Este documento presenta información sobre auditoría de tecnologías de la información para el sector público. Explica que la auditoría evalúa la efectividad de los controles, la confiabilidad de la información y la eficiencia de los procesos de sistemas. También describe los objetivos de la auditoría como verificar el cumplimiento de políticas, la seguridad de recursos y datos, y la contribución de la tecnología al cumplimiento de metas institucionales. Finalmente, identifica algunos motivos comunes para realizar una auditoría como falta de segur

1. 1
Auditoría de
Tecnologías de la
Información: Enfoque
Gubernamental
Ing. Jesús León Lamas
lamas@contraloria.gob.pe

2. 2

3. 3
TEMARIO
1. Marco Conceptual. Objetivos. La planificación de la auditoría.
Objetivos y Actividades de Auditoría.
2. La Labor del auditor. Aspectos operativos y gerenciales. Marco
general de la auditoría en Tecnologías de la Información. Trabajo en
equipo.
3. Enfoque sistémico; Auditoría departamental y/o gerencial. Criterios a
usar. Requerimientos mínimos y máximos; Diferencias. Software de
auditoría.
4. Planes Estratégicos (PE), Planes Estratégicos de Sistemas de
Información (PESI) y Planes Operativos (PO). Alineamiento entre
ellos.
5. La investigación y recopilación de la información. Información
estructurada y no estructurada. La búsqueda de antecedentes.
Herramientas.
6. Técnicas y herramientas a usar para el trabajo de campo.
Comunicación de hallazgos u observaciones. Papeles de trabajo.
7. Auditoría al Hardware, Software y recurso humano.
8. Normas Técnicas de Control Gubernamental. Un enfoque para su uso
adecuado.
9. El informe final. Estructura y desarrollo.

4. 4
SISTEMA DE INFORMACIÓN (Andreu, Ricart y Valor, 1991):
Conjunto integrado de procesos, principalmente formales,
desarrollados en un entorno usuario-ordenador
(recomendable a fin de aprovechar su potencial), que
operan sobre un conjunto de datos estructurados (bdatos)
de una organización. Recopilan, procesan y distribuyen
selectivamente la información necesaria. para la
operatividad habitual de la organización y las actividades
propias de la dirección de la misma.
LAS DECISIONES EN LA EMPRESA Y LOS SISTEMAS DE
INFORMACIÓN

5. 5
Características de un Sistema de Información:
 PRECISIÓN: Información sin errores.
 OPORTUNIDAD: Información cuando se necesita.
 CAPACIDAD DE PROCESO: Información completa.
 CONCISIÓN: Resúmenes.
 RELEVANCIA: Establecer niveles y prioridades.
 DISPONIBILIDAD: Evolución y flexibilidad del
sistema.
 SEGURIDAD.
LAS DECISIONES EN LA EMPRESA Y LOS SISTEMAS DE
INFORMACIÓN

6. 6
Elementos del Sistema de Información (Isidro de Pablo, 1989):
LA INFORMACIÓN, LOS USUARIOS Y LOS EQUIPOS (vehículos,
procesadores, difusores y almacenes).
TIPOS DE INFORMACIÓN:
 DIRECCIÓN GENERAL PLANIFICACIÓN ESTRATÉGICA
 DIRECCIÓN FUNCIONAL CONTROL DE GESTIÓN
 DIRECCIÓN OPERATIVA CONTROL OPERATIVO
 EL SISTEMA DE INFORMACIÓN Y EL RESTO DE SUBSISTEMAS
FUNCIONALES.
 LA CADENA DE VALOR DE LA EMPRESA.
 EL DESARROLLO DE LAS TI Y LA CONSECUCIÓN DE DISTINTOS
OBJETIVOS DIFERENCIAN DISTINTOS SISTEMAS DE
INFORMACIÓN.
LAS DECISIONES EN LA EMPRESA Y LOS SISTEMAS DE
INFORMACIÓN

7. 7
LA INFORMACIÓN EN LA EMPRESA
El Sistema de Información Organizacional
Alta
dirección
Dirección
Trabajadores del
conocimiento
Trabajadores de los datos
Información estratégica
Información táctica
Información del
conocimiento
Determinación de objetivos
Supervisión, coordinación y control
Diseño del producto/servicio
Administración de la información
Producción Finanzas Marketing Personal
Trabajadores
MEDIOS
-Hadware
-Software
-Telecomunicaciones
CONOCIMIENTOS DE TI
KNOW-HOW:
TALENTO, HABILIDADES Y
CREATIVIDAD CON LAS TI

8. 8
SISTEMA DE INFORMACIÓN GERENCIAL:
 TRATAN DE INTEGRAR EN UN ÚNICO SISTEMA TODOS
LOS SUBSISTEMAS ANTERIORES.
 TRATAN DE GENERAR INFORMACIÓN ÚTIL PARA LOS
DISTINTOS NIVELES DE GESTIÓN (FUNCIONAL Y
JERÁRQUICO).
LAS DECISIONES EN LA EMPRESA Y LOS SISTEMAS DE
INFORMACIÓN

9. 9
La palabra auditoría viene del latín “auditorius” y de esta
proviene la palabra “auditor”, que tiene la virtud de oir y
revisar cuentas.
Auditoría de las Tecnologías de la Información
Examen objetivo, crítico, sistemático, eminentemente
posterior y selectivo de las políticas, normas, prácticas,
procedimientos y procesos con el fin de emitir una
opinión respecto a la eficiencia en la utilización de los
recursos informáticos; la confiabilidad, consistencia,
integridad y oportunidad de la información y la
efectividad de los controles en los sistemas de
información computarizados.

10. 10
¿Qué es la Auditoría de Tecnologías de la Información?
1) Verificación de controles. Evaluar su efectividad y
presentar recomendaciones a la Gerencia.
2) Verificar y juzgar la información.
3) Evaluación de los procesos del Area de Sistemas (grado de
eficiencia, efectividad y economía de los sistemas).
4) Proceso de recolección y evaluación de evidencia:
a. Daños internos y/o externos.
b. Salvaguardar activos de la Destrucción.
c. Uso no autorizado de recursos (Información y equipos).
d. Robo de información.
e. Mantener integridad de la Información (Precisión de
los datos).

11. 11
¿Qué es la Auditoría de Tecnologías de la Información?
(Continuación)
1) Proceso de recolección y evaluación de evidencia
(Continuación):
a. Oportunidad de los datos.
b. Confiabilidad de la información.
c. Contribución de la función informática a las metas
organizac.
d. Uso de recursos eficientemente en el procesamiento
de la información.
• Examen de carácter objetivo (independiente), crítico
(evidencia), sistemático (normas), selectivo (muestras) de
las políticas, normas, prácticas, funciones, procesos,
procedimientos e informes relacionados con los sistemas
de información computarizados.

12. 12
Objetivos de la Auditoría de las Tecnologías de la
Información
El propósito del trabajo de auditoría está enmarcado en uno
o más de los siguientes puntos:
• Cumplimiento de políticas, normas y procedimientos de
orden gubernamental e institucional (adquisición,
contratación e instalación de servicios para el desarrollo de
la función informática). 1,2,6 y 7
• Comprobar el adecuado uso y resguardo de los recursos
informáticos de la entidad. 8
• Verificar que se efectúa el mantenimiento preventivo y
correctivo de los recursos informáticos, para obtener la
confiabilidad e integridad de los sistemas.
• Grado de confiabilidad y privacidad del ambiente
informático.

13. 13
Objetivos de la Auditoría de las Tecnologías de la
Información (Continuación)
• Garantizar la seguridad (personas, datos, programas y los
equipos).
• Verificar controles de seguridad física y ambiental.
• Evaluar controles establecidos para administrar la
infraestructura tecnológica (servidores de datos, aplicaciones,
comunicaciones, terminales, impresoras, etc.). 3, 4, 5
• Sistemas de información correspondan a los objetivos y
requerimientos de la entidad. 3

14. 14
Motivos para efectuar una Auditoría de Tecnologías de la
Información
Entre los principales justificativos o motivos de una auditoría
encontramos:
1) Aumento del presupuesto del Departamento de procesamiento
de datos.
2) Desconocimiento de la situación informática de la empresa.
3) Falta total o parcial de seguridades lógicas y físicas que
garanticen la integridad del personal , equipos e información.
4) Descubrimientos de fraudes efectuados con el uso del
computador.
5) Falta de una planificación informática. Falta de visión.
6) Organización que no funciona correctamente, debido a falta de
políticas, objetivos, normas, metodología, estándares,
delegación de autoridad, asignación de tareas y adecuada
administración del recurso humano.
7) Descontento general de los usuarios, motivado generalmente,
por incumplimiento de plazos y mala calidad de resultados.
8) Falta de documentación o documentación incompleta de
sistemas.

15. 15
Alcance de la Auditoría
1.- Evaluar los controles de entrada, procesamiento y salida
a) Compatibilidad, exactitud, rangos específicos, verificación
de seguridad para el acceso a terminales, programas,
archivos, datos e información confidencial.
b) Totalidad de los datos sean procesados.
c) Los datos procesados estén debidamente autorizados.
d) Adecuada distribución de las salidas otorgadas por el
sistema.
2.- Definir los controles que deben implantarse
Garantizar la integridad y confidencialidad de la información:
a) Controles sobre el acceso del usuario.
b) Controles de claves de acceso.
c) Controles de datos ingresados.
d) Controles de transacciones mal efectuadas, entre otros.
3.- Establecer Recomendaciones a la Gerencia.
Informe (propuesta de mejoras).
¿Eso es todo?

16. 16
Entre los problemas más comunes en los aplicativos
tenemos:
1) Falta de estándares en el desarrollo, análisis y la
programación.
2) Inadecuadas especificaciones técnicas.
3) Diseño deficiente.
4) Problemas en la conversión e implementación.
5) Control débil en las fases de elaboración del sistema
sobre el sistema en sí.
6) Inexperiencia en el análisis y la programación.
7) Nueva tecnología no usada o usada incorrectamente.
Verificaciones necesarias para que los sistemas y programas
sean probados exhaustivamente para asegurar su consistencia
con las especificaciones originales, no exista descontento de
los usuarios y se realicen las transacciones correctamente.

17. 17
Una empresa puede solicitar el análisis de los siguientes puntos:
A. Mejorar las seguridades lógicas del Sistema
i. Establecimiento de seguridades lógicas a los sistemas.
ii. Garantizar el acceso al computador sólo de personas
autorizadas al mismo.
iii. Seguridad de los sistemas a fin de contar con información
relevante en el momento preciso .
B. Asegurar una mayor confidencialidad de la información
i. Información con caracteres reservados y exclusivos a los
funcionarios autorizados.
ii. Acceso de datos e información sólo a personal autorizado.
iii. Transacciones realizadas por un usuario queden
registradas.
C. Mejorar el funcionamiento del Sistema
i. Los programas deben ser probados con datos de prueba.
ii. Los sistemas deben ser desarrollados dentro de un
proceso adecuadamente planificado.
iii. Entrenamiento y elaboración de manuales respectivos, que
garanticen el buen uso del sistema.

18. 18
D. Incrementar la satisfacción de los usuarios
i. Falta de entendimiento y coordinación de necesidades y
el divorcio marcado de los elementos que intervienen,
entre los que brindan y reciben el servicio.
ii. Resultados de un Sistema no están acorde con las
necesidades del usuario.
iii. El usuario prefiere no usar el sistema debido a los
continuos inconvenientes que éste le genera.
iv. Es importante tener en cuenta que los sistemas
razonablemente concebidos, correctamente probados y
eficazmente controlados pueden desgastarse y
convertirse en otro sistema o programa remendado,
irracional, ineficiente e incontrolado que originará
malestar en los usuarios finales.
v. Es importante analizar los sistemas, encontrar las
falencias y mejorarlas para incrementar la satisfacción
de los sistemas.

19. 19
Perfil del Auditor de Tecnologías de la Información
Los cambios permanentes en la tecnología informática obligan a
que el auditor de sistemas se mantenga al día, capacitándose en
aspectos tales como bases de datos, sistemas abiertos,
sistemas distribuidos y comunicaciones.
Además de los conocimientos tecnológicos, debe tener una
despierta curiosidad intelectual, una mentalidad investigativa y
conservar un alto espíritu de imparcialidad.

20. 20
Áreas de Interés del Auditor de Tecnologías de la Información
Si se tiene en cuenta que el objetivo básico que se busca con la
adquisición y utilización del computador es el de entregar
información confiable, útil y oportuna, el ámbito del auditor debe
abarcar áreas donde hace presencia el computador y aquéllas que
puedan afectar el cumplimiento de dicho objetivo, tales como:
• La Gerencia de Sistemas.
• La organización y el personal.
• El área del computador.
• Las aplicaciones.
• Los estándares de documentación y desarrollo.
• La operación del computador.
• La gerencia financiera.
• Los planes de desarrollo informático.
• Los controles y la seguridad en general.
• Los archivos maestros y de transacciones.
• La Red de Comunicaciones y de Datos.
• La Internet / Intranet.
• Los microcomputadores.
• La Transferencia Electrónica de Documentos.
• Otros.

21. 21
ADMINISTRACIÓN DE LA FUNCIÓN TECNICA: Una propuesta
La Oficina de Sistema, efectúa la Coordinación y Supervisión Técnica
de los profesionales asignados para el desarrollo de esta actividad,
así como también, la revisión del informe final.

22. 22
El Proceso de la Auditoría de Tecnologías de la Información
Toda acción de auditoría sigue ciertas fases específicas mediante
las cuales se desarrolla el trabajo. Se deben seguir básicamente las
siguientes fases:

23. 23
Componentes de un plan anual
a) Resumen del plan a largo plazo.
b) Objetivos del programa para el año entrante.
c) Detalles de las actividades relacionadas con estos
objetivos.
d) Asignación de recursos.
e) Plan de seguimiento y evaluación del programa.
f) Presupuesto anual (incluyendo fuentes de
financiamiento).

24. 24
¿Cómo hacer para preparar un plan anual de trabajo?
1. Decidir quién participará en la preparación del nuevo
plan.
2. Organizar reuniones de planeación al menos tres meses
antes de que finalice el plan actual.
3. Revisar el plan de trabajo actual con el grupo de
planeación.
4. Discutir con el equipo si las actividades actuales
necesitan modificarse.
5. Si fuera necesario, proponer un ejercicio de "lluvia de
ideas" para crear nuevas actividades.
6. Describir cada actividad en detalle.
7. Determinar quién será el responsable de llevar a cabo
cada actividad.
8. Decidir qué recursos se necesitarán para realizar las
actividades propuestas y cómo se obtendrán.
9. Revisar el presupuesto para asegurar que estén
disponibles los fondos necesarios para cada una de las
actividades.
Fuente: http://erc.msh.org/fpmh_spanish/chp2/p2.html

25. 25
Desarrollar y organizar las actividades
Asegurarse de contestar a las siguientes preguntas:
Cuál - ¿ Cuál es la actividad?
Quién - ¿Quién es (quiénes son) responsable(s) de llevar a
cabo la actividad?
Cómo - ¿Qué recursos son necesarios?
Cuándo - ¿En qué fecha se inicia y termina la actividad?
Dónde - ¿Dónde se llevará a cabo la actividad?
Cuando se desarrollan las actividades para el programa u
organización
a) Fundamentar las actividades en los objetivos establecidos;
b) Establecer claramente la actividad;
c) Indicar cuándo se llevará a cabo la actividad;
d) Asignar responsabilidades al personal apropiado;
e) Asegurarse de que los recursos necesarios estén
disponibles.
Fuente: http://erc.msh.org/fpmh_spanish/chp2/p2.html

26. 26
Características de un proyecto
1.- Tener un principio y un fin.
2.- Tener un calendario definido de ejecución.
3.- Plantearse de una sola vez.
4.- Necesitar la concurriencia de varias personas en función
de unas necesidades especificas.
6.- Contar con un conjunto limitado de recursos.
Reglas para la dirección de un proyecto (Trabajo en
equipo)
1.- Establecer un Gran Designio (Fijar una meta para nuestros
colaboradores y para nosotros; Crear un consenso y una
aspiración común)
2.- Determinar Objetivos del proyecto.
3.- Establecer los puntos de control, las actividades, la
Relaciones y las estimaciones de tiempo.
Fuente: http://monografias.com

27. 27
Reglas para la dirección de un proyecto (Trabajo en
equipo)
4.- Dibujar graficamente el esquema del proyecto.
5.- Dirigir a las personas individualmente y como equipo de
proyecto.
6.- Reforzar el sentido de responsabilidad y moral del grupo
del proyecto.
7.- Mantener informados a todos los elementos efectuados.
8.- Vitalizar a los componentes del grupo mediante la
construcción de un consenso.
9.- Encausar el poder propio y el de los demás elementos del
equipo.
10.- Favorecer la asunción de riesgo y la creatividad.

28. 28
La Ejecución de la Auditoría

29. 29
Diferencia entre Controles y Seguridades
Se entiende por controles al conjunto de disposiciones
metódicas, cuyo fin es vigilar las funciones y actitudes de
las empresas y para ello permite verificar si todo se realiza
conforme a los programas adoptados, órdenes impartidas y
principios admitidos.
Al hablar de seguridades nos referimos a todas las
actividades realizadas con el fin de mantener la reserva de
la información: en el manipuleo, proceso, archivo y uso de la
información por parte del personal que opera y administra el
sistema.

30. 30
Controles de Carácter General
Controles de Adquisición, Organización, Desarrollo,
Administración física y lógica, Documentación y de
Seguridad.
Controles de Carácter Específico
Controles de Aplicaciones (Entrada, Procesamiento y
Salida), Bases de Datos, de Procesamiento Distribuido y de
Microcomputadoras.

31. 31
Entonces....se evalúa a través de Controles de Carácter
General y/o Controles de Carácter Específico.
Recomendación: Se debe ir de lo general a lo
particular
¿ Cómo ir de lo general a lo particular ?
El auditor debe identificar, verificar y evaluar los métodos de
control en el proceso de obtención de la evidencia adecuada,
para fundamentar las conclusiones de auditoría a través de
pruebas de cumplimiento y/o sustantivas.

32. 32
Pruebas de Cumplimiento
Se usan para determinar si un procedimiento de control
prescrito está funcionando efectivamente y consisten en
verificar:
a) La aplicación de leyes o reglamentos y de los
procedimientos establecidos en los manuales que éstos
se encuentren actualizados.
b) El conocimiento por parte del personal, de los manuales
y de las políticas del ambiente informático.
c) La existencia de informes o memorandos preparados
por el Departamento de Informática.
d) Si han sido implantadas las recomendaciones emitidas
por auditorías anteriores.

33. 33
Pruebas Sustantivas
Se diseñan para proveer una seguridad razonable sobre la
validez de la información producida. El desarrollo de las
pruebas es logrado mediante la aplicación de una o varias
técnicas de auditoría, ya sea simultánea o
secuencialmente, tales como:
a) Analizar registros.
b) Hacer operaciones.
c) Comparar archivos.
d) Estratificar archivos.
e) Seleccionar una muestra aleatoria.
f) Resumir información.
g) Generar reportes.
h) Construir archivos de prueba.
i) Extraer información de un archivo.
j) Realizar análisis estadísticos.
k) Simular parte del sistema o el sistema completo.

34. 34
Técnicas de Auditoría Asistidas por Computador,
TAAC's (o CAAT´s)
Técnicas de auditoría asistidas por computador (ó
TAAC's): se orientan a:
•Datos;
•Aplicaciones;
•Equipos y programas.
Permiten seleccionar y procesar la información necesaria
para fines específicos:
•Métodos de muestreo estadístico;
•Aumentar el alcance de las pruebas y
•Verificar la integridad de los datos en la población
auditada.

35. 35
Herramientas automatizadas de apoyo a la auditoría (CAAT
´s)
El propósito de estos herramientas es auxiliar en la consulta y
los cálculos básicos sobre los archivos magnéticos que
anteriormente se realizaban con registros en forma manual (Ej.
paquete IDEA - Interactive Data Extraction Analysis).
Principales funciones:
1) Lectura de archivos.
2) Validación de campos.
3) Pruebas parciales.
4) Lectura salteada de los registros.
5) Identificación de registros duplicados.
6) Chequeo de ausencia de registros en una secuencia.
7) Ordenamiento de intercalación de los datos.
8) Obtención de totales y sub-totales.
9) Ejecución de cálculos.
10) Búsqueda de tablas.
11) Clasificación por períodos de vencimiento.
12) Selección de registros.
13) Generación de archivos de salida.
14) Comparación de archivos.

36. 36
Seguimiento
Esta fase cierra el ciclo del proceso de auditoría, en la cual
se efectuará el análisis y evaluación del acatamiento de las
entidades del estado a las recomendaciones formuladas por la
Contraloría General de la República.
Para su ejecución se debe cumplir todo el ciclo de auditoría.