FACULTAD DE NEGOCIOS

CARRERA PROFESIONAL DE CONTABILIDAD Y

FINANZAS

TABAJO MONOGRÁFICO

“Año del Fortalecimiento de la Soberanía Nacional¨

TEMA : Auditoría en los Sistemas Procesados

Por el Computador y Fraudes
Electrónicos

CURSO : Auditoria Financiera

DOCENTE : García del Castillo, Carlos Aníbal

ESTUDIANTE :
 Barreto Sangama, Marilia
 Tuesta Laithon, Annie
 Vela Mori, Karla Isabel

IQUITOS – LORETO
2022
 ÍNDICE

DEDICATORIA................................................................................................................................4
AGRADECIMIENTO........................................................................................................................5
INTRODUCCIÓN.............................................................................................................................6
1. El Uso de la Computadora por el Auditor..................................................................................7
1. 1 Objetivos de la auditoria computarizada............................................................................8
2. Control interno en los sistemas de cómputo.............................................................................9
2.1. Control interno..................................................................................................................9
2.2 Clasificación de los controles internos informáticos...........................................................10
3. Revisión y Evaluación del Control Interno Como Soporte del Trabajo del Auditor...................10
4. Ejemplos de Pruebas de funcionamiento y de Validación en un Ambiente de Información
computarizado............................................................................................................................12
5. Auditoría de Sistemas..............................................................................................................22
6. Controles Administrativos en un Ambiente de Procesamiento Electrónico de Datos...............25
7. Revisión del Centro de Cómputo.............................................................................................32
8. Evaluación de Seguridad..........................................................................................................33
8.1 ¿Qué implica una evaluación de seguridad?......................................................................33
8.2 ¿Cuál es el objetivo de una evaluación de seguridad y cuáles son sus beneficios?.............34
8.3 Pasos del diseño de un Plan de Seguridad Integral............................................................35
8.4 Ciclo de Seguridad.............................................................................................................36
9. Aplicación de procedimiento de validación mediante software especializadas.......................37
9.1 Software de auditoría........................................................................................................38
9. 2 Rutinas de Auditoría embebidas en Programas de aplicación:..........................................39
10. Preguntas de Repaso y Problemas.........................................................................................40
Conclusiones...............................................................................................................................46
Recomendaciones.......................................................................................................................47
Bibliografía..................................................................................................................................48
Referencias Bibliográficas............................................................................................................49
 DEDICATORIA

ESTE TRABAJO ESTÁ

DEDICADO EN PRIMER LUGAR
A DIOS Y A TODOS AQUELLOS
QUE NOS HAN BRINDADO SU
APOYO PARA QUE SE
REALICE.

4
AGRADECIMIENTO

AGRADEZCO A NUESTROS
PADRES POR EL APOYO Y AL
PROFESOR POR LA GUÍA Y
ORIENTACIÓN DURANTE CLASE
PARA ASÍ LOGRAR EL
PRESENTE TRABAJO.

5
 INTRODUCCIÓN

El área de tecnología y comunicaciones ha logrado ocupar un lugar importante

dentro del organigrama de las empresas en los últimos años, la necesidad de
tener la información sistematiza y controlada, los avances tecnológicos y facilidad
de acceso la han convertido en una herramienta básica e indispensable dentro del
mundo de hoy, por los gigantescos pasos con los que han tenido que avanzar
para lograr que las comunicaciones y los sistemas de información estén al mismo
nivel del crecimiento comercial y financiero de las empresas; alrededor del mundo
se han logrado innumerables innovaciones y mejoras continuas con las que hoy
en día podemos disponer.

La información digital se ha convertido en un elemento importante dentro de las

organizaciones, de allí la calidad, veracidad y oportunidad de la misma, para
facilitar la toma de decisiones y correcta disposición de la información.

Para que la información sea de calidad y confiabilidad dentro de la organización,

es necesario programar auditorías a los sistemas de información y comunicación
de manera periódica, ya que mediante esta se logran los controles adecuados
para obtener la confiabilidad en los sistemas y poder contar con niveles óptimos
de seguridad, la auditoría verifica los registros y las fuentes para determinar si la
información está acorde con lo presentado por la empresa, es importante que las
tecnologías y las comunicaciones se estén ejecutando correctamente,
manteniendo los controles contemplados por la empresa.

La manera como el auditor presente los resultados de sus hallazgos es

fundamental para lograr que algo ocurra al interior de la empresa con la auditoría.
El informe debe incluir todas aquellas acciones de oportunidad de mejora con el fin
de obtener las acciones adecuadas y para lo cual el auditor debe acudir a su
experiencia y conocimiento en los procesos para emitir los mejores conceptos.
Una mala decisión de las acciones a tomar, en vez de ayudar a la mejora pudiera
perjudicar y afectar el proceder de la empresa. El uso de los reportes de no
conformidad, observaciones, oportunidades de mejora, serán de gran utilidad para

6
la administración y su toma de decisiones enfocados hacia la mejora continua de
los procesos auditados.

1. El Uso de la Computadora por el Auditor

La auditoría no es una actividad meramente mecánica, que implique la

aplicación de ciertos procedimientos cuyos resultados, una vez llevados a cabo
son de carácter indudable. La auditoría requiere el ejercicio de un juicio
profesional, sólido y maduro, para juzgar los procedimientos que deben seguirse y
estimar los resultados obtenidos. 

Al usar computadoras en auditorías, reduces el costo de contratar a muchos

auditores, debido a que el costo de obtener un paquete de software de
contabilidad puede ser más barato y relativamente menos costos de manejar en
comparación con un sistema de contabilidad manual.

El uso de datos de pruebas y programas de auditoría tienen que justificarse en

base a la reducción de tiempo en comparación con la auditoría manual, así como
la obtención con una auditoría más cualitativa.

La nueva tecnología que se necesita para valorar un sistema de información

soportado por computadora y elaborar un programa de auditoría requiere de una
planeación detallada, lógica y explícitas en las etapas de procesamiento, es por
ello que el auditor debe desarrollar destrezas especiales, tales como:

• Mayores conocimientos informáticos.

• Criterio en el uso adecuado de las herramientas informáticas y analíticas.

• Eficiencia en la realización de los análisis.

• Técnicas básicas de la auditoría (inspección, observación, confirmación,

revisión, etc.)

Las TAAC’s son un conjunto de técnicas y herramientas utilizados en el

desarrollo de las auditorias informáticas con el fin de mejorar la eficiencia, alcance
y confiabilidad de los análisis efectuados por el auditor, a los sistemas y los datos

7
de la entidad auditada. Incluyen métodos y procedimientos empleados para
efectuar su trabajo, que pueden ser administrativos, analíticos, informáticos, entre
otros; los cuales, son de suma importancia para el auditor informático cuando este
realiza una auditoría, sin dejar a un lado las técnicas tradicionales como son la
inspección, observación, confirmación, revisión, etc.

Las TAAC’s incluyen distintos tipos de herramientas y de técnicas, las que más
se utilizan son los softwares de auditoría generalizado, software utilitario, los datos
de prueba y sistemas expertos de auditoría. Se pueden utilizar para realizar varios
procedimientos de auditoría incluyendo:

 Pruebas de detalles de transacciones y balances (Recálculos de intereses,

extracción de ventas por encima de cierto valor, etc.)
 Procedimientos analíticos: identificación de partidas o fluctuaciones
significativas.
 Pruebas de controles generales, tales como configuraciones en sistemas
operativos y diferentes aplicativos, procedimientos de acceso al sistema
(usuarios y perfiles definidos), comparación de códigos y versiones.
 Programas de muestreo para extraer datos.
 Pruebas de cumplimiento de los controles informáticos sobre aplicaciones
(por ejemplo, el uso de verificaciones de datos para comprobar el
funcionamiento de un procedimiento o prueba previamente programados

1. 1 Objetivos de la auditoria computarizada

La auditoría informática deberá comprender no solo la evaluación de los

equipos de cómputo, de un sistema o procedimiento específico, sino que
además habrá de evaluar los sistemas de información en general desde
sus entradas, procedimientos, controles, archivos, seguridad y obtención de
información.

Es de vital importancia para el desempeño de los sistemas de

información, ya que proporciona los controles necesarios para que los
sistemas sean confiables y con un buen nivel de seguridad. Además, debe

8
evaluar todo: informática, organización de centros de información, hardware y
software.

2. Control interno en los sistemas de cómputo.

Es la apreciación y juicio de las características generales de

la empresa, las cuentas o las operaciones, a través de sus elementos más
significativos para concluir se ha de profundizar en su estudio y en la forma que ha
de hacerse, además de inspección física, número de empleados, recursos
humanos financieros, y tecnológicos, años de antigüedad, capacidad instalada,
etc.

Este es de vital importancia, ya que promueve la eficiencia, asegura la

efectividad, previene que se violen las normas y los principios de general
aceptación. Los directivos de las organizaciones deben crear un ambiente de
control, un conjunto de procedimientos de control directo y las limitaciones del
control interno.

Los controles pueden implantarse a varios niveles diferentes. La evaluación

de los controles de la Tecnología de la Información exige analizar diversos
elementos interdependientes. Por ello es importante llegar a conocer bien la
configuración del sistema, con el objeto de identificar los elementos, productos y
herramientas que existen para saber dónde pueden implantarse los controles. así
como para identificar posibles riesgos.
2.1. Control interno.

Consiste en la elaboración de los programas de trabajo que se llevarán a

cabo durante la revisión a la entidad auditada y puede constar de varias etapas,
sin embargo, las más relevantes desde un punto de vista objetivo son las
siguientes:

9
 Diagnóstico informático. El Diagnóstico Informático tiene por
objetivo, proporcionarnos una panorámica de cómo la empresa percibe y practica
la informática, a través de su administración, y de los usuarios primarios y
secundarios.

Investigación previa. Aquí conoceremos la infraestructura y

capacidad instalada de empresa y de ser posible validaremos la
problemática que nos fue expuesta por el cliente o en su defecto
redefiniremos la problemática.

Análisis, clasificación y evaluación de la información. El análisis y

clasificación de la información podrán realizarse por métodos estadísticos.

Evaluación: es aquí donde se pone a prueba el talento del auditor, porque

se requiere para entender e interpretar la información y continuar con el siguiente
paso.
2.2 Clasificación de los controles internos informáticos

Controles Preventivos: Sirve para tratar de evitar un evento no deseado

de todas las áreas de departamento como son: Equipo de cómputo, sistemas,
telecomunicaciones.

Ejemplo: contar con un software de seguridad que impida los accesos no

autorizados al sistema.

Controles Detectivos: trata de descubrir a posteriori errores o fraudes que

no haya sido posible evitarlos con controles preventivos. Ejemplo (registros de
intentos de acceso no autorizados, el registro de la actividad diaria para detectar
errores u omisiones).

Controles Correctivos: Tratan de asegurar que se subsanen todos los

errores identificados, mediante los controles preventivos; es decir facilitan la vuelta
a la normalidad ante una incidencia. Es un plan de contingencia.

10
3. Revisión y Evaluación del Control Interno Como Soporte del Trabajo del
Auditor.
La auditoría en informática debe evaluar todo (informática, organización del
centro de cómputo, computadoras, comunicación y programas), con auxilio de los
principios de la auditoria administrativa, auditoría interna, auditoría
contable/financiera y, a su vez, puede proporcionar información a esos tipos de
auditoría. Las computadoras deben ser una herramienta para la realización de
cualquiera de las auditorias.

La adecuada salvaguarda de los activos, la integridad de los datos y la

eficiencia de los sistemas solamente se pueden lograr si la administración de la
organización desarrolla un adecuado sistema de control interno.

La evaluación que se debe desarrollar para la realización de la auditoria en

informática debe ser hecha por personas con un alto grado de conocimiento en
informática y con mucha experiencia en el área.

La información proporcionada debe ser confiable, oportuna, verídica, y debe

manejarse en forma segura y con la suficiente confidencialidad, pero debe estar
contenida dentro de parámetros legales y éticos.

Para que sea eficiente la auditoria informática, ésta se debe realizar

también durante el proceso de diseño del sistema. Los diseñadores de sistemas
tienen la difícil tarea de asegurarse que interpretan las necesidades de los
usuarios, que diseñan los controles requeridos por los auditores y que aceptan y
entienden los diseños propuestos.

La interrelación que debe existir entre la auditoria informática y los

diferentes tipos de auditoria es la siguiente: el núcleo o centro de la informática
son los programas, los cuales pueden ser auditados por medio de la auditoria de
programas. Estos programas se usan en las computadoras de acuerdo con la
organización del centro de cómputo (personal).

El campo de acción de la auditoria informática es:

11
 La evaluación administrativa del área de informática. esto comprende la
evaluación de:

 Los objetivos del departamento, dirección o gerencia.

 Metas, planes, políticas y procedimientos de procesos electrónicos
estándares.
 Organización del área y su estructura orgánica.
 Funciones y niveles de autoridad y responsabilidad del área de
procesos electrónicos.
 Integración de los recursos materiales y técnicos.
 Dirección.
 Costos y controles presupuestales.
 Controles administrativos del área de procesos electrónicos.

 La evaluación de los sistemas y procedimientos, y de la eficiencia que se

tiene en el uso de la información, lo cual comprende:

 Evaluación del análisis de los sistemas y sus diferentes etapas.

 Evaluación del diseño lógico del sistema.
 Evaluación del desarrollo físico del sistema.
 Facilidades para la elaboración de los sistemas.
 Control de proyectos.
 Control de sistemas y programación.
 Instructivos y documentación.
 Formas de implantación.
 Seguridad física y lógica de los sistemas.
 Confidencialidad de los sistemas.
 Controles de mantenimiento y forma de respaldo de los sistemas.
 Utilización de los sistemas.
 Prevención de factores que puedan causar contingencias; seguros y
recuperación en caso de desastre.

12
  Productividad.
 Derechos de autor y secretos industriales.

4. Ejemplos de Pruebas de funcionamiento y de Validación en un Ambiente

de Información computarizado
La gerencia debe establecer políticas y planes para la validación de
sistemas automatizados, junto con listados actualizado de sistemas y de su
funcionalidad. El estado de la validación de cada sistema debe estar claro y
actualizado. El grado de la validación necesario dependerá del tipo y de la
complejidad de los sistemas automatizados y del análisis de riesgo documentado
del sistema.

  Para la validación de sistemas automatizados customizados debe haber un

proceso para asegura de forma formal la calidad y el funcionamiento durante ciclo
de vida del desarrollo del software y de sistema, su implementación, calificación y
aceptación, operación, modificación, re- cualificación, mantenimiento, cambios y
retiro.

La documentación de la validación debe cubrir todos los pasos relevantes

del ciclo de vida del proyecto específico con los métodos apropiados para la
medida y la información. Los requerimientos del usuario deben ser detectables a
través del ciclo vida del proceso de validación. Los dueños del sistema deberán
poder justificar y defender sus estándares, protocolos, criterios de aceptación,
procedimientos y expedientes teniendo en cuenta sus propios análisis de riesgo y
de la complejidad, dirigidos a asegurar cumplimiento con las agencias
reguladoras.

La documentación de la validación debe incluir, control del cambio y los

expedientes del registro de errores generados durante el proceso de validación.

La fase de pruebas del proceso de validación:

 Las herramientas de prueba automatizadas usadas para los propósitos de

la validación se deben retadas en su precisión.

13
  Evidencia de las pruebas deberán incluir, límites de los parámetros de
sistema, límites de los datos y errores durante la ejecución.

La gerencia debe mantener un análisis de riesgo continuo y una revisión

periódica de sistemas automatizados para determinar si existe cambio
incremental, situación de funcionamiento, desarrollo de regulaciones que pudieran
afectar la validación o integridad del sistema. Tales revisiones deberán incluir,
registros de errores, historial de mejoras, funcionamiento, confiabilidad, seguridad
y estatus de la validación.

La base de data de la validación debe incluir:

 Mecanismos para asegurar integridad de datos en términos de exactitud y
confiabilidad
 Provisiones para la seguridad de datos
 control de acceso
 opiniones,
 mecanismos internos de la inscripción
 Control/protocolos de la transacción
 Acoplamientos entre diversas bases de datos
 Mecanismos de la recuperación luego de una falla
 Prueba de la carga (incluir las necesidades de la corriente y el crecimiento
futuro de la base de datos)
 Provisiones para el monitoreo de funcionamiento y crecimiento de la data
de la post implementación
 Archivo en línea, si aplica

Las hojas de balance deben ser comprobadas en exactitud y confiabilidad y

ser almacenadas de una forma que asegure el control de versión apropiado. Los
cálculos deben ser asegurados de una manera tal que las formulaciones no estén
sobrescritas intencionalmente o accidentalmente.

14
 Los cálculos se deben ejecutar con la precisión exhibida en la pantalla o en
informes. Las formulaciones se deben también proteger contra entrada accidental
en del tipo de datos apropiado (texto en un campo numérico y o de un formato
decimal en el campo numérico entero).

Sistema
 Deberá existir un listado de los sistemas, localización y uso y riesgo.
 Registro de cambios
 Seguridad ambiental
 Descripción escrita del sistema y diagrama de flujo
 Interacción con otros sistemas
 Límites del sistema
 Entradas y salidas
 Almacenamiento de data principal
 Requisitos de programas
 Medidas de seguridad

Programas (“Software”)

El programa es una parte critica del sistema, debe tener un sistema

apropiado de cumplimiento de calidad, además deberá ser cualificado
apropiadamente siguiendo evaluación de riesgo y auditorias.

El sistema computadorizado debe ser diseñado y desarrollado de acuerdo

al sistema de gerencia de calidad. Documentación del suplidor debe ser revisada y
autorizada para garantizar que las necesidades de usuarios son cumplidas.

Auditorias de suplidores deberán ser realizadas y documentadas para que

estén disponibles a auditorias requeridas.

Data

El sistema debe incluir verificaciones de seguridad y procesamiento de la

data incluyendo data transcrita manualmente de otro medio que haga interface con
el sistema.

15
 La Gerencia de Control debe ser diseñado para asegurar la integridad de
datos y la grabación irrefutable de la identidad de los operadores (es decir el
rechazo de contraseñas compartidas)

Los sistemas críticos se deben diseñar y proteger para asegurarse de que

los datos y los archivos no se pueden cambiar sin autorizaciones apropiadas y con
los registros electrónicos inmutables que registran los cambios realizados incluso
en el del más alto nivel del acceso, tal como administrador de sistema.

Prueba del usuario y la aptitud para el propósito del sistema

Antes de utilizar un nuevo sistema o reemplazo él se debe haber

especificado, haber documentado, haber validado, haber probado y haber
aprobado. El personal del usuario debe también haber recibido el entrenamiento
eficaz documentado en el uso de tales sistemas.

Seguridad

Controles físicos y/o lógicos deben ser establecidos para restringir el

acceso a los sistemas automatizados a las personas autorizadas. Los métodos
convenientes de prevenir la entrada desautorizada al sistema pueden incluir:

 El uso de llaves,
 Tarjetas del paso
 Códigos personales con contraseñas
 Biométrica
 Acceso restricto al material informático
 Almacenes de datos.

Los accesos a usos, carpetas, los archivos y los datos deben ser
controlados vía los permisos detallados dentro del sistema de seguridad de
información. Debe existir métodos que registren la entrada desautorizada y/o o
modificaciones de datos. Estos métodos pueden incluir la hora que limita la

16
registración, la inscripción, y el reingreso del identificador único para los datos
críticos.

Debe haber procedimientos definidos para dar seguimiento mediante

auditoria a la edición/alteración, cancelación de la autorización al acceso del
sistema/del uso/de datos.

Los mecanismos para la detección de tentativas del acceso desautorizado,

al sistema, los archivos y los datos se deben considerarse basados en un análisis
de riesgo para poder tomar medidas apropiadas.

Verificación de exactitud

Para los datos críticos entrados manualmente o transferido de otro sistema

debe haber una verificación adicional de la exactitud del dato antes de la
transformación posterior de estos datos. Esta verificación debe hacerse por un
segundo operador o por medios electrónicos validados.

Dentro del Alcance de Validación de Facilidades automatizadas el Sistema

computarizado es un componente de las operaciones de facilidades GMP. Para
mantener control de un sistema computarizado es requerido validar en una forma
que se establezca evidencia auditable de que el sistema realiza la función
establecida conforme a la regulación 21 CFR parte.

La validación de Sistemas Computarizados incluye:

 Definir y Seguir un Plan de Validaciones

 Documentar los pasos de vida del ciclo de validaciones para proveer
evidencia de exactitud, confiabilidad, repetitividad e integridad de la data del
sistema.
 Conducir y reportar pruebas de cualificación requeridas
 Revisiones Periódicas a lo largo de todo el ciclo de vida del sistema

17
 Un plan de validaciones es un documento formal donde se indica cómo se
llevará a cabo el ciclo de vida de la validación del sistema computadorizado. El
mismo deberá incluir:

 Propósito
 Alcance
 Políticas y procedimientos
 Estrategia de Validaciones
 Estructura, referencias
 Localización documentos de validaciones
 Descripción de las facilidades, productos, operaciones, equipos de proceso
 Registros Sistemas Computadorizados
 Evaluación y racional de Validaciones
 Programa priorización Validaciones
 Justificación de sistemas a no ser validados
 Responsabilidades y organización
 Adiestramientos
 Periodos de revisión
 Programas de soporte y documentos de referencia
 Análisis de riesgo y criticabilidad
 Ciclo de validación

User Requirements Specifications (URS)

Necesidad del usuario la cual será suplida por el sistema computarizado.

Cada requerimiento declarado es único, los requerimientos deben ser:

 Claros
 Concisos
 Consistentes
 No duplicados
 Enfoque en funciones y no en implementación de métodos

18
“Functional Requirements Specification” (FRS)

FDS necesita claramente definir si hay alguna inconformidad con los

requerimientos del usuario. FDS deberá incluir todos los parámetros medibles que
pudieran afectar el funcionamiento del sistema computarizado. Funciones e
interacción del sistema computarizado que cumplen con las necesidades del
usuario.

Hardware y software

 Flujo de Data (Entrada y salida de data)

 Funciones de operación normal
 Data de manufactura en la cual el sistema opera, conexiones e
instrumentación de control al proceso
 Integridad de la data (Seguridad de la Data)
 Interface con otras funciones
 Almacenamiento
 Información Producida
 Límite de las variables del sistema

Traceability Matrix

Establece un mecanismo de seguimiento entre los requerimientos de

usuario, especificaciones de funcionamiento del sistema y el diseño de las
pruebas para retar el sistema computarizado. De manera que asegura la
implementación y eficacia del sistema validado.

Diseño de Pruebas

 Pruebas del Software › Estructurales (“White- box”)

 Prueba el programa mediante “inputs” y ““outputs” esperados para
demostrar que todas las opciones y enlaces pueden ejecutarse. ›
Funcionales (“black- box”)
 Enfocado en problemas que el programa esta supuesto a resolver.

19
  Prueba el programa mediante “inputs” y ““outputs” a situaciones típicas y
extremas.
 Particularmente incluye “inputs” que describen excepciones o errores en la
descripción del problema.

IQ

Verificación de que todos los aspectos claves del “hardware” instalado

cumplen con los códigos apropiados y las especificaciones de diseño.

 Instalación Eléctrica
 Ambiente (temperatura y humedad)
 Componentes del hardware › Instalación de instrumentos y calibración
 Suplido eléctrico y protección de los circuitos
 Suplido de aire
 Circuitos eléctricos
 Instalación del programa
 Backus del programa
 “Grouding”
 Protecciones
 Número de Modelo
 Número de Serie
 Piezas de reemplazo
 Manuales de operación
 Registros de Calibración
 Verificación de versiones y configuraciones del programa.
 Inspección general del sistema

OQ

  Evidencia documentada de que cada unidad o subsistema opera según

especificado en las especificaciones de diseño a lo largo de los rangos anticipados
y representativos.

20
  Interface de operación
 Entrada y salida de datos
 Almacenamiento de datos
 Niveles de acceso de la seguridad
 Registros y firmas electrónicas
 Proceso y secuencia de operación
 Lógica e interacción de control con el equipo
 Interfaces a otros sistemas
 Exhibiciones de la pantalla
 Impresión de reportes
 Mensajes de error y alarmas
 Informes y datos
 Respaldo y recuperación (“Back Up”)

PQ
Debe proporcionar una supervisión intensiva del sistema, en un ambiente
operacional, sobre un período de tiempo fijo representativo. Esto debe
concentrarse en el uso de procedimientos para permitir el acceso, respaldo y
recuperación, operación correcta, integridad de datos del uso, la dirección de los
errores de sistema y la supervisión/investigación en cualquier abertura de la
seguridad.

 Pruebas de cualificación operacional pueden ser usadas en la cualificación

PQ
 Acceso de seguridad al sistema
 Verificación diagnostica
 Operación de interfaces
 Verificación de instalación del programa
 Backup del programa y restauración
 Ciclo de control y operación
 Alarmas

21
  Operaciones lógicas y secuencias automáticas
 Verificación SOPs
 Reportes de data
 Perdida de potencia y recobro

Procedimiento de Mantenimiento

Los procedimientos de mantenimiento del sistema validado deben tener

revisión periódica y ser documentados. La revisión incluirá:

 Los cambios de sistema

 Registro de Problema del Sistema
 Acceso y seguridad
 Archivos de “Back-Up”
 Registro de Adiestramientos.

5. Auditoría de Sistemas

Es el examen objetivo, crítico, sistemático, posterior y selectivo que se hace

a la administración informática de una organización, con el fin de emitir una
opinión acerca de:

 La eficiencia en la adquisición y utilización de los recursos informáticos.

 La confiabilidad, la integridad, la seguridad y oportunidad de información.
 La efectividad de los controles en los sistemas de información

La auditoría de SI se centra en determinar los riesgos que son relevantes

para los activos de información, y en la evaluación de los controles a fin de reducir
o mitigar estos riesgos. Mediante la implementación de controles, el efecto de los
riesgos se puede minimizar, pero no puede eliminar por completo todos los
riesgos.

La auditoría de SI, auditoría informática o auditoría de sistemas es un tipo

de auditoría consistente en el examen de los sistemas de información y de los

22
centros de proceso de datos, instalaciones y unidades informáticas de las
organizaciones, con objeto de facilitar la consecución de los objetivos que
persiguen, tanto los del área informática como, primordialmente los del conjunto
de la organización. Verificar la calidad de los sistemas de información de la
organización y proponer mejoras de los mismos, coherentes con el proyecto de
calidad adoptado por la organización (cumplimiento de normas de calidad o
modelo de excelencia en gestión).

 Los objetivos de la auditoría de sistemas son:

 Mejorar la relación coste-beneficio de los sistemas de información.

 Incrementar la satisfacción y seguridad de los usuarios de dichos sistemas
informatizados.
 Garantizar la confidencialidad e integridad a través de sistemas de
seguridad y control profesionales.
 Minimizar la existencia de riesgos, tales como virus o hackers, por ejemplo.
 Optimizar y agilizar la toma de decisiones.
 Educar sobre el control de los sistemas de información, puesto que se trata
de un sector muy cambiante y relativamente nuevo, por lo que es preciso
educar a los usuarios de estos procesos informatizados.

Por tanto, la auditoría de sistemas es un modo de control y evaluación no

sólo de los equipos informáticos en sí. Su ámbito de actuación gira también en
torno al control de los sistemas de entrada a dichos equipos (pensemos por
ejemplo en claves y códigos de acceso), archivos y seguridad de los mismos, etc.

La auditoría de sistemas es fundamental para garantizar el desempeño y

seguridad de los sistemas informáticos de una empresa, que sean confiables a la
hora de usarlos y garanticen la máxima privacidad posible.

Principales razones para auditar y controlar los SI

 Toma de decisiones incorrectas

 Reducir el costo de los errores

23
  Control del uso de las TIC
 Consecuencias de las pérdidas de datos
 Valor del hardware, del software y del personal
 Privacidad de los datos personales
 Fraude informático

Función

 Velar por la eficacia y eficiencia del SI, de forma que éste alcance con el
menor costo posible los objetivos.
 Verificar el cumplimiento de las normas y estándares vigentes en la
organización (leyes de firma electrónica, de protección de datos de carácter
personal, de propiedad intelectual del software, etc.).
 Supervisar el control interno ejercido sobre los SI conducente a la
protección de los activos de información de información de la organización:
recursos humanos, locales e instalaciones, infraestructuras tecnológicas,
sistemas y aplicaciones, información tributaria.

Los organismos internacionales que se ocupan del control y de la auditoría

de SI son fuente de fuente de estándares: ISACA - Asociación de Auditoría y
Control de Sistemas de Información, ISO – Organización Internacional para la
estandarización. NIST – Instituto Nacional de Estándares y Tecnología de los
Estados Unidos.

En la actualidad existen tres tipos de metodologías de auditoria informática:

 R.O.A. (RISK ORIENTED APPROACH), diseñada por Arthur Andersen.

 CHECKLIST o cuestionarios
 AUDITORIA DE PRODUCTOS (por ejemplo, Red Local Windows NT;
sistemas de Gestión de base de Datos DB2; paquete de seguridad RACF,
etc.).

En sí las tres metodologías están basadas en la minimización de los

riesgos, que se conseguirá en función de que existan los controles y de que éstos

24
funcionen. En consecuencia, el auditor deberá revisar estos controles y su
funcionamiento. Las metodologías de auditoría de SI son de tipo
cualitativo/subjetivo. Se puede decir que son subjetivas por excelencia. Están
basadas en profesionales de gran nivel de experiencia y formación, capaces de
dictar recomendaciones técnicas, operativas y jurídicas, que exigen en gran
profesionalidad y formación continua.

Metodologías para la auditoria de SI

 Controles Generales. - Son el producto estándar de los auditores
profesionales. El objetivo aquí es dar una opinión sobre la fiabilidad de los
datos del computador para la auditoría financiera, es resultado es escueto y
forma parte del informe de auditoría, en donde se hacen notar las
vulnerabilidades encontradas. Están desprestigiadas ya que dependen en
gran medida de la experiencia de los profesionales que las usan.

 Metodologías de los auditores internos. - Están formuladas por

recomendaciones de plan de trabajo y de todo el proceso que se debe
seguir. También se define el objetivo de la misma, que habrá que describirlo
en el memorando de apertura al auditado. De la misma forma se describe
en forma de cuestionarios genéricos, con una orientación de los controles a
revisar. El auditor interno debe crear sus metodologías necesarias para
auditar los distintos aspectos o áreas en el plan auditor

6. Controles Administrativos en un Ambiente de Procesamiento Electrónico

de Datos
La máxima autoridad del Área de Informática de una empresa o institución
debe implantar los siguientes controles que se agruparan de la siguiente forma:

 Controles de Preinstalación
 Controles de Organización y Planificación
 Controles de Sistemas en Desarrollo y Producción
 Controles de Procesamiento

25
  Controles de Operación
 Controles de uso de Microcomputadores

Controles de Preinstalación

Hacen referencia a procesos y actividades previas a la adquisición e

instalación de un equipo de computación y obviamente a la automatización de los
sistemas existentes.

Objetivos:

 Garantizar que el hardware y software se adquieran siempre y cuando

tengan la seguridad de que los sistemas computarizados proporcionaran
mayores beneficios que cualquier otra alternativa.
 Garantizar la selección adecuada de equipos y sistemas de computación
 Asegurar la elaboración de un plan de actividades previo a la instalación

Acciones a seguir:

 Elaboración de un informe técnico en el que se justifique la adquisición del

equipo, software y servicios de computación, incluyendo un estudio costo-
beneficio.
 Formación de un comité que coordine y se responsabilice de todo el
proceso de adquisición e instalación
 Elaborar un plan de instalación de equipo y software (fechas, actividades,
responsables) el mismo que debe contar con la aprobación de los
proveedores del equipo.
 Elaborar un instructivo con procedimientos a seguir para la selección y
adquisición de equipos, programas y servicios computacionales. Este
proceso debe enmarcarse en normas y disposiciones legales.
 Efectuar las acciones necesarias para una mayor participación de
proveedores.
 Asegurar respaldo de mantenimiento y asistencia técnica.

Controles de organización y Planificación

26
 Se refiere a la definición clara de funciones, línea de autoridad y
responsabilidad de las diferentes unidades del área PAD, en labores tales como:

 Diseñar un sistema
 Elaborar los programas
 Operar el sistema
 Control de calidad

Se debe evitar que una misma persona tenga el control de toda una operación.

Acciones a seguir:

 La unidad informática debe estar al más alto nivel de la pirámide

administrativa de manera que cumpla con sus objetivos, cuente con el
apoyo necesario y la dirección efectiva.
 Las funciones de operación, programación y diseño de sistemas deben
estar claramente delimitadas.
 Deben existir mecanismos necesarios a fin de asegurar que los
programadores y analistas no tengan acceso a la operación del computador
y los operadores a su vez no conozcan la documentación de programas y
sistemas.
 Debe existir una unidad de control de calidad, tanto de datos de entrada
como del resultado del procesamiento.
 El manejo y custodia de dispositivos y archivos magnéticos deben estar
expresamente definidos por escrito.
 Las actividades del PAD deben obedecer a planificaciones a corto, mediano
y largo plazo sujetos a evaluación y ajustes periódicos "Plan Maestro de
Informática"
 Debe existir una participación efectiva de directivos, usuarios y personal del
PAD en la planificación y evaluación del cumplimiento del plan.
 Las instrucciones deben impartirse por escrito.

Controles de Sistema en Desarrollo y Producción

27
 Se debe justificar que los sistemas han sido la mejor opción para la
empresa, bajo una relación costo-beneficio que proporcionen oportuna y efectiva
información, que los sistemas se han desarrollado bajo un proceso planificado y se
encuentren debidamente documentados.

Acciones a seguir:

Los usuarios deben participar en el diseño e implantación de los sistemas pues

aportan conocimiento y experiencia de su área y esta actividad facilita el proceso
de cambio

 El personal de auditoría interna/control debe formar parte del grupo de

diseño para sugerir y solicitar la implantación de rutinas de control
 El desarrollo, diseño y mantenimiento de sistemas obedece a planes
específicos, metodologías estándares, procedimientos y en general a
normatividad escrita y aprobada.
 Cada fase concluida debe ser aprobada documentadamente por los
usuarios mediante actas u otros mecanismos a fin de evitar reclamos
posteriores.
 Los programas antes de pasar a Producción deben ser probados con
datos que agoten todas las excepciones posibles.
 Todos los sistemas deben estar debidamente documentados y
actualizados. La documentación deberá contener:
 Informe de factibilidad
 Diagrama de bloque
 Diagrama de lógica del programa
 Objetivos del programa
 Listado original del programa y versiones que incluyan los
cambios efectuados con antecedentes de pedido y
aprobación de modificaciones
 Formatos de salida
 Resultados de pruebas realizadas

28
  Implantar procedimientos de solicitud, aprobación y ejecución de cambios a
programas, formatos de los sistemas en desarrollo.
 El sistema concluido será entregado al usuario previo entrenamiento y
elaboración de los manuales de operación respectivos

Controles de Procesamiento

Los controles de procesamiento se refieren al ciclo que sigue la información

desde la entrada hasta la salida de la información, lo que conlleva al
establecimiento de una serie de seguridades para:

 Asegurar que todos los datos sean procesados

 Garantizar la exactitud de los datos procesados
 Garantizar que se grabe un archivo para uso de la gerencia y con fines de
auditoría
 Asegurar que los resultados sean entregados a los usuarios en forma
oportuna y en las mejores condiciones.

Acciones a seguir:

 Validación de datos de entrada previo procesamiento debe ser realizada en

forma automática: clave, dígito auto verificador, totales de lotes, etc.
 Preparación de datos de entrada debe ser responsabilidad de usuarios y
consecuentemente su corrección.
 Recepción de datos de entrada y distribución de información de salida debe
obedecer a un horario elaborado en coordinación con el usuario, realizando
un debido control de calidad.
 Adoptar acciones necesarias para correcciones de errores.
 Analizar conveniencia costo-beneficio de estandarización de formularios,
fuente para agilitar la captura de datos y minimizar errores.

29
  Los procesos interactivos deben garantizar una adecuada interrelación
entre usuario y sistema.
 Planificar el mantenimiento del hardware y software, tomando todas las
seguridades para garantizar la integridad de la información y el
buen servicio a
usuarios.

Controles de Operación
Abarcan todo el ambiente de la operación del equipo central de
computación y dispositivos de almacenamiento, la administración de la operación
de terminales y equipos de comunicación por parte de los usuarios de sistemas
online.

Los Controles Tienen Como Fin:

 Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de

Cómputo durante un proceso
 Evitar o detectar el manejo de datos con fines fraudulentos por parte de
funcionarios del PAD
 Garantizar la integridad de los recursos informáticos.
 Asegurar la utilización adecuada de equipos acorde a planes y objetivos.

Acciones a seguir:

 El acceso al centro de cómputo debe contar con las seguridades necesarias

para reservar el ingreso al personal autorizado
 Implantar claves o password para garantizar operación de consola y equipo
central (mainframe), a personal autorizado.
 Formular políticas respecto a seguridad, privacidad y protección de las
facilidades de procesamiento ante eventos como: incendio, vandalismo,
robo y uso indebido, intentos de violación y cómo responder ante esos
eventos.

30
  Mantener un registro permanente (bitácora) de todos los procesos
realizados, dejando constancia de suspensiones o cancelaciones de
procesos.
 Los operadores del equipo central deben estar entrenados para recuperar o
restaurar información en caso de destrucción de archivos.
 Los backups no deben ser menores de dos (padres e hijos) y deben
guardarse en lugares seguros y adecuados, preferentemente en bóvedas
de bancos.
 Se deben implantar calendarios de operación a fin de establecer prioridades
de proceso.
 Todas las actividades del Centro de Computo deben normarse mediante
manuales, instructivos, normas, reglamentos, etc.
 El proveedor de hardware y software deberá proporcionar lo siguiente:

 Manual de operación de equipos

 Manual de lenguaje de programación
 Manual de utilitarios disponibles
 Manual de Sistemas operativos
 Las instalaciones deben contar con sistema de alarma por presencia de
fuego, humo, así como extintores de incendio, conexiones eléctricas
seguras, entre otras.
 Instalar equipos que protejan la información y los dispositivos en caso de
variación de voltaje como: reguladores de voltaje, supresor pico, UPS,
generadores de energía.
 Contratar pólizas de seguros para proteger la información, equipos,
personal y todo riesgo que se produzca por casos fortuitos o mala
operación.

Controles en el uso del Microcomputador

Es la tarea más difícil pues son equipos más vulnerables, de fácil acceso,
de fácil explotación, pero los controles que se implanten ayudaran a garantizar la
integridad y confidencialidad de la información.

Acciones a seguir:

31
  Adquisición de equipos de protección como supresores de pico,
reguladores de voltaje y de ser posible UPS previo a la adquisición del
equipo
 Vencida la garantía de mantenimiento del proveedor se debe contratar
mantenimiento preventivo y correctivo.
 Establecer procedimientos para obtención de backups de paquetes y de
archivos de datos.
 Revisión periódica y sorpresiva del contenido del disco para verificar la
instalación de aplicaciones no relacionadas a la gestión de la empresa.
 Mantener programas y procedimientos de detección e inmunización
de virus en
copias no autorizadas o datos procesados en otros.
 Propender a la estandarización del Sistema Operativo, software utilizado
como procesadores de palabras, hojas electrónicas, manejadores de base
de datos y mantener actualizadas las versiones y la capacitación sobre
modificaciones incluidas.

7. Revisión del Centro de Cómputo

Consiste en revisar los controles en las operaciones del centro de

procesamiento de información en los siguientes aspectos:

 Revisión de controles en el equipo

Se hace para verificar si existen formas adecuadas de detectar errores de

procesamiento, prevenir accesos no autorizados y mantener un registro detallado
de todas las actividades del computador que debe ser analizado periódicamente.

 Revisión de programas de operación

Se verifica que el cronograma de actividades para procesar la información

asegure la utilización efectiva del computador.

32
  Revisión de controles ambientales

Se hace para verificar si los equipos tienen un cuidado adecuado, es decir si se

cuenta con deshumidificadores, aire acondicionado, fuentes de energía continua,
extintores de incendios, etc.

 Revisión del plan de mantenimiento

Aquí se verifica que todos los equipos principales tengan un adecuado

mantenimiento que garantice su funcionamiento continuo.

 Revisión del sistema de administración de archivos

Se hace para verificar que existan formas adecuadas de organizar los archivos
en el computador, que estén respaldados, así como asegurar que el uso que le
dan es el autorizado.

 Revisión del plan de contingencias

Aquí se verifica si es adecuado el plan de recupero en caso de desastre, el

cual se detalla más adelante.

8. Evaluación de Seguridad

En la actualidad, la sociedad moderna se enfrenta diariamente a

situaciones de inseguridad. Dentro del ámbito empresarial, la responsabilidad y
competencia de esta cuestión recae netamente en la gerencia. Tal es así, que se
hace imprescindible conocer la problemática de la seguridad en el espacio donde
se trabaja diariamente realizando una auditoría competente.

De este resultado, se tendrá un conocimiento total de los diversos riesgos y

de las posibles soluciones adaptadas a cada necesidad.

33
 8.1 ¿Qué implica una evaluación de seguridad?

La evaluación es un punto clave en el desarrollo de cualquier proyecto y

más si hablamos de la seguridad en una organización. Existen dos razones
fundamentales para promover estas instancias como son el análisis de caso y la
mejora o el progreso de las actividades que se realizan todos los días.

Para realizar un plan integral de seguridad que proteja a bienes o personas

es necesario llevar adelante un proceso de auditoría. Esta tarea consiste en
valorar la adecuación y eficiencia de la infraestructura instalada, con el objetivo
de identificar aquellos riesgos y vulnerabilidades que puedan existir y proponer
respuestas a estas posibles amenazas.

El principal objetivo de una evaluación de seguridad es la identificación de

peligros de todos los aspectos de trabajo. Aquí un estudio completo debe abarcar
desde el ambiente general del trabajo, la maquinaria y herramientas con las que
se trabaja hasta la organización de las tareas cotidianas. Otro de los puntos a
tener en cuenta son los medios de transporte que cargan y descargan mercadería,
los procesos y actividades que se llevan a cabo y las condiciones de los
trabajadores.

Algo interesante y sumamente útil puede ser conocer las opiniones de los

empleados en materia de seguridad para que aporten su visión estratégica desde
el interior.

En segundo lugar, debe identificarse la exposición de cada trabajador. En

este sentido, se distinguen los trabajadores fijos, aquellos que realizan tareas de
apoyo, subcontratistas, personal administrativo y los que trabajan temporalmente.
Además, las tareas que realiza cada una de estas personas deben considerarse
para realizar una evaluación de seguridad que contemple no sólo a quienes
ingresan a un recinto diariamente sino también las actividades que llevan adelante
estas personas.

La valoración global de riesgos también es un punto primordial para reconocer

aquellos elementos peligrosos que tengan probabilidad de dañar a los

34
trabajadores, la maquinaria y los insumos. Entonces, ¿cómo se realiza una
evaluación de seguridad? La cuestión radica en comparar las observaciones
realizadas con las recomendaciones existentes en los requisitos legales y
los niveles de exposición a riesgos laborales. Por otra parte, el control de uso y
mantenimiento de los fabricantes de máquinas y equipos es sumamente
necesario, además de etiquetar productos químicos o frágiles que puedan generar
algún inconveniente.

8.2 ¿Cuál es el objetivo de una evaluación de seguridad y cuáles son sus

beneficios?
En una empresa existen muchas cuestiones que deben organizarse y el
fallo de uno de estos puntos puede provocar desajustes en toda la producción. En
este marco, la tecnología se convierte en un gran aliado para dar soluciones a
estas problemáticas, pero hay que saber utilizarla a nuestro favor. Detectar las
necesidades particulares en cada caso logra mejorar la eficiencia del proceso
productivo a la vez que posibilita el ahorro económico ante pérdidas o desastres
que puedan ocurrir.

Un gran beneficio de evaluación de seguridad es que sus resultados

permiten integrar y unificar esfuerzos entre departamentos para definir métricas
comunes y establecer nuevos objetivos en conjunto en esta materia. Esta
estrategia puede ser una instancia para llegar a un consenso corporativo que
clasifique amenazas, vulnerabilidades y otros riesgos de la organización.

Además, se establece un plan que se compara con resultados

anteriores por lo que se puede comprobar si la situación ha mejorado o
empeorado desde la última evaluación. Otra de las grandes ventajas de la
evaluación de seguridad es que desarrolla conciencia en los trabajadores sobre
las buenas prácticas en este ámbito, convirtiéndose en uno de los métodos más
efectivos y de menor costo para mejorar la seguridad de la organización.

35
 8.3 Pasos del diseño de un Plan de Seguridad Integral

Existen diferentes instancias que normalmente son necesarias para realizar una
evaluación del sistema de seguridad de un recinto en particular y diseñar un plan
que posteriormente sea implantado:

 La definición del programa: El análisis inicial es el primer paso para evaluar

el grado de cumplimiento de una empresa en materia de prevención de
riesgos laborales y otros tipos de amenazas que puedan darse en el lugar.
De esta forma, el objetivo de esta etapa es identificar la situación en
materia de seguridad para luego proceder a realizar un programa de
actuaciones ajustado a las necesidades de cada empresa.
 Política de prevención de riesgos: En este punto el objetivo está en definir
una política preventiva que incluya los recursos disponibles y la asignación
de funciones y responsabilidades en cada caso.
 Control de medidas: Otra de las cuestiones a las que debe prestar especial
atención la evaluación de seguridad es a seleccionar y establecer puntos de
control para verificar que se están cumpliendo los objetivos propuestos.
Existe una línea de actuación que contempla la definición de medidas a
tomar con carácter proactivo con el fin de prever cualquier amenaza o
situación no deseada.
 Formación del personal: Es importante que los trabajadores de la compañía
estén al tanto constantemente de los riesgos que enfrentan y cuáles son las
medidas de prevención que pueden tomar para dar respuesta a los mismos.

8.4 Ciclo de Seguridad

El objetivo de la auditoría de seguridad es revisar la situación y las cuotas

de eficiencia de la misma en los órganos más importantes de la estructura
informática.

Para ello, se fijan los supuestos de partida:

El área auditada es la Seguridad.

36
  El área a auditar se divide en: Segmentos.
 Los segmentos se dividen en: Secciones.
 Las secciones se dividen en: Subsecciones.

De este modo la auditoría se realizará en 3 niveles.

Los segmentos a auditar, son:

 Segmento 1: Seguridad de cumplimiento de normas y

estándares.
 Segmento 2: Seguridad de Sistema
Operativo.
 Segmento 3: Seguridad de Software.
 Segmento 4: Seguridad de Comunicaciones.
 Segmento 5: Seguridad de Base de
Datos.
 Segmento 6: Seguridad de Proceso.
 Segmento 7: Seguridad de Aplicaciones.
 Segmento 8: Seguridad Física.

Conceptualmente la auditoria informática en general y la de Seguridad en

particular, ha de desarrollarse en seis fases bien diferenciadas:
 Fase 0. Causas de la realización del ciclo de seguridad.
 Fase 1. Estrategia y logística del ciclo de seguridad.
 Fase 2. Ponderación de sectores del ciclo de seguridad.
 Fase 3. Operativa del ciclo de seguridad.
 Fase 4. Cálculos y resultados del ciclo de seguridad.
 Fase 5. Confección del informe del ciclo de seguridad.

A su vez, las actividades auditoras se realizan en el orden siguiente:

 Comienzo del proyecto de Auditoría Informática.
 Asignación del equipo auditor.
 Asignación del equipo interlocutor del cliente.
 Cumplimentación de formularios globales y parciales por parte del cliente.
 Asignación de pesos técnicos por parte del equipo auditor.
37
  Asignación de pesos políticos por parte del cliente.
 Asignación de pesos finales a segmentos y secciones.
 Preparación y confirmación de entrevistas.
 Entrevistas, confrontaciones y análisis y repaso de documentación.
 Cálculo y ponderación de subsecciones, secciones y segmentos.
 Identificación de áreas mejorables.
 Elección de las áreas de actuación prioritaria.
 Preparación de recomendaciones y borrador de informe
 Discusión de borrador con cliente.
 Entrega del informe.

9. Aplicación de procedimiento de validación mediante software

especializadas

La aplicación de los procedimientos de auditoría ha dado lugar a que el

auditor considere las técnicas que hacen uso de la computadora como una
herramienta de auditoría. Estos diversos usos de la computadora se conocen
como Técnicas de Auditoría Asistidas por Computadoras (TAAC).

La eficacia y eficiencia de los procedimientos de auditoría pueden

mejorarse mediante el uso de las TAAC.

Las Técnicas de Auditoría Asistida por Computadora pueden usarse para llevar
a cabo varios procedimientos de auditoría como los siguientes:

 Pruebas detalladas de las transacciones y los balances. Por ejemplo, el uso

de software de auditoría para verificar todas las transacciones (o una
muestra) en un archivo de computadora.
 Procedimientos de revisión analítica. Por ejemplo, el uso del software de
auditoría para identificar las fluctuaciones o los artículos extraordinarios.
 Pruebas de cumplimiento de los controles generales de Procesamiento
Electrónico de Datos (PED), por ejemplo, el uso de datos de prueba para
verificar los procedimientos de acceso a las bibliotecas del programa.

38
  Pruebas de cumplimiento de los controles de aplicación de PED. Por
ejemplo, el uso de los datos de prueba para verificar el funcionamiento de
un procedimiento programado.

9.1 Software de auditoría

El software de auditoría consiste en programas de computadora usados por

el auditor, como parte de sus procedimientos de auditoría, para procesar datos de
importancia de auditoría del sistema de contabilidad de la entidad.

Puede consistir en programas de paquete, programas escritos para un

propósito, programas de utilería o programas de administración del sistema.
Independientemente de la fuente de los programas, el auditor deberá verificar su
validez para fines de auditoría antes de su uso.

 Paquete de Auditoría: Son programas generalizados de computadora

diseñados para desempeñar funciones de procesamiento de datos que
incluyen leer archivos de computadora, seleccionar información, realizar
cálculos, crear archivos de datos e imprimir informes en un formato
especificado por el auditor. Son usados para control de secuencias,
búsquedas de registros, selección de datos, revisión de operaciones lógicas
y muestreo.
 Software para un propósito específico o diseñado a la medida: Son
programas de computadora diseñados para desempeñar tareas de
auditoría en circunstancias específicas. Estos programas pueden ser
desarrollados por el auditor, por la entidad, o por un programador externo
contratado por el auditor. En algunos casos, el auditor puede usar
programas existentes en la entidad en su estado original o modificado
porque puede ser más eficiente que desarrollar programas independientes.
Si se desarrolla a la medida, es posible aprovechar estos programas para
aplicar otras técnicas.
 Los programas de utilería: Son usados por la entidad para desempeñar
funciones comunes de procesamiento de datos, como clasificación,

39
 creación e impresión de archivos. Estos programas generalmente no están
diseñados para propósitos de auditoría y, por lo tanto, pueden no contener
características tales como conteo automático de registros o totales de
control.
 Los programas de administración del sistema: Son herramientas de
productividad sofisticadas que son típicamente parte de los sistemas
operativos sofisticados, por ejemplo, software para recuperación de datos o
software para comparación de códigos. Como en el caso anterior, estas
herramientas no son específicamente diseñadas para usos de auditoría y
deben ser utilizadas con cuidado.

9. 2 Rutinas de Auditoría embebidas en Programas de aplicación:

Son módulos especiales de recolección de información incluidos en la

aplicación y diseñados con fines específicos.

 Snap Shots: Es semejante a una fotografía interna al sistema, es

decir, a la memoria, lo que permite obtener resultados intermedios en
diferentes momentos de un proceso o conseguir valores temporales
de una variable. Se activa mediante ciertas condiciones
preestablecidas. Permite al auditor rastrear los datos y evaluar los
algoritmos aplicados a los datos.
 Archivo de revisión de auditoría: Involucra módulos incrustados en
una aplicación que monitorea continuamente el sistema de
transacciones. Recolecta la información en archivos especiales que
puede examinar el auditor.
 System control audit Review file: En resumen, los paquetes de
auditoría son usados para control de secuencias, búsquedas de
registros, selección de datos, revisión de operaciones lógicas y
muestreo.
 Registros extendidos: Se incluye en algún tipo de registro,
información significativa sobre las transacciones o sobre el sistema,
que luego puede ser consultada por el auditor.

40
  Traceo: Indica por dónde pasa el programa cada vez que se ejecuta
una instrucción. Imprime o muestra en la pantalla el valor de las
variables, en una porción o en todo el programa.
 Mapeo: Son características del programa tales como tamaño en
bytes, localización en memoria, fecha de última modificación, etcétera.
 Comparación de código: Involucra los códigos fuentes y códigos
objetos.
 Job Accounting Software: Es un Informe de Contabilidad del
Sistema. Utilitario del sistema operativo que provee el medio para
acumular y registrar la información necesaria para facturar a los
usuarios y evaluar el uso del sistema.

10. Preguntas de Repaso y Problemas

Ejemplo: Auditoría de Hardware y Software en Estaciones de Trabajo.

Alcance

La auditoría se realizará sobre los sistemas informáticos en computadoras

personales que estén conectados a la red interna de la empresa.

Objetivo

Tener un panorama actualizado de los sistemas de información en cuanto a

la seguridad física, las políticas de utilización, transferencia de datos y
seguridad de los activos.

Recursos

El número de personas que integraran el equipo de auditoria será de tres,

con un tiempo máximo de ejecución de 3 a 4 semanas

Etapas de Trabajo

1. Recopilación de información básica

41
 Una semana antes del comienzo de la auditoria se envía un
cuestionario a los gerentes o responsables de las distintas áreas de
la empresa. El objetivo de este cuestionario es saber los equipos que
usan y los procesos que realizan en ellos.

Los gerentes se encargarán de distribuir este cuestionario a los

distintos empleados con acceso a los computadores, para que
también lo completen. De esta manera, se obtendrá una visión más
global del sistema.

Es importante también reconocer y entrevistarse con los

responsables del área de sistemas de la empresa para conocer con
mayor profundidad el hardware y el software utilizado.

En las entrevistas incluirán:

 Director / Gerente de Informática

 Subgerentes de informática
 Asistentes de informática
 Técnicos de soporte externo

2. Identificación de riesgos potenciales

Se evaluará la forma de adquisición de nuevos equipos o aplicativos

de software. Los procedimientos para adquirirlos deben estar
regulados y aprobados en base a los estándares de la empresa y los
requerimientos mínimos para ejecutar los programas base.

Dentro de los riesgos posibles, también se contemplarán huecos de

seguridad del propio software y la correcta configuración y/o
actualización de los equipos críticos como el cortafuego.
Los riesgos potenciales se pueden presentar de la más diversa
variedad de formas

3. Objetivos de control

42
 Se evaluarán la existencia y la aplicación correcta de las políticas de
seguridad, emergencia y disaster recovery de la empresa.

Se hará una revisión de los manuales de política de la empresa, que

los procedimientos de los mismos se encuentren actualizados y que
sean claros y que el personal los comprenda.
Debe existir en la Empresa un programa de seguridad, para la
evaluación de los riesgos que puedan existir, respecto a la seguridad
del mantenimiento de los equipos, programas y datos. 

4. Determinación de los procedimientos de control

Se determinarán los procedimientos adecuados para aplicar a cada

uno de los objetivos definidos en el paso anterior.

Objetivo N 1: Existencia de normativa de hardware.

 El hardware debe estar correctamente identificado y

documentado.
 Se debe contar con todas las órdenes de compra y facturas con el
fin de contar con el respaldo de las garantías ofrecidas por los
fabricantes.
 El acceso a los componentes del hardware esté restringido a la
directo a las personas que lo utilizan.
 Se debe contar con un plan de mantenimiento y registro de
fechas, problemas, soluciones y próximo mantenimiento
propuesto.

Objetivo N 2: Política de acceso a equipos.

 Cada usuario deberá contar con su nombre de usuario y

contraseña para acceder a los equipos.
 Las claves deberán ser seguras (mínimo 8 caracteres,
alfanuméricos y alternando mayúsculas y minúsculas).
 Los usuarios se desbloquearán después de 5 minutos sin
actividad.
 Los nuevos usuarios deberán ser autorizados mediante contratos
de confidencialidad y deben mantenerse luego de finalizada la
relación laboral.

43
  Uso restringido de medios removibles (USB, CD-ROM, discos
externos etc.). 

5. Pruebas a realizar

Son los procedimientos que se llevaran a cabo a fin de verificar el

cumplimiento de los objetivos establecidos. Entre ellas podemos
mencionar las siguientes técnicas:

 Tomar 10 máquinas al azar y evaluar la dificultad de acceso a las

mismas.
 Intentar sacar datos con un dispositivo externo.
 Facilidad para desarmar un pc.
 Facilidad de accesos a información de confidencialidad (usuarios y
claves).
 Verificación de contratos.
 Comprobar que luego de 5 minutos de inactividad los usuarios se
desbloqueen.

6. Obtención de los resultados

En esta etapa se obtendrán los resultados que surjan de la

aplicación de los procedimientos de control y las pruebas realizadas
a fin de poder determinar si se cumple o no con los objetivos de
control antes definidos. Los datos obtenidos se registrarán en
planillas realizadas a medida para cada procedimiento a fin de tener
catalogado perfectamente los resultados con el objetivo de facilitar la
interpretación de los mismos y evitar interpretaciones erróneas.

7. Conclusiones y comentarios

En este paso se detallará el resumen de toda la información

obtenida, así como lo que se deriva de esa información, sean fallas
de seguridad, organización o estructura empresarial. Se expondrán
las fallas encontradas, en la seguridad física sean en temas de
resguardo de información (Casos de incendio, robo), manejo y
obtención de copias de seguridad, en las normativas de seguridad

44
 como por ejemplo normativas de uso de passwords, formularios de
adquisición de equipos, y estudios previos a las adquisiciones para
comprobar el beneficio que los mismos aportarían. Finalmente se
verán los temas de organización empresarial, como son partes
responsables de seguridad, mantenimiento y supervisión de las otras
áreas

8. Redacción del borrador del informe

Se detalla de manera concisa y clara un informe de todos los

problemas encontrados, anotando los datos técnicos de cada una de
las maquinas auditadas:

 Marca
 Modelo
 Número de Serie
 Problema encontrado
 Solución recomendada 

9. Presentación del borrador del informe, al responsable de

microinformática

Se le presentara el informe borrador a un responsable del área

informática, como se aclaró en el punto anterior, con el máximo de
detalle posible de todos los problemas y soluciones posibles
recomendadas, este informe se pasará por escrito en original y copia
firmando un documento de conformidad del mismo para adquirir un
compromiso fuerte en la solución de los mismos, de esta forma
evitaremos posibles confusiones futuras. 

10. Redacción del informe resumen y conclusiones

Es en este paso es donde se muestran los verdaderos resultados a

los responsables de la empresa, el informe presentado dará a
conocer todos los puntos evaluados durante la auditoria, resultados,
conclusiones, puntaje y posibles soluciones. La conclusión tendrá
como temas los resultados, errores, puntos críticos y observaciones

45
 de los auditores. Mientras que en el resumen se verán las posibles
soluciones de esos puntos críticos y fallas, así como
recomendaciones para el buen uso y también recomendaciones
sobre la forma incorrecta de realizar algunos procedimientos.

11. Entrega del informe a los directivos de la empresa

Esta es la última parte de la auditoria y en una reunión se formaliza

la entrega del informe final con los resultados obtenidos en la
auditoria. También se fijan los parámetros si así se requieren para
realizar el seguimiento de los puntos en los que el resultado no haya
sido satisfactorio o simplemente se quiera verificar que los que los
objetivos de control se sigan cumpliendo a lo largo del tiempo.

46
Conclusiones

 La información digital se ha convertido en un elemento importante dentro de las

organizaciones, de allí la calidad, veracidad y oportunidad de la misma, para
facilitar la toma de decisiones y correcta disposición de la información.

 La gerencia debe mantener un análisis de riesgo continuo y una revisión

periódica de sistemas automatizados para determinar si existe cambio
incremental, situación de funcionamiento, desarrollo de regulaciones que pudieran
afectar la validación o integridad del sistema.

 Una evaluación de seguridad es el primer punto para lograr un espacio

completamente protegido. Esta instancia permitirá identificar las amenazas y
riesgos a los que se enfrenta tu empresa para diseñar un plan que contemple las
respuestas necesarias en cada caso. De esta forma, es importante conocer las
necesidades particulares de la compañía que contrata estos servicios para
adecuar la solución tecnológica a su media.

47
Recomendaciones

 El auditor debe ser consciente de la gran cantidad de tiempo que requiere

inicialmente para ejecutar una auditoría en una instalación de computadora,
lo cual debe saber el cliente antes de ejecutar el trabajo, asimismo deberá
informarle al cliente el tiempo que requiere para evaluar el sistema y
desarrollar los programas de auditoría.

 Se deben establecer o actualizar los protocolos a seguir frente a los riesgos

detectados para poder controlarlos, eliminarlos, asumirlos, o incluso
compartirlos con expertos externos ante la imposibilidad de afrontarlos.Las
auditorías son una prioridad para las empresas en la actualidad, donde hay
una gran dependencia de la tecnología e internet en la mayoría de los
procesos de su negocio.

48
 Bibliografía

 Alfonso, M; Blanco, A. (2014). Auditoría con Informática a Sistemas

Contables.
Revista de arquitectura e ingeniería, Vol. 6.

 Segundo A. (2019). Control Interno en los Sistemas de Cómputo.

Universidad San Ignacio de Loyola

 Jeimy, M. (2014). Auditoría de Centros de Cómputo.

 Ramón Ch. (2014). Campo de la Auditoría Informática

49
 Referencias Bibliográficas

https://ingenieriayeficiencia.com/evaluacion-de-seguridad/

https://cursos.clavijero.edu.mx/cursos/087_aa/modulo5/contenidos/tema5.3.html

https://1library.co/document/zpx65goq-ejemplo-de-auditoria-de-sistemas.html

https://www.uv.mx/personal/artulopez/files/2012/10/07-Auditoria-de-SI.pdf

https://es.slideshare.net/smileinfected/validacin-de-sistemas-computarizados

50