Repblica Bolivariana de Venezuela

Ministerio del Poder Popular para la Educacin Universitaria

Universidad Gran Mariscal de Ayacucho
Facultad de Ingeniera
Escuela de Sistemas
Auditora de Sistemas

ESTUDIO COMPARATIVO DE LAS DISTINTAS

METODOLOGAS PARA REALIZAR AUDITORAS
INFORMTICAS Y CONTROL INTERNO

Profesora:
Yesenia Persad

Bachilleres:
Aguache Rubn

24.226.153

Castillo Gnesis

20.873.072

Chiang Wuisu

20.343.278

Gua Manuel

20.104.624

Gutierrez Andreina

20.342.249

Rodrguez Alejandro 18.299.599

Barcelona, 22 de Abril de 2014

INTRODUCCIN
En toda tarea que ejecutamos en nuestro mbito laboral tenemos
que tener presente un orden y establecer distintas prioridades para que
la actividad que debemos cumplir o nos hemos propuesto culmine de
forma exitosa y podamos alcanzar el objetivo planteado en un principio,
reduciendo o controlando la posibilidad de que el resultado se
encuentre condicionado por una mayor cantidad de factores aleatorios.
Para poder realizar estas tareas es necesaria la aplicacin de
Metodologas, las cuales son aplicables a todo mbito de nuestras vidas
(personal y profesional), por supuesto teniendo para ello que contar con
un conocimiento previo que nos permita evaluar y seleccionar la
metodologa correcta que debemos implementar para cada caso de
estudio o situacin determinada.
La Auditora Informtica y el Control Interno son actividades que
se benefician en gran medida de la aplicacin de estas Metodologas,
en el presente estudio analizaremos las distintas tcnicas que podemos
aplicar y sus beneficios.

I.

FUNDAMENTOS DE LAS METODOLOGAS

Existen mltiples autores que desarrollan distintas metodologas

para la realizacin de una auditora informtica y el control interno. En el

caso del autor Emilio Del Peso se especifican tres tipos de
metodologas que tienen, a su vez, metodologas inmersas, las cuales
son las metodologas de evaluacin de sistemas, las metodologas de
auditora informtica y las metodologas del control interno.
Dentro de la metodologa de evaluacin de sistemas se
encuentra la metodologa del anlisis de riesgos, que se utilizan para la
identificacin de la falta de controles y el establecimiento de un plan de
contramedidas. Tambin abarca el plan de contingencia, que es una
estrategia planificada constituida por un conjunto de recursos de
respaldo, una organizacin de emergencia y unos procedimientos de
actuacin encaminada a conseguir una restauracin progresiva y gil
de los servicios de negocios afectados por una paralizacin total o
parcial de la capacidad operativa de la empresa.
La auditora informtica identifica el nivel de exposicin por la
falta de controles en los sistemas informticos. Dentro de ella se
encuentran las auditoras de controles generales y las metodologas de
auditores internos.
Las auditoras de controles generales se utilizan para dar una
opinin sobre la fiabilidad de los datos del computador para la auditora
financiera.
Las

metodologas

de

auditores

internos

se

forman

por

recomendaciones de plan de trabajo y de todo el proceso que debe

seguir, definindose el objetivo de la misma, que habr que describirlo

en el memorndum de apertura al auditado.
En el control interno informtico, se encuentran las metodologas
de clasificacin de la informacin y de obtencin de los procedimientos
de control, donde se evala el componente de la actuacin segura
entre los usuarios, la informtica y el control interno.
Segn el autor Carlos Muoz, la metodologa para auditoras de
sistemas computacionales, se entiende como una serie ordenada de
acciones, tareas y procedimientos, los cuales sern utilizados conforme
a un mtodo minucioso, previamente establecido, a fin de utilizar una
serie de herramientas, mtodos e instrumentos necesarios en la
evaluacin del rea de sistemas.
Las metodologas utilizadas para llevar a cabo auditorias
generalmente se encuentran comprendidas por las fases de: toma de
contacto, planificacin de la operacin, desarrollo de la auditoria,
sntesis y diagnstico, presentacin de conclusiones y redaccin del
informe y formacin del plan de mejora.
Para realizar la toma de contacto, el primer paso es que la
organizacin se ponga en contacto con el auditor. Posteriormente, el
auditor realiza un anlisis inicial para conocer el estado de la
organizacin tanto de manera interna como externa, determinar qu
elementos influyen en el mismo, sus problemas, arquitectura y
funciones.
Dentro de la planificacin de la operacin, se elabora y propone
un plan de trabajo comprendido por los objetivos, cronograma de
actividades, alcance, puntos a estudiar, personal que colaborara en la

auditoria y las reuniones que se llevarn a cabo con el personal de las

distintas reas de la organizacin.
En la fase que comprende el desarrollo de la auditoria, se hace
revisin de la documentacin sensible de la organizacin que pueda
llevar a dar evidencias que conduzcan a conclusiones certeras en el
diagnostico organizacional y se procede a la aplicacin de herramientas
de recoleccin de informacin pertenecientes a distintas metodologas
segn sea el caso a estudiar.
Cuando se trata de la sntesis y diagnstico, se analizan y se
procede a registrar lo observado en herramientas de anlisis tales
como: listas de verificacin, matrices DAFO, etc.
Para la presentacin de conclusiones, se exhiben todos los
hechos presentes que puedan ser probados y se formulan propuestas
constructivas y realistas.
Finalmente, en la redaccin del informe y formacin del plan de
mejora, se procede a redactar el informe de la auditoria y elaborar los
planes de mejora de la organizacin.
La metodologa de evaluacin de sistemas se encarga de realizar
un plan de seguridad para los sistemas informticos. Las dos
metodologas de evaluacin de sistemas por autonomasia son las de
anlisis de riesgos y las de auditora informtica.
II.

CARACTERSTICAS DE LAS METODOLOGAS

Segn el autor Emilio Del Peso, las metodologas abarcan la

evaluacin de sistemas, la auditora informtica y el control interno

informtico. Cada una de ellas comprende aspectos resaltantes que
permiten establecer las caractersticas esenciales de las mismas.

La metodologa de evaluacin de sistemas se compone a su vez

de metodologas cuantitativas y cualitativas, adems de abarcar el
anlisis de riesgo y el plan de contingencia.
Las metodologas cuantitativas se caracterizan por:

Se obtienen datos probabilsticos que van a permitir establecer

una comparacin.
Se definen por coeficientes (A.L.E., Reduccin del A.L.E. y

Retorno de la inversin).
Se usan en gran parte dentro de la simulacin.
Permite elegir entre contramedidas en el anlisis de riesgo.
Los resultados muestran debilidad de los datos de probabilidad
de ocurrencia por los pocos riesgos y significacin a nivel

mundial.
Presentan dificultad de evaluar econmicamente todos los
impactos de usar un modelo matemtico para el anlisis.
Las

metodologas

cualitativas

presentan

las

siguientes

caractersticas:

Se basa en mtodos estadsticos y lgicos.

Precisan de un profesional experimentado.
Requieren menos recursos humanos y de tiempo.
El anlisis de riesgo cumple con las siguientes caractersticas:

En base a unos cuestionarios se identifican vulnerabilidades y

riesgos.
Se evala el impacto de los riesgos.
Se identifican las contramedidas y el coste.
Mediante la simulacin, se analiza el efecto de las distintas

contramedidas.
Se elige un plan de contramedidas que compondrn el informe
final de evaluacin.

Dentro de ella se han identificado 66 metodologas segn

INFOSEC92.
El plan de contingencia posee las siguientes caractersticas:

Est compuesto de 3 fases, que son la fase de diseo y anlisis,

fase de desarrollo del plan y la fase de prueba y mantenimiento.

Se enfoca en el anlisis de riesgo con datos de poca significacin

cientfica.
Se basa en la continuidad del negocio.
Tiene como objetivo estudiar todo lo que puede paralizar la
actividad o producir prdidas.
La metodologa de auditora informtica se compone de las

auditoras de controles generales y las metodologas de auditores

internos. Dentro de las auditoras de controles generales se encuentran
las siguientes caractersticas:

Busca identificar vulnerabilidades o fallas en los controles.

Se basan en pequeos cuestionarios estndares que dan como

resultado informes muy generalistas.

Tienen apartados para definir pruebas y anotar resultados.
Son poco usadas porque deende mucho de la experiencia de los

profesionales que la usan.

No usan contramedidas, por lo que pueden llegar a utilizarse

metodologas de anlisis de riesgos para hacer auditoras.

El auditor informtico requiere de una mplia experiencia tutelada
y una gran informacin tanto auditora como informtica.
Las metodologas de auditores internos responden a las

siguientes caractersticas:

Debe ser diseada y desarrollada por el propio auditor.

El correcto diseo de la metodologa medir el grado de
experiencia y habilidad de un auditor informtico.

Se realizan cuestionarios genricos con una orientacin de los

controles a revisar.
El auditor tiene la alternativa de usar herramientas de auditora
de software, que le permitirn facilitar las tareas a realizar.
En el control interno informtico, se encuentran las metodologas

de clasificacin de la informacin y de obtencin de los procedimientos

de control, que se caracterizan por:

Ser una metodologa PRIMA de dos mdulos.

Fundamentarse en el concepto de identificar distintos niveles de
contramedidas para distintas entidades de informacin con
distinto nivel de criticidad, para optimizar la eficiencia de las

contramedidas y reducir el costo de las mismas.

El segundo concepto que lo compone es el de entidad de

informacin, que es el objetivo de proteger el entorno informtico.

Clasifica la informacin para facilitar la especializacin de las
contramedidas segn el nivel de confidencialidad o importancia

que tengan.
Es una metodologa del tipo cualitativo/subjetivo.
Posee una lista de ayuda con el concepto abierto.
Se puede aadir en la herramienta niveles o jerarquas,
estndares y objetivos a cumpli por nivel, y ayudas de

contramedidas.
Se consideran requerimientos legislativos, la sensibilidad a la

divulgacin, a la modificacin y a la destruccin.

Tiene cuatro jerarquas, que son Vital-Crtica-Valuada-No
sensible, o bien, Altamente confidencial-Confidencial-RestringidaNo sensible.
Segn el autor Carlos Muoz la metodologa para auditoras de

sistemas computacionales cumple con las siguientes caractersticas:

Se compone de tres fases, la planeacin de la auditora de

sistemas computacionales, ejecucin de la auditora de sistemas
computacionales y Dictamen de la auditora de sistemas

computacionales.
Verifica el origen de la auditora.
Establece una visita preliminar de la misma.
Busca establecer objetivos.
Es necesario determinar los puntos que deben ser evaluados.
Se elaboran planes, presupuestos y programas.
Selecciona herramientas, tcnicas, mtodos y procedimientos

que sern utilizados en la auditora.

Asigna los recursos y sistemas para la auditora.
Identifican desviaciones y elaborar borrador de informe.
Presenta las desviaciones a discusin
Elabora un borrador final de desviaciones
Presenta un informe final de auditora

III.

SEMEJANZAS

DIFERENCIAS

ENTRE

LAS

METODOLOGAS
Tabla 3.1. Diferencias de las metodologas

Diferencias
Autor: Emilio Del Peso
Metodologa de
evaluacin de
sistemas
En ella el plan de
contingencia est
compuesto de 3
fases, que son la
fase de diseo y
anlisis, fase de
desarrollo del plan
y la fase de

Metodologa de
auditora
informtica

Autor: Carlos Muoz

Control interno
informtico

Metodologa para
auditoras de sistemas
computacionales
Compuesta por tres
fases, la planeacin de
la
auditora
de
sistemas
computacionales,
ejecucin
de
la
auditora de sistemas
computacionales
y

prueba
mantenimiento.

Por medio del

anlisis de riesgos
se identifican las
contramedidas y el
coste.

En
las
metodologas
cualitativas
se
obtienen
datos
probabilsticos que
van a permitir
establecer
una
comparacin.

Dictamen
de
la
auditora de sistemas
computacionales.
En las auditoras
de
controles
generales no se
usan
contramedidas,
por lo que pueden
llegar a utilizarse
metodologas de
anlisis de riesgos
para
hacer
auditoras.

Se lleva a cabo la
identificacin
de
desviaciones
y
la
elaboracin de un
borrador de informe.

Las auditoras de
controles
generales
se
basan
en
pequeos
cuestionarios
estndares
que
dan
como
resultado informes
muy generalistas.
Tabla 3.2. Semejanzas de las metodologas

Semejanzas
Autor: Emilio Del Peso
Metodologa de
evaluacin de
sistemas
Las metodologas

Metodologa de
auditora
informtica

Control interno
informtico
Se fundamenta en

Autor: Carlos Muoz

Metodologa para
auditoras de sistemas
computacionales

el
concepto
de
identificar distintos
niveles
de
contramedidas para
distintas entidades
de informacin con
distinto nivel de
criticidad.

que la componen
implementan
el
anlisis de riesgo
para la evaluacin
de contramedidas
y su impacto.
Dentro del anlisis
de riesgos en
base
a
unos
cuestionarios se
identifican
vulnerabilidades y
riesgos.

Se
buscan
identificar
vulnerabilidades o
fallas
en
los
controles.

El
auditor
informtico
requiere de una
Precisan de un mplia experiencia
profesional
tutelada y una
experimentado.
gran informacin
tanto
auditora
como informtica.
Est compuesta
por
una
metodologa
de
tipo cualitativo y
una
de
tipo
cuantitativo.

Est compuesta por

metodologas
del
tipo
cualitativo/subjetivo.
El auditor tiene la
alternativa de usar
herramientas, que
le
permitirn
facilitar sus tareas.
CONCLUSIONES

Seleccin
de
herramientas,
tcnicas, mtodos y
procedimientos que se
usan en la auditora.

La funcin principal de aplicar una metodologa es definir,

estructurar y homogeneizar los procesos que se llevan a cabo en las
auditorias, permitiendo que los resultados sean objetivos y fieles a la
realidad presente. La calidad en el desarrollo y mantenimiento del
software, as como la seguridad del mismo y de los equipos
informticos, se ha convertido hoy en da en uno de los principales
objetivos estratgicos de las organizaciones, debido a que cada vez
ms,

los

procesos

principales

de

las

organizaciones

(y

su

supervivencia) dependen de los sistemas informticos para su buen

funcionamiento.
Hoy en da las empresas deben enfocar parte de su atencin en
el grado de vulnerabilidad y en las herramientas de seguridad
informtica con las cuentan para hacerle frente a los posibles ataques
que luego se puedan traducir en prdidas cuantiosas de dinero. La
seguridad forma parte de la organizacin y ha de gestionarse de forma
continuada, desde el momento de la creacin de la informacin hasta el
momento de su destruccin. En la actualidad es de vital importancia el
considerar realizar auditoras informticas, que aseguren que se estn
cumpliendo los objetivos establecidos.
Es

importante

utilizar

herramientas,

mtodos

procedimientos en la auditora informtica, ya que lo que se

hace es utilizar lo mejor de ellas para adecuarlas a las
necesidades
ambiente

especficas

de sistemas.

de

evaluacin

requeridas

en

el

Cuando se desee implementar una

metodologa en una organizacin o modificar una metodologa

existente, la mejor forma de hacerlo es llevando a cabo un proyecto de
mejora de procesos que permitirn descifrar el camino hacia dnde va
la auditora; considerando cada una de las fases de la misma.

BIBLIOGRAFA
Piattini, M. G. y Del Peso, E. (2001). Auditora informtica un
enfoque prctico. (2da ed.) Mxico: Alfaomega grupo editor.
Muoz R., C. (2002). Auditora en sistemas computacionales.
(1era ed.) Mxico: Pearson Educacin.