Compendio General de Auditoría Informática

Capítulo 1
Auditoría Informática o de Sistemas

 Concepto o Definiciones de la Auditoría de Sistemas

 Sistema de información
 Objetivos de la Auditoría de Sistemas. Objetivos Generales. Objetivos Específicos.
 Justificación de la auditoría de Sistemas
 Síntomas de necesidad de una Auditoría de Sistemas de Información
 Dificultades aportadas por el ambiente informático
 Causa de las vulnerabilidades de los sistemas informáticos
 Campo de la Auditoría Informática.
 Clasificación
 Ubicación típica y organización de la Auditoría de Sistemas
 Definición del alcance y ámbito de la Auditoria Informática
 Perfil del Auditor de Sistemas
 Formación ideal del Auditor Informático
 Conocimientos o habilidades del Auditor Informático
 Responsabilidades de la Auditoría Informática

Fecha Revisión

13/04/19

Auditoría Informática o de Sistemas. -1-

 Compendio General de Auditoría Informática

Concepto o Definiciones de la Auditoría de Sistemas.

No existe una definición oficial de la Auditoría Informática o de Sistemas, es la auditoría
aplicada al campo informático y auditoría es “el examen metódico de una situación relativa
a un producto, proceso u organización, realizado en cooperación con los interesados para
verificar la concordancia de la realidad con lo preestablecido y la adecuación al objetivo
buscado” (Norma Aenor X50-109). Ajustando la definición entendemos entonces a la
Auditoría Informática como la revisión, verificación y evaluación con un conjunto de
métodos, técnicas y herramientas de los sistemas de información de una organización, de
forma discontinua y a petición de su dirección y con el fin de mejorar su rentabilidad,
seguridad y eficacia.
Según la definición de Eurípides Rojas, “La Auditoria de sistemas es la parte de la
auditoría interna que se encarga de llevar a cabo la evaluación de normas, controles,
técnicas y procedimientos que se tienen establecidos en una empresa para lograr
confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa
a través de computadores, es decir, en estas evaluaciones se está involucrando tanto los
elementos técnicos como humanos que intervienen en el proceso de la información.
José A. Echenique expone al respecto “La auditoría en informática es la revisión y la
evaluación de los controles, sistemas, procedimientos informáticos, de los equipos de
cómputo, su utilización, eficiencia y seguridad, de la organización que participa en el
procesamiento de la información, a fin de que por medio del señalamiento de cursos
alternativos se logre una utilización más eficiente y segura de la información que servirá
para una adecuada toma de decisiones.
La auditoría informática, no sólo comprende la evaluación de los equipos de cómputo o de
un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de
información en general de sus entradas, procedimientos, controles, archivos, seguridad y
obtención de información. Se incluyen los equipos de cómputo como la herramienta que
permite obtener la información adecuada y la organización específica (departamento de
cómputo, departamento de informática, gerencia de procesos electrónicos, etc.) Es una
revisión técnica, especializada y exhaustiva que se realiza a los sistemas
computacionales, software, e información utilizados en una empresa, sean individuales,
Auditoría Informática o de Sistemas. -2-
 Compendio General de Auditoría Informática

compartidos y/o redes, así como a sus instalaciones, telecomunicaciones, mobiliario,

equipos periféricos y demás componentes.
Se puede concluir entonces que la auditoría de sistemas se encarga de la evaluación de
todos aquellos aspectos relacionados con los recursos informáticos de la organización
como son su software, hardware, talento humano, funciones y procedimientos, enfocados
todos ellos desde el punto de vista administrativo, técnico y de seguridad; y propende por
prevenir a la empresa de aquellos riesgos originados por omisiones, errores, violaciones,
actos mal intencionados, desastres naturales, etc. asesorando y proporcionando
recomendaciones y sugerencias a nivel directivo para lograr un adecuado control interno
en la empresa.
Las definiciones anteriores son las más comunes y conocidas en el ambiente de la
auditoría, sin embargo, existen otros tipos de auditorías más especializados, por lo que es
de suma importancia conocer las definiciones de esos modelos.

El sistema de
información.
Un sistema de información
empresarial se define:
como un conjunto de
recursos técnicos,
humanos y económicos,
interrelacionados dinámicamente, y organizados en torno al objetivo de satisfacer las
necesidades de información de una organización empresarial para la gestión y la correcta
adopción de decisiones. Los elementos o componentes fundamentales que constituyen un
Sistema de Información empresarial actual:
 La información, es decir todo lo capturado, almacenado, procesado y distribuido
por el sistema.
 Las personas, quienes introducen y utilizan la información del sistema.
 Los equipos de tratamiento de la información e interacción con los usuarios,
hardware, software y redes de comunicaciones, lo recursos.

Auditoría Informática o de Sistemas. -3-

 Compendio General de Auditoría Informática

 Las normas y/o técnicas de trabajo, métodos utilizados por las personas y las
tecnologías para desarrollar sus actividades.
Por otro lado, un sistema de información será eficaz si facilita la información necesaria
para la organización y lo hace en el momento oportuno, y será eficiente si lo realiza con
los menores recursos tecnológicos, humanos, temporales y económicos posibles.
Por su parte, el sistema informático de la empresa es un subsistema dentro del sistema
de información de la misma, y esta formado por todos los recursos necesarios para dar
respuesta a un tratamiento automático de la información y aquellos otros que posibiliten la
comunicación de la misma. En definitiva, por tecnologías de la información y de las
comunicaciones. El sistema de información empresarial constituye el conjunto de
recursos, componentes y medios de comunicación de la empresa que sirven como
soporte para el proceso básico de transformación de la información.
Un sistema de información empresarial, para alcanzar sus objetivos, ejecuta al menos tres
actividades claramente diferenciadas:
 Recibe datos de fuentes internas o externas como elementos de entrada a un
proceso(Entrada)
 Almacena información y actua sobre los datos para generar y producir
información(Proceso)
 Distribuye información elaborada para el usuario final(Salida)

Auditoría Informática o de Sistemas. -4-

 Compendio General de Auditoría Informática

Objetivos de la auditoria de sistemas.

Objetivos Generales.
Propósito fundamental es evaluar el uso adecuado de los sistemas para el correcto
ingreso de los datos, el procesamiento adecuado de la información y la emisión oportuna
de sus resultados en la institución, incluyendo la evaluación en el cumplimiento de las
funciones, actividades y operaciones de funcionarios, empleados y usuarios involucrados
con los servicios que proporcionan los sistemas computacionales a la empresa. Se
persigue realizar una evaluación de las actividades ejecutadas en la organización a fin de
verificar que cada una de ellas como unidad y todas como conjunto contribuyen a
fortalecer el alcance del mejor de los resultados posibles, esto implica la detección de las
debilidades y la identificación de amenazas con una definición clara de las causas de
estas situaciones, para lograr que como producto, el auditor pueda brindar un aporte a la
organización mediante la emisión de criterios y recomendaciones claras y concretas sobre
algunas opciones que la organización pueda elegir para fortalecer sus areas débiles y las
previsiones que pueda tomar para disminuir, trasladar o eliminar las amenazas presentes
en su ambiente.
Tenemos:
 Evaluar las políticas generales sobre la planeación, ambiente laboral,
entrenamiento y capacitación, desempeño, supervisión, motivación y
remuneración del talento humano.
 Evaluar las políticas generales de orden técnico con respecto al software,
hardware, desarrollo, implantación, operación y mantenimiento de sistemas
de información
 Evaluar las políticas generales sobre seguridad física con respecto a
instalaciones, personal, equipos, documentación, back-ups, pólizas y planes
de contingencias.
 Evaluar los recursos informáticos de la empresa con énfasis en su nivel
tecnológico, producción de software y aplicaciones más comúnmente
utilizadas
 Asesorar a la gerencia y altos directivos de la empresa en lo relacionado con
Auditoría Informática o de Sistemas. -5-
 Compendio General de Auditoría Informática

los sistemas de información, de tal forma que el proceso de toma de

decisiones se efectúe lo mas acertadamente posible.
 Conocer las políticas generales y actitudes de los directivos frente a la
auditoría y seguridad de los sistemas de información.
 Efectuar un análisis sobre la concepción, implementación y funcionalidad de
la seguridad aplicada a los sistemas de información.
 Analizar los componentes del costo involucrado en la sistematización de los
diferentes procesos, así como evaluar los beneficios derivados de la misma.
Objetivos Específicos.
Sus objetivos específicos, podemos referenciar o resumir en
 Salvaguardar los activos, se refiere a la protección del hardware, software y
recursos humanos.
 Integridad de datos. Los datos deben mantener consistencia y no duplicarse.
 Efectividad de sistemas. Que se cumplan los objetivos con los menores recursos
 Seguridad y confidencialidad.
Tenemos:
 Evaluar el grado de intervención de auditoría de sistemas en las etapas de
desarrollo, implementación y mantenimiento de aplicaciones
 Evaluar las políticas y criterios para la adquisición y/o desarrollo
 Evaluar los riesgos y fraudes de mayor incidencia al interior de la empresa
 Examinar la documentación existente con respecto a los manuales de sistemas,
usuario, operación, auditoria, funciones y procedimientos, para determinar su
actualización y efectividad
 Revisar los procedimientos existentes sobre la planeación, ambiente laboral,
entrenamiento y capacitación, desempeño, supervisión, motivación, y
remuneración del talento humano
 Examinar los procedimientos existentes con respecto al software, hardware,
desarrollo, implementación, operación y mantenimiento de los sistemas de
información.

Auditoría Informática o de Sistemas. -6-

 Compendio General de Auditoría Informática

 Constatar si el personal se encuentra capacitado para aplicar controles y

procedimientos de seguridad.
 Comprobar si los planes de seguridad son evaluados periódicamente.
 Comprobar la participación de los usuarios durante las etapas de análisis, diseño y
puesta en marcha de las diferentes aplicaciones.
 Comprobar si existe una adecuada segregación de funciones y su cabal aplicación
 Evaluar la funcionalidad de la estructura orgánica del centro de informática
 Revisar las políticas de ascensos, promociones y vacaciones del personal.
 Evaluar los procedimientos para captura, verificación y almacenamiento de los
datos
 Evaluar los procedimientos para asignación de claves de acceso, modificaciones,
cancelaciones, etc.
 Revisar los estándares de producción y comprobar la calidad de la información
producida
 Verificar la programación de los mantenimientos a las aplicaciones.

Justificación de la auditoría de sistemas

Amerita la función de la auditoría de sistemas:
A la par que la tecnología avanza, las empresas deben evolucionar, innovar y es allí
donde los controles aplicados deben ser evaluados, para que sean consonantes,
concordantes y coherentes con todos los cambios efectuados. Los sistemas de
información apoyados en computadores son susceptibles de irregularidades como
fraudes, manejos indebidos, errores, omisiones, sabotajes etc. lo que obliga a ejercer un
control estricto en sus diversas operaciones.
La normatividad, regulaciones y legislación, tanto interna como externa a la empresa,
obligan a efectuar las modificaciones necesarias a los sistemas de información, lo que de
hecho desactualiza los controles aplicados, por eso es necesario revisar los controles
existentes y ajustarlos de acuerdo a los nuevos procedimientos implantados. La reducida
participación que tiene la auditoría de sistemas en la adquisición y/o actualización de

Auditoría Informática o de Sistemas. -7-

 Compendio General de Auditoría Informática

bienes informáticos, recayendo la responsabilidad en auditores no experimentados con

ésta tecnología, es la causa del bajo porcentaje de fiscalización especializada que se
ejerce al respecto.
El incipiente desarrollo de la auditoría de sistemas y los limitados recursos de todo orden
destinados a la misma, sobretodo el factor económico, han sido los factores
predominantes en nuestro medio y ha traído como consecuencia que los controles
ejercidos se reduzcan en un alto porcentaje solo a aquellos que brindan el software y el
hardware adquirido.
La limitada concepción que se tiene sobre el alcance de la seguridad de los sistemas de
información computarizados, que recae más que todo en las seguridades físicas,
olvidando las lógicas, hace indispensable aumentar su radio de acción y control. El
crecimiento de las empresas y la fuerte competencia a la que están sometidas, conduce a
un incremento de sus actividades cotidianas, lo que obliga a planear y controlar sus
desarrollos para que sean más competitivas.
La poca o escasa documentación existente, en la mayoría de los casos desactualizada, o
de vigencia poco práctica, son los factores predominantes en gran parte de las empresas
de nuestro medio. Los planes de contingencias son muy limitados en cuanto a su alcance,
y preferencialmente se ocupan de aspectos relacionados con el empleo de respaldos o
copias de seguridad y la toma de pólizas de seguros, desatendiendo otros elementos
atinentes al software, hardware, procedimientos y en especial al talento humano, que
tienen profunda incidencia dentro de la auditoría.
A esto le sumamos la necesidad de una empresa de tomar el control sobre:
 Necesidad de controlar el uso evolucionado de las computadoras
 Controlar el uso de la computadora que cada día se vuelve mas importante y
costosa
 Los altos costos que producen los errores en una organización
 Abuso en las computadoras
 Posibilidad de pérdida de capacidades de procesamiento de datos
 Posibilidad de decisiones incorrectas
 Valor del hardware, software y personal.
Auditoría Informática o de Sistemas. -8-
 Compendio General de Auditoría Informática

 Necesidad de mantener la privacidad individual

 Posibilidad de pérdida de información o de mal uso de la misma
 Toma de decisiones incorrectas
 Necesidad de mantener la privacidad de la organización

Síntomas de la necesidad de una Auditoría de Sistemas

Las empresas acuden a las auditorías externas cuando existen síntomas bien
perceptibles de algún tipo de debilidad. Esta actividad no suele realizarse de manera
periódica en las organizaciones, salvo cuando alguna normativa legal obliga,
periódicamente o no, a su realización. Estos síntomas pueden agruparse en clases o
areas a continuación expuestas:
Clase/Area Causas
Síntomas de No coinciden los objetivos de los Sistemas de Información con los objetivos
descoordinación
y desorganización de la propia Compañía.
Los estándares de productividad se desvían sensiblemente de los promedios
conseguidos habitualmente.
Rotación elevada del personal
Personal inexperto
Poca motivación
Falta de entrenamiento adecuado.
Los circuitos de información no son los adecuados
Duplicidad de las informaciónes..
No disponibilidad de la información o del resto de los recuros del SI.
Mala imagen e No se atienden las peticiones de cambios de los usuarios.
insatisfacción de
los usuarios. Lista de espera excesiva de solicitudes de usuarios
No se reparan los desperfectos del hardware, ni se resuelven incidencias en
plazos razonables.
Errores frecuentes de hardware y software, asi como frecuentes ampliaciones
de capacidad de hardware/software
Tiempo de respuesta del computador demorado
Inadecuado soporte informático, el usuario percibe que está abandonado y
desatendido permanentemente.

Auditoría Informática o de Sistemas. -9-

 Compendio General de Auditoría Informática

Clase/Area Causas
No se cumplen en todos los casos los plazos de entrega de resultados
periódicos. Pequeñas desviaciones pueden causar importantes desajustes en
la actividad del usuario, en especial en los resultados de aplicaciones críticas
y sensibles.
Actitudes desfavorables del usuario final
Numerosos proyectos de desarrollo abortados o suspendidos
Debilidades Incremento desmesurado de costos.
económicas/finan
cieras Necesidad de justificación de Inversiones Informáticas (la empresa no está
absolutamente convencida de tal necesidad y decide contrastar opiniones).
Desviaciones Presupuestarias significativas.
Costos y plazos de nuevos proyectos (deben auditarse simultáneamente a
Desarrollo de Proyectos y al órgano que realizó la petición).
Proyectos demorados
Adquisiciones de hardware y software sin soporte o sin ser autorizadas.
Síntomas de Evaluación de nivel de riesgos
inseguridad
Falta de protección Física y Lógica
Escasa confidencialidad de la información
Reportes de excepciones extensos
Reportes de excepciones a los que no se le dio seguimiento.
Los datos son propiedad inicialmente de la organización que los genera. Los
datos del personal son especialmente confidenciales
Continuidad del Servicio. Es un concepto aún más importante que la
Seguridad. Establece las estrategias de continuidad entre fallos mediante
Planes de Contingencias Totales y Locales.
Ausencia de planes de reemplazo
Confianza de uno o dos miembros claves del personal
Cumplimiento de Proteccion de datos de carácter personal
la legalidad
Esquema nacional de Ciberseguridad
Cumplimiento de ISO 27.001
Ley Sarbanes-Oxley
Otras regulaciones.

Auditoría Informática o de Sistemas. -10-

 Compendio General de Auditoría Informática

Dificultades aportadas por el ambiente informático .

Una computadora actúa siempre igual ante iguales situaciones, su comportamiento no es
autónomo, sino que debe ser previamente determinado por el hombre a través de un
programa. Como corolario, el riesgo no está en el instrumento en sí, la computadora, sino
en quién lo maneja y controla, el programador u operador. Es decir dichas características
mas importantes de esta situación serian:
 Automatismo de la computadora: Trabaja como un autómata, nos libera del
comportamiento probabilístico de los seres humanos
 Determinismo del algoritmo: mediante un proceso exactamente definido que fija
la secuencia estricta en que ha de realizarse una serie de operaciones para arribar
a un resultado prefijado. Esto lo realiza un programa que en realidad se trata de un
modelo determinístico.
Esta situación queda evidenciada en el tratamiento de los datos y son:
 La información ya no es accesible directamente al ojo humano
 Se depende para el acceso a la información de especialistas en informática.
 Facilidad para modificar la información que reside en los medios de
almacenamiento magnéticos sin dejar rastros, esta característica es conocida como
fenómeno de volatilidad de los datos y es un aspecto que afecta especialmente a
las pistas de auditoría registradas por los sistemas.
 Gran parte de los controles se delegan al propio sistema informático, dando lugar a
la instrumentación de los llamados controles programados.

Causa de las vulnerabilidades de los sistemas informáticos.

Podemos señalar una serie de causas como las responsables de las vulnerabilidades que
afectan a los sistemas o recursos informáticos.
 Debilidad en el diseño de los protocolos utilizados en las redes: algunos de
los protocolos utilizados para ofrecer determinados servicios en redes como
Internet han sido diseñados sin prever como reaccionar frente a situaciones
anómalas o ante un mal comportamiento de unas de las partes intervinientes en la

Auditoría Informática o de Sistemas. -11-

 Compendio General de Auditoría Informática

comunicación, que podría tratar de confundir a la otra para provocar, por ejemplo
un ataque de denegación de servicios (DoS). También el intercambio de la
información sensible en texto claro, sin cifrar, como en los servicios básicos de
conexión remota a otros equipos (telnet), de transferencia de ficheros (FTP) o de
correo electrónico en su versión mas básica SMTP. De hecho, algunos protocolos
de internet no contemplaron la seguridad en su diseño inicial, al considerar sus
inventores que iban a ser utilizados en redes fiables y con usuarios de confianza.
 Errores de programación: La encontramos en los fallos en el diseño y/o en la
codificación de los programas. En bastantes ocasiones los parches y
actualizaciones de seguridad suministradas por los fabricantes no arreglan los
problemas, o incluso pueden incluir nuevas vulnerabilidades. Es necesario por otra
parte, evaluar la rapidez de respuesta de cada fabricante de software a las
vulnerabilidades detectadas en sus aplicaciones. El intervalo de tiempo transcurrido
desde que se hace pública una determinada vulnerabilidad hasta que se presenta
la correspondiente actualización o parche de seguridad que la corrige recibe el
nombre de dias de riesgo. Otra causa frecuente de vulnerabilidades en las
aplicaciones informáticas se debe a un comportamiento incorrecto a entradas no
validadas, que pueden provocar situaciones indeseadas como el desbordamiento
de una zona de memoria utilizada por el programa (buffer overflow)
 Configuración inadecuada de los sistemas informáticos: Este permite explotar
determinadas vulnerabilidades, ya que las opciones que traen por defecto de
fabrica, es decir la configuración inicial tras su instalación y puesta en marcha
muchos dispositivos o programas suelen ser poco seguras. Esta situación puede
ser motivada en parte por una deficiente documentación sobre la configuración del
sistema o dispositivo. Conviene mencionar además la importancia de modificar las
contraseñas predeterminadas por el fabricante, ya que estas se suelen mantener
en un porcentaje muy alto de dispositivos conectados a las redes. También
podemos citar entre otras causas a:
◦ Ejecución de mas servicios de los necesarios en los equipos, con cuentas de
usuario que tienen privilegios excesivos para su función.

Auditoría Informática o de Sistemas. -12-

 Compendio General de Auditoría Informática

◦ Mantenimiento inadecuado de los sistemas: no se instalan y revisan los parches

suministrados por el fabricante. En la actualidad podemos considerar que existe
una auténtica competición entre los atacantes y usuarios maliciosos, por una
parte, que descubren y tratan de explotar nuevos agujeros de seguridad, y los
fabricantes de hardware y de software, por otra, que deben desarrollar e instalar
los parches adecuados en los sistemas.
◦ Algunas aplicaciones informáticas presentan problemas de usabilidad de cara al
usuario poco experimentado, que no es consciente de las opciones realizadas
con la seguridad. Así, se ha constatado que en muchos casos el usuario final
desconoce cuales son los cambios que puede provocar la activación o
desactivación de una determinada opción de seguridad en el programa que está
utilizando.
◦ Routers que utilizan protocolos de enrutamiento poco seguros que no
garantizan la integridad y autenticidad de los mensajes de control mediante los
que se intercambian información sobre las rutas.
 Políticas de Seguridad deficientes o inexistentes: En muchas organizaciones
no se han definido e implementado de manera eficaz, de acuerdo a las
necesidades de seguridad de la información. Entre ellas tenemos:
◦ Políticas de contraseñas poco robustas, contraseñas que se pueden adivinar
fácilmente y que no cambian con frecuencia, contraseñas compartidas entre
varios usuarios, contraseñas anotadas en la mesa de los usuarios que se
despreocupan de su seguridad.etc.
◦ Deficiente control de los intentos de acceso al sistema; las cuentas no se
bloquean si se producen fallos de autenticación, no se registran los intentos
reiterados de conexión en una misma cuenta, falta de seguimiento del tiempo
de conexión de una sesión de usuario para detectar situaciones anómalas, etc.
◦ Escaso rigor en el control de acceso a los recursos: usuarios registrados en el
sistema con permisos de acceso superiores a los que necesitan
◦ Procedimientos inadecuados para la gestión de soportes informáticos o el
control de equipos portátiles.
Auditoría Informática o de Sistemas. -13-
 Compendio General de Auditoría Informática

◦ Escaso control de las copias generadas en papel con información sensible:

ausencia de vigilancia de las impresoras o de la documentación archivada en
armarios, cajones.
◦ Falta de control de los tratamientos realizados por terceros: este sería el caso,
por ejemplo, de las empresas encargadas del mantenimiento de equipos y/o
programas.
◦ Deficiente o inexistente limitación del acceso físico a los equipos más sensibles,
dispositivos de red y cableado
◦ Instalación de programas poco fiables por parte de los usuarios sin contar con
la autorización de los responsables de informática de la organización
◦ Despreocupación por la instalación de parches y de nuevas versiones de
software en servidores y otros equipos críticos. Desconocimiento de los
posibles agujeros de seguridad que podría afectar a cada sistema o equipo
informático.
◦ Escasa protección de los equipos portátiles que los usuarios pueden sacar de la
red de la organización, y que podrían resultar vulnerables frente a virus,
troyanos y otros códigos dañinos.
◦ Registros de los servidores y de los dispositivos de red sin activar, o activados
con información insuficiente y/o que apenas son consultados por los
responsables
◦ Información sensible que se guarda sin cifrar en el sistema
◦ Despreocupación por el adecuado almacenamiento de las copias de seguridad
por los procedimientos implantados para su generación y verificación periódica
◦ Transmisión de ficheros y mensajes de correo sin cifran ni autenticar, sobre todo
a través de redes públicas o redes basadas en enlaces de radio. Conviene
tener en cuenta este aspecto en las redes inalámbricas, conexiones vía satélite,
comunicaciones a través de redes públicas como internet, etc.
 Desconocimiento y falta de sensibilización de los usuarios y de los
responsables de informática: Todas las soluciones tecnológicas implantadas por
la organización pueden resultar inútiles ante el desconocimiento, falta de
Auditoría Informática o de Sistemas. -14-
 Compendio General de Auditoría Informática

información, desinterés o ánimo de causar daño de algún empleado desleal. La

mayoría de los problemas relacionados con la seguridad suelen tener su orígen en
el factor humano. En otros casos se menciona la falta de compromiso y de
sensibilización de la alta Dirección hacia muchas cuestiones como una de las
causas que explican esta preocupante situación en muchas organizaciones.
 Disponibilidad de herramientas que facilitan los ataques: En internet se
pueden localizar todo tipo de programas gratuitos, fáciles de utilizar gracias a sus
interfaces gráficas, con detallada documentación sobre su instalación y manejo,
que permiten explotar agujeros de seguridad o llevar a cabo ataques más
sofisticados contra redes y sistemas informáticos.
 Limitación gubernamental al tamaño de las claves criptográficas y a la
utilización de este tipo de tecnologías: Los productos y algoritmos criptográficos
se consideran tecnología susceptible de doble uso (civil y militar), por este motivo
muchos paises como los EEUU han establecido distintas medidas para limitar el
desarrollo y exportación de este tipo de productos, así como su utilización por parte
de las empresas y de los ciudadanos. De hecho EEUU impide exportar productos
que empleen algoritmos criptográficos simétricos con claves de un tamaño superior
a 128 bits.
 Existencia de puertas traseras en los sistemas informáticos: las puertas
traseras también conocidas como backdoors constituyen una via de acceso no
autorizado a un sistema informático, saltándose las medidas de protección
previstas e implantados por sus administradores. En algunos casos, estas puertas
traseras pueden tener su orígen en una serie de servicios que se utilizan durante
las fases de desarrollo de un sistema informático y que, por error o descuido, se
mantienen en la versión final distribuida a los clientes.
 Descuido de los fabricantes: En algunos casos los propios fabricantes han
contruibuido a la propagación de virus y programas dañinos,al incluir su código en
los discos duros de sus equipos o en los CD-ROM con los distintos programas y
herramientas del sistema.

Auditoría Informática o de Sistemas. -15-

 Compendio General de Auditoría Informática

Campo de la Auditoría Informática

El desarrollo de sus actividades se pone de manifiesto en:
 La evaluación administrativa del área de informática
 La evaluación de los sistemas y procedimientos, y de la eficiencia que se tiene en
el uso de la información. La evaluación de la eficiencia y eficacia con la que se
trabaja.
 La evaluación del proceso de datos, de los sistemas y de los equipos de cómputo
(software, hardware, redes, bases de datos, comunicaciones)
 Seguridad y confidencialidad de la información
 Aspectos legales de los sistemas y de la información

-Evaluación administrativa del área de informática, comprende la evaluación de:

 Los objetivos del departamento, dirección o gerencia.
 Metas, planes, políticas y procedimientos de procesos electrónicos estándares
 Organización del área y su estructura orgánica
 Funciones y niveles de autoridad y responsabilidad de área de procesos
electrónicos
 Integración de los recursos materiales y técnicos
 Dirección, Costos y controles presupuestales
 Controles administrativos del área de procesos electrónicos.

Se recopila la información para obtener una visión general del departamento por medio de
observaciones preliminares y solicitud de documentos para poder definir el objetivo y el
alcance del departamento. La eficiencia en el departamento de informática solo se puede
lograr si sus objetivos están integrados con los de la institución y si permanentemente se
adapta a los posibles cambios de éstos. Esta adaptación únicamente puede ser posible si
los altos ejecutivos y los usuarios de los sistemas toman parte activa en las decisiones
referentes a la dirección y utilización de los sistemas de información, y si el responsable
de dicho sistema constantemente consulta y pide asesoría y cooperación a los ejecutivos

Auditoría Informática o de Sistemas. -16-

 Compendio General de Auditoría Informática

y usuarios. El exito de la dirección de informática dentro de una organización depende

finalmente de que todas las personas responsables adoptan una actitud positiva respecto
a su trabajo y evaluen constantemente la eficiencia en su propio trabajo, así como el
desarrollado en su area, estableciendo metas y estándares que incrementen su
productividad. Esencialmente, la meta principal de los administradores de la dirección de
informática es la misma que inspira cualquier departamento de servicio, combinar un
servicio adecuado con una operación económica.

-Evaluación de los sistemas y procedimientos, y de la eficiencia y eficacia que se

tienen en el uso de la información, lo cual comprende:
 Evaluación del análisis de los sistemas y sus diferentes etapas
 Evaluación del diseño lógico del sistema
 Evaluación del desarrollo físico del sistema
 Facilidades para la elaboración de los sistemas
 Control de proyectos
 Control de sistemas y programación
 Formas de implantación

Existen diversas formas por medio de las cuales las organizaciones pueden contar con el
software necesario para cumplir con sus requerimientos; entre ellas se encuentran:
Elaborado por el usuario o bien un software comercial: El que el usuario elabore un
determinado software tiene las siguientes ventajas; normalmente es desarrollado para
cubrir todas las necesidades del usuario, puede ser modificado de acuerdo a las
necesidades de la organización, contiene sistemas de seguridad propios. Aunque tiene
estas desventajas, es mas costoso, su tiempo de implementación es mas largo, su
mantenimiento y actualización, normalmente no se hacen sobre una base periódica.
Software compartido o regalado. Normalmente se trata de un software sencillo elaborado
para computadoras personales que puede ser conseguido a bajo costo via Internet. El
peligro de este tipo de software es que puede no cumplir con todas las necesidades,
además de que se debe tener cuidado con los programas piratas o virus.
Auditoría Informática o de Sistemas. -17-
 Compendio General de Auditoría Informática

-Seguridad física y lógica de los sistemas

 Controles de mantenimiento y forma de respaldo de los sistemas
 Utilización de los sistemas
 Prevención de factores que puedan causar contingencias, seguros y recuperación
en caso de desastre
 Productividad
 Derechos de autor y secretos industriales
-Evaluación del proceso de datos y de los equipos de cómputo que comprende:
 Controles de los datos fuente y manejo de cifras de control
 Control de operación
 Control de salida
 Control de asignación de trabajo
 Control de medios de almacenamiento masivos
 Control de otros elementos de cómputo
 Control de medios de comunicación
 Orden en el centro de cómputo
Los datos son uno de los recuros mas valiosos de las organizaciones y aunque son
intangibles, necesitan ser controlados y auditados con el mismo cuidado que los demás
inventarios de la organización, por lo cual se debe tener presente:
La responsabilidad de los datos es compartida conjuntamente por alguna función
determinada de la organización y la dirección de informática.
Un problema que se debe considerar es el que se origina por la duplicidad de los datos, el
cual consiste en poder determinar los propietarios o usuarios posibles y la responsabilidad
de su actualización y consistencia.
Los datos deberán tener una clasificación estándar y un mecanismo de indentificación que
permita detectar duplicidad y redundancia dentro de una aplicación y de todas las
aplicaciones en general.
Se deben relacionar los elementos de los datos con las bases de datos donde están
almacenados, así como los reportes y grupos de procesos donde son generados. En todo

Auditoría Informática o de Sistemas. -18-

 Compendio General de Auditoría Informática

centro de informática se debe contar con una serie de políticas que permitan la mejor
operación de los sistemas.

-Seguridad física y lógica:

 Confidencialidad
 Respaldos
 Seguridad del personal
 Seguros
 Seguridad en la utilización de los equipos
 Plan de contingencia y procedimiento de respaldo para casos de desastre
 Restauración de equipo y de sistemas.

Las computadoras son un instrumento que estructura gran cantidad de información, la

cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal
utilizada o divulgada. También pueden ocurrir robos, fraudes o sabotajes que provoquen
la destrucción total o parcial de la actividad computacional.Esta información puede ser de
suma importancia, y no tenerla en el momento preciso puede provocar retrasos
sumamente costosos.

Se pueden establecer tres grupos de funciones a realizar por un auditor informático.

 Participar en las revisiones durante y después del diseño, realización, implantación
y explotación de aplicaciones informaticas, así como en las fases análogas de
realización de cambios importantes.
 Revisar y juzgar los controles implantados en los sistemas informaticos para
verificar su adecuación a las ordenes e instrucciones de la dirección, requisitos
legales, protección de la confidencialidad y cobertura ante errores y fraudes
 Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e
información

Auditoría Informática o de Sistemas. -19-

 Compendio General de Auditoría Informática

Clasificación
La clasificación de las auditorías especializadas de los sistemas computacionales, las
cuales se aplican para las diferentes áreas y disciplinas de este ambiente informático, se
encuentran definidas de la siguiente manera:
Auditoría con la computadora: Es la auditoría que se realiza con el apoyo de los
equipos de cómputo y sus programas para evaluar cualquier tipo de actividades y
operaciones, no necesariamente computarizadas, pero sí susceptibles de ser
automatizadas; dicha auditoría se realiza también a las actividades del propio centro de
sistemas y a sus componentes. La principal característica de este tipo de auditoría es que,
sea un caso o en otro, o en ambos, se aprovecha la computadora y sus programas para la
evaluación de las actividades a revisar, de acuerdo con las necesidades concretas del
auditor, utilizando en cada caso las herramientas especiales del sistema y las
tradicionales de la propia auditoría.
Auditoria sin la computadora: Se busca evaluar a los sistemas desde una óptica
tradicional, contando con el apoyo de las técnicas y procedimientos de evaluación
acostumbrados y sin el uso de los sistemas computacionales, aunque estos sean los que
se evalúen. Es la auditoría cuyos métodos, técnicas y procedimientos están orientados
únicamente a la evaluación tradicional del comportamiento y validez de las transacciones
económicas, administrativas y operacionales de un área de cómputo, y en sí de todos los
aspectos que afectan a las actividades en las que se utilizan sistemas informáticas, pero
dicha evaluación se realiza sin el uso de los sistemas computaciones. Es también la
evaluación tanto a la estructura de organización, funciones y actividades de funcionarios y
personal de un centro de cómputo, así como a los perfiles de sus puestos, como de los
reportes, informes y bitácoras de los sistemas, de la existencia y aplicación de planes,
programas y presupuestos en dicho centro, así como del uso y aprovechamiento de los
recursos informáticos para la realización de actividades, operaciones y tareas. Asimismo,
es la evaluación de los sistemas de seguridad y prevención de contingencias, de la
adquisición y uso del hardware, software y personal informático, y en sí de todo lo
relacionado con el centro de cómputo, pero sin el uso directo de los sistemas
computacionales.
Auditoría Informática o de Sistemas. -20-
 Compendio General de Auditoría Informática

Auditoría de la Gestión informática: Es por lo general de carácter administrativo y

operacional, con su realización se busca evaluar la actividad administrativa de los centros
de cómputo, con todo lo que conlleva esta gestión. Se enfoca exclusivamente a la revisión
de las funciones y actividades de tipo administrativo que se realizan dentro de un centro
de cómputo, tales como la planeación, organización, dirección y control de dicho centro.
Esta auditoría se realiza también con el fin de verificar el cumplimiento de las funciones y
actividades asignadas a los funcionarios, empleados y usuarios de las áreas de
sistematización, así como para revisar y evaluar las operaciones del sistema, el uso y
proteccion de los sistemas de procesamiento, los programas y la información. Se aplica
también para verificar el correcto desarrollo, instalación, mantenimiento y explotación de
los sistemas de cómputo, así como sus equipos e instalaciones. Todo esto se lleva a cabo
con el propósito de dictaminar sobre la adecuada gestión administrativa de los sistemas
computacionales de una empresa y del propio centro informático.
Auditoría al Sistema de Cómputo: Esta auditoría es mas especializada y concreta, y
está enfocada hacia la actividad y operación de sistemas computacionales, con mucho
mas de evaluación técnica y especializada de éstos y de todo lo relacionado con esta
especialidad. Es la auditoría técnica y especializada que se enfoca únicamente a la
evaluación del funcionamiento y uso correctos del equipo de cómputo, su hardware,
software y periféricos asociados. Esta auditoría también se realiza a la composición y
arquitectura de las partes físicas y demás componentes del hardware, incluyendo equipos
asociados, instalaciones y comunicaciones internas o externas, así como al diseño,
desarrollo y uso del software de operación de apoyo y de aplicación, ya sean sistemas
operativos, lenguajes de procesamiento y programas de desarrollo, o paquetería de
aplicación institucional que se utiliza en la empresa donde se encuentra el equipo de
cómputo que será evaluado. Se incluye también la operación del sistema.
Auditoría informática de Explotación: Es la revisión específica que se realiza a todo lo
que está alrededor de un equipo de cómputo, como son sus sistemas, actividades y
funcionamiento, haciendo una evaluación de sus métodos y procedimientos de acceso y
procesamiento de datos, la emisión y almacenamiento de resultados, las actividades de
planeación y presupuesto del propio centro de cómputo, los aspectos operacionales y

Auditoría Informática o de Sistemas. -21-

 Compendio General de Auditoría Informática

financieros, la gestión administrativa de accesos al sistema, la atención a los usuarios y el

desarrollo de nuevos sistemas, las comunicaciones internas y externas, y, en si a todos
aquellos aspectos que contribuyen al buen funcionamiento de un area de sistematización.
Auditoría sobre la Seguridad de sistemas computacionales: Hablar de seguridad es
un aspecto muy importante en los sistemas computacionales. Es la revisión exhaustiva,
técnica y especializada que se realiza a todo lo relacionado con la seguridad de un
sistema de cómputo, sus areas y personal, así como las actividades, funciones y acciones
preventivas y correctivas que contribuyan a salvaguardar la seguridad de los equipos
computacionales, las bases de datos, redes, instalaciones y usuarios del sistema. Es
también la revisión de los planes de contingencia y medidas de protección para la
información, los usuarios y los propios sistemas computacionales, y en sñi para todos
aquellos aspectos que contribuyen a la protección y salvaguarda en el buen
funcionamiento del area de sistematización, sistemas de redes o computadoras
personales, incluyendo la prevención y erradicación de los virus informáticos.
Auditoría Informática de Comunicaciones y Redes: Es la revisión exhaustiva,
específica y especializada que se realiza a los sistemas de redes de una empresa,
considerando en la evaluación los tipos de redes, arquitectura, topología, sus protocolos
de comunicación, las conexiones, accesos, privilegios, administración y demás aspectos
que repercuten en su instalación, administración, funcionamiento y aprovechamiento. Es
también la revisión del software institucional, de los recursos informáticos e información
de las operaciones, actividades y funciones que permiten compartir las bases de datos,
instalaciones, software, y hardware de un sistema de red.
Auditoría integral a los centros de cómputos: Se trata de agrupar a todos los tipos de
auditoría que se analizan en estas conceptualizaciones, buscando concentrar todas las
evaluaciones bajo una misma auditoría con un enfoque global del área de sistemas,
según su tipo y tamaño, una revisión sistemática y global que se realiza por medio de un
equipo multidisciplinario de auditores, de todas las actividades y operaciones de un centro
de sistematización, a fin de evaluar, en forma integral, el uso adecuado de sus sistemas
de cómputo, equipos periféricos y de apoyo para el procesamiento de información de la
empresa, asi como de la red de servicios de una empresa y el desarrollo correcto de las

Auditoría Informática o de Sistemas. -22-

 Compendio General de Auditoría Informática

funciones de sus áreas. Es también la revisión de la administración del sistema, del

manejo y control de los sistemas operativos, lenguajes, programas y paqueterías de
aplicación, así como de la administración y control de proyectos, la adquisición del
hardware y software institucionales, de la adecuada integración y uso de sus recursos
informáticos y de la existencia y cumplimiento de las normas políticas, estándares y
procedimientos que regulan la actuación del sistema, del personal y usuarios del centro
de cómputo. Todo esto hecha de manera global por medio de un equipo multidisciplinario
de auditores.
Auditoría ISO-9000 a los sistemas computacionales: En esta revisiónque realizan
únicamente los auditores especializados y certificados en las normas y procedimientos
ISO-9000, aplicando exclusivamente los lineamientos, procedimientos e instrumentos
establecidos por esta asociación. El propósito fundamental de esta revisión es evaluar,
dictaminar y certificar que la calidad de los sistemas computacionales de una empresa se
apegue a los requerimientos del ISO-9000.
Auditoría outsorcing: Revisión siempre exhaustiva, sistemática y especializada que se
realiza para evaluar la calidad en el servicio de asesoría o procesamiento externo de
información que proporciona una empresa a otra. Esto se lleva a cabo con el fin de revisar
la confiabilidad, oportunidad, suficiencia y asesoría por parte de los prestadores de
servicios de procesamiento de datos, así como el cumplimiento de las funciones y
actividades que tienen encomendados los prestadores de servicios, usuarios y el personal
en general. Dicha revisión se realiza también en los equipos y sistemas.
Auditoria ergonómica de sistemas computacionales: Es la revisión que se realiza para
e valuar la calidad, eficiencia y utilidad del entorno hombre-máquina-medio ambiente que
rodea al uso de sistemas computacionales en una empresa. Esta revisión se realiza
también con el propósito de evaluar la correcta adquisición y uso del mobiliario, equipo y
sistemas, a fin de proporcionar el bienestar, confort y comodidad que requieren los
usuarios de los sistemas de cómputo de la empresa, así como evaluar la detección de los
posibles problemas y sus repercusiones, y la determinación de las soluciones
relacionadas con la salud física y bienestar de los usuarios de los sistemas de la empresa.
Auditoría Informática de Desarrollo de Proyectos: Tratará de verificar la existencia y

Auditoría Informática o de Sistemas. -23-

 Compendio General de Auditoría Informática

aplicación de procedimientos de control adecuados que permitan garantizar que el

desarrollo de los proyectos se han llevado según principios adecuados, o por el contrario,
determinar las deficiencias existentes en este sentido. Es necesario en primer lugar acotar
las funciones o tareas que son responsabilidades del area y luego la evaluación de
riesgos partiendo de los mismos a los que se encuentra sometida una actividad.La
auditoría de cada proyecto tendrá un plan distinto dependiendo de los riesgos, la
complejidad del mismo y los recursos disponibles para realizar la auditoría.

Ubicación típica de la Auditoría de Sistemas

De acuerdo con la estructura de organización, el tamaño de la empresa, las políticas y
estilos de dirección de cada institución, la ubicación ideal de las áreas de auditoría
interna, en este caso informática, tiene que ser a nivel de staff o asesoría, dependiendo y
reportando directamente a los niveles de mayor jerarquía en la empresa, con
subordinación de la dirección general o de una sola de las áreas de alta dirección. Se
recomienda que el área de supeditación sea la administrativa, de contraloría o alguna
similar en sus funciones. Sin embargo, nada impide que se pueda depender de cualquier
otra área, siempre que sea del ámbito de Alta Dirección.
El auditor de sistemas debe trabajar con el gerente de sistemas, con el gerente
administrativo y con el auditor interno general, para conocer las áreas sobre las cuales va
a desarrollar sus funciones y hacer que sus sugerencias lleguen a feliz término en un
periodo de tiempo más corto.
El area de auditoría de sistemas no debe depender del responsable de informática ni de
ninguna de sus areas, y tampoco del administrador de seguridad.
La organización tipo del area de auditoría de sistemas, debe contemplar los siguientes
principios:
 Su localización puede estar ligada a la localización de la auditoría interna operativa
y financiera, pero con independencia de objetivos, de planes de formación y de
presupuestos.

Auditoría Informática o de Sistemas. -24-

 Compendio General de Auditoría Informática

 La organización operativa debe ser la de un grupo independiente del de auditoría

interna, con una accesibilidad total a los sistemas de información
 La dependencia en todo caso debe ser del máximo responsable operativo de la
organización, nunca del departamento de organización o del de sistemas, ni del
departamento financiero/administrativo.
 La gestión de la función, en la medida de que exista la experiencia, debe ser
llevada a cabo por personal que haya o esté trabajando en auditoría informática.
Debe disponer de su propio estatuto donde se indique su dependencia, sus
atribuciones y sus funciones o deberes.
 Los recursos humanos con los que debe contar el departamento debe contemplar
una mezcla equilibrada entre personas con formación en auditoría y organización y
personas con perfil informático. No obstante, este perfil genérico debe ser tratado
con un amplio programa de formación en donde se especifiquen no sólo los
objetivos de la función, sino también de la persona.

Auditoría Informática o de Sistemas. -25-

 Compendio General de Auditoría Informática

Definición del alcance y ámbito de la Auditoría Informática

El auditor informático debe proceder a definir el ambiente de control que facilite identificar
de manera ordenada los controles a evaluar. La metodología de desarrollo de una
auditoría informática propone dos ambientes de control:
 El ambiente de control específico, que evalúa todas aquellas normas,
procedimientos, acciones y utilización de recursos empleados en el procesamiento
electrónico de los datos, o sea, todo lo concerniente a lo que ocurre al interior de
los equipos de cómputo.
 El ambiente de control general, que evalúa todas aquellas normas, procedimientos,
acciones y utilización de recursos empleados para soportar el desarrollo y
producción de los sistemas de información, o sea todo lo concerniente a lo que
ocurre alrededor de los equipos de cómputo.
Por la naturaleza tan compleja que reviste realizar una auditoría informática, es obligación
del auditor saber con certeza sobre qué aspecto, área, o situación se va a evaluar, cuanto
se va a profundizar y cuáles deben ser los pasos necesarios a seguir para la solución.

Perfil del Auditor de Sistemas

Para poder desempeñar adecuadamente la función de auditoría de sistemas, el auditor
debe ser un profesional integro, poseedor de excelentes capacidades académicas, eticas
y morales, tener conocimiento suficiente y experiencia en aspectos informáticos a nivel de
hardware, software, comunicaciones, en análisis, diseño, puesta en marcha y
mantenimiento de sistemas de información.
Esta formación es necesaria y así lo contempla la normativa vigente para la realización de
dicha actividad. Por supuesto, los aspectos técnicos son los que ofrecen un mayor campo
de actuación; desde el comienzo con el computador y sus periféricos, los convenios
utilizados para la codificación de datos, los procedimientos de captura de estos, la
explotación, la programación, las comunicaciones, la seguridad física, lógica y la calidad.
El auditor, en el desarrollo de su trabajo, ha de obtener evidencia de los hechos, criterios y
elementos que se encuentra evaluando, con la finalidad de formarse una opinión.
Debe poseer también la habilidad para comunicarse efectivamente y dar un trato
Auditoría Informática o de Sistemas. -26-
 Compendio General de Auditoría Informática

adecuado a las personas. Los auditores internos deben tener habilidad para comunicarse
tanto de manera oral como escrita, de tal manera que puedan transmitir clara y
efectivamente los temas tratados. Debe ser un generalista, porque tiene que ser
consciente de que los sistemas de información son un punto clave en una organización.

Formación ideal del Auditor

Informático.
Motivada por lo especializado de las
actividades de cómputo, así como por el
espectacular avance que han tenido estos
sistemas en los últimos años, ha surgido
una nueva necesidad de evaluación para
los auditores, quienes requieren una
especialización cada vez más profunda en
sistemas computacionales para dedicarse a
ese tipo de tareas o trabajo. Por ello nació
la necesidad de evaluar no sólo los sistemas, sino también la información, sus
componentes y todo lo que está relacionado con dichos sistemas.
En el trabajo del auditor, se rige con normativas relacionadas con la capacitación,
adiestramiento y profesionalización, debido a que con su adopción se pretende regular los
conocimientos, habilidades y requerimientos técnicos de los profesionales que actúan en
esta disciplina especializada. Estas normas comprenden dos aspectos, en lo referente a
la capacitación adecuada a las necesidades de auditoría, y a la capacitación permanente
del profesional dedicado a esta actividad. También se discute o se debate sobre la
conveniencia de que el auditor informático para de una formación propiamente
informática, mientras otro sector sostiene que su formación fundamental debe
corresponder a la de la auditoría. En la evaluación de las actividades a las que debe
dedicarse, se ha comprobado que gran cantidad de ellas corresponden a la evaluación de
actividades que no necesariamente se ejecutan dentro del computador, y que
fundamentalmente su responsabilidad consiste en la verificación de que la administración
Auditoría Informática o de Sistemas. -27-
 Compendio General de Auditoría Informática

ha definido la cantidad suficiente de controles sobre cada una de las areas de actividad
del departamento informático. Asi mismo el auditor debe evaluar gran cantidad de
actividades que se refieren a la administración de los activos dispuestos para la ejecución
de las actividades informáticas, la inspección de la administración del recurso humano, de
su segregación y del control que exista sobre el. Se pretende, entre otros objetivos, que el
auditor participe activamente como miembro de un comité informático en el que, desde su
función fiscalizadora y sin interferir con la administración , realice su aporte técnico y que
evalúe los procesos de adquisiciones de todo tipo de recursos informáticos. Se procura
que el auditor esté pendiente de la administración de los suministros, la elección
apropiada que se haga de ellos, su control y buen uso. Como parte de su formación, el
auditor debe haber sido capacitado en las actividades que deben ejecutarse para alcanzar
los productos de las actividades de administración y producción de las empresas, de
manera que entienda de contabilidad, administración de inventarios y almacenes,
procesos de facturación, controles de producción, control de costos y cualquier otro
concepto que pudiera serle de necesidad para comprender la operación de un sistema de
aplicación al que pudiera verse enfrentado en algún momento. El auditor en sí es
responsable de continuar su desarrollo profesional para poder mantener su pericia
profesional. Deberá mantenerse informado acerca de las mejoras y desarrollos recientes.

Conocimientos o habilidades del Auditor Informático

Como evaluador, el auditor informático debe ser capaz de distinguir entre los procesos de
evaluación de sistemas y las aproximaciones que son apropiadas para encauzar los
propósitos específicos de evaluación relevante para el área de trabajo. En este sentido el
auditor debe tener los conocimientos de los pasos requeridos para aplicar una evaluación
particular en el contexto de la tecnología de la información, y la adecuación y efectividad
del sistema de control interno de la organización y la calidad en el cumplimiento de las
responsabilidades asignadas.
Existen ciertas habilidades y conocimientos fundamentales que deben ser consideradas
como las mínimas que todo auditor de informática debe tener o poseer:
 Habilidades para manejar paquetes de procesadores de texto
Auditoría Informática o de Sistemas. -28-
 Compendio General de Auditoría Informática

 Habilidades para manejo de hojas de cálculo

 Habilidades para el uso de E-mail y conocimientos de internet
 Habilidad para manejo y administración de bases de datos
 Habilidades para el uso de al menos un paquete básico de contabilidad
 Conocimiento de Comercio Electrónico
 Encriptación de Datos
 Redes Locales y Telecomunicaciones
 Seguridad Física, Seguridad de los sistemas y la continuidad empresarial a traves
de planes de contingencia de la información.
 Sistemas Operativos
 Análisis de Riesgos en un entorno informático o computacional
 Se requiere la pericia en la aplicación de las normas, procedimientos y técnicas de
auditoría para el desarrollo de las revisiones sobre Gestión de Proyectos, del
Departamento de Sistemas y cambios en entornos informáticos.
Se entiende por pericia la habilidad para aplicar los conocimientos que se poseen a las
situaciones que posiblemente se encuentren, ocupándose de ellas sin tener que recurrir
en exceso en ayudas o investigaciones técnicas. Aplicar amplios conocimientos a
situaciones que posiblemente se vayan encontrando, reconocer las desviaciones
significativas y poder llevar a cabo las investigaciones necesarias para alcanzar
soluciones razonables.

Responsabilidades de la Auditoría Informática

Referirse a las responsabilidades de la auditoría informática implica necesariamente
contextualizar dicha naturaleza con respecto al origen de la función de la auditoría en el
ámbito financiero y contable. En el sentido de la auditoría informática en si, ello significa
que la auditoría es el examen general de la función informática de una organización o
ambiente de control general relativo a los datos, procesos y funciones, personas, puestos
de trabajo, equipos de cómputo, herramientas de tecnología de información y prácticas de
hacer negocios. La declaración de normas de Contabilidad (SAS) Nº 3 “Revisión

Auditoría Informática o de Sistemas. -29-

 Compendio General de Auditoría Informática

preliminar de los controles contables de un centro de procesamiento de datos por parte

del auditor”, establece que es responsabilidad del auditor determinar si los sistemas de
contabilidad del cliente están informatizados, considerar las implicaciones que esto tiene
sobre los controles internos, comprender las aplicaciones del ordenador y evaluar sus
características individuales. Se infiere entonces que la auditoría informática se estructura
alrededor de un sinnúmero de responsabilidades disímiles, unas de carácter general y
otra de carácter específico que deben ser agotadas sistémica y proporcionalmente en su
justa dimensión dependiendo del alcance de la auditoría. El auditor informático no debe
desarrollar su actividad como una mera función policial dando la impresión a los usuarios
informáticos y al resto de empleados de que se encuentran permanentemente vigilados.
El auditor debe esforzarse más en dar una imagen de colaborador que intenta ayudar que
en la de fiscalizador o caza-infractores. Para ello es necesario que en las normas y
procedimientos emitidos por la Dirección figuren las funciones y responsabilidades de los
auditores y que ambas sean distribuidas y conocidas por todos en la empresa.

Auditoría Informática o de Sistemas. -30-