular
indiscriminadamen te las bases de datos. Incluir un dato, modificarlo
o darle de baja son operaciones, que sólo podrán ser realizadas cuando
exista la autoriza ción expresa (ver más adelante) y de la cual deberá
quedar constancia . El software será diseñado de tal manera, se impi-
da cualquier manip ulación indebida.
• Las copias de seg uridad de las bases de datos o d e cualquier otra
información que lo justifique, serán hechas autom áticamente en los
momentos o perío dos que se hayan determinado du rante el proceso
de diseño. Los cu stodios tendrán la responsabilida d de conservarlas
en lugar seguro, previamente acordado con la administración y sus
delegados, el contador y el auditor.
Es posible que en casos particulares de determinadas entidades o deter-
minados sistemas c omputarizados, se exijan otras medidas adicionales de
separación de funciones, pero las esbozadas representan una lista bastante
completa.
El principio de control interno de la autorización gene ral y específica
se manifiesta con mucha fuerza también en los sistem as computarizados
contables. Debe qu edar claro en el caso de cada opera ción computarizada
o manual, quién es el funcionario que autoriza la operac ión, tanto desde el
punto de vista de su cargo como de la persona específica . En el caso de los
sistemas computarizados, esa autorización toma forma explícita mediante
el establecimiento de un procedimiento riguroso de con traseñas seguras,11
relacionado con la jerarquía y desempeño de cada func ionario y empleado
que intervenga en la operación del sistema, la alimentación de los datos
primarios, la utilización de la información y la custod ia de las copias de
bases de datos y de versiones de segurida d del sistema.
Otro principio de control interno que adopta formas peculiares en el
caso de los sistemas computarizados, es el de ejecución de las transaccio-
nes. Como es conocido , el término “transacción” se refie re tanto al inter-
cambio de activos y servicios entre la entidad y grupos internos y dentro
11
Sobrecontraseñas seguras se haescrito mucho. Véase, porejemplo, los artículos de J. Coira, y
de S. Arbona y D. Matos, consignados en bibliografía.
82
de la propia entidad.12 El diseño de l sistema computarizado contable debe
garantizar automáticamente:
• Que todas las transacciones que se produzcan se procesen. Para ello
deben establecerse chequeos automáticos de transacciones complemen-
tarias (por ejemplo, todas las solicitudes de materiales del almacén de-
ben ser igual a la suma de las entregas de materiales del almacén y a las
denegaciones por diferentes causas: ninguna puede perderse). Si al-
guna falta, la co mputadora debe emitir un mensaje reclamándola, y
reflejar su ausenc ia en las bases de datos de transa cciones faltantes.
• Que ninguna transacción indebida se procese. También aquí puede
utilizarse el método de las transacciones complementarias (por ejem-
plo, ningún trabajador que no haya asistido al menos un día al trabajo,
podrá aparecer en la nómina de sueldos y salarios). Si algo indebido
se intentara procesar, la computadora debe emitir un mensaje alertando
esa situación y re flejar el incidente en las bases de datos de transac-
ciones indebidas, recogiendo también la contraseñ a del funcionario
que intentó introdu cir la transacción.
• Que ninguna tran sacción procesada se pierda. De ben conservarse,
como mínimo, el tiempo que la legislación naciona l establezca. Por
ejemplo, en Cuba son cinco años, al igual que en Bolivia y en otros
países de América.
• Que sólo se procesen las transacc iones q ue cuen ten con la autori-
zación debida. Pa ra ello se utilizará la con traseña que identifica a
cad a func ionar io o e mplea do. De be ex istir una c orresponden cia
“con traseña de cad a funcionario o emple ado-tip o de tr ansacción”.
Esa corresp ondencia se pr ograma, por lo que su cheque o, será au-
tom átic o.
Adicionalmente, se deben establecer también controle s para garantizar
el registro adecuado de las transacciones, en otras palabra s, registrar las
transa cciones qu e se realicen en una forma cor recta, lo cual inclu ye la
cantidad apropiada, la c uenta adec uada y hac erlo dentro de un tiempo
razonable, después de consumarse el hecho económico que la generó. Ello
puede lograrse incluyendo en el sistema computarizado controles de valida-
ción de razonabilidad, de rango, de fechas, contra bases de datos maestras,
de tipo de campo, etc.; que disminuyan lo más posible la introducción de
errores o fraudes. Si se usan documentos prenumerados para recoger los
12
83
datos p rimarios, debe n incluirse el chequeo de e sa prenumeración para
llamar la atención sobre documentos faltantes o duplica dos. Estos y otros
posibles controles, darán una alta probabilidad de gar antía de que se ha
hecho el reg istro adecuado de las tr ansacciones.
El uso de redes d e computadoras, que permiten la ub icación de máqui-
nas en los lugares donde se realizan los hechos econó micos –los almace-
nes, los departamen tos productivos, entre otros–, ha po sibilitado que cada
día el trabajo inte ractivo en tiempo real –procesar cad a transacción en el
momento en que se produce– gane mayor preponderancia sobre el trabajo
en lotes, típico de una época en que se utilizaban grandes mainframes con-
centrados en centros de cálculo. Debido a ello, métodos de validación como
la suma control, para garantizar la completitud de cada lote, están perdiendo
importancia técnica día a día, por lo que no merece comentarlos aquí.
Se debe también llamar la atención sobre el hecho de que la inconteni-
ble reducción de precios del equipamiento informático, su progresiva minia-
turización, el desarrollo de equipos para conexiones no cableadas (Wireless),
la producción de laptops, palmtops y teléfonos celula res con conexión a
internet, propician las condiciones técnicas y económic as necesarias para
reducir lo más posible e incluso eliminar, el uso de do cumentos sobre pa-
pel en el trabajo e conómico, contable y financiero de las entidades. Ello
exigirá modificar aún más los procedimientos de contr ol interno, por lo
que las recomendac iones que aquí se hacen adquirirán mayor validez en
esas condiciones
Quizás sea difícil para personas, que han crecido en una cultura en la
cual el papel ha sido el soporte de información por excelencia durante si-
glos, pensar que pueda ser eliminado de la actividad económica o al menos
perder su protagonismo. Pero nadie se preocupe: así será, y será para mejo-
rar. Cuando el autor ha expuesto esta idea en sus clases o en otros foros, y
alguien le pregunta, “Entonces, ¿cómo podrá ser posible controlar los he-
chos económicos?”; siempre le responde con otras preguntas, “¿Acaso no
estamos sepultados en papel y no tenemos apenas control en muchas activi-
dades económicas?”; “¿Ha podido el papel, y de él los innumerables for-
mularios que se llenan, con copias y más copias, evitar los robos, los des-
víos de recursos, los fraudes?”. Es que son las acciones de los hombres, y
no los documentos en papel, las que producen –o no– el control sobre los
hechos económicos.
Otro principio importante de control interno es el acceso a los activos.
En la era de la informatización y la comunicación en que nos encontramos,
este principio gana cada vez más importancia, pues actualmente aparece un
nuevo tipo de activo que requiere también de protección y de seguridad:
84
son los activos inf ormativos y de conocimientos, como las bases de datos,
el software d e aplicación, los sitios d e internet e intranet par a intercambio
de cono cimientos. La administración de una entid ad debe trabajar para
garantizar la segur idad y protección de este tipo de ac tivos. Más adelante
se ahondará en el tema; sólo se expresará aquí que la a dministración debe
estudiar esa proble mática para elaborar y aplicar un plan de seguridad de
los recursos inform ativos, que debe consistir en siete tipos de medidas o
acciones: de seguridad por software, para la compra e instalación de equi-
pos seguros y fiables, de construcción y reconstrucción d e locales, legales,
administrativas y o rganizativas, relacionadas con la se lección y la forma-
ción adecuada del per sonal, y culturales.
La calidad y el entrenamie nto del perso nal es o tro prin cipio bá sico
del control interno . Es ac eptado por todo que el éxito de cualq uier siste-
ma d e contr ol inte rno, de pende d el per sonal c alifica do, de su adec uada
sele cción, y del e ntrenamiento co nvenien te. 13 Es importante re iterar que
en e l caso de lo s sistemas c omputar izados conta bles, deben entren arse
muy bien en el uso del sistema, no sólo sus ope radores, sino el contador
y to dos los emplea dos y f unciona rios que utiliz arán la inform ación; para
pode r explotarlo en su máx ima pote ncialid ad. En muchas o casione s el
auto r ha ev aluado comple jos sistemas c ontable s a los que sus usua rios
principa les no le e xtrae n toda s las info rmacio nes p osibles, po r sim ple
desc onocimiento de cómo hacerlo o porq ue no saben có mo utilizarla s en
la g estión. Ello re sulta imperdona ble.
En relación al pe rsonal y a su entrenamiento, es recomendable la varia-
ción y rotació n de trabajos. Es una pro puesta razonable (aunqu e difícil de
aplicar en empresas pequeñas) y nadie se opondría a ello, pero en el caso
de los sistemas co mputarizados contables habría que h acer una acotación
para mantener la seguridad y protección de los recurso s informativos: si
un empleado recibe la responsabilidad de trabajar en el sistema, y con ella
la contraseña que le autoriza a ello; cuando rote a otro puesto, esa contra-
seña d ebe ser in habilitada , para imp edir su utilización desde un p uesto
indebido.
Otro principio de stacado por muchos autores es la n ecesidad de tener
la documentación de utilización actualizada del sistema, para def inir cla-
ramente la autorida d y responsabilidad de cada uno de los implicados en la
ejecución de las tareas, la descripción de esas tareas y las formas de realiza-
ción, etc. En el caso de los sistemas computarizados contables, en ocasiones
13
Ibídem,p. 216.
85
se cuenta con la ay uda en línea o con algún CD con cier ta descripción del
sistema y sus actividades. También a veces cuentan c on un manual sobre
papel. Pero no es menos cierto que esa ha sido una gra n debilidad de los
sistemas com putarizados, al menos en Cuba: la ausencia d e documenta-
ción de utilización a decuada, o su desactualización. Sin docume ntación
actualizada el sistema no puede explotarse convenientem ente. Ello incluye
la renovación de lo s manuales, en el caso de nuevas ver siones del sistema.
Se puede llegar a extremos tales, como en el caso de los sistemas banca-
rios, de comp añías de aviación o de se guros, de que las empresa s que
contratan a los sistemas deban exigir no sólo información de explotación y
utilizac ión, sino de e laboración, pud iendo esta lleg ar a incluir h asta los
programas fuente. E llo le confiere un alto grado de conf iabilidad al siste-
ma qu e están explotand o, e incluso, ante cualquier situac ión impr evis-
ta –como la disolu ción de la compañía elaboradora– tienen la documenta-
ción necesaria para enfrentar esa contingencia. Por supu esto, si el sistema
se elabora internam ente en la entidad, hay que exigir a los elaboradores la
confección de manu ales de documentación de usuario y su actualización
ante cambios al sistema.
¿Son estas todas las adecuaciones que habría que hac erle a un sistema
de control interno para asimilar la informática? Por su puesto que no: cada
entidad requerirá su propio enfoque, su propio estudio, para adaptarlas a
sus condiciones particulares.
Finalmente, es pru dente reiterar algunas ideas: El sistema informático
debe implantarse d espués de haber realizado una profun da y seria evalua-
ción por todos los funcionarios implicados, incluyend o por supuesto, al
contador, al audito r y la alta gerencia. Sin un adecuado sistema de control
interno, el sistem a computarizado contable está sencillamente incompleto
y no puede utilizarse.
La corporación Xu bel ha adquirido un sistema info rmático para pro-

cesar sus informac iones administrativas, c ontables y financieras. Su di-
rector de informática, asesorado por sus mejores espec ialistas en compu-
ta ción , v aloró té cnicame nte varias pro puestas, y eligió el más efic az
informáticamente, aunque resultó relativamente caro. Después explicó su
decisión en el Con sejo de Dirección de la corporación . Se estableció un
plan de implantació n, donde se entrenó al personal. Se sustituyó el siste-
ma anterior y se comenzó la explotación del nuevo sistema.
86
En los siguientes meses, se comenzaron a detectar algunos problemas
en la información. La gerencia gene ral inquirió sobre e sas situac iones
con el contador y e l jefe del departamento de auditoría interna. Estos le
informaron que el sistema adquirido presentaba cierto s problemas en los
módulos de captación de datos, que impedían establece r controles efica-
ces sobre la información primaria, lo que motivaba que en traran datos
erróneos a l sistema.
El gerente genera l llamó al director de informática y le preguntó al
respecto. Este le expresó que no conocía nada sobre esa situación, que
nadie le informó sobre esa necesidad de controles y que ya no se podía
rectificar, a no se r que le contrataran a la empresa su ministradora la mo-
dific ación de l sistema , cosa qu e podría costar muy cara. El geren te le
preguntó entonc es al contador, y este respon dió que nadie le consultó so-
bre la adquisición del sistema. Ante la misma pregunta, e l jefe de auditoría
interna explicó que tampoco había sid o consultado.
–Bien, señores, ¿ qué recomiendan hacer entonces? –preguntó el ge-
rente general a los tres funcionarios.
El auditor jefe y el contador meditaron la respuesta, pero el informático
respondió rápidamente:
–Creo que lo mejor es contratar a la casa suministra dora la modifica-
ción. En tres meses ta l vez ya estará hecha.
Pre gunt as
1. ¿Por qué puede un a cuenta contable en un sistema informatizado de
contab ilidad, adq uirir un v alor contra rio a su na turaleza? ¿puede
existir, por ejem plo, una cuenta de inventario co n valor negativo?
2. ¿Un solo tipo de m edidas de control interno es sufic iente para garan-
tizar este?
3. ¿El sistema de co ntrol interno de una empresa dad a se limita a la
actividad contable?
4. ¿En qué cambia co n relación al control interno, la informatización?
5. ¿Pueden trabajar combinadamente las partes infor matizada y huma-
na de un sistema para garantizar el con trol interno?
6. ¿De quién es la máx ima responsa bilidad en u na entidad sobre su
sistema de con trol interno?
7. ¿Qué signific a el concepto de “certez a razonable”?
8. ¿Por qué es impor tante la existencia de una cultur a y una educación
con relación al control interno?
87
9. ¿En qué consiste el p lan de organización?
10. Los cambios a un sistema informático deben ser ap robados exclusi-
vamente por los programadores de computadoras, p ues en definiti-
va son los que pu eden hacerlos. ¿Está de acuerdo con esa asevera-
ción? ¿por qué?
11. ¿Por qué es impor tante que sólo las personas auto rizadas para ello
reciban la informació n que se les destina?
12. ¿Un sistema informático debe asimilar todas las informaciones que re-
flejen los hechos económicos de la entidad? ¿Bajo qué condiciones?
13. ¿El acceso a las computadoras de una entidad debe ser controlado?
¿Bajo qué p rincipios?
14. ¿Por qué es bueno rotar al perso nal que se ocupa del proceso de
información?
En la entidad d onde trab aja o estu dia, analice el sistema de co ntrol

interno existente, y trate de detectar tres posibles causas de riesgo de afec-
tación de los recu rsos informativos. Además, intente diseñar medidas de
control que reduzcan o eliminen esos riesgos.
88
INTRODUC CIÓN
Como ya se ha expu esto en otros capítulos de esta ob ra, la participa-

ción del auditor, sobre todo interno, en un ambiente de sistemas computari-
zados, debe comenza r durante el proceso de diseño o de adquisición de las
aplicaciones que se decida introducir e n la entidad. Ese es un c riterio gene-
ralizado, y apoyado incluso por el CIPA,1 con el que coinc iden otros auto-
res citados e n esta obra.
La lógica de tan temprana participación es irrebatible: par a que una
aplicación informática tenga incluidos todos los contro les que garanticen
su ca lidad, e l audito r deberá interve nir desd e las etapas iniciales d e su
proceso de diseño,y así evitar los excesivos costos de rediseño en que se
in cur re si in ter vie ne en etapa s p oster ior es. No siem pre el dise ñad or
informático advier te la necesidad de añadir unos contr oles que, según su
criterio , verd adera mente podr ían co mplic ar el dise ño de l sistema. Los
diseñadores tienden a concentrarse en las funciones prin cipales de la apli-
cación, a su inter fase con el operador, pero en ocasio nes suponen que la
explotación debe tr anscurrir sin dificultades ni proble mas, por lo que no
consideran necesario incluir controles. El auditor, sin embargo, tiene pre-
sente la necesidad de un sistema de control interno efic az, para garantizar
la calidad de la in formación que se utiliza en los estad os financieros y de
1
Comité Internacional de Prácticas de Auditoría, ob. cit., pp. 348, 357, 469 y ss.
89
otros reportes e in formes importantes para la dirección y control de la en-
tidad. Ese sistema de control interno, en una aplicació n informatizada, se
obtien e al incluir le el conjun to de contr oles mencion ado en el ca pítulo
correspondie nte, y ello debe hacerse desde las más tempran as etapas de
diseño y elaboración de l sistema informático.
Otras razones que justifican la participación del auditor en el diseño y
su elabora ción son:
• El auditor conoce muy bien la lógica económica, f inanciera, legal,
de dirección y co ntrol de la función que se autom atiza. Su conoci-
miento puede ser muy útil a los informáticos en el proceso de diseño,
los cuales no necesariamente poseen el conocimiento del auditor.
• Al p articip ar en el diseño del sistema, el auditor comp renderá me-
jor su lógica inte rna de este, lo que le posibilitará prepara r y ejecu-
tar mejores audito rías al propio sistema , una v ez que este se en-
cuen tre en e xplotac ión.
• El auditor será e n sí mismo, un elemento de balance en el proceso de
diseño y elaboración. Deberá exigir que se cumpla el sistema de con-
trol explicado en capítulos anteriores. Su opinión será muy valiosa
para la dirección de la entidad que desea introducir el sistema.
• Su participación dará un mayor balance al proceso de diseño: será
una contrapartida técnica importante para el diseñador.
Lógicamente, la p articipación del auditor estará mu y bien delimitada
por su propia espec ialidad y sus conocimientos técnicos básicos. Él no se
dedicará a evaluar, por ejemplo, si la utilización de un algoritmo de orde-
namiento y clasificación empleado para organizar determinada informa-
ción, es mejor que otro; o si el uso de un lenguaje de programación es más
eficiente que otro . Ambos problemas son típicos de la esfera profesional
del informático. El trabajo del auditor se enfocará hacia las cuestiones ya
mencionadas más de una vez en esta obra: la esencia ec onómica, financie-
ra, legal, de dire cción y de control de la aplicación que se automatiza.
Igualmente sucede ría en el caso en que se decida ad quirir el sistema
informático median te compra, cesión u otro método. El papel del auditor
como contrapartida técnica de los vendedores será mu y importante para
garantizar que el producto que se adquiera responda a los requerimientos
de la entidad.
Este tipo de au ditoría forma parte de otra má s general, la Auditoría a la
función in formática, pero por su importancia a los efectos de una aplica-
ción en particular, se está analizando independientemen te en esta obra. En
90
un capítulo posterior, se analizará la auditoría a la fun ción informática en
sus restantes compo nentes.
Para desa rrollar las tarea s que se están describiendo, el aud itor debe
poseer los conocimien tos y habilida des mencionad os en el capítulo co-
rrespondiente de esta obra. Entre estos mismos se encue ntra el conocer la
secuencia de trabajos que los diseñadores rea lizan durante las etapas de
creación y desa rrollo del sistema, llamadas genéricamente “ciclo de vida
del sistema”, y los resulta dos que deben ir logrando. A continuación se
presentarán alguna s variantes de ciclos de vida que pu eden ser usadas en
el proceso de diseño, y que el auditor debe conocer.
MODELOS B ÁSIC OS DE LOS CICLOS

DE VIDA DE LOS SISTEM AS INFOR MÁTICOS
Como ya se ha exp resado, las aplicaciones informá ticas tienen un ciclo

de vida, de sde su n acimiento hasta el mome nto de su sustitución. Este
ciclo se compone d e una serie de etapas y fases suce sivas, pero muchas
vece s inte rpenetradas, donde los diseñador es rea lizan d iversa s tare as y
obtienen distintos resultados, como programas o docu mentos. Asimismo,
los usuarios o clientes también deben r ealizar ciertas acciones físicas, eco-
nómicas, de análisis y de toma de decisiones, para aseg urar la calidad del
sistema que se diseña.
Existen div ersos mo delos d e ciclo s de vida, tod os asociados co n el
para digma d e traba jo que hayan e scogido desarr ollar los dise ñadores del
sistema. De hecho, cada equipo de elab oradore s puede elegir o diseñar
el c iclo d e vida que c onside re apro piado para c onfecc ionar el sistema
info rmático , y para garantizar la dirección y el contro l adecua do del pro-
ceso de diseño.
El modelo de ciclo de vida más difundido en la litera tura especializada
es el ciclo “en cascada”. En este, lo s diseñadores realizan una etapa o fase
del trabajo, obtie nen como resultado un documento o u n conjunto de pro-
gramas, y lo somete n a la aprobación de la dirección de la entidad, o sus
prin cipales usuar ios. Un a vez a probad o el do cumento en cu estión, los
diseñadores pasan a desarrollar la próxima etapa o fase del proceso. Este
concluye con la en trega del sistema y su mantenimiento (en función de lo
reflejado en los c ontratos o convenios). Es posible qu e en algún momento
del tr abajo, sea necesario regresar a etapas a nteriores para obten er más
91
información o modificar algo. En teoría, este “regreso ” debe ser una ex-
cepción en e l proceso.2
La figura 6.1 p ermite apreciar gráficamente este proceso.
Fig. 6.1. Modelo del ciclo de vida “en cascada”
Como se aprecia, el proceso nace con la existencia de un p roblema

informativo que deb e ser resuelto. Los problemas inform ativos en las enti-
dades son de la sig uiente naturaleza:
• Se necesita informac ión que no se tiene.
• La información que existe tiene errores e insuficiencias.
• La información llega tarde a los elementos que deb en tomar decisio-
nes o ejecutar pro blemas de control.
2
Existe mucha información sobre este tema. Uno de los primeros textos al respecto,que puede
considera rse hoy un clásico , es el Manual de los siste mas de información, de W. Hartman y
otros, Ed. Paraninfo, Madrid, 1975.
92
• Obtener la inform ación con los medios con que se c uenta está resul-
tando muy costoso.
• Se desarrolla una nueva función o tarea en la entid ad, y requiere un
nuevo sistema inform ativo que la apoye.
Ese problema informativo motiva a la dirección de la entidad a desarro-
llar un sistema informático o a adquirir uno (compra, cesión u otros medios).
Si se decide desar rollarlo, puede hacerse contratand o los servicios de
una consultora para elaborar software o hacerlo con ana listas, ingenieros
en software y programadores de la pro pia entidad.
En c ada uno de los rectáng ulos de la Fig. 6.1, a parecen los nom bres
de las etap as de trabajo que desarrolla n los d iseñado res par a ir pa so a
paso , y obtener, a l final del pr oceso, un sistema in formático en p leno
fun ciona mien to.
En la tabla 6.1 ap arecen los objetivos y resultados que se deben obte-
ner al final d e cada etapa.
Tabla 6.1
93
Fuente: Elaboración del autor.

Este modelo de ciclo de vida se ha convertido en el clásico de la teoría
informática. Sin embargo, la mayoría de las veces la práctica exige su modifi-
cación o adaptación. No siempre se puede esperar a tener perfectamente defi-
nidos los resultados de una etapa antes de pasar a otra. Tampoco se puede
esperar que los usuarios puedan expresar sus reales necesidades informativas
o puedan evaluar las verdaderas causas de su problema informativo. Muchas
veces se requiere de un trabajo profundo de investigación del equipo de dise-
ño, para interpretar las necesidades informativas de la entidad.
Para solventar alg unas de las insuficiencias de este modelo, se han di-
señado otros también interesantes y útiles.
Uno de ellos es el modelo de p rototipos.3 Un prototipo es un sistema
informático, modelo temporal, a su vez de ese otro sistema que se quiere
desarrollar. El prototipo tiene caracte rísticas funcionales análo gas, así como
similares informac iones que entran o salen del mismo. El prototipo puede
solucionar el problema informativo que motiva el diseño del sistema defi-
nitivo, aunque quiz ás lo haga menos eficientemente. El prototipo es simi-
lar al sistema info rmativo por los problemas que resuelve, por las funcio-
nes que desar rolla y por las informacio nes que utiliza; y es dif erente por la
forma en que lo ha ce y por el software que emplea. El objetivo final del
prototipo no es la explotación definitiva (aunque en algu nos casos se utili-
ce así), sino permitir que el usuario final aprecie en un modelo en pleno
funcionamiento, cómo oper ará el sistema info rmático de finitivo: podrá
apreciar cómo serán las salidas o resultados, qué infor maciones de entrada
requerirá y cómo d ebe proporcionárselas, qué impacto tendrá el sistema
en la organización , qué medidas concretas deben tomarse para implantarlo
y cómo funcionará la entidad con el sistema informático en explotación.
El prototipo se elabora con lenguajes de programació n de alta produc-
tividad (como los lenguajes de cuarta generación), que permiten diseñar el
3
Sobre el trabajo con prototipos, véaseuno de las primeras publicaciones sobre el tema de D.E
Klinger: “Rapid prototiping revisited”,revista Datamation,octubre 15 de 1986.
94
sistema e n for ma muy rápida, au nque quizás no sean ef icien tes en su
exp lotación.
En la elaboración del prototipo intervienen activame nte los usuarios,
pues el diseño se h ace con su participación, directamen te en la máquina y
realizando interac tivamente las modificaciones que ellos propongan, pro-
bando repetidamente el sistema con datos (reales o ficticios, pero adapta-
dos para la prueba) . Hay, pues, un ciclo de elaboración -prueba interactiva
hasta lograr la acep tación del usuario.
El ciclo de vida p or prototipos es apropiado para so lucionar problemas
informativos relativamente pequeños.
La fig ura 6.2 describe gráficamente en una forma más detalla da, el
proceso e sbozado.
Fig. 6.2. Modelo del ciclo de vida por prototipos
95
Los objetivos de c ada etapa, así como sus respectivo s resultados, son
similares a los exp uestos en la tabla 6.1, exceptuando, lógicamente, a la
etapa Diseño intera ctivo y prueba del siste ma prototipo, donde se realiza,
como ya se explicó, la confección y prueba interactiva d el prototipo con la
participación del usuario.
Es importante también el modelo basado en h erramientas CASE.4 Una
herramien ta CASE es un conjun to de programas de compu tadora (soft-
ware) y una metodología de trabajo con esos programas p ara diseñar siste-
mas informá ticos en forma autom atizada. CASE significa Computer aid
software en gineering, o Ingeniería de software con apoyo de computadoras.
El proceso de dise ño y elaboración de un sistema info rmático con herra-
mientas CASE es un proceso altamen te automatizado, y por tanto, muy
rápido y productivo. Se puede decir que la tend encia en el mu ndo del
software de aplicac ión es de utilizar este tipo de herr amientas y métodos
de diseño.
Existen muchos tipos de herramientas CASE, que desarrollan diferen-
tes funciones. Entre las más comunes se encuentran:
• Realizar determin ados tipos de diagramas: de clases, de flujo de da-
tos, de estructura de procesos, etc.
• Referir cada uno de los elementos de los diagrama s realizados a un
diccionario de datos.
• Describir cada uno de los elementos en el diccionario de datos. Con-
trol de nombres, alias, tipos de datos, estructura de datos, tamaño, etc.
• Describir cada uno de los procesos u objetos elementales o primitivos.
• Generar un código fue nte de esos procesos.
• Diseñar las bases de datos a utilizar. Aplicar la tec nología estableci-
da por el modelo de datos que se utiliza para realizar adecuadamente
ese diseño. Por ejemplo, si se utiliza el modelo rela cional de bases de
datos, el diseño ten drá en cuenta las formas normales para evitar
deficiencias.
• Generar, actualizar e imprimir la documentación de análisis y diseño.
El lector advertirá que el uso de un CASE reducirá considerablemente
o eliminará la nece sidad de la fase de programación en el ciclo de vida, por
cuanto los program as se diseñarán automatizadamente. Asimismo, se sim-
plifican algunas etapas y fases, como por ejemplo, la e tapa de Análisis de
4
Sobre el trabajo con herramientas CASE,véase Herramientas CASE. Metodología estructurada
para el desarrollo,consignado en bibliografía.
96
la situación existente, pues la documentación técnica se obtiene automá-
ticamente. También la etapa de Diseño detallado del nue vo sistema se sim-
plifica y se une c on la etapa de Desarrollo del nuevo sistema, ya que el
diseño y la programación se realizan simultáneamente. El resto de las etapas
y fases tienen características similares a las explicadas en la tabla 6.1.
La Fig. 6.3 muestra gráficamente cómo quedará el m odelo de ciclo de
vida usando her ramientas CASE.
El uso de una herramienta CASE simplificará el ciclo de vida y el trabajo de
los diseñadores, pero no cambia la esencia del diseño del sistema, de su docu-
mentación técnica de diseño y elaboración y de los programas que se elaboran.5
Fig. 6.3. Modelo del ciclo de vida usando herrami entas CASE
La adquisición de un software de aplicación para utilizar lo en la enti-

dad tendrá otr as implicaciones. Se reque rirá estu diar detenidamente las
características de diseño y utilización del software ante s de decidir su ad-
quisición y utiliza ción. Igualmente será necesario establecer ciertas condi-
ciones contractuales que garanticen los inevitables ca mbios que se debe-
rán realizar e n la etapa de Mantenimiento del sistema.
Un error frecuente en las entidades es adquirir softwa re sin evaluar sus
características téc nicas en forma adecuada, ni establecer garantías contrac-
tuales de modifica ción. Ello muchas veces invalida los beneficios de ad-
quisición (en ocasiones eso ocurre cuando se utiliza so ftware “pirata”, o
shareware, obtenido a través de las redes o directamente de sus autores).
5
Cfr. G. The Tao of Objects, de G.Entsminger, M&T Boos, 1995; “Herramientas CASE”, obra ya
mencionada; “Análisis y diseño orientado a objetos” de J. Martín y J. Odell, Prentice Hall, 1994;
“Object data management”, de R.G.G. Catell, Addison-Wesley Pub.Co., 1994.
97
En un caso u otro, el ciclo de vida es considerablemente más sencillo, pues
las etapas de diseño y programación dejan de ser necesarias. La Fig. 6.4 mues-
tra un esquema de este modelo.
Pueden existir otras variantes de ciclos de vida, pero las esenciales se han
reflejado aquí. El auditor debe conocerlas y dominar sus características para
permitir su trabajo durante el proceso de diseño y elaboración del sistema.
Fi g. 6.4. Modelo de ci clo de vida para la adquisi ción de soft ware mediant e com-
pra, cesión u otros medios
EL AUDITOR DURANTE LA ELABORACIÓN

O ADQUISICIÓN DEL SISTEMA INFORMÁTICO
La esencia del tra bajo del auditor durante los proce sos de creación o
adquisición de un sistema informático, ha sido descrita ya en algunas sec-
ciones de esta obra , incluso en este capítulo. Ahora se d etallará minuciosa-
mente, de manera q ue se comprenda en forma práctica qué debe hacer ese
profesional en esas etapas del ciclo de vida de un sistema.
Como ya se expresó, una de las tareas básicas del auditor, es garantizar
que el sistema que se está diseñando o en proceso de adquisición procese la
información con un alto nivel de calidad y ofrezca un grado aceptable de
certeza sobre la situación económico-financiera de la entidad y los hechos
económicos acaecidos. Para ello debe aportar sus conocimientos y expe-
riencias, como un consultor independiente del equipo de diseño, y colaborar
con sus sugerencias o exigencias técnicas.
98
En el capítulo 4 se ab ordó el tema de los controles de desarrollo aplica-
dos durante los pro cesos de elaboración o adquisición d el sistema, y nece-
sarios en cada una de las etapas y fases de esos procesos. Se mencionaron
los siguientes subcon juntos de controles:
• Controles de a nálisis de factibilidad técn ico-económica.
• Controles de an álisis detallado de la situa ción existente.
• Controles de diseño detallado.
• Controles de desarro llo y programación.
• Controles d e pruebas e implantación.
• Controles de m antenimiento.
El auditor es el encargado de explicar el porqué de su necesidad, las
causas de riesgos q ue los motivan y los riesgos que se crearían de no utili-
zarlos. El informá tico de berá so lucionar el pro blema técnico de su d ise-
ño y su inc lusión en el sistema c omo par te del mismo. El tand em Aud i-
to r-Dise ñad or info rmá tic o ( y o tro s u sua rio s fu nda men tales, co mo el
contador), contrib uirá mu cho a la calidad del sistem a que se elabo ra o
adq uier e.
Otra tarea del aud itor será actuar como un asesor ind ependiente (ya sea
interno o externo) encargado de evaluar el trabajo del equipo de diseño o
de la entidad vendedora, y de trasladar sus criterios a la Direcc ión, a la que
apoyará y asesorará en las decisiones que ésta deba tom ar sobre el proceso
de elaboración o ad quisición del sistema informático. Su asesoría, se reite-
ra, se limita al ca mpo de su competencia: la contabilida d, las finanzas, la
dirección y el control.
Las principales de cisiones, en cada una de las etapa s del proceso, se
muestran en la tabla 6.2.
Tabla 6.2
99
Fuente: Elaboración del autor.
Del trabajo conjunto del equipo dirección de la entidad-auditor-diseñador

informático, se obtendrá un sistema informativo útil y eficiente, con gran
calidad y perfectamente auditable durante su explotación.
C aso 5 para me dit ar
–Mira lo que bajé de internet –le dice Pepito, el in quieto y excelente

informático de la e mpresa Salmex, a su jefe Ramón, dire ctor de Informáti-
ca–, es un sistema co ntable qu e está muy bueno, pues es rapidísimo y
tiene mucha s opciones.
–Tenemos que mostrárselo a la gente de Contabilida d y de Auditoría
para ver si les sirve –le responde su jefe.
–¿Por qué, acaso n osotros no somos los especialista s en informática?
Ya yo probé esto co n un ejemplo que trae y te digo que funciona rapidísi-
mo.
–Sí, Pepe, pero ni tú ni yo sabemos nada de contabilidad ni de auditoría,
y por eso tenemos que consultarlo con ellos.
–Pero es que esa g ente no saben nada de informátic a. Después empie-
zan de que si el sistema no tiene esto, que si no hace lo otro, y al final pues
lo complican todo. Y este sistema es gratuito, está bue no y cualquier cosa
lo modificamos cuando la vida les exija algún cambio.
100
–Pep e, tú sabes perfectame nte q ue estos sistema s no son fá ciles de
modificar. Además, no viene con documentación de usu ario. Prepara una
exposición con los datos que trae, vamos a mostrarlo y decidiremos qué
hacer cuando ellos no s den sus criterios.
–Lo voy a hacer po rque me lo ordenas, pero no esto y de acuerdo con
eso. ¿Somos lo que somos o no lo somos?
Pre gunt as
1. ¿Cuándo resulta m ás caro modificar un sistema, en las primeras eta-

pas del ciclo de vida o en las etapas finales?
2. Diga tres razones por las cuales el auditor debe par ticipar en el pro-
ceso de elaboración o de adquisición de un sistema informático con-
tab le.
3. ¿Por qué todos los ciclos de vida de los sistemas siempre están divi-
didos por etapas?
4. Mencione dos elem entos positivos y uno negativo, del ciclo de vida
“en cascada”.
basado en p rototipos.
basado en herr amientas CASE.
7. Mencione al menos un aporte del auditor en cada u na de las etapas
de los ciclos de vida de los sistemas.
Revise, en la institución donde trabaja o estudia, si hay intenciones de

adquirir, elaborar o modificar algún sistema informátic o de aplicación en
el área financiera, contable o económica. Inquiera si lo harán con la aseso-
ría y la participación de los auditores internos, los contadores y otro personal
usuario. Analice qué tipo de participación tienen o se espera que tengan.
101
INTRODUC CIÓN
La auditoría a sistemas computarizados en explotació n es la parte más

importante del tra bajo del auditor contemporáneo. Al menos, puede ase-
gurarse que es la q ue requerirá de más tiempo y esfuerz o por su parte. Es
también a la que se le dedica más atención por los orga nismos normadores,
por lo que ha y más desarrollo teórico disponible.
En este capítulo se resumirán las principales tendencias recogidas en la
literatura existente y en los documentos normativos, así como otras expe-
riencias obtenidas en el transcurso de los años de práctica profesional.
El objetivo de una a uditoría a un sistema informátic o que esté en ex-
plotación es el mismo que a un sistema informativo manu al o mecanizado:
expresar una opinión sobre la justeza y rectitud con que la información
resultante del sistema refleja la situación económico-fin anciera de la enti-
dad y los resultad os de las op eraciones, considerando los princip ios de
contabilidad generalmente a ceptados.
Ese objetivo se co mplementa con la necesidad de evaluar el sistema en
sí, a partir d el criterio de que, si el sistema es confiable, esto es, si procesa
la información de e ntrada con un alto nivel de calidad y seguridad, la in-
form ación r esulta nte pue de ser evalua da conv eniente mente. El sistema
informático, si está bien diseñado, operará sin errores y sin permitir fraudes,
al menos con un cierto nivel de certeza. Por ello, se requiere precisar el nivel
de calidad de su diseño y sobre todo, del sistema de control interno, eje
102
fundamental para te ner una información representativa d e la realidad eco-
nómico-financiera.
En otra sección de esta obra se expresó que la audito ría en un ambiente
de sistemas computarizados se orien ta más a preve nir errores y fraudes
que a detectar los. Esto se manifiesta, sobre todo , en la labor que debe
hacerse durante el proceso de diseño y elaboración del sistema, descrito en
el capítulo 6 de esta obra. Su trabajo, pues, tendrá un enfoque más anti-
cipativo, más proac tivo, para resolver problemas potenc iales antes que se
manifiesten y produ zcan efectos negativos. Pero no se p uede garantizar la
calidad de la info rmación resultante de un sistema inf ormático basándose
sólo en la prevención: hay que estar seguros de que no existen errores ni
fraudes, y ello sólo se logra con una auditoría durante su explotación que,
mediante las prueba s requeridas, detecte el nivel de con fiabilidad del pro-
cesamiento de la in formación que hace el sistema. Las p rincipales pruebas
que realiza el audito r son las siguientes:
• Pruebas susta ntivas (o procedimientos sustantivos):
Acciones encamina das a obtener evidencia de audito ría para detectar
representaciones e rróneas sustanciales en los estados financieros u otra
información oficial de la entidad. Pueden incluir las p ruebas de detalles
de transaccio nes y saldos.
• Pruebas de cumplimiento de controles, 1 o simplemente pruebas de
control.2 Estas prueban e l nivel de efectividad del sistema de control
interno (capítulos 4 y 5 de esta obra).
• Procedimientos analíticos. 3
Las pr imeras se d estinan a c omprobar si hay error es o fraude s. Las
segundas tienen com o objetivo determinar si los controles internos descri-
tos en la documentación de usuario del sistema, verdad eramente se usan y
funcionan ef ectivamente.
Tanto unas como o tras se adaptarán al ambiente info rmatizado, por lo
que deb erán ser diseñ adas en consec uencia, y deb erán utilizar métodos
tales como:
• Auditoría a la información de entrada al sistema.
• Auditoría a la s informaciones resultante s o de salida.
1
W.B. Meigs: ob. cit., p. 188.
2
3
Ibídem.
103
• Auditoría a las bases de datos del sistema.
• Auditoría a los programas componentes del sistema.
Deberán utilizarse un conjunto de técnicas que se agr upan bajo el rubro
genérico de “Técnicas de au ditoría con apoyo de computa doras” (TAAC),
que poco a poco van sustituyendo a las técnicas más orie ntadas a los siste-
mas man uales.
El contenid o del presente capítulo deberá complementarse con otros
anteriores o poster iores en la presente obra. Pero será imprescindible para
entender cómo debe trabajar el auditor en las condiciones de un sistema
informático en explotación.
PR EPAR AC IÓN DEL TR ABAJO DE LA AUDITOR ÍA

EN UN AM BIENTE DE INFOR MATIZACIÓN
Du rante la eta pa d e Inv estigación p relimina r de un a a uditoría, el

aud itor deb e lo grar suf icien te c onoc imie nto del siste ma infor mático p ara
con cebir, e jecu tar, dir igir , su perv isar y r evisar e l tr abajo de la auditoría.
De berá obtene r un a co mpr ensión a dec uada de l am bien te de a utom a-
tiz ació n gene ral en que se aplica el sistema, p or ejem plo, lo s contr oles
gen erales d e in form atiza ción (PE D) q ue se utiliza n, los p roce dimien-
tos generales de trabajo, etc. Deberá c onocer cómo se realiz a la op era-
ción del sistema, a partir del an álisis p revio d e su do cumentac ión téc nica
de d iseño y de usua rio.
Ese conocimiento le permitirá analizar el ambiente d e control interno
general y específic o, indicar los posibles niveles de riesgo global y en el
propio sistema, y c omenzar a pensar y diseñar las prueb as que utilizará en
la auditoría. Es po sible que determine que necesite la ayuda de un experto
adicional, p or ejemplo, un especialista en redes de comunic ación infor-
máticas.
Deberá obtener un conocimiento cabal de la importa ncia del procesa-
miento informatizad o para la contabilidad y las finanza s en la empresa, su
complejidad y la disponibilidad de datos existente.
Deberá conocer la estructura organizacional de las ac tividades informá-
ticas que se llevan a cabo en la entidad, y cómo se realiza el procesamiento
(centralizado, descentralizado, distribuido) de la información; buscando
entender, por ejem plo, cómo se organiza la segregación de funciones o de
traba jos.
104
Es necesario que conozca cómo se efectúa la disponibilidad de informa-
ción para la auditoría: si existen documentos fuente, copias de los archivos
de computadoras, a sí como otro material de evidencia p osible, archivados
y por qué tiem po lo estarán.
Deberá analizar y detallar la naturaleza de los riesg os existentes; por
ejemplo, la falta d e rastros en papel u otro soporte leg ible por el hombre,
de las transaccione s; uniformidad en las transacciones, nivel de segrega-
ció n de func iones existentes, p otenc ial para error es, irreg ularidade s y
fra udes; existe ncia de tra nsacciones genera das au tomáticamen te por la
computadora, poten cial para la supervisión humana, inf luencia del proce-
samiento automatizado en otras funciones de la entidad, entre otros.
El auditor debe rá o bten er u n co nocimien to d e la s po sibilida des de
utiliz ación d e TAACs y proy ectar c uid ado same nte su rea liza ció n, a sí
com o su vin cula ción a o tras téc nica s ma nuales.
La preparación cuidadosa de la aud itoría, a partir de la información
obtenida en la eta pa de Investigación preliminar, dará la oportunidad al
auditor de e laborar el programa de realización, de manera qu e pueda lo-
grar la máxima efic iencia y eficacia. Ese programa se c onfecciona durante
la etapa de Planeación de la auditoría.
Durante la elaboración de ese programa, el auditor podrá determinar cuá-
les serán sus necesidades informativas durante la realización de la auditoría:
archivos y documentos a consultar, período en que se consultan, y otra do-
cumentación.
También podrá evaluar las posibilidades de su e quipo de auditores (en
cuanto a conocimien tos y habilidades necesarias para realizar el trabajo), y
determinar si ne cesita otros expertos adicionales. Consecuentemente, po-
drá definir qué pruebas deberá re alizar, qué técnicas de auditoría emplear,
cuáles procedimie ntos de trabajo, cómo organizar el trabajo de su equipo
y otras tareas de ca rácter organizativo.
Una vez determinado estas cuestiones organizativas, puede coordinar
las tareas de audito ría con la gerencia de la entida d, con las áreas que
intervendrán en la auditoría y con los usuarios de la información resul-
tante del sistema; d iscutir el posible cronograma de trabajo, y finalmente,
presentar su presupuesto de gastos previsto.
A continuación, e n la Fig. 7.1 se propondrá en esqu ema con las posi-
bles etapas de trab ajo que puede tener la auditoría a un sistema informático
en explotación.
105
1. Investigación pre liminar (selección del sistema a auditar, determi-
nación de prue bas, métodos y herramienta s a emplear).
2. Planeación (prog ramación) de la auditoría (obje tivos y programa
de trabajo).
3. Ejecución de la a uditoría (reuniones de preparació n, análisis de la
documentación, evaluación del control interno, realización del plan
de pruebas e in vestigaciones).
4. Conclu siones y a nálisis final (conclusiones y recomendac iones,
elaboración del informe final, reunión con direcc ión y auditados y
discusión del informe final).
Fig. 7.1. Esquema de trabajo de una auditoría a un sistema en explotación
REALIZAC IÓN DEL TR AB AJO DE AUDITOR ÍA
La realización de una auditoría a un sistema informático en explotación

es un trabajo extr emadamente creativo. El auditor debe rá estar preparado
para evaluar el ver dadero estado del sistema, y en ocasiones eso requerirá
de pruebas o investigaciones muy particulares y puntuales, destinadas sólo
al sistema que se investiga. Se requerirá mucha imagin ación, mucha capa-
cidad heurística, pero también muchos conocimientos y experiencia. No
obstante, seguir el esquema de trabajo presentado en la Fig. 7.1, resulta de
utilidad para la organización de la auditoría.
La Investigación preliminar incluye la selección del sistema o la aplica-
ción a aud itar, la determinación de pr uebas, métod os y herramientas a
emplear y no es u n problema técnico exclusivamente . Depende también
de los problemas ex istentes en la entidad, de los intereses superiores y del
trabajo del esquema general de la auditoría y de otros factores, entre los
que puede n estar:
• Programación periódic a de las auditorías: ha llegado el turno de la
auditoría a determ inada aplicación.
• Auditoría solicitada por la alta gerencia o dirección de la entidad:
consideran necesa ria la auditoría por razones de se guridad, por sos-
pechas de fraudes o errores, etc.
• Auditoría re querida por la gerencia de sistemas: las razon es pueden
ser similares a las anteriores.
• Intuición, experienc ia u otras razones: el equipo de au ditores consi-
dera conveniente realizar esa auditoría por mo tivos empíricos.
106
• Selección técn ico-analítica: Se incorporan una serie de elementos
que deben ser co nsiderados como motivadores de la auditoría. De-
ben evaluarse integralmente, como se exponen a continuación
Algunos de estos e lementos para la selección técn ico-analítica son:
• Relación de la a plicación con los objetivos de la auditoría: por ejem-
plo, si se está h aciendo una auditoría financiera a la entidad, y la
aplicación se refiere al control de los activos inmo vilizados o fijos,
probablemente es conveniente auditarla, dada la v inculación infor-
mativa que tiene dicha aplicación con la auditoría más general que
se está re alizando.
• Años activos de la aplicación: cuando el sistema informático tiene
muchos años de ex plotación, es adecuado revisarlo , pues puede pre-
sentar insuficien cias de diseño, de software, etc. ; que deban cono-
cerse y evaluarse . Igualmente es conveniente revisarlo si ha comen-
zado a explotarse en fecha relativame nte reciente.
• Auditorías anteriores: Estas pueden haber de jado informes con con-
clusiones y reco mendaciones que indican cambio s para mejorar o
adecuar el sistem a, y es conveniente comprobar si se han efectuado
o no y cómo.
• Frecuencia de modificaciones: Cuando se aprecia una alta frecuen-
cia de cambios en las aplicaciones, es de suponer que su proceso de
elaboración no fue totalmente satisfactorio. Resulta conveniente, ade-
más, comprobar c ómo se han efectuado esos cambio s, a los efectos
de la seguridad y protección de los recursos inform ativos y del con-
trol interno.
• Cambio s en el hard ware o en e l software b ásico: Si han existido
cambios rad icales en el hardwar e (nuevas máquinas o equipos de
teletransmisión) o en el software básico (nuevo sistema operativo,
por ejemplo), es conveniente comprobar si ha te nido determinada
influencia en la s aplicaciones.
• Satisfacción del usuario: El usuario directo de la información resul-
tante de la aplica ción puede haber expresado criterios de insatisfac-
ción con la misma , o con otros aspectos del siste ma (Existencia de
un “problema info rmativo”. Véase el capítulo 6 de esta obra). Esos
criterios deben ser comprobados.
• Riesgos de pé rdida de información u otros recursos: Existe el crite-
rio previo de poc a seguridad de los recursos infor mativos asociados
a la aplicación, por c ontroles deficientes.
107
• Utilización inadecuada de recursos informativos: Existe e l criterio
previo de uso no correcto de los recursos informa tivos disponibles
que tiene la aplicación.
• Interrelación de la aplicación con otros sistemas: Si la a plicación
procesa información que alimenta a otros sistemas, es conveniente
auditarla previamente, pa ra lograr seguridad de la ca lidad de la in-
formación q ue provee,
• Errores de información: Hay evidencia de erro res de información, y
se hace necesa rio encontrar las causas y eliminarlas.
La determinación de pruebas, métodos y herramientas a emplear de-
penderá d e los criterios de los auditores y d e la necesidad de la propia
auditoría, y está e n buena medida, en relación directa con los conocimien-
tos y experiencias de los auditores. Una fuente de in formación muy útil
será la propia doc umentación del sistema a auditar (Ma nuales de usuario,
documentación técnica, etc.).
La planeación o programa ción de la auditoría es la segund a etapa del
trabajo. Tie ne algunos requerimien tos que ya han sido me ncionados en
otras secciones de esta obra, pero que aquí vale la pena reiterar y comple-
mentar con otros adicionales. Para la planeación es indispensable adquirir
un conocimiento p reliminar básico del siste ma a auditar, que se logra en
la etapa anterior m ediante la consulta previa de docume ntación de presen-
tación, técnica de diseño y elaboración o de usuario, las entrev istas inicia-
les y preparatorias con usuarios, gerentes o diseñadores, las observaciones
preliminares u otros medios.
Ese conocimiento p revio le permitirá al auditor, con juntamente con la
gerencia de la entidad, definir los objetivos y el alcance de trabajo que
tendrá la auditoría. La Fig.7.2 muestra un ejemplo d e estos objetivos.
• Distribución de inf ormación de salida:

– Asegurar que se han establecido controles ad ecuados que ga-
ranticen que cad a destinatario reciba la infor mación que nece-
sita en tiem po y forma.
• Segregación de func iones de operación:
– Asegurar que el sistema de contraseñas y palabr as de pase entre
los operadores es efectivo y se aplica con venientemente.
– Comprobar que los archivos de información e n el disco duro
estén enc riptados.
Fig. 7.2. Objetivos de la audit oría. Sistema de cobros y pagos
108
Además, si es pro cedente y necesario, podrá dividirse el sistema en
subsistemas d e auditoría, en función de criterios determinados (funcio-
nalidad, secuencia de procesamiento de la información, etc). Un ejemplo
de esta división se muestra en la Fig. 7.3. Esa subdivisión en esta etapa de
programación, podrá tener un carácter preliminar y modificable en etapas
más avanzadas del trabajo.
– Origen o fuente de los datos de entrada. – Documentación técnica de usuario.

– Flujo de datos al sistema informático. – Procedim ientos de copias y resguardo.
– Captación de información de entrada – Procedim ientos de seguridad física.
– Detección y rectificación de errores. – Proces amiento y actual ización.
– Integridad de información en bases de – Documentación técnica de diseño.
datos.
Fig. 7.3. Algunos subsistemas o áreas de auditoría. Sistema de cobros y pagos
La Ejecución de la auditoría incluye, en primer lugar, reuniones de

preparación con la gerencia de la entidad, que tienen c omo objetivo garan-
tizar la participac ión adecuada de su personal en la au ditoría. Podrá ser
necesario que proporcionen apoyo de explotación del sistema (por supuesto,
bajo el control del auditor), información u otra ayuda. Es conveniente que
estén informados de los objetivos de la auditoría y que se logre su partici-
pación consciente p ara evitar fricciones innecesarias. El logro de los obje-
tivos generales de estas reuniones resulta fundamental para preparar ade-
cuadamente la auditoría. Durante las mismas debe lograr se el entendimiento
entre auditores y a uditados, a los efectos de lograr la colaboración de los
últimos. Unos objetivos más específicos se ofrece n en la Fig. 7.4.
1. Explicar, en térm inos muy claros, los propósitos de la auditoría.

Presentar al equipo de auditores.
2. Identificar el pe rsonal que necesitarán de la entidad. Explicar la
necesidad de su participación y asegu rar la misma.
3. Identificar los a spectos más importantes del sistema y sus carac-
terísticas básicas.
4. Detectar y eliminar inquietudes y preocupaciones entre el perso-
nal de la entidad auditada.
5. Identificar y solicitar la información que se utilizará en la auditoría.
6. Obtener el compr omiso formal y real del personal a ser auditado,
para colaborar en el proceso.
Fig. 7.4. Objetivos específicos de las reuniones de preparación
109
La ejecución o rea lización del trabajo de investigació n sobre la aplica-
ción automatizada deb e continuar con el estudio y análisis profundo de su
documentació n técnica de diseño y d e usuario. Ese regreso a la documen-
tación está justificado plenamente por la necesidad de ampliar el conoci-
miento acerca de có mo trabaja el sistema. La existencia de esa documenta-
ción actualizada ya es un riesgo menos que se corre en el sistema. Por el
contrario, si no ex iste o está desactualizada, existe un riesgo mayor de que
el sistema no prove a toda la seguridad necesaria a la información que pro-
cesa. Esa inexiste ncia o desactualización de la docume ntación técnica de
elaboración o de usuario será una deficiencia que deber á plasmar el audi-
tor en el informe de la auditoría.
En esta etapa de trabajo, el auditor deberá tener en cuenta, además del
Manual de Usuario y Explotación, la documentación técnica de diseño,
que incluye: E studio de factibilidad técnico-económica, los documentos
acopiados d urante el Estudio detallado de la situación existente, la Con-
cepción preliminar del nuevo sistema, el Diseño detallado del nuevo siste-
ma y las actas y acuerdos tomados entre la geren cia y los dise ñadores
durante el proceso de la elaboración del sistema. Debe tenerse en cuenta
que, si fue empleado un CASE para e l análisis y d iseño del sistema, la
información a consultar será electrónica en muchos casos y deberá hacer-
se a través del CASE en cuestión, para lo que se requ erirá el apoyo del
personal d e diseño.
En el caso de que el sistema haya sido adquirido por compra, cesión u
otros medios (“bajado” de internet, o simplemente recibido en forma “pi-
rata”, etc.), se re querirá también la documentación de diseño y utilización.
Muchas veces lo qu e simplemente se tiene es un Manua l de Utilización y
Explotación. Entonc es las características de diseño deb erán obtenerse exa-
minando detenidame nte el sistema, en su operación real o simulada o fue-
ra de ella.
Una deficie ncia a señalar en el informe, como y a se exp resó, e s la
care ncia de docume ntació n de diseño. E sa situ ación p uede d ificultar o
impe dir que se efe ctúen labores de man tenimie nto del sistem a, elev ando
co nsid erab leme nte los costos por este con cep to o cre ando pro blem as
mayo res. La s empre sas diseñadora s debe n ser o bligada s, mediante ac uer-
dos c ontractua les, a en tregar de terminado s elementos de diseño impre scin-
dibles, com o el d iseño d e las b ases de datos, la estructur a de los proc esos
comp utacion ales, e ntre otros.
La utilización de software obtenido por otras vías, legales o no, puede
ser atr activa en el m omento de su o btención, tal vez por su bajo costo
(quizás se ha obten ido gratuitamente), pero a la larga puede resultar muy
110
perjudicial para la empresa que lo adquiere y probab lemente mucho más
caro; pues está obligada a trabajar con un software que no puede modificar
en caso que lo requ iera; además de violar leyes y conve nios internaciona-
les y naciona les sobre la protección de la propiedad intelectual. Ello es otra
deficiencia a señalar en el informe final.
Si no existe infor mación técnica o de usuario, el aud itor debe estudiar
la estructura y funcionamiento del sistema mediante observacio nes direc-
tas de su fun cionamiento, para lo cua l solicitará corridas rea les o simula-
das (podrá emplear datos de la entidad o elaborados por él. Véase la sec-
ción correspondiente sobre datos de prueba en esta obra) . Del estudio de la
documentació n o de las observacione s directas, el auditor obtendrá una
comprensión de la s causas de riesgos y los controles a implementar.
El auditor podrá a nalizar, además, estadísticas de o peración, manuales
de políticas, norm as, resoluciones y otros documentos de carácter legal,
correspondencia entre los usuarios y el departamento de operación de sis-
temas, y otros
Seguidamente deberá realizar el análisis del sistema de co ntrol in ter-
no existente, a fin d e evalu ar su e ficacia y eficiencia ( Capítulo 5 de esta
obra ). El a nálisis del con trol in terno d el sistema a au ditar d ebe com ple-
mentarse co n el an álisis de los controle s gener ales in formático o de PED
que influye n en el mismo. En el análisis del control intern o desem peña
un p apel mu y importante la detecc ión de las cau sas de r iesgo y la eva lua-
ción de los riesg os que las mismas ge neren, determinando su prob able
grad o de af ectación a los recurso s infor mativos en el sistema. Poster ior-
mente, se r equerirá analizar lo s contr oles e xistentes para evita r la ac ción
de e sas ca usas d e riesgos.
Entre los métodos de trabajo que deberá utilizar el au ditor para cumplir
los objetivos de la etapa se encuentran:
• Análisis de la docum entación existente.
• Entrevistas con el personal relacionado con la actividad.
• Observaciones directas de la corrida rea l del sistema.
• Realización de corridas con datos prepara dos al efecto.
• Análisis de los programas.
• Análisis de las bases de datos.
• Análisis de la in formación de resultados o salidas y las informacio-
nes d e entrada al siste ma informá tico. Relacionar e ntradas c ontra
sa lida s.
111
La Fig. 7.5 describe gráficamente la parte de este pr oceso más relacio-
nada con la realiz ación de las pruebas de cumplimien to y sustantivas.
Fig. 7.5. Proceso de evaluación de cont roles y realización de pruebas
En la evaluación de las causas de riesgo, los riesgos y los controles, es

conveniente utiliza r una conocida herramienta de trabajo : la matriz de cau-
sas de riesgo, riesgos y controles de riesgo. En ella se relacionan los tres
elementos menciona dos, pero además se incluye la evaluación del control
realizada por el aud itor. (Ver Fig. 7.6)
La atención d el auditor mediante la e jecución de pruebas d e cumpli-
miento se priorizar á hacia los controles in existentes o poco confiables, y
posteriorme nte en los medianamente confiables. Los controles confiables
112
se comprobarán sólo en los casos en que la realización de determinadas
pruebas lo exija.
Las causas de riesgos muy graves, graves o medianamen te graves se-
rán objeto de pruebas su stantivas para determinar si han sido explotadas
en forma de fraudes o si han permitido la realización d e operaciones erró-
neas. Los riesgos menos graves se verificarán en últim o lugar. La grave-
dad de cada riesgo puede determinarse a partir de la aplicación de la llama-
da Ecuación de la Exposición, que se explicar á más adelante.
Fig. 7.6. Esquema de una matriz de causas de riesgos, riesgos y controles

Algunos ejemplo s de riesgos se presentan en la tabla 7.1.
Tabla 7.1
113
El auditor p uede buscar las causas de riesgo en la aplic ación que se

audita, y an alizar los puntos de rie sgo más comunes. Una lista relativa-
mente completa de estos puntos de riesgos se ofrece en la tabla 7.2.
Tabla 7.2
114
Otra información ú til con que puede contar el audito r en la evaluación

de los riesgos, es su clasificación por determinados criterios, asociados al
tipo de sistemas qu e se audita. Un ejemplo de esta posib le clasificación se
ofrece en la tabla 7.3
Tabla 7.3
115
Cada riesgo puede producir una afe ctación diferente en los recursos
informativos de la entidad, con una importancia también diferente. Los
riesgos más graves son aquellos que crean la posibilidad de una pérdida
mayor (la ganan cia dejad a de obten er puede considera rse tambié n una
pérdida), unido a una probabilidad de ocurrencia may or, y a su vez con
un a m ayo r f rec uen cia . Se p ued e af irm ar entonc es, se gún re solución
297/03, que el gra do de afectación que puede producir un riesgo –Ecua-
ción de la exposición o PE– se puede calcular de la siguiente forma:
PE=V*F (7.1)
Donde:
• PE: Pérdida anual e sperada o exposición (también ganancia dejada
de obtener) qu e puede producir la ocurrenc ia del riesgo i, expresada
en unidades monetarias en un año.
• V: Pérdida estimada para cada caso en que el riesgo se concrete en el
año, expresa da en pesos.
• F: Frecuencia, veces probables en que el riesgo se concrete en el año.
(Los cálculos de e stos indicadores pueden ser efectu ados basándose en
criterios de expertos, informaciones estadísticas, u otra fuente análoga).
El cálculo del in dicador PE para cada riesgo puede proporcionar una
base excelente par a determinar hacia dónde enfocar los esfuerzos del au-
ditor en el proceso de auditoría: los riesgos con PE m ayor deben recibir
mayor atención, por se r los más peligrosos.
El indic ador PE pu ede ser un comp lemen to mu y eficaz d e la ma-
triz Causas de riesgo-Riesgos-Controles, que se muestra en la Fig. 7.6, lo
que permite que se clasifique el nivel de gravedad de cada riesgo, en base a
este.
116
Ejem pl o de uti li zación de l i ndicador PE
En el sistema de facturación y ventas de la Corpo ración Sinex, se

realiza el análisis de los riesgos existentes. La captación o captura de
las facturas se r ealiza un promedio de 100 veces diarias. Existe una
estadística que indica que el promedio facturado po r documento es de
$200.00. Alrededo r del 2% de los usuarios requier en de reclamacio-
nes para abonar el importe de lo facturado. Si se extravía una factura,
no aparecerá en el sistema informático, y por tanto, no se reclamará su
pago, de ser necesario, lo cual produciría una pérdida. La estadística
de procesamiento indica que el equivalente a un 3 % de las facturas
proce sadas no se introd ucen al sistema por errores de captac ión o
captura y de traslado de documentos.
El efecto de esos riesgos se calcula a continuación:
Estimado de fact uras dejadas de procesar al año : 3 * 365= 1 095
V=1 095*2%= 21,9 *$ 200.00=$ 4 380.00
F=3 (diaria)
PE=V*F=$ 4 380.00
Eliminar el riesgo de fac turas no procesa das por distinta s causas
pu ede repr esen tar una disminu ción de las pro bables p érdidas en
$ 4 380.00 anuales.
Un aspecto muy im portante del control interno en lo s sistemas infor-

máticos es la segur idad y protección de la información y la elaboración de
planes de contingen cia para la ocurrencia de catástrofes y otras situaciones
indeseables que se analizarán en el capítulo 8 de esta obra.
La evaluació n del sistema de co ntro les e xiste nte puede requ erir la
realización de prue bas de variado tipo ( véase la Fig. 7 .5), pa ra dete rmi-
nar su verd adera e ficacia . Se re querirá entonce s plane ar las pruebas con
much o cuidad o (Definición d el plan de prue bas), lo cual se realiza rá a
partir de la infor mación que se ha recop ilado e n el pr oceso d e auditoría
hasta el mome nto.
Deberá en tonces ejecutar pruebas de cumplimie nto a cada control, uti-
lizando datos de pr ueba u otras TAACs. Si el control no es satisfactorio,
deberá realizar pruebas su stantivas, que determinen si hubo fraudes o erro-
res en ese caso.
117
Las pruebas de c umplimiento se diseñan para prob ar la eficacia y efi-
ciencia de ca da control. Por lo general se diseñan a partir de las siguientes
opcio nes:
• Utilización de datos de prueba, ya sean ficticios o reales (correspon-
dientes a períodos anteriores, por ejemplo), que produzcan en los pro-
gramas efectos perfectamente previstos, para ser usados en condicio-
nes controladas por el auditor. Los efectos deben ser todos los posibles.
Por ejemplo, si al revisar un programa de cálculo de salarios se ha
determinado que no existen salarios mayores a $400.00 mensuales,
deben algunos introducirse datos con valores superiores a esa cifra,
para conocer si el programa detecta o no el exceso. Si lo detecta, es de
suponer que el control funciona bien, pero si no lo hace, la prueba
indicará que deben obtenerse evidencias más detalladas de que no se
han pagado salarios excesivos, pues el sistema de controles activado
no garantiza eso.
• Análisis de los programas que se están utilizan do, para evaluar las
rutinas de validac ión y control existentes. Implica leer los listados
fuentes originales o realizar una labor de descompilación (ingeniería
inversa) de los p rogramas que están corriendo. Esta última variante
implica tener el programa adecuado. En ambos casos, el auditor pre-
cisa contar con conocim ientos de programación.
• La simulación paralela, mediante un sistema de prueba, análogo en
su funcionamiento al del sistema que se audita, do nde se introducen
los m ismos datos y se e mplean la s mismas bases de datos. Si los
resultados son similares al sistema que se audita, es de suponer que
este trabaja a decuadamente.
• La combinación de las an teriores.
Si la prueba del c ontrol mediante los datos o median te la revisión del
programa es satisfa ctoria, se obtendrá un alto grado de certeza de que el
control funciona bien. De lo contrario se precisará de investigaciones adi-
cionales (pruebas sustantivas), para conocer el efecto provocado por ese
control débil o inadecuado.
Las pruebas su stantivas sobre las áreas de controles débiles o inexistentes
pueden ser de varia do tipo. Su objetivo, como se expresó , es detectar erro-
res y fraude s. Algunas de las mismas pueden ser:
• Búsqueda en ba ses de datos de informacion es anormales (llamada
también Auditoría a las bases de datos). Si existen en los archivos de
las bases de dato s informaciones no correctas, el sistema no es fia-
ble. Ejemplos de las mismas son: transacciones que faltan, precios y
118
sala rios muy elevado s o muy bajos, transacc iones qu e se rep iten
anormalmente, etc . Para su búsqueda se utiliza software especializa-
do en auditor ía, de carácter general o específico.
• Análisis de las informaciones que entran al siste ma informático (lla-
mada también Auditoría a las entradas). Se trata de encontrar que
transacciones de las que entraron al sistema están incompletas, pre-
sentan errores, n o han sido autorizadas, o han sid o modificadas sin
autorizac ión, etc.
• Análisis de las informaciones de salida (llamada también Auditoría
a las salidas). Se busca dete ctar informaciones de resultados erró-
neos, entregas inc orrectas de información a usuarios, datos de salida
alterados, etc.
• Análisis de las transacciones (llamada también rastreo o seguimiento
de transacciones). Implica realizar búsquedas en los ficheros de tran-
sacciones, tanto de entradas, como generadas automáticamente por el
sistema, para detectar alteraciones indebidas repeticiones anormales,
etc. Es una variante de la primera.
• Subsistema de auditoría (Llamada también “Auditoría sistemática”,
“Auditoría desde el sistema”, etc.). Implica la creación de un subsistema
que se añade al sistema auditado, desde su creación e implantación, el
cual registra determinados hechos, a solicitud del auditor, el cual, en el
momento de la auditoría, lee las bases de datos de ese subsistema para
obtener información que describa el funcionamiento del sistema prin-
cipal.
Las pruebas sustan tivas pueden ser variadas, por lo que su realización
pondrá a prueba la imaginación, la inteligencia y la intuición del auditor.
Es importante conse rvar las evidencias obtenidas de dic has pruebas, a los
efectos de evaluar finalmente al sistema y a la informa ción resultante que
ofrece.
Las prueb as mencionadas se explicarán más detalladamente en otros
capítulos posterio res de esta obra.
La realización de las pruebas de cumplimiento y susta ntivas, las obser-
vaciones directas, el recálculo de operaciones, el análisis de documentos y
otras técnicas de investigación, proporcionará la informa ción necesaria (in-
cluyendo las e videncias, lógicamente) pa ra hacer una conclusión y análi-
sis final e integral de la aplicació n auditada. En la evaluación final el audi-
tor e xp on dr á su s op in io ne s so br e e l sistem a au dita do , y so br e la s
informaciones resultantes que ofrece, avalando sus opin iones con las evi-
dencias detectadas en las pruebas, y con ejemplos de lo s controles débiles
119
o inexistentes. Vin culará las pruebas al sistema audita do, con pruebas si-
milares a los contr oles generales de PED, a que se ha h echo referencia en
otras secciones de esta obra.
Se elabor arán las conclusiones y recomendaciones del trabajo, concen-
trando la atención en los aspectos más destacados, pero sobre todo en las
deficie ncias e insu ficiencias. Por supuesto , las conclu siones recog en los
resultados de la investigación, mientras que las recom endaciones abarca-
rán las sugerencias de l auditor para erradicar los problemas detectados,
incluye ndo una propu esta de progra ma o calendar io de elimina ción de
problemas, donde se expongan las acciones reque ridas para ello.
Las conc lusiones y recom endaciones, adem ás del resto del informe
del auditor, con un carácter preliminar, se presentarán a la dirección de la
entidad y al person al auditado en una reunión de conclu sión del trabajo,
donde se debatirán finalmente los criterios de todos sobr e la auditoría rea-
liza da.
Finalmente, se aprobará el Informe final, el que recoger á los aspectos
más significativ os del tra bajo realizado y se oficializa rá el menc ionado
plan de medidas a d esarrollar por la entidad para erradic ar las deficiencias
detectadas po r la auditoría. En la secc ión siguiente de esta obr a se analiza-
rá de forma má s detallada el contenido de este informe.
CONC LUSIÓN DEL TRAB AJO DE AUDITOR ÍA
La conclusión del trabajo de la auditoría a un siste ma informativo en

explotación abarca la última etapa de trabajo señala da en la Fig. 7.1.
La eva luación final e integral prop orciona al auditor la oportun idad
de r ealizar la re flexión final sobre su inve stigación, sob re las eviden cias
reun idas, sobre la s conc lusione s parciales qu e ha id o enco ntrando du-
rante la in dagación . Implica un a nálisis para la formac ión de un criterio
gene ral sob re el sistema auditad o y so bre el informe que se espera que
elab ore. Es una med itación impresc indible para e laborar el info rme.
La s co nclu sion es y rec omen daciones son el resu ltad o de esa ref lexión
fin al, de e sa v alor ació n in tegr al d e ev iden cias, cr iter ios, inf orma cion es
ob ten ida s, e tc. Re pre sen tan el con ocimie nto aplica do del aud ito r, su
au toc onv encimie nto , sostenido por las ev ide ncias enc ontr ada s, de la
calidad del sistema aud itad o y de lo qu e ha y qu e re aliz ar p ara perf ec-
cionar lo y la info rmac ión resu ltan te que prov ee. El a uditor d ebe fund a-
me ntar cad a co nclu sión con evidenc ias cla ras, y r efer ir a cad a un a, u na
rec omen dación c orre spon dien te, si p roce de, para tra baja r en un futu ro
120
inm edia to, co n rela ción a la eliminac ión d e los proble mas de tectad os.
Pued en existir recom endacion es para la gerencia de la entidad, para los
usuarios directos y también para los demás miembros del eq uipo de audi-
tores, si acaso se dividió el trabajo en tre ellos. Por supuesto, todas se plas-
marán en el informe f inal de la auditoría.
La reunión de conclu sión del trabajo resulta esencial para que la ge-
rencia de la entida d y el personal usuario del sistema conozcan esas con-
clusiones y recome ndaciones, de hecho constituye el núcleo fundamental
del Informe final que incluye Dictamen de l auditor 4 o de la a uditoría.
El Informe final, incluyen te del Dicta men del au ditor, re presenta la
culminación de su trabajo y su terminación oficial. Debe constar de dos
fechas: la de conclusión del trabajo de campo, y la de pr esentación y entre-
ga del informe; a los efectos de dejar totalmente claro e l período en que se
tomaron las evidencias.
El informe puede ser de dos formas:
• La forma corta: en uno o dos párrafos el auditor brin da su opinión
sobre el siste ma auditado y su información resultante.
• La forma larga: se detallan minuciosamente los resultados de las
investigaciones. (Ver Fig. 7.7)
No debe olvidarse que un sistema informativo tiene c omo objetivo apo-
yar a la toma de de cisiones y los procesos de control d e la entidad donde
se utiliza. Por tan to, se requiere que el informe del aud itor aborde también
las cuestiones de dire cción y administración en el ámbito funcio nal del
sistema a uditado.
Por supuesto, el f ormato definitivo dependerá de la ap licación a auditar
y de las políticas y normas internas que estén establec idas para el equipo
de auditores.
Con la presentació n del informe concluye el proceso de la auditoría a
un sistema informático en proceso de explotación. Como se dijo al princi-
pio de este capítulo, representa la parte más voluminosa del trabajo del
auditor en condicione s de informatización.
Algunos aspectos p resentados aquí, sobre todo los tipos de pruebas, y
los métodos de trab ajo, se analizarán con mayor profund idad en otras sec-
ciones de esta obra.
4
Cfr.Comité Internacional de Prácticas de Auditoría, ob. cit.,pp. 230-239.
121
• Portada: Título del documento, nombre del sistema audi-
tado, entidad, auditores, fecha de conclusió n del trabajo y
fecha de entreg a del informe.
• Índice: Secciones en que se divide el inform e con su nú-
mero de páginas.
• Introducción: Explicación muy suscinta del contenido del
informe.
• Conclusiones: Ya explicadas. Abord an los problemas de
sistemas, los informativos y los de dirección. Incluyen no
sola mente las co nclusiones p articu lares de la aplica ción
auditada, sino también el análisis de la ac tividad general
de informatiza ción realizado durante la investigación.
• Recomenda ciones: Sugerencias del aud itor a la gerencia
de la entidad, al personal usuario y a otros niveles de di-
rec ción (pr opietario s, a ccion ista s, e ntid ades supe rior es,
etc.); así como a otros auditores del equipo , de ser proce-
den te.
• Análisis detallado: Puede div idirse en:
– Adecuación del sistema a las necesidades de la dirección
y la gerencia en lo relativo a toma de decisiones, control,
reglamentaciones vigentes, normas y políticas, etc.
– Análisis del sistema de control interno (específico de la
aplicación o general).
– Análisis de la s informaciones resultantes y su calidad.
– Análisis de la seguridad y protección de los re cursos
informativos, tanto en el ámbito particular de la aplica-
ción, como general.
• Anexos: Descripción de las pruebas realizada s y las evi-
dencias obtenidas. Documentación consultad a, entrevistas
realizadas, observaciones efectuadas, etc.
Fig. 7.7. P ropuesta de formato de informe de auditoría a un sistema informático en

explot ación.
122
El equ ipo de auditores inte rno de la firma se reú ne para co menzar

po r prime ra ve z el trab ajo d e a ud itoría temátic a d e inv en ta rio s en
una de sus sucursales. Además de las investigaciones clásicas en este tipo
de auditoría, deb erá analizar el sistema informatizado que utilizan.
Durante la labor d e organización del trabajo, el aud itor jefe plantea
que se debe estudiar la documentación del sistema in formático que em-
plean, a los efecto s de evaluar su nivel de control interno y de planear las
pruebas correspondientes. En eso, uno de los auditores miembros del equipo
manifiesta:
–Pero eso es imposible. Yo sé de buena tinta que ese sistema no tiene
documentación. Creo qu e no se podrá evaluar.
–No estoy de acuerdo –dice otro auditor– podemos p edir que nos ha-
gan corridas demostrativas para obtener el resultado e quivalente como si
estudiásemos la documentación.
–¡Está s loco! –le contesta el primero– ya eso los prep araría y los
alertaría acerca de nuestras intenciones, con lo que se perdería la sorpre-
sa de la a uditoría.
Pre gunt as
1. ¿Cuál es el objetivo de una auditoría a un sistem a informático que

está en ex plotación?
2. ¿Qué tipo de pruebas debe llevar a c abo el auditor durante la auditoría
a un sistema informático que está en explotación?
3. ¿Qué trabajo se r ealiza durante la Investigación preliminar de una
auditoría?
4. ¿Por qué es nece sario tener un conocimiento del ambiente de con-
trol interno existente?
5. Mencione algunos criterios para determinar qué tipo de sistema se
auditará.
6. ¿Es posible realiz ar la auditoría sin la investigació n preliminar? ¿Por
qu é?
7. ¿Es imprescindible estudiar la documentación técn ica del sistema?
¿Por qué? ¿Y si no existe, qué se puede hacer?
8. Mencione algunos métodos de trabajo a aplicar en la realización de
la auditoría.
123
9. ¿Cuál es el o bjetivo de calcular el indicador PE?
10. Si al evaluar un c ontrol, se detecta que no es sufic ientemente efecti-
vo para el riesgo que pretende evitar, ¿qué debe hacer el auditor?
11. Mencione tres áreas de riesgo y afectaciones que se pueden producir.
12. ¿Por qué es conve niente clasificar los riesgos desd e diferentes pun-
tos de vista?
13. ¿Qué son las prue bas de cumplimiento o de control? Mencione algu-
na s.
14. ¿Qué son las pruebas sustantivas? Menc ione algunas.
15. Mencione tres asp ectos importantes que deban inclu irse en el infor-
me del auditor.
Pr o0 ble ma para investigaci ón 5
Si en la entidad d onde trabaja o estudia hay sistema s informatizados,

investigue si han sido auditados o no, y si fueron auditados, trate de obte-
ner el último info rme de auditoría y estudiarlo. Compá relo con las reco-
mendaciones de este capítulo, y evalúe diferencia s y similitudes.
124
INTRODUC CIÓN
La seguridad y pro tección de los recursos informativo s de las entidades

forma parte de la esfera de trabajo del auditor prácticamente desde que
surgió la actividad, h ace ya miles de años.
El auditor siempr e conservó y ayudó a conservar todos aquellos me-
dios que perm itían registrar la riqueza de los señores (activos) y las princi-
pales transacciones (comerciales o no) que se realizaba n. Durante los si-
glos posteriores, e l objetivo no cambió, sólo los medio s de almacenamiento
y tratamiento de la información. A mediados del siglo XX, en el comienzo
del fin de la prep onderancia del papel como medio fun damental de regis-
trar y conservar la información, la seguridad y protecc ión de la informa-
ción no presentaba grandes problemas: se utilizaban par a ello medios tra-
dicionales, como la s cajas de seguridad, los locales antifuegos, los libros
de buen papel cosid os y prefoliados o prenumerados, las tintas indelebles,
las copias almacen adas en lugares diferentes a aquello s donde se almace-
naban los origina les, las cerraduras, las ventana s enrejadas, etc.
El emp leo de la c omputación en las déc adas de los años cinc uenta,
sesenta y setenta, comenzó a crear nuevos problemas p ara la seguridad y
protecc ión de los rec ursos informativos, pues los nuevos medios de al-
macena miento y tratam iento d e infor mación desplaz aban al papel d e su
función fund amental y permitía que nuevos medios asumier an una res-
ponsabilidad mayor: aparecieron las cintas y discos mag néticos, con posi-
bilidades de graba ción de enormes cantidades de info rmación, pero a la
125
vez resultaron más endebles y delicados. Eran susceptible s de ser dañados
por el polvo, la hu medad, el calor, la mala manipulació n, etc. Presentaban
además otro proble ma: la información era accesible p ara el hombre me-
diante equipos esp eciales –las computadoras–, pues a simple vista no era
posible su consulta . Se requirieron nuevas técnicas y m edios de protección
de los recursos in formativos, adicionalmente a los tra dicionales ya men-
ciona dos.
Los años ochenta y los noventa acentuaron esos prob lemas: los medios
de almacenamiento y procesamiento se hicieron más ch icos y baratos, lo
que permitía su adq uisición por instituciones incluso p equeñas y personas
de relativos bajos ingresos. El auge mundial de la mic rocomputadora, con
sus posib ilidades de distribución y descentra lización de la cap acidad de
procesamiento y almacenamiento de la información, co njuntamente con la
difusión global de las redes de comunicación basadas en computadoras,
creó una situación mucho más dramática en cuanto a las posibilidades y
necesidades de med idas de protección de los recursos d e información. Hoy
en día no basta con cerrar una puerta o comprar una caja de seguridad: el
acceso a las fuente s de información vía Internet permite que las informa-
ciones sean dañada s desde miles de kilómetros de distancia, sin que sus
poseedores origina les lo sepan. Otras amenazas se cier nen sobre nuestros
recursos informativ os, muchas de ellas ya mencionadas e n esta obra: virus
informáticos y otro s programas malignos, catástrofes na turales o provoca-
das por el ser humano, intencional o no, entre otros.
Las situacion es descritas requ ieren de estudios y trabajos constantes
para velar por la seguridad y protección de los recursos informativos, y es
deber del auditor c ontribuir en ello. En este capítulo se analizarán deteni-
damente las amenaz as que se ciernen sobre los menciona dos recursos, y la
forma de protegerlos y conservarlos. En cierto sentid o se volverá sobre
temas ya tratados o esbozados desde otro punto de vista , pero se analiza-
rán aquí con mayor sistematicidad y profundidad.
LA SEGURIDAD Y PROTECCIÓN DE LOS REC URSOS

INFORMATIVOS DE LA ENTIDAD. VISIÓN GENERAL
Los recursos info rmativos de una entidad contempo ránea están com-
puestos por:
• Las informaciones g eneradas interna o externamente en la entidad
por el resultado de sus operaciones internas o en relación con el
126
entorno o medio circundante, en el cual se incluyen a los clientes,
proveedores, comp etidores, agencias gubernamentales, etc. Son in-
formaciones insustituibles, pues se han producido para reflejar los
hechos relaciona dos exclusivamente con la entida d o su esfera de
interés. No existe una fuente alternativa de estas informaciones, ni
siquiera a costa de grandes gastos. Pueden estar soportadas en me-
dios magnético s o en papel.
• Las informaciones de carácter general que le interesa n a la entidad,
y que ha obtenido por la consulta a fuentes infor mativas externas:
internet, servicios infor mativos especializados, medios m asivos de
información, etc. Están disponibles a otros usuario s e incluso, a la
propia entidad, si desea obtener los de nuevo . Igualmente pueden
estar soporta das en medios magnéticos o en papel.
• Los programas de aplicación (software de aplicació n) elaborados a
solicitud de la e ntidad o adquiridos por ella con c ierto carácter de
exclusividad. Se componen , además, de la documentac ión técnica y
de utilización. Pueden obtenerse de nuevo, en caso de daño o pérdi-
da, pero a costa d e grandes gastos.
• El software de carácter general (sistemas operativ os, software utili-
tario, programas de aplicación de carácter general) adquirido por la
entidad. Puede ob tenerse fácilmente, con gastos de adquisición rela-
tivamente modera dos, y que en tendencia, bajan continuamente.
• El hardware construido específicamente para la entidad. Es algo ya
poco corr iente, pues la o ferta de carácte r general es muy amplia,
especialmente e n el caso de la gestión económ ico-financiera.
• El hardware de carácter general: Computadoras, líneas de transmi-
sión de datos, equipos de transm isión de informac ión (gate ways,
hubs, etc.), equipos de protección (deshumidificad ores, unidades de
alimentación inin terrumpida de energía eléctrica, e tc.). Su costo va
descendiendo en tendencia, por lo que representa el menor problema
técnico y económico, en comparación con los recursos ya citados.
Además, son parte también de los recursos inform ativos todo el perso-
nal relacionad o con el procesamiento de la información: operadores de
computadoras, admin istradores de bases de datos, biblio tecarios de sopor-
tes, ciertos oficin istas dedicados a la captación y tran smisión de informa-
ción, analistas de información (economistas, contadores, estadísticos, etc.,),
informáticos, prog ramadores de computadoras. Son rec ursos caros, pues
cuesta mucho forma rlos y entrenarlos. Por lo general son considerados en
127
los programas de se guridad y protección de recursos de información, sola-
mente como fuente de amenazas. En opinión del autor, es un grave error
metodológico que g enera no pocas dificultades y problemas informativos.
En esta obra se tratar án en su doble carácter de “ recurso inform ativo”,
puesto que contribu yen a su trabajo a que se logren los objetivos informa-
tivos del sistema ; y como causas de riesgos o ame nazas al sistema.
Como se puede apre ciar en la Fig. 4.2, y como se reitera aquí, el costo
de perder la s informaciones y bases de datos particulares es mayor que
el de perder el ha rdware: hay una gradación descendente desde aquel has-
ta este, que debe ser tenida en cuenta al elaborar los planes de medidas
para garantizar su seguridad y protección. Si se pierden las bases de datos
particulares de la entidad, o los sistemas de aplicación hechos “a la medi-
da”, la afectación será mucho mayor que si se deteriora el sistema operati-
vo o si se dañ a una máquina.
Pero no hay que d esconocer que estamos en presencia de un sistema de
elementos, todos in terrelacionados, todos actuando entr e sí. Por tanto, la
afectación en uno de ellos puede incidir en otros. Un disco duro puede
adquirirse fácilmente en el mercado , pero si se daña un o de ellos, que
almacena las bases de datos fundamentales del sistema , y del cual no se
tengan copias de respaldo, la rotura del disco tendrá una afectación mucho
mayor, pues afectará al recurso más valioso, las informaciones particulares.
Esos recursos está n amenazados por distintas causas de riesgos infor-
mativos, ya me ncionadas en otras secciones de esta obra:
• Errores humanos
• Delitos o acciones mal intencionadas
• Desastres naturales o artificiales
• Afectaciones electró nicas y de software
• Combinación de a lgunas de ellas.
Esas causas de rie sgo se deben disminuir o erradicar a través del diseño
e implantación de u n sistema de controles, sobre el cual ya se ha tratado en
esta obra. Sin emba rgo, en el capítulo dedicado a causas de riesgo, riesgos
y controles, se le dedicó más énfasis a los llamados controles de aplica-
ción, y se prometió aten der posterior mente a contr oles más gene rales e
integrales, los llamados controles generales informáticos o de PED. En un
capítulo po sterio r se tr ató lo relacio nado c on el c ontrol intern o. Este ca-
pítu lo se d edicará en parte a ello, como aspectos integ rantes de una pro-
blem ática m ucho má s gener al: la seguridad y p rotección de los recu rsos
info rmativ os.
128
Esta abarca todo e l ámbito informativo de la entidad. Es el objetivo de
los sistemas de con trol –generales y de aplicación– que se establecen. No
debe ser limitada a l ambiente informático solamente, au nque éste tiene un
gran peso dentro de aquella: hacerlo sería un grave err or técnico y econó-
mico. Debe aplicarse a todo el proceso informativo de la entidad: desde el
lugar y el momento donde surgen las informaciones primarias, hasta don-
de se utilizan fina lmente, en los procesos de planifica ción, organización,
toma de decisiones y control en la entidad, incluyendo, por supuesto, los
puntos de almacenaje y procesamiento.
Fig. 8.1. Ámbito de influencia de la seguridad y protección de los recursos informativos
La seguridad y pro tección de los recursos informativo s de la entidad no

es un concepto absoluto, lo cual quiere decir que no debe ser logrado a
todo costo: se rela ciona íntimamente con la problemátic a informativa de la
entidad y es un pro blema de costo-beneficio, por lo que requiere un estu-
dio acucioso sobre las implicaciones económicas de los riesgos existentes
(véase ecuación 7.1) para establece r un sistema d e medidas o co ntroles
acorde a las mismas. Para ciertas entidades quizás todo el problema de la
seguridad y protecc ión se soluciona con una copia en disquetes, en flash o
en CDs de las bases de datos y los sistemas de aplicación. Para otras, se
requerirán complejos sistemas de medidas, incluyendo equipos especiali-
zados, personal responsabilizado con el control y la segu ridad. Es tarea del
auditor contemporá neo contribuir al diseño de un sistema de seguridad y
protección de los r ecursos informativos acorde a las ne cesidades y posibi-
lidades de las en tidades con las que se relacione profesionalmente.
La seguridad y pr otección de los recursos informativos de la entidad
deben enfocarse a la consecución de la misión y al logr o de los objetivos
de esta. Son medid as de protección de activos, tan im portantes como las
acciones de protección de lo s activo s tangib les (edificios, maquinar ias,
129
inventarios de merc ancías y materiales, etc.), y quizás mucho más. Su im-
portancia y necesidad deben penetrar en la mente de g erentes, funciona-
rios, empleados y trabajadores en general en la entidad ; debe ser parte de
sus hábitos comune s de trabajo, de su cultura técnic o-organizacional.
Fig. 8.2. R elaciones de la misi ón y los objetivos d e la entidad con la seguridad y

protección de los recursos informativos
La seguridad y pr otección de los recursos informativos es un proceso

que debe diseñarse, a partir de un detallado análisis d e las necesidades y
posibilidades de la entidad. Debe reflejarse en un prog rama activo para su
aplicación. No pu ede verse como un proceso burocrá tico que “hay que
cumplir”.
La seguridad y pro tección de los recursos informativos exige la partici-
pación activa de la gerencia en todos sus niveles (alta, media y baja). Pero,
debe ser, a su vez, responsabilidad ejecutiva de un func ionario o equipo de
130
personas, especializado en la misma. Se requiere tamb ién de la compren-
sión y participació n de los diseñadores de las aplicacion es informáticas. Es
parte del contenido de trabajo de los administradores de los sistemas infor-
mativos y del perso nal de operación. Por supuesto, la p articipación de los
empleados usuarios de la información es básica para su garantía. El audi-
tor debe controlar la aplicación adecuada de esas políticas. Resumiendo: la
seguridad y protecc ión de los recursos informativos es responsabilidad de
todas aquellas personas involucradas en los procesos de tratamiento de la
información y su utilización.
Fig 8.3. Participación del personal de la entidad en la elaboración y ejecución de las

políticas de seguridad y protección de los recursos informativos
Esa responsabilidad integral requiere de su implementación sistémica en

la entidad. Cada persona usuaria de los sistemas informatizados y a la vez
involucrada en la seguridad y protección de los recursos informativos, debe
estar imbuida de su importancia y el papel que desempeña para garantizar
131
todos los procesos productivos, de servicios, económico s, financieros y de
gestión de la entidad. Deben estar informados de las a menazas y peligros
existentes que afectan a los recurso s informativos, y de qué hac er para
evita rlos.
El diseño y aplic ación de controles y medidas de se guridad y protec-
ción constituye un proceso dinámico. Debe adecuarse a nuevas situacio-
nes, a nuevos re tos, a cam bios constantes. Por tanto, de be ser rev isada
constantemen te para que no pierdan su utilidad.
Los controles y m edidas mencionados deben ser reflejados explícita-
mente en documento s de trabajo (manuales, ayudas en línea en las aplica-
ciones, resolucione s, normativas, etc.), enfocados a su u tilización práctica
constante. Deben ser incorporados, muchos de ellos, a los programas de
los sistemas de aplicación y explotación, a los efectos d e su implementación
automática cuando pr oceda y se requiera.
Las medidas y controles generales (Controles generales de informatización
o PED) y los controles de aplicación, deben ser diseñados con un criterio
integral. Deben existir e implementarse políticas de carácter general, de for-
ma tal que todas las aplicaciones solucionen problemas similares en forma
similar: interfases de diseño común para la comunicación hombre-máquina,
mensajes de error, reglas de actuación, etc. Es el principio de la consistencia
en la solución, el cual proporciona en la conciencia de usuarios y operado-
res, hábitos y rutinas de trabajo eficientes (“lo similar siempre se soluciona
de igual forma”).
La seguridad y pr otección de los recursos informativos se implanta a
través de un Programa o plan de se guridad y protección, en el cual se
reflejan las tareas concretas a realiza r, con las responsabilidad es bien defi-
nidas en cuanto a d irección y ejecución. Pero como se e xpresó, es un pro-
ceso sistemático, por lo que las princip ales solu ciones so n parte d e los
sistemas de aplicac ión y de los procesos generales de trabajo en el ámbito
informativo d e la entidad.
Este plan o progra ma, para ser aplicado, debe orientar se en las siguien-
tes áreas d e trabajo:
• Área de proceso informá tico de la información
• Área de captación de la información primaria
• Canales de tran smisión de datos por líneas de comunicación
• Actividad de traslado físico de información (formularios, informes y
reportes imp resos, etc.)
132
• Biblioteca de sop ortes magnéticos
• Áreas de toma de decisiones y control, mediante la información que
brinda el sistema
• Áreas físicas circundantes
El plan o programa debe incluir un sistema de medida s de seguridad y
protección relacion ado con:
• El software
• La construcción y reconstrucción de oficinas, loc ales en general y
edificios
• La instalació n de equipos de seguridad y protección
• Las medidas organiza tivas y de dirección
• Las medidas educativas y culturales
• Las medida s legales
Fig. 8.4. S istema de medidas de seguridad y protecci ón de los recursos i nformativos
Ejem pl o de vi ol ac ión del c onc epto de “si st em a”

en l a se guri dad y prote cc ión de los re cursos
informati vos
En una determinad a entidad, elaboraron un excelente sistema integral

de contabilidad en Visual Fox Pro, que abarcaba las principales funciones
contables. Establecieron u n sistema completo de protección a través de
133
palabras clave o contraseñas, para que los distintos usuarios de la máqui-
na donde se explotaba el sistema sólo accedieran a los subsistemas que les
correspondían. Sin embargo, dejaron las bases de datos, en formato .DBF,
accesibles en el disco duro. Cualquier persona con acceso a la máquina
podía consultarlas a través del propio Visual Fox Pro o de otro software
análogo. Se establecieron medidas de seguridad y protección, pero no com-
pletas, ni teniendo en cuenta la necesidad de establecerlas “en sistema”,
para que se lograra el objetivo fundamental: brindar seguridad y proteger
los recursos informativos. El resultado fue un sistema inseguro.
Parte importante del plan de seguridad y protección de la información lo

constituye el Plan o programa para contingencias y catástrofes, el que esta-
blece claramente qué hacer en caso de ocurrencias de determinados desas-
tres que puedan afectar los recursos informáticos. En el plan de contingen-
cias y catástrofes se incluyen medidas para evitar los mismos, para recuperar
los recursos afectados y qué hacer para continuar el trabajo en esas condi-
ciones excepcionales, en el caso de que, a pesar de todo, ocurran las catás-
trofes y los afecten. Una contingencia o catástrofe puede ser algo tan dramá-
tico y serio como un huracán, una inundación, o algo relativamente común
en ciertos países pobres –pero que puede afectar a cualquier región o país– como
la ausencia de energía eléctrica por un período más o menos largo.
La implementación del plan o programa de contingenc ias o catástrofes
requiere de activa s medidas educativas y organizativas, para que sea co-
nocido por todos los implicados y todos sepan qué ha cer en el caso que
ocurran las temidas contingencias o catástrofes.
PROC ESO DE ELAB ORACIÓN Y APLICACIÓN

DEL SISTEMA DE MEDIDAS DE SEGURIDAD
Y PROTECC IÓN DE LOS R EC UR SOS INFORM ATIVOS
El programa para e laborar y aplicar el sistema de me didas de seguridad

y protección debe ser desarrollado a partir de las necesidades de la entidad, y
de sus posibilidades técnicas, organizativas, de personal y económicas.
La entidad debe se r estudiada para identificar todas las posibles causas
potenciales de rie sgos, y determinar los controles o m edidas de carácter
general o de ap licación que se van a diseña r e implantar.
A partir de esto, e l programa que se elabore, debe ser racional y prácti-
co, y estar en func ión, como se expresó, de las necesida des y posibilidades
134
de cada entidad. El criterio de costo-beneficio es un pr incipio fundamental
a considerar: todo sistema de control cuesta, requiere d e una inversión, la
cual debe e star en relación con el valor de aqu ellos r ecursos que se de-
sean prote ger.
La elaboración del programa debe estructurarse por e tapas, para garan-
tizar e l cumplimiento en cada una de determinad os objetivos. Como se
expresó, es un pro blema que requiere la participación de todos, desde la
alta gerencia hasta los usuarios de la información, inc luyendo la gerencia
media y baja, los o peradores, bibliotecarios de soporte s, administradores
de bases de dato s, entre otros.
En aquellas peque ñas entidades donde muchas de esas funciones recaen
sobre el mismo em pleado, y donde no hay posibilida des económicas de
particularizar y dividir las tar eas, deben aplicarse las med idas posibles,
pero eso sign ificará que el auditor, du rante las auditorías a lo s sistemas en
explotación (véase el capítulo 7) deberá enfatizar en p ruebas sustantivas
para determinar la validez de las in formaciones qu e procesa el sistema,
pues no podrá confiar en el sistema d e controles.
Las etapas de trabajo a desarrollar son las siguientes:
1. Establecimiento d e los objetivos de seguridad y p rotección de los
recursos informativos en la entidad
2. Garantizar la participación de todos los implicados
3. Análisis de las c ausas de riesgos
4. Diseño del sistem a de medidas necesario: división en medidas o con-
troles generales y de aplicación. Diseño del plan p ara contingencias
y catástrofes
5. Documentar el p lan de medidas
6. Aplicación del sistema de medidas. Acciones necesa rias para aplicar
las medidas
7. Controlar la aplicación del plan de medidas y el plan para contin-
gencias y c atástrofes
8. Análisis sistemátic o de la adecua ción de los planes a la realidad.
Modificación y actu alización de estos
En la prime ra etapa, Establecimie nto de los objetivos de seguridad y
protección de los recursos informa tivos en la entidad, se define por la alta
gerencia, con la pa rticipación de auditores y el responsa ble de la seguridad
y protección de los recursos informativos, los objetivo s o propósitos del
trabajo que se acometerá. Se definirá exactamente qué se pretende, qué se
quiere proteger, qué están dispuestos o no a permitir en caso de la ocurrencia
135
de determinad a catástrofe, etc. Esos ob jetivos servirán de guía política para
la definición del sistema de medidas o controles.
Ejemplo d e objetiv os d e segurid ad y pro tecció n
de los recurso s info rmativ os
La compañía de aviación Aerosta r decide establecer un plan de
seguridad y protec ción de recursos informativos en u n país del tercer
mundo con serios problemas de alimentación eléctrica. A continua-
ción, parte de sus objetivos de seguridad y protección, con alguna de
las medidas asociadas:
Objetivo: Garantizar que los clientes solicitantes de reservas y pa-
sajes e n nu estros av ione s te ngan el servicio de nu estros siste mas
informáticos duran te todo el horario de atención de nuestras oficinas
de reservación.
Medidas:
• Instalar en cada oficina generadores eléctricos para la atención a
las computadoras de la red informática, ante cortes del fluido eléc-
trico.
• Instalar unidade s de alimentación ininterrumpida en cada esta-
ción de trabajo, para permitir la transición de a limentación eléc-
trica de la red c omún, a la alimentación del gene rador eléctrico,
sin interrupcion es del servicio.
La segunda etap a de trabajo, garantizar la partic ipación de todos los

implicados, persigue que la seguridad y protección de la información se
convierta en una pr eocupación de todos en la entidad. E s una etapa carac-
terizada por una gr an carga de trabajo cultural y educa tivo: conferencias,
explicaciones, ubic ación de afiches promocionales, etc. Los auditores y el
funcionario debe p romover la necesidad de adquirir háb itos saludables en
el trabajo con los recursos informativos, para lograr su seguridad y protec-
ción. Pero fundamen talmente la principal tarea administrativa e ideológica
recaerá en la alta gerencia de la entid ad, quien debe garantizar la participa-
ción de la gerencia media y baja, así como de todo el p ersonal implicado.
Los criterios salu dables del trabajo con los recurso s informativos de-
ben penetrar en los hábitos laborales de todos, al extr emo de formar parte
del sistema de valo res de la entidad; o sea, de su cultur a organizativa y de
trabajo. Además del aspecto político, cultural y educac ional, se requerirá
el soporte ad ministrativo, organizativo y legal. Los trabajadore s de la enti-
136
dad deben saber qu e toda la gerencia está enfrascada en una cruzada por
proteger los recursos informativos, y que se espera de e llos lo mismo; pero
además, los reglamentos y documentos norma tivos de su trab ajo deben
especificar bien claro qué deben hacer, y qué acontecer á en caso de viola-
ciones a la polític a de seguridad y protección de los rec ursos informativos.
Es una etapa que no concluye: siempre debe tra bajarse en ella.
La tercera etapa, Análisis de las ca usas de riesgos, es una eta pa técni-
ca, que deben realizar los auditores, con el apoyo del p ersonal técnico que
consideren conveniente. Implica detectar aquellos puntos que ofrecen pe-
ligros o amenazas c ontra los recursos informativos. En la Fig. 8.1 se define
el ámbito de traba jo donde se pueden presentar esas amenazas. Además,
en los capítu los sobre controles y riesgos, se analizó este aspe cto con algu-
na profundidad. Se expondrán algunos criterios adicionales en una sec-
ción posterior d e este capítulo.
La cuarta etapa, Diseño del sistema de medidas necesario : división en
medidas o controle s generales y de aplicación. Diseño del plan para con-
tingencias y catástrofes, puede dividirse en dos partes:
• Diseño del sistema de medidas o controles generales y de aplicación.
• Diseño del plan para contingencias y catástrofes.
En la primera, se diseñan los controles generales de informatización o
PED, y se establece n las directivas generales a seguir por los diseñadores
en los controles de aplicación de cada sistema (véase los capítulos sobre
controles y r iesgos, y sobre la auditor ía a los sistemas en proc eso de diseño
y elaboración). En la segunda, se analiza un conjunto muy particular de
causas de rie sgos: las catástrofes natu rales y artificiales, que pueden propi-
ciar la pérdida de todos o parte de los recursos informativos. En ese aspec-
to se definirá cóm o actuar en cada caso y qué hacer para recuperar los
recursos dañados, c on un mínimo de costos y de esfuerzo s: es el plan para
evitar la acción de catástrofes naturales y artificiales y para rea lizar la recu-
peración de los rec ursos informativos.
La quinta etapa de trabajo se refiere a la imprescindible necesidad de Do-
cumentar el plan de medidas. Ello no obedece al impulso burocrático de te-
nerlo todo escrito en papeles, sino a una realidad: la formalización que implica
escribir el plan de medidas contribuye a su logro y a su accionar práctico.
Evita confusiones y malas interpretaciones. Permite el control y su posterior
perfeccionamiento. En el plano concreto de las auditorías, garantiza la realiza-
ción de ellas, ya sean externas o internas, pues deja perfectamente claro lo que
137
debe ser analizado. Además, se definen claramente las respo nsabilidades de
cada uno de los a ctores –gerencia, usuarios, oper adores, y otros.
La form a de doc umen tar el p lan de m edid as d epen de d e la s ca racte-
rística s de la entidad, de las pref eren cias de auditore s, u suar ios, ger en-
cia, e tc. Un a fo rma bastan te adec uad a es divid irlo en sus tr es partes
bá sica s:
• Medidas relaciona das con los controles generales d e informatización
o PED.
• Medidas relaciona das con los controles de aplicación específicos de
informatiza ción o PED.
• Medidas relacio nadas con las contingencias y catástrofes.
Es recomendable pr ecisar la medida a tomar, su respo nsable, sus parti-
cipantes, la f echa de activación y el período de acción.
La d ocumentación e laborad a debe reprod ucirse en copias que con-
teng an los princip ales im plicado s, atend iendo a su esf era de interés: la
gere ncia, e n todos sus niveles; el respo nsable de segu ridad y protec ción
info rmática , el responsable de diseño y e laborac ión de sistemas, las á reas
usua rias y de proce samiento y otr os posibles. Por supue sto, de existir en
la e ntidad una intr anet, e sta doc umentac ión será public ada.
La sexta etapa, Aplicación de l sistema de medidas. Acc iones necesa-
rias para aplic ar las medidas, implica tomar las ac ciones necesarias para
activar el sistema de medidas diseñado y documentado. Es una etapa fun-
damental, pues si no se realiza convenientemente, tod o el proceso puede
quedar en un mero ejercicio burocrático.
Todos los implicad os deben participar, encabezados p or la alta direc-
ción, la cual debe mostrar, con su ejemplo y con las acc iones administrati-
vas y organizativas necesarias, que la tarea de segurid ad y protección de
los recursos inform ativos de la entidad tiene una alta pr ioridad. El respon-
sable de seguridad y protección será el encargado de org anizar y dirigir la
ejecu ción de lo s planes e laborados. El jefe d e diseño y elaboración de
sistemas tiene que implementar todas las medidas y co ntroles recomenda-
dos y procedentes, a los sistemas de aplicación que se estén elaborando.
Los jefes de las áreas usuarias, los je fes de las áreas de procesamiento y los
responsables de las bibliotecas de soportes deberán estudiar las medidas
que corresponden a su área y entrenar a sus trabajadore s para accionar las
mismas. Los auditor es, a su vez, se encargarán de compr obar que el siste-
ma de medidas de seguridad y protección se implanta y aplica convenien-
teme nte.
138
Ejem pl o de Pl an de medidas de segur idad y pr ot ec ci ón
de l os re cur sos infor mat ivos
1. Medidas y controles generales de informa tización o PED
• Permitir el acce so a las áreas de procesamiento automatizado de
datos so lamen te al personal auto rizad o. Re sponsable: jefe de
áreas. Participa ntes: operadores. Fecha de activ ación: 1-1-2005.
Período de activa ción: permanente.
• Dotar a todas la s máquinas de palabras de pase o contraseñas de
set up y de protector de pantallas. Responsa ble: jefe de áreas.
Participantes: o peradores. Fecha de activación: 1-1-2005. Perío-
do de activación: permanente
2. Medidas y controles a incluir en los sistema s de aplicación
• Todo sistema de aplicación deberá ser dotado de una rutina auto-
mática de back-u p o salvado de las bases de da tos, para que se
active al finalizar la sesión de trabajo. Responsab le: jefe de dise-
ño de sistemas. Participantes: analistas de siste mas. Fecha de ac-
tivación: 1-1- 2005. Período de activació n: permanente.
3. Medidas y contro les relacionados con las contingencias y catás-
tro fes
• Los sistemas de aplicación tendrán copias en lo s locales de las
calles Jazmín # 3 45, del barrio de Miraflores y Bo lívar # 565 de la
colonia Antero. Se actualizarán trimestralmente o cuando se pro-
du zca n c amb ios en lo s sistema s. La s n uev as cop ias ve ndrán
acompañadas de una carta de autorización del departamento de
Auditoría Interna. En caso de daños en los sistemas en explotación,
se repondrán los mismos a partir de estas copias. Responsable: jefe
de bibliotecas. Participantes: responsables de los locales respecti-
vos y departamento de auditoría interna. Fecha de activación: im-
plantación de cada sistema. Período de activación: permanente.
Cada medida o control a aplicar puede exigir esfuerzo s diferentes: pue-

de requerirse la in stalación de una puerta más segura, candados de seguri-
dad a cada máquin a o simplemente trasladar la comp utadora de lugar.
La etapa siguiente pertenece al ámbito de trabajo de los auditores, pero
también a todos los que tengan algún nivel de responsab ilidad en la enti-
dad: Controlar la aplicación del plan de medidas y el plan para contin-
gencias y c atástrofes. Se debe n realizar sistem áticamente esos c ontroles,
139
sobre la base de la evaluación diaria en la entidad y d el plan elaborado y
documentado. Pueden existir diferentes acciones de control del plan, des-
de los más habituales que realicen los propios jefes de las áreas, hasta los
más formales y rig urosos que ejecuten los auditores. E l método fundamen-
tal es la observación, científica, rigu rosa y con un objetivo claro: garanti-
zar q ue se cump len los p lanes elab orados y q ue el sistema de me didas
diseñado e implantado es eficaz y eficiente, brindando así un nivel ade-
cuado de seguridad y protección a los recursos informativos de la entidad.
Es conve niente registr ar los resulta dos de los che queos realizad os, para
futuras auditorías o para futuras ad ecuaciones o cambios de l sistema de
seguridad y protec ción establecido.
Finalmente, la etapa de Análisis sistemático d e la adecuació n de los
planes a la rea lidad. Modificación y actualización de estos, tiene como
objetivo adecuar e l sistema de medidas elaborado, a los cambios del me-
dio o entorno y a las nuevas exigencias. Debe ser realiz ada entre la geren-
cia, el responsable de la seguridad y protección de los recursos informati-
vos, los demás participantes y los auditores. Para esto deben basarse en:
• Experiencia s obtenidas durante la aplicación del siste ma de medi-
das. Aspecto s positivos y negativos. Resultados.
• Cambios en la misión y los objetivos d e la entidad.
• Cambios en el hardware y el software general.
• Necesidades de lo s nuevos sistemas de aplicación que se diseñan o
se desean adquirir.
• Modifica ciones a los sistemas de aplicac ión que se encue ntran en
explotación.
Los cambios que se realicen deben ser hechos con los mismos princi-
pios que implícita o explícitamente se han expuesto e n esta obra: apoyo
activo de la geren cia, participación de todos los implicados, documenta-
ción y aplicació n formal y real.
ALGUNAS M EDIDAS DE SEGURIDAD

Y PROTEC CIÓN DE R EC UR SOS INFORM ATIVOS
En otros capítulos de esta obra se han expuesto ejem plos de controles,

utilizables, sobre todo, pero no exclusivamente, en sistemas de aplicación.
Se apuntó que en se cciones posteriores se analizarían a lgunos controles o
medidas de tipo general, que pudieran ser catalogados como “controles
generales de informatización o PED”. A continuación se mencionarán una
140
serie de ello s, orientados a lograr la seguridad y la protección de los recur-
sos informativo s en general. 1
Las medidas de pr otección mediante la construcció n y remodelación
de locales deben se r aplicadas, por supuesto, durante e l proceso de crea-
ción de con dicione s efectivas pa ra la im plantac ión del sistem a. Implican
la r emodela ción y constr ucción de loca les o edificios, log rar lo cales c ons-
truidos con mater iales incombustibles y con el acce so físico contro lable
a tr avés de puerta s y ven tanas; la construcción de ade cuados sistema s de
dren aje par a evita r inund aciones, gara ntizar hermetismo y f ortalez a en
pue rtas y venta nas, realiz ar in stalac iones eléctricas con suficie nte ca li-
dad y capac idad pa ra evitar sobr ecargas, instalar puer tas y v entanas se-
gura s y ubicadas de forma que se permita el con trol al acceso, garantizar
pare des y techos suficien temente fuertes para r esistir sismos, hurac anes
u otros fen ómenos naturales, etc . Por su puesto, estas medidas tienen que
dise ñarse a tendiend o a las necesidades d e cada región y país: en el Cari-
be los hura canes son frec uentes, no así los sismos. Po r el co ntrario , en
California o curre lo contra rio.
Las medidas de seguridad y protección a través de la instalación de equi-
pos deben realizarse en las mencionadas etapas y fases del proceso de crea-
ción del sistema. Incluyen la adquisición de equipos de cómputo y apoyo
fiables y de buena calidad, duplicar los equipos más susceptibles de romper-
se (discos duros, impresoras, procesadores, etc), si lo justifica el costo de las
posibles roturas; instalar acondicionadores de aire de su ficiente capacidad;
deshumidificadores; sistemas de acumulación y alimentac ión eléctrica anti-
inter rupciones; estabilizadores de voltaje; archiv os antipo lvo y antifue-
gos; sistemas de alarmas y protección contra fuegos y e xtintores; sistemas
de alarmas contra accesos indebidos; sistemas cerrados de televisión con
grabación en cintas de video para dejar constancia de lo s visitantes; para-
rrayos y sistemas d e descarga a tierra de la electricidad estática; candados
especializados y otros sistemas de seguridad física para evitar el traslado
indebido de los eq uipos, el robo de sus componentes o su utilización no
autorizada, entre otras.
Las medidas organizativas y de dirección se ejecutarán durante la explo-
tación del sistema. Incluyen: el acceso restringido y controlado, el registro
de visitantes, su chequeo de identidad y de bultos y paquetes transportados,
1
Mucha de la información utilizada en esta sección se ha empleado con anterioridad en otras obras
del autor, como Auditoría informática para el nuevo milenio, y Sistemas informáticos. Teoría,
métodos de elaboración, técnicas, herramientas; ambas consignadas en bibliografía.
141
la garantía de una limpieza sistemática y en una forma adecuada; el entre-
namiento al person al de operación en cómo actuar en ca sos de incendios o
desastres de otro tipo, extravío de información, progr amas malignos como
virus, etc.; establecimiento de una adecuada política d e selección y rota-
ción del person al, de una adecuada política d e creación , conserva ción,
actua lización , almacen amiento y control de copias de bases de da tos y
programas; de una p olítica de seguros contra desastres, fuegos, fallas del
sistema de alimenta ción, fraudes, etc.; de planes de em ergencia ante con-
tingencias; control periódico de todo el sistema de medidas, tanto directa-
mente como utilizan do auditores especializados internos o externos, entre
otros.
Las medidas educativa s y culturales se aplicarán tanto antes de implan-
tar los sistemas, c omo durante su explotación. Incluyen la creación de una
cultura de segurid ad y protección de la información y el conocimiento,
mediante confere ncias, cursos, mensajes gráfic os, entre otros.
Las med idas leg ales de protección tam bién se aplican dura nte el d i-
señ o y la e xplo tación d e lo s sistem as, pero sob re todo en e sta última
etapa. Se comp onen del estable cimiento de reg lame ntac ione s y norm as
in tern as, basa das en leyes y o tras reg ulac ione s ju rídicas vige ntes en el
país; la in clusión en los c ontr atos de cláu sula s de finitorias d e re spon sa-
bilidad es a nte daño de info rmac ione s y recu rsos inf ormá tico s en gen e-
ral, en tre otro s.
Las medidas de pr otección a través del software. Cu ando esas medidas
son de carácter gen eral, o afectan a varias aplicaciones, deben formar par-
te del reglamento de trabajo del área de procesamiento de datos. Cuando
so n d e car ácter espec ífico , r ela ciona do co n u n d ete rm ina do siste ma
informático (por e jemplo, un sistema que procesa infor mación de carácter
confidencial), la d escripción de las medidas se incluir án en los manuales
de usuario, explotación y/o utilización, según proceda o se implementará
automáticam ente en cada sistema . Co mpre nden el uso de c ontr aseñ as
(“Passwords”) o con troles biométricos, control de etiqu etas, encriptación
de información, va lidación de datos de entrada, reite ración de envío de
mensajes, empleo d e dígitos de chequeo y autoverific adores, protección
contra lectura y/o escritura, programas antivirus, etc. Este tipo de medi-
das debe estar en c onsonancia con el avance de la tecno logía. Por ejemplo,
el uso de técnicas biométricas harán innecesarias, en lo s próximos años, el
empleo de las palabras de pase o contraseñas.
Todos los grupos de medidas están íntimamente relac ionadas, pues son
parte del mismo pr oyecto de diseño del área de proce samiento de datos.
142
Una atención particular requiere aquellas medidas de protección contra
desastres naturale s o provocados, algunas de las cua les se ofrecen a co n-
tinuac ión.
A.- Contra Incendios
1. Ubicar el área c entral de proceso de datos (APD) en un edifi-
cio incombustible o resistente al fuego.
2. Aislar el APD de las actividades consideradas peligrosas. Uti-
lizar tabiques y par edes incombustibles.
3. Utilizar falsos pisos y techos incombustibles.
4. Utilizar mobiliar io incombustible.
5. Prohibir fuma r en el APD.
6. Almacenar el pa pel y otros materiales combustibles fuera del
APD.
7. Adiestrar el per sonal en las técnicas de extinción de incendios.
8. Utilizar sistem as automáticos de extinción, d e agua, dióxido
de carbono u otro tipo.
9. Distribuir los ex tintores estratégicamente e iden tificar su utili-
zación.
10. Ubicar los sistem as de corte de la energía eléctr ica cerca de las
salidas y en lug ares accesibles.
11. Garantizar que los sistemas de corte de corrie nte actúen sobre
la ventilación , la calefacción y el aire acondicionado.
12. Ubicar detector es de humo e ionización en lug ares adecuados.
Comprobarlos regularmente.
13. Realizar per iódicamente simulacros d e incendios.
14. Garantizar un suministro adecuado de agua a los sistemas de
extin ción.
15. Ubica r sistemas de alarm a contra incendios en lugares ade-
cuados y la cantidad necesaria.
16. Controlar el empleo de materiales inflamables.
17. Permitir el acc eso rápido de bomberos u otro equipo de emer-
gencia, mediante una adecuada ubicac ión del APD.
18. Ubicar un sistema de alumbramiento de emergencia.
B.- Contra inundaciones
19. Ubicar las comp utadoras y otros equipos por e ncima del nivel
de los conduc tos de agua.
20. Excluir del APD cualquier conducto de agua o vapor de agua,
excepto los de la extinción de incendios.
143
21. Construir un ad ecuado sistema de drenaje bajo el falso piso.
22. Evitar goteras del piso superior, con un conv eniente sistema
de drenaje.
23. Construir un sistema correcto de drenaje en ár eas adyacentes.
24. Garantizar que la instalación de electricidad n o sea dañada por
escapes de agua.
25. Hermetizar pu ertas y ventanas que den al exterior.
26. Colocar protecc ión contra acumulación de ag ua de lluvia en
los respiraderos.
C.- Con relación a la temperatura, filtracio nes y humedad
27. Utilizar filtros y revestimientos de los conducto s de aire incom-
bustibles.
28. Colocar el compresor en el lugar adecuado.
29. Proteger adecuadamen te los respiraderos.
30. Poseer un sistema de aire acondicionado de emergencia.
31. Ubicar las tomas d e aire por e ncima del n ivel de la c alle y
cubie rtas con c apas protectoras, d e forma q ue se impida la
entrada de elementos contaminantes.
32. Utilizar equipos deshumidificadores. Controlar el nivel de hu-
med ad.
D.- Con relación a la electricidad
33. Dentro de lo posible, garantizar la fiabilidad del servicio eléctrico.
34. Controlar el voltaje de la línea. Utilizar estabilizadores de voltaje.
35. Utilizar sistem as de acumulación eléctrica y de alimentación
ininterr umpida.
36. Diseñar e instalar las líneas eléctricas y de f orma que se cum-
plan las normas estab lecidas de seguridad.
E.- Contra desast res naturales
37. Instalar el APD en un edificio suficientemente robusto, protegido
contra huracanes y vientos fuertes, inundaciones, sismos, etc.
38. Instalar un sistema adecuado de pararrayos y protección con-
tra desastres eléctricos.
F.- Con relación a lo s accesos al APD
39. Exigir identific ación en la entrada. Registrar la misma en un
libro prep arado al efecto, co n el nombre de la p ersona que
autor iza.
144
40. Revisar paquetes, portafolios, etc. Evitar el paso de grabadoras,
lap-top o palm-top computers, cámaras fotográficas, imanes, etc.
41. Permitir el a cceso sólo a personas id entificadas.
42. Hacer que el sistema de control funcione las 2 4 horas del día,
profundizando en los controles en horas no laborables.
43. Utilizar llaves, códigos de acce so, lectores de tarjeta, u otro
mecan ismo.
44. Evitar la pu blicidad sobre la ubicac ión del APD.
45. Analizar si so n necesarias todas las entradas al APD.
46. Proteger y contr olar el acceso a través de las ventanas y puer-
tas para ve ntilación.
47. Conectar las sa lidas de incendio con el sistema de alarma.
48. Diseñar y constr uir sólidamente las puertas, ce rraduras, cerro-
jos, bisagras, m arcos, etc. para reducir la pro babilidad de ac-
cesos no au torizados.
49. Instalar una batería emergente para apoyar el c ontrol al acceso
al APD ante caíd as del fluido eléctrico, en el caso de que éste
se controle eléctricamente.
G.- Con relación al acceso a transmisión de datos
50. Estudiar las nec esidades de los usuarios y esta blecer autoriza-
ciones selectiva s y jerarquizadas (“privilegio s”) para acceder
a los diferentes recursos informáticos: computadoras, termina-
les, datos, soporte s magnéticos, etc.
51. Utilizar palabra s clave o contraseñas (passwor ds) relativamen-
te seguras, p ara controlar los acceso s al sistema.
52. Utilizar software de seguridad para co ntrolar los accesos al
sistema y las fu nciones de consulta y escritura de los ficheros.
53. Evaluar periódicamente el sistema de segurida d empleado para
proteger los rec ursos informáticos, y adecuarlo a la existencia
de nuevos avances, métodos, productos, etc.
54. Crear y mantener actualizado un registro de la s violaciones o
intentos de viola ción del sistema.
55. Establecer proc edimientos para propiciar la r ápida actuación
de los operador es y responsables ante intento s de violación.
H.- Con relación al acceso a terminales y microco mputadoras des-
centralizadas o distribuidas
56. Cubrir la máquina con forro o cubierta similar (sellada), al con-
cluir el trabajo.
145
57. Cerrar los loc ales y sellarlos al conclu ir el trabajo.
58. Proteger la tom a de alimentación de las máquinas, en los pe-
ríodos en que no se estén usando.
59. Proteger el teclado con una carcasa metálica o p lástica, o en su
defecto, guarda rlo bajo llave.
I.- Administrac ión interna
60. Evitar la acumulación d e material inn ecesario, despe rdicios,
etc., en las áreas de p rocesamiento de datos.
61. Establecer la limpieza periódica de equipos, sup erficies de tra-
bajo, suelos, superficies bajo el falso piso, etc.
62. Utilizar los pro ductos de limpieza y pulimento antiestáticos.
63. Utilizar conte nedores de basura resisten tes al fuego.
64. Mantener en ord en y limpios los cuartos destinados a guardar
útiles de limpieza y ma ntenimiento de locales.
J.- Segurida d general
65. Responzabilizar a un personal especializado c on la seguridad
y la protecc ión física.
66. Establecer procedimientos de seguridad a cordes al va lor de
los recursos a proteger.
K.- Política de personal
67. Estudiar el histo rial y las características psico sociales antes de
admitir a cada nuevo empleado.
68. Evaluarlos pe riódicamente.
69. Establecer una política de calificación y r ecalificación.
70. Establecer una p olítica continua de recalifica ción sobre medi-
das de se guridad.
L.- Planes de emergenc ia y contingencia
71. Estab lecer un p lan de con tingencia escrito, que abarqu e, al
menos, las siguie ntes cuestiones:
– procedimiento detallado pa ra actuar en caso de emer-
genc ia.
– criterios par a determinar los alcances del problema.
– responsabilid ades del personal ante ca da situación.
72. Establecer un p rograma de formación sobre con tingencias para
todo el p ersonal.
146
M.- Procedimientos de copiado (backup)
73. Establecer, de ser posible, equipos especializ ados en copias o
backups, y ubicarlos fuera del área y/o del edificio.
74. Cuid ar que e l equip o espec ializado en bac kups, tenga las me-
dida s de se gurida d y pro tección físic a que se descr iben a quí.
75. Establecer y co ntrolar la ejecución de un p lan de copiado.
76. Cuidar que existan los soportes magnéticos y repuestos sufi-
cien tes.
77. Chequear periód icamente el estado del equipo . Establecer un
programa de mantenimiento preventivo.
78. Establecer y con trolar la ejecución de una política sobre reten-
ción de archivos o ficheros y copias de seguridad.
79. Situar el almacé n de copias de seguridad fuera del edificio (de
ser posible) y e n un lugar protegido contra in cendios y demás
situaciones aq uí descritas.
80. Establecer, en lo s casos más críticos, diferentes copias en dife-
rentes lugares.
81. Probar periódic amente el estado de las copias. Establecer un
procedimiento riguro so de actualización.
N.- Seguros
82. Incluir en el seguro del APD y sus medios:
– fuego.
– daños por agua.
– actos de vandalismo y desorden.
– desastres natu rales co mo huraca nes, sism os, y de scar-
gas eléc tricas.
– derru mbes.
– daños producidos por aeronaves.
– fallos del sistema de aire acondicionado.
– explosiones (gas, calderas, etc.).
– fraudes, robos.
– fallos en el sistema de alimentació n eléctrica.
– gastos no pr evistos de repuestos, r oturas, etc.
– pérd idas po r inte rrupció n de la actividad de la org ani-
za ció n.
147
83. Disponer de alte rnativas de solución para prob lemas inespera-
dos con:
– equipos de pro ceso de datos.
– soportes m agnéticos.
– gastos de repuesto.
– software y do cumentación.
La lista anterior, bastante completa, se aplica, en su máxima expresión,
a grand es organizacio nes de procesamiento autom atizado de datos, con
redes o mainframes instalados e informaciones almacenadas y en procesa-
miento muy valiosa s. No obstante, instituciones con v olúmenes de proce-
samiento de datos mucho menores, como empresas med ianas y pequeñas,
deben tener en cue nta las recomendaciones que aquí se dan. No debe olvi-
darse que la inform ación es igual de importante para un pequeño taller que
par a una gigan tesca transn acion al. En el c aso de proce samie nto so bre
minicomputad oras y de microcomputa doras, de poco valor r elativo, los
usuarios y proyectistas deben analizar qué medidas requ ieren y cómo apli-
carlas rigurosame nte. Una entidad pequeña o mediana debe preocuparse
igualmente por sus informaciones, por el efecto que la pérdida de estas
puede tener par a su actividad.
El auditor debe inf ormar a las instituciones labora de estas medidas, sus
posibles costos y la conveniencia de aplicarlas.
En otros capítulos de esta obra se analizarán ciertas amenazas peculia-
res, sus medidas p ara prevenirlas y su c orrección, c omo los pro gramas
malignos y virus in formáticos, la necesidad de proteger las bases de datos
y el empleo d e las palabras de pase o contraseñas.
El tema de la segu ridad y protección de los recursos informativos re-
quiere de ate nción constante por parte de la gerencia y de los a uditores, los
cuales deben emitir sus criterios en los procesos de auditoría que realicen,
sobre cómo protege la entidad sus datos, programas y el resto de sus recur-
sos; y proponer me didas que permita mejorar ese nivel de protección y de
seguridad, en f unción de la misión y los objetivos de esta.
UN CASO PARTICULAR: LA SEGURIDAD EN INTERNET
El creciente uso d e internet por organizaciones y per sonas individuales

crea una causa más de riesgo. La fuente de amenazas es ahora la red a la
que se han conectado las computadoras, y por donde llegan virus y otros
programas malignos, por donde consultan indebidamente las informaciones
148
almacenad as, por donde se modifican indebida y dolosamente bases de
datos, etc.
Jamás las informaciones de una en tidad o individuo han estado más
amena zadas. Los efectos d e esas ame nazas, si se concre tan, puede n ser
devastadores. Algu nos ejemplos son:
• Puede modificarse el teléfono de la entidad en su página Web, para
colocar el número de su competidor.
• Pueden enviarse comunicaciones a sus suministrad ores pidiéndoles
partidas falsas de productos, para crear problemas y fricciones entre
amb os.
• Pueden detectar los números de cuentas bancarias para intentar pe-
netra rlas.
La seguridad en internet tiene como objetivo reducir esas amenazas a
límites razonables, co n un criterio de costo/benef icio, tal y co mo se ha
expuesto en este libro.
Al gunas amenazas en sist em as conec tados a i nte rnet

• Entrada y alteración de sitios Web.
• Obtención de informac ión sin autorización.
• Utilización indebida de la información obtenida.
• Dañar software y bases de datos.
• Afectación de sistemas ajenos simulando haberlo hecho desde un
tercero.
• Congestionamie nto de redes.
• Consulta constante a un sitio Web para evitar la c onsulta por otros
usuar ios.
• Sustitución de la página Web, para ofrecer respue stas indebidas a
clientes o usuarios.
• Modificación de b ases de datos para el beneficio ilegítimo del su-
jeto actuante.
• Utilización por los empleados de la entidad (consciente o incons-
cientemente) de se rvicios de Internet (e-mail, chat, etc.) para trans-
mitir informa ción perjudicial a la pr opia entidad.
• Políticas incorr ectas de a plicación d e contrase ñas, que m otivan
que estas sean violadas con facilidad.
• Ataque de virus y otros programas malignos, con la consiguiente
afectación de los re cursos informativos.
149
También en este ca so las medidas de control para disminuir los riesgos
de esas amenazas y dañen los recursos informativos, so n de varios tipos:
• Medidas organizativ as y de dirección.
• Medidas educativ as y culturales.
• Medidas legales.
• Medidas de protección a través del software.
Estas medidas de control deben diseñarse e implantarse en dependencia
del estado de la técnica y la tecnología existente: muchos de los problemas
que se están exponiendo, no existían cinco años atrás. Es de suponer que, en
la medida que los servicios de internet se amplíen, surgirán también nuevos
riesgos y por ende, deberán implantarse nuevas medidas de control.
Al gunas m edidas a tomar par a lograr segur idad

en int ernet
• Contactar con el proveedor de servicios de Internet (PSI) e indagar
qué medidas aplican para evitar las actualizaciones no autorizadas a
las páginas Web. Exigir que se implementen medidas más estrictas.
• Asegurarse que los empleados encargados de actu alizar las pági-
nas Web toman pr ecauciones de seguridad, como cambiar regular-
mente las co ntraseña s y registrarse al salir de los archivos Web
antes de deja r sola la PC.
• Guardar las p áginas clave de su sitio, diariamente.
• Tene r estab lecida una política de copias de respaldo d e las p ági-
nas Web, ta l y co mo se d eben te ner con otras inform aciones im-
por tantes.
• Como par te del procedim iento de copia s de respaldo, comparar
cada página activa con el respaldo m ás reciente.
• Obtener con el PSI registros de las consultas al sitio Web en forma
periód ica. Estudiarlos y an alizarlos p ara conocer quién visita el
sitio y q ué hace.
• Proteger los d irectorios que guardan sus páginas Web.
• Instalar un firewall o “muro antifuego”, mantener lo actualizado y
registrar quién accede al sistema y en qué momen to lo hace. Man-
tener activa su alarma.
• Utilizar programa s “scanners” para detectar los a taques a sus re-
cursos y de dó nde provienen.
150
• Establecer políticas sobre la información que se debe publicar o
no, y mantener informados a los empleados sobre esas políticas.
• Establecer políticas seguras y racionales de encriptación de la in-
formación importante d e las bases de datos.
• Proteger el corre o electrónico que sale de la entidad, cuando sea
necesario, median te las opciones de codificación de los programas
de correo, como el Outlook o el Pegasus Mail; o las opciones de
otros sistemas.
• Realizar au ditoría s perió dicas de seguridad, al menos sobre a que-
llos aspectos más susceptibles d e ser v iolados, como la política
de contr aseña s o p asswo rds o las identificac iones de los usua-
rio s.
• Utilizar servicio s de empresas especializadas para que realicen ata-
ques simulados a los sistemas de la entidad y enc uentren deficien-
cias de seguridad, “orificios”, “puertas traseras”, etc.
• Mantener actualizado al personal sobre los problemas ex istentes
en materia de seg uridad. Utilizar los servicios de instituciones es-
pecializadas en la difusión de esos problemas y sus soluciones, o
al menos, revistas o boletines técnicos.
• Cuidar la utiliza ción de los recursos informativos por aquellos em-
pleados que traba jan desde la casa. Velar por que se apliquen las
mismas medidas qu e en la entidad.
La propia red ofr ece un conjunto de sitios donde se puede encontrar

software apropiado para apoyar las tareas de seguridad o para proporcio-
nar información de utilidad en el establecimiento y aplicación de políticas
de seguridad. La ta bla 8.1 muestra las direcciones de alg unos de esos sitios
y la informa ción o facilidades que proporciona.
Tabla 8.1
151
152
Lograr un nivel de seguridad razonable en sistemas conectados a Internet

resulta imprescindible para las empresas, en la medida en que se integren
al comercio y los ne gocios electrónicos.
La empresa Rumbax ha instalado una red informática en sede central.

Orienta q ue cada persona a utorizada a utilizar las computado ras esta-
blezca su palabra d e pase definitiva, para lograr un alto nivel de seguri-
dad. Esas palabras de pase se recogen en sobres sellad os y se guardan en
la caja fuerte de la entidad, de donde se sacarán en circunstancias nece-
sarias. Igualmente se establece una política mensual de copias de bases
de datos, para garantizar la continuidad del trabajo c uando ocurra algún
problema. No se estimó prudente invertir en unidades de alimentación inin-
terrumpida (UPS), p ues se les pidió a los usuarios que salvaran sus traba-
jos periódicamente, en el caso de que los apagones se intensifiquen, y así
ahorrar varios cien tos de dólares en equipos. La red in stalada se conside-
ra un éxito econó mico, pues se lograron comprar las computadoras más
baratas del mercad o, a una empresa que liquidaba inve ntarios, por estar
en proceso de marcharse del país. La acción se con sideró una ganga.
Pre gunt as
1. ¿La seguridad y p rotección de los recursos inform ativos es un pro-

blema que corresp onde a la esfera de trabajo del a uditor? ¿Por qué?
153
2. Establezca una escala del valor menor al mayor en cuanto a los re-
cursos inf ormativos.
3. Mencione las causas de riesgo genéricas que afectan a los recursos
informa tivos.
4. ¿La protecc ión y seguridad de lo s recursos informativ os debe ser
lograda en form a total a todo costo? Expliq ue su opinión.
5. ¿Quiénes son los principales responsables en el lo gro de la seguri-
dad y protección de los recursos informativos?
6. Explique qué sign ifica el plan de seguridad y protección de los re-
cursos inf ormativos.
7. ¿En qué consiste el sistema de medidas de segurida d y protección de
los recursos informativos?
8. ¿Qué es el plan o programa para contingencias o catástrofes?
9. Mencione las etapas de trabajo a desarrollar para establecer el sistema
de medidas de seguridad y protección de los recursos informativos.
10. ¿Quién es el responsable máximo de la seguridad y protección de
los recursos infor mativos? ¿Por qué?
11. ¿Puede tener éxito una medida o acc ión aislada?
12. ¿Por qué son imp ortantes las medidas culturale s y educativas?
13. ¿Puede lograr se la seguridad absoluta en Internet?
14. Mencione algunas amenazas específicas de la cone xión a internet.
Probl em a de inve sti gaci ón 6
Analice las inform aciones, software y trabajos en ge neral que Ud. de-
sarrolla mediante sistemas informáticos, y encuentre al menos tres causas
de riesgos de perd er esa información. Diseñe y aplique un sistema de me-
didas para eliminar o disminuir esas cau sas de riesgo.
154
INTRODUC CIÓN
Existen algunas a menazas o causas de riesgos que por su novedad y

especificida d merecen un tratamiento un poco diferenciado : la amenaza
de los programas ma lignos entre los cuales están los vir us informáticos, la
consulta no autorizada a las bases de datos y el acc eso ind ebido a los
sistemas de aplicac ión. Esas amenazas se han potenciado con el desarrollo
de las redes de com putación, a través de las cuales pue den llegar virus o
realizarse consulta s y accesos no autorizados. Debido a ello, se ha decidi-
do dedicar un capítulo específico a esta s cuestiones.
Aun que son aspec tos much o más relacion ados con las tecn olog ías
informáticas, velar por la protección y seguridad ante esas amenazas es un
problema que debe a similar el auditor, con total propie dad. Para ello debe
mantenerse muy in formado sobre las modalidades de amenazas que pre-
sentan esas causas de riesgo, y de sus soluciones. Este capítulo pretende
contribuir en algo a ello.
CONTRASEÑAS O PALABR AS DE PASE
Un password, pala bra de pase, contraseña o pa labra clave, es una

pala bra (o más de una, literalme nte ha blando) , que solicita un sistema
informático a un usuario determinado para permitir el a cceso. De no coin-
cidir la palabra tecleada con la esperada, el acc eso se denegará.
155
Desarrollar un ad ecuado sistema de generación y actualización de pa-
labras clave es un aspecto muy importante de la polític a de seguridad in-
formática en una entidad.
La seguridad de las palabras de pase depende del esfuerzo que se requiere
par a ser descu biertas. Se ha escrito bastante sobr e ese tema y muc has
personas e instituciones se dedican con gran empeño a diseñar contrase-
ñas seguras y a descubrir la forma de violarlas. En teoría, cualquier palabra
de pase puede ser descubierta, sólo se requerirá de tiempo y los métodos
adecuados. Se trata, pues, de dificultar ese proceso. Además, alguien con
recursos limitados (sin software ni conocimientos adecuados) si encuentra
una palabra de pase bien diseñada, estará encontrando un valladar insalva-
ble. Por ello el auditor debe velar porque se utilicen políticas correctas de
establecer y actualizar las palabras de pase o contraseñas.
Un principio funda mental es evitar palabras simples. El empleo de nom-
bres de familiares, de mascotas, etc., permite que un a tacante con cierto
nivel de imaginació n pueda violar fácilmente el escollo que pudiera signi-
ficar la pala bra de pase.
Otro principio a tener en cuenta es la longitud. Mien tras más larga sea
la palabra de pase, más difícil será su violación. En la tabla 9 .1 se muestra
una propuesta de longitud de palabra de pase (en su m odalidad de “llave
secreta”), en relación al tiempo que se desea usar.
Tabla 9.1
Fuente: M. Carbonell “¿Cómo elegir y almacenar las claves?” revista Giga, no. 2 de
2000, p. 40.
Por supuesto, la p ropuesta que se presenta en la tab la 9.1 hay que to-
marla con mucha re serva: el aumento de las capacidades y la velocidad de
cálculo de las máqu inas, y la existencia de técnicas de violación cada vez
más eficaces; hace n posible que los tiempos y los ta maños mencionados
puedan ser insuficiente s en un futuro cercano.
Otro principio de diseño es combinar caracteres alfabéticos, con numéri-
cos, espacios y otros de tipo especial; a los efectos de evitar un ataque con
técnicas de “diccionario” (implica ir comparando la palabra de pase contra
un archivo contentivo de palabras: un diccionario) y dificultar un ataque
156
con las téc nicas de “fuerza bruta” (se realiza mediante las permutaciones
de todos los posibles caracteres).
El último principio que se señalará es el de “memorizar” la palabra de
pase, nunca escribirlas en los sistemas informáticos. L as que se escriban
en los sistemas de aplicación, necesariamente deberán ser encriptadas (véase
este c apítulo má s adelante ). Es conv eniente, p ara evitar incidente s des-
agradables (en caso de muertes o pérdida prolongada de la conciencia),
guardar la palabra de pase escrita en sobre lacrado y e n una caja de segu-
ridad.
El diseño de las palabras de pase puede ser variado.
La “palabra” puede ser un simple nombre, o una combinación más com-
pleja, utilizando la fecha, la hora, u otro elemento variable que haga más
difícil la identificación. Por ejemplo, la palabra puede ser “SÉSAMO” más la
fecha del día, la cual se teclea a continuación, de la siguiente forma:
SÉSAMO 01/10/2005
Ello implicará un doble chequeo, la palabra tecleada contra la palabra

esperada y la fe cha tecleada contra la fecha de la computadora.
Otra variante es la existencia de todo un fichero enc riptado de contra-
señas: pueden ser 3 1, para que el usuario interesado en e l acceso, teclee la
que corresponda al día en cuestión (pueden existir otra s variantes simila-
res). Por ejem plo, el fichero puede ser el siguiente:
1. árbol&7-8(/
2. Césa r:_¡
3. basketb all3 4"”
....
31. rock and roll=]
Si el usuario dese a acudir al sistema el día 3 de un mes determinado,

deberá teclear el password basketball34"”.
Una clasificación que se ha impuesto por el uso de software apropiado
para ge nerarlas, es la utilización de palab ras clav e secreta s y públicas.
Las primeras son a quellas sobre las que no se public a ninguna informa-
ción. Sólo las con ocen aquellas personas que deben hac erlo. Las segundas
se dividen en dos p artes: la palabra clave pública prop iamente dicha, y la
secreta o privada. Ambas ensamblan, por lo que sólo se autorizará el acce-
so cuando ese “ensam blaje” se produzca.
Los passwords debe n ser discriminantes: Por ejemplo, el usuario “jefe
de personal” puede tener acceso a incorporar datos, mod ificar, dar bajas y
157
consultar informac iones de una base de datos sobre per sonal. El director
de la empre sa tend rá acce so sólo a con sultar informa ción. E l respo nsa-
ble de la e stadística sólo tendr á acceso a info rmacion es resú menes y es-
tadísticas generales sobr e el pe rsonal d e la em presa, y no a informa cio-
nes persona les so bre un persona l espec ífico; y así el resto de las personas
vinc uladas a l perso nal.
Los passwords discr iminan tes p ermite n el acceso a la s aplicacio nes
de d iferentes perso nas, co n difer entes r esponsa bilidade s, y po r ende, con
dife rentes niveles de autoridad, para c onsulta r o no determinada in for-
mación.
Los passwords deb en modificarse periódicamente. L a frecuencia pue-
de ser determinad a a partir de las informaciones de la tabla 9.1.
Evidentemente, el usuario debe teclear el password d e forma que nadie
pueda fijarse en el mismo; por ello, la protección elemental ind ica que
deben enmascararse al salir en la pantalla, mediante el color u otro méto-
do, para evita r que alguien no autorizad o pueda leer.
Otra variante son los passwords jerárquicos: por eje mplo, para avanzar
en el sistema de un menú de nivel N a otro de nivel N+1, se requerirá tener
un password. De esta forma, cada menú tendrá, al men os una, por lo que
se requerirá co nocerlas todas para utilizar todo el sistema.
Otros métodos d e passwords más sofisticados p ueden ser los passwords
de una sola vez, los cuales, como su nombre lo indica se utilizarán una
sola vez, y despué s se cambiarán. Requieren de ciertos equipos adiciona-
les que no forman parte de las configuraciones nor males de los PC. 1
Por supuesto, estos métodos pueden combinarse entre sí, para obtener
una mayor seguridad.
En sistemas más sofisticados, pueden emplearse técn icas de reconoci-
miento de voz, de h uellas digitales, del iris del ojo, etc. Estos métodos se
agrupan bajo el no mbre genérico de Métodos biométricos. Es de suponer
que estos métodos desplacen a los anteriores en un q uinquenio o menos
(por ejemplo, ya e stán en el mercado equipos incorpor ados al mouse, que
“leen” las huellas digitales del pulgar).
También es rec omendable activar passwords al conec tar la má quina
(contraseña del set up), al comenzar el sistema operativo (contraseña del
sistema) o vinculad os al refrescador de pantalla (siste mas estilo “Windows
XP”), para que este exija un password en caso de que e l usuario-operador
se haya levantado y no haya apagado la máquina. Por supuesto, debe pro-
1
J. Coira: “Palabras claves de única vez”,revista Giga, pp. 35-40.
158
gramarse el refrescador de pantalla para que se activ e en un período de
tiempo suficien temente corto.
Otro tipo de prote cción que puede ser clasificada co mo cierta variante
de palabra de pase, son las llamadas llaves de protección, las cuales son
elementos de hardwa re y software ajenos al sistema que se desea proteger,
y que se conecta a la computadora cuando la aplicación se instala, a través
de un puerto serie, un puerto paralelo o incorporado al interior de la com-
putadora. Por lo g eneral es un aditamento de hardware , pero proporciona
una zona de memoria (128 bytes o más) con la que se p uede interactuar y
grabar datos codificados, contadores, algoritmos y otra s palabras de pase.
Esa memoria puede p ermitir mucha flexibilidad, llegando incluso a ciertas
formas de pr ogramación.2
La labor del audito r radica en analizar la política existente de establecer
y actualizar las pa labras de pase, y evaluar el nivel de seguridad y protec-
ción que realmente ofrece a la entidad y a sus recursos informativos. A
partir de esa evalu ación, debe emitir sus criterios sobre esa política, y en
caso de que detecte deficiencias en la misma, debe suge rir su perfecciona-
miento.
Se puede consultar mucha más información sobre este tema en la litera-
tura especializada . En internet una dirección con mu cha información es
http://www.kripto polis. com/boletin.html. E n corr eo ele ctrón ico pu ede
verse kriptopolis@jazzfre e.com.
ENCRIPTACIÓN
La encriptación de información es una técnica ante rior, incluso, a la

existencia de la p ropia computación. Se ha usado prof usamente en el es-
pionaje, la diplomacia, la transmisión de mensajes cifrados, etc . Actual-
mente, en el ámbito de la informática, la encriptación o criptografía ocupa
un espacio cada ve z más importante. Significa el conju nto de principios,
métodos y técnicas para mantener datos en secreto. En otras palabras, es el
conjunto de técnica s para el ocultamiento del significado de los datos, para
preservarlos contra eventuales receptores no deseados. Contrariamente, el
criptoanálisis se dedica a descubrir la forma de hacer inteligibles los textos
cifrados o codifica dos (criptogramas).
2
S. Arbona y D. Matas: “Llaves de protección”, revista PC World.
159
La criptografía b usca mantener la seguridad de la información, tanto
durante su almacen amiento, como entre la transmisión entre un emisor y
un receptor. La segur idad se logra cuando:
• Se mantiene la confidenc ialidad: la información n o puede ser leída
por otra persona difere nte a su destinatario.
• Es auténtica: se puede co mprobar que la información fue generada
por su emisor.
• Conserva su integridad: la información no ha sido modificada inde-
bidamente en n inguna de las fases de su procesamiento.
• No puede ser repudiada: el emisor no puede negar que envió esa
información a su receptor ni el receptor q ue la recibió.
Con las velocidad es y los costos de almacenamiento y de procesamien-
to de información a ctuales, no resulta nada sofisticado establecer métodos
de encriptam iento para cualquier sistema informático. En esencia, todos
esos métodos consisten en aplicar un algoritmo o llave de encriptamiento a
cada dato, de forma que resulten ininteligibles a quien es desconozcan di-
cho algoritmo o llave y a quienes no co nozcan las técnicas de cr iptoanálisis.
Algunas técn icas elementales de la c riptografía3 son:
• Sustituir determin ados caracteres del texto original por otros carac-
teres previame nte estab lecidos. Por ejemplo: cambia r la letr a “A”
por la letra “ M”, la letra “B” por la le tra “P”, etc.
• Sustituir un cará cter del texto original por más d e uno en el texto
encriptado. Por ejemplo, la primera vez que se encue ntre la letra “A”
en el texto origin al, se sustituirá por el número “1 1”, la segunda vez
por el número “25” y la tercera vez por el carácter “&”.
• Sustituir bloques en el texto original por bloques en el texto cifrado.
Por ejemplo, cada vez que se encuentre el bloque “ATA”, se cambia-
rá por el b loque “DE”.
• Sustituir cada c arácter en el texto original por otro separado n veces
a su derecha en el alfa beto. Por ejemplo, si n = 3, cada vez que se
encuentre una “A”, se cambiará por una “D”.
Esas técnicas, y o tras similares, tienen la gran desventaja que pueden
ser descifrada s fácilmente.
Hay otros métodos más prácticos y seguros, como la criptografía simé-
trica y asimétrica. En la primera, la misma llave de encriptación (elemento
3
Y. Quintero: “Shhh, hablemos en secreto”, revista Giga.
160
externo que se rela ciona y combina con el texto a encriptar) sirve para la
desencriptación. E s muy usada para garantizar la conf idencialidad de la
información. L a segunda o criptografía de lla ve pública-privada utiliza
una llave par a encriptar el mensaje y o tra para desencriptarlo. Esta se divi-
de en una clave p ública, o de conocimiento común y otra privada o de
conocimiento particular para la persona que encripta la información. Es
ideal para garantiz ar la autenticidad de la información y su no repudiabi-
lidad.
Los principales a lgoritmos simétricos son DES, IDEA, Skipjack, CAST,
SAFER y Blowfish. Entre los más conocidos de los asim étricos están RSA,
Curvas Elíptic as y Elgamal. 4 Los algoritmos simétricos permiten encriptar
archivos largos a a ltas velocidades, pero los asimétric os permiten lograr
más seguridad, aunq ue para ser eficientes deben usarse con textos cortos,
como las firmas electrónicas.
Otro método son las llamadas llaves de sesión (o de una sola vez). Son
llav es o alg oritmos que se interca mbian p reviamen te para determinada
comunicación o consulta y después no se le usará más (o peran similarmente
a las palabras de pase de una sola vez, ya explicada s anteriormente).
Es posible utiliza r funciones de hashing para encriptar y desencriptar.
Las más utilizadas son MD5 y SHA (desarrollada por la Agencia Nacional
de Seguridad de EE.UU. y considerada una de la s más seguras).
Algunos lenguajes de programación como el C++ tie nen su propia bi-
blioteca de algoritmos de encriptación (como la Cripto ++ y la Criptolib,
del mencionado leng uaje; o la Criptix de Java), pero po r lo general poseen
débil seguridad, debido a qu e son elabor adas en EE. UU. y en ese país
existe n leyes que prohíben ex portar los algoritmos d e exportación más
seguros. Un progra ma muy utilizado y relativamente seguro para niveles
domésticos de trab ajo, es el PGP (Pretty Good Privacy) , que puede encon-
trarse en I nternet (WWW.pgpi.com) gratuitamente.
Hasta este momento existe u n estándar desarrollad o: el DES (IBM),
acep tado po r el ANSI5 desde 1981. Actualmente se está e n proceso de
elaborarse otro e stándar: el AES (Advanced Encryp tion Standard).6
La criptografía es una especialidad que requiere técn icos altamente ca-
lificados. El auditor, de entenderlo ne cesario, debe sugerir que se encripten
4
Ibídem,p. 24.
5
American National Standaring Institute, (Instituto Nacional Americano de Normalización y
Estandarización.)
6
Y. Quintero: ob. cit., p. 25.
161
determinadas inform aciones y que se contrate para ello a especialistas en
la materia. No deb e pretenderse que éste se responsab ilice por proponer
un algoritmo concr eto ni mucho menos, pero debe tener la sagacidad y el
conocimiento necesario para saber cuándo es necesario encriptar alguna
información, de ma nera que pueda sugerir la aplicació n de esta técnica.
VIRUS INFOR MÁTICOS Y OTROS

PROGRAM AS M ALIGNOS
Desde hace casi veinte años el mundo postmoderno ha conocido una

nueva y gravísima invasión: la de los virus informático s y otros programas
malignos. En los p rimeros tiempos nadie podía creerlo: ¿Virus que ataca-
ban a las computado ras?; ¿estaban en el aire, como los virus biológicos?;
¿afectaban a las p ersonas? Hoy el mundo ha ganado en cultura informáti-
ca y ya nadie haría preguntas de ese tipo, pero no todo s conocen las inte-
rioridades de ese f ascinante mundo de los virus informá ticos y el modo de
combatirlos. Debido a ello, se incluirán en esta obra algunas páginas sobre
el tema, tratando d e resumir los aspectos más interesantes de este tema que
afecta a los sistemas informáticos en el mundo.
Un virus inf ormático u otro programa maligno es, según algunos ex-
pertos, un program a que es capaz de:
• Rep lica rse, de saca r co pias de sí m ismo , pr obab leme nte modifi-
c ad as.
• Realizar esa replicación totalmente intencional, no es simplemente
un efecto colateral.
• Al menos algunas de las copias replicadas son también programas
malig nos.
• Insertarse o añadirse en otro programa hospedero, el cual, al ejecutar-
se, implica la ejecución del propio programa maligno. Algunos tipos
de ellos, como los gusanos, no requieren de programas hospederos.
• Causar daños tales como el borrado de datos y programas, el reformateo
indebido de discos, la modificación de datos y programas, la modifi-
cación de el BIOS de la máquina, ya sea con código vírico o con
“basura” (impide que la máquina arranque), etc.7
7
Seha utilizado para esta definición el archivo “Virus.txt” , del sistema antivirus “F-prot”, actualizado
en julio de 2000,y con la traducción del autor.
162
Para otros, los p rogramas malignos no necesariamente tienen que cau-
sar daños para ser catalogados como tal. Por ejemplo, un reconocido ex-
perto como Richard Levin,8 dice:
Para satisfacer los criterios mínimos para diseño de virus, un

programa rogue tiene que:
• Ser ejecutable.
• Ser capaz d e reproducirse.
• Convertir o tros objetos ejecutables en clónicos víricos.
En ninguna parte de la definición de virus informáticos hay al-
guna mención de operaciones no solicitadas, secretas, de accio-
nes destructivas o de propagación a través de múltiples instala-
ciones informáticas. Los programadores de software rogue han
añadido esas trampas, pero un programa no necesita conducir
una actividad así para ser calificado de virus informático.
Por supuesto, si e sas “trampas” no hubiesen sido añadidas, o sea, si los
virus y otros progr amas de ese tipo fuesen inofensivos, algo así como “bro-
mas inocentes”, pue s no se necesitaría prestarles atención; pero desgracia-
damente n o es así.
Hay o tro eleme nto que de be consid erarse: la intencio nalidad d e los
autor es de esos programa s. Si un software pr esenta algún proble ma de
programación que p roduce efectos nocivos en los recu rsos informáticos,
no debe ser consid erado un “virus” (de hecho ha ocur rido muchas veces,
y en software m uy connotado).
Los prog rama s ma lign os y los vir us infor máticos han causado mu-
cho dañ o en los últimos año s, y cau sará n to davía mu cho más. Se han
pe rdid o ciento s de millone s de dólare s en emp resa s gr ande s y pequ e-
ña s, e n en tida des lucr ativ as o no, en org aniz acio nes prof esio nale s o en
sistem as d oméstico s, e tc., por la acc ión de e llos. So n un a gr an a mena za
par a lo s re cursos infor máticos y po r ta nto el a uditor d ebe esta r pr epar a-
do par a co mbatirlo s.
Existen diferentes tipos de programas malignos. De h echo, es bastante
difícil desar rollar una única tipología , debido a la gran varied ad de estos y
de sus acciones, y al gran dinamismo que han demostrad o sus diseñadores.
En las tablas 9.2 y 9.3 se presentarán dos clasificacio nes en función del
modo de accionar , de difundirse.
8
R. B. Levin: Virus informáticos. Tipos,protección, diagnosis y soluciones,p. 7.
163
Tabla 9.2 9
9
La información para estas dos tablas se ha tomado de la obra ya mencionada de R. Levin; del
documento electrónico citado como parte del sistema F-prot; de un conjunto deartículos sobre
virus m acro publicad os por la re vista Giga, especi almente el artíc ulo de E. Guadis , “Virus
macro”, y el de J. Bidot “¡Hoax! Laplaga de virus místicos”, ambos consignados en bibliografía
Como es unainformación quepuede cambiar constantemente, serecomienda consultarlos textos
sobre los propios programas antivirus, porlo general muy actualizados.Una fuentemuy ilustrativa
es el artículo deJ. Bidot: “Panorámica delos programas malignos”, en revista Auditoría y control,
también consignado en bibliografía.
164
Tabla 9.3
165
Independientemente de la variedad de acciones de estos programas, se
puede afirmar que la mayoría utiliza algunos de los siguientes métodos:10
• Añadidura: Agregan el có digo vírico al final de los p rogramas ejecu-
ta bles. Lo s ar ch iv os a nf itrion es son m od if ic ad os p ar a qu e al
ejecutarse, el con trol pase primero al código vírico añadido. Lógica-
mente modifican e l largo del programa infectado. Alteran la secuen-
cia de operacione s de dicho programa, ejecutándose las instruccio-
nes del programa vírico primero y después pa sando el con trol al
anfitrión.
• Inserción: El virus sitú a su código de programa dentro de un código
no utilizado y de segmentos de programas ejecutab les. El resto de
las operaciones es similar a los de añadidura.
• Reorientación: Es un métod o más complejo. Se intro ducen seccio-
nes de código vírico en una o más posiciones físicas de discos, tales
como áreas de par tición, sectores marcados como “ malos” o se hos-
pedan como ficher os escondidos ordinarios. Desde ahí dirigen pro-
cesos de infección contra archivos ejecutables. Esto s, al ejecutarse,
permiten que ac túen los códigos víricos que han recibido.
• Sustitución: Es un método más burdo, pero no deja de ser peligroso.
El virus se escrib e sobre los archivos ejecutables, b orrando y sustitu-
yendo el código d e los mismos por el código víric o. Después actúa,
cuando el supuesto programa es llamado a ejecutarse. La simple sus-
titución de los pr ogramas ya es un daño que este tip o de virus reali-
za. Su mayor peligro radica en que no modifica el tamaño de los
programas a nfitriones.
• Armazón vírica: Literalmente hablando, “envuelve” completamente
con código vírico las funciones básicas de una computadora. Se inter-
ceptan y enmascaran las posibles acciones que pudieran descubrir y
revelar la existencia del programa vírico y amenazar su superviven-
cia. Se bloquean y modifican los listados de directorios, para que pa-
rezca que los ar chivos modificados tienen su dim ensión normal, a
pesar de que llevan unos bytes más de código vírico. Los intentos por
ver y verificar las dimensiones de los archivos, o para examinar los
sectores de arranque, los ficheros .BAT y otros similares son bloquea-
dos y lu ego redir eccio nados a p osiciones de me moria alterna ti-
vas don de están alm acenadas copias no infectadas de los progra-
mas, para así “engañar” a los program as antivirus.
10
R. Levin: ob. cit., pp. 31-36.
166
Estas formas básic as pueden combinarse entre sí, o pu eden surgir otras,
igualmente ingeniosas.
Los virus o programas malignos han demostrado su efectividad contra
los sistemas operativos de PC más difundidos: el DOS y el Windows, en sus
diferentes versiones. Por ejemplo, se ha reportado el Hantavirus Pulmonary
Síndrome, o simplemente HPS, como primer virus para Windows 98.11 El
destructivo Win95.CIH, también conocido como “Chernobil” actúa contra
Windows 95 y 98.12 Se ha reportado el llamado “Esperanto”, primer virus
multiprocesador y multiplataforma, capaz de accionar sobre “DOS, Win 3x,
Win 32, Windows 95, Windows NT y Macintosh”.13
La gran incidencia sobre los sistemas tipo PC se debe a que son los más
difundidos en el mundo, los que tienen mayor libertad en el intercambio de
progra mas y ficher os de tipo v ariado sobr e disquetes, vía Interne t, por
CD-ROMs u otros medios. Pero los restantes sistemas no parece que puedan
librarse de esa epidemia: se reportan virus para Linux, por ejemplo. Existen
también muchos para Macintosh. Los sistemas para minicomputadoras o
mainframes, han recibido poca atención de los diseñadores de programas
malignos, por lo que hasta ahora no ha sido notorio ningún ataque a los mis-
mos (lo cual no quiere decir que no existan).
Muchos de esto s programas tienen dos fases de actuación:
• La fase de difusión-infección, durante la cual se difunde e infecta
archivos, program as y sistemas, y
• La fase de acción, durante la c ual se activa y desarrolla sus acciones
sobre el siste ma infectado.
Los virus macro e ntran a cada sistema a través de documentos Word,
Excel u otros de la suite Office; y se activan cuando e l documento se abre
con las instruccion es Macro (prácticamente la única med ida para evitar su
acción es abrir lo s documentos recibidos “sin Macros”, para que el virus
no pueda activarse ). El tristemente célebre “Iloveyou” es un virus macro
con una forma muy ingeniosa de difusión: a través del c orreo electrónico,
pero al llegar a ca da máquina, rastrea el buzón y utiliz a la dirección y el
nombre de algunos de los incluidos en la lista de correspo ndencia para
generar un mensaje falso, con un emisor conocido para el destinatario, a
11
M. A. Méndez: “ Windows 98 antevirus informáticos”, revista Giga, pp. 24-26.
12
E. Guadis: “Virus altamente destructivo: Win95.CIH”,revista Giga, pp. 21-23; R. Martínez: “El
virus Chernobil ataca de nuevo”,periódico Patria.
13
E. Pérez: “La actualidad en los virus: el Esperanto”, revista Giga, pp. 18-22.
167
los efe ctos de genera r confianza en el mismo e in ducirle a que abra el
documento adiciona do (attached) al mencionado mensaje falso. Si el des-
tinatario es ingenuo (y la historia dem ostró que existen millones así), lee el
mensaje falso y d espués abre el documento adjunto “ con macros”, para
enco ntrarse , de pr onto, c on que el vir us ha a ctuado en brev es segu ndos
y ha causad o daños irrep arables en su máquina , pero no antes de h aber
enviado sus clónico s a tod a la lista de corresp ondencia del pr opio de sti-
nata rio.
Estos programas m alignos pueden ser modificados po r sus propias ac-
ciones o por otras personas elaboradoras. Surgen así las “familias”: grupos
de programas de acc ión similar, que se diferencian sólo e n ciertos detalles.
Algunos criterios erróneos que deben ser aclarados se ofrecen a conti-
nuac ión:
• Estos programas pueden clonarse a sí mismos, inc luso con ligeras
variac iones, pero inicialme nte deben ser escritos, como cua lquier
otro programa.
• No todos los viru s son dañinos. Algunos sólo realiz an acciones rela-
cionadas con la difusión de determinado c riterio: por eje mplo, el
deseo de una p az universal.
• La lectura de archivos de texto no causa infección, mientras que los
archivos sean leídos sin activar las posibles macroinstrucciones que in-
cluyan (el procesador de textos Word tiene una opción que permite
realizar la lectura de ese modo, lo que evita la acción de los virus “macro”).
• Un disquete prote gido físicamente contra escritura no puede ser in-
fectado.
De sc ri pc ión y ac tuac ión de un vi rus: CIH
Conocido tambié n como Chernobil, Win95.CIH, PE-CIH y CIHV.

Residente en memo ria e infector de archivos .EXE y el BIOS (Flash-
BIOS). Destruye tanto archivos como el MBR y el se ctor de arranque.
Afecta Wind ows 95 y 98. El tamañ o del código viral e s de apenas
1 KB. Sobrescribe los ficheros, por lo cual no aumenta el tamaño de
estos. El manejado r de archivo del virus intercepta sólo una función,
la apertura de arc hivos. Cuando un .EXE se abre, el virus lo infecta,
siempre que tenga huecos suficientes. Seguidamente verifica la fecha
d el a rc hivo p ara d ec id ir si es tiempo d e arch iva r su s ru tina s
destructivas. Hac e llamadas a la Flash-BIOS y de acceso a discos.
168
Existen varias varia ntes del viru s. Se activan los 26 de ab ril, de
mayo y en una de las variantes, todos los días 26 de cada mes.14
¿Cómo puede cono cerse que está actuando algún programa maligno
en alguna máquina ? Cuando se observe algún comporta miento inusual en
la computador a, tal como:
• Los programas demoran en cargarse más de lo usual.
• Aparecen mensaje s de error no usuales, en momen tos que no deben
apare cer.
• Parece haber decrecido la memoria disponible.
• Se notan intento s indebidos de acceder a las unidades de discos.
• Algunos archivos han desaparecido.
• Algunos progr amas son más grandes que lo habitual.
El auditor debe co nocer desde un punto de vista gene ral, sin renunciar
a todas aquellas especificidades que pueda, la acción de los virus y progra-
mas malignos y cómo resolver o evitar sus potenciales daño s. Para ello
debe recomendar a las entidades donde trabaja o a las q ue atiende de algún
modo, un conjunto d e reglas sencillas:
1. Las computadoras deben tener incorporado software antivirus, actua-
lizado y legal (obtenido de las empresas distribuidoras). El gasto adi-
cional que incurrirá por ello, quedará compensado por los problemas
que se evitará, y la seguridad y protección que brindará a sus sistemas
informáticos. Pero nadie debe engañarse: el software antivirus no da
una seguridad absoluta, y puede ser, a su vez, objeto de infección.
2. La entidad debe tener establecida y activada una adecuada política
de copias (backup s) de archivos de datos y progra mas, para propi-
ciar su reinstalac ión en caso de daños por la acción de algún progra-
ma maligno. Esas copias deben ser limpias y sobre soportes protegi-
dos contra escritura.
3. No debe adquirirse software que tenga una proce dencia dud osa
(shareware, public-domain software, freeware, copias “piratas” o no
legales, etc.). Debe trabajarse con software obtenido por medios le-
gales a distribuidores o productores caracterizados por su seriedad.
4. Al obtener algún nuevo software, no debe instalarse directamente en
máquinas conectadas a redes. Debe hacerse en alguna máquina aislada
(“stand alone”), y usarse allí durante un período “ de cuarentena”, a
14
Cfr.R. Martínez, artículo citado.
169
los efectos de q ue si actúa algún virus, no prod uzca un daño muy
sign ificativo.
5. No deben abrirse documentos que lleguen por corre o electrónico, ni
permitir que actú en las posibles macroinstruccion es que tengan. El
documento pued e leerse sin macros y desp ués borrarse.
6. Debe impedirse qu e se introduzcan disquetes, CDs o memorias Flash
en forma in discriminada en las m áquinas. En cada caso, debe ser
comprobado por a lgún programa antivirus actualizado, en alguna
máquina aislada, de stinada al efecto.
7. No deben difundirse mensajes que a su vez hayan llegado por co-
rreo electrónico, donde se avisa de la acción de cie rto “misterioso y
nuevo virus”. Si se recibe algún mensaje de este tip o, debe borrarse.
8. Si se ha infectad o alguna máquina, se tratará de bo rrar el virus con
algún programa an tivirus. Si se tiene un programa actualizado, el
problema podrá solucionarse un 95 % de las ocasiones.
9. Si a pesar de tod o se ha infectado alguna máquina, y un virus actúa,
sin que los progr amas antivirus lo puedan elimina r, no queda otro
remedio que despe rtar la máquina desde un disco limpio, protegido
contra escritura, formatear el disco duro, y reinsta lar el software de
nuevo, así como las bases de datos, desde las copias limpias que se
deben tener.
10. Si se ha dañado a lguna base de datos, y no se tie ne copia de esta,
existen programas que permiten recuperar (hasta c ierto punto) los
archivos perdido s. Resultan caros y en ocasiones deben manejarse
por profesionale s, pero su utilización puede estar justificada.
Los virus informáticos y otros programas malignos ex isten y existirán.
Hay que aprender a convivir con ellos, como se hace c on los biológicos.
Crean problemas, p ero una política adecuada de segur idad y protección
permitirá trabajar sin mayores dificultades.
De cualquier form a, la imaginación de los creadore s de programas de
virus malignos ha d emostrado no tener límite, por lo qu e los lectores de-
ben mantenerse inf ormados y atentos.
En la Facultad de Estudios Filosóficos existe una red de computación

para profesores e investigadores. Tienen acceso a interne t y la utilizan con
frecuencia. Hay su ficientes máquinas como para que ca da tres profesores
170
e investigado res utilicen una de ellas a la vez. Estos escriben sus artículos
en ellas. Tienen su s carpetas en los discos duros y guardan allí sus traba-
jos y las búsquedas de información que hacen.
Utilizan varios a ntivirus, pues no han podido pone rse de acuerdo en
cuál es el mejor, así que existen diferentes programas en dependencia de
las preferencias d e cada uno. En muchas ocasiones está n desactualizados,
pues los usuarios n o tienen ni el tiempo ni el cuidado e n buscar las actua-
lizacion es.
El administrador d e la red ha delegado en los profesores la actualiza-
ción de los antivirus, pues cuando quiso instalar uno d e ellos, estos se
opusieron, alegando que tenían otros mejores.
Pre gunt as
1. ¿En qué consiste una contraseña de un progra ma informático?

2. Mencione tres principios de diseño de las palabras de pase o contra-
se ña s.
3. ¿Las palabras de p ase pueden ser utilizadas para def inir autorizacio-
nes expresas de re alizar determinada transacción fin anciera en siste-
mas informatiza dos contables?
4. ¿En qué consisten los métodos biométricos?
5. ¿La encriptación de información es un método to talmente seguro?
6. Expliq ue en qué c onsisten la confidenc ialidad, la autenticid ad, la
integridad y el p rincipio de no repudio en un siste ma informatizado.
7. ¿Qué papel debe jugar el auditor cuando considere que una determi-
nada información de be ser encriptada?
8. ¿Qué daños pueden ocasionar los virus y otros programas malignos?
9. ¿Cómo puede evita rse, reducirse o eliminarse el da ño de los virus y
otros program as malignos?
10. Mencione tres tip os de estos programas y explique sus diferencias
ese nciales.
11. Explique cuándo puede ser que esté actuando un p rograma maligno.
Investigue en su c entro de trabajo o estudio o en su computadora per-

sonal, qué antiviru s utiliza y cuándo fue la última vez que lo actualizó.
171
INTRODUC CIÓN
En el capítulo 7, a l analizar los aspectos más significa tivos de los siste-

mas informativo s en explotación, se mencion aron algu nas prueba s que
deberá el auditor r ealizar al sistema para comprobar su c alidad. Estas prue-
bas tienen los nom bres genéricos de:
• Pruebas susta ntivas o procedimientos sustantivos.
• Pruebas de cumplimiento de controles, o simplemente pruebas de
control.
Estas agrupan una serie de pruebas, algunas de ellos han sido mencio-
nadas o explicadas. Entre ellas existen varias que por su importancia, he-
mos preferido llamarles “métodos d e apoyo”, y son:
— Pruebas sustantiv as, procedimientos sustantivos o m étodos de apoyo a
la auditoría a sistemas informativos en explotación:
• Búsqueda en bases de datos de informaciones anormales o “Auditoría
a las bases de datos”.
• Análisis de las informaciones que entran al sistema in formático o
“Auditoría a las entradas”.
• Análisis de las info rmaciones de salida o “Auditoría a las salidas”.
• Análisis de las transacciones o “rastreo o seguimiento de transac-
cion es”.
• Subsistema de auditoría “Auditoría sistemática” o “Auditoría desde
el sistema”.
172
— Pruebas son las d e cumplimiento de controles, o simplemente pruebas
de control:
• Datos de prueba
• Análisis de los programas
• Simulación paralela
En este capítulo se detallarán las pruebas o métodos mencionados, por
la importancia que presentan para el trabajo del auditor. Además, se co-
mentará el empleo de una herramienta más general de trabajo del auditor
contemporáne o: el software general d e auditoría.
AUDITOR ÍA A LAS B ASES DE DATOS
La auditoría a las bases de datos de los sistemas infor máticos implica la

búsqueda de inform aciones anormales, sospechosas o in correctas a través
de métodos, artes y medios fundamentalmente computac ionales. Se consi-
dera n tamb ién co mo par te de las téc nicas de auditoría con apoyo de
computadora s (TAAC).1
La auditoría a las bases de datos se realiza como una prueba sustantiva de
gran utilidad, cuando existe un nivel razonable de certeza que ciertos contro-
les que debían garantizar la calidad de las informaciones en las bases de datos,
son relativamente débiles o simplemente no existen, y por tanto, es probable
que existan datos erróneos o falsos en las bases de datos, y deben ser detecta-
dos e investigados profundamente para determinar si han sido simples errores,
o si por el contrario, reflejan fraudes (ver Fig. 6.5 y su explicación en el capí-
tulo 6). Igualmente, la auditoría a las bases de datos tiene como otro objetivo,
refrendar las informaciones de resultados que aparecen en ella y que han sido
ubicadas en los reportes o informaciones de salida del sistema.
En la auditoría a las bases de datos se utiliza un software especializado,
que tiene entre sus funciones las búsquedas en bases de datos, llamado por
antonomasia Software de auditoría; sin embargo, existen otros softwares
de aplicación en la a uditoría y que no se dedican a la búsqueda en las
bases de datos. En general, el software de auditoría puede d ividirse en dos
grandes grupos:
• Software de auditoría de propósito general
• Software de auditoría d e propósito específico
1
Comité Internacional de Prácticas de Auditoría, ob. cit.,pp. 474-484.
173
El p rimero se elab ora por firmas especializada s y se destina a realizar
auditorías en cualq uier en tidad. Maneja diferen tes form atos y estructuras
de datos, a los efectos de poder ser a plicad o en m últiples situacion es.
Uno de los m ás difu ndidos e n el mu ndo es el paque te Inte ractive Data
Extraction a nd Analysis for Windows (Winid ea), elaborad o para el In sti-
tuto Canadiense de Contad ores Pú blicos (Canadian Institute o f Chartered
Acco untants) (ve r Fig. 10.1) , que representa u n para digma para o tros
paqu etes de audito ría a las base s de da tos de carácte r gener al. Win idea
realiza un conjunto amplio de tar eas, en tre las que se encuentran:
• “Importar” informaciones de bases de datos en difere ntes formatos:
ASCI I, EBCDIC, dBASE y re stan te s siste mas x BASE ; L otus /
Sim phon y, Co mma separ ated , ASCII de limited f ile, DIF y otros
formatos de los p aquetes americanos e ingleses de contabilidad más
difundidos. Esa importación le permite trabajar co n sus propias ba-
ses de datos, par a así ejecutar las funciones que posteriormente se
seña lan.
• Exportar a archivos con esos formatos.
Fig. 10.1. Idea for Windows. Menú principal y una aplicación
174
• Extraer datos media nte lo que llama, en el c oncepto de Winidea,
“ecuación de extracción”, lo que no es más q ue un análogo de una
instrucción “selec t” de SQL. Para utilizar la ecuación de extracción,
Winidea proporciona un lenguaje de búsqueda co n constantes nu-
méricas y alfabéticas, las variables, tomadas fun damentalmente de
los campos de las bases de datos a analizar, func iones de variado
tipo (matemáticas, estadísticas, de fecha, etc. Tiene disponibles más
de 30 funciones d iferentes), operadores de relación (<, >, =, etc.),
operadores lógicos (“and”, “or”, “not”, etc.), la in strucción de con-
dición IF, operado res de agrupación (paréntesis, llave s, etc.), y otros.
La utilización de la ecuación de extracción en for ma inteligente es
una gran pr ueba sustantiva: con e lla se puede analizar un fichero
bastante grande de transacciones y encontrar aqu ellas que pueden
ser consideradas anormales y que deben ser analiz adas más profun-
da y ampliamente. Por supuesto, esas ecuaciones d e extracción pue-
den crearse, editarse –modificarse–, almacenarse, borrarse, consul-
ta rse, etc. Lo s resultad os de las ec ua cio ne s d e extra cc ión son
conjuntos de inf ormaciones que cumplen los parám etros de búsque-
da, los cua les se almace nan en archivo s que d espués pueden ser
consultados de v ariadas formas.
Ejem plo de e cuaci ón de e xt rac ci ón
Precio>200.00 and cliente = “Vartel”

El programa Winid ea buscará en el archivo de info rmación a anali-
zar, aquellos reg istros que tengan un precio superior a 200.00 y que
pertenezcan al cliente “Vartel”. El resultado (los r egistros que cum-
plan con esa cond ición) lo pondrá en un archivo q ue podrá ser con-
sultado directamen te o a través de un reporte genera do por una de las
utilidades de Winidea.
• Ordenar datos de acuerdo con determinados criterios y en determi-

nado orden ascende nte o descendente.
• Crear agrupaciones de los registros (estratos) de la base de datos que
se analiza en fun ción de determinados rangos de v alores de ciertos
camp os.
• Totalizar o sumar izar ciertos campos de aquellos re gistros con igual
llave o clave y crear después un registro resumen.
• Creación de gr áficos de barras, circulare s u otro tipo.
175
• Realizar análisis de edades (análisis cronológico ) por determinado
campo de informac ión de la base de datos que se e stá estudiando, a
partir de dete rminada fecha.
• Realizar cálculos estadísticos de variado tipo: cálcu lo de medias arit-
mética s, suma to tal (algeb raica) de c ampos, sum a absoluta de un
campo, valor mínimo y máximo, desviación típ ica y varianza.
• Comparación de dos archivos, a p artir de una determinada clave,
para encontrar diferencias.
• Detección de clave s faltantes en serie de registros d e la base de datos
que se analiza (huecos).
• Detección de clav es duplicadas en la base de dato s que se analiza
• Realizar funcione s de muestreos en la base de dato s que se analiza:
emplear muestreos irrestrictos aleatorios, sistemáticos, por unidades
monetarias, por c iertos atributos.
• Generar número s aleatorios.
• Verificación de sumas control u otras operaciones en la base de da-
tos que se analiza.
• Calcular razo nes, identificar fluctua ciones, etc.
• Listar las inform aciones obtenidas en los procesos de búsqueda, com-
paración, detección, muestreos, análisis cronológic os, sumarización,
etc.; en reportes diseñados a la medida, para obtene rlos por la panta-
lla o por la impre sora. A partir de ahí, se puede fo rmar el expediente
de la au ditoría usando e sos reportes com o papeles de tra bajo. En
rigor , esto no sería ne cesario, p ues de he cho el ex pediente de la
auditoría se irá formando en los soporte s magnéticos.
• Manipular campos y ficheros en diferentes operaciones: unión, extrac-
ción, renombrar campos y archivos, borrar archivos y campos, etc.
• Controlar la info rmación de cada uno de los cliente s que son atendi-
dos por el auditor , con cierto nivel de protección m ediante contrase-
ñas o palabr as de pase.
• Gestión de arch ivos e interacción con el sistema operativo.
El software de auditoría de propósito específico se elabora por los auditores
para utilizarlo en entidades concretas, para analizar aplicaciones determinadas;
por lo que no es necesario que tenga tantas opciones y flexibilidades de trabajo
como el software general. El auditor debe analizar los sistemas de aplicación
que debe auditar y estudiar qué pruebas sustantivas necesitará realizar. A partir
de esos requerimientos, él (si domina las técnicas de diseño de sistemas y de
programación) o algún informático, puede elaborar el software específico.
En teoría, el software específico debe ser más eficiente, y el general
debe ser más fle xible y amplio.
176
Ut il izac ión del softwar e gener al y el e spec ífic o.
Cri teri os
• Software general: Debe usarse cuando se realizan auditorías en
muchas entidades diferentes sobre aplicaciones distintas. Ideal para
auditores externos.
• Software específico: Debe usarse cuando se trabaja en una sola
entidad o en varias entid ades con caracte rísticas similar es y con
sistemas de aplicación similares. M uy apro piado pa ra auditores
inter nos.
La auditoría a las bases de datos requiere de imagina ción y creatividad

por parte del auditor. Pero se pueden encontrar muchas opciones de traba-
jo en el software de auditoría disponible o en el que se puede elaborar.
En la tabla 10 .1 se of rece n alguno s ejemplos d e po sibles p rueb as
sustantivas utiliz ando el método de la auditoría a las bases de datos.
Tabla 10.1
177
Por supuesto, la auditoría a las bases de datos no necesariamente tiene que

limitarse a las pruebas sustantivas mediante software de auditoría a las bases
de datos. Además, resulta muy conveniente que el auditor revise el diseño de
las bases de datos, su estructura y las restricciones de integridad que se le ha
impuesto por las opciones de diseño de los analistas y programadores.
Por lo general, en los sistemas informáticos de tipo contable-financie-
ro, la s bases de datos se diseñan ac orde al mo delo relac ional de d atos,
diseñado por Codd y Date, y acogido por casi la totalidad del software
disponible en el me rcado para la gestión de las bases d e datos. Ese modelo
se basa en el concepto de “relación” o “tabla”, caracterizado por su senci-
llez y su adecuació n a los problemas contables o financ ieros. Una tabla es
una matriz de dos dimensiones, por lo que los archivo s de un sistema de
base de datos orga nizado acorde a ese modelo, estarán organizados de esa
forma. La Fig. 10.2 muestra un ejemplo de re lación o tabla.
178
Fig. 10.2. Ejemplo de relación o tabla de un sistem a de base de datos basado en el
modelo relacional
Además, el modelo relacional se a poya en la lógica matemática para
logr ar adec uados d iseños de las bases de dato s. Esta blece un conjunto
de reglas que, al ser seguidas, se garantiza una óptima calidad sintáctica de
diseño en el sistema (un sistema de bases de datos, como todo sistema infor-
mativo, está sujeto a las le yes de la semiótica, y las regla s del mo delo
relacional no pueden garantizar la calidad semántica y pragmática: ambas
dependen de la creatividad de los diseñadores y su técnica de diseño). Se ha
sugerido en el capítulo correspondiente que el auditor adquiera los conoci-
mientos mínimos sobre bases de datos, y estos, por supuesto, incluyen las
características básicas del modelo relacional.2 Conocer otros modelos no está
de más: el auge del www3 en los últimos tiempos demuestra lo necesario de
estar informado en esas nuevas formas de almacenar información.
La rev isión del d iseño de la s bases de datos no e s exactamen te una
prueba sustantiva, sino más bien una prueba de control. Se requiere para
ello c onsultar la documentació n de diseño del sistema , a los efec tos de
poder ana lizar adecuadamente los criterios d e diseño. La consu lta de la
2
Existe mucha informació n sobre el modelo relacional de bases de dat os. Al respecto, puede
consultarse, además de la obra de J.Martín, Organización de las bases de datos, consignada en
bibliografía, el excele nte texto de R.G.G. Catell, “Object Data Man agement”, publicado por
Pub.Co., 1994; donde secomparan diferentes modelos entrelos cuales se encuentra,por supuesto,
el relacional.
3
En rigor, el diseño del www no es nuevo,aunque su aplicación práctica relativamente lo es. El
Web se basa en el conce pto de “hipertexto” y su extensión, el de “h ipermedia”. Desde 1945
Vannebar Bush propuso el hipertexto como forma básicade organizarinformación documental
en una computadora. Pero además, el hipertexto adquierela formade “red”,donde los nodos son
elementos informativos (textos, imágenes, etc.) y los enlaces o vínculos, son los arcos entre
nodos. Ese modelo en red (o reticular) fue el modelo básico de bases de datos en los años sesenta
y setenta(sistemas IDMS o TOTAL, basados en las recomendaciones de CODASYL),hasta los
finales de los setenta,cuando el modelo relacional se impuso.O sea, la tecnología de las bases de
datos ha dado unavuelta completa, ha desarrollado un ciclo,regresando a sus orígenes.
179
documentación es b ásica también para planear las prueb as sustantivas que
se realizarán mediante el software de auditoría a la s bases de datos.
Debe enfatiz arse qu e la re visión d el dise ño se r efiere f undamen tal-
mente al diseño lóg ico, el cual p resta atención a las informaciones qu e se
alm acenarán en la base de datos y las relaciones entre la s mismas. El dise-
ño físico, orientad o a la ubicación y gestión de las ba ses de datos en las
computadoras, reque rirá de la asesoría de un especialista en informática.
Un tipo especia l de auditoría a las bases d e datos es el análisis, rastreo
o segu imiento de las transacc iones. Con siste en analizar una (o va rias)
transacciones deter minadas, y mediante técnicas de búsq ueda analizar como
ha afectado a las b ases de datos. Es conveniente que se conserven todas las
transacciones en f icheros (como se ha expuesto, más o menos explícita-
mente en otros luga res de esta obra), para analizar las mismas, cuando se
requiera. Esta prue ba puede resultar muy compleja, y hasta imposible, si el
sistema es muy integrado en cuanto a información. Una variante es intro-
ducir en el sistema un subsistema de au ditoría. Sus características se anali-
zarán más adelante.
La auditoría a la s bases de datos debe utilizarse e n combinación con
otros métodos, c omo la auditoría a las entradas y a las salidas.
AUDITOR ÍA A LAS ENTRADAS
La auditoría a las informaciones de entrada, a las entr adas o el análisis

de las informacion es que entran al sistema informático , es un método muy
importante pa ra que el auditor pueda asegurar que:
• El sistema inform ático ha procesado todos los datos: nada se ha per-
dido, nada ha sido indebidamente escondido o retirado.
• No ha sido proce sado ningún dato más de lo que se debía: nada se
ha agregado.
• Se han procesado los datos requeridos: nada ha sido alterado o mo-
dificado por error o c on requeridos dolosas.
• Todas las info rmaciones procesad as han sido autor izadas de bida-
mente por los funcio narios competentes.
Si los controles h an sido adecuados, la información llegará al sistema
informático cumplie ndo esos objetivos, pero si son inex istentes o débiles,
se requerirán de pr uebas sustantivas que permitan evalu ar la calidad de la
información asimila da por el sistema. (Ver Fig. 7.5 y su explicación en el
capítulo 7)
180
Los controles a la información primaria y de entrada h an sido clasifica-
dos en la sig uiente forma:
• controles de preparación
• controles de transmisión
• controles de captu ra de información
Estos son una com binación de controles automáticos (incluidos en el
sistema informático, y ejecutados cuando la información esté en proceso de
captarse) con controles de tipo administrativo, organizativo o “manuales”.
Por ejemp lo, controlar si la fecha de una tr ansacción está den tro de un
rango razonable (co mo mínimo, el día entre 1 y 31, el m es entre 1 y 12, el
año en curso), es u n control de tipo automático; la sum a control es mixto,
y el chequeo de autorización puede ser exclusivamente a dministrativo (aun-
que de contarse con scanners, este control pu ede ser mixto).
Esos controles se deben garantizar durante la elabora ción o la adquisi-
ción del sistema in formativo, pero no siempre los diseñ adores y los vende-
dores proveen a su sistema de controles efectivos. Por ello, el auditor debe
estudiar la documentación del sistem a y evaluar aquellos co ntroles apa-
rentemente débiles o inexistentes. Si no existe documen tación, deberá ob-
servar la operación del sistema y tomar la decisión de qu é pruebas realizar.
Sobre esta cu estión ya se ha escrito en esta obra.
La auditoría a las entr adas deb e co menz ar e n el sitio d onde se orig i-
na n lo s da tos prim ario s, e n su fue nte origina l. Como se r ecor dará , este
es uno de los puntos c ríticos a se r c ontr olad os. Las prue bas a re aliz ar
po r el aud itor en este pun to son, entr e otras, las que se muestran en la
ta bla 10. 2.
Tabla 10.2
181
182
Las pruebas a realizar durante la transmisión de inf ormación –otro de

los puntos cr íticos a revisar– permiten detectar violaciones de los controles
establecidos o con troles débiles en ese punto. Algunos ejemplos de prue-
bas a realizar se ofre cen en la tabla 10.3.
Tabla 10.3
183
Durante la captura o captación de información se debe analizar los con-

troles que disminu yen al mínimo los errores de tecleo o las acciones mal
intencionadas. En c aso de que el auditor considere que hay controles débi-
les o que algunos f altan, deben realizarse las pruebas que considere nece-
sario. Algunas d e las posibles se mencionan en la tabla 10.4.
Tabla 10.4
184
185
186
En los programas d e captura de información es tradic ional incluir pro-
cesos de detección de errores de tecleo y escritura. Es conveniente que el
auditor revise eso s procesos, ya sea mediante datos de prueba o mediante
el análisis de los programas de captura. Algunos pro cesos típicos son:
• Comprobar los ra ngos de valores máximos y mínimos de aquellos
datos que sean pr ocedentes. Por ejemplo, en las bases de datos sobre
un vuelo de un Boeing 757/200 no deben haber m ás pasajeros que
la capacidad máxima de l avión, esto es, 187.
• Comprobación de la existencia de un determinado dato. Por ejem-
plo, si se procesa n facturas en un sistema de ventas, es imprescindi-
ble la existencia del nombre del cliente.
• Existencia racio nal o no de un determinado dato. Por ejemplo, un
trabajador mascu lino no debe tener información en el campo “Li-
cencia por m aternidad”.
• Valor racional de un dato. Por ejemplo, no deben existir fechas de
nacimiento anter iores a 19 30 en una e ntidad de un país, p ues es
poco probable que a los 70 años aún existan trabajadores en activo.
Muchos de los leng uajes actuales proveen fuertes fun ciones de valida-
ción inco rporadas automáticamente. Por eje mplo, los lenguajes xBASE,
cuando proporciona n el tipo de dato “Fecha”, ya inco rporan en el mismo
las rutinas de validación que impiden, por ejemplo, que se produzcan erro-
res como el q ue sigue: “31/06/99”.
La auditoría a la s informaciones de entrada proporc iona gran seguri-
dad al auditor sobr e el conocimiento del nivel de calida d de la información
procesada por el sistema.
AUDITOR ÍA A LAS INFOR MACIONES DE SALIDA
Al realizar la audito ría a la infor mación de resu ltado o de salida, el

auditor trata de lo grar un nivel de certeza tal, que le permita formar una
opinión sobre el sistema en este punto crítico del proce samiento. La infor-
mación de salida es fundamental para garantizar los objetivos que motiva-
ron el diseño o adq uisición del sistema informativo. Deb e permitir los pro-
cesos de dirección y control en la entidad, con eficien cia y eficacia. En
otras palabras, la info rmación de salida debe:
• Responder a las n ecesidades de dirección y contro l de la gerencia.
• Responder a las n ecesidades de instancias superior es (juntas de ac-
cionistas, etc. ) y de agencias gubernamentales, si procede.
187
• Llegar a sus destinatarios en el momento adecua do y en la forma
más conveniente.
• Estar protegida d e manera que nadie no autorizado tenga acceso a la
misma.
• Cumplir con las d isposiciones legales existentes, e n cuanto a forma-
to, tiempo de co nservación, etc.
El auditor debe analizar la documentación del sistema y observar detenida-
mente, durante un período de tiempo razonable, su operación, a los efectos de
comprobar la existencia de los controles necesarios y su nivel de efectividad.
Recordarán que en el capítulo correspondiente a controles, se presentaron los
relacionados con la información de resultados. Estos se dividían en:
• Controles de distribución
• Controles de conciliación
• Controles a dicionales
La auditoría a las informaciones de salida debe come nzar en el área de
procesamiento de da tos, continuar por las áreas usuaria s de la información
(por supuesto, p ueden coin cidir, en el caso de sistemas distribuid os; lo
cual es la tendenc ia normal en este momento); y conc luir en el área de
archivo de dicha información. Además, debe prestarse mucha atención a
los canales y métod os de distribución.
En el caso de contr oles débiles o inexistentes, en los procesos de distri-
bución y entrega de la información, el auditor debe realizar un conjunto de
pruebas sustantivas (ver Fig. 7.5 en el capítulo 7), co mo las que se mues-
tran en la tabla 10.5.
Tabla 10.5
188
Además de prestar atención a los procesos de distrib ución, el auditor

debe atender con m ucho cuidado a la información recog ida en listados de
salida y repo rtes en papel o en pantalla, para lograr un alto nivel de certe-
za en cuanto a su c orrección y a su adecuación a los objetivos del sistema.
Para ello deberá an alizar los controles de conciliación e xistentes, los cua-
les, como se re cordará, tienen como objetivo establece r comparac iones
entre ciertas opera ciones, para garantizar la integrida d de la información
procesada, así co mo su corrección
Si considera que e sos controles son débiles o que alg ún control necesa-
rio no existe, debe rá realizar un conjunto de pruebas su stantivas, como las
que se presentan en la tabla 10.6.
189
Tabla 10.6
Finalmente, deberá analizar otras situaciones adicion ales con relación

a las salidas, y si lo estima convenien te, realizar pruebas adicionales. En la
tabla 10.7 aparecen algunos ejemplos.
190
Tabla 10.7
La auditoría a las informaciones de salida complemen tan a las que de-

ben realizarse a las bases de datos y a las entradas.
SUBSISTEMA DE AUDITORÍA, AUDITORÍA

SISTEMÁTICA O AUDITORÍA DESDE EL SISTEMA
El método de auditoría sistemática o subsistema d e auditoría o tam-

bién auditoría desd e el sistema consiste en agregar u n conjunto de progra-
mas al sistema que se desea auditar, para que estos pro gramas realicen la
tarea de auditar regularmente el sistema. Por supu esto, debe con cebirse
desde el proceso d e diseño del sistema de aplicación, e implica una pro-
funda relación técn ica entre diseñadores y auditores, los que deben reflejar
también sus necesidades durante su elaboración.
El subsistema de auditoría debe contar con una base de datos, para al-
macenar constantemente la información procesada en el sistema informático,
191
a los efectos de co ntrolarla y evaluarla posteriormente. Es conveniente que
esa base de datos sea en crip tada . Ta mbié n el acce so a l su bsistema de
auditoría debe estar protegido por palabras de pa se o contraseñas.
El subsistema de auditoría analiza cada operación ( movimiento, tran-
sacción), en su flujo a través de los elementos que co nforman el sistema
informático; y si c oincide con determinados criterios p redefinidos, se es-
cribe un registro e n la base de datos de auditoría. Ento nces, otros progra-
mas de l subsistema se encargar án, sistemá ticamente o a solicitud de los
auditores, de conta bilizar la información contenida en la base de datos de
auditoría.
El subsistema de aud itoría debe mo dificarse tam bién, ante cu alquier
cambio del sistema info rmático en su conjunto.
Los resultados de sa lida del subsistema de auditoría pueden haberse
diseñado previamente, a solicitud del auditor, y haber sido programados e
incluidos en el subsistema o pueden obtenerse ad-hoc, acorde a las necesi-
dades del auditor, con un lenguaje estilo SQL. Ello imp lica un dominio por
parte del auditor d el lenguaje y las técnicas de program ación y de interro-
gación a bases de datos.
Otra forma para ob tener informa ción de la base de da tos de audito ría,
es u tilizar un sof tware e specializado, como el explic ado anteriorme nte.
Este softwa re, tal como se analiz ó en la secció n de aud itoría a las b ases
de d atos, p or lo g eneral, es par ametriza do, fle xible, con men ús muy cla-
ros, de man era ta l que p ermite al auditor mo dificar los cr iterio s de se lec-
ción con un mínimo de esf uerzo. Es la ap licació n a las bases de dato s de
auditoría, del método ya explica do de “Auditor ía a la s bases de datos”y
el software en cue stión p uede se r el p aquete Idea fo r Windo ws, tam bién
ya m encion ado.
Si el subsistema d e auditoría va a ser integrado en la aplicación que se
diseña, entonces e l departamento de auditoría se convierte en un usuario
más de los diseñado res del sistema informático; por lo cual deben manifes-
tar sus necesidade s. Además, el auditor tiene que con ocer profundamente
las técnicas inform áticas y la lógica de diseño, para po der especificar los
criterios de selecc ión de los registros que se grabarán en la base de datos
de aud itoría, y la frecuen cia lógica con que e sto se har á (cada cu ántas
transacciones, cada qué tiempo, etc.).
Según algunas expe riencias, el incremento del costo de elaboración, al
incluir el su bsistema de auditoría en e l diseño de la aplicación , puede fluc-
tuar entre un 2 % y un 5 % del costo total.
192
MÉTODO DE DATOS DE PRUEBA
Uno de los métod os empleados como prueba de con trol, es llamado

“de datos d e prueba”. El obje tivo es probar los programas del sistema
informático con datos totalmente controlados, en los cu ales se conoce per-
fectamente cuáles son los resultados a obtener. Si coinc iden los resultados
del sistema informá tico con lo esperados, es de suponer que existe un ni-
vel de certeza razo nable de que trabaje con una calida d aceptable, cuando
esté utilizan do datos reales. Si por el contrario, se detectan diferencias, el
auditor deberá rea lizar investigaciones más profundas para determinar a
qué se deben dichas diferencias. Esas investigaciones se realizarán en for-
ma de pruebas susta ntivas, de las que varias de las más importantes se han
explicado ya (ver Fig 7 .5, en el capítulo 7).
Existen alguna s variantes del método de da tos de prueba:
• Banco de prueba s (bench test).
• Método integrado de pruebas (MIP).
El primero presup one la cre ación de un conjunto d e datos, c reados
especialmente para probar el sistema informático durante su funcionamiento.
Ese conjunto de datos debe considerar las principales a lternativas lógicas
del sistema y, a la vez, ser representativo del comportamiento real que se
supone deban tener los datos. Los datos de prueba tam bién pueden prove-
nir de datos histór icos existentes en la entidad o en o tra análoga, con la
añadidura de alguno s datos por el auditor, a los afecto s de probar ciertas
alterna tivas de proce samiento. El sistema se prue ba exclusivame nte con
esos datos.
Por supue sto, la elab oració n de e se con junto de datos req uiere del
con ocim iento de la activida d qu e se auto matiza. Cuan do e l sistem a a
aud itar trabaja en f orma d e lote s o b atch, el con junto de da tos pu ede
agru parse en:
• Datos para los ar chivos permanentes de las bases de datos. Implica
tener datos de altas (la mayor parte), de bajas y d e modificaciones;
para comprobar c ómo se comportan los programas que deben aten-
der esas funciones básicas.
• Datos para transa cciones o movimientos, utilizado s para actualizar
los archivos de las bases de datos. Esas transaccio nes o movimientos
deben abarcar el universo de todas las operaciones existentes en el
sistema. Por ejemp lo, si en un control de inventario s existen entradas
193
de materiales al a lmacén, salidas de materiales, dev olución de entra-
das y devolución de salidas; los datos de prueba deben considerar
todas las posibles alternativas.
Si el sistema traba ja en un entorno interactivo u on-line, los datos para
transacciones o movimiento s pueden introdu cirse manualmente a través
del teclado o crear los en otro equipo y transmitirlos por las redes de comu-
nicación. También d eberá considerar todas las alternativas expuestas ante-
riormente.
Los datos de prueba deben abarcar todas las posibles situaciones definidas
por el tiempo que requiera el sistema (cierres diarios, semanales, quinquenales,
mensuales, trimestrales, semestrales, anuales etc.); todas las definidas por ca-
racterísticas de la actividad (datos sobre todos los tipos de transacciones u
operaciones previstas); todas las posibles condiciones de error existentes,
etc. O sea, deben tratar de probar el sistema en la forma más exhaustiva
posible. Además, deberán hacerlo en una cantidad y tipos suficientes como
para que logren probar los cambios de hoja en las impresiones, los diferen-
tes tipos de afectaciones informativas (afectación a todas las cuentas conta-
bles, por ejemplo), etc. Por supuesto, deberá incluir también datos erróneos
orientados a probar los controles del sistema y las rutinas de cálculo.
Por supuesto, no pueden probarse todas las combinac iones lógicas que
la vida real supone , pero al menos debe tratarse de ela borar datos lo más
completos posibles.
Existen programas generadores de datos de prueba, que pueden sim-
plificar mucho el trabajo del auditor.
Realmente, cuando el sistema a auditar es grande y c omplejo, es extre-
madamente difícil diseñar un conjunto satisfactorio de dato s de prueba.
Ello se complica má s aún, si el sistema debe trabajar en un entorno on-line,
y también en co ndiciones de comunicación con otras máquinas.
Una solución sería , probar por partes el sistema, y p or tanto, ir gene-
rando parcialmente los datos de prueba.
Es recome ndable también c onservar los dato s después de utilizarlos,
para realiza ciones futuras de otras auditorías.
El segu ndo es una va riante más co mpleta del m étodo anterio r, y es
llamado “método integr ado de pruebas (MIP)”.
Implica desarro llar conjuntos de d atos de pr ueba con características
similares a la s explicadas.
En este método se trabaja en condiciones reales de e jecución, pero in-
corporand o los datos de pr ueba a la base de datos real. Las p ruebas se
realizan utilizando los mencionados datos de prueba, a nalizando todas las
opera ciones que ejecute e l sistema y estudian do su efec to sobre d ichos
datos, a través de los resultados de salida.
194
La auditoría se lleva a cabo sin interrumpir la explotación normal del
sistem a.
De esa forma, los datos falsos (de prueba) son cread os, actualizados,
utilizados en los r esultados y después borrados. Para e vitar confusión con
los datos reales y su acumulación en resúmenes y totale s; debe tenerse un
cuidadoso control sobre estos. Un método es emplear un conjunto de cuentas
falsas, fácilmente identificables a través de nombres y códigos absurdos,
de forma que pueda n ser borrados fácilmente al finaliz ar la auditoría, y
que además, no sumen ni se consoliden con ningún otro dato real.
El método de dato s de prueba permite tener una idea muy exacta de la
eficiencia y eficac ia de los controles en el sistema, per o no permite la de-
tección de fraudes. Por ello se insiste en utilizarlo en una armónica rela-
ción con las prue bas sustantivas.
MÉTODO DE SIMULAC IÓN PARALELA
Otro método que fo rma parte de las pruebas de control, y puede utilizar
el auditor para log rar certeza sobre la calidad del proce samiento en el sis-
tema informático en la auditoría, es el de simulación paralela.
En este método, se requiere escribir un programa qu e simule las fun-
ciones de la aplica ción real que se quiere auditar (por ejemplo, rutinas de
cálculo complejo o situaciones lógicas). Los auditores utilizan los mismos
datos de entrada del siste ma real, e n el siste ma simulad o y verifican la
correspondencia y c orrección de las salidas del sistema r eal, contra las que
ofrece el sistema simulado.
La simulación para lela precisa programas que procese n los datos reales
y efectúen simulada mente los tratamientos del sistema or iginal. Ello presu-
pone que los auditores tengan habilidades en program ación y un profun-
do conocimiento de la actividad informatizada y del sistema a auditar.
Los program as de la simulación pu eden ser elaborados e n cualquier
lenguaje de progra mación, aunque es preferible, por r azones económicas,
utilizar algún paqu ete especializado de auditoría, el c ual debe proporcio-
nar la flexibilidad y rapidez necesaria para simular el sistema, a un costo
menor, que si se emplea algún lenguaje de programac ión convencional.
Otra varian te es u tilizar algún lenguaje de cu arta ge neració n (4GL) , el
cual permite u na gran p roductividad en e l diseño y program ación (Ac cess,
aunque no es propiam ente un 4GJ, es un sucedáneo muy satisfactorio, con
la ventaja de su g ran difusión y de que es conocido po r muchas personas.
Otra sería el Da taease Express, de gran facilidad de manejo).
195
Este método permite al auditor comprobar la lógica de algunas aplicacio-
nes complicadas, en menos tiempo que otros métodos. Además, al emplear los
mismos datos de entrada que el sistema a auditar, la validez de los resultados
de la prueba, es la máxima posible: proporciona un 100 % de seguridad en la
comprobación de los cálculos internos de un sistema, siempre que el sistema
simulado refleje adecuadamente las funciones del sistema real a auditar.
Claro está, las desventajas que puede tener el método son evidentes: la simu-
lación consume recursos y tiempo. Además, se corre el riesgo de que la simula-
ción no sea un modelo equivalente al sistema a auditar. Por ello, el auditor debe
evaluar esos riesgos contra el efecto que producirá su utilización.
Otro problema que puede encontrarse, es que la documentación del siste-
ma a auditar no exista o esté desactualizada. Ello puede impedir que se diseñe
el programa de simulación, al no tener los auditores una forma confiable de
estudiar las características del sistema. Además, suponiendo que pueda utili-
zarse dicha documentación, la necesidad de solicitar y emplear la misma, pue-
de afectar la independencia de la auditoría. Esto se acentúa ante posibles cam-
bios en el sistema original, los cuales deben conocer los auditores para adecuar
el sistema de simulación. Se requiere entonces establecer unas normas estric-
tas de envío sistemático de las especificaciones de las modificaciones al depar-
tamento de auditoría (lo cual es conveniente, no sólo para la realización de las
auditorías, sino también para la evaluación del diseño del sistema por parte de
los auditores, como se puede ver en otras secciones de esta obra).
A pesar de estos inconvenientes, la simulación paralela es conveniente
de utilizar cuando el sistema informático a analizar es utilizado en muchas
entidades (sucursales de una empresa, empresas similares, etc.); las cuales
deben auditarse. En ese caso, se justifica la inversión e n el sistema de si-
mulación paralela, pues los gastos podrán recuperarse rápidamente por el
ahorro de tiempo y el aumento de seguridad en las auditorías a realizar.
SOFTWARE GENERAL DE AUDITOR ÍA
Cada día hay más h erramientas de software que están siendo utilizadas
para la gestión y el desarrollo del tra bajo de auditoría. Ya fue comentado el
Idea for Windows, e specializado en auditorías a bases d e datos. Sin embar-
go, se están encontrando otros interesantes productos, algunos de los cua-
les vale la p ena comentar.
Po r lo ge ner al, las gr ande s c onsu lto ras han de sar rollado so ftwa re
pa ra u so d e su s em plea dos, el cual no com ercializ an, para gar antizar la
sa lvag uard a de sus ven taja s co mpetitiv as. Pero tam bién se encu entr an
196
aplicac iones interesantes, las cuales se comercializan, por lo que están dis-
ponibles para aquellas instituciones que dispongan de los recursos financie-
ros necesarios para adquirirlas.
Una de estas aplicaciones auditoras es Methodware Engine, que pro-
vee dos aplicacione s complementarias, Planning Advisor (ver pantalla prin-
cipal en Fig. 10.3 ) y ProAudit Advisor (ver pantalla d e una auditoría en
Fig. 10.4). Mediante la primera se lleva a cabo la organiz ación y pla-
neamiento de una auditoría (etapa 2 de la auditoría), a partir d e un análisis
de riesgos y de los objetivos a lograr en dicha auditoría . Todo ello se ali-
menta a la segunda, la cual permite ir desarrollando dicha auditoría, acu-
mulando en sus arc hivos todas las evidencias que los a uditores obtengan,
y permitiendo la e laboración del informe en una forma muy sencilla, pero
eficaz y e ficiente.
Ambas aplicaciones pueden ser utilizadas para gestio nar y desarrollar
una auditoría, y ser complementadas con otros métodos y her ramientas
explicadas e n esta obra.
De esta forma se han explicado un conjunto de métod os y herramientas
que perfectamente p ueden ser utilizados en forma integr al, como un siste-
ma que provee rá un fuerte arsenal a los auditores.
Fig. 10.3. Pantalla principal de Planning Advisor
197
Fig. 10.4. Una posible auditoría mediante ProAudit Advisor.

El equipo de auditores de COPAX S.A., importante co nsultora, con mu-
chos años de tradic ión en el negocio de la auditoría, lleva reunido un rato
para discutir un tema crucial para su negocio: el empleo de las TAAC.
Isaac Gado, auditor exp erimentado, argumenta:
–Si obtenemos Ide a for Windows vamos a poder entra r en las bases de
datos de los clientes. Unido a eso utilizamos el resto de las té cnicas tradi-
cionales que conoc emos para la auditoría a las entrad as y salidas, y ya
podemos audita r los sistemas. No necesitamos más nada.
Carlos Manuel Pé rez, un auditor más joven, expresa su criterio:
–No Isaac, creo q ue si incorporamos también los programas generales
de au ditoría tendremos mucha más potencialidad. Además, si va mos a
introducir cambios, h agámoslos completos.
Silvio Martínez, otro auditor, opina:
–Oigan, con tanto s cambios no sé adónde pararemos. Yo creo que has-
ta ahora nos va bien. Yo, por mi parte no estoy dispu esto a cambiar. Yo
termino mi ca rrera como la he llevado hasta ahora.
198
Pre gunt as
1. ¿Los métodos y h erramientas comentados en este capítulo pueden

ser utilizados má s eficazmente en forma conjunta, como un sistema,
o por el contrario pueden emplearse p or separado?
2 ¿Cuál es la lógica general de la auditoría a las bases de datos?
3. Diga las ventajas y desventajas del software de auditoría a las bases
de datos genera l y específico.
4. Mencione cinco funcione s de Idea for Windows.
5. Mencione tres pru ebas sustantivas que pueda efectuar en auditorías
con empleo de Id ea for Windows.
6. ¿En qué consiste el análisis, rastreo o seguimie nto de las tran sac-
cione s?
7. Diga por qué es necesario hacer la auditoría a las entradas.
8. Mencione tres pru ebas sustantivas a realizar a la información de en-
trada al sistema.
9. Mencione tres pruebas sustantivas a realiz ar durante la captura o
captación de información.
10. Exprese su opinió n sobre la necesidad de la audito ría a las salidas
del sistema.
11. Mencione tres prue bas sustantivas a realizar a los p rocesos de distri-
bución y entrega d e la información.
12. Cite tres ejemplos de pruebas sustantivas a los listados de salida o
los reportes de p apel en pantalla.
13. ¿En qué consiste la auditoría desde el sistema?
14. ¿Para qué sirve el método de datos de prueba? ¿Cuántas modalida-
des adopta?
15. ¿Cuál es el objetivo del método de simulación para lela? ¿Qué venta-
jas y desventa jas presenta?
16. Mencione dos prod uctos de software que sirvan par a la gestión ge-
neral de una auditoría.
Trate de vincular se a alguna consultora independien te o departamento

de auditoría intern a de alguna institución. Investigue q ué métodos y herra-
mientas de trabajo emplea. Compárelas con las mencion adas en el presen-
te capítulo.
199
INTRODUC CIÓN
Durante el desarro llo de esta obra se ha defendido, ex plícita e implíci-

tamente, una tesis que caracteriza a la auditoría contem poránea: el auditor
es un especialista que apoya con su trabajo, a la gerencia d e la entidad
donde trabaja; y es un asesor que tiene como objetivo m ás general, ayudar
a perfecc ionar el sistema d e dirección de la organización con la que se
relaciona, ya sea c omo auditor externo o interno. Dentro de esa línea gene-
ral de trabajo, se encuentra la auditoría a la fun ción informática.
Como tal, se concib e la planificación, la organización, la dirección y el
control de toda la actividad de procesamiento automatiz ado de la informa-
ción y su utilización por la gerencia de la entidad para la toma de decisio-
nes y el control. Desde hace más de cincuenta años, lo s cibernéticos han
demostrado que los sistemas d e dirección y control son, en realidad, y
sobre todo, sistem as de información. La informática, p ues, es el corazón
informativo de la entidad, y por tanto, de su actividad de dirección.
Esa es la razón pr incipal por la cual el auditor debe tener dentro de su
ámbito de trabajo, la auditoría a la función informática : es la atención al
sistema de direcció n y control de la entidad, algo de lo cual no se puede
prescindir en los momentos actuales, donde la adecua da administración,
sobre bases informativas sólidas, repre senta la diferencia entre el éxito y el
fracaso de una or ganización dada.
Se pudiera argumen tar que la auditoría a la función informática es una
actividad demasiada especializada para auditores más or ientados a los siste-
200
mas contables y financieros. Evidentemente, este es un ámbito de trabajo
mucho más enf ocado a cuestion es purame nte técn icas; po r ejemplo, la
instalación de determinado tipo de red de computadoras o el entrenamien-
to a los programad ores en cierto tipo de lenguaje de programación. Esas
cuestiones requiere n para su auditoría, a auditores espec ializados en infor-
mática, sin duda a lguna. Pero también existen cuestiones mucho más en-
focadas a la dirección y control de la entidad que requieren de la participa-
ción de auditores con un carácter más económico, más financiero, en su
especialidad de tra bajo. Estas pudieran ser: el plan de sistemas de aplica-
ción a desarrollar o a adquirir, el plan de sistemas de a plicación a mejorar
o modificar, el establecimiento de políticas de segurid ad y protección ge-
nerales de los recursos informativos, etc.
Esta es la razón que ha motivado la inclusión de este capítulo en esta
obra. Es un complemento imprescindible para la auditoría actual. Sin negar
la especialización, las cuestiones generales que aquí se abordan son de inte-
rés de cualquier auditor contemporáneo. Se tratará, eso sí, de darle un enfo-
que generalista a la información que se ofrezca, de manera que se presenten
los aspectos y se aborden las principales cuestiones con la profundidad ade-
cuada, pero en aquellos aspectos puramente técnicos (por ejemplo, la auditoría
a una red), el lector deberá recurrir a información más especializada.
DEFINICIONES GENER ALES
Sobre la auditoría a la función informática Zabaro y Martínez nos dice

que:
[...] no es más que el examen o revisión de ca rácter objetivo,
crítico , sistemá tico y se lectivo, q ue se efe ctúa mediante el
empleo de recursos, metodolog ías y técnicas de e valuación,
de las políticas, funciones, procedimientos e informes relaciona-
dos con los sistemas de información computarizados, para emi-
tir una opinión profesional sobre la eficiencia en el uso de los
recursos informáticos, la validez de la información y la efectivi-
dad de los controles establecidos, permitiendo asegurar:
• La seguridad de los recursos informáticos: p ersonas, datos,
hardware, software e instalaciones.
• El apoyo de la informática a metas y objetivo s de la organi-
zación.
• La seguridad, u tilidad, confianza, privacidad y disponibili-
dad de la inf ormación en el ambiente informático.
201
• Minimizar los r iesgos en el uso de las tecnologías de infor-
mación.
• Reducir malas decisiones de inversión y gastos innecesarios.
• Garantizar las funciones automatizadas con autocontrol y
pistas de aud itoría, etc.1
Independientemente de pequeñas diferencias de opinión en cuanto a
determinados matice s de la definición, es perfectamente suscribible a los
efectos de los obje tivos de esta obra. Especialmente de stacable es lo ex-
presado en la segun da pleca en cuanto a las metas y obje tivos de la organi-
zación. Se requiere que el auditor, como ente independiente de los infor-
máticos de la entid ad, analice y evalúe los planes info rmáticos elaborados
por estos y su eje cución, de manera tal que nunca se pierda el objetivo
fundamental de la f unción informática: el apoyo total a la dirección y el
control en la entidad.
La auditoría a la función informática puede tener un carácter más gene-
ral o más específic o, en dependencia de sus objetivos y propósitos. Entre
las auditorías más gene rales se pueden citar:
• Auditoría a la planificación
• Auditoría a la organización
• Auditoría a la seguridad
• Auditoría a la gestión
• Auditoría a los sistemas
Entre las auditorías más específicas se pue den mencionar:
• Auditorías a rede s de computación (tipo Novell, Windows NT, etc.)
• Auditorías a la seguridad del siste ma operativo
• Auditoría a los ser vicios de internet
Y otras de sim ilar carácter.
AUDITOR ÍA A LA PLANIFIC AC IÓN

DE LA INFOR MÁTICA
La informática, co mo cualquier actividad funcional d e la entidad, debe

ser planificada o programada al horizonte de tiempo ( más o menos largo)
que pueda ser p rovisto por la gerencia de la organización.
1
L. Zabaro, y C. Martínez: ob. c it., p. 43.
202
El plan informátic o debe permitir conocer qué aplica ciones se diseña-
rán o elaborarán, c uáles se adquirirán, qué hardware se instalará y cómo se
renovará, qué política de comunicaciones se establecer á, cómo se contra-
tará y entrenará al personal, qué política de seguridad se seguirá, etc. En
otras palabras, la planificación de la informática permite concretar en ac-
ciones ubicadas en un horizonte de tiempo determinado, aquellas políticas
informáticas qu e la entidad requiera para apo yar su gestión.
En dependencia de la complejidad de la organizació n, el plan infor-
mático puede dividirse en varios, a los efectos de un m ejor control. Algu-
nos de estos pudieran ser:
• Plan de organizac ión informática.
Puede incluir la misión de la informática dentro d e la entidad, sus
objetivos a corto, mediano y largo plazo, incidencia de la informáti-
ca en la organizac ión de la entidad, organización de la propia activi-
dad informática, política de personal, introducción de hardware y
software, etc.
• Plan de sistemas de información.
Definición de los sistemas de aplicación a elaborar, adquirir, modifi-
car, sustituir o e liminar a corto, mediano o largo p lazo; así como las
implicaciones que te ndrán en la entidad.
• Plan de requerimien tos y necesidades.
Definición de las necesidades de software, hardwa re, equipos auxi-
liares, personal, instalaciones y otros requerimientos; para apoyar el
plan de sistemas.
• Plan de segurid ad y protección de los recurso s informativos.
Actividades a desar rollar para gar antizar la seg uridad y protec ción
de los recu rsos in formativos. Inc luye plan de c ontinge ncias y re-
cup eración.
• Presupuesto de informática.
Abarca los principales gastos (e ingresos, cuando proceda) que exi-
girán la aplicación de los planes anteriores.
El auditor debe re cabar información sobre los planes anteriores y anali-
zarlos entre sí, para determinar si en realidad conforman un sistema orgáni-
co y armónico de planes o si existen incongruencias o incompatibilidades.
Después, deberá an alizar si los planes informáticos a nalizados garanti-
zan los objetivos y metas de la entidad en los mismos h orizontes de tiem-
po. Ello implica un a comparación entre los planes gener ales de la entidad
203
a corto, mediano y largo plazo; y los planes informá ticos. Después hay
que tratar de r esponder las preguntas como las siguientes:
• ¿Garantizan los planes informáticos los objetivos y metas de la enti-
da d?
• ¿Los planes infor máticos apoyan los planes generales de la entidad?
• ¿Existen o existirá n áreas de pro blemas sin solucionar en la e nti-
dad, que re quieren de la adecuac ión de los planes in formáticos?
• ¿Hay incompatibilidades entre lo planificado por la informática y lo
planificado en gene ral por la entidad?
• ¿El presupuesto d e informática es racional?; ¿se enmarca dentro de
los presupuestos generales de la entidad, sin contradicciones o in-
compatibilidade s entre ellos?
De las respu estas q ue obte nga el a uditor, del aná lisis de los docu men-
tos que rea lice, de las entrevistas qu e efec túe, de berá ob tener las con clu-
sione s que re flejará en su info rme so bre la auditor ía a la planificació n de
la informática.
AUDITOR ÍA A LA ORGANIZAC IÓN

DE LA INFORMÁTICA
La auditoría a la organización de la informática tiene como objetivo

determinar que existe total correspondencia entre la misión y los objetivos
de la función infor mática y la forma en que están organ izados los recursos
con que cuenta.
La auditoría a la organización consiste en realizar una revisión profunda
de la estructura organizativa de las áreas informáticas, sus funciones, los
recursos materiales, humanos, de hardware, de software con que cuenta la
entidad; las normas de trabajo, sus políticas, estándares y procedimientos,
etc. En otras palabras, es una auditoría de organización, pero concentrada en
la informática.
Las herramientas y métodos de trabajo que deberá utilizar el auditor
son las entrevistas, el análisis de documentos y las observaciones.
Deberá entrevistar se con los funcionarios y empleado s del área de in-
formática; pero ta mbién con sus principales usuarios, así como c on los
miembros de la gere ncia que tienen subordinadas a las á reas informáticas.
De esas entrevistas deberá obtener una comprensión cabal de cómo la infor-
mática responde a las necesidades de la entidad y de si existen obstáculos de
tipo organizativo que impidan o dificulten esa respuesta.
204
Deberá analizar documentos tales como Planes, Organigramas, Funcio-
nes, Contenidos de trabajo, Manuales de normas, organización y procedi-
mientos, Presupuestos, Programas de formación y capacitación de personal,
entre otros.
Deberá determinar cu estiones tales como:
• La u bicación jerárq uica de l área d e infor mática en la en tidad e s la
más fav orable par a qu e rea lice sus funciones y cu mpla con sus
ta rea s.
• Correspondencia en tre los planes, las políticas de tr abajo, los objeti-
vos y los recurso s con que cuenta el área de infor mática. Debilida-
des detectadas e n este sentido.
• Adecuación de las funcio nes y contenidos de trabajo esta blecidos
para e l área inf ormática y sus emplea dos, y las tareas que deben
desarr ollar.
• Desempeño de las funciones que realiza el área de informática.
• Conocimiento de la misión, los objetivos de trabajo, los planes y las
funciones po r parte del personal de informática.
• Adecuación de las normas, estándares de trabajo, procedimientos y
organización con las funciones que se espera del área de informática.
Correspondencia con el nivel técnico y tecnológico de la actualidad.
• Adecua ción de lo s manuales de normas, organiza ción y pro cedi-
mientos con la actividad real que se desarro lla en el área.
• Correspondencia e ntre las políticas de selección, f ormación, capaci-
tación, rotación y despido de personal y la misión, los objetivos y los
planes de trab ajo del área.
• Correspondencia en tre la estructura interna del área de informática y
las necesidade s del trabajo que se realiz a en la misma.
• Adecuación de lo s procedimientos de comunicación con las necesi-
dades de los planes de trabajo y programas de desarrollo.
• Correspondencia entre los contenidos de trabajo de los empleados
del área y las func iones de la misma.
Para efectuar esas investigaciones, el auditor puede v alerse del trabajo
complementar io de especialistas en informática, como hem os expresado
en otros lugare s de esta obra.
Los resultados del trabajo del auditor deben ser discutidos tanto interna-
mente con la gerencia de informática, como con sus superiores y principales
usuarios, de manera de que la organización de la función de informática no
205
se convierta en un obstáculo, sino más bien en un conjunto de condiciones
favorables para el de sarrollo del trabajo.
AUDITOR ÍA A LA SEGUR IDAD Y PROTECC IÓN

DE LOS RECUR SOS INFOR MATIVOS
Sobre este tema se ha dedicado un capítulo en esta o bra, por lo que no

se considera necesario ampliar más aquí; excepto un a specto muy especí-
fico: la segu ridad de los proyectos de sistemas que se desarrollen en el área
de informática.
Los proyectos (sistemas informáticos de aplicación) que se están desa-
rrollando en el áre a de informática pueden ser objeto de espionaje electró-
nico o por o tros me dios. Asimismo, las per sonas qu e traba jan en e llos
(analistas de siste mas, ingenieros de software, program adores, operadores
de computadoras, se cretarias, etc.), deben ser instruid os sobre la necesi-
dad de la discreción y de la no difusió n de las características d e su trabajo.
Debe garantizarse la adecuada docum entación de los sistem as que están
en proceso de elab oración, explotación y modificación ; a los efectos de
que sus proyectistas garanticen su continuidad en caso de abandono de la
entidad por alguna causa. Deben establecerse proteccion es de variado tipo
(encriptacion es, palabras de pase, fire walls, etc.), para evitar que a través
de las redes de co mputadoras difundan indebidamente los resultados del
trabajo de diseñ o y elaboración.
Por exten sión, el resto de las actividades d e planificación, organiza-
ción, documentación , gestión, instalación de equipamien to, etc.; debe ser
sometido a las mismas medidas de seguridad y protección.
El auditor debe re alizar entrevistas y analizar docu mentos, pero tam-
bién observar deten idamente cómo se realiza el trabajo e n el área de infor-
mática, para obtene r sus conclusiones sobre el nivel de seguridad y protec-
ción de los recursos q ue se manejan en ella.
No debe olvidarse que la inmensa mayoría de los controles generales y
de aplicación de informatización o PED nacen en el ár ea de informática,
por lo que parte de la función del auditor será comprobar el nivel de cultu-
ra existente sobre el tema entre los diferentes emplead os del área y en la
gerencia de la entidad.
Los resultados del trabajo, al igual que en el anterior caso, serán discu-
tidos internamente con la gerencia y los empleados y co n los niveles supe-
riores y principales usuarios del área.
206
AUDITOR ÍA A LA GESTIÓN INFORM ÁTIC A
“Gestión” es sinón imo de “dirección”, de “administra ción”; luego esta

auditoría se incluye dentro del campo d e la auditoría de gestión u operativa;
pero orientada a la función informática.
En cierto sentido las auditorías a la planificación y la organización forman
parte de esta, pues como funciones generales de la dirección, integran la ges-
tión. Sin embargo, en la que nos ocupa se concentrará la atención en la toma
de decisiones, el control, la utilización de recursos y la eficacia y eficiencia
con que se realiza.
La auditoría a la gestión informática se debe realizar teniendo en cuen-
ta un conjunto de factores:
• Actividad que se rea liza en la entidad.
• Complejidad y magnitud de dicha entidad.
• Desarrollo alcanz ado en la actividad informática. Volumen de pro-
cesamiento autom atizado de información y grado de dependencia
de la gestión y control de la entidad de la informática.
• Política organizativa y de dirección de la entidad: centralización/des-
centralización de las decisiones y el control, impacto de la informática
en la organización de la entidad y en su estructura organizativa, etc.
• Grado de centralización/d escentralización del procesamien to de la
información.
Entre otros de sim ilar importancia.
Entre los aspec tos a evaluar por el auditor se encuentran:
• Centralización en las decisiones en el área informática. Participación
de especialistas.
• Dirección y contr ol de los proyectos. Técnicas emp leadas. Efectivi-
dad de las mismas. Utilización de recu rsos escasos.
• Control en la gestión informática. Métodos emplea dos. Resultados.
• Control de la ca lidad de los proyectos. Empleo d e metodologías y
estánd ares adecu ados.
• Utilización del p ersonal con el máximo de eficienc ia. Productividad
del trabajo de analistas y programadores.
• Control del costo de realización de la actividad informática en general.
• Adecuación de la s normas de consumo material y de trabajo a las
realidades. Utiliz ación de dichas normas en la direc ción y el control.
207
• Cumplimiento de los planes de desarrollo e implan tación de siste-
mas, así como de mantenimiento.
• Utilización de las capacidades instalada s de hardware.
• Utilidad del serv icio informático prestado. Adecuac ión de los siste-
mas implantados y en explotación a las necesidade s de los usuarios
y de la gerencia de la entidad.
• Análisis de las necesidades no satisfechas d e los usuarios.
• Nivel de cumplimiento de los parámetros técnicos de explotación de
equipos.
• Análisis de los b eneficios obtenidos por los siste mas implantados y
en explotación. Análisis cuantificable y no cuantificable.
• Relación costo/be neficios. Qué se ha invertido en la función infor-
mática y qué ha producido esta. Impacto económic o y social en la
orga nización.
Al igual que en lo s casos anteriores, el auditor deber á analizar los do-
cumentos disponibles y relacionados con este trabajo, en trevistarse con
funcionarios y emp leados del área informática, con sus usuarios y con la
gerencia superior; pero sobre todo deberá observar cómo se realiza el tra-
bajo y qué nivel d e satisfacción tienen lo s usuarios. Resulta impo rtante
también aquí la infor mación obtenida por medios informales (r umores,
conversaciones “de pasillo”, etc.), pues permite encontr ar puntos débiles a
analizar o estudiar d urante la auditoría.
Los resultados de esta auditoría son de suma importancia para la entidad:
la alta gerencia requiere conocer cómo se dirige a la actividad destinada a
optimizar la dirección de la entidad en pleno, qué nivel de eficiencia y de
efectividad tiene y cómo utiliza los recursos que tiene disponibles, especial-
mente la fuerza de trabajo.
Las conclusiones d el auditor deben ser discutidas co n mucha responsa-
bilidad: hay una gr an carga de subjetividad en estas, po r lo cual deben ser
elaboradas cuidado samente y expuestas también con de licadeza y correc-
ción. En muchos casos en este tipo de auditoría no existen pruebas ni evi-
dencias que mostra r, sino criterios y opiniones más o menos acreditadas.
El auditor debe ser capaz de señalar sólo aquellos criter ios sustentados por
hechos o situacione s tales que resulten innegables o irre batibles. Sus suge-
renc ias y re comendac iones d eben ser validad as por los criterios de los
especialista s (recuérdese que esta e s una actividad altamente compleja y
que presenta características peculiares) y refrendadas po r la gerencia a to-
dos los niveles.
208
Por supuesto, ta nto co nclusiones co mo rec omenda ciones deben ser
objeto de una amplia discusión con el área de informática , la gerencia y los
usuar ios.
AUDITORÍA A LOS SISTEMAS EN PROC ESO

DE ELAB ORACIÓN
Este aspecto también ha sido ampliamente tratado en el capítulo sobre

la auditoría a los sistemas en proceso de elaboración o adquisición, y tam-
bién en aquellos d onde se abordaron los problemas de controles y de la
seguridad y protecc ión de los recursos informativos; lo cual hace innece-
sario su desa rrollo aquí.
AUDITORÍAS A REDES DE C OMPUTACIÓN
En la actualidad cualquier entidad mediana o gran de cuenta con una

red de computación y tiene un modelo distribuido en e l procesamiento de
la información. De sde cualquier nodo de la red, una p ersona con ciertos
conocimientos de informática pudiera acceder a los rec ursos informativos
disponibles y utilizarlos en su beneficio indebido o en perjuicio de otras
personas e instituc iones. La auditoría a redes de compu tación permite de-
tectar fallas en los sistemas de seguridad y protección de estas y contribuir
a mejorar dic ha seguridad.
Este tipo de audito ría requiere un alto nivel de especialización técnica.
Además de los conc eptos generales, el auditor debe d ominar los coman-
dos del sistema ope rativo de red que se están utilizand o. Ello motiva que
este tipo de audito ría requiera habitualmente de persona l experto adicional
para complementar el equipo de auditores.
La auditoría a una red de computación pudiera dividirse en cinco gran-
des ámbitos de trabajo:
• Seguridad de los se rvidores de la red.
• Análisis de los contr oles de autorización.
• Protección de las info rmaciones almacenadas.
• Análisis del em pleo de la red.
El auditor deberá analizar las utilidades que el sistema operativo le brinda
para permitirle la auditoría. Por supuesto, cada sistema operativo tiene co-
mandos diferentes. La tabla 11.1 permite observar vario s ejemplos de sis-
temas y comand os a emplear.
209
Tabla 11.1
Fuente: L. Zabaro y C. Martínez: ob. cit., pp. 132-133; y artículo de D. A. Crowel,

ambos cons ignados en la bibl iografía.
En el caso de redes c onectada s a inte rnet, el problem a se com plica

considerablemente. El auditor debe velar por que se gar antice la confiden-
210
cialidad, la integr idad y la disponibilidad de los recursos informativos del
sistema; en condiciones de protecció n difíciles.
Deberá presta r atención, entre otras c uestiones, a:
• Políticas de seguridad y protección existentes.
• Control de l acceso.
• Protección de las info rmaciones almacenadas.
• Cumplimiento de la s normas éticas y legales establec idas en internet.
• Procesos de au tentificación.
• Procesos de a utorización.
• Protección de los serv icios que se prestan.
Algunas de las re comendaciones que pudiera dar el auditor como con-
clusión de su trabajo pudieran ser la s siguientes:
• Establecer cuentas p ara nuevos usuarios.
• Inhabilitar cuentas par a usuarios existentes.
• Establecer req uerimientos para nuevas cla ves de acceso.
• Proponer políticas de establecimiento, ac tualización y eliminación
de claves de acceso.
• Limitar la conexión de determinados usuarios a ciertos períodos de
tiempo.
• Definir las conexiones desde ciertas terminales.
• Limitar el espacio de disco a utilizar para deter minados usuarios.
• Definir el uso de ciertos recursos de la red para determinados usuarios.
• Especificar las pistas de auditoría a mantener sobre las conexiones y
desconexione s de la red.
• Proponer pistas de auditoría para detectar intentos de conexión a la red.
• Comprobar las de bilidades detectadas en la oper ación de la red.
• Comprobar la detec ción de intrusos.
En e l capítulo 8 se aborda n algun os aspe ctos de esta pr oblemática,
adicionalmente a los tratados aquí.
Finalmente, es bue no reiterar que la auditoría a la f unción informática
debe realizarse en toda entidad, por pequeña que sea, y adapta rse a las
características de esta, ya sea tan grande que posea miles de computadoras
conectadas en red, o un PC en una pequeña mesa. El a uditor debe emitir
sus recomendacione s en cada caso, para que la gerencia realice una mejor
utilización de sus recursos informáticos en apoyo a la dirección y el con-
trol de su entidad.
211
Caso 10 para me dit ar
Sergio Valle, auditor recién graduado de Licenciatura en Contabilidad

y Finanzas, y aficionado a la informática, de la cual tiene conocimientos
superiores a la med ia de sus colegas, ha sido incluido al grupo de audito-
res qu e deberá rea lizar una a uditoría integral a la corporación Antex.
Sergio está ansioso por demostrar sus conocimientos y su talento, por lo
que le expresó al auditor jefe de grupo, Prudencio Gómez, que podía asu-
mir la audito ría a la función informática de Antex.
–¿Estás seguro de eso? –le preguntó Prudencio–. Fíja te que Antex tie-
ne una red de compu tadoras de má s de 500 máqu inas, organizada en
forma compleja, y con diferentes sistemas op erativos trabajando, como
Novell, Windo ws y Unix. Ademá s, tiene un departamento de desarrollo
informático con ca si cincuenta personas. Es un trabajo muy amplio y es-
pecializado.
–No importa, yo siempre he trabajado en informática , he leído varios
libros y estoy convencido que puedo enfre ntarme a esto.
–Es que aquí no ba sta con conocer algo de Windows X P, de Excel, y de
nave gación p or inte rnet. Aq uí se re quiere experien cia y c onocimie ntos
profundos de informática. Vamos a buscar uno o dos ex pertos para que se
encarguen de esto , y te unirás a ese subgrupo como auditor junior.
Sergio acep tó la decisión a regañ adientes, pues conside ró que Pru-
dencio lo estab a subestimando.
Pre gunt as
1. ¿Cómo puede un au ditor más clásico, especializado en contabilidad,

finanzas, asumir una auditoría a la función informá tica de una enti-
da d?
2. ¿Qué es la “ función informática de u na entidad”?
3. ¿Qué busca la auditoría a esa función?
4. ¿Cómo pudiera dividir e ste tipo de auditoría?
5. ¿En qué consiste el plan informático d e la entidad?
6. Mencio ne tres cu estiones en las que d eba concentrarse el a uditor
que realice una a uditoría a la función informátic a de la entidad.
7. ¿Cómo definiría e l objetivo de la auditoría a la o rganización de la
entidad?
8. ¿Por qué debe protegerse el desarrollo de sistemas del espionaje elec-
trónico e industrial en general? ¿Cómo puede ayudar el auditor en esto?
212
9. ¿En qué consiste la auditoría a la gestión inform ática? ¿Considera
que puede formar p arte de la auditoría de gestión o administrativa en
gene ral?
10. ¿Por qué son nec esarias las auditorías a redes de computación?
¿En el lugar donde trabaja o estudia han hecho auditorías a la función

informática? ¿Qué o bjetivos de trabajo han tenido? Si tiene acceso al in-
forme, estúdielo y compárelo con los aspectos tratados en este capítulo.
213
INTRODUC CIÓN
La creación masiva de sitios WEB en los últimos años, destinados al co-

mercio, a la difusión de noticias, al intercambio científico, a la diseminación
de ideas, etc., ha propiciado la necesidad de perfeccionar constantemente los
objetivos, el diseño y las funciones de esos sitios. Muchos especialistas se han
dedicado a lograr ese perfeccionamiento, y se ha generado en ese campo
mucho conocimiento, indicando cómo realizar la evaluación de esos sitios.2
Esa tarea ha entrado con pleno derecho en la esfera de trabajo de los auditores,
sobre todo de aquellos que se dedican a la auditoría de gestión y a la auditoría
de la información y el conocimiento. Sin embargo, todavía hay que investigar
mucho en esa área.
Este capítulo resume el trabajo de investigación del autor en esta línea,
durante algunos meses, pero no puede verse como algo definitivo ni mucho
menos, sino más bien como una “meta volante” en el interminable proceso
de perfeccionar la actividad de auditoría en estos tiempos de cambio cons-
tante, de dinámica evolución en el conocimiento y la experiencia práctica.
1
Publicado en forma de artículo en la revista Giga,número 2, 2003, LaHabana. También presentado
al Congreso Internacional de Información “Info 2002”.
2
Un simple ejemplo indicativo: entre noviembrede 1999 y marzo de 2000,el autor consultó en
internet alrededor de 46 sitios que ofrecían información sobre laauditoría a sitios WEB. No fue
unabúsqueda exhaustiva.Seguramente que hoy se pueden encontrarmuchos más.
214
Se exp one en qué consiste la auditoría a sitios WEB y cómo puede
abordarse, a partir de un listado preliminar de aspectos a evaluar por parte
de los au ditores.
La auditoría a sitios WEB puede considerarse como par te de la auditoría
de la inform ación, p or lo qu e tiene relació n directa y estr echa con las
auditorías operativ as o de gestión. Esta relación no es n ada rara, es senci-
llamente la muestr a de que los tiempos cambian y con ellos las tecnolo-
gías, los métodos y los instrumentos de trabajo del ser humano. La WEB
ha devenido una he rramienta de primer orden para los negocios, la cien-
cia, el arte, y la comunicación humana en general, por lo que es lógico que
una gran parte de la información que se procesa en una entidad sea a tra-
vés de hipertextos e hipermedias, y consecuentemente, deba ser auditada,
tanto en auditoría s autónomas, como en aquellas que so n parte de esfuer-
zos de auditoría s mucho mayores.
LA AUDITOR ÍA A LOS SITIOS WEB

Podemos defin irla como: aquellos tra bajos d e análisis, rev isión, eva-
luac ión y p ropuesta de p erfeccionamie nto de los sitios WE B, de f orma
tal que se contrib uya a q ue su a ccionar apoye convenientemen te las fun-
cion es para los qu e fuer on crea dos.
La auditoría a lo s sitios WEB debe ser concebida cu idadosamente, or-
ganizada y ejecuta da en función de lo planeado, y debe insertarse en las
auditorías de gestión y/o de la información que se realicen en la entidad.
Se distingue de otros tipos de auditorías, entre otros elementos, por el
hecho de que se rea liza “a distancia”, sin necesidad de trasladarse a nin-
gún lugar físico. I ncluso el informe puede presentarse por la red informá-
tica, sin que nec esariamente se imponga la presen tación personal.
Los objetivos de la a uditoría está n directamente relacionados con la
función del sitio WEB, algunos de los cuales pueden ser:
• Influencia en la opinión pública, persuasión, promoción de ideas (.ORG).
• Negocios, mark eting (. COM3).
• Información, n oticias generales o específicas (.COM).
• Información científica, artística, técnica, etc. (. EDU; .ORG, . GOV)
• Apoyar el traba jo de organizaciones o instituciones (.ORG).
• Otr os
3
Es conocido que están naciendo d ivisiones de los domin ios “.COM”, como el “ .NET”, para
redes, “.INF” parainformación, etc.
215
El sitio WEB no e s un fin en sí mismo, es una herra mienta de trabajo
para p ropiciar actividades de gestión, co municación, negocios, etc. Por
esa razón, lo s aspectos a evaluar en la auditoría estarán en relación directa
con los objetivos d el sitio, objetivos que tienen que ser muy estudiados y
analizados por lo s auditores durante su proceso d e planificación.
Existe una relación dialéctica directa entre los objetivos del sitio, sus
funciones y los aspectos a evaluar en la auditoría.
Una lista prelimin ar y probablemente incompleta de los aspectos a ser
evaluados es la siguiente:
• Información general e identificación.
• Precisión, confiabilidad y exactitud.
• Amplitud in formativa.
• Aptitud.
• Capacidad co municativa.
• Contenido básico.
• Sintác tica.
• Promoción y divulgación.
• Diseño y ar quitectura.
• Acc esib ilid ad.
• Utilidad.
• Económicos y financieros.
• Prof esionalidad.
• Valor añadido.
• Desempe ño.
Esa lista debe ser evaluada constantemente por los a uditores, cada vez
que se enfrenten a una nueva auditoría: cada sitio tiene sus particularida-
des, por lo que se requerirá un diseño de auditoría “a la medida”, en cada
caso. Pero es un buen punto de partida para la planificación de cada auditoría.
DETALLE DE LOS ASPEC TOS A EVALUAR

EN UNA AUDITOR ÍA A SITIOS WEB
La lista anterior está expuesta en una forma muy gen eral. Cada uno de
esos aspectos p uede abrir se en una serie más detallada. A continu ación
una propuesta:
Información genera l e identificación
 Nombre de la organización.
 Logotipo.
216
 Slogan pub licitario.
 Datos sobre lo s productos y servicios qu e se ofertan.
 Informaciones d e contacto de la entidad: Nomb re del gerente,
dirección postal y virtual, teléfonos, fax , e-mail, etc.
 Informacione s sobre la actividad de la entidad.
 Información sobre sucu rsales de la entidad.
Precisión, confiabilidad y exactitud
 Calidad de la digitalización y tipografía.
 Referencia a las fuentes informativas utilizada s, con objetivos
de comprobación o ampliación.
 Informaciones sobre los autores de los conten idos, y contac-
tos ( directo o indirecto) con ellos. Resumen del curriculum
vitae.
 Fechas de creac ión y de actualización del sitio, así como de
los materiale s utilizados.
 Seguridad de los hipervínculos.
 Datos de los pr oveedores de servicios de certificación y au-
tentificac ión (si existe): n ombre, e-mail, dir ección posta l y
virtual, te léfono , fax, etc.
Amplitud informativa
 Alcance de los temas tratados.
 Actualidad de estos temas.
 Citas deb idamente cumplim entadas.
 Relación entre la misión, objetivos y funciones de la organiza-
ción y los c ontenidos informativos presentados.
 Prestigio de los autores de los materiale s presentados.
 Aptitud de la entidad y los autores pa ra tratar los temas pre-
se nta do s.
 Vínculos a los sitios que presentan ampliación de la informa-
ción de los temas.
Aptitud
 Información sob re capacidad de la organización para abordar
los temas p resentados.
 Conocimiento de la organización.
 Relación de los autores de los temas con el c ontenido de los
mism os.
 Opiniones de otras organizaciones o personalidades sobre los
temas ex puestos.
217
Capacidad c omunicativa
 Estadísticas de v isita del sitio.
 Aplicación de los anu ncios publicitarios.
 Balance de in formación textual, gráfic a e imágenes.
 Lenguaje preciso y adecuado a los posibles receptores.
 Idiomas utilizados.
Contenido básico
 Relación entre las informaciones del sitio y e l propósito fun-
damental de la organización.
 Profundidad, co nfiabilidad y validez de los temas tratados.
 Autoridad profesional de los autores y la orga nización con re-
lación a los asp ectos tratados.
Sintáctica
 Calidad en la ortografía, la redacción, la puntua ción, los gráfi-
cos, las imágene s, los sonidos.
 Calidad en los textos completos, en los de resumen y de la
información f actográfica.
Promoción y divulgación
 Calidad de los ba nners, los mensajes publicitario s, los logotipos
de los anunciantes, sus datos, etc.
 Promociones p ublicitarias.
Diseño y ar quitectura
 Calidad de la atra cción del diseño.
 Variedad y calidad de las imágenes.
 Facilidad de acceso a las imágenes.
 Combinación erg onómica adecuada de los colo res del fondo,
las letras y los gráficos.
 Calidad estética de los gráficos, las imágenes, los textos y el
resto de lo s diseños.
 Arquitectura ade cuada del sitio.
Acce sibilidad
 Menú de fácil acceso, en todos los niveles del sitio.
 Retornos fáciles.
 Historia de a cceso, para facilitar su reproducción.
 Opciones de inscr ipción sencillas.
218
 Opciones de p ago por utilización de la información.
 Empleo de software general.
 Descarga sen cilla de información o a plicaciones.
 Utilización de motores de búsqueda adecuado s y difundidos.
 Opciones de búsq ueda diferentes.
 Rutina de trab ajo eficiente.
Utilidad
 Estadísticas de a ccesos al sitio.
 Estadísticas de informa ción bajada del sitio.
 Acciones generad as por las consultas del sitio (negocios, con-
sultas, etc.)
Económicos y financieros
 Costo del acceso.
 Fuerza de traba jo empleada en la confección y actualización
del sitio.
 Costo de los servicios de conectividad.
 Costo de la adquisición y amortiz ación d e los ac tivos f ijos
intangibles ( software, licencias, patentes, etc.)
 Costo de la adqu isición y amortización de activos fijos tangi-
ble s.
 Utilidad generad a por el sitio.
 Rentabilidad del sitio.
Profesional
 Misión y objetivos del sitio.
 Ética de la entidad.
 Declaraciones de la responsabilidad del sitio.
 Información so bre las actividades de la organización.
Valor añadido
 Servicios en línea que presta.
 Formularios p ara interactuar con la o rganización.
 Noticias actualizadas sobre temáticas de interés para los clientes.
 Información sob re mecanismos de consulta, b aja de informa-
ción, ven ta, etc.
 Información sobre se rvicios de posventa.
 Facilidades de pago. Ventajas. Estímulos. Promociones.
 Entre tenimien tos.
219
 Buzones de queja s y sugerencias.
 Servicios adicionales: asesoría, etc.
 Interacción con otros recursos de Internet.
Desempe ño
 Rapidez de consulta.
 Velocidad al bajar las imágenes.
Estos aspec to s a ev alu ar no son todo s, ni tie nen qu e ser lo en su
integralid ad, sino adaptarlo s a las características de cada sitio. Tampoco
todos tienen la misma importancia relativa, con relació n a cada uno de los
demás. Por ejemplo, un sitio comercial, orientado a la promoción y divul-
gación de productos, deberá ser eva luado en función de las facilidades
que muestre p ara tal fin. Por el contra rio, un sitio de una univ ersidad, será
evaluado en relación con la función principal de divulgar conocimientos,
y requerirá otro e nfoque de auditoría. Ello implica qu e en la valoración
final del sitio, lo s aspectos más relacionados con los ob jetivos y la misión
del sitio tengan un va lor relativo m ás alto que aq uellos que tie nen una
relación más d ébil o lejana.
Cada aspecto podr á ser evaluado mediante una esca la (pueden esco-
gerse cu alquiera de la s escalas tipo Likert, tipo Diferencial sem ántico u
otra variante similar) donde los extremos opuestos sean “Mal” y “Excelen-
te”, y los puntos intermedios “Regular”, “Bien” y “M uy bien”; o puede
utilizarse un a equivalencia cuantitativ a (por ejemplo: 1, 2, 3, 4 o 5), a los
efectos de realizar una valoración final mediante métod os estadísticos. Si
se utiliza este último método, deben ser c onsideradas las diferenc ias de
importancia de los diferentes aspectos evaluados, tal c omo se expuso en el
párrafo a nterior.
CONCLUSIONES
La complejidad de los sitios WEB crece a medida que las herramientas

creadas para elabor arlos proporcionan nuevas posibilida des. Ello hace que
no sea conveniente en estos momentos, proponer un a metodología muy
estructurada para realizar la auditoría . Los especialistas que e nfrenten esta
nueva responsabilidad, deben estar preparados para en frentar nuevos re-
tos, los cuales exigirán crear nuevos métodos y enfoque s para esos nuevos
sitios. Se requerir á investigar mucho sobre esta temática en los próximos
año s.
220
Durante la planeac ión de la auditoría de gestión que realiza la consul-

tora Copan S. A. a la corporación Surco Latino, surge la siguiente conver-
sación entre los au ditores del equipo:
–¿Y no vamos a eva luar el sitio WEB? Eso cae de llen o dentro de nues-
tro trabajo –p regunta Fernando, uno de los auditores.
–¿ Quié n te dijo eso? –respo nde Mario, calificado especialista en
auditoría financ iera–. Eso es un problema de los informáticos.
–¿Por qué? Es un sitio de venta a distancia de sus productos, y por
tanto la informació n que maneja influye directamente en la gestión –argu-
menta Fernando –, por lo que tenemos que me ternos en eso.
–¿Y alguien aquí sabe algo de eso? –pregunta Ramo na, otro miembro
del equipo.
–No sé –dice Fern ando– pero podemos investigar o apoyarnos en al-
gún experto.
–Yo no estoy de a cuerdo –continúa Mario–, nos vamos a meter en un
rollo que no nos corresponde y para el que no estamos calificados.
–Yo creo que Fern ando tiene razón –terció en la con versación Felipe,
jefe de l grupo–. Tene mos que analizar el sitio WEB. Para eso debemos
documentarnos antes y buscar un experto.
–Esto en cualquie r momento deja de ser una consultora de auditoría
–dice disgusta do Mario– para convertirse en un circo.
Pre gunt as
1. ¿Por qué la auditoría a sitios WEB debe formar parte de la esfera de

trabajo de l auditor?
2. ¿Cómo puede definir la auditoría a sitios WEB?
3. Caracterice los objetivos de esta auditoría.
4. Mencione cinco aspecto s generales a evaluar.
5. En cada uno de esos aspectos, analice los elemento s más específicos
a evaluar.
6. ¿De qu é depende el peso específico qu e el auditor debe da r a la
evaluación de cada aspecto general?
Analice el sitio WEB de la institución en que trabaja o estudia. Realice
una auditoría al mismo aplicando los criterios aquí expuestos.
221
INTRODUC CIÓN
Ha sido una situac ión habitual en las organizaciones, la escasez de la

información necesar ia para la toma de decisiones y el c ontrol. Esa necesi-
dad de las organiz aciones e individuos de disponer de sistemas de infor-
mación que permita n hacer más eficaces y eficientes sus procesos de di-
rección, ha generad o el desarrollo de técnicas y tecnologías orientadas a
ofrecer, en el mome nto y el lugar requerido, informacio nes precisas y ac-
tuales. Entre esas técnicas y tecnologías se encuentra la Auditoría de la
Información (AI), la Auditoría de Gestión, Administrativa u Operacional, y
el Análisis y Diseñ o de Sistemas de información (ADSI). De las tres, la más
novedosa es la prim era, nacida al calor de la explosión informacional que
ha ocurrido en el mund o en los últimos años.
La AI se propone una misión general similar, aunque un poco más amplia,
a la Auditoría de gestión, Administrativa u Operacional y al Análisis y Diseño
de Sistemas de Información: contribuir a lograr una gerencia más eficiente y
eficaz de las organizaciones. Sin embargo, las tres varían en sus objetivos más
específicos, aunque en cierto sentido tienen puntos de contacto.
El enfoque más actual es incluir como paso siguiente la llamada Audi-
toría del Conocimiento (AC). Esta se ubica en las tend encias más contem-
1
Artículo de L. Blanco, publi cado como parte del libro Gerencia: del prop ósito a la acción,
Ed. Félix Varela, La Habana, 2002.
222
poráneas de la gestión de organizaciones. El conocimien to, como la infor-
mación, forma parte de los activos más valiosos de cualquier entidad en la
actualidad. Su adec uado desarrollo y utilización propor cionan una ventaja
competitiva fundame ntal. Las entidades más exitosas estimulan el desarro-
llo del conocimiento entre su personal, y se distinguen por sus programas
estratégicos de g estión. La AC contribuye a logra r esos programas.
Sobre la base de las conclusiones que arrojan la AI y la AC se deben
diseñar sistemas de información orientados al proceso d e información, a la
generación y utilización de conocimientos y a su emp leo para hacer más
eficaz y eficiente la gerencia. Para ello es necesario utilizar herramientas
orientadas al conocimiento.
Este capítulo tiene el propósito de contribuir a la difusión de la Auditoría
de la Inform ación y del Conocimiento, en el ámbito de la dirección de
empresas y entidade s similares, mostrando sus posibilid ades, sus principa-
les enfoques y mode los de aplicación, sus recursos, y sus métodos y herra-
mientas de trabajo.
EL PROBLEMA INFORM ATIVO

EN LAS ENTIDADES EMPRESARIALES
El mundo de la gerencia empresarial está viviendo un pro ceso muy

interesante y retad or: el de la búsqueda de una alta pro ductividad empresa-
rial, basada funda mentalmente en la aplic ación de las tecnologías de la
información (TI) a los procesos organizativos, informativos y gerenciales;
unida a un alto re ndimiento personal de cada uno de sus empleados. En
otras palabras, el perfeccionamiento del sistema en su conjunto y de cada
una de sus p artes por separado, cum pliendo el dictum aristotélico “el todo
es más que la suma de sus partes”,2 pero también rec onociendo que las
partes individualme nte presentan características que se inhiben, anulan o
limitan en función de la integración al todo, lo cual n o siempre debe ser
deseable ni c onveniente.3
Ese proceso ocurr e en medio de lo que se ha llamad o por muchos “so-
cieda d de la in formación y el conoc imiento”, ese estadío de desar rollo
humano caracteriza do por una eclosión sin precedente s de la generación
2
L.V. Bert alanfy: Historia y desarrollo de la Teoría Ge neral de Siste mas. Temas sel ectos 1 .
Compilación. Universidad del Vallede México. Dirección de Postgrado. 1992.
3
E. Morín: “Por una reformadel pensamiento”, revista El Correo de la UNESCO, p. 12.
223
de información en el mundo y por la potenciación com o nunca antes del
conocimiento , como activo empresarial imprescindible. Corn ella cita un
estudio realizado en la Universidad d e Berkeley,4 los cuales han estimado
la cantidad de la información promedio que se genera en el mundo en un
año en dos hexaby tes. En el mismo traba jo se nos p one de ejem plo el
hecho inquietante de la evolución de los medios de c omunicación (“mass
media”): en los añ os 60, una persona común tenía acc eso a un promedio
de 18 estaciones de radio, cuatro canales de televisión y aproximadamente
unos 4 500 títulos de revistas. En el 2002, dispone de más de 2 400 esta-
ciones de radio, cientos de canales de televisión, 18 000 revistas y, por si
fuera poco, 20 millones de sitios en internet. Según Co rnella –uno de los
mentores de la nueva era– se corre el riesgo de la “infoxicación” (término
que resulta de la unión de “intoxicación” e “información”); o sea, la imposi-
bilidad de encontrar la información que se necesita por carecer del conoci-
miento y la tecnología necesaria para obtenerla, a pesar de tener disponible
más información que nunca antes en la historia de la humanidad.
Una situació n así lógicame nte afec ta al e mpresar io y a los gere ntes
empresariales, los cuales deben actuar en un entorno c ompetitivo, sin la
suficiente cultura organizativa, tecnológica e informacional necesaria para
propiciar que su institución progrese conjuntamente c on los cambios que
se originan constan temente en el universo de la TI, que al parecer “siem-
pre llegan primero a las manos de los competidores”. El problema es más
agudo en el caso de países en vías de desarro llo y en particula r, en las
pequeñas y mediana s empresas, que por lo general son la inmensa mayo-
ría en el te jido empresarial de nuestros países.
El gerente de una empresa debe tomar decisiones e n condiciones muy
agresivas, afectado habitualmente por insuficiencia inf ormativa (informa-
ción errónea, escasa, en forma inadecuada, tardía, inco mpleta, etc.) y por
falta de tiempo. La mayor parte de sus decisiones estra tégicas (introduc-
ción de nuevos pro ductos o servicios, penetración de nuevos mercados,
etc.) las realiza e n condiciones de incertidumbre, por c arecer de la infor-
mación ne cesaria.
Sus sistemas de información, en los mejores casos, van orientados ma-
yormente a procesar la información que genera su propia organización, y la
cual es adecuada solamente para la toma de decisiones operativas o a muy
corto plazo y al control: contabilidad, cobros y pagos, control de inventarios,
4
A. Cornella: “Cómo sobrevivira lainfoxicación” (conferencia).
224
control de activos fijos, nóminas y estadística de recursos humanos y otros
subsistemas análogos. 5 Sus inversiones en recursos informativos (hardware,
software básico y de aplicación, etc.) no reflejan los resultados esperados:
por ejemplo, es habitual que en los cursos impartidos por el autor donde
asisten gerentes o en consultorías realizadas, se escuchen amargas quejas
porque “...el sistema que compré no me da la información que necesito...” o por-
que “...la computadora no me soluciona el problema...”
Lo cierto es que e l problema informativo que acosa a nuestros gerentes
se produce porque estos no han analizado ni determinado correctamente
sus verdaderas nec esidades informativas, ni han diseñ ado el sistema que
realmente requiere n, con énfasis en la información y e l conocimiento; lo
que hace suponer que consideran a esos elementos co mo activos funda-
mentales de su organización.
La agresiva propag anda de la industria informática les hace pensar que
la instalación de una moderna red de computadoras velo ces le ofrecerá la
informac ión necesaria para dirigir. Igualmente, lo s productores de soft-
ware de aplicación le s prometen solucionar sus p roblemas infor mativos
con aplicaciones mu y avanzadas ya elaboradas. Por otra parte, se les exige
que teng an su contabilidad al día, re pitiéndosele q ue la “...contabilidad
ayuda a la toma de decisiones mostrando cuándo y dónd e se ha gastado el
dinero y qué obligaciones se han contraído , evaluando el de sempeño e
indicando las imp licaciones financieras de la selec ción de un plan versus
otro”.6 Y consecuentemen te, para atender el complejo pr oblema de la in-
formática en la em presa, han creado un equipo de calificadísimos y muy
caros especialistas en informática, y han delegado en ellos todo lo relativo
a los sistemas de info rmación de su entidad.
Pero nadie les dice que se pueden comprar computa doras, pero no la
tecnología para usa rlas eficientemente, pues la tecnolo gía es conocimiento
y éste no se compra , sino que se desarrolla; nadie les d ice que esa moderna
red, que tanto dine ro les ha costado, envejecerá rápida mente, y al cabo de
tres años habrá d os generaciones más de computador as en el mercado 7 y
5
Este tipo de sistemainformativo es conocido como MIS o Sistema de Información a la Dirección.
En la escalaevolutiva de los sistemas de información se encuentra en el nivel más bajo. Consúltese
al respecto, las obras de T. Athey y R. Zmud: Introduction to Computers and Information Systems;
G. Entsminger: TheTao of Objects; y el artículo de L.Blanco: “Informáticay gestión.Un esquema
de lautilización dela computación en laempresa”; todos consignados en la bibliografía.
6
Contabilidad Financiera,p. 5.
7
La ley e nunciada por George Moore, fu ndador de Inte l, y que expres a que cada 18 meses se
duplica la capacidad de memoria y larapidez de procesamiento de las computadoras,todavía es
váliday parece que lo será porun buen tiempo más.
225
se verán obligados a invertir de nuevo, sin haber recup erado la inversión
anterior; nadie les dice que deben hacer un estudio min ucioso de sus ver-
daderas necesidade s de información antes de comprar el software que se
ofrece en el mercad o, pues si no lo hacen así, muy prob ablemente adquiri-
rán algo que no les satisfará completamente; nadie les d ice que la contabi-
lidad los ayudará e n ciertas decisiones, pero muy poco en aquellas de ca-
rácter estratégico relacionadas con el marketing y la actividad futura de su
entidad; y tampoco les dice nadie que los informáticos solos son incapaces
de d iseñar e l sistem a infor mativo d e la entidad, p uesto qu e esa es una
función que r ebasa sus capacidades y co nocimientos.8
Resumiendo, nuestros gerentes se encontrarán con q ue tienen que ad-
ministrar una “mod erna” red de computadoras, usadas generalmente como
costosas máquinas de escribir, pero muy poco en la gestión de su entidad;
con complejos sistemas cuyas posibilidades no son explotadas completa-
mente, puesto que no se adaptan a las necesidades de sus entidades y porque
en realidad, nadie en la entidad sabe verdaderamente cómo hacerlo y que, a
pesar de todo, siguen con su contabilidad atrasada, mientras que su equipo
de informáticos se ve envuelto en el rediseño eterno del software de aplica-
ción que utilizan, pero siempre tardíamente.
Otro problema que enfrentan muchas organizaciones empresariales, so-
bre todo en algunos países de economía centralizada, es que los sistemas de
información son impuestos por los niveles superiores y están orientados a
las requerimientos informativos de estos, y no a las necesidades de las men-
cionadas organizaciones. En realidad, las gerencias de ese tipo de entidad
no son verdaderas gerencias, sino son meramente un conjunto de funciona-
rios que intentan aplicar las directivas que reciben “de arriba”.
¿Qué hacer?, ¿cóm o solucionar esos problemas infor mativos, que como
cáncer implacable c orroen a nuestras entidades, restándo les eficacia y efi-
cien cia?
La solución ya se ha mencionado explícita o implícitamente: hacer un
estudio detallado de las verdaderas necesidades de información y proceder
8
Napoleón decíaque la guerra erademasiado importantepara dejarla en manos de los militares, sin
duda pensando en sus implicaciones políticas, económicas y sociales. Parafraseando al gran
corso se puede decir que la “informáticay los sistemas deinformación son demasiado importantes
para dejarlos en manos de los i nformáti cos”, por que los sistemas de inform ación so n los
elementos básicos para la toma de decisiones y el control que realizan los gerentes y todo el
equipo dedirección de la entidad, por lo cual deben ser estos quienes participen activamente en
la determinación de sus propias necesidades de información, facilitándoles así a los informáticos la
comprensión del problema de la gestión de su organización.
226
a diseñar un siste ma informativo acorde a esas necesid ades, pero también
flexible y con cap acidades evolutivas. Es aquí donde intervienen la AI y
sus primos, la Auditoría de Gestión , Administrativ a u Oper acional y el
Análisis y Diseño de Sistemas de Información y la AC, como elemento
fundamental para potenciar las fortalezas interna s de la entidad.
LA SOLUC IÓN
La AI, como actividad humana autónoma, se ha desarro llado en la últi-

ma década, a partir del auge de la informatización, de las nuevas tecnolo-
gías de la informació n, incluyendo las redes. Co mo tal se define como
“...un proceso de identificación y evaluación de los re cursos de informa-
ción necesarios para cumplir con los objetivos de la empresa”.9
Otra definición la brinda Susan Henezel y n os dice que es:
[...] un proceso que analiza el ambiente informacional para identificar
qué información es requerida para garantizar las necesidades de la
información. La auditoría establece qué información es suministrada,
y analiza qué inconsistencias, duplicaciones y áreas sin información
existen. La auditoría también facilita el mapeo de los flujos de infor-
mación a través de las áreas de la organización o con su medioambiente
y la identificación de los “cuellos de botella” e ineficiencias.10
Esta misma auto ra, expre sa también que la AI es “... una sistem ática
evaluación del uso y los flujos de la información y los recursos informati-
vos en general, para determinar cómo están contribuyend o a los objetivos
de la organ ización”.11
Similares enfoque s se aprecian en otros autores y o rganizaciones que
se dedican a perfe ccionar el empleo de la información en las entidades. 12
9
A.Cornella: “La información alimenta y ahoga” en “Infonomía.com: la empresa es información”,
Noviembre de2000. Texto distribuido como material deestudio alos alumnos de laMaestría en
Gestión de la Información de la Facultad de Economía de la Universidad de La Habana. p. 2.
10
S.Henezel: “The Information Audit.As aFirst Step Towards Effective Knowledge Management:
An Opportunity for the Special Librarian”, p. 211. (Traducción del autor.)
11
Ibídem,p. 215.
12
Véase, por ejemplo, J. Buchanan: “TheInformation Audit.: An Integrated Strategic Approach”
en http://www.st rath.ac.uk/Departaments/I nfoStrategy/. Citado por B. Villán en su tesis de
Maestría, consignada en bibliografía.Además consúltese el documento electrónico “COBIT.
Objetivos de control”,abril de 1998, 2da edición, de la Information Systems Audit. and Control
Foundati on en WWW.ISACA.ORG o en research(@)isaca.org.
227
En otras palabras, la AI se ocupa de analizar las entid ades para determi-
nar dónde están sus déficit informativos, sus reiteraciones y ambigüedades
en la información, sus atrasos de las entregas de inform ación y las fuentes
de errores de estas; así como las causas que engendran estas situaciones.
Implica realizar un diagnóstico de la entidad, pero ale jado del simplismo
que puede represen tar solamente preguntarle a algún ge rente: “qué infor-
mación Ud. necesita”: La AI implica un estudio profun do de la misión de
la organización, su s objetivos estratégicos, tácticos y o perativos, sus pla-
nes de trabajo y ac tividades, sus funciones básicas; lo cual abarca mucho
más que las opinion es de los propios gerentes y funcion arios sobre la in-
formación que necesitan. La AI requiere de un concienzu do análisis de las
necesidades inform ativas, para responder a preguntas que la mayoría de
los casos no pueden ser respondidas ni siquiera por esos gerentes o funcio-
narios, inmersos en una vorágine operativa de trabajo. Además, el estudio
debe orientarse también e n cómo eso s recursos están sie ndo utiliz ados,
cómo están incidie ndo en el cumplimiento de la misión y los objetivos de
la organización.
Ese diagnóstico, e se análisis es esencial para poder pasar a una etapa
posterior de diseño (que de hecho excede los objetivos de la AI) donde se
tratará de definir qué información necesitan para desarrollar sus procesos
de planificación, o rganización, toma de decisiones, con trol, así como sus
actividades fundamentales de producc ión y servicios, relaciones con los
clientes con las agencias gubernamentales y otras entidades; en qué mo-
mento necesitan e sa información para poder utilizarla convenientemente y
en qué forma la requieren; dónde la n ecesitan.
Como se expresó, se habla con fuerza de AI en la última década, pero
desde hace mucho tiempo la Auditoría de Gestión, Administrativa u Opera-
cional ha desarrollado funciones similares en ciertos aspectos de la gestión,
aunque fue concebida en un entorno muy ajeno a la informatización integral
que caracteriza a las entidades más representativas de la actualidad.
La Auditoría de Gestión, Administrativa u Operacional se utiliza para
“...determinar qué tan bien está funcionando un departamento con relación
a los objetivos establecidos; [...]está sobre todo orientada hacia el futuro y
las mejoras que se pueden hacer. La determinación del g rado hasta el cual
se seguían las políticas y procedimientos de la compañía, la evaluación de
esas políticas y p rocedimientos relativo a lo adecuado de su diseño para
llevar a cabo las m etas de la administración y la evalu ación de la calidad
228
del desempeño de los empleados al realizar estas políticas y procedimientos,
se convirtió en un aspecto importante del trabajo de los auditores internos”. 13
Debe considerarse que la Auditoría de Gestión, Administrativa u Ope-
racional se concib ió en una etapa donde no existían co mputadoras (1947),
y el trabajo de las entidades se orientaba mucho a la or ganización adminis-
trativa y organiza tiva; sin embargo, los puntos en com ún con la AI mues-
tran que la misma no e s una creación exclusiva de especialistas de esta
turbule nta época, sin o que se apoya en la experiencia de más d e cinco
décadas de tra bajo auditor.
También, como se expresó, la AI tiene muchos punto s de contacto con
el análisis y diseñ o de sistemas de información. El ADSI “...busca analizar
sistemáticame nte la entrada de datos o el flujo de datos, el pro ceso o trans-
formación de los da tos, el almacenamiento de datos y la salida de informa-
ción dentro del co ntexto de un negocio particular. Ade más, el análisis y
diseño de sistemas es usado para analizar, diseñar e implementar mejoras
en el funcionamien to de los negocios que pueden ser logradas por medio
del uso de sistemas de información comp utarizados”.14
¿Puede haber tres disciplinas más inter relacionadas?
Pero se pudieran complicar las cosas si introducimos en el análisis la
Reingeniería de Procesos o de Negocios, 15 conjunto de técnicas orientadas a
mejorar radicalmente la actividad empresarial, a través de aplicar un diseño
racional y moderno en los sistemas de información en las entidades, unido,
por supuesto , a la aplicación de la informática.
Por supuesto, si n o se está satisfecho con esa profusión conceptual, se
puede añadir otro término, el de Ingeniería de Negocios (Business Enginee-
ring),16 esen cialmente el diseñ o de actividades de negocios en fir mas y
entidades análogas, con el empleo de técnicas contempo ráneas de análisis
y diseño de sistem as de información, como la tecnología de orientación a
obje tos.
Pero lo importante, llámese como quiera llamársele a la actividad de ana-
lizar las verdaderas necesidades informativas de la entidad y de proponerle
soluciones, es realizar el trabajo. Los gerentes necesitan que sus sistemas de
13
Auditoría, tomo II,pp. 398-399 (Todas las citas con relación ala auditoríade gestión u operativa
están referidas a esta fuente informativa, quepor lo difícil decomprobar, no deja deser valiosa.)
(N. de l A.)
14
K. E. Kendall y J. E. Kendall: Análisis y diseño de sistemas.
15
Cfr. D. Morris y J. Br andon: Reingen iería. Cómo ap licarla con é xito en los ne gocios.
M. Hammer y P. Champy: Reingeniería, ambos consignados en la bibliografía.
16
Crf. D. A. Taylor: Business Engineering with Object Technology, John Wiley and Sons,1995.
229
información fun cionen, pues estos son el sistema nervioso 17 de la entidad
que dirigen.
Pero, independien temente que el autor no comparte n ingún afán semán-
tico ni pertenece a sociedad profesional alguna, que le obligue a defender
ciertas denominaciones, continuará hablando de Audito ría de la Informa-
ción en este capítu lo, en su íntima relación con la Aud itoría del Conoci-
miento, aspecto sobre el cual se tratará a continuación.
El “conocimiento” es un término suficientemente estudiado por discipli-
nas como la Filosofía, la Sicología y la Pedagogía, lo que hace innecesaria
su definición aquí. Solo vale la pena destacar que el conocimiento implica
un quehacer práctico. Está asociado a la solución de problemas, al “saber
qué, cómo, por qué y cuándo hacerlo”. El conocimiento se diferencia de la
información en su p osibilidad instrumental. Estudiar un libro de metodolo-
gía de la investiga ción no convierte a nadie en investig ador. El estudio de
un manual de management no garantiza que alguien sea un buen ejecuti-
vo.18 La práctica es la única forma de lograr conocimientos. El conocimien-
to abarca la experiencia, la intuición, el juicio, las habilidades personales y
hasta el entusiasmo que se pone en una tarea. Implica la posibilidad de crear
valor, lo cual se hace muy evidente en una actividad empresarial, donde los
empleados crean conocimiento constantemente durante su trabajo.
La gestión eficien te y eficaz de una entidad en los momentos actuales
pasa por la del con ocimiento. Y el conocimiento es un v alor estrictamente
humano; por lo cua l gestionar conocimiento implica g estionar adecuada-
mente a los trabaja dores y empleados de la entidad, tesoreros del valioso
caudal de su conoc imiento privado. Desterrar el concep to de “recurso hu-
mano” e implantar el de “capital humano” es una filoso fía fundamental de
cualquier entidad. Las máquinas se compran, los edificios se construyen o
alquilan, las mater ias primas se adquieren, hasta los r ecursos financieros
pueden obtenerse p or variadas vías, cuando existe una buena idea empre-
sarial y el conocimiento para llevarla a cabo.
Pero para gestion ar adecuadamente el conocimiento e s necesario iden-
tificar dónde este se produce y por quién. Es necesario evaluarlo y deter-
minar un nivel de importancia y de influencia en la org anización. Se deben
encontrar áreas críticas por la generación de conocimien to y áreas críticas
17
El término se ha tomado prestado de William Gates III,más conocido como “Bill”.
18
Aunque muchos especialistas reconocidos han escrito sobre el tema, el autor recomienda un
artículo de su autoría,“Información, conocimientos y economía. Reflexiones sobreel costo y el
valor de los recursos informativos”,consignado en la bibliografía.
230
por su utilización. Ambas serán básicas para diseñar el sistema informativo
que permitirá la ge stión de la entidad en su conjunto. Por ejemplo, en una
caden a de tien das las áreas de ventas so n crítica s por la generación de
conocimientos: pue de encontrarse aquí cuáles son las mercancías que los
clientes prefieren y cuáles no, cuándo las prefieren y p or qué. En esa mis-
ma cadena, el área de marketing será crítica para la utilización del conoci-
miento, a los efec tos de utilizar el conocimiento gene rado en el área de
ventas y definir adecuadas políticas de merc adeo. Un área pue de ser al
mismo tiempo crític a en la generación y utilización de conocimiento. En el
ejemplo propuesto, el área de ventas generará mucho conocimiento, que
deberá utilizar para establecer sus propias políticas de merchandising.
En la determinació n de esas áreas críticas de conocim iento, y del cono-
cimiento mismo, se ocupa la AC. Resulta fundamental p ara establecer una
política estratég ica de dirección del conocimiento en la entidad.
Tanto en el caso de la AI como en el de la AC, se han d esarrollado
diferentes modelos de trabajo, en lo s cuales se de finen procedim ientos,
métodos, herramientas y enfoques característicos de cad a uno. En este tra-
bajo, a los efectos de no extenderlo excesivamente, se presentarán dos de
ellos: el COBIT y el pr opuesto por S. Henezel.
COBIT: UN MODELO INTEGR AL
COBIT es el nombre co mercial de Objetivos de Contro l de las Tecno-

logías de la Inform ación, 19 conju nto de doc umentos elaborados p or un
conjunto de especialistas agrupados en la Information Systems Audit and
Control Foundation , organización que se orienta a apo yar el empleo ade-
cuado de las te cnologías de la info rmación, patrocinad a por pode rosas
empresas e institu ciones relacionadas con esa actividad. COBIT ayuda a
“salvar la s brec has existente s entre riesg os de negocio , nece sidade s de
control y aspectos técnicos del empleo de las tecnolog ías de la informa-
ción”.20 Es un estándar g eneralmente aplicable y aceptado para las buenas
prácticas de segu ridad y control en Tecnología de Información (TI).
COBIT se apoya en el concepto de “objetivo de control”. Como tal se
conceptúa “una definición del resultado o propósito que se desea alcanzar
19
El autor tiene una deuda que ha adquirido voluntariamente: escribir un trabajo mucho más
detallado explicando COBIT y su experiencia de aplicación, a los efectos que sirva desoporte a
un futuro curso de posgrado sobre el tema. Lo que se expondrá aquí será un mínimo resumen.
20
Documento citado, p. 5.
231
implementando proc edimientos de control específicos d entro de una acti-
vidad de TI”.21
Propone un conjunto de 34 Objetivos de Control para lograr niveles de
excelencia y calida d en las auditorías, uno para cada u no de los Procesos
de TI, agrupados e n cuatro dominios: planeación y orga nización, adquisi-
ción e implemen tación, entrega (de servicio ) y monitoreo.
Las actividades de planeación y organización de las Tecnologías de la
Información en la empresa abarcan los siguientes obje tivos de control:22
1. Definir un Plan Estratégico sobre la introducción y utilización de las TI
2. Definir la Arquitec tura de Información
3. Determinar la dirección tecnológica de adquisición y empleo de las TI
4. Definir la Organización y de las relaciones en el entorno de las TI
5. Manejar las inv ersiones en TI
6. Comu nicar la direc ción y aspiraciones de la ger encia c on rela ción
a la s TI
7. Administrar lo s recursos humanos relaciona dos con las TI
8. Asegurar el cumplimiento de los requerimientos ex ternos relaciona-
dos con las TI
9. Evaluar riesgos en la introducción y utiliz ación de las TI
10. Administrar proyectos r elacionados con las TI
11. Administrar la ca lidad de la introducción y utilización de las TI
Las actividades de adquisición e implementación de las TI abarcan los
siguientes objetivos de control:
12. Identificar solucion es integrales de TI.
13. Adquirir y mantener el software de aplicación.
14. Adquirir y mantener la arquitectura de TI.
15. Desarrollar y man tener los procedimientos relacio nados con las TI.
16. Instalar y acre ditar sistemas.
17. Administrar cam bios en las TI.
Las actividades de entrega y soporte de servic io consisten en:
18. Definir los niveles d e servicio a prestar.
19. Administrar los servicios prestados p or terceros.
20. Administrar el desem peño y la capacidad.
21
Ibídem.
22
Ibídem. p. 7. (Dentro de lo posible se ha respetado la redacción del documento original, variándose
éstesolamente para hacer más entendible las expresiones originales.)
232
21. Asegurar el servicio c ontinuo y sistemático.
22. Garantizar la seguridad de los sistemas.
23. Identificar y a signar costos.
24. Educar y entrenar a los usuarios.
25. Apoyar y asistir a lo s clientes de las TI.
26. Administrar la configuración de las TI.
27. Administrar los problemas e incidentes posibles.
28. Administrar los datos y su evolución.
29. Administrar las instalaciones.
30. Administrar la s operaciones.
Finalmente, los objetivos de monitoreo son:
31. Monitorear los procesos.
32. Evaluar lo adecuado del control interno.
33. Obtener aseguramie nto independiente.
34. Proporcionar auditor ías independientes.
La Fig. 13.1 muestra un esquema de la dinámica de COBIT y sus dife-
rentes objetiv os de control.
Fig. 13.1 C OBIT y sus objetivos de control
Una temprana adición significativa visualizada para la familia de productos

COBIT, es la presentación de las Guías Gerenciales (recomendaciones para la
dirección) que incluyen Factores Críticos de Éxito (elementos fundamentale s
233
para lograr el éxito del trabajo), Indicadores Clave de Desempeño (medidas
del desarrollo del trabajo) y Medidas Comparativas (Benchmarkings).
COBIT persigue, an te todo, el éxito en los negocios, o dicho en otras
palabras, el cumplimiento satisfactorio de la misión en la entidad que se
aplica. Es un mode lo muy completo que debe ser analizado por cualquier
consultor o auditor que pretenda mejorar la gerencia em presarial a través
del perfeccionam iento de sus procesos informativ os y cognitivos.
EL MODELO HENEZEL:
DE LOS DATOS AL C ONOCIMIENTO
Susan Henezel, en documento ya citado, aborda un mo delo de auditoría

que comienza con el análisis de los datos que se generan en la entidad o en
su entorno, pero re lacionados con su actividad; continú a con la auditoría
de la información, a los efectos de establecer un prog rama de gestión de
información y conc luye con la auditoría al conocimiento que es producido
en la entidad y que resulta imprescindible en su activida d, para elaborar el
sistema estra tégico de gestión de ese conocimiento.
Ese modelo consta de siete etapas y se presenta en la Fig. 13.2
Fi g. 13.2. Modelo Henezel
234
La etapa 1. Planeación d e la auditoría, se realizan las siguientes activi-
dades: Estudio y c omprensión preliminar de la entida d y determinar los
objetivos de la auditoría; determinar e l alcance de la auditoría y los recur-
sos que requerirá, definir los métodos, técnicas y herra mientas que se uti-
lizarán; desarrolla r una estrategia de comunicación entre los miembros del
equipo de auditoría y los de la entidad; expresar los po sibles objetivos de
la auditoría y enco ntrar un patrocinador o responsable d e la auditoría den-
tro de la entidad.
La etapa 2. Rec olección de la informac ión, se p roduce e l estud io y
análisis de los pro cesos informativos de la entidad, rec ogiendo los audito-
res informaciones sobre los siguientes tipos de datos: d atos relativos a la
inform ación sobr e la realización de tareas y a ctividades, datos so bre el
nivel crítico de lo s recursos informativos y datos rela cionados sobre los
flujos de información.
La etapa 3. Análisis de la información, se relaciona con los datos recolec-
tados, los cuales se deben analizar para identificar áreas de problemas sin
información (“gaps”) para su solución, informaciones duplicadas, informa-
ciones inadecuadas para solucionar las tareas y actividades y determinar
áreas donde el conocimiento crítico se produce, donde se almacena y donde
se requiere para ser utilizado. Ello implica una especie de “inventario de la
información y el conocimiento”. Deben ser detectados “cuellos de botella” e
ineficiencias informativas, sumideros de información (la información se al-
macena en cierta área, pero no se utiliza, nada “sale”), información solicita-
da y no utilizada, falta de sistematicidad en la información, etc.
La etapa 4. Evaluación de la información, implica encontrar las oportunida-
des para mejorar el suministro de información y la extensión de los servicios de
información; así como la calidad del conocimiento creado. Cada problema iden-
tificado debe tener una solución posible, la cual debe ser recomendada. Estas
soluciones deben ser realistas, logrables y manejables. Deben analizarse tam-
bién los costos que implicarán las soluciones propuestas.
La etapa 5. Presentar las recomendaciones, se refiere a comunicarse
con la gerencia de la entidad y mostrarle las deficiencias detectadas y las
recomendaciones elaboradas. Los cambios propuestos d eben ser presenta-
dos de manera constructiva, y lograr con ello la receptividad adecuada de
la entidad. Estas r ecomendaciones se realizarán, escritas y orales, pero de-
ben utilizarse form as más creativas, como talleres, boletines perió dicos,
posters, mensajes e n la intranet, etc.
La etapa 6. Implantar las recomendaciones, implica la elaboración de
un plan estratégico para solucionar los problemas detectado s y facilitar los
235
necesarios cambios con un mínimo de resistencia y un máximo de apoyo.
La aplicación de las medidas previstas en ese plan de be responder a una
lógica y una racion alidad, de manera que se garantice e l éxito y se dismi-
nuyan las dificultades. Esas medidas son lo que se conoce como la “auditoría
de primera g eneración”.
La etapa 7. Aplicar la auditoría como una función sistemática, es en
realidad el elemen to más original del modelo de Henez el. Implica conti-
nuar y ampliar el trabajo, en una forma constante, de m anera que los pro-
cesos informativos de la entidad respondan a la lógica evolución de esta y
a los cambios del entorno que influyen sobre ella. E s lo que se conoce
como “auditoría de segunda y posteriores generaciones” . Consiste en rea-
lizar lo ya expuesto en una forma sistemática, generaliz adora, involucrando
a todos los factor es humanos que estén relacionados c on la generación y
uso de la información.
Pasar de la Audito ría de la Información a la Auditor ía del Conocimien-
to, es un pro ceso sutil. La esencia de ese tránsito estriba en en contrar aque-
llas tareas que ge neran conocimiento (“saber qué, cómo , cuándo, dónde, y
para qué”) y el nive l de sig nificación estr atégica de ese c onocimie nto.
Implica encontrar d ónde el conocimiento se elabora y dó nde se utiliza. Se
obtiene un “mapa” de la información formal e informal generada, transfe-
rida y utilizada en la entidad y de las fuentes y uso del conocimiento en la
misma. Se pue den identificar así los pu ntos críticos con relació n a la infor-
mación y el conocimiento, puntos que reque rirán de gran ate nción por
parte de la geren cia y de su equipo, por la impor tancia de estos.
En r ealidad no pue de decirse que el mode lo Hene zel ten ga un n ivel
de n ovedad muy alto. Un lector median amente informa do pod rá adve rtir
que la suce sión de etapa s mencionadas no es m ás que la aplicación del
mod elo gene ral de so lución d e pro blem as, que puede enc ontr arse en
cualquier texto de managem ent o d e análisis de sistemas, a la AI y la AC.
Lo importan te, sin embar go, rad ica en enfoca r a la AI com o una f orma
de p erfeccionar la gestió n de la entida d y com o un tr ánsito necesar io y
conv eniente hacia la AC. Ello implica un proc eso de madura ción en au-
dito res y g erentes, para los cuales la identificación d e la in formación y
del conocim iento c omo activos im portantes en la entid ad, quizás tod avía
no e stá ta n clar o.23
23
Cfr. el artículo de L. Blanco: “Información,conocimientos y economía. Reflexiones sobre el
costo y el valor delos recursos informativos”, consignado en bibliografía.
236
PR ESENTACIÓN DE OTROS M ODELOS DE AUDITOR ÍA
DE LA INFOR MACIÓN Y DEL C ONOC IM IENTO
Existen otros modelos interesantes de AI y AC, pero su explicación con

cierto nivel de detalle extendería excesivamente este capítulo. No obstante,
resulta útil revisar someramente al menos dos de ellos: el modelo ORNA y
el Infomap.24
El primero de ellos, llamado ORNA por su autor, hace énfasis en la im-
portancia del análisis de la entidad, y estudia detenidamente sus flujos de
información, dando como resultado una propuesta de política de informa-
ción.
Expresa realizar el trabajo en una serie de etapas, las cuales son:
1. Motivación de los miembros de la organización para iniciar el traba-
jo y garantiz ar su éxito.
2. Elaborar un “retr ato de la organización”: Definien do la misión, los
objetivos, su estructura, y destacando los rasgos fundamentales de
su Cultura or ganizacional.
3. Auditor ia de Recursos Informativ os. Concentra r la atenció n en el
mapa informativo, en los flujos de información, las fuentes, los tipos
de información, los pr ocesos, y los costos.
4. Realizar el Balanc e Informacional. Realizar el análisis costo / bene-
ficios de los proc esos informativos.
5. Elaborar, pr oponer y ejecutar el Pla n de Acción.
El m odelo I nfomap de Burk y Horto n se co ncentra en la identif ica-
ció n, e l aná lisis y la eva luac ión d e los rec ursos de infor mació n en la
entidad. Es un método muy estruc turado y form al. Le presta mucha a ten-
ció n ta mbié n a los c osto s y los benef icio s. L as e tapas de trab ajo que
pro pone son:
1. Determinación de los objetivos, la organización, las áreas, y el per-
sonal involucrado con la generación y utilización de información.
2. Identif icación de la s entidades d e recursos d e información (ERI).
Vinculación de estos a cada objetivo de la organización.
24
El autor se ha basado para la exposic ión de estos d os modelos en l as notas de la s clases
impartidas por los profesores Dr. J. García Orozco y Lic. R. Mas Camacho, durante la Maestría
en Gestión de la Información dela Facultad de Economía de laUniversidad de La Habana; en la
tesis d e Maestría de B. Villán ya c itada y en E. Orna: Information Auditing, consig nada en
bibliografía.
237
3. Determinar la información critica p or cada ERI.
4. Separar la información crítica de la accesoria.
5. Elaborar, pro poner y ejecutar el plan de acciones.
En general los mo delos expuestos pueden ser utiliz ados conveniente-
mente, en función del dominio que de ellos tengan los propios auditores.
No hay motivo para pensar que alguno sea definitivamente superior a otros,
aunque COBIT parec e el más completo.
EL PER FECCIONAMIENTO DE LA GESTIÓN

EN LAS ORGANIZACIONES: ALGUNAS HERRAMIENTAS
Las recomendacion es que se obtienen de los proceso s de AI y AC tie-

nen que ser implementadas mediante sistemas prácticos que permitan el
adecu ado proc esamiento y utilización d e las inf ormacion es, de m anera
que se potencie la generación y aplicación de conocimie ntos en la entidad.
Existen algunas he rramientas que propician ese procesamiento informati-
vo, las cuale s están disponibles en la actualidad. Entre estas se encuentran:
• Los sistemas de bases de datos relacionales y lo s lenguajes SQL.
• Los almacene s de datos.
• Los métodos de m inería de datos.
• Los procesadores an alíticos en línea.
Veamos una pe queña reflexión sobre esos elementos.
Los sistemas de bases de datos relacionales y los lenguajes SQL surgieron
desde los años 70, a partir de los trabajos de E. Codd, investigador de la IBM.
Estos se han convertido en el paradigma por excelencia de los sistemas aplica-
dos en las esferas de negocios, administrativos, etc. Un sistema de bases de
datos relacionales es un conjunto de archivos de información, cada uno de los
cuales tiene dos dimensiones, y un conjunto de relaciones entre ellos, de ma-
nera que se puede acceder a cualquier pieza de información en una forma
relativamente fácil.25 En esta obra ya se ha mostrado un ejemplo de esa estruc-
tura, pero ahora se presenta otro en la Fig. 13.3, donde se aprecia una base de
datos, relación o tabla bidimensional: el lector se sorprenderá de saber que se
concibe simplemente como una tabla de doble entrada, algo utilizado mucho
en la gestión administrativa, desde tiempos inmemoriales.
25
En estos 32 años se ha escr ito muchísimo sobr e ese tema. Se sug iere consultar a J . Martín:
“Organización delas bases dedatos”, consignado en la bibliografía.
238
Fig. 13.3. Ejemplo de base de datos relacional.
Obsérvese que las columnas de la tabla se encabezan con los nombres de

los campos de información, por ejemplo, la columna “Producto” encabeza
el campo donde se almacenan los nombres de cada uno de los productos.
En cada fila, también llamada “registro”, aparecen los datos combinados de
cada uno de los productos (Identificador o código del pedido, nombre del
producto, precio por unidad, cantidad de unidades de producto en cada pe-
dido y por ciento de descuento de cada uno).
Pero rara vez un sistema de información tiene solame nte una tabla. Lo
normal es que teng a muchas, todas interrelacionadas, p ara permitir inte-
rrogaciones de var iado tipo al sistema. Una forma gráf ica de representar
esas interrelacione s, se muestra en la Fig. 13.4, donde se muestra el esque-
ma de cada tabla y sus interrelaciones.
Fig. 13.4. Esquema de bases de dat os relacionales interrelacionadas
Cada uno de los re ctángulos representa una tabla o ba se de datos. En el

extremo superior a parece el nombre de la tabla y en e l espacio de fondo
más claro los nombr es de los campos. Por ejemplo, casi en el centro de la
figura se puede ve r la tabla “Empleados”, compuesta por los campos “Id
empleado”, “Apellidos”, “Nombre”, “Cargo”, etc. Las líneas entre rectán-
gulos indican las relaciones e ntre tablas o bases de d atos. Por ejemplo,
entre “Empleado” y “Pedido” hay una relación, que pe rmite conocer qué
239
empleado de la entidad ha atendido cierto pedido. Igualmente hay una relación
entre “Pedido” y “Detalles de Pedidos”, indicando que determinados productos
están incluidos en pedidos específicos. La “M” y el “1” que hay sobre las líneas
de relación indican valores cuantitativos en esas relaciones: un empleado (1)
atiende muchos pedidos (M) y un pedido (1) incluye varios productos (M).
La interrogación a los sistemas relacionales de bases de datos se realiza me-
diante los lenguajes de interrogación basados en el estándar SQL, o “Lenguaje
de Interrogación Secuencial (Sequential Query Language)”. Ese estándar resul-
ta implementado de distinta manera por cada uno de los fabricantes de software,
pero la esencia es la misma: por ejemplo, si quisiéramos conocer los datos rela-
tivos al empleado “001564”, sería necesario utilizar la instrucción “SELECT”
(en Access y Oracle) o la instrucción DISPLAY (en Visual Fox Pro), pero ambas
son equivalentes. El empleo de SQL requiere cierto conocimiento experto. El
uso de los sistemas de bases de datos relacionales y los lenguajes SQL para
gestionar información es muy difundido (se utilizan en cada entidad, sea empre-
sarial o no), y su apoyo a la generación y uso de conocimiento pasa por la
necesidad de interrogar adecuadamente a las bases de datos.
Sin e mbargo, c uando los sistemas de bases de datos se torna n muy
complejos, por la c antidad de tablas o bases y de sus r elaciones, y además
muy dispersos en e l espacio (por ejemplo, sistemas de muchas sucursales
de una empresa, de los municipios de una provincia o de las facultades de
una universidad gra nde), se hace muy difícil, por no de cir imposible, rea-
lizar un análisis integral. La solución que se ha dado a esa situación es el
llamado Almacén de datos (Data Warehouse), el cual permite tratar inte-
gralmente a esos ar chivos y datos diferentes. Un almacé n de datos es, a la
vez, un proceso y u n producto de software, unido al con junto integrado de
datos de variados orígenes con el objetivo de solucion ar problemas de la
dirección de la en tidad y tomar decisiones. El almac én de datos maneja
grandes volúmenes de información. Permite su acceso e n formas diversas,
cada una de ellas a sociada al propio lenguaje de la entidad, de manera que
puedan obtenerse r elaciones complejas entre los mism os y de esa forma
encontrar ciertas r espuestas, incluso a preguntas que n o se han formulado.
Un alm acén de dato s se orienta hacia la pa rte ejecutiv a, directiva de la
entidad, a quien p roporciona informaciones estadística s durante períodos
de tiempo. Entre su s características se encuentran: la dimensión temporal
forma parte de sus datos, la información que almacena n o es volátil, pre-
senta también infor mación sumarizada, por lo general se orienta a determi-
na da s temá ticas y la in fo rma ción es in teg ra da. El é xito de un Da ta
Warehouse no está solamente en su construcción, sino en cómo utilizarlo
para mejorar los procesos de direcc ión, que incluyen, por supuesto, la s
decisiones y el co ntrol, y oper acionales. Con struir un Data Wareh ouse
240
requiere la participación activa de quienes lo utilizarán y del conocimiento
de la realidad de la empresa que en ese momento y en perspectiva exista, y
debe basarse en las conclusiones de la AI y la AC. El Almacén de Datos
extrae la información operacional de las bases de datos existentes en los
sistemas de aplicación de la entidad; transforma la misma a formatos consis-
tentes para su procesamiento y la prepara para un análisis eficiente por parte
de los usuarios. Implica una carga de información y múltiples utilizaciones,
cada una de las cuales desde el punto de vista del sujeto interrogador. Gran
cantidad de reportes en papel serán reducidos o eliminados. La Fig. 13.526
ilustra la situación en una entidad sin y con un almacén de datos.
Existe una var iante de los Almacenes de Da tos, llamada Data Marts.
Son más pequeños, y se utilizan sólo para un determina do numero de usua-
rios, y en un área funcional específica de la entidad.
Fig. 13.5 Esquema de un Data Warehouse.
26
Esquema tomado de las notas de clases impartidas por los proferores J. García y R. Mas, ya
mencionada en nota 24.
241
Existen muchos sistemas disponibles en el mercado q ue se aplican con
éxito en esta tecn ología. Dos de los más conocidos son Informix MetaCube
(con varias versiones) y Microsoft SQL Server.
Pero el hecho de disponer de grandes volúmenes de información, re-
presentando múltip les fenómenos acaecidos a través de largos períodos de
tiempo, puede significar un reto para su análisis e interrogación . Por ello se
han d esarrollad o técnica s poco con vencionale s que per miten busc ar en
esos océanos infor mativos, y así obtener conclusiones interesantes y mu-
chas veces, inesper adas. Esas técnicas se han agrupado bajo el rubro gené-
rico de “Minería d e datos” (Data mining o Knowle dge Data Discovery).
Resulta inter esante an alizar a lgunas de finicion es muy ilustrativ as de
esta familia de téc nicas de búsqueda:27
• “...la extracción de información no trivial implícitamente desconoci-
da y potencialmente útil desde los datos...” (W. Frawley, G. Piateisky-
Shapiro y C. Matheus).
• “... la búsqueda de rela ciones y patrones globale s que exista n en
amplias bases de d atos, pero están ocultas entre la vasta cantidad de
datos...” (M. Holshe meier y A. Siebes).
• “...el proceso de extracción de información válida, previamente des-
conocida y compr ensible desde amplias bases de d atos y el uso de
estas para la toma de decisiones...” (Compañía IBM).
O sea, en la miner ía de datos se realiza una exploración de los datos en
las bases de datos para encontrar ciertas regularidades interesa ntes y útiles
para la toma de dec isiones y el control. Dicho en otras palabras, se buscan
respue stas para pr eguntas que no se han hecho. El au tor recuerd a, por
ejemplo, una empre sa productora de licores que dedic aba muchos esfuer-
zos y recursos a a poyar la venta de uno de sus produc tos, supuestamente
estrella dentro de la firma, según la opinión de todo e l equipo gerencial.
Sin embargo, un an álisis desprejuiciado e imaginativo de las ventas por
productos y segmentos de los clientes, demostró que el producto estrella,
en cuanto a costos, ganancia y preferencia de los cliente s era otro, aparen-
temente de meno r calidad, pero paradójicame nte preferido.
El proceso de minería tiene varias etapas:
• Selección o segme ntación de la información dispon ible, en función
de determina do criterio.
27
Tomadas del artículo de M. Sánchez,L. González y J. O. Rodríguez: “Minería de datos”, revista
Giga, consignado en bibliografía.
242
• Preprocesamiento o saneamiento de los datos innecesarios.
• Transformación d e los datos en dependencia de la s operaciones de
minería que se realizarán.
• Aplicación de las diferentes técnicas de búsqueda.
• Análisis, interpr etación o evaluación de la inform ación encontrada.
• Conclusiones y recomendaciones sobre la búsq ueda realizada.
Existen varios tipos de técnicas genéricas de Data Mining:
• Creación de modelos de predicción y c lasificación, muy usado en
los ca sos de análisis histó rico, para proponer mo delos futu ros de
comporta miento.
• Aná lisis de rela cion es, m edia nte los cuales se estable cen cier tos
vínc ulos entre elem entos d e las ba ses de datos. Por ejem plo, de ter-
mina r qué tipo de artícu lo comp ran las person as de edades com-
pren didas e ntre 2 0 y 25 años de una re gión d etermin ada.
• Segmentación de la base de datos, si se quiere ana lizar sectores ob-
jetivo, para encontrar relaciones entre los datos (esta técnica se utili-
za antes de las dos anteriores).
• Detección de desviaciones, mediante la cual se fijan puntos extremos en
los datos y es establecen desviaciones o comportamientos anormales.
Entre las herramientas utilizadas se encuentran las técnicas de inducción
supervisada, las redes neuronales artificiales, los sistemas expertos, las téc-
nicas de descubrimiento de asociaciones y secuencias, árboles de decisión,
scoring, las de clusters y todo el arsenal de técnicas estadísticas (el análisis
detallado de cada una excede con mucho los objetivos de este trabajo).
La minería de dato s puede realizarse desde bases de da tos operacionales,
con modelos re lacionales; o desde almace nes de datos.
Otra técnica de an alizar la información disponible par a la toma de deci-
sio nes es el e mpleo de los Proc esador es An alític os en Línea (On L ine
Analitical Proc essors) u OLAP.
Los OLAP son form as de tratar multidimensionalmente a bases o alma-
cenes de datos, a los efectos de buscar relaciones importantes en ellos. Es,
como su nombre lo indica, una herramienta de análisis de información, un
potente manipulado r de los registros para poner de man ifiesto diferentes
vínculos no evidentes.
Un ejemplo gráfico de multidimensionalidad se ofrece en las figuras 13.6,
13.7, 13.8, 13.9 y 13.10. En la Fig. 13.6 se muestra una tabla o base de datos con
información relacionada con las ventas de dos productos, cada una con datos
planificados y reales en dos municipios dados. En la Fig. 13.7 se presenta gráfi-
camente todas las dimensiones de esa tabla. En las figuras 13.8, 13.9 y 13.10 se
proponen diferentes interrogaciones hechas a la base, por un supuesto OLAP.
243
Fig. 13.6 Ventas de ron en dos municipios
Fig. 13.7. R epresentación gráfica de la venta de ron en dos municipios
Fig. 13.8 Análisis por municipios de ventas de ron
Fig. 13.9. Análisis de ventas de ron por m unicipios
244
Fig. 13.10. Análisis del cumpli miento del plan de ventas de ron en cada municipio
La fortaleza de un OLAP –quizás no pueda apreciarse totalmente aquí– es
la posibilidad de efectuar diferentes análisis sólo co n un movimiento de
ratón y algunos clicks, sin conocimientos especiales de programación en
SQL o de otro lenguaje y sin pedir ayuda a l informático.
Una variante de lo s OLAPs son los Procesadores Tra nsaccionales en
Línea (OLTP).
Otras herramientas importantes para la toma de decisiones y el control
son los Sistemas de Apoyo a las Decisiones (DSS)28 y los Sistemas de In-
formación a los E jecutivos (EIS).
Los DSS resultaron la evolución lógica de los primeros Sistemas de In-
formación a la Dirección (MIS), orientados a la solución de tareas adminis-
trativas y de control: Una vez que se tenían creadas bases de datos sobre
inventarios, normas de consumo y de trabajo, facturas, clientes, cuentas de
contabilidad, etc., se comenzaron a aplicar las técnicas de la Investigación
de Operaciones (Programación Lineal, Programación Dinámica, Teoría de
Inventarios, etc.) a los efectos de permitir que los gerentes tomaran sus deci-
sion es c on la a yu da de las c om putad or as. Despu és los mo de lo s de
optimización perdieron terreno en un mundo cada vez más impredecible, y
se incluyeron sistemas de análisis de posibilidades (“What If...”), generado-
res de escenarios, simuladores, generadores de DSS par a buscar objetivos
(“Goal seeking”), e tc. Se han elaborado DSS de análisis estáticos o diná-
micos; para aplicar en situaciones estandarizadas, bien estructuradas, débil-
mente estructuradas o no estructuradas; de aplicación en situaciones de in-
certidumbre o de riesgo, de optimización, simuladores, heurísticos, etc. Las
modestas hojas de cálculo electrónico, muy utilizadas para hacer sólo tablas
“tontas” donde se cuadra horizontal y verticalmente información estática,
28
L. J.Blanco: “Sistemas deayudaa la tomade decisiones”,revista Cibernética,Control yAutomatización;
“La automatización de lainformación de marketing: una propuesta desolución”, revista Economía y
desarrollo; e “Informática y gestión. Un esquema de la utilización de la computación en la
empresa”, revista Giga; todos consignados en labibliografía.
245
en realidad fueron concebidas y sólo alcanzan sus máx imas posibilidades
utilizadas en sistemas tipo What If o Goal seeking.
Los EIS también fo rman parte de la dinámica evolutiv a de los sistemas
informáticos de apo yo a la dirección. Incluso no tienen muy bien delimita-
da su frontera con los DSS y los MIS de actuales genera ciones. Se orientan
a los eje cutivos, a la gere ncia. Su función es proporcionar in formación
relevante para la toma de decisiones y el control, mediante reportes resu-
midos, gráficos, consultas ad hoc, informes por excepción, etc.
¿Son estas todas las herramientas disponibles para apoyar la toma de
decisiones y el control en empresas y entidades de variado tipo? Desde
luego que no, sólo son las más significativa s y utilizadas.
HACIA LOS SISTEMAS EMPR ESARIALES INTELIGENTES
Toda la tecnología descrita, ya disponible, debe ser u tilizada para per-

feccionar el trabajo de aquellas empresas que aspiren a trabajar con éxito
en las condiciones actuales, caracterizadas por la comp lejidad de los pro-
cesos directivos, p or la aguda competencia, por cuotas de ganancia bajas y
aún en proceso de d isminución y sobre todo, por el amplio universo infor-
mativo en que se d esenvuelven. Deben aspirar a conve rtir la abundancia
de datos que norm almente tienen, en una abundancia de conocimientos.
Esas entidad es debe n establecer estrategias coher entes d e desarr ollo
informativo y políticas inteligentes para la gestión de l conocimiento que
generan y utilizan, tal y como se ha expuesto aquí. La AI y la AC son
eleme ntos básicos par a diseñar adecuad os sistem as de in formació n que
incluyen las herra mientas aquí explicadas, en función de hacer más efi-
ciente y eficaz su dirección.
La gerencia debe a spirar a recibir la información relevante y útil para
dirigir y que en e l sistema de información no circule más que esta. Las
recomendacio nes de la AI y la AC p ueden ayudar a ello. Pero no debe
olvidarse que la misión de la entidad y sus objetivos so n los factores fun-
damentales para definir qué información es rele vante y cuál no.
Es conveniente tam bién crear una cultura de utilizac ión de la informa-
ción: las redes in formáticas son para com partir info rmación, y n o para
impedirlo. Sólo así los datos y la información se conver tirán en una verda-
dera inteligencia q ue le confiera a la organización una ventaja competitiva
sobre sus co mpetidores.
Es la mezc la d e in form ació n, c onoc imie ntos, te cnología y c ultu ra
org aniza ciona l, lo que garan tizar á esa ven taja para las o rganizacio nes
intelig ente s.
246
En la empresa LOVEL pose en una red de co mputa doras muy b ien

prov ista: más de c ien equ ipos de última genera ción, d isponib les a p rác-
tica mente todos lo s empleados y funcio narios de la misma. Además, han
comprado un c osto so pa quete comp utacional para auto matizar to das
las fun cione s con tables, finan ciera s, ec onómicas y ad ministrativas; el
cual funcio na desd e hace seis me ses.
Sin embargo, sigu en confrontando problemas con la información: por
ejemplo, la contab ilidad se está cerrando con más de 15 días de atraso
como promedio, cua ndo ya la información que proporcio na no tiene utili-
dad alguna pa ra la toma de decisiones y el control.
Su gerente genera l, Carlos Santana, se quejaba amargamente de esa
situación frustran te con uno de sus amigos, Hipólito García, trabajador
de una consultora independiente en gestión, contabilidad y auditoría.
–¿Hiciste alguna auditoría de la información para detectar qué pro-
blemas reales tenías y dónde se encontraba la causa de esos problemas,
antes de hacer esa tremenda inversión en máquinas y software? –preguntó
Hipólito.
–¿Auditoría de la información? –preguntó Carlos–. No sé de qué me
estás hablando. Nadie me sugirió nada de eso. Simplemente me dijeron
que solucionaríamo s el problema con la compra de las computadoras y el
software.
Pre gunt as
1. Analice coincidenc ias y diferencias entre la Auditor ía de la Informa-

ción, la Auditoría de Gestión, Administrativa u Oper acional y el Aná-
lisis y Diseño de Sistemas Informativos.
2. ¿Por qué se carac teriza generalmente el problema informativo en las
entidad es?
3. ¿En qué consiste la Auditoría de la Información?
4. Defina la Auditoría del Conocimiento.
5. ¿Qué relaciones tie nen ambas entre sí?
6. Defina las cuestiones f undamentales de COBIT.
7. Describa la esencia del modelo Henezel.
8. ¿Qué es un sistema de base de datos relacional?
9. ¿Para qué sirve el lenguaje SQL?
247
10. Mencione en q ué puede utilizarse un Da ta Warehouse.
11. En qué consisten las técnicas de Mine ría de Datos.
12. ¿Qué respuestas pu eden dar los OLAP?
Investigue en la institución en que trabaja o estudia si existen algunos

de los problemas in formativos que se han caracterizado en este capítulo, o
en algún otro lugar de esta obra. Detecte qué se ha hec ho para solucionar
ese problema. Inquiera, además, si se ha realizado algu na auditoría orien-
tada a la informació n o al conocimiento.
248
INTRODUC CIÓN
En los últimos diez años apr oximadamente , investiga dores en el mundo

de la auditoría han comenz ado a a plicar las técn icas de intelig encia a rti-
ficial para hacer más eficiente su traba jo. Aun que tod avía la gran m ayo-
ría de los auditores v iven ajenos a esas investigacion es, no cabe duda
que muestr an un p romiso rio futuro pa ra los próxim os años. Debido a
ello , se ha estima do conv eniente inclu ir este capítu lo, el cu al tiene como
obje tivo co ntribuir a amp liar el horizo nte de conocim ientos del aud itor
contemporán eo y m ostrarle nueva s posibilidad es, métodos y herram ien-
tas.
La intelig encia ar tificial es una de las r amas de la infor mática q ue
más desarro llo ha tenid o en los últimos año s. Una d e su s de finicion es
ex pr esa:
“Campo de las cien cias de la c ompu tación q ue trata de mejo rar el
desempe ño d e la s co mputador as, al d otar las de c arac terístic as a socia-
das con la inte lige ncia hum ana, com o la cap acid ad d e en tend er e l le n-
gua je n atur al o de razonar bajo condiciones de inc ertidumbre”.2
1
Este capítulo ha sido desarrollado a partir dela ponencia presentada por el autor al congreso
científico “Informática 98” en cuyos proceedings aparece; y publicada, después, en la revista
BET-S IME, en lo s números de enero-febrero y marzo-abril de 1998, La Habana.
2
B. Pfaffenberger: Que´s Computer User’s Dictionary. (Trad. del A.)
249
La inte ligencia artif icial se compo ne de varias áreas de aplic ación y
desarrollo, algu nas de las cuales se muestran a continuación:
• Solución general de problemas (demostración de teoremas, etc.).
• Identificación y reconocimiento de patrones visua les, auditivos y
digitales.
• Simulación del mo vimiento humano.
• Análisis y síntesis d el lenguaje natural.
• Potenciación del conocimiento humano (sistemas b asados en el co-
nocimiento).
• Estudio del caos y los fractales.
La inteligencia ar tificial es un campo de investigació n en plena ebulli-
ción. Constantemente están surgiendo nuevas áreas de tr abajo, lo que hace
que la anterior lista pueda envejecer rápidamente.
Sus objetivos de traba jo son los siguientes:
• Ampliar las capa cidades humanas
• Solucionar problemas relativamente rutinarios en forma más eficiente
• Solucionar problemas e n forma más económica
• Solucionar problemas en lugares y momentos don de no puede ac-
tuar el ser humano
• Mejorar las condiciones de trabajo
En los últimos año s se ha aplicado con cierta intensidad en los proble-
mas económicos, con tables y financieros, y en particula r, en la auditoría.
SISTEMAS BASADOS EN EL C ONOC IMIENTO

(SISTEM AS EXPERTOS)
De todas las áreas de trabajo de la inteligencia artificial, los sistemas

basados en el cono cimiento (También llamados “Sistem as Expertos (SE)”)
son los que más ap licaciones han encontrado en la auditoría. Las defini-
ciones más acepta das de estos sistemas se ofrecen a continuación:
• Sistemas informá ticos destinados a la solución d e problemas com-
plejos, cuya única otra alternativa de solución sería la aplicación del
conocimie nto, la experienc ia, la destreza intelectual y la intuición
del ser humano.
250
• Prog ramas q ue pued en acon sejar, a nalizar , categ orizar, comunicar,
consultar, diagno sticar, explor ar, pr edecir, formar conce ptos, iden-
tificar, interpretar, justificar, aprender, dirigir, monitorear, planear, pro-
gramar, compr obar y guiar.
• La incorporación a un ordenador de un componen te basado en el
conocimiento que se obtiene a partir de la habilid ad de un experto,
de forma tal que el sistema pueda dar consejos inteligentes o tomar
decisiones intelig entes.
Para muchos, la d enominación de “sistemas expertos” no es totalmente
correcta, pues eso s sistemas se apartan de la concepc ión que tenemos de
un “experto” o “pe rito” en un área del conocimiento determinada. Algu-
nos autores y espec ialistas prefieren llamarles “Sistema s basados en el co-
nocimiento”. Por e jemplo, un experto humano es más eficiente en la medi-
da que acumula con ocimientos y experiencias. Paradójic amente, un sistema
“ex perto” cuand o acum ula má s “con ocimientos” reduc e su r apidez de
operación, por la necesidad de realizar búsquedas más amplias en su base
de conocimientos. No obstante, en este libro se utilizará el término “siste-
ma experto” por lo d ifundido del mismo.
Los SE han pasado por distintas etapas de desarrollo. A continuación se
ofrecen la s mismas:
1. Etapa de in iciación: 1965-1970. Primeros sistemas expertos.
2. Etapa de e xperimentación y de sarrollo: 1970 -1980. Aparecen los
sistemas experto s más conocidos.
3. Etap a de in dustria lizació n: Desde 1980. Las emp resas d e alta tec-
nolo gía y la industria de l softwa re comienza a producirlos in dus-
trialmen te.
Estos sistemas tie nen algunas características que me recen ser mencio-
nad as:
1. El desarrollo se b asa en una teoría descriptiva de la forma de resolu-
ción de los pr oblemas por parte de los exp ertos humanos.
2. El foco de desarr ollo es una representación de la experiencia, esto
es, el conocimien to adquirido por medio de la práctica y el estudio.
Las funciones que un sistema experto debe realizar son:
• Solucionar proble mas muy difíciles en forma similar o mejor que el
ser humano.
251
• Razonar heur ísticamente.
• Interactuar efic azmente y en lenguaje natural c on las personas.
• Manipular descr ipciones simbólicas y razona r sobre ellas.
• Contemplar hipóte sis alternativas.
• Explicar por qué pla ntean sus preguntas.
• Justificar y explica r sus conclusiones.
Para que los sistemas e xpertos sean aceptados:
• Deben ser útiles.
• Deben pode r usarse.
• Deben ser e ducativos.
• Deben ser cap aces de explicar sus prop ios consejos.
• Deben ser capa ces de responder a preguntas sencillas.
• Deben incorpora r nuevo conocimiento cuando sea necesario.
• Deben poder ser modificados fácilmente.
La facilidad o med io de explicación de un Sistema Ex perto describe el
razonamiento del sistema para el usuario.
Es una de sus dif erencias fundamentales con el software tradicional.
La importancia de involucrar al usuario y de acompañ ar a los sistemas
expertos con medios de explicación, a umenta según aumentan los siguientes
facto res:
• La probabilidad de tener resultados incorrectos.
• El costo de e star errado.
• El deseo de tra nsferir al usuario la pericia del sistema.
La explicación dentro del SE tiene las siguie ntes funciones:
1. Ayuda en la depura ción del sistema.
2. Información a usuarios sobre el status del sistema.
3. Incr emento d e la co nfianza del usu ario en el sistema (y en su a cep-
tación).
4. Clarificación de los términos y conceptos empleado s por el sistema.
5. Incremento del nivel personal de pericia del usuario.
Para que cualquier forma de explicación sea efectiva , debe existir una
infraestru ctura para las explicaciones, que se a mutuamente co mprendi-
da, tanto por el usuario como por el sistema.
La infraestructur a incluye elementos tales como un entendimiento del
paradigma de infer encia empleado por el sistema y un a comprensión del
vocabulario del d ominio específico utilizado en las explicaciones.
252
Las explicaciones más comunes son:
• ¿Por qué...? ( preguntas): Se utiliza por el usua rio cuando el sistema
le hace alguna pr egunta. Implica que el sistema e xplique la razón
por la cual ha p reguntado algo.
• ¿Por qué...? (respuestas): Se utiliza por el usuario cuando el sistema
le ha dado una respuesta. Implica que el sistema explique cuáles fue-
ron las premisas que utilizó para llegar a una conclusión determinada.
• ¿Cómo...?: Se utiliza po r el usuario cuando desea u na explicación
del procedimiento seguido por el sistema para lleg ar a una determi-
nada conclusión. Implica una explicación por parte del sistema del
proceso seguido, tratando así de fundamentar la ra zonabilidad de la
conclu sión.
Las ventajas de la utilización de los sistema s expertos son:
1. Mejoras en la productividad de los usuarios.
2. Conservación y organización de conocimiento s importantes.
3. Mejora del aprendiza je y la comprensión.
4. Posibilidad de usar personal no especializado para resolver proble-
mas de expertos.
5. Obtención de soluc iones más rápidas.
6. Obtención de soluc iones más fiables.
7. Reducción de costos.
8. Eliminación d e operaciones incómodas o monótonas.
9. Acceso del co nocimiento a poblaciones más amplias.
10. Posibilidades de trabajar en condiciones agresiva s o no agradables
para el se r humano.
Sus desventajas o limitaciones son:
1. Complejidad en la extracción de los conocimientos de los expertos
huma nos.
2. Complejidad e n la representación del conocimiento.
3. Incapacidad para resolver problemas cuando tiene conocimiento in-
completo.
4. Mala adaptación de las estrategias.
5. Duración del desarrollo.
6. Campo de aplicaciones restringido.
7. Poca utilizació n de la analogía como método de inferencia.
253
Cada sistema expe rto puede tener su organización pa rticular, pero la
arquitectura más general se muestra a continuación:
Fi g. 14.1. Arquitectura de un sistem a experto
El conocimiento puede ser público o privado ( Ver tabla 14.1)

Tabla 14.1
Está compuesto de los siguientes elementos:

• Hechos: “Bolivia es un país”.
• Reglas de pro cedimiento: “Verificar el movimiento vehicular antes
de entrar en una avenida”.
• Reglas heurísticas: “Es mejor intentar un aterrizaje de emergencia en
condiciones controladas, que volar en condiciones desconocidas”.
254
El conocimiento pr ivado por lo general es poseído po r los expertos. Un
experto es la persona que posee un modelo conceptual general del área
específica y un esquema global para hallar una solución a un problema o
dificultad. Conoce “cómo” solucionar los problemas. Posee también co-
nocimiento público, pero el verdaderamente útil es el privado.
El conocimiento puede representarse de las sig uientes formas:
• Lenguaje natural convencional: Ambiguo, muy r ico y amplio.
• Estructu ras f icher o-reg istr o con vencionale s: Mu y o rgan iza das y
estructuradas. Pr opias para datos.
• Lenguajes de lógica formal: Cálculo de predica dos, lógica propo-
sicio nal.
• Reglas de p roducción: SI....ENTONCES.....
• Armaduras (Frames): Todos los asertos de una entidad pa rticular es-
tán agrupad os juntos.
• Guiones (Scripts): Descripción d e todos los procedimientos para lle-
gar a una solución.
• Enfoque fu ncional: El universo del discurso consta de “ entidades” y
“funcion es” interrelac ionadas.
De esas formas, la más común en los SE son las reglas de producción.
Una regla de producción tiene la sigu iente forma:
SI <condición> ENTONCES <acción 1> EN CASO CONTRARIO <acción 2>
Relación entre dos Ejecutar e n caso de Ejecutar e n caso de

elementos mediante que la condición que la condición
signos de relación: sea verdadera sea falsa.
=, <>, <, >, <=, >=,
AND, OR, NOT,
y sus comb inaciones.
255
Un ejemplo de re glas de producción se muestra en la Fig. 14.2.
PAGO DEL CHEQUE PERMITIDO

SI el cheque e s del banco
Y el receptor ha sido identificado
Y la firma es autorizada
Y las cantidad es concuerdan
Y hay saldo suficiente
EL RECEP TOR HA SIDO IDENTIFICADO
SI el cheque es al portador
O la firma del recepto r ha sido comprobada
HAY SALDO SUFICIENTE
SI el saldo es mayo r que el importe
O el descubierto se ha autorizado
EL DESCUBIERTO HA SIDO AUTO RIZADO
SI el importe del saldo es mayor que el límite del des-
cubierto
Fig. 14.2. Ejemplo de reglas de producción

En los Sistemas expe rtos, uno de sus elementos fundamentale s es el
Motor de Inferencia s. Este es el componente que dirige y controla la imple-
mentación del conocimiento.
Su estrategia de c ontrol determina cómo se examinará n las reglas en la
base de con ocimientos.
Las estrategias de con trol más comunes son:
• Encadenamiento ha cia atrás, regresivo, retroencad enamiento o back-
chain ing.
• Encadenamiento progresivo, frontal hacia adelante o forward chaining.
El primero se c aracteriza por:
• Se presupone la prue ba de una hipótesis.
• Se comienza por las reglas que suponen las conclusiones del sistema
y se retrocede en e l árbol de reglas.
• Cuando se prue ba la hipótesis, el trabajo ha concluido.
• Si no puede proba rse esa hipótesis, se asume que es falsa y pasa a
probarse otr a hipótesis.
256
En el segundo:
• El razonamiento es ascendente.
• Se analizan las c ondiciones conocidas (hechos, pr oposiciones) y se
avanza en la b ase de conocimientos proban do cada regla.
• El proceso contin úa hasta que no sea posible prob ar más reglas. En
ese momento el proceso concluye y se ofrecen los resultados.
Los restantes módulos de la arquitectura mencionada, y sus funciones son:
• Módulo de interrogació n al sistema experto:
 Comunicación b idireccional.
 Descripció n del problema por parte del usuario e n lenguaje
natural.
 Explicación de sus conclusiones al usuario. Justificación (cómo
lo hizo) y Explicación (por qué lo hizo).
 Amistoso.
• Módulo de adquisició n del conocimiento:
 Permiten crear y enriquecer la base de c onocimientos.
 Comunicación c on el experto.
El sistema experto puede utilizarse para los usua rios siguientes:
• Cliente: Utilizador del Sistema Experto para solucionar problemas
concr etos.
• Alumno: Alguien que estudia o se entrena con la ayu da del Sistema
Experto.
El sistema experto se apoya, a su vez, en el trabajo de los siguientes
expertos humanos:
• Tutor: Persona que ap orta, enriquece o modifica e l conocimiento
del sistem a experto.
• Verificador: Persona que va lida la ejecución o activid ad del sistema
experto.
Los tipos de sistemas expertos más comunes son:
• Asistente: Pequeño. Basad o en Pcs. Funciones básica s de asesoría.
• Colega: Más de sarrollado. Responsabilidades ma yores. Realiza la
atención directa d e algún problema.
• Experto: Mayor. Más cap acidad de trabajo y conocim ientos. Cerca-
no al desempeño de un experto humano.
257
Su dominio de tra bajo es relativamente limitado, especializado y ho-
mogé neo.
Las herramientas de tr abajo más comunes son:
1. Lenguajes de programa ción convencionales.
2. Lenguajes de prog ramación especializados en Intelig encia Artificial:
Prolog, Lisp, Modula.
3. Lenguajes de programación orientados a objeto: C++, Smalltalk.
4. Shells: Art, Crystal, Exsys, Nexpert object, Aries, Vp-Expert.
APLICAC IONES DE LOS SISTEM AS EXPERTOS

EN LA AUDITORÍA
Son muy conocidas en el mundo las aplicaciones económicas, financie-

ras y contables de los sistemas expertos. Se dedican con mucho éxito a la
planificación financiera, la evaluación de proyectos de inversión, el análisis
de las oportunidades de negocios, la colocación de capital, el asesoramiento
fiscal, la planificación de las jubilaciones, la evaluación de las peticiones de
créditos, etc.
Por ejemplo , el sistema GEF3 eva lúa una empre sa a pa rtir de la in for-
mación de sus esta dos fin anciero s, y o frece sus resu ltados en leng uaje
natu ral. Pu ede ser un exc elente auxiliar de dir ectivos empresariales que
no tengan u n conoc imiento amplio de la contab ilidad y las f inanzas em-
presariales. Fue e l prime r siste ma exp erto qu e se hizo en Cuba par a el
áre a de la ge stión y las finanza s emp resar iales, al meno s que se h aya
doc umenta do.
A partir de esas ex periencias iniciales, se continuaron en la Facultad de
Economía de la Universidad de La Ha bana, las investigacio nes sobre la
aplicación de los sistemas expertos a la contabilidad, las finan zas y la ges-
tión empresarial, a mpliándose también a la llamada Auditoría Informática,
área que cubrimos sistemáticamente, tanto en docencia4 como en investi-
gaciones y servicios.
3
Elaborado en 1995, por el hoy licenciado E. Rodríguez, como trabajo dediploma, bajo la tutoría
del autor.
4
El autorimparte todos los años el curso de posgrado “Auditoría a sistemas informáticos”, ya con
varias ediciones,en el cual, por supuesto, seincluyen algunas de las ideas quese abordan en este
libro.
258
Como resultado de esas investigaciones, se han encontrado en la literatu-
ra disponible, algunos sistemas expertos de aplicación directa en la auditoría.
A continuación la tabla 14.2 nos presenta algunos de estos sistemas.
Tabla 14.2
259
La ap licación de los sistemas expertos en la au ditoría, presenta una
serie de ventajas:
• Creación de la de manda para auditar nueva informa ción, para brin-
dar nuevos servic ios de auditoría.
• Generalización a todos los auditores el conocimiento experto, la es-
pecialización y la experiencia de auditores m ás conocedores.
• Incremento d e la productividad en lo s auditores.
• Reducción de los costos de la auditoría.
• Mejora de la calidad del servicio d e auditoría.
• Aumento de la rapidez en la toma de decisiones.
• Disminución de los errores por fatiga y operacio nes repetitivas.
• Identificación d e problemas potenciales en las áreas a auditar.
• Conservación y mejor utilización del conocimiento experto.
• Seguridad del equ ipo de auditores ante la potencial posibilidad de
que alguno de los mie mbros deje de serlo.
También se presen tan algunos obstáculos y desventajas potenciales:
• Alto costo de desarrollo de los sistemas expertos. La tendencia es a
disminuir, al disponerse de herramientas de desarr ollo más eficien-
te s.
• Problemas legales, ante fallos de auditoría provoc ados por sistemas
exper tos.
• Problemas con la adquisición del conocimiento.
• Barreras sic ológicas por parte de lo s auditores.
• Posible abandono d el juicio humano.
• Abuso o mala inte rpretación de las sugerencias de estos sistemas.
• Aplicación en las fases de investigación y conclusiones preliminares
del trabajo.
No obstante, el ba lance es positivo. Además la tende ncia mundial hace
ver que este tipo de herramientas tendrá un espacio ca da vez mayor en el
arsenal de l auditor.
UNA PROPUESTA DE APLICACIÓN
Una aplicación muy promisoria de los sistemas expertos sería el apoyo

de los trabajos de auditoría en las áreas de proceso automatizado de datos,
en lo referido a la evaluación de la seguridad de los re cursos informativos
y la elabora ción de los planes de c ontingencia.
260
El sistema que se e laboraría podría constar de los sigu ientes subsistemas,
como mínimo:
1. Auditoría del control inte rno. Este subsistema tendría como objetivo
comprobar los métodos y procedimientos de control interno en entida-
des con centros y áreas de procesamiento automatizad o de datos. Cons-
taría de las sig uientes tareas:
• Plan ificac ión.
• Organización y administración.
 Perso nal.
 Estructura y organización.
 Relaciones con los usuarios.
• Explotación.
 Plan ificac ión.
 Perso nal.
 Gestión.
 Docu mentac ión.
• Desarrollo d e sistemas.
2. Auditoría del ento rno operativo. Este subsistema conce ntraría su activi-
dad en la valoración de los controles internos de las áreas de procesa-
mie nto de da tos y los sistemas info rmáticos en ex plotación . Es un
subsistema muy imp ortante en el proceso de auditoría . Se ocuparía de:
• Software.
 Software del sistema y utilidades.
 Ficheros y program as en explotación.
 Paquetes de aplicación.
 Sistemas gestores de bases de datos.
 Controles de acceso.
 Políticas de copias.
• Hardware.
 Locales: Emplazamiento, acondicionamie nto y acceso.
 Protección de da tos en memoria.
 Soportes de información.
• Calidad del software.
 Factores de la c alidad: Características operacio nales, revisión,
entr ega.
261
 Métricas de calidad utilizadas.
 Garantía de calidad: Metodologías utilizadas, r evisiones técni-
cas, pruebas, co ntrol de cambios, mediciones, r egistro y reali-
zación de informes.
3. Planes de contingencia y seguridad informática. E l objetivo de este
subsistema sería ev aluar los niveles de seguridad en lo s recursos informa-
tivos, las medidas de garantía de esa seguridad y los p lanes de contingen-
cia. Podría constar de las siguientes tareas:
• Procedimientos organ izativos y activos.
• Docu mentac ión.
• Preparación d el personal.
El sistema debería tener una estructura modular qu e permita agregar
otras funciones en la medida que sea necesa rio y posible.
Un ejemplo de las posibles reglas de producción se ofrece en la Fig. 14.3
... SI existe un estud io de las necesidades de hardwar e y software del

departamento informático ENTONCES El Dpto. In formático no
necesita elaborar un estudio de las necesidades de hardware y soft-
ware a lar go plazo.
... SI La empresa pued e tener dificultades en la direc ción por carecer
de las infor maciones necesarias a largo plazo Y los Dpto s. Usua-
rios pueden tener dificultades en la dirección a largo plazo por care-
cer de las informaciones necesarias O El Dpto. Informático debe
cotejar sus necesidades con los planes de la empresa ENTONCES
La función informática no podrá solucionar adecuadamente los pro-
blemas informativos de la empresa.
Fig. 14.3. Ejemplo de reglas de producción de aplicación e la auditoría
LAS R EDES NEURONALES ARTIFICIALES
Es reconocido que una de las dificultades de utilizar sistemas expertos,

es encontrar y org anizar el conocimiento humano para incorporarlo a sus
bases de conocimie nto. Las causas son variadas. Por e jemplo, muchos peri-
tos en alguna rama del conocimiento no logran expresar organizadamente
su saber práctico o no desean hacerlo, para proteger sus ventajas competiti-
vas, por lo que en ocasiones la base de conocimientos de algunos sistemas
262
expertos no logran la masa crítica de reglas de producción (d e conoci-
mientos prácticos) que permita el empleo verdaderame nte útil de dichos
sistema s.
En esos casos una alternativa a valorar es el empleo d e redes neuronales
artificiales (RNA)5, las cua les convenientemen te diseñadas y en trenadas,
pueden realizar su trabajo con resultados similares o mejores que los siste-
mas expertos.
Sin querer agota r el tema, el autor describirá su experiencia 6 en el caso
de la elaboració n de una red neuronal basado e n el paradigma7 BMLP o
“Red multicapa de p ropagación hacia atrás”, para evalua r el control inter-
no de una entidad.
EL PARADIGMA BM LP Y SU EMPLEO COMO BASE

DE UNA R ED NEURONAL DE UTILIZACIÓN
EN LA AUDITORÍA
El BMLP presenta una excelente capacidad de evaluación y clasificación

de cualquier situación. Ello lo hace ideal para solucionar el problema de la
evaluación del control interno de una entidad, pues consiste precisamente
en un problema de clasificación del sistema, a partir de ciertos hechos, opi-
niones externas y observación de la realidad. Dicho de otra forma, es un
problema que implica evaluar una situación dada y tras ello, proponer una
solución que presupone clasificar el resultado entre varios posibles. Este es
un problema que puede solucionar perfectamente una red basada en dicho
paradigma.
El BMLP supera ta mbién a los sistemas expertos en el hecho de que
puede trabajar satisfactoriamente sobre información de entrada con cierto
nivel de “ruido”: p or ejemplo, existencia de preguntas d e los cuestionarios
5
Al igual que en el caso de los sistemas expertos, las redes neuronales artificiales han generado
muchas investigaciones y publicaciones. Parala iniciación al tema puede consultarse el excelente
libro de José Ramón Hilera González: Redes neuronales artificiales: fundamentos, modelos y
aplicaciones, Editorial RA-MA, Madrid, 1995.
6
Publicada en forma de artículo como “Las redes neuronales artificiales en el trabajo de auditoría”,
en la revista Giga, no. 3 de 2004, La Habana.
7
Como seg uramente sabe el lector info rmado, existen casi doscient os paradigmas de red,
perfectamente identificados y con sus características definidas. Estudiarlos todos afondo puede
representarmuchos años de trabajo.
263
que no se respon dan o que se hagan incorrectame nte por motivos inten-
cionales o no.8 Ambos casos pueden ser catalogados c omo “ruido”9 en el
argot de los esp ecialistas que trabajan con re des neuronales.
El BMLP tiene una capa de neuronas de entrada, una capa de salida y
una o varias intern as. En el caso que se describe, el diseño de la arquitec-
tura de la RNA tiene tres capas de neuronas:
• La capa de entra da de información, compuesta por una neurona por
cada pregunta de los cuestionarios y por cada cue stión observada.
Los valores que r ecibía cada neurona eran los siguientes: “1”, en el
caso de que la pr egunta se respondiera afirmativa mente (por ejem-
plo: “Existe sepa ración entre la función de prepara ción de la nómina
de salarios y la preparación del cheque para el pa go de dicha nómi-
na”); “0” para el caso de respuesta negativa (“No Existe separación
entre la función de preparación de la nómina de salarios y la prepa-
ración del cheque para el pago de dicha nómina”) y “-1” para el caso
de respuesta impr ocedente (No se prepara la nómin a en la entidad u
otra razón).
• La capa de salida, responsable de emitir los criterios evaluativos so-
bre el control in terno de la entidad, compuesta po r una neurona por
cada una de la s categor ías evalu ativas (p or ejemplo, “Siste ma de
control interno r obusto” o “Sistema de control inte rno con debilida-
des. Es necesario aumentar las pruebas sustantivas a la información
que p rocesa”). Cada ne urona responsable de una c ategoría emite
como salida un v alor que se mueve entre “0” y “ 1”: Si adopta el
valor “0” o algun o que tendiera al mismo ostensiblemente, esa cate-
goría no es tomad a como conclusiva. Pero si el va lor de salida era
“1” o cercano al mismo, la conclusión se asocia con esa categoría. A
partir de esos valores de salida de las neuronas, se elaboró un senci-
llo interfaz conv irtiendo dichos valores en lengua je natural, mucho
más claro para el ser humano.
• La capa interme dia. En el c aso desc rito se expe rime ntó con una
ca pa y con dos, pe ro los r esultad os m ejor es f uero n lo grad os p or
un a ca pa. La c antidad de n euro nas en la c apa se o btuv o a partir
8
No es raro quealgunos funcionarios suministren a los auditores información incorrecta en las
entrevistas.
9
El “ruid o” es una señal que entra al sistema y que p or su contenido y forma puede influir
negativamenteen laactividad de este, debido a que distorsiona la verdadera información.
264
de la aplicación de una sencilla regla que dice que el número estándar de
neuronas en capas o cultas es igual a M/2N < n < 2M/N, donde:
 M: Es el número de ejemplos con que se va a en trenar la red.
 N: Es el número de un idades de entrada.
 n: Es el número de neuronas que se van a situar en capas inter-
medias.
La figura 14.4 m uestra un esquema de la arquitec tura de la BMLP.
Fig. 14.4. Esquema de la arquitectura de una BMLP
Como se aprecia en la Fig. 14.4, las líneas que van de la capa de entrada
a la intermedia y de ahí a la de salida representa la información que generan
las neuronas cuando se activan. Es la información que procesa el resultado
del trabajo de la red, y la que apreciará el usuario al concluirse. Las líneas
que van en sentido inverso, de la capa de salida a la intermedia y a la de
salida, representan información de retroalimentación, y posibilita perfeccio-
nar progresivamente el trabajo de la red (su “aprendizaje”).10
La función de activación que se utilizó fue la conocida sigmoide, inte-
grándola entre -1 y 1, para lograr valores continuos de salida en los proce-
sos de ac tivación.
El proceso de entrenamiento de la red neuronal ap roximó considera-
blemente los valore s de salida de las neuronas a “1” y “0”, lo que mostró
que la red asimiló adecuadamente su e ntrenamiento.
10
Lamentablemente en este trabajo no puededetallarse cómo se elaboran unas y otras informaciones
en la red, pues ello se refiere a la tecnología básica delas redes neuronales artificiales. Los textos
mencionados brindan información al respecto.Además, en la revista Giga pueden encontrarse
artículos referidos al tema.
265
Se ha elaborado un prototipo para experimentar su diseño, mediante un
excelente simula dor de redes neuronales que se tuvo disponible.11
Los resultados fu eron muy promisorios: la red eva luó adecuadamente
los casos que se le alimentaron, procesando resultados similares a los de
sistemas expertos con funciones similares. Cuando se intentó confundirla
introduciendo “ruidos” en las preguntas (preguntas sin responder, respuestas
erróneas), fue capa z de dar evaluaciones correctas asim ilando hasta el 10-
12% de ruidos en las in formaciones de entrada.
La tecnología de las RNA ya ha alcanzado una madur ez en su desarro-
llo. Su empleo ha p asado a ser problema tecnológico y n o científico: solo
resta solucionar p roblemas de amigabilidad entre el ho mbre y la máquina,
difundir sus ventajas mediante cursos, conferencias, etc. y demostrar sus
ventajas en la prác tica, para vencer la desconfianza y el temor ante lo nue-
vo que presentan mu chos especialistas.
Con ellas se pued e enriquecer mucho el arsenal de las TAAC para el
auditor contemporáneo en cualquiera de las modalidades de auditoría a
que se dedique.
CONCLUSIONES
La inteligencia artificial ha dejado de ser un feudo de científicos y aca-

démicos, para entra r de lleno en el ámbito de la industr ia del software. El
mercado de productos de inteligencia artificial en los Estados Unidos se
triplica cada dos años. Similarmente sucede en países de la Unión Euro-
pea. En ese mercad o los productos para aplicaciones en la auditoría ocu-
pan progresivamente un lugar cada vez más importante. Esas aplicaciones
se concentran fund amentalmente en los sistemas exper tos. Sin embargo,
otras aplicaciones de la inteligencia artificial, como las redes neuronales
ar tif iciale s, mue stran ex celentes posibilid ade s d e ser utilizad os en la
auditoría, por su capa cidad de diagnóstico.
Se requerirá, sin embargo, que la cultura de trabajo del auditor le permita
aceptar productos tan revolucionarios, al menos en su esfera. Deberá com-
prender que el empleo de un sistema experto no implica la suplantación de
su persona por una computadora, sino todo lo contrario: la máquina, pero
sobre todo el software experto, complementará y ampliará sus capacidades,
11
J.I. Romero: “Simulador de redes neuronales artificiales”, trabajo de tesis cuya tutoríaestuvo a
cargo de F. Mesa, Universidad de Cádiz, 1994.
266
permitiéndole la liberación de las funciones intelectuales más bajas y sim-
ples del auditor, brindándole diagnósticos preliminares y propiciándole que
se concentre en las evaluaciones finales y esenciales, aquellas donde ningún
hombre inteligente y culto podrá ser sustituido por máquina alguna.
Es de suponer que en los primeros años del próximo siglo este tipo de
herramienta se torn e imprescindible para los auditores. Será aceptada, tal y
como hoy se ace ptan los programas de auditoría más clásicos.
Pedro, auditor de una consultora internacional muy grande y avanza-

da tecnológicamente, se encuentra con un antiguo amig o, Miguel, auditor
también pero de un departamento interno de una e mpresa nacional.
Después de la típica conversación inicial, los temas se encauzan por la
actividad profesional, y Pedro cuenta a Miguel que están utilizando sistemas
expertos y redes neuronales para evaluar el control interno de la firmas a
las que realizan auditorías financieras, de manera de decidir cuántas y qué
tipos de pruebas sustantivas harán antes de certificar los estados financie-
ros.
Miguel, un poco e scéptico ante tecnologías que no conoce, le dice:
–Compadre, esas técnicas podrás aplicarlas en tu transnacional, pero
en mi empresa son imp osibles de utilizar.
–¿Pero, por qué d ices eso? –le pregunta Pedro–. En realidad, casi no
te enteras de cómo trabajan, pues lo que usas son programas muy amiga-
bles, y sólo tie nes que responder a las preguntas que te hacen.
–¿Y dónde queda la creatividad de los auditores? –se defiende Miguel.
–S i tú su pie ras, q ue e sos progra mas te libera n d e much as tare as
intrascendentes, y te dejan el suficiente tiempo libre como para que pue-
das pensar en los v erdaderos problemas. O sea, que te p ermiten ser verda-
deramente creativo.
–Mira, vamos a to marnos unas cervecitas y no me h ables más de esas
cosas. Que parecen de ciencia ficción.
Pre gunt as
1. ¿En qué consiste la in teligencia artificial?

2. Mencione las principales partes en qu e se divide.
3. ¿Cuáles son sus objetivos?
267
4. ¿Qué son lo s sistemas de razonam iento basados en reg las de pro-
ducción o en el c onocimiento? ¿Tiene diferencias con los sistemas
exper tos?
5. ¿Qué funcione s puede realizar un sistema experto?
6. ¿Cuáles son sus v entajas de aplicación? ¿Y cuáles son sus desventa-
ja s?
7. Mencione las partes principales de la arquitectura de un sistema ex-
perto.
8. ¿En qué consiste la b ase de conocimientos?
9. ¿Qué función desempeña el motor de inferencias?
10. En el marco de lo s sistemas expertos, diga cómo se puede represen-
tar al con ocimiento.
11. ¿Qué cosa es un a regla de producción? ¿Cómo se representa?
12. Diga los tipo s más aceptados de siste mas expertos.
13. ¿Cómo pudieran u tilizarse los sistemas expertos en la auditoría?
14. ¿En qué consisten las redes neuronales artificiales?
15. ¿Son una alter nativa a los sistemas exper tos? ¿Por qué?
16. ¿Existen posibilidades de emplear esas redes a la auditoría?
Pr ob lem as de i nvest igaci ón 12
Haga una búsqueda en alguna biblioteca o en internet, tratando de en-

contrar reportes so bre aplicaciones de los sistemas expe rtos o de las redes
neuronales artificiales a la auditoría. Si es posible, baje softwa re especiali-
zado para su aplicación, y estudie c ómo hacerlo.
268
ARBONA, S. Y D. MATOS: “Llaves de prote cción”, revista PC WORLD España,
no. 115, novie mbre de 1995.
ATHEY, T. Y R. ZMUD: Introduction to Computers and Informa tion Systems,
2da. ed., Scott, Forem an and Company, 1988.
Auditoría. Libro de texto u tilizado en la Facultad de Conta bilidad y Finan-
zas de la Universidad de La Habana, [ s.n], [s.a].
BERTALANFY , L. V.: “Historia y de sarrollo de la Teoría Genera l de Sistemas”,
en Temas selectos 1, Universida d del Valle de México, Dirección de
Posgrado, 1992.
BIDOT, J.: “Panorámica de los programas maligno s”, revista Audito ría y
Control, no. 11 y 12, 2004.
________________: “¡Hoax! La plaga de los virus místicos”, revista Giga,
no. 2, La Ha bana, 1999.
BLANCO, L. J.: “La auditoría de los sistemas automatizados: una introduc-
ción a su estud io”, revista Economía y Desarrollo, no. 67, La Habana,
1982.
________________: “Sistemas de ayuda a la toma de de cisiones”, revista
Cibernética, Contro l y Automatización, no. 1, La Habana, 1989.
269
________________: “Aplicaciones de la inteligencia artificial a la auditoría
informática” , revista BET-SIME, enero-febrero y m arzo-abril, La Ha-
bana, 1998.
________________: Auditoría informática para el nuevo milenio, Ed. Edu-
cación y Cultura, Cochabamba, 2000.
_________ _______: “Informática y gestión. Un esquema de la utilización
de la computación en la empresa”, revista Giga, no. 1, La Habana, 2000.
________________: “La auditoría informática en el añ o 2000, en N. Mon-
tes, Sistemas c ontables, Ed. Educación y Cultura, Cochabamba, 2000.
________________: “Información, conocimientos y ec onomía. Reflexio-
nes sobre el co sto y el valor de los recurso s informa tivos”, re vista
Economía y Desarrollo, no. 2, La Habana, 2001.
__________ ______: “La a uditoría informátic a al comienzo del tercer
milenio”, revista Economía y Desarrollo, no. 1, La Habana, 2001.
________________: “La automatización de la informac ión de marketing:
una propuesta de so lución”, revista Economía y desarrollo, no. 3/4,
La Habana.
__________ ______: Auditoría y siste mas informáticos, Latina Editores,
Oruro, Bolivia, 2001.
__________ ______: E. I. GUT SZTAT: Sistemas informáticos. Teoría, méto-
dos de elaboración, técnicas, herramientas, 2 t., Ed. E NPES, La Ha-
bana, 1991.
BLANES, J.: Diccionario de té rminos contables, CECSA, 1973.
BOLAÑOS, J.: “Cortafuegos: una combinación de extintore s y bomberos”,
revista GIGA, no. 2. La Habana, 1999.
BUSTAMANTE, E.: “¿Está usted protegido?”, revista GIGA, no. 3, La Habana, 1998.
CARREÑO, J. M.: “Auditoría de aplicaciones en funcionamiento”, Primer Con-
greso Nacional de Auditoría en Sistemas Computarizados, Bogotá.
COIRA, J.: “Palabras claves de única vez”, revista GIGA, no. 2, La Habana, 1998.
Comité Internaciona l de Prácticas de Auditoría. Normas Internacionales de
Auditoría, Instituto Mexicano de Contadores Públicos, 1995.
270
Contabilidad Financiera. Texto utilizado en la Facultad de Contabilidad y
Finanzas de la Universidad de La Habana, [ s.n.], [s.a.].
CORNELLA, A.: “Cómo sobreviv ir a la infoxicación”. Transcripción de una
conferencia pronu nciada en el acto de entrega de los programas de
Formación de Posgrado del año académico 1999-2000.
______________: “La información alimenta y ahoga” en “Infonomía.com:
la empresa es información”, noviembre de 2000.
COUSO, E.: “Protegiendo a rchivos en Apache http Serv er”, revista Giga, no.
4, La Haba na, 1998.
CROWELL, D. A.: “Techniques for Auditing Novell’s Ne tware”, en The EDP
Auditor Journal, Volume IV, 1992.
DATE, C. J.: An Introduction to Database Systems, 3nd. Edition, Addison
Wesley, 1982.
DAVIS, W. S.: Herramientas CASE. Metodología estructura da para el de-
sarrollo de los sistemas, Ed. Paran info, 1992.
DOMÍNGUEZ, A.: “Seguridad en los se rvidores”, revista Giga, no. 3, La Ha-
bana, 1999.
ECHENIQUE , J. A.: Auditoría en informática, McGraw-Hill. 1990.
ENTSMINGER, G.: The Tao of Objects, 2nd. Edition, M&T Books, 1995.
GARCÍA, J. Y R. Mas: Notas de clases impartidas en la Maestría en Gestión
de la Información de la Facultad de Economía de la Universidad de La
Habana, 2002.
GUADIS, E.: “Virus altam ente destructivo: Win95.CI H”, revista Giga, no. 2,
La Habana, 1999.
_________ ______: “Los virus ma cros. Epidemia de fin de siglo”, revista
Giga, no. 1., La Habana, 1998.
_________ ______: “Virus macro ”, revista Giga, No. 3, La Habana, 1997.
Guía No. 1 . “Com probac ión na cional del c ontrol inter no”. Asociac ión
Nacional de Econ omistas y Contadores de Cuba y M inisterio de Fi-
nanzas y Precios.
HAMMER, M. Y P. CHAMPY: “Reingeniería”, Grupo E d. Norma, Bogotá, 1994.
271
HANCE, O.: Leyes y negocio s en internet, McGraw-Hill, 1996.
HENEZEL, S.: “The Information Audit. As a First Step To wards Effective
Knowledge Manage ment: An Opportunity for the Spe cial Librarian”.
T ra b a jo p re se nta d o e n e l Wo r ldwid e Co nf e r en c e o n Sp e c ia l
Librarianship “Global 2000”, Brighton, 16-19 de octubre de 2000.
HERNÁNDEZ, P ASCUAL E.: “Auditoría inform ática”, revista Visión del Auditor,
La Paz, Bolivia, 2000.
HERNÁNDEZ, R. y otros: Metodología de la inve stigación científica, McGraw-
Hill, 1991.
HOLMES, A. W.: Auditoría. Principio s y procedimientos, UTEHA, México,
1945.
Information Systems audit. and Con trol Foundation. “COBI T. Objetivos
de control”, Abril de 1998, 2da ed. www.isaca.org. research@saca.org.
KENDALL, K. E. Y KENDALL, J. E.: Análisis y dise ño de sistemas, 3ra. ed.,
Prentice Hall, Pearson Educación y Addison Wesley, 1996.
KOHLER, A.: Auditing, Prentice may Inic., Englewood Cliff, 1954.
LEVIN, R. B.: Virus informátic os. Tipos, protección, diagnosis y soluciones,
Osborne, McGra w Hill, 1991.
LEVINE, J. Y BAROUDI , C.: The Internet for dummies, 2nd. Edition, IDG Books
Foster City, 1994.
LI , D. H.: Auditoría en cen tros de cómputo. Objetivos, lin eamientos y pro-
cedimientos, Ed. Trillas, 1990.
MARTÍN, J.: Organización de la s bases de datos, Prentice-Hall Internacio-
nal, 1977
MARTÍNEZ, R.: “El virus Ch ernobil ataca de nuevo”, periódico Patria, Oru-
ro, Boliv ia, 2000.
MEIGS, W. B.: Principios d e auditoría, [s.n.], [s.a.].
MÉNDEZ, M. A.: “Windows 98 ante virus informáticos”, revista Giga, no. 5,
1999, La Habana.
Ministerio de Fin anzas y Precios. Resolución No. 29 7/03, Cuba, 2003.
MORENO, M.: “Auditoría info rmática y planes de continge ncia”. Tesis de
diplomatura, Universidad de Cádiz, 1995.
272
MORÍN, E.: “Por una reforma del p ensamiento”, revista El Corre o de la
UNESCO, febrero de 1996.
MORRIS, D. Y J. BRANDON: “Reingenier ía. Cómo aplicarla con éxito en los
negocios”, McGr aw-Hill, 1994.
NORIEGA, E. Y L. GONZÁLEZ: “¿De compras por internet?”, revista Giga, no. 4,
La Habana, 1999.
_________ ______: “Almacenes de d atos”, revista Giga, no. 3, La Haba-
na, 1998.
OLIVA DE VA RONA, O.: “La protección de la información y la seguridad de los
sistemas de infor mación.” Ponencia presentada al Congreso Informá-
tica 1998, La Habana.
OLIVA, DE LA E. y otros: “Siste ma de auditoría de fácil explo tación (SAFE)”.
Ponencia presen tada al Congreso Informática 1 998, La Habana.
ORNA, E.: Information Auditing, Singapore Libraries, 1996.
PASS, C. y otr os: The Harper Collins dic tionary of E conomics, Harp er
Perennial, 1991.
PÉREZ, E.: “La actualida d de los virus: el Esperan to”, revista Giga, no. 1, La
Habana, 1999.
_____ ________ __: “Los hackers. ¿Héroes o band idos?”, rev ista Gig a,
no. 5, La Ha bana, 1999.
PFAFFENBERGER, B.: Que´s Computer User´s Dictionary, 5ta. ed, Que Corp,
1994.
QUINTERO, Y.: “Shhh, hablemos en secreto”, revista Giga, no. 1, L a Habana,
2000.
RICA, E.: “De la marketing en internet”, Anaya Multimedia, 1997.
SÁNCHEZ M., L. GONZÁLEZ Y J. O. RODRÍGUEZ: “Minería de datos”, revista Giga,
no. 5, 1999, La Habana.
SIERRA, G. J. Y otros: “Sistema s expertos en contabilidad y administración
de empresas”, Ed. RA-MA, Madrid, 1995.
TAYLOR, D. A.: “Business Engineering with Object Technology”, John Wiley
and Sons, 1995.
273
THORIN, M.: “La auditoría informática. Métodos, reglas, n ormas”, Masson,
S. A., 1989.
TORRENTE, T. Y B. CHACÓN: “El control interno. Un instrumento eficaz para la
administració n”, revista Auditoría y Control, no. 7, diciembre, 2002.
VARELA, M. L.: “Elaboración de una política de seguridad informática”.
Ponencia presen tada al Congreso Informática 1 998, La Habana.
VILLABRILLE, J. Y E. GUADIS: “Para evitarlos, conocerlos”, revista Giga, no. 3,
La Habana, 1999.
VILLÁN, B.: “Aplicación de técnicas de gestión de informa ción para el me-
joramiento de los contenidos de información de la In tranet del sistema
informativo de la televisión cubana”. Tesis de Maestría, Facultad de
Economía de la Universidad de La Habana, a gosto de 2000.
ZABARO, L. Y C. MARTÍNEZ: Auditoría informática, CIMEX, La Habana, 1999.
274

Auditoria y Sistemas Informatic Blanco E

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Auditoria y Sistemas Informatic Blanco E

Cargado por

Copyright:

Formatos disponibles

Edición: Deborah Prats López

Diseño de c ubierta: Frank Herrera García

ISBN 978-95 9-07-0950-0

EDITORIAL FÉLIX VARELA

L ÁZARO J. BLANCO ENCINOSA

En este capítulo se abordarán los problemas terminológicos y de enfo-

El m undo de la auditoría n o ha co nseguid o poner se de ac uerdo sobre

Auditoría: El ob jetivo de una auditoría de estados financieros

La American Accou nting Association ha preparado la siguiente defini-

Un concepto impor tante es el expuesto por W. B. M eigs, en su obra

Una auditoría e s un examen de los estados fin ancieros de una

Otra importante or ganización, el American Institute o f Certified Public

El objetivo del examen ordinario de los estados fin ancieros

Un excelente dicc ionario económico ofrece la siguie nte definición de

El requerimiento legal para una corporación d e tener sus ba-

En esas definic iones se destacan los siguie ntes aspectos:

• La auditoría com o proceso sistemático de obtención de evidencias

Se acepta no rmalmente que las auditorías sean externas o internas. Las

[...] la evaluación de la eficiencia técnica del uso de diversos

Hernández Pascual utiliza el término “Auditoría Informática”,16 limitándolo

Además, parte de su objeto de trabajo, es la r evisión, compro-

En otra faceta d e su actividad, la AI contribu ye a mejorar el

Como se argumentará detalladamente más adelante, la auditoría a través

BR EVE RESEÑA HISTÓRICA DE LA AUDITOR ÍA

El surgimiento de la Auditoría se remonta a los albo res de la humani-

Fuente: T. H. Athey y R. W. Zmud: Introduction to Computers and Information Systems.

Los años setenta y ochenta permiten la consolidación del procesamien-

Fuente: T. H. Athey y R. W. Zmud, Introduction to Computers and Information Systems.

Los años no venta traen la eclosión de Intern et y la s rede s mundiales

C aso 1 par a m edit ar

Un auditor joven graduado de la Licenciatura en Contabilidad y Fi-

– ¿Y qué está s haciendo?

El trabajo de auditoría se realiza sobre la base de un conjunto de princi-

OR GANIZAC IONES PROFESIONALES

Entre las má s importantes organiza ciones profesionales internaciona-

DOCUMENTOS NORMATIVOS DE LA AUDITORÍA

Las organizacione s mencionadas anteriormente emiten documentos con

Fuente: Instituto Mexicano de Contadores Públicos. Codificación de Normas Interna-

Las NIAs, DIAs y otros documentos internacionales, nacionales y em-

1. ¿Cuáles son las instituciones internaciona les más influyen tes en el

Investigue en los documentos legales cubanos más importantes, como

En este capítulo se analizará la figura del auditor contemporáneo, cu-

El reconocimiento de las responsabilidades y funcio nes de los conta-

CONOCIMIENTOS Y HABILIDADES NECESARIAS

Lógicamente, los conocimientos y habilidades que d ebe poseer un au-

C aso 2 par a m edit ar

Juan, estudiante de Contabilidad y Finanzas que ha terminado su pri-

1. ¿La auditoría y la informática son actividades ajenas o incompatibles?

El enfoque de la a uditoría en ambientes de sistemas informatizados se

C AUSAS DE R IESGO: LA CALIDAD

Las causas de riesgo de afectación de los recursos informativos de las

Fig. 4.1: Determinación de la calidad de la informatización en la entidad

Resumiendo, la falta de calidad en algunos de los elementos del siste-

Fig. 4.3. Efecto en cascada de la falta de calidad en las aplicaciones

Esa situación sólo puede solucionarse, si se crea un sistema d e contro-

Un control in formativo es una a cción que se diseñ a en u n sistema

Conce pto ge ner al de contr ol

C aso 3 par a m edit ar

El director de informática de la corporación se encu entra con el audi-

–Hay mucha s violaciones de precios –le con testa el auditor–; no sé

Analice, en el caso particular de su puesto de traba jo, cuáles son las

El presente capítulo 1 reitera y ha sta redunda en muchos aspectos rela-

DEBILIDADES EN EL CONTROL INTERNO DE ALGUNOS

La existencia de un buen sistema de control interno que desarrolle infor-