Manual Auditoría de Sistemas

UNIVERSIDAD DE SAN MARTIN DE PORRES
MANUAL:

AUDITORIA DE SISTEMAS

LIMA - PER

2
UNIVERSIDAD DE SAN MARTIN DE PORRES

RECTOR
ING. JOS ANTONIO CHANG ESCOBEDO

VICE RECTOR
ING. RAL EDUARDO BAO GARCA

FACULTAD DE CIENCIAS CONTABLES, ECONMICAS Y FINANCIERAS

DECANO
DR. DOMINGO FLIX SENZ YAYA

DIRECTOR DE LA ESCUELA PROFESIONAL DE CONTABILIDAD Y FINANZAS
DR. JUAN AMADEO ALVA GMEZ

DIRECTOR ESCUELA DE ECONOMA
DR. LUIS CARRANZA UGARTE

DIRECTOR DEL DEPARTAMENTO ACADMICO DE CONTABILIDAD, ECONOMA Y FINANZAS
DR. LUIS HUMBERTO LUDEA SALDAA

DIRECTOR DE LA SECCIN DE POSTGRADO
DR. AUGUSTO HIPLITO BLANCO FALCN

DIRECTOR DE LA OFICINA DE GRADOS Y TTULOS
DR. VICTOR LORET DE MOLA COBARRUBIA

DIRECTOR DE LA OFICINA DE EXTENSIN Y PROYECCIN UNIVERSITARIA
DR. REYNALDO ULADISLAO BRINGAS DELGADO

DIRECTOR DEL INSTITUTO DE INVESTIGACIN
DR.SABINO TALLA RAMOS

SECRETARIO DE FACULTAD
DR. LUIS ANTONIO CUEVA ZAMBRANO

JEFE DE LA OFICINA DE REGISTROS ACADMICOS
SRA. BELINDA MARGOT QUICAO MACEDO

JEFE DE LA OFICINA DE BIENESTAR UNIVERSITARIO
LIC. MARA RICARDINA PIZARRO DIOSES

JEFE DE LA OFICINA DE ADMINISTRACIN
Mo. ABOG. LUIS FLORES BARROS

COORDINADOR ACADMICO DE LA ESCUELA PROFESIONAL DE CONTABILIDAD Y FINANZAS
TURNO MAANA
DRA. YOLANDA MAURINA SALINAS GUERRERO

COORDINADOR ACADMICO DE LA ESCUELA PROFESIONAL DE CONTABILIDAD Y FINANZAS
TURNO NOCHE
DR. ANTONIO AMILCAR ULLOA LLERENA

COORDINADOR ACADMICO DE LA ESCUELA PROFESIONAL DE ECONOMA
TURNO MAANA Y NOCHE
MG. RENZO JAIR VIDAL CAYCHO

COORDINADOR DE LA SECCIN DE POSTGRADO DE CONTABILIDAD Y FINANZAS
DR. CRISTIAN YONG CASTAEDA

COORDINADOR DE LA SECCIN DE POSTGRADO DE ECONOMA
DR. VICTOR LORET DE MOLA COBARRUBIA

3

MANUAL: AUDITORA DE SISTEMAS

OBJETIVOS

OBJETIVO GENERAL

Comprende los conceptos fundamentales de la auditoria de sistemas, los
procedimientos tcnicos de control y auditoria de la administracin gerencial y el
desarrollo del anlisis de la planeacin y ejecucin de la auditoria de sistemas
con tecnologas de informacin a travs del computador y utilizando el
computador.

OBJETIVOS ESPECFICOS

Fija conceptos, fundamentos y criterios de la Auditoria de Sistemas.
Determina el cumplimiento de las disposiciones y reglamentos referidos a la
gestin de la Gerencia de Informtica usuarios del sistema de informacin.
Establece si los objetivos y metas previstos se estn cumpliendo sobre las
tecnologas de informacin que utiliza la empresa.
Establece si la entidad tiene un sistema adecuado de control en el rea de
sistemas de informacin computarizada, as como con los usuarios.
Determina como se est utilizando las tcnicas de auditora para efectuar
procedimientos de auditora a travs y utilizando el computador.
Determina como se utiliza la base de datos como parte fundamental para tener
un sistema de informacin acorde con las necesidades para la gestin
operativa y la toma de decisiones.

4
PAUTAS PARA EL ESTUDIO Y LOS
TRABAJOS DE APLICACIN

Este Manual ser utilizado como apoyo importante al desarrollo de la asignatura
de Auditoria de Sistemas, en algunos casos ser estudiado previamente por
indicacin del profesor, lo que permitir el anlisis y debate colectivo del tema
ledo; en otros casos, servir para una lectura que complemente las
explicaciones recibidas durante las sesiones de aprendizaje. Esta lectura ser
comprensiva y deber utilizar las tcnicas de estudio que se propone en uno de
los temas desarrollados.

Despus de la lectura comprensiva efectuada debers desarrollar las actividades
de aplicacin propuestas en el Manual. Algunos trabajos son individuales y otros
son para desarrollarse en grupos. Pueden ser realizados en aula, o requerir de
trabajo de campo; ambas modalidades fortalecen la capacidad de
autoaprendizaje del estudiante.

Tambin debers resolver las cuestiones planteadas en la autoevaluacin al final
de cada tema. Si tuvieras dificultad consulta a tu profesor o efecta
investigaciones puntuales.

5

DIAGRAMA DE CONTENIDOS

A
U
D
I
T
O
R
I
A

D
E

S
I
S
T
E
M
A
S

EN LA ACTUAL SOCIEDAD
DEL CONOCIMIENTO
TCNICAS DE AUDITORA
ASISTIDAS POR
COMPUTADOR - TAACs
APLICACIN DE
SOFTWARE DE
AUDITORA. COBIT. BD.
PLICABLES A LA
EL PROCESO DE LA
AUDITORA DE SISTEMAS
DE TECNOLOGAS DE
INFORMACIN.
EVALUACION DEL
6
UNIDAD I: ASPECTOS GENERALES

CONTENIDOS PROCEDIMENTALES
Ubica la Auditoria de Sistemas Informaticos en la Actual Sociedad del
Conocimiento, definiendo sus efectos en la auditora.

Establece la necesidad de realizar la Auditoria de Sistemas Informaticos en los
casos que se requiere mediante la auditoria a travs del computador y utilizando
el computador.

Explica las caractersticas de la Auditoria de Sistemas de Informacin.

Presenta la normas internacionales de auditora aplicables a la Auditoria de
Sistemas Informticos.

CONTENIDOS CONCEPTUALES

PRIMERA SEMANA

SESIN 1:

Explicacin del contenido de la asignatura. Aplicacin de la prueba de entrada.

SESIN 2:

Caractersticas de la Sociedad del Conocimiento y efecto en la Auditora.

SEGUNDA SEMANA

SESIN 3:

Anlisis y evaluacin del Control Interno. Fase Planeamiento. Utilizando
flujogramas mediante software Visio. Laboratorio

SESIN 4:

7
Normas internacionales aplicables a la Auditora de Sistemas Informticos.

TERCERA SEMANA

SESION 5:

Normas SISA del ISACA aplicables a la Auditora de Sistemas Informticos.

SESION 6:

Normas del AICPA y del IFAC aplicables a la Auditora de Sistemas Informticos.

CUARTA SEMANA

SESION 7:

Anlisis del mtodo usado y resultado de la aplicacin del software ( Visio ) en
Laboratorio de Cmputo.

SESION 8:

EVALUACIN: PRIMERA PRCTICA CALIFICADA

8
UNIDAD II

EL PROCESO DE LA AUDITORIA DE SISTEMAS DE
TECNOLOGAS DE INFORMACIN - TI


Formaliza y expresa con propiedad los conceptos de la Auditora de
Sistemas y sus procedimientos desde la fase de planeamiento.
Establece el campo de accin y la oportunidad de la intervencin del
profesional especialista en sistemas informticos.
Identifica los objetivos generales y especficos; as como las tcnicas y
procedimientos a utilizar con aplicacin de las Tcnicas de Auditora
Asistidas por Computador TAACs.

QUINTA SEMANA

Sesin 9:

Explicacin del proceso de la Auditoria de Estados Financieros segn del MAGU
definiendo la intervencin del especialista en sistemas informicos.

Sesin 10:

Auditoria con Informtica. Tcnicas de Auditora Asistidas por Computador
TAACs.

SEXTA SEMANA

Sesin 11:

La Auditoria frente a riesgos en Sistemas de Informacin Computarizada.

Sesin 12:

9
Registro y control del plan de auditora con Microsoft Project en Laboratorio de
Cmputo.

SPTIMA SEMANA

Sesin 13:

Caractersticas de la Auditora de Sistemas.

Sesin 14:

Registro y control del Programa de Auditoria con Microsoft Project en Laboratorio
de Cmputo.

OCTAVA SEMANA

Sesin 15:

Evolucin de la auditora: Auditora alrededor de la computadora. Auditora a
travs de la computadora.

Sesin 16:

Examen Parcial

10
UNIDAD III

TECNICAS DE AUDITORIA ASISTIDAS POR
COMPUTADOR- TAACs


Presenta software especialmente creado para uso del auditor,
denominado Tcnicas de Auditora Asistidas por Computador - TAACs
Caractersticas de las Tcnicas de Auditora Asistidas por Computador -
TAACs
Aplicacin de las Tcnicas de Auditora Asistidas por Computador
TAACs.


NOVENA SEMANA

Sesin 17:

Explicacin sobre conceptos generales de las Tcnicas de Auditora Asistidas por
Computador - TAAC

Sesin 18:

Explicacin del ACL. Servicios y soluciones tecnolgicas.

DCIMA SEMANA

Sesin 19:

Explicacin del IDEA Servicios y soluciones tecnolgicas.

Sesin 20:

Monitoreo continuo. Auditora en tiempo real.
11

DCIMA PRIMERA SEMANA

Sesin 21:

Software de monitoreo continuo.

Sesin 22:

Manual de Auditora Gubernamental MAGU: Aplicacin de Tcnicas de Auditoria
Asistidas por Computador . TAACs

DCIMA SEGUNDA SEMANA

Sesin 23:

NTP 17799

Sesin 24:

Segunda prctica calificada.

12
UNIDAD IV

APLICACIN DEL SOFTWARE DE AUDITORA. COBIT:
OBJETIVOS DE CONTROL PARA TI Y TECNOLOGAS
RELACIONADAS. BASE DE DATOS.


Ejecucin de procedimientos de auditora utilizando software para
auditora de sistemas en casos tales como: Estratificacin, antigedad,
comprobacin de clculos, verificacin de secuencia numrica, muestreo
estadstico, generacin de nmeros aleatorios, exportacin de datos,
preparacin de informes, grfica de resultados, etc.

Presenta el sistema de informacin, incidiendo en la elaboracin de la
base de datos y su administracin.

Presenta el COBIT explicando sus antecedentes, objetivos, fuentes,
aplicacin, usuarios. Dominios.

Explica las tcnicas y procedimientos de auditora aplicables para
examinar la base de datos y la aplicacin de datos de prueba.
.


DCIMA TERCERA SEMANA

Sesin 25:

Aplicacin de software de auditora en tareas ejecutables como procedimientos de
auditora.

Sesin 26:

COBIT. Antecedentes, objetivos, fuentes, necesidades de control, usuarios del COBIT.

DCIMA CUARTA SEMANA
13

Sesin 27:

auditora.

Sesin 28:

COBIT. Principios, gradiente de control y dominios.

DCIMA QUINTA SEMANA

Sesin 29:

auditora.

Sesin 30:

Sistemas de informacin y base de datos.

DCIMA SEXTA SEMANA

Sesin 31:

Datos de prueba y aplicacin como procedimiento de auditora.

Sesin 32:

Examen final.

14
UNIDAD I

ASPECTOS GENERALES

CAPACIDAD 1

Comprende, identifica y explica los conceptos bsicos de la auditora en la actual
sociedad del conocimiento distinguiendo su naturaleza, complejidad y los asume
para enfrentar sus efectos utilizando la tecnologa.

Ubica la Auditoria de Sistemas Informaticos en la Actual Sociedad del
Conocimiento, definiendo sus efectos en la auditora.

Establece la necesidad de realizar la Auditoria de Sistemas Informaticos en los
casos que se requiere mediante la auditoria a travs del computador y utilizando
el computador.

Explica las caractersticas de la Auditoria de Sistemas de Informacin.

Presenta la normas internacionales de auditora aplicables a la Auditoria de
Sistemas Informticos.

CONTENIDOS ACTITUDINALES

Valora la importancia de la auditoria de sistemas de tecnologas de informacin.
Asume responsabilidad en la realizacin de los trabajos acadmicos que se le
asigna.
Aprecia el significado de confianza en la labor del auditor en el campo de los
procesos automatizados que tienen efecto en la auditora.

15


PRIMERA SEMANA

SESIN 1:

Explicacin del contenido de la asignatura. Aplicacin de la prueba de entrada.

SESION 2:

Caractersticas de la Sociedad del Conocimiento y efecto en la Auditora.

SEGUNDA SEMANA

SESION 3:

Anlisis y evaluacin del Control Interno. Fase Planeamiento. Utilizando
flujogramas mediante software Visio. Laboratorio

SESION 4:

Normas internacionales aplicables a la Auditora de Sistemas Informticos.

TERCERA SEMANA

SESION 5:

Normas SISA del ISACA aplicables a la Auditora de Sistemas Informticos.

SESION 6:

Normas del AICPA y del IFAC aplicables a la Auditora de Sistemas Informticos.

16
CUARTA SEMANA

SESION 7:

Anlisis del mtodo usado y resultado de la aplicacin del software ( Visio ) en
Laboratorio de Cmputo.

SESION 8:

EVALUACIN: PRIMERA PRCTICA CALIFICADA

17

A
U
D
I
T
O
R
I
A

D
E

S
I
S
T
E
M
A
S

CARACTERSTICAS DE LA
SOC.DEL CONOCIMIENTO.
EFECTO EN LA AUDITORIA
NORMAS INTERNAC.
APLICABLES A LA
INFORMTICOS
NORMAS SISA, NIA AICPA,
IFAC APLICABLES A LA
AUDITORA DE SISTEMAS
ANLISIS Y EVALUACION
DEL CONTROL INTERNO
CON FLUJOGRAMAS CON
SOFTWARE VISIO
18
EL PODER DEL PROCESAMIENTO ELECTRNICO DE DATOS
EN LA ACTUAL SOCIEDAD DEL CONOCIMIENTO Y SUS
EFECTOS EN LA AUDITORIA.

En general, a fines del siglo XX, los sistemas informticos se han
constituido en las herramientas ms poderosas para definir el cause de
accin de las empresas y entidades del estado. Actualmente en toda
organizacin moderna se procesan sus transacciones a travs del
computador. El procesamiento electrnico transforma miles de datos en
informacin con valor econmico constituyndose uno de los activos ms
valiosos de la organizacin, por lo cual es importante la gestin sobre la
informacin a efecto de que no se vuelva de difcil acceso se destruya o
sea manipulada con fines dolosos. Por lo
cual, tanto la administracin como los auditores deben conocer como se
produce esa informacin y como debe protegerse.

Lo sealado, se presenta para la auditora interna, como un gran desafo,
porque trabajar en este campo significa estudios adicionales de tcnicas
de auditora asistidas por computador y conocimientos de sistemas
informticos. Es en este punto, cuando la aplicacin de la auditora a los
sistemas informticos y la auditora utilizando la informtica interviene
como parte fundamental en el desarrollo de las acciones de control para
proporcionar a la administracin y usuarios de la auditora la necesaria
confianza adicional sobre el resultado del proceso de la informacin sobre
la cual se tomar el conocimiento para la adopcin de las decisiones de
todo nivel, que definir el camino a seguir en las empresas y organismos
del estado. Hay que tener en cuenta que prdidas millonarias se producen
por carecer o tener informacin deficiente, por lo tanto le toca al auditor la
tarea importante de proporcionar a la comunidad de negocios y asuntos
de gobierno el valor agregado de confianza sobre la informacin para la
toma de decisiones.

19
Estos efectos de la sociedad del conocimiento se ven potenciados por la
globalizacin, las organizaciones necesitan disponer de informacin
instantnea en todo el mundo, para tomar decisiones que afectan su
posicin global. Esto significa que los auditores en general, deben
acostumbrarse a realizar y emitir su opinin profesional sobre datos e
informacin que surgen de los sistemas computarizados que tienen las
siguientes caractersticas.

- Las computadoras creadas para procesar y difundir resultados o
informacin elaborada pueden producir resultados o informacin errnea si
dichos datos son, a su vez, errneos. En el campo de la auditora esto se
conoce como GIGO, garvage input garvage out put, entra basura sale
basura, Este concepto obvio es a veces olvidado por las mismas
empresas que terminan perdiendo de vista la naturaleza y calidad de los
datos de entrada a sus Sistemas Informticos.

- El campo del proceso automtico de la informacin se convirti en
blancos apetecibles para realizar actos dolosos y otros encaminados
hacia la ilegalidad y han sido muy publicitados actos de traslados de
fondos a cuentas personales, alteracin de procesos para actos ilcitos
los que se han tratado de cubrir en la complejidad, volumen y exclusiva
entrada a los proceso por personal especializado. Por lo cual se ha
desarrollado la Auditora Informtica de Seguridad y Sistemas de
Control como por ejemplo el COBIT
1
, software especializado como el
Audit Command Languaje - ACL, Interactive Data Extraction and
Anlisis - IDEA.

- Un sistema informtico mal diseado puede convertirse en una
herramienta peligrosa para la empresa, toda vez que las mquinas
obedecen ciegamente a las rdenes recibidas por la administracin y
las reas operativas de la empresa, su produccin est determinada

20
por las computadoras que materializan los Sistemas de Informacin,
por lo cual la gestin y la organizacin de la empresa no puede
depender de un software mal diseado.

Estos son slo algunos de los varios inconvenientes que puede presentar
un Sistema Informtico, por eso, la necesidad de la utilizacin de las
Tcnicas de Auditora Asistidas por Computador TACCs es importante.

De la realidad presentada, las compaas y estados, toman conciencia
que son ms sensibles al riesgo de lo que eran antes en la sociedad
industrial, por lo cual el anlisis del riesgo se convierte en punto central del
estudio del mundo circundante y propio, por lo que se requiere de un
auditor interno que tiene que migrar del paradigma de especialista en
controles a un especialista en riesgos en la actual sociedad del
conocimiento en la cual la informtica ha jugado el papel ms importante
en la caracterstica del cambio como factor continuo, ahora es ms real el
dicho: todo cambia menos el cambio.

EVOLUCIN Y CARACTERSTICAS DEL PROCESO AUTOMTICO
DE INFORMACIN. AUDITORA EN AMBIENTES COMPUTARIZADOS.

Tomamos como punto de partida la dcada de los aos 1950, para iniciar
un enfoque como evoluciona la forma de procesar informacin contable,
la cual era manual con los correspondientes caractersticas de costos y
riesgos en cuanto a su exactitud, rapidez, flexibilidad y oportunidad, pero
es necesario indicar que haban entidades muy eficientes y eficaces en
este campo, nuestro enfoque est dirigido a su relacin con la demanda
actual de competencia.

Es evidente que la informacin utilizada por los entes en general ha
variado en las ltimas dcadas; del mismo modo lo han hecho las
necesidades de generacin de esa informacin y los medios para
procesarla.
21

Con la evolucin de la tecnologa aplicada al desarrollo de equipos de
computacin se produjeron sucesivos progresos en relacin con el medio
de procesamiento y lenguajes utilizados. As es como por los aos 1960
aparecen con mayor presencia los computadores con un sentido
comercial, utilizando bsicamente elementos mecnicos y electrnicos
precarios (en comparacin con las actuales generaciones). Estos primeros
sistemas, de dimensiones fsicas considerables, representaron un gran
avance en cuanto a la generacin de informacin, en relacin con los
procesos manuales utilizados hasta entonces.

A partir de all y hasta nuestros das se produce una incesante evolucin
de esta tecnologa hasta llegar a niveles de gran agilidad en el
procesamiento y capacidad de almacenamiento de informacin.
Paralelamente a la evolucin de los sistemas computadorizados se fue
observando cada vez en forma ms amplia la utilizacin del Proceso
Electrnico de Datos (EDP) en la generacin de informacin contable y
de gestin, el cual a la fecha es total.

Esto significa que los auditores tienen que realizar sus exmenes y emitir
su opinin profesional sobre datos e informacin que surgen de sistemas
computadorizados. Por tal motivo es importante que se conozca el tipo de
implicancias y efectos que sobre la tarea profesional causa este tipo de
procesamiento en comparacin con los sistemas convencionales,
enfocado hacia la evidencia de auditora que proporcionan. Estas
caractersticas son:

- La pista de auditora en los sistemas computadorizados no se evidencia
de forma expresa o no es de fcil acceso. En muchos casos la
realizacin del control forma parte de la lgica del programa utilizado,
incluido en pasos especficos del mismo que no utiliza mayor
documentacin por lo que la forma de revisin tiene que cambiar en la
forma de buscar y evaluar evidencias de auditora.
22

- Si desde los sistemas computarizados, se desliza un error ste tiene un
gran efecto multiplicador, por que afecta a un mayor volumen de
transacciones.

- Muchos errores que se producen en los sistemas computadorizados
son difcilmente detectables por que se encuentran en un gran volumen
de transacciones que se procesan a grandes velocidades por lo que
son muy difciles de evaluar manualmente.

- El procesamiento de informacin mediante computadora somete
uniformemente todas las transacciones de un tipo de transaccin al
mismo algoritmo, por lo tanto usa las mismas instrucciones de
procesamiento para transacciones similares, con poca participacin del
elemento humano, por esta causa, tienen mayor materialidad por su
efecto multiplicador, en este punto son la calidad de las consistencias,
la actualizacin, su monitoreo la forma de contrarrestar sus efectos
negativos y esto manualmente puede hacerse con limitado alcance por
lo cual frente a ello surge la importancia de las Tcnicas de Auditora
Asistidas por Computador - TAACs.

- El acceso sin autorizacin de ciertos individuos, incluyendo aquellos
que realizan procedimientos para alterar datos sin dejar evidencias
visibles, puede ser mayor en los sistemas computarizados que en los
sistemas manuales. Ello se debe a que la informacin es almacenada
en forma electrnica, con una menor participacin del hombre en el
procesamiento, reducindose por consiguiente la oportunidad de
detectar manualmente los accesos no autorizados, toda vez que la
segregacin de funciones como factor de control interno es afectada
sustancialmente.

- Es siempre muy importante, tener en cuenta que an cuando existen
diferencias sustanciales entre la forma de procesar informacin en
23
forma manual y mediante sistemas computarizados, toda la
normatividad seala que esto no afecta a los objetivos del control
interno, la responsabilidad de la direccin y la revisin del auditor en
todo los casos sin limitaciones inherentes al sistema de control interno;
pero si afecta el enfoque para la evaluacin del mismo y el tipo de
evidencia de auditora que se obtiene.

Por lo expuesto, se establece que las condiciones cambiantes son el factor
que determina el nuevo enfoque que debe tener el auditor frente a los
procesos que tiene que examinar.

NORMAS Y PRONUNCIAMIENTOS DE ORGANISMOS INTERNACIONALES
SOBRE AUDITORA DE SISTEMAS COMPUTARIZADOS Y TAACs.

Los organismos internacionales que tratan sobre las labores de los
auditores tanto externos como internos han elaborado normas especficas
sobre la actuacin profesional del auditor en el campo de la auditora de
sistemas.

En ste campo de la auditora han surgido organizaciones especialmente
dirigidas a sta nueva actividad tal como la Asociacin de Auditora y
Control de Sistemas de Informacin ISACA, cuyos objetivos ameritan
especial atencin porque estn dirigidas especialmente a la auditora de
sistemas con gran nfasis en la aplicacin de las TAACs, que es materia
central del presente trabajo. Las Normas Internacionales de Auditora
requieren que el auditor tenga una comprensin adecuada de ambiente
de control, el sistema de contabilidad, los procedimientos de control, el
ambiente SIC y la funcin de auditora interna para planear la auditora.

A continuacin, se sealan las organizaciones que emiten normas sobre
la actuacin profesional del auditor en ste campo.
24

A.I.C.PA. - AMERICAN INSTITUTE OF CERTIFIED PUBLIC
ACCOUNTANTS INSTITUTO NORTEAMERICANO DE CONTADORES
PBLICOS

El AICPA - American Institute of Certified Public Accountants
Instituto Norteamericano de Contadores Pblicos, es el organismo
profesional que dicta las normas de auditora denominadas SAS (
Statement on Auditing Standars) de aplicacin obligatoria en los
Estados Unidos de Norteamrica.

SAS - STATEMENT ON AUDITING STANDARS
El SAS 1
2
(ao 1972), que constituye un resumen y codificacin
de pronunciamientos previamente emitidos por el Comit de
Procedimientos de Auditora, establece que:

Debido a que la definicin de control contable y los conceptos
bsicos concernientes a ste se expresan en trminos de
objetivos, ellos son independientes del mtodo de procesamiento
de datos empleado. Consecuentemente, se aplican a sistemas
manuales, mecanizados o electrnicos. Sin embargo, la
organizacin y procedimientos requeridos para estos objetivos
pueden ser afectados por los mtodos utilizados por el
procesamiento de datos.

Si bien el empleo de ciertos mtodos de procesamiento no afectan
los objetivos de control interno, si pueden influir en el enfoque a
utilizar para lograr esos objetivos. Por esa causa tambin puede
influir en los procedimientos empleados por el auditor en el estudio
y evaluacin del control interno contable para determinar la

2
SAS 1. I.M.C.P. Declaraciones Sobre Normas de Auditora SAS 2 22. Pg. 35
25
naturaleza, oportunidad y extensin de las pruebas de auditora
aplicables a su examen de los estados financieros.

Este aspecto se ha resumido los SAS 3 y 48
3
en los siguientes
trminos:

El SAS 3 seala que los Los procedimientos de control contable
ejecutados tanto dentro del rea de sistemas (Centro de cmputo)
como por los departamentos usuarios influyen en la efectividad del
sistema y debern ser considerados en forma conjunta por el
auditor.

Por ltimo, con el SAS 48 se reafirma el concepto de que en
aquellos casos donde los sistemas computadorizados tengan una
alta influencia sobre las cifras incluidas en los estados contables,
el auditor deber necesariamente probar la razonabilidad de dicho
medio de procesamiento:

Los objetivos especficos no cambian si la informacin contable
es procesada manualmente o por computador. Sin embargo, los
procedimientos de auditora a travs de los cuales se rene la
evidencia de auditora necesaria pueden ser influenciados por el
mtodo de procesamiento de la informacin. El auditor puede
usar procedimientos de auditora manuales o tcnicas de auditora
por computador y/o una combinacin de ambos, para obtener
suficiente y adecuada evidencia de auditora. Sin embargo, en
ciertos sistemas contables, por el particular uso del computador en
el procesamiento de aplicaciones computarizadas contables
significativas podra ser difcil o imposible para el auditor obtener
informacin necesaria para su enfoque sin la asistencia del
computador.

3
SAS. I.M.C.P. Declaracin Sobre Normas de Auditora SAS 2 - 22. Pg. 38 y SAS 48 - 61
26

FEDERACION INTERNACIONAL DE CONTADORES IFAC: NIA
1009
DECLARACIN INTERNACIONAL SOBRE PRCTICA DE
AUDITORA 1009:

TCNICAS DE AUDITORA CON AYUDA DE LA
COMPUTADORA TCAs - ( TAACs).

La NIA 1009
4
declara lo siguiente:
Los objetivos y alcance global de una auditora no cambian
cuando se conduce una auditora en un ambiente de sistemas de
informacin computarizada (TI). Sin embargo, la aplicacin de
procedimientos de auditora puede requerir que el auditor
considere tcnicas conocidas como Tcnicas Computarizadas de
Auditora (TCAs) que usan la computadora como una herramienta
de auditora.

Las TCAs pueden mejorar la efectividad y eficiencia de los
procedimientos de auditora. Pueden tambin proporcionar
pruebas de control efectivas y procedimientos sustantivos cuando
no haya documentos de entrada o un rastro visible de auditora, o
cuando la poblacin y tamaos de muestra sean muy grandes.

El propsito de esta declaracin es proporcionar lineamientos
sobre el uso de TCAs. Se aplica a todos los
usos de TCAs que requieran el uso de una computadora o
cualquier tipo o tamao.

4
NIA 1009. IFAC. Manual Internac. de Pronunciamientos de Auditora y Aseguramiento. Pg. 759 - 770.
27
DESCRIPCIN DE TCNICAS COMPUTARIZADAS DE
AUDITORIA (TCAs)

Esta Declaracin describe las tcnicas computarizadas de
auditora incluyendo herramientas de auditora, conocidas en
forma colectiva como TCAs ( equivalente a TAACs) . Las TCAs
pueden usarse para desempear diversos procedimientos de
auditora incluyendo los siguientes:

Pruebas de detalle de transacciones y saldos, por ejemplo, el
uso de software de auditora para recalcular los intereses o
la extraccin de facturas por encima de un cierto valor
registrado en la computadora.

Procedimientos analticos, por ejemplo, pruebas de la
instalacin o configuracin del sistema operativo o
procedimientos de acceso a las bibliotecas de programas o
el uso de software de comparacin de cdigos para verificar
que la versin del programa en uso es la versin aprobada
por la administracin.

Muestreo de programas para extraer datos para pruebas de
auditora.

Realizar reclculos sobre aquellos realizados por los
sistemas de contabilidad de la organizacin.

Las TCAs son programas y datos de computadora que el auditor
usa como parte de los procedimientos de auditora
para procesar datos importantes para la auditora contenidos
en los sistemas de informacin de una organizacin. Los datos
pueden ser datos de transacciones, sobre los que el auditor desea
realizar pruebas de controles de procedimientos sustantivos, o
28
pueden ser otros tipos de datos. Por ejemplo, los detalles de la
aplicacin de algunos controles generales pueden mantenerse en
forma de archivos de texto y otros archivos por aplicaciones que
no sean parte del sistema contable. El auditor puede usar TCAs
para revisar dichos archivos para obtener evidencia de la
existencia y operacin de dichos controles. Las TCAs pueden
consistir en programas de paquete, programas escritos para un
propsito, programas utilitarios o programas de administracin del
sistema. Independientemente del origen de los programas, el
auditor ratifica que sean apropiados para fines de auditora antes
de usarlos:

Los programas en paquete, son programas generalizados
de computadora diseados para desempear funciones de
procesamiento de datos, tales como leer datos, seleccionar y
analizar informacin, hacer clculos, crear archivos de datos
as como dar informes en un formato especificado por el
auditor.

Los programas escritos para un propsito desempean
tareas de auditora en circunstancias especficas. Estos
programas pueden desarrollarse por el auditor, por la
organizacin que est siendo auditada o por un programador
externo contratado por el auditor. En algunos casos el
auditor puede usar los programas existentes de una
organizacin en su estado original o modificados porque as
puede ser ms eficiente que desarrollar programas
independientes.

Los programas utilitarios se usan por una organizacin
para desempear funciones comunes de procesamiento de
datos, tales como clasificacin, creacin e impresin de
archivos. Estos programas generalmente no estn diseados
29
para propsitos de auditora y, por lo tanto, pueden no
contener caractersticas tales como conteos automticos de
registros o totales de control.

Los programas de administracin del sistema son
herramientas de productividad mejorada que tpicamente son
parte de un ambiente sofisticado de sistemas operativos, por
ejemplo, software de recuperacin de datos o software de
comparacin de cdigos. Como los programas utilitarios,
estas herramientas no estn diseadas especficamente
para la auditora.

Las rutinas de auditora incorporadas a veces estn
integradas en un sistema de computadoras de una
organizacin para proporcionar datos de uso posterior por el
auditor. Incluyen:

o Fotos instantneas: Esta tcnica implica tomar una foto
de una transaccin mientras fluye por los sistemas de
computadora. Las rutinas del software de auditora
estn incorporadas en diferentes puntos de la lgica del
procesamiento para capturar imgenes de la
transaccin mientras avanza por las diversas etapas del
procesamiento, Esta tcnica permite al auditor rastrear
los datos y evaluar los procesos de computadora
aplicados a los datos.

o Archivo de revisin de auditora del control del sistema.
Este implica incorporar mdulos de software de
auditora dentro de un sistema de aplicaciones para
proporcionar monitoreo continuo de las transacciones
del sistema. La informacin es reunida en un archivo
30
especial de computadora que el auditor puede
examinar.

Las tcnicas de datos de prueba a veces se usan durante
una auditora, alimentando datos (por ejemplo, una muestra
de transacciones) en el sistema de computadora de una
organizacin y comparando los resultados obtenidos con
resultados predeterminados. Un auditor podra usar datos de
prueba para:

o Poner a prueba controles especficos en programas de
computadora, tales como controles en lnea de
contraseas y acceso de datos.
o Poner a prueba transacciones seleccionadas de
transacciones previamente procesadas o creadas por el
auditor para poner a prueba caractersticas especficas
o procesamiento de los sistemas de informacin de una
organizacin. Dichas transacciones generalmente son
procesadas por separado del procesamiento normal de
la organizacin.
o Poner a prueba transacciones usadas en un
mecanismo integrado de pruebas donde se establece
una unidad modelo (por ejemplo, un departamento o
empleado ficticio), a la cual se le registran las
transacciones durante el ciclo de procesamiento
normal.
Cuando se procesan los datos de prueba con el procesamiento
normal de la organizacin, el auditor se asegura que las
transacciones de prueba sean eliminadas posteriormente de los
registros contables de la organizacin

31
Consideraciones en el Uso de TCAs
Al planear una auditora, el auditor puede considerar una
combinacin apropiada de tcnicas de auditora manuales y con
ayuda de computadora. Al evaluar el uso de TCAs, los factores a
considerar incluyen:
El conocimiento, pericia y experiencia del equipo de
auditora del ambiente de SIC.
La di sponi bi l i dad de TCAs e instalaciones y datos
adecuados de computacin.
La imposibilidad de realizar pruebas manuales;
Efectividad y eficiencia y oportunidad.
Conocimiento, Pericia y Experiencia del Equipo de Auditora
La N A 401
5
Auditora en un Ambiente de Sistemas de Informacin
por Computadora, trata de! nivel de habilidades y competencia que
necesita el equipo de auditora en un ambiente de TI. Proporciona
lineamientos para cuando un auditor delega trabajo a ayudantes con
habilidades de TI o cuando se usa el trabajo de otros auditores o
expertos con dichas habilidades. Especficamente, el equipo de
auditora deber tener suficiente conocimiento para planear,
ejecutar y usar los resultados de la TCA particular que se adopte. E!
nivel de conocimiento requerido depende de la complejidad y
naturaleza de la TCA y del sistema de informacin de la organizacin.
Disponibilidad de TCAs e Instalaciones Adecuadas de
Computadoras
El auditor deber considerar la disponibilidad de las TCAs,
instalaciones adecuadas de computacin los sistemas de
informacin y datos necesarios basados en computadoras. El

5
NIA 401 Manual Internacional de Pronunciamientos de Auditoria y Aseguramiento Pag. 304-310
32
auditor puede planear el uso de otras instalaciones de
computacin cuando el uso de TCAs en una computadora
de la organizacin no es econmico o no es factible, por
ejemplo, a causa de una incompatibilidad entre el programa
de paquete del auditor y la computadora de la organizacin.
Adems, el auditor puede elegir usar sus propias instalaciones
de computacin como PCs o laptops.

Puede requerirse la cooperacin del personal de la organizacin
para proporcionar las instalaciones de procesamiento en un
horario cmodo, para ayudar con actividades como la carga y
ejecucin de las TCAs en el sistema de la organizacin, y
proporcionar copias de archivos de datos en el formato
requerido por el auditor.
Imposibilidad de Realizar Pruebas Manuales
Quizs no sea posible desempear manualmente algunos
procedimientos de auditora porque dependen de un
procesamiento complejo (por ejemplo, anlisis estadsticos
avanzados) o implica cantidades de datos que sobrepasaran
cualquier procedimiento manual. Adems, muchos sistemas
de informacin por computadora desempean tareas para las
que no hay evidencia de copias impresas disponibles y, por lo
tanto, puede ser factible para el auditor desempear las
pruebas manualmente. La falta de evidencia en copias
impresas puede ocurrir en diferentes etapas del ciclo de
negocios.
La informacin fuente puede ser iniciada electrnicamente
por la activacin de voz, imgenes de datos o
transferencia electrnica de fondos en el punto de venta.
33
Adems, algunas transacciones como descuentos y clculo
de intereses, pueden generarse directamente por
programas de computadora sin autorizacin especfica de
las transacciones individuales.
Un sistema puede no producir un rastro visible de auditora
que proporcione certeza sobre la totalidad y exactitud de las
transacciones procesadas. Por ejemplo, un programa de
computadora podra cotejar las notas de entrega con las
facturas de proveedores. Adems, los procedimientos de
control programados como verificacin de lmites de crdito
de clientes, pueden proporcionar evidencia de copia impresa
solo con base en excepciones.
Un sistema puede no producir informes en copia y
viceversa. Adems, un informe impreso puede contener
solo totales resumidos mientras que los archivos de
computadora retienen los detalles de soporte.
Efectividad y Eficiencia
La efectividad y eficiencia de los procedimientos de auditora pueden
mejorarse usando las TCAs para obtener y evaluar la evidencia de
auditora. Las TCAs son a menudo un medio eficiente para poner a
prueba un gran nmero de transacciones o controles sobre grandes
poblaciones por medio de:
Analizar y seleccionar muestras de un gran volumen de
transacciones.
Aplicar procedimientos analticos y sustantivos.
Los asuntos relacionados con la eficiencia que pueden ser
considerados por el auditor incluyen:
El tiempo para planear, disear, ejecutar y evaluar la TCA.
34
Revisin tcnica y horas de asistencia, Diseo e impresin de
formas (por ejemplo, confirmaciones).
Al evaluar la efectividad y eficiencia de una TCA, el auditor puede
considerar el uso continuo de la aplicacin de la TCA. La planeacin
inicial, diseo y desarrollo de una TCA generalmente beneficiara a
las auditoras de perodos posteriores.
Oportunidad
Ciertos datos, como detalles de transacciones, a menudo se
conservan por solo un corto tiempo, y pueden no estar disponibles en
forma legible por la mquina para cuando el auditor lo requiere. As, el
auditor necesitar hacer arreglos para la retencin de los datos
requeridos, o podra necesitar alterar la programacin del trabajo que
requiera de estos datos.
Cuando el tiempo disponible para desempear una auditora sea
limitado, el auditor puede planear el uso de una TCA, porque su uso
cumplir mejor con su requerimiento de tiempo que otros posibles
procedimientos.
Utilizacin de TCAs. Los principales pasos a seguir son:
(a) Establecer el objetivo de aplicacin de la TCA.
(b) Determinar el contenido y accesibilidad de los archivos de datos
de la organizacin.
(c) Identificar los archivos especficos o base de datos que deben
examinarse.
(d) Entender la relacin entre las tablas de datos cuando deba
examinarse una base de datos.
(e) Definir las pruebas o procedimientos especficos y
transacciones relacionadas y saldos afectados.
(f) Definir los requerimientos de datos de salida.
35
(g) Convenir con el usuario y departamentos de TI, si es apropiado,
en las copias de los archivos relevantes o tablas de bases de
datos que deben hacerse en la fecha de corte apropiada.
h) Identificar al personal que puede participar en el diseo y
aplicacin de la TCA.
(i) Definir las estimaciones de costos y beneficios.
(j) Asegurarse de que el uso de la TCA est controlado y
documentado en forma apropiada.
(k) Organizar las actividades administrativas, incluyendo las
habilidades necesarias e instalacin de computacin.
(l) Conciliar los datos que deban usarse para la TCA con los
registros contables.
(m) Ejecutar !a aplicacin de la TCA.
(n) Evaluar los resultados.

Control de Aplicacin de las TCAs
Los procedimientos especficos necesarios para controlar e! uso de
una TCA dependen de la aplicacin particular. Al establecer el control,
el auditor considera la necesidad de:
(a) Aprobar especificaciones y conducir una revisin del trabajo que
debe desempear la TCA.
(b) Revisar los controles generales de la organizacin que puedan
contribuir a la integridad de la TCA, por ejemplo, controles sobre
cambios a programas y acceso a archivos de computadora.
Cuando dichos controles no pueden ser confiables para
asegurar la integridad de la TCA, el auditor puede, considerar el
36
proceso de la aplicacin de la TCA en otra instalacin de
computacin adecuada.
(c) Asegurar la integracin apropiada de los resultados en el
proceso de auditora.

Los procedimientos llevados a cabo por el auditor
para controlar las aplicaciones de las TCAs pueden incluir:
(a) Participar en el diseo y pruebas de las TCAs.
(b) Verificar, si es aplicable, la codificacin del programa para
asegurar que este de acuerdo con las especificaciones
detalladas del programa.
(c) Solicitar al personal de computacin de la organizacin revisar
las instrucciones del sistema operativo para asegurar que el
software correr en la instalacin de computacin de la
organizacin.
(d) Ejecutar el software de auditora en pequeos archivos de
prueba antes de ejecutarlo en los archivos principales de datos.
(e) Verificar si se usaron los archivos correctos, por ejemplo,
verificando la evidencia externa, como totales de controles
mantenidos por el usuario y que dichos archivos estn
completos.
(f) Obtener evidencia de que el software de auditora funcion
segn lo planeado, por ejemplo, revisando los datos de salida y
la informacin de control.
(g) Establecer medidas apropiadas de seguridad para salvaguardar la
integridad y confidencialidad de los datos.
Cuando el auditor tiene la intencin de realizar procedimientos de
auditora en forma concurrente con el procesamiento en lnea, el
37
auditor revisa dichos procedimientos con el personal apropiado del
cliente y obtiene aprobacin antes de conducir las pruebas para
ayudar a evitar la alteracin inadvertida de los registros del cliente.
Para asegurar procedimientos de control apropiados, no se requiere
necesariamente la presencia del auditor en la instalacin de
computacin durante la ejecucin de una TCA. Sin embargo, esto
puede proporcionar ventajas prcticas, como controlar la distribucin
de los datos de salida y asegurar la correccin oportuna de errores.

Los procedimientos de auditora para controlar las aplicaciones
de datos de prueba pueden incluir:
Controlar la secuencia de presentacin de datos de prueba
cuando se realicen a varios ciclos de procesamiento.
Realizar corridas de prueba que contengan pequeas cantidades
de datos de prueba antes de presentar los datos de prueba
principales de la auditora.
Predecir los resultados de los datos de prueba y compararlos
con la salida real de datos de prueba, para las transacciones
individuales.
Confirmar que se us la versin actual de los programas para
procesar los datos de prueba.
Poner a prueba si los programas usados para procesar los
datos de prueba fueron utilizados por la organizacin durante el
periodo aplicable de auditora.
Cuando el auditor utilice una TCA, puede requerir la cooperacin de
personal de la organizacin con amplio conocimiento de la instalacin
de computacin En estas circunstancias, el auditor puede considerar
si el personal influy en forma inapropiada en los resultados de la
TCA.
38

Los procedimientos de auditora para controlar el uso de un
software de ayuda para la auditora pueden incluir:
Verificar la totalidad, exactitud y disponibilidad de datos relevante;
por ejemplo, pueden requerirse datos histricos para elaborar
un modelo financiero.
Revisar la razonabilidad de los supuestos usados en la aplicacin
del conjunto de herramientas.
Verificar la disponibilidad de recurso con habilidad en el uso y
control de las herramientas seleccionadas.
Confirmar lo adecuado del conjunto de herramientas para el
objetivo de auditora, por ejemplo, puede ser necesario el uso
de sistemas especficos para cada industria en el diseo de
programas de auditora para ciclos nicos de negocios.
Documentacin
El estndar de papeles de trabajo y los procedimientos de su
formulacin es consistente con el de la auditora como un todo .
Los papeles de trabajo necesitan contener suficiente documentacin
para describir la aplicacin de la TCA, tal como:

(a) Planeacin
Objetivos de la TCA.
Consideracin de la TCA especfica que se va a usar.
Controles que se van a ejecutar.
Personal, tiempo y costo.
39
(b) Ejecucin
Preparacin de la TCA y procedimientos de prueba v
controles.
Detalles de las pruebas realizadas por la TCA.
Detalles de datos de entrada, procesamiento y datos de
salida.
Informacin tcnica relevante sobre el sistema de
contabilidad de la organizacin, tal como la organizacin
de archivos.
(c) Evidencia de auditora
Datos de salida proporcionados;
Descripcin del trabajo de auditora desempeado sobre
los datos de salida.
Conclusiones de auditora
(d) Otros
Recomendaciones a la administracin de la organizacin;
Adems puede ser til documentar las sugerencias para usar
la TCA en aos futuros.
Utilizacin de TCA en TI de Entidades Pequeas
Aunque los principios generales explicados en la presente
Declaracin se aplican a ambientes de SIC, en entidades pequeas
los siguientes puntos necesitan consideracin especial:
(a) El nivel de controles generales puede ser tal que el auditor
deposite menos confiabilidad en el sistema de control interno.
Esto dar como resultado un mayor nfasis sobre pruebas de
detalles de transacciones y saldos y procedimientos analticos
40
de revisin, lo que puede incrementar la efectividad de ciertas
TCAs, particularmente software de auditora.
(b) Cuando se procesan volmenes menores de datos, los mtodos
manuales pueden ser ms eficientes.
(c) Una organizacin pequea quizs no pueda proporcionar al
auditor ayuda tcnica adecuada, haciendo poco factible el uso
de TCAs.
(d) Ciertos programas de auditora en paquete pueden no operar en
computadoras pequeas, restringiendo as la opcin del auditor
en cuanto a TCAs. Sin embargo, los archivos de datos de la
organizacin pueden copiarse y procesarse en otra
computadora.

ISACA - ASOCIACIN DE AUDITORA Y CONTROL DE
SISTEMAS DE INFORMACIN

En el siguiente punto se presenta un resumen sobre las Normas
Generales para la Auditora de los Sistemas de Informacin de la
Asociacin de Auditora y Control de Sistemas de Informacin
ISACA
6
, por tratarse de una organizacin que en forma especfica
tiene como campo de accin la auditora de sistemas.

En las Normas Generales para la Auditora de los Sistemas de
Informacin SISA, se define a la auditora de los sistemas de
informacin, como un examen que abarca la revisin y evaluacin
de todos los aspectos (o de cualquier porcin de ellos) de los
sistemas automticos de procesamiento de la informacin,

6
ISACA. http://www.isaca.org.pe
41
incluidos los procedimientos no automticos relacionados con
ellos y las interfaces correspondientes.

Las normas promulgadas por sta organizacin, son aplicables al
trabajo de auditora realizado por los miembros que la integran y
por las personas que han recibido la designacin de Auditor
Certificado de Sistemas de Informacin CISA y son las
siguientes.

Normas Generales para la Auditora de los Sistemas de
Informacin - SISA.
SISA N 1 Relacin con la Organizacin
SISA N2 Involucramiento en el Proceso de Adquisicin e
Implementacin.
SISA N 3 Registro de Evidencia de Auditora.
SISA N 7 Contenido y formato del informe.
SISA N 9 Uso de Tcnicas de Auditora Asistidas por
Computador (CAATs). En idioma ingls tambin se abrevia
como CAATTs: Computer Assisted Audit Tools and
Techniques.

42
UNIDAD II


CAPACIDAD II

Reconoce el proceso del registro y control de sustancialmente todo el sistema de
informacin que utiliza la empresa definiendo la imprescindible utilizacin de la
auditora de sistemas de tecnologas de informacin.


procedimientos a utilizar.


UNIDAD II



procedimientos a utilizar con aplicacin de las Tcnicas de Auditora
Asistidas por Computador TAACs.
43

QUINTA SEMANA

Sesin 9:

Explicacin del proceso de la Auditoria de Estados Financieros segn del MAGU
definiendo la intervencin del especialista en sistemas informticos.

Sesin 10:

Auditoria con Informtica. Tcnicas de Auditora Asistidas por Computador
TAACs.

SEXTA SEMANA

Sesin 11:

La Auditoria frente a riesgos en Sistemas de Informacin Computarizada.

Sesin 12:

Registro y control del plan de auditora con Microsoft Project en Laboratorio de
Cmputo.

SPTIMA SEMANA

Sesin 13:

Caractersticas de la Auditora de Sistemas.

Sesin 14:

Registro y control del Programa de Auditoria con Microsoft Project en Laboratorio
de Cmputo.

OCTAVA SEMANA

Sesin 15:
44

Evolucin de la auditora: Auditora alrededor de la computadora. Auditora a
travs de la computadora.

Sesin 16:

Examen Parcial

45

P
R
O
C
E
S
E
S
O

D
E

L
A

A
U
D
I
T
O
R
I
A

D
E

S
I
S
T
E
M
A
S

D
E

T
E
C
N
O
L
O
G
A
S

D
E

I
N
F
O
R
M
A
C
I
N

PROCESO DE LA
AUDITORIA SEGN MAGU.
INTERVENCIN AUD. SIST.
REGISTRO Y CONTROL
PLAN DE AUDITORIA CON
MICROSOFT PROJEC.

CARACTERSTICAS DE LA
AUDITORA DE SISTEMAS.
EVOLUCIN DE LA
AUDITORA

AUDITORIA CON
INFORMATICA. TAACs.
46
EL PROCESO DE LA AUDITORIA DE SISTEMAS

CARACTERSTICAS DE LA AUDITORIA DE SISTEMAS.

1. DEFINICIN
Es un examen objetivo, sistemtico y profesional de evidencias, realizado
con el fin de proporcionar una evaluacin independiente sobre el
desempeo de los sistemas utilizados en una entidad, programa o
actividad.

2. Objetivos
Determinar el grado en que se estn logrando los resultados previstos.
Establecer si se adquiere y protege los recursos en forma econmica y
eficiente
Determinar si se ha cumplido con las leyes en materia de eficiencia y
economa.
Establecer si los controles gerenciales son efectivos.

3. Metodologa
Planeamiento: Comprende dos etapas
1. Revisin General
* Conocimiento inicial de la entidad por examinar.
* Anlisis preliminar en la entidad
* Formulacin del plan de revisin estratgica
2. Revisin Estratgica
*Ejecucin del plan
*Aplicacin de pruebas preliminares
* Identificacin de los criterios de auditoria.
* Formulacin del reporte de revisin estratgica
3. Elaboracin del Plan De AUDITORIA.
Ejecucin:
1. Elaboracin de los programas de auditoria, la recopilacin de
documentos, realizacin de pruebas y anlisis de evidencias para
asegurar su suficiencia y competencia, para acumular bases
suficientes para la formulacin de observaciones, conclusiones y
recomendaciones debidamente sustentadas.
2. Se aplica procedimientos y tcnicas de auditoria, pruebas de
evaluacin de controles, identificacin de hallazgo (condicin y
criterio).
Informe:
1. Formaliza sus observaciones en el informe de auditoria.
2. Producto final; deber detallar los elementos de la observacin
(condicin, criterio, causa y efecto), comentarios de la entidad,
evaluacin final de tales comentarios, conclusiones y
recomendaciones.
3. Debe tener requisitos de calidad y confiabilidad.
47
4. Aprobado y remitido a la entidad auditada. (forma y modo
establecido por la Contralora

ANALISIS DE COSTO BENEFICIO

Formulacin del Reporte de Revisin Estratgica y Plan de Auditoria
Aplicacin de Pruebas y Obtencin de Evidencias de Auditoria
Elaboracin de Hallazgos de Auditoria, Observaciones, Conclusiones y
Recomendaciones
Fase de Informe
Es una tcnica utilizada en el anlisis de Sistemas: que tiene como objetivo fundamental proporcionar una
medida de los costos en que se incurren en la realizacin de un proyecto informtico y a su vez, comparar
dichos costos previstos con los beneficios esperados en la realizacin de dicho proyecto.
Formula.
B/c = Ingreso total (FAS % aos) + Valor Residual (FAS % Aos)

Costo inicial + Costo Operativo (FAS % Aos)
Conocimiento Inicial de las Actividades y Operaciones de la Entidad o
Programa a Examinar
Anlisis Preliminar de la Entidad Y plan de Revisin Estratgica
Preparacin de Programa de Auditoria
Aprobacin del Informe de auditora y Remisin a la Entidad Auditada
Seguimiento de Medidas
Correctivas Adoptadas por
Entidad Auditada

Fase de
Planeamient
o
Fase de
Ejecucin
48

ANALISIS DE SISTEMAS

CONFIABILIDAD DEL SISTEMA

DISEO ESTRUCTURADO

DIAGRAMA DE ESTRUCTURA DE CUADROS

DIAGRAMA DE ESTRUCTURA DE DATOS (DED)

DIAGRAMA DE FLUJO DE DATOS (DFD)

DIAGRAMAS DE GANTT

DISEO DE PRUEBAS

Es el proceso mediante el cual se estudian e interpretan los hechos del Sistema actual, con el fin de
especificar los requerimientos y especificaciones funcionales del nuevo Sistema a desarrollar
- Entrevistas.
- Diagrama de Flujo de Datos (D.F.D.).
- Modelizacin de Datos.
- Diagrama de Estructura de Datos (D.E.D.).
- Historia de Vida de la Entidad (H.E.V.).
- Anlisis de Costo-Beneficio (A.C.B.).

Se define que un sistema es confiable cuando posee los controles y las seguridades del caso,
permitiendo que sus resultados sean exactos y que su operacin sea estable y segura.
Deteccin de errores.
Prevencin de acceso no autorizado y mal uso de la informacin y del equipo.
Controles ambientales y seguridad
Es una tcnica utilizada en el diseo de Sistemas, para obtener la estructura modular y los detalles de proceso del sistema, partiendo solamente
de la informacin obtenida en la fase de anlisis de sistemas. En esta se define como debe estructurarse el sistema utilizando herramientas
graficas
Es una tcnica utilizada en el diseo de sistemas para modelar el sistema computarizado, visualizando modularmente el sistema, la conexin y
comunicacin entre los mismos; dando una visin integral de la arquitectura del sistema.
Es una tcnica utilizada en el anlisis de sistemas para la modelizacion de datos, la cual representa un conjunto de datos relacionados entre si
y describen en forma colectiva un componente del sistema
Proporciona una representacin del sistema a nivel lgico y conceptual, describiendo el movimiento de los datos en el sistema, ya sea manual
o automtico, incluyendo procesos y lugares para almacenar datos.
Son herramientas que se utilizan en la planificacin de un proyecto o etapas del mismo y que consiste en el registro
de lo planificado y de lo ejecutado a travs de barras de diferente diseo en dos ejes, una de actividades y otra de
variable tiempo.
Es una tcnica utilizada en el diseo de Sistemas, que consiste en definir un programa de pruebas, para asegurar la confiabil idad del diseo y
que no existen errores en los programas que se especifiquen.
Prueba de carga mxima.
Prueba de almacenamiento.
Prueba de tiempo de ejecucin.
Prueba de recuperacin.
Prueba de procedimientos.
Prueba de recursos humanos
49

DISEO DE SISTEMAS

ENTREVISTAS

HISTORIA DE VIDA DE LA ENTIDAD

IMPLANTACION DE SISTEMAS

INTEGRACION DE SISTEMAS

.
INTEGRIDAD DE LA INFORMACION

INTEGRIDAD DEL SISTEMA

MODELIZACION DE DATOS

Es el proceso de definicin de la arquitectura de software, componentes, modulos, interfases, procedimientos de pruebas y datos de un sistema
que se crean para satisfacer unos requerimientos especficos.
Es una tcnica que se utiliza en el anlisis de sistemas para recabar la informacin verbal, a travs de una serie de
preguntas que propone el analista. Esta a su vez es imprescindible para obtener informacin cualitativa, relacionarse
con los usuarios y recoger un conjunto de hechos y/o requerimientos de informacin necesaria para el estudio.
Es una tcnica utilizada en el anlisis de Sistemas que permite describir la evolucin de las entidades de datos del sistema. Esta tcnica utiliza las
entidades de datos identificados y descritas en los Diagramas de Estructura de Datos (DED) y las transacciones o eventos del sistema identificado
en el Diagrama de Flujo de Datos (DFD). Tambin constituye un poderoso instrumento para verificar la exactitud de los dos modelos antes
mencionados y garantizar la coherencia.
Es el proceso por el cual se instala un sistema, se crean archivos maestros, se capacita al personal involucrado, se
procesa un periodo de informacin, se efectan ajustes al sistema y se inicia la produccin del sistema.
Es el proceso por el cual se analiza, disea y programa las interfases entre diferentes aplicaciones, sub.-sistemas y sistemas; de tal forma que no
se desarrollen sistemas aislados; sino mas bien interconectados que compartan archivo y base de datos comunes y se transfieran informacin
entre ellos.
Consiste en que los valores de los datos se mantengan tal como fueron puestos intencionalmente en el Sistema. Las
tcnicas de integridad sirven para prevenir que existan valores errados en los datos provocados por el Software de la
Base de Datos o por fallas de programas o del sistema.
El concepto de integridad abarca la precisin y la fiabilidad de los datos: as como la discrecin que sed debe tener con
ellos.
Es una caracterstica que deben poseer los sistemas computarizados. Consiste en que deben tener las seguridades de que el software no puede ser
alterado ni la informacin producida puede ser accesada por personas no autorizadas, para lo cual deben existir los controles y seguridades del
caso.
Es una tcnica utilizada en el anlisis de Sistemas para conseguir estructura de Datos no redundantes, sin inconsistencias, seguras e integras,
utilizando representaciones graficas.
50
OPTIMIZACION DEL DISEO FISICO

PERT-CPM

PLATAFORMA DE HARDWARE

PLATAFORMA DE SOFTWARE

PROCESO EN PARALELO

PROGRAMACION ESTRUCTURADA

PROGRAMACION DE SISTEMAS

PROTOTIPEO

PRUEBAS DE INTEGRACION

PRUEBAS DEL SISTEMA

Es una tcnica utilizada en el diseo de Sistemas para optimizar el modelo de Datos elaborado en la fase de Anlisis de Sistemas Permitiendo
obtener la estructura fsica del sistema,; as como la representacin optima de la informacin.
Es una tcnica que se utiliza en la planificacin de proyectos o etapas del mismo y que consiste en el registro de las
actividades, recursos y costos planificados; as como los ejecutados realmente, mediante representacin grafica de
modos y fechas de dependencia de actividades.
Es el conjunto de equipos que se utilizan para desarrollar y operar un sistema o todos los sistemas de una organizacin, comprendiendo el
computador central, las instalaciones de trabajo; tales como terminales, equipos de micro computacin, impresoras; as como equipos de
comunicacin local en Red o Remotas.
Es el conjunto de Software de base y aplicativos de uso general, que se utiliza para un sistema determinado o para toda la organizacin; consistente
de los sistemas operativos, sistemas de base de datos, sistema de redes, sistemas de comunicaciones y sistemas generales de automatizacin de
oficinas.
Es una tcnica utilizada en la implantacin de sistemas, que consiste en permitir que se siga utilizando el sistema anterior,
mientras se procesa paralelamente el nuevo sistema, de tal forma de comparar resultados y efectuar el reemplazo
necesario con la seguridad de la correcta operatividad y confiabilidad del nuevo sistema.
Es una tcnica utilizada en la programacin de sistemas y que consiste en llevar a cabo la programacin en forma modular y utilizar sub.funciones
para ser utilizadas en forma comn.
Es el proceso por el cual el diseo de un sistema se transcribe a un lenguaje de programacin, que pueda ser interpretado por el computador, para
que este ejecute instrucciones que realicen las funciones, especificados para el nuevo sistema.
Es una tcnica utilizada en el Anlisis de sistemas y Diseo de sistemas, que permite desarrollar con rapidez un sistema de trabajo computarizado,
para posibilitar probar el diseo ante el usuario en un Software provisional que permite analizar en forma fsica el ingreso de los datos, el
procesamiento y la emisin de resultados; y poder efectuar los ajustes necesarios para el diseo definitivo.
Son las que deben realizarse para probar la integracin entre los componentes del sistema y asegurarse que encajen correctamente.
Son las que deben realizarse para probar el sistema globalmente.
51

PRUEBAS UNITARIAS

RESPALDO DE LA INFORMACION

NORMAS DE AUDITORIA

Son las que deben realizarse para probar todos los componentes del sistema que se desarrollan individualmente.
Es la informacin que se archiva en un medio alternativo al del almacenamiento de un computador, con fines de disponer de una copia de seguridad
por si ocurriese perdidas del sistema o la informacin
1.10 Entrenamiento tcnico y
Capacidad profesional
1.20 Independencia
1.30 Cuidado y esmero profesional
1.40 Confidencialidad
1.50 Participacin de especialistas
1.60 Control De Calidad
NORMAS GENERALES
2.10 Planificacin General
2.20 Planificacin Especifica
2.30 Programa de Auditoria
2.40 Archivo Permanente
Normas para la planificacin
3.10 Estudio y evaluacin del
Control interno
3.20 Evaluacin y cumplimiento de
Normas legales y reglamentos
3.30 Supervisin del trabajo
3.40 Evidencia suficiente y
competente
Normas para la Ejecucin
52

TALLER 01
ACTIVIDAD APLICATIVA
APLICABILIDAD DE LAS NORMAS EN LA AUDITORIA DE SISTEMAS.

Objetivo
Identificar y reconocer las Normas que se aplican en la auditoria de Sistemas

Orientaciones
En grupos, durante 40 minutos, los alumnos discuten analizan las normas que se
adecuan a la auditoria de sistemas y elaboran conclusiones.

AUTOEVALUACIN

1. Explique la importancia de las normas aplicables en una auditoria de sistemas.
2. Establezca diferencias entre las que se usan para las dems auditorias.
3. Diga qu funcin tienen las normas discutidas en la auditoria de sistemas?

TEMA N 02

EL SISTEMA INFORMATICO.

NAGU 1.50 PARTICIPACION DE PROFESIONALES Y/O ESPECIALISTAS
Integran el equipo de auditoria, en calidad de apoyo, los profesionales y/o especialistas que ejercen sus
actividades en campos diferentes a la auditoria gubernamental, cuando sus servicios se consideren
necesarios para el desarrollo del examen. De ser pertinente, los resultados de sus labores se incluirn en
el informe o como anexos al mismo.
3.50 Papeles de Trabajo
3.60 Comunicacin de Hallazgos
3.70 Carta de representacin
Normas para el Informe
4.20 Oportunidad del Informe
4.30 Presentacin del Informe
4.10 Forma Escrita
4.40 Contenido del Informe
4.50 Informe Especial
53

REQUISITOS DEL AUDITOR INFORMATICO
Debe tener conocimiento
suficiente de Sistemas.
Anlisis - FODA por Cliente.
Seguridad y Profesionalismo.
No es conocedor de todas las
especialidades.
No opinar con facilidad.
Conocimiento de hardware
Software Relativos

PAPEL DEL AUDITOR DE SISTEMAS
Estudiar el sistema de
Informacin y analizar sus controles
organizativos y operativos. (PED).
Investigar y analizar las aplicaciones
informticas en produccin o desarrollo.
Evaluar la eficiencia y eficacia de los
sistemas de informacin.
Deben conocer los puntos fuertes y
dbiles del sistema.
Debe establecer un adecuado nivel de
comunicacin con el personal de PED.
En relacin a los
temas tcnicos, debe
requerir del Ingeniero
de sistemas.
Revisar los papeles de trabajo.
Analizar con el
abogado los Hallazgos
y respuestas.
Discutir con el equipo
el informe en borrador.
Elaborar y firmar el Informe en limpio.

54

ENFOQUES EN LA AUDITORIA DE SISTEMAS
Auditoria alrededor
del computador.
Anlisis de
procedimientos ,
mtodos y otros
usados en los
diferentes sistemas
Auditoria en el
Computador.
Examen de
aplicaciones.
Eficiencia / eficacia
de los sistemas
asistidos CIS.
Auditoria a travs del Computador.
Controles entrada / salida
Eficiencia / Eficacia en la operacin de los sistemas.
Otros

Conceptos de Seguridad de la Informacin
Seguridad: Asociado a Certeza Falta de riesgo o contingencia.
Niveles de Seguridad: Esto depende del conjunto de tcnicas
usadas por la empresa; encaminadas a obtener un menor riesgo.
ntimamente ligada a la Organizacin.
ALTO
MODERADO
BAJO.
Sistema de Seguridad =
Tecnologa + Organizacin
55

Sistemas de Respaldo y Redundantes
Tcnicas de Proteccin:
Backup.
Copias de Seguridad.
Unidades de Espejo.
Niveles de Respaldo y Redundancia.
Tolerancia a fallos.
Capacidad de respuesta a un suceso inesperado.
Hardware Software Electricidad Borrado accidental
operacin Negligente -
UPS Grupos electrogenos.
Proteccin contra Virus.
56
UNIDAD III

TECNICAS DE AUDITORIA ASISTIDAS POR
COMPUTADOR- TAACs


Presenta soffware especialmente creado para uso del auditor,
denominado Tcnicas de Auditora Asistidas por Computador - TAACs
Caractersticas de las Tcnicas de Auditora Asistidas por Computador -
TAACs
Aplicacin de las Tcnicas de Auditora Asistidas por Computador
TAACs.


Sesin 17:

Conceptos generales de las Tcnicas de Auditora Asistidas por Computador - TAAC

Sesin 18:

ACL Servicios y soluciones tecnolgicas

Sesin 19:

Presentacin de caso prctico ACl

Sesin 20:

IDEA Software de Anlisis de Datos

Sesin 21:

Monitoreo continuo. Auditora en tiempo real.

Sesin 22:
57

Manual de Auditora Gubernamental MAGU: Aplicacin de Tcnicas de Auditoria
Asistidas por Computador . TAACs

Sesin 23:
Federacin Internacional de Contadores IFAC: NIA 1009: Tcnicas de Auditoria con
Ayuda de la Computadora TCAs - ( TAACs).

Sesin 24:

EVALUACIN SEGUNDA PRACTICA CALIFICADA

58

T
E
C
N
I
C
A
S

D
E

A
U
D
I
T
O
R
I
A

A
S
I
S
T
I
D
A
S

P
O
R

C
O
M
P
U
T
A
D
O
R
-

T
A
A
C
s

CONCEPTOS GENERALES
TAACs
MONITOREO CONTNUO.
AUDITORA EN TIEMPO
REAL

MAGU APLICACIN TAACs.
NTP 17799.
ACL, IDEA. SERVICIOS Y
SOLUCIONES
TECNOLGICAS
59
Federacin Internacional de Contadores IFAC: NIA 1009: Tcnicas de
Auditoria con Ayuda de la Computadora TCAs - ( TAACs).

Control de Aplicacin de las TCAs
Los procedimientos especficos necesarios para controlar e! uso de
una TCA dependen de la aplicacin particular. Al establecer el control,
el auditor considera la necesidad de:
(a) Aprobar especificaciones y conducir una revisin del trabajo que
debe desempear la TCA.
(b) Revisar los controles generales de la organizacin que puedan
contribuir a la integridad de la TCA, por ejemplo, controles sobre
cambios a programas y acceso a archivos de computadora.
Cuando dichos controles no pueden ser confiables para
asegurar la integridad de la TCA, el auditor puede, considerar el
proceso de la aplicacin de la TCA en otra instalacin de
computacin adecuada.
(d) Asegurar la integracin apropiada de los resultados en el
proceso de auditora.

Los procedimientos llevados a cabo por el auditor
para controlar las aplicaciones de las TCAs pueden incluir:
(a) Participar en el diseo y pruebas de las TCAs.
(b) Verificar, si es aplicable, la codificacin del programa para
asegurar que este de acuerdo con las especificaciones
detalladas del programa.
(c) Solicitar al personal de computacin de la organizacin revisar
las instrucciones del sistema operativo para asegurar que el
60
software correr en la instalacin de computacin de la
organizacin.
(d) Ejecutar el software de auditora en pequeos archivos de
prueba antes de ejecutarlo en los archivos principales de datos.
(e) Verificar si se usaron los archivos correctos, por ejemplo,
verificando la evidencia externa, como totales de controles
mantenidos por el usuario y que dichos archivos estn
completos.
(f) Obtener evidencia de que el software de auditora funcion
segn lo planeado, por ejemplo, revisando los datos de salida y
la informacin de control.
(g) Establecer medidas apropiadas de seguridad para salvaguardar la
integridad y confidencialidad de los datos.
Cuando el auditor tiene la intencin de realizar procedimientos de
auditora en forma concurrente con el procesamiento en lnea, el
auditor revisa dichos procedimientos con el personal apropiado del
cliente y obtiene aprobacin antes de conducir las pruebas para
ayudar a evitar la alteracin inadvertida de los registros del cliente.
Para asegurar procedimientos de control apropiados, no se requiere
necesariamente la presencia del auditor en la instalacin de
computacin durante la ejecucin de una TCA. Sin embargo, esto
puede proporcionar ventajas prcticas, como controlar la distribucin
de los datos de salida y asegurar la correccin oportuna de errores.

Los procedimientos de auditora para controlar las aplicaciones
de datos de prueba pueden incluir:
Controlar la secuencia de presentacin de datos de prueba
cuando se realicen a varios ciclos de procesamiento.
61
Realizar corridas de prueba que contengan pequeas cantidades
de datos de prueba antes de presentar los datos de prueba
principales de la auditora.
Predecir los resultados de los datos de prueba y compararlos
con la salida real de datos de prueba, para las transacciones
individuales.
Confirmar que se us la versin actual de los programas para
procesar los datos de prueba.
Poner a prueba si los programas usados para procesar los
datos de prueba fueron utilizados por la organizacin durante el
periodo aplicable de auditora.
Cuando el auditor utilice una TCA, puede requerir la cooperacin de
personal de la organizacin con amplio conocimiento de la instalacin
de computacin En estas circunstancias, el auditor puede considerar
si el personal influy en forma inapropiada en los resultados de la
TCA.

Los procedimientos de auditora para controlar el uso de un
software de ayuda para la auditora pueden incluir:
Verificar la totalidad, exactitud y disponibilidad de datos relevante;
por ejemplo, pueden requerirse datos histricos para elaborar
un modelo financiero.
Revisar la razonabilidad de los supuestos usados en la aplicacin
del conjunto de herramientas.
Verificar la disponibilidad de recurso con habilidad en el uso y
control de las herramientas seleccionadas.
Confirmar lo adecuado del conjunto de herramientas para el
objetivo de auditora, por ejemplo, puede ser necesario el uso
62
de sistemas especficos para cada industria en el diseo de
programas de auditora para ciclos nicos de negocios.
Documentacin
El estndar de papeles de trabajo y los procedimientos de su
formulacin es consistente con el de la auditora como un todo .
Los papeles de trabajo necesitan contener suficiente documentacin
para describir la aplicacin de la TCA, tal como:

(a) Planeacin
Objetivos de la TCA.
Consideracin de la TCA especfica que se va a usar.
Controles que se van a ejecutar.
Personal, tiempo y costo.
(b) Ejecucin
Preparacin de la TCA y procedimientos de prueba v
controles.
Detalles de las pruebas realizadas por la TCA.
Detalles de datos de entrada, procesamiento y datos de
salida.
Informacin tcnica relevante sobre el sistema de
contabilidad de la organizacin, tal como la organizacin
de archivos.
(c) Evidencia de auditora
Datos de salida proporcionados;
63
Descripcin del trabajo de auditora desempeado sobre
los datos de salida.
Conclusiones de auditora
(d) Otros
Recomendaciones a la administracin de la organizacin;
Adems puede ser til documentar las sugerencias para usar
la TCA en aos futuros.
Utilizacin de TCA en TI de Entidades Pequeas
Aunque los principios generales explicados en la presente
Declaracin se aplican a ambientes de SIC, en entidades pequeas
los siguientes puntos necesitan consideracin especial:
(a) El nivel de controles generales puede ser tal que el auditor
deposite menos confiabilidad en el sistema de control interno.
Esto dar como resultado un mayor nfasis sobre pruebas de
detalles de transacciones y saldos y procedimientos analticos
de revisin, lo que puede incrementar la efectividad de ciertas
TCAs, particularmente software de auditora.
(b) Cuando se procesan volmenes menores de datos, los mtodos
manuales pueden ser ms eficientes.
(c) Una organizacin pequea quizs no pueda proporcionar al
auditor ayuda tcnica adecuada, haciendo poco factible el uso
de TCAs.
(d) Ciertos programas de auditora en paquete pueden no operar en
computadoras pequeas, restringiendo as la opcin del auditor
en cuanto a TCAs. Sin embargo, los archivos de datos de la
organizacin pueden copiarse y procesarse en otra
computadora.

64

NAGU 2.30 PROGRAMA DE AUDITORIA
Para cada auditoria gubernamental deben preparase programas especficos que incluyan
objetivos, alcance de la muestra, procedimientos detallados y oportunidad de su aplicacin, as
como el personal encargado de su desarrollo.
Programa
1. Objetivo del Examen
Informe de Auditoria Financiera: Emitir opinin sobre la razonabilidad de los
EEFF.
Informe Examen Especial de la Informacin Presupuestaria: Razonabilidad de la
informacin presupuestaria. Presupuestado versus ejecutado.
Informe Largo: Funcionamiento y efectividad del Sistema de Control Interno.
Evaluar la gestin Administrativa y operativa.(metas y Objetivos)
Adquisicin de bienes y servicios.
Normas de control de produccin
Proyectos de inversin u Obras publicas
Controles de donacin
Seguimiento a la implementacin de las recomendaciones.

2. Alcance: Aplicacin de las NAGU, vista de locales y otros
3. Descripcin de la Entidad: Constitucin, principales operaciones, sistema de
contabilidad
4. Normativa Aplicable: Bajo que leyes se encuentra
5. Informes a Emitir: Informe corto, largo, especial, con fechas de entrega.
6. Identificacin de reas criticas: Evaluacin de riesgos Alto, bajo o moderado
7. Puntos de Atencin: posibles problemas
8. Funcionarios de la entidad: Nombres, cargos y fechas de trabajo
9. Presupuesto de Tiempo: Personal que va intervenir en la auditoria con horas / hombre.
10. Participacin de Especialistas: Si es el caso.
65

NAGU 3.10 ESTUDIO Y EVALUACIN DEL CONTROL INTERNO
Se debe efectuar un estudio apropiado y evaluacin del control interno, para identificar las reas
criticas que requieren un examen profundo, determinar su grado de confiabilidad a fin de establecer la
naturaleza, alcance, oportunidad y selectividad en la aplicacin de procedimientos de auditoria..
Conjunto de planes, mtodos y procedimientos, incluyendo polticas de direccin, que ofrecen
seguridad razonable que se cumplen los objetivos de control (promover la eficiencia, la eficacia y la
economa) y proteger los recursos pblicos.
La estructura:
1. Ambiente de Control: Los rganos de direccin estimulan e influyen en su personal, para
crear conciencia sobre los beneficios de una adecuado-+ control.
2. Evaluacin del riesgo: Como la entidad identifica y analiza los riesgos que afectan el
cumplimiento de sus objetivos.
3. Actividades de Control Gerencial: Polticas y procedimientos que imparte la gerencia.
4. Sistema de Informacin y Comunicacin: Mtodos y procedimientos establecidos por la
gerencia para procesar adecuadamente la informacin y ayudar a la toma de decisiones.
5. Actividades de Monitoreo: Mantener el control interno evaluacin continua.

Evaluacin de la estructura: comprende 2 etapas
1. Obtencin de informacin relacionada con el diseo e implementacin de los controles sujetos
a evaluacin.
2. Comprobacin de que los controles identificados funcionan adecuadamente y logran sus
objetivos
Al termino de esta evaluacin: Memorandun de Control Interno - debilidades y las
recomendaciones
NAGU 3.40 EVIDENCIA SUFICIENTE, COMPETENTE Y RELEVANTE
El auditor debe obtener evidencia suficiente, competente y relevante, mediante la aplicacin de
pruebas de control y procedimientos sustantivos que le permitan fundamentar razonablemente los
juicios y conclusiones que formule respecto al organismo, programa, actividad o funcin que sea
objeto de la auditoria.
a. Suficiencia: evidencia objetiva y convincente, que basta para sustentar los hallazgos.
b. Competente: valida y confiable..
c. Relevancia: esta en relacin a su uso.

Evidencia fsica: observacin, inspeccin directa. Se presenta en memorando(fotos, mapas, etc)
Evidencia documental: cartas, contratos, registros, facturas, documentos de la administracin
Evidencia testimonial: declaraciones, entrevistas.
Evidencia analtica: clculos, comparaciones, razonamientos
66

El propsito de este estndar internacional de auditoria (ISA), es establecer estndares y
proporcionar la direccin en los requerimientos que se seguirn cuando una auditoria se conduce en
los sistemas de informacin computarizados (Ambiente CIS).
Para los propsitos de esta norma ISA, un ambiente CIS existe cuando una computadora de
cualquier tipo o tamao es implicada en el proceso de la informacin de la empresa, con suficiente
importancia para la auditoria; ya sea que esta computadora sea operada por la entidad o por terceros.
El auditor debe considerar Cmo un ambiente CIS afecta la auditoria ?.
El objetivo y el alcance totales de una auditoria no cambia en una ambiente CIS. Sin embargo, el uso
de una computadora cambia el proceso, almacenaje y la comunicacin de informacin y puede afectar
los sistemas de control interno empleados en la entidad. Por consiguiente, un ambiente CIS puede afectar:
* Los procedimientos que se seguirn por el auditor en la obtencin de una suficiente comprensin
de los sistemas utilizados.
* La consideracin del riesgo inherente y del riesgo del control con la cual el auditor llega a su evaluacin
del riesgo.
* Los diseos y funcionamiento de las pruebas del control y los procedimientos substantivos apropiados
que determinaron los auditores para resolver el objetivo de la auditoria.
INTERNACIONAL STANDARD ON AUDITING 401
AUDITING IN A COMPUTER INFORMATION SYSTEMS (CIS) ENVIRONMENT

Norma IFAC contenido en el Manual ISA 2003.
Comprende:
* Introduccin.
* Habilidades y Competencias.
* Planeamiento.
* Evaluacin de Riesgo.
* Procedimientos de Auditoria.

INTERNACIONAL STANDARD ON AUDITING 401
AUDITING IN A COMPUTER INFORMATION
SYSTEMS (CIS) ENVIRONMENT - INTRODUCCION
67
UNIDAD IV

APLICACIN DEL SOFTWARE DE AUDITORA.
COBIT OBJETIVOS DE CONTROL PARA TI Y
TECNOLOGAS RELACIONADAS. BASE DE DATOS

CAPACIDAD IV

Demostracin de la aplicacin de software de auditora. Reconoce los sistemas de
informacin, la base de datos materia de examen y la aplicacin de las pruebas de
datos


Formaliza y expresa con propiedad el enfoque del Sistema de
Informacin.
Presenta la forma de la elaboracin de la base de datos y su
administracin.
Explica la tcnicas y procedimientos de auditora aplicables para
examinar la base de datos.
Explica la aplicacin de los datos de prueba.


DECIMA TERCERA SEMANA

Sesin 25:

Sistemas de informacin y administracin de la base de datos.

Sesin 26:

Base de datos

DECIMA CUARTA SEMANA

Sesin 27:

Gestin de la base de datos

68
Sesin 28:

Datos de prueba

DECIMA QUINTA SEMANA

Sesin 29:

En Tecnologas de Informacin, tcnicas y procedimientos de auditora aplicables

Sesin 30:

Aplicacin tcnicas y procedimientos de auditora en base de datos.

DECIMA SEXTASEMANA

Sesin 31:

Datos de prueba.

Sesin 32:

Aplicacin datos de prueba

DECIMA SEPTIMA SEMANA

Sesin 33 y 34: EXAMEN FINAL

69


A
P
L
I
C
A
C
I
N

D
E
L

S
O
F
T
W
A
R
E

D
E

A
U
D
I
T
O
R
A
.

C
O
B
I
T
.

APLIC.SOFTWAR DE AUDIT.
COBIT. PRINCIPIOS
GRADIENTES DE CONTROL
DOMINIOS.

SISTEMAS DE
INFORMACION Y BASE DE
DATOS

COBIT. ANTECEDENTES,
OBJETIVOS, FUENTES.
70
UNIDAD III

ATRIBUTOS DEL SISTEMA INFORMATICO
Concepto de sistema
La palabra sistema puede ser utilizada con varios sentidos diferentes. Por ejemplo, podemos decir
que el profesor Jos tiene un sistema de evaluacin muy riguroso o que don Juan tiene un sistema
estupendo para jugar el me late, o inclusive que el sistema solar tiende a alejarse de un hoyo
negro. Sin embargo, para nuestro propsito, diremos que sistema es un conjunto de partes
integradas que tienen la finalidad comn de alcanzar determinado objetivo u objetivos. De este
concepto podemos extraer tres caractersticas bsicas:
Un conjunto de partes: Todo sistema tiene ms de un elemento.
Partes integradas: Existe una relacin lgica entre las partes que constituyen un sistema.
Sistemas electrnicos o mecnicos, como una mquina de lavar ropa o de un videojuego, posen
componentes que trabajan en conjunto. Un sistema de administracin de personal consiste en
procedimientos integrados para reclutar, seleccionar, capacitar y evaluar empleados.
Propsito comn de alcanzar determinado objetivo: Todo sistema existe para alcanzar uno o
ms objetivos, y sus partes integrantes deben ajustarse entre s para lograr el objetivo global del
sistema.
En la medida en que las partes estn interrelacionadas y unidas, el sistema alcanza un estado
slido y firma. El resultado del sistema es mayor que la suma de sus partes, porque la
interrelacin de ellas produce un efecto multiplicador denominado Sinergia. Cada parte ayuda a
otra y el efecto sinegtico hace que el resultado del conjunto sea maximizado.
Sin embargo, si las partes no estn correctamente interrelacionadas el sistema entra en un estado
de descomposicin y desintegracin llamado Entropa. Cada parte se desliga de la otra y el efecto
entrpico produce perdidas y deterioro.
- Finalidad de los sistemas
Vimos que el sistema existe para lograr uno o ms objetivos. Un objetivo es una situacin
deseada, un resultado a alcanzar. Vimos tambin que un sistema, es eficaz cuando alcanza
adecuadamente los objetivos para los cuales fue creado. La eficacia esta ligada a los fines, a los
resultados, a los objetivos logrados.
3.- Componentes de los sistemas
Todo sistema est constituido por partes relacionadas entre s. Las partes son los subsistemas que
a su vez estn constituidos por otras partes relacionadas entre s, y as sucesivamente. Por otro
lado, todo sistema es parte de un sistema mayor, el SUPRA SISTEMA. Este es el atractivo que la
TEORIA DE SISTEMA ofrece. Se puede estudiar cada sistema con sus subsistemas integrantes,
como partes de un sistema ms grande.

71
LOS COMPONENTES DE TODO SISTEMA SON LOS SIGUIENTES. :
: es todo lo que ingresa al sistema para hacerlo funcionar. Ningn
sistema es autosuficiente o autnomo. El sistema necesita de insumos, en forma de recursos,
energa o informacin. En el organismo humano, los insumos son variados, el aire, los, el agua,
las imgenes, los sonidos, etc. que provienen del medio ambiente externo.
subsistemas. Cada subsistema se encarga de un tipo de insumo que le es peculiar. En el
organismo humano, el aire que respiramos es procesado por el aparato respiratorio, la comida
que comemos por el aparato digestivo, las imgenes por los sistemas visual y nervioso
s o
resultados de sus operaciones. Las entradas debidamente procesadas y convertidas en resultados
se exportan de nuevo al ambiente, en forma de productos o servicios prestados, en el caso de las
empresas.
la reentrada o retorno al sistema de sus salidas
o resultados, que pasan a influir sobre su funciona miento. La retroaccin es generalmente una
informacin o energa de retorno que vuelve al sistema para realimentarlo o alterar su
funcionamiento como consecuencia de sus resultados o salidas.
A partir de esos Componentes, se puede evaluar el funcionamiento de un sistema. En lenguaje
sistmico, la eficiencia es el cuociente de salida sobre le entrada, es, es decir, la cantidad de
salida por unidad de entrada. Si dos sistema presentan los mismos resultados, pero uno de ellos
requiere menos recursos de entrada, entonces ste ser ms eficiente. O dos sistemas utilizan la
misma cantidad de insumos, pero uno de ellos produce mejor resultado, entonces ste ser el ms
eficiente. La eficacia, por otro lado, es la relacin entre la salida y el objetivo del sistema, esto es,
en cuanto ms contribuye el resultado al alcance del objetivo, ms eficaz ser el sistema.
4.- Clasificacin de los sistemas
Hay varias maneras de clasificar los sistemas: en cuanto a su constitucin y en cuanto a su
relacin con el medio ambiente.
En cuanto a su constitucin, los sistemas pueden clasificarse en:
s
palpables y concretos, como mquinas, equipos, instalaciones, edificios, materias primas, etc.
intangibles y abstractos, como filosofas, polticas, directivas, programas, procedimientos, reglas
y reglamentos, etc.
En realidad, las empresas son sistemas constituidos por subsistemas fsicos y conceptuales: ellas
necesitan de mquinas, equipos e instalaciones, pero requieren tambin de filosofas, directrices,
reglas y reglamentos para funcionar.
En cuanto a su relacin con el medio ambiente, los sistemas pueden clasificarse en:
72
externo son pocas y sobre todo conocidas. Son los sistemas mecnicos o determinismo que con
determinada entrada producen determinada salida, como el motor, la mquina, etc. Son
previsibles y sujetos a certezas.
el
medio ambiente externo, no siempre bien conocidas. Mantienen intenso intercambio con el
ambiente. Son los sistemas vivos y orgnicos sujetos a la indeterminacin e incertidumbre.
En realidad, no existen sistemas absolutamente cerrados o absolutamente abiertos: los primeros
seran hermticos y los ltimos se confundiran con el ambiente externo. En las empresas existen
sistemas mecnicos (como las mquinas, equipos, instalaciones, etc.) y sistemas orgnicos (como
las personas, principalmente). La propia empresa es un sistema orgnico, vivo y abierto.
Sistemas de sugestin
Los sistemas de sugestin son importantes y pueden incluirse en una discusin del pensamiento
creativo.
Por medio de los sistemas de sugestin, se anima a los empleados a que sometan sus ideas para
mejorar las operaciones y las condiciones de trabajo. Las sugestiones adoptadas recompensan a
su autor, usualmente en la forma de premios en efectivo. Cuando se le da amplia atencin y
apoyo suficiente, el sistema de sugestiones no solo proporciona las ideas sino que contribuye
significativamente al logro de buenas relaciones humanas. Es imperativo que los gerentes den al
sistema de sugestiones de su empresa apoyo entusiasta y que lo expliquen minuciosamente a
todos los empleados.
El xito de los sistemas de sugestiones requiere una promocin y publicidad continuas. Es
demasiado frecuente que se inicie un sistema con brote de entusiasmo y que se desvanezca
prcticamente en nada al los pocos meses, debido a la falsa creencia de que el sistema debe ser
auto generador y debe continuar as. Hay que fomentar el que los empleados hagan sugestiones y
ayudarlos a redactarlas.
La siguiente figura incluye lo que el gerente puede hacer a este respecto
La experiencia muestra que unas cajas para sugestiones convenientemente ubicadas. en un sitio
al lado para escribir. Bastantes formas a la mano para sugestiones una buena recoleccin de las
sugestiones y un rpido acuse de recibo de las mismas. Son de bastante utilidad para mantener
despierto el inters en un sistema de sugestiones.
De igual manera la decisin sobre las sugestiones se determinar en un periodo razonable. Es
conveniente llevar un catalogo de sugestiones, de manera que las anteriores puedan servir de
referencia, con el destino que se les haya dado. Si una sugestin requiere mas del tiempo normal
para juzgarla, quien la haya hecho debe ser informado de esta situacin, ya que es perfectamente
normal que un empleado desee saber que pas con su idea o las condiciones en que se encuentra
su sugerencia. Las decisiones junto a los razonamientos y las cantidades de los premios deben
hacerse del conocimiento de todos los empleados. Esto puede efectuarse por medio de carteles,
en un tablero de boletines o mediante inserciones en las publicaciones de la compaa. En
muchos casos es conveniente no dar a conocer el nombre del colaborador, con objeto de eliminar
73
cualquier influencia personal al juzgar, para mejorar la precisin de los premios o por cualquiera
de varia circunstancias que ataen al individuo. Tambin es importante una rpida accin
despus de que se llegue a una decisin con respecto a una sugestin. Las recompensas deben ser
pagadas sin demora, la sugestin debe ser puesta en vigor tan rpido como sea posible, y lograr la
continuacin de las sugestiones aprobadas. La cantidad del premio puede variar pero desde un
mnimo de 5% hasta un mximo del 10 % de los ahorros del primer ao derivados de la adopcin
de la sugestin. La recompensa debe ser lo bastante para retener el inters de los empleados y su
participacin activa.
Es conveniente activar de inmediato una sugestin aprobada, ya que muchos empleados estn
mas interesados en ver sus sugestiones llevadas a la prctica que en recibir la recompensa. La
continuacin de las sugestiones demuestra un inters continuo de parte de los gerentes y revela el
grado hasta el cual se siguen las sugestiones y los benficos a largo plazo que se deriven.
Las ideas y su aplicacin pueden ser la ruta hacia el xito y la fama en la administracin. Se
necesitan nuevas y mejores ideas si es que la administracin va a continuar progresando. Existen
medios definidos y pueden ser adoptados para desarrollar la facultad de crear ideas, lo mismo
que para ponerlas en prctica. Debe contarse con un ambiente de trabajo que conduzca y fomente
la creacin de ideas y la innovacin. Pero esta atmsfera favorable no puede crearse de la noche
a la maana o por un mero ademn, no importa lo bien dispuesto que encuentren los gerentes.
Toma tiempo, esfuerzo de concentracin, fe en la importancia de las ideas y la conviccin de que
pueden crearse mejoras y mejores objetivos administrativos, as como los medios para utilizarlos.

TALLER 03
SISTEMAS INFORMATICOS.

Objetivo
Conocer los atributos de los sistemas informticos y los modos de aplicar pruebas de
auditoria.

Orientaciones
En forma grupal identificar y analizar los modelos y sistemas informtico a mas usados en las
empresas.
AUTOEVALUACIN

1. Referencia los modelos de sistemas informticos usados en las empresas?
2. Conocer la manipulacin de los sistemas informticos en las reas principales de las
empresas?..

REFERENCIAS DOCUMENTALES

www.esinet.es.
74
www.infoplus.es.
TEMA N 04

CONCENTRACION DE LOS SISTEMAS INFORMATICOS

Lo Importante es Proteger la Informacin
Los Datos y la Informacin son los sujetos
principales de proteccin
Confidencialidad: Informacin conocida por individuos
autorizados.
Existen infinidad de posibles ataques contra la privacidad.
Escape de informacin.
Integridad: Seguridad de la informacin.
La Informacin no sufre alteracin, no es borrada,
reordenada, copiada, etc.
Disponibilidad: Seguridad que la informacin pueda ser
recuperada en el momento que se necesite.
TORTAS PERU
Cliente del
Exterior
VISA
Paga con
VISA
Se encarga
a preparar la
torta a
afiliada mas
cercana al
domicilio del
beneficiario
IGV: Venta se trata como
venta local
Honorarios: Locales
Renta: Fuente peruana
Se paga desde el exterior
75

TALLER 04
SISTEMAS INFORMATICOS AUDITABLES.

Objetivo
Conocer los atributos de los sistemas informticos y los modos de aplicar pruebas de
auditoria.

Orientaciones
En forma grupal identificar y analizar los modelos y sistemas informtico a mas
usados en las empresas.
AUTOEVALUACIN

1. Referencia los modelos de sistemas informticos usados en las empresas?
2. Conocer la manipulacin de los sistemas informticos en las reas principales de
las empresas?..

INGENIERIA DE LA INFORMACION Y LA METODOLOGIA DE PRUEBAS.

El avance tecnolgico y la necesidad de las empresas de tener la identificacin
necesaria del buen uso de sus sistemas, la certificacin a travs de la opinin de un
profesional independiente Auditor Contador, hace necesario tener la aplicacin de
tcnicas y modelos de pruebas de auditoria.
Empresa
Virtual
EMPRESARIO
Per
Pone
una
empresa
Virtual
en
Internet
El Cliente
paga con
Visa
El cliente (
India) hace su
pedido va
Internet
Se compra en Cuba habanos para
ser enviados a India
Cuba
enva
al
cliente
en
India
Preguntas: IGV Renta de fuente Exportacion ????????
76

Tcnicas.
Se define a las tcnicas de auditora como los mtodos prcticos de investigacin y
prueba que utiliza el auditor para obtener la evidencia necesaria que fundamente
sus opiniones y conclusiones, su empleo se basa en su criterio o juicio, segn las
circunstancias.
Al aplicar su conocimiento y experiencia el auditor, podr conocer los datos de la
empresa u organizacin a ser auditada, que pudieran nesecitar una mayor atencin.
Las tcnicas procedimientos estn estrechamente relacionados, si las tcnicas no
son elegidas adecuadamente, la auditora no alcanzar las normas aceptadas de
ejecucin, por lo cual las tcnicas as como los procedimientos de auditora tienen
una gran importancia para el auditor.
Segn el IMCP en su libro Normas y procedimientos de auditora las tcnicas se
clasifican generalmente con base en la accin que se va a efectuar, estas acciones
pueden ser oculares, verbales, por escrito, por revisin del contenido de
documentos y por examen fsico.
Siguiendo esta clasificacin las tcnicas de auditora se agrupan especficamente de
la siguiente manera:
Estudio General
Anlisis
Inspeccin
Confirmacin
Investigacin
Declaracin
Certificacin
Observacin
Clculo
Procedimientos.
Al conjunto de tcnicas de investigacin aplicables a un grupo de hechos o
circunstancias que nos sirven para fundamentar la opinin del auditor dentro de una
auditora, se les dan el nombre de procedimientos de auditora en informtica.
La combinacin de dos o ms procedimientos, derivan en programas de auditora, y
al conjunto de programas de auditora se le denomina plan de auditora, el cual
servir al auditor para llevar una estrategia y organizacin de la propia auditora.
El auditor no puede obtener el conocimiento que necesita para sustentar su opinin
en una sola prueba, es necesario examinar los hechos, mediante varias tcnicas de
aplicacin simultnea.
En General los procedimientos de auditora permiten:
Obtener conocimientos del control interno.
77
Analizar loas caractersticas del control interno.
Verificar los resultados de control interno.
Fundamentar conclusiones de la auditora.
Por esta razn el auditor deber aplicar su experiencia y decidir cul tcnica o
procedimiento de auditora sern los mas indicados par obtener su opinin.
Anlisis de datos.
Dentro de este trabajo, desarrollaremos diversos tipos de tcnicas y procedimientos
de auditora, de los cuales destacan el anlisis de datos, ya que para las
organizaciones el conjunto de datos o informacin son de tal importancia que es
necesario verificarlos y comprobarlos, as tambin tiene la misma importancia para
el auditar ya que debe de utilizar diversas tcnicas para el anlisis de datos,
basados en [bib-solis-2002], las cuales se describen a continuacin.
Comparacin de programas
esta tcnica se emplea para efectuar una comparacin de cdigo
(fuente, objeto o comandos de proceso) entre la versin de un programa
en ejecucin y la versin de un programa piloto que ha sido modificado
en forma indebida, para encontrar diferencias.
Mapeo y rastreo de programas
esta tcnica emplea un software especializado que permite analizar los
programas en ejecucin, indicando el nmero de veces que cada lnea
de cdigo es procesada y las de las variables de memoria que
estuvieron presentes.
Anlisis de cdigo de programas
Se emplea para analizar los programas de una aplicacin. El anlisis
puede efectuarse en forma manual (en cuyo caso slo se podra analizar
el cdigo ejecutable).
Datos de prueba
Se emplea para verificar que los procedimientos de control incluidos los
programas de una aplicacin funcionen correctamente. Los datos de
prueba consisten en la preparacin de una serie de transacciones que
contienen tanto datos correctos como datos errneos predeterminados.
Datos de prueba integrados
Tcnica muy similar a la anterior, con la diferencia de que en sta se
debe crear una entidad, falsa dentro de los sistemas de informacin.
Anlisis de bitcoras
Existen varios tipos de bitcoras que pueden ser analizadas por el
auditor, ya sea en forma manual o por medio de programas
especializados, tales como bitcoras de fallas del equipo, bitcoras de
accesos no autorizados, bitcoras de uso de recursos, bitcoras de
procesos ejecutados.
Simulacin paralela
Tcnica muy utilizada que consiste en desarrollar programas o mdulos
que simulen a los programas de un sistema en produccin. El objetivo es
78
procesar los dos programas o mdulos de forma paralela e identificar
diferencias entre los resultados de ambos.

BASE DE DATOS PARA AUDITORIA

Una Base de Datos describe organizaciones del mundo real, representa simblicamente
los objetos del mundo real como tablas.
Importancia del diseo de la BD.
Diseo lgico: proceso iterativo.
Partir grandes estructuras heterogneas en otras estructuras ms pequeas y homogneas.
A este proceso se le llama normalizacin. (Fco. Nava)

DISEO DE BASE DE DATOS:

Etapa previa a la introduccin (Grabacin) de datos.
Proceso iterativo (normalizacin): se buscan estructuras pequeas y homogneas.
Normalizacin: determinacin de las relaciones naturales entre los datos.
Mecanismos de normalizacin: divisin de tablas en otras con menos atributos.
Importante: que no se pierdan datos (recuperacin de las tablas originales mediante uniones
naturales).

OBJETIVOS
Objetivo de la normalizacin: determinar las relaciones naturales entre los datos.
Se parte una tabla en dos o ms con menos columnas.
No hay prdida de informacin.
Informacin de la tabla original: operacin de unin de las tablas.
Satisfacer los requisitos de los usuarios.
Asegurar la integridad y consistencia de los datos (respecto a las restricciones).
Proporcionar una estructura de la informacin natural (consultas fciles de entender,
actualizaciones sencillas).
Satisfacer los requisitos de rendimiento.

CONTROL DE SISTEMAS EN FUNCIONAMIENTO
PLAN DE TRABAJO
Para efectuar el Control, el Especialista deber establecer su plan de trabajo, el cual debe
basarse en pasos y etapas a ejecutar en un plazo determinado y deber contemplar las etapas
siguientes:
a) Planeamiento del Trabajo a Realizar.
b) Investigacin Preliminar.
c) Evaluacin del Sistema.
d) Planeamiento y Diseo de las Pruebas de Control.
e) Ejecucin y Evaluacin de los Resultados de las Pruebas.
f) Confeccin del Informe de Auditoria del Sistema.
g) Revisin y Opinin del Informe.
h) Seguimiento de las Recomendaciones de Auditoria.

a. Planeamiento del trabajo a realizar
79
Consiste en la estrategia que conduzca al logro de los objetivos concretos y a las
expectativas de la Alta Direccin en el menor tiempo posible, para lo cual se elaborar el
plan de trabajo que permita medir el avance del trabajo en puntos claves y administrar
Eficientemente los recursos de tiempo y personal que sean asignados.
En el documento de planeacin se debe considerar lo siguiente:

Objetivo general del trabajo a realizar. En forma concreta se plantea los objetivos del
trabajo.
Alcances del trabajo a realizar. Se marcan los escenarios de riesgos que se van
examinados en el trabajo, pudiendo ser todos o solamente algunos.
Puntos de inters para este trabajo. Se registran los aspectos que requieren especial
atencin, de acuerdo con los antecedentes que se conozcan de la aplicacin o de otras
similares y de la informacin que se procesa con ella.
Auditores asignados. Un grupo se encarga de verificar que se cumplan con los
estndares de calidad y las normas y directivas que ha emitido la Institucin y el ente
rector en Informtica. Otro grupo se encarga de verificar el funcionamiento
de los sistemas.
Duracin estimada. Comprende la suma de los tiempos estimados asignados a cada una
de las etapas desde la b) hasta la h).
Fechas de iniciacin / terminacin. Para el desarrollo completo de las actividades del
proyecto.
Diagrama de actividades. Se coloca el tiempo estimado que va a durar cada una de las
actividades.
Entrevista de iniciacin de auditoria. Se realiza una reunin con el personal directivo de
Sistemas en la cual se plantean los objetivos y el enfoque de trabajo a realizar y se
Establecen los mecanismos de comunicacin a emplear en el desarrollo del trabajo.
Puede utilizar el formato de Plan de Trabajo indicado en el diagrama No. 5.

b. Investigacin Preliminar
Se determinan las caractersticas tcnicas y operativas de la aplicacin objeto del trabajo
y su importancia para los objetivos y metas de la Institucin.
Se debe conseguir la documentacin del sistema, para que en el trabajo de gabinete pueda
investigarse en forma preliminar el Sistema, con la siguiente informacin:
. Dependencias involucradas en el manejo de la aplicacin.
. Inventario de documentos fuentes.
. Inventario de informe que produce.
. Normas legales e institucionales que rigen el funcionamiento de la aplicacin.
. Interfases de la aplicacin con otros sistemas.
. Procesos manuales y automatizados que realiza la aplicacin.
. Perfil tcnico de la aplicacin.
. Personal clave para el manejo de la aplicacin en cada dependencia involucrada.
. Inventario de manuales de documentacin existente.
. Informacin sobre fraudes que se hayan cometido.
(Diagrama 5)
c. Evaluacin del Sistema
Se debe efectuar la revisin de los 10 aspectos indicados en el punto 3.2.
Al evaluar el sistema tambin debe considerarse los riesgos determinndose cuales son las
situaciones de riesgo y cuales sus causas.
Para evaluar los controles existentes se deben utilizar una de las dos alternativas, o ambas:
80
- Anlisis de Riesgo.
- Cuestionarios de Control.

Riesgos:

. Riesgos Accidentales
Ingreso accidental ya en apertura.
Falla imprevista que anula seguridad.
Error en sistema de comunicacin.

. Riesgos Pasivos
Captacin electromagntica de transmisin de microondas.
Intercepcin por alambres o cables coaxiales.
Acceso va procedimientos tcnicos avanzados.

. Amenazas Activas
Otorgamiento de clave de seguridad a usuario realmente no autorizado.
Ingresar al sistema cuando el usuario autorizado ha dejado su terminal abierto, sin
salir del sistema.
Ingreso por personas expertas.

d. Planeamiento y diseo de las pruebas de control
Se deben disear los juegos de datos de pruebas, los cuales deben asegurar que se investigue
totalmente la confiabilidad del sistema y los controles que poseen.
En esta se debe considerar :

Naturaleza y extensin de las pruebas de auditoria.
Plan de las pruebas a ejecutar.
Diseo de las pruebas de auditoria.

e. Ejecucin y Evaluacin de los resultados de las pruebas
Una vez, ejecutadas las pruebas se deben evaluar los resultados de las mismas y determinar
en que mdulos, el Sistema no es confiable y controles que no posee, que deban ser
imprescindibles.

f. Confeccin del Informe de Auditoria del Sistema
Producto de la revisin del Sistema se deber preparar el Informe de Auditoria y Control del
Sistema.
El informe preliminar debe ser opinado y recibirse los comentarios del caso para posterior
emitir el informe final

g. Revisin y Opinin del Informe
Tanto el usuario, como el de Informtica que desarroll administra la operacin del
Sistema, deben tener la oportunidad de revisar y opinar sobre el informe preliminar, de tal
forma de asegurar que se estn aceptando las observaciones indicadas.

h. Seguimiento de las Recomendaciones de Auditoria
81
Siendo el objetivo de este trabajo que se mejore el sistema y se superen sus deficiencias para
beneficio de la Institucin, se debe a travs de un Registro de Seguimiento, efectuar el
control de las acciones tomadas y las observaciones superadas.

ASPECTOS A REVISAR
Los aspectos que deben ser revisados son :
1- La documentacin del sistema.
2- El procedimiento del sistema.
3- La operatividad del sistema.
4- Controles del sistema.
5- Integridad de los datos.
6- Validez de los resultados.
7- Seguridad del sistema.
8- Sistema de Respaldo.
9- Auditabilidad del sistema.
10- Efectividad del sistema.

1 Documentacin del Sistema : Como paso inicial del proceso de control de una
aplicacin en funcionamiento, debe ser revisada la documentacin existente, la cual
permite adems de tomar conocimiento escrito del mismo, revisar si se ha
cumplido con la metodologa y estndares establecidos para el desarrollo de
sistemas, anotando las falencias para su evaluacin en los pasos siguientes, ya que
podran ser causa de problemas del sistema en operacin.

2 Procedimiento del Sistema: Todo sistema es un conjunto de procesos manuales y
automatizados, cuya operativizacin debe estar definida en un Procedimiento del
Sistema. Es imprescindible la existencia del procedimiento formal para efectos de
poder operativizar eficientemente y con eficacia el sistema.

3. Operatividad del Sistema: Una vez revisada la documentacin del Sistema, se debe
proceder a revisar su operatividad.
Se revisa todo el ciclo del sistema:
. Generacin del Dato.
. Ingreso del Dato al sistema.
. Transmisin del Dato.
. Procesamiento del Dato.
. Actualizacin de Archivos.
. Emisin de Reportes y Consultas.
Se debe verificar que el sistema efecte en cada etapa de su ciclo las
Especificaciones establecidas en el Anlisis y Diseo y se cumpla con el
Procedimiento aprobado para el sistema.
Debe analizarse y observar si realmente tiene los requisitos de operatividad que
Hagan al sistema eficiente y eficaz.

4 Controles del Sistema:
a.- Generacin del Dato
Debe verificarse las condiciones en que se genera el dato, ya sea este, externo o
interno a la Institucin, revisando que sea veraz, consistente y que refleje exactamente la
82
operacin realizada. Se podr tomar una muestra de datos para efectos de verificar
su exactitud.

El sistema debe contemplar como uno de sus controles efecta muestreos de calidad
de los datos con una frecuencia PRE-establecida.

b.- Ingreso del Dato
Debe revisarse que el ingreso o transcripcin de los datos se efecte cumpliendo con
controles bsicos, tal como se indica:
Si el sistema es descentralizado, que el dato sea ingresado por el mismo que lo
genera, para tener un mayor control sobre la calidad del ingreso del dato, ya que
dicha persona es la que mas conoce la informacin y es la responsable de la misma.
En el caso de que sean varias personas las que tengan que ingresar datos por que
la organizacin establece responsabilidades diferenciadas, debe constatarse que el
sistema registre de alguna forma el cdigo del ingresador del dato, para los
controles del caso.
Si el Sistema es centralizado en un centro de computo del usuario o de la
Direccin de Servicios Informticos, los datos deben ser recepcionados por lotes y
con hojas de control que indiquen el total de datos lotizado y totales de
control, que permitan validar la completitud de los datos al ingresar la informacin
por personas transcriptoras de datos.
Que los programas de ingreso de datos tengan consistencia fsica y lgica de datos.
La consistencia fsica debe ser sobre el registro de datos en si, donde debe existir
datos obligatorios y opcionales y rangos de valores de los datos.
La consistencia lgica debe ser contra los archivos maestros del sistema y contra
reglas de validacin cruzadas que deba cumplir la informacin.
Que los datos ingresados deban imprimirse como validacin del ingreso de datos,
de la forma ms conveniente dependiendo de la naturaleza del sistema.
Si el ingreso de datos es desde terminales y en ventanillas de atencin al pblico,
debe efectuarse una revisin visual previa y debe imprimirse el comprobante
producto del ingreso del conjunto de datos y al final del turno o da de trabajo,
debe emitirse un parte diario de comprobacin y cuadre.
Si el ingreso de datos es desde terminales, pero en forma de proceso en lotes, al
final de cada lote debe imprimirse un listado de revisin visual y de cuadre para
poder ser revisado con todos los documentos fuentes, si el volumen de
registros es manejable, o por tcnica de muestreo, cuando existe una cantidad
considerable de registros. Al final del da debe adicionalmente imprimirse un parte
diario de los lotes ingresados.

c.- La Transmisin del Dato
En un sistema en lnea la transmisin del dato desde el terminal a la Base de Datos
Central es manejada por el Software de Comunicaciones, Software de Red y Software de
Base de Datos, debiendo en este caso:
El Sistema aplicativo debe tener rutinas programadas que controlen la optima
transaccin procesada en caso de cadas del sistema y un programa alternativo de
captura descentralizada del dato en el terminal, si su configuracin de equipo lo
permite y posterior transmisin y registro en la base de datos central.
En un sistema de proceso en lotes, la transmisin del dato puede ser va disquetes
o mdems. En este caso debe verificarse:
83
1.- Que los disquetes sean probados previamente antes de su remisin y que
Quede un medio de respaldo en el centro de ingreso de datos.
Asimismo se les coloque en modo protegido contra escritura y este
Claramente identificado en su etiqueta el nmero o nmeros de lote y la
Cantidad de registros que contiene.

2.- Que Para el caso de transmisin de datos va MODEM, el archivo a
Transmitir debe poseer un registro de encabezado de control que
Indique el nmero o nmeros de lote y la cantidad de registros que
Contiene, debiendo el aplicativo que leer dicha informacin efectuar la
Verificacin de la informacin del registro encabezado con los registros
Ledos.

d.- El Procesamiento del Dato
Comprende los procesos manuales y automatizados que se realizan para producir los
resultados previstos en las diferentes funciones que satisface el sistema.

Se da especial nfasis a los controles incluidos en el software de las aplicaciones
para lograr exactitud y confiabilidad del proceso y de los resultados que produce.
Debe verificarse que el sistema tenga registros y rutinas de control que permitan
que ante una cada del sistema pueda reiniciarse el procesamiento desde la ltima
transaccin procesada, ya sea el sistema en lnea o en lotes.
Para asegurar la integridad del procesamiento de los datos, en los sistemas en
lnea debe contarse con las seguridades fsicas tales como UPS y equipos de
respaldo de energa elctrica de tal forma que evite el truncamiento del
procesamiento y desincronizacin de su operacin.
En los casos de los sistemas de procesamiento en lotes debe existir
procedimientos computarizados para que los programas se ejecuten en la
secuencia prevista y de acuerdo a las bifurcaciones establecidas.

Deben establecerse condiciones de error que no puedan ser consistenciados fsica
o lgicamente en la etapa de ingreso de datos, que no deben paralizar el
procesamiento, sino mas bien reportar las ocurrencias para hacan inmediata en los
sistemas en lineal o acciones posteriores en los sistemas de procesos de lotes.

e.- Actualizacin de Archivos
Debe verificarse que existan registros y rutinas de control que con cierta frecuencia de
tiempo o de periodo, determine si existe coherencia entre la cantidad de registros y
valores de los totales de los archivos. Por ejemplo, si se ha producido una cantidad de
nuevas entidades debe reflejarse esto en un incremento del nmero de registros del
archivo principal. Al final del da debera producirse un reporte de integridad de archivos.

f.- Emisin de Reportes y Consultas.
Deben existir rutinas de control y procedimientos que permitan al final de un periodo
cuadrar cifras entre reportes y consultas, que aseguren la integridad de los resultados
emitidos. Cada sistema, segn su naturaleza, tiene una lgica de cuadre entre reportes, la
cual debe estar claramente definida en el procedimiento.

84
5.- Integridad De Datos
Adicionalmente a los controles anteriormente mencionados, para fines de asegurar la
integridad de los datos en cuanto a su completitud y confiabilidad, el sistema debe poseer
programas que rastreen los archivos y determinen incongruencias y falta de cuadre de la
informacin.

Debe asimismo, en forma externa, establecerse procedimientos de comparacin de la
informacin producida por el sistema contra otras informaciones disponibles, para efectos
de determinar la confiabilidad de la informacin. Dentro de este aspecto estan las
circularizaciones de comprobacin de la informacin del computador con las reas o
personas involucradas.

6.- Validez de los Resultados
El aspecto mas importante de todo el sistema son los resultados, por lo que al revisar el
sistema debe verificarse que los resultados cumplan con las especificaciones del diseo
del sistema, lo cual debe comprobarse mediante juegos de datos de pruebas
especialmente preparados, y que prueben todas las posibilidades de las entidades, datos
y situaciones.

7 Seguridad del Sistema
Debe comprobarse que el Sistema cuente con los siguientes tipos de seguridad:
- Seguridad en el acceso a la informacin.
- Seguridad del sistema.
- Seguridades Fsicas.

a. Seguridad de acceso a la informacin: Debe existir a nivel Institucin, un esquema
global de seguridad de acceso a la informacin, donde deben existir para cada rea y
para cada funcionario Perfiles de Acceso a los Sistemas, a las funciones dentro de cada
sistema y a la Base de Datos, constituyendo una matriz de accesos usuario versus
sistemas, funciones donde el nivel de usuario es el cdigo de cada funcionario.

El sistema debe tener claves de seguridad discriminadas donde cada usuario tiene
un acceso basado en las siguientes opciones:
. Ingreso de datos.
. Procesamiento de los datos.
. Consultas por niveles.
. Emisin de Reportes.
Asimismo el sistema debe mantener un log de uso del sistema por sesin de
trabajo.
Los niveles de acceso a la informacin pueden ser :
. Nivel de consulta de informacin no restringida.
. Nivel de mantenimiento de la informacin no restringida.
. Nivel de consulta incluyendo la informacin restringida.
. Nivel de mantenimiento de la informacin restringida.

b. Seguridad del sistema:
Acceso y Seguridad a los Programas
85
El rea de Servicio informatico debe ser la nica que debe tener acceso sobre los
programas fuentes, que deben estar archivados en bibliotecas especiales, bajo
control de un Administrador de Sistemas.
Asimismo, los programas objetos tambin deben tener nombres solo conocidos por
el administrador del sistema, quien le coloca los nombres claves una vez recibidos
los programas fuentes y estos son compilados.
En la medida de lo posible, dependiendo de la envergadura del Servicio
Informatico y de la naturaleza de los sistemas, se deberla tratar de utilizar un
Software de Resguardo Automtico de Redes.

Cambios a los Programas de Aplicacin :

Debe existir una solicitud con la autorizacin respectiva para proceder a realizar
los cambios a los programas.
El control sobre los programas objetos debe tenerlo el Administrador de Sistemas,
y cualquier cambio a los programas deben ser probados y solo reemplazados,
despus de demostrarse la confiabilidad del mismo.
Cuando se cambien los programas fuentes deben documentarse en el programa con
comentarios y registrar las modificaciones en el Registro de Control de Cambios.
Asimismo el sistema debe contar con los elementos necesarios para poder darle
mantenimiento, por lo que debe disponer de :
. Manuales de Anlisis y Diseo.
. Manual de Programacin.
. Programas Fuentes.
. Originales de Software de Base.
. Personal de programacin que conozca el sistema.

c. Seguridades Fsicas
Los ambientes donde se procesan los sistemas deben contar con un suministro de
energa elctrica de calidad, con pozo de lnea a tierra, estabilizadores, UPS,
equipos de reemplazo de energa elctrica, y extintores contra incendio.
Debe tambin, en la medida de lo posible, disponer el acceso restringido donde se
procesa la informacin, sea al ambiente de los terminalista o al centro de computo.

Seguridad ante contaminacin de Virus

Ante la creciente proliferacin de virus, debe existir instalado en el equipo central y
equipos descentralizados sistemas antivirus, para prevenir la contaminacin y
afeccin de virus.
Deben, establecerse disposiciones especificas que prohban al personal de sistemas o
usuarios, utilicen diskettes externos a la institucin, para evitar la introduccin de
virus. En caso de recibir diskettes externos de trabajo oficial, estos de todas
maneras, deben ser desinfectados antes de ser ledos por los equipos de computo.
Cuando sea factible, tal es el caso de sistemas que requieren solo terminales, es
preferible que estos no tengan unidad de diskette para evitar la contaminacin o
infeccin.
86
En lo posible tambin deber tratarse de utilizar Sistemas Operativos, que eviten la
contaminacin por virus.

8 Sistema de Respaldo
Previendo posibles problemas con el hardware o el software es necesario que el equipo
central cuente con caractersticas tcnicas de respaldo tales como :
- Sistema tolerante a fallas.
- tape-backup.
- Equipo de capacidad similar de respaldo.
Asimismo, debe contarse con elementos para ser cargados en el otro equipo de respaldo:
- Instalador del Sistema o Backup del Sistema.
- Backup de la Base de Datos por lo menos del turno anterior.
En muchas oportunidades es conveniente, para reas criticas de atencin al publico,
disponer de listados diarios de informacin resumen para poder seguir operando por lo
menos manualmente en casos extremos.
Los backups de la Base de Datos deben efectuarse por cada cambio de turno de trabajo o
como mnimo al final del da, debiendo inclusive el sistema haber sido programado
para que exija efectuar el backup respectivo.
Una copia de respaldo de los programas fuentes y objetos de las aplicaciones, de la
plataforma de software y de las bases de datos completas de la Institucin (hasta de
tres periodos anteriores) y debe guardarse una copia en el local ad-hoc de la
Institucin e inclusive una copia adicional en otro local para afrontar siniestros o
desastres que pudieran ocurrir.

9 Auditibilidad del Sistema
Todo Sistema debe tener la capacidad de poder ser auditado, para lo cual debe reunir una
serie de caractersticas que lo permitan :
. Contar con la documentacin completa.
. Disponer de una biblioteca de pruebas.
. Disponer de Log del Sistema.
. Contar con reportes de auditoria del sistema.
. Contar con reporteadores de base de datos para producir reportes de cruce de
informacin.
Por lo tanto debe verificarse que el sistema disponga de los elementos antes indicados
para poder facilitar su auditoria y en caso de no contar con ellos exigir se disponga de
ellos.
10 Efectividad del Sistema
Uno de los aspectos mas importante del sistema, por ser su razn de ser, es que sea
efectivo en conseguir los objetivos y beneficios esperados, por lo que se debe :
Efectuar visitas a los usuarios e indagar sobre su opinin respecto a :
- su satisfaccin de los resultados del sistema.
- el grado de confiabilidad que le dan al sistema.
Evaluar en forma independiente en que magnitud los beneficios han sido
conseguidos y cuales son las razones o limitaciones que impiden que estos se logren.
Determinar si los costos de operacin del sistema se encuentran dentro de lo planificado
y si son actualmente razonables para los beneficios tangible e intangibles obtenidos.
Se deben evaluar aspectos tales como :
. Que mejoras se han obtenido en la reduccin de costos de operacin.
. Que mejoras se han obtenido en las operaciones de la Institucin.
87
. Cuanto ha mejorado la precisin de la informacin obtenida.
. Que mejoras se han obtenido en disponer de la informacin completa requerida.
. Que mejoras se han obtenido respecto a incluir controles en las operaciones de la
Institucin.
. Que incremento se han obtenido en el nmero de operaciones atendidas,
mejorando el tiempo de atencin a los usuarios.

BASE DE DATOS.

Objetivo
Conocer las base de datos usadas para auditoria y su importancia en la planeacion.

Orientaciones
En grupos se elabora y practica los usos de las base de datos.
AUTOEVALUACIN

1. Manipular y practicar los tipos de bases de datos que se pueden utilizar en la
auditoria.(Laboratorio).

REFERENCIAS DOCUMENTALES

www.lawebdelprogrmador.com

TEMA

ASPECTOS A CONTROLAR DE LOS SISTEMAS

EVALUACIONES Y CONTROLES

A.- AUDITORIA DE SISTEMAS

La Auditoria de Sistemas es el conjunto de tcnicas que permiten detectar deficiencias en las
organizaciones de informtica y en los sistemas que se desarrollan u operan en ellas,
incluyendo los servicios externos de computacin, que permitan efectuar acciones
preventivas y correctivas para eliminar las fallas y carencias que se detecten.
Se verifica la existencia y aplicacin de todas las normas y procedimientos requeridos para
minimizar las posibles causas de riesgos tanto en las instalaciones y equipos, como en los
programas computacionales y los datos, en todo el mbito del Sistema: usuarios,
instalaciones, equipos.
Las Instituciones efectan Auditorias de Sistemas, con la finalidad de asegurar la
eficiencia de las organizaciones de informtica, as como la confiabilidad y seguridad de
sus sistemas.

B.- ASPECTOS A CONTROLAR
Para lograr desarrollar e implantar un Sistema con Calidad, dentro de los plazos y costos
previstos, cuyos beneficios sean los planificados, es necesario controlar que:
88
El Proyecto de Desarrollo de Sistemas este enmarcado dentro del Plan General de
Sistemas.
El Cronograma del Proyecto sea realista y el Sistema este operativo en forma oportuna,
de acuerdo a las necesidades de la Institucin.
Se aplique la Metodologa de Desarrollo de Sistemas.
Exista un control permanente de la consistencia y confiabilidad de los Sistemas
Informticos.
La Calidad del Sistema producido, permita una ptima operatividad del mismo.
La tecnologa utilizada sea la ms adecuada a los fines del sistema y permita una vida til
satisfactoria para la inversin realizada.
Los Costos, tanto del desarrollo como de su operacin y mantenimiento, sean los
planificados y exista un retorno de la inversin.
Se hayan logrado los beneficios esperados.

1.1 El Proyecto de Desarrollo de Sistemas este enmarcado dentro del Plan General de
Sistemas.
Para asegurar que el Sistema a desarrollar o desarrollado logre estar integrado y
tenga todas las interfases con los dems sistemas, es necesario se compruebe que es
uno de los componentes del Sistema Global de Informacin de la Institucin y este
interrelacionado con otros sistemas, a travs del intercambio de informacin o acceso a
informacin comn.

1.2 El Cronograma del Proyecto permita o haya permitido que el Sistema este
Operativo oportunamente.
Debe verificarse que exista un Cronograma del Desarrollo del Sistema, usando el mtodo
de Gantt como mnimo, siendo ideal utilizar adicionalmente el PERT-CPM.
Se debe evaluar, de acuerdo a la estacionalidad del ciclo operativo del sistema, si el inicio de
la implantacin y puesta en marcha es acorde con las necesidades de la Institucin,
debiendo empezar, de ser factible, simultneamente al comenzar el ciclo administrativo, de
tal forma que se evite la puesta al da de informacin
1.3 Se aplique la Metodologa de Desarrollo de Sistemas.
La forma mas adecuada para asegurar que el Sistema se desarrolle de acuerdo a
una metodologa, consiste en verificar dos aspectos:
Que cuente con toda la documentacin del Anlisis, Diseo e Implantacin del Sistema.
Que se hayan aplicado correctamente las tcnicas de anlisis y diseo de Sistemas.

a.- Documentacin de Sistemas:

Si el control es realizado preventivamente, la documentacin deber ser revisada al
finalizar cada sub.-etapa, siendo recomendable que se revise internamente en la
Direccin de Informtica, previa a la entrega del mismo al Comit del Sistema.
Deber llevarse un Registro de la Documentacin generada, para efectos de seguimiento
permanente y control posterior.
Debe contarse con la firma de conformidad del usuario de la documentacin que este deba
aprobar.
Si el control es realizado posteriormente, deber verificarse la existencia de toda la
documentacin y la aprobacin del usuario.
89
Con la documentacin de sistemas generada, se debe verificar que todas las etapas y sub.-
etapas de la Metodologa de Anlisis. Diseo, Programacin e Implantacin de Sistemas
se hayan ejecutado, con resultados satisfactorios.

b.- Aplicacin de Tcnicas:

Se debe verificar que se hayan utilizado las tcnicas adecuadas para cada etapa y sub.-
etapas del desarrollo e implantacin del Sistema.
Para cada etapa se aplican las siguientes tcnicas:

1) Anlisis de Sistemas :
- Entrevistas.
- Diagrama de Flujo de Datos (D.F.D.).
- Diagrama de Estructura de Datos (D.E.D.).
- Historia de Vida de la Entidad (H.E.V.).
- Anlisis de Costo-Beneficio (A.C.B.).
- Prototipo.

2) Diseo de Sistemas :
- Diseo Estructurado.
- Diagrama de Estructura de Cuadros.
- Optimizacin del Diseo Fsico.
- Diseo de Pruebas.
- Prototipo.
3) Programacin :
- Programacin Estructurada.
- Pruebas Unitarias.
- Pruebas de Integracin.
- Prueba del Sistema.

4) Implantacin de Sistemas :
- Capacitacin.
- Creacin de archivos iniciales.
- Proceso en paralelo.

1.4 Exista un control permanente de la consistencia y confiabilidad de
Los Sistemas Informticos.
Deben existir los controles especficos de:

- Deteccin de errores.
- Prevencin de acceso no autorizado y mal uso de la informacin y del equipo.
- Controles ambientales y seguridad.

1.5 La Calidad del Sistema producido sea tal que permita una ptima
Operatividad del mismo.
Este aspecto, adems de ser evaluado por un especialista en Sistemas, debe
tambin ser verificado con el usuario, ya que el puede dar su apreciacin del sistema, en
90
forma real y responsable, porque se encarga de operarlo y administrarlo. La informacin
garantizara que:

- Cumpla con los requerimientos del usuario, establecido en la fase de Anlisis y
Diseo del Sistema.
- La secuencia de trabajo u operacin del sistema, sea el mismo que el de proceso real.
- El sistema sea totalmente operado con:
. Gula al usuario.
. Ayudas permanentes en lnea.
- El tiempo de respuesta sea adecuado para el volumen real de datos.
- El consumo de recursos de computo sea razonable y este dentro de lo previsto.
- Responda a todas las bifurcaciones posibles en la operacin del sistema.
- La interfase-usuario sea adecuada y de fcil manejo y comprensin
- Se disponga de todas las facilidades utilitarias de reorganizacin de archivos y
copias de respaldo.
- Se disponga de procedimientos de respaldo ante cadas del sistema.

1.6 La tecnologa utilizada sea la mas adecuada a los fines del sistema, y permita
Una vida til satisfactoria para la inversin realizada.
Se debe verificar que los siguientes elementos sean los mas adecuados:
- Equipos.
- Sistema de Red.
- Sistema de Base de Datos.
- Sistema de Comunicaciones.
- Lenguaje de Programacin.

Es conveniente indicar que en algunas organizaciones se define en forma global toda la
plataforma de Hardware y Software a utilizar como Standard para la Institucin, quedando
en este caso tratar de aprovecharla al mximo.

Sin embargo, existen organizaciones en la que se dan soluciones departamentalizadas con
interfases entre ellas, manteniendo cierta independencia entre si. A continuacin
mencionamos algunas consideraciones que se deben tener en cuenta para evaluar si el
equipamiento y software es adecuado para el sistema.

a.- Equipos:
Se debe utilizar los equipos adecuados, de acuerdo al tipo de sistema desarrollado. Si la
aplicacin es monousuaria, se requerir un equipo que tenga independencia de operacin,
debiendo contar individualmente con la potencia del caso para soportar todo el
procesamiento.
En caso de que el sistema sea multiusuario, deben utilizarse equipos terminales
conectados a un servidor, debiendo estar balanceados adecuadamente los recursos entre
ambos, de tal forma de contar con el tiempo de respuesta requerido.
b.- Sistema de Red:
Dependiendo del tipo de Sistema, se deber utilizar el tipo de plataforma de Red que
mas convenga. Si el sistema es cerrado y netamente operativo con un criterio de
91
procesamiento centralizado, pueden utilizarse los Sistemas orientados a la centralizacin y si
el sistema es de filosofa abierta y descentralizada, se deben utilizar redes de este tipo.

c.- Sistema de Base de Datos:
En funcin a las necesidades del sistema se debe utilizar la plataforma necesaria de
Base de Datos. Para aplicaciones sencillas e independientes, se utiliza el manejador de
base de datos del lenguaje. Sin embargo, para aplicaciones corporativas, se utilizan
manejadores de base de datos relacionales de nivel, as como para aplicaciones de tipo
cliente-servidor.
d.- Sistema de Comunicaciones:
Este es un factor importante a evaluar en funcin a la naturaleza del sistema. Muchas
veces el sistema debe instalarse en una tipologa de comunicaciones PRE-establecida y hay
que tratar de aprovecharla al mximo. Sin embargo, si el diseo de las comunicaciones
pudiera estar correlacionado con el sistema, permitirla un mejor desempeo de las
mismas.
Se debe evaluar si el lenguaje a utilizar o ya utilizado es el mas conveniente, dependiendo
de las necesidades de eficiencia y facilidad de desarrollo y explotacin, por lo que deben
evaluarse los siguientes factores :
- Tiempos de procesamiento y respuesta.
- Facilidades en tiempos de programacin y mantenimiento de sistemas.
- Rapidez en el desarrollo de sistemas a travs de generadores de programas.
- Ambientes grficos.

1.7 Que los Costos, tanto del desarrollo as como de su operacin y
Mantenimiento, sean los planificados y que exista un retorno de la inversin.
El proyecto para ser aprobado debe contar con un presupuesto general, el cual debe
ser detallado en la fase de Anlisis de Sistemas. Los componentes de costos deben ser:
. Costos de Personal de Sistemas y del Usuario.
. Costo de Supervisin.
. Costos de Equipamiento.
. Costos de Originales de Software de Base.
. Costos de Instalaciones y Servicios.
. Costo de Relevamiento de Datos.
. Costo de Capacitacin.
. Costo de Creacin de Archivos Maestros.
. Costo de Procesamiento en Paralelo.
. Costo de Produccin.
. Costo de Mantenimiento.

El control de costos debe efectuarse por etapas:
. Anlisis y Diseo del sistema.
. Programacin del sistema.
. Implantacin del sistema.
. Operacin del sistema.

1.8 Se hayan logrado los beneficios esperados.

92
Una vez puesto en operacin el sistema, se debe esperar que transcurran por lo menos
dos periodos de procesamiento para evaluar si los beneficios del sistema se han logrado,
tanto en las ventajas esperadas por su implantacin, como los beneficios econmicos
que estaban planificados.

2. INSTRUMENTOS DE CONTROL
Los Elementos e Instrumentos de Control a utilizar en forma individual o en forma
conjunta son:
- Documentacin de las sub.-etapas del Desarrollo e Implantacin de Sistemas.
- Reuniones de Revisin Tcnica.
- Benchmark o pruebas del sistema.
- Formularios de Control.

2.1 Documentacin de las sub.-etapas del Desarrollo e Implantacin
De Sistemas
La primera informacin que debe servir de base para efectuar un anlisis para el control del
sistema lo constituye la documentacin generada en las diferentes fases de desarrollo e
implantacin del sistema.
La documentacin debe leerse detenidamente con la finalidad de:
. Comprender la concepcin del sistema.
. Planificar el contenido de las reuniones de revisin tcnica.
. Determinar los vacos o carencias de informacin.
. Elaborar los cuestionarios de consultas.
. Efectuar el control del Sistema, con un conocimiento slido del mismo.
El ttcnico que efecte el control del sistema debe tomar conocimiento completo de la
documentacin escrita existente, de tal forma de reducir el tiempo del proceso de auditoria
del sistema y brindar resultados en corto plazo.

2.2 Reuniones de Revisin Tcnica
Un aspecto fundamental para efectuar un buen control del sistema son las Entrevistas
de Revisin Tcnica, ya que la documentacin en la mayora de los casos es muy escasa
y deficiente y generalmente cubre solo una parte de la informacin y las entrevistas
permiten complementar la informacin tcnica y recabar opiniones sobre
deficiencias del sistema.
Las reuniones de Revisin Tcnica, debe estar debidamente planificadas y contar con
formularios de los temas y consultas a tratar, para evitar olvidar cualquier aspecto
fundamental para el anlisis y la investigacin.
Las reuniones de Revisin Tcnica deben efectuarse con todas las personas que participaron
en el desarrollo e implantacin del sistema, as como los que operan y utilizan el sistema.
Deben efectuarse reuniones de Revisin Tcnica con cada participante en forma separada
para lograr informacin y opiniones libres e independientes de cada uno de ellos,
despus de las reuniones individuales puede efectuarse una reunin global para determinar
las conclusiones de consenso.
Las Entrevistas de Revisin Tcnica deben efectuarse con la o las siguientes personas que
llevaron o llevan a cabo las siguientes funciones:
. El Analista de Sistemas.
93
. El Programador.
. El Implementador.
. El / los Operadores del Sistema.
. Los Usuarios Operativos que utilizan el Sistema.
. Los Usuarios que utilizan la informacin para la toma de decisiones.
En todo caso deben consultarse los factores que limitaron el desarrollo, implantacin,
operacin y uso del sistema, as como las deficiencias, aspectos de confiabilidad y
seguridad, en funcin de cada persona.

2.3 BENCHMARK O PRUEBAS DEL SISTEMA
Instrumento vital para evaluar la confiabilidad del Sistema es lo que se denomina Benchmark
o Pruebas del Sistema. No basta con evaluar el sistema tomando conocimiento de su
documentacin y sosteniendo reuniones de revisin tcnica con el personal involucrado, lo
fundamental que demuestra la buena funcionalidad y confiabilidad del sistema es efectuar
procesos de prueba simulando situaciones extremas de tal forma de determinar si el sistema
responde a lo especificado y es confiable produciendo resultados correctos en los tiempos
esperados Es por eso que se deben realizar Benchmark o procesos de prueba especiales
tales como:
. Prueba de carga mxima.
. Prueba de almacenamiento.
. Prueba de tiempo de ejecucin.
. Prueba de recuperacin.

2.4 FORMULARIOS DE CONTROL
Para efectos de registrar y controlar preventivamente el desarrollo e implantacin del
Sistema o evaluarlo posteriormente, es necesario utilizar formularios denominados de
control, cuya relacin se indica a continuacin:
. Control de Cronograma del Proyecto.
. Control de Documentacin de Sistemas.
. Control Tcnico del Anlisis del Sistema.
. Control Tcnico del Diseo del Sistema.
. Benchmark o Prueba real del Sistema.
. Control de la Implantacin.
a.- Control de Cronograma del Proyecto : Para efectos de controlar o evaluar el
cumplimiento de los plazos y la duracin de las etapas del sistema y por razones de sencillez
se recomienda utilizar el diagrama de GANTT, debiendo en el mismo cuadro registrar lo
planeado y lo ejecutado con dos smbolos diferentes.
Diagrama No 1
CONTROL DE CONOGRAMA DE PROYECTO
CONTROL DEL DESARROLLO E IMPLANTACION DE SISTEMA :

JEFE DE PROYECTO:
PERIODO : SEMANAS / MESES
ETAPAS/SUB-ETAPAS
1. PROYECTO
1.1 Definicin del Proyecto
94
1.2 Cronograma del Proyecto
2. ANALISIS DE SISTEMA
2.1 Anlisis requisitos Sistema
2.2 Especificacin Funcional
2.3 Interfase del Sistema
3. DISEO DEL SISTEMA
3.1 Diseo Fsico del Sistema
3.2 Especifica. Complementaria
4. PROGRAMACION
4.1 Programacin del Sistema
4.2 Pruebas del Sistema
5. IMPLANTACION DE SISTEMAS
5.1 Capacitacin
5.2 Benchmark del Sistema
5.3 Creacin de Archivos
5.4 Proceso en Paralelo
6. PRODUCCION
7. EVALUACION

b.- Control de Documentacin de Sistemas: Este formulario permite verificar la
aplicacin de la metodologa de desarrollo e implantacin de sistemas, mediante el registro
de la documentacin que se debe haber generado para cada etapa y sub.-etapa. Debe contarse
con la firma de conformidad del usuario de la documentacin que este deba aprobar.
Utilizar el diagrama No 2.
c.- Control Tcnico del Anlisis: Para verificar que el Control del Anlisis se haya
efectuado adecuadamente, se debe utilizar el Formulario de Registro de Tcnicas Utilizadas y
se deben realizar estudios de gabinete de la documentacin generada, as como efectuar
reuniones de revisin tcnica, conjuntamente con el personal de analistas del proyecto. En
caso de verificarse la falta de aplicacin de las tcnicas o
Errores en el trabajo de anlisis, estas se registran en un acta, para que sean superadas.
Es mejor efectuar el control en forma permanente, apenas se finaliza una sub.-etapa y antes
de proceder a la prxima, pues hacerlo en forma posterior, es ms costoso y requiere de
mayor tiempo, teniendo mayores implicancias.

Las tcnicas que se deben haber utilizado son:
- Entrevistas.
- Diagrama de Flujo de Datos (D.F.D).
- Diagrama de Estructura de Datos (D.E.D).
- Historia de Vida de la Entidad (H.E.V).
- Anlisis de Costo-Beneficio (A.C.B).
- Prototipo.
Se utiliza el diagrama No 3 para facilitar el registro de las tcnicas que se han utilizado para
cada etapa o sub.-etapa, marcndolas con asterisco (*)

95
d.- Control Tcnico del Diseo: Para verificar que el Control Tcnico del Diseo se ha
efectuado adecuadamente, se debe utilizar el Formulario de Registro de
Tcnicas de Diseo y se deben realizar estudios de gabinete de la documentacin generada,
as como efectuar reuniones de revisin tcnica, conjuntamente con el personal de analistas
del proyecto.
En caso de verificarse la falta de aplicacin de las tcnicas o errores en el trabajo de diseo,
estas se registran en un acta, para que sean superadas.
En este caso tambin es mejor efectuar el control en forma permanente, apenas se finaliza
una sub.-etapa y antes de proceder a la prxima, pues hacerlo en forma posterior es mas
costoso y requiere de mayor tiempo, teniendo mayores implicancias.

AUTOEVALUACIN

1. Elaborar y disear programas para las reas de auditoria de sistemas.

Lo Importante es Proteger la Informacin
Otros Problemas Comunes
La Autentificacin: Prevencin de suplantacin.
Garanta de la firma: Niveles de Autorizacin
Controles de Acceso. Password, llaves. Otros.
Verificacin de la propiedad de la Informacin.
Deteccin de fraudes.
Procedencia de la informacin.
Disponibilidad de la Informacin. Personal de confianza.
Proteccin contra terceros. No Ingresar, etc.
Proteccin contra negligencias, descuidos, ignorancia, etc.
Riesgos de perdida, Virus, Incendios, otros.

96

FUENTES DE INFORMACIN

1. Turner, L. y Weickgenannt, A. (2008). Accounting Information Systems:
Controls and Processes. Illinois: ISACA

2. ISACA (2008). The COBIT 4.1 [en lnea]. Illinois: Autor. Recuperado el 25
de noviembre de 2009:
http://www.isaca.org/Template.cfm?Section=COBIT6&Template=/Tagged
Page/TaggedPageDisplay.cfm&TPLID=55&ContentID=7981

3. Westerman G. y Hunter R. (2007). IT Risks: Turning Business Threats Into
Competitive Advantage. Illinois: ISACA

ELECTRNICAS:

Auditoria de sistemas.
http://www.youtube.com/watch?v=vqu5vR7_Od0&feature=related

Instituto Nacional de Estadstica e Informtica (1996) Auditoria de
Sistemas [en lnea]. Lima: Autor. Recuperado el 25 de noviembre de
2009, de http://www.ongei.gob.pe/publica/metodologias/Lib5002/n00.htm

DELITO INFORMATICO
Los delitos cometidos utilizando la computadora han crecido en tamao, forma y
variedad.
En al actualidad los delitos cometidos va informtica son detectados en 60%.
Fraudes - Falsificaciones - Ventas de Informacin, etc.
Caso de Montesinos Prima de Del Castillo.
Venta de Informacin confidencial CIA - KGB.
Hacker que desvan fondos de los Bancos.
Venta de formulas secretas de productos.
Fraude Bancarios.
Beneficio Personal.
Odio a la organizacin.
Problemas Financieros.
Sndrome de Robin Hood.
Fcil modo de desfalco.
Por deudas.
Vicios de juego.
Equivocacin de ego.
97
Los 10 Mandamientos del password (2009) [video] [en lnea]. Recuperado
el 25 de noviembre de 2009, de
http://www.youtube.com/watch?v=99kR9T96pDI&feature=related (4:36
min.)

Delitos Informticos Programa Acceso Mximo: entrevista a Raymond
Orta experto en delitos informticos. (2008?) [video] [en lnea].
Recuperado el 25 de noviembre de 2009, de
http://www.youtube.com/watch?v=vqu5vR7_Od0&feature=related (7:12
min.)

Seguridad Informtica: Video sobre la seguridad informtica Upiicsa
(2008?) [video] [en lnea]. Recuperado el 25 de noviembre de 2009, de
http://www.youtube.com/watch?v=6ihTC8up2eM (6:01 min.)

Manual Auditoría de Sistemas

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Manual Auditoría de Sistemas

Uploaded by

Copyright:

Available Formats

UNIVERSIDAD DE SAN MARTIN DE PORRES

You might also like