Módulo Control de Informatica

Marketing en Contenido Digital
CONTROL
INFORMÁTICO
ESPECIALIZACIÓN EN REVISORÍA FISCAL
Y CONTRALORÍA
Control Informático
2
© Corporación Universitaria
Remington
Primera edición
2019
Actualizado por Pablo Emilio Botero Tobón
Facultad de Ciencias Contables
Editorial Uniremington
Medellín, Colombia
Derechos Reservados ©2011
Primera edición: 2019
Responsables
Jorge Alcides Quintero Quintero
Decano de la Facultad de Ciencias Contables
jquintero@uniremington.edu.co
David Ernesto González Parra

Director de educación a distancia y virtual
dgonzalez@uniremington.edu.co
Francisco Javier Álvarez Gómez

Coordinador CUR-Virtual
falvarez@uniremington.edu.co
Edición y Montaje
Vicerrectoría de Educación a Distancia y Virtual
Equipo de diseño gráfico
www.uniremington.edu.co
virtual@uniremington.edu.co
Derechos reservados: El módulo de estudio del curso de CONTROL

INFORMÁTICO es propiedad de la Corporación Universitaria Remington; las
imágenes fueron tomadas de diferentes fuentes que se relacionan en los
derechos de autor y las citas en la bibliografía. El contenido del módulo está
protegido por las leyes de derechos de autor que rigen al país. Este material
tiene fines educativos y no puede usarse con propósitos económicos o
comerciales. El autor(es) certificó (de manera verbal o escrita) No haber
incurrido en fraude científico, plagio o vicios de autoría; en caso contrario
eximió de toda responsabilidad a la Corporación Universitaria Remington y
se declaró como el único responsable.
Esta obra es publicada bajo la licencia Creative Commons.

Reconocimiento-No Comercial-Compartir Igual 2.5 Colombia
3
TABLA DE CONTENIDO
Pág.
1 UNIDAD 1 CONCEPTOS BÁSICOS DEL CONTROL INFORMÁTICO 8

1.1.1 DEFINICIÓN DE CONCEPTOS 8
1.1.2 OBJETIVO GENERAL 9
1.1.3 OBJETIVOS ESPECIFICOS 9
1.2 TEMA 1 FUNDAMENTACIÓN TEÓRICA DEL CONTROL INFORMÁTICO 9
1.3 TEMA 2 CLASIFICACIÓN DEL CONTROL INFORMÁTICO 12
1.4 TEMA 3 CLASIFICACIÓN DE LA AUDITORÍA SEGÚN EL ESTAMENTO QUE LA DESARROLLA. 14
1.5 TEMA 4 ETAPAS EN LA REALIZACIÓN DE UN TRABAJO DE CONTROL INFORMÁTICO 17

1.5.1 TALLER DE ENTRENAMIENTO 19
2 UNIDAD 2 INTRODUCCIÓN AL CONTROL INFORMÁTICO 21

2.2 TEMA 1 AMBIENTE COMPUTACIONAL 22
2.3 TEMA 2 RAZONES PARA AUDITAR LA INFORMÁTICA O LOS SISTEMAS Y CONOCIMIENTO DEL TEMA DEL
CONTROL INFORMÁTICO EN LA EMPRESA. 27
3 UNIDAD 3 CONTROL INFORMÁTICO A LAS APLICACIONES EN DESARROLLO 33

3.2 TEMA 1 CONCEPTOS GENERALES PARA DESARROLLAR UNA APLICACIÓN 34
3.3 TEMA 2 CICLO DE VIDA DE LAS APLICACIONES EN DESARROLLO 35

4 UNIDAD 4: CICLO DE VIDA DE LAS APLICACIONES EN DESARROLLO 40

4.2 OBJETIVO GENERAL 40

4.3 TEMA 1 DIFERENTES ENFOQUES PARA APLICAR EL CONTROL INFORMÁTICO A UNA APLICACIÓN EN
FUNCIONAMIENTO 41
4
4.4 TEMA2: INTRODUCCIÓN A LA TEORÍA DEL CONTROL 42
5 UNIDAD 5: SEGURIDAD EN UN AMBIENTE COMPUTARIZADO 46

5.1.3 OBJETIVOS ESPECÍFICOS 47
5.2 TEMA 1: SEGURIDAD INFORMÁTICA 48

6 PISTAS DE APRENDIZAJE 52
7 GLOSARIO 55
8 BIBLIOGRAFÍA 59
PROPÓSITO GENERAL
CONTROL INFORMÁTICO
Desarrollar el control informático o la auditoría en sistemas, Teniendo presente las bases

fundamentales de la Auditoría general.
OBJETIVO GENERAL
Establecer una metodología que permita la evaluación de los proyectos y
las soluciones informáticas, de tal forma que en conjunto con los demás
estamentos de la organización planifiquen y controlen en forma adecuada
las operaciones, para la disminución del riesgo y el aumento del valor de
cada actividad en la cadena de producción.
OBJETIVOS ESPECÍFICOS
 Desarrollar un control informático a la auditoría en sistemas y los
elementos requeridos, tales como: definición, principios de auditoría,
elementos de la auditoría: evidencias, pruebas, técnicas y procedimientos;
controles y recomendaciones; normas legales y administrativas.
 Determinar un orden sistémico, que está definido, en parte, por las normas
legales, por el tipo de empresa que se esté auditando, por la experiencia
del auditor y por el tema o componente a auditar.
 Definir, claramente, antes de llevar a cabo una auditoría a una aplicación

que se está desarrollando o comprando, conceptos.
 Evaluar resultado cuando una aplicación está funcionando, esperando que

sea el correcto, ya que es la base para tomar decisiones fundamentales
para el futuro de la empresa.
 Definir los criterios de seguridad informática.

UNIDAD 1 UNIDAD 3 UNIDAD 5
Conceptos básicos Introducción al Control informático

del control Control a las aplicaciones
informático. Informático. en desarrollo
UNIDAD 2 UNIDAD 4
Ciclo de vida de las Seguridad en un

aplicaciones en ambiente
desarrollo. computarizado.
8
1 UNIDAD 1 CONCEPTOS BÁSICOS DEL CONTROL
INFORMÁTICO
1.1.1 DEFINICIÓN DE CONCEPTOS
 Control informático: El control de acceso informático o control de acceso a
sistemas informáticos, en seguridad informática, consiste en la autenticación,
autorización de acceso y auditoría.
 Control interno: El Control Interno Informático es una función del departamento de

Informática de una organización, cuyo objetivo es el de controlar que todas las actividades
relacionadas a los sistemas de información automatizados se realicen cumpliendo las
normas, estándares, procedimientos y disposiciones legales establecidas ...
 Seguridad razonable: El control interno es un proceso llevado a cabo por las personas de
una organización, diseñado con el fin de proporcionar un grado de seguridad "razonable"
para la consecución de sus objetivos, dentro de las siguientes categorías: Eficiencia y
eficacia de la operatoria. Fiabilidad de la información financiera.
 Auditoría informática: La auditoría en informática es la revisión y la evaluación de los

controles, sistemas, procedimientos de informática; de los equipos de cómputo, su
utilización, eficiencia y seguridad, de la organización que participan en el procesamiento
de la información, a fin de que por medio del señalamiento de cursos alternativos
 Revisor Fiscal: Para cumplir con las funciones legales el Revisor Fiscal debe practicar una
auditoría integral con los siguientes objetivos: q Determinar si a juicio del Revisor Fiscal,
los estados financieros del ente se presentan de acuerdo con las normas de contabilidad
de general aceptación en Colombia- auditoría financiera.
 Revisoría Fiscal: De acuerdo con la declaración profesional N° 7 del Consejo Técnico de la

Contaduría Pública, la revisoría fiscal es un órgano de fiscalización al que, en interés de la
comunidad, bajo la dirección y responsabilidad del revisor fiscal, y con sujeción a las
normas de auditoría generalmente aceptadas, le corresponde dictaminar los estados
financieros, y revisar y evaluar sistemáticamente sus componentes, así como los
elementos que integran el control interno.
9
1.1.2 OBJETIVO GENERAL
 Desarrollar un control informático a la auditoría en sistemas y los elementos requeridos,
tales como: definición, principios de auditoría, elementos de la auditoría: evidencias,
pruebas, técnicas y procedimientos; controles y recomendaciones; normas legales y
administrativas.
1.1.3 OBJETIVOS ESPECIFICOS

 Fundamentar Teóricamente el Control Informático de la empresa.
 Clasificar el Control Informático.
 Clasificar la Auditoría según el Estamento que la desarrolla.
 Determinar las etapas en la realización de un trabajo de control informático.
1.2 TEMA 1 FUNDAMENTACIÓN TEÓRICA DEL CONTROL

INFORMÁTICO
Para poder desarrollar el control informático o la auditoría en sistemas, se requiere tener
presente las bases fundamentales de la auditoría general, entre otros están:
 Definición;
 Principios de auditoría;
 Elementos de la auditoría:
o Evidencias,
o Pruebas, técnicas, y
o Procedimientos;
 Controles y recomendaciones;
10
 Normas legales y administrativas.
CONTROL INTERNO INFORMÁTICO AUDITOR INFORMÁTICO
Conocimientos especializados en tecnología de la información.
SIMILITUDES Verificación del cumplimiento de controles internos, normativa y

procedimientos establecidos por la dirección de informática y la dirección
general para los sistemas de información.
Análisis de los controles en el dia a Análisis de un momento informático

dia. determinado.
Informa a la dirección del Informa a la dirección general de la
departamento de informática. organización.
DIFERENCIAS
Solo personal interno. Personal interno y/o externo.
El alcance de sus funciones es Tiene cobertura sobre todas los
únicamente sobre el departamento componentes de los sistemas de
de informática. información de la organización.
http://sistedeinformacion.blogspot.com/2013/07/control-interno-informatico-y-auditoria.html
https://slideplayer.es/slide/3597542/
11
https://prezi.com/p/zmg5kjlwz6qp/control-interno-informatico/
La auditoría ha sido siempre concebida como una disciplina en la que se ha prestado una especial
atención a las aplicaciones prácticas y ha habido una permanente falta de atención a sus
consideraciones teóricas. La propuesta es lograr una debida conexión entre ambas, pues la única
solución segura para los problemas prácticos es a través del desarrollo y utilización de sus
correspondientes componentes teóricos y que éstos deben definirse en el seno de un marco
conceptual propio.
Los diversos aspectos de la normativa nacional e internacional sobre auditoría, relacionados con
la organización y con los dos principales agentes de la misma: las empresas y los auditores, así
como con el trabajo realizado por estos últimos, constituye el eje principal para la formación de
profesionales con aptitudes suficientes que le permitan ejecutar acciones o tareas concretas,
desarrollando su capacidad de análisis crítico, en pro de un mejoramiento de las prácticas de los
profesionales.
Si se comprenden los objetivos que han de lograse en una determinada área de auditoría, y se
entienden las decisiones que han de tomarse podrá entonces determinarse cuáles serán las
evidencias adecuadas que se han de recopilar y la forma en que se evaluarán, aplicando para
ello, si las circunstancias lo permiten, el moderno enfoque de riesgo, complementado con la
identificación del grado de responsabilidad que le cabe a quien actúa como gestor del control
informático. La integración de los conceptos teóricos con los aspectos prácticos en forma lógica,
permitirá comprender:
12
 La importancia de la toma de decisiones en auditoría, y
 La necesidad de acumulación de suficientes evidencias.
1.3 TEMA 2 CLASIFICACIÓN DEL CONTROL INFORMÁTICO

Cuando se lleva a cabo el Control Informático es fundamental que se tenga claro cuál es el objeto
que se pretende alcanzar, por eso se debe identificar la clase de control. Las más representativas
son:
 De control financiero,
 Operacional,
 Administrativa,
 De gestión,
 De control interno,
 Informático, y
 De cumplimiento.
El control informático es un proceso cuyo resultado final es la emisión de un informe, en el que

el auditor da a conocer su opinión sobre la situación financiera de la empresa, este proceso solo
es posible llevarlo a cabo a través de un elemento llamado evidencia de auditoria, ya que el
auditor hace su trabajo posterior a las operaciones de la empresa.
AUDITORÍA CARACTERÍSTICAS
Es el examen posterior, profesional, objetivo y sistemático de la

totalidad o parte de las operaciones o actividades de una entidad,
LA AUDITORÍA proyecto, programa, inversión o contrato en particular, sus unidades
OPERACIONAL integrantes u operacionales específicas. Su propósito es determinar
los grados de efectividad, economía y eficiencia alcanzados por la
organización y formular recomendaciones para mejorar las
13
operaciones evaluadas. Relacionada básicamente con los objetivos
de:
 Eficacia,
 Eficiencia, y
 Economía.
Se encarga de revisar y evaluar todas las fases que involucran el

proceso administrativo velando porque se cumplan las directrices
LA AUDITORÍA
reglamentarias que tienen relación directa con el objeto de la
ADMINISTRATIVA
empresa, generando información clave para determinar los planes
de mejoramiento en áreas con deficiencias administrativas.
LA AUDITORÍA DE Se encarga de evaluar la eficiencia y eficacia de los objetivos

GESTIÓN presupuestados por la empresa frente a los resultados obtenidos.
Se encarga de la verificación de si:

 Existe un ambiente de control en la empresa,
 Hay una adecuada evaluación de riesgos,
 Existen y se ejecutan actividades de control,
 Hay una adecuada información y comunicación sobre el
control interno, y
LA AUDITORÍA DE
 Existe un monitoreo sobre el control interno la auditoría
CONTROL INTERNO
informática.
Se encarga de recopilar, analizar y evaluar los sistemas de
información y determinar:
Su eficacia y eficiencia,
El cumplimiento de sus objetivos frente a los lineamientos
corporativos.
Y de esta manera determinar planes de mejoramiento.
14
1.4 TEMA 3 CLASIFICACIÓN DE LA AUDITORÍA SEGÚN EL
ESTAMENTO QUE LA DESARROLLA.
Así mismo se debe conocer muy bien:
 Cuál estamento desarrolla la auditoría,
 Cuál es su responsabilidad,
 De quien depende,
 Quién lo nombra,
 De quién es la propiedad de los papeles de trabajo,
 Cómo se llama su trabajo final.
En nuestro medio, estos estamentos son:
 Revisoría fiscal,
 Auditoría interna, y
 Auditoría externa.
 LA REVISORÍA FISCAL
Nace de la Declaración Profesional No. 7 del Consejo Técnico de la Contaduría Pública, la define
de la siguiente manera:
La revisoría fiscal es un órgano de fiscalización que, en interés de la comunidad, bajo la

dirección y responsabilidad del revisor fiscal y con sujeción a las normas de auditoría
generalmente aceptadas, le corresponde dictaminar los estados financieros y revisar y evaluar
sistemáticamente sus componentes y elementos que integran el control interno, en forma
oportuna e independiente en los términos que le señala la ley, los estatutos y los
pronunciamientos profesionales.
[CTCP, 1999]
La Revisoría Fiscal es el órgano de control establecido por ley para ciertas empresas con
funciones que pueden asimilarse a:
15
 Las de un auditor financiero independiente,
 Las de un auditor de gestión, y
 Las de un auditor de cumplimiento.
Para cumplir con las funciones legales el Revisor Fiscal debe practicar una auditoría integral con
los siguientes objetivos:
 Determinar si a juicio del Revisor Fiscal, los estados financieros del ente se presentan de
acuerdo con las normas de contabilidad de general aceptación en Colombia: auditoría
financiera.
 Determinar si el ente ha cumplido con las disposiciones legales que le sean aplicables en el
desarrollo de sus operaciones: auditoría de cumplimiento.
 Evaluar el grado de eficiencia y eficacia en el logro de los objetivos previstos por el ente y el
grado de eficiencia y eficacia con que se han manejado los recursos disponibles: auditoría de
gestión.
 Evaluar el sistema de control interno del ente para conceptuar sobre lo adecuado del mismo:
auditoría de control interno.
[CTCP, 1999].
Es necesario distinguir entre la Revisoría Fiscal y el Revisor Fiscal:
 La primera es la institución, el órgano de control,
 El segundo es la cabeza de la institución u órgano,
 La primera es permanente,
 El segundo es temporal.
 LA AUDITORÍA INTERNA
Es el examen crítico, sistemático y detallado de un sistema de información de una unidad

económica, realizado por un profesional con vínculos laborales con la misma, utilizando técnicas
16
determinadas y con el objeto de emitir informes y formular sugerencias para el mejoramiento
de la misma.
Estos informes son de circulación interna y no tienen trascendencia a los terceros

pues no se producen bajo la figura de la Fe Pública.
Las auditorías internas son hechas por personal de la empresa. Un auditor interno tiene a su
cargo la evaluación permanente del control de las transacciones y operaciones y se preocupa en
sugerir el mejoramiento de los métodos y procedimientos de control interno que redunden en
una operación más eficiente y eficaz.
Cuando la auditoria está dirigida por Contadores Públicos profesionales independientes, la

opinión de un experto desinteresado e imparcial constituye:
 Una ventaja definida para la empresa, y
 Una garantía de protección para los intereses de los accionistas, los acreedores
y el Público.
La imparcialidad e independencia absolutas no son posibles en el caso del auditor interno,

puesto que no puede divorciarse completamente de la influencia de la alta administración, y
aunque mantenga una actitud independiente como debe ser, esta puede ser cuestionada ante
los ojos de los terceros.
Por esto se puede afirmar que:
El Auditor no solamente debe ser independiente, sino parecerlo para así obtener
la confianza del Público.
La auditoría interna es un servicio que reporta al más alto nivel de la dirección de la organización
y tiene características de función asesora de control, por tanto no puede ni debe tener autoridad
de línea sobre ningún funcionario de la empresa, a excepción de los que forman parte de la planta
de la oficina de auditoria interna, ni debe en modo alguno involucrarse o comprometerse con las
operaciones de los sistemas de la empresa, pues su función es evaluar y opinar sobre los mismos,
para que la alta dirección toma las medidas necesarias para su mejor funcionamiento. La
auditoría interna solo interviene en las operaciones y decisiones propias de su oficina, pero
nunca en las operaciones y decisiones de la organización a la cual presta sus servicios, pues como
se dijo es una función asesora.
17
 LA AUDITORÍA EXTERNA
Examina y evalúa cualquiera de los sistemas de información de una organización y emite una
opinión independiente sobre los mismos, pero las empresas generalmente requieren de la
evaluación de su sistema de información financiero en forma independiente para otorgarle
validez ante los usuarios del producto de este, por lo cual tradicionalmente se ha asociado el
término Auditoria Externa a Auditoria de Estados Financieros, lo cual como se observa no es
totalmente equivalente, pues puede existir:
 Auditoria Externa del Sistema de Información Tributario,
 Auditoría Externa del Sistema de Información Administrativo,
 Auditoria Externa del Sistema de Información Automático entre otros.
La Auditoría Externa o Independiente tiene por objeto averiguar la razonabilidad, integridad y

autenticidad de los estados, expedientes y documentos y toda aquella información producida por
los sistemas de la organización.
Una Auditoría Externa se lleva a cabo cuando se tiene la intención de publicar el producto del
sistema de información examinado con el fin de acompañar al mismo una opinión independiente
que le dé autenticidad y permita a los usuarios de dicha información tomar decisiones confiando
en las declaraciones del Auditor.
Una auditoría debe hacerla una persona o firma independiente de capacidad profesional
reconocidas. Esta persona o firma debe ser capaz de ofrecer una opinión imparcial y
profesionalmente experta acerca de los resultados de auditoria, basándose en el hecho de que
su opinión ha de acompañar el informe presentado al término del examen y concediendo que
pueda expresarse una opinión basada en la veracidad de los documentos y de los estados
financieros y en que no se imponga restricciones al auditor en su trabajo de investigación.
1.5 TEMA 4 ETAPAS EN LA REALIZACIÓN DE UN TRABAJO DE

Un trabajo de auditoría debe tener un orden sistémico, definido en parte:
 Por las normas legales,
 Por el tipo de empresa que se esté auditando,

18
 Por la experiencia del auditor, y
 Por el tema o componente a auditar.

Para llevarse a cabo dicho trabajo se deben tener en cuenta las siguientes etapas:
1) PLANEACIÓN.
Comprende:
a) Conocimiento de la empresa: Incluye un diagnóstico legal, administrativo y

económico.
b) Plan global de la auditoría: Evaluación del sistema de control interno y cronogramas

de programas de auditoría.
c) Programa de auditoría: Que comprende:
 Componente a auditar
 Objetivos: general y específicos
 Alcance
 Metodología
 Normas: legales y administrativas
 Procedimientos
 Áreas o cargos con lo que se hace contacto
 Personal participante de auditoría
 Duración
 Horario
 Recursos
19
2) EJECUCIÓN DE LA AUDITORÍA:
Es la razón de ser de la auditoria,
 Es la elaboración de los papeles de trabajo, y
 Determinación de las evidencias.
3) INFORMACIÓN
Son los documentos resultantes donde se comunican los hallazgos realizados.
Bajo cualquier circunstancia, un Contador profesional acertado se distingue por:
 Una combinación de un conocimiento completo de los principios y

procedimientos contables,
 Juicio certero,
 Estudios profesionales adecuados, y
 Una receptividad mental imparcial y razonable.
1.5.1 TALLER DE ENTRENAMIENTO

1) Comprensión de cada uno de los términos de la definición de auditoría, documento
términos (doc.) y documento tipos de auditoria (Pdf).
2) Diferencias entre cada una de los tipos de auditorías, documento: Diferencias auditoria
(doc.).
3) Ejemplos de tipos de auditoría documentos ejemplos (doc.).

20
MATERIAL DE APOYO PARA LA UNIDAD 1
(PPT, PDF, doc, xls, video, audio, otros)
1) Archivo INTRODUCCIONAUDITORIAGENERAL (ppt).
2) Documento Auditoría (Pdf).
3) Documento Tipos de auditoría (Pdf).
4) Documento Procedimientos y técnicas de auditoria. Papeles de trabajo (Pdf).
5) 5. Documento auditor agente de cambio clave en la empresa (Pdf).

21
2 UNIDAD 2 INTRODUCCIÓN AL CONTROL
INFORMÁTICO
 Ambiente computacional: La forma o medio mediante el cual se comunica el usuario con
las computadoras.
 Sistemas de conocimiento informático: Es el conjunto de partes interrelacionadas,

hardware, software y de recurso humano que permite almacenar y procesar información.
Un sistema informático. ... Como utilizador final emplea esa información en dos
actividades fundamentales: la toma de decisiones y el control.
 Control informático: El Control Interno Informático puede definirse como el sistema

integrado al proceso administrativo, en la planeación, organización, dirección y control de
las operaciones con el objeto de asegurar la protección de todos los recursos informáticos
y mejorar los índices de economía, eficiencia y efectividad de los procesos operativos
automatizados
 Auditoría Informática: Es un proceso llevado a cabo por profesionales especialmente

capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para
determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la
integridad de los datos ya que esta lleva a cabo eficazmente los fines de la organización,
utiliza eficientemente los recursos, cumple con las leyes y regulaciones establecidas

 Determinar un orden sistémico, que está definido, en parte, por las normas legales, por el
tipo de empresa que se esté auditando, por la experiencia del auditor y por el tema o
componente a auditar.
22
 Reconocer el Ambiente Computacional de la empresa.
 Determinar las razones para Auditar la Informática o los Sistemas y conocimiento del tema
del Control Informático en la empresa.
2.2 TEMA 1 AMBIENTE COMPUTACIONAL

 Título: El ambiente computacional
 ” Enlace”: http://elambientecomputacional.blogspot.com/
https://www.researchgate.net/figure/Figura-3-Ambiente-de-Grid-Computacional_fig2_266136998
23
https://slideplayer.es/slide/12750
https://www.monografias.com/trabajos104/tecnicas-auditoria-asistidas-computador/tecnicas-auditoria-asistidas-
computador.shtml
24
PLANIFICACIÓN
VENTAJAS USO DE TAAC´S
APLICACIÓN DOCUMENTACIÓN E
(TÉCNICAS) INFORMES
TIPOS DE
ASPECTOS
GENERALES TAAC´S HERRAMIENTAS
TAAC´S
https://www.monografias.com/trabajos104/tecnicas-auditoria-asistidas-computador/tecnicas-auditoria-asistidas-
computador.shtml
Se requiere reconocer que es ambiente computacional y cada una de sus partes, así como
identificar el dato y la información que está alrededor del computador. Tener claro:
¿En qué se basa el control informático?
¿Qué disciplina profesional debe atender esta clase de auditoría? y
¿El control informático o la auditoría de sistemas es subordinada de qué dependencia en la

empresa?
Para:
 Poder auditar las aplicaciones,
 Identificar perfectamente las aplicaciones en desarrollo, y
 Las aplicaciones en funcionamiento.
Los auditores de sistemas deben tener un perfil definido de la siguiente manera:

25
El auditor debe tener un criterio muy claro y objetivo acerca de sus funciones y de su
participación como componente de la organización.
Debe caracterizarlo su independencia mental y organizacional de modo que su trabajo no esté

influenciado por características de respetabilidad o intereses particulares provocados por su
nivel de educación y de experiencia o por un esquema organizativo defectuoso.
Debe tener el soporte humano necesario (en calidad y cantidad) de modo que su trabajo no se
vea ilimitado por la carencia de recursos suficientes.
También se debe tener en cuenta en el ambiente computacional los siguientes objetivos:
AUDITORÍA A LA SEGURIDAD EN EL CENTRO DE CÓMPUTO.
 Riesgos Físicos
 Organización y Personal
 Planes de Respaldo
AUDITORIA A HARDWARE Y SOFTWARE
 Hardware
 Sistema Operativo
 Software Aplicativo
 Archivos
AUDITORÍA A LAS APLICACIONES EN FUNCIONAMIENTO
 Entrada de Datos
 Procesamiento
 Archivos
26
 Salidas
 Utilitarios
AUDITORÍA AL DESARROLLO Y/O MODIFICACIONES A LAS APLICACIONES
 Solicitudes
 Análisis de factibilidad
 Etapas de la metodología adoptada
AUDITORÍA AL AMBIENTE DE REDES
 Seguridad
 Perfiles de Usuarios
AUDITORÍA AL AMBIENTE DE MICROCOMPUTADORES
 Seguridad física
 Utilización
 Respaldo
27
2.3 TEMA 2 RAZONES PARA AUDITAR LA INFORMÁTICA O LOS
SISTEMAS Y CONOCIMIENTO DEL TEMA DEL CONTROL
INFORMÁTICO EN LA EMPRESA.
https://ayudaleyprotecciondatos.es/2018/03/12/auditoria-seguridad-informatica/
28
29
Es decisión de la administración contar con la auditoría de sistemas o la auditoría informática,
pero para esto se debe tener claro que razones fundamentales se tienen para que en la empresa
se cuente con esta actividad.
Las justificaciones para realizar auditoría de sistemas son:
 Aumento considerable e injustificado del presupuesto del PAD.
 (Departamento de Procesamiento de Datos)
 Desconocimiento en el nivel directivo de la situación informática de la empresa.
 Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal,
equipos e información.
 Descubrimiento de fraudes efectuados con el computador.
 Falta de una planificación informática.
 Organización que no funciona correctamente, falta de políticas, objetivos, normas,

metodología, asignación de tareas y adecuada administración del Recurso Humano.
 Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los
resultados.
 Falta de documentación o documentación incompleta de sistemas que revela la dificultad

de efectuar el mantenimiento de los sistemas en producción.
Con estas justificaciones rompemos los siguientes paradigmas empresariales:
 OBJETIVOS
 AYER: Detectar e informar los problemas.
 HOY: Anticipar y solucionar los problemas potenciales antes que se presenten.
 AYER: Recomendar soluciones.
 HOY: Vender e implantar soluciones.

30
 RECEPTOR
 AYER: Auditado
 HOY: Cliente
16
 ALCANCE DE LA AUDITORÍA
 AYER: auditoría financiera, operativa y de cumplimiento
 HOY: Consultoría y asesoría, soporte en desarrollo de nuevos productos, servicios,

sistemas, auditoría financiera operativa y de cumplimiento, monitoreo continuo de
desempeño.
 CUBRIMIENTO DE AUDITORIA
 AYER: Examen total
 HOY: Concentra esfuerzos en áreas de alto riesgo
 CONCEPTO DE CLIENTE
 AYER: Todos los auditados son iguales, Tratamiento masivo
 HOY: Cada “cliente” requiere un servicio diferente, de acuerdo a sus necesidades

particulares, tratamiento individualizado
 COMUNICACIÓN CON LA ADMINISTRACIÓN
 AYER: Rígida, formal
 HOY: Por diferentes medios y canales, más informal

31
 ORIENTACIÓN DE AUDITORÍA
 AYER: A tareas, a la actividad.
 HOY: A procesos, al resultado.
 EVALUACIÓN DE LA FUNCIÓN DE AUDITORÍA
 AYER: El mismo auditor, contra estándares para la práctica de auditoria Interna.
 HOY: El “cliente” es decir que recibe el servicio mide la efectividad y la calidad del
mismo.
 APLICACIÓN DEL CONTROL
 AYER: Central, impuesto.
 HOY: Descentralizado, autocontrol.

1) Consulta la definición de los siguientes términos: dato, información, pistas de auditoría,
auditoría de sistemas, auditoría informática. (Doc)
2) Realice descripción de los sistemas de información corporativos (doc)
3) Realice una descripción detallada del personal definido en la empresa para la auditoria de
sistemas (doc).
32
MATERIAL DE APOYO UNIDAD 2
1) Link http://www.scribd.com/doc/19233522/ERP-CRM-SAPMonografia-Conceptos-de-
Auditoria-en-Sistemas1
2) Funciones y Perfiles del auditor de sistemas (doc)
3) Normas, técnicas y procedimientos de auditoría en informática. (pdf)
4) Documento auditoria de sistemas (pdf)
5) Documento papel de la auditoria (PED) (pdf)
6) Auditoria de Sistemas (ppt)
7) Introducción a la auditoria de sistemas (ppt)
8) Introducción a la auditoria de sistemas parte 2. (ppt)
9) Realización de la auditoria de sistemas (ppt)
10) Ejemplo de Encuesta de auditoría de sistemas (doc)
11) Ejemplo 2 de encuesta de auditoria (doc)
12) Manual de auditoria de sistemas (pdf)
13) Link: http://www.slideshare.net/tcossiop/auditoria-de-sistemas sesion-3

33
3 UNIDAD 3 CONTROL INFORMÁTICO A LAS
APLICACIONES EN DESARROLLO
 Código fuente: En el contexto de la informática, el código fuente se define como el
conjunto de líneas de textos, que son las directrices que debe seguir la
computadora para realizar dicho programa; por lo que es en el código fuente, donde
se encuentra escrito el funcionamiento de la computadora.
 Código objeto: En programación, se llama código objeto al código que resulta de la

compilación del código fuente. Puede ser en lenguaje máquina o bytecode, y puede
distribuirse en varios archivos que corresponden a cada código fuente compilado.
 Programación: La programación informática es el proceso por medio del cual se diseña,

codifica, limpia y protege el código fuente de programas computacionales. ... El objetivo
de la programación es la de crear software, que después será ejecutado de manera directa
por el hardware de la computadora, o a través de otro programa.
 Codificación: Es el proceso por el cual la información de una fuente es convertida en

símbolos para ser comunicada. Al codificar convertimos información de un formato o
código a otro, con el propósito de estandarización, velocidad o de compresión.

 Definir, claramente, antes de llevar a cabo una auditoría a una aplicación que se está
desarrollando o comprando, conceptos.

 Definir los conceptos generales para desarrollar una aplicación.
 Determinar el ciclo de vida de las aplicaciones en desarrollo.

34
3.2 TEMA 1 CONCEPTOS GENERALES PARA DESARROLLAR UNA
APLICACIÓN
Antes de llevar a cabo una auditoría a una aplicación que se está desarrollando o comprando, se
debe tener claro conceptos como:
 Código fuente y código objeto,
 Manuales técnicos y del usuario de una aplicación,
 Comité de sistemas y comité desarrollador de aplicaciones.
CONCEPTO CARACTERÍSTICA
El código fuente de un programa informático (o software) es un

conjunto de líneas de texto que son las instrucciones que debe
Código fuente seguir la computadora para ejecutar dicho programa. Por tanto,
en el código fuente de un programa está descrito por completo
su funcionamiento.
En programación, se llama código objeto al código que resulta de

la compilación del código fuente. Consiste en lenguaje máquina
o byte code y se distribuye en varios archivos que corresponden
Código objeto
a cada código fuente compilado. Para obtener un programa
ejecutable se han de enlazar todos los archivos de código objeto
con un programa llamado enlazador.
Documentamos las instrucciones de instalación, configuración,

mantenimiento y administración del software o hardware, de
utilidad para el personal técnico que las realiza.
Nuestro servicio incluye documentación a nivel de arquitectura,
Manual técnico de los programas y las bases de datos, para facilitar la labor de
mantenimiento de los sistemas.
Se presenta en medio magnético para permitir su posterior
actualización. Un manual técnico es la principal herramienta para
reducir costos en el mantenimiento de sus aplicaciones.
35
Documentación de las instrucciones que guían a los usuarios en
el manejo del sistema, descritas en su propio lenguaje, de
negocios o especializado, para usarlas como instrumento de
capacitación e inducción, o bien como documentación de
consulta en caso de duda.
Manual de usuario Está presentado en archivo de fácil lectura y seguimiento Incluye
las ayudas en línea que se incorporan a cada elemento del
programa para ofrecen al usuario una guía permanente del
elemento del programa - pantallas y reportes – que se
encuentren utilizando. Un buen manual de usuario minimiza
costos del soporte técnico a usuarios.
Conformado por personal del área de Sistemas y personal

Comité de sistemas administrativo, que efectúa reuniones periódicas a fin de regular
y normar el funcionamiento del área de Sistemas.
Conformado por personal del área de Sistemas y especialmente

Comité desarrollador de
del personal que tiene relación directa con la implantación de
aplicaciones
una aplicación en el ambiente empresarial.
3.3 TEMA 2 CICLO DE VIDA DE LAS APLICACIONES EN

DESARROLLO
Cuando se va a tener una nueva aplicación, ya sea porque se compre, porque se desarrolle al
interior de la empresa o porque se contrate su desarrollo, se debe cumplir con un ciclo específico,
el cual debe cumplirse en estricto orden, ya que el resultado de uno es el origen del otro. Este
ciclo tiene las siguientes etapas:
 Preanálisis,
 Análisis,
 Diseño,
 Programación y codificación
 Implementación y pruebas; y
36
 Operación y mantenimiento.
Cada una de las personas o dependencias involucradas en este nuevo software tienen una serie
de responsabilidades y deberes que cumplir para el óptimo funcionamiento de esta nueva
aplicación:
 Personal directivo o administrativo,
 Personal de sistemas,
 Personas usuario, y
 Personal de auditoría de sistemas o auditoría informática.
https://ibermatica.com/servicios/aplicaciones-ciclo-de-vida-de-software/
37
https://ibermatica.com/servicios/aplicaciones-ciclo-de-vida-de-software/
 PREANÁLISIS:
 Desde los Requerimientos
 Hasta el Estudio de Factibilidades
 ANÁLISIS:
 Desde el Estudio de Factibilidades
 Hasta las Especificaciones
 DISEÑO
 Desde las Especificaciones
 Hasta el Prototipo
38
 PROGRAMACIÓN Y CODIFICACIÓN
 Desde el Prototipo
 Hasta el programa en Lenguaje Máquina
 IMPLANTACIÓN Y PRUEBAS
 Desde el Programa en Lenguaje Máquina
 Hasta el programa trabajando correctamente
 OPERACIÓN Y MANTENIMIENTO
a) Operación:
 Desde el programa trabajando correctamente
 Hasta el programa en funcionamiento
b) Mantenimiento:
 Desde los requerimientos
 Hasta el programa en funcionamiento

1) Determinar las diferencias entre el Comité de Sistemas y el Comité Desarrollador de
Aplicaciones
2) Determinar las diferencias y semejanzas entre los manuales técnicos y los manuales del
usuario.
39
3) Consultar la compra de un aplicativo y funcionamiento del Comité de Sistemas en una
empresa.
MATERIAL DE APOYO DE LA UNIDAD 3
1) Proceso de desarrollo de software (pdf)
2) Fases del desarrollo de software (pdf)
3) Revisión del ciclo de vida del desarrollo de Aplicaciones, adquisición o
4) mantenimiento. (pdf)
5) Auditoría Informática (doc)
6) Desarrollo de software (ppt)

40
4 UNIDAD 4: CICLO DE VIDA DE LAS APLICACIONES EN
DESARROLLO
 Teoría del control: Es un principio aplicado por la ingeniería y la matemática que
contempla el estudio del comportamiento de sistemas dinámicos. Según la teoría del
control, un proceso o sistema está formado por un conjunto de elementos relacionados
entre sí que ofrecen señales de salida (realimentación) en función de señales o datos de
entrada (referencia). La realimentación puede ser negativa “regulación auto
compensatoria” o positiva, Llamada también efecto "bola de nieve" o "círculo vicioso".
 Competitividad: La competitividad es la capacidad de una persona u organización para

desarrollar ventajas competitivas con respecto a sus competidores y obtener así, una
posición destacada en su entorno.
 Credibilidad pública: Credibilidad es un concepto que las personas utilizan para decidir si
creen o no, ya que es una de las informaciones de la que no son testigos directos. En su
aplicación intervienen componentes objetivos y subjetivos ya que se conceden a las
fuentes, canales o plataformas de difusión de información.
 Sistemas operacionales: El Sistema Operativo (SO) es el programa o software básico de

un ordenador. Es una plataforma que facilita la interacción entre el usuario y los demás
programas del ordenador y los dispositivos de hardware. ... Los Sistemas Operativos más
utilizados son Windows, Linux y Mac.
4.2 OBJETIVO GENERAL

 Evaluar resultado cuando una aplicación está funcionando, esperando que sea el correcto,
ya que es la base para tomar decisiones fundamentales para el futuro de la empresa.

 Analizar los Diferentes Enfoques para la aplicación del Control Informático a una
Aplicación en Funcionamiento.
41
 Combinar debidamente los conceptos de riesgos, causas de riesgo o amenazas y controles.
4.3 TEMA 1 DIFERENTES ENFOQUES PARA APLICAR EL CONTROL

INFORMÁTICO A UNA APLICACIÓN EN FUNCIONAMIENTO
Cuando una aplicación está funcionando, produce un resultado, el cual se espera sea el correcto,
ya que es la base para tomar decisiones fundamentales para el futuro de la empresa. Por esta
razón se debe auditar una aplicación, en cada uno de sus momentos, cuando está operando.
En nuestro medio existen tres enfoques que son complementarios para llevar a cabo esta
actividad:
 Auditoría alrededor del computador,
 Auditoría a través del computador, y
 Auditoría con el computador.
 El Control Informático alrededor del computador tiene como objetivos:
 Verificar la segregación de funciones.
 Asegurar que los datos enviados al proceso estén debidamente autorizados.
 Comprobar que los datos autorizados sean procesados.
 Asegurar que los procesos se hagan con exactitud.
 Verificar las pistas de auditoría.
 Evaluar la legalidad de los datos.
 El Control Informático a través del computador tiene como objetivos:
 Asegurar que los programas cumplan con las necesidades de los usuarios.
 Verificar las modificaciones autorizadas
 Comprobar que no existan rutinas fraudulentas

42
 Asegurar los programas autorizados
 Verificar la existencia de controles en los programas
 Comprobar que los datos sean validados antes de ser procesados
 El Control Informático con el computador tiene como objetivos:
 Examinar los archivos a niveles detallados
 Verificar la existencia de controles garanticen protección de datos
 Verificar la existencia de controles garanticen confiabilidad de la

información
 Hacer proyecciones con cambios de alternativas.
4.4 TEMA2: INTRODUCCIÓN A LA TEORÍA DEL CONTROL

Para poder auditar y formular las recomendaciones que hagan que el sistema de control interno
sea más eficiente y eficaz, es necesario combinar debidamente los conceptos de:
 Riesgos,
 Causas de riesgo o amenazas, y
 Controles.
Para esto se debe conocer sus significados, sus clasificaciones y sobre todo sus relaciones.
Objetivos para establecer controles:
1. Contribuir con la permanencia de la empresa.
2. Reducir las causas de riesgo o amenazas.
 Errores en el cálculo de los ingresos
 Errores en el cálculo de los egresos

43
 Sanciones legales
 Pérdida de credibilidad pública
 Pérdida de competitividad
 Daño y/o destrucción de activos
 Robo / hurto / fraude
 Decisiones erróneas
PUNTOS DE CONTROL EN UN SISTEMA DE INFORMACIÓN
CONTROLES EXTERNOS
 Alta dirección
 Auditoría
 Grupos especiales de asesoría
CONTROLES ADMINISTRATIVOS
 Planeación
 Procedimientos
 Estándares
 Selección de personal
 Entrenamiento
CONTROLES OPERACIONALES
44
 A la entrada
 Al procesamiento
 Programas
 Archivos
 Sistemas operacionales
 Hardware
 Software
 A la salida A la documentación
 A la seguridad.

1) Determinar los objetivos de cada uno de los enfoques con los cuales se audita una
aplicación cuando está funcionando (doc).
2) Taller sobre controles (doc).
3) Consultar: ¿qué es un Software de Auditoría?, ¿en qué enfoque se aplica?, ¿cómo ayuda
a un auditar a disminuir el riesgo de detección, propio de la auditoría? (doc).
4) Taller: elaborar una matriz de controles para formular recomendaciones en una

aplicación que esté funcionando (doc)
MATERIAL DE APOYO DE LA UNIDAD 4
1) Documento de Auditoría de Sistemas, donde se encuentra el diseño de controles (pdf)

45
2) Presentación Gerencia de Procesos (ppt)
3) Presentación Proceso y Control Organización (ppt)
4) Presentaciones técnicas de auditoria (ppt)
5) 5. Aplicaciones en funcionamiento (doc)

46
5 UNIDAD 5: SEGURIDAD EN UN AMBIENTE
COMPUTARIZADO
 Confidencialidad: Es la propiedad de la información, por la que se garantiza que está
accesible únicamente a personal autorizado a acceder a dicha información. La
confidencialidad ha sido definida por la Organización Internacional de
Estandarización (ISO) en la norma ISO/IEC 27002 como "garantizar que la
información es accesible sólo para aquellos autorizados a tener acceso" y es una de las
piedras angulares de la seguridad de la información. La confidencialidad es uno de los
objetivos de diseño de muchos criptosistemas, hecha posible en la práctica gracias a las
técnicas de criptografía actual.
 Privacidad: La privacidad puede ser definida como el ámbito de la vida personal de

un individuo, quien se desarrolla en un espacio reservado, el cual tiene como propósito
principal mantenerse confidencial.
 Seguridad Informática: La seguridad informática es una disciplina que se encarga

de proteger la integridad y la privacidad de la información almacenada en
un sistema informático. De todas formas, no existe ninguna técnica que permita
asegurar la inviolabilidad de un sistema.
 Control de seguridad física: Se conoce como seguridad física al conjunto de elementos

que conforman un plan de seguridad, para proteger un espacio determinado con el fin de
evitar daños y minimizar amenazas. Para prestar un buen servicio de seguridad es
necesario identificar los posibles riesgos y amenazas que hay en el lugar y buscar los
elementos físicos que se requieran para suministrar una excelente protección.
 Control técnico: Proceso para asegurar que las actividades reales se ajusten a las
actividades planificadas. Permite mantener a la organización o sistema en buen camino.
 Control de exactitud: La capacidad de mantener un proceso dentro de los valores

deseados.
47
 Definir los criterios de seguridad informática.
5.1.3 OBJETIVOS ESPECÍFICOS

 Definir, claramente, los parámetros para la seguridad informática.
AUDITORIA DE SISTEMAS COMPUTARIZADOS
La auditoría de sistemas computarizados en el examen del sistema y de los controles

organizativos y operativos del centro de procesamiento de datos, para establecer la eficiencia,
eficacia y economía con que viene logrando la empresa en forma clara, precisa, exacta y
oportuna para la toma de decisiones de la alta dirección del ente económico.
48
5.2 TEMA 1: SEGURIDAD INFORMÁTICA
Todos los temas anteriores perderían su importancia sino no estuvieran rodeados de un aspecto
importantísimo como es la Seguridad.
https://ayudaleyprotecciondatos.es/2018/03/12/auditoria-seguridad-informatica/
Algunos de los aspectos a considerar están:
 Definición de seguridad en un ambiente computarizado;
 Fases de la seguridad;
 Tipos de exposición de riesgos;
 Sistemas con niveles de riesgo aceptables;
 Componentes de la seguridad en los sistemas de información;
 Propiedades y funciones de la seguridad;
 Niveles de control de la seguridad en los sistemas de información;

49
 Distribución de las responsabilidades en el control y la seguridad de los sistemas de
información;
 Costo / beneficio de la seguridad;
 Planes de contingencia.
 Los componentes de seguridad son:
CONTROLES DE SEGURIDAD FÍSICA Y FUNCIONAL
 Robo
 Divulgación no autorizada
 Modificación no autorizada
 Destrucción no autorizada
CONTROLES DE EXACTITUD
 Errores en los datos de entrada
 Errores en el proceso
CONTROLES DE CONFIDENCIALIDAD
 Asegurar que la información sea utilizada únicamente por personas autorizadas.
CONTROLES DE PRIVACIDAD
 Proteger el derecho de determinar la información de sí mismo

50
 NIVELES DE CONTROL DE LA SEGURIDAD EN LOS SISTEMAS COMPUTARIZADOS DE LA
INFORMACIÓN.
CONTROLES TÉCNICOS:
 Software del sistema (seguridad lógica)
 Software aplicativo (seguridad funcional)
CONTROLES DE SEGURIDAD FÍSICA:
 Chapas, cerraduras, alarmas, guardias, detectores
CONTROLES ADMINISTRATIVOS
 Son todos los controles que conforman el sistema de control interno de la entidad, y
competen a los usuarios, auditores, sistemas y administración
CONTROLES DEL AMBIENTE SOCIAL Y JURÍDICO
 Privacidad de los datos
 Exactitud de los datos
 Confiabilidad de los datos

(Ejercicios, consultas, cuestionarios, otros)
1) Determinar las diferencias en cada una de las fases de la seguridad y consultar los
componentes de seguridad en los sistemas de información (doc)
2) Taller: preparar un plan de contingencia de una dependencia de informática (doc)

51
MATERIAL DE APOYO UNIDAD 5
1) Documento: Seguridad y Auditoría en un ambiente computarizado
2) Link: http://www.scribd.com/doc/11386492/Auditoria-en-Ambientes-
3) Computarizados-Nota-a-Organismos1
4) Plan de Contingencia (pdf)
5) Plan de contingencia1 (pdf)
6) 5. Manual de contingencia informática (pdf)

52
6 PISTAS DE APRENDIZAJE
Recuerde que:
 Para poder desarrollar el control informático o la auditoría en sistemas, se requiere tener

presente las bases fundamentales de la auditoría general, entre otros están:
 Definición;
 Principios de auditoría;
 Elementos de la auditoría:
o Evidencias,
o Pruebas, técnicas, y
o Procedimientos;
 Controles y recomendaciones;
 Normas legales y administrativas
 La auditoría ha sido siempre concebida como una disciplina en la que se ha prestado una
especial atención a las aplicaciones prácticas y ha habido una permanente falta de
atención a sus consideraciones teóricas. La propuesta es lograr una debida conexión
entre ambas, pues la única solución segura para los problemas prácticos es a través del
desarrollo y utilización de sus correspondientes componentes teóricos y que éstos deben
definirse en el seno de un marco conceptual propio.
 La revisoría fiscal es un órgano de fiscalización que, en interés de la

comunidad, bajo la dirección y responsabilidad del revisor fiscal y con
sujeción a las normas de auditoría generalmente aceptadas, le corresponde
dictaminar los estados financieros y revisar y evaluar sistemáticamente
53
sus componentes y elementos que integran el control interno, en forma
oportuna e independiente en los términos que le señala la ley, los estatutos
y los pronunciamientos profesionales.
[CTCP, 1999]
 La Auditoría Interna: Es el examen crítico, sistemático y detallado de un sistema de

información de una unidad económica, realizado por un profesional con vínculos
laborales con la misma, utilizando técnicas determinadas y con el objeto de emitir
informes y formular sugerencias para el mejoramiento de la misma.
 La Auditoría Externa o Independiente tiene por objeto averiguar la razonabilidad,

integridad y autenticidad de los estados, expedientes y documentos y toda aquella
información producida por los sistemas de la organización.
Una Auditoría Externa se lleva a cabo cuando se tiene la intención de publicar el producto del
sistema de información examinado con el fin de acompañar al mismo una opinión independiente
que le dé autenticidad y permita a los usuarios de dicha información tomar decisiones confiando
en las declaraciones del Auditor.
 Las justificaciones para realizar auditoría de sistemas son:
 Aumento considerable e injustificado del presupuesto del PAD.
 (Departamento de Procesamiento de Datos)
 Desconocimiento en el nivel directivo de la situación informática de la

empresa.
 Cuando se va a tener una nueva aplicación, ya sea porque se compre, porque se desarrolle
al interior de la empresa o porque se contrate su desarrollo, se debe cumplir con un ciclo
específico, el cual debe cumplirse en estricto orden, ya que el resultado de uno es el
origen del otro. Este ciclo tiene las siguientes etapas:
o Preanálisis,
o Análisis,
54
o Diseño,
o Programación y codificación
o Implementación y pruebas; y
o Operación y mantenimiento.
 El Control Informático con el computador tiene como objetivos:
 Examinar los archivos a niveles detallados
 Verificar la existencia de controles garanticen protección de datos
 Verificar la existencia de controles garanticen confiabilidad de la

información
55
7 GLOSARIO
 Ambiente computacional: La forma o medio mediante el cual se comunica el usuario con las
computadoras.
 Auditoría Informática: Es un proceso llevado a cabo por profesionales especialmente

capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para
determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la
integridad de los datos ya que esta lleva a cabo eficazmente los fines de la organización, utiliza
eficientemente los recursos, cumple con las leyes y regulaciones establecidas
 Auditoría informática: La auditoría en informática es la revisión y la evaluación de los

controles, sistemas, procedimientos de informática; de los equipos de cómputo, su
utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la
información, a fin de que por medio del señalamiento de cursos alternativos
 Codificación: Es el proceso por el cual la información de una fuente es convertida en símbolos

para ser comunicada. Al codificar convertimos información de un formato o código a otro, con
el propósito de estandarización, velocidad o de compresión.
 Código fuente: En el contexto de la informática, el código fuente se define como el conjunto

de líneas de textos, que son las directrices que debe seguir la computadora para realizar dicho
programa; por lo que es en el código fuente, donde se encuentra escrito el funcionamiento
de la computadora.
 Código objeto: En programación, se llama código objeto al código que resulta de la

compilación del código fuente. Puede ser en lenguaje máquina o bytecode, y puede
distribuirse en varios archivos que corresponden a cada código fuente compilado.
 Competitividad: La competitividad es la capacidad de una persona u organización para

desarrollar ventajas competitivas con respecto a sus competidores y obtener así, una posición
destacada en su entorno.
 Confidencialidad: Es la propiedad de la información, por la que se garantiza que está accesible

únicamente a personal autorizado a acceder a dicha información. La confidencialidad ha sido
definida por la Organización Internacional de Estandarización (ISO) en la norma ISO/IEC
27002 como "garantizar que la información es accesible sólo para aquellos autorizados a tener
acceso" y es una de las piedras angulares de la seguridad de la información. La
56
confidencialidad es uno de los objetivos de diseño de muchos criptosistemas, hecha posible
en la práctica gracias a las técnicas de criptografía actual.
 Control de exactitud: La capacidad de mantener un proceso dentro de los valores deseados.
 Control de seguridad física: Se conoce como seguridad física al conjunto de elementos que
conforman un plan de seguridad, para proteger un espacio determinado con el fin de evitar
daños y minimizar amenazas. Para prestar un buen servicio de seguridad es necesario
identificar los posibles riesgos y amenazas que hay en el lugar y buscar los elementos físicos
que se requieran para suministrar una excelente protección.
 Control informático: El Control Interno Informático puede definirse como el sistema

integrado al proceso administrativo, en la planeación, organización, dirección y control de las
operaciones con el objeto de asegurar la protección de todos los recursos informáticos y
mejorar los índices de economía, eficiencia y efectividad de los procesos operativos
automatizados
 Control informático: El control de acceso informático o control de acceso a

sistemas informáticos, en seguridad informática, consiste en la autenticación, autorización de
acceso y auditoría.
 Control interno: El Control Interno Informático es una función del departamento de

Informática de una organización, cuyo objetivo es el de controlar que todas las actividades
relacionadas a los sistemas de información automatizados se realicen cumpliendo las normas,
estándares, procedimientos y disposiciones legales establecidas ...
 Control técnico: Proceso para asegurar que las actividades reales se ajusten a las actividades
planificadas. Permite mantener a la organización o sistema en buen camino.
 Credibilidad pública: Credibilidad es un concepto que las personas utilizan para decidir si
creen o no, ya que es una de las informaciones de la que no son testigos directos. En su
aplicación intervienen componentes objetivos y subjetivos ya que se conceden a las fuentes,
canales o plataformas de difusión de información.
 Privacidad: La privacidad puede ser definida como el ámbito de la vida personal de

un individuo, quien se desarrolla en un espacio reservado, el cual tiene como propósito
principal mantenerse confidencial.
57
 Programación: La programación informática es el proceso por medio del cual se diseña,
codifica, limpia y protege el código fuente de programas computacionales. ... El objetivo de
la programación es la de crear software, que después será ejecutado de manera directa por
el hardware de la computadora, o a través de otro programa.
 Revisor Fiscal: Para cumplir con las funciones legales el Revisor Fiscal debe practicar una
auditoría integral con los siguientes objetivos: q Determinar si a juicio del Revisor Fiscal, los
estados financieros del ente se presentan de acuerdo con las normas de contabilidad de
general aceptación en Colombia- auditoría financiera.
 Revisoría Fiscal: De acuerdo con la declaración profesional N° 7 del Consejo Técnico de la

Contaduría Pública, la revisoría fiscal es un órgano de fiscalización al que, en interés de la
comunidad, bajo la dirección y responsabilidad del revisor fiscal, y con sujeción a las normas
de auditoría generalmente aceptadas, le corresponde dictaminar los estados financieros, y
revisar y evaluar sistemáticamente sus componentes, así como los elementos que integran el
control interno.
 Seguridad Informática: La seguridad informática es una disciplina que se encarga de proteger

la integridad y la privacidad de la información almacenada en un sistema informático. De
todas formas, no existe ninguna técnica que permita asegurar la inviolabilidad de un sistema.
 Seguridad razonable: El control interno es un proceso llevado a cabo por las personas de una
organización, diseñado con el fin de proporcionar un grado de seguridad "razonable" para la
consecución de sus objetivos, dentro de las siguientes categorías: Eficiencia y eficacia de la
operatoria. Fiabilidad de la información financiera.
 Sistemas de conocimiento informático: Es el conjunto de partes interrelacionadas, hardware,

software y de recurso humano que permite almacenar y procesar información. Un sistema
informático. ... Como utilizador final emplea esa información en dos actividades
fundamentales: la toma de decisiones y el control.
 Sistemas operacionales: El Sistema Operativo (SO) es el programa o software básico de un

ordenador. Es una plataforma que facilita la interacción entre el usuario y los demás
programas del ordenador y los dispositivos de hardware. ... Los Sistemas Operativos más
utilizados son Windows, Linux y Mac.
 Teoría del control: Es un principio aplicado por la ingeniería y la matemática que contempla
el estudio del comportamiento de sistemas dinámicos. Según la teoría del control, un proceso
58
o sistema está formado por un conjunto de elementos relacionados entre sí que ofrecen
señales de salida (realimentación) en función de señales o datos de entrada (referencia). La
realimentación puede ser negativa “regulación auto compensatoria” o positiva, Llamada
también efecto "bola de nieve" o "círculo vicioso".
59
8 BIBLIOGRAFÍA
práctico. México: Compañía Editorial
Este capítulo recomienda al estudiante las Continental, 1995, p. 315
fuentes de consulta bibliográficas y digitales
para ampliar su conocimiento, por lo tanto,  LARA BEDOYA, Adriana. Enfoque Práctico de
deben estar en la biblioteca digital de la la Auditoría Informática. Cali: Akros, 2001.
Remington. Utilice la biblioteca digital 137 p.
http://biblioteca.remington.edu.co/
es/ para la consulta de bibliografía a la cual  PABLOS HEREDERO, Carmen de. Dirección y
puede acceder el estudiante. gestión de los sistemas de información en la
empresa. Madrid: ESIC, 2001, p. 304
Fuentes Bibliográficas
 PINILLA FORERO, José Dagoberto. Auditoria
 DEL PESO NAVARRO Emilio; PIATTINI
de sistemas en funcionamiento. Santafé de
VELTHUIS Mario G. Auditoría
Bogotá: Ediciones Roesga, 1997, p. 277.
 Informática: Un Enfoque Práctico. 2ª Edición
 PINILLA FORERO, José Dagoberto. Auditoría
Ampliada Y Revisada. Bogotá: Alfaomega Ra-
informática: un enfoque operacional..
ma, 2000, 609 p
Santafé de Bogotá: Ecoe Ediciones, 1997, 240
 DERRIEN, YANN. Técnicas de la Auditoría p.
Informática. México: Ediciones Alfaomega
Fuentes digitales o electrónicas
S.A. 1995, 225 p.
 Direcciones que contienen conceptos básicos
 DUEÑAS GÓMEZ, Luis Ángel. Controles y
de auditoría. tipos de auditoría,
Auditoría de los Sistemas de
procedimientos y técnicas de auditoria y
papeles de trabajo.
 Información. Bogotá: Orión, 2000, 407 p.
 http://www.monografias.com/trabajos14/a
 ECHENIQUE GARCÍA, José Antonio, Auditoría
uditoria/auditoria.shtml
en informática. México:
 http://www.mitecnologico.com/Main/Tipos
 McGraw-Hill, 2002, 204 p.
DeAuditoria
 FITZGERALD, Jerry. Controles Internos para
 http://www.monografias.com/trabajos27/p
Sistemas de Computación. México: Limusa,
apeles auditoria/papeles auditoria.shtml
1983, 121 p.
 Estos documentos contienen la explicación
 HERNÁNDEZ HERNÁNDEZ, Enrique. Auditoria
de los diferentes elementos que conforman el
en informática: un enfoque metodológico y
ambiente computacional
sfs
60  http://html.rincondelvago.com/informatica  http://www.monografias.com/trabajos14/
_21.html matriz-control/matrizcontrol.shtml
 http://olea.org/~yuri/propuesta-  http://winred.com/management/matriz-de-
implantacion-auditoria-informaticaorgano- control-interno/gmx-niv116-con2308.htm
legislativo/ch03s03.html
 Direcciones relacionadas con seguridad
 http://www.slideshare.net/fbogota/auditori informática y planes de contingencia en un
a-de-sistemas-introduccionpresentation ambiente computarizado:
 http://www.sappiens.net/html/ejemplos/ge  http://www.emagister.com/plan-
stinfo/sappiens/comunidades contingencia-para-sistemasinformaticos-
/ejemplosgestinfo1nsf/unids/Sistemas%20d cursos-639514.htm
e%20informaci%F3n,%20co
nocimiento%20y%20toma%20de%20decisio  http://www.segu-
nes/52AFB3448167FAF241 info.com.ar/politicas/contingencia.htm
 256FAF0062315D2d8e.html?opendocument  http://www.rediris.es/cert/doc/docu_rediris
/recomendaciones/html/reco
 Direcciones para profundizar en el tema
Aplicaciones en Desarrollo:  mendaciones.html
 http://www.monografias.com/trabajos5/de  http://www.virusprot.com/Art4.html
sof/desof.shtml
 http://www.emagister.com/plan-
 http://es.wikipedia.org/wiki/Fases_del_desa contingencia-para-sistemasinformaticos-
rrollo_de_software cursos-315145.htm
 http://www.geocities.com/lsialer/areas6.ht
m
 http://www.monografias.com/trabajos/aud
itoinfo/auditoinfo.shtml
 Temas relacionados con diseño de controles

y matrices de control:
 http://www.virtual.unal.edu.co/cursos/sede
s/manizales/4060035/lecciones/Capitulo1.h
tml

Módulo Control de Informatica

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Módulo Control de Informatica

Cargado por

Copyright:

Formatos disponibles

Marketing en Contenido Digital

Primera edición: 2019

David Ernesto González Parra

Francisco Javier Álvarez Gómez

Derechos reservados: El módulo de estudio del curso de CONTROL

Esta obra es publicada bajo la licencia Creative Commons.

1 UNIDAD 1 CONCEPTOS BÁSICOS DEL CONTROL INFORMÁTICO 8

1.2 TEMA 1 FUNDAMENTACIÓN TEÓRICA DEL CONTROL INFORMÁTICO 9

1.3 TEMA 2 CLASIFICACIÓN DEL CONTROL INFORMÁTICO 12

1.4 TEMA 3 CLASIFICACIÓN DE LA AUDITORÍA SEGÚN EL ESTAMENTO QUE LA DESARROLLA. 14

1.5 TEMA 4 ETAPAS EN LA REALIZACIÓN DE UN TRABAJO DE CONTROL INFORMÁTICO 17

2 UNIDAD 2 INTRODUCCIÓN AL CONTROL INFORMÁTICO 21

2.2 TEMA 1 AMBIENTE COMPUTACIONAL 22

3 UNIDAD 3 CONTROL INFORMÁTICO A LAS APLICACIONES EN DESARROLLO 33

3.2 TEMA 1 CONCEPTOS GENERALES PARA DESARROLLAR UNA APLICACIÓN 34

3.3 TEMA 2 CICLO DE VIDA DE LAS APLICACIONES EN DESARROLLO 35

4 UNIDAD 4: CICLO DE VIDA DE LAS APLICACIONES EN DESARROLLO 40

4.2 OBJETIVO GENERAL 40

5 UNIDAD 5: SEGURIDAD EN UN AMBIENTE COMPUTARIZADO 46

5.2 TEMA 1: SEGURIDAD INFORMÁTICA 48

Desarrollar el control informático o la auditoría en sistemas, Teniendo presente las bases

 Definir, claramente, antes de llevar a cabo una auditoría a una aplicación

 Evaluar resultado cuando una aplicación está funcionando, esperando que

 Definir los criterios de seguridad informática.

UNIDAD 1 UNIDAD 3 UNIDAD 5

Conceptos básicos Introducción al Control informático

Ciclo de vida de las Seguridad en un

 Control interno: El Control Interno Informático es una función del departamento de

 Auditoría informática: La auditoría en informática es la revisión y la evaluación de los

 Revisoría Fiscal: De acuerdo con la declaración profesional N° 7 del Consejo Técnico de la

1.1.3 OBJETIVOS ESPECIFICOS

 Clasificar el Control Informático.

 Clasificar la Auditoría según el Estamento que la desarrolla.

 Determinar las etapas en la realización de un trabajo de control informático.

1.2 TEMA 1 FUNDAMENTACIÓN TEÓRICA DEL CONTROL

CONTROL INTERNO INFORMÁTICO AUDITOR INFORMÁTICO

Conocimientos especializados en tecnología de la información.

SIMILITUDES Verificación del cumplimiento de controles internos, normativa y

Análisis de los controles en el dia a Análisis de un momento informático

 La necesidad de acumulación de suficientes evidencias.

1.3 TEMA 2 CLASIFICACIÓN DEL CONTROL INFORMÁTICO

El control informático es un proceso cuyo resultado final es la emisión de un informe, en el que

Es el examen posterior, profesional, objetivo y sistemático de la

Se encarga de revisar y evaluar todas las fases que involucran el

LA AUDITORÍA DE Se encarga de evaluar la eficiencia y eficacia de los objetivos

Se encarga de la verificación de si:

 Cuál estamento desarrolla la auditoría,

 De quién es la propiedad de los papeles de trabajo,

 Cómo se llama su trabajo final.

En nuestro medio, estos estamentos son:

La revisoría fiscal es un órgano de fiscalización que, en interés de la comunidad, bajo la

 Las de un auditor de gestión, y

 Las de un auditor de cumplimiento.

Es necesario distinguir entre la Revisoría Fiscal y el Revisor Fiscal:

 La primera es la institución, el órgano de control,

 El segundo es la cabeza de la institución u órgano,

Es el examen crítico, sistemático y detallado de un sistema de información de una unidad

Estos informes son de circulación interna y no tienen trascendencia a los terceros

Cuando la auditoria está dirigida por Contadores Públicos profesionales independientes, la

 Una ventaja definida para la empresa, y

La imparcialidad e independencia absolutas no son posibles en el caso del auditor interno,

Por esto se puede afirmar que:

 Auditoria Externa del Sistema de Información Tributario,

 Auditoría Externa del Sistema de Información Administrativo,