AUDITORA EN INFORMATICA

LA AUDITORA COMO ACTIVIDAD

PROFESIONAL. Concepto universal de
auditora.
Representa el examen de los estados financieros de una entidad, con el
objeto de que el contador pblico independiente emita una opinin
profesional
respecto
a
si
dichos
estados
representan
la
situacin financiera, los resultados de la operaciones, las variaciones en
el capital contable y los cambios en la situacin financiera de una
empresa, de acuerdo con los principios de contabilidad generalmente
aceptados. ( IMCP)
La auditora representa el examen de los estados financieros de
una entidad, con el fin de emitir una opinin sobre la razonabilidad
de las cifras que de ellos emanen.
Aunque en la actualidad se realizan diversos tipos de auditora, todos
no llevan a emitir una opinin sobre algn registro, sistema, operacin o
actividad en particular o con fines especficos.
1. CONCEPTO DE AUDITORA EN INFORMATICA:

La Auditora en informtica se refiere a la revisin prctica que se

realiza sobre los recursos informticos con que cuenta una entidad con
el fin de emitir un informe o dictamen sobre la situacin en que se
desarrollan y se utilizan esos recursos. (Jos de Jess Aguirre Bautista)

2. Clasificacin de la auditora.
Tradicionalmente se consideran dos tipos de auditora: las internas y las
externas
La auditora interna la desarrollan personan que pueden o no depender
de la entidad y actan revisando, las ms de las veces, aspectos que
interesan particularmente a la administracin, aunque pueden efectuar
revisiones programadas sobre todos los aspectos operativos y de
registro de la empresa, con el fin de emitir un informe sobre su revisin.
La auditora externa, conocida tambin como auditora independiente,
la efectan profesionistas que no dependen de la empresa, ni
econmicamente ni bajo cualquier otro concepto, y a los que se conoce
un juicio imparcial merecedor de la confianza de terceros. El objeto de su
trabajo es la emisin de un dictamen. Esta clase de auditora es la
actividad ms caracterstica del Contador Pblico o del Licenciado en
Informtica.
Tambin existen otros tipos de auditora como
son:
Auditora operacional, se refiere a la revisin de la operacin de
una empresa y se juzga la eficiencia de la operacin misma.
Auditora administrativa, se refiere a la organizacin y eficiencia de la
estructura del personal con que cuenta la empresa y los procesos
administrativos en que acta dicho personal.
Auditora social.-se refiere ala revisin del entorno social en que se
ubica y desarrolla una empresa, con el fin de valorar aspectos
externos e internos que infieran en la productividad de la misma.

NATURALEZA

PROPSITO/
OBJETIVO

ALCANCE

AUDITORA
AUDITORA
AUDITORA
AUDITORA
ADMINISTRATIVA OPERACIONAL
CONTABLE
INFORMTICA
Tcnica
de Tcnica
de Tcnica
de Tcnica
de
Control
Control
Control
Control
Administrativo
Administrativo
Administrativo
Administrativo
Evaluar
y mejorar
la

Promover
la eficiencia en
las

La eficiencia y
productividad de La eficiencia
el
proceso de las
productivo
operaciones

La
ciencia
Administrativa y
FUNDAMENTO la normatividad
de la empresa

La
ciencia
Administrativa y
la normatividad
de la empresa

Apoyado
METODOLOGA Mtodos
Cientficos
APLICACIN
PROYECCIN
INFORME

Dictamen a los Evaluar

Estados
los recursos
Financieros
informticos
Todas
las
actividades
informticas

El
sistema
contable
Principios
contabilidad
normas
auditora

de
y Normatividad
de institucional
legal

en Tcnicas
y
procedimientos
predeterminadas
A la empresa
A las funciones
y sus
de la empresa
funciones

Tcnicas
Tcnicas
y
y
procedimientos
procedimientos predeterminados
predeterminadas

Hacia el futuro

Hacia el futuro

Hacia el pasado

Hacia el futuro

Amplio

Amplio

Preciso

Amplio y Preciso

A los estados A todas las

financieros
reas de la
empresa

3. IMPORTANCIA DE LA AUDITORA EN INFORMTICA.

Siempre ha existido la preocupacin por parte de las organizaciones por

optimizar todos los recursos con que cuenta la entidad, sin embargo por
lo que respecta a la

tecnologa de informtica, es decir, software,

hardware, sistemas de informacin, investigacin tecnolgica, redes

locales, bases de datos, ingeniera de software, telecomunicaciones, etc.
esta representa una herramienta estratgica que representa rentabilidad
y ventaja competitiva frente a sus similares en el mercado, en el mbito
de los sistemas de informacin y tecnologa un alto porcentaje de las
empresas tiene problemas en el manejo y control, tanto de los
datos como de los elementos que almacena, procesa y distribuye.

El propsito de la revisin de la auditora en informtica, es el verificar

que los recursos, es decir, informacin, energa, dinero, equipo, personal,
programas de cmputo y materiales son adecuadamente coordinados y
vigilados por la gerencia o por quien ellos designen.

Durante aos se ha detectado el despilfarro de los recursos o

uso
inadecuado de los mismos, especialmente en informtica, se ha
mostrado inters por llegar por llegar a la meta sin importar el costo y
los problemas de productividad.

4. ANTECEDENTES DE LA AUDITORA EN INFORMATICA.

S bien la auditora se ha llevado a cabo desde, que el hombre hizo su

aparicin, esta se llevaba de manera emprica, ha sido de gran ayuda
para los pueblos conquistadores, ya que tenan que conocer y dar fe de
los tributos que les rendan los pueblos conquistados, en Mxico los
oidores de la corona espaola, que con el paso del tiempo se
transformaran en auditores, que vigilaban el pago de quinto real a los
reyes de Espaa.
La

auditora

en

informtica

es

ms

reciente,

se

tiene

como

antecedente ms cercano a los Estados Unidos de Amrica.

En los aos cuarenta

se empezaron a dar resultados relevantes en

el campo de la computacin, con sistemas de apoyos para estrategias

militares, sin embargo, la seguridad y el control solo se limitaba a dar
custodia fsica a los equipos y a permitir el uso de los mismos solo a
personal altamente calificado.

Con el paso de los aos la informtica y todos los elementos tecnolgicos,

que la rodean han ido creando necesidades, en cada sector social y se
han vuelto un requerimiento permanente para el logro de soluciones.

5. reas a auditar en Informtica

Las reas a auditar en donde se puede realizar la auditora en

informtica, puede ser:
A toda la Entidad.
A un departamento.
A un rea
A una funcin
A una subfuncin.
Y se pueden aplicar los siguientes tipos de auditora:
Auditora al ciclo de vida del desarrollo de un sistema
Auditora a un sistema en operacin
Auditora a controles generales ( gestin)
Auditora a la administracin de la funcin de informtica.
Auditora a microcomputadoras aisladas
Auditora a redes.
Clasificacin de acuerdo a Jos de Jess Aguirre Bautista.

II. MUESTREO ESTADSTICO EN LA AUDITORIA.

1. Conceptos bsicos de muestreo.
Hasta el da de hoy la Comisin de Normas y Procedimientos de
Auditora ha emitido el boletn 5020, relativo al muestreo en auditoria
que comprende tanto muestreo estadstico como no estadstico.
El muestreo estadstico es aqul en el que la determinacin del tamao
de la muestra, la seleccin de las partidas que la integran y la
evaluacin de los resultados, se hacen por mtodos matemticos
basados en clculos de probabilidades. (IMCP)
Poblacin es el conjunto de todos los elementos de inters en un
estudio.
Una muestra es un subconjunto de una poblacin.
2. Mtodos de muestreo utilizados en auditora.
Existen varios tipos de muestras que se utilizan en auditoria, si bien
el IMCP, solo menciona el muestreo de atributos y Muestreo de variables,
existen otros tipos de muestreo, que depende del auditor pueden ser
tiles para desarrollar los procedimientos de auditoria entre ellos
encontramos:
Muestreo aleatorio simple
Muestreo estratificado
Muestreo de atributos
Muestreo de aceptacin.
Muestreo por conglomerados
Muestreo sistemtico
Muestreo por conveniencia
Muestreo por juicio.

2.1

Muestreo aleatorio simple

La definicin de este mtodo y el proceso de seleccionar una

muestra aleatoria simple depende si la poblacin es finita o infinita.
Muestreo aleatorio simple ( poblacin finita)
Una muestra aleatoria simple de tamao n, de una poblacin finita
de tamao N, es una muestra seleccionada de tal manera que cada
muestra
posible de tamao n tenga la misma probabilidad de ser seleccionada.
Muestreo aleatorio simple (poblacin infinita)
Es aquella que se selecciona de tal forma que se satisfacen las
siguientes
condiciones
:
Cada elemento seleccionado proviene de la
misma seleccin.
Cada elemento se selecciona de forma independiente.
2.2

Muestreo Estratificado.

En este tipo de muestreo primero se dividen los elementos de la

poblacin en grupos llamados estratos, de tal manera que cada
elemento de la poblacin pertenece a uno y solo a un estrato. Si los
estratos son homogneos el procedimiento de muestreo estratificado
producir resultados tan precisos que como el muestreo aleatorio
simple, pero con menor tamao de la muestra.
2.3

. Muestreo por atributos ( Recomendado por el IMCP)

El muestreo por atributos es un mtodo estadstico que se utiliza para

calcular la proporcin de partidas de una poblacin que contiene
una caracterstica o un atributo de inters. Esta proporcin recibe el
nombre de tasa de concurrencia o tasa de excepcin y es la
proporcin de partidas que contienen el atributo especfico en relacin
al nmero total de partidas

10

de la poblacin. La tasa de ocurrencia por lo general se expresa como

un
porcentaje
.
A los auditores les interesa la ocurrencia de los siguientes tipos de
excepciones en las poblaciones de datos contables:
Desviacin de los procedimientos del control establecido por el
cliente.
Errores o irregularidades monetarias en los datos de las operaciones.

Errores o irregularidades monetarias en los detalles de los saldos

en las cuentas.

El auditor llegara a la conclusin que la tasa de excepcin de la muestra

es el calculo mas probable de la tasa de excepcin de la poblacin.
Dado que se basa en una muestra, sin embargo, existe una probabilidad
significativa que en la tasa de excepcin de la muestra y la tasa de
excepcin de la poblacin real difieran. Los mtodos estadsticos
permiten al auditor indicar la medida en que los dos ndices de
excepcin probablemente difieran y la confiabilidad del clculo. Lo
primero recibe el nombre de precisin y lo segundo riesgo de
muestreo. As pues una vez que se calcula el ndice de excepcin de la
muestra, el auditor determinara la precisin del clculo, lo sumara y lo
restara del ndice de excepcin de la poblacin. El auditor llegara a la
conclusin que el calculo del intervalo contiene el ndice de excepcin
real de la poblacin en determinado riesgo de muestreo.

11

El
Universo
Se llama as al cuerpo de datos en donde el auditor desea extraer
muestras para llegar a una conclusin, e auditor deber determinar
que el universo en donde extrae la muestra es apropiado para el
objetivo especfico de la auditora.
Las partidas individuales que componen el universo se conocen como
unidades de muestreo para obtener una muestra efectiva y eficiente que
le permita alcanzar el objetivo particular de auditora.

Riesgo
certidumbre

Al programar la auditora, el auditor utiliza su criterio profesional para

determinar el nivel de riesgo de auditora apropiado.
Los
riesgos
de
auditora
incluyen:
El riesgo de que ocurrirn errores importantes tambin
conocidos como riesgo inherente.
El riesgo de que el sistema de control interno contable del cliente
no prevenga ni corrija tales errores tambin conocido como riesgo
de control.
El riesgo de cualquier otro error importante no sea detectado por
el auditor tambin, conocido como riesgo de deteccin.
El objetivo del auditor debera ser el reducir el riesgo fuera del muestreo
a un nivel mnimo por medio de un planeacin, direccin, supervisin y
revisin adecuada.

12

Error Tolerable
Es el error mximo en el universo que el auditor estara dispuesto a
aceptar y a pesar de eso concluir que el resultado del muestreo ha
alcanzado su objetivo de auditora. El error tolerable es considerado
durante la etapa de planeacin y se relaciona con el juicio preliminar del
auditor respecto a la importancia. A menos grado de error tolerable, ser
mayor el tamao e la muestra que requerir el auditor.
En los procedimientos de cumplimiento el error tolerable es el porcentaje
mximo de desviacin de un procedimiento de control prescrito que el
auditor estara dispuesto a aceptar sin alterar el grado de confianza que
tena planeado depositar en el control que esta probando. En el caso de
procedimientos sustantivos, el error tolerable es el error monetario
mximo en el saldo de una cuenta o transaccin que el auditor estara
dispuesto aceptar de manera que al considerar los resultados de todos
los procedimientos de auditora, este en posicin de concluir con
razonable seguridad, que la informacin financiera no contiene errores
importantes.

Error
esperado
universo

en

el

Si el auditor espera la presencia del error, normalmente tendr que

examinar una muestra mayor para concluir que el valor del universo esta
razonablemente presentado dentro del error tolerable estimado o que la
confianza que se haba planeado depositar en un control importante esta
justificada, las muestras de mayor tamao se justifican cuando se
esperan que el universo se encuentre libre de errores. Al determinar el
error esperado en un universo, el auditor deber considerar asuntos
tales como niveles de error identificados en auditoras previas, cambios
en los procedimientos de los clientes y evidencia disponible de su
evaluacin del sistema de control interno contable y de los resultados de
procedimientos de revisin analticos.

13

III. METODOLOGA GENERAL PARA LA AUDITORIA EN INFORMTICA.

1.- Introduccin
Metodologa es una secuencia de pasos lgica y ordenada de
proceder para llegar a un resultado. Generalmente existen diversas
formas de obtener un resultado determinado, y de esto se deriva la
existencia de varias metodologas para llevar a cabo una auditoria
informtica.
Planeacin. Esta consiste en la elaboracin de los
programas de trabajo que se llevaran acabo durante la
revisin a la entidad auditada.

Trabajos preliminares.- Consisten bsicamente,

de una serie de entrevistas con nuestro cliente,
las cuales tienen como objetivo dejar en claro las
caractersticas bsicas del trabajo que se va a
realizar, que es lo que quiere el cliente y que har,
en trminos generales, el auditor.

Diagnstico
Administrativo
El
Diagnstico
Administrativo tiene por objetivo, proporcionarnos
una panormica de cmo la empresa percibe y
practica la Administracin.
Investigacin Previa.- Aqu conoceremos la empresa
y de ser posible validaremos la problemtica que
nos fue expuesta por el cliente. Despus de esta
fase se estar en posibilidades de hacer una
mejor estimacin del tiempo y de los honorarios, si
es que no lo pudo hacer en la primera fase.
Elaboracin del programa de la AI.- Todo buen
administrador debe planear sus actividades y el
auditor no debe ser la excepcin, el programa
seala

14

las actividades que han de realizarse, fechas de inicio

y trmino, as como los tiempos.
Obtencin de la Informacin:
o En esta fase se obtendr toda la informacin pertinente
sobre el caso estudiado, pudiendo recurrir a herramientas
como:
entrevistas,
encuestas,
observacin,
etc.,
dependiendo el tipo de informacin que necesite.
Anlisis, clasificacin y evaluacin de la informacin:
o El anlisis y clasificacin de la informacin podr realizarse
por mtodos estadsticos
o Evaluacin es aqu en donde se pone a prueba el talento del
auditor, por que para entender e interpretar la informacin
y continuar con el siguiente paso.
Informe, elaboracin y presentacin del informe final.
o En l se informar de manera clara y concisa, sobre
los resultados de la AI. No debemos olvidar que a los ojos
de nuestro cliente l paga por recibir un informe, y en l
debe encontrar valiosas recomendaciones que habrn de
mejorar su administracin., el informe aunque es escrito,
debe presentarse apoyado en una exposicin verbal.
o Implementacin
y
seguimiento:
Algunos
autores
consideran esta fase como opcional, que no corresponde
al auditor realizarla, sino a la empresa, yo considero que
el auditor debe participar, para que se interpreten
correctamente sus recomendaciones y no haya lugar a
desvos en las mismas.

15

Etapas de la Metodologa
l mtodo de trabajo del auditor pasa por las siguientes
etapas: Alcance y Objetivos de la Auditora Informtica
Estudio inicial del entorno auditable
Determinacin de los recursos necesarios para realizar la auditora
Elaboracin del plan y de los Programas de Trabajo
Actividades propiamente dichas de la auditora

16

IV. AUDITORA DE
SISTEMAS

La experiencia de la mayora de las empresas nos indica que los

resultados obtenidos del proceso de desarrollo de los sistemas de
informacin son
deficientes. Mencionar algunos problemas como ejemplo:
Costos en una proporcin inadecuada a los beneficios.
Incremento en la escala del proyecto.
Sistemas
no
integrales
o
aislados.
Deficiente comunicacin entre usuarios y personal del P.E.D. (Proceso
Electrnico
de
Datos);
desconocimiento
del
papel
/
responsabilidad de usuarios y direccin.
Escasez
de
personal
profesional.
Expectativas no cumplidas, insatisfechas de los
usuarios.
Ausencia de pistas de auditora.
Falta de revisiones tcnicas a
detalle.
Entrenamiento deficiente.
Carencia
o
incompleta
documentacin
de
sistemas
(documentacin tcnica), de operacin y/o de usuario.
Carencia de metodologa, o bien de metodologa incompleta y no
estndar, para el desarrollo de los sistemas, en la que se sealen
con precisin actividades, tiempo estimado y responsable
Administracin insuficiente de los proyectos.
Inoportunidad en la transferencia de sistemas en desarrollo a
operacin
normal.
Desaprovechamiento tecnolgico.
Pruebas del sistema incompletas, inadecuadas, desorganizadas,
sin documentar y/o mal diseadas, las cuales garanticen que los
errores e irregularidades se detectan oportunamente por
sistema. Pruebas no siempre controladas por usuario.

17

Cabe destacar que es sumamente importante que el auditor est

involucrado desde el plan maestro del sistema.
Fundamentalmente al auditor del ciclo de vida de desarrollo de sistemas
le interesa:
Que exista una metodologa.
Que la metodologa sea la adecuada al entorno tecnolgico de la
entidad, sea estndar, completa, al da, aprobada, y comunicada a
todo el personal.
Que la metodologa se cumpla en el caso de un sistema
de
informacin,
general.

en

particular

en

El auditor no siempre ha participado en el ciclo de vida de desarrollo

de
los sistemas pues teme ser juez y parte, pero es conveniente que el
auditor est consciente de que l no representa un factor para la
toma de decisiones, sino ms bien juega un papel de control que
contribuye a disminuir riesgos, no a evitarlos. En otras ocasiones la
falta de su participacin se debe a la escasez de tiempo o personal en
cuanto a prioridades.
La mayora de las organizaciones destinan enormes recursos al
desarrollo de nuevos sistemas o a la modificacin de los mismos. A
la luz del incremento en el porcentaje de fallas en las fechas de
terminacin, costos estimados y la satisfaccin del usuario, las
organizaciones deben seguir un enfoque estructurado para el
desarrollo de nuevos sistemas y el mantenimiento de los mismos. La
combinacin de tcnicas efectivas de administracin del proyecto, la
participacin activa del usuario y especialistas, y la utilizacin de una
metodologa estructurada para el desarrollo de sistemas puede
minimizar los riesgos en cuanto a aplicaciones inapropiadas,
errneas, con datos sin uso o bien a las que se efectan cambios
injustificados: el gran salto hacia delante se logra con pequeos
saltos.

18

Los sistemas de informacin se deben desarrollar para servir al usuario,

proporcionndole capacidades para el proceso de datos y reportes.
Cada sistema de informacin tiene cuatro principales reas o
fases sujetas a control durante el proceso del ciclo de vida del
desarrollo de
sistemas:
Planeacin
Anlisis y Diseo
Desarrollo
Implantacin
El reconocer que hay un ciclo de vida para el desarrollo de sistemas es
el
primer paso para su control el hecho de dividir el desarrollo en fases
permite predecir el proyecto integro, analizar y evaluar cada parte con
mayor concentracin y monitorear continuamente la calidad y avance
del trabajo. Cada rea de control se divide en fases que involucran
diversas actividades, responsabilidades y productos finales. Los
proyectos de desarrollo se estructuran como acumulativos, cada
actividad o etapa descansa en la precedente. Las actividades del
proyecto deben ser evaluadas conforme se realizan y tomar la decisin
de continuar con la asignacin de recursos y con el programa de trabajo
o detenerse a tiempo.
La revisin del ciclo de vida del desarrollo de sistemas parte de los
estndares o metodologa requerida para el desarrollo de los nuevos
sistemas y las modificaciones a los mismos. El propsito de la revisin
efectuada por el auditor de sistemas de informacin es asegurar que la
organizacin tiene y usa la metodologa adecuada de desarrollo.
Adicionalmente el auditor de sistemas de informacin est interesado en
asegurar que el proceso de desarrollo se adhiera a los estndares
establecidos por la metodologa. Su participacin puede ser durante el
desarrollo del sistema o una vez ya concluido.

19

OBJETIVOS
AUDITORA

DE

La meta es verificar que se desarrollen sistemas tiles, seguros,

auditables, mantenibles y controlables, lo cual produzca resultados
consistentes para satisfacer los requerimientos del usuario.
FASES DEL CICLO DE VIDA DEL DESARROLLO DE
SISTEMAS

PLANEACI
N
1. Requisicin de servicios
2. Estudio de factibilidad
DISE
O
3. Diseo general del sistema
4. Diseo detallado del sistema
DESARROLL
O
5.
6.
7.
8.

Programacin
Prueba modular y prueba del sistema integral
Desarrollo de manuales
Entrenamiento

IMPLANTACIN
9. Conversin
10.
Revisin de la post-implantacin

20

PLANEACIN
1. REQUISICIN DE SERVICIOS
Justificacin.
Ambiente.
Alcance.
Restricciones.
Beneficios.
Integracin del equipo de trabajo y sus responsabilidades.
Definicin de requisitos de informacin, nuevos y
existentes.
Aprobacin del proyecto.
2. ESTUDIO DE FACTIBILIDAD
Estudio
de
existentes.

los

procedimientos

Formulacin de cursos alternativos de accin.

Factibilidad
tecnolgica
(mtodos
aplicables
de
P.E.D.), disponibilidad de la tecnologa que satisfaga las
necesidades del usuario, actualizacin o complemento a los
recursos actuales. Factibilidad econmica
Costos actuales contra costos de cada alternativa (personal de
desarrollo, equipo software, entrenamiento, preparacin de la
entrada, conversin de archivos de prueba, operacin, costo del
software, etc.).
Identificacin y cuantificacin de beneficios.
Factibilidad operativa. Determinar qu se operar, utilizar;
tomando en cuenta factores como la resistencia al cambio,
caractersticas del personal, ubicacin de las instalaciones, etc.
Plan maestro del proyecto (puntos de control y calendarizacin
de actividades).
Estado general de la funcin de
desarrollo. Aprobacin del proyecto.

21

ANALISIS Y DISEO DE SISTEMAS

3. DISEO GENERAL DEL SISTEMA
Estructura general del sistema.
Definicin y documentacin de los requisitos de salida del sistema.
Contenido y formato de los informes.
Frecuencia de produccin de
reportes.
Lista de distribucin de reportes.
Periodos de retencin de
informes. Controles sobre la
salida.
Definicin y documentacin de los requisitos de entrada.
Requisitos de edicin y validacin (control).
Revisiones de seguridad para la proteccin de la
exclusividad.
Controles sobre la entrada.
Definicin y documentacin de los requisitos de archivos
Definicin de los tipos de registros o estructuracin de bases de
datos.
Mtodos de organizacin.
Niveles de seguridad y controles de
acceso. Periodos de respaldo y retencin.
Definicin y documentacin de los requisitos de procesamiento
(manual y computarizado).
Especificacin de procedimientos programados de clculo,
clasificacin, etc.
Estimacin de tiempos de respuesta.
Normatividad
. Interfases.
Niveles de seguridad.
Diseo de documentos fuente.
En esta parte se determinan las especificaciones del usuario, es decir todo
aqul que dentro del contexto de la organizacin se relaciona con el
sistema. Existen usuarios primarios y usuarios secundarios.

22

Usuario primario: Es aqul que usa directamente en sus tareas

los
resultados
del
sistema
de
informacin.
Usuario secundario: Es aqul que introduce datos al
sistema.
El analista de sistemas debe comprender las responsabilidades,
limitaciones, necesidades del usuario, las acciones que deber tomar el
usuario, las reglas de decisin a aplicarse y los itinerarios de
interacciones. Las
especificaciones
del
usuario
involucran
el
diagnstico de la problemtica y las especificaciones de solucin.
Estas tienen la fuerza de un contrato o compromiso entre el usuario y el
personal de P.E.D.: tiempo de desarrollo, nivel de desempeo. Las
especificaciones de usuario son los antecedentes para todo el equipo de
desarrollo. Deben responder a las preguntas, Cmo?, Por qu?, por
tanto se debern quedar diagramados los procedimientos actuales y los
esperados.
Las decisiones que tienen que tomar los usuarios de un sistema de
informacin se pueden dar a 3 niveles:
1)
Nivel
de
Administracin
Estratgica:
Guan al nivel medio y operativo de administracin, actan en
un clima de incertidumbre. Postulan metas, estrategias y
polticas.
2)
Nivel
Medio
de
Administracin:
Toman decisiones sobre planeacin y control a corto plazo,
trabajan en un ambiente de baja certidumbre y las decisiones
carecen de alto grado de estructuracin.
3)
Nivel
Operativo
de
Administracin:
Apoyan sus decisiones en reglas pre-establecidas, operan en
nivel de alta certidumbre y fundamentalmente, consiste en la
supervisin de detalles operativos.

23

NIVEL
DE

NIVEL

DE

CONTROL

CARACTERSTICA
S

OPERATIVO

AMPLIA

VISION
DE
LA INFORMACIN

ESTRECHA

GENERAL

NIVEL DE DETALLE

MUY DETALLADA

RESUMIDO

NIVEL DE RESUMEN

DATOS PRIMARIOS

ANTIGUA

ANTIGEDAD

MUY ANTIGUA

DIRECCION
ESTRATGICA

DE LA INFORMACIN
ESTIMACIONES

PRECISIN
PRECISIN
DE LA INFORMACIN

CUALITATIVA

TIPO
INFORMACIN

DE CUANTITATIVA

PRINCIPALMENTE

PRINCIPALMETE

EXTERNA

FUENTE INTERNA

Otro factor importante a considerar son las relaciones humanas, ya que los
sistemas de informacin pueden cambiar las relaciones interpersonales y
las interacciones.
Se debe comprender el estilo organizacional, tomar la organizacin
como un todo, identificar el grado de apertura / restriccin:
Permeabilidad. Es necesario identificar si el estilo de liderazgo es
autcrata o demcrata.
24

La recopilacin de datos involucra la investigacin documental, la

realizacin de entrevistas y la observacin., Qu se examinar?, A
quines se entrevistar?
Principales objetivos de los formatos / pantallas de captura:
Precisin.
Facilidad de uso y
sencillez. Consistencia.
Controlables (flujo).
Principales objetivos de las salidas:
Satisfaccin del objetivo planteado.
Adaptada al usuario.
Adecuada cantidad de informacin.
Oportunidad.
Medio apropiado.
Medicin del grado de confidencialidad.

Es mucho menos costoso corregir problemas cuando stos se encuentran

en sus etapas iniciales, que esperar a que se expresen mediante quejas de
usuarios o aparicin de crisis.

4. DISEO DETALLADO DEL SISTEMA

Diseo de documentos fuente.
Especificaciones de programas y controles programados
(costo- beneficio).
Diseo de pistas de auditora.
Estndares de documentacin de programas.
Nombre de la aplicacin.
Diagrama del sistema (men jerrquico).
Aspectos
generales
del
programa.
Formatos de archivos
de entrada.
Formatos de
archivos de salida.
Diseo y muestra de
reportes.
Diseo y muestra
de pantallas.
Descripcin detallada de los principales procedimientos de
clculo, clasificacin, etc., incorporados al programa.
Criterios de seleccin.
Procedimientos de conexin de cifras.
Instrucciones de corrida y listado de procedimientos de
ejecucin. Medio de almacenamiento y localizacin del
programa.
Requerimientos de equipo.
Listado del programa fuente (ltima compilacin, con comentarios
a la lgica).
Estndares para la prueba de programas y del sistema
total.
Procedimiento para establecer datos de prueba.
Asignacin de responsabilidades para la preparacin de datos
y evaluacin de los resultados.
Autorizacin y aceptacin escrita.

En esta etapa se definen las especificaciones tcnicas, es decir las

caractersticas y definiciones tcnicas y operativas del sistema, lo cual es
responsabilidad del lder de proyecto en informtica. Las especificaciones
tcnicas incluyen:
Instrucciones para programacin.
Itinerario para el desarrollo de programas / mdulos.
Matrices de archivos / programas, mdulos /
programas. Seleccin de los lenguajes de
programacin.
Controles del operador.
Instrucciones al operador en caso de
interrupciones.
Procedimientos de respaldo,
reinicio y recuperacin.

DESARROLLO
5. PROGRAMACIN
-

Desarrollo y elaboracin de la documentacin de programas.

6.
PRUEBA
MODULAR
INTEGRALMENTE

PRUEBA

DEL

SISTEMA

Se deben ejercer presiones para hacer fallar el sistema. Las pruebas

deben efectuarse con volmenes de datos y bajo condiciones reales
de operacin.
Cualquier
error
detectado
debe
ser
cuidadosamente analizado y corregido, preparndose un reporte de
excepciones: problema, causa y solucin, indicando la fecha de
correccin. La prueba debe estar bien dirigida, organizada, ser
exhaustiva y eficiente,
involucrando
:
Los procedimientos manuales, incluyendo al rea de mesa de
control.
Los programas de cmputo y procedimientos de
ejecucin.
Archivos de prueba.
Al personal.
Es importante que se documenten las pruebas y se muestre en ellas la
aprobacin del usuario.
Plan de instalacin.
En el caso de proyectos grandes conviene desarrollar un plan de instalacin
piloto o por mdulos, asignando responsabilidades.

7. DESARROLLO DE MANUALES
De Operacin:
Representacin grfica de la estructura del sistema.
Funcin de cada
programa.
Requerimientos de equipo.
Tamao estimado de archivos (normal y mximo).
Explicacin de los mensajes de la consola, junto con la respuesta
adecuada del operador.
Instrucciones de corrida y listado de procedimientos de
ejecucin.
Calendarizacin de procesos.
Parmetros a alimentar.
Creacin de salida y su distribucin.
Identificacin adecuada de las etiquetas de los archivos de
Puntos de reinicio y recuperacin.
salida.
Procedimientos para notificar errores o condiciones
defectuosas.
Procedimientos para casos de emergencia.
De Usuario:
Representacin grfica de la estructura del sistema.
Procedimientos de preparacin de datos.
Asignacin de prioridades.
Tiempo probable de respuesta y recepcin de productos finales.
Especificaciones de diseo de entrada de datos (formatos y
pantallas de captura).
Especificaciones de diseo de salida de datos (reportes / pantallas de
consulta).
Controles de usuario.
Procedimientos para resolver errores e
incongruencias. Controles sobre la entrada y salida.

Del Sistema:
Representacin grfica de la estructura del
sistema.
Documentacin de cada programa de
cmputo.
La revisin de la documentacin de una aplicacin involucra identificar
su
existencia, analizar su contenido y juzgar su oportunidad
y
disponibilidad.
La calidad del mantenimiento de sistemas depende en gran medida de la
calidad de la documentacin. Adems de la claridad y organizacin de la
documentacin, debe dedicarse especial atencin al tipo al tipo de
personas a quien va dirigido.
8. ENTRENAMIENTO
Mtodos de la enseanza.
Mecanismos para evaluacin del aprendizaje.

IMPLANTACIN
9. CONVERSIN
Identificacin de fuentes de informacin.
Recopilacin de informacin.
Revisin de la exactitud de los documentos previos a la conversin.
Evaluacin de los resultados de la conversin.
La etapa de conversin significa abandonar el sistema actual, manual o
computarizado, para emigrar a uno nuevo y, conciliar los resultados.
Los controles en la etapa de conversin persiguen el asegurar que los
archivos iniciales proporcionan un punto de arranque adecuado, marcando:
itinerarios, compromisos, condiciones de xito.

Normalmente la conversin requiere del desarrollo de programas de

conversin de archivos de un formato a otro.
10.

REVISIN DE LA POST-IMPLANTACIN

La revisin post-implantacin es una revisin formalmente planeada,

que debe realizarse despus de transcurridos 3 o 6 meses de la
instalacin
definitiva. La revisin post-implantacin normalmente involucra:
Evaluacin del cumplimiento de las necesidades de usuario.
Anlisis de costo-beneficio.
Efectividad de los
controles.
Control de modificaciones al sistema.
Mantenimiento del Sistema
Debido a que lo nico constante en sistemas es el cambio, en esta etapa
se
analiza y evala como ha sido el mantenimiento de sistemas para
proteger a la instalacin de cambios incorrectos, no autorizados o
decisiones equivocadas.
El primer cambio surge el da que se instala el
sistema.
El mantenimiento de sistemas se origina por los siguientes
factores:
Cambios en normatividad interna y externa a la entidad.
Desarrollo tecnolgico.
Comportamiento del entorno,
competencia. Costos excesivos.
Normalmente los cambios obligatorios se efectan con menos controles,
por la presin implcita, mientras que los cambios por mejoras
(refinamiento, creatividad, ventajas tecnolgicas) se atienden
ms controladamente.

Al auditor le preocupa que haya un sistema para administrar los

cambios,
por ejemplo hacer los cambios por grupos o lotes pertenecientes a un
mismo mdulo/programa. La documentacin de los cambios debiera
mostrar:
Control numrico.
Fecha de
implantacin.
Persona
solicitante.
Persona que efectu el
cambio. Justificacin.
Descripcin narrativa.
Documentacin de las
pruebas.
Autorizacin formal.
Todo
cambio
documentacin
correspondiente
.

debiera

originar

la

actualizacin

de

la

La conciencia de la calidad, seguridad y control, debe iniciarse en las

reas de desarrollo, contemplando un balance adecuado con la
productividad de los sistemas.
rea de
Sistemas.

Control

Planeacin

de

Los objetivos de control del proceso de planeacin de sistemas son el

asegurar que:
1- Los proyectos de desarrollo de sistemas de informacin son
planeados con la suficiente anticipacin.
2- Las necesidades y objetivos son definidas adecuadamente.
3- Se evalan adecuada y suficientemente las desventajas, los
aspectos econmicos, tcnicos, humanos, polticos y de operacin.
4- Los sistemas son planeados de acuerdo a
estndares. Si no se puede planear tampoco se podr
hacer.
32

rea de Control | Diseo de Sistemas.

Los objetivos de control del proceso de desarrollo de sistemas
son
asegurar
que:
1- Los programas son construidos de acuerdo con las
especificaciones aprobadas por el usuario en la etapa de diseo del
sistema.
2- Los programas son desarrollados en base a especificaciones
detalladas por programa.
3Los sistemas
documentados.

son

verdaderamente

4Los
entrenados.

son

adecuadamente

usuarios

5El sistema
estndares.

est

de

acuerdo

probados

La participacin del autor de sistemas de informacin en el proceso

de desarrollo se basa en la siguiente afirmacin:
La deteccin y correccin de controles inadecuados o incompletos
durante la fase de diseo ahorrar tiempo y dinero cuando el sistema
est operando.

33

V. AUDITORA DEL EQUIPO DE CMPUTO.

Una de las reas de auditoria mas conflictivas y sensibles en una

Institucin es la funcin de adquisiciones que, tratndose de recursos
informticos se vuelve por dems interesente y muy sensible, debido a
que se tiene que establecer los procedimientos de adquisicin de los
bienes informticos, que van desde una compra simple, hasta una
licitacin en forma, ya sea por adjudicacin directa, por invitacin
restringida, por licitacin nacional o internacional, si se requiere.
Entre los aspectos importantes que tenemos que observar al realizar la
auditoria se encuentran:
Economa y factibilidad del posible proyecto de inversin, para la
solucin de los requerimientos planteados por la entidad
evaluando su efectividad de acuerdo a las metas y objetivos
previamente planeados.
Se debe tener bien establecida la responsabilidad de los proveedores
Equipo / software
A partir del anlisis y definicin de requerimientos se debern explorar
las diferentes alternativas de solucin, realizando un estudio de
factibilidad
que comprendan los siguientes elementos.
Factibilidad econmica. (estudio de costo-beneficio) involucrando los
costos asociados a la adquisicin, considerando no solo el
desembolso inicial sino los costos por entrenamiento al personal y
mantenimiento de los equipos.
Factibilidad operativa, orientado a evaluar si el equipo tendr la
capacidad de procesar la informacin con posibilidades
de crecimiento probadas.

34

Factibilidad tecnolgica, por las restricciones que esto pudiera tener

para aprovechar ntegramente la inversin que esta realizando.
Existen muchos casos en que se obliga a la institucin a adquirir
otro tipo de dispositivos para poder hacer operativo el
equipo inicialmente contratado.
Es importante tomar en cuenta la facilidad que tiene el proveedor
para
dar mantenimiento en el propio lugar en que se encuentra instalado
el
equipo o los programas. Ya que esto puede entorpecer la operacin
en caso de que el proveedor no ofrezca esta posibilidad. Esta
condicin es aun ms importante cuando nos referimos a software
especializado.
En base a lo anterior se iniciara el siguiente paso del proceso que es
el envi de solicitudes de propuestas a diferentes proveedores.
En la prctica se solicita la cotizacin, abrindose esta en una fecha
determinada ante la presencia de todos los concursantes a fin de
que no existan favoritismos en la asignacin del periodo y este se
canalice hacia la mejor alternativa para la institucin.
Estas solicitudes de propuestas debern incluir todas las
especificaciones tcnicas y operativas que debern cumplir para
estar
en
posibilidades
concursar.

de

Con estas propuestas se realizara la evaluacin de los equipos

y
programas y se realizaran las pruebas de aceptacin
previas.
Se sugiere que los resultados de las pruebas se alimenten a un
sistema que asignara calificaciones y en forma automtica, sealara
el ganador del concurso.
Es necesaria una revisin minuciosa del contrato con el proveedor. Es
recomendable solicitar la opinin del departamento legal de la
institucin o en su ausencia de un especialista externo, que valide la
35

formulacin del mismo.

36

En el caso de adquisicin de software es importante definir el nivel

de
modificaciones (customizacin) que requiere para hacerlo operativo
en
la
realidad.
Aceptando
que
los
paquetes
responden
a
necesidades
generales pero que requerirn de este proceso de adecuacin
razonable para hacerlos operativos.
Estos trabajos debern declararse en forma detallada dentro de
los contratos respectivos.
Al trmino de esta actividad se autoriza la compra mediante
la
aprobacin de la gerencia y se iniciara un sistema de seguimiento
del proyecto de tal manera que este se cumpla dentro de las
estimaciones de costo y tiempo definidas.
Otro aspecto importante a sealar es la capacitacin requerida y
ofrecida por el proveedor, tanto en hardware como en software, que
tambin tendr que formar parte de la propuesta inicial para tener un
panorama real de la inversin necesaria.
Es necesario tener claramente especificado de que activos se trata,
de que manera y cuales sern los requisitos de autorizacin
necesarios, los cuales pasaran a formar parte de la evaluacin del
auditor.
Para finalizar, es necesario realizar un seguimiento de los
resultados que se obtengan al utilizar las nuevas adquisiciones a fin
de comparar las expectativas contra los resultados reales y estar en
posibilidades de realizar los ajustes necesarios.
Objetivos de la revisin
Que los recursos y el capital sean efectivas y eficientemente
aplicados.
Que se cumpla con las polticas y procedimientos establecidos por
la institucin.

37

Aspectos de las adquisiciones.

Determinacin del presupuesto
Consideraciones financieras
Requisitos de la aplicacin / prioridades
Seleccin de posibles proveedores
Peticin formal de propuestas
Demostraciones
Referencias/ pruebas
Caractersticas de las licencias de uso de
software
Comparacin de propuestas evaluacin
de riesgos
Planificacin del local (instalaciones)
Plan de instalacin
Planificacin de la conversin
Plan de implantacin
Tema 2. Sistema operativo
Implantaci
n
Tpicamente el sistema operativo lo proporciona el fabricante del
computador, pero el trabajo de implantacin abarca el seleccionar las
opciones apropiadas del sistema operativo y generar un sistema que
cumpla con los requerimientos especficos de la institucin, tomando
en
cuenta
factores
como:
Configuraciones de equipos de computo (capacidades de memoria,
perifricos en uso etc.)
Modo de procesamiento (batch o en lnea)
Otras facilidades que se requieren (comunicaciones)
Este trabajo puede ejecutarse por el proveedor, por cuenta de la entidad o
por la entidad misma. En cualquiera de los casos
debern
verse involucrado, como responsable. Un funcionario de
procesamiento
38

electrnico de datos que ayude a determinar que las opciones se han

de
seleccionar,
probar
documentar
e
implantar
apropiadamente.
El sistema operativo que resulte deber probarse acuciosamente bajo la
supervisin del funcionario responsable, para determinar
que se
ejecuta de conformidad con los requerimientos de la entidad y que se
han implantado apropiadamente todas las rutinas, facilidades y
capacidades autorizadas.
Mantenimiento
operativos

de

sistemas

Deben establecerse formalmente

los procedimientos
mantenimiento de los sistemas
operativos, al igual
las aplicaciones. Un procedimiento conveniente pudiera incluir
prepare, revise y autorice adecuadamente una forma
de requisicin de cambio antes de que se haga la modificacin.

para dar
que en
el que se
estndar

Una vez efectuado el cambio debern estar en vigor procedimiento de

revisin. A este efecto de asegurar que la documentacin se actualiza de
acuerdo a las normas de la entidad.
Despus de que los programas
modificados
se han catalogado, un
funcionario de procesamiento electrnico de datos (personal calificado
en soporte tcnico) deber cerciorarse
de que se han seguido los
procedimientos apropiados para garantizar que se han considerado los
aspectos mas importantes como son la ejecucin del sistema operativo
y los cambios que afectan a los usuarios, as mismo se debern obtener
las aprobaciones requeridas y cerciorarse de que el personal implicado
ha sido notificado por escrito respecto a la fecha en que entrara en vigor
la versin modificada del sistema operativo.

39

Algunos de los aspectos a incluir en la revisin del sistema operativo son:

Documentacin
o Tablas

de

configuracin

del

sistema

operativo,

guas,

procedimientos, etc.
Procedimientos
o Carga inicial del sistema
o Aplicacin de actualizaciones o modificaciones.
o Retencin del registro de la actividad en consola y contabilidad
del trabajo (job accounting)
o Restricciones para el uso de comandos crticos
Ejecucin del sistema (software para monitoreo)
o Tiempo de respuesta en lnea
o Costos/gastos excesivos.
o Sistema operativo.
Tema 3

auditoria a la seguridad fsica

Seguridad fsica

La informacin y los recursos informticos son activos que deben

ser protegidos del acceso no autorizado. La manipulacin y la
destruccin. La seguridad fsica debe establecerse para prevenir
accesos innecesarios y/o no autorizados y registrar los hechos.
La auditoria a la seguridad fsica se re refiere a la revisin de las
medidas de control orientadas a la continuidad del servicios y
dependen en gran
parte
de;
Los

fenmenos

naturales:

incendio,

terremoto,

huracanes,

tormentas, severas, inundacin, fallas de corriente, picos de

voltaje, falla de aire acondicionado y cortos circuitos.

40

Actos intencionales de ex-empleados, empleados notificados de

despido, huelga, empleados adictos al alcohol o drogas,
ladrones profesionales, empleados con problemas econmicos o
descontentos
Por lo anterior la entidad corre el peligro de:
Entrada no autorizada
Dao de equipo
Vandalismo
Robo de equipo y documentos
Copias, consulta y/o divulgacin de informacin confidencial
Alteracin de equipos sensible.
Cambio no autorizacin de datos
La seguridad fsica debe proteger principalmente las reas de
Sala de computo
Consola del operador
Impresoras
Equipo de teleproceso
Fuentes de poder
Lugar donde se guardan las cintas o discos magnticos
Bvedas de respaldos
Oficina de control de entradas y salidas
Closet de comunicaciones
Microcomputadoras y terminales remotas
rea de programacin
La revisin principalmente abarca la verificacin de controles sobre:
Ubicacin del equipo
Facilidad de acceso. Las reas extremadamente visibles son muy
vulnerables.
Alimentacin de energa elctrica

41

Lneas telefnicas privadas de respaldo, sobre todo en el caso de

teleproceso
ndice de delincuencia.
Empresas vecinas altamente contaminantes
ndice de fenmenos naturales: sismos, tormentas, etc.
Material de construccin y mobiliario
o materiales de construccin. Las paredes, techos y pisos
deben estar construidas de material difcil de romper,
resistente al fuego y no combustibles y que adems no
genere partculas de polvo, ya que pueden daar los
recursos informticos
o evitar las alfombras ya que causan electricidad esttica,
sobre todo cuando la humedad es
baja.
o Se debe mantener al mismo el numero de puertas y
ventana
s
o El centro de cmputo debe instalarse dentro de un edificio
lejos de ventanas y paredes que den a la
calle.
o No deben existir grandes rboles u otras estructuras que
pongan en peligro el rea de
computo
o Bvedas resistentes al calor y humedad
o Barreras para cortar o aislar incendios.
o Se deben vigilar la instalacin de detectores y controles
de acceso. Los detectores pueden ser de: humo, calor,
agua, combustin, controles de temperatura, controles de
humedad, sistemas de deteccin de intrusos.
o El lugar debe acatarse a los cdigos de seguridad
o Debe evitarse el uso de ventiladores en las reas en donde
se encuentra ubicado el equipo, ya que es un elemento
para
propagar el polvo con el riesgo de daar los
equipos.
o El mobiliario debe ser resistente al fuego y no se debe
permitir fumar alrededor o cerca de daar los
equipos
o El mobiliario debe ser resistente al fuego y no se debe
permitir fumar alrededor o cerca de los
equipos.
42

Control de acceso
Control de puertas. El acceso solo debe permitirse a aquellas
personas que opriman la secuencia correcta
de botones,
sistema
de tarjetas, sistemas de gafetes, etc. Tratndose de sistemas
digitales generalmente la secuencia es de 6 dgitos. Lo cual
proporciona un milln de combinaciones diferentes.
Guardias de seguridad.
Cerraduras de combinacin, electrnicas o
biomtricas. Cerraduras para terminales
Circuito
cerrado
de
televisin
Alarmas
Puertas blindadas bajo sistemas de doble puerta
Registro de visitante y gafetes de identificacin
Uso de credenciales-gafetes con fotografas
Algunas consideraciones en la seleccin del sistema de control de acceso
son:
Margen de error. Determinar el porcentaje tolerable de error del
sistema a seleccionar; es decir, hasta cuantas veces se aceptara
que el sistema niegue el acceso a una persona autorizada o lo
permita a una que no lo esta.
Proteccin en caso de fallas en el suministro de energa elctrica.
Resistencia a la manipulacin o sabotaje
Mantenimiento del sistema en buen estado
Flexibilidad para crecer en relacin al crecimiento institucional.
Sencillez en su operacin desde su instalacin hasta su puesta
en marcha
Cantidad y frecuencia de acceso de acuerdo al trafico de
entradas y salidas

43

Prevencin contra fuego y agua

Existencia mnima de material combustible
Existencia adecuada de trituradora de papel
Evitar cables sueltos y contactos en mal estado
Detectores y alarmas de fuego, humo y humedad
Extinguidores de agua (reas administrativas y almacenes) y
gas (reas de equipo) carga, peso, ubicacin, cantidad y
capacidad. Tuberas adecuadamente aisladas para evitar
filtraciones. Apagadores automticos de incendio en
ductos de aire acondicionado.
Fundas para los equipos
Extras
Salidas de emergencias
Planta de energa, reguladores de voltaje y sistema no-break
Respaldos
Contratos de mantenimiento preventivo y correctivo a todos los
equipos e instalaciones del rea de informtica.
Tema 4

auditoria a la seguridad lgica

Nunca ha sido tan grande la demanda de la identificacin de los usuarios

en todos los niveles. En la actualidad, cada vez ms existe la
tendencia a que los usuarios compartan los recursos de cmputo,
por lo tanto el
auditor debe preocuparse por:
Determinar el mecanismo de acceso autorizado es capaz de
prevenir accesos no autorizados a los recursos.
Dadas las capacidades del mecanismo del control de acceso a los
sistemas de informacin, determinar si es suficiente.

44

Los controles de frontera o controles de acceso establecen la

entre el usuario de un sistema
y en computador mismo.
Su
propsito primario es establecer la identificacin y la autenticacin del
que pretende ser usuario del sistema, para lo cual se necesitar un
mecanismo de control.
Es una realidad que cada vez ms los recursos informticos: equipo,
programas y datos, son compartidos por un gran nmero de personas
fsicamente dispersas lo cual hace necesario implantar controles que
garanticen que el acceso a ellos se realiza de acuerdo al nivel
jerrquico y
funciones del personal. Protegiendo a la instalacin
de:
Destruccin accidental o intencional
Mal uso
Consulta no autorizada de datos
La seguridad lgica se lleva a cabo a travs de programas de acceso a:
Equipos
Programas
Comunicaciones
Datos
Facilidades
Las acciones sobre el acceso sobre los datos y programas deben
restringirse en cuanto a:
Creacin
Modificacin
Copiado
Eliminacin
Consulta
Ejecucin

45

La identificacin puede definirse como el proceso de distinguir en

nica a un usuario de los dems mientras que la autentificacin consiste
en determinar si el individuo es quien dice ser. Es autentico para efectos
de la seguridad lgica, un usuario lo constituye cualquier persona que
utiliza los recursos informticos ya que pertenezca a
la rea de
informtica o no.
La identificacin, autentificacin y autorizacin de los accesos del
personal se logran mediante el uso de:
Informacin memorizada
passwords o contraseas. que
conoce el usuario?
Objetos, tarjetas plsticas con bandas magnticas, llaves, etc.
que posee el usuario?
Caractersticas personales: voz, huella digital, retina del ojo, etc.
El medio mas comn para el control de accesos es la informacin
memorizada o palabras calves; passwords y debe reunir las siguientes
caractersticas:
No menores de cuatro caracteres
Alfanumricos para incrementar el numero de combinaciones
No debe tener el nombre del usuario o cualquier dato personal
asignados por el propio usuario
Debe ser intransferible. Cada usuario es responsable del buen o
mal uso.
No debe permitirse usar palabras anteriormente utilizadas
Fciles de recordar, difciles de recordar
Numero limitado de intentos
Internamente transformados en un cdigo secreto encriptados
No desplegables en pantalla
Cambiados peridicamente y de manera automtica por el
sistema

46

El sistema de control de accesos mediante

passwords debe establecer

perfiles de usuarios que incluyan los siguientes datos.

Nombre del usuario
Identificador del usuario USER ID
rea a que pertenece
Privilegios dentro del sistema
Vigencia de acceso al sistema
El archivo en donde reciben los passwords deber ser protegidos con
su
respectiva
contrasea
Cobra una gran importancia el concienciar al personal para que no
rebelen los passwords. Enfatizando lo que estos representan en la
reduccin de riesgo de transferencia, modificacin, perdida o
divulgacin, accidental o intencional de informacin confidencial
Normalmente
los
sistemas
computarizados
para
seguridad
proporcionan una bitcora de las actividades efectuadas en el proceso
electrnico de datos. Constituyendo pistas de auditoria que pueden
analizarse peridicamente y tomar decisiones en esta bitcora deben
quedar registrados todos los accesos ocurridos y los intentos de acceso
no autorizados a fin de que se puedan tomar las medidas pertinentes
cuando el numero de incidencias es relevante: en que Terminal ocurre, a
que hora, cuantas veces, que persona la utiliza, etc.

47

Los datos que pueden ser tiles como pistas de auditoria son:
Identificacin del usuario
Informacin dada para autentificacin
Recursos requeridos
Acciones privilegiadas (derechos) requeridas
Identificacin del dispositivo (Terminal)
hora de inicio y terminacin del
acceso numero de intentos de acceso
recursos proporcionados o negados
acciones privilegiadas (derechos) otorgadas o negadas
Controles
criptografa

mediante

La criptografa derivada de dos palabras griegas: kriptos (oculto o

secreto)
y grafos (escritura). Es un mtodo de proteccin de
informacin mediante un proceso en el cual datos entendibles o legibles
son transformados en cdigos secretos (criptogramas) para prevenir
accesos no autorizados y mantener la privacidad de la informacin por o
tanto la criptografa convierte los datos originales en mensajes que no
tienen significados para los que no conocen el sistema para recobrar los
datos iniciales.
El anlisis criptogrfico se refiere a las tcnicas para recobrar legalmente
datos crpticos incorporados en criptogramas. Los trminos de encripcion
y decripcion son sinnimos descifrados.
Existen bsicamente tres mtodos para transformacin de informaron:
Sustitucin: mediante este mtodo se conserva la posicin original de
los
caracteres del mensaje y esconde su identidad pues los remplaza por
otros
caracteres de acuerdo a una tabla de cdigos equivalentes ya
sean
numricos
o
alfabticos.
48

Transposicin o permutacin.
los
caracteres
del
mensaje
original.

Consiste

en

cambiar

el

orden

de

Hibrido. Este mtodo combina las caractersticas de los mtodos de

sustitucin y de transposicin.
Con el objeto de estandarizar la forma de encriptar. Se diseo un
algoritmo llamado des
(data enryption standard) basado en la
tcnica de sustitucin o transposicin de datos; el cual fue adoptado
por la nbs (national bureau of standards) de, los estados unidos de
Norteamrica.
La seguridad no puede depender de un solo elemento como lo es un
algoritmo de encripcin. Pues la persona que quisiera acceder
informacin confidencial protegida, lo nico que tendra que hacer es
enfocar sus esfuerzos a descubrir los detalles de dicho algoritmo. Es por
esto que se requiere de un segundo elemento llamado llave de
encripcion, que es un numero generado en forma aleatoria con el
objeto de mantener su confidencialidad.
El concepto de encripcion por hardware se aplica cuando se utiliza un
dispositivo elctrico denominado encriptor para transportar datos
que viajan a travs de un medio de comunicacin. Se dice que la
encripcion es va software, cuando se utilizan una serie de programas
para transformar los datos independientemente de que estos se
encuentren almacenados o viajando a travs de cables, lneas
telefnicas, etc.

49

Aspectos importantes para evitar cambios no autorizados a los programas

y datos.
Segregacin de funciones
o Diferentes personas
o Diferentes bibliotecas y directorios
(para produccin desarrollada)

en

disco

Adecuado sistema de medios de identificacin por ejemplo

palabras claves (passwords) definicin de
autorizaciones, frecuencia de cambios estructurales, etc.
Supervisin.

Tema 5. Plan de contingencias.

Ha existido mucha dificultad para la plantacin y prevencin de
desastres
durante los ltimos aos. Un buen punto de inicio fue el
reconocimiento del poder de las comunicaciones (telfono, fax MODEM,
etc.) y como afecto a los centros de computo el temblor de de
septiembre de 1985 en Mxico, DF. El impacto mayor no es en muchas
veces el desastre mismo, sino las acciones que se tomen en el momento
del desastre.
Recordando los desastres pueden ser naturales, humanos y materiales.
Normalmente se piensa en los fenmenos naturales, pero no en lo de
todos los das. Roedores, fugas de agua, etc. Y eso muchas veces es lo
primero a controlar. Otro ejemplo es el que cualquiera puede llegar a
las instalaciones, a recursos vitales como las comunicaciones.

50

Se entiende como:

Desastre: accidente, tragedia, emergencia.

Recuperacin: sanar, reponer, ganar de nuevo.

Se puede definir un plan de recuperacin como la habilidad de

una
organizacin para continuar sus operaciones diarias, a pesar de que
ocurra
un desastre, por medio de una serie de acciones coordinadas y
planeadas con el conocimiento y el apoyo gerencial. El gerente de
informtica debe ser el lder del plan. Pero debe involucrarse seriamente
el director de finanzas.
Para que u plan de recuperacin ante contingencias funcione deben ser
del conocimiento y reconocimiento de todos los involucrados. Para
obtener un mayor convencimiento se puede recurrir a fuentes externas.
Es una pliza de seguro diferente.
En general los planes de contingencia
pueden definirse como un
elemento de control interno que es establecido para asegurar la
disponibilidad de datos valiosos y los recursos del computador en el
caso de un evento que ocasione la interrupcin de operaciones.
Un buen plan de contingencia
y recuperacin detallada los
procedimientos para emigrar a una situacin de emergencia en el menor
tiempo posible y con el menor grado de riesgo as como regresar a la
operacin normal de la misma forma.

51

La preparacin de los planes de contingencia no es una tarea

simple y
realizable por un solo individuo.
Es una actividad compleja y
multifactico que requiere la involucracin de toda una organizacin. Por
lo que resulta necesaria la creacin de un comit que administre todo lo
relacionado con el plan de contingencias: recursos humanos y
financieros aunque el desarrollo del plan requiere de la cooperacin de
todas las reas de la institucin, una persona debe tener la
responsabilidad de coordinar, complementar y dar mantenimiento al
plan. A esta persona se le conoce como lder del proyecto.
Una parte del proceso de planeacin para los casos de contingencia es
la determinacin de los desastres potenciales
de la organizacin.
Diferencindose un desastre de una falla operativa. La clave para la
determinacin efectiva de los planes
de contingencia es el
entendimiento de los requerimientos de procesamiento y sus
prioridades.
A continuacin se indican algunos puntos a considerar dentro de un
plan de contingencia. :
Tener un mejor entendimiento de la entidad. lo importante no es ser
informtico sino pertenecer a una entidad en particular.
Ver las cosas no con una perspectiva simplemente tecnolgica, sino
de proteccin y seguridad. Muchos problemas se van generando
paulatinamente y en un momento se convierten en
desastre, diariamente pasan inadvertidos.
Imposicin de sanciones (penalizaciones y multas) por violaciones o
infracciones a las reglas de seguridad por empleados irresponsables
o descuidados. Por ejemplo, en el caso de cortes de cables.

52

Realizar un inventario de todos los sistemas. Facilidades y recursos

de cmputo incluye a las personas que estn operando
enfermedades que parecen limitaciones emocionales, Accesibilidad
y
responsabilidad,
empleados
valiosos,
mobiliario,
aire
acondicionado, puertas, cerraduras, necesidades de usuarios y fijar
prioridades.
Analizar todos los conflictos legales y laborales considerados como
potenciales

en caso de desastre, con empleados accionistas,

clientes, proveedores, etc.

Cuidar la coordinacin cuando se comparte el inmueble con otras
instituciones. Fincando responsabilidad compartida, tambin es el
caso de construcciones y remodelaciones vecinas.
Auxiliarse de documentos modelos y preparar un plan preliminar, en
trminos de negocios.
Incluir procedimientos detallados iniciales de avisos y acciones.
Lo
ms
importante
es
proteger
la
vida
humana.
Las
telecomunicaciones
en muchos casos son crticas en caso de desastres. El seguir las
instrucciones ordenadamente puede
evitar que un desastre se
convierta
en una catstrofe. Puede darse el caso de tener
la necesidad de reemplazar trabajadores valiosos que renuncian
como resultado de tener sentimientos de inseguridad o percibir un
alto riesgo para sus vidas.
Lista de personas que deben arrancar el plan contra desastres, que
deben ser informadas de manera inmediata y de los coordinadores
responsables de la centralizacin y diseminacin de la informacin
durante la emergencia.
Clasificar los recursos informticos de acuerdo a su importancia.
Requerimientos de personal para recuperacin.

53

Procedimiento

de seguridad que debern tenerse en cuenta

trasladar los recursos

Direcciones y telfonos de:
o
o
o
o
o
o
o

Centro alterno de proceso de datos.

Proveedores.
Clientes.
Doctores.
Polica.
Servicios de emergencia, bomberos, hospitales, etc.
Agencias de personal para nuevas contrataciones

o Personal activo.

Rutas de transportacin primaria y alterna en el caso de que resulte

necesario enviar empleados a su domicilio.
Procedimiento en caso de amenaza de bombas
Procedimientos para activar el equipo de soporte
Mecanismo de notificacin y control de actividades.
Operaciones a procesar en el centro de apoyo o facilidades alternas.
Prioridades de operacin de sistemas.
Planes de evacuacin y planes alternos en caso de fuego,
bomba o explosin.
Procedimientos para solicitar asistencia de la polica y los
bomberos.
Procedimiento para recuperacin, conmutacin
telefnica y
restauracin de los servicios del centro de procesos de
datos. Reporte y evaluacin de riesgos existentes.
Copiad de contratos y seguros de mantenimiento y respaldos.
Mecanismos de respaldo existentes. Guardando la versin
abuelo de los archivos en medios magnticos en un lugar
seguro y fuera de la zona en que se ubique el centro de proceso de
datos.
Convenios con otras instalaciones para formalizar soporte de equipo
en caso de catstrofes.

54

Existencia del manual de

contingencias

en el lugar en que

encuentre la bveda de respaldos.

Los
procedimientos deben funcionar siempre por lo que es
importante efectuar una revisin peridica de ellos y actualizar los
ejemplares que se tengan del manual por el comit de
contingencias cada vez que ocurran cambios en:
o
o
o
o
o

Personal.
Equipo o instalacin propia y/o soporte.
Telfonos.
Usuarios.
Contratos de mantenimiento y respaldo.

55

VI. AUDITORA ADMINISTRATIVA PARA EL REA DE

CMPUTO.
ADMINISTRACIN DE LA FUNCIN
INFORMTICA
REQUERIMIENTOS A SOLICITRA PARA LA
REVISIN P L A N E A C I N
Dentro de esta etapa vamos a considerar la determinacin de objetivos,
polticas, procedimientos y programas, adems de la eleccin de los
cursos de accin para lograrlos con base en la investigacin y
elaboracin de programas de trabajo que incluya. La creacin y
funcin del comit u rgano interno de cmputo que debe ser el
encargado de administrar los bienes informticos.
SOLICITA
R
Manuales de Organizacin donde se
identific:
o
o
o
o
o
o

Funciones, personal y equipo del rea.

Objetivos del rea.
Objetivos particulares de cada departamento.
Polticas del rea.
Procedimientos del rea.
Programas.

56

O R G A N I Z A C I
N
En esta etapa se deber considerar el establecimiento de la estructura
necesaria, para la optimizacin de los recursos a travs de
la determinacin de jerarquas y agrupacin de actividades con el
fin de realizar y simplificar las funciones del rea.
SOLICITA
R
Organigrama general y particular del rea de cmputo.
I N T E G R A C I
N
Dentro de esta etapa se verifica la funcin a travs de la cual el
encargado de la administracin de la funcin informtica elige y se
allega de los recursos humanos necesarios para cumplir con los objetivos
previamente establecidos.
SOLICITA
R
Planes y programas de trabajo respecto a:
Reclutamiento.
Seleccin.
Induccin.
Capacitacin
. Desarrollo.

57

DIRECCIN
En esta etapa se consider si existe supervisin y coordinacin de
las actividades desarrolladas por el personal del rea de cmputo.
SOLICITAR
Documentos que establezcan:
o Frecuencia con que se realiza.
o Quin es el responsable de realizarla.
o Formas en que se realiza.
CONTROL
En esta etapa se verifica si se cumpli con los objetivos
planeados, analizando los resultados obtenidos.
SOLICITAR
Informe anual de actividades del jefe de la Divisin de Informtica.
Ultimo informe de cada departamento con la finalidad de verificar su
existencia y periodicidad de realizacin.
Registros y bitcoras de actividades desarrolladas por todas y cada
una de las personas del rea.
Aplicacin de
administrativo,

los

cuestionarios

desarrollados

en

el

proceso

auxiliados de las metodologas, ya se sea de William P. Leonard, O

del
anlisis Factorial del Banco de Mxico, o por desarrollado por Jos de
Jess Aguirre, que se explicarn en clase. Y que son aplicables a la
estructura orgnica de la empresa, al personal, a costos, presupuestos y
controles de asignacin de trabajo.

58

VII. INTERPRETACIN DE LA INFORMACIN.

Se cuenta en la actualidad con numerosas herramientas para interpretar
la informacin que recopilamos durante la auditoria previamente
planeada, despus viene la fase de la ejecucin del trabajo en donde,
para realizar un trabajo suficiente y competente nos auxiliamos de las
tcnica de auditoria emitida por el IMCP, y que podemos adaptar a
nuestras revisiones en informtica, no obstante podemos adherir las
tcnicas propias de la informtica, a continuacin mencionaremos las
tcnica emitidas por el IMCP.
Clasificacin
Auditoria

de

las

Tcnicas

de

La comisin de normas y procedimientos de Auditoria del Instituto

Mexicano de Contadores Pblicos, en su boletn 5010-procedimientos de
auditora ha propuesto la siguiente clasificacin:
Estudio General
Anlisis.
Inspeccin.
Confirmacin.
Investigacin.
Declaraciones
Certificacin.
Observaciones.
Clculo.
Estudio General
Es la apreciacin y juicio de las caractersticas generales de la empresa,
las cuentas o las operaciones, a travs de sus elementos mas
significativos para concluir se ha de profundizar en su estudio y en la
forma que ha de hacerse.

59

Anlisis
Es el estudio de los componentes de un todo para concluir con base en
aquellos respecto de este. Esta tcnica se aplica concretamente al estudio
de las cuentas o rubros genricos de los estados financieros.

Inspeccin
Es la verificacin fsica de las cosas materiales en las que se tradujeron las
operaciones, se aplica a las cuentas cuyos saldos tienen una representacin
material, (efectivos, mercancas, bienes, etc.).

Confirmacin
Es la ratificacin por parte de una persona ajena a la empresa, de la
autenticidad de un saldo, hecho u operacin, en la que participo y por
la cual esta en condiciones de informar validamente sobre ella.

Investigacin
Es la recopilacin de informacin mediante platicas con los funcionarios y
empleados de la

empresa.

Declaraciones y Certificaciones
Es la formalizacin de la tcnica anterior, cuando, por su
importancia,
resulta conveniente que las afirmaciones recibidas deban quedar
escritas (declaraciones) y en algunas ocasiones certificadas por alguna
autoridad (certificaciones).

60

Observaci
Es una manera de inspeccin, menos formal, y se aplica generalmente a
operaciones para verificar como se realiza en la practica.

Clculo
Es la verificacin de las correcciones aritmticas de aquellas cuentas u
operaciones que se determinan fundamentalmente por clculos
sobre bases precisas.

Clasificacin de los Procedimientos de Auditoria

Como ya se ha mencionado los procedimientos de auditoria son
la
agrupacin de tcnicas aplicables al estudio particular de una cuenta u
operacin;
prcticamente
resulta
inconveniente
clasificar
los
procedimientos ya que la experiencia y el criterio del auditor deciden las
tcnicas que integran el procedimiento en el caso particular.
Extensin o alcance de los Procedimientos
Se llama extensin o alcance a la amplitud que se da a los procedimientos,
es decir, la intensidad y profundidad con que se aplican prcticamente.
Oportunidad de los Procedimientos
Es la poca en que deben aplicarse los procedimientos al estudio de
partidas especficas

61

Adems de las tcnicas antes mencionadas, nos ayudaremos de

los
cuestionarios de control interno, y cuestionarios de aplicacin general
y
especfica utilizando el modelo Jos de Jess Aguirre, que hace
referencia a
la ponderacin de cada etapa de la auditoria en informtica y se le da
un valor para medir, ya sea la productividad, costo-beneficio, y utilidad
de la capacidad instalada, para poder emitir una opinin sobre la
razonabilidad en el uso de recursos informticos, que es finalmente el
objetivo de la Auditoria en informtica.
INFORME
AUDITORIA
Elementos
Auditora

DE

bsicos

del

Informe

de

La materializacin final del trabajo llevado a cabo por los auditores

independientes se documenta en el dictamen, informe u opinin de
auditora. Adems, para aquellas entidades sometidas a auditora
legal, este documento junto con las cuentas anuales del ejercicio forma
una unidad,
El informe de auditora independiente deber contener, como mnimo,
los siguientes elementos bsicos:
El ttulo o identificacin.
A quin se dirige y quienes lo
encargaron.
El prrafo de "Alcance".
El prrafo de "Opinin".
El prrafo o prrafos de "nfasis".
El prrafo o prrafos de "Salvedades".
El prrafo sobre el "Informe de
Gestin".
La firma del informe por el
auditor.
El nombre, direccin y datos registrables del
auditor. La fecha del informe.
El prrafo legal o comparativo

62

Objetivos, caractersticas y afirmaciones que contiene el informe

de
auditora
El informe de auditoria en informtica tiene como objetivo expresar una
opinin tcnica sobre el uso de los recursos informticos, sobre si stas
muestran la imagen fiel del patrimonio informtico, y su aplicacin
correcta dentro de la Institucin que se audite.
Caractersticas
del
informe
de
auditora
Es un documento mercantil o
pblico.
Muestra el alcance del trabajo.
Contiene la opinin del
auditor.
Se realiza conforme a un marco
legal.
Principales afirmaciones que contiene el
informe
Indica el alcance del trabajo y si ha sido posible llevarlo a cabo y
de acuerdo con qu normas de auditora.
Expresa
si
las
cuentas
anuales de
gastos
en
los
recursos informticos y que contienen la informacin necesaria y
suficiente y han sido formuladas de acuerdo con la legislacin
vigente y, tambin, si dichas cuentas han sido elaboradas
teniendo en cuenta el principio de uniformidad.
Se opina tambin sobre la concordancia de la informacin
contable para verificar la veracidad de las cifras en el rubro de
recursos informticos.
En su caso, explica las desviaciones que presentan los
estados
financieros con respecto a unos estndares preestablecidos y el
plan anual de avance informtico..
Podemos sintetizar que el informe es una presentacin
pblica,
resumida y por escrito del trabajo realizado por los auditores y
de su opinin sobre la situacin de los recursos informticos de
una Institucin.

63

Tipos de opinin
Existen cuatro tipos de opinin en
auditora: Opinin Favorable.
Opinin con Salvedades.
Opinin
Desfavorable.
Opinin Denegada.
La opinin favorable, limpia o sin salvedades significa que el auditor
est de acuerdo, sin reservas, sobre la presentacin y contenido de los
procedimientos que se llevan a cabo par verificar la utilizacin adecuada
en los recursos Informticos.
La opinin con salvedades (llamada tambin en la jerga de la
auditora como opinin calificada o cualificada), significa que el auditor
est de acuerdo con los procedimientos y utilizacin de los recursos
informticos, pero con ciertas reservas.
La opinin desfavorable u opinin adversa o negativa significa que
el auditor est en desacuerdo con los procedimientos utilizados para el
manejo de los recursos informticos y afirma que stos no se realizan
conforme a estndares nacionales o determinados por la empresa.
Por ltimo, la opinin denegada, o abstencin de opinin significa que el
auditor no expresa ningn dictamen sobre el manejo de los
recursos informticos. Esto no significa que est en desacuerdo con
ellos, significa simplemente que no tiene suficientes elementos de juicio
para formarse ninguno de las tres anteriores tipos de opinin.

64

Observacione
s
El auditor debe realizar procedimientos diseados a obtener suficiente y
apropiada evidencia de auditoria, en que puedan todos los elementos
hasta la fecha del informe del auditor que puedan requerir de ajustes o
exposiciones en las metodologas que, hayan sido identificados. Ciertos
eventos y transacciones que ocurren despus de cada fin de ao, deben
ser examinados como parte del trabajo normal de verificacin de
auditoria.
Adems debe de llevar acabo una revisin completamente
documentada, de eventos subsecuentes la cual tiene como objetivo de
obtener una seguridad razonable, de que todos los eventos importantes
han sido identificados y expuestos o registrados en las bitcoras de
auditora.
La revisin debe ser actualizada a una fecha lo ms cercanamente
posible a la fecha del informe de auditoria, hablando con la gerencia y
realizando pruebas futuras de ser necesario.
Todos los procedimientos de auditoria emprendidos y las conclusiones
alcanzadas deben estar completamente documentadas las hojas de
trabajo deben incluir notas, detalladas de reuniones, incluyendo quien
estaba presente, los asuntos discutidos y el resto de las discusiones.
El auditor no tiene ninguna obligacin de hacer ninguna investigacin
relacionada con la informacin de los recursos informtcos, que
estos hayan sido omitidos, pero antes de que la reunin general anual, el
entera de informacin que pudo haber afectado el informe de auditoria si
hubiera tenido conocimiento de ella en ese momento, nuevamente el
debe discutir el asunto con los directores.

65

Los objetivos de los procedimientos de finalizacin de la auditoria

para
asegurar
que:
Si ha sido obtenida suficiente evidencia de auditoria para apoyar la
opinin de auditoria.
Todas las decisiones tomadas han sido documentadas.
El archivo de auditoria ha sido complementado.
Cualquier tema estratgico ha sido documentado y discutido con el
cliente.
Las tareas claves en la terminacin de la auditoria son:
Terminacin de cada rea de auditoria del
archivo. Escribir el informe al socio.
Escribir cualquier revisin estratgica del
negocio. Revisin de las hojas de trabajo.
Conclusiones generales de auditoria.
Realizar una reunin para asegurar que los secretos de la empresa
no sean
relevados. Sugerencias

Los programas principales de auditoria deben mostrar claramente el

objetivo de auditoria, el trabajo realizado y las conclusiones alcanzadas y
ser sustentados por todos los papeles de trabajo de referencia cruzada.
Cada programa principal auditado debe ser comparado con las hojas de
trabajo de auditora relevantes y con las cifras de los recursos ejercidos
en informtica.

66

Correctiva
Conclusiones
del
rea
de
Auditoria:
Se debe obtener una conclusin para cada rea de
auditoria.
Antes de obtener una conclusin, debe asegurarse que el
programa de auditoria fue llevado a cabo como se planteo, o que
los cambios acerca de las decisiones hechos en la etapa de la
planificacin estn documentados.
Las hojas de trabajo tambin se deben escudriar para asegurar
que todas las preguntas que surjan hayan sido claras y que todos
los procedimientos y programas de auditoria planificados hayan
sido completados. Se debe hacer un informe completo de todos
los problemas no resueltos.
Cualquier problema importante u otros asuntos no aclarados
deben ser anotados por la gerencia o incluidos en el informe al
socio. Cualquier asunto inusual, aun cuando estn aclarados,
deben ser incluidos en el informe al socio en manera de
informacin
Cualquier debilidad u otros asuntos relacionados con el rea de
auditoria, que resulten apropiados reportar al cliente, deben ser
resumidos e incluidos en la carta de gerencia.
Cualquier rea donde el auditor haya tenido que depender
de
representaciones, deben ser incluidas en la carta de
representacin.
Informe
socio

al

El informe al socio agrupan en un solo lugar, todos los asuntos que

tiene un efecto en la opinin de auditoria, o que necesitan ser discutidos
con al cliente.
Dependiendo de la estructura del equipo de auditoria debe ser hecho
en
borrador por el seor mientras la auditoria progresa y completado por el
cliente.
El gerente debe evidenciar la terminacin del informe al socio firmado la
primera pgina y el socio debe refrendarlo. El gerente debe firmar una
segunda vez cuando todos los puntos que surjan de la revisin del
informe al socio deben entonces refrendarlo para evidenciar su
satisfaccin.
67

Aunado a todo lo anterior, el auditor en informtica, debe tener en

cuenta
que su trabajo, es profesional y de una fuerte independencia mental ya
que
al realizar auditorias a informacin o procedimientos informticos
estos
son la mdula espinal de la empresa y con riesgos
altos.
Y conlleva a que la fragilidad de los sistemas son de alto riesgo y que
normalmente las instituciones no le dan importancia a este tipo de
auditorias por que no son obligatorios, si no voluntarios y las
empresas ven a la auditoria como un gasto y no como una inversin.
El auditor debe con su trabajo, motivar a que ese supuesto gasto se
convierta en beneficios de la empresa y aumenta su nivel de confianza
en la seguridad de sus recursos informticos.

68