INTRODUCCIÓN

En la actualidad el costo de los equipos de cómputo ha disminuido considera­

blemente, mientras que sus capacidades y posibilidades de utilización han au­
mentado en forma inversa a la reducción de sus costos. Aunque los costos uni­
tarios han disminuido {el de una computadora personal, "microcomputadora"),
los costos totales de la computación (de equipos, sistemas, paquetes, recursos
humanos, consumibles, etc.) se han incrementado considerablemente. Ello se
debe a que, si bien la relación precio/ memoria es menor, el tamaño de la me­
moria de los equipos y sus capacidades son mucho mayores, con procesadores
y dispositivos que pemüten acceso de más datos en mucho menos tiempo y que
procesan la información en forma más rápida {memorias RAM y ROM, discos
fijos, cte.). Esto hace que, aunque se han reducido los costos, al aumentar sus
capacidades y facilidades se ha incrementado el costo total, lo que ha tenido
como consecuencia que los costos totales del uso no hayan disminuido en todos
los casos. Las nuevas herramientas con que se cuenta (Internet, Extranet, comu­
nicación, bases de datos, multimedia, etc.) hacen que también se pueda tener
acceso a mayor información, aunque el costo total de los sistemas, así como la
confiabilidad y seguridad con que se debe trabajar, sean muy altos.
En algunas ocasiones ha disminuido el costo de las aplicaciones, pero se
tiene poca productividad en relación con la información y uso que se da a éstas.
También se tiene poco control sobre la utilización de los equipos, existe un de­
ficiente sistema de seguridad tanto física como lógica y se presenta una falta de
confidencialidad de la información. Lo que se debe incrementar es la producti­
vidad, el control, la seguridad y la confidencialidad, para tener la información
necesaria en el tiempo y en el lugar adecuados para poder tomar las mejores
decisiones.
Los siguientes puntos de la tecnología de información son particularmente
notables:

• Una gran disponibilidad de hardware de computadoras muy poderosos y

baratos, incluyendo la incorporación, a través de la miniaturización de po­
derosas capacidades, en diferentes dispositivos diseñados para usos perso­
nales y profesionales.
• Una gran disponibilidad de software poderoso, barato y relativamente ac­
cesible, con interfases de uso gráfico.
• A la medida del diente, cambio de sistemas a ;oftware preempacado.
• Cambio de computadoras principales (mninframe) a computadoras de uso
individual o aumentadas como parte de redes dedic,1das a compartir infor­
mación, así como computadoras corporativas con los correspondientes cam-
xii bios en la naturaleza, organización y localiLación de actividades de los sis­ ma de organizar
INTROOUCCIÓN
temas de información, como el cambio a computadoras de usuario final. control)' adminis
• Incremento en la habilidad de las computadoras para accesar datos en tiempo En muchos ce
real o demorado, ambos en forma local o a través de acceso a facilidades pleo de herramier
remotas, incluyendo vía Internet. puestos, fina112as.
• Captura de nuevos datos y el liderazgo en tecnología en almacenamiento repercute en una i
máximo para incrementar la computarización, datos/información en tex­ n.cs con las carach
tos, gráficas )' video, con énfasis en la administración, presentación y comu­ hace que no se cuE
nicación de información, utilizando aptoximaciones de multimedia. desvíen de los obj,
• La cobertura de información y las tecnologías de comunicación afectan la La proliferaci,
fonna en que se trabaja)' se compra. manda de control
• J.ncremento del uso de J.nternet para unir individuos, intraorganizaciones, a vacidad de la info1
través de sistemas tales como correo electrónico (E-mail), Internet, inclu­ Además, ha)' una ¡
yendo world )' wide web. dad de la continui,
• El incremento en el uso de Internet para conducir comunicación entre orga­ siste111as se caigan.
n.izaciones e individuos, a través de sistemas de comercio electrónico, tales incompatibles y el
como intercambio electrónico de datos (EDI))' sistema de transferencia elec­ Los sistemas ti,
trónica de fondos (EFTS). de las herranúent,,
• Mercadeo masivo y distribución de productos de tecnología de informa· Para poder evaluar
ción y servicios, tales como computadoras, software preempacado, servicio larJo desde su inici
de recuperación de datos en línea, correo electrónico y servicios financieros. electr6n.ico, o bien
• Reduccicín de barreras de uso de sistemas, estimulando una gran penetra­ respaldos, segurida
ción de sistemas de información dentro de organizaciones de todos los ta·
No basta, pues, con
mafios, de lucro o no lucrativas, para contadores y consejos de administra­
pos de cómputo, qu
ción, y para propósitos estratégicos e incremento de papeles del usuario
ma total de informa
final de computadoras.
• La informática I
Una amplia penetración de tecnología de información, tal como diseño de
mos años. En una g
manufactura por medio de asistencia computarizada (CAD/CAM), siste­
prendiá hace algun,
ma de imágenes por computadora, sistemas de información para ejecutivos
(EIS) y sistemas de reuniones en forma electrónica (EMS). creación del horno,
• Nuevas téc1úcas de desarrollo de sistemas, basados en tecnologías de infor­ década hemos visto.
mación, tales como software de ingeniería de asistencia computarizada era algo común la ta,
(CASE), programación orientada a objetos y tecnología de flujos (WORK­ remoto, y considerai
FLOW). redes. Esto ha provo,
• Desarrollo continuo de soporte de sistemas inteligentes, incorporando sis· mática. Ya no podcm
temas expertos, redes neuronales, agentes inteligentes )' otras ayudas de con microcomput1dc
solución de problemas. conocía en detalle so
• Acc�'S-0 a reingen.iería de nuevos negocios, basado en la integración efectiva de tener especialistas
de tecnología de información y procesos de negocios. informática,)' en ella
rentes funciones que
Uno de los problemas más frecuentes en los centros de informática es la de la in formálica v d
falta de una adecuada orga1úzación, que permita avanzar al ritmo de las exi· El principal objeti
gencias de las organizaciones. A esto ha)' que agregar la situación que presen­ los siguientes puntos
tan los nuevos equipos en cuanto al uso de bases de datos, redes y sistemas de
información. Lo anterior, combinado con la necesidad de W1a eficiente planeación • l .a parte administ
estratégica)' corporativa de las organizaciones, )' con una descentralización de •
•
Los recursos mate
equipos y centralización de la información, ha provocado que la complejidad Los sistemas y pro
de las decisiones, )' las dimensiones de los problemas en cuanto a la mejor for· necesidades de la
s sis­ ma de organizar el área de cómputo, requieran aplicar técnicas modernas de xiii
,a]. control y administración. INTRODUCCIÓN
•mpo En muchos centros de informática también se desconoce el adecuado em·
ades pleo de herramientas administrativas, contables/ fü1ancieras, tales como presu­
puestos, finanzas, costos, recursos humanos, organización, control, etc. Esto
iento repercute en una inadecuada área de informática que no permite tomar decisio­
I tex­ nes con las características que deben tener las organizaciones actuales, lo cual
>mu- hace que no se cuente con los controles para asegurar que esas decisiones no se
desvíen de los objetivos.
an la La proliferación de la tecnología de información ha incrementado la de­
manda de control de los sistemas de itúormación, como el control sobre la pri­
tes, a vacidad de la información y su integridad, y sobre los cambios de los sistemas.
nclu- Además, hay una preocupación sobre la caída de los sistemas y sobre la seguri­
dad de la continuidad del procesamiento de la información, en caso de que los
>rga­ sistemas se caigan. Otra área de preocupación es la proliferación de subsistemas
tales incompatibles y el ineficiente uso de los recursos de sistemas.
elec- Los sistemas tienen difcren tes etapas, y una de ellas puede ser la utilización
de las herramientas que nos proporcionan los mismos sistemas electrónicos.
rma­ Para poder evaluar un sistema de información es necesario conocerlo y contro­
vicio larlo desde su inicio, siguiendo su proceso, que puede ser manual, mecánico,
eros. electrónico, o bien la combinación de éstos, hasta llegar a su almacenamiento,
etra­
respaldos, seguridad y eficiencia en el uso de la información que proporcionan.
,s la­
No basta, pues, conocer una parte o fase del sistema, como pueden ser los equi­
stra­ pos de cómputo, que tan sólo vienen a ser una herramienta dentro de un siste­
Jario
ma total de información.
La informática ha sido un área que ha cambiado drásticamente en los últi­
1o de
mos años. En una generación, la tecnología ha cambiado tanto que lo que sor­
;iste·
prendió hace algunos años, como la llegada del hombre a la Luna, o bien la
tivos
creación del horno de microondas, hoy nos parece algo muy familiar. En una
década hemos visto el cambio en la organización de la informática: si hace poco
-úor­
era algo común la tarjeta perforada, hoy la vemos como algo de un pasado muy
z.ada
remoto, y consideramos como algo normal el uso de microcomputadoras y de
)RK-
redes. Esto ha provocado que se tengan especialistas dentro del área de la infor­
mática. Ya no podemos pensar en el personal de informática que podía trabajar
> sis·
oon núcrocomputadores y con grandes computadoras, o bien en la persona que
s de
conocía en detalle sobre bases de datos y de comunicaciones. Ahora se deben
de tener especialistas en cada una de las áreas. Una de éstas es la auditoría en
:tiva
informática, y en ella debemos de tener especialistas para cada una de las dife­
rentes funciones que se realizarán. Esto sin duda depende del tamaño del área
es la de la informática y de la organización.
exi­ El principal objetivo del libro es evaluar la función de la informática desde
·sen­ los siguientes puntos de vista:
IS de
ción • La parte administrativa del departamento de informática.
n de • Los recursos materiales y técnicos del área de informática.
idad • Los sistemas y procedimientos, y la eficiencia de su uso y su relación con las
for- necesidades de la organización.
xiv Es conveniente precisar y aclarar que la función de la auditoría en informá­
INTRODUCCIÓN
tica se ubica dentro del contexto de la organización, dependiendo de su tamaño
y características. La profundidad con la que se realice, dependerá también de
las características y del número de equipos de cómputo con que se cuente. El
presente libro señala un panorama general, pero habrá que adecuar éste y pro­
fundizar de acuerdo a la organización de que se trate y de los equipos, software CAPÍTU
y comunicación que se auditen.
Para cualquier comentario sobre esta obra, los lectores pueden dirigirse a la
dirección del autor en Internet: jaeg@correo.uam.mx

Oe-i
Al finaliz
2 ría de-be e\
CAPÍTULO 1
CONCEPTO DE
CoNCEPTo DE AUDITORÍA tivas de so

Y CONCEPTO DE INFORMÁTICA
AUDITORIA lnformátic,
EN INFORMATICA
Y DIVERSOS TIPOS
equipos d<.'
DE AUDITORIAS conferenl.'.i
tica de la Fa
Auditoría. Con frecuencia la palabra auditoría se ha empleado incorrectamen­ l\acional \
te y se le ha considerado como una evaluación cuyo único fin es detectar errores
y señalar fallas. Por eso se ha llegado a usar la frase "tiene auditoría" como No e.,1s
sinónimo de que, desde antes de realii:arse, ya se encontraron fallas y por lo palabra
tanto se está haciendo la auditoría. El concepto de auditoría es más amplio; no la con1u
IUI! t>StJ
sólo detecta errores: es un examen crítico que se realiza con objeto de evaluar la
eficiencia y eficacia de una sección o de un organismo, y determinar cursos
alternativos de acción para mejorar la organización, y lograr los objetivos pro­
puestos.
Definiciones La palabra auditoría viene del latína11dilori11s, y de ésta proviene "auditor",
el que tiene la virtud de ofr; el diccionario lo define como "revisor de cuentas
colegiado".' El auditor tiene la virtud de oír y revisar cuentas, pero debe estar m.-íquin
encaminado a un objetivo especifico, que es el de evaluar la eficiencia y eficacia hum.1no
con que se está operando para que, por medio del sei\alamiento de cursos alter­
nativos de acción, se tomen decisiones que perrnitan corregir los errores, en Hacia p
caso de que existan, o bien mejorar la forma de actuación. L;ón, c..obre t
Si consulta1nos nuevamente el diccionario cncontran1os que eficacia es: "vir­ por reddim
tud, actividad, fuerza, para poder obrar";' mientras que eficiencia es: "virtud y lntcrgubem
facultad para lograr un efecto detcrnúnado", es decir, es el poder lograr lo pla­ U"1ESCO. E$
neado con los menores recursos posibles, mientras que eficacia es lograr los ello, formuló
objetivos.
El Bo/etí11 C de normas de auditoría' del Instituto Mexicano de Contadores Aphrac,
nos dice: c.;,oc1al y

La auditoría no es una actividad n1eran1ente 1nec�lnica que implique la aplicación La lBI ta

de ciertos pr'OCedimientos cuyos resultados, una vez llevados a cabo, son de carác­ CJ que, aunq
ter indudable. La .:iuditoria requiere el ejercicio de un juicio profesional, sólido y
maduro, para juzgar los procedimientos <¡ue deben de seguirse y estimar los resul· Ciencia d
tados obtenidos.
En 1977, !
Así como existen normas y procedimientos específicos para la realización
MexicJna de I
de auditorías contables, debe haber también normas y procedimientos para la
realización de auditorías en informática como parte de una profesión. Éstas Cil"nc1.1 de
pueden estar basadas en las experiencias de otras profesiones, pero con algunas
características propias y siempre guiándose por el concepto de que la auditoría �n alguna
debe ser m,is amplia que la simple detección de errores, y que además la audito- proceso elc-ctrl
1nás a1nplio, v•
la cual puede
1
.\'un.,o DicettJIJ¡,jrio E!>paíiol S-Openil
! Jrln,t,
3
i'..Jormas y prot"edim1entos rlt· auditoría, Instituto r,..1�xic.1no de Contadores Públittl">. t &li-tt11 Jtt (
 ría debe evaluar para mejorar lo existente, corregir errores y proponer alterna­ 3
tivas de solución. co,iCEPTO DE
AUDITORIA Y
Informática. El concepto de inform,itica es más amplio que el simple uso de CONCEPTO DE
INFORMÁTICA
equipos de cómputo o bien de procesos electrónicos. Veamos lo que se dijo en la
conferencia presentada del 5 al 9 de diciembre de 1983 en el Centro de Wormá­
hca de la Facultad de Contaduría y Administración (ClFCA) de la Universidad
prrcctamen­ Nacional Autónoma de México:·'
�ar errores
toría" como :\"o existe una sola concepción acerca de qué es informática; etimológicamente, la
palabra informática deriva del francés itrforttratiqut'. Este neologis.mo proviene de
las y por lo
la conjunción de i,��lrmat,011 (información) y nultl,ttali que ( auton,ática). Su creación
:amplio; no
fue estimulada por lcl intención d.e dar una alternativa menos te-cnocr�tica y m('1,os
e evaluar la ml!(anicista al concepto de "proceso de datos".
ünar cursos
,jehvos pro- En 1966, la Academia Francesa reconoció este nuevo concepto y lo definió
del modo siguiente:
e "auditor",
· de cuentas Ciencia del tratamiento sistemático y eficaz, realizado especialmente mediante
o debe estar máq uinas automáticas, de la inforn1ación contc1nplada como vehículo del saber
:ia y eficacia hu1nano y de la con,unicación en los á1nbitos técnico, econón,ico y social.
cursos alter­
errorcs, e n Hacia principios de los setenta ya eran claras las limitaciones de esta defini­
ción, sobre todo por el hincapié en el uso de las máquinas. El principal esfuerzo
acia es: "vir­ por redefinir el concepto de informática lo realizó en esa época la Oficina
!S: "virtud y lntergubernamental de Informática (IBI), en aquel tiempo órgano asociado a la
Jgrar lo pla­ Uf\FSCO. Este organismo, a través de los comités expertos convocados para
:s lograr los ello, fommló en 1975 esta definición:

Contadores Aplicación racional, sistemática de la información para el desarrollo económico,

social y político.

la aplicación la 181 también dio en esa época una descripción del concepto de informáti­
son de car�,c­ ca que, aunque no constituye una definición formal, resulta muy descriptiva:
¡nal, sólido y
mar los resul- Ciencia de la política de la inforn,ación.

en 1977, con la intención de actualizar y afinar el concepto, la Academia

1 realización Mexicana de Informática propuso la siguiente definición:
•ntos para la
'esión. Éstas Ciencia de los sistemas inteligentes de información.
con algunas
la auditoría En algtm,,s ocasiones se han empicado como sinónimos los conceptos de
ás la audito- pnices<> electrónico, computadora e informática. El concepto de informática es
más amplio, ya que considera el total del sistema y el manejo de la información,
la cual puede usar los equipos electrónicos corno una de sus herramientas.

iw,. 'Bolt:tm dd Ctutrodr lrrfon11dlira de la FCA dr la UJ\'A:\I, nUm. 99, vol. 11, mayo de 1984.
 4 También es común confundir el concepto de dato con el de información. La
CAPiTULO 1
CONCEPTOOE
información es una serie de datos clasificados y ordenados con un objetivo co­
mún. El dato se ,efiere únicamente a un símbolo, signo o a una serie de letras o
D1vE�
AUDITORÍA números, sin un objetivo que dé un significado a esa serie de símbolos, signos, YSUR
EN INFORMÁTICA
letras o números.
EN INF¡
Y DIVERSOS TIPOS
DE AUOITOAÍAS-..!' La info,macióri está orientada a reducir la incertidumbre del receptor y tie·
¡ ne la característic,, de poder duplicarse prácticamente sin costo, no se gasta.
, Además no exist� por sí misma, sino que debe expresarse en algún objeto (pa·
; f-
i pe!, cinta, etc.); de otra manera puede desaparecer o deformarse, como sucede
, / , con la comunicacián oral, lo cual hace que la información deba ser controlada Auon
Y
( / '-.!.' // debidamente por medio de adecuados sistemas de seguridad, confidencialidad
..... :I ·r
"-[
y respaldo.
La información puede comunicarse, y para ello hay que lograr que los me-
Y AUDI
dios de seguridad sean llevados a cabo después de un adecuado examen de la
forma de transmisión, de la eficiencia de los canales de comunicaciónGI trans­ El Boletí11 E·
misor, el receptor, el contenido de la comunicación, la redundancia y el ruid<iJ interno:

l
Niveles La i1úormación ha sido dividida en varios aj_vel!S. fil_primero es el nivcl
de información ( �meo, que con_s,d�a los aspectos de eficiencia y capacidad_sle los canales de El estud
J transmisión; el segundo es el nivel semántico, que se ocupa de la información
la norm
�studio:
desde el_punto de vista de su significado; el tercero es el prngmático, � c':!_ai
para del
(,:,? ._ :f,,.._..., ', considera E'
al rt·ceptor en un contexto dado, y el cuarto mvel analiza inforfl!.a· pernlita1
ción desde el 1)unt<> devis!_ª_normativo y d� la pai:te ética, Qsejl considera cuán: procedí�
1 , ,, , -.......C'\L do, dónde.x_a gu1iln se destina la información o l�que se le dé. Fl e,
"\°.,_ \?, ,-,.- � ..,-.
.,,., - La inform, tica debe abarcar los cuatro nive!es'aerñ1or"mación� En el cuarto procedir
nivel tenemos una serie de aspectos importa.ni es, como la arte legal del uso de guardar
_,,l"-= \ ;
la información, los estudiollue se han hecho .SQ!,;:e la §r_ jyrj;p.,. <!e la infor- tinancicr
1
, ��,..,
r'�
máticuJa cre1ciól\ de la ética_en üúo!:!!!_ática, que no sólo debe incluir a los licas pr
��� ·• �
eofesionales t, :ni�o.? y es.eecialistas en informática, sino también a los usua­
rios tanto de gr l!ldes c?mputadoras_como de computadoras personal� Objetivos b
La informa, ión tradicional (oral y escrita) se ve afectada dentro de la infor­ tro objetivo!
mática cuando •.e introduce el manejo de medios electrónico¡;, lo cual la hace
fácilmente mod·ficable y adaptable a las características de cada receptor. La • La protE
üúormación tambiJn tiene la capacidad de manejarse en forma rápida y en gran­
• La obter
des volúmenes, lo cual permite generar, localizar, duplicar y distribuir la infor­
• La prorr
mación de modo sorprendente, a través de métodos, técnicas y herramientas
• Lograre
como microcomputadoras, procesos distribuidos, redes de comunicación, ba­ blecidas
ses de datos, etcJtera.
La nueva te01ología permite que el usuario disponga de la información Se ha es1
en cualquier momento, ya sea para su acceso, actualización, cambio o explo­ troles intern,
tación o para que pueda distribuirse e intercambiarse entre tantos usuarios n.istrativos.
como se desee. Aunque al mismo tiempo se plantea un gran problema e11 cuanto
al cuarto nivel de la información, que es su parte ética y el estudio de las Objetivos g1
posibilidades del buen o mal uso de la información por parte de personas no de el plan d�
autorizadas. protección d,
La planeación y control de la información nos ofrece nuevos aspectos im·
portantes a considerar, entre los que están la teoría de sistemas, las bases de
datos, los sistema, de comunicación y los sistemas de información, que van a 1 Boletín El
complementar el concepto de informática y su campo de acción. Público:..
Lla
, ·e f DIVERSOS T POS DE 5
,co­
D1vERsos TIPOS DE AUDITORÍA ?l I

Y SU RELACIÓN CON LA AUDITORÍA

as o
r f./
-, -,(1 AUDITORÍA Y SU
RELACIÓN CON
nos,

EN INFORMÁTICA
LA AUOITOAIA EN
..JJ
:r ' ' INFORMA.TICA
tie­ /
\Sta. •'
(.
(pa­
J
Auo1ToRíA INTERNA/EXTERNA
:ede
lada
dad

me­
Y AUDITORÍA CONTABLE/FINANCIERA
le la
ans- El Bolelí11 E-02 del lnstituto Mexicano de Contadores' señala respecto al control
id<i) interno:
óve.I
El estudio y evaluación del control intc.?rno se efectúa con el objeto de cumplir con
sde
la norma de ejecución del trabajo qu� requiere que.?: el auditor debe efectuar un
ción
estudio y evaluación adecuados del control interno t>xistente, que le sirvan de base
cual para deternlinar el grado de confianza que va a depositar en i:I, así rnismo, que le
/
ma- permitan determinar la naturaleza, extensión y oportunidad que "ª a dar a los
1án.: procedimientos de auditoría.
El control intcmo comprende el plan de organización y todos los métodos y Definición y
j
arto procedjmientos que en forma coordinada �e adoptan c1, un 1,cgocio para salva- 1 objetivos del
ode guardar sus activos, verificar la razonabilidad y confiabilidad de su información control Interno
.f¡,r­ financicra1 promover la eficiencia operacional y provocar la adherencia a las polí-..,
I los ticas prescritas por la administración.
,;.ua-
Objetivos básicos del control interno. De lo anterior se desprende que los cua­
Jor­ tro objetivos básicos del control interno son:
lace
. La
• La protección de los activos de la empresa.
• "\ c.
La obtención de información financiera veraz, co1úiable y oportuna.
ran­
• '-7 ,. .

\U'-�··.�
for­ La promoción de la eficiencia en la operación del negocio.
ntas
• Lograr que en la ejecución de las operaciones se cumplan las políticas esta·
ba- blecidas por los administradores de la empresa.

;ión Se ha establecido que los dos primeros objetivos abarcan el aspecto de con­
plo­ troles internos contables y los dos últimos se refieren a controles internos admi­
rios nistrativos.
mio
las Objetivos generales del control interno. El control interno contable compren­
; no de el plan de organización y los procedimientos y registros que se refieren a la
protección de los activos y a la confiabilidad de los registros financieros. Por lo

" Bolctí,i E-02. Nonnas y proctdi,11ie11tos de auditoría, Instituto Mexicano de Contadores

Públicos.
6 tanto, está diseñado ell fu!lció" de los objetivos de la organización para ofrecer
seguridad razonable de que las operaciones se realiza" de acuerdo con las nor­
Objetiv1
CAPITULO 1
CONCEPTO DE mas y políticas señaladas por la administración.
AUDITORIA Cuando hablamos de los objetivos de los controles contables internos pode­ El ,1cceso
EN INFOAt.tATICA
Y DIVERSOS TIPOS
mos identificar dos niveles: adminish
DE AUDITOAiAS
A) Objetivos generales de control interno aplicables a todos los sistemas
B) Objetivos de control interno aplicables a ciclos de transacciones
Objetive
(i\Los objetivos generales de control aplicables a todos los sistemas se desa­
rrollan a partir de los objetivos básicos enumerados anteriormente, y son más
Los datos
específicos, para facilitar su aplicación. Los objetivos de control de ciclos se de­ se con los
sarroUa.n a partir de los objetivos generales de control de sistemas, para que se
das aprop
apliquen a las diferentes clases de transacciones agrupadas en w1 ciclo.
Asimi
G)Los objetivos generales de control interno de sistemas pueden resumirse a periódica
continuación.
objetivo ce
Estos
todos lose
Objetivos de autorización cas de cor
dcsarrollai
que sean a
Todas las operaciones deben rcaliz,arsc de acuerdo con autorizaciones genera­ El área
les o especificaciones de la admi.nistración. no. La prin
Las autorizaciones deben estar de acuerdo con criterios establecidos por el interno, y 1
nivel apropiado de la administración. inform átic(
Las transacciones deben ser válidas para conocerse y ser sometidas oportu­ E n el p
namente a su aceptación. Todas aquellas que reúnan los requisitos establecidos una organi
por la admi.nistración deben reconocerse como tales y procesarse a tiempo. en el logro
Los resultados del procesamiento de transacciones deben comunicarse auditoría. l
oportunamente y estar respaldados por archivos adecuados. mática. En
decir, come
adecuadam
se obtenga
Objetivos del procesamiento mejore la ef
y clasificación de transacciones y para que
políticas est,
control inte,
Todas las operaciones deben registrarse para permitir la preparación de esta­ Al estue
dos financieros en conformidad con los principios de colltabilidad general­ que, aunqu<
mente aceptados, o con cualquier otro criterio aplicable a los estados y para tener en cue
mantener en archivos apropiados los datos relativos a los activos sujetos a clo de trans,
custodia. La audit
Las transacciones deben clasificarse en forma tal que permitan la prepara­ ción, proccst
ción de estados financieros en conformidad con los principios de contabilidad d a física, ver
generalmente aceptados según el criterio de la administración. rcnch:1 entre
Las transacciones deben quedar registradas en el mismo periodo contable, financiero es
cuidando de manera especifica que se registren aquellas que afccta.n más de un zación medié
ciclo. tivos del con,
frecer Objetivo de salvaguarda física
snor-
7
DIVERSOS TIPOS DE

· El acceso a los activos sólo debe permitirse de acuerdo con autorizaciones de la

pode
AUDITORIA V SU

administraci6n.
RELACIÓN CON
LA AUDITORIA EN
INFORMÁTICA

Objetivo de verificación y evaluación

dL'Sa•
nmás Lo,, datos registrados relativos a los activos sujetos a custodia deben comparar­
sede· se con los activos existentes a intervalos razonables, y se deben tomar las medi·
iuc se das apropiadas respecto a las diferencias que existan.
Asimismo, deben existir controles relativos a la verificaci6n y evaluaci6n
úrsc a periódica de los saldos que se incluyen en los estados financieros, ya que este
objetivo complementa en forma importante los mencionados anteriormente.
Estos objetivos generales del control interno de sistemas son aplicables a
todos los ciclos. 1':o se trat,1 de que se usen directamente para evaluar las técni·
cas de control interno de una organización, pero representan una base para
desarrollar objetivos específicos de control interno por ciclos de transacciones
que sean aplicables a una empresa individual.
encra- El área de informática puede interactuar de dos maneras en el control inter-
110. La primera es servir de herramienta para llevar a cabo un adecuado control1
por el interno, y la segunda es tener un control interno del área y del departamento de
informática.
portu­ En el primer caso se lleva el control interno por medio de la evaluación de
ecidos una organización, utilizando la computadora como herramienta que auxiliará
po. en el logro de los objetivos, lo cual se puede hacer por medio de paquetes de
licc1rse auditoría. Esto debe ser considerado como parte del control interno con infor·
mática. En el segundo caso se lleva a cabo el control interno de informática. Es
decir, como se señala en los objetivos del control interno, se deben proteger
adecuadamente los activos de la organización por medio del control, para que
se obtenga la información en forma veraz, oportuna y confiable, para que se
mejore la eficiencia de la operación de la organi,:ación mediante la informática,
y para que en la ejecución de las operaciones de informática se cumplan las
políticas establecidas por la ad ministración: todo ello debe ;,er considerado como
control interno de informática.
le esta­ Al estudiar los objetivos del control interno podemos ver en primer lugar
l'neraJ. que, aunque en auditoría en informática el objetivo es más amplio, se deben
} para tener en cuenta los objetivos generales del control interno aplicables a todo ci·
jetos a do de transacciones.
La auditoria en informática debe tener presentes los ob1etivos de autoriza­
repara­ ción, procesamiento y clasificación de transacciones, así como los de salvaguar·
bilidad da física, verificación y evaluación de los equipos y de la información. La dife­
rencia entre los objetivos de control interno desde un punto de vista contable
mtable, financiero es que, mientras éstos están enfocados a la evaluación de una organi·
�de un zación mediante la revisión contable financiera y de otras operaciones, los obje­
tivo, del control interno en informática están orientados a todos los sistemas e11
8 general, al equipo de cómputo y al departamento de Wormática, para lo cual El auditor
se requieren conocimientos de contabilidad, finanzas, recursos humanos, ad­ planes a largo 1
CAPiTULO 1
CONCEPTO DE ministración, etc., así como de experiencia y un saber profundo en Wormá­ de taI manera <
AUDITORÍA tica. dad sean incor
EN INFORMÁTICA
Y DIVERSOS TIPOS
La auditoría interna debe estar presente en todas y cada una de las partes
DE AUDITORIAS de la organización. Ahora bien, la pregunta que normalmente se plantea es:
¿cuál debe ser su participación dentro del área de informática?
La informática es en primer lugar ,ma herramienta muy valiosa que debe
tener un adecuado control y es un auxiliar de la auditoría interna. Pero, según
este concepto, la auditoría interna puede considerarse como un usuario del área
Auo1ro
de iJúormática.
Se ha estudiado que los objetivos generales del control u,terno son: La tecnología e
están estructur
• Autorización. son dramático,
• Procesamiento y clasificación de las transacciones. administrativo
• Salvaguarda física. planeación adr
• Verificación y evaluación. trol interno del
de la tecnologí .
Con base en los objetivos y responsabilidades del control mtemo podemos está soportado
hacer otras dos preguntas: ¿De qué manera puede participar el personal de con­ nología.
trol interno en el diseño de los sistemas? ¿Qué conociJnientos debe tener el per­ WilliamP.
sonal de control interno para poder cumplir adecuadamente sus funciones den­
tro del área de informática? El exa,nen !
Las respuestas a estas preguntas dependerán del nivel que tenga el control ción� una se
interno dentro de la organización. Sin embargo, en el diseño general y detalla­ plant'S )' ob:
do de los sistemas se debe mcluir a personal de la contraloría interna, que habrá u� huma11,
de tener conocimientos de informática, aunque no se requerirá que sean espe­
cialistas, ya que sólo intervendrán en el diseño general del sistema, en el diseño Se lleva a c
de controles, en los sistemas de segu1;dad, en el respaldo y confidencialidad del presa con el fir
sistema y en los sistemas de verificación. Se habrán de comprobar las fórmulas
• Pérdidas y
de obtención del impuesto sobre el producto del trabajo, el cálculo del pago del
• Mejores m,
seguro social, etc., pero no deberán intervenir en la elaboración de los sistemas, • Mejores fo
bases de datos o programación. Tendrán que comprobar que lo señalado en el
diseño general sea igual a lo obtenido en el momento de implantación, para que
• Operadon,
• Mejor uso
puedan dar su autorización a la corrida en paralelo.
El auditor interno, en el momento en que se están elaborando los sistemas,
debe participar en estas etapas: La auditori
del área de infr
• Asegurarse de verificar que los requerimientos de seguridad y de auditoría auditoría en inl
sean incorporados, y participar en la revisión de puntos de verificación. aplicarlos al ár
• Revisar la aplicación de los sistemas y de control tanto con el usuario como El departa,

•
en el centro de Wonnática.
• Verificar que las políticas de seguridad y los procedimientos estén incorpo­ Objetivos,
•

{
Orgruúzaci
•
rados al plan en caso de desastre.
• Estructura
•
Incorporar técnicas avanzadas de auditoría en los sistemas de cómputo.
Funciones
L-0s sistemas de seguridad no pueden llevarse a cabo a menos que existan
procedimientos de control y ,m adecuado plan en caso de desastre, elaborados
desde el momento en el que se diseña el sistema. (, WiHiam P. 1
 El auditor interno desempeña una importante función al participar en los 9
planes a largo plazo y en el diseño det,1llado de los sistemas} su implantación, DIVERSOS TIPOS DE
de tal manera que se asegure que los procedimientos de auditoría y de seguri­ AUDITORIA Y SU
dad sean incorporados a todas y cada una de las fases del sistema. RELACIÓN CON
LA AUDITORIA EN
INFORMATICA

Auo1ToRíA ADMINISTRATIVAIOPERAc10NAL
La tecnología en información está afectando la forma en que lds 0rr,,mi2aciones
están estructuradas, administradas y operadas. En alg,mos caso;, los cambios
son dramáticos. Cuando existe la necesidad de un nuevo diseiio de sistemas
administrativos para lograr una efectiva administración y contrd financiero, la
planeación administrativa y el proceso de diseño y los requerimientos de con­
trol interno deberán cambiar o necesariamente se modificarán con los cambios
de la tecnología de información. El incremento de la tecnología de información
está soportado por una reestructuración organizacional alredt!d.>r de esta tec­
nología.
William P. Leonard' define la auditoría administrativa com<•:

El examen global y constructivo de la t>Structura de una empn Sé'I de una institu·

ción, una sección del gobierno o cualquier parte de un organh rr,o, 1..•n cuanto a sus
planes y objetivos, sus n,étodos y controles, su forma de ope1a..:ión y sus facilida­
des humanas y física.

Se lleva a cabo una revisión y consideración de la organ ,ad,ín de una em­

presa con el fin de precisar:

Pérdidas y deficiencias.
• Mejores métodos.
Mejores formas de control.
• Operaciones n1.ás eficientes.
• Mejor uso de los recursos físicos y' humanos.

La auditoría administrativa debe llevarse a cabo como pa,te de la auditoria

del área de informática; se ha de considerar dentro del pwgr.ima de trabajo de
auditoría en informática, tomando principios de la auditori.1 administrativa para
aplicarlos al área de informática.
El departamento de informática se deberá evaluar de acuerdo con:

• Objetivos, metas, planes, políticas y procedimientos.

• Organi,ación.
• Estructura orgá,úca.
• Funciones y niveles de autoridad y responsabilidad.

• \Villiam P. Leonard, Audit()ría ad111111istrat,va, editoriill Diana

10 �dcm,is, e, 1mport,1ntc h:n
cr en CU<'nta los ,,guient,
CAPITULO 1 'S lactnre,,. • \crifi
CONc:EPTOOE • Elcm<'nlo humaJ10.
AVDrTOArA
EN INFOO>AATICA
• Organización (mt1nu.1J dt.·
rcport
intorn,.1�
Y DIVERSOS TIPOS • lnt,,g-r.1cion.
organ1J:aC1ón).
• rnaccn �
OE AUDITORIAS Oirl'cción •
• Su pervisidn .
Pru ba I
la \'alid�
• Comunicación} coordinad
• Dek>gación.
on.
•
(1011t."!'i .

• Recursos n1aterialC's. •
C1a 1fk,I(
• Rccur,,os t,·cn,,os.
Selección
cionc!'>
• Recuf"S<� financieros. •
• Control
Llevar a
,;.,cc,oncs

Auo,roRíA CON INFORMÁTIC

par a

A • Ut11 aall¡
�<' del ft
de s.nft\\'Jt
Concepto de auditoría con inf
ormática • ,c.Sup\ r\ 1
• ud,tona
• :,1,. Utih aoói
Lo,, pr0c,·dimientos de ,lud
iton.t con informátrra ,.1r l'ljUlpO ll1/
sofía y técnic,1 d,• cada org ian d,• arnerdo cun 1,,. filo
an12adón v dep.1rtament ­ t. dor o m,
Sin embMgo, existen cierta o de auditoría en particul,,r.
, ténúca, y/ o proc.•dimi
en la mavori.1 de ros ,1mbie cntos que son comp,1tibh
nt� de inform,Hic1 ·s f'n,du... In
goria,. m<'todos manual,' c: . Est l1s h.·cn1cas i.::aen en do!-t catl'­
S y ml'todo:, asistidos por nl cl.�r ba1,, estn
computadt>ra.
cumentaoon. r
adenlás dt.• los
Utilización de las técnicas de En a,1uell,11
auditorías gados, los p�
asistidas por computadora ñ , de prote.."Q
)a...o.; ín..,truccion
En gent•ral, el ,1uditor ddJ<• 1k,d,• la t>1 blio
utilizar la comput,1dor,1 en ob,eto de ha r
ya que .,,-1,1 herram,enta la ('jccudón d(' la auditorí.1,
f'<'rmitir,i ampliar l,1 cot>..•rtu finir ,us propói
el tiempo 'costo d,· Lb pru ra d,•I examen, reducitend
d,a, \' proc,'dimientos de o
ra hmdrfan qu¡• d,'ctuarse muestre<,, que d" otra mane­ Cuando los
manualmente. Fxi,tcn paq mt,•mos d«-be
warl') que permiten el,1bor uct¡.., d<• computadora (so
M auditorias a srsrem,1s fin fr.
mcuentran "°medios informáheos Adcm ,inciero,, y contables que se
,is, d ('ffipll'O de la compu
troles ad,'CUado
Juditor le permite fomiliari;,,1 tadora po«•J
to dt• la institución. Un., com
,..,.. con la operación del equ
putador., puede ser emple
ipo en el c.·ntn, de cómpu­ • Mc.1ntl·ner
ada por l'I auditor en: gados en el
• Ob<cnar dt
• ·r ransmisión d1· informaC'ión dc la con
• D1•sarroll,1r
compul,1dora del auditor tabilidad d<' la organizac s.1nu,•nto d�
ma <n red para que el ,tu
, par,, ser tr.1baj,1da por t'st
d,tor elabon> la, pru,-ba,.
ión a la
e, o bren acceso ,11 siste­ • Mantener el
ta1..ión , corr
 Verificación de cifras totales y cálculos para comprobar la exactitud de los 11
reportes de salida producidos por el departamento de informática, de la DIVERSOS TIPOS oe
información enviada por medios de comunicación y de la infom1adón al· AUDITORIA Y SU
macenada. RELACIÓN CON
• Pruebas de los registros de los archivos para ve,ificar la consistencia lógica, LA AUOITORiA EN
INFORMATICA
la validación de condiciones y la razonabilidad de los montos de las opera­
ciones.
Clasificación de dalos y análisis de la ejecución de procedimientos.
• Selección e impresión de datos mediante técnicas de muestreo y confirma­
ciones.
• Llevar a cabo en forma independiente una simulación del proceso de tran­
sacciones para verificar la conexión y consistcncfo de los programas de
computadora.

Con fines de auditoría, el auditor interno puede emplear la computadora

para:

• Utilización de paquetes para auditoría; por ejemplo, p,1quetes provenien-

'JI.

J
1es del fabricante de equipos, firmas de contadores púbLicos o compa!Üas
de software. ....

• itSupervisar la elaboración de programas que permitan el desarrollo de la ,

..... -lt -, ,....... ... \. ...... ,. ..

auditoría interna., ...u �

J J,,+,, tP'
• °'-Utilización de programas de auditoría desarrollados por proveedores de
equipo, que básicamente verifican la eficiencia en el empleo del compu·
la filo· tador o miden la eficiencia de los programas, su operación o ambas cosas.
icular.
1tibles Todos los programas o paquetes empleados en la auditoría deben perma­
s cate- necer bajo estricto control del departamento de auditoría. Por esto, toda la do­
cumentación, material de pruebas, listados fuente, programas fuente y objeto,
además de los cambios que se les hagan, serán responsabilidad del auditor.
En aquellas instalaciones que cuentan con bibliotecas de programas catalo·
gados, los programas de auditoría pueden ser guardados utiliLando contrase­
ñas de protección, situación que sería aceptable en t.u1to se tenga el control de
las instrucciones necesarias para la recuperación y ejecución de los programas
desde la biblioteca donde están almacenados. Los programas desarrollados con
objeto de hacer auditoría deben estar cuidadosamente documentados para de­
itoría,
finir sus propósitos y objetivos y asegurar una ejecución continua.
iendo
Cuando los programas de auditoria estén siendo procesados, los auditores
nane­
internos deberán asegurarse de la integridad del procesamiento mediante con­
(soft­
troles adecuados como:
¡ue se
por el
mpu­
• Mantener el control básico sobre los programas que se encuentren catalo­
gados en el sistema y llevar a cabo protecciones apropiadas.
n:
• Observar directamente el procesamiento de la apLicación de auditoría.
• Desarrollar programas independientes de control que monitor�>en el proce­
samiento del programa de auditoría.
a la
;iste-
• Mantener el control sobre las especificaciones de los programas, documen­
tación y comandos de control.
12 • Controlar la integridad de los archivos que se están procesando y las sali­ Selección de d
CAPlnJLO 1
das generadas. de un archivo J
CONCEPTO DE parcial el archi
AUDITORIA car en forma te
EN INFOAMÁTICA
Y DIVERSOS TIPOS
DE AUDITORIAS
Técnicas avanzadas Resultados de
de auditoría con informática demos compar

Cuando en una instalación se encuentren operando sistemas avanzados de Las técnica

computación, como procesamiento en línea, bases de datos y procesamiento una mctodolog
distribuido, se podría evaluar el sistema empleando técnicas avanzadas de ción, empleand
auditoría. Estos métodos requieren un experto y, por Jo tanto, pueden no ser actualmente se
apropiados si el departamento de auditoría no cuenta con el entrenamiento ade­ nan los probler
cuado. Otra limitan te, incluyendo el costo, puede ser la sobrecarga del sistema venir en las act
y la degradación en el tiempo de respuesta. Sin embargo, cuando se usan apro­ al departament
piadamente, estos métodos superan la utilización en una auditoría tradi­ dencia al audit,
cional. auditor puede,
redes de comw
Pruebas integrales. Consisten en el procesamiento de datos de un departamen­ El empleo,
to ficticio, comparando estos resultados con resultados predeterminados. En mienta que faci
otras palabras, las transacciones iniciadas por el auditor son independientes de
la aplicación normal, pero son procesadas al mismo tiempo. Se debe tener espe­ • Trasladar 1,
cial cuidado con las particiones que se están utilizando en el sistema para prue­ • Llevar a cal
ba de la contabilidad o balances, a fin de evitar situaciones anormales. • Verificar la
• Visualizaci1
Simulación. Consiste en desarrollar programas de aplicación para determina­ • Ordenamie
da prueba y comparar los resultados de la simulación con la aplicación real.
El auditor i
Revisiones de acceso. Se conserva un registro computarizado de todos los ac­ sistcmas1 con e
cesos a determinados archivos; por ejemplo, información de la identificación con las políticM
tanto de la terminal como del usuario. A continua
dencia que exis
Operaciones en paralelo. Consiste en verificar la exactitud de la información puede cambiar.
sobre los resultados que produce un sistema nuevo que sustituye a uno ya
auditado. Transacciones
ceso. En las apl
Evaluación de un sistema con datos de prueba. Esta verificación consiste en Por ejemplo, el
probar los resultados producidos en la aplicación con datos de prueba contra cuando el inve:
los resultados que fueron obtenidos inicialmente en las pruebas del programa computadora s
(solamente aplicable cuando se hacen modificaciones a un sistema). orden de repos
blecido.
Registros extendidos. Consisten en agregar w, campo de control a un registro
determinado, como un campo especial a un registro extra, que pueda incluir El registro man
datos de todos los programas de aplicación que forrnan parte del procesamien­ En las apl icacio,
to de determinada transacción, como en los sigtúentes casos. d o la informad
nómina puede I
Totales aleatorios de ciertos programas. Se consiguen totales en algunas par­ través de la red
tes del sistema para ir verificando su exactitud en forma parcial. tener una clave