UNIVERSIDAD NACIONAL EXPERIMENTAL POLITÉCNICA

DE LA FUERZA ARMADA
NÚCLEO SUCRE. EXTENSIÓN CARÚPANO
AUDITORIA DE SISTEMAS

Ejecución de la auditoría

 Ejecución
Esta fase consiste en ejecutar los programas de trabajo establecidos en el
memorando de planeación, mediante:
- La evaluación del sistema de control interno del área de informática
(incluye la seguridad informática).
- La evaluación de la gestión de la entidad en la administración de los
recursos de tecnológicos de información.
- control interno.

 Evaluación del Sistema de Control Interno: Se debe identificar y evaluar

que los controles implementados permitan prevenir y detectar oportunamente
los acontecimientos que impidan el cabal cumplimiento de las políticas,
procedimientos, planes y objetivos de la entidad y que tengan directa relación
con la información tecnológica y de sistemas.

Se debe evaluar si el control cumple con los principios de:

o Efectividad: Se refiere a que la información relevante sea pertinente para
el proceso de la auditoria, así como a que su entrega sea oportuna,
correcta, consistente y de manera utilizable.
o Eficiencia: Se refiere a la provisión de información a través del óptimo
(más productivo y económico) uso de los recursos.
o Confidencialidad: Relativa a la protección de la información sensitiva de
su revelación no autorizada.

Ing. Sámedi García Z.

 o Integridad: Se refiere a la exactitud y suficiencia de la información, así
como su validez en concordancia con los valores y expectativas de la
entidad.
o Disponibilidad: Se refiere a que la información debe estar disponible
cuando sea requerida por los procesos de la entidad ahora y en el futuro.
Involucra la salvaguarda de los recursos y sus capacidades asociadas.
o Cumplimiento: Se refiere a cumplir con las leyes, regulaciones y
acuerdos contractuales, a los que están sujetos los procesos de la
entidad.
o Confiabilidad: Se refiere a la provisión de la información apropiada a la
alta gerencia para operar la entidad tomar de cisiones y evaluar la gestión
realizada.
o Planeación: Que las decisiones tomadas sobre la adquisición e
implantación de recursos informáticos obedezca a las políticas de la
entidad y se encuentren enmarcados dentro de un plan estratégico.

Los recursos que deben ser evaluados en el cumplimiento de los anteriores

principios se han identificado como:

o Datos: Los elementos de datos internos, externos, estructurados, no

estructurados, gráficos sonidos, etc.
o Aplicaciones: Es la suma de procedimientos manuales y programados.
o Tecnología: Cubre hardware, software, sistemas operativos, sistemas de
administración de base de datos, redes, multimedia, etc.
o Instalaciones: Recursos para alojar y dar soporte a los sistemas de
información.
o Personal: Habilidades del personal, conocimientos, conciencia y
productividad para planear, organizar, adquirir, entregar, soportar, y
monitorear servicios y sistemas de información.

Una vez finalizada la fase de evaluación Sistema de control interno, se revisa el

memorando de planeación, de manera que puedan incluirse ajustes a las siguientes

Ing. Sámedi García Z.

fases de la ejecución de la auditoría, de ser necesario para incluir otras áreas
críticas identificadas.

Las áreas de influencia (dominios) a tener en cuenta en el proceso de evaluación

son:

o Planeación y Organización: Se deben evaluar los controles existentes

para la ejecución del plan estratégico, la arquitectura de la información,
administración de los sistemas de información, dirección y administración
de los sistemas de información, dirección y administración del área de
sistemas, administración de proyectos, administración del recurso
humano.
o Adquisición e implementación: Se refiere a aquellos procedimientos
implementados por la entidad para hacer más efectiva, eficiente y
económica la adquisición de recursos tecnológicos de sistemas. Se deben
identificar los controles existentes para los contratos de adquisición de
software (aplicaciones, licencias, sistemas operativos, correo electrónico,
internet, etc.) y hardware (equipos, redes, etc.).
o Entrega de servicios y soporte: Se evalúan los controles que tiene la
entidad para garantizar que se cumpla con el objeto de los contratos de
outsourcing (tercerización) y servicios prestados. Se evalúan los
programas de capacitación de los usuarios, la atención a los usuarios, la
administración de la configuración, de los datos, de las instalaciones,
operaciones.
o Monitoreo: Se refiere a la evaluación de los procedimientos
implementados para hacer un seguimiento y una auditoria interna de todos
los procesos relacionados con la informática, bien sea día a día o
procedimientos que se han incorporado a los sistemas de información
tecnológica para hacer un seguimiento de las actividades realizadas por
los usuarios.
Los controles pueden estar incluidos, de un modo intrínseco, en las
actividades recurrentes de una entidad o consistir en una evaluación

Ing. Sámedi García Z.

 periódica independiente, llevada a cabo normalmente por la dirección. La
frecuencia de estas evaluaciones depende del juicio de la dirección.
Mediante estos controles podremos detectar errores significativos y
realizar un control continuo de la fiabilidad y de la eficacia de los procesos
informáticos.
o Documentación: La Entidad debe tener políticas claras y por escrito sobre
la documentación del área de sistemas y el plan estratégico de sistemas
de información. Los sistemas de aplicación, los programas del sistema
operativo, los equipos de cómputo, las redes de datos, los periféricos, las
funciones y responsabilidades, la operación del centro de cómputo, las
decisiones de cambios de equipos y aplicaciones, los estándares parta el
diseño y desarrollo, entre otras, deben estar suficientemente
documentadas para la comprensión completa y exacta de las actividades
de sistemas de información automatizados y su impacto en los usuarios.

 Evaluación de las políticas de seguridad informática ( ISO 17799)

Como complemento de la evaluación del control interno y como un punto de
referencia, se debe tener en cuenta durante la evaluación realizar, las diez
áreas de control propuestas por la norma internacional ISO 17799, a efecto
de diagnosticar el sistema de seguridad frente a los estándares aceptados
internacionalmente, si en algún momento se quisiera certificar el aspecto de
seguridad.
o Política de seguridad: se necesidad una política que refleje las expectativas
de la organización en materia de seguridad con el fin de suministrar
administración con dirección y soporte, la cual también se puede utilizar como
base para el estudio y evaluación en curso.
o Organización de la seguridad: sugiere diseñar una estructura de
administración que establezca la responsabilidad de los grupos en ciertas
áreas de la seguridad y un proceso para el manejo de respuesta a incidentes.

Ing. Sámedi García Z.

o Control y clasificación de los recursos de información: Necesita un
inventario de los recursos de información de la organización y con base en
este conocimiento, asegurar que se brinde un nivel adecuado de protección.
o Seguridad del personal: Establece la necesidad de educar e informar a los
empleados actuales y potenciales sobre lo que se espera de ellos en materia
de seguridad y asuntos de confidencialidad. También determina cómo incide
el papel que desempeñan los empleados en materia de seguridad en el
funcionamiento general. Se debe implementar un plan para reportar los
incidentes.
o Seguiridad física y ambiental: Responde a la necesidad de proteger las
áreas, el equipo y los controles generales.
o Manejo de las comunicaciones y las operaciones: Los objetivos de esta
sección son:
- Asegurar el funcionamiento correcto y seguro de las instalaciones de
procesamiento de la información.
- Minimizar el riesgo de falla de los sistemas.
- Proteger la integridad del software y la información.
- Conservar la integridad y disponibilidad del procesamiento y la
comunicación de la información.
- Garantizar la protección de la información en las redes y de la
infraestructura de soporte.
- Evitar daños a los recursos de información e interrupciones en las
actividades de la compañía.
- Evitar la pérdida, modificación o uso indebido de la información que
intercambian las organizaciones.
o Control de acceso: Establece la importancia de monitorear y controlar el
acceso a la red y los recursos de aplicación para proteger contra los abusos
internos e intrusos externos.
o Desarrollo y mantenimiento de los sistemas: Recuerda que en toda labor
de la tecnología de la información, se debe implementar y mantener la

Ing. Sámedi García Z.

 seguridad mediante el uso de controles de seguridad en todas las etapas del
proceso.
o Manejo de la continuidad de la empresa: Aconseja estar preparado para
contrarrestar las interrupciones en las actividades de la empresa y para
proteger los procesos importantes, en caso de una falla grave o desastre.
o Cumplimiento: Imparte instrucciones para que se verifique si el
cumplimiento con la norma ISO 17799 concuerda con otros requisitos
jurídicos. Esta sección también requiere una revisión a las a las políticas de
seguridad, al cumplimiento y consideraciones técnicas que se deben hacer
en relación con el proceso de auditoría del sistemas a fin de garantizar que
las empresas obtengan el máximo beneficio.

Informe de la auditoría

Resultado de la evaluación, se debe preparar un informe el cual, además de

ser claro, preciso, conciso, veraz, objetivo y de presentar hechos reales
debidamente sustentados, debe dar las pautas para un plan de mejoramiento de los
controles y seguridades establecidas dentro del sistema de información. Sirve
además para fortalecer la administración de la tecnología informática de la
organización, se constituyen en otra herramienta para soportar las inversiones
necesarias en tecnología ante la alta gerencia y afrontar de manera satisfactoria las
auditorias que se realicen al área de tecnología.

Para la elaboración del informe de auditoría hay que tomar en cuenta aspectos
fundamentales que darán la base para encarar el informe:

 Normas
Existen dos tendencias legislativas y de prácticas de disciplinas: la anglosajona,
basada en la Common Law, con pocas leyes y jurisprudencia relevante; y la latina,
basada en el Derecho Romano, de legislación muy detallada.
Se reconoce que los parámetros del cambio tecnológico parecen hacer más
práctico el modelo anglosajón; ya que es en Estados Unidos donde la tecnología,

Ing. Sámedi García Z.

informática y comunicaciones tienen un desarrollo más avanzado y adaptativo, y la
Auditoria de Sistemas no escapa a ello.
A pesar de que existen normativas y estándares, los constantes avances
tecnológicos superan en velocidad la adaptabilidad de estas a la realidad.

 Evidencia
Ella es la base razonable de la opinión del auditor informático, esto es, el
informe de auditoría.
La evidencia tiene una serie de calificativos; a saber:
- Evidencia relevante: tiene una relación lógica con los objetivos de la
auditoría.
- Evidencia fiable: es válida y objetivo, aunque con nivel de confianza.
- Evidencia suficiente: es de tipo cualitativo para soportar la opinión
profesional del auditor.
- Evidencia adecuada: es de tipo cualitativo para afectar a las conclusiones
del auditor.

La opinión del auditor debe estar basada en evidencias justificativas, es decir,

desprovistas de prejuicios, y si es preciso con evidencia adicional.

 Irregularidades

Las irregularidades, es decir, los fraudes y los errores, especialmente la

existencia de los primeros preocupa no solo a las organizaciones sino también a los
auditores.

En los organismos y las empresas, Dirección tiene la responsabilidad principal

y primaria de la detección de irregularidades, fraudes y errores; la responsabilidad
del auditor se centra en planificar, llevar a cabo y evaluar su trabajo para obtener
una expectativa razonable de su detección.

Por ellos es necesario diseñar pruebas antifraude, que lógicamente

incrementarán el coste de la auditoría, previo análisis de riesgos.

Ing. Sámedi García Z.

 Aunque siempre debe prevalecer el deber de secreto profesional del auditor,
conviene recordar que en el caso de detectar fraude durante el proceso de auditoria
procede actuar en consecuencia, con la debida prudencia ante una situación tan
delicada y conflictiva, sobre todo si afecta a los administradores de la organización
objeto de auditoría. Ante un caso así, conviene consultar un asesor jurídico y leer
detenidamente las normas profesionales, e incluso dirigirse al organismo regulador
del hecho, ya que el asunto podría incluso, terminar en tribunales de justicia.

 Documentación

En el argot de auditoria se conoce como papeles de trabajo la totalidad de

los documentos preparados o recibidos por el auditor, de manera que, en conjunto,
constituyen un compendio de la información utilizada y de las pruebas efectuadas
en la ejecución de su trabajo, junto con las decisiones que ha debido tomar para
llegar a formarse su opinión.

El informe de auditoría, para que sea profesional tiene que estar basado en
la documentación o papeles de trabajo, como utilidad inmediata, previa supervisión.
Los papeles de trabajo pueden incluso a tener valor en los tribunales.

Por otra parte, no debemos omitir la caracteristica regirstral del informe, tanto
en su parte cronológica como en la organizativa, con procedimientos de archivo,
búsqueda, custodia y conservacion de su documentacion, cumplientdo toda la
normativa vigente, legal y profesional, como mínimo exigible.}

Los trabajos utilizados, en el curso de una labor, de optros auditores externos

y/o expertos independientes, así como de los auditores internos, se reseñan o no
en el Informe de auditoria, formarán parte de la documentacion.

Además, se incluirán:

- El contrato cliente/auditor informatático y/o la carta propuesta del auditor

informático.
- Las declaraciones de la DIreccion.

Ing. Sámedi García Z.

 - Los contratos, o equivalentes, que afecten al sistema de información, así
como el informe de la sesoría jurídica del cliente sobre sus asuntos
actuales y previsibles.
- El informe sobre terceros vinculados.
- Conocimiento de la actividad del cliente.

 Informe Auditoria

Es el momento de separar lo significativo de lo no significativo, debidamente

evaluados por su importancia y vinculacion con el factor riesgo, tarea de carácter
profesional y ético, según el leal saber y entender del auditor.

Aunque no existe un formato vinculantes, si existen esquemas recomendados

con los requisitos mínimos aconsejables respecto a estructura y contenido. Tambien
es cuestion previa decidir si el informe es largo o corto, teniendo en cuenta el
contrato con el cliente.

El informe deberá ser redactado de manera clara, adecuada, suficiente y

comprensible; con una utilizacion apropiada del lenguaje informático.

Los puntos esenciales, genéridocos y m´pinemos del Informe de auditoria, son:

1. Identificacion del informe: El título del informe deber´pa identificarse con

objeto de distinguirlo de otros informes.
2. Identificacion del cliente: deberá identificarse a los destinatarios y a las
personas que efectuen el encargo.
3. Identificacion de la entidad auditada: identificación de la entidad objeto de
la auditoria.
4. Objetivos de la auditoria informática: declaracion de los objetivos de la
auditoria para identificar su propósito, señalando los objetivos incumplidos.
5. Normativa aplicada y excepciones: identificacion de las normas legales y
profesionales utilizadas, así como las excepciones significativas de uso y el
posible impacto en los resultados de la auditoria.

Ing. Sámedi García Z.

 6. Alcance de la auditoria: cocretar la naturaleza y extension del trabajo
realizado: área organizativa, período de auditoria, sistemas de informacion…
señalando limitaciones al alcance y restricciones del auditado.
7. Conlusiones: informe corto de aplinion.
Lógicamente, se ha llegado a los resultados y, sobre todo, a la esencia del
dictamen, la opinión y los parrafos de salvedades y énfasis, si procede.
El informe debe contener uno de los siguientes tipos de opinión:
7.1. Opinión favorable: La opinión calidicada como faorables, sin
salvedades o limpia, deberá manifestarse de forma clara y precisa, y
es el resultado de un trabajo realizado sin limitaciones de alcance y
sin incertidumbre, de acuerdo con la normativa legal y profesional.
7.2. Opinión con slvedades: Se reitera lo dicho en la opinión favorable
al respecto de las salvedades cuando sean significativas en relacion
con los objetivos de auditoria, describiendose con precision la
naturalesza y razones. Podran ser éstas según las circunstancias
siguientes:
- Limitaciones al alcance del trabajo realizado; esto es, restricciones
por parte del auditado, etc.
- Incertidumbre cuyo resultado no permita una prevsion razonable.
- Irregularidades significativas.
- Incumplimiento de la normativa legal y profesional.
7.3. Opinión desfavorable: la opinion desfavorable o adversa es
aplicable en el caso de:
- Identificacion de irregularidades.
- Incumplimiento de la normativa legal o profesiobal, que afecten
significativamente a los objetivos estipulados para la auditoria,
incluso con incertidumbres, todo ello en la evaluacion de conjunto
y reseñando detalladamente las razones correspondientes.
7.4. Opinion denegada: la denegacion de opinion puede terner su origen
en:
- Las limitaciones al alcance de auditoria.

Ing. Sámedi García Z.

 - Incertidumbres significativas de un modo tal que impidan al auditor
formarse una opinion.
- El incumplimiento de normativa legal y profesional.

7.5 Resumen: El siempre dificil tema de la opinion, estrella del informe de

auditoria. Guiado principalmente por la ética que se convierte en
fuente de orientacion para reducir el desfase entre las expectativas
del usuario en general y lo posible.

8. Resultados: Informe largo y otros informes. Se recomienda la elaboración

del informe largo por encima del corto, ya que los usuarios desean saber más y
desean transparencia como valor añadido.

Es indudable que el límmite lo marca la documentacion de la auditoria pero

existen otros aspectos a terner en cuenta:

- El secreto de la empresa.
- El secreto profesional.
- Los aspectos relevantes de la auditoria.
9. Informes previos: no es una práctica recomentable, aunque sí usual en
algunos casos.
En el caso de deteccion de irregularidades significativas, tanto errores como
fraudes, sobre todo, se requiere una actuacion inmediata según la normativa legal
y profesional, independientemente del nivel jeráquico afectado dentro de la
estructura de la entidad.
10. Fecha del informe: El tiempo no es neutral; la fecha del informe es
importante, no sólo por la cuantificación de honorarios y el cumplimiento con
el cliente, sino para conocer la magnitud del trabajo y sus aplicaciones.
Conviene precisar las fechas de inicio y conslusión del trabajo de campo.
11. Identificación y firma del auditor: este aspecto formal del informe es
esencial tanto si es individual como si forma parte de una sociedad de

Ing. Sámedi García Z.

 auditoria, que deberá corresponder a un socio o socios legalmente así
considerados.
12. Distribucion del informe: en el contrato o en la carta propuesta del auditor,
deberá definirse quien o quienes podran hacer uso del informe, asi como los
usos concretos que tendrá, pues los honorarios deberán guardar relacion con
la responsabilidad civil.

Ing. Sámedi García Z.