1.

1 DEFINICION Y CLASIFICACION
DEFINICION
Disciplina incluida en el campo de la auditora que se refiere al anlisis de las
condiciones de una instalacin informtica por un auditor externo e independiente
que realiza un dictamen sobre diferentes aspectos.
Conjunto de procedimientos y tcnicas para evaluar y controlar, total o
parcialmente, un sistema informtico, con el fin de proteger sus activos y recursos,
verificar si sus actividades se desarrollan eficientemente y de acuerdo con la
normativa informtica y general existentes en cada empresa y para conseguir la
eficacia exigida en el marco de la organizacin correspondiente.
CLASIFICACION
Auditora Interna y Auditora Externa:
La auditora interna es la realizada con recursos materiales y personas que
pertenecen a la empresa auditada. Los empleados que realizan esta tarea son
remunerados econmicamente. La auditora interna existe por expresa decisin de
la Empresa, o sea, que puede optar por su disolucin en cualquier momento.
Por otro lado, la auditora externa es realizada por personas afines a la empresa
auditada; es siempre remunerada. Se presupone una mayor objetividad que en la
Auditora Interna, debido al mayor distanciamiento entre auditores y auditados.

1.2. TIPOS DE AUDITORIA Y SU RELACION CON LA AUDITORIA

INFORMATICA
Auditora contable, la realizada por un profesional, experto en contabilidad, sobre
los estados contables de una entidad.
Auditora administrativa, es la tcnica de control administrativo que examina sistemtica e integralmente- el grado de eficiencia en la aplicacin del proceso
administrativo a las distintas funciones de una entidad, as como la manera en que
esta eficiencia influye en la efectividad de las mismas.4
Auditora energtica, una inspeccin, estudio y anlisis de los flujos de energa en
un edificio, proceso o sistema con el objetivo de comprender la energa dinmica
del sistema bajo estudio.
Auditora jurdica, la efectuada por un profesional del derecho, con capacidad y
experiencia en derecho civil o militar que realiza la revisin, examen y evaluacin
de los resultados de una gestin especfica o general de una institucin o cuerpo,
con el propsito de informar o dictaminar acerca de ellas, realizando las
observaciones y recomendaciones pertinentes para mejorar su eficacia y eficiencia
en su desempeo.
Auditora informtica, proceso de recoger, agrupar y evaluar evidencias para
determinar si un sistema de informacin salvaguarda el activo empresarial,

mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la

organizacin y utiliza eficientemente los recursos.
Auditora medioambiental, cuantificacin de los logros y la posicin
medioambiental de una organizacin.
Auditora social, proceso que una empresa u organizacin realiza con nimo de
presentar balance de su accin social y su comportamiento tico.
Auditora de seguridad de sistemas de informacin, anlisis y gestin de
sistemas para identificar y posteriormente corregir las diversas vulnerabilidades que
pudieran presentarse en una revisin exhaustiva de las estaciones de trabajo, redes
de comunicaciones o servidores.
Auditora de innovacin, proceso de obtencin informacin sobre la situacin
actual de la empresa frente a la innovacin.
Auditora poltica, revisin sistemtica de los procesos y actividades, orientadas
ideolgicamente, de toma de decisiones de un grupo para la consecucin de unos
objetivos, en beneficio de todos.
Auditora electoral, la realizada a sistemas electorales de los diferentes pases
con sistema democrtico y se realizan para darle confiabilidad y transparencia al
sistema.
Auditora de accesibilidad, revisin de la accesibilidad de un sitio web por parte
de un experto.
Auditora de marca, metodologa para medir el valor de una marca.
Auditora de cdigo de aplicaciones, proceso de revisar el cdigo de una
aplicacin para encontrar errores en tiempo de diseo.
Auditora Sarbanes-Oxley o auditora SOx, revisin es practicada a las firmas de
auditora de las compaas que cotizan en bolsa, de acuerdo a lo prescrito por la ley
Sarbanes-Oxley.
Auditora cientfico-tcnica, realizada a instituciones encargadas de la
investigacin cientfica y tcnica en las diferentes reas del trabajo humano.
Auditora forense, cuando se revisan datos y documentos histricos de empresas
y se comparan con el fin de detectar principalmente fraudes, robos, trucos fiscales,
trucos contables o cualquier otra situacin anmala en la que se investiga a los
involucrados intelectuales y materiales del hecho; regularmente se hacen
estimaciones en dinero de las cifras malversadas.
Auditorias de accidentes a causa del rayo, la realizada por un especialista,
experto en accidentes de rayos

1.
2.
3.
4.

1.3 Normas, tcnicas y procedimientos de auditora en informtica

El desarrollo de una auditora se basa en la aplicacin de normas, tcnicas y
procedimientos de auditora. Para nuestro caso, estudiaremos aquellas enfocadas
a la auditora en informtica.
Es fundamental mencionar que para el auditor en informtica conocer los productos
de software que han sido creados para apoyar su funcin aparte de los
componentes de la propia computadora resulta esencial, esto por razones
econmicas y para facilitar el manejo de la informacin.
El auditor desempea sus labores mediante la aplicacin de una serie de
conocimientos especializados que vienen a formar el cuerpo tcnico de su actividad.
El auditor adquiere responsabilidades, no solamente con la persona que
directamente contratan sus servicios, sino con un nmero de personas
desconocidas para l que van a utilizar el resultado de su trabajo como base para
tomar decisiones.
Normas.
Son los requisitos mnimos de calidad relativos a la personalidad del auditor, al
trabajo que desempea ya la informacin que rinde como resultado de este trabajo.
Las normas de auditora se clasifican en:
Normas personales.
Normas de ejecucin del trabajo.
Normas de informacin.
Normas personales
Son cualidades que el auditor debe tener para ejercer sin dolo una auditora,
basados en un sus conocimientos profesionales as como en un entrenamiento
tcnico, que le permita ser imparcial a la hora de dar sus sugerencias.
Normas de ejecucin del trabajo
Son la planificacin de los mtodos y procedimientos, tanto como papeles de trabajo
a aplicar dentro de la auditora.
Normas de informacin
Son el resultado que el auditor debe entregar a los interesados para que se den
cuenta de su trabajo, tambin es conocido como informe o dictamen.
Tcnicas.
Se define a las tcnicas de auditora como los mtodos prcticos de investigacin
y prueba que utiliza el auditor para obtener la evidencia necesaria que fundamente
sus opiniones y conclusiones, su empleo se basa en su criterio o juicio, segn las
circunstancias.
Al aplicar su conocimiento y experiencia el auditor, podr conocer los datos de la
empresa u organizacin a ser auditada, que pudieran necesitar una mayor atencin.
Las tcnicas procedimientos estn estrechamente relacionados, si las tcnicas no
son elegidas adecuadamente, la auditora no alcanzar las normas aceptadas de

ejecucin, por lo cual las tcnicas as como los procedimientos de auditora tienen
una gran importancia para el auditor.
Procedimientos.
Al conjunto de tcnicas de investigacin aplicables a un grupo de hechos o
circunstancias que nos sirven para fundamentar la opinin del auditor dentro de una
auditora, se les dan el nombre de procedimientos de auditora en informtica.
La combinacin de dos o ms procedimientos, derivan en programas de auditora,
y al conjunto de programas de auditora se le denomina plan de auditora, el cual
servir al auditor para llevar una estrategia y organizacin de la propia auditora.
En General los procedimientos de auditora permiten:
Obtener conocimientos del control interno.
Analizar las caractersticas del control interno.
Verificar los resultados de control interno.
Fundamentar conclusiones de la auditora.
1.4 Planificacin y supervisin del trabajo de la auditora Informtica
Como todo proyecto implantado dentro de una organizacin, el proyecto de auditora
informtica debe iniciar con una fase de planeacin en la cual participen todas las
reas de la organizacin para identificar los recursos necesarios que permitirn
llevar a cabo este proyecto.
Auditoria
Apoyo en la definicin, implantacin y seguimiento de polticas, controles y
procedimientos de auditoria, relacionadas directa o indirectamente con la tecnologa
de informtica (sistemas de informacin, equipos de cmputo, comunicaciones,
etc.).
Planes de capacitacin en el uso y entendimiento de software de auditora,
herramientas de productividad (hojas electrnicas, procesadores de palabras,
graficadores, diagramadores, etc.), base de datos (consulta de informacin, por
ejemplo), equipos de cmputo (micros, terminales, porttiles, etc.); otros de inters
para los auditores.
Informtica
Apoyo en la definicin, implantacin y seguimiento de polticas, controles,
procedimientos y estndares relativos a la organizacin y administracin de
informtica, el proceso de planeacin, la evaluacin y adquisicin de nueva
tecnologa, la evaluacin y adquisicin de servicios, el desarrollo e implantacin de
soluciones (EDI, CASE, base de datos, telecomunicaciones, sistemas estratgicos,
multimedia, etc.) y otros de inters para informtica.
Objetivos de la Planificacin de una auditoria
El proceso de planeacin de la auditoria tiene como objetivo fundamentar el
establecimiento y definicin de diferentes tpicos nombrados a continuacin:
Metodologa a ser usada
Polticas y reglas a seguir

Metas u objetivos de la auditoria

Programas de trabajo de auditoria
Personal que intervendr en el proyecto
Presupuesto
Importancia de la Planeacin
De la adecuada Planeacin y Supervisin el auditor podr obtener los resultados
satisfactorios que le sirvan de base para sustentar su opinin manifestada en su
dictamen. Por esto una de las Normas de Auditora le obliga a que su trabajo deba
ser tcnicamente planeado y ejercerse una supervisin apropiada sobre los
asistentes si estos participan en el examen, como una garanta de calidad hacia los
usuarios. La Planeacin de la Auditora permite establecer la extensin y el alcance
de las pruebas a utilizar y la supervisin sobre el recurso humano que le colaborar
durante el desarrollo del trabajo.
Consideraciones para la planificacin de una auditoria informtica
Diagnstico de la situacin actual de los sistemas de informacin en operacin
Debilidades que pueden motivar la auditora de un sistema de informacin.
Clasificacin de riesgos que representa el uso de hardware y software en la
organizacin.
Evaluacin del nivel de riesgo que representa el uso inadecuado de los productos y
servicios por el personal de informtica y usuarios dentro de la organizacin.
Elaboracin de un plan consolidado de proyectos
Revisin de la matriz de riesgos y del pronstico de proyectos de auditora en
informtica con la gerencia o direccin a la que reporta directamente la funcin de
informtica.
Presentacin del plan de proyectos de la funcin de auditora en informtica a la
alta direccin.
Realizacin de cada uno de los proyectos de acuerdo con el plan de auditora en
informtica.
Integracin y formalizacin de equipos de trabajo.
Aprobacin formal de la alta direccin del informe final de la auditora en informtica
realizada.
1.5 TECNICAS DE AUDITORIA ASISTIDAS POR COMPUTADORA TAACS
Las tcnicas de auditoria asistidas por computadora taacs son herramientas, que
nos facilitan el estudio de la informtica mediante procesos, que nos llevan a la
eficiencia y confiabilidad de los anlisis realizados por el auditor, de forma que se
crea confianza para las entidades que requieren de este sistema.
CAATS
Son un conjunto de tcnicas y herramientas utilizados en el desarrollo de las
auditorias informticas con el fin de mejorar la eficiencia, el alcance y la confiabilidad
de los anlisis efectuados por el auditor, a los sistemas y datos de la entidad

auditada. Tambin incluye mtodos y procedimientos empleados por el auditor

para efectuar su trabajo y que pueden ser administrativos, analticos, informticos,
entre otros y los cuales son de suma importancia para el auditor informtico cuando
este realiza una auditoria.
VENTAJAS DE SU USO EN TRMINOS GENERALES

Brindan al auditor autonoma e independencia de trabajo.

Incrementan el alcance y calidad de los muestreos, verificando un gran nmero de
elementos.
Elevan la calidad y fiabilidad de las verificaciones a realizar.
Reducen el periodo de prueba y procedimientos de muestreos a un menor costo.
Incrementar o amplan el alcance de la investigacin y permiten realizar pruebas
que no pueden efectuarse manualmente.
Disminucin considerable del riesgo de no-deteccin de los problemas.
Posibilidad de que los auditores actuantes puedan centrar su atencin en aquellos
indicadores que muestren saldos inusuales o variaciones.
TCNICAS DE AUDITORIA ASISTIDAS POR COMPUTADORA
Tcnicas administrativas:
Permiten al auditor establecer el alcance de la revisin, definir las reas de inters
y la metodologa a seguir para la ejecucin del examen.
Seleccin de reas de auditoria: Mediante esta tcnica, el auditor establecer las
aplicaciones crticas o mdulos especficos dentro de dichas aplicaciones que
necesitan ser revisadas peridicamente, que permitan obtener informacin
relevante respecto a las operaciones normales del negocio.
Modelaje: Esta tcnica es muy similar a la tcnica de seleccin de reas de
auditoria, cuya diferencia radica en los objetivos y criterios de seleccin de las reas
de inters.
Sistema de puntajes: A travs de esta tcnica el auditor selecciona las
aplicaciones crticas de la organizacin de acuerdo a un anlisis de los riesgos
asociados a dichas aplicaciones y que estn directamente relacionados con
la naturaleza del negocio mediante asignarle a cada riesgo un puntaje de
ocurrencia.
Software de auditoria multisitio: Se basa sobre el mismo concepto de los
sistemas distribuidos, en el que una organizacin con varias sucursales u oficinas
remotas.
Centros de competencia: Consiste en centralizar la informacin que va a ser
examinada por el auditor, a travs de la designacin de un lugar especfico que
recibir los datos provenientes de todas las sucursales.
Tcnicas para evaluar los controles de aplicaciones de produccin:

Se orientan bsicamente a verificar clculos en aplicaciones complejas, comprobar

la exactitud del procesamiento en forma global
Mtodo de datos de prueba: Consiste en la elaboracin de un conjunto de riesgos
que sean representativos de una o varias transacciones que son realizadas por la
aplicacin que va a ser examinada.
Facilidad de prueba integrada (ITF): Similar a la de datos de prueba, con la
diferencia de que en esta se trabajan con datos reales y ficticios.
Simulacin paralela: Esta es una tcnica en la que el auditor elabora, a travs de
lenguajes de programacin o programas utilitarios avanzados, una aplicacin similar
a la que va a ser auditada

1.6 Responsabilidad del Auditor en el Descubrimiento de Errores y

Desviaciones.
El auditor informtico debe ser una persona con un alto grado de calificacin tcnica
y al mismo tiempo estar integrado a las corrientes organizativas empresariales. Es
responsable de realizar las siguientes actividades:
Verificacin del control interno tanto de las aplicaciones como de los SI, perifricos,
etc.

Anlisis de la administracin de Sistemas de

Informacin, desde un punto de vista de riesgo de

seguridad, administracin y efectividad de la administracin.

Anlisis de la integridad, fiabilidad y certeza de la

informacin a travs del anlisis de aplicaciones.

Auditora del riesgo operativo de los circuitos de Informacin

Anlisis de la administracin de los riesgos de la

Informacin y de la seguridad implcita.

Verificacin del nivel de continuidad de las operaciones.

Anlisis del Estado del Arte tecnolgico de la instalacin revisada y las
consecuencias empresariales que un desfase tecnolgico puede acarrear.
El auditor informtico pasa a ser auditor y consultor de empresas en materias de:

Seguridad

Control interno operativo

Eficiencia y eficacia

Tecnologas de Informacin

Continuidad de operaciones

Administracin de riesgos

La dependencia debe ser del mximo responsable dela organizacin, nunca del
departamento de sistemas o del financiero. Esto es para que no se pueda sospechar
que existe sesgo al momento de realizar eltrabajo de auditora y ofrecer
conclusiones y recomendaciones. Los recursos humanos con los que debe contar
el departamento debe ser una mezcla equilibrada de personas con formacin en
auditora y organizacin y con perfil informtico (especialidades).
1.7 Importancia relativa y riesgo de auditoria
El auditor deber considerar la importancia relativa y su relacin con el riesgo de
auditora cuando conduzca una auditora.
Importancia relativa
El objetivo de una auditora de estados financieros es hacer posible al auditor
expresar una opinin sobre si los estados financieros estn preparados, respecto
de todo lo importante, de acuerdo con un marco de referencia para informes
financieros identificado. La evaluacin de qu es importante es un asunto de juicio
profesional.
El auditor deber considerar la posibilidad de representaciones errneas de
cantidades relativamente pequeas que, acumulativamente podran tener un efecto
importante sobre los estados financieros. Por ejemplo, un error en un procedimiento
de fin de mes podra ser una indicacin de una representacin errnea de
importancia relativa si ese error se repitiera cada mes.
Evaluacin del efecto de representaciones errneas
Al evaluar la apropiada presentacin de los estados financieros, el auditor deber
evaluar si el valor acumulado de las representaciones errneas no corregidas que
han sido identificadas durante la auditora, es de importancia relativa.
Si la administracin se niega a ajustar los estados financieros y los resultados de
los procedimientos de auditora ampliados no capacitan al auditor para concluir que
el valor acumulado de las representaciones errneas no corregidas no es de
importancia relativa, el auditor deber considerar la modificacin apropiada de su
dictamen de acuerdo con la NIA El Dictamen del Auditor sobre Estados
Financieros.
1.8 Documentacin de la auditoria.
Es el principal registro de los procedimientos de la auditoria aplicables, evidencia
obtenida, y conclusiones alcanzadas en la participacin. La documentacin de la
auditoria debera incluir toda la informacin que el auditor considere necesaria para
realizar la auditoria de forma correcta y proporcionar el apoyo para el informe de
auditora. La documentacin de la auditoria tambin podra referirse a los papeles
de trabajo. Ha ido la manera en que la documentacin de la auditoria se mantiene
en archives de computadora.

El objetivo general es la de ayudar al auditor a proporcionarle una seguridad

razonable de que una auditoria adecuada se realice de acuerdo con las normas
establecidas. La documentacin de la auditoria, si pertenece al ao corriente de la
auditoria, provee la base para la planeacin de la auditoria, un registro de la
evidencia acumulada y los resultados de las pruebas, datos para determinar el tipo
adecuado del informe de auditora y una base para la revisin por parte de
supervisor y socios.
La documentacin de auditoria es el recurso ms importante para demostrar por
medio de documentos que una auditoria fue realizada de forma adecuada y
conforme a las normas de auditoria generalmente aceptadas.
La revisin de la documentacin permite determinar la conformidad de la
documentacin del sistema, segn documentacin, con los criterios de auditoria.
Si la documentacin es inadecuada no se deben asignar nuevos recursos hasta que
estos problemas se resuelvan.
La revisin de la documentacin comienza en la primera etapa de la auditoria y
puede contina durante todo el ejercicio.
El reto es identificar la informacin requerida (deseable) y revisarla en detalle antes
del trabajo de campo.
Una visita previa puede ser til para:

Informar de primera mano del responsable de la instalacin acerca de

los objetivos y procedimientos de la auditoria.

Conseguir informacin suficiente para desarrollar el entendimiento bsico de la

instalacin, los procesos y la gestin.

Disear un mejor plan de auditoria (ms racional)

TIPOS DE DOCUMENTOS
Documentacin acerca del sistema de gestin de la calidad. Manuales de calidad.

Documentacin acerca de la aplicacin del sistema de gestin de calidad. Planes

de calidad.

Documentos que establecen requisitos. Especificaciones.

Documentos que establecen recomendaciones o sugerencias. Guas.

Documentacin acerca de cmo desempear las actividades o procesos.

Procedimientos, Instrucciones, Planos.

Documentacin que proporciona evidencia objetiva de las actividades realizadas o

de los resultados logrados. Registros.

1.9 Evidencia Comprobatoria

Mediante sus procedimientos de auditoria, el auditor debe obtener evidencia
comprobatoria suficiente y, competente en el grado que requiera, para suministrar
una base objetiva que permita su opinin. Debe entenderse por evidencia
comprobatoria, los elementos que comprueben la autenticidad de los hechos, la
evaluacin de los procedimientos contables empleados, la razonabilidad de los
juicios efectuados, etc., de ah que la documentacin contable por s sola no
represente toda la evidencia que el auditor requiere para apoyar su opinin
profesional.
Objetivo
El objetivo de este boletn es establecer los pronunciamientos normativos en
relacin a las caractersticas que debe reunir la evidencia comprobatoria, cuando
se lleva a cabo una auditora de estados financieros de acuerdo con las normas de
auditora generalmente aceptadas.
Las aseveraciones hechas en los estados financieros, que estn ntimamente
relacionadas con los objetivos de auditora, son declaraciones de la administracin
que se incluyen como parte integrante de los mismos y que, por su naturaleza,
pueden ser explcitas o implcitas y se refieren a lo siguiente:
Integridad
Todas las transacciones y saldos que deben presentarse en los estados financieros
se han incluido.
Presentacin y revelacin

Los renglones particulares de los estados financieros estn adecuadamente

clasificados, descritos y revelados.
La evidencia comprobatoria obtenida debe ser suficiente y competente para que el
auditor pueda fundamentar sus conclusiones sobre la validez de las aseveraciones
de la administracin, contenidas en cada rubro de los estados financieros.
La calidad de la evidencia, su objetividad y su oportunidad soportan su competencia.
La confiabilidad de la evidencia comprobatoria se ve influenciada por su fuente,
interna o externa y por su naturaleza visual, oral o documental. Aun cuando la
confiabilidad de la evidencia comprobatoria est en funcin de las circunstancias en
las que se obtiene, las siguientes generalizaciones son tiles al evaluar hasta qu
punto dicha evidencia de auditoria es veraz:
El conocimiento directo del auditor obtenido a travs de exmenes fsicos,
observacin, clculos e inspeccin, es ms conveniente que la informacin obtenida
Indirectamente.

La evidencia comprobatoria obtenida de fuentes independientes fuera de la entidad,

proporciona mayor seguridad que aquella obtenida dentro de la misma entidad para
propsitos de una auditora independiente.
La contabilidad y los estados financieros elaborados bajo condiciones satisfactorias
de control Interno, generalmente son ms confiables que cuando han sido
elaboradas bajo condiciones poco satisfactorias.
La evidencia en forma de documentos y confirmaciones escritas es ms confiable
que las confirmaciones verbales.
1.10 Control Interno
Una de las formas de definir el concepto de control interno es la siguiente. El control
interno es un proceso que lleva acabo el Consejo de Administracin, la direccin y
el resto de los miembros de una entidad, con el objeto de proporcionar un grado
razonable de confianza en la consecucin de objetivos de fiabilidad de la
informacin financiera, eficacia y eficiencia de las operaciones y cumplimiento de
las leyes y las normas aplicables.
Componentes de un Sistema de Control interno:

Tradicionalmente, los principales componentes de un sistema de control interno han

incluido:
La segregacin de funciones
La delegacin de la responsabilidad y de la autoridad.
Existencia de personal competente y de confianza.
El sistema de autorizaciones.
Documentacin y registros adecuados.
El control fsico sobre activos y registros.
1.11 Resumen
Esta seccin incluye un resumen de la informacin recolectada durante la auditora.
El contenido de este resumen est determinado por lo que el auditor considera
importante para los niveles ejecutivos de la compaa. El resumen no brinda la
opinin del auditor sino que se enfoca en expresar, con claridad, los resultados de
la auditora.
Sus principales objetivos son:

Difundir, seleccionar y buscar informacin.

Conocer el documento con suficiente precisin.

Servir de anticipo del documento original, permitiendo a los usuarios decidir sobre
la conveniencia o no de consultar el texto original.
Determina, por tanto, su pertinencia e inters.
Actualizar los conocimientos del especialista sobre los desarrollos habidos en su
campo terico, ahorrndole tiempo y esfuerzo.
Facilitar el aprendizaje.
La estructura del resumen representa el contenido del original y consta de las
siguientes partes:
REFERENCIA: La norma UNE 50-104-94 establece los criterios a seguir para la
elaboracin de referencias bibliogrficas. Hay que indicar los siguientes elementos:
autor, ttulo, fuente y fecha de publicacin y pginas.
CUERPO DEL RESUMEN: Se aconseja presentarlo en un solo prrafo y tiene que
recoger los siguientes indicadores: objetivos y alcance (propsito del documento);
metodologa (Si es un trabajo experimental debe indicar las tcnicas y mtodos
utilizados en la investigacin. Si es un trabajo no experimental las fuentes de datos
y su manejo), los resultados (descubrimientos e interpretacin) y las conclusiones
(implicaciones de los resultados y su relacin con el propsito de la investigacin).
Procesos

Identificar el origen de la auditoria.

Realizar una visita preliminar al rea que ser evaluad.
Establecer los objetivos de la auditoria.
Determinar los puntos que sern evaluados en la auditoria.
Elaborar planes programas presupuestos para realizar la auditoria.
Identificar y seleccionar herramientas.
Asignar los recursos y sistemas computacionales para la auditoria.
Redactar documentos y acuerdos.
Caractersticas

ENTROPA: Economa y efectividad en el uso del lenguaje. Utilizar el menor

nmero de palabras para expresar una idea.
Reflejar la informacin bsica y la intencin del documento con el mnimo de
palabras posible.
PERTINENCIA: Adecuacin al contenido del documento (ni explicarlo ni criticarlo),
al usuario (fiel a las ideas pero manteniendo un lenguaje comprensible), al sistema
(mantener cierta homogeneidad, seguir normativa).
CORRECCIN LINGSTICA: Mantener las normas gramaticales, ortogrficas y
sintcticas.

COHERENCIA: Grado de relevancia entre las partes de un discurso.

Encadenamiento semntico del texto.
CONSISTENCIA: Organizacin de la estructura y contenido del texto siguiendo un
estilo nico.
1.12 Metodologa para el Desarrollo e Implementacin de Auditora

La auditora en informtica debe respaldarse por un proceso formal que asegure su

previo entendimiento por cada uno de los responsables de llevar a la prctica dicho
proceso en la empresa. Al igual que otras funciones en el negocio, la auditora en
informtica efecta sus tareas y actividades mediante una metodologa.
No es recomendable fomentar la dependencia en el desempeo de esta importante
funcin slo con base en la experiencia, habilidades, criterios y conocimientos sin
una referencia metodolgica.
Contar con un mtodo garantiza que las cualidades de cada auditor sean orientadas
a trabajar en equipo para la obtencin de productos de calidad estandarizados.
La funcin de la auditora en informtica ha de contar tambin con un desarrollo de
actividades basado en un mtodo de trabajo formal, que sea entendido por los
auditores en informtica y complementado con tcnicas y herramientas propias de
la funcin.
Es importante sealar que el uso de la metodologa no garantiza por s sola el xito
de los proyectos de auditora en informtica; adems, se requiere un buen dominio
y uso constante de los siguientes aspectos complementarios:
Tcnicas
Herramientas de productividad
Habilidades personales
Conocimientos tcnicos y administrativos
Experiencia en los campos de auditora e informtica
Conocimiento de los factores del negocio y del medio externo al mismo
Proceso metodolgico de la auditora en informtica

El uso de un proceso de trabajo metodolgico y estndar de la funcin de auditora

en informtica genera las siguientes ventajas:
Los recursos orientan sus esfuerzos a la obtencin de productos y servicios de
calidad, con caractersticas y requisitos comunes para todos los responsables.
Las tareas y productos terminados de los proyectos se encuentran definidos y
formalizados en un documento al alcance de los auditores en informtica.
Se facilita en alto grado la administracin y seguimiento de los proyectos, pues la
metodologa obliga a la planeacin detallada de cada proyecto bajo criterios
estndares.

Facilita la superacin profesional y humana de los individuos, ya que orienta los

esfuerzos hacia la especializacin, responsabilidad, estructuracin y depuracin en
las funciones del auditor en informtica.
Es un complemento clave en el desarrollo de cada individuo, pues su formal
seguimiento, aunado a las habilidades, normas y criterios personales, coadyuva al
cumplimiento exitoso de los proyectos de auditora en informtica.
El proceso de capacitacin o actualizacin en el uso de un proceso metodolgico
es ms gil y eficiente, dado que se trabaja sobre tareas y productos terminados
perfectamente definidos.
Requisitos para el xito del proceso metodolgico

Contar con una metodologa formalmente documentada no es garanta de que los

proyectos de auditora en informtica tendrn xito; no cumplir con las siguientes
condiciones conducir a la funcin de auditora en informtica a que sus proyectos
no cumplan con los tiempos, costos o resultados esperados:
Aprobacin de la metodologa por la alta direccin.
Adecuacin de la metodologa a los requerimientos especficos del negocio
(cuidado con reducir tareas y eliminar productos importantes con el fin de ahorrar
tiempo o por criterios personales; es til apoyarse en un asesor experto).
Documentacin o actualizacin de la metodologa.
Capacitacin formal en el uso de la metodologa (de acuerdo con el perfil y nivel de
participacin de cada individuo involucrado).
Mtodos, tcnicas y herramientas por rea de revisin.

Conjuntar y coordinar de manera eficiente los siguientes factores brindar el

aseguramiento de resultados satisfactorios por parte del desempeo de la funcin
de los auditores en informtica:
Dominio de los conceptos tcnicos y administrativos relacionados con la auditora
en informtica.
Habilidades inherentes a la auditora en informtica.
Normas personales.
Entendimiento de la auditora en informtica y sus tendencias.
Adaptacin o actualizacin segn el medio dominante.
Administracin formal de la auditora en informtica en el negocio.
Involucramiento formal en los procesos de planeacin del negocio, informtica y de
la auditora tradicional.
Desarrollo de un proceso formal de planeacin de auditora en informtica.
Entendimiento y aplicacin de un proceso metodolgico formal de la auditora en
informtica.

Vocacin profesional por la auditora en informtica (es un requisito moral, no una

poltica organizacional).
Uno de los factores primordiales para que el auditor en informtica obtenga un
desempeo eficiente en su trabajo es el conocimiento y aplicacin de los mtodos,
tcnicas y herramientas comnmente aceptados para la informtica en los negocios
o asociaciones.

1.13 Informe final de la auditora

Es el medio formal para comunicar los objetivos de la auditora, las normas utilizadas, alcance
y resultados, conclusiones y recomendaciones de la auditoria.
El reporte debe ser objetivo, claro, conciso, constructivo y oportuno. Los elementos que puede
contener el informe de auditoria son
1. Informacin, registros o declaraciones de hecho verificables
2. Puede ser cualitativa o cuantitativa
3. Sirve para determinar cuando se cumple con el criterio de auditoria
4. Se basa en entrevistas, revisin de documentos, observacion de actividades.
Plan de auditoria
Debe ser establecido y comunicado al cliente. El cliente debe revisar y aprobar dicho plan que
debe incluir
1. Los objetivos y alcance
2. El criterio a ser usado
3. La identificacin de las unidades organizacionales y funcionales a ser auditadas
4. La identificacin de las funciones y/o individuos dentro de la organizacin del auditado
5. Identificacin de los aspectos de calidad que son de alta prioridad
6. Identificacin de los documentos de referencia.
7. El tiempo y duracin esperados para las entrevistas e inspecciones
8. Las fechas y lugares donde se va a realizar la auditoria
9. El cronograma de reuniones que se van a tener con la gerencia del auditado
10. Requerimientos confidenciales
11. El contenido, formato y estructura del informe.

1.14 Tipos de normas de auditoria en

Mxico
Clasificacin de las normas de auditora generalmente aceptadas.
1. Personales.
2. Relativas a la ejecucin del trabajo.
3. Relativas a la informacin.

1. Personales: se refiere a la persona del contador pblico como auditor independiente; ste debe
ser: experto en la materia, siendo profesional a su actuacin y observando siempre principios ticos.
a. Entrenamiento tcnico y capacidad profesional: el auditor debe tener conocimientos tcnicos
adquiridos en Universidades o Institutos superiores del pas, habiendo culminado sus estudios con
recepcin profesional de Contador Pblico, adems se requiere que el joven profesional adquiera
una adecuada prctica o experiencia, que le permita ejercer un juicio slido y sensato para aplicar
los procedimientos y valorar sus efectos o resultados.
b. Cuidado y diligencia profesional: todo profesional forma parte de la sociedad, gracias a ella se
forma y a ella debe servir. El profesional de la Contadura Pblica, al ofrecer sus servicios
profesionales debe estar consciente de la responsabilidad que ello implica. Es cierto que los
profesionales son humanos y que por lo tanto se encuentra al margen de cometer errores, estos se
eliminan o se reducen cuando el contador pblico pone a su trabajo (cuidado y diligencia profesional).
c. Independencia mental: Para que los interesados confen en la informacin financiera este debe
ser dictaminado por un contador pblico independiente que de antemano haya aceptado el trabajo
de auditora , ya que su opinin no este influenciada por nadie, es decir, que su opinin es objetiva,
libre e imparcial.
2. Relativas a la ejecucin del trabajo. Estas normas se refieren a elementos bsicos en el que el
contador pblico debe realizar su trabajo con cuidado y diligencia profesionales para lo cual exigen
normas mnimas a seguir en la ejecucin del trabajo.
a. Planeacin y supervisin: antes de que el contador pblico independiente se responsabilice de
efectuar cualquier trabajo debe conocer la entidad sujeta a la investigacin con la finalidad de planear
su trabajo, debe asignar responsabilidades a sus colaboradores y determinar que pruebas debe
efectuar y que alcance dar a las mismas, as como la oportunidad en que sern aplicadas.
b. Estudio y evaluacin del control interno: el contador pblico independiente debe analizar a la
entidad sujeta a ser auditada, esto, es evaluar y estudiar el control interno, con la finalidad de
determinar que pruebas debe efectuar y que alcance dar a las mismas, as como, la oportunidad
en que sern aplicadas.
c. Obtencin de la evidencia suficiente y competente: el contador pblico al dictaminar Estados
Financieros adquiere una gran responsabilidad con terceros, por lo tanto, su opinin debe estar
respaldada por elementos de prueba que sern sustentables, objetivos y de certeza razonables, es
decir, estos hechos deben ser comprobables a satisfaccin del auditor.
3. Relativas a la informacin: el objetivo de la auditora de Estados Financieros es que el contador
Pblico independiente emita su opinin sobre la razonabilidad de los mismos, ya que, se considera
que el producto terminado de dicho trabajo es el dictamen.
a. Normas de dictamen e informacin: el profesional que presta estos servicios debe apegarse a
reglas mnimas que garanticen la calidad de su trabajo.
b. Debe aclarar que el contador pblico independiente: al realizar cualquier trabajo debe
expresar con claridad en que estriba su relacin y cul es su responsabilidad con respecto a los
estados financieros.
c. Base de opinin sobre estados financieros: con la finalidad de unificar criterios, el IMCP por
medio de su comisin de principios de contabilidad, ha recomendado una serie de criterios, a los que
los profesionales se deben de apegar y as, eliminar discrepancias, al procesar y elaborar la
informacin.

d. Consistencia en la aplicacin de los principios de contabilidad: para que la informacin

financiera pueda ser comparable con ejercicios anteriores y posteriores, es necesario que se
considere el mismo criterio y las mismas bases de aplicacin de principios de contabilidad
generalmente aceptados, en caso contrario, el auditor debe expresar con toda claridad la naturaleza
de los cambios habidos.
e. Suficiencia de las declaraciones informativas: la contabilidad controla las operaciones e
informa a travs de los Estados financieros que son los documentos sobre los cuales el contador
pblico va a opinar, la informacin que proporcionan los estados financieros deben ser suficiente,
por lo que debe de revelar toda informacin importante de acuerdo con el principio de "revelacin
suficiente".
Tipos de normas internacionales
La Organizacin Internacional de Normalizacin o ISO (del griego , isos, que significa igual),
nacida tras la Segunda Guerra Mundial (23 de febrero de 1947), es el organismo encargado de
promover el desarrollo de normas internacionales de fabricacin (tanto de productos como de
servicios), comercio y comunicacin para todas las ramas industriales. Su funcin principal es la de
buscar la estandarizacin de normas de productos y seguridad para las empresas u organizaciones
(pblicas o privadas) a nivel internacional.
La ISO es una red de los institutos de normas nacionales de 161 pases, sobre la base de un miembro
por pas, con una Secretara Central en Ginebra (Suiza) que coordina el sistema. Est compuesta
por delegaciones gubernamentales y no gubernamentales subdivididos en una serie de subcomits
encargados de desarrollar las guas que contribuirn al mejoramiento.
Las normas desarrolladas por ISO son voluntarias, comprendiendo que ISO es un organismo no
gubernamental y no depende de ningn otro organismo internacional, por lo tanto, no tiene autoridad
para imponer sus normas a ningn pas. El contenido de los estndares est protegido por derechos
de copyright y para acceder a ellos el pblico corriente debe comprar cada documento.
La Organizacin est compuesta por representantes de los organismos de normalizacin (ON)
nacionales, que produce diferentes normas internacionales industriales y comerciales. Dichas
normas se conocen como normas ISO y su finalidad es la coordinacin de las normas nacionales,
en consonancia con el Acta Final de la Organizacin Mundial del Comercio, con el propsito de
facilitar el comercio, el intercambio de informacin y contribuir con normas comunes al desarrollo y
a la transferencia de tecnologas.
La organizacin ISO est compuesta por tres tipos de miembros:
Miembros simples, uno por pas, recayendo la representacin en el organismo nacional ms
representativo.
Miembros correspondientes, de los organismos de pases en vas de desarrollo y que todava no
poseen un comit nacional de normalizacin. No toman parte activa en el proceso de normalizacin
pero estn puntualmente informados acerca de los trabajos que les interesen.
Miembros suscritos, pases con reducidas economas a los que se les exige el pago de tasas
menores que a los correspondientes.

Auditoria por su lugar de aplicacin.

Auditoria interna. (Caso de Estudio de esta investigacin).

Auditoria Externa. (Caso de Estudio de esta investigacin).

Auditoria por su rea de aplicacin.

Auditora financiera.

Auditora Administrativa.

Auditora ocupacional.

Auditora integral.

Auditora gubernamental.

Auditora de sistemas. (Caso de Estudio de esta investigacin).

Auditoria de sistemas computacionales.

Auditora informtica. (Caso de Estudio de esta investigacin).

Auditora con la computadora.

Auditora sin la computadora.

Auditora a la gestin informtica.

Auditora de sistema de cmputo.

Auditora alrededor de la computadora.

Auditora a los sistemas de redes.

De acuerdo a lo anterior, existe una clasificacin de los tipos de auditoria, con el fin de identificar
criterios, caractersticas, y especificaciones de esta disciplina profesional. Sin embargo para esta
investigacin solo se trataran los tipos de auditoria por su lugar de aplicacin, los cuales se
desarrollan a continuacin.
AUDITORIA INTERNA
Segn Carmen Heredero (2008), Es realizada por una entidad funcional perteneciente a la propia
estructura organizacional de la empresa y como contraprestaciones reciben una remuneracin
econmica.

Por otro lado Muoz Carlos (2000), refiere la auditoria interna con el objetivo de obtener un dictamen
interno sobre las actividades de toda la empresa, que permita diagnosticar la actuacin
administrativa, operacional y funcional de empleados y funcionarios de las reas que auditen.
Principal

ventaja

de

la

auditoria

interna:


Debido a que el auditor permanece conoce las problemtica, funciones, actividades, reas
y operaciones.

Por otra parte el coste ser menor puesto que los recursos solo son internos para
organizacin, por lo tanto no representan ninguna erogacin adicional.

El informe que rinde el auditor, independientemente del resultado, es solo de carcter interno
y por lo tanto no sale de la empresa, ya que nicamente le sirve a las autoridades de la institucin.

Puede llevar un programa concreto de evaluacin en apoyo a las autoridades de la empresa,

lo cual ayudara a sus dirigentes en la evaluacin y la toma de decisiones.
Principal

desventaja

de

la

auditoria

interna:

posible falta de objetividad de las personas que la llevan a cabo, puesto que pueden estar
directamente implicados en el propio sistema de informacin, al laborar en la misma empresa donde
realiza la auditoria, puede presentar presiones, compromisos y ciertos intereses al realizar la
evaluacin.

Su veracidad, alcance y confiabilidad pueden ser limitados, debido a que puede haber
injerencias por parte de las autoridades de la institucin sobre la forma de evaluar y emitir informes.

Se pueden presentar vicios de trabajo del auditor con relativa frecuencia, ya sea en las
formas de utilizar las tcnicas y herramientas para aplicar la auditoria, como en la forma de evaluar
y emitir su informe sobre la misma.
Segn

Gonzalo

Rivas

(1988)

los Objetivos

de

la

auditoria

interna

son:

Revisin y evaluacin de controles, financieros y operativos.

Determinacin de la utilidad de polticas, planes y procedimientos, asi como su nivel de

cumplimiento.

Custodia y contabilidad de activos.

Examen de la fiabilidad de los datos.

Divulgacin de polticas y procedimientos establecidos. Flujo descendente: desde la alta

direccin hacia la direccin operativa.

Informacin exacta a la gerencia. Flujo ascendente: de la direccin operativa a la alta

direccin.
AUDITORIA EXTERNA

Jos Lpez (2008), dice que se realiza por personas ajenas a la empresa, ya que esta contrata un
servicio para auditar su sistema de informacin por personas externas a la empresa.

Muoz Carlos (2000), expreso que es la revisin independiente que realiza un profesional de la
auditoria, con total libertad de criterio y sin ninguna influencia, con el propsito de evaluar el
desempeo de las actividades, operaciones y funciones que se realizan en la empresa que lo
contrata, as como de la razonabilidad en la emisin de sus resultados financieros.

A veces se adjudica la posibilidad de auditar un sistema de informacin a varias auditoras,

centrndose generalmente cada una en un rea determinada. El contrato debe sealar la duracin
de la auditoria y de cada una de las fases en que el trabajo se encuentra dividido, tanto en tiempo
total como parciales. Recoger tambin los objetivos a alcanzar, tanto finales como los relativos a
cada una de las fases, el mbito a considerar y los recursos tcnicos y humanos necesarios.
Principal

ventaja

de

la

auditoria

externa

Alto grado de objetividad que se consigue en comparacin con los auditores internos, dado
que es realizada por un personal ajeno a la empresa, puesto que no tendr condicionantes de
dependencia jerrquica o vinculaciones de otro tipo con la empresa.

En su realizacin, estas auditoras pueden estar apoyadas por una mayor experiencia por
parte de los auditores externos, debido a que utiliza tcnicas y herramientas que ya fueron probadas
en otras empresas con caractersticas similares.

Sus dictmenes pueden ser vlidos para las autoridades impositivas, y con ello pueden
satisfacer requerimientos de carcter legal, siempre que sean realizadas por auditores de prestigio
que tengan el reconocimiento pblico.
El

principal

inconveniente

de

la

auditoria

externa

Dado por el alejamiento de la problemtica de la empresa de quienes asumen la

responsabilidad de llevar a cabo la auditoria. No obstante, la profesionalidad y experiencia de
quienes de quienes asumen la auditoria deben superar estos inconvenientes para llevar a cabo un
trabajo adecuado.

Depende en absoluto de la cooperacin que el auditor pueda obtener de parte de los

auditados.

Su evaluacin, alcances y resultados pueden ser muy limitados.

En algunos casos son sumamente costosas para la empresa, no solo en el aspecto

numrico, sino por el tiempo y trabajo adicional que representan.
Segn

Gonzalo

Rivas

(1988)

los Objetivos

de

la

auditoria

Externa

son.


Obtencin de elementos de juicio fundamentados en la naturaleza de los hechos
examinados para garantizar que han quedado significativamente probados.

Medicin de la magnitud de un error ya conocido, deteccin de errores supuestos o

confirmacin de la ausencia de errores.

Propuesta de sugerencias, en tono constructivo, para ayudar a la gerencia. (Carta de

recomendaciones).

Deteccin de los hechos importantes ocurridos tras el cierre del ejercicio, teniendo en cuenta
la previsible evolucin de la empresa.

Control de las actividades de investigacin y desarrollo.

Ventajas y Desventajas de la auditora informtica.

Me gustara primeramente considerar las ventajas y desventajas de un
software de auditora informtica:
Ventajas
- Econmico (a la larga, inversin de futuro)
- Extensin de pruebas
- Utilizacin de procedimientos de auditoras anteriores
- Eficacia
- Realizacin de cambios a un mnimo coste
- Elaboracin de informes
Desventajas
- Costo inicial alto
- El cdigo embebido puede ser borrado o modificado
- No se verifican procesos particulares sino genricos
- Limitada habilidad para determinar si la aplicacin es propensa a
error.
- Slo se verifican aplicaciones que se estn ejecutando.
- Las vulnerabilidades de este tipo de software pueden permitir

ataques.

Ventajas y desventajas de normas internacionales de auditoria vs

normas aplicadas en Mxico:
NORMAS

NACIONALES

INTERNACIONALES

VENTAJAS

Debido a que el auditor

permanece
conoce
las
problemtica,
funciones,
actividades,
reas
y
operaciones.

Alto grado de objetividad que

se consigue en comparacin
con los auditores internos,
dado que es realizada por un
personal ajeno a la empresa,
puesto
que
no
tendr
condicionantes
de
dependencia
jerrquica
o
vinculaciones de otro tipo con
la empresa.

Por otra parte el coste ser

menor puesto que los recursos
solo son internos para
organizacin, por lo tanto no
representan
ninguna
erogacin adicional.

El informe que rinde el auditor,

independientemente
del
resultado, es solo de carcter
interno y por lo tanto no sale
de la empresa, ya que
nicamente le sirve a las
autoridades de la institucin.

DESVENTAJAS

En su realizacin, estas
auditoras
pueden
estar
apoyadas por una mayor
experiencia por parte de los
auditores externos, debido a
que
utiliza
tcnicas
y
herramientas que ya fueron
probadas en otras empresas
con caractersticas similares.

Puede llevar un programa

concreto de evaluacin en
apoyo a las autoridades de la
empresa, lo cual ayudara a
sus dirigentes en la evaluacin
y la toma de decisiones.

Sus dictmenes pueden ser

vlidos para las autoridades
impositivas, y con ello pueden
satisfacer requerimientos de
carcter legal, siempre que
sean realizadas por auditores
de prestigio que tengan el
reconocimiento pblico.

Posible falta de objetividad de

las personas que la llevan a
cabo, puesto que pueden
estar directamente implicados

Dado por el alejamiento de la

problemtica de la empresa de
quienes
asumen
la

en el propio sistema de
informacin, al laborar en la
misma empresa donde realiza
la auditoria, puede presentar
presiones, compromisos y
ciertos intereses al realizar la
evaluacin.

Su veracidad, alcance y
confiabilidad
pueden
ser
limitados, debido a que puede
haber injerencias por parte de
las
autoridades
de
la
institucin sobre la forma de
evaluar y emitir informes.
Se pueden presentar vicios de
trabajo del auditor con relativa
frecuencia, ya sea en las
formas de utilizar las tcnicas
y herramientas para aplicar la
auditoria, como en la forma de
evaluar y emitir su informe
sobre la misma.

responsabilidad de llevar a
cabo la auditoria.

No obstante, la profesionalidad
y experiencia de quienes de
quienes asumen la auditoria
deben
superar
estos
inconvenientes para llevar a
cabo un trabajo adecuado.

Depende en absoluto de la
cooperacin que el auditor
pueda obtener de parte de los
auditados.
Su evaluacin, alcances y
resultados pueden ser muy
limitados.

En
algunos
casos
son
sumamente costosas para la
empresa, no solo en el aspecto
numrico, sino por el tiempo y
trabajo
adicional
que
representan.

1.14 Normas actuales emergentes

aplicadas a la auditoria informtica
CISA
Certified Information Systems Auditor (CISA) es una certificacin para auditores respaldada por la
Asociacin de Control y Auditora de Sistemas de Informacin (ISACA) (Information Systems Audit
and Control Association). Los candidatos deben cumplir con los requisitos establecidos por la ISACA.
La certificacin CISA fue establecida en 1978, debido a las siguientes razones:
Desarrollar y mantener una herramienta que pueda ser utilizada para evaluar las competencias de
los individuos al realizar auditoras de sistemas.
Proveer una herramienta motivacional para los auditores de sistemas de informacin para mantener
sus habilidades, y monitorizar la efectividad de los programas de mantenimiento.
Proveer criterios de ayudar y gestin en la seleccin de personal y desarrolladores.

El primer examen se llev a cabo en 1981, y los registros han crecido cada ao. En la actualidad, el
examen es ofrecido en 11 idiomas y ms de 200 lugares de todo el mundo. En 2005, la ISACA
anunci que el examen se ofrecer en junio y diciembre, y que empezara en 2005. Anteriormente,
el examen slo haba sido administrado anualmente, en junio. Ms de 50 mil candidatos han
conseguido el certificado CISA.
La certificacin CISA es aprobada formalmente por el Departamento de Defensa de los Estados
Unidos en la categora de Aseguramiento de Informacin Tcnica (DoD 8570.01-M). Certified
Information Systems Auditor (CISA)
Es una certificacin para auditores respaldada por la Asociacin de Control y Auditora de Sistemas
de Informacin (ISACA) (Information Systems Audit and Control Association). Los candidatos deben
cumplir con los requisitos establecidos por la ISACA.
Requisitos
*Examen de acuerdo con el Cdigo Profesional de tica de ISACA.
*Cinco aos de experiencia en auditora de sistemas, control interno y seguridad informtica y tener
un programa de educacin continua.
Beneficios
El examen consiste de 200 preguntas de opcin mltiple que deben ser contestadas en 4 horas.
Garantizar que las prcticas de administracin para el desarrollo/adquisicin, pruebas,
implementacin, mantenimiento y eliminacin de activos informticos cubren los objetivos de la
organizacin.
Asegurar la entrega de los niveles de servicio requeridos para cumplir los objetivos de la organizacin
COBIT
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que
trabajan los profesionales de TI. Vinculando tecnologa informtica y prcticas de control
COBIT (Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas)
Beneficios de Cobit
*Mantener la informacin de alta calidad para apoyar las decisiones de negocio.
*Lograr los objetivos estratgicos y obtener los beneficios de negocio a travs del uso efectivo e
innovador de TI.
*Lograr la excelencia operativa a travs de la aplicacin eficaz y fiable de la tecnologa.
*Mantener riesgos relacionados con TI a un nivel aceptable.

COBIT se divide en tres niveles:

Dominios: Agrupacin natural de procesos, normalmente corresponden a un dominio o una
responsabilidad organizacional.
Procesos: Conjuntos o series de actividades unidas con delimitacin o cortes de control.
Actividades: Acciones requeridas para lograr un resultado medible.

Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI.
COSO
AICPA COSO (Comit de Organizaciones Patrocinadoras de la Comisin de normas)
Es un esfuerzo por redefinir el concepto de control interno utilizado por auditores internos y externos,
e intervinieron diversas organizaciones, entre las que se destacan el AICPA, (Asociacin
interamericana de CPA, el AAA Asociacin Americana de Auditores y el IIA, Instituto de Auditores
Internos.
Se desarrolla en cinco ejes principales:
1. Ambiente de control
2. Evaluacin de riesgos
3. Actividades de control
4. Informacin y comunicacin
5. Supervisin y seguimiento
Ventajas de coso
Permite a la direccin de la empresa poseer una visin global del riesgo y accionar los planes para
su correcta gestin.
Alinea los objetivos del grupo con los objetivos de las diferentes unidades de negocio, as como los
riesgos asumidos y los controles puestos en accin.

1.16. Sistemas de Gestin de seguridad de la Informacin.

Un sistema de gestin de la seguridad de la informacin (SGSI) (en ingls: information
security management system, ISMS) es, como el nombre lo sugiere, un conjunto de polticas
de administracin de la informacin. El trmino es utilizado principalmente por la ISO/IEC
27001, aunque no es la nica normativa que utiliza este trmino o concepto.
Un SGSI es para una organizacin el diseo, implantacin, mantenimiento de un conjunto de
procesos para gestionar eficientemente la accesibilidad de la informacin, buscando asegurar
la confidencialidad, integridad y disponibilidad de los activos de informacin minimizando a la
vez los riesgos de seguridad de la informacin.
Como todo proceso de gestin, un SGSI debe seguir siendo eficiente durante un largo tiempo
adaptndose a los cambios internos de la organizacin as como los externos del entorno.

PDCA
Crculo de Deming.

La ISO/IEC 27001 por lo tanto incorpora el tpico Plan-Do-Check-Act (PDCA) que significa
"Planificar-Hacer-Controlar-Actuar" siendo este un enfoque de mejora continua:

Plan (planificar): es una fase de diseo del SGSI, realizando la evaluacin de riesgos de
seguridad de la informacin y la seleccin de controles adecuados .

Do (hacer): es una fase que envuelve la implantacin y operacin de los controles.

Check (controlar): es una fase que tiene como objetivo revisar y evaluar el desempeo
(eficiencia y eficacia) del SGSI.

Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de vuelta
el SGSI a mximo rendimiento.

SGSI es descrito por la ISO/IEC 27001 y ISO/IEC 27002 y relaciona los estndares publicados
por la International Organization for Standardization (ISO) y la International Electrotechnical
Commission (IEC). JJO tambin define normas estandarizadas de distintos SGSI.

Otros SGSI

TLLJO, este SGSI permite un mayor control sobre el sistema a un precio moderadamente
reducido

SOGP es otro SGSI que compite en el mercado es el llamado "Information Security

Forum's Standard of Good Practice" (SOGP). Este SGSI es ms una best practice (buena
prctica), basado en las experiencias del Foro de la seguridad de la informacin (ISF).

ISM3: Information Security Management Maturity Model (ISM3) (conocida como ISMcubed o ISM3) est construido en estndares como ITIL, ISO 20000, ISO 9001, CMM,
ISO/IEC 27001, e informacin general de conceptos de seguridad de los gobiernos ISM3
puede ser usado como plantilla para un ISO 9001 compliant. Mientras que la ISO/IEC
27001 est basada en controles. ISM3 est basada en procesos e incluye mtricas de
proceso.