UNIVERSIDAD NACIONAL DEL CALLAO

1. INTRODUCCIÓN:
El nivel académico en armonía con la tecnología, la capacidad y
experiencia son elementos importantes para el buen desarrollo de la auditoría
en TI, asimismo el responsable de ejecutar la evaluación debe considerar
escenarios de posibles “supuestos” que permitan ampliar o profundizar las
pruebas para minimizar los riesgos, por el o el proceso de auditoría exige que
el auditor de TI reúna evidencia, evalúe fortalezas y debilidades de los
controles existentes, y que prepare un informe de auditoría que presente esos
temas en forma objetiva a la Administración o Gerencia de la cual depende.
Asimismo el auditor debe ser portador de independencia y autoridad para
realizar su examen.

Como primer paso, la planificación es necesaria para realizar auditorías

de TI. El auditor debe comprender el ambiente del negocio en el que se ha de
realizar la auditoría, así como los riesgos del negocio y control asociado. Por el
o el auditor antes de aplicar los programas de trabajo debe tener en cuenta las
siguientes consideraciones.

Al planificar una auditoría, el auditor de TI debe tener una comprensión

suficiente del ambiente total que se revisa, debe incluir una idea general de las
diversas prácticas comerciales y funciones relacionadas con el tema de la
auditoría, así como los tipos de sistemas que se utilizan. El auditor de TI
también debe comprender el ambiente normativo en el que opera el negocio.

1
 UNIVERSIDAD NACIONAL DEL CALLAO

2. CONCEPTOS DE AUDITORÍA DE SISTEMAS

La palabra auditoría viene del latín auditorius y de esta proviene auditor,
que tiene la virtud de oír y revisar cuentas, pero debe estar encaminado a
un objetivo específico que es el de evaluar la eficiencia y eficacia con que se
está operando para que, por medio del señalamiento de cursos alternativos
de acción, se tomen decisiones que permitan corregir los errores, en caso de
que existan, o bien mejorar la forma de actuación.

Algunos autores proporcionan otros conceptos pero todos coinciden en

hacer énfasis en la revisión, evaluación y elaboración de un informe para el
ejecutivo encaminado a un objetivo específico en el ambiente computacional y
los sistemas.

A continuación se detallan algunos conceptos recogidos de algunos

expertos en la materia:

Auditoría de Sistemas es:

La verificación de controles en el procesamiento de la información,

desarrollo de sistemas e instalación con el objetivo de evaluar su efectividad y
presentar recomendaciones a la Gerencia.

La actividad dirigida a verificar y juzgar información.

El examen y evaluación de los procesos del Área de Procesamiento

automático de Datos (PAD) y de la utilización de los recursos que en ellos
intervienen, para llegar a establecer el grado de eficiencia, efectividad
y economía de los sistemas computarizados en una empresa y presentar
conclusiones y recomendaciones encaminadas a corregir las deficiencias
existentes y mejorarlas.

El proceso de recolección y evaluación de evidencia para determinar si

un sistema automatizado:

 Daños
 Salvaguarda activos Destrucción
 Uso no autorizado
 Robo

2
 UNIVERSIDAD NACIONAL DEL CALLAO

 Mantiene Integridad de Información Precisa, los datos Completa

 Oportuna
 Confiable
 Alcanza metas Contribución de la organizacionales
función informática
 Consume recursos Utiliza los recursos adecuadamente
eficientemente en el procesamiento de la información.

Es el examen o revisión de carácter objetivo (independiente),

crítico(evidencia), sistemático (normas), selectivo (muestras) de las políticas,
normas, prácticas, funciones,
procesos, procedimientos e informes relacionados con los sistemas de
información computarizados, con el fin de emitir una opinión profesional
(imparcial) con respecto a:

 Eficiencia en el uso de los recursos informáticos

 Validez de la información
 Efectividad de los controles establecidos

3
 UNIVERSIDAD NACIONAL DEL CALLAO

3. TIPOS DE AUDITORÍA
Existen algunos tipos de auditoría entre las que la Auditoría de Sistemas
integra un mundo paralelo pero diferente y peculiar resaltando su enfoque a la
función informática.

Es necesario recalcar como análisis de este cuadro que Auditoría de

Sistemas no es lo mismo que Auditoría Financiera.

Entre los principales enfoques de Auditoría tenemos los siguientes:

 Financiera Veracidad de estados financieros

 Preparación de informes de acuerdo a principios contables
 Evalúa la eficiencia,
 Operacional: Eficacia
 Economía de los métodos y procedimientos que rigen un proceso
de una empresa
 Sistemas: Se preocupa de la función informática
 Fiscal: Se dedica a observar el cumplimiento de las leyes fiscales
 Administrativa: Analiza logros de los objetivos de la
Administración
 Desempeño de funciones administrativas
 Evalúa: Calidad Métodos
 Mediciones
 Controles de los bienes y servicios
 Revisa la contribución a la sociedad
 Social así como la participación en actividades socialmente
orientadas.

4
 UNIVERSIDAD NACIONAL DEL CALLAO

4. OBJETIVOS GENERALES DE UNA  AUDITORÍA DE

SISTEMAS
 Buscar una mejor relación costo-beneficio de los sistemas
automáticos o computarizados diseñados e implantados por el
PAD
 Incrementar la satisfacción de los usuarios de los sistemas
computarizados
 Asegurar una mayor integridad, confidencialidad y
confiabilidad de la información mediante la recomendación de
seguridades y controles.
 Conocer la situación actual del área informática y las
actividades y esfuerzos necesarios para lograr los objetivos
propuestos.
 Seguridad de personal, datos, hardware, software e
instalaciones.
 Apoyo de función informática a las metas y objetivos de la
organización.
 Seguridad, utilidad, confianza, privacidad y disponibilidad en el
ambiente informático.
 Minimizar existencias de riesgos en el uso de Tecnología de
información.
 Decisiones de inversión y gastos innecesarios
 Capacitación y educación sobre controles en los Sistemas de
Información.

5
 UNIVERSIDAD NACIONAL DEL CALLAO

5. PERFIL DEL AUDITOR DE SISTEMAS Y NORMAS

BÁSICAS DE APLICACIÓN
Cada empresa tiene establecido los criterios, condiciones y obligaciones
que deben ser respetados por el personal que labora en ella, esto obedece a
que son aspectos vigentes que regulan la actuación de quienes administran la
empresa, por tanto, es compromiso del auditor apegarse a las normas o
políticas establecidas, sean estas internas o externas en el ejercicio del
servicio profesional, auditoria de sistemas debe de exigir el cumplimiento de
normas básicas o principios generales aceptados.

En cualquier ámbito laboral existen necesidades que cumplir, el primer

requisito que debe poseer quien se dedica a esta profesión, es estar
totalmente libre de cualquier tipo de influencia; es decir debe ser autónomo en
su actuación y no permitir ningún tipo de injerencia, ya sea de cualquier
carácter, sean estas; laborales, morales, conducta, independencia y
conocimiento profesional. El segundo requisito son los conocimientos
computacionales que debe tener, con un amplio cúmulo de nociones en áreas
vinculadas al trabajo, métodos, herramientas y técnicas de auditoría a fin de
que pueda realizar sus tareas con eficiencia y eficacia.

Sin embargo, este debe poseer otras características personales que

son representativas del auditor tales como: honradez, valores, confianza,
tenacidad, capacidad analítica, en ese contexto también lo ideal es la
experiencia profesional para el buen desempeño del trabajo dentro de la
Organización. Así mismo debe el auditor de sistemas manejar otros factores
que contribuyen y se encuentran ligados a su profesión, tales como:

a) El auditor debe de aprender a manejar adecuadamente las relaciones

personales, profesionales y laborales entre él y el auditado.

b) Como profesional de auditoría debe utilizar la misma metodología,

procedimientos, herramientas y técnicas que se hayan establecido para la
revisión de las áreas.

c) Los resultados que obtiene el auditor forman evidencias en las que se

respalda, para emitir el dictamen.

6
 UNIVERSIDAD NACIONAL DEL CALLAO

d) Es obligación profesional, moral y personal del auditor respetar la

confidencialidad de dicha información y no divulgarla.

e) Mantener y aplicar la equidad, en virtud que trata de igualar la

justicia, ponderación y emisión de juicios; la imparcialidad que evita las
preferencias injustas y la razonabilidad que es la capacidad del individuo para
emitir un juicio.

La sociedad misma identifica una serie de aspectos fundamentales que

debe de tener el profesional dedicado a la auditoría, a fin de que identifique y
cumpla con los principios y valores del auditor, citando algunos de ellos:

5.1. INDEPENDENCIA
La independencia supone una actitud mental que permite al auditor
actuar con libertad respecto a su juicio profesional, para lo cual debe
encontrarse libre de cualquier predisposición que limite su imparcialidad en la
consideración objetiva de los hechos, así como en la formulación de sus
conclusiones.

Para ser independiente, el auditor no debe tener intereses ajenos a los

profesionales, ni estar sujeto a influencias susceptibles de comprometer tanto
la solución objetiva de los asuntos que le son sometidos, como la libertad de
expresar su opinión profesional.

5.2. INTEGRIDAD
La integridad debe entenderse como la rectitud intachable en el ejercicio
profesional, que le obliga a ser honesto y sincero en la realización de su
trabajo y en la emisión de su informe. En consecuencia, todas y cada una de
las funciones que realice han de estar regidas por una honradez profesional
irreprochable.

5.3. OBJETIVIDAD
Objetividad implica el mantenimiento de una actitud imparcial en todas
las funciones del auditor. Para ello, debe gozar de una total independencia en
sus relaciones con la entidad auditada. Debe ser justo y no permitir ningún tipo
de influencia o prejuicio.

7
 UNIVERSIDAD NACIONAL DEL CALLAO

5.4. COMPETENCIA PROFESIONAL

Es la obligación de mantener su nivel de competencia a lo largo de toda
su carrera profesional, así como de mantener sus conocimientos y sus
habilidades a un nivel adecuado para asegurar que la evaluación será la
adecuada.

5.5. CONFIDENCIALIDAD
El Auditor deberá respetar la confidencialidad respecto a la información
que reúna en el desarrollo de su trabajo y no deberá revelar ninguna
información a terceros sin la autorización específica, a menos que tenga el
derecho o la obligación profesional o legal de hacerlo. También tiene la
obligación de garantizar que el personal bajo su control respete fielmente el
principio de la confidencialidad.

El principio de confidencialidad es más amplio que la revelación de la

información; incluye el hecho de que un auditor que obtenga información en el
curso de la prestación de sus servicios, no debería usarla ni aparentar usarla
para su beneficio personal o para terceros.

5.6. RESPONSABILIDAD
Se mantiene como responsabilidad el hecho de aceptar el compromiso
que implica la toma de decisiones y las consecuencias previstas por las
acciones y omisiones en el cumplimiento del trabajo.

5.7. CONDUCTA PROFESIONAL

Actuar de acuerdo con la buena reputación de la profesión y evitar
cualquier conducta que pueda desacreditarla. Esto requiere que las normas de
ética tengan en cuenta las responsabilidades profesionales.

5.8. NORMAS TÉCNICAS

El auditor deberá conducir una auditoría conforme las Normas y
Políticas, locales o internacionales. Estas deberán contener principios básicos
y procedimientos esenciales junto con lineamientos relativos y asociados a las
funciones del auditor.

Los elementos referenciados con anterioridad se encuentran integrados

en normas llamadas código de ética, aplicadas para el auditor de sistemas,

8
 UNIVERSIDAD NACIONAL DEL CALLAO

siendo estos utilizados y difundidos por instituciones nacionales e

internacionales.

6. RIESGO Y MATERIALIDAD DE AUDITORÍA

Se pueden definir los riesgos de auditoría como aquel os riesgos en que
la información pueda tener errores materiales o que el auditor de TI no pueda
detectar un error que ha ocurrido. Los riesgos en auditoría pueden clasificarse
de la siguiente manera:

• Riesgo inherente: Cuando un error material no se puede evitar

que suceda por que no existen controles compensatorios
relacionados que se puedan establecer.
• Riesgo de control: Cuando un error material no puede ser evitado
o detectado en forma oportuna por el sistema de control interno.
• Riesgo de detección: Es el riesgo en que el auditor realiza
pruebas exitosas a partir de un procedimiento inadecuado. El auditor

9
 UNIVERSIDAD NACIONAL DEL CALLAO

puede llegar a la conclusión de que no existen errores materiales

cuando en realidad existen. La palabra “material” utilizada con cada
uno de estos componentes o riesgos, se refiere a un error que debe
considerarse significativo cuando se lleva a cabo una auditoría.

En una auditoría de TI, la definición de riesgos materiales depende del

tamaño o importancia del ente auditado, así como de otros factores. Una
auditoría tal vez no detecte cada uno de los potenciales errores en el universo.
Pero, si cuando el tamaño de la muestra es lo suficientemente grande, o se
utiliza procedimientos estadísticos adecuados se llega a minimizar la
probabilidad del riesgo de detección.

De manera similar al evaluar los controles internos, el auditor de TI debe

percibir que en un sistema dado, se puede detectar un error mínimo, pero ese
error combinado con otros, puede convertirse en un error material para todo el
sistema.

Aunque siempre debe prevalecer el deber del secreto profesional del

auditor, conviene recordar que en el caso de detectar fraude durante el
proceso de auditoría procede actuar en consecuencia con la debida prudencia
que aconseja, sobre todo si afecta a los administradores de la organización.
Ante un caso así, conviene consultar con la Alta Administración o el Comité
creado para tal fin, así mismo con el asesor jurídico, e identificar leyes afines
para tal efecto, por ejemplo: Código Penal, Código Civil, Código de Comercio,
Ley de Propiedad Intelectual y otras disposiciones. Al determinar qué áreas
funcionales o temas de auditoría deben auditarse, el auditor puede enfrentarse
ante una gran variedad de temas, por el o debe evaluar esos riesgos y
determinar cuáles de esas áreas de alto riesgo deben ser auditadas.

6.1. EVIDENCIA
La evidencia es la base razonable de la opinión del Auditor de TI, esto
es parte complementaria del Informe, la evidencia tiene una serie de
calificativos:

• La evidencia relevante, que tiene una relación lógica con los

objetivos de la Auditoría.

10
 UNIVERSIDAD NACIONAL DEL CALLAO

• La evidencia fiable, que es válida y objetiva, aunque con nivel de

confianza.

• La evidencia suficiente, que es de tipo cuantitativo para soportar la

opinión profesional del auditor.

• La evidencia adecuada, que es de tipo cualitativo para afectar a

las conclusiones del auditor.

7. HERRAMIENTAS DE SOPORTE
7.1. SOFTWARE PARA AUDITORÍA
EL auditor de sistemas puede auxiliarse con herramientas alternas que
existen en el medio creadas para dicho fin, por ejemplo: para evaluar las
Bases de Datos, estas permiten medir la consistencia, coherencia y calidad de
los datos, para evaluar redes; estas permiten monitorear la seguridad y la
continuidad del servicio. Al respecto podemos mencionar algunas de ellas:

7.1.1. ACL
ACL es un software para la solución de auditoría y análisis de datos,
siendo su significado “Lenguaje de Control para Auditoría”, es un producto

11
 UNIVERSIDAD NACIONAL DEL CALLAO

reconocido en el mundo por su excepcional servicio y soporte técnico, siendo

un valor agregado para las empresas por sus ventajas de generación de
reportes que se almacenan como papeles de trabajo. El software es un
producto eficiente según las características siguientes:

a) Funcionalidad incorporada para; auditar y analizar datos mediante

poderosos comandos tales como: estratificar, muestreo y duplicados.
b) Facilidad para el análisis interactivo; aplicando cualquier
metodología de auditoría, analizando sus datos de forma que los
resultados son inmediatos no importando la cantidad de registros
que contenga el archivo, por su manejo de alta capacidad y
velocidad en el proceso.
c) Facilidad de uso; su interfaz amigable que incluye facilidades
como: menús, barras de herramientas y comandos.
d) Análisis universal de datos; una vez que se accede los datos, ACL
los puede leer en su formato nativo, utilizando un solo producto en
una herramienta para leer cualquier plataforma tecnológica,
incluyendo bases de datos que cumplan con las especificaciones de
ODBC, archivos de longitud variable, archivos de texto y muchos
más.
e) Procesamiento de varios archivos; trabaja simultáneamente con
varios archivos, para hacer análisis y reportes más complejos.
f) Identifica tendencias y señala excepciones y áreas que requieren
atención.
g) Localiza errores y posibles irregularidades, comprobando y
analizando los datos según los criterios del auditor.
h) Verifica integridad de datos en los archivos.
i) Emite cálculos estadísticos y analíticos para realizar proyecciones.
j) Despliegue de Gráficos de Barra

7.1.2. IDEA
Datos Interactivos Extracción y Análisis (IDEA) es una herramienta para
auditores, contadores y administradores financieros que necesitan auditar,
revisar, analizar, extraer y evaluar información contenida en sistemas, base de
datos y cualquier archivo electrónico.

12
 UNIVERSIDAD NACIONAL DEL CALLAO

Este software permite la ejecución de procesos como consultas a

archivos de datos, calcular totales o promedios, encontrar cuantas
transacciones o registros cumplen un criterio dado o buscar campos inusuales.
La interfaz del software está orientada hacia los usuarios finales, de manera
que su uso y aplicación resulta amigable con el usuario, el software presenta
algunas características:

a) Análisis de información: IDEA permite realizar una serie de

funciones de análisis sobre los datos extraídos, mejorando la
confianza y la exactitud de la información utilizada por el auditor.

b) Ordenamiento de registros: IDEA permite ordenar registros

hasta por ocho llaves de ordenamiento concatenado, ascendente o
descendente.

c) Gráficos de barra: permite visualizar de modo gráfico la

información que está analizando.

d) Estadísticas de un campo: muestra una variedad de información

estadística de un campo numérico y puede actuar hasta para 32
campos Simultáneamente.

e) Comparación de dos archivos: permite comparar dos archivos

similares e identificar eventuales diferencias entre ambos.

f) Detección de errores de secuencia: permite detectar errores de

secuencia en un archivo, como por ejemplo en un archivo de
cheques emitidos.

g) Detección de llaves duplicadas: permite detectar campos

duplicados que deberían ser únicos.

7.1.3. TEAM-MATE
Es un software que dispone de un sistema administrador de usuarios de
la Base de Datos, de manera que cada usuario tiene diferentes niveles de
acceso. Está diseñado para ser utilizado por todos los sectores, comerciales,
industriales, financiero; así como para todo tipo de auditoría, como financiera,
de cumplimiento, procedimientos, operacionales, investigaciones y auditoría de
TI, dispone de integrar el programa de auditoría con las observaciones o
13
 UNIVERSIDAD NACIONAL DEL CALLAO

comentarios afines para luego poderlo relacionar al papel de trabajo no

importando su formato, el o le permite la flexibilidad y manejo operativo del
mismo. También dispone de módulo de evaluación de riesgos, basada en la
metodología ORCA (Objetivos, Riesgos, Controles y Alineación), está
enfocada en cómo una organización, unidad de negocio, proceso de negocio o
individuo define y prioriza sus estrategias y objetivos. La metodología ORCA
determina el impacto del riesgo en el objetivo y su probabilidad de ocurrencia.

También dispone de Team Risk el cual permite la evaluación de

riesgos, determinando el universo de riesgo con objetivos y controles que
pueden ser editados durante el proceso de evaluación. Team Risk permite
determinar la fórmula de puntuación y las bandas de puntuación (scoring), las
métricas de puntuación, como impacto y probabilidad que mejor describan su
forma de determinar el riesgo, las dimensiones de las métricas para ver los
factores de riesgo antes y después del control o ambos.

7.1.4. MAGERIT
Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información de las Administraciones Públicas (MAGERIT). Está compuesto
por: Aproximación a la Seguridad de los Sistemas de Información,
Procedimientos, Técnicas, Desarrolladores de Aplicaciones, Responsables del
Dominio, Legales y Técnicas, Arquitectura de la Información y especificaciones
de la interfaz para el intercambio de datos.

El modelo normativo de MAGERIT se apoya en tres sub modelos:

Componentes, Eventos y Procesos, la metodología permite estudiar los
riesgos que soporta un sistema de información y el entorno asociado a él, por
el o propone la realización de un análisis de los riesgos que implica la
evaluación del impacto que una falta en la seguridad que tiene la organización;
señala los riesgos existentes, identificando las amenazas que acechan al
sistema de información, y determina la vulnerabilidad del sistema de
prevención de dichas amenazas, obteniendo unos resultados.

Los Criterios de Seguridad de normalización y conservación

recogen los requisitos y recomendaciones relativos a la implantación de las
medidas de seguridad organizativa y técnica para asegurar la autenticidad,

14
 UNIVERSIDAD NACIONAL DEL CALLAO

confidencialidad, integridad, disponibilidad y conservación de la información en

el diseño, desarrollo, implantación y explotación de las aplicaciones que la
Administración General del Estado utiliza para el ejercicio de sus potestades.
Estos criterios pueden ser, por tanto, complemento de MAGERIT para la
identificación y selección de funciones y mecanismos de salvaguarda.

MAGERIT es una opción para poderse aplicar en el sector

gubernamental y por consiguiente con algunas adaptaciones conforme a las
leyes del país.

7.1.5. OTROS
Para el monitoreo, seguimiento y control de Base de Datos puede
auxiliarse por ejemplo de Spotlight el cual permite operar en tiempo real,
identifica problemas de entrada y salida, mantiene historia y relaciones de
hechos, realiza calibraciones de la base, alarmas audibles , tiempo y espacio
de cpu, disponibilidad de memoria principal, disponibilidad de discos, tiempo y
espacio de procesos, otra opción de software es NimBUS que se utiliza para
monitorear bases de datos e indica la disponibilidad y rendimiento de los
servidores de bases de datos. Además, soporta múltiples plataformas de
bases de datos: Oracle, Sybase, DB2, MS SQL, e Informix.

Otras características: evalúa clusters de bases de datos,

bitácoras de eventos, usuarios activos, consumo de recursos, opciones
flexibles de notificación de alarmas (SMS, PDA, consola, web, email, etc.)
alertas e indicadores de rendimiento, análisis de entradas en tablas para la
generación de alertas e informes de tendencia, entre otros.

Por otra parte conforme al conocimiento del auditor y la

plataforma tecnológica con la que cuenta la Organización, el auditor de
sistemas puede apoyarse con software de soporte para el desarrollo de sus
evaluaciones, por ejemplo: Visual Fox, Visual Basic, Sql, e inclusive los
procedimientos definidos en la línea de comandos de un AS-400 o cualquier
otro lenguaje que le permita filtrar, definir, seleccionar y evaluar los datos, con
la finalidad de brindar opinión sobre la calidad, coherencia y existencia de la
información almacenada.

15
 UNIVERSIDAD NACIONAL DEL CALLAO

Así mismo se recomienda que el auditor pueda identificar aquel

os procedimientos o consultas que demanden la creación de sentencias o
líneas de código fuente, sabiendo que estas se utilizarán más de una vez, en
el sentido que le permita disponer de un respaldo de los mismos, para que en
futuras evaluaciones sean ejecutados.

16