AUDITORÍA DE SISTEMAS

DEFINICIÓN

La Auditoria de Sistemas es el conjunto de técnicas que permiten detectar

deficiencias en las organizaciones de informática y en los sistemas que se
desarrollan u operan en ellas, incluyendo los servicios externos de computación,
que permitan efectuar acciones preventivas y correctivas para eliminar las fallas y
carencias que se detecten.

Se verifica la existencia y aplicación de todas las normas y procedimientos

requeridos para minimizar las posibles causas de riesgos tanto en las instalaciones
y equipos, como en los programas computacionales y los datos, en todo el ámbito
del Sistema: usuarios, instalaciones, equipos.

El Auditor emite una opinión objetiva e imparcial sobre el funcionamiento del área
auditada y señala los aspectos que requieren nuevos o mejores controles para
proteger a la organización contra los riesgos que puedan afectarla. Desde este
punto de vista la Auditoria de Sistemas es primordialmente una auditoria
preventiva.

Objetivos Generales de una Auditoría de Sistemas

 Buscar una mejor relación costo-beneficio de los sistemas automáticos o

computarizados.
 Incrementar la satisfacción de los usuarios de los sistemas computarizados
 Asegurar una mayor integridad, confidencialidad y confiabilidad de la información
mediante la recomendación de seguridades y controles.
 Conocer la situación actual del área informática y las actividades y esfuerzos
necesarios para lograr los objetivos propuestos.
 Seguridad de personal, datos, hardware, software e instalaciones
 Apoyo de función informática a las metas y objetivos de la organización
 Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente
informático
 Minimizar existencias de riesgos en el uso de Tecnología de información
 Decisiones de inversión y gastos innecesarios
 Capacitación y educación sobre controles en los Sistemas de Información
TÉCNICAS DE AUDITORÍA DE SISTEMAS

Cuando en una empresa se encuentren operando sistemas avanzados de

computadores y sistemas, como procesamiento en línea, bases de datos y
procesamiento distribuido, se podría evaluar el sistema empleando técnicas de
auditoría como las que se enunciarán a continuación.

1) Pruebas integrales: Consiste en el procesamiento de datos de un

departamento ficticio, comparando estos resultados con resultados
predeterminados, es decir, las transacciones iniciadas por el auditor son
independientes de la aplicación normal, pero son procesadas al mismo tiempo.

2) Simulación: Consiste en desarrollar programas de aplicación para determinada

prueba y comparar los resultados de la simulación con la aplicación real.

3) Revisiones de Acceso: Se conserva un registro computarizado de todos los

accesos a determinados archivos, es decir, información de la identificación tanto de
la terminal como del usuario.

4) Operaciones en paralelo: Es verificar la exactitud de la información sobre el

resultado que produce un sistema nuevo que sustituye a uno ya auditado.

5) Evaluación de un sistema con datos de prueba: Esta verificación consiste

en probar los resultados producidos en la aplicación con datos de prueba contra
los resultado que fueron obtenidos inicialmente en las pruebas del programa
(solamente aplica cuando se hacen modificaciones de un sistema).

6) Registros extendidos: Consiste en agregar un campo de control a un registro

determinado, como un campo especial a un registro extra, que pueda incluir datos
de todos los programas de aplicación que forman parte del procesamiento de
determinada transacción.

7) Totales aleatorios de ciertos programas: Se consiguen totales en algunas

partes del sistema para ir verificando su exactitud en forma parcial.

8) Selección de determinado tipo de transacciones como auxiliar en el

análisis de un archivo histórico. Por medio de este método podemos analizar
en forma parcial el archivo histórico de un sistema, el cual sería casi imposible de
verificar en forma total.
9) Resultado de ciertos cálculos para comparaciones posteriores: Con ello
podemos comparar en el futuro los totales en diferentes fechas.

ANÁLISIS DE RIESGOS Y DE CONTROLES EN LAS APLICACIONES DE

COMPUTADOR

Se pueden hallar quince riesgos diferentes en el area de sistemas de una

organización, ellos son:

(Áreas de Revisión)

1. Origen y Preparación de Datos.

2. Captura y Validación de Datos.
3. Procesamiento y Actualización de Datos.
4. Salidas de la Actualización.
5. Seguridad Lógica del Software de la Aplicación
6. Seguridad Lógica de los Archivos / Bases de Datos.
7. Cambios al Software de la Aplicación.
8. Procedimientos de Backup y Recuperación.
9. Terminales y Comunicación de Datos.
10. Documentación Técnica y del usuaria
11. Utilización y Control de Resultados por los Usuarios.
12. Seguridad Física de las Instalaciones de Cómputo.

Únicamente para Sistemas de Bases de Datos.

13. Acceso a la Base de Datos a través del DBMS.
14. El Sistema de Directorio / Diccionario de Datos (SD/DD)
15. La Función del Administrador de la Base de Datos (DBA)

Una breve descripción de los quince (15) Escenarios de Riesgo de las aplicaciones
de computador se incluye a continuación:

1) Origen y preparación de datos.

Comprende las actividades que se realizan desde la generación de documentos

fuente de operaciones/eventos hasta su recepción en el área o cargo responsable
de transcribir o registrar los datos en medio legible para su proceso (Cintas,
Discos, Diskettes, Caracteres magnéticos, reconocimiento de caracteres ópticos,
imágenes, etc.).
Los responsables son las empresas y/o clientes que originan, generan, reciben
documentos fuente de operaciones que se constituyen en fuente de datos
(Transacciones) para la aplicación evaluada.

2) Captura y validación de los datos.

Comprende las actividades manuales y/o automatizadas que se realizan desde la

recepción de los documentos fuente por el área/cargo/proceso responsable de la
transcripción o conversión a medio legible por el computador, hasta su completa
validación y depuración antes de iniciar los procesos de actualización sobre los
archivos.

Las posibles modalidades son:

• Trascripción independiente sin validación o validación parcial, con
proceso en Batch de validación y corrección en el computador.
• Trascripción, validación y corrección integradas.
• Trascripción, validación, corrección y actualización en línea.

3) Procesamiento de los datos y actualización de archivos.

El objetivo es evaluar la exactitud, completitud y oportunidad del procesamiento de

los datos en la actualización de los archivos oficiales, como también verificar que
los datos solo son creados, destruidos modificados, etc. por los programas y
procesos autorizados.

Comprende las actividades manuales y/o automatizadas, desde la finalización del

proceso de validación y depuración total del movimiento hasta la producción de
resultados finales de actualización u otros procesos complementarios, que reflejan
el efecto de las transacciones sobre movimientos en los archivos maestros de la
aplicación.

4) Salidas del proceso de actualización.

El objetivo es evaluar que existan controles adecuados para prevenir, detectar y
corregir errores, irregularidades y omisiones durante las actividades de producción
de resultados para los usuarios finales y su distribución correcta.

Comprende todas las actividades desde la finalización del proceso de actualización,

la producción de resultados de la aplicación para los usuarios finales, la
identificación, preparación, envío/transmisión de resultados (salidas), hasta su
recepción, utilización y archivo por las áreas de origen u otros usuarios.
5) Seguridad lógica del software de la aplicación.

Comprende los procedimientos de identificación, autorización, autenticación,

delegación, journaling y monitoring, ofrecidos por la aplicación y el sistema
operacional y/o el software de seguridad de la instalación donde se procesa la
aplicación, para controlar el acceso a los programas fuentes y objeto de la
aplicación (Perfiles de usuario).

6) Seguridad lógica de los archivos de computador.

Comprende los procedimientos de identificación, autorización, autenticación,

delegación, journaling y monitoring, ofrecidos por la aplicación y/o el sistema
operacional y/o el software de seguridad de la instalación en la que se procesa la
aplicación, para controlar el acceso a los archivos de computador utilizados por la
aplicación (Perfiles de autorización).

7) Cambios al software de la aplicación.

Comprende los procedimientos de solicitud, análisis, diseño, ejecución e instalación

de cambios a los programas de la aplicación (Procedimientos de mantenimiento del
software).

8) Procedimientos de backup y recuperación.

Comprende los procedimientos de respaldo y planes de contingencia previstos para

garantizar el funcionamiento continuo de las operaciones sistematizadas y
recuperarse de desastres causados por fallas de hardware, actos humanos o de la
naturaleza entre otros.

9) Terminales y comunicación de datos.

Comprende los procedimientos de seguridad física y ambiental sobre las terminales

de computador y la comunicación de datos de entradas y salidas de la aplicación.

10) Documentación del sistema de información.

••
Comprende la suficiencia, disponibilidad y calidad de la documentación técnica y
del usuario del sistema.

11) Utilización y control de resultados por los usuarios.

 Comprende los controles ejercidos por los propietarios de los datos (usuarios
primarios de la aplicación) sobre los resultados del procesamiento. También
cubre el grado de satisfacción del usuario con el sistema de información.

12) Seguridad física y controles en las instalaciones de cómputo.

Comprende los controles ejercidos por los administradores de las instalaciones

de computo, para proteger los recursos informáticos (Hardware, software,
datos, personas e instalaciones) contra los riesgos causados por desastres
naturales, accidentes, actos malintencionados, infidelidad de los empleados,
etc.

13) Acceso a la base de datos a través del DBMS.

Comprende la evaluación de la utilización y grado de protección de los
procedimientos de control de acceso lógico y de otras rutinas de seguridad,
ofrecidas por el Data Base Management System (D.B.M.S.), para proteger la
integridad de los datos y mitigar las amenazas de modificación, destrucción y
divulgación de la información de la base de datos.

14) El Sistema de Directorio/Diccionario de Datos (SD/DD).

Incluye la documentación del Diccionario de Datos y los procedimientos de

mantenimiento, control de acceso y respaldo de los datos del directorio
(Metadatos).

15) La función del administrador de la base de datos.

El Data Base Administrador (D.B.A.) es una función necesaria en el ambiente

de bases de datos. Se evalúan la definición de las funciones asignadas al DBA,
el cumplimiento de las mismas y la protección que ofrece su gestión para
garantizar la eficiencia y seguridad de la base de datos.

CONTROLES GENERALES EN EL DEPARTAMENTO DE SISTEMAS

El objetivo de esta revisión es analizar y evaluar la estructura organizacional, las

políticas, los procedimientos operativos, el control de costos, El uso de los recursos
materiales y técnicos del departamento encargado de los sistemas de información
dentro de la empresa. Es decir evaluar la administración de la función de sistemas
de la empresa. Para conseguirlo, el equipo de auditoría realiza lo siguiente:

1) Revisión de documentación

Organigramas, diagramas de funciones. Los organigramas o diagramas de

funciones le brindan al auditor de sistemas una clara comprensión de las líneas de
comunicación jerárquicas de un departamento u organización como un todo.
Muestran una división de funciones.

Perfiles de personal. Los perfiles de personal definen las funciones y

responsabilidades de las diversas tareas de una organización, también brindan a la
organización la capacidad de agrupar tareas similares en diferentes niveles de
puestos para garantizar la remuneración justa para su personal.

Informes del comité de sistemas . Los informes del comité de sistemas brindan
información documentada acerca de los proyectos de nuevos sistemas. Estos
informes son revisados por la gerencia de nivel superior y distribuido entre las
diversas unidades funcionales de la empresa.

Política de seguridad. La documentación de la política de seguridad da un

estándar de cumplimiento, esta debe definir la posición de la organización en
cuanto a cualquiera y todos los riesgos de seguridad. Debe identificar quien es el
responsable de la salvaguarda de los bienes de la empresa, incluyendo programas
y datos. Así mismo, debe expresar las medidas preventivas que han de realizarse
para dar una protección adecuada y las acciones que han de emprenderse contra
quienes la violen.

Manuales de Políticas de personal . Los manuales de políticas de personal dan

las reglas y reglamentaciones determinadas por la organización sobre como se
espera que se comporten los empleados.

Objetivos a Corto y Largo Plazo. Planes de trabajo a corto y largo plazo

reflejan estos objetivos de departamento, los cuales deberán estar de acuerdo con
las necesidades de los usuarios y debidamente autorizados.

2) Entrevistas al Personal

Personal relacionado a las operaciones del centro de cómputo . La

realización de entrevistas al personal de operaciones del centro de cómputo debe
incorporar garantías adecuadas de que el candidato tiene las destrezas técnicas
necesarias para realizar sus tareas. Este es un importante factor que contribuye a
una operación eficaz y eficiente.
Personal usuario. La realización de entrevistas al personal usuario debe también
incorporar garantías adecuadas de que el candidato tiene las destrezas técnicas
necesarias para realizar eficazmente la función específica de sus tareas.

Otro personal pertinente. El Auditor a su criterio decidirá si es conveniente

entrevistarse con otro personal que tiene relación con el sistema y este deberá
cumplir con los estándares de la empresa y tendrá el mismo nivel de lealtad y
confianza.

3) Observación de personal realizando sus tareas

Permite ver Funciones Reales. La observación es el mejor método para

garantizar que la persona que esta asignada y autorizada a realizar determinada
función es la persona que en realidad esta cumpliendo la tarea. Permite que el
auditor de sistemas tenga oportunidad de ser testigo de cómo se comprenden y
aplican las políticas y procedimientos.

Percepción de la seguridad. La percepción de seguridad debe ser observada

para comprobar la comprensión y práctica de buenas medidas de seguridad
preventiva y de detección por parte de la persona observada a fin de salvaguardar
los bienes y datos de la empresa.

Relaciones de comunicación jerárquica. Deben observarse las relaciones de

quien reporta a quien a fin de asegurarse de que se ponen en práctica las
responsabilidades asignadas y una adecuada segregación de tareas.

4) Señales de peligro de auditoría:

Si bien existen innumerables condiciones de incumbencia para el auditor de

sistemas, algunos de los indicadores más significativos de problemas potenciales
son:

 Actitudes desfavorables de los usuarios finales.

 Costos excesivos.
 Exceso al presupuesto.
 Alta rotación de personal.
 Frecuentes errores de los computadores.
 Atraso excesivo de solicitudes de usuarios no satisfechas.
 Elevado tiempo de respuesta del computador.
 Numerosos proyectos de desarrollo abortados o suspendidos.
 Compras de Hardware y Software sin respaldo o autorización.
 Cambios frecuentes a versiones superiores de Hardware y Software.
5) Información que solicita el auditor:

El auditor Para evaluar los controles generales solicita lo siguiente:

A nivel organizacional.

 Objetivos del Departamento a corto y largo Plazo.

 Manual de la organización.
 Antecedentes o historia de la empresa.
 Políticas generales.

A nivel del área informática.

 Objetivos a corto y largo plazo.

 Manual de organización que incluya puestos, funciones y jerarquías.
 Manual de políticas, reglamentos y lineamientos internos.
 Procedimientos administrativos del área.
 Presupuestos y costos en el área.
 Recursos materiales y técnicos.
 Solicitar un inventario actualizado de equipos, que incluya:
características, fecha de instalación, ubicación, etc. Contratos
vigentes de compra, renta y servicios de mantenimiento.
 Contrato de seguros.
 Convenios con otras instalaciones.
 Configuraciones de equipos.
 Planes de expansión.
 Políticas de uso y operación de equipos

6) Revisión de Centros de Computo.

Consiste en revisar los controles en las operaciones del centro de procesamiento

de información en los siguientes aspectos:

a) Revisión de controles en el equipo: Se hace para verificar si existen

formas adecuadas de detectar errores de procesamiento, prevenir accesos
no autorizados y mantener un registro detallado de todas las actividades del
computador que debe ser analizado periódicamente.
b) Revisión de programas de operación: se verifica que el cronograma de
actividades para procesar la información asegure la utilización efectiva del
computador.
c) Revisión de controles ambientales: se hace para verificar si los equipos
tienen un cuidado adecuado, es decir si se cuenta con deshumidificadores,
 aire acondicionado, fuentes de energía continua, extintores de incendios,
etc.
d) Revisión del plan de mantenimiento: Aquí se verifica que todos los
equipos principales tengan un adecuado mantenimiento que garantice su
funcionamiento continuo.
e) Revisión del sistema de administración de archivos: se hace para
verificar que existan formas adecuadas de organizar los archivos en el
computador, que estén respaldados, así como asegurar que el uso que le
dan es el autorizado.
f) Revisión del plan de contingencias: Aquí se verifica si es adecuado el
plan de recupero en caso de desastre, el cual se detalla mas adelante.

TÉCNICAS DE AUDITORIA MEDIANTE EL USO DE LOS COMPUTADORES

Las técnicas anteriores ayudan al auditor interno a establecer una metodología

para la revisión de los sistemas de aplicación de una institución, empleando como
herramienta el mismo equipo de cómputo. Sin embargo, actualmente se han
desarrollado programas y sistemas de auditoria que eliminan los problemas de
responsabilidad del departamento de auditoría, al intervenir en las actividades e
información cuyo control corresponde estrictamente al departamento de
informática; proporcionando así mayor independencia al auditor en la revisión de
los datos del sistema.

El empleo de los computadores en la auditoria constituye una herramienta que

facilita la realización de actividades de revisión como:

 Trasladar los datos del sistema a un ambiente de control del auditor

 Llevar a cabo las selección de datos
 Verificar la exactitud de los cálculos: muestreo estadístico
 Visualización de datos
 Ordenamiento de la información. Producción de reportes e histogramas.

METODOLOGÍAS PARA LA AUDITORIA DE SISTEMAS

Regulación internacional sobre Auditoría de Sistemas de Información

En materia de Auditoría de Sistemas de Información existen varias metodologías desde el

enfoque de control a nivel internacional. Algunas de las más importantes para los
profesionales de la contabilidad y la auditoría son:
  ISACA (COBIT)
 COSO
 AICPA (SAS)
 IFAC (NIA)
 SAC
 MARGERIT
 EDP

A) ISACA COBIT

ISACA propone la metodología COBIT (Control Objectives for Information and related
Technology). Es un documento realizado en el año de 1996 y revisado posteriormente,
dirigido a auditores, administradores y usuarios de sistemas de información, que tiene como
objetivos de control la efectividad y la eficiencia de las operaciones; confidencialidad e
integridad de la información financiera y el cumplimiento de las leyes y regulaciones.

COBIT

1. COBIT (Objetivos de Control para Tecnología de Información y Tecnologías

relacionadas) Se aplica a los sistemas de información de toda la empresa, incluyendo las
computadoras personales, mini computadoras y ambientes distribuidos. Esta basado en
la filosofía de que los recursos de Tecnología de Información (T.I) necesitan ser
administrados por un conjunto de procesos naturalmente agrupados para proveer la
información pertinente y confiable que requiere una organización para lograr sus
objetivos.

Su misión es investigar, desarrollar, publicar y promover un conjunto internacional

y actualizado de objetivos de control para tecnología de información que sea de
uso cotidiano para gerentes y auditores.

También puede ser utilizado dentro de las empresas por el responsable de un

proceso de negocio en su responsabilidad de controlar los aspectos de información
del proceso, y por todos aquellos con responsabilidades en el campo de la TI en
las empresas.

La metodología COBIT puede ser utilizada por diferentes tipos de usuarios como:

 La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el

rendimiento de las mismas, analizar el costo beneficio del control.
 Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el
control de los productos que adquieren interna y externamente.
 Los Auditores: para soportar sus opiniones sobre los controles de los
proyectos de TI, su impacto en la organización y determinar el control mínimo
requerido.
 Los Responsables de TI: para identificar los controles que requieren en sus
áreas.

Entre las características del COBIT se encuentran:

 Orientado al negocio
 Alineado con estándares y regulaciones "de facto"
 Basado en una revisión crítica y analítica de las tareas y actividades en TI
 Alineado con estándares de control y auditoria

El COBIT se desarrolla a través de varios capítulos: planificación y organización,

adquisición e implementación, desarrollo, soporte y control.

 Planificación y organización

P1 Definición de un plan estratégico

P2 Definición de la arquitectura de información
P3 Determinación de la dirección tecnológica
P4 Definición de organización y relaciones
P5 Administración de la inversión
P6 Comunicación de las políticas
P7 Administración de los recursos humanos
P8 Asegurar el cumplimiento con los requerimientos Externos
P9 Evaluación de riesgos
P10 Administración de proyectos
P11 Administración de la calidad

 Adquisición e implementación

A11. Identificación de soluciones automatizadas

A12. Adquisición y mantenimiento del software aplicativo
A13. Adquisición y mantenimiento de la infraestructura tecnológica
A14. Desarrollo y mantenimiento de procedimientos
A15. Instalación y aceptación de los sistemas
A16. Administración de los cambios

 Prestación y soporte

D1. Definición de los niveles de servicios

D2. Administrar los servicios de terceros
D3. Administrar la capacidad y rendimientos
D4. Asegurar el servicio continuo
D5. Asegurar la seguridad de los sistemas
D6. Entrenamiento a los usuarios
D7. Identificar y asignar los costos
D8. Asistencia y soporte a los clientes
D9. Administración de la configuración
D10. Administración de los problemas
D11. Administración de los datos
D12. Administración de las instalaciones
D13. Administración de la operación

 Control

M1. Monitoreo del cumplimiento de los objetivos de los procesos de tecnología de la

información.
M2. Obtener realización de las evaluaciones independientes

B) COSO

The Committee of Sponsoring Organizations of the Treadway hace recomendaciones a

los contables de gestión de cómo evaluar, informar e implementar sistemas de control,
teniendo como objetivo de control la efectividad y eficiencia de las operaciones, la
información financiera y el cumplimiento de las regulaciones que explica en los
componentes del ambiente de control, valoración de riesgos, actividades de control,
información y comunicación, y el monitoreo.

C) AICPA-SAS

The American Institute of Certified Public Accountants'

Da una guía a los auditores externos sobre el impacto del control interno en la planificación
y desarrollo de una auditoría de estados financieros de las empresas, presentado como
objetivos de control la información financiera, la efectividad y eficiencia de las operaciones
y el cumplimiento de regulaciones, que desarrolla en los componentes de ambiente de
control, valoración de riesgo, actividades de control, información, comunicación y
monitoreo.

Utiliza los siguientes cuatro principios para evaluar si un sistema de información es fiable:

 Disponibilidad
 Seguridad
 Integridad
  Que se puede mantener

D) IFAC-NIA

La Federación Internacional de Contables IFAC

IFAC muestra en la NIA 15 (Auditoría en Entornos Informatizados) una referencia de

controles para procesamiento electrónico de datos y la necesidad de estos cuando estamos
en ambientes donde los instrumentos tradicionales del papel y demás pistas de auditoría no
son visibles para los contables en el momento de realizar su trabajo.

La NIA 16 (Técnicas de Auditoría Asistida por Computador) describe técnicas y

procedimientos de auditoría que se pueden hacer en entornos informatizados con ayuda de
los computadores y otras tecnologías.

La NIA 20 nos presenta los efectos de un entorno informatizado en la evaluación de

sistemas de información contables. Junto con las demás normas dan una guía al auditor de
los controles en general a tener en cuenta en un ambiente informatizado y en las
aplicaciones que procesan la información, así como técnicas de auditoría asistidas por
computador y su importancia.

E) SAC

The Institute of Internal Auditors Research Foundation's Systems Auditability and

Control (SAC).

Ofrece una guía de estándares y controles para los auditores internos en el área de auditoría
de sistemas de información y tecnología. Tiene como objetivos de control la efectividad y
eficiencia de las operaciones, la integridad de la información financiera y el cumplimiento
de normas y regulaciones que explica en el ambiente de control, sistemas manuales y
automatizados y procedimientos de control.

F) MARGERIT

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información

Es una metodología de análisis y gestión de riesgos de los sistemas de información de las

administraciones públicas, emitida en el año 1997 por el consejo superior de informática y
recoge las recomendaciones de las directivas de la Unión Europea en materia de seguridad
de sistemas de información, esta metodología presenta un objetivo definido en el estudio de
los riesgos que afectan los sistemas de información y el entorno de ellos haciendo unas
recomendaciones de las medidas apropiadas que deberían adoptarse para conocer, prevenir,
evaluar y controlar los riesgos investigados.
Margerit desarrolla el concepto de control de riesgos en las guías de procedimientos,
técnicas, desarrollo de aplicaciones, personal y cumplimiento de normas legales.

G) EDP

La E.D.P. Auditors Foundation (EDPAF) fundada en 1976, es otra entidad de carácter

educativo e investigativo en los temas sobre estándares para la auditoría de los sistemas de
información.

Esta fundación ha investigado sobre controles en los sistemas de información, generando

los diez estándares generales de auditoría de sistemas y el código de ética para los auditores
de sistemas que relacionamos a continuación.
APORTE

El conocimiento y manejo de la tecnología se ha ampliado a todas las esferas; las

empresas no pueden ser la excepción, es más están obligadas a hacer uso de ella
en aras de aumentar su eficiencia.

El computador acompañado de los software es hoy una herramienta facilitadora,

especialmente en las áreas de apoyo de las organizaciones, su uso permite un
manejo sistémico y actualizado de la información. No obstante, cada día es mayor
el número de situaciones irregulares que se presentan, como consecuencia del uso
y aplicación de la Tecnología de Información, en las diferentes organizaciones,
entidades, empresas y compañías en general.

Aunque es una gran herramienta, trae consigo grandes riesgos que pueden poner
en peligro la estabilidad de la empresa gracias a la importancia y dependencia que
se puede generar de su uso.

Las personas aprenden cada día más, , pero no todos están orientados puramente
al conocimiento como aumento de calidad en todos los campos; a algunos les
interesa aprender más que todo, para ver cómo efectúan o generan
irregularidades en provecho propio, o que como producto de lo que conocen,
adquieren destreza para utilizarlas con fines alevosos y malintencionados; situación
que ligada a la pérdida de valores morales, éticos y religiosos en todos los niveles
y estratos de la sociedad, ha originado todo tipo de acciones fraudulentas, y que
se haga imposible para la administración, establecer controles que disminuyan los
riesgos presentados.

Aunado a lo anterior, las aperturas comerciales, la globalización, las alianzas

estratégicas, y las integraciones de todo tipo, de alguna manera han venido a
complicar la situación en cuanto al sistema de control interno se refiere; también
han recargado las funciones que deben realizar los auditores.

La Auditoría en Sistemas de Información (ASI): se ha preocupado más en las

revisiones posteriores de lo ya realizado (cuando ya es tarde), que en el
establecimiento de controles preventivos.

Todos los aspectos citados, han tenido gran influencia en la situación actual de los
sistemas de información diseñados y desarrollados en la mayoría de nuestras
organizaciones; situación que debe cambiar ya y son los mismos auditores quienes
deben ser agentes de este cambio.
 CONCLUSIONES

Es importante lograr que se diseñen sistemas de información como los requieren

las organizaciones, que estén acompañados de las protecciones, seguridades y
controles que permitan su adecuado y correcto funcionamiento, y que soporten los
embates de los que intenten violentarlos para cometer actos irregulares .

La función del auditor de sistemas ha de ser no solo la de evaluar, sino también la

de asesor en pro de obtener sistemas adecuados a las necesidades de las
organizaciones, para así lograr que los sistemas informáticos sean parte de la
solución y no se conviertan en parte del problema.

Un buen auditor debe colaborar en la concientización acerca de la importancia de

los procesos de compra de Tecnología de Información, los cuales deben estar
sustentados en Políticas, Procedimientos, Reglamentos y Normatividad en General,
que aseguren que todo el proceso se realiza en un marco de legalidad y
cumpliendo con las verdaderas necesidades de la organización para hoy y el
futuro, sin caer en omisiones, excesos o incumplimientos.

El auditor de sistemas de información puede, dentro de su planificación, revisar si

existen debilidades en otras áreas de su empresa, en la que pueda asistirlos y
ayudarlos como asesor y consultor, dándole un énfasis mucho más atractivo a los
auditados, el cual es "VALOR AGREGADO" .
BIBLIOGRAFÍA

ECHENIQUE GARCÍA, José Antonio. Auditoría en Informática. M.C. GRAW HILL.

2002

CUBILLOS M, Euclides. AUDAP auditoria a sistemas de información

computarizados. AUDISIS LTDA. 1999