Investigacion 3

LICENCIATURA EN CONTADURIA
AUDITORIA EN SISTEMAS.
UNIVERSIDAD DE SOTAVENTO, A.C.

LICENCIATURA EN CONTADURÍA
AUDITORÍA DE SISTEMAS
ALUMNA: ROSALBA SANTOS HERNANDEZ
TEMA: AUDITORÍA A SISTEMAS DE INFORMACIÓN EN

OPERACIÓN, USO DEL COMPUTADOR PARA
AUDITORÍA, ANÁLISIS Y EVALUACIÓN DE RIESGOS.
ASESORA:
ING. NADIA MAR ALEJO
CICLO LECTIVO:
2021-2022/02
GRUPO:
CON-6030-22
FECHA DE ENTREGA:
28/04/2022
VILLAHERMOSA, TABASCO
1
INDICE
INTRODUCCIÓN ..............................................................................................................................3
AUDITORIA A SISTEMAS DE INFORMACIÓN DE OPERACIÓN ..........................................................4
OBJETIVOS......................................................................................................................................7
OBJETIVOS GENERALES Y ESPECÍFICOS ........................................................................................9
ÁREAS DE RIESGO EN EL CICLO DE OPERACIÓN DE UN SISTEMA DE INFORMACIÓN .................... 11
CUMPLIMIENTO DE CONTROLES .................................................................................................. 13
UTILIZACIÓN DE PRODUCTOS ....................................................................................................... 15
TÉCNICAS DE AUDITORIA ............................................................................................................. 16
USO DEL COMPUTADOR PARA AUDITORIA .................................................................................. 19
OBJETIVOS.................................................................................................................................... 21
UTILIZACIÓN DE LAS CAAT´S ...................................................................................................... 21
BENEFICIOS PROPORCIONADOS ............................................................................................ 22
UTILIZACIÓN DEL COMPUTADOR COMO HERRAMIENTA PARA AUDITORIA................................. 25
DESCRIPCIÓN DE LAS TÉCNICAS DE AUDITORIA ASISTIDAS POR COMPUTADORA ....................... 26
ANÁLISIS Y EVALUACIÓN DE RIESGO ........................................................................................... 30
CONCEPTO.................................................................................................................................... 32
VENTAJAS DEL ANÁLISIS DE RIESGO INFORMÁTICO ................................................................... 35
ELEMENTO DE EVALUACIÓN......................................................................................................... 37
FASES DE CÓMO REALIZAR UNA EVALUACIÓN DE RIESGO DE AUDITORIA.................................. 37
FACTORES QUE DISMINUYEN EL RIESGO ..................................................................................... 41
MEDIDAS DE PREVENCIÓN Y CONTROL...................................................................................... 42
SISTEMAS DE RECUPERACIÓN ..................................................................................................... 43
CONCEPTO DE MATRICES DE EVALUACIÓN DE RIESGO ................................................................ 46
CONCLUSIÓN ................................................................................................................................ 54
BIBLIOGRAFÍA............................................................................................................................... 55
2
INTRODUCCIÓN
La auditoría de sistemas de información es muy compleja y por tanto es necesario

contar con ciertas habilidades que te permitan a provechar al máximo este tipo de
auditorías y hacer que su uso sea el adecuado y obtener el beneficio de adquirir con
la práctica la habilidad necesaria para realizar una correcta auditoría de sistemas
de información.
En esta investigación abordaremos la auditoria a sistemas de información en
operación, los objetivos de la auditoria como sabemos es revisar y verificar que se
estén cumpliendo con el control de la información, también abordaremos, porque es
importante el uso del computador en la auditoria, los diversos programas de los que
se puede apoyar el auditor para agilizar su trabajo y poder emitir su dictamen, como
sabemos los sistemas de información siempre están en riesgo, es por esto que
analizaremos porque es importante realizar un análisis y una evaluación de riesgo
de los sistemas de información tanto en las áreas operativas como en el
funcionamiento del sistema.
3
AUDITORÍA A SISTEMAS DE
INFORMACIÓN EN OPERACIÓN.
Qué es la auditoría de Sistemas de información (SI)
Consiste en obtener información sobre los equipos, la seguridad de los SI desde

sus entradas, procedimientos, archivos y el funcionamiento correcto de los controles
y las interfaces con el fin de garantizar que la información procesada y almacenada
es confiable.
La función de la auditoría u órgano de control interno, si es que existe, será la de
desarrollar el establecimiento de estándares para fortalecer el correcto
funcionamiento de los sistemas de información. La función de auditoría; además, es
proporcionar a los directivos una adecuada asesoría en cuanto a las estrategias y
políticas a seguir, y garantizar que los recursos asignados a las tecnologías de
información van a auxiliar a la minimización de los riesgos inherentes a su
utilización, apoyar a la institución a través de la promoción de la calidad, eficiencia,
eficacia y reducción de costos de sus procesos.
La importancia de la auditoría de sistemas parte del hecho de que, conforme van
apareciendo nuevas tecnologías en el mercado, también van surgiendo nuevos
4
riesgos que ponen en peligro uno de los activos más importantes de toda
organización: la información.
La auditoría de sistemas o auditoría informática es un proceso de revisión de los
sistemas de información (SI) y tecnologías de la información (TI) que ayuda a las
empresas a identificar hallazgos, mitigar riesgos e implementar controles
adecuados que permitan proteger su información crítica y valiosa.
En qué consiste una auditoría de sistemas.

Previamente debemos entender que en una empresa, existe en mayor o menor
medida, una infraestructura
tecnológica definida, tales como
los servidores donde se recoge
toda la información vital de la
empresa; la seguridad
informática o el networking. Todo
ello converge para que el
funcionamiento de la empresa,
se desarrolle con las máximas
garantías, privacidad y seguridad
de información tan importante,
como son los datos personales
de los clientes.
Ante información tan delicada como esta, se presenta la importancia de contar con
una adecuada y profesional auditoría de sistemas, que sepa definir, valorar y
analizar todos los aspectos de esta infraestructura. Todo ello enfocado para poder
garantizar que se cumplan, desde los requerimientos legales para el tratamiento de
información personal de los clientes, el uso adecuado de los diversos sistemas
informáticos, o que se tenga definida las actuaciones necesarias ante cualquier
eventualidad que pudiera ocurrir.
Contar con una auditoría de sistemas, es esencial en estos tiempos para cualquier
empresa, tanto si tiene centrada su actividad principal en la red, o si ofrece sus
servicios en un ámbito local. Cualquier estructura empresarial, por muy simple que
parezca, precisa de un plan de acción que una auditoría de sistemas, puede ofrecer.
La auditoría de los sistemas de información se define como cualquier auditoria que
abarca la revisión y evaluación de todos los aspectos de los sistemas automáticos
5
de procesamiento de la información, incluidos los procedimientos no

automáticos relacionados con ellos y las interfaces correspondientes.
El objetivo final que tiene el auditor de sistemas es dar recomendaciones a la alta

gerencia para mejorar o lograr un adecuado control interno en ambientes de
tecnología informática con el fin de lograr mayor eficiencia operacional y
administrativa.
¿Qué es la Auditoria en Sistemas de Información?
Es el examen objetivo, crítico, sistemático, posterior y selectivo que se hace a la

administración informática de una organización, con el fin de emitir una opinión
acerca de:
La eficiencia en la adquisición y utilización de los recursos informáticos.

La confiabilidad, la integridad, la seguridad y oportunidad de información.
La efectividad de los controles en los sistemas de información
6
OBJETIVOS.
La auditoría a sistemas de información evalúa los procedimientos, metodologías,

ciclo de vida y el uso de controles en el desarrollo de sistemas de información.
Los principales objetivos que constituyen a la auditoría Informática son:

El control de la función informática.
El análisis de la eficacia del sistema informático.
La verificación de la implantación de la normativa.
La revisión de la gestión de los recursos informáticos.
La Auditoría de Sistemas de Información es un examen y validación del

cumplimiento de los controles y procedimientos utilizados para la confidencialidad,
integridad y disponibilidad de los sistemas de información.
Realizada por personal externo a la empresa, proporciona al negocio una
evaluación independiente y objetiva de los hechos que, en ocasiones es difícil de
obtener cuando se está inmerso en la operación y en presión de la problemática del
día a día.
7
Determinar si los controles implementados son eficientes y suficientes,

identificar las causas de los problemas existentes en los sistemas de
información y a su vez las áreas de oportunidad que puedan encontrarse,
determinando las acciones preventivas y correctivas necesarias para mantener a
los sistemas de información confiable y disponible.
Identificar causas y soluciones a problemas específicos de los sistemas de
información, que pueden estar afectando a la operación y a las estrategias del
negocio. Por ejemplo:
 Cumplimiento de licencias de software (identificar software pirata, control de
licencias).
 Incompatibilidad del hardware y software.
 Errores frecuentes de la aplicación (“caída”, resultados inexactos, lentitud).
 Bases de Datos con problemas de integridad.
 Bajo desempeño del hardware y software.
 Proyectos con retrasos o que “nunca terminan”.
 Insatisfacción de los usuarios para con los sistemas de información.
 Corrección frecuente a los programas de las aplicaciones.
 Fallas en el control de versiones.
El alcance de la auditoría debe estar definido desde el inicio, así como también, las
personas, los recursos, los procesos y la tecnología necesaria para cumplir el
objetivo propuesto. Si alguno de estas fallas, es muy probable que se generen
errores en el proceso, en consecuencia se pierden recursos y tiempo.
Cuando el alcance se define, las organizaciones hacen un enlace entre el auditor y
el representante de seguridad de la información. Éste último es el encargado de
detallar la información que necesita el auditor sobre los sistemas, los manuales de
los sistemas, los diagramas de arquitectura, las políticas y otros documentos que
suelen solicitar los auditores antes de la evaluación.
8
Objetivo de la auditoría
La meta es verificar que se desarrollen sistemas útiles, auditables, seguros y
controlables, que produzcan resultados consistentes para satisfacer los
requerimientos del usuario.
OBJETIVOS: GENERALES Y ESPECÍFICOS
A. Objetivos Generales:
Buscar una mejor relación costo-beneficio de los sistemas automáticos o

computarizados diseñados e implantados.
Incrementar la satisfacción de los usuarios de los sistemas computarizados.
Asegurar una mayor integridad, confidencialidad y confiabilidad de la
información mediante la recomendación de seguridades y controles.
Conocer la situación actual del área informática y las actividades y esfuerzos
necesarios para lograr los objetivos propuestos.
Seguridad de personal, datos, hardware, software e instalaciones.
Apoyo de función informática a las metas y objetivos de la organización.
Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente
informático.
Minimizar existencias de riesgos en el uso de Tecnología de información.
Decisiones de inversión y gastos innecesarios.
Capacitación y educación sobre controles en los Sistemas de Información.
B. Objetivos Específicos:
1. Participación en el desarrollo de nuevos sistemas:

 Evaluación de controles
 Cumplimiento de la metodología.
2. Evaluación de la seguridad en el área informática.
3. Evaluación de suficiencia en los planes de contingencia.
 Respaldos, proveer qué va a pasar si se presentan fallas.
4. Opinión de la utilización de los recursos informáticos.
9
 Resguardo y protección de activos.

5. Control de modificación a las aplicaciones existentes.
 Fraudes
 Control a las modificaciones de los programas.
6. Participación en la negociación de contratos con los proveedores.
7. Revisión de la utilización del sistema operativo y los programas.
 Utilitarios.
 Control sobre la utilización de los sistemas operativos.
 Programas utilitarios.
8. Auditoria de la base de datos.
 Estructura sobre la cual se desarrollan las aplicaciones.
9. Auditoria de la red de teleprocesos.
10. Desarrollo de software de auditoría.
Es el objetivo final de una auditoria de sistemas bien implementada, desarrollar

software capaz de estar ejerciendo un control continuo de las operaciones del área
de procesamiento de datos.
10
ÁREAS DE RIESGO EN EL CICLO DE

OPERACIÓN DE UN SISTEMA DE
INFORMACIÓN.
El proceso de gestión del riesgo en la

seguridad de la información puede
ser iterativo para las actividades de
valoración del riesgo y/o el
tratamiento del mismo. Un enfoque
iterativo para realizar la valoración
del riesgo puede incrementar la profundidad y el detalle de la valoración en cada
iteración.
El contexto se establece como primera medida, luego se realiza la valoración del

riesgo y si esta suministra información suficiente para determinar de manera eficaz
las acciones que se necesitan para modificar los riesgos a un nivel aceptable
entonces la labor está terminada y sigue el tratamiento del riesgo. Si la información
no es suficiente, se llevará a cabo otra iteración de la valoración del riego con un
contexto revisado (por ejemplo, los criterios de evaluación del riesgo los criterios
para aceptar el riesgo o los criterios de impacto).
Un riesgo en informática es cualquier tipo de vulnerabilidad en el sistema que pueda

potencialmente devenir en pérdidas de datos, accesos no autorizados, ruptura de la
integridad y caídas del sistema.
El análisis de riesgos informáticos es un proceso que comprende la identificación
de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran
expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin
de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la
ocurrencia del riesgo.
11
ÁREAS DE
RIESGO DE UN
SISTEMA DE
INFORMACIÓN.
12
CUMPLIMIENTO DE CONTROLES.
Es la figura que actúa como cinturón de seguridad en las compañías. Sus funciones
son vitales, ya que nuestras tareas del día a día, a veces, pueden ponernos en
peligro sin ni siquiera ser conscientes de ello.
El control del cumplimiento es el encargado de velar por que los controles
implantados para minimizar o eliminar riesgos estén operativos y dando de sí lo
máximo que se espera de ellos. Para ello, si queremos contemplar todos los
aspectos GRC (buen Gobierno, gestión de Riesgos y Cumplimiento normativo),
debemos dar un impulso hacia a un control integral del cumplimiento .
Para disponer del buen control de cumplimiento en la empresa, lo primero que se
necesita es un sistema de gestión que cubra al menos estos aspectos:
1. Configurable: Como el cumplimiento es un traje a medida para cada

empresa, esto debe tener acomodo en el modelo de control a establecer.
2. Auto mantenimiento: La información a aportar para poder hacer una
evaluación del estado de cumplimiento debe poder hacerse de forma que no
moleste o exija mucho tiempo al resto de la empresa.
3. Autoevaluación: La identificación de los controles que no funcionan
correctamente y de los riesgos que superan los umbrales fijados debe
realizarse de forma automatizada. Por contra, será manual la reacción de
corrección ante estos problemas detectados en forma de Plan de
Corrección.
4. Auto seguimiento: La ejecución de las acciones de corrección identificadas
debe ser exhaustivamente controlado para asegurarse de ella o en su lugar
determinar los problemas que lo hayan impedido.
El Control Interno Informático es una función del departamento de Informática de

una organización, cuyo objetivo es el de controlar que todas las actividades
relacionadas a los sistemas de información automatizados se realicen cumpliendo
las normas, estándares, procedimientos y disposiciones legales establecidas
FUNCIONES DE CONTROL INTERNO Y AUDITORIA INFORMÁTICA

Cumplimiento de Normas y Procedimientos (revisión y vigilancia de cambio
de software y versiones).
Control de producción diaria.
Control sobre la calidad y eficiencia del desarrollo y mantenimiento de
software y servicios de informática.
13
Los controles tienen como fin: Prevenir o detectar errores accidentales que
puedan ocurrir en el Centro de Cómputo durante un proceso. Evitar o detectar
el manejo de datos con fines fraudulentos por parte de funcionarios del PAD.
Garantizar la integridad de los recursos informáticos.
Objetivos del Control Interno
Asegurar el cumplimiento de las políticas y procedimientos definidos por la

alta dirección
Garantizar la emisión de información útil, confiable y oportuna
Salvaguardar los activos y prevenir el cometimiento de errores e
irregularidades
Contribuir al cumplimiento de la misión y objetivos institucionales
Un buen control debe contar con las siguientes características:
✓ Completos.
✓ Simples.
✓ Revisables.
✓ Adecuados.
✓ Rentables.
✓ Fiables.
✓ Actualizados.
14
UTILIZACIÓN DE PRODUCTOS.
La auditoría de producto, como su nombre lo indica, comprueba la calidad del

producto o servicio, para determinar si cumple con las especificaciones o
necesidades del cliente. Así, las especificaciones, los requerimientos de los clientes
y sus reclamaciones, son el foco de atención del auditor.
15
TÉCNICAS DE AUDITORIA.
Se define a las técnicas de auditoría como “los métodos prácticos de

investigación y prueba que utiliza el auditor para obtener la evidencia necesaria
que fundamente sus opiniones y conclusiones, su empleo se basa en su criterio
o juicio, según las circunstancias”.
Al aplicar su conocimiento y experiencia el auditor, podrá conocer los datos de
la empresa u organización a ser auditada, que pudieran necesitar una mayor
atención.
Las técnicas procedimientos están estrechamente relacionados, si las técnicas
no son elegidas adecuadamente, la auditoría no alcanzará las normas
aceptadas de ejecución, por lo cual las técnicas así como los procedimientos
de auditoría tienen una gran importancia para el auditor.
Según el Instituto Mexicano de Contadores Públicos en su libro Normas y
procedimientos de auditoría las técnicas se clasifican generalmente con base
en la acción que se va a efectuar, estas acciones pueden ser oculares, verbales,
por escrito, por revisión del contenido de documentos y por examen físico.
Siguiendo esta clasificación las técnicas de auditoría se agrupan

específicamente de la siguiente manera:
 Estudio General
 Análisis
 Inspección
 Confirmación
 Investigación
 Declaración
 Certificación
 Observación
 Cálculo
1. - Estudio General:
Es la apreciación y juicio de las características generales de la empresa, las
cuentas o las operaciones, a través de sus elementos más significativos para
elaborar las conclusiones se ha de profundizar en su estudio y en la forma
que ha de hacerse.
16
2. – Análisis:
Es el estudio de los componentes de un todo. Esta técnica se aplica
concretamente al estudio de las cuentas o rubros genéricos de los estados
financieros.
3. – Inspección:
Es la verificación física de las cosas materiales en las que se tradujeron las
operaciones, se aplica a las cuentas cuyos saldos tienen una representación
material, (efectivos, mercancías, bienes, etc.).
4. - Confirmación.-
Es la ratificación por parte del Auditor como persona ajena a la empresa, de
la autenticidad de un saldo, hecho u operación, en la que participo y por la
cual está en condiciones de informar válidamente sobre ella.
5. - Investigación.-
Es la recopilación de información mediante entrevistas o conversaciones con
los funcionarios y empleados de la empresa.
6. - Declaraciones y Certificaciones.-
Es la formalización de la técnica anterior, cuando, por su importancia, resulta
conveniente que las afirmaciones recibidas deban quedar escritas
(declaraciones) y en algunas ocasiones certificadas por alguna autoridad
(certificaciones).
7. - Observación.-
Es una manera de inspección, menos formal, y se aplica generalmente a
operaciones para verificar como se realiza en la práctica.
8. - Cálculo.-
Es la verificación de las correcciones aritméticas de aquellas cuentas u
operaciones que se determinan fundamentalmente por cálculos sobre bases
precisas.
Análisis de datos.
Para las organizaciones el conjunto de datos o información son de tal importancia
que es necesario verificarlos y comprobarlos, así también tiene la misma
importancia para el auditor ya que debe de utilizar diversas técnicas para el análisis
de datos, las cuales se describen a continuación.
17
Comparación de programas
Esta técnica se emplea para efectuar una comparación de código (fuente, objeto o
comandos de proceso) entre la versión de un programa en ejecución y la versión de
un programa piloto que ha sido modificado en forma indebida, para encontrar
diferencias.
Mapeo y rastreo de programas
Esta técnica emplea un software especializado que permite analizar los programas
en ejecución, indicando el número de veces que cada línea de código es procesada
y las de las variables de memoria que estuvieron presentes.
Análisis de código de programas
Se emplea para analizar los programas de una aplicación. El análisis puede
efectuarse en forma manual (en cuyo caso sólo se podría analizar el código
ejecutable).
Datos de prueba
Se emplea para verificar que los procedimientos de control incluidos los programas
de una aplicación funcionen correctamente. Los datos de prueba consisten en la
preparación de una serie de transacciones que contienen tanto datos correctos
como datos erróneos predeterminados.
Datos de prueba integrados
Técnica muy similar a la anterior, con la diferencia de que en ésta se debe crear una
entidad, falsa dentro de los sistemas de información.
Análisis de bitácoras
Existen varios tipos de bitácoras que pueden ser analizadas por el auditor, ya sea
en forma manual o por medio de programas especializados, tales como bitácoras
de fallas del equipo, bitácoras de accesos no autorizados, bitácoras de uso de
recursos, bitácoras de procesos ejecutados.
Simulación paralela
Técnica muy utilizada que consiste en desarrollar programas o módulos que simulen
a los programas de un sistema en producción. El objetivo es procesar los dos
programas o módulos de forma paralela e identificar diferencias entre los resultados
de ambos.
18
USO DEL COMPUTADOR PARA

AUDITORÍA
El computador es el instrumento en los sistemas informáticos que procesa gran

cantidad de información, este, a su vez, es el mismo instrumento que se utiliza para
cometer los delitos en los sistemas informáticos. La tecnología avanza de manera
rápida y sorprendente, de la misma manera, los delitos son cometidos con la misma
tecnología.
Las Tecnologías de Información y Comunicaciones (TICs), al tiempo que plantean
desafíos a los auditores para evaluar la efectividad del control interno y verificar la
integridad de la información de las empresas, ofrecen oportunidades para ser más
eficientes y eficaces e incrementar la productividad de las auditorías mediante el
uso de Técnicas de Auditoría Asistidas por Computador (CAATs).
El uso del computador como herramienta de auditoría es una necesidad
incuestionable para incrementar la productividad, efectividad y valor agregado de
las auditorías, principalmente en las modalidades de auditorías internas, de estados
financieros, de sistemas de información y forenses.
La aplicación de los procedimientos de auditoría ha dado lugar a que el auditor
considere las técnicas que hacen uso de la computadora como una herramienta de
auditoría. Estos diversos usos de la computadora se conocen como Técnicas de
Auditoría Asistidas por Computadoras (TAAC).
La eficacia y eficiencia de los procedimientos de auditoría pueden mejorarse
mediante el uso de las TAAC.
Las Técnicas de Auditoría Asistida por Computadora pueden usarse para llevar a
cabo varios procedimientos de auditoría como los siguientes:
Pruebas detalladas de las transacciones y los balances. Por ejemplo, el uso
de software de auditoría para verificar todas las transacciones (o una
muestra) en un archivo de computadora.
Procedimientos de revisión analítica. Por ejemplo, el uso del software de
auditoría para identificar las fluctuaciones o los artículos extraordinarios.
Pruebas de cumplimiento de los controles generales de Procesamiento
Electrónico de Datos (PED), por ejemplo, el uso de datos de prueba para
verificar los procedimientos de acceso a las bibliotecas del programa.
19
Pruebas de cumplimiento de los controles de aplicación de PED. Por

ejemplo, el uso de los datos de prueba para verificar el funcionamiento
de un procedimiento programado.
La herramienta de auditoría asistida por computadora (CAAT) o las herramientas y

técnicas de auditoría asistida por computadora (CAAT) es un campo en crecimiento
dentro de la profesión de auditoría de TI. CAAT es la práctica de utilizar
computadoras para automatizar los procesos de auditoría de TI. Los CAAT
normalmente incluyen el uso de software básico de productividad de oficina, como
hojas de cálculo, procesadores de texto y programas de edición de texto, y paquetes
de software más avanzados que implican el uso de herramientas de análisis
estadístico e inteligencia empresarial. Pero también hay disponible software
especializado más dedicado
Las técnicas de auditoría asistidas por computador (TAAC) son procedimientos de
auditoría efectuados con el uso de la tecnología computarizada, característicamente
en volúmenes grandes de datos, para identificar, extraer y resumir las partidas con
base en características específicas y para aplicar ciertas rutinas pre-programadas.
Las técnicas de auditoría asistidas por computador o CAAT’s, por sus siglas en
inglés: Computer Assisted Audit Techniques, son programas que están diseñados
para examinar los registros de procesamiento computarizado.
Son herramientas y técnicas de auditoría que permiten al auditor aumentar el
alcance y la eficiencia de la auditoría con procedimientos automatizados. Pueden
generar una gran parte de la evidencia de la auditoría de los sistemas de
información.
El auditor que las utilice debe confiar en los resultados que proporcionan y de esta
forma reducir los procedimientos de auditoría sustantivos necesarios para verificar
la información procesada por el sistema.
Existen de distintos tipos, los cuales pueden utilizarse para prueba de los detalles
de operaciones y saldos, procedimientos de revisión analíticos, pruebas de
cumplimiento de los controles generales de sistemas de información, pruebas de
cumplimiento de los controles de aplicación.
Finalmente, el auditor elabora determinadas partes del informe con archivos que
son resultados de las pruebas y controles, por lo cual resulta necesario el manejo
de software de fácil utilización como procesadores de texto, paquetes de gráficos,
hojas de cálculo, etc.
20
OBJETIVOS.
Las TAAC’s son un conjunto de técnicas y herramientas utilizados en el desarrollo

de las auditorias informáticas con el fin de mejorar la eficiencia, alcance y
confiabilidad de los análisis efectuados por el auditor, a los sistemas y los datos de
la entidad auditada. Incluyen métodos y procedimientos empleados por el auditor
para efectuar su trabajo y que pueden ser administrativos, analíticos, informáticos,
entre otros; y, los cuales, son de suma importancia para el auditor informático
cuando este realiza una auditoría.
El uso de los TAAC’s le permiten al auditor obtener suficiente evidencia confiable
sobre el cual, sustentar sus observaciones y recomendaciones, lo que obliga al
auditor a desarrollar destrezas especiales en el uso de estas técnicas, tales como:
mayores conocimientos informáticos, discernimiento en el uso adecuado de las
herramientas informáticas y analíticas, eficiencia en la realización de los análisis,
etc.; sin dejar a un lado las técnicas tradicionales de auditoría como son la
inspección, observación, confirmación, revisión, entre otros.
El uso de Técnicas de Auditoría con Ayuda de Computadora (TAAC's) puede
posibilitar pruebas más extensas de las transacciones electrónicas y archivos de
cuentas. Estas técnicas pueden usarse para seleccionar transacciones de muestra
de los archivos electrónicos clave.
La utilización de las CAAT’s en el desarrollo de una auditoría cumple con

objetivos como:
Obtener evidencia suficiente, pertinente y fidedigna

El informe final incluye las conclusiones, recomendaciones y hallazgos los cuales
deben ir respaldados con la evidencia obtenida durante el análisis de los datos del
sistema, este es uno de los principales objetivos de utilizar las CAAT´s la evidencia
que puede obtenerse en su uso.
Ampliar la función de la auditoría
Mediante la asesoría y consultoría, la resolución creativa de problemas y la
propagación de las mejores prácticas, el auditor ampliará la función de la auditoría
para combinar las fortalezas tradicionales de la auditoría con la experiencia en la
administración de riesgos y medición del rendimiento.
21
Verificar la integridad de la población

Estas pruebas pueden llevarse a cabo comparando con algunos documentos o
constancia de transacciones impresas y los datos que se utilizan. Asimismo, con los
resultados que se esperan y los obtenidos después de las pruebas
Calcular sobre una población
En algunos casos, puede ser necesario utilizar toda la información, lo cual es
permitido al utilizar las CAAT. Por su capacidad del manejo de grandes volúmenes
de información, algunas de ellas sin límite de número de registros, lo cual provee
resultados confiables por ser toda la información la que se analiza.
Definir los resultados
Se debe tener claro que tipo de información se desea obtener y si la utilización de
la herramienta la provee a través de las funciones que ofrece.
Aplicar métodos de muestreo

En ocasiones que es necesaria la elección de una muestra debe cumplir con el
tamaño adecuado, la selección y evaluación de la misma, funciones que las CAAT’s
otorgan.
BENEFICIOS PROPORCIONADOS
Entre los beneficios que la utilización de las CAAT’s proporcionan al auditor
tenemos,
Rapidez
Realizar auditorías en menos tiempo debido a que el trabajo de análisis de los datos
se realiza de forma automatizada con las funciones que se indiquen por el auditor.
Ocurre lo contrario al hacerse en forma donde el procedimiento puede llevar más
tiempo al tener que hacer la revisión a través de reportes o trasladando información
a archivos, para luego realizar el análisis en software como hojas electrónicas,
teniendo que segmentar la información, especialmente, en sistemas que tienen
mucha información o los que trabajan en tiempo real con muchas transacciones.
Mejora la productividad del trabajo del auditor
El trabajo en verificaciones manuales o en software que no son especialmente para
auditoría, ya que, es necesario estar creando fórmulas o procedimientos
22
alternativos, lo que requiere de mucho tiempo, sin embargo al tener las

CAAT’s apropiadas el tiempo puede ser utilizado para un análisis más
profundo de los resultados obtenidos en los procedimientos donde se
utilizaron o en la realización de otras tareas de la auditoría.
Auditorías más completas
Las CAAT’s son utilizadas, principalmente, en sistemas que trabajan con muchas
transacciones o en tiempo real. Estas permiten analizar una gran cantidad de datos
y en ocasiones utilizar toda la población.
Certeza
Al utilizar una cobertura del 100% de los datos, es decir, la población o, bien, una
muestra significativa de los datos asegura el incremento en la certeza de las
conclusiones y resultados del análisis; en los casos que se utiliza una muestra las
CAAT’s contribuyen en la elección de la misma, con los métodos apropiados para
que sea una muestra significativa.
Esto contribuye a brindar mejores recomendaciones administrativas utilizando
conclusiones de auditoría de alta calidad.
Prevención de fraudes
Los análisis que permiten hacer las CAAT’s pueden ser de funciones estadísticas
con la ayuda de gráficas, esto ayuda a detectar movimientos o relaciones que
provoquen hallazgos en los resultados y en ocasiones resulten en fraudes.
Detección de defectos del sistema

Como resultados de los análisis puede haber transacciones o datos erróneos lo cual
es producto del mal funcionamiento del sistema y no, precisamente, de fraudes.
Esto puede detectarse al estar verificando la información.
Informes
Los informes de las transacciones de las pruebas se utilizan para rastrear
transacciones individuales y como parte de la documentación final de la auditoría.
Reportes
Las CAAT’s permiten la elaboración de reportes de los resultados, los cuales
pueden ser elaborados en las herramientas o, si es necesario, apoyándose de
software como hojas de cálculo para la edición, estos servirán como constancia de
los resultados obtenidos.
Precisión
23
A la hora de detectar un error o un posible fraude, las CAAT’s permiten un

análisis y revisión de determinadas cuentas, en una o un conjunto de las
tablas de las bases de datos, o análisis individuales de determinadas
transacciones. Y de esta forma saber con exactitud el origen del error.
Reducción de los costos y mantenimiento

Los costos pueden ser beneficiados tomando en cuenta el ahorro de tiempo, el
recurso que se utiliza es, prácticamente, el computador donde se encuentra la
CAAT.
No es necesario un mantenimiento, pues, provee de funciones propias que serán
utilizadas por cada uno de los auditores según el análisis que estén realizando.
Investigaciones más a fondo

Permiten que los auditores hagan un asesoramiento para la empresa dando como
resultado una auditoría híbrida que cubre tanto las funciones de "vigilancia" como el
mejoramiento del proceso de las empresas.
Eficiencia
Permite un trabajo, como ya se dijo, rápido y de la mejor manera, ya que, permite a
los auditores un análisis de alta calidad y con resultados que pueden ser utilizados,
posteriormente, para hacer cambios, correcciones y en los próximos trabajos de
auditoría.
Procedimientos automatizados
El personal o auditor que realizaba los procedimientos mecánicos o manuales
tediosos realizará procedimientos más rápidos y mejores.
Nivel reducido de riesgo
Reduce el riesgo en el caso de los cálculos o verificaciones de campos debido a
que es la computadora la que realiza el trabajo.
24
UTILIZACIÓN DEL COMPUTADOR COMO

HERRAMIENTA PARA AUDITORIA.
Las técnicas de auditoría asistidas por computadora son de suma importancia para
el auditor de Tecnología Informática cuando realiza una auditoría. CAAT (Computer
Audit Assisted Techniques) incluyen distintos tipos de herramientas y de técnicas,
las que más se utilizan son los software de auditoría generalizado, software utilitario,
los datos de prueba y sistemas expertos de auditoría. Las CAAT se pueden utilizar
para realizar varios procedimientos de auditoría incluyendo:
Prueba de los detalles de operaciones y saldos.

Procedimientos de revisión analíticos.
Pruebas de cumplimiento de los controles generales de sistemas de
información.
Pruebas de cumplimiento de los controles de aplicación.
Con esta herramienta se puede leer, visualizar, analizar y manipular datos; llevar a
cabo muestreos y extraer archivos de datos desde cualquier origen ordenadores
centrales a PC, incluso reportes impresos. IDEA es reconocido en todo el mundo,
como un estándar en comparaciones con otras herramientas de análisis de datos,
ofreciendo una combinación única en cuanto a poder de funcionalidad y facilidad de
uso.
Procedimientos de auditoría en los que pueden utilizarse las TAAC:
 Pruebas de detalles de transacciones y saldos, por ejemplo, el uso de

software de auditoría para recalcular los intereses o la extracción de facturas
por encima de un cierto valor de los registros de computadora;
 Procedimientos analíticos, por ejemplo, identificar inconsistencias o
fluctuaciones importantes;
 Pruebas de controles generales, por ejemplo, pruebas de la instalación o
configuración del sistema operativo o procedimientos de acceso a las
bibliotecas de programas o el uso de software de comparación de códigos
para verificar que la versión del programa en uso es la versión aprobada por
la administración;
25
 Muestreo de programas para extraer datos para pruebas de auditoría;

 Pruebas de controles de aplicación, por ejemplo, pruebas del
funcionamiento de un control programado; y
 Rehacer cálculos realizados por los sistemas de contabilidad de la entidad.
Descripción de las Técnicas de Auditoría Asistidas por

Computadora
Software de auditoría
El software de auditoría consiste en programas de computadora usados por el
auditor, como parte de sus procedimientos de auditoría, para procesar datos de
importancia de auditoría del sistema de contabilidad de la entidad. Puede consistir
en programas de paquete, programas escritos para un propósito, programas de
utilería o programas de administración del sistema. Independientemente de la
fuente de los programas, el auditor deberá verificar su validez para fines de auditoría
antes de su uso.
Paquete de Auditoría
Son programas generalizados de computadora diseñados para desempeñar
funciones de procesamiento de datos que incluyen leer archivos de computadora,
seleccionar información, realizar cálculos, crear archivos de datos e imprimir
informes en un formato especificado por el auditor. Son usados para control de
secuencias, búsquedas de registros, selección de datos, revisión de operaciones
lógicas y muestreo.
Software para un propósito específico o diseñado a la medida

Son programas de computadora diseñados para desempeñar tareas de auditoría en
circunstancias específicas. Estos programas pueden ser desarrollados por el
auditor, por la entidad, o por un programador externo contratado por el auditor. En
algunos casos, el auditor puede usar programas existentes en la entidad en su
estado original o modificado porque puede ser más eficiente que desarrollar
programas independientes. Si se desarrolla a la medida, es posible aprovechar
estos programas para aplicar otras técnicas.
26
Los programas de utilería

Son usados por la entidad para desempeñar funciones comunes de
procesamiento de datos, como clasificación, creación e impresión de archivos.
Estos programas generalmente no están diseñados para propósitos de auditoría y,
por lo tanto, pueden no contener características tales como conteo automático de
registros o totales de control.
Los programas de administración del sistema

Son herramientas de productividad sofisticadas que son típicamente parte de los
sistemas operativos sofisticados, por ejemplo, software para recuperación de datos
o software para comparación de códigos. Como en el caso anterior, estas
herramientas no son específicamente diseñadas para usos de auditoría y deben ser
utilizadas con cuidado.
Rutinas de Auditoría embebidas en Programas de aplicación

Son módulos especiales de recolección de información incluidos en la aplicación y
diseñados con fines específicos.
Snap Shots
Es semejante a una fotografía interna al sistema, es decir, a la memoria, lo que
permite obtener resultados intermedios en diferentes momentos de un proceso o
conseguir valores temporales de una variable. Se activa mediante ciertas
condiciones preestablecidas. Permite al auditor rastrear los datos y evaluar los
algoritmos aplicados a los datos.
Archivo de revisión de auditoría

Involucra módulos incrustados en una aplicación que monitorea continuamente el
sistema de transacciones. Recolecta la información en archivos especiales que
puede examinar el auditor.
System control audit Review file

En resumen, los paquetes de auditoría son usados para control de secuencias,
búsquedas de registros, selección de datos, revisión de operaciones lógicas y
muestreo.
27
Registros extendidos
Se incluye en algún tipo de registro, información significativa sobre las transacciones
o sobre el sistema, que luego puede ser consultada por el auditor.
Traceo
Indica por dónde pasa el programa cada vez que se ejecuta una instrucción.
Imprime o muestra en la pantalla el valor de las variables, en una porción o en todo
el programa.
Mapeo
Son características del programa tales como tamaño en bytes, localización en
memoria, fecha de última modificación, etcétera.
Comparación de código
Involucra los códigos fuentes y códigos objetos.
Job Accounting Software

Es un Informe de Contabilidad del Sistema. Utilitario del sistema operativo que
provee el medio para acumular y registrar la información necesaria para facturar a
los usuarios y evaluar el uso del sistema.
Técnicas de auditoría asistida por computadora

La utilización de equipos de computación en las organizaciones, ha tenido una
repercusión importante en el trabajo del auditor, no sólo en lo que se refiere a los
sistemas de información, sino también al uso de las computadoras en la auditoría.
La utilización de paquetes de programas generalizados de auditoría ayuda en gran

medida a la realización de pruebas de auditoría, a la elaboración de evidencias
plasmadas en los papeles de trabajo.
28
Las técnicas de auditoría Asistidas por Computadora (CAAT) son la

utilización de determinados paquetes de programas que actúan sobre los
datos, llevando a cabo con más frecuencia los trabajos siguientes:
Selección e impresión de muestras de auditorías sobre bases estadísticas o

no estadísticas, a lo que agregamos, sobre la base de los conocimientos
adquiridos por los auditores.
Verificación matemática de sumas, multiplicaciones y otros cálculos en los
archivos del sistema auditado.
Realización de funciones de revisión analítica, al establecer comparaciones,
calcular razones, identificar fluctuaciones y llevar a cabo cálculos de
regresión múltiple.
Manipulación de la información al calcular subtotales, sumar y clasificar la
información, volver a ordenar en serie la información, etc.
Examen de registros de acuerdo con los criterios especificados.
Búsqueda de alguna información en particular, la cual cumpla ciertos
criterios, que se encuentra dentro de las bases de datos del sistema que se
audita.
Consecuentemente, se hace indispensable el empleo de las CAAT que permiten al

auditor, evaluar las múltiples aplicaciones específicas del sistema que emplea la
unidad auditada, el examinar un diverso número de operaciones específicas del
sistema, facilitar la búsqueda de evidencias, reducir al mínimo el riesgo de la
auditoría para que los resultados expresen la realidad objetiva de las deficiencias,
así como de las violaciones detectadas y elevar notablemente la eficiencia en el
trabajo.
29
ANÁLISIS Y EVALUACIÓN DE RIESGOS
Riesgo es el impacto y la probabilidad de que una amenaza (o de una serie de

eventos/ amenazas) puedan afectar de manera adversa la consecución de los
objetivos.
El análisis de riesgo es el uso sistemático de la información disponible para
determinar la frecuencia con la que determinados eventos se pueden producir y la
magnitud de sus consecuencias.
Una amenaza se puede definir como cualquier evento que puede afectar los activos
de información y se relaciona, principalmente, con recursos humanos, eventos
naturales o fallas técnicas. Algunos ejemplos pueden ser: ataques informáticos
externos, infecciones con malware, una inundación, un incendio o cortes de fluido
eléctrico. Pero en ocasiones basta una omisión o despiste por parte del personal de
la empresa, como el uso de una simple pulsera imantada, para que se pueda llegar
a producir un daño grave, e incluso irreparable, de la información. En definitiva, se
trata de elaborar una adecuada gestión de riesgos que permita a las organizaciones
conocer cuáles son las principales vulnerabilidades de sus activos de información.
Un correcto proceso de identificación de riesgos implica:
Identificar todos aquellos activos de información que tienen algún valor para
la organización.
Asociar las amenazas relevantes con los activos identificados.
Determinar las vulnerabilidades que puedan ser aprovechadas por dichas
amenazas.
30
Identificar el impacto que podría suponer una pérdida de

confidencialidad, integridad y disponibilidad para cada activo.
se debe analizar el impacto en el negocio de un fallo de seguridad que suponga la

pérdida de confidencialidad, integridad o disponibilidad de un activo de información,
evaluando de forma realista la probabilidad de ocurrencia de un fallo de seguridad
en relación a las amenazas, vulnerabilidades e impactos en los activos. Además de
riesgo en sí, es necesario analizar también sus consecuencias potenciales, que son
muchas y de distinta gravedad: desde una simple dispersión de la información a la
pérdida o robo de datos relevantes o confidenciales.
Una posible metodología de evaluación de riesgos estaría compuesta de las
siguientes fases:
 Recogida y preparación de la información.
 Identificación, clasificación y valoración los grupos de activos.
 Distinción y clasificación de las amenazas.
 Identificación y estimación de las vulnerabilidades.
 Diferenciación y valoración de impactos: identificar, tipificar y valorar los
impactos.
 Evaluación y análisis del riesgo.
31
CONCEPTO.
La evaluación del riesgo de auditoría es el requisito básico para verificar qué y

cuándo deben medirse los procesos y productos de calidad para obtener los
máximos beneficios para la organización. No obstante, con frecuencia, saber la
respuesta a ese ‘qué’ y ‘cuándo’ puede ser un gran desafío.
El proceso de gestión de riesgos involucra tres subprocesos fundamentales: El
primero que consiste en el análisis de los riesgos donde se identifica y detalla las
causas que originan los riesgos, quienes se ven involucrados y como se presentan.
El segundo en la evaluación de riesgos en cuanto a probabilidad e impacto, donde
se definen las escalas de medición de los riesgos para medir la probabilidad de
ocurrencia de riesgos en un periodo de tiempo y el impacto que esos riesgos pueden
ocasionar deteriorando parcial o completamente los activos impactados o los
servicios que se prestan a través de los sistemas que los soportan. Y la tercera que
es la gestión de los riesgos donde una vez que se identifican las causas del riesgo,
se propone los controles para mitigar esos riesgos.
Generalmente se habla de Riesgo y conceptos de Riesgo en la evolución de los

Sistemas de Control Interno, en los cuales se asumen tres tipos de Riesgo:
Riesgo de Control: Que es aquel que existe y que se propicia por falta de control
de las actividades de la empresa y puede generar deficiencias del Sistema de
Control Interno.
Riesgo de Detección: Es aquel que se asume por parte de los auditores que en su
revisión no detecten deficiencias en el Sistema de Control Interno.
Riesgo Inherente: Son aquellos que se presentan inherentes a las características
del Sistema de Control Interno.
Sin embargo, los Riesgos están presentes en cualquier sistema o proceso que se
ejecute, ya sea en procesos de producción como de servicios, en operaciones
financieras y de mercado, por tal razón podemos afirmar que la Auditoría no está
exenta de este concepto.
Los riesgos pueden provenir de:

Deficiencias en actividades generales del sistema de información
automatizado;
Desarrollo y mantenimiento de programas;
Soporte tecnológico del software de sistemas; Operaciones;
32
Seguridad física; y
Control sobre el acceso a programas.
Los riesgos pueden incrementar el potencial de errores o irregularidades en

aplicaciones puntuales, en bases de datos, en archivos maestros o en actividades
de procesamiento específicos.
El análisis de riesgos informáticos es la evaluación de los distintos peligros que
afectan a nivel informático y que pueden producir situaciones de amenaza al
negocio, como robos o intrusiones que comprometan los datos o ataques externos
que impidan el funcionamiento de los sistemas propiciando periodos de inactividad
empresarial.
El análisis y gestión de los riesgos previene a las empresas de este tipo de

situaciones negativas para su actividad y recoge una serie de factores
fundamentales para su consecución.
Identificación de activos
Para realizar un análisis de riesgos efectivo, el primer paso es identificar todos los
activos de la empresa. Estos activos incluyen todos los recursos relacionados con
la gestión e intercambio de información de la empresa, como software, hardware,
vías de comunicación, documentación digital y manual e incluso de recursos
humanos.
Riesgos y amenazas
Una vez se identifiquen todos los activos de información que componen la empresa,
deben definirse las amenazas a las que pueden estar expuestos. Estas amenazas
pueden ser de diferente índole, como ataques externos, desastres naturales o
errores humanos.
Ataques externos.
Los ciberdelincuentes siempre tienen en su punto de mira a las empresas y sus
sistemas, con el objetivo de robar información (bancaria o de otra índole comercial
o personal), tirar sus sistemas o utilizar sus recursos. Dos de las mayores amenazas
que reciben las empresas hoy en día son ataques de denegación de servicio
(inutilizan los sistemas informáticos de la empresa) o ataques con malware de tipo
33
ransomware (encriptan los datos de la empresa, solicitando un rescate

económico en criptomonedas para liberarlos).
Errores humanos.
La intervención humana en los procesos informáticos siempre está expuesta a que
se cometan errores (intencionados o no intencionados). Por ejemplo, un empleado
sin los conocimientos suficientes, o con privilegios superiores a los de su función,
puede realizar acciones que comprometan los datos o produzcan un
malfuncionamiento en los sistemas.
Desastres naturales. Es posible que se den situaciones que pongan en peligro los
activos informáticos de la empresa como inundaciones o sobrecargas en la red
eléctrica.
Los riesgos se producen al existir una amenaza que tenga consecuencias negativas
para los sistemas de información de la empresa. El análisis de riesgos debe recoger
información detallada de todos los riesgos a los que se ve expuestos y cómo afectan
a la empresa.
En esta fase del análisis de riesgos hay que priorizar cada uno de estos riesgos,
siendo preciso consultar datos estadísticos sobre incidentes pasados en materia de
seguridad.
Detectar vulnerabilidades
Las vulnerabilidades se presentan en activos informáticos y presentan un riesgo

para la información. Dos ejemplos de vulnerabilidades que suelen encontrarse en el
análisis de riesgos informáticos son la falta de actualización de los sistemas
operativos (por lo tanto, no incluyen los últimos parches en materia de seguridad) y
el uso de contraseñas de acceso débiles (contraseñas cortas que no utilizan
combinaciones de letras, números, símbolos y mayúsculas/minúsculas, y que son
fácilmente descifrables con procesos automáticos).
Medidas de prevención y control

Una vez se tengan identificadas las amenazas y vulnerabilidades de los sistemas y
se tengan definidos todos los riesgos y sus consecuencias, deben establecerse una
34
serie de medidas y tratamientos de riesgo con dos objetivos claros: evitar que
se produzca el riesgo o minimizar su impacto en caso de que llegue a
producirse.
Dentro de este tipo de medidas podemos destacar:
 Instalación de software de seguridad y cortafuegos (por software o

hardware).
 Implementación de sistemas de seguridad en la nube automatizados y planes
de Disaster Recovery.
 Añadir protocolos de seguridad para reforzar la seguridad de las
contraseñas.
 Revisión de los roles y privilegios de los usuarios (con especial cuidado en la
asignación de los roles con mayores privilegios, como los administradores).
 Contratación de un seguro que cubra los daños ocasionados.
 Implementación de sistemas alternativos o duplicados para asegurar la
disponibilidad del sistema.
El análisis de riesgos requiere de la elaboración y consolidación de informes sobre
la ciberseguridad y las distintas medidas aplicadas. Estos informes sirven para
medir el grado de éxito que se está obteniendo en la prevención y mitigación, a la
vez que permite detectar puntos débiles o errores que requieran de la aplicación de
medidas correctoras.
Ventajas del análisis de riesgos informáticos
Las empresas que realicen un análisis de sus riesgos informáticos y de

ciberseguridad se verán beneficiadas de la siguiente manera.
Dispondrán de una visión precisa de los activos relacionados con la

información de la empresa.
Conocerán los riesgos a los que se expone la empresa, pudiendo priorizar
aquellos que tengan mayor probabilidad de producirse, para así poder invertir
mayores recursos en evitarlo.
Podrán medir el impacto que producirá en la empresa cualquier riesgo en
caso de producirse.
35
Facilita la toma de decisiones a la hora de invertir en ciberseguridad y

reduce los tiempos de actuación ante posibles incidentes de
seguridad.
Ayuda a elegir la mejor alternativa en cuanto a métodos de reducción de los
riesgos.
Permite realizar una evaluación de los resultados, para implementar mejoras
o reforzar aspectos débiles en las medidas de seguridad.
Garantiza la continuidad del negocio, disponiendo de planes y protocolos en
caso de incidentes graves.
Ayuda a crear una cultura de prevención en la empresa, implicando a todas
las personas que la forman.
Permite cumplir con las normativas legales en cuestión de seguridad.
En el análisis de riesgo informático es necesario identificar si existen controles que

ayudan a minimizar la probabilidad de ocurrencia de la vulnerabilidad (riesgo
controlado), de no existir, la vulnerabilidad será de riesgo no controlado.
Dentro de la evaluación del riesgo es necesario realizar las siguientes acciones:

Calcular el impacto en caso que la amenaza se presente, tanto a nivel de riesgo no
controlado como el riesgo controlado y evaluar el riesgo de tal forma que se pueda
priorizar, esto se realiza de forma cuantitativa (asignando pesos) o de forma
cualitativa (matriz de riesgos).
36
ELEMENTOS DE EVALUACIÓN.
Para evaluar los sistemas con base en el riesgo, se debe tomar en cuenta qué es
riesgo y qué no es riesgo:
Lo que sí es riesgo.
Software y/o hardware desarrollados o adquiridos que incumplen con los estándares
de calidad.
1. Proveedores seleccionados sin ser los más adecuados
2. Usuarios conectados y desconectados ilícitamente a la red y sus
aplicaciones.
3. Información privilegiada filtrada ilegalmente a proveedores de recursos
informáticos.
4. Proveedores y funcionarios coludidos en la asignación de contratos de
software, hardware y telecomunicaciones.
5. Informes anuales elaborados con información sesgada o incompleta para la
correcta toma de decisiones.
6. Bases de licitaciones para servicios informáticos elaboradas de forma
incompleta o incorrecta.
7. Sistemas informáticos necesarios no desarrollados por el departamento de
TI.
8. Personal para desarrollo de sistemas contratado en exceso sin funciones
Sustanciales.
6 fases sobre cómo realizar una Evaluación del Riesgo de

Auditoría
1.- Producción de una lista de auditoría adecuada

Muchos programas de auditoría están lejos de ser completos y están planificados
sin tener un enfoque sistemático. Si bien, a menudo estos programas son buenos,
pero carecen de una base clara sobre cómo se originó el programa.
Para realizar el Plan de Auditoría, se puede comenzar elaborando una lista amplia
de procesos y procedimientos a revisar que siga una perspectiva sistemática de
37
evaluación y una vez en la práctica, identificar donde se llevan a cabo las

auditorías más específicas.
A continuación, podemos reducir esta lista mediante la unión de procesos que se
podrían desglosar más adelante si fuera necesario.
Por ejemplo, “control de costes”, utilizando este concepto como asunto de auditoría
para desglosarlo en facturas entrantes, registro del trabajo realizado, generación de
facturas o procesos de pago.
2.- Identificación de los factores de evaluación

Posteriormente, necesitamos reconocer los factores importantes en el proceso de
evaluación del riesgo de auditoría. Estos factores de evaluación se basan en la
probabilidad y las consecuencias.
Por ejemplo, se pueden identificar factores de evaluación como la duración del
proceso, la experiencia acerca de un determinado proceso, el tiempo desde la última
auditoría, la complejidad de los procesos, el tiempo dedicado o los recursos con que
se cuentan para realizar la auditoría.
3.- Criterios de clasificación para cada factor

Para que nuestra evaluación del riesgo de auditoría resulte exitosa, los factores de
evaluación identificados deben compararse entre sí.
Por ejemplo, se puede crear una escala numérica, dándole el valor más importante
a los números más altos para mantener los criterios de clasificación de los factores
de evaluación.
4.- Establecimiento del criterio de calificación del factor de evaluación.

Este es el momento de asignar descripciones y calificaciones a cada uno de los
factores de evaluación y numerarlos.
Por ejemplo, podemos desarrollar una lista de descripciones con una calificación
numérica para cada factor de evaluación, relacionando el valor más alto junto con
el máximo efecto.
5.- Aplicación de las calificaciones

Con el sistema ya establecido, debemos aplicar los factores para la evaluación del
riesgo de auditoría. Es importante examinar cada tema individualmente en relación
38
con todos los factores de evaluación y determinar qué valor es más apropiado
para el tema de la auditoría en los criterios de evaluación.
Por ejemplo, en una hoja de cálculo podemos posicionar la “formación y
competencia personal” con un factor de evaluación más bajo en su efecto sobre
valor del proceso, y un valor más elevado para el efecto en el programa y las
necesidades de usar un recurso adicional.
6.- Ponderar la importancia de cada factor

Diseñar este enfoque sistemático nos ayuda a aclarar la discusión sobre valores y
números. Por ejemplo, podemos agrupar las puntuaciones totales para reflejar el
impacto proceso de auditoría en la ejecución general del proyecto.
Aplicar esta visión sistemática es de gran ayuda para estandarizar los parámetros
de evaluación y evitar pérdidas de tiempo habituales cuando se establecen los
criterios de evaluación.
El Riesgo de Auditoría está compuesto por:
Riesgo Inherente: Es el riesgo que conlleva cada actividad por sí misma en

ausencia de controles. Representa la posibilidad de que una afirmación sobre una
transacción, saldo contable o una revelación de información contenga errores
materiales.
Riesgo de Control: Riesgo de que los controles establecidos por el cliente no

prevengan ni detecten una incorrección significativa.
Riesgo de Detección: Es el riesgo de que un auditor no encuentre errores

materiales.
39
El Riesgo de Detección está influenciado por la naturaleza, oportunidad y

extensión de los procedimientos de auditoría. Por ejemplo, si un auditor
quiere reducir su Riesgo de Detección podría:
Aumentar la extensión de los procedimientos seleccionando una muestra

más grande.
Cambiar la naturaleza de la prueba, en lugar de revisiones analíticas,
examinar los documentos físicos que se requieran.
Alternar la oportunidad de los procedimientos.
Si en primera instancia no se evalúan apropiadamente el Riesgo Inherente y el
Riesgo de Control, el auditor no tendría las bases para evaluar el Riesgo de
Detección y de ninguna manera planear la naturaleza, oportunidad y extensión de
los procedimientos. No importa la cantidad de pruebas que realice, si no identifica y
evalúa los riesgos específicos de su cliente el auditor no estará cumpliendo con las
Normas de Auditoría Generalmente Aceptadas.
Valoración de Riesgos. Es el proceso de determinar el costo para la organización

en caso de que ocurra un desastre que afecte a la actividad empresarial. Los costos
de un desastre pueden clasificarse en las siguientes categorías:
Costos de reemplazar el equipo informático; este costo es fácil de calcular y
dependerá de si se dispone de un buen inventario de todos los componentes
necesarios en la red.
Costos por negocio perdido; son los ingresos perdidos por las empresas (por
ejemplo, pérdidas en las ventas cuando el sistema de información no está
disponible.
Costos de reputación; son más difíciles de evaluar, pero, sin embargo, es
deseable incluirlos en la valoración. Estos costos se producen cuando los
clientes pierden la confianza en la empresa y crecen cuando los retardos en
el servicio son más prolongados y frecuentes.
40
FACTORES QUE DISMINUYEN EL RIESGO.
6 prácticas para protegerse de amenazas informáticas en

la empresa
Prevenir es, sin duda, la mejor forma de evitar los ataques informáticos. Estas son
las mejores prácticas para incrementar la ciberseguridad.
1. Antivirus actualizado
El antivirus es el primer freno frente a los ataques informáticos. Es prioritario tener
instalado y actualizado un antivirus que rastree permanentemente en busca de
amenazas.
2. Firewall
Un solo equipo desprotegido pone en riesgo la seguridad de toda la empresa. El
firewall protege la red privada y cifra la información que se envía desde todos los
dispositivos conectados a ella.
3. Protección wifi
La red wifi de la empresa se debe proteger ocultando la SSID y creando una red de
invitados que identifiquen su dirección. Cuando se accede desde fuera de la oficina,
conviene utilizar redes VPN o datos del móvil.
4. Software actualizado
Las actualizaciones del sistema operativo y del software incorporan parches de
seguridad frente a nuevas amenazas.
5. Copias de seguridad al día
Las copias de seguridad pueden evitar más de un disgusto, no solo frente a
amenazas informáticas, sino también frente a problemas técnicos.
6. Prevenir errores humanos
La imprudencia y el desconocimiento suelen ser las causas de los fallos de
ciberseguridad en las empresas. Es más que recomendable disponer de una guía
de buenas prácticas para evitar:
41
Medidas de prevención y control

Una vez se tengan identificadas las amenazas y vulnerabilidades de los
sistemas y se tengan definidos todos los riesgos y sus consecuencias, deben
establecerse una serie de medidas y tratamientos de riesgo con dos objetivos
claros: evitar que se produzca el riesgo o minimizar su impacto en caso de que
llegue a producirse.
Dentro de este tipo de medidas podemos destacar:
Instalación de software de seguridad y cortafuegos (por software o

hardware).
Implementación de sistemas de seguridad en la nube automatizados y planes
de Disaster Recovery.
Añadir protocolos de seguridad para reforzar la seguridad de las
contraseñas.
Revisión de los roles y privilegios de los usuarios (con especial cuidado en la
asignación de los roles con mayores privilegios, como los administradores).
Contratación de un seguro que cubra los daños ocasionados.
Implementación de sistemas alternativos o duplicados para asegurar la
disponibilidad del sistema (high availability).
El análisis de riesgos requiere de la elaboración y consolidación de informes sobre

la ciberseguridad y las distintas medidas aplicadas. Estos informes sirven para
medir el grado de éxito que se está obteniendo en la prevención y mitigación, a la
vez que permite detectar puntos débiles o errores que requieran de la aplicación de
medidas correctoras.
42
SISTEMAS DE RECUPERACIÓN.
Sistema de recuperación de información

Proceso donde se accede a una información previamente almacenada, mediante
herramientas informáticas que permiten establecer ecuaciones de búsqueda
específicas. Dicha información ha debido de ser estructura previamente a su
almacenamiento.
Los Sistemas de Recuperación de Información (SRI) permiten el almacenamiento

óptimo de grandes volúmenes de información (principalmente documentos y
43
últimamente también información multimedia) y la recuperación eficiente de

la información ante las consultas de los usuarios
Con el avance de la tecnología, computadores más potentes y software más

eficiente, el almacenamiento de grandes volúmenes de información se está dando
en todas las disciplinas del quehacer humano.
Internet, la red de redes, también alberga en sus computadoras servidoras millones
de documentos.
La gran cantidad de información disponible, especialmente desde el surgimiento de
Internet, en formato digital trajo aparejada la inquietud en cuanto a la búsqueda de
información textual en una serie de documentos. Un Sistema de Recuperación de
Información (SRI) es el responsable de encontrar información relevante la cual está
presente en un registro documental que debe ser almacenado, representado,
analizado (manipulado) y mantenido.
Su estructura se compone de elementos básicos, como ser: los documentos en sí,
la representación de los mismos, el tratamiento de las consultas sobre estos
documentos y el tratamiento de los resultados.
Evolución de los SRI.
Muchos autores presentan la evolución de estos sistemas, pero quien mejor

simplifica este progreso es Baeza-Yates, destacando tres fases fundamentales:
1. Desarrollos iniciales. Ya existían métodos de recuperación de información en las
antiguas colecciones de papiros. Otro ejemplo clásico que se ha venido utilizando
es la tabla de contenidos de un libro, sustituida por otras estructuras más complejas
a medida que ha crecido el volumen de información. La evolución lógica de la tabla
de contenidos es el índice, estructura que aún constituye el núcleo de los SRI
actuales.
2. Recuperación de información en las bibliotecas. Fueron las primeras instituciones
en adoptar estos sistemas. Originalmente fueron desarrollados por ellas mismas y
posteriormente se ha creado un mercado informático altamente especializado, en el
que participan empresas e instituciones.
3. La World Wide Web. La evolución lógica de los SRI ha sido hacia la web, donde
han encontrado una alta aplicación práctica y un aumento del número de usuarios,
especialmente en el campo de los directorios y motores de búsqueda. El alto grado
de consolidación de la web está siendo favorecido por el vertiginoso abaratamiento
de la tecnología informática, por el espectacular o desarrollo de las
44
telecomunicaciones y por la facilidad de publicación de cualquier documento

que un autor considere interesante, sin tener que pasar por el filtro de los
tradicionales círculos editoriales.
Los sistemas de recuperación de la información también han ido evolucionando con
el fin de adaptarse a este nuevo entorno, de hecho se han desarrollado algunos de
los sistemas más innovadores, al mismo tiempo que extensos, por no hablar de su
popularidad, aunque aún no disponemos de metodologías suficientemente
consolidadas que evalúen su efectividad.
Los SRI, como cualquier otro sistema, son susceptibles de ser sometidos a
evaluación, con el fin de que sus usuarios se encuentren en condiciones de valorar
su efectividad y, de este modo, adquieran confianza en los mismo
Recuperación de información es el siguiente paso a la determinación de las
necesidades de información. Se puede recuperar a través de diferentes
herramientas: bases de datos, Internet, tesauros, ontologías, mapas… Conocer y
manejar estas herramientas contribuye a una recuperación de calidad.
Recuperación de información
El proceso de recuperación se lleva a cabo mediante consultas a la base de datos
donde se almacena la información estructurada, mediante un lenguaje de
interrogación adecuado. Es necesario tener en cuenta los elementos clave que
permiten hacer la búsqueda, determinando un mayor grado de pertinencia y
precisión, como son: los índices, palabras clave, tesauros y los fenómenos que se
pueden dar en el proceso como son el ruido y silencio documental. Uno de los
problemas que surgen en la búsqueda de información es si lo que recuperamos es
«mucho o poco» es decir, dependiendo del tipo de búsqueda se pueden recuperar
multitud de documentos o simplemente un número muy reducido. A este fenómeno
se denomina Silencio o Ruido documental.
Silencio documental: Son aquellos documentos almacenados en la base de datos

pero que no han sido recuperados, debido a que la estrategia de búsqueda ha sido
demasiado específica o que las palabras clave utilizadas no son las adecuadas para
definir la búsqueda.
Ruido documental: Son aquellos documentos recuperados por el sistema pero que
no son relevantes. Esto suele ocurrir cuando la estrategia de búsqueda se ha
definido demasiado genérica.
45
CONCEPTO DE MATRICES DE EVALUACIÓN

DE RIESGOS.
La Matriz de Administración de Riesgos es uno de los elementos más útiles a la

hora de evaluar y gestionar los riesgos a los que se enfrentan todas las empresas
en su día a día. Se trata de una herramienta cuyo conocimiento resulta
imprescindible para los profesionales dedicados a la Gestión de Riesgos.
Factores claves para crear una matriz de evaluación de riesgos

La matriz de riesgos se presenta por lo general en forma de tabla, y debe tener al
menos tres parámetros imprescindibles. De esta forma la herramienta ayudará a
identificar y controlar riesgos que pueden perjudicar a la empresa, ocasionando
sanciones económicas o accidentes laborales, por ejemplo.
En concreto, una matriz de riesgos que esté bien elaborada debe seguir la ecuación:
Riesgo=Consecuencia (impacto) x Probabilidad
1.- Identificar las actividades principales de la empresa y los riesgos

inherentes
El primer paso para crear una matriz de evaluación de riesgos es identificar las
actividades y productos principales de la empresa. Además de ello, resulta
importante señalar los riesgos a los que está expuesto cada una. Un riesgo puede
ser, por ejemplo, que un producto no se venda como estaba previsto. Otro ejemplo
es que la compañía incurra en el incumplimiento de alguna normativa debido a algún
proceso determinado.
En esta fase también han de tenerse en cuenta los factores de riesgo inherentes.
Es decir, aquellos riesgos que son intrínsecos a cualquier actividad, y que pueden
surgir, por ejemplo, por los cambios en las condiciones de la economía.
2. Determinar la probabilidad de que el riesgo ocurra

El siguiente factor para hacer una matriz de riesgos en una organización es
determinar la probabilidad de que los riesgos acaben ocurriendo. El análisis de la
46
probabilidad de que el riesgo o la amenaza se acabe produciendo puede ser

cuantitativo o cualitativo. Aunque la clasificación depende de la metodología
que utiliza el profesional de Gestión de Riesgos, la probabilidad se puede
calificar, por ejemplo, como raro, poco probable, posible, muy probable o casi
seguro.
Para determinar la probabilidad, las organizaciones pueden utilizar herramientas
matemáticas o softwares especializados. No obstante, suele ser necesario estudiar
un Máster en Gestión de Riesgos para aprender a dominar estas herramientas.
3. Calcular el impacto y las consecuencias del riesgo

El último parámetro clave para elaborar una matriz de administración de riesgos es
la valoración del impacto o las consecuencias que el riesgo puede causar en la
compañía. Este impacto se puede calificar, por ejemplo, en un rango de 1 a 5, en el
que el número 1 es un impacto muy bajo y el número 5 un impacto muy alto. En este
último caso sería necesario implementar rápidamente medidas de prevención del
riesgo, para la actividad o el proceso concreto, que puede impactar negativamente
en la empresa.
4.- Representación de la matriz de riesgos

Tras establecer estos parámetros, el último paso sería la representación gráfica de
la matriz de riesgo. Para ello, se pueden utilizar colores, con el fin de mejorar la
lectura de la matriz y facilitar su análisis. Esta matriz tiene que ayudar a tomar
decisiones y establecer controles a partir de un simple vistazo de la misma.
En función de los resultados de la matriz, los especialistas en risk management

tendrán que evaluar si los controles sobre los riesgos a los que se enfrenta la
empresa están siendo eficaces. A raíz de ello, se podrán implementar medidas más
eficientes para mitigar el riesgo.
La matriz de evaluación de riesgos permite registrar, cuantificar y compartir
conjuntos de riesgos. Podrás además guardar diferentes conjuntos de riesgos (de
un proyecto, un negocio, un proceso o cualquier otro contexto en el que estés
trabajando). También podrás compartirlos de forma colaborativa.
47
¿Qué es una matriz de riesgos?

Una matriz de riesgos, conocida también como “Matriz de Probabilidad de Impacto”,
es una herramienta, útil para toda empresa, que le permite identificar los riesgos a
los que está expuesta. De esa forma, las compañías pueden determinar los niveles
aceptables de exposición a aquellos, así como establecer el control apropiado frente
a los mismos y monitorear la efectividad del método de control elegido.
Físicamente, es una guía visual que permite, mediante su diseño, una rápida
identificación de las prioridades que deben ser atendidas. De esa forma también
acelera la toma de decisiones.
Características de una matriz de riesgos

Una matriz de riesgo debe presentar ciertas características para que pueda cumplir
su función, estas son:
 Debe ser sencilla tanto en la forma cómo se elabore, como en la que se

consulte. Y es que, como se ha dicho antes, se hace con el objetivo de
facilitar la toma de decisiones y ordenar prioridades.
 Debe ser flexible en la que se puedan documentar los diferentes procesos de
la empresa, así como evaluar de forma global los riesgos de aquella.
 Debe permitir hacer comparaciones entre diferentes proyectos, áreas,
actividades, etc.
 Debe permitir realizar un diagnóstico objetivo de todos los factores de riesgo
del negocio.
¿Qué se necesita para elaborar una matriz de riesgo?

Para poder hacer una matriz de riesgo, primero hay que identificar las actividades
principales del negocio y los riesgos propios de aquellas. En un segundo paso, se
tienen que evaluar las probabilidades de que el riesgo ocurra, así como las
consecuencias de este. Finalmente se debe hacer una representación de la matriz
de riesgos; esta suele hacerse en forma de tabla, lo que facilita su visualización.
48
Diseño de la Matriz de Riesgos en Auditoria Informática
¿Qué elementos deben considerarse en el diseño de una matriz de riesgo?
A partir de los objetivos estratégicos y plan de negocios, la administración de riesgos

debe desarrollar un proceso para la “identificación” de las actividades principales y
los riesgos a los cuales están expuestas; entendiéndose como:
Riesgo: al evento, el cual es incierto y tiene un impacto negativo. También se puede

definir como la posibilidad de sufrir un daño por la exposición a un peligro.
49
Peligro: es la fuente del riesgo y se refiere a una substancia o a una acción

que puede causar daño.
Las metodologías de análisis de riesgos existentes describen sus etapas en forma

teórica, se presentan pocos ejemplos o es necesario una herramienta para
realizarlo, cuyo costo normalmente es elevado. Por lo anterior es necesario
establecer una metodología cualitativa práctica para realizar un análisis de riesgos
a las áreas de TI, estableciendo cómo puede ejecutarse el análisis.
Dentro del tema de análisis de riesgo se ven reflejados cinco elementos muy
importantes dentro del concepto estos son los siguientes: probabilidad, amenazas,
vulnerabilidades, activos e impactos; donde:
Probabilidad se refiere a establecer el número de ocurrencias, puede realizarse de
manera cuantitativa o cualitativa, pero siempre considerando que la medida no debe
contemplar la existencia de ninguna acción paliativa, o sea, debe considerarse en
cada caso qué posibilidades existen que la amenaza se presente
independientemente del hecho que sea o no contrarrestada.
Las amenazas siempre existen y son aquellas acciones que pueden ocasionar
consecuencias negativas en la operativa de la empresa. Comúnmente se indican
como amenazas a las fallas, a los ingresos no autorizados, a los virus, uso
inadecuado de software, los desastres ambientales como terremotos o
inundaciones, accesos no autorizados, facilidad de acceso a las instalaciones, etc.
Las amenazas pueden ser de carácter físico o lógico, como ser una inundación en
el primer caso, o un acceso no autorizado a una base de datos en el segundo caso.
Vulnerabilidades son ciertas condiciones inherentes a los activos que facilitan que
las amenazas se materialicen. Mediante el uso de las debilidades existentes es que
las amenazas logran materializarse.
Una vulnerabilidad común es contar con antivirus no actualizado, la cual permitirá
al virus actuar y ocasionar daños. Si el antivirus estuviese actualizado la amenaza
(virus) si bien potencialmente seguiría existiendo no podría materializarse.
Los Activos a reconocer son aquellos relacionados con sistemas de información.

Ejemplos típicos son los datos, el hardware, el software, servicios, documentos,
edificios y recursos humanos.
Los Impactos son las consecuencias de la ocurrencia de las distintas amenazas, y
son siempre negativas. Las pérdidas generadas pueden ser financieras, no
financieras, de corto plazo o de largo plazo.
50
Se puede establecer que las más comunes son: la pérdida directa de dinero, la
pérdida de confianza, la reducción de la eficiencia y la pérdida de oportunidades de
negocio. Otras no tan comunes, son la pérdida de vidas humanas, afectación del
medio ambiente, etc.
51
Visto desde la respuesta requerida de acuerdo a la clasificación del riesgo, tenemos

lo siguiente:
Limitantes del análisis de riesgo
Posiblemente una de las principales razones por las cuales los problemas
de seguridad informática no han sido resueltos es la aparición frecuente de
nuevas amenazas. Como un ejemplo de esto es la evolución del malware: los virus
altamente nocivos y de amplia difusión han dado lugar a botnets furtivos, de difícil
detección y dirigidos a objetivos específicos.
Precisamente una de las debilidades de las metodologías de análisis de riesgo es

que parten de una visión estática de las amenazas así como de los
52
controles requeridos para disminuir los riesgos. El ciclo de vida establecido

para las arquitecturas de seguridad informático suele ser demasiado extenso
ante un entorno en cambio constante.
Los cambios en los riesgos que debe considerar una organización tienen dos
orígenes:
 El surgimiento de nuevas amenazas.

 La adopción de nuevas tecnologías que da origen a riesgos no previstos.
Todo sistema de información evoluciona, debido a la integración de hardware

y software con características nuevas y más atractivas para los usuarios, así como
al desarrollo de nuevas funcionalidades. Estos cambios abren la posibilidad de
riesgos imprevistos y también pueden crear vulnerabilidades donde antes no
existían.
53
CONCLUSION.
En esta presente investigación podemos concluir que los sistemas de información

son una herramienta indispensable en la actualidad para las empresas, para que
pueda enfrentarse a la competencia que hay en el mercado, por medio de los datos
que se tienen a tiempo, pero siempre y cuando el personal que tengan acceso a los
sistemas de información la utilicen de manera adecuada, ya que cualquier descuido
se pone en riesgo de perder toda la información, también concluyo que el uso de la
computadora en la auditoria tiene mucha ventaja como apoyo para poder realizar el
trabajo de auditoria de los sistemas.
54
BIBLIOGRAFIA
- Gladys Noemí Salazar Say. (2005). Utilización De Las Técnicas De Auditoría
Asistidas Por Computador. 2005, De Biblioteca.Usac.Edu. Sitio Web: Https.
- Instituto Consorcio Clavijero. (2012). Técnicas De Auditoría Asistidas Por
Computadoras. 2012, De Cursos. Clavijero. Edu. Mx Sitio Web: Https
- Comunidad Contable.Com. (2017). Técnicas De Auditoría Asistidas Por
Computador - TAAC. 2017, De Comunidad Contable Sitio Web: Www.
- Plataforma Tecnológica Para La Gestión De La Excelencia. (2019). Análisis Y
Evaluación De Riesgos De Seguridad De La Información. 2019, De Isotools.Org
Sitio Web: Https//.Www.
- Francisco Nicolás Solarte Solarte. (2012). Análisis Y Evaluación De Riesgos. 2012,
De Http://Auditordesistemas.Blogspot.Com/ Sitio Web: Html
- Escuela Europea De Excelencia. (2017). Evaluación Del Riesgo De Auditoría.
2017, De Escuela De Excelencia Sitio Web: Https.
- Nora La Serna, Ulises Román. (2004). Estudio Y Evaluación De Los Sistemas De
Recuperación De Información. 2004, De Facultad De Ingeniería De Sistemas E
Informática Sitio Web: File://
- Francisco Javier Martínez Méndez. (2004). Recuperación De Información:
Modelos, Sistemas Y Evaluación.. 2004, De El Kiosko Jmc Sitio Web:
Https://Digitum.Um.Es/
- Cursos De Auditoria En Informática. (2012). Técnicas Y Herramientas De La
Auditoria De Sistemas. 2012, De Cursos De Auditoria De Informática Sitio Web:
Https://Sites.Google.Com/
-Ealde. (2019). Factores Para Crear Una Matriz De Evaluación De Riesgos En

Empresas. 2019, De Ealde Business School Sitio Web: Https://Www.Ealde.Es/
-Luis Yucra. (2011). Objetivos De La Auditoria De Sistemas De Información. 2011,
De Bolgs Pot.Com Sitio Web: Html
55

Investigacion 3

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Investigacion 3

Cargado por

Copyright:

Formatos disponibles

LICENCIATURA EN CONTADURIA

UNIVERSIDAD DE SOTAVENTO, A.C.

ALUMNA: ROSALBA SANTOS HERNANDEZ

TEMA: AUDITORÍA A SISTEMAS DE INFORMACIÓN EN

La auditoría de sistemas de información es muy compleja y por tanto es necesario

Qué es la auditoría de Sistemas de información (SI)

Consiste en obtener información sobre los equipos, la seguridad de los SI desde

En qué consiste una auditoría de sistemas.

de procesamiento de la información, incluidos los procedimientos no

El objetivo final que tiene el auditor de sistemas es dar recomendaciones a la alta

¿Qué es la Auditoria en Sistemas de Información?

Es el examen objetivo, crítico, sistemático, posterior y selectivo que se hace a la

La eficiencia en la adquisición y utilización de los recursos informáticos.

La auditoría a sistemas de información evalúa los procedimientos, metodologías,

Los principales objetivos que constituyen a la auditoría Informática son:

La Auditoría de Sistemas de Información es un examen y validación del

Determinar si los controles implementados son eficientes y suficientes,

OBJETIVOS: GENERALES Y ESPECÍFICOS

Buscar una mejor relación costo-beneficio de los sistemas automáticos o

1. Participación en el desarrollo de nuevos sistemas:

 Resguardo y protección de activos.

Es el objetivo final de una auditoria de sistemas bien implementada, desarrollar

ÁREAS DE RIESGO EN EL CICLO DE

El proceso de gestión del riesgo en la

El contexto se establece como primera medida, luego se realiza la valoración del

Un riesgo en informática es cualquier tipo de vulnerabilidad en el sistema que pueda

1. Configurable: Como el cumplimiento es un traje a medida para cada

El Control Interno Informático es una función del departamento de Informática de

FUNCIONES DE CONTROL INTERNO Y AUDITORIA INFORMÁTICA

Objetivos del Control Interno

Asegurar el cumplimiento de las políticas y procedimientos definidos por la

Un buen control debe contar con las siguientes características:

La auditoría de producto, como su nombre lo indica, comprueba la calidad del

Se define a las técnicas de auditoría como “los métodos prácticos de

Siguiendo esta clasificación las técnicas de auditoría se agrupan

USO DEL COMPUTADOR PARA

El computador es el instrumento en los sistemas informáticos que procesa gran

Pruebas de cumplimiento de los controles de aplicación de PED. Por

La herramienta de auditoría asistida por computadora (CAAT) o las herramientas y

Las TAAC’s son un conjunto de técnicas y herramientas utilizados en el desarrollo

La utilización de las CAAT’s en el desarrollo de una auditoría cumple con

Obtener evidencia suficiente, pertinente y fidedigna

Verificar la integridad de la población

Aplicar métodos de muestreo

alternativos, lo que requiere de mucho tiempo, sin embargo al tener las

Detección de defectos del sistema

A la hora de detectar un error o un posible fraude, las CAAT’s permiten un

Reducción de los costos y mantenimiento

Investigaciones más a fondo

UTILIZACIÓN DEL COMPUTADOR COMO

Prueba de los detalles de operaciones y saldos.

Procedimientos de auditoría en los que pueden utilizarse las TAAC:

 Pruebas de detalles de transacciones y saldos, por ejemplo, el uso de

 Muestreo de programas para extraer datos para pruebas de auditoría;

Descripción de las Técnicas de Auditoría Asistidas por

Software para un propósito específico o diseñado a la medida

Los programas de utilería

Los programas de administración del sistema

Rutinas de Auditoría embebidas en Programas de aplicación

Archivo de revisión de auditoría

System control audit Review file

Job Accounting Software

Técnicas de auditoría asistida por computadora

La utilización de paquetes de programas generalizados de auditoría ayuda en gran