TESIS

UNIVERSIDAD ESTATAL DE BOLVAR
FACULTAD DE CIENCIAS ADMINISTRATIVAS GESTION

EMPRESARIAL E INFORMATICA
ESCUELA DE CONTABILIDAD Y AUDITORA
TRABAJO DE GRADUACIN PREVIO LA OBTENCION DEL

TTULO DE INGENIEROS EN CONTABILIDAD Y AUDITORA
TEMA:
CONTROL INTERNO DE LA COOPERATIVA SAN PEDRO
LTDA. Y OTRAS COOPERATIVAS DE GUARANDA SUJETAS
AL CONTROL DE LA DIRECCION NACIONAL DE
COOPERATIVAS MEDIANTE EL USO DE INSTRUCTIVOS
PARA AUDITORA INFORMTICA PERIODO 2009- 2010.
AUTORES:
MILTON BORJA SALAS
EDWIN RENN GARCA VELASTEGU
DIRECTOR:
ING. CARLOS RIBADENEIRA Z.
PARES ACADMICOS:
ING. MARCELO VENEGAS
ING. ARTURO ROJAS
GUARANDA, JULIO 2010

I
DEDICATORIA
A mi esposa Rosa, gracias por tu incondicional y silencioso apoyo. Por tu fe,

esperanza, estimulo constante y comprensin. Por estar all en los momentos
difciles. Recuerda siempre que sencillamente te amo.
A mis hijos Diego y Daniel, por permitirme robarles parte de su tiempo y sacarlos de
su mundo para acompaarme en esta hermosa experiencia. Que este logra lo sientan
como propio y les sirva de estimulo en la vida, para continuar con fuerza
progresando y luchando por los valores recibidos.
A todos, que Dios los bendiga.
Milton Borja
A mi esposa y a mis tres hijas ya que son ellas la fuente de mi inspiracin.

Edwin Garca
II
AGRADECIMIENTO
Nuestro ms profundo y sincero agradecimiento a DIOS, porque l nos encamino
dndonos luz para llegar a la Universidad Estatal de Bolvar, y a todos quienes
conforman el Alma Mater, en especial a la facultad de Ciencias Administrativas,
gestin Empresarial e Informtica, que con su dedicacin y abnegacin supieron
encaminarnos por el sendero del conocimiento y por iluminar nuestras mentes,
darnos sabidura, discernimiento para poder realizar nuestras tareas.
Y en particular a nuestro Director de Tesis, Ing. Carlos Ribadeneira Zapata, quin
con su capacidad y sus conocimientos supo guiarnos en forma acertada para la feliz
culminacin del presente trabajo de investigacin.
Edwin
Milton
III
CERTIFICACIN DEL DIRECTOR DE TESIS

El Ing. Carlos Ribadeneira Zapata, en calidad de Director de Tesis.
Certifico:
Que la Tesis para obtener el Ttulo de Ingeniero Comercial cuyo tema es, Control Interno
de la Cooperativa San Pedro Ltda. y otras cooperativas de Guaranda sujetas al

control de la Direccin Nacional de Cooperativas mediante el uso de
instructivos para Auditora Informtica periodo 2009- 2010. Elaborado por los
autores Edwin Garca y Milton Borja; ha sido debidamente revisado y est en condiciones de
ser entregado para continuar los procesos legales que as lo dispone la Universidad Estatal
de Bolvar.
Atentamente.
Ing. Carlos Ribadeneira Zapata

CI. 020096555-6
IV
AUTORA NOTARIADA
Las ideas criterios y propuesta expuestos en la presente tesis cuyo tema es Control
Interno de la Cooperativa San Pedro Ltda. y otras cooperativas de Guaranda
sujetas al control de la Direccin Nacional de Cooperativas mediante el uso de
instructivos para Auditora Informtica perodo 2009- 2010, son de exclusiva
responsabilidad de los autores:
----------------------------------------Edwin Garca V
CI: 0200882967
---------------------------------------Milton Borja S.
CI: 0201008802
TABLA DE CONTENIDOS
Portada
Dedicatoria
Agradecimiento
Certificacin del Director de Tesis
Autora Notariada
Tabla de Contenidos
Lista de Cuadro y Grficos
Lista de Anexos
Resumen
Introduccin
I
II
III
IV
V
VI
X
XI
XIII
XIV
CAPITULO I
1.
2.
3.
4.
TEMA ........................................................................................... 1
ANTECEDENTES ....................................................................... 2
FORMULACIN DE PROBLEMA ............................................. 3
JUSTIFICACIN ......................................................................... 4
5.
5.1.
5.2.
OBJETIVOS ................................................................................ 5
General ......................................................................................... 5
Especficos ................................................................................... 5
6
6.1
6.1.1
6.1.2
6.1.3
6.1.4
6.1.3
6.1.4
MARCO TEORICO ..................................................................... 6

Teora Referencial ........................................................................ 6
Visin ........................................................................................... 6
Misin .......................................................................................... 6
Organigrama Estructural ............................................................... 7
Atribuciones y responsabilidades (Reglamento Interno) ................ 8
Infraestructura Fsica .................................................................... 8
Anlisis Financiero, Productos y Servicios ................................... 8
6.2
6.2.1
6.2.1.1
6.2.1.2
6.2.1.3
6.2.1.4
6.2.1.4.1.
CONTROL INTERNO EN EL ECUADOR .................................. 9

Las funciones del Control Interno y auditora informtica ........... 10
Control Interno Informtico ........................................................ 10
Auditora Informtica ................................................................. 12
Control Interno y auditora Informtica: Campos anlogos ......... 12
Sistema de Control Interno Informtico ...................................... 14
Definicin y tipos de controles internos ...................................... 14
6.3
LA INFORMTICA COMO HERRAMIENTA DEL

AUDITOR FINANCIERO .......................................................... 15
Definicin del entorno ................................................................ 15
Auditora.- concepto ................................................................... 15
Clases de auditora ...................................................................... 16
Procedimientos ........................................................................... 16
Ventajas de la informtica como herramienta de la
Auditora Financiera ................................................................... 17
6.3.1
6.3.2
6.3.3
6.3.4
6.3.5
VI
6.3.5.1
6.3.5.2
6.3.5.3
6.3.5.3.1
6.3.5.3.2
6.3.5.3.3
6.3.5.3.4
6.3.5.3.5
6.3.5.3.6
6.3.5.3.7
6.3.5.3.8
6.3.5.3.9
6.3.5.3.10
6.3.5.3.11
6.3.5.3.12
6.3.5.3.13
6.3.5.3.14
6.3.5.3.15
6.3.5.3.16
6.3.5.3.17
6.3.5.3.18
6.3.5.3.19
6.3.5.3.20
6.3.5.3.21
6.3.5.3.22
6.3.5.3.23
6.3.5.3.24
6.3.5.3.25
Grado de informatizacin ........................................................... 17

Mejora de las Tcnicas habituales ................................................ 17
Deontologa de la Auditora Informtica y Cdigos ticos .......... 18
Principales deontologas aplicables a los auditores informticos .. 20
Principio de Beneficio del auditado ............................................ 21
Principio de Calidad ................................................................... 22
Principio de Capacidad ............................................................... 22
Principio de Cautela ................................................................... 23
Principio de Comportamiento Profesional ................................... 24
Principio de Concentracin en el Trabajo ................................... 25
Principio de Confianza ............................................................... 25
Principio de Criterio Propio ......................................................... 26
Principio de Discrecin .............................................................. 26
Principio de Economa ................................................................ 27
Principio de Formacin continuada ............................................. 27
Principio de Fortalecimiento y Respeto de la Profesin................ 28
Principio de Independencia ......................................................... 29
Principio de Informacin Suficiente ............................................ 29
Principio de Integridad Moral ..................................................... 31
Principio de Legalidad ................................................................ 31
Principio de Libre competencia .................................................. 37
Principio de no Discriminacin ................................................... 32
Principio de no Injerencia ........................................................... 32
Principio de Precisin ................................................................. 32
Principio de Publicidad adecuada ............................................... 33
Principio de Responsabilidad ...................................................... 33
Principio de Secreto Profesional ................................................. 34
Principio de Servicio Pblico ...................................................... 35
Principio de Veracidad ............................................................... 35
6.4
6.4.1
6.4.2
6.4.3
6.4.3.1
6.4.3.2
6.4.3.3
6.4.3.4
6.4.3.5
6.4.4
6.4.5
6.4.5.1
6.4.6
6.4.7
6.4.7.1
6.4.7.2
6.4.8
6.4.8.1
6.4.8.2
LA AUDITORIA FISICA .......................................................... 38

La Seguridad Fsica .................................................................... 38
reas de la Seguridad Fsica ....................................................... 41
Organigrama de la Empresa ........................................................ 41
Auditora Interna ........................................................................ 41
Administracin de la Seguridad .................................................. 41
Centro de Proceso de Datos e instalaciones ................................. 42
Equipos y comunicaciones .......................................................... 42
Computadores personales ........................................................... 42
Seguridad Fsica del personal ...................................................... 42
Definicin de Auditora Fsica .................................................... 43
Fuentes de Auditora Fsica ........................................................ 43
Objetivos de la Auditora Fsica .................................................. 44
Tcnicas y Herramientas del Auditor .......................................... 44
Tcnicas ..................................................................................... 44
Herramientas .............................................................................. 45
Responsabilidad de los Auditores ............................................... 45
Auditor Informtico Interno ........................................................ 45
Auditor Informtico Externo ....................................................... 45
VII
6.4.9
6.4.9.1
Fases de la Auditora Fsica ........................................................ 46

Desarrollo de las fases de la Auditora Fsica .............................. 46
7.
8.
8.1
HIPOTESIS ................................................................................ 47
VARIABLES ............................................................................. 47
OPERACIONALIZACIN DE VARIABLES ........................... 48
9.
9.1
ESTRATEGIA METODOLOGA .............................................. 50

TIPO DE INVESTIGACIN ..................................................... 50
9.2
9.2.1
9.2.2
9.2.3
MTODOS DE INVESTIGACIN .......................................... 50

Mtodo Dialctico ...................................................................... 50
Mtodo Lgicos (Deductivo-Inductivo) ...................................... 50
Mtodo Cientfico ....................................................................... 51
9.3
9.4
9.5
UNIVERSO ............................................................................... 51
TECNICAS DE RECOLECCION DE DATOS .......................... 51
PLAN DE PROCESAMIENTO Y NLISIS .............................. 52
CAPITULO II
ANALISIS, DISCUSIN Y CONCLUSIONES
ENCUESTA A DIRECTIVOS DE LA COOPERATIVA
SAN PEDRO LTDA. .................................................................. 53
ENCUESTA AL PERSONAL DE LA COOPERATIVA
SAN PEDRO LTDA. ................................................................. 63
2.1
2.2
2.3
CONCLUSIONES ...................................................................... 73
RECOMENDACIONES ............................................................. 74
COMPROBACION DE LA HIPOTESIS ................................... 75
CAPITULO III
PROPUESTA
3.1
3.2
3.3
TTULO ...................................................................................... 76
PRESENTACIN ...................................................................... 76
OBJETIVOS .............................................................................. 76
3.5
3.5.1
3.5.2
FUNDAMENTACIN .............................................................. 76
Introduccin a las metodologas .................................................. 76
La Organizacin ......................................................................... 78
3.6
3.6.1
3.6.2
3.6.2.1
3.6.2
METODOLOGAS DE EVALUACION DE SISTEMAS ........... 80

Conceptos fundamentales ........................................................... 80
Tipos de metodologas ................................................................ 81
Metodologas cuantitativas ......................................................... 82
Metodologas ms comunes ........................................................ 82
VIII
3.6.2.1
3.6.2.2
Metodologas y anlisis de Riesgos ............................................. 82

Plan de contingencias .................................................................. 83
3.7
METODOLOGIAS DE AUDITORIA INFORMATICA. ............ 86
3.8
3.8.1
3.8.2
3.8.3
3.8.4
3.8.5
3.8.6
3.8.7
3.8.8
3.8.8.1
3.8.8.2
3.8.9
PLAN DEL AUDITOR INFORMTICO .................................. 88

Lista de distribucin de informes ................................................. 89
Control Informtico .................................................................... 90
La Auditora Informtica ........................................................... 90
Control Interno Informtico ........................................................ 91
Metodologa de clasificacin de la informacin .......................... 92
Los pasos de la metodologa ....................................................... 94
Obtencin de los Procedimientos de Control ............................... 94
Metodologa ............................................................................... 95
Herramientas de Control ............................................................. 95
Objetivos de Control de Acceso Lgico ...................................... 96
Adquisicin, instalacin e implementacin, formacin,
Manuales de Procedimientos de Control ................................... 101
3.9
3.9.1
3.9.2
3.9.3
3.9.4
3.9.5
EL INFORME DE AUDITORIA ............................................. 102

Introduccin ............................................................................. 102
La Evidencia ............................................................................ 103
Las Irregularidades ................................................................... 104
La Documentacin ................................................................... 105
El Informe ................................................................................. 105
3.10
ORGANIZACIN DEL DEPARTAMENTO DE

AUDITORA INFORMATICA ................................................ 109
Antecedentes ............................................................................ 109
Clases y Tipos de Auditora Informtica ................................... 111
Funcin de Auditora Informtica ............................................. 111
Perfiles profesionales de la funcin de Auditora Informtica .... 112
Funciones a desarrollar por la funcin de Auditora
Informtica ............................................................................... 113
Organizacin de la funcin de la Auditora Informtica ............. 115
3.10.1
3.10.2
3.10.3
3.10.4
3.10.5
3.10.6
3.11
3.12
3.13
ESTRATEGIAS METODOLGICAS ..................................... 117

PLAN OPERATIVO ................................................................ 117
IMPACTO ................................................................................ 118
BIBLIOGRAFA ...................................................................... 119
ANEXOS .................................................................................. 120
IX
7.
LISTA DE CUADROS Y GRAFICOS
1.
2.
3.
4.
5.
Figura 3.1
Figura 3.2
Figura 3.3
Figura 3.4
Figura 3.5
.......................................................................................... 78
.......................................................................................... 80
.......................................................................................... 83
......................................................................................... 92
.......................................................................................... 99
Encuesta a Directivos de la Cooperativa de Ahorro y Crdito San Pedro

Limitada
1.
Cuadro 1, Grfico 1 ........................................................................... 53
2.
Cuadro 2, Grfico 2 ........................................................................... 54
3.
Cuadro 3, Grfico 3 ........................................................................... 55
4.
Cuadro 4, Grfico 4 ............................................................................ 56
5.
Cuadro 5, Grfico 5 ........................................................................... 57
6.
Cuadro 6, Grfico 6 ........................................................................... 58
7.
Cuadro 7, Grfico 7 ........................................................................... 59
8.
Cuadro 8, Grfico 8 ........................................................................... 60
9.
Cuadro 9, Grfico 9 ........................................................................... 61
10.
Cuadro 10, Grfico 10 ....................................................................... 62
Encuesta a Personal Tcnico y Operativos de la Cooperativa de Ahorro y

Crdito San Pedro Limitada
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
Cuadro 1, Grfico 1 ........................................................................... 63

Cuadro 2, Grfico 2 ........................................................................... 64
Cuadro 3, Grfico 3 ........................................................................... 65
Cuadro 4, Grfico 4 ............................................................................ 66
Cuadro 5, Grfico 5 ........................................................................... 67
Cuadro 6, Grfico 6 ........................................................................... 68
Cuadro 7, Grfico 7 ........................................................................... 69
Cuadro 8, Grfico 8 ........................................................................... 70
Cuadro 9, Grfico 9 ........................................................................... 71
Cuadro 10, Grfico 10 ....................................................................... 72
8.
LISTA DE ANEXOS
Encuesta a Directivos de la Cooperativa de Ahorro y Crdito

San Pedro Ltda. ........................................................................................... 120
Encuesta a Personal Tcnico y Operativos de la Cooperativa
de Ahorro y Crdito San Pedro Limitada ..................................................... 122
Listado de cooperativas de ahorro y crdito registradas en el MIES ............. 124
Atribuciones y Responsabilidades (Reglamento interno) ............................. 125
XI
RESUMEN:
El presente trabajo titulado Control Interno de la Cooperativa San Pedro Ltda. y otras
cooperativas de Guaranda sujetas a la Direccin Nacional de Cooperativas mediante
el uso de instructivos para Auditora Informtica es una herramienta que nos permite
ejecutar procedimientos de control interno y auditora informtica, adems que las
actividades financieras.
En el primer captulo est formado por los antecedentes, formulacin, justificacin y
objetivos, para luego en los tems 6 al 8 entrar al marco terico, el mismo que
recoge algunos aspectos cientficos sobre el control interno que debe existir en toda
entidad financiera que est bajo el control de la Direccin Nacional de Cooperativas;
de igual manera recoge aspectos y principios de la auditora, que valindose de
principios aplicables de la auditora informtica, los tipos de auditora fsica, como
de la interna y externa con todas sus fases, adems se toca temas como la
deontologa de la Auditora Informtica que son las normas que el auditor debe
seguir en su campo profesional
Luego en el tem 9 se detalla la estrategia metodolgica que se aplic en toda la
investigacin, partiendo desde la investigacin descriptiva de la problemtica, los
mtodos de investigacin ms aplicables, las tcnicas de primera mano como la
encuesta tanto directivos como a tcnicos mediante la aplicacin de cuestionarios;
para obtener los resultados que nos sirvieron para elaborar cuadros, grficos y el
anlisis que nos permiti llevar a la propuesta.
En el Captulo dos se detallada la aplicacin de los instrumentos de la encuesta tanto
para los Directivos, como para el personal que labora en la cooperativa, aplicando la
estadstica descriptiva se elaboraron cuadros y grficos de cada pregunta para
establecer el anlisis y la interpretacin de los resultados. Continuando con el
proceso se obtuvieron las conclusiones y recomendaciones. Las mismas que nos
permiti establecer la propuesta o solucin al problema planteado en la
investigacin.
Por ltimo el Captulo tres, est estructurada por una propuesta que es la solucin al
problema y contiene el ttulo, presentacin, objetivos y la fundamentacin, que es la
metodologa de control interno, seguridad y auditora que debe tener toda institucin
financiera, como herramienta de control interno y externo sobre los bienes que
realiza.
XII
INTRODUCCIN
El trabajo de investigacin cuyo tema es Control Interno de la Cooperativa San
Pedro Ltda. de Guaranda y otras sujetas a la Direccin Nacional de Cooperativas
mediante el uso de instructivos para Auditora Informtica periodo 2009- 2010,
recoge un conjunto de argumentos cientficos que nos permiten realizar controles
tanto internos como externos
Tradicionalmente el control interno se adoptaba un enfoque bastante restringido
limitado a los controles contables internos. En tanto se relacionaba con la
informacin financiera, el control interno era un tema que interesaba principalmente
al personal financiero de la organizacin y, por supuesto, al auditor externo.
El control interno es un conjunto de actividades operativas claves destinadas a
prevenir los riesgos efectivos y potenciales a los que se enfrentan las
organizaciones. A fin de evitar la quiebra de numerosas cajas de ahorro y otras
organizaciones afines, la idea es de controlar para evitar que los problemas surgieran
y crecieran.
Durante el ltimo decenio la prensa ha informado sobre muchos escndalos relativos
a errores en el otorgamiento de crditos con la garanta de inmuebles inexistentes o
extremadamente sobrevalorados, la manipulacin de informacin financiera,
operaciones burstiles realizadas con informacin privilegiada, y muchos otros
conocidos fallos de los controles que han afectado a empresas de diferentes
sectores..
Adems de la mayor atencin que prestan las autoridades al problema, se
observan importantes cambios en las empresas. Dichos cambios someten a una
gran tensin a los controles internos existentes.
XIII
CAPITULO I
1.
TEMA:
Control Interno de la Cooperativa San Pedro Ltda. y otras cooperativas de

Guaranda sujetas al control de la Direccin Nacional de Cooperativas mediante
el uso de instructivos para Auditora Informtica perodo 2009- 2010
2.
ANTECEDENTES:
El desarrollo de la Auditora Informtica nace desde que se comienzan a utilizar

sistemas computarizados en las instituciones pblicas y privadas, as como tambin
cabe resaltar en los sistemas financieros de todo el mundo.
Conocedores la Cooperativa San Pedro Ltda., durante dos aos, hemos podido
comprobar la necesidad de realizar controles peridicos a los procedimientos
informticos, equipos de cmputo, redes de informacin, sistema de respaldos, plan
de contingencias, seguridad y veracidad de transmisin de datos, etc. por una persona
especializada en Auditora informtica.
El problema de las instituciones que confan en los procedimientos administrativos,
econmicos y financieros en un sistema informtico; es la seguridad y la versatilidad
de sus datos que van muy relacionados con el crecimiento de las empresas, entonces
la mayora de estas empresas solo se dedican a comprar equipos muy sofisticados y
dejan a un lado aspectos como son: Las necesidades mnimas de un departamento,
marcas de los equipos, especificaciones tcnicas, garantas, mantenimiento, costos,
seguridad, velocidad, compatibilidad, etc.
Entonces, nuestra propuesta est enfocada en la realizacin de un Instructivo de
auditora Informtica, ya que concretamente en las cooperativas que estn bajo el
control de la Direccin Nacional de Cooperativas del Ecuador, no se exigen controles
como los antes mencionados, peor an la disponibilidad de un Departamento de
Auditora Interna.
El presente TRABAJO pretende dar a conocer de que manera influye control interno
en el rea Informtica en beneficio de sus Directivos y socios as como tambin en
los usuarios internos y externos (empleados y clientes), con el fin de mejorar el
funcionamiento de los sistemas informticos y anexos, como son el control de los
procesos financieros informticos, la seguridad de la informacin, espionaje,
optimizacin y rendimiento de los equipos informticos, etc.
Es posible realizar est investigacin porqu existe la colaboracin de los Directivos
y Empleados de la Cooperativa San Pedro Ltda., la misma que cuenta con los
recursos materiales, y la informacin necesaria, elementos de vital importancia para
la aplicacin y realizacin de este trabajo, que estamos seguros aportar al
mejoramiento y control de los sistemas informticos de esta institucin, as como
tambin de las cooperativas que tienen el mismo perfil.
El presente proyecto es original ya que en nuestro medio muy poco se ha hecho en
instituciones pblicas ni particular este tipo de auditoras informticas de carcter
interno y externo, haciendo que los criterios y aportes aqu vertidos se conviertan en
una verdadera gua para otros estudiantes y profesionales de Contabilidad y
Auditora y tambin como material de consulta.
2
FORMULACIN DEL PROBLEMA
Cmo influye el Control Interno de la Cooperativa San Pedro Ltda. y otras

cooperativas de Guaranda sujetas al Control de la Direccin Nacional de
Cooperativas mediante el uso de instructivos para Auditora Informtica periodo
2009- 2010?
4.
JUSTIFICACIN:
Para nosotros es de mucha importancia dar a conocer el presente trabajo cuyo tema
es: Control Interno de la Cooperativa San Pedro Ltda. y otras cooperativas de
Guaranda sujetas al Control de la Direccin Nacional de Cooperativas mediante el
uso de instructivos para Auditora Informtica perodo 2009- 2010. Si consideramos
que algunas Cooperativas como: La Cooperativa San Pedro Ltda., Intian Ltda., y
Salinas Ltda, entre las ms importantes del cantn Guaranda, (ver Anexo No. 3), no
estn bajo el control de la Superintendencia de Bancos y Cooperativas y que sin
embargo cuenta con los aspectos fundamentales para el examen la auditora, las
dems cooperativas no se las considera por ser relativamente pequeas.
Nuestro inters se basa en que como toda institucin financiera debe estar bajo el
control de las entidades de regulacin deben contar con controles informticos tanto
internos como externos a fin de garantizar los recursos econmicos que depositan los
usuarios en pos de salvaguardar los intereses colectivos.
Entre tantas necesidades es la de demostrar el uso de los sistemas informticos y la
tecnologa al servicio de las finanzas, que utilizando los controles de auditora
informtica se puede tener informacin inmediata, a fin de corregir ciertas
irregularidades y lo que es ms importante darle seguridad al dinero de los
depositantes.
La novedad cientfica de este trabajo es la utilizacin de la tecnologa en la
construccin de la auditora informtica tanto de control interno y externo en las
entidades financieras, ahorrando tiempo y recursos tanto econmicos como humanos,
as mismo tener informacin rpida y al momento requerido por cualquiera de los
directivos y miembros de las comisiones de la Cooperativa motivo de la
investigacin; as como tambin para otros cooperativas de nuestra provincia y del
pas.
Por ltimo la pertinencia que est dado por el perfil de profesionales que estamos
formados para contribuir a mejorar los servicio y dar credibilidad los usuarios y
beneficiarios de las entidades de crdito y finanzas.
5.
OBJETIVOS:
5.1
General:
Evaluar el Control Interno de la Cooperativa San Pedro Ltda. y otras cooperativas de

Guaranda sujetas al Control de la Direccin Nacional de Cooperativas mediante el
uso de instructivos para Auditora Informtica perodo 2009- 2010
5.2
Especficos
5.2.1 Identificar procedimientos del control interno de la Cooperativa San Pedro

Ltda. que est sujeta al control de la Direccin Nacional de Cooperativas.
5.2.2 Establecer los componentes que intervienen en los Instructivos para una
Auditora Informtica.
5.2.3 Proponer un instructivo de auditora informtica en el sistema financiero de la
cooperativa San Pedro y cooperativas sujetas al control de la Direccin
Nacional de Cooperativas que permita poseer informacin objetiva para la
toma de decisiones
6.
MARCO TEORICO
6.1
TEORA REFERENCIAL.
La Cooperativa de Ahorro y Crdito San Pedro Ltda. es una institucin de derecho

privado, constituida jurdicamente en la Direccin Nacional de Cooperativas hace 47
aos. Su creacin se fundament en la necesidad de brindar a la gente de la parroquia
de San Pedro de Guanujo y a otras parroquias colindantes una opcin para sus
actividades financieras, que le permitiera, con costos reales apoyar sus actividades
productivas y comerciales para promover la autoayuda y evitar el abuso de los
agiotistas.
Como entidad de servicio financiero se ha visto mayor o menormente afectada por
condiciones del entorno, como la crisis de entidades financieras durante los aos
1999 al 2001, aunque con intensidad controlada; sin embargo se asume que las
mayores complicaciones se han dado a partir de malas administraciones con
gerencias anteriores.
A pesar de los espacios de incertidumbre nacional, la cooperativa no ha tenido
problemas de liquidez, y tiene la firme aspiracin de ampliar sus servicios y crecer
institucionalmente.
La cooperativa trabaja en funcin del cumplimiento de propsitos especficos, los
mismos que se cre con la finalidad de:
A) Promover la cooperacin econmica y social entre sus socios;
B) Capturar el ahorro de la gente de la poblacin y otorgar prstamos a los socios
de conformidad a la normativa establecida;
C) Apoyar a travs del servicio financiero el desarrollo socio econmico de la gente
de la provincia de Bolvar, en sus zonas de influencia, donde cuenta en la
actualidad con dos oficinas: una en San Pedro de Guanujo y otra en Echeanda.
6.1.1. VISION:
Cooperativa de Ahorro y Crdito San Pedro Ltda., institucin competente y de
excelencia, brinda los servicios especializados personalizados a nivel local, regional
y nacional, contamos con infraestructura moderna, tecnologa de punta y personal
altamente profesionalizado las cuales brindan la asistencia tcnica y humanstica a
los socios y comunidad, as como servicios cooperativos de calidad aprobada.
Servicios Cooperativos: comisariato, centro mdico, centro de convenciones, seguro
de vida, otros.
6.1.2. MISION:
Brindamos servicios cooperativos de ahorro, crdito e inversiones giles, seguros
oportunos, inmediatos y competitivos, cumpliendo con el bienestar del socio
6
garantizando efectividad, enmarcado en el comportamiento esmerado y muy

profesional de sus colaboradores, as como un servicio tecnolgico muy eficiente,
adems nuestra responsabilidad social, conlleva a ofrecer servicio odontolgico,
seguro de prstamo, fondo mortuorio e incentivo para la vivienda, avanzamos en el
cumplimiento de las expectativas y satisfaccin de las necesidades de nuestros
distinguidos socios y de la comunidad.
6.1.3 ORGANIGRAMA ESTRUCTURAL
6.1.4
ATRIBUCIONES Y RESPONSABILIDADES (REGLAMENTO INTERNO )
Ver Anexo No. 4

6.1.5. INFRAESTRUCTURA FSICA
Actualmente la Institucin cuenta con instalaciones modernas ubicada en la parroquia
Guanujo desde donde presta sus servicios cooperativos a socios y ciudadana de la
Provincia Bolvar, de igual forma con una agencia en el Cantn Echeanda. La nueva
visin de los directivos y con una planificacin Administrativa va cumpliendo con sus
anhelos y metas en funcin de entregar todo el valor cooperativo para el cual fue
creada la institucin, haciendo realidad las expectativas de los socios que confan sus
recursos y sus ms grandes sueos a la Cooperativa.
6.1.6. ANLISIS FINANCIERO, PRODUCTOS Y SERVICIOS
Es importante conocer y establecer cul fue el comportamiento de los diferentes
indicadores en las actividades desarrolladas por la institucin:
Nmero de socios activos:
Clase de Crditos:
No. de Crditos mensuales (Anticipos):
No. de Crdito Anual (Prstamos):
Montos por tipo de crdito
PARAMETROS
De $ 200,00 a $ 500,00
De $ 501,00 a $ 1.000,00
De $ 1.001,00 a $ 2.000,00
De $ 2.001,00 a $ 3.000,00
De $ 3.001,00 a $ 4.000,00
De $ 4.001,00 a $ 6.000,00
De $ 6.001,00 a $ 10.000,00
Beneficios:
8278
Consumo, Vivienda y Microcrditos
200
2400
TIPO
Consumo y Microcrditos
Consumo,
Microcrditos
Vivienda
Servicio Odontolgico
Atencin Mdica
Fondo Mortuorio y Sala de Velaciones
Sorteos Semestrales y obsequios especiales
6.2. CONTROL INTERNO EN EL ECUADOR

Introduccin.
Tradicionalmente en materia de control interno se adoptaba un enfoque bastante
restringido limitado a los controles contables internos. En tanto se relacionaba con la
informacin financiera, el control interno era un tema que interesaba principalmente
al personal financiero de la organizacin y, por supuesto, al auditor externo. El
concepto de control interno de mucha gente no inclua muchas de las actividades
operativas claves destinadas a prevenir los riesgos efectivos y potenciales a los que
se enfrentan las organizaciones. Al producirse la quiebra de numerosas cajas de
ahorro como: La de la Direccin de Educacin, Instituto Tcnico Guaranda, entre
otras, result evidente que no haba suficiente conciencia de la necesidad de los
controles para evitar que los problemas surgieran y crecieran.
Durante el ltimo decenio la prensa ha informado sobre muchos escndalos relativos
a errores en el otorgamiento de crditos con la garanta de inmuebles inexistentes o
extremadamente sobrevalorados, la manipulacin de informacin financiera,
operaciones burstiles realizadas con informacin privilegiada, y muchos otros
conocidos fallos de los controles que han afectado a empresas de diferentes
sectores. En Espaa se han dado pasos importantes como consecuencia de nuestra
incorporacin y adaptacin a Europa.
Adems de la mayor atencin que prestan las autoridades al problema, se
observan importantes cambios en las empresas. Dichos cambios someten a una
gran tensin a los controles internos existentes. La mayora de las organizaciones
han acometido varias iniciativas en tal sentido, tales como:
La reestructuracin de los procesos empresariales (BPR -Bussiness Process

Re-engineering).
La gestin de la calidad total (TQM -Total Quality Management).
El redimensionamiento por reduccin \/o por aumento del tamao hasta el
nivel correcto.
La contratacin externa (outsourcing).
La descentralizacin1
El mundo en general est cambiando cada vez ms rpidamente, sometiendo a las

empresas a la accin de muchas fuerzas externas tales como la creciente necesidad de
acceder a los mercados mundiales, la consolidacin industrial, la intensificacin de la
competencia, y las nuevas tecnologas.
Las tendencias externas que influyen sobre las empresas son entre otras, las
siguientes:
La globalizacin.
La diversificacin de actividades.
1
AUDITORIA INFORMATICA, Gloria Snchez Valriberas , 2006, pg. 280
La eliminacin de ramas de negocio no rentables o antiguas.

La introduccin de nuevos productos como respuesta a la competencia.
Las fusiones y la formacin de alianza-, estratgicas.
Ante la rapidez de los cambios, los directivos toman conciencia de que para evitar
tallos de control significativos deben reevaluar \ reestructurar sus sistemas de
controles internos. Deben actuar de manera proactiva antes de que surjan los
problemas, tomando medidas audaces para su propia tranquilidad, as como para
garantizar a los consejos de administracin, accionistas, comits y pblico que los
controles internos de la empresa estn adecuadamente diseados para hacer frente a
los retos del futuro y asegurar la integridad en el momento actual.
Un centro de informtica de una empresa del sector terciario suele tener una
importancia crucial por soportar los sistemas de informacin del negocio, por el
volumen de recursos y presupuestos que maneja, etc. Por lo tanto, aumenta la
complejidad de las necesidades de control y auditora, surgiendo en las
organizaciones, como medidas organizativas, las figuras de control interno y auditora
informticos.
La auditora ha cambiado notablemente en los ltimos aos con el enorme
impacto que han venido obrando las tcnicas informticas en la forma de procesar la
informacin para la gerencia. La necesidad de adquirir y mantener conocimientos
actualizados de los sistemas informticos se vuelve cada vez ms acuciante, si bien
los aspectos bsicos de la profesin no han variado. Los auditores informticos aportan
conocimientos especializados, as como su familiaridad con la tecnologa informtica. Se
siguen tratando las mismas cuestiones de control en la auditora, pero los
especialistas en auditora informtica de sistemas basados en computadores prestan una
ayuda valiosa a la Organizacin y a los otros auditores en todo lo relativo a los controles
sobre dichos sistemas.
En muchas organizaciones, el auditor ha dejado de centrarse en la evaluacin y la
comprobacin de los resultados de procesos, desplazando su atencin a la evaluacin
de riesgos y la comprobacin de controles. Muchos de los controles se incorporan en
programas informticos o se realizan por parte de la funcin informtica de la
organizacin, representado por el Control Interno Informtico. El enfoque centrado en
controles normalmente exige conocimientos informticos a nivel de la tecnologa
utilizada en el rea o la organizacin que se examina.
6. 2.1. Las funciones de control interno y auditoria informtica
6.2.1.1. Control Interno Informtico

El Control Interno Informtico controla diariamente que todas las actividades de
sistemas de informacin sean realizadas cumpliendo los procedimientos, estndares y no
normas fijados por la Direccin de la Organizacin y/o la Direccin de Informtica, as
como los requerimientos legales 2.
Idem, pg. 286
10
La misin del Control Interno Informtico es asegurarse de que las medidas que se
obtienen de los mecanismos implantados por cada responsable sean correctas y
vlidas.
Control Interno Informtico suele ser un rgano staff de la Direccin del
Departamento de Informtica y est dotado de las personas y medios materiales
proporcionados a los cometidos que se le encomienden.
Como principales objetivos podemos indicar los siguientes:
Controlar que todas las actividades se realizan cumpliendo los procedimientos y

normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas
legales.
Asesorar sobre el conocimiento de las normas.
Colaborar y apoyar el trabajo de Auditora Informtica, as como de las auditoras
externas al Grupo.
Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los
grados adecuados del servicio informtica, lo cual no debe considerarse como que la
implantacin de los mecanismos de medida y la responsabilidad del logro de esos
niveles se ubique exclusivamente en la funcin de Control Interno, sino que cada
responsable de objetivos y recursos es responsable de esos niveles, as como de la
implantacin de los medios de medida adecuados3
Realizar en los diferentes sistemas (centrales, departamentales, redes locales, PC's,

etc.) y entornos informticos (produccin, desarrollo o pruebas) el control de las
diferentes actividades operativas sobre:
El cumplimiento de procedimiento, normas y controles dictados. Merece

resaltarse la vigilancia sobre el control de cambios y versiones del software.
Controles sobre la produccin diaria.
Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del
software y del servicio informtica.
Controles en las redes de comunicaciones.
Controles sobre el software de base.
Controles en los sistemas microinformticos.
La seguridad informtica (su responsabilidad puede estar asignada a control
interno o bien puede asignrsele la responsabilidad de control dual de la
misma cuando est encargada a otro rgano):
Usuarios, responsables y perfiles de uso de archivos y bases de datos.
Normas de seguridad.
Control de informacin clasificada.
Control dual de la seguridad informtica.
Licencias y relaciones contractuales con terceros.
Asesorar y transmitir cultura sobre el riesgo informtico.
Idem, pag. 288
11
6.2.1.2. Auditora Informtica

La Auditora Informtica es el proceso de recoger, agrupar y evaluar evidencias para
determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad
de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza
eficientemente los recursos. De este modo la auditora informtica sustenta y
confirma la consecucin de los objetivos tradicionales de la auditora:
Objetivos de proteccin de activos e integridad de datos.

Objetivos de gestin que abarcan, no solamente los de proteccin de activos,
sino tambin los de eficacia y eficiencia.
El auditor evala y comprueba en determinados momentos del tiempo los controles y

procedimientos informativos ms complejos, desarrollando y aplicando tcnicas
mecanizadas de auditora, incluyendo el uso del software. En muchos casos, ya no
es posible verificar manualmente los procedimientos informatizados que resumen,
calculan y clasifican datos, por lo que se deber emplear software de auditora y otras
tcnicas asistidas por computador.
El auditor es responsable de revisar e informar a la Direccin de la Organizacin
sobre el diseo y el funcionamiento de los controles implantados y sobre la Habilidad
de la informacin suministrada.
Se pueden establecer tres grupos de funciones a realizar por el auditor informtico:
Participar en las revisiones durante y despus del diseo, realizacin,
implantacin y explotacin de aplicaciones informativas, as como en las fases
anlogas de realizacin de cambios importantes.
Revisar y juzgar los controles implantados en los sistemas informativos para verificar
su adecuacin a las rdenes e instrucciones de la Direccin, requisitos legales,
proteccin de confidencialidad y cobertura ante errores y fraudes.
Revisar y juzgar el nivel de eficiencia, utilidad, fiabilidad y seguridad de los equipos
informticos4.
6.2.1.3. Control interno y auditora informticos: campos anlogos
La evolucin de ambas funciones ha sido espectacular durante la ltima dcada.
Muchos controles internos fueron una vez auditores. De hecho, muchos de los
actuales responsables de Control Interno Informtico recibieron formacin en
seguridad informtica tras su paso por la formacin en auditora. Numerosos auditores
se pasan al campo de Control Interno Informtico debido a la similitud de los
objetivos profesionales de control y auditora, campos anlogos que propician una
transicin natural.
Idem, Pg. 298
12
Aunque ambas
conviene matizar:
figuras tienen objetivos comunes,
existen
diferencias que
CONTROL
INTERNO AUDITOR
INFORMATICO
INFORMTICO
SIMILITUDES Personal interno
Conocimientos especializados en Tecnologa de la Informacin
Verificacin del cumplimiento de controles internos, normativa y
procedimientos establecidos por la Direccin de Informtica y
La Direccin General para los sistemas de informacin
DIFERENCIAS Anlisis de los controles en el Anlisis de un momento
informtico determinado
da a da
Informa a la Direccin del Informa a la Direccin General
Departamento de Informtica de la Organizacin
Personal interno y/o externo
Solo personal interno
El alcance de sus funciones es Tiene cobertura sobre todo los
nicamente
sobre
el componentes de los sistemas de
Departamento de Informtica informacin de la Organizacin
Fuente Auditora Informtica, Mario G. Piattini Emilio del Peso, 2006
6.2.1.4. Sistema de Control Interno Informtico

6.2.1.4.1. Definicin y tipos de controles internos
Se puede definir el control interno como "cualquier actividad o accin realizada
manual y/o automticamente para prevenir, corregir errores o irregularidades que
puedan afectar al funcionamiento de un sistema para conseguir sus objetivos"5.
Los controles cuando se diseen, desarrollen e implanten han de ser al menos completos,
simples, fiables, revisables, adecuados y rentables. Respecto a esto ltimo habr que
analizar el coste-riesgo de su implantacin.
Los controles internos que se utilizan en el entorno informtico continan
evolucionando hoy en da a medida que los sistemas informticos se vuelven
complejos. Los progresos que se producen en la tecnologa de soportes fsicos y de
software) han modificado de manera significativa los procedimientos que se
empleaban tradicionalmente para controlar los procesos de aplicaciones y para
gestionar los sistemas de informacin.
Para asegurar la integridad, disponibilidad y eficacia de los sistemas se requieren
complejos mecanismos de control, la mayora de los cuales son automticos. Resulta
interesante observar, sin embargo, que hasta en los sistemas servidor/cliente
avanzados, aunque algunos controles son completamente automticos, otros son
completamente manuales, y muchos dependen de una combinacin de elementos de
software y de procedimientos.
Idem, pg. 289
13
Histricamente, los objetivos de los controles informticos se han clasificado en las

siguientes categoras.
Controles preventivos: para tratar de evitar el hecho, como un software de
seguridad que impida los accesos no autorizados al sistema.
Controles detectivos: cuando fallan los preventivos para tratar de conocer cuanto
antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el
registro de la actividad diaria para detectar errores omisiones, etc.
Controles correctivos: facilitan la vuelta a la normalidad cuando se han producido
incidencias. Por ejemplo, la recuperacin de un archivo daado a partir de las copias de
seguridad.
Como el concepto de controles se origin en la profesin de auditora, resulta importante
conocer la relacin que existe entre los mtodos de control, los objetivos de control y
los objetivos de auditora. Se trata de un tema difcil por el hecho de que histricamente,
cada mtodo de control ha estado asociado unvocamente con un objetivo de control
(por ejemplo, la seguridad de archivos de datos se consegua sencillamente manteniendo
la sala de computadores cerrada con llave).
Sin embargo, a medida que los sistemas informticos se han vuelto ms complejos,
los controles informticos han evolucionado hasta convertirse en procesos integrados en
los que se atenan las diferencias entre las categoras tradicionales de controles
informticos.
Por ejemplo, en los actuales sistemas informticos puede resultar difcil ver la
diferencia entre seguridad de los programas, de los datos y objetivos de control del
software del sistema, porque el mismo grupo de mtodos de control satisface casi
totalmente los tres objetivos de control.
La relacin que existe entre los mtodos de control y los objetivos de control puede
demostrarse mediante el siguiente ejemplo, en el que un misino conjunto de mtodos
de control se utiliza para satisfacer objetivos de control tanto de mantenimiento
como de seguridad de los programas:
Objetivo de Control de mantenimiento: asegurar que las modificaciones de

los procedimientos programados estn adecuadamente diseadas, probadas,
aprobadas e implantadas.
Objetivo del Control de seguridad de programas: garantizar que no se

pueden efectuar cambios no autorizados en los procedimientos programados.
14
6.3.
LA INFORMTICA COMO
AUDITOR FINANCIERO
HERRAMIENTA
DEL
6.3.1. Definicin del entorno.

Dentro de la especialidad llamada auditora informtica, cabe perfectamente la
confusin conceptual tanto entre los diferentes aspectos, reas o enfoques en s
mismos como por la debida a la vertiginosa evolucin que experimenta la
especialidad6
Pero como ya pretende explicitar el ttulo del captulo, vamos a tratar de auditora
financiera. Parece indicarse que en cierta medida nos desgajamos del contenido
general del libro y nos desviamos hacia las auditoras financieras.
No es exactamente as. Si desmenuzamos el contenido de auditora y su evolucin
podemos observar que el concepto permanece inamovible y son su objeto y finalidad
lo que puede variar.
Tambin parece procedente hacer una alusin especfica a la consultora como
especialidad profesional, ya que se hace preciso delimitar sus respectivos campos
que en ocasiones se confunden y superponen.
6.3.2. Auditora. Concepto
Conceptualmente la auditora, toda y cualquier auditora, es la actividad
consistente en la emisin de una opinin profesional sobre si el objeto sometido a
anlisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las
condiciones que le han sido prescritas7.
Podemos descomponer este concepto en los elementos fundamentales que a
continuacin se especifican:
1) contenido:
una opinin
2) condicin:
Profesional
3) justificacin:
Sustentada en determinados procedimientos
4) objeto:
Una determinada informacin obtenida en un cierto soporte
5) finalidad:
Determinar si presenta adecuadamente la realidad o responde a las sta

expectativas que le son atribuidas decir, su fiabilidad.
Fuente: AUDITORIA INFORMATICA, Mario Piattini Emilo del Peso, 2006
En todo caso es una funcin que se acomete a posteriori, en relacin con actividades
ya realizadas, sobre las que hay que emitir una opinin.
6
7
Auditora de los Sistemas Informticos, Rafael Bernal y Oscar Coltell, pg. 33

Auditora de los Sistemas Informticos, Rafael Bernal y Oscar Coltell, pg. 34
15
6.3.3. Clases de auditoria

Los elementos 4 y 5 distinguen de qu clase o tipo de auditora se trata. El objeto
sometido a estudio, sea cual sea su soporte, por una parte, y la finalidad con que se
realiza el estudio, definen el tipo de auditora de que se trata. A ttulo ilustrativo
podramos enumerar entre otras:
Clase
Contenido
Objeto
Financiera
Opinin
Cuentas anuales
Sistemas de aplicacin,
recursos informticos,
planes de contingencia.
Informtica
Opinin
Gestin
Opinin
Direccin
Cumplimiento
Opinin
Normas Establecidas
Finalidad
Presentan realidad
Operatividad eficiente y
segn normas establecidas
Eficacia, eficiencia,
economicidad
Las operaciones se
adecuan a estas normas
6.3. 4. Procedimientos
La opinin profesional, elemento esencial de la auditora, se fundamenta y justifica
por medio de unos procedimientos especficos tendentes a proporcionar una
seguridad razonable de lo que se afirma.
Como es natural, cada una de las clases o tipos de auditora posee sus propios
procedimientos para alcanzar el fin previsto aun cuando puedan en muchos casos
coincidir. El alcance de la auditora, concepto de vital importancia, nos viene dado por los
procedimientos. La amplitud y profundidad de los procedimientos que se apliquen nos
definen su alcance.
En las auditoras altamente reglamentadas como la financiera es preceptivo "aplicar
las Normas Tcnicas y decidir los procedimientos de auditora. Cualquier limitacin...
que impida la aplicacin de lo dispuesto en las Normas Tcnicas debe ser considerado en
el Informe de auditora como una reserva al alcance.
Se pretende garantizar que se toman en consideracin todos los aspectos, reas,
elementos, operaciones, circunstancias, etc. que sean significativas.
Para ello se establecen unas normas y procedimientos que en cuanto a la ejecucin de
la auditora se resumen en que:
El trabajo se planificar apropiadamente y se supervisar adecuadamente.
Se estudiar y evaluar el sistema de control interno.

Se obtendr evidencia suficiente y adecuada.
Como corolario se establece que la evidencia obtenida deber recogerse en los papeles
de trabajo del auditor como justificacin y soporte del trabajo efectuado y la opinin
expresada.
8
Idem. Pg. 34
16
Estas tres normas se deducen claramente de la situacin real actual de los riesgos que ha
de afrontar el auditor9.
6.3.5. Ventajas de la Informtica como herramienta de la Auditora Financiera
6.3.5.1. Grado de informatizacin
En la doble vertiente relativa a la introduccin e influencia de la TI en el objeto por
una parte y en los procedimientos por otra de la auditora financiera hemos de
referirnos en primer lugar al grado o intensidad de su utilizacin.
En cuanto al objeto puede considerarse desde el uso de un simple PC con un par de
aplicaciones bsicas como pueden ser la contabilidad y un procesador de textos, a un
sistema complejo, distribuido, utilizando base de datos en cliente servidor, integrado
y comunicado con otros sistemas con los que interacta directamente como en el EDI
(Electronic Data Interchange). Parece evidente que las Normas para la ejecucin de la
auditora adquieren una complejidad y amplitud diferentes. Mientras ms
desarrollado es el sistema, ms problemtico resulta su enfoque por parte del auditor. Si
bien los riesgos de un pequeo PC pueden ser sustantivos, la complejidad de los
mismos en un gran sistema es decisiva.
6.3.5.2. Mejora de las tcnicas habituales
No resulta difcil justificar que las posibilidades del auditor utilizando medios
electrnicos se ampla enormemente con respecto a trabajos manuales sobre listados en
papel. El incremento en velocidad, eficiencia y seguridad es evidente.
Para todo ello el auditor puede valerse sustancialmente de las diversas
herramientas informticas que tiene a su disposicin y que podramos catalogar de la
siguiente forma:
Tipo
General
Planificacin de la
Auditora
Tratamiento de textos
Flowcharting Utilidades
Acceso directo
Ejecucin de la
Auditora
Tratamiento de
Hojas de clculo
textos
ACL
Especfico
Generadores de papeles de trabajo

Administracin
Simulacin
paralela
Revisin analtica
Especializados
Integradores
Sistemas expertos Test

check
De forma somera podramos resear los objetivos que se cubren con la utilizacin de
las diversas herramientas enumeradas:
9
Idem, pg. 35-36

Idem. Pg. 37
10
17
Tratamiento de textos, utilizado generalmente en la prctica como una mquina

de escribir superautomatizada para circulares, memorandos, memoria, etc.
Con una mayor especializacin permite automatizar operaciones, generar
documentos, relacionar diversos documentos, etc.
Hoja de clculo, utilizada para efectuar clculos, automatizar resultados de diferentes
documentos numricos y en algunos casos obtencin de ratios, etc., as como generar
actualizaciones automticas, importar archivos de otras aplicaciones, y producir
grficos disponiendo de una amplia gama de frmulas financieras, econmicas, etc.
Generador de papeles de trabajo, fundados esencialmente en el tratamiento de textos de
donde se obtienen plantillas, formatos, etc.; permite edicin y actualizacin.
Clasifica los documentos por reas, sectores, personal involucrado, etc.
Flowcharting: produce diagramas representativos de funciones realizadas o a realizar,
flujo de documentos, etc.
Utilidades:
existe una amplia gama que cubre desde comunicaciones,
visualizado- res de archivos, bsquedas o incluso rectificadores de archivos.
Administradores: efectan el seguimiento administrativo de las auditoras. Horas
empleadas, reas, control presupuestario, etc.
Acceso directo: todas las aplicaciones a que nos hemos referido hasta el momento y
las posteriores se refieren a datos o "archivos" especficos de las mismas que el auditor
ha tecleado en las aplicaciones o ha copiado de otras ya existentes. La gran ventaja del
acceso directo es que adopta como archivo a leer o analizar "los de la firma auditada",
generalmente los que contienen la contabilidad de la misma. Sea cual sea la aplicacin
de contabilidad que haya utilizado la firma auditada, las aplicaciones de acceso
directo, como su nombre indica, adoptan como archivos propios los realizados por
esas aplicaciones. De esta forma se materializa directamente la aseveracin de que los
libros del auditor son los archivos informticos del auditado.
6.3.5.3. Deontologa del auditor informtico y cdigos ticos
Para comenzar definiremos que es la deontologa y tomamos el concepto de la
enciclopedia Wikipedia que nos dice: (del griego "debido" + "tratado"),
trmino introducido por Bentham -Deontology or the Science of Morality, en 1834hace referencia a la rama de la tica cuyo objeto de estudio son los fundamentos del
deber y las normas morales. Se refiere a un conjunto ordenado de deberes y
obligaciones morales que tienen los profesionales de una determinada materia. La
deontologa es conocida tambin bajo el nombre de "Teora del deber" y junto con la
axiologa es una de las dos ramas principales de la tica normativa11.
11
http://es.wikipedia.org/wiki/Deontolog%C3%ADa
18
Introduccin
En el denominado "nuevo orden mundial", caracterizado por unas directrices
econmicas, en permanente cambio, estrechamente vinculadas a los continuos avances
tecnolgicos, tratar temas relacionados con la deontologa, la tica o la moral,
implica necesariamente hacer un alto en el camino, dejar al lado las mltiples y a
menudo absurdas motivaciones econmico-profesionales y, sin las premuras
derivadas del ritmo de vida que aparentemente esta sociedad impone.
La primera observacin debera inducir a reflexionar sobre los aspectos ms ntimos
ligados a la vida interior de cada cual (creencias, sentimientos, finalidad ideolgica,
proyecto de vida, etc.), que globalmente considerados han de poner de manifiesto la
propia e intrnseca realidad individualizada, es decir, la genuina identidad personal.
Esta identidad, inherente a toda persona, debera estar sustentada en los principios
morales socialmente acusados y preservados a lo largo de los tiempos, principios que,
provenientes del espritu y susceptibles, en virtud del libre albedro, de servir o no de
gua a la conducta exteriormente manifestada de los individuos, permiten diferenciar
a stos del resto de seres vivos, que carecen de esa libertad de conciencia.
Estas normas sociales, reflejo de la idiosincrasia de las diferentes comunidades ponen
de manifiesto los usos y costumbres que regulan mediticamente las relaciones entre las
personas y grupos que las conforman, considerndose, sin precisar su
normalizacin positiva, implcitamente aceptadas por todos, y representativas de los
principios sociales bsicos reguladores de dichas relaciones (buena fe, cortesa,
respeto, solidaridad, etc.).
La complejidad de las relaciones colectivas, la proteccin de los ms dbiles contra
los abusos de los ms fuertes y la necesidad de establecer unas normas de
comportamiento precisas que, conocidas por todos, sirvan de cauce idneo para la
solucin efectiva de los posibles conflictos personales que puedan generarse en el
seno de la comunidad, ha fundamentado el establecimiento y legitimidad de dichos
principios legales, si bien se exige de estos que estn imbuidos por los principios
morales, colectivamente asumidos, y que respeten los derechos humanos
internacionalmente reconocidos como conformadores del derecho mundial.
Ante esta dicotoma de normas morales y materiales, los cdigos deontolgicos
representan un cierto punto de acercamiento y encuentro entre ambas.
El hecho de que los cdigos deontolgicos deban ser elaborados por los propios
profesionales en el marco de los colegios, asociaciones o agrupaciones que los
representen, y asumidos en forma generalizada como forma de autorregulacin tica
de su actividad, permite que stos incidan en algunos aspectos -inaplicables al resto de
ciudadanos, ya que fuera de su especfico campo de aplicacin seran ineficaces e
inoperantes-, sobre los que, en beneficio de la propia comunidad, establecen unas
determinadas pautas de conducta, a fin de evitar conculcar, por simple
desconocimiento o apata tico-intelectual, derechos de terceras personas.
19
A este respecto los auditores han de ser conscientes, dada su alta especializacin en un
campo habitualmente desconocido por amplios sectores sociales, de la que
moralmente deben asumir respecto a advertir a la sociedad sobre los riesgos y
dependencias que la informtica puede provocar y sobre las medidas que deben
adoptarse para prevenirlos, debiendo servir los cdigos deontolgicos de ejemplo
y cauce idneo para transmitir, al resto de la sociedad, sus singulares y especficas
percepciones, inquietudes y autolimitaciones.
Debe tenerse muy presente que si bien los sistemas informticos, sometidos a
auditoras, son un mero instrumento al servicio de la poltica empresarial, el estudio
de su estructura, y an ms el acceso a la informacin almacenada en su seno, permite a
los auditores obtener una visin y conocimiento tanto de la situacin global como de
determinadas facetas de la empresa o sus empleados
Los cdigos deontolgicos toman asimismo, de las normas materiales, las facetas
reguladores de determinados comportamientos interpersonales como salvaguardia de
derechos individuales y colectivos susceptibles de proteccin institucional, sirviendo de
cauce para coartar, en los mbitos profesionales correspondientes, aquellas
conductas contrarias a lo regulado en sus preceptos mediante la imposicin de
sanciones, contempladas stas desde una perspectiva disciplinaria meramente
profesional.
Ciertamente existe un numeroso conjunto de preceptos incluidos en normas
materiales provenientes del Derecho Constitucional, Civil, Laboral, Mercantil, etc.,
que regulan una gran variedad de actos relacionados con la actividad profesional, pero
ms all de dichos preceptos, y como fundamento de los mismos, debe existir una
"moral profesional" que sirva de gua para determinar cundo un determinado
comportamiento profesional es bueno o malo (moralmente admisible y beneficioso
o moralmente inadmisible y perjudicial).
Con esta perspectiva se hace preciso, en el momento actual, ir planteando, de forma
crtica, la necesidad de sensibilizar a los auditores informticos, integrados en un
sector profesional dotado de una cierta autonoma y con unas caractersticas muy
particulares, de la conveniencia de reflexionar sobre la dualidad de facetas
integradoras de su comportamiento profesional (comportamiento tcnico cualificado
y comportamiento tico) a fin de eliminar el error de creer que su actividad debe
valorarse nicamente en funcin de unos mnimos estndares tcnicos de calidad y
Habilidad obviando los condicionantes ticos que, en caso de conflicto con
condicionantes tcnicos o de cualquier otra ndole (cientficos, econmicos,
promocionales, empresariales, etc.), deben ser considerados como prevalentes.
Principales deontologas aplicables a los auditores Informticos
Los principios deontolgicos aplicables a los auditores deben necesariamente estar en
consonancia con los del resto de profesionales y especialmente con los de aquellos
cuya actividad presente mayores concomitancias con la de la auditora, razn por la cual,
en equivalencia con los principios deontolgicos adoptados por diferentes colegios y
asociaciones profesionales de nuestro entorno socio-cultural, y sin nimo de
20
exhaustividad, se pueden indicar como bsicos, en un orden meramente alfabtico y

ajeno, por tanto, a cualquier ponderacin de importancia, los siguientes:
6.3.5.3.1. Principio de Beneficio del Auditado
El auditor deber ver cmo se puede conseguir la mxima eficacia y rentabilidad de
los medios informticos de la empresa auditada, estando obligado a presentar
recomendaciones acerca del reforzamiento del sistema y el estudio de las soluciones
ms idneas segn los problemas detectados en el sistema informtico de esta ltima,
siempre y cuando las soluciones que se adopten no violen la ley ni los principios
ticos de las normas deontolgicas"12
En ningn caso est justificado que realice su trabajo el prisma del propio beneficio,
sino que por el contrario su actividad debe estar en todo momento orientada a lograr el
mximo provecho de su cliente.
Cualquier actitud que anteponga intereses personales del auditor a los del auditado
deber considerarse como no tica, ya que limitar necesariamente la aptitud del
primero para prestar al segundo toda la ayuda que, a tenor de su capacitacin, puede y
debe aportarle.
Para garantizar tanto el beneficio del auditado como la necesaria independencia del
auditor, este ltimo deber evitar estar ligado en cualquier forma, a intereses de
determinadas marcas, productos o equipos compatibles con los de su cliente, debiendo
eludir hacer comparaciones, entre el sistema o equipos del auditado con los de otros
fabricantes, cuando las mismas slo se realicen con la intencin de influir en las
decisiones de su cliente y provocar un cambio hacia esos otros sistemas o productos
bien por intereses econmicos particulares del auditor o bien por el mayor conocimiento
que tenga de ellos o desee tener.
La adaptacin del auditor al sistema del auditado debe implicar una cierta simbiosis con
el mismo, a fin de adquirir un conocimiento pormenorizado de sus caractersticas
intrnsecas.
A partir de la adquisicin de dicho conocimiento, y con el grado de independencia
indicado anteriormente, estar en condiciones de indicar, si lo considerase pertinente en
forma globalizada o en forma particularizada, las ventajas y desventajas que el sistema
ofrece respecto a otros sistemas o marcas, debiendo obtener de dicha comparacin una
serie de conclusiones que permitan mejorar la calidad y prestaciones del sistema
auditado.
nicamente en los casos en que el auditor dedujese la imposibilidad de que el sistema
pudiera acomodarse a las exigencias propias de su cometido o considerase
excesivamente onerosos los cambios a introducir para obtener una suficiente fiabilidad
a corto y medio plazo, ste podra proponer un cambio cualitativamente significativo de
determinados elementos o del propio sistema informtico globalmente contemplado.
12
Idem. Pg. 257
21
Una vez estudiado el sistema informtico a auditar, el auditor deber establecer los
requisitos mnimos, aconsejables y ptimos para su adecuacin a la finalidad para la
que ha sido diseado, determinando en cada caso su adaptabilidad, fiabilidad,
limitaciones, posibles mejoras y costes de las mismas, con objeto de presentar al
auditado una serie de opciones de actuacin en funcin de dichos parmetros a fin de
que ste pueda valorar las relaciones coste-eficacia-calidad-adaptabilidad de las
diferentes opciones, facilitndole un abanico de posibilidades de establecer una poltica
a corto, medio y largo plazo acorde con sus recursos y necesidades reales.
El auditor deber lgicamente abstenerse de recomendar actuaciones innecesariamente
onerosas, dainas o que generen riesgos injustificados para el auditado, e igualmente de
proponer modificaciones carentes de base cientfica contrastada, insuficientemente
probada, o de imprevisible futuro.
Una de las cuestiones ms controvertidas, respecto de la aplicacin de este principio, es
la referente a facilitar el derecho de las organizaciones auditadas a la libre eleccin del
auditor, lo que implica el deber moral de evitar generar dependencias de los primeros
respecto de los segundos, aunque dicho condicionante perjudique determinadas
expectativas econmicas de estos ltimos.
Igualmente, si el auditado decidiera encomendar posteriores auditoras a otros
profesionales, stos deberan poder tener acceso a los informes de los trabajos
anteriormente realizados sobre el sistema del auditado siempre y cuando con ello no se
vulnerasen derechos de terceros protegidos con el secreto profesional que el auditor
debe en todo momento guardar.
6.3.5.3.2. Principio de calidad
El auditor deber prestar sus servicios a tenor de las posibilidades de la ciencia y
medios a su alcance con absoluta libertad respecto a la utilizacin de dichos medios y
en unas condiciones tcnicas adecuadas para el idneo cumplimiento de su labor13
En los casos en que la precariedad de medios puestos a su disposicin impida o
dificulten seriamente la realizacin de la auditora, deber negarse a realizarla hasta
que se le garantice un mnimo de condiciones tcnicas que no comprometan la
calidad de sus servicios o dictmenes.
Cuando durante la ejecucin de la auditora, el auditor considerase conveniente
recabar el informe de otros tcnicos ms cualificados sobre algn aspecto o
incidencia que superase su capacitacin profesional para analizarlo en idneas
condiciones, deber remitir el mismo a un especialista en la materia o recabar su
dictamen para reforzar la calidad y fiabilidad global de la auditora.
6.3.5.3.3 Principio de capacidad
El auditor debe estar plenamente capacitado para la realizacin de la auditora
encomendada, mxime teniendo en cuenta que, en la mayora de los casos, dada su
13
Idem. Pg. 259
22
especializacin, a los auditados en algunos casos les puede ser extremadamente

difcil verificar sus recomendaciones y evaluar correctamente la precisin de las
mismas14
Hay que tener muy presente que el auditor, al igual que otros determinados
profesionales (mdicos, abogados, educadores, etc.), puede incidir en la toma de
decisiones de la mayora de sus clientes con un elevado grado de autonoma, dada la
dificultad prctica de los mismos de contrastar su capacidad profesional y el
desequilibrio de conocimientos tcnicos existentes entre el auditor y los auditados.
Debe, por tanto, ser plenamente consciente del alcance de sus conocimientos y de su
capacidad y aptitud para desarrollar la auditora evitando que una sobreestimacin
personal pudiera provocar el incumplimiento parcial o total de la misma, aun en los
casos en que dicho incumplimiento no pueda ser detectado por las personas que le
contraten dadas sus carencias cognitivas tcnicas al respecto.
Conviene indicar que en los casos de producirse, por el contrario, una subestimacin
de su capacidad profesional, esta circunstancia podra afectar negativamente en la
confianza del auditado sobre el resultado final de la auditora, dejndole una
innecesaria impresin de inseguridad sobre las propuestas o decisiones a adoptar.
A efectos de garantizar, en la medida de lo posible, la pertinencia de sus
conocimientos, el auditor deber procurar que stos evolucionen, al unsono con el
desarrollo de las tecnologas de la informacin, en una forma dinmica, evitando una
perniciosa estaticidad tcnico-intelectual que, en este campo de la ciencia, origina
una drstica reduccin de las garantas de seguridad y una obsolescencia de mtodos
y tcnicas que pueden inhabilitarle para el ejercicio de su profesin.
Conviene por ltimo llamar la atencin sobre la casustica de la acreditacin de la
capacitacin de los auditores con la pregunta clsica, adaptada a las circunstancias de
esta profesin, de quin audita a los auditores?
Es deseable que se fortalezca la certificacin profesional de la aptitud de los
auditores para realizar unos trabajos de ndole tan compleja.
Esta certificacin que deber tener un plazo de validez acorde con la evolucin de las
nuevas tecnologas de la informacin, debera estar avalada y garantizada por la
metodologa empleada para acreditar dicha especializacin, la independencia de las
entidades certificadoras, y la solvencia profesional, objetivamente contrastada, de los
rganos, necesariamente colegiados, que en las mismas se creen con la finalidad de
apreciar la formacin y cualificacin profesional de los solicitantes de la misma.
6.3.5.3.4. Principio de cautela
El auditor debe en todo momento ser consciente de que sus recomendaciones deben
estar basadas en la experiencia contrastada que se le supone tiene adquirida, evitando
que, por un exceso de vanidad, el auditado se embarque en proyectos de futuro
14
Idem. Pg. 259
23
fundamentados en simples intuiciones sobre la posible evolucin de las nuevas

tecnologas de la informacin15
Si bien es cierto que el auditor debe estar al comente del desarrollo de dichas
tecnologas de la informacin e informar al auditado de su previsible evolucin, no
es menos cierto que debe evitar la tentacin de creer que, gracias a sus
conocimientos, puede aventurar, con un casi absoluto grado de certeza, los futuros
avances tecnolgicos y transmitir, como medio de demostrar su cualificada
especializacin, dichas previsiones como hechos incontestables incitando al auditado
a iniciar ilusorios e insuficientemente garantizados proyectos de futuro.
Debe, por tanto, el auditor actuar con un cierto grado de humildad, evitando dar la
impresin de estar al corriente de una informacin privilegiada sobre el estado real
de la evolucin de los proyectos sobre nuevas tecnologas y ponderar las dudas que
le surjan en el transcurso de la auditora a fin de poner de manifiesto las diferentes
posibles lneas de actuacin en funcin de previsiones reales y porcentajes de riesgo
calculados de las mismas, debidamente fundamentadas.
6.3.5.3.5. Principio de comportamiento profesional
El auditor, tanto en sus relaciones con el auditado como con terceras personas,
deber, en todo momento, actuar conforme a las normas, implcitas o explcitas, de
dignidad de la profesin y de correccin en el trato personal16
Para ello deber cuidar la moderacin en la exposicin de sus juicios u opiniones
evitando caer en exageraciones o atemorizaciones innecesarias procurando, en todo
momento, transmitir una imagen de precisin y exactitud en sus comentarios que
avalen su comportamiento profesional e infundan una mayor seguridad y confianza a
sus clientes.
El comportamiento profesional exige del auditor una seguridad en sus conocimientos
tcnicos y una clara percepcin de sus carencias, debiendo eludir las injerencias no
solicitadas por l, de profesionales de otras reas, en temas relacionados o que
puedan incidir en el resultado de la auditora y, cuando precisase del asesoramiento
de otros expertos, acudir a ellos, dejando en dicho supuesto constancia de esa
circunstancia y reflejando en forma diferenciada, en sus informes y dictmenes, las
opiniones y conclusiones propias y las emitidas por los mismos.
El auditor debe asimismo guardar un escrupuloso respeto por la poltica empresarial
del auditado, aunque sta difiera ostensiblemente de las del resto del sector en las que
desarrolla su actividad, evitar comentarios extemporneos sobre la misma en tanto no
estn relacionados o afecten al objeto de la auditora y analizar pormenorizadamente
las innovaciones concretas puestas en marcha por el auditado a fin de determinar sus
especficas ventajas y riesgos, eludiendo evaluarlas nicamente a tenor de los
estndares medios del resto de empresas de su sector.
15
16
Idem. Pg. 260

Idem. Pg. 261
24
Igualmente debe evitar realizar actos que simulen aplicaciones de tratamientos

ficticios, encubran comportamientos no profesionales o den publicidad a
metodologas propias o ajenas insuficientemente contrastadas y garantizadas.
6.3.5.3.6. Principio de concentracin en el trabajo
En su lnea de actuacin, el auditor deber evitar que un exceso de trabajo supere
sus posibilidades de concentracin y precisin en cada una de las tareas a l '
encomendadas, ya que la saturacin y dispersin de trabajos suele a menudo, si no
est debidamente controlada, provocar la conclusin de los mismos sin las debidas
garantas de seguridad17
A este efecto, el auditor deber sopesar las posibles consecuencias de una
acumulacin excesiva de trabajos a fin de no asumir aquellos que objetivamente no
tenga tiempo de realizar con las debidas garantas de calidad, debiendo rechazar o
posponer los que en dichas circunstancias se le ofrezcan.
Asimismo deber evitar la desaconsejable prctica de ahorro de esfuerzos basada en
la reproduccin de partes significativas de trabajos o conclusiones obtenidas de
trabajos previos en otros posteriores elaborados como colofn de nuevas auditoras.
Por el contrario, s es admisible el que, una vez analizados en profundidad los
aspectos a tener en cuenta y obtenidas las correspondientes conclusiones, se
contrasten las mismas a tenor de la experiencia adquirida y reflejada en anteriores
informes, ya que este modo de actuar permite detectar posibles omisiones en el
estudio, completar los trabajos sobre el objeto de la auditora incompletamente
ejecutados y cubrir las imprevisiones detectadas por medio de esta comparacin.
Este comportamiento profesional permitir al auditor dedicar a su cliente la mayor
parte de los recursos posibles obtenidos de sus conocimientos y experiencias previas
con una completa atencin durante la ejecucin de la auditora sin injerencias o
desatenciones originadas por prestaciones ajenas a la misma.
6.3.5.3.7. Principio de confianza
El auditor deber facilitar e incrementar la confianza del auditado en base a una
actuacin de transparencia en su actividad profesional sin alardes cientfico-tcnicos
que, por su incomprensin, puedan restar credibilidad a los resultados obtenidos y a
las directrices aconsejadas de actuacin18
Este principio requiere asimismo, por parte del auditor, el mantener una confianza en
las indicaciones del auditado aceptndolas sin reservas como vlidas, a no ser que
observe datos que las contradigan y previa confirmacin personal de la inequvoca
veracidad de los mismos.
Para fortalecer esa confianza mutua se requiere por ambas partes una disposicin de
dilogo sin ambigedades que permita aclarar las dudas que, a lo largo de la
auditora, pudieran surgir sobre cualesquiera aspectos que pudieran resultar
17
18
Idem. Pg 262
Idem. Pg 264
25
conflictivos, todo ello con la garanta del secreto profesional que debe regir en su
relacin.
El auditor deber, en consonancia con esta forma de actuar, adecuar su lenguaje al
nivel de comprensin del auditado, descendiendo y detallando cuanto haga falta en
su explicacin debiendo solicitar, cuando lo considere necesario, la presencia de
alguno de los colaboradores de confianza de su cliente que pudiera apreciar
determinados aspectos tcnicos cuando precise informarle sobre cuestiones de una
especial complejidad cientfica.
6.3.5.3.8. Principio de criterio propio
El auditor durante la ejecucin de la auditora deber actuar con criterio propio y no
permitir que ste est subordinado al de otros profesionales, aun de reconocido
prestigio, que no coincidan con el mismo.
En los casos en que aprecie divergencias de criterio con dichos profesionales sobre
aspectos puntuales de su trabajo, deber reflejar dichas divergencias dejando
plenamente de manifiesto su propio criterio e indicando, cuando aqul est
sustentado en metodologas o experiencias que difieran de las comentes
profesionales mayoritariamente asumidas, dicha circunstancia.
La defensa a ultranza del propio criterio no es bice para respetar las crticas
adversas de terceros, aunque el auditor debe evitar que, si una vez analizadas
contina discrepando de las mismas, stas puedan seguir influyendo en su trabajo, ya
que la libertad de criterio impone al auditor la obligacin tica de actuar en todo
momento en la forma que l considere personalmente ms beneficiosa para el
auditado, aun cuando terceras personas le inciten a desarrollar lneas diferentes de
actuacin.
Este principio exige asimismo del auditor una actitud cuasibeligerante en los casos
en que llegue al convencimiento de que la actividad que se le solicita, presuntamente
para evaluar y mejorar un sistema informtico, tiene otra finalidad ajena a la
auditora, en cuyo caso deber negarse a prestar su asistencia poniendo de manifiesto
el porqu de dicha negativa.
De igual forma cuando el auditor observe que, de forma reiterada, el auditado se
niega, sin justificacin alguna, a adoptar sus propuestas, deber plantearse la
continuidad de sus servicios en funcin de las razones y causas que considere puedan
justificar dicho proceder.
6.3.5.3.9. Principio de discrecin
El auditor deber en todo momento mantener una cierta discrecin en la divulgacin
de datos, aparentemente inocuos, que se le hayan puesto de manifiesto durante la
ejecucin de la auditora19
19
Idem. Pg. 266
26
Este cuidado deber extremarse cuando la divulgacin de dichos datos pudiera

afectar a derechos relacionados con la intimidad o profesionalidad de las personas
concernidas por los mismos o a intereses empresariales, y mantenerse tanto durante la
realizacin de la auditora como tras su finalizacin.
6.3.5.3.10. Principio de economa
El auditor deber proteger, en la medida de sus conocimientos, los derechos
econmicos del auditado evitando generar gastos innecesarios en el ejercicio de su
actividad20
En cumplimiento de este principio deber procurar evitar dilaciones innecesarias en
la realizacin de la auditora. Esta economa de tiempos permitir al auditado reducir
los plazos de actuacin tendentes a solventar los problemas detectados o a la
adecuacin a los nuevos mtodos propuestos aportando un determinado valor
aadido al trabajo del auditor.
De igual forma, el auditor deber tener en cuenta la economa de medios materiales o
humanos, eludiendo utilizar aquellos que no se precisen, lo que redundar en
reducciones de gastos no justificados.
Conviene, en virtud de este principio, delimitar en la forma ms concreta posible ab
initio el alcance y lmites de la auditora a efectos de evitar tener que realizar estudios
sobre aspectos colaterales no significativos, que detraen tiempo y medios para su
anlisis, y emitir informes sobre temas circunstanciales o ajenos a la finalidad
perseguida.
El auditor deber rechazar las ampliaciones del trabajo en marcha, aun a peticin del
auditado, sobre asuntos no directamente relacionados con la auditora, dejando que
de ellos se encarguen los profesionales ad hoc, y evitar entrar en discusiones,
comentarios, visitas de cortesas, etc. que no estn justificadas con la ejecucin de la
misma.
En las recomendaciones y conclusiones realizadas en base a su trabajo deber
asimismo eludir, incitar o proponer actuaciones que puedan generar gastos
innecesarios o desproporcionados.
6.3.5.3.11. Principio de formacin continuada
Este principio, ntimamente ligado al principio de capacidad y vinculado1 a la
continua evolucin de las tecnologas de la informacin y las metodologas
relacionadas con las mismas, impone a los auditores el deber y la responsabilidad de
mantener una permanente actualizacin de sus conocimientos y mtodos a fin de
adecuarlos a las necesidades de la demanda y a las exigencias de la competencia de
la oferta21
20
21
Idem, Pg. 266

Idem. Pg. 268
27
La progresiva especializacin de sus clientes exige asimismo de los auditores, para

poder mantener el grado de confianza que se precisa para dejar en sus manos el
anlisis de las prestaciones de los sistemas informticos, un continuo plan de
formacin personal que implique un seguimiento del desarrollo y oportunidades de
las nuevas tecnologas de la informacin para poder incorporar dichas innovaciones,
una vez consolidadas, a los sistemas de sus clientes, evitando de esta forma su
obsolescencia.
6.3.5.3.12. Principio de fortalecimiento y respeto de la profesin
La defensa de los auditados pasa por el fortalecimiento de la profesin de los
auditores informticos, lo que exige un respeto por el ejercicio, globalmente
considerado, de la actividad desarrollada por los mismos y un comportamiento
acorde con los requisitos exigibles para el idneo cumplimiento de la finalidad de las
auditoras22
En consonancia con el principio de defensa de la profesin de los auditores, stos
debern cuidar del reconocimiento del valor de su trabajo y de la correcta valoracin
de la importancia de los resultados obtenidos con el mismo.
En cuanto a la remuneracin por su actividad profesional sta debera estar acorde
con la preparacin del auditor y con el valor aadido que aporta al auditado con su
trabajo, siendo rechazable el establecimiento de acuerdos que impliquen
remuneraciones al auditor manifiestamente desproporcionadas tanto por insuficientes
como por abusivas, ya que a largo plazo, tanto las unas como las otras redundan en un
debilitamiento del reconocimiento y aprecio de la profesin.
El auditor deber, por tanto, en prestigio de su profesin, evitar competir
deslealmente con sus compaeros rebajando sus precios a lmites impropios del
trabajo a realizar con la finalidad de eliminar competidores y reducir la competencia
profesional, e igualmente evitar abusar de su especializacin para imponer una
remuneracin como contrapartida a su actividad profesional que manifiestamente
exceda del valor objetivo de su trabajo.
Como integrante de un grupo profesional, deber promover el respeto mutuo y la no
confrontacin entre compaeros. Este respeto no est reido, sin embargo, con la
denuncia de comportamientos indebidos, parasitarios o dolosos en los casos en que
stos le hayan quedado patentes, ya que estas denuncias deben contemplarse en el
marco de la defensa de la propia profesin como forma de elevar su reconocimiento.
En sus relaciones profesionales deber exigir asimismo una reciprocidad en el
comportamiento tico de sus colegas y facilitar las relaciones de confraternidad y
mutuo apoyo cuando as se lo soliciten. Este mutuo apoyo no debe entenderse en
ningn caso como contraprestacin gratuita de asesoramiento, sino como cauce de
colaboracin en temas puntuales que precisen de una cierta especializacin o
contrastacin de opiniones.
22
Idem. Pg. 268
28
6.3.5.3.13. Principio de independencia

Este principio, muy relacionado con el principio de criterio propio, obliga al auditor,
tanto si acta como profesional externo o con dependencia laboral respecto a la
empresa en la que deba realizar la auditora informtica, a exigir una total
autonoma e independencia en su trabajo, condicin sta imprescindible para
permitirle actuar libremente segn su leal saber y entender23
La independencia del auditor constituye, en su esencia, la garanta de que los
intereses del auditado sern asumidos con objetividad; en consecuencia el correcto
ejercicio profesional de los auditores es antagnico con la realizacin de su actividad
bajo cualesquiera condiciones que no permitan garantizarla.
Esta independencia implica asimismo el rechazo de criterios con los que no est
plenamente de acuerdo, debiendo reflejar en su informe final tan slo aquellos que
considere pertinentes, evitando incluir en el mismo aquellos otros con los que
disienta aunque sea impelido a ello.
El auditor igualmente deber preservar su derecho y obligacin de decir y poner de
manifiesto todo aquello que segn su ciencia y conciencia considere necesario, y
abstenerse de adoptar mtodos o recomendar lneas de actuacin que, segn su
entender, pudieran producir perjuicios al auditado, aunque ste as se lo solicite.
A efectos de salvaguardar su independencia funcional, deber eludir establecer
dependencias con firmas que la limiten a fin de evitar que, aun subjetivamente, pueda
producirse una reduccin de su libertad de actuacin profesional.
Conviene, sin embargo, diferenciar esta independencia en su trabajo de la exigencia
de utilizar el resultado del mismo, lo que obviamente entra en el campo competencial
de la potestad de actuacin del auditado, el cual puede seguir o ignorar, por las
razones que estime convenientes, sus informes, recomendaciones, orientaciones o
consejos sin que ello suponga merma alguna en la independencia del auditor.
6.3.5.3.14. Principio de informacin suficiente
Este principio de primordial inters para el auditado, obliga al auditor a ser plenamente
consciente de su obligacin de aportar, en forma pormenorizadamente clara, precisa e
inteligible para el auditado, informacin tanto sobre todos y cada uno de los puntos
relacionados con la auditora que puedan tener algn inters para l, como sobre las
conclusiones a las que ha llegado, e igualmente informarle sobre la actividad
desarrollada durante la misma que ha servido de base para llegar a dichas
conclusiones24
Dicha informacin deber estar constituida por aquella que el auditor considere
conveniente o beneficiosa para los intereses o seguridad de su cliente y estar en
consonancia con la utilidad que pueda tener, en el presente o en el futuro, para el
mismo. Junto a dicha informacin deber asimismo facilitar cualquier otra que le sea
23
24
Idem. Pg. 269

Idem. Pg. 271
29
requerida por el auditado, aunque la considere intranscendente o poco significativa,

siempre y cuando sta tenga una relacin directa y no meramente circunstancial con el
objeto de la auditora y no afecte a datos nominativos cuyo deber de secreto le sea
exigible.
En dichas informaciones deber evitar aportar datos intrascendentes para su cliente
(datos que slo afecten a su propia imagen comercial o profesional del auditor autopropaganda-, datos comerciales no pertinentes, etc.), que slo persigan incrementar
el volumen del informe o justificar la ausencia de determinadas precisiones de singular
importancia mediante la aportacin de otras de menor inters y de ms fcil elaboracin
para el auditor.
El auditor deber asimismo comprometerse con sus conclusiones, debiendo indicar en
ellas los defectos observados en el sistema informtico, las lneas de actuacin que
recomienda y las dudas que respecto a las mismas se le plantean, indicando en este
ltimo caso si la causa excepcional que las produce se deriva de una insuficiencia de
datos sobre el propio sistema, de una falta de conocimientos tcnicos del propio auditor
que le impide decidirse, con una mnima garanta de Habilidad, sobre la conveniencia
de inclinarse preferentemente por alguna de ellas, o de una incertidumbre sobre posibles
evoluciones a medio o largo plazo de los avances tecnolgicos.
Ciertamente el auditor debe ser consciente de que la explicitacin de sus dudas afectar
a la confianza del auditado, pero en cualquier caso es preferible transmitir una
informacin veraz, entendida sta como la que es exigible a todo buen profesional en el
ejercicio de su actividad a tenor de sus conocimientos, que trasmitir, como opinin
experta, una informacin de la que no pueda garantizar personalmente su exactitud.
Es importante asimismo que la informacin trasmitida al auditado ponga de manifiesto
una prudencia y sentido de la responsabilidad, caractersticas estas que nunca deben
estar reidas con los principios de suficiencia informativa y de veracidad, evitando
recrear los aspectos negativos o los errores humanos detectados que deben quedar
reflejados con un cierto tacto profesional.
El auditor debe evitar hacer recaer la totalidad de inadaptaciones del sistema sobre
algunos elementos singulares (personales o materiales), ignorando aquellos otros que
pudieran tener incidencia en los fallos o anomalas detectadas, por simple comodidad
en la elaboracin de sus informes, y huir del secretismo en cuanto a la explicitacin
de los mtodos utilizados siendo inadmisible que se aproveche para ello de la buena
fe del auditado.
La labor informativa del auditor deber, por tanto, estar basada en la suficiencia,
autonoma y mximo aprovechamiento de la misma por parte de su cliente, debiendo
indicar junto a sus juicios de valor, la metodologa que le ha llevado a establecerlos
para, de esta forma, facilitar el que, en futuras auditoras, puedan aprovecharse los
conocimientos extrados de la as realizada, eludiendo monopolios fcticos y
dependencias generadas por oscurantismo en la trasmisin de la informacin.
30
6.3.5.3.15. Principio de integridad moral

Este principio, inherentemente ligado a la dignidad de persona, obliga al auditor a
ser honesto, leal y diligente en el desempeo de su misin, a ajustarse a las normas
morales, de justicia y probidad, y a evitar participar, voluntaria o inconscientemente,
en cualesquiera actos de corrupcin personal o de terceras personas25
El auditor no deber, bajo ninguna circunstancia, aprovechar los conocimientos
adquiridos durante la auditora para utilizarlos en contra del auditado o de terceras
personas relacionadas con el mismo.
Durante la realizacin de la auditora, el auditor deber emplear la mxima
diligencia, dedicacin y precisin, utilizando para ello todo su saber y entender.
6.3.5.3.16. Principio de legalidad
En todo momento el auditor deber evitar utilizar sus conocimientos para facilitar, a
los auditados o a terceras personas, la contravencin de la legalidad vigente26
En ningn caso consentir ni colaborar en la desactivacin o eliminacin de
dispositivos de seguridad ni intentar obtener los cdigos o claves de acceso a
sectores restringidos de informacin generados para proteger los derechos,
obligaciones o intereses de terceros (derecho a la intimidad, secreto profesional,
propiedad intelectual, etc.).
De igual forma los auditores debern abstenerse de intervenir lneas de comunicacin
o controlar actividades que puedan generar vulneracin de derechos personales o
empresariales dignos de proteccin.
La primaca de esta obligacin exige del auditor un comportamiento activo de
oposicin a todo intento, por parte del auditado o de terceras personas, tendente a
infringir cualquier precepto integrado en el derecho positivo.
6.3.5.3.17. Principio de libre competencia
La actual economa de mercado exige que el ejercicio de la profesin se realice en el
marco de la libre competencia, siendo rechazables, por tanto, las prcticas colusorias
tendentes a impedir o limitar la legtima competencia de otros profesionales y las
prcticas abusivas consistentes en el aprovechamiento en beneficio propio, y en contra
de los intereses de los auditados, de posiciones predominantes27
En la comercializacin de los servicios de auditora informtica deben evitarse tanto los
comportamientos parasitarios como los meramente desleales, entendidos los primeros
como aprovechamientos indebidos del trabajo y reputacin de otros en beneficio
propio, y los segundos como intentos de confundir a los demandantes de dichos
25
Idem. Pg. 273

Idem. Pg. 275
27
Idem. Pg. 276
26
31
servicios mediante ambigedades, insinuaciones o puntualizaciones que slo tengan por

objetivo enmascarar la calidad y fiabilidad de la oferta.
6.3.5.3.18. Principio de no discriminacin
El auditor en su actuacin previa, durante y posterior a la auditora, deber evitar
inducir, participar o aceptar situaciones discriminatorias de ningn tipo, debiendo
ejercer su actividad profesional sin prejuicios de ninguna clase y con independencia de las
caractersticas personales, sociales o econmicas de sus clientes 28
Deber evitar cualquier tipo de condicionantes personalizados y actuar en todos los
casos con similar diligencia con independencia de los beneficios obtenidos del auditado,
de las simpatas personales que tenga hacia ste o de cualquier otra circunstancia.
Su actuacin deber asimismo mantener una igualdad de trato profesional con la
totalidad de personas con las que en virtud de su trabajo tenga que relacionarse con
independencia de categora, estatus empresarial o profesional, etc.
6.3.5.3.19. Principio de no injerencia
El auditor, dada la incidencia que puede derivarse de su tarea, deber evitar
injerencias en los trabajos de otros profesionales, respetar su labor y eludir hacer
comentarios que pudieran interpretarse como despreciativos de la misma o provocar
un cierto desprestigio de su cualificacin profesional, a no ser que, por necesidades
de la auditora, tuviera que explicitar determinadas inidoneidades que pudieran
afectar a las conclusiones o el resultado de su dictamen29
Deber igualmente evitar aprovechar los datos obtenidos de la auditora para entrar
en competencia desleal con profesionales relacionados con ella de otras reas del
conocimiento. Esa injerencia es mayormente reprobable en los casos en los que se
incida en aquellos campos de actividad para los que el auditor no se encuentre
plenamente capacitado.
6.3.5.3.20. Principio de precisin
Este principio estrechamente relacionado con el principio de calidad exige del
auditor la no conclusin de su trabajo hasta estar convencido, en la medida de lo
posible, de la viabilidad de sus propuestas, debiendo ampliar el estudio del sistema
informtico cuanto considere necesario, sin agobios de plazos (con la excepcin de lo
ya indicado anteriormente respecto al principio de economa) siempre que se cuente
con la aquiescencia del auditado, hasta obtener dicho convencimiento30
En la exposicin de sus conclusiones deber ser suficientemente crtico, no eludiendo
poner de manifiesto aquellos aspectos concretos que considere puedan tener una
cierta incidencia en la calidad y fiabilidad de la auditora, ni quedndose en
generalidades o indefiniciones que por su amplitud o ambigedad slo pretendan
28
Idem. Pg. 276

Idem. Pg. 280
30
Idem. Pg. 281
29
32
cubrir al auditor de los riesgos derivados de toda concrecin en detrimento de los

derechos e intereses del auditado.
Es exigible asimismo del auditor que indique como evaluado nicamente aquello que
directamente, o por medio de sus colaboradores, haya comprobado u observado de
forma exhaustiva, eludiendo indicar como propias y contrastadas las observaciones
parciales o incompletas o las recabadas de terceras personas.
6.3.5.3.21. Principio de publicidad adecuada
La oferta y promocin de los servicios de auditora debern en todo momento
ajustarse a las caractersticas, condiciones y finalidad perseguidas, siendo contraria a
la tica profesional la difusin de publicidad falsa o engaosa que tenga como
objetivo confundir a los potenciales usuarios de dichos servicios 31
La defensa del prestigio de la profesin obliga asimismo a los auditores informticos
a evitar las campaas publicitarias que, por su contenido, puedan desvirtuar la
realidad de sus servicios, enmascaren los lmites de los mismos, oscurezcan sus
objetivos o prometan resultados de imprevisible, cuando no imposible, consecucin.
6.3.5.3.22. Principio de responsabilidad
El auditor deber, como elemento intrnseco de todo comportamiento profesional,
responsabilizarse de lo que haga, diga o aconseje, sirviendo esta forma de actuar
como cortapisa de injerencias extraprofesionales32
Si bien este principio aparentemente puede resultar especialmente gravoso en
auditoras de gran complejidad, que por otra parte son las habitualmente
encomendadas a los auditores informticos, es preciso tenerlo presente a fin de poder
garantizar su responsabilidad en los casos en que, debido a errores humanos durante
la ejecucin de la auditora, se produzcan daos a su cliente que le pudieran ser
imputados.
Por ello es conveniente impulsar la formalizacin y suscripcin de seguros,
adaptados a las peculiares caractersticas de su actividad, que cubran la
responsabilidad civil de los auditores con una suficiente cobertura a fin de acrecentar
la confianza y solvencia de su actuacin profesional.
Obviamente las compaas aseguradoras podrn introducir determinados mdulos
correctores del coste de suscripcin de las correspondientes plizas a tenor de las
garantas que los auditores puedan aportar (certificaciones profesionales, aos de
experiencia, etc.), lo que avalara una ms racional estructuracin de la oferta.
La responsabilidad del auditor conlleva la obligacin de resarcimiento de los daos o
perjuicios que pudieran derivarse de una actuacin negligente o culposa, si bien
debera probarse la conexin causa-efecto originaria del dao, siendo aconsejable
estipular a priori un tope mximo de responsabilidad sobre los posibles daos acorde
con la remuneracin acordada como contraprestacin por la realizacin de la auditora.
31
32
Idem. Pg. 282

Idem. Pg. 283
33
6.3.5.3.23. Principio de secreto profesional

La confidencia y la confianza son caractersticas esenciales de las relaciones entre el
auditor y el auditado e imponen al primero la obligacin de guardar en secreto los
hechos e informaciones que conozca en el ejercicio de su actividad profesional.
Solamente por imperativo legal podr decaer esa obligacin33
Este principio, inherente al ejercicio de la profesin del auditor, estipulado en
beneficio de la seguridad del auditado, obliga al primero a no difundir a terceras
personas ningn dato que haya visto, odo, o deducido durante el desarrollo de su
trabajo que pudiera perjudicar a su cliente, siendo nulos cualesquiera pactos
contractuales que pretendieran excluir dicha obligacin.
El mantenimiento del secreto profesional sobre la informacin obtenida durante la
auditora se extiende a aquellas personas que, bajo la potestad organizadora del
auditor, colaboren con l en cualquiera de las actividades relacionadas con la misma.
Si se produjese una dejacin, por parte de las personas que dependen del auditor, de
la obligacin de mantener secreto sobre los datos obtenidos de la auditora, recaer
sobre ellos la correspondiente obligacin de resarcimiento por los daos materiales o
morales causados como consecuencia de la misma, obligacin que compartirn
solidariamente con el auditor en virtud de la responsabilidad in eligiendo o in
vigilando que ste asume por los actos de sus colaboradores.
Este deber de secreto impone asimismo al auditor el establecimiento de las medidas y
mecanismos de seguridad pertinentes para garantizar al auditado que la informacin
documentada, obtenida a lo largo de la auditora, va a quedar almacenada en entornos
o soportes que impidan la accesibilidad a la misma por terceras personas no
autorizadas. El auditor tan slo deber permitir el acceso y conocimiento de la misma a
los profesionales que, bajo su dependencia organizativa, estn igualmente sujetos al
deber de mantener el secreto profesional y en la medida en que, por las necesidades de
informacin de los mismos, sea preciso.
No debe considerarse, por el contrario, como vulneracin del secreto profesional, la
transmisin de datos confidenciales del auditado a otros profesionales cuando esta
circunstancia se origine por expresa peticin del mismo; la conservacin de los
informes durante un plazo prudencial, siempre y cuando se cuente con las medidas
de seguridad adecuadas; la difusin, con una finalidad cientfica, o meramente
divulgativa, de los problemas detectados en la auditora y las soluciones a los
mismos si previamente se disgregan los datos de forma tal que no puedan asociarse
en ningn caso los mismos a personas o empresas determinadas; ni, por ltimo, la
revelacin del secreto por imperativo legal siguiendo los cauces correspondientes,
debindose, aun as, mantener al mximo la cautela que impone dicho levantamiento
del secreto.
33
Idem. Pg. 283
34
En los casos en que el auditor acte por cuenta ajena en el marco contractual
establecido con la empresa por medio de la cual presta sus servicios al auditado, la
transmisin de la informacin recogida durante la auditora a su empresa deber
circunscribirse nicamente a los datos administrativos reguladores de su actividad
(precio de la auditora, gastos generados, tiempo empleado, medios de la empresa
utilizados, etc.), excluyendo de dicha informacin los datos tcnicos observados en el
sistema informtico o los relacionados con cualesquiera otros aspectos, a no ser que el
auditado consienta fehacientemente en que dichos datos sean entregados a los
responsables de la empresa que, en este caso, quedarn a su vez obligados a
mantener el secreto profesional sobre los mismos.
6.3.5.3.24. Principio de servicio pblico
La aplicacin de este principio debe incitar al auditor a hacer lo que est en su mano
y sin perjuicio de los intereses de su cliente, para evitar daos sociales como los que
pueden producirse en los casos en que, durante la ejecucin de la auditora, descubra
elementos de software dainos (virus informticos) que puedan propagarse a otros
sistemas informticos diferentes del auditado. En estos supuestos el auditor deber
advertir, necesariamente en forma genrica, sobre la existencia de dichos virus a fin
de que se adopten las medidas sociales informativas pertinentes para su prevencin,
pero deber asimismo cuidar escrupulosamente no dar indicios que permitan
descubrir la procedencia de su informacin34
El auditor deber asimismo tener presente la ponderacin entre sus criterios ticos
personales y los criterios ticos subyacentes en la sociedad en la que presta sus
servicios, debiendo poner de manifiesto sus opciones personales cuando entren en
contradiccin con la tica social que el auditado pueda presumir que est
implcitamente aceptada por el auditor.
Este principio de adaptabilidad u oposicin constructiva tanto a los principios ticos
sociales, asumidos como vlidos por la comunidad, como a las costumbres dimanantes
de los mismos, facilita la necesaria y permanente crtica social sobre dichos principios
y costumbres, permitiendo su adaptacin a las nuevas necesidades y perspectivas abiertas
con el progreso tecnolgico regional o mundial.
La consideracin del ejercicio profesional de los auditores como servicio pblico
globalmente considerado, exige igualmente una continua elevacin del arte de la
ciencia en el campo de la auditora informtica, lo que nicamente puede lograrse con la
participacin activa de los profesionales de dicho sector en la definicin de las
caractersticas y exigencias de su actividad profesional y, por ende, en la elaboracin
de los cdigos deontolgicos reguladores del ejercicio responsable de dicha actividad.
6.3.5.3.25. Principio de veracidad
El Auditor en sus comunicaciones con el auditado deber tener siempre presente la
obligacin de asegurar la veracidad de sus manifestaciones con los lmites
impuestos por los deberes de respeto, correccin y secreto profesional35
34
35
Idem. Pg. 285

Idem. Pg. 386
35
El principio de veracidad no debe, sin embargo, considerarse como constreido a

expresar nicamente aquello sobre lo que se tenga una absoluta y total certeza, sino
que implica, con el grado de subjetividad que esto conlleva, poner de manifiesto
aquello que, a tenor de sus conocimientos y de lo considerado como "buena prctica
profesional", tenga el suficiente grado de fiabilidad como para ser considerado
comnmente como veraz mientras no se aporten datos o pruebas que demuestren lo
contrario.
Es conveniente tener presentes los criterios expuestos por nuestro Tribunal
Constitucional al respecto, generalmente asociado con la actividad de los profesionales
de la comunicacin, que indican que la obligacin de veracidad impone un especfico
deber de diligencia que se puede y debe exigir al profesional en la transmisin de la
informacin sobre hechos que deben haber sido necesariamente contrastados con datos
objetivos, excluyendo por tanto de dicha calificacin de veracidad a aquella
informacin basada en "conductas negligentes" del profesional y an ms a aquella
otra proveniente de quien comunique como hechos simples rumores o, peor an,
meras invenciones o insinuaciones insidiosas, considerando como admisible y
presuntamente veraz "la informacin rectamente obtenida y difundida, aun cuando su
total exactitud sea controvertible" (STC de 21 de enero de 1988), ya que, como la
citada sentencia indica, "las afirmaciones errneas son inevitables en un debate libre, de
tal forma que de imponerse la verdad como condicin para reconocimiento del derecho
protegido por el artculo 20.1.d) de la Constitucin (a comunicar y recibir informacin
veraz) la nica garanta de la seguridad jurdica sera el silencio".
Los criterios del Tribunal Constitucional sobre el alcance de la obligacin de
veracidad han sido reiterados asimismo en sucesivas sentencias en las que se expresa
"informacin veraz, en el sentido del artculo 20.1.d) significa informacin
comprobada segn los cnones de la profesionalidad informativa, excluyendo
invenciones, rumores o meras insidias", y que "una cosa es efectuar una evaluacin
personal, por desfavorable que sea, de una conducta y otra muy distinta es emitir
expresiones, afirmaciones o calificativos claramente vejatorios desvinculados de esa
informacin, y que resultan proferidos, gratuitamente, sin justificacin alguna" (STC
l990 de 6 de junio); que el derecho a la informacin "no puede restringirse a la
comunicacin objetiva y asptica de los hechos, sino que incluye tambin la
ligacin de la causacin de hechos, la valoracin probabilstica de estas hiptesis i
formulacin de conjeturas sobre esa posible causacin" (STC 171/1990 de 12 de re);
que "la descripcin de hechos y opiniones que ordinariamente se produce
informaciones determina que la veracidad despliegue sus efectos legitimadores en
relacin con los hechos, pero no respecto de las opiniones que los acompaen o
valoraciones que de los mismos se hagan, puesto que las opiniones, creencias
personales o juicios de valor no son susceptibles de verificacin, y ello determina que el
mbito de proteccin del derecho de informacin quede delimitado, respecto de esos
elementos valorativos, por la ausencia de expresiones injuriosas que resulten
innecesarias para el juicio crtico" (STC 172/1990 de 12 de noviembre); y que "la
regla constitucional de la veracidad de la informacin no va dirigida tanto a la
exigencia de la total exactitud en la informacin cuanto a negar la garanta o
proteccin constitucional a quienes, defraudando el derecho de todos a recibir
informacin veraz, actan con menosprecio de la veracidad o falsedad de lo
36
comunicado, comportndose de manera negligente o irresponsable" (STC 40/1992 de 30

de marzo)36
As pues, la aplicacin de este principio exige que el auditor, en el marco de su
obligacin de informar al auditado sobre el trabajo realizado, comunique a este ltimo sus
conclusiones, diferenciando los hechos constatados de las opiniones, propuestas y
valoraciones personales, debiendo actuar en la comprobacin de los primeros y en la
fundamentacin de las restantes con una suficiente diligencia profesional para
garantizar el cumplimiento de su obligacin de informar verazmente.
36
Idem. Pg. 291
37
6.4.
LA AUDITORA FSICA
Introduccin
Lo fsico en Informtica, hasta ahora, ha tenido una importancia relativa; no en vano
se ha visto siempre como algo que soporta lo que, en realidad, es la Informtica, y
que ocupa un lugar en la mesa.
La UCP (enorme), la pantalla, el teclado, la impresora, cables... y, adems, el ratn
con su alfombrilla que impiden extender libros y papeles sobre un espacio que,
incomprensiblemente, por grande que sea, no existe.
Pero lo fsico en Informtica no se reduce nicamente a lo expuesto, esto es: dar un
soporte tangible, un continente o vehculo a lo etreo del software, verdadera esencia
informtica. Todo cuanto rodea o se incluye en el computador, tambin este mismo,
son lo fsico como tal, as como otros conceptos o virtualidades que, de una u otra
forma, influyen o toman su razn de ser en el Entorno Fsico del computador como
generalidad o en el del CPD como Unidad Fsica Informtica.
Si se ha dicho que lo fsico es algo tangible que proporciona un continente, medio o
vehculo y que, adems, acoge al CPD dentro de su entorno, una vez conseguido y
establecido debera dejar de preocupar. El paso siguiente es asegurarse de que va a
seguir dando servicio siempre que se le necesite y de una manera segura ya que, como en
toda actividad, se mezcla lo fsico con lo funcional y con lo humano.
La Auditora es el medio que va a proporcionar la evidencia o no de la Seguridad
Fsica en el mbito en el que se va a desarrollar la labor profesional. Es por tanto,
necesario asumir que la Auditora Fsica no se debe limitar a comprobar la existencia
de los medios fsicos, sino tambin su funcionalidad, racionalidad y seguridad, palabra
esta ltima que puede resumir o incluir a las anteriores y llevar a un subttulo de este
captulo que prolongue el ya establecido de Auditora Fsica con el de Auditora de la
Seguridad Fsica37.
6.4.1. La seguridad fsica
No estn muy claras las fronteras que delimitan, si es que lo hacen, los dominios y
responsabilidades de los tres tipos de seguridad que a los usuarios de la Informtica
deben interesar: seguridad lgica, seguridad fsica y seguridad de las Comunicaciones.
Quiz fuera ms prctico aunarlas y obtener una seguridad integral, aunque hay que
reconocer las diferencias que, evidentemente, existen entre soft, har, hard-soft, har
que soporta al soft y soft que mueve al har.
La seguridad fsica garantiza la integridad de los activos humanos, lgicos y materiales
de un CPD. Si se entiende la contingencia o proximidad de un dao como la definicin
de Riesgo de Fallo, local o general, tres seran las medidas a preparar para ser
utilizadas en relacin con la cronologa del fallo:
37
Auditora Informtica, Gabriel Desmonts, 2006, pg.
38
Antes
Obtener y mantener un Nivel adecuado de Seguridad Fsica sobre los activos.
El Nivel adecuado de Seguridad Fsica, o grado de seguridad, es un conjunto de
acciones utilizadas para evitar el Fallo o, en su caso, aminorar las consecuencias que de
l se puedan derivar.
Es un concepto general aplicable a cualquier actividad, no slo informtica, en la que las
personas hagan uso particular o profesional de entornos fsicos.
Ubicacin del edificio.

Ubicacin del CPD dentro del edificio.
Compartimentacin.
Elementos de construccin.
Potencia elctrica.
Sistemas contra incendios.
Control de accesos.
Seleccin de personal.
Seguridad de los medios.
Medidas de proteccin.
Duplicacin de medios.
Ejecutar un Plan de Contingencia adecuado.
En general, desastre es cualquier evento que, cuando ocurre, tiene la capacidad de
interrumpir el normal proceso de una empresa.
La probabilidad de que ocurra un desastre es muy baja, aunque, si se diera, el impacto
podra ser tan grande que resultara fatal para la organizacin. Como, por otra parte, no
es corriente que un negocio responda por s mismo ante un acontecimiento como el
que se comenta, se deduce la necesidad de contar con los medios necesarios para
afrontarlo. Estos medios quedan definidos en el Plan de Recuperacin de Desastres
que, junto con el Centro Alternativo de Proceso de Datos, constituye el Plan de
Contingencia que coordina las necesidades del negocio y las operaciones de
recuperacin del mismo.
El Plan de Contingencia inexcusablemente debe:
Realizar un Anlisis de Riesgos de Sistemas Crticos que determine la

tolerancia de los Sistemas.
Establecer un Perodo Crtico de Recuperacin en el cual los procesos deben ser
reanudados antes de sufrir prdidas significativas o irrecuperables.
Realizar un Anlisis de Aplicaciones Crticas por el que se establecern las
prioridades de Proceso.
Determinar las Prioridades de Proceso, por das del ao, que indiquen cules son
las Aplicaciones y Sistemas Crticos en el momento de ocurrir el desastre y el
orden de proceso correcto.
39
Establecer Objetivos de Recuperacin que determinen el perodo de tiempo

(horas, das, semanas) entre la declaracin de Desastre y el momento en que el
Centro Alternativo puede procesar las Aplicaciones Crticas.
Designar, entre los distintos tipos existentes, un Centro Alternativo de Proceso de
Datos.
Asegurar la Capacidad de las Comunicaciones y
Asegurar la Capacidad de los Servicios de Back-up.
Despus
Los Contratos de Seguros vienen a compensar, en mayor o menor medida, las prdidas,
gastos o responsabilidades que se pueden derivar para el CPD una vez detectado y
corregido el Fallo.
De entre la gama de seguros existentes, se pueden sealar:
Centros de proceso y equipamiento: Se contrata cobertura sobre dao fsico en el

CPD y el equipo contenido en l.
Reconstruccin de medios software: Cubre el dao producido sobre medios
soft tanto los que son propiedad del tomador del seguro como aquellos que
constituyen su responsabilidad.
Gastos extra: Cubre los gastos extra que se derivan de la continuidad de las
operaciones tras un desastre o dao en el CPD. Es suficiente para compensar los
costos de ejecucin del Plan de Contingencia.
Interrupcin del negocio: Cubre las prdidas de beneficios netos causadas por las
cadas de los medios informticos o por la suspensin de las operaciones.
Documentos y registros valiosos: Se contrata para obtener una compensacin en
valor metlico real por la prdida o dao fsico sobre documentos y
registros valiosos no amparados por el seguro de Reconstruccin de Medios
Software.
Errores y omisiones: Proporciona proteccin legal ante la responsabilidad en
que pudiera incurrir un profesional que cometiera un acto, error u omisin que
ocasione una prdida financiera a un cliente.
Cobertura de fidelidad: Cubre las prdidas derivadas de actos deshonestos o
fraudulentos cometidos por empleados.
Transporte de medios: Proporciona cobertura ante prdidas o daos a los
medios transportados.
Contratos con proveedores y de mantenimiento: Proveedores o fabricantes que
aseguren la existencia de repuestos y consumibles, as como garantas de
fabricacin.
Contratos de mantenimiento que garanticen la asistencia tcnica a los equipos e

instalaciones una vez extinguidas las garantas de fabricacin.
No son realmente Seguros, ya que:
Los primeros se ubicaran en Nivel adecuado de Seguridad Fsica (el antes).

Los segundos pueden localizarse tanto en el Nivel adecuado (el antes) como en
el Plan (el durante).
40
No obstante, dada su forma y su control administrativo, se les puede considerar como

Seguros.
6.4.2. reas de la seguridad fsica
Se ha expuesto, hasta el momento, un estudio de las tres medidas a preparar para ser
utilizadas segn el momento del Fallo; riesgo de que se produzca, si se est
produciendo y cuando ha pasado. Todo ello partiendo, como primer paso, de la
ubicacin del edificio y las circunstancias externas e internas que le afectan.
Nada se ha dicho del edificio en s mismo: sera capaz el Auditor Informtico de
revisar la construccin y el estado actual de su infraestructura con sus defectos, vicios y
posibles enfermedades? Ms an: es capaz de diagnosticar en este tema?
Evidentemente, como tal auditor, carece de la capacidad y preparacin necesarias para
ello. Por tanto, debe considerarse al edificio como la primera de las reas a tener en
cuenta en una Auditora Fsica y prever para ella el auxilio de Peritos independientes
que den respuestas a las preguntas a plantear durante la Fase 2 del Procedimiento de
Auditora Adquisicin de Informacin General y certificaciones que puedan ser
incluidas como pruebas, en uno o en otro sentido, en la Fase 9 Informe Final tras la
Discusin con los Responsables si hubiera lugar.
Las reas en las que el Auditor ha de interesarse personalmente, una vez que la parte
del edificio ha sido encargada al juicio del Perito, tendrn relacin directa con el
hecho informtico, siempre considerando el aspecto fsico de la seguridad, y que sern
tales como:
6.4.3. Organigrama de la empresa
Por l se conocern las dependencias orgnicas, funcionales y jerrquicas de los
departamentos y de los distintos cargos y empleos del personal pudiendo analizar,
con ayuda de documentacin histrica, las apropiadas Separacin de Funciones y
Rotacin en el Trabajo.
Da la primera y ms amplia visin de conjunto del Centro de Proceso.
6.4.3.1. Auditora interna
Departamento independiente o subordinado al de Auditora Financiera, si existe, y
colaborador de ste en cualquier caso, debe guardar las auditoras pasadas, las
Normas, Procedimientos y Planes que sobre la Seguridad Fsica y su Auditora haya
emitido y distribuido la Autoridad competente dentro de la Empresa.
6.4.3.2. Administracin de la seguridad
Vista desde una perspectiva general que ampare las funciones, dependencias, cargos
y responsabilidades de los distintos componentes:
Director o Responsable de la Seguridad Integral.
Responsable de la Seguridad Informtica.
Administradores de Redes.
41
Administradores de Bases de Datos.

Responsables de la Seguridad activa y pasiva del Entorno fsico.
Normas, Procedimientos y Planes que, desde su propia responsabilidad haya emitido,
distribuido y controlado el departamento.
6.4.3.3. Centro de proceso de datos e instalaciones
Entorno en el que se encuentra incluso el CPD como elemento fsico y en el que debe
realizar su funcin informtica.
Las instalaciones son elementos accesorios que deben ayudar a la realizacin de la
mencionada funcin informtica y, a la vez, proporcionar seguridad a las personas, al
soft y a los materiales.
Sala del Host.

Sala de Operadores.
Sala de Impresoras.
Cmara Acorazada.
Oficinas.
Almacenes.
Sala de aparamenta elctrica.
Sala de Aire Acondicionado.
rea de descanso y servicios...
6.4.3.4. Equipos y comunicaciones

Son los elementos principales del CPD: Host, terminales, computadores
personales, equipos de almacenamiento masivo de datos, impresoras, medios y
sistemas de telecomunicaciones...
El Auditor debe inspeccionar su ubicacin dentro del CPD as como el Control de
Acceso a los mismos como elementos restringidos.
6.4.3.5. Computadores personales
Especialmente cuando estn en red, son elementos muy potentes e indiscretos que
pueden acceder a prcticamente cualquier lugar donde se encuentren los Datos
(primer objetivo de toda seguridad), por lo que merecern especial atencin tanto
desde el punto de vista de acceso a los mismos como a la adquisicin de copias (har
y soft) no autorizadas. Es especialmente delicada su conexin a los medios de
telecomunicaciones.
6.4.4. Seguridad fsica del personal
Accesos y salidas seguras as como medios y rutas de evacuacin, extincin de
incendios y medios utilizados para ello (agua en lugares con conducciones y aparatos
elctricos, gases asfixiantes...), sistemas de bloqueo de puertas y ventanas, zonas de
descanso y de servicios...
42
Normas y Polticas emitidas y distribuidas por la Direccin referentes al uso de las

instalaciones por el personal.
6.4.5. Definicin de auditora fsica
La Auditora Fsica, interna o externa, no es sino una auditora parcial, por lo que no
difiere de la auditora general ms que en el Alcance de la misma.
6.4.5.1. Fuentes de la auditoria fsica
Ya se ha comentado, brevemente en los prrafos anteriores, cules pueden ser algunas
de las Fuentes donde la Auditora va a encontrar la informacin necesaria para
organizar y desarrollar la Fase 4 del Procedimiento o Ciclo de Vida de la Auditora
"Plan de Auditora " que le llevar a realizar las pertinentes Pruebas de
Cumplimiento y Sustantivas.
Un CPD, en esencia, sigue un modelo organizativo ms o menos estndar, aunque debido
a diferentes causas, como puede ser el tipo de empresa a la que pertenece, situacin
econmica, disponibilidades de espacio, actitud de la Direccin, etc. hacen que, en
realidad, los CPD's difieran bastante los unos de los otros.
Se sealan a continuacin algunas Fuentes que deben estar accesibles en todo Centro
de Proceso de Datos.
Polticas, Normas y Planes sobre Seguridad emitidos y distribuidos tanto por la

Direccin de la empresa en trminos generales como por el Departamento de
Seguridad siguiendo un enfoque ms detallado.
Auditoras anteriores, generales y parciales, referentes a la Seguridad Fsica o a
cualquier otro tipo de auditora que, de una u otra manera, est relacionada con la
Seguridad Fsica.
Contratos de Seguros, de Proveedores y de Mantenimiento.
Entrevistas con el personal de seguridad, personal informtico y de otras
actividades, responsables de seguridad de otras empresas dentro del edificio y de
la seguridad general del mismo, personal contratado para la limpieza y
mantenimiento de locales, etc.
Actas e Informes de tcnicos y consultores. Peritos que diagnostiquen el
estado fsico del edificio, electricistas, fontaneros, tcnicos del aire
acondicionado, especialistas en electrnica que informen sobre la calidad y
estado de operatividad de los sistemas de seguridad y alarma, agencias de
seguridad que proporcionan a los Vigilantes jurados, bomberos, etc.
Plan de Contingencia y valoracin de las Pruebas
Informes sobre accesos y visitas. Existencia de un sistema de control de
entradas y salidas diferenciando entre reas Perimetral, Interna y Restringida.
Informes sobre pruebas de evacuacin ante diferentes tipos de amenaza:
incendio, catstrofe natural, terrorismo, etc.
Informes sobre evacuaciones reales.
Polticas de Personal. Revisin de antecedentes personales y laborales,
procedimientos de cancelacin de contratos y despidos, rotacin en el trabajo,
planificacin y distribucin de tareas, contratos fijos y temporales.
43
Inventarios de Soportes: (papel y magnticos), cintoteca, back-up,

procedimientos de archivo, controles de salida y recuperacin de soportes,
control de copias, etc.38
6.4.6. Objetivos de la auditora fsica

Ms arriba, en reas de la Seguridad Fsica prrafo Computadores Personales, se
deca que los Datos son el primer objetivo de toda seguridad. Bien entendido que
haca referencia a toda seguridad informtica, la Seguridad Fsica es ms amplia y
alcanza otros conceptos entre los que puede haber alguno que supere en importancia
a los propios datos.
Sin otro nimo ms que el mero orden basado en una lgica "de fuera adentro",
quedan indicados estos Objetivos como sigue:
Edificio.
Instalaciones.
Equipamiento y telecomunicaciones.
Datos.
Personas39
6.4.7. Tcnicas y herramientas del auditor

Como se ver, no se diferencian de las tcnicas y herramientas bsicas de toda
auditora y, como en ellas, su fin es obtener la Evidencia fsica.
6.4.7.1. Tcnicas:
Observacin de las instalaciones, sistemas, cumplimiento de Normas y

procedimientos, etc. no slo como espectador sino tambin como actor,
comprobando por s mismo el perfecto funcionamiento y utilizacin de los
conceptos anteriores.
Revisin analtica de:

Documentacin sobre construccin y preinstalaciones.
Documentacin sobre seguridad fsica.
Polticas y Normas de Actividad de Sala.
Normas y Procedimientos sobre seguridad fsica de los datos.
Contratos de Seguros y de Mantenimiento.
Entrevistas con directivos y personal, fijo o temporal, que no d la sensacin de

interrogatorio para vencer el natural recelo que el auditor suele despertar en los
empleados.
Consultas a tcnicos y peritos que formen parte de la plantilla o

independientes contratados40
38
Htp//212.9.83./ auditoria. nif

Idem.
40
Idem.
39
44
6.4.7.2. Herramientas:
Cuaderno de campo / grabadora de audio
Mquina fotogrfica / cmara de vdeo
Su uso debe ser discreto y siempre con el consentimiento del personal si ste va a
quedar identificado en cualquiera de las mquinas.
6.4.8. Responsabilidades de los auditores
El Auditor Informtico, en especial el Interno, no debe desarrollar su actividad como
una mera funcin policial dando la impresin a los usuarios informticos y al resto
de empleados de que se encuentran permanentemente vigilados. Esto crea un
ambiente tenso y desagradable que en nada favorece ni a las relaciones personales ni al
buen desarrollo del trabajo.
El auditor debe esforzarse ms en dar una imagen de colaborador que intenta ayudar
que en la de fiscalizador o caza-infractores. Para ello es necesario que en las Normas y
Procedimientos emitidos por la Direccin figuren las funciones y responsabilidades de
los auditores y que ambas sean distribuidas y conocidas por toda la plantilla de la
empresa.
Dentro del campo de responsabilidades de los auditores, las referentes a
Seguridad Fsica, quedan establecidas las siguientes para cada tipo de auditor:
6.4.8.1. Auditor informtico interno
Revisar los controles relativos a Seguridad Fsica.

Revisar el cumplimiento de los Procedimientos.
Evaluar Riesgos.
Participar sin perder independencia en:
Seleccin, adquisicin e implantacin de equipos y materiales.
Planes de Seguridad y de Contingencia, seguimiento, actualizacin,
mantenimiento y pruebas de los mismos.
Revisin del cumplimiento de las Polticas y Normas sobre Seguridad Fsica as
como de las funciones de los distintos Responsables y Administradores de
Seguridad.
Efectuar auditoras programadas e imprevistas.
Emitir informes y efectuar el seguimiento de las recomendaciones.
6.4.8.2. Auditor informtico externo
Revisar las funciones de los auditores internos.

Mismas responsabilidades que los auditores internos.
Revisar los Planes de Seguridad y Contingencia. Efectuar Pruebas.
Emitir informes y recomendaciones.
45
6.4.9.3. Fases de la auditoria fsica

Siguiendo la Metodologa EDPAA (EDP Auditors Association - Auditores de
Procesamiento Electrnico de Datos) y sin perjuicio de alguna pequea diferencia,
ms que nada en el orden o el mbito de las fases, el Ciclo de Vida quedara:
Fase 1: Alcance de la Auditora
Fase 2: Adquisicin de Informacin General
Fase 3: Administracin y Planificacin
Fase 4: Plan de Auditora
Fase 5: Resultado de las Pruebas
Fase 6: Conclusiones y Comentarios
Fase 7: Borrador del Informe
Fase 8: Discusin con los Responsables de rea
Fase 9: Informe Final
Informe
Anexo al Informe
Carpeta de Evidencias
Fase l0: Seguimiento de las Modificaciones acordadas41
6.4.9.1. Desarrollo de las fases de la auditora fsica
Resulta clara la prctica identidad entre el Ciclo de Vida de la Auditora Fsica con
cualquier otro de una auditora diferente.
Con la intencin de ofrecer algo prctico dentro de tanta teora, se expone a
continuacin el desarrollo de la Fase 2 Adquisicin de Informacin referente a un
Plan de Contingencia, siguiendo la tcnica del check-list para un mejor
entendimiento de los conceptos.
La lista es, naturalmente, orientativa y en ningn caso se puede considerar
completa.
41
Htp//www.googleauditora+ finaciera&sq
46
7.
HIPTESIS:
Un estricto Control Interno de la Cooperativa San Pedro Ltda. y otras cooperativas

sujetas a la Direccin Nacional de Cooperativas permitir tener instructivos para
Auditora Informtica periodo 2009- 2010.
8.
VARIABLES:
Independiente:
Control Interno
Dependiente:
Auditoria informtica
47
8.1
OPERACIONALIZACIN DE VARIABLES
VARIABLES
DEFINICIN
Independiente Son controles

contables
internos que se
relaciona con
la
actividad
financiera, el
personal y la
organizacin
de
las
actividades
operativas
claves
para
prevenir
riesgos
Control
efectivos
y
Interno
potenciales a
los
que
enfrentan las
instituciones
financieras.
DIMENSIN INDICADORES ESCALA E

ITEMS
Tendencias
Externas
La organizacin Encuesta
y el auditor
Encuesta
Funciones del Control interno
control interno informtico
Auditora
Financiera
Sistema
control
informtico
Campos anlogos
Encuesta
Controles
de preventivos
Controles
detectivos
Controles
correctivos
Dependiente
Auditora
Es la actividad Clases
que consiste en
la emisin de
una
opinin
profesional
sobre si el
objeto
sometido a un
anlisis
Deontologa
presenta
adecuadamente
Financiera
Encuesta
Informtica
Gestin
Cumplimiento
Auditores
Informticos
48
Informtica
Principios
la realidad que
se
pretende
reflejar
Encuesta
Seguridad fsica
Auditora
Fsica
Duplicacin
medios
de
Fuentes de
auditora
la
Tcnicas
herramientas
Fases
auditora
Encuesta
de
49
9. ESTRATEGIA METODOLGICA
9.1
TIPO DE INVESTIGACIN.
La metodologa que se utiliz en nuestra investigacin es la siguiente:

Bibliogrfica, puesto que nos valimos de toda documentacin escrita sobre el tema
de investigacin, el mismo que sirvi para desarrollar el marco terico cientfico del
problema de nuestro trabajo.
De campo que nos valimos de instrumentos que fueron aplicados a poblacin motivo
de nuestra investigacin y que nos dio datos que nos sirvieron para elaborar el
anlisis e interpretar los tems de los instrumentos y poder comprobar la hiptesis
planteada.
Por el nivel de conocimiento es descriptiva y explicativa puesto que, adems de
describir el comportamiento de las variables en estudio, se busca argumentos acerca
de la ocurrencia de los fenmenos y hechos en estudio.
Por la participacin de los sujetos la investigacin es cuanti-cualitativa, pues a ms
de aplicar el mtodo cientfico, que es eminentemente cuantitativo; se realiz un
anlisis cualitativo sobre algunos tems de las variables de estudio.
Por el tiempo de ocurrencia de los hechos es transversal puesto que se escogi como
referencia la situacin del mejoramiento del sistema financiero de la cooperativa San
Pedro Ltda. de Guanujo sujeta al control de la direccin nacional de cooperativas
mediante el uso de instructivos para auditora informtica periodo 2009- 2010.
Por el perodo de tiempo es Retrospectiva y Prospectiva porque analizaremos los
hechos del pasado, estableceremos conclusiones para luego compararlos con la
situacin actual y proyectarnos a la propuesta futura.
9.2.
MTODOS DE INVESTIGACIN.
9.2.1. Mtodo dialctico:

Es un proceso cientfico de estudio de la realidad que considerar las cosas, las
propiedades y relaciones, as como su reflejo mental (los conceptos), en conexin
mutua, en movimiento, en su surgimiento, desarrollo contradictorio y desaparicin.
9.2.2. Mtodos Lgicos: (Deductivo e Inductivo)
Deductivo.- Es el mtodo que va de afirmaciones de carcter general hacia
afirmaciones particulares. Se ha dicho que las verdades establecidas por la ciencia
tienen que confrontarse con la realidad a travs de las conclusiones que se deduzcan
de los planteamientos generales, leyes, principios, categoras, conceptos e hiptesis.
50
Este proceso implica: partir de una sntesis para llegar al anlisis de los fenmenos
concretos particulares mediante la operacionalizacin de los conceptos o reduccin
de stos a hechos observables directa o indirectamente.
Inductivo.- Se refiere al movimiento del pensamiento que va de los hechos
particulares hacia afirmaciones de carcter general.
Esto implica pasar de los resultados obtenidos de observaciones o experimentos, al
planteamiento de hiptesis, leyes y teoras que abarcan no solamente los casos de los
que se parti, sino a otros de la misma clase; es decir, generaliza los resultados (no
generalizacin mecnica) y al hacer esto, hay una superacin, un salto en el
conocimiento al no quedarnos con los hechos particulares sino que buscamos su
comprensin ms profunda en sntesis racionales (hiptesis, leyes y teoras).
9.2.3. Mtodo cientfico.- Utilizaremos porque abarca un conjunto de
procedimientos lgicamente sistematizados que el investigador utilizar para
descubrir y enriquecer la ciencia.
No obstante, el mtodo no es una receta cientfica. Su aplicacin no puede ser
formal ni mecnica; sta debe estar sometida constantemente a prueba segn cada
problema de investigacin.
9.3.
UNIVERSO
Para la presente investigacin contaremos con 20 personas, las mismas que estn
distribuidas de la siguiente manera:
No.
1
2
Personal
Gerente y Presidente
Comisiones
Tcnicos y operativos
Total
Nmero
11
9
20
En esta Investigacin no se aplicar la Muestra en razn de que trabajaremos con el

total del Universo.
9.4.
TCNICA DE RECOLECCIN DE DATOS
En la investigacin del presente trabajo se aplicaron las siguientes tcnicas:

Encuestas a travs de cuestionarios escritos, una para directivos y otra para los
tcnicos y personal operativo.
51
9.5.
PLAN DE PROCESAMIENTO Y ANLISIS DE DATOS
Los resultados se presentaron a partir de cuadros y grficos estadsticos, utilizando la

estadstica descriptiva y procesados utilizando los programas SPSS para Windows y
Excel. Se determin la aplicacin de la Estadstica a datos categricos, al plantear
prueba de inferencias de proporciones, con su respectivo nivel de confianza.
52
CAPITULO II
ANALISIS E INTERPRETACIN DE LOS RESULTADOS
ENCUESTA A DIRECTIVOS DE LA COOPERATIVA SAN PEDRO
LIMITADA
1.
Existe Plan Operativo Anual para el departamento de informtica.

Cuadro 1
Variable
Frecuencia
Si
No
0
11
11
Total
Porcentaje
0,00%
100,00%
100,00%
Fuente: Encuesta a directivos de la Cooperativa San Pedro

Equipo de Investigacin: Edwin y Milton
Grafico 1
120%
100%
80%
60%
40%
20%
0%
100.00%
0.00%
Si
No

Anlisis:
La respuesta es contundente, la totalidad de los encuestados dicen que no cuentan
con el Plan Operativo Anual (POA) en el departamento de Informtica, lo que nos
hace pensar que hay una planificacin anual, aunque el mismo no se pone en
funcionamiento por los directivos y los jefes departamentales para que funcione, lo
que se trabaja sin rumbo fijo.
53
2.
Los Directivos realizan algn tipo de estudio para analizar la coherencia

de su departamento de informacin sobre los avances tecnolgicos.
Cuadro 2
Variable
Permanente
Casual
Nunca
Total
Frecuencia
0
3
8
11
Porcentaje
0.00%
27.27%
72.73%
100.00%

Grfico 2
80%
72.73%
70%
60%
50%
40%
27.27%
30%
20%
10%
0%
0.00%
Permanente
Casual
Nunca

Anlisis:
La mayora de los directivos coinciden que nunca se realizan anlisis para verificar la
coherencia de los avances tecnolgicos para los equipos informticos con los que
cuentan, as como tambin cuando se necesita realizar una nueva implementacin o
actualizacin de los mismos.
54
Se han realizado procedimientos de control de cumplimiento de

objetivos.
Cuadro 3
Variable
Frecuencia
4
7
11
Si
No
Total
Porcentaje
36.36%
63.64%
100.00%

Grfico 3
70%
58.33%
60%
50%
41.67%
40%
30%
20%
10%
0%
Si
No

Anlisis:
Un poco ms de la mayora de los directivos opina que despus de un perodo
contable no realiza el anlisis del cumplimiento de objetivos, lo que conlleva a no
definir nuevas metas ni tampoco a mejorar los procedimientos que faltan por
cumplir, ya que aqu es en donde podemos determinar nuestras falencias.
55
La capacidad de equipos disponibles satisface la demanda de los

talentos humanos disponibles
Cuadro 4
Variable
No
Parcialmente
Totalmente
Total
Frecuencia
5
4
2
11
Porcentaje
45.45%
36.36%
18.18%
100.00%

Grfico 4
50%
45.45%
45%
40%
36.36%
35%
30%
25%
18.18%
20%
15%
10%
5%
0%
No
Parcialmente
Totalmente

Anlisis:
Se puede apreciar que la mayora de los directivos considera que los equipos con los
que dispone la institucin no cumplen o cumplen parcialmente, por lo que es
necesario realizar un anlisis del hardware para aprovechar esa capacidad de los
empleados, mejorando el desempeo y por lo tanto la productividad.
56
Se han determinado las necesidades de hardware en funcin de las

tareas que realizan.
Cuadro 5
Variable
Siempre
Casualmente
Nunca
Total
Frecuencia
2
4
5
11
Porcentaje
18.18%
36.36%
45.45%
100.00%

Grafico 5
45.45%
50%
36.36%
40%
30%
20%
18.18%
10%
0%
Siempre
Casualmente
Nunca

Anlisis:
La mayora de los directivos manifiestan que casi nunca se han adquirido los equipos
con el aval del departamento informtico, quien es el encargado de medir y valorar
las necesidades tecnolgicas que la institucin necesita; el resto manifiesta que
casualmente o siempre se ha realizado un informe tcnico sobre necesidades tcnicas
informticas.
57
Se han desarrollado planes de implementacin, conversin y pruebas

de aceptacin para la red informtica distribuida en la cooperativa.
Cuadro 6
Variable
Frecuencia
0
11
11
Si
No
Total
Porcentaje
0.00%
100.00%
100.00%

Grfico 6
120%
100.00%
100%
80%
60%
40%
20%
0%
0.00%
Si
No

Anlisis:
Se puede comprobar que nunca se han desarrollado planes para cambiar o
transformar otros tipos de estructuras de redes o tipos de comunicaciones para la red
informtica, quedando fijos a incrementar nuevos mdulos, dependiendo
directamente solo del sistema actual.
58
El departamento de informtica, ha implementado sistemas de

seguridad contra intrusos
Cuadro 7
Variable
Nunca
Parcialmente
Totalmente
Total
Frecuencia
7
4
0
11
Porcentaje
63.64%
36.36%
0.00%
100.00%

Grfico 7
70%
63.64%
60%
50%
36.36%
40%
30%
20%
10%
0.00%
0%
Nunca
Parcial
Total

Anlisis:
En la actualidad la seguridad informtica cumple un papel determinante en el
desarrollo de las entidades financieras, pero podemos observar que los directivos en
su mayora dicen que nunca se ha implementado sistemas contra intrusos. Existiendo
este eminente peligro, ms an cuando la cooperativa tiene una sucursal en
Echeanda y los datos se transmiten a travs de Internet.
59
Existe algn sistema de control sobre los cambios de contenidos y

procedimientos en base a datos en la red.
Cuadro 8
Variable
Frecuencia
0
11
11
Si
No
Total
Porcentaje
0.00%
100.00%
100.00%

Grfico 8
120%
100.00%
100%
80%
60%
40%
20%
0%
0.00%
Si
No

Anlisis:
El sistema informtico CONEXUS, no tiene un registro que identifique desde que
terminal se ha hecho una entrada al sistema, lo que le hace vulnerable a cualquier
tipo errores voluntarios o involuntarios por parte de las personas que estn
manejando directamente el sistema y lo que complica el mantenimiento del sistema.
60
En las auditoras altamente reglamentadas como la financiera se han

hecho observaciones sobre el Control interno.
Cuadro 9
Variable
Conoce
Desconoce
Total
Frecuencia
9
2
11
Porcentaje
81.82%
18.18%
100.00%

Grfico 9
90%
81.82%
80%
70%
60%
50%
40%
30%
18.18%
20%
10%
0%
Conoce
Desconoce

Anlisis:
En las auditoras financieras que se han realizado si se considera que se debe
implementar controles a los procesos financieros e informticos, pero como las
cooperativas de este tipo, es decir las que estn controladas por la Direccin
Nacional de Cooperativas del Ecuador no es obligatorio se lo ha pasado por alto.
61
Departamento independiente o subordinado al de Auditora

Financiera, guarda las auditoras pasadas.
Cuadro 10
Variable
Frecuencia
11
0
11
Si
No
Total
Porcentaje
100.00%
0.00%
100.00%

Grfico 10
120%
100%
100.00%
80%
60%
40%
20%
0.00%
0%
Si
No

Anlisis:
En su totalidad se indica que si se guardan los informes de auditoras pasadas en el
Departamento de Contabilidad y Gerencia, lo cual es muy importante para que en el
momento que sea necesario poder acceder a esta informacin.
62
ENCUESTA AL PERSONAL TCNICO Y OPERATIVO DE LA

COOPERATIVA SAN PEDRO LIMITADA
En su departamento se ha realizado una auditoria informtica.

Cuadro 1
Variable
Frecuencia
1
8
9
Si
No
Total
Porcentaje
11.11%
88.89%
100.00%
Fuente: Encuesta a Tcnicos y personal operativo de la Coop. San Pedro

Grafico 1
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
88.89%
11.11%
Si
No

Anlisis:
Casi la totalidad de los empleados responden que no se ha realizado jams una
auditoria informtica y est muy clara la necesidad que realizar este tipo de actividad
dentro de la institucin a todo el sistema informtico, lo que implica a todos los
departamentos.
63
Conoce las ventajas de la informtica como herramienta de la

auditora financiera.
Cuadro 2
Variable
Frecuencia
5
4
9
Si
No
Total
Porcentaje
55.56%
44.44%
100.00%

Grafico 2
60%
55.56%
50%
44.44%
40%
30%
20%
10%
0%
Si
No

Anlisis:
Algo ms de la mitad responde que si conoce la importancia de la auditora
informtica como herramienta de la auditora financiera, pero tambin hay que
destacar que el resto desconoce, lo cual es un indicador que si hace falta la
informacin y la capacitacin del personal en estos temas de mucha importancia en
la actualidad y ms an que casi todos los empleados de la institucin realizan su
trabajo con un computador u otro equipo informtico.
64
Conoce las metodologas que existen para el control interno y la

auditora informtica.
Cuadro 4
Variable
Mucho
Poco
Nada
Total
Frecuencia
1
3
5
9
Porcentaje
11.11%
33.33%
55.56%
100.00%

Grafico 3
55.56%
60%
50%
40%
33.33%
30%
20%
11.11%
10%
0%
Mucho
Poco
Nada

Anlisis:
Si sumamos las respuestas poco y nada observamos que son la mayora de los
empleados que no conocen sobre los procedimientos de control interno ya que no se
realiza por la falta de un departamento de Auditora Interna.
65
Considera necesario tener un software especial para el control de

acceso en los entornos distribuidos en la cooperativa.
Cuadro 4
Variable
Necesario
Innecesario
Total
Frecuencia
9
0
9
Porcentaje
100.00%
0.00%
100.00%
Fuente: Encuesta a Tcnicos y personal operativo de la Cooperativa San Pedro

Grafico 4
120%
100%
100.00%
80%
60%
40%
20%
0.00%
0%
Necesario
Innecesario

Anlisis:
La respuesta que es necesario en su totalidad nos demuestra el grado de preocupacin
de los empleados por este tema de seguridad, ya que sobre ellos recae las
responsabilidad de las acciones que se realizan ya sea en el sistema informtico como
con el manejo de documentos.
66
Qu funcin cumple el departamento de informtica.

Cuadro 5
Variable
Asesora
Mantenimiento
Control
Total
Frecuencia
0
1
8
9
Porcentaje
0.00%
11.11%
88.89%
100.00%

Grafico 5
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
88.89%
11.11%
0.00%
Asesora
Mantenimiento
Control

Anlisis:
Segn la perspectiva de los empleados, el Departamento de Informtica es de
control, ya que el ms de la mitad opina de esta manera, entonces debemos definir
planes y polticas con respecto a las funciones que debe cumplir este departamento
con el fin de mejorar el desempeo que mucha falta hace a este tipo de instituciones.
67
Da importancia a la formacin continua del auditor informtico y al

secreto profesional.
Cuadro 6
Variable
Frecuencia
Si
No
7
2
9
Total
Porcentaje
77.78%
22.22%
100.00%

Grafico 6
90%
80%
70%
77.78%
60%
50%
40%
30%
22.22%
20%
10%
0%
Si
No

Anlisis:
Las tres cuartas parte de los empleados consideran la importancia que tiene la
formacin continua y permanente del auditor informtico, ya que como en todas las
ciencias y ms an la informtica que est evolucionado en el da a da, mientras que
si relacionamos con otras ciencias del conocimiento su proceso de renovacin es ms
lento.
68
Tiene su departamento un plan de contingencias.

Cuadro 7
Variable
Frecuencia
0
9
9
Si
No
Total
Porcentaje
0.00%
100.00%
100.00%

Grfico 7
120%
100.00%
100%
80%
60%
40%
20%
0%
0.00%
Si
No

Anlisis:
La totalidad de los encuestados indican que ninguno de los departamentos cuenta con
un plan de contingencias, situacin que es preocupante, ya que se debe saber cmo
actuar en un momento de siniestro o desgracia, para conservar documentos y datos
del sistema a buen recaudo.
69
Se utilizan mecanismos de seguridad para aplicar en su computador

personal para el mantenimiento de la informacin.
Cuadro 8
Variable
Frecuencia
6
3
9
Si
No
Total
Porcentaje
66.67%
33.33%
100.00%

Grfico 8
90%
80%
70%
77.78%
60%
50%
40%
30%
22.22%
20%
10%
0%
Si
No

Anlisis:
La mayora de encuestados responden que si cuentan con un sistema de seguridad,
pero hay que indicar que el sistema de seguridad es tan solo un antivirus y no un
verdadero sistema de backup de los datos del sistema.
70
Conoce si se realizan procedimientos de control informtico.

Cuadro 9
Variable
Conozco
Desconozco
Total
Frecuencia
5
4
9
Porcentaje
55.56 %
44.44 %
100.00 %

Grfico 9
60%
50%
50.00%
50.00%
40%
30%
20%
10%
0%
Conozco
Desconozco

Anlisis:
Ms de la mitad de los empleados dicen conocer que se realizan procedimientos de
control informtico, mientras que el resto dicen que no, con lo que podemos concluir
que si se sabe a ciencia cierta si se realiza algn tipo de control, o si de pronto se
hace a todo el sistema de informtica de la cooperativa, para lo cual es necesario
tener un plan bien planificado con lo cual se lograra los objetivos esperados.
71
Cuenta la cooperativa con un manual de procedimientos para el

departamento de informtica.
Cuadro 10
Variable
Frecuencia
0
9
9
Si
No
Total
Porcentaje
0.00%
100.00%
100.00%

Grafico 10
120%
100.00%
100%
80%
60%
40%
20%
0%
0.00%
Si
No

Anlisis:
En su totalidad los empleados desconocen si existe un manual de procedimientos
para el departamento de informtica.
72
2.1 CONCLUSIONES
La Cooperativa no cuenta con el Plan Operativo Anual (POA) para el departamento
de Informtica, por lo cual nos hace pensar que se realizan funciones sin un
direccionamiento institucional, es decir que funciona sin rumbo fijo, no existen
polticas a largo plazo.
No se consideran los avances tecnolgicos para los equipos informticos con los que
cuentan ni cuando se necesita realizar una nueva implementacin o actualizacin de
los mismos, solo se cuenta con el criterio de la persona que est a cargo del
Departamento de Informtica.
No se realiza el anlisis del cumplimiento de objetivos, lo que conlleva a no definir
nuevas metas ni tampoco a mejorar los procedimientos que faltan por cumplir, ya
que aqu es en donde podemos determinar nuestras falencias.
No cumplen lo que nos indica que es necesario realizar un anlisis del hardware para
aprovechar esa capacidad de los empleados, mejorando el desempeo y por lo tanto
la productividad.
No se han realizado anlisis sobre las necesidades de hardware de los diferentes
departamentos en funcin de sus tareas especficas.
Se observa que no hay la previsin ante un eminente peligro, ms an cuando la
cooperativa tiene un sucursal en Echeanda y los datos se transmiten a travs de
Internet.
No tiene un registro que identifique desde que Terminal se ha hecho una entrada al
sistema, lo que le hace vulnerable a cualquier tipo errores voluntarios o involuntarios
por parte de las personas que estn manejando directamente el sistema y lo que
complica el mantenimiento del sistema.
No hay controles a los procesos financieros e informticos, como las cooperativas de
este tipo, es decir las que estn controladas por la Direccin Nacional de
Cooperativas del Ecuador no es obligatorio se lo ha pasado por alto.
No se ha realizado jams una auditoria informtica tanto interna como externa, por lo
que est claro en la necesidad que realizar este tipo de actividad dentro de la
institucin a todo el sistema informtico, lo que implica a todos los departamentos de
la institucin.
Ninguno de los departamentos de la cooperativa cuenta con un plan de contingencias,
para actuar en un momento de siniestro o desgracia, a fin de conservar documentos y
datos del sistema operativo a buen recaudo.
73
2.2 RECOMENDACIONES
Al contar con el Plan Operativo Anual (POA) en el departamento de Informtica,
como una herramienta de planificacin institucional de la cooperativa, es necesario
que se aplique a fin de fijar un rumbo institucional; pues en l se aplicarn las
polticas y el manual de funciones existentes.
Que los equipos tecnolgicos tengan un criterio de la persona encargada del
Departamento de Informtica y fin de dar mejor servicio y mayor duracin.
Realizar un anlisis del hardware para aprovechar esa capacidad de los empleados,
mejorando el desempeo y por lo tanto la productividad.
Contar con el aval del departamento informtico, que es el encargado de medir y
valorar las necesidades tecnolgicas que necesita la cooperativa, as como tambin el
requerido tcnico indispensable para el buen funcionamiento.
Contar con un registro que identifique desde que Terminal se ha hecho una entrada al
sistema, para evitar errores y que estn directamente el sistema.
Desarrollar controles a los procesos financieros e informticos, como las
cooperativas de este tipo, y que estn controladas por la Direccin Nacional de
Cooperativas del Ecuador.
Realizar la auditoria informtica dentro de la institucin a todo el sistema
informtico, lo que implica a todos los departamentos.
Dar a conocer sobre los procedimientos de control interno que se realizan desde el
Departamento de Auditora Interna.
Contar con plan de contingencias, para actuar en un momento de siniestro o
desgracia, para conservar documentos y datos del sistema a buen recaudo.
74
2.3.
COMPROBACIN DE LA HIPOTESIS:
Enunciado:
La hiptesis se plantea de la siguiente manera:
Un estricto Control Interno de la Cooperativa San Pedro Ltda. y otras cooperativas
sujetas al control de la Direccin Nacional de Cooperativas permitir tener
instructivos para Auditora Informtica periodo 2009- 2010.
Va de Verificacin:
Por la naturaleza de la investigacin la hiptesis ha sido comprobada por simple
deduccin lgica, en base del anlisis de las preguntas formuladas tanto en las
encuestas a los directivos y miembros de la diferentes comisiones, es as como en las
encuesta aplicada a tcnicos o personal operativo; preguntas como: no contar con la
capacidad de equipos para satisfacer la demanda de los talentos humanos
disponibles, no conocer las tcnicas ms adecuadas que utiliza el auditor informtico
la para auditora fsica y no saber las metodologas que existen para el control interno
informtico y la auditora informtica. Nos confirman la hiptesis planteada que hace
falta Un estricto Control Interno de la Cooperativa San Pedro Ltda. sujeta a la
Direccin Nacional de Cooperativas permitir tener instructivos para Auditora
Informtica periodo 2009- 2010.
75
CAPITULO III
3.1.
TTULO
Instructivo general de metodologas de control interno, seguridad y auditora informtica
3.2.
PRESENTACIN.
La presente propuesta est orientada a mantener un control interno y de seguridad

sobre el uso y manejo de la Auditora Informtica, muy importante para toda entidad
financiera, y en especial para aquellas que estn Controladas por la Direccin
Nacional de Cooperativas.
En la actualidad el uso de los recursos tecnolgicos y en especial de la informtica ha
modernizado la aplicacin de ciertas actividades manuales que se venan haciendo
antes. Pues mediante la informtica se puede llevar a cabo la auditora informtica en
todo momento, sin la necesidad que vengan las entidades de control de parte del
estado.
Por eso es la necesidad de contar con la auditora informtica para dar confiabilidad a
la institucin financiera, as como tambin a los usuarios o cooperados, para lo cual
exponemos el siguiente trabajo.
3.3. Objetivos:
Dar a conocer a los directivos y ms personal de la Cooperativa San Pedro

Limitada los beneficios que presta la auditora informtica, como herramienta
de control del manejo de los recursos econmicos que maneja la cooperativa.
Tener al da informado a los directivos, tcnicos y personal de la cooperativa
sobre el control y manejo de las finanzas.
3.5. FUNDAMENTACIN.
Metodologas de control interno, seguridad y auditora informtica
3.5.1. Introduccin a las metodologas
Segn el Diccionario de la Lengua de la Real Academia Espaola: "MTODO es el
modo de decir o hacer con orden una cosa". As mismo define el diccionario la palabra
METODOLOGA como: "Conjunto de mtodos que se siguen en una investigacin
cientfica o en una exposicin doctrinal". Esto significa que cualquier proceso
cientfico debe estar sujeto a una disciplina de proceso definida con anterioridad que
llamaremos
Metodologa
La Informtica ha sido tradicionalmente una materia compleja en todos sus aspectos,
por lo que se hace necesaria la utilizacin de metodologas en cada doctrina que la
76
componen, desde su diseo de ingeniera hasta el desarrollo del software, y cmo no,
la auditora de los sistemas de informacin.
Las metodologas usadas por un profesional dicen mucho de su forma de entender su
trabajo, y estn directamente relacionadas con su experiencia profesional
acumulada como parte del comportamiento humano de acierto /error.
Asimismo una metodologa es necesaria para que un equipo de profesionales alcance
un resultado homogneo tal como si lo hiciera uno solo, por lo que resulta habitual el
uso de metodologas en las empresas auditoras/consultoras profesionales, desarrolladas
por los ms expertos, para conseguir resultados homogneos en equipos de trabajo
heterogneos42.
La proliferacin de metodologas en el mundo de la auditora y el control
informticos se pueden observar en los primeros aos de la dcada de los ochenta,
paralelamente al nacimiento y comercializacin de determinadas herramientas
metodolgicas (como el software de anlisis de riesgos). Pero el uso de mtodos de
auditora es casi paralelo al nacimiento de la informtica, en la que existen muchas
disciplinas cuyo uso de metodologas constituye una prctica habitual. Una de ellas
es la seguridad de los sistemas de informacin.
Aunque de forma simplista se trata de identificar la seguridad informtica a la
seguridad lgica de los sistemas, nada est ms lejos de la realidad hoy en da,
extendindose sus races a todos los aspectos que suponen riesgos para la
informtica.
ste y no otro, debe ser el campo de actuacin de un auditor informtica de
finales del siglo XX, en uno de los grandes smbolos del desarrollo tecnolgico de
la poca de la humanidad que nos ha tocado vivir.
Si definimos la seguridad de los sistemas de informacin como la doctrina que
trata de los riesgos informticos o creados por la informtica, entonces la auditora
es una de las figuras involucradas en este proceso de proteccin y preservacin de la
informacin y de sus medios de proceso.
Por tanto, el nivel de seguridad informtica en una entidad es un objetivo a
evaluar y est directamente relacionado con la calidad y eficacia de un conjunto de
acciones y medidas destinadas a proteger y preservar la informacin de la entidad y
sus medios de proceso.
Resumiendo, la informtica crea unos riesgos informticos de los que hay que
proteger y preservar a la entidad con un entramado de contramedidas, y la calidad y
la eficacia de las mismas es el objetivo a evaluar para poder identificar as sus
puntos dbiles y mejorarlos. sta es una de las funciones de los auditores
informticos. Por tanto, debemos profundizar ms en ese entramado de
contramedidas para ver qu papel tienen las metodologas y los auditores en el
42
http//auditora interna&aq.com
77
mismo. Para explicar este aspecto diremos que cualquier contramedida nace de la
composicin de varios factores expresados en el "grfico valor" de la figura 3.143.
Todos los factores de la pirmide intervienen en la composicin de una
contramedida.
Figura 3.1. Factores que componen una contramedida

La Normativa debe definir de forma clara y precisa todo lo que debe existir y ser
cumplido, tanto desde el punto de vista conceptual, como prctico, desde lo general
a lo particular. Debe inspirarse en estndares, polticas, marco jurdico, polticas y
normas de empresa, experiencia y prctica profesional. Desarrollando la normativa,
debe alcanzarse el resto del grfico valor. Se puede dar el caso en que una normativa y
su carcter disciplinario sea el nico control de un riesgo, pero no es frecuente.
3.5.2. LA ORGANIZACIN la integran personas con funciones especficas y con
actuaciones concretas, procedimientos definidos metodolgicamente y aprobados por
la direccin de la empresa. Este es el aspecto ms importante, dado que sin l, nada es
posible. Se pueden establecer controles sin alguno de los dems aspectos, pero nunca sin
personas, ya que son estas las que realizan los procedimientos y desarrollan los Planes
(Plan de Seguridad, Plan de contingencias, auditoras, etc.).
LAS METODOLOGAS son necesarias para desarrollar cualquier proyecto que nos
propongamos de manera ordenada y eficaz.
LOS OBJETIVOS DE CONTROL son los objetivos a cumplir en el control de
procesos. Este concepto es el ms importante despus de "LA ORGANIZACIN", y
43
Auditora Informtica un enfoque prctico, Piattini, Mario, Del Peso Emilio, Pg 232-233
78
solamente de un planteamiento correcto de los mismos saldrn unos procedimientos

eficaces y realistas.
LOS PROCEDIMIENTOS DE CONTROL son los procedimientos operativos
de las distintas reas de la empresa, obtenidos con una metodologa apropiada, para la
consecucin de uno o varios objetivos de control y, por tanto, deben de estar
documentados y aprobados por la Direccin.
La tendencia habitual de los
informticos es la de dar ms peso a la herramienta que al "control o
contramedida", pero no debemos olvidar que "UNA HERRAMIENTA NUNCA
ES UNA SOLUCIN SINO UNA AYUDA PARA CONSEGUIR UN CONTROL
MEJOR". Sin la existencia de estos procedimientos, las herramientas de control son
solamente una ancdota.
Dentro de la TECNOLOGA DE SEGURIDAD estn todos los elementos, ya sean
hardware o software, que ayudan a controlar un riesgo informtico. Dentro de este
concepto estn los cifradores, autentificadores, equipos "tolerantes al fallo", las
herramientas de control, etc.
LAS HERRAMIENTAS DE CONTROL son elementos software que permiten
definir uno o varios procedimientos de control para cumplir una normativa y un
objetivo de control.
Todos estos factores estn relacionados entre s, as como la calidad de cada uno con la
de los dems. Cuando se evala el nivel de Seguridad de Sistemas en una institucin,
se estn evaluando todos estos factores (pirmide) y se plantea un Plan de Seguridad
nuevo que mejore todos los factores, aunque conforme vayamos realizando los distintos
proyectos del plan, no irn mejorando todos por igual. Al finalizar el plan se habr
conseguido una situacin nueva en la que el nivel de control sea superior al anterior44.
Llamaremos PLAN DE SEGURIDAD a una estrategia planificada de acciones y
productos que lleven a un sistema de informacin y sus centros de proceso de una
situacin inicial determinada (y a mejorar) a una situacin mejorada.
En la figura 3.2 se expone la tendencia actual en la organizacin de la seguridad de
sistemas en la empresa. Por una parte un comit que estara formado por el director de la
estrategia y de las polticas. Y por otra parte control interno y auditora informticos.
La funcin de control interno se ve involucrada en la realizacin de los procedimientos
de control y es una labor de da a da. La funcin de auditora informtica est
centrada en la evaluacin de los distintos aspectos que designe su PLAN AUDITOR,
con unas caractersticas de trabajo que son las visitas concretas al centro, con objetivos
concretos y, tras terminar su trabajo, la presentacin del informe de resultados. Por tanto,
las caractersticas de su funcin son totalmente distintas. Lgicamente tambin sus
mtodos de trabajo.
44
Idem. Pgs. 236-238
79
Figura 3.2. Organizacin interna de la seguridad informtica

Queda, pues, por decir que ambas funciones deben ser independientes de la
informtica, dado que por la disciplina laboral la labor de las dos funciones quedara
mediatizada y comprometida. Esto es lo que se llama "segregacin de funciones"
entre stas y la informtica.
3.6. METODOLOGAS DE EVALUACIN DE SISTEMAS

3.6.1. Conceptos fundamentales
En el mundo de la seguridad de sistemas se utilizan todas las metodologas
necesarias para realizar un plan de seguridad adems de las de auditora informtica.
Las dos metodologas de evaluacin de sistemas por antonomasia son las de anlisis
de riesgos y las de auditora informtica, con dos enfoques distintos. La auditora
informtica slo identifica el nivel de "exposicin" por la falta de controles, mientras el
anlisis de riesgos facilita la "evaluacin" de los riesgos y recomienda acciones en base
al costo-beneficio de las mismas.
Introduzcamos una serie de definiciones para profundizar en estas metodologas.
Amenaza: una(s) persona(s) o cosa(s) vista(s) como posible fuente de peligro o
catstrofe. Ejemplos: inundacin, incendio, robo de datos, sabotaje, agujeros publicados,
falta de procedimientos de emergencia, divulgacin de datos, implicaciones con la
ley, aplicaciones mal diseadas, gastos incontrolados, etc.
Vulnerabilidad: La situacin creada, por la falta de uno o varios controles, con la
que la amenaza pudiera acaecer y as afectar al entorno informtico. Ejemplos: falta de
control de acceso lgico, falta de control de versiones, inexistencia de un control de
soportes magnticos, falta de separacin de entornos en el sistema, falta de
cifrado en las telecomunicaciones, etc.
80
Riesgo: La probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad.
Ejemplo: los datos estadsticos de cada evento de una base de datos de incidentes.
Exposicin o impacto: La evaluacin del efecto del riesgo.
Ejemplo:
es frecuente evaluar el impacto en trminos econmicos, aunque no siempre lo
es, como vidas humanas, imagen de la empresa, honor, defensa nacional, etc.
Las amenazas reales se presentan de forma compleja y son difciles de predecir.
Ejemplo: por varias causas se rompen las dos entradas de agua, inundan las lneas
telefnicas (pues existe un poro en el cable), hay un cortocircuito y se quema el
transformador de la central local. En estos casos la probabilidad resultante es muy
difcil de calcular45.
Las metodologas de anlisis de riesgos se utilizan desde los aos setenta, en la industria
del seguro basndose en grandes volmenes de datos estadsticos agrupados en tablas
actuaras. Se emplearon en la informtica en los ochenta, y adolecen del problema de
que los registros estadsticos de incidentes son escasos y, por tanto, el rigor cientfico
de los clculos probabilsticos es pobre. Aunque existen bases de incidentes en varios
pases, estos datos no son muy fiables por varios motivos: la tendencia a la ocultacin
de los afectados, la localizacin geogrfica, las distintas mentalidades, la informtica
cambiante, el hecho de que los riesgos se presentan en un perodo de tiempo solamente
(ventana de criticidad), etc.
Todos los riesgos que se presentan podemos:
Evitarlos (por ejemplo: no
constante de inundaciones).
construir un
centro
donde
hay
peligro
Transferirlos (por ejemplo: uso de un centro de clculo contratado).

Reducirlos (por ejemplo: sistema de deteccin y extincin de incendios).
Asumirlos. Que es lo que se hace si no se controla el riesgo en absoluto.
Para los tres primeros, se acta si se establecen controles o contramedidas. Todas las
metodologas existentes en seguridad de sistemas van encaminadas a establecer y
mejorar un entramado de contramedidas que garanticen que la probabilidad de que
las amenazas se materialicen en hechos (por falta de control) sea lo ms baja posible
o al menos quede reducida de una forma razonable en costo-beneficio.
3.6.2. Tipos de metodologas
Todas las metodologas existentes desarrolladas y utilizadas en la auditora y el
control informticos, se pueden agrupar en dos grandes familias. stas son:
45
Idem, pg. 241
81
Cuantitativas: Basadas en un modelo matemtico numrico que ayuda a la

realizacin del trabajo.
Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un
proceso de trabajo, para seleccionar en base a la experiencia acumulada.
3.6.2.1. Metodologas cuantitativas
Diseadas para producir una lista de riesgos que pueden compararse entre s con
facilidad por tener asignados unos valores numricos. Estos valores en el caso de
metodologas de anlisis de riesgos o d planes de contingencias son datos de
probabilidad de ocurrencia (riesgo) de un evento que se debe extraer de un registro
de incidencias donde el nmero de incidencias tienda al infinito o sea
suficientemente grande. Esto no pasa en la prctica, y se aproxima ese valor de
forma subjetiva restando as rigor cientfico al clculo. Pero dado que el clculo se
hace para ayudar a elegir el mtodo entre varias contramedidas podramos aceptarlo.
Hay varios coeficientes que conviene definir:
A.L.E. (Annualized Loss Expentacy): multiplicar la prdida mxima posible
de cada bien/recurso por la amenaza con probabilidad ms alta.
Reduccin del A.L.E. (Annualized Loss Expectancy): Es el cociente entre el coste
anualizado de la instalacin y el mantenimiento de la medida contra el valor total
del bien/recurso que se est protegiendo, en tanto por ciento.
Retorno de la inversin (R.O.I.): A.L.E. original menos A.L.E. reducido
(como resultado de la medida), dividido por el coste anualizado de la medida.
Todos estos coeficientes y otros diseados por los autores de las metodologas son
usados para el juego de simulacin que permite elegir entre varias contramedidas en
el anlisis de riesgos.
Por tanto, vemos con claridad dos grandes inconvenientes que presentan estas
metodologas: por una parte la debilidad de los datos de la probabilidad de ocurrencia
por los pocos registros y la poca significacin de los mismos a nivel mundial, y por
otra la imposibilidad o dificultad de evaluar econmicamente todos los impactos que
pueden acaecer frente a la ventaja de poder usar un modelo matemtico para el
anlisis.
3.6.2. Metodologas ms comunes
Las metodologas ms comunes de evaluacin de sistemas que podemos encontrar
son de anlisis de riesgos o de diagnsticos de seguridad, las de plan de contingencias, y
las de auditora de controles generales.
3.6.2.1. Metodologas de anlisis de riesgos
Estn desarrolladas para la identificacin de la falta de controles y el
82
establecimiento de un plan de contramedidas. Existen dos tipos: LAS

CUANTITATIVAS y LAS CUALITATIVAS, de las que existen gran cantidad de
ambas clases y slo citaremos algunas de ellas46.
El esquema bsico de una metodologa de anlisis de riesgos es, en esencia, el
representado en la figura 3.3.
Figura 3.3. Esquema bsico de una metodologa de anlisis de riesgos

En base a unos cuestionarios se identifican vulnerabilidades y riesgos y se evala el
impacto para ms tarde identificar las contramedidas y el coste. La siguiente etapa es la
ms importante, pues mediante un juego de simulacin (que llamaremos "QU PASA
SI...?") analizamos el efecto de las distintas contramedidas en la disminucin de los
riesgos analizados, eligiendo de esta manera un plan de contramedidas (plan de
seguridad) que compondr el informe final de la evaluacin.
De forma genrica las metodologas existentes se diferencian en:
S son cuantitativas o cualitativas, o sea si para el Qu pasa si...? utilizan un modelo
matemtico o algn sistema cercano a la eleccin subjetiva. Aunque, bien
pensado, al aproximar las probabilidades por esperanzas matemticas
subjetivamente, las metodologas cuantitativas, aunque utilicen aparatos matemticos
en sus simulaciones, tienen un gran componente subjetivo.
3.6.2.2. Plan de contingencias
El auditor debe conocer perfectamente los conceptos de un plan de contingencias para
poder auditarlo. Hay varias formas de llamarlo, pero conviene no confundir los
conceptos que se manejan alrededor de los nombres. El plan de contingencias y de
46
Idem. Pgs. 245-247
83
recuperacin del negocio es lo mismo, pero no as el plan de restauracin interno. ste

va enfocado hacia la restauracin del C.P.D., pero sobre eventos que suceden dentro del
entorno (cadas del sistema, roturas leves, etc.), y cuya duracin no afecta
gravemente a la continuidad del negocio.
Tambin se manejan a veces los conceptos de plan de contingencias informtica y plan,
de contingencias corporativo, cuyos conceptos son slo de alcance. El corporativo
cubre no slo la informtica, sino todos los departamentos de una entidad, y puede
incluir tambin el informativo como un departamento ms. Frecuentemente se realiza
el informtico.
Definicin. El Plan de Contingencias es una estrategia planificada constituida por: un
conjunto de recursos de respaldo, una organizacin de emergencia y unos
procedimientos de actuacin encaminada a conseguir una restauracin progresiva y
gil de los servicios de negocio afectados por una paralizacin total o parcial de la
capacidad operativa de la empresa.
Esa estrategia, materializada en un manual, es el resultado de todo un proceso de anlisis
y definiciones que es lo que da lugar a las metodologas. Esto es, las metodologas que
existen versan sobre el proceso necesario para obtener dicho plan.
Es muy importante tener en cuenta que el concepto a considerar es "la continuidad, el
negocio"; estudiar todo lo que puede paralizar la actividad y producir prdidas. Todo lo
que no considere este criterio no ser nunca un plan de contingencias.
Fases de un plan. Las fases de un plan son las siguientes:
Fase I. anlisis y diseo. Se estudia la problemtica, las necesidades de recursos, las
alternativas de respaldo, y se analiza el coste/beneficio de las mismas. sta es la fase
ms importante, pudiendo llegarse al final de la misma incluso a la conclusin de que
no es viable o es muy costoso su seguimiento. En la forma de desarrollar esta fase, se
diferencian las dos familias metodolgicas. stas son las de RISK ANLISIS y las de
BUSINESS IMPACT.
Las de Risk Anlisis se basan en el estudio de los posibles riesgos desde el punto de
vista de probabilidad de que los mismos sucedan. Aunque los registros de
incidentes, al igual que ocurra en las metodologas de anlisis de riesgos, son escasos y
poco fiables, aun as es ms fcil encontrar este tipo de metodologas que las
segundas.
Las de Bussines Impact, se basan en el estudio del impacto (prdida econmica o de
imagen) que ocasiona la falta de algn recurso de los que soporta la actividad del
negocio. Estas metodologas son ms escasas, pero tienen grandes ventajas como es el
mejor entendimiento del proceso o el menor empleo de tiempo de trabajo por ir ms
directas al problema.
Las tareas de esta fase en las metodologas de Risk Anlisis son las siguientes:
1.
Identificacin de amenazas.
84
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
Anlisis de la probabilidad de materializacin de la amenaza.

Seleccin de amenazas.
Identificacin de entornos amenazados.
Identificacin de servicios afectados.
Estimacin del impacto econmico por paralizacin de cada servicio.
Seleccin de los servicios a cubrir.
Seleccin final del mbito del Plan.
Identificacin de alternativas para los entornos.
Seleccin de alternativas.
Diseo de estrategias de respaldo.
Seleccin de las estrategias de respaldo.

Las tareas para las de Business Impact son las siguientes:
12.
13.
14.
15.
16.
17.
18.
19.
Identificacin de servicios finales.

Anlisis del impacto. En estas metodologas se evalan los daos econmicos y de
imagen y otros aspectos no econmicos, lo que les da una ventaja en los casos en
los que intervienen otros valores que no sean los econmicos.
Seleccin de servicios crticos.
Determinacin de recursos de soporte.
Identificacin de alternativas para entornos.
Seleccin de alternativas.
Diseo de estrategias globales de respaldo.
Seleccin de la estrategia global de respaldo.
Como puede verse, el enfoque de esta segunda es ms prctico y se va ms directo a

las necesidades reales de la entidad sin tener que justificar con datos de probabilidades
que aportan poco por la pobreza de los datos. stas se basan en hechos ciertos, que se
analizan y se justifican econmicamente. Permiten, por tanto, hacer estudios
costo/beneficio que justifican las inversiones con ms rigor que los estudios de
probabilidad que se obtienen con los anlisis de riesgos.
Hay un factor importante a determinar en esta fase que es el Time Frame o tiempo
que la empresa puede asumir con paralizacin de la actividad operativa antes de
incurrir en prdidas significativas. Este factor marcar las estrategias de
recuperacin y se extraer del anlisis del impacto.
Fase II: desarrollo del plan. Esta fase y la tercera son similares en todas las
metodologas. En ella se desarrolla la estrategia seleccionada, implantndose hasta el
final todas las acciones previstas. Se definen las distintas organizaciones de emergencia
y se desarrollan los procedimientos de actuacin generando as la documentacin del
plan.
Es en esta fase cuando se analiza la vuelta a la normalidad, dado que pasar de la
situacin normal a la alternativa debe concluirse con la reconstruccin de la situacin
inicial antes de la contingencia, y esto es lo que no todas las metodologas incluyen.
85
Fase III: pruebas y mantenimiento. En esta fase se definen las pruebas, sus
caractersticas y sus ciclos, y se realiza la primera prueba como comprobacin de
todo el trabajo realizado, as como mentalizar al personal implicado.
Asimismo se define la estrategia de mantenimiento, la organizacin destinada a ello y la
normativa y procedimientos necesarios para llevarlo a cabo.
Herramientas. En este caso, como en todas las metodologas la herramienta es una
ancdota, y lo importante es tener y usar la metodologa apropiada para
desarrollar ms tarde la herramienta que se necesite. El esquema de una herramienta
debe tener al menos los siguientes puntos:
-
base de datos relacionar

mdulo de entrada de datos
mdulo de consultas
proceso de textos
generador de informes
ayudas on-line
hoja de clculo
gestor de proyectos
generador de grficos
En el mercado productos que cubren estas metodologas, en menor cantidad que los
de anlisis de riesgos y enfocados sobre todo a anlisis de riesgos con datos de poca
significacin cientfica. Hoy en da la mayora de los equipos profesionales
desarrollan su software al comienzo de los trabajos tras definir la metodologa.
Es importante para terminar este punto decir que una prctica habitual es realizar la fase
I y contratar un servicio de back-up sin desarrollar las fases II y III. Esto no slo
constituye un error conceptual, sino que en realidad slo se tiene un estudio y un
contrato de servicios pero no un plan de contingencias.
3.7. LAS METODOLOGAS DE AUDITORIA INFORMTICA

Las nicas metodologas que podemos encontrar en la auditora informtica son dos
familias distintas: las auditoras de controles generales como producto estndar de los
auditores profesionales, que son una homologacin de las mismas a nivel
internacional, y las metodologas de los auditores internos.
El objetivo de las auditoras de controles generales es "dar una opinin sobre la
fiabilidad de los datos del computador para la auditora financiera". El resultado
externo es un escueto informe como parte del informe de auditora, donde se destacan
las vulnerabilidades encontradas. Estn basadas en pequeos cuestionarios estndares
que dan como resultado informes muy generalistas.
Tienen apartados para definir pruebas y anotar sus resultados. Esta es una caracterstica
clara de la diferencia con las metodologas de evaluacin de la consultara como las
de anlisis de riesgos que no tienen estos apartados, aunque tambin tratan de
identificar vulnerabilidades o falta de controles. Esto es, la realizacin de pruebas es
86
consustancial a la auditora, dado que tanto el trabajo de consultara como el anlisis de

riesgos espera siempre la colaboracin del analizado, y por el contrario la auditora debe
demostrar con pruebas todas sus afirmaciones, y por ello siempre debe contener el
apartado de las pruebas. Llegando al extremo de que hay auditoras que se basan slo
en pruebas como la "auditora de integridad".
Estas metodologas estn muy desprestigiadas, pero no porque sean malas en s
mismas, sino porque dependen mucho de la experiencia de los profesionales que las
usan y existe una prctica de utilizarlas profesionales sin ninguna experiencia.
Ninguna de estas metodologas usa ayudas de contramedidas, llegndose a la aberracin
de que se utilizan metodologas de anlisis de riesgos para hacer auditoras.
Todas estas anomalas nacen de la dificultad que tiene un profesional sin experiencia
que asume la funcin auditora y busca una frmula fcil que le permita empezar su
trabajo rpidamente. Esto es una utopa. El auditor informtico necesita una larga
experiencia tutelada y una gran formacin tanto auditora como informtica. Y esta
formacin debe ser adquirida mediante el estudio y la prctica tutelada.
Llegamos al punto en el que es necesario decir que la metodologa de auditor interno
debe ser diseada y desarrollada por el propio auditor, y sta ser la significacin de
su grado de experiencia y habilidad.
Por tanto, entre las dos metodologas de evaluacin de sistemas (anlisis de riesgos y
auditora) existen similitudes y grandes diferencias. Ambas tienen papeles de trabajo
obtenidos del trabajo de campo tras el plan de entrevistas, pero los cuestionarios son
totalmente distintos. Los de la figura 3.6 son de anlisis de riesgos y se trata de
preguntas dirigidas a la identificacin de la falta de controles. Se ven dirigidas a
consultores por la planificacin de los tiempos y por ser preguntas ms concretas.
En el punto 3.7 se expone un ejemplo real de una metodologa de auditor interno
necesaria para revisar cualquier aplicacin. Como se ve en el ejemplo est formada
por recomendaciones de plan de trabajo y de todo el proceso que o debe seguir.
Tambin define el objetivo de la misma, que habr que describirlo en el memorndum
de apertura al auditado. Asimismo lo describe en forma de cuestionarios genricos, con
una orientacin de los controles a revisar.
En este caso del auditor interno informtico le servir de gua para confeccionar el
programa real de trabajo de la auditora. El auditor deber hacer los cuestionarios ms
detallados si as lo estima oportuno y definir cuantas pruebas estime oportunas.
Asimismo, si cuando empieza una auditora el auditor detecta vas alternativas a
revisar, su deber es seguirlas cambiando el plan de trabajo. Por tanto, el concepto de
las metodologas de anlisis de riesgos de tiempos medidos es ms bien para
consultores profesionales que para auditores internos. stos, aunque deben planificar
sus tiempos, en principio no deben constituir nunca su factor principal, dado que su
funcin es la de vigilancia, y sta se cumple si el auditado se siente vigilado.
El auditor interno debe crear sus metodologas necesarias para auditar los distintos
aspectos o reas que defina en el plan auditor que veremos en el siguiente punto.
87
Tambin es interesante aclarar que hay herramientas software de ayuda a la auditora

de cuentas que aunque se les llame herramientas de auditora, slo lo son para los
auditores de cuentas, y esto no es auditora informtica sino ayuda a la auditora de
cuentas.
Es decir, que no es lo mismo ser una informtica de los auditores que ser auditor
informtico. La auditora financiera es un dictamen sobre los estados de cuentas. Y la
auditora informtica es una auditora en s misma, y si el auditor informtico no
certifica la integridad de los datos informticos que usan los auditores financieros,
stos no deben usar los sistemas de informacin para sus dictmenes. Tal es la
importancia de la existencia de los auditores informticos, que son los garantes de la
veracidad de los informes de los auditores financieros que trabajan con los datos de los
sistemas de informacin.
3.8. EL PLAN AUDITOR INFORMTICO

Es el esquema metodolgico ms importante del auditor informtico. En este documento
se debe describir todo sobre esta funcin y el trabajo que realiza en la entidad. Debe
estar en sintona con el plan auditor del resto de los auditores de la entidad.
Las partes de un plan auditor informtico deben ser al menos las siguientes:
Funciones. Ubicacin de la figura en el organigrama de la empresa. Debe
existir una clara segregacin de funciones con la Informtica y de control
interno informtico, y ste debe ser auditado tambin. Deben describirse las
funciones de forma precisa, y la organizacin interna del departamento, con
todos sus recursos.
Procedimientos para las distintas tareas de las auditoras. Entre ellos estn el
procedimiento de apertura, el de entrega y discusin de debilidades, entrega de informe
preliminar, cierre de auditora, redaccin de informe final, etc.
Tipos de auditoras que realiza. Metodologas y cuestionarios de las mismas. Ejemplo:
revisin de la aplicacin de facturacin, revisin de la LOPD, revisin de seguridad
fsica, revisin de control interno, etc. Existen tres tipos de auditoras segn su alcance:
la Full o completa de una rea (por ejemplo: control interno, informtica, limitada a
un aspecto; por ejemplo: una aplicacin, la seguridad lgica, el software de base, etc.),
la Corrective Action Review (CAR) que es la comprobacin de acciones correctivas de
auditoras anteriores.
Sistema de evaluacin y los distintos aspectos que evala. Independientemente de que
exista un plan de acciones en el informe final, debe hacerse el esfuerzo de definir
varios aspectos a evaluar como nivel de gestin econmica, gestin de recursos
humanos, cumplimiento de normas, etc., as como realizar una evaluacin global de
resumen para toda la auditora. En nuestro pas esta evaluacin suele hacerse en tres
niveles que son Bien, Regular, o Mal, significando la visin de grado, de gravedad.
Esta evaluacin final nos servir para definir la fecha de repeticin de la misma
auditora en el futuro segn el nivel de exposicin que se le haya dado a este tipo de
auditora en cuestin.
88
Ciclo de auditoras
Nivel Exposicin
10-9
Evaluacin
Frecuencia Visitas
"B"
1 8 meses
"R"
9 meses
"M"
6 meses
8-7
"B"
1 8 meses
"R"
1 2 meses
"M"
9 meses
6-5
"B"
24 meses
"R"
18 meses
"M"
12 meses
4- 1
"B"
36 meses
"R"
24 meses
"M"
18 meses
Figura 3.11. Nivel de exposicin para definir la frecuencia de la auditora
Nivel de exposicin. Como ejemplo podemos ver la figura 3.11. El nivel de exposicin
es en este caso un nmero del uno al diez definido subjetivamente y que me permite en
base a la evaluacin final de la ltima auditora realizada sobre ese tema definir la fecha
de la repeticin de la misma auditora. Este nmero no conviene confundirlo con
ninguno de los parmetros utilizados en el anlisis de riesgos que est enfocado a
probabilidad de ocurrencia. En este caso el valor del nivel de exposicin significa la
suma de factores como impacto, peso del rea, situacin de control en el rea. O sea se
puede incluso rebajar el nivel de un rea auditada porque est muy bien y no merece la
pena revisarla tan a menudo.
3.8.1. Lista de distribucin de informes.
Seguimiento de las acciones correctoras.
Plan quinquenal. Todas las reas a auditar deben corresponderse con
cuestionarios metodolgicos y deben repartiese en cuatro o cinco aos de trabajo.
Esta planificacin, adems de las repeticiones y aadido de las auditoras no
programadas que se estimen oportunas, deber componer anualmente el plan de
trabajo anual.
Plan de trabajo anual. Deben estimarse tiempos de manera racional y componer
un calendario que una vez terminado nos d un resultado de horas de trabajo previstas
y, por tanto, de los recursos que se necesitarn.
Debemos hacer notar que es interesante tener una herramienta programada con
metodologa abierta que permita confeccionar los cuestionarios de las distintas
auditoras y cubrir fcilmente los hitos y fases de los programas de trabajo una vez
definida la metodologa completa. Esto se puede hacer sin dificultad con cualquier
herramienta potente de las que existen en la actualidad.
Las metodologas de auditora informtica son del tipo cualitativo/subjetivo. Podemos
decir que son las subjetivas por excelencia. Por tanto, estn basadas en profesionales
89
de gran nivel de experiencia y formacin, capaces de dictar recomendaciones

tcnicas, operativas y jurdicas, que exigen una gran profesionalidad y formacin
continuada. Slo as esta funcin se consolidar en las entidades, esto es, por el "respeto
profesional" a los que ejercen la funcin.
3.8.2. Control interno informtico. Sus mtodos y procedimientos. Las
herramientas de control
La funcin de control
Hoy en da la tendencia generalizada es contemplar, al lado de la figura del auditor
informtico, la de control interno informtico. Tal es el caso de la organizacin
internacional I.S.A.C.A. (Information Systems Audit and Control Association) que con
anterioridad se llam The EDP Auditors Association Inc.
Aunque hay una cierta polmica profesional con esta funcin y no existe una
aceptacin tan clara como la funcin de auditora informtica, parece razonable y sin
intencin de crear doctrina definirla como existe en general en muchas multinacionales.
La funcin de Control Informtico Independiente debera ser en primer lugar
independiente del departamento controlado. Ya que "por segregacin de funciones la
informtica no debera controlarse a s misma". Partiendo de la base de un concepto en
el que la seguridad de sistemas abarca un campo mucho mayor de lo que es la
seguridad lgica, podramos decir que:
-
El rea informtica monta los procesos informticos seguros.

El Control interno monta los controles.
La Auditora Informtica evala el grado de control.
Por tanto, podramos decir que existen claras diferencias entre las funciones de control
informtico y las de auditora informtica.
3.8.3. La Auditora Informtica
Tiene la funcin de vigilancia y evaluacin mediante dictmenes, y todas sus
metodologas van encaminadas a esta funcin.
Tiene sus propios objetivos distintos a los auditores de cuentas, aunque necesarios para
que stos puedan utilizar la informacin de sus sistemas para sus evaluaciones
financieras y operativas. Evalan eficiencia, costo y seguridad en su ms amplia visin,
esto es todos los riesgos informativos, ya sean los clsicos (confidencialidad,
integridad y disponibilidad), o los costos y los jurdicos, dado que ya no hay una
clara separacin en la mayora de los casos.
Operan segn el plan auditor.
Utilizan metodologas de evaluacin del tipo cualitativo con la caracterstica de las
pruebas de auditora.
90
Establecen planes quinquenales como ciclos completos.

Sistemas de evaluacin de repeticin de la auditora por nivel de exposicin del rea
auditada y el resultado de la ltima auditora de esta rea.
La funcin de soporte informtico de todos los auditores (opcionalmente), aunque
dejando claro que no se debe pensar con esto que la auditora informtica
consiste en esto solamente.
3.8.4. Control Interno Informtico
Tiene funciones propias (administracin de la seguridad lgica, etc.).
Funciones de control dual con otros departamentos.
Funcin normativa y del cumplimiento del marco jurdico.
Operan segn procedimientos de control en los que se ven involucrados y que
luego se desarrollarn.
Al igual que en la auditora y de forma opcional pueden ser el soporte
informtico de control interno no informtico.
Podemos pasar ya a proponer las funciones de control interno ms comunes:
Definicin de propietarios y perfiles segn "Clasificacin de la Informacin"
(utilizando metodologa).
Administracin delegada en Control Dual (dos personas intervienen en una
accin como medida de control) de la seguridad lgica.
Responsable del desarrollo y actualizacin del Plan de Contingencias,
Manuales de procedimientos y Plan de Seguridad.
Promover el Plan de Seguridad Informtica al Comit de Seguridad.
Dictar Normas de Seguridad Informtica.
Definir los Procedimientos de Control.
Control del Entorno de Desarrollo.
Control de Soportes Magnticos segn la Clasificacin de la Informacin.
Control de Soportes Fsicos (listados, etc.).
Control de Informacin Comprometida o Sensible.
Control de Microinformtica y Usuarios.
Control de Calidad de Software.
Control de Calidad del Servicio Informtico.
Control de Costes.
Responsable del Departamento (gestin de recursos humanos y tcnicos).
Control de Licencias y Relaciones Contractuales con terceros.
Control y Manejo de Claves de cifrado.
Relaciones externas con entidades relacionadas con la Seguridad de la
Informacin.
Definicin de Requerimientos de Seguridad en Proyectos Nuevos.
Vigilancia del Cumplimiento de las Normas y Controles.
Control de Cambios y Versiones.
Control de Paso de Aplicaciones a Explotacin.
Control de Medidas de Seguridad Fsica o corporativa en la Informtica.
91
Responsable de Datos Personales (LOPD y Cdigo Penal).

Otros controles que se le designen.
Otras funciones que se le designen.
Todas estas funciones son un poco ambiciosas para desarrollarlas desde el instante
inicial de la implantacin de esta figura, pero no debemos perder el objetivo de que el
control informtico es el componente de la "actuacin segura" entre los usuarios, la
informtica y control interno, todos ellos auditados por auditora informtica.
Para obtener el entramado de contramedidas o controles compuesto por los factores
que veamos en la figura 3.1, deberemos ir abordando proyectos usando distintas
metodologas, tal como se observa en la figura 3.12, que irn conformando y mejorando
el nmero de controles.
Figura 3.4. Obtencin de los controles

Este plan de proyectos lo llamaremos Plan de Seguridad Informtica. Dos de estos
proyectos de vital importancia son la Clasificacin de la Informacin y los
Procedimientos de Control. El punto B) de la figura corresponde al primero y el C) al
segundo, y sus metodologas se ven a continuacin.
3.8.5. Metodologas de clasificacin de la informacin y de obtencin de los
procedimientos de control
Clasificacin de la informacin
No es frecuente encontrar metodologas de este tipo, pero la metodologa PRIMA tiene
dos mdulos que desarrollan estos dos aspectos y que vemos a continuacin.
Contemplando la figura 3.12 podramos preguntarnos si es suficiente con un anlisis
de riesgos para obtener un plan de contramedidas que nos llevar a una situacin de
control como se desea. La respuesta es no, dado que todas las entidades de
informacin a proteger no tienen el mismo grado de importancia, y el anlisis de
92
riesgos metodolgicamente no permite aplicar una diferenciacin de contramedidas

segn el activo o recurso que protege, sino por la probabilidad del riesgo analizado.
Tiene que ser otro concepto, como el que se baraja en la clasificacin de la
informacin. Esto es si identificamos distintos niveles de contramedidas para distintas
entidades de informacin con distinto nivel de criticidad, estaremos optimizando la
eficiencia de las contramedidas y reduciendo los costos de las mismas.
Por ejemplo, si en vez de cifrar la red de comunicaciones por igual somos capaces de
diferenciar por qu lneas va la informacin que clasificamos como Restringida a los
propietarios de la misma, podremos cifrar solamente estas lneas para protegerla sin
necesidad de hacerlo para todas, y de esa manera disminuiremos el costo de la
contramedida cifrado.
Tradicionalmente el concepto de informacin clasificada se aplic a los documentos
de papel, aunque los criterios y jerarquas nunca han sido ms de dos (secreto y no).
Con la tecnologa de la informacin, el concepto ha cambiado, e incluso se ha
perdido el control en entornos sensibles. Nace pues el concepto de entidad de
informacin como el objetivo a proteger en el entorno informtico, y que la
clasificacin de la informacin nos ayudar a proteger especializando las
contramedidas segn el nivel de confidencialidad o importancia que tengan.
Esta metodologa es del tipo cualitativo/subjetivo, y como el resto de la
metodologa PRIMA tiene listas de ayuda con el concepto abierto, esto es, que el
profesional puede aadir en la herramienta niveles o jerarquas, estndares y objetivos a
cumplir por nivel, y ayudas de contramedidas.
Ejemplos de Entidades de Informacin son: una pantalla, un listado, un archivo de
datos, un archivo en un streamer, una microficha de saldos, los sueldos de los
directivos, los datos de tipo "salud" en un archivo de personal, una transaccin, un JCL,
un editor, etc.
O sea los factores a considerar son los requerimientos legislativos, la sensibilidad a la
divulgacin (confidencialidad), a la modificacin (integridad), y a la destruccin.
Las jerarquas suelen ser cuatro, y segn se trate de ptica de preservacin o de
proteccin, los cuatro grupos seran: Vital-Crtica-Valuada-No sensible o bien
Altamente confidencial-Confidencial-Restringida-No sensible.
PRIMA, aunque permite definirla a voluntad, bsicamente define:
Estratgica (informacin muy restringida, muy confidencial, vital para la

subsistencia de la empresa).
Restringida (a los propietarios de la informacin).
De uso interno (a todos los empleados).

De uso general (sin restriccin)
93
3.8.6 Los pasos de la metodologa. Son los siguientes:

Identificacin de la informacin.
Inventario de entidades de informaciones residentes y operativas. Inventario de
programas, archivos de datos, estructuras de datos, soportes de informacin, etc.
Identificacin de propietarios.
custodian la informacin.
Son los que necesitan para su trabajo, usan o
Definicin de jerarquas de informacin. Suelen ser cuatro, porque es difcil

distinguir entre ms niveles.
Definicin de la matriz de clasificacin. Esto consiste en definir las polticas,
estndares objetivos de control y contramedidas por tipos y jerarquas de informacin.
Confeccin de la matriz de clasificacin. En la figura 3.13 se observa un ejemplo de
matriz de clasificacin en la que se relaciona cada entidad de informacin con los
elementos que se correlacionan, como son transaccin, archivos, soportes,
propietarios, y jerarqua. En esta fase se cumplimenta toda la matriz, asignndole a
cada entidad un nivel de jerarqua, lo que la asocia a una serie de hitos a cumplir
segn el punto anterior, para cuyo cumplimiento deberemos desarrollar acciones
concretas en el punto siguiente.
Realizacin del plan de acciones. Se confecciona el plan detallado de acciones.
Por ejemplo, se reforma una aplicacin de nminas para que un empleado utilice el
programa de subidas de salario y su supervisor lo apruebe.
Implantacin y mantenimiento. Se implanta el plan de acciones y se mantiene
actualizado.
3.8.7. Obtencin de los procedimientos de control
Otra metodologa necesaria para la obtencin de los controles expresados en la figura
3.1, es la Obtencin de los Procedimientos de Control. Es frecuente encontrar
manuales de procedimientos en todas las reas de la empresa que explican las
funciones y cmo se realizan las distintas tareas diariamente, siendo stos necesarios
para que los auditores realicen sus revisiones operativas, evaluando si los
procedimientos son correctos y estn aprobados y sobre todo si se cumplen.
Pero podramos preguntarnos si desde el punto de vista de control informtico es
suficiente y cmo se podran mejorar.
La respuesta nos la da la metodologa que se expone a continuacin, que nos dar otro
plan de acciones que tal como trata de expresar la figura 3.12, contribuir sumndose
a los distintos proyectos de un plan de seguridad para mejorar el entramado de
contramedidas.
94
3.8.8. Metodologa
Fase I.
Definicin de Objetivos de Control. Se compone de tres tareas.
Tarea 1. Anlisis de la empresa.

funciones.
Se estudian los procesos, organigramas y
Tarea 2. Recopilacin de estndares. Se estudian todas las fuentes de

informacin necesarias para conseguir definir en la siguiente fase los
objetivos de control a cumplir (por ejemplo, ISO, ITSEC, CISA, etc.).
Tarea.3. Definicin de los Objetivos de Control. Fase II. Definicin de los Controles.
Fase II.
Definicin de Controles.
Tarea 1. Definicin de los Controles. Con los objetivos de control definidos,

analizamos los procesos y vamos definiendo los distintos controles que se
necesiten.
Tarea 2. Definicin de Necesidades Tecnolgicas (hardware y herramientas de
control).
Tarea 3. Definicin de los Procedimientos de Control. Se desarrollan los distintos
procedimientos que se generan en las reas usuarias, informtica, control
informtico y control no informtico.
Tarea 4.
Definicin de las necesidades de recursos humanos.
Fase III. Implantacin de los controles.

Una vez definidos los controles, las herramientas de control y los recursos humanos
necesarios, no resta ms que implantarlos en forma de acciones especficas.
Terminado el proceso de implantacin de acciones habr que documentar los
procedimientos nuevos y revisar los afectados de cambio. Los procedimientos
resultantes sern:
-
Procedimientos propios de control de la actividad informtica (control interno

informtico).
Procedimientos de distintas reas usuarias de la informtica, mejorados.
Procedimientos de reas informticas, mejorados.
Procedimientos de control dual entre control interno informtica y el rea
informtica, los usuarios informticos, y el rea de control no informtico.
3.8.8.1. Las herramientas de control

Ya hemos hablado de todas las capas de la figura 3.1, excepto del ltimo substrato de la
pirmide, esto es, las herramientas de control. En la tecnologa de la seguridad
informtica que se ve envuelta en los controles, existe tecnologa hardware (como los
95
cifradores) y software. Las herramientas de control son elementos software que por sus
caractersticas funcionales permiten vertebrar un control de una manera ms actual y
ms automatizada. Pero no olvidemos que la herramienta en s misma no es nada. Ya
hemos visto en el punto anterior que el control se define en todo un proceso
metodolgico, y en un punto del mismo se analiza si existe una herramienta que
automatice o mejore el control para ms tarde definir todo el control con la
herramienta incluida, y al final documentar los procedimientos de las distintas reas
involucradas para que stas; los cumplan y sean auditados. O sea, comprar una
herramienta sin ms y ver qu podemos hacer con ella es, un error profesional grave, que
no conduce a nada, comparable a trabajar sin mtodo e improvisando en cualquier
disciplina informtica.
Las herramientas de control (software) ms comunes son:
-
Seguridad lgica del sistema.

Seguridad lgica complementaria al sistema (desarrollado a medida).
Seguridad lgica para entornos distribuidos.
Control de acceso fsico. Control de presencia.
Control de copias.
Gestin de soportes magnticos.
Gestin y control de impresin y envo de listados por red.
Control de proyectos.
Control de versiones.
Control y gestin de incidencias.
Control de cambios.
Etc.
Todas estas herramientas estn inmersas en controles nacidos de unos objetivos de

control y que regularn la actuacin de las distintas reas involucradas. Por ejemplo,
si el objetivo de control es "separacin de entornos entre desarrollo y produccin",
habr un procedimiento en desarrollo de "paso de aplicaciones a explotacin" y otro
en explotacin de "paso a explotacin de aplicaciones de desarrollo". Soportado todo
por una herramienta de control de acceso lgico que en un proceso de clasificacin ha
definido distintos perfiles en desarrollo y explotacin, y tras implantarlo en la
herramienta, impide acceder a uno y a otros al entorno que no es el suyo. Por tanto, para
pasar una aplicacin de uno a otro cuando est terminada, se necesita un procedimiento
en el que intervengan las dos reas y un control informtico que acta de llave. Esto que
parece dificultoso, no lo es en la prctica.
Slo a modo de ejemplo pongamos los objetivos de control en el acceso lgico al igual
que deberamos ir haciendo en cada una de las herramientas de control antes
enumeradas.
3.8.8.2. Objetivos de control de acceso lgico
Segregacin de funciones entre los usuarios del sistema: productores de software,
jefes de proyecto (si existe un proceso metodolgico as), tcnicos de sistemas,
operadores de explotacin, operadores de telecomunicaciones, grupos de usuarios de
aplicaciones (con perfiles definidos por la Clasificacin de la informacin),
96
administrador de la seguridad lgica (en control dual al ser de alto riesgo), auditora, y
tantos como se designen.
Integridad de los log e imposibilidad de desactivarlos por ningn perfil para poder
revisarlos. Fcilmente legibles e interpretables por control informtico.
Gestin centralizada de la seguridad o al menos nica (por control informtico).
Contrasea nica (a ser posible) para los distintos Sistemas de la red. Y la
autentificacin de entrada una sola vez. Y una vez dentro, controlar los derechos de
uso.
La contrasea y archivos con perfiles y derechos inaccesibles a todos, incluso a los
administradores de seguridad.
El sistema debe rechazar a los usuarios que no usan la clave o los derechos de uso
correctamente, inhabilitando y avisando a control, que tomara las medidas oportunas.
Separacin de entornos. Significa que los distintos usuarios pueden hacer solamente
lo qu y cmo se ha autorizado que hagan para su funcin. Habr tantos entornos
como se precisen y el control tendr que estar en situacin normal como en
emergencia y no entorpecer la operatoria.
El log, o los log's, de actividad no podrn desactivarse a voluntad, y si se duda
de su integridad o carencia, resolver con un terminal externo controlado.
El sistema debe obligar al usuario a cambiar la contrasea, de forma que slo
la conozca l, que es la nica garanta de autenticidad de sus actos.
Es frecuente encontrar mecanismos de auto-logout, que expulsan del sistema a la
terminal que permanece inactiva ms de un tiempo determinado, que son ayudas
adicionales a la seguridad.
Muchos de estos objetivos se pueden sacar de los propios estndares (ISO, Libro
Naranja, ITSEC, etc.).
Este ejemplo nos puede servir para introducir otra metodologa del compendio PRIMA,
utilizada para la implantacin del control sobre los "Entornos distribuidos", verdadero
reto de nuestros das.
Todo estaba controlado en los grandes sistemas en su nivel C2/E2 (no es mucho, pero
suficiente para el nivel comercial, segn los fabricantes). Y llega la proliferacin de los
entornos distribuidos... "el caos". Est controlada la seguridad lgica en la actualidad?
Cada responsable de seguridad debe planterselo! Se cumple el marco jurdico sin
seguridad lgica?.
Se podra implantar el control de acceso lgico, sistema a sistema con el propio software
de seguridad de cada uno de ellos, con un enorme esfuerzo de recursos humanos y
complicados operativo. Podemos resolver mejor el problema adquiriendo e instalando un
97
software de control de entornos distribuidos. Pero qu hacer... cmo abordar el

problema? Ver muchos productos y escoger uno? Ser lo mejor para el futuro? Cmo
lo estn haciendo los dems?
La forma ms apropiada de resolver este problema, hasta donde se pueda, es utilizar un
mtodo prctico que paso a desarrollar.
Anlisis de plataformas. Se trata de inventariar las mltiples plataformas actuales y
futuras (MVS, UNIX, AIX3.2.5., TANDEN GUARDIAN D30, etc. que ms tarde nos
servirn para saber qu productos del mercado nos pueden ser vlidos, tanto los
productos actuales como los futuros planes que tengan los fabricantes.
Catlogo de requerimientos previos de implantacin.
Desde el primer momento nace esta herramienta (control del proyecto), que inventara lo
que no se va a conseguir (limitaciones), as como lo necesario para la implantacin,
inventariado como acciones y proyectos, calendarizados, y su duracin para su
seguimiento y desarrollo.
Anlisis de aplicaciones. Se trata de inventariar las necesidades de desarrollar
INTERFACES con el distinto software de seguridad de las aplicaciones y bases de
datos. Estos desarrollos deberan entrar en el catlogo de R.P.I. como proyectos a
desarrollar. Por ejemplo: DB2, Oracle 7.1.6. SAP R/3.2.2, Checkpoint Firewall-1,
OFFICE 2.6, o la propia de Recursos Humanos, etc. Es importante la conexin a
Recursos Humanos para que se detecten automticamente las alteraciones en los
empleados (altas, bajas, cambios). Tambin en este punto conviene ver si el
producto/interfaces soporta el tiempo real, o el proceso batch, o sus posibilidades de
registros de actividad.
Inventario de funcionalidades y propietarios. En este punto trataremos todo el
esquema de funcionalidades de la seguridad lgica actual. Es el momento de crear unas
jerarquas de estndares a cumplir (clasificacin de la informacin) y tratar de definir en
ese momento los controles que se deberan tener, ya sea de usuarios de las aplicaciones
corno de los usuarios de los sistemas y el uso de las herramientas.
Este punto es importante para ver si con el nuevo esquema de control al que vamos
perdemos objetivos de control o nos salen acciones nuevas para el catlogo de R.P.I.'S.
Es importante inventariar tambin en este punto la situacin de la administracin de la
seguridad lgica en los distintos entornos y las caractersticas de las contraseas, as
como la operativa tanto de los usuarios de los distintos sistemas como de las distintas
administraciones de seguridad y el control de log o reporting.
Todo este inventario nos servir para hacer un anlisis de mejoras y prdidas o
limitaciones en los nuevos escenarios con los software de control de los entornos
distribuidos, segn convenga para elegir el mejor en costo/beneficio.
Administracin de la seguridad. Se analizarn, de las distintas opciones del mercado,
las caractersticas de cada producto.
98
Figura 3.5. Herramientas de control de los entornos distribuidos

No olvidemos que se trata de conseguir que el escenario de los entornos distribuidos
se pueda controlar como si de un computador con un solo control de acceso (vase la
figura 3.5 se tratara. E incluso mejorando el nivel de control si se puede. Esto har
necesario un conjunto de software a instalar en cada plataforma, sumado a una serie
de interfaces en las plataformas que lo necesiten y que a los efectos nos har observar
la seguridad lgica total como un todo.
En este punto nos interesa ver las siguientes funcionalidades u objetivos de control
requeridos al nuevo sistema de control de acceso:
-
Permite el producto establecer un conjunto de reglas de control aplicables a

todos los recursos del sistema?
Permite el producto al administrador de seguridad establecer un perfil de
privilegios de acceso para un usuario o un grupo de usuarios?
Permite el producto al administrador de seguridad asignar diferentes
administradores?
Permite el producto al administrador de seguridad asignar a estos
administradores la posibilidad de gestionar privilegios de acceso para grupos y
recursos definidos (por ejemplo, sistemas y aplicaciones)?
Permite a un administrador pedir acceso para el mismo, tanto como para
cualquier usuario de su rea de responsabilidad?
Impide el producto que un administrador se provea l mismo de sus propias
peticiones?
Hay que recapitular todos los objetivos de control que se estn demandando al conjunto
de entornos, en lo referente a la administracin de la seguridad, y saber con precisin
cul de las soluciones a analizar cumple mejor los requerimientos.
Es importante pensar en la conexin automtica con la informacin del estado de los
recursos humanos que componen el conjunto de usuarios para formatear
99
incompatibilidades por segregacin de funciones marcadas por la clasificacin de la

informacin y por tener actualizadas las bajas/altas y perodos de ausencia del parque
de usuarios.
Son muchos otros los aspectos que deben exigirse, como son que se pueda soportar
ms de un perfil en un usuario, o que se puedan definir perfiles de todo un departamento
o puesto de trabajo, asignaciones temporales de los backup de cada empleado para
perodos de ausencia del titular, que el perfil de un ingeniero no pueda acceder a una
aplicacin crtica, que se sincronicen password en todos los entornos, etc. En resumen,
tantos cuantos objetivos de control se le exijan.
Single Sign On. Este concepto podemos definirlo como: "Que es necesario solamente
un password y un User ID, para un usuario, para acceder y usar su informacin y
sus recursos, de todos los sistemas como si de un solo entorno se tratara".
Evidentemente a este concepto habra que aadir todos los conceptos ya vistos en un
control de acceso lgico (time-out, salvapantallas, log, etc.).
Adems podramos enumerar algunos de los requerimientos que se le piden a la
plataforma dentro de este apartado:
-
Sobre qu soporta el producto el single sig-on, Windows 3.1, Windows NT,

Windows 2000, Unix workstation, terminal 3270, un usuario remoto entrando
a travs de un servidor de acceso remoto?
El producto faculta al usuario de un recurso a acceder va single sig-on
mientras otros usuarios acceden al mismo recurso directamente?
El producto encripta las transacciones del single sig-on entre la workstation y
el servidor de seguridad?
Facilidad de uso y reporting. En este punto se valora la "interfaz de usuario" y la

calidad de la misma (si tiene interfaz grfica, si tiene help mens, tanto para el usuario
como para el administrador, si tiene mensajes de error, si ensea el perfil de un
determinado usuario al administrador, mensajes en las modificaciones como "are you
sure?", mensajes a travs de las aplicaciones, etc.).
Asimismo se evala el nivel de reporting para los administradores y auditores. As
como:
El producto ofrece un report de todas las plataformas y aplicaciones a las que los
usuarios tienen acceso, as como un report de todos los usuarios que tienen acceso
a una plataforma o aplicacin?
Un report de todas las demandas que un administrador ha hecho, o en una
fecha dada, o durante un perodo de tiempo, o a un centro de costo, o de todas las
inactividades, o de todos los usuarios activos y privilegios de acceso de un centro
de costo, o de demandas pendientes en orden de antigedad de la demanda,
o un report de actividad, de las aplicaciones y sistemas (por ejemplo, el
nmero de demandas aceptadas, pendientes y rechazadas por cada
sistema)?
Un log de violaciones?
100
En cualquier caso todo registro debe tener garantizada su integridad incluso para los
administradores, no pudiendo desactivarse a voluntad, dado que quien quiera hacer algo
"no permitido", lo primero que har es asegurarse de que no quede constancia del hecho.
Seguridades. En este punto se trata de ver aspectos de seguridad clsicos del propio
producto, como que el administrador no vea las password de los usuarios, una longitud
de password mnima, que el producto requiera un ID y password de longitud
mnima para el acceso al propio producto, el administrador pueda paralizar a un usuario
determinado, dual control en las funciones de riesgo (esto es, con un user ID es
necesario una first password y una second password como acceso dual de dos
administradores fsicos), cifrado de password, privacidad en la propagacin de
password en todo momento, acceso a los auditores para poder ver la ID datbase, un
registro de rechazos e intentos infructuosos, la posibilidad de recovery y backup
(incremental) de todo el sistema de seguridad, la posibilidad del mirroring de la
datbase de seguridad para los planes de contingencias de. conmutacin en tiempo cero al
centro alternativo, etc.
Tambin facilidades especiales tales como que se pueda restringir el acceso a un recurso
local a un usuario.
Hemos de hacer notar que las limitaciones que vayamos encontrando para todos los
productos, tendremos que resolverlas con exclusiones o procedimientos que constarn
en el catlogo de R.P.I.'s, verdadero artfice de la metodologa que nos obligar a
resolver las acciones antes de implantar el producto, y que ser un control del proyecto
durante su desarrollo.
3.8.9. Adquisicin, instalacin e implantacin, formacin, manuales de
procedimientos de control. Tras los pasos anteriores, no queda ms que comprar el
producto e instalarlo, as como implantar el nuevo esquema de seguridad lgica. Y tras
esto, dar la formacin apropiada a los implicados y desarrollar los procedimientos de
control, que generarn procedimientos operativos para los usuarios de aplicaciones, los
usuarios informativos, y los administradores de seguridad lgica.
Todo este complejo proceso es vital hacerlo de modo ordenado y usando un mtodo
que permita en todo momento saber qu se quiere y qu se puede conseguir con los
productos existentes de control de entornos, tratando de suplir con procedimientos de
control los huecos que no podamos cubrir con tecnologa. Aun as, el reto que tenemos
por delante es importante, porque las soluciones que ofrecen los fabricantes van muy
detrs frente a la proliferacin de entornos y aplicaciones nuevos, y slo una actitud
responsable de estandarizacin en sus soluciones propietarias de seguridad, har que los
fabricantes de soluciones para entornos distribuidos tengan productos de seguridad
cada vez mejores, y que en vez de "adaptar el nivel de seguridad lgica a los
productos, sean los productos los que resuelvan las situaciones nuevas de seguridad
lgica.
101
3.9. EL INFORME DE AUDITORIA

3.9.1. Introduccin
El tema de este captulo es el Informe de Auditora Informtica, que a su vez es el
objetivo de la Auditora Informtica.
Para comprender sta, en funcin del Informe que realiza un, digamos, experto o perito al que llamaremos Auditor Informtico-, conviene explicar someramente el contexto en
el que se desenvuelve hoy su prctica.
La sociedad actual, est en fase tecnolgica; apenas guarda recuerdo prctico de
anteriores etapas evolutivas (la artesanal, por ejemplo); ms an, las va olvidando a
creciente velocidad, generacin tras generacin.
El dominio de la tecnologa como motor de cambio social acelerado y como
catalizador de cambios tecnolgicos que se superponen, se hace rabiosamente evidente en
las llamadas Tecnologas de Informacin y Comunicaciones de uso en las
organizaciones. (Tras el mainframe y los terminales tontos, surgieron los PC's y las
redes, el EDI, los entornos distribuidos, las arquitecturas cliente/servidor, las redes
TCP/IP -intranets, extrais, redes privadas virtuales...-, los accesos remotos y
mviles mediante porttiles y telfonos mviles, y, finalmente -por ahora-, se nos
proponen terminales domsticos vinculados con el equipo de televisin y terminales
cuasitontos de trabajo conectados a servidores dominantes descentralizados... Y todo en
un perodo no superior a treinta y cinco aos!)
Est claro: las tecnologas de la informacin, al tiempo que dominan de modo
imparable las relaciones humanas (personales, familiares, mercantiles,
internacionales...), tienen un ciclo de vida cada vez ms corto.
Sea como fuere, una de las consecuencias de lo dicho consiste en la dificultad de
asimilacin rpida y equilibrada en la empresa de los entornos tecnolgico y de
organizacin (referido el primero a las Tecnologas de Informacin y Comunicaciones, y
el segundo a lo mercantil).
En este sentido, el Auditor Informtico, en tanto que experto, lo tiene crudo (menos,
sin embargo, que el Auditor de Cuentas), al tener que encarar profesionalmente y
en el paisaje que estoy presentando, plagado de necesidades de reciclaje y formacin, el
llamado desfase entre las expectativas de los usuarios y los informes de auditora.
Las cosas ya no son como eran, y algo habr que hacer para encontrar un punto de
equilibrio razonable entre el desfase mencionado y la contabilidad de los usuarios en el
Informe (y en el Auditor Informtico).
La complejidad de los sistemas de informacin crece con sus prestaciones y
caractersticas (conectividad, portabilidad...); la necesidad de utilizarlos que tienen las
organizaciones -pblicas y privadas- en todos sus mbitos, alcanza hoy un valor
estratgico de competitividad y supervivencia... Podemos afirmar que nunca antes
hemos sido tan dependientes de los sistemas de informacin. Y nunca antes hemos
necesitado tanto a expertos eficientes (no infalibles) en Auditora Informtica.
102
Conviene mencionar, al respecto de la prctica de la Auditora (Informtica), y siempre

en funcin del Informe de Auditora, la existencia del fraude y del error, sobre todo si son
significativos, as como la valoracin de las garantas que aportan los informes de los
auditores informticos a los usuarios, incluyendo gobiernos y organizaciones
nacionales e internacionales.
La Informtica es muy joven; por tanto, la Auditora Informtica lo es ms (en Espaa,
por cierto, de modo superlativo). No est todo sin hacer; pero s quedan muchos
cabos por atar, y en esto el tiempo no es neutral.
En este captulo (y en este contexto) vamos a tratar de fijar la prctica de la Auditora
Informtica en funcin, como queda dicho, del Informe. Para ello, repasaremos
someramente aspectos previos fundamentales, como son las normas, el concepto de
evidencia en auditora, las irregularidades, los papeles de trabajo o documentacin
para, finalmente, encarar el Informe, sus componentes, caractersticas y tendencias
detectadas. Intentaremos, tambin, ofrecer algunas conclusiones de inters, sin perder de
vista en todo caso que en el mundo auditor de hoy todo ejercicio de prediccin es, en
principio, una temeridad.
3.9.2. La evidencia
En este epgrafe parece saludable resear algunos asuntos previos, referidos a la
redaccin del Informe, tratados en otros captulos de esta obra, puesto que el referido
Informe es su consecuencia.
Por tanto, tratemos de recordar en qu consiste la evidencia en Auditora Informtica,
as como las pruebas que la avalan, sin olvidar la importancia relativa y el riesgo
probable, inherente y de control.
La certeza absoluta no siempre existe, segn el punto de vista de los auditores; los
usuarios piensan' lo contrario. No obstante lo dicho, el desarrollo del control interno,
incluso del especficamente informtico, est en efervescencia, gracias al empuje de
los Informes USA/Treadway (1987), UK/Cadbury (1992) y Francia/Vienot (1995), y
en lugar destacado el USA/COSO (1992), traducido al espaol por Coopers &
Lybrand y el Instituto de Auditores Internos de Espaa.
Pero volvamos a la evidencia, porque ella es la base razonable de la opinin del Auditor
Informtico, esto es, el Informe de Auditora Informtica.
La evidencia tiene una serie de calificativos; a saber:
La evidencia relevante, que tiene una relacin lgica con los objetivos de la
auditora.
La evidencia fiable, que es vlida y objetiva, aunque con nivel de confianza.
La evidencia suficiente, que es de tipo cuantitativo para soportar la opinin
profesional del auditor.
103
La evidencia adecuada, que es de tipo cualitativo para afectar a las

conclusiones del auditor.
En principio, las pruebas son de cumplimiento o sustantivas.
Aunque ya tratado en otro captulo, conviene recordar el escollo prctico de la
importancia relativa o materialidad, as como el riesgo probable.
La opinin deber estar basada en evidencias justificativas, es decir, desprovistas de
prejuicios, si es preciso con evidencia adicional.
3.9.3. Las irregularidades
Las irregularidades, o sea, los fraudes y los errores, especialmente la existencia de los
primeros, preocupa tanto que aparece con nfasis en el ya citado Libro Verde de la UE.
La Direccin General XV (Comercio Interior) y el MARC (Maastricht) estn claramente
sensibilizados al respecto.
Recordemos antes de proseguir, que en los organismos y las empresas, la Direccin
tiene la responsabilidad principal y primaria de la deteccin de irregularidades,
fraudes y errores; la responsabilidad del auditor se centra en planificar, llevar a cabo
y evaluar su trabajo para obtener una expectativa razonable de su deteccin.
Es, pues, indudablemente necesario disear pruebas antifraude, que lgicamente
incrementarn el coste de la auditora, previo anlisis de riesgos (amenazas,
importancia relativa...).
La auditora de cuentas se est judicializando -camino que seguir la Auditora
Informtica, prctica importada de Estados Unidos-, ya que aparece en el vigente
Cdigo Penal (delitos societarios y otros puntos) con especial nfasis en los
administradores. No olvidemos, al respecto, la obligatoriedad de suscribir plizas de
seguro de responsabilidad civil para auditores independientes, individuales y
sociedades.
Por prudencia y rectitud, convendr aclarar al mximo -de ser posible- si el Informe
de Auditora es propiamente de auditora y no de consultara o asesora informtica, o
de otra materia afn o prxima.
Aunque siempre debe prevalecer el deber de secreto profesional del auditor, conviene
recordar que en el caso de detectar fraude durante el proceso de auditora procede actuar
en consecuencia, con la debida prudencia que aconseja episodio tan delicado y
conflictivo, sobre todo si afecta a los administradores de la organizacin objeto de
auditora. Ante un caso as, conviene consultar a la Comisin Deontolgica Profesional,
al asesor jurdico, y leer detenidamente las normas profesionales, el Cdigo Penal y
otras disposiciones; incluso hacer lo propio con las de organismos oficiales tales como
el Banco de Espaa, la Direccin General de Seguros, la Comisin Nacional del
Mercado de Valores, el organismo regulador del medio ambiente..., que pudieran estar
afectados, no debera desestimarse. El asunto podra, incluso, terminar en los Tribunales
de justicia.
104
3.9.4. La documentacin
En el argot de auditora se conoce como papeles de trabajo la totalidad de los
documentos preparados o recibidos por el auditor, de manera que, en conjunto,
constituyen un compendio de la informacin utilizada y de las pruebas efectuadas en la
ejecucin de su trabajo, junto con las decisiones que ha debido tomar para llegar a
formarse su opinin.
El Informe de Auditora, si se precisa que sea profesional, tiene que estar basado en la
documentacin o papeles de trabajo, como utilidad inmediata, previa supervisin.
La documentacin, adems de fuente de know how del Auditor Informtico para
trabajos posteriores as corno para poder realizar su gestin interna de calidad, es
fuente en algunos casos en los que la corporacin profesional puede realizar un control de
calidad, o hacerlo algn organismo oficial. Los papeles de trabajo pueden llegar a tener
valor en los Tribunales de justicia.
Por otra parte, no debemos omitir la caracterstica registral del Informe, tanto en su
parte cronolgica como en la organizativa, con procedimientos de archivo,
bsqueda, custodia y conservacin de su documentacin, cumpliendo toda la
normativa vigente, legal y profesional, como mnimo exigible.
Los trabajos utilizados, en el curso de una labor, de otros auditores externos y/o
expertos independientes, as como de los auditores internos, se reseen o no en el
Informe de Auditora Informtica, formarn parte de la documentacin.
Adems, se incluirn:
El contrato cliente/auditor informtico y/o la caita propuesta del auditor

informtico.
Las declaraciones de la Direccin.
Los contratos, o equivalentes, que afecten al sistema de informacin, as
como
el informe de la asesora jurdica del cliente sobre sus asuntos actuales
y
previsibles.
El informe sobre terceros vinculados.
Conocimiento de la actividad del cliente.
3.9.5. El informe
Se ha realizado una visin rpida de los aspectos previos para tenerlos muy presentes
al redactar el Informe de Auditora Informtica, esto es, la comunicacin del Auditor
Informtico al cliente, formal y, quiz, solemne, tanto del alcance de la auditora;
(objetivos, perodo de cobertura, naturaleza y extensin del trabajo realizado) como
de los resultados y conclusiones.
105
Es momento adecuado de separar lo significativo de lo no significativo, debidamente

evaluados por su importancia y vinculacin con el factor riesgo, tarea eminentemente
de carcter profesional y tico, segn el leal saber y entender del Auditor Informtico.
Aunque no existe un formato vinculante, s existen esquemas recomendados con los
requisitos mnimos aconsejables respecto a estructura y contenido.
Tambin es cuestin previa decidir si el informe es largo o, por el contrario, corto,
por supuesto con otros informes sobre aspectos, bien ms detallados, bien ms
concretos, como el informe de debilidades del control interno, incluso de hechos o
aspectos; todo ello teniendo en cuenta tanto la legislacin vigente como el contrato
con el cliente.
En mi modesta opinin, los trminos cliente o proveedor/interno o externo, tpicos
de la Gestin de la Calidad, resultan ms apropiados que informtico/auditor
informtico/usuario, ya que este ltimo trmino tiene una lamentable connotacin
peyorativa.
En lo referente a su redaccin, el Informe deber ser claro, adecuado, suficiente y
comprensible. Una utilizacin apropiada del lenguaje informtico resulta recomendable.
Los puntos esenciales, genricos y mnimos del Informe de Auditora Informtica,
son los siguientes:
Identificacin del Informe
El ttulo del Informe deber identificarse con objeto de distinguirlo de otros
informes.
Identificacin del Cliente
Deber identificarse a los destinatarios y a las personas que efecten el encargo.
Identificacin de la entidad auditada
Identificacin de la entidad objeto de la Auditora Informtica.
Objetivos de la Auditora Informtica
Declaracin de los objetivos de la auditora para identificar su propsito,
sealando los objetivos incumplidos.
Normativa aplicada y excepciones
Identificacin de las normas legales y profesionales utilizadas, as como las
excepciones significativas de uso y el posible impacto en los resultados de la auditora.
106
Alcance de la Auditora
Concretar la naturaleza y extensin del trabajo realizado: rea organizativa, perodo de
auditora, sistemas de informacin... sealando limitaciones al alcance y restricciones
del auditado.
Conclusiones: Informe corto de opinin

Lgicamente, se ha llegado a los resultados y, sobre todo, a la esencia del dictamen,
la opinin y los prrafos de salvedades y nfasis, si procede.
El Informe debe contener uno de los siguientes tipos de opinin: favorable o sin
salvedades, con salvedades, desfavorable o adversa, y denegada.
Opinin favorable. La opinin calificada como favorable, sin salvedades o
limpia, deber manifestarse de forma clara y precisa, y es el resultado de un
trabajo realizado sin limitaciones de alcance y sin incertidumbre, de acuerdo
con la normativa legal y profesional.
Es indudable que entre el informe de recomendaciones al cliente, que incluye lo
referente a debilidades de control interno en sentido amplio, y las salvedades, existe o
puede existir una zona de gran sensibilidad; tan es as que tendr que clarificarse al
mximo, pues una salvedad a la opinin deber ser realmente significativa; concretando:
ni pasarse, ni no llegar, dicho en lenguaje coloquial; en puridad es un punto de no
retorno.
Opinin con salvedades. Se reitera lo dicho en la opinin favorable al
respecto de las salvedades cuando sean significativas en relacin con los
objetivos de auditora, describindose con precisin la naturaleza y razones.
Podrn ser stas, segn las circunstancias, las siguientes:
Limitaciones al alcance del trabajo realizado; esto es, restricciones por

parte del auditado, etc.
Incertidumbres cuyo resultado no permita una previsin razonable.
Irregularidades significativas.
Incumplimiento de la normativa legal y profesional.
Opinin desfavorable. La opinin desfavorable o adversa es aplicable en
el
caso de identificacin de irregularidades
Incumplimiento de la normativa legal y profesional, que afecten significativamente a

los objetivos de auditora informtica estipulados, incluso con incertidumbres; todo
ello en la evaluacin de conjunto y reseando detalladamente las razones
correspondientes.
Opinin denegada. La denegacin de opinin puede tener su origen en:
107
Las limitaciones al alcance de auditora.

Incertidumbres significativas de un modo tal que impidan al auditor
formarse una opinin.
Irregularidades.
El incumplimiento de normativa legal y profesional.
Resumen. El siempre difcil tema de la opinin, estrella del Informe de
Auditora Informtica, joven como informtica y ms todava como auditora
informtica; por tanto, puede decirse que ms que cambiante, mutante.
Debido a ello, y adems con la normativa legal y profesional
desacompasadas, la tica se convierte casi en la nica fuente de orientacin
para reducir el desfase entre las expectativas del usuario en general y el
informe de los auditores.
No olvidemos que existe la ingeniera financiera y la contabilidad creativa; tampoco que
las entidades que pueden ser auditadas suelen estar sometidas a cambios, como, por
ejemplo, la implantacin de aseguramiento y gestin de la calidad -va ISO 9000, va
EFQM (modelo europeo)-, reingeniera de procesos y otras transformaciones
significativas (adaptaciones al Milenio y al Euro).
Resultados: Informe largo y otros informes Parece ser que, de acuerdo con la teora
de ciclos, el informe largo va a colocar al informe corto en su debido sitio, o sea,
como resumen del informe largo (quiz obsoleto?). Los usuarios, no hay duda,
desean saber ms y desean transparencia como valor aadido.
Es indudable que el lmite lo marcan los papeles de trabajo o documentacin de la
Auditora Informtica, pero existen aspectos a tener en cuenta:
El secreto de la empresa.
El secreto profesional.
Los aspectos relevantes de la auditora.
Las soluciones previsibles se orientan hacia un Informe por cada objetivo de la

Auditora Informtica, tal como el de Debilidades de Control Interno o los informes
especiales y/o complementarios que exigen algunos organismos gubernamentales,
como, por ejemplo, el Banco de Espaa, la Comisin Nacional del Mercado de
Valores y la Direccin General de Seguros, entre otros y por ahora.
Informes previos
No es una prctica recomendable, aunque s usual en algunos casos, ya que el Informe
de Auditora Informtica es, por principio, un informe de conjunto.
Sin embargo, en el caso de deteccin de irregularidades significativas, tanto errores
como fraudes, sobre todo, se requiere una actuacin inmediata segn la normativa
108
legal y profesional, independientemente del nivel jerrquico afectado dentro de la

estructura de la entidad. Recordemos al respecto el delito societario y la
responsabilidad civil del Auditor (Informtico).
Fecha del Informe
El tiempo no es neutral; la fecha del Informe es importante, no slo por la
cuantificacin de honorarios y el cumplimiento con el cliente, sino para conocer la
magnitud del trabajo y sus aplicaciones. Conviene precisar las fechas de inicio y
conclusin del trabajo de campo, incluso la del cierre del ejercicio, si es que se est
realizando un Informe de Auditora Informtica como herramienta de apoyo a la
Auditora de Cuentas. En casos conflictivos pueden ser relevantes aspectos tales como
los hechos posteriores al fin del perodo de auditora, hechos anteriores y posteriores al
trabajo de campo...
3.10. ORGANIZACIN DEL DEPARTAMENTO DE AUDITORA

INFORMTICA
3.10.1. Antecedentes
El concepto de auditora informtica ha estado siempre ligado al de auditora en general
y al de auditora interna en particular, y ste ha estado unido desde tiempos histricos al
de contabilidad, control, veracidad de operaciones, etc. En tiempo de los egipcios ya se
hablaba de contabilidad y de control de los registros y de las operaciones. Aun
algunos historiadores fijan el nacimiento de la escritura como consecuencia de la
necesidad de registrar y controlar operaciones (Dale Flesher, 50 Years of Progress).
Hago esta referencia histrica a fin de explicar la evolucin de la corta pero intensa
historia de la auditora informtica, y para que posteriormente nos sirva de referencia al
objeto de entender las diferentes tendencias que existen en la actualidad.
Si analizamos el nacimiento y la existencia de la auditora informtica desde un punto
de vista empresarial, tendremos que empezar analizando el contexto organizativo y
ambiental en el que se mueve.
Empezaremos diciendo que tanto dentro del contexto estratgico como del operativo
de las organizaciones actuales, los sistemas de informacin y la arquitectura que los
soporta desempean un importante papel como uno de los soportes bsicos para la
gestin y el control del negocio, siendo as uno de los requerimientos bsicos de
cualquier organizacin. Esto da lugar a los sistemas de informacin de una
organizacin.
Es evidente que para que dichos sistemas cumplan sus objetivos debe existir una
funcin de gestin de dichos sistemas, de los recursos que los manejan y de las
inversiones que se ponen a disposicin de dichos recursos para que el funcionamiento
de los resultados sean los esperados. Esto es lo que llamamos el Departamento de
Sistemas de Informacin.
109
Finalmente, y en funcin de lo anterior, aunque no como algo no enteramente aceptado

an debe existir una funcin de control de la gestin de los sistemas y del departamento
de sistemas de informacin. A esta funcin la llamamos auditora informtica.
El concepto de la funcin de auditora informtica, en algunos casos llamada i
uncin de control informtico y en los menos, llamada y conocida por ambos
trminos, arranca en su corta historia, cuando en los aos cincuenta las organizaciones
empezaron a desarrollar aplicaciones informticas. En ese momento, la auditora
trataba con sistemas manuales. Posteriormente, en funcin de que las organizaciones
empezaron con sistemas cada vez ms complejos, se hizo necesario que parte del
trabajo de auditora empezara a tratar con sistemas que utilizaban sistemas
informticos.
En ese momento, los equipos de auditora, tanto externos como internos, empezaron
a ser mixtos, con involucracin de auditores informticos junto con auditores
financieros. En ese momento se comenzaron a utilizar dos tipos de enfoque diferentes
que en algunos casos convergan:
Trabajos en los que el equipo de auditora informtica trabajaba bajo un programa
de trabajo propio, aunque entroncando sus objetivos con los de la auditora
financiera; ste era el caso de trabajos en los que se revisaban controles generales
de la instalacin y controles especficos de las aplicaciones bajo conceptos de riesgo
pero siempre unido al hecho de que el equipo de auditora financiera utilizara este
trabajo para sus conclusiones generales sobre el componente financiero determinado.
Revisiones en las que la auditora informtica consista en la extraccin de
informacin para el equipo de auditora financiera. En este caso el equipo o funcin
de auditora interna era un exponente de la necesidad de las organizaciones y
departamentos de auditora de utilizar expertos en informtica para proveer al
personal de dicho departamento de informacin extrada del sistema informtico
cuando la informacin a auditar estaba empezando a ser voluminosa y se estaba
perdiendo la pista de cmo se haba creado.
Esta situacin convive hoy en da con conceptos ms actuales y novedosos de lo que es
la funcin y de lo que son los objetivos de la auditora informtica.
En nuestra opinin, y algo que vamos a desarrollar a continuacin, es la tendencia
futura de la auditora informtica que radicar en los siguientes principios:
Todos los auditores tendrn que tener conocimientos informticos que les permitan
trabajar en el cada vez ms fluctuante entorno de las tecnologas de la informacin
dentro de las organizaciones empresariales, culturales y sociales.
Este aspecto no eliminar la necesidad de especialistas en auditora
informtica; antes al contrario, los especialistas necesitarn cada vez ms, unos
conocimientos muy especficos, que al igual que sucede en el entorno de los sistemas de
informacin, les permitan ser expertos en las diferentes ramas de la tecnologa
informtica: comunicaciones, redes, ofmtica, comercio electrnico, seguridad,
gestin de bases de datos, etc.
110
El auditor informtica dejar de ser un profesional procedente de otra rea, con su

consiguiente reciclado, para pasar a ser un profesional formado y titulado en
auditora informtica que tendr a su alcance diferentes medios de formacin, externa
fundamentalmente, y que tendr que formar una red de conocimientos compartidos
con otros profesionales, tanto en su organizacin como con profesionales de otras
organizaciones.
El futuro de la auditora informtica estar en la capacidad de cubrir
adecuadamente, en cuanto a experiencia y especializacin, todas las reas de los
sistemas informticos y de informacin de una empresa y en saber de forma propia o con
ayuda interna y externa, adecuarse a los cambios que sucedan en la Tecnologa de la
Informacin. Para adecuarse a estos cambios, el auditor informtico, tendr que
autogenerar su propia filosofa de gestin del cambio.
3.10.2. Clases y tipos de auditora informtica
Como hemos tratado de mencionar anteriormente, existe una gran confusin sobre lo
que es auditora informtica y la relacin que tiene con otras ramas organizativas de las
empresas y organizaciones. Aun hoy en da, si preguntsemos a diferentes agentes
empresariales y sociales, nos contestaran con diferentes respuestas sobre lo que es y no
es auditora informtica.
Vamos a tratar de resumir las diferentes acepciones de auditora informtica que existen
en nuestro pas:
Auditora informtica como soporte a la auditora tradicional, financiera, etc.

Auditora informtica con el concepto anterior, pero aadiendo la funcin de
auditora de la funcin de gestin del entorno informtico.
Auditora informtica como funcin independiente, enfocada hacia la
obtencin de la situacin actual de un entorno de informacin e informtico en
aspectos de seguridad y riesgo, eficiencia y veracidad e integridad.
Las acepciones anteriores desde un punto de vista interno y externo.
Auditora como funcin de control dentro de un departamento de sistemas.
Ante esta situacin estamos expresando cul es nuestra visin sobre lo que es y debe ser
la funcin de auditora informtica.
3.10.3. Funcin de Auditora Informtica
Definicin
Est claro a estas alturas que la auditora, revisin, diagnstico y control de los
sistemas de informacin y de los sistemas informativos que soportan stos deben ser
realizados por personas con experiencia en ambas disciplinas, informtica y auditora (en
principio llamemos a nuestro amigo el Auditor Informtico General: AIG). A esto yo le
aado que adems nuestro amigo debe completar su formacin con conocimientos
de gestin del cambio y de gestin empresarial.
111
Cmo definimos entonces a nuestro amigo AIG? Para tratar de definir su perfil, la
definicin ms exacta es quiz que es un profesional dedicado al anlisis de
sistemas de informacin e informticos que est especializado en alguna de las
mltiples ramas de la auditora informtica, que tiene conocimientos generales de los
mbitos en los que, sta se mueve, que tiene conocimientos empresariales generales, y
que adems:
Posee las caractersticas necesarias para actuar como consultor con su auditado, dndole
ideas de cmo enfocar la construccin de los elementos de control y de gestin que le
sean propios.
Y que puede actuar como consejero con la organizacin en la que est
desarrollando su labor. Un entorno informtico bien controlado, puede ser un entorno
ineficiente si no es consistente con los objetivos de la organizacin.
El eterno problema que se ha suscitado durante mucho tiempo es si el auditor
informtico, al no existir tal formacin acadmica en nuestro pas, tena que ser un
auditor convertido en informtica, o por el contrario un informtico reciclado como
auditor informtico. En mi larga experiencia, he visto de todo, personal de desarrollo o
de explotacin convertidos en auditores informticos en menos de un mes, auditores
financieros reciclados, primero como extractores de informacin, mediante la
formacin en el adecuado software de interrogacin de archivos, y posteriormente
convertidos en auditores de la funcin informtica.
En ambos casos, los xitos y los fracasos se acumulaban por igual. Qu hacer en estos
casos? Cul debe ser el perfil correcto de un auditor informtico? sta es mi visin y
opinin del perfil del futuro auditor informtico y consecuentemente de las funciones
que la funcin de auditora informtica debe tener.
3.10.4. Perfiles profesionales de la funcin de Auditora Informtica
A tenor de lo que hemos dicho hasta ahora, se ve claramente que el auditor informtico
debe ser una persona con un alto grado de calificacin tcnica y al mismo tiempo estar
integrado en las corrientes organizativas empresariales que imperan hoy en da. De esta
forma, dentro de la funcin de auditora informtica, se deben contemplar las
siguientes caractersticas para mantener un perfil profesional adecuado y actualizado:
1. La persona o personas que integren esta funcin deben contemplar en su formacin
bsica una mezcla de conocimientos de auditora financiera y de informtica general.
Estos ltimos deben contemplar conocimientos bsicos en cuanto a:
Desarrollo informtico; gestin de proyectos y del ciclo de vida de un

proyecto de desarrollo.
Gestin del departamento de sistemas.
Anlisis de riesgos en un entorno informtico.
Sistema operativo (este aspecto depender de varios factores, pero
principalmente de si va a trabajar en un entorno nico -auditor interno- o,
por el contrario, va a tener posibilidades de trabajar en varios entornos
como auditor externo).
Telecomunicaciones.
112
Gestin de bases de datos.

Redes locales.
Seguridad fsica.
Operaciones y planificacin informtica; efectividad de las operaciones y
del rendimiento de los sistemas.
Gestin de la seguridad de los sistemas y de la continuidad empresarial a
travs de planes de contingencia de la informacin.
Gestin de problemas y de cambios en entornos informticos.
Administracin de datos.
Ofimtica.
Comercio electrnico.
Encriptacin de datos.
A estos conocimientos bsicos se les deber aadir una especializacin en

funcin de la importancia econmica que distintos componentes financieros
puedan tener en un entorno empresarial. As, en un entorno financiero pueden
tener mucha importancia las comunicaciones, y ser necesario que alguien
dentro de la funcin de auditora informtica tenga esta especializacin, pero
esto mismo puede no ser vlido para un entorno productivo en el que las
transacciones EDI pueden ser ms importantes.
Uno de los problemas que ms han incidido en la escasa presencia de
auditores informticos en nuestro pas, es quizs la a veces escasa relacin
entre el trabajo de auditora informtica y las conclusiones con el entorno
empresarial donde se ubicaba la "entidad auditada". Esta sensacin de que las
normas van por sitios diferentes de por dnde va el negocio ha sido fruto
muchas veces de la escasa comunicacin entre el auditado (objetivos
empresariales) y el auditor (objetivos de control). Como quiera que la cruda
realidad nos est demostrando en la actualidad cada vez ms la necesidad de
cada vez mayor control en los sistemas de informacin, se hace necesario para
el auditor informtico conocer tcnicas de gestin empresarial, y sobre todo de
gestin del cambio, ya que las recomendaciones y soluciones que se aporten
deben estar en la lnea de la bsqueda ptima de la mejor solucin para los
objetivos empresariales que se persiguen y con los recursos que se tienen.
El auditor informtico debe tener siempre el concepto de Calidad Total.
Como parte de un colectivo empresarial, bien sea permanentemente como
auditor interno o puntualmente como auditor externo, el concepto de calidad
total har que sus conclusiones y trabajo sean reconocidos como un elemento
valioso dentro de la organizacin y que los resultados sean aceptados en su
totalidad. Esta aplicacin organizativa debe hacer que la propia imagen del
auditor informtico sea ms reconocida de forma positiva por la organizacin.
3.10.5. Funciones a desarrollar por la funcin de Auditora Informtica
Se han suscitado mltiples controversias sobre las funciones a desarrollar en cuanto al
trabajo de Auditora Informtica que se debe realizar. Cul es el objetivo de una
Auditora Informtica? Qu se debe revisar, analizar o diagnosticar?
113
Puede la funcin de Auditora Informtica aportar slo lo que le piden o debe formar
parte de un ente organizativo total, lo que le exige una actitud de contribucin total al
entorno empresarial en el que est realizando su trabajo? En definitiva, qu aspectos
debe revisar el auditor informtico? Debe revisar la seguridad, el control interno, la
efectividad, la gestin del cambio y la integridad de la informacin.
Si analizamos la realidad ms actual, diremos que la funcin Auditora Informtica
debe mantener en la medida de lo posible los objetivos de revisin que le demande la
organizacin, pero como esto es muy general, vamos a precisar algo ms lo que sera un
entorno ideal que tiene que ser auditado.
Supongamos una organizacin que produce componentes tecnolgicos de audio y vdeo
tanto en formato primario como en producto semiterminado y terminado. Esta
organizacin mantiene sus programas y resultados de investigacin bajo control
informtico. Adems tiene las caractersticas propias de cualquier empresa productora y
comercial en cuanto a sistemas de informacin. Mantiene en Internet un sistema de
informacin de sus productos con la posibilidad de que usuarios de la Red puedan
hacer consultas sobre diferentes caractersticas de los productos. Gasta anualmente un
uno por ciento de su facturacin en sus sistemas de informacin y un diez por ciento en
investigacin.
Cules seran los objetivos de revisin de la Auditora Informtica en este ejemplo?
Desde luego parece que la Auditora Informtica debera enfocarse hacia aspectos de
seguridad, de comercio electrnico y de control interno en general, aadiendo en
funcin de lo expuesto en cuanto al gasto anual que debera realizarse una revisin de
la efectividad del departamento.
Esto nos indica que solamente con un ejemplo simple vemos que la Auditora
Informtica abarca campos de revisin ms all de los que tradicionalmente se han
mantenido; esto es, la revisin del control interno informtico de los servicios
centrales y de las aplicaciones.
El mundo complejo de las empresas en el que nos movemos, con industrias emergentes
y con una tendencia globalizadora en los negocios, hace muy necesario que los
sistemas de control interno sean lo ms efectivos posibles, pero tambin conceptos
ms amplios, como el riesgo de la informacin, la continuidad de las operaciones, la
gestin del centro de informacin o la efectividad y actualizacin de las inversiones
realizadas son necesarias para poder mantener el nivel competitivo que el mundo
empresarial demanda a sus sistemas de informacin.
Es as que entonces la funcin de Auditora Informtica debe realizar un amplio
abanico de actividades objetivas, algunas de las cuales enumero a continuacin:
Verificacin del control interno, tanto de las aplicaciones como de los

sistemas informticos, centrales y perifricos.
Anlisis de la gestin de los sistemas de informacin desde un punto de vista
de riesgo de seguridad, de gestin y de efectividad de la gestin.
Anlisis de la integridad, fiabilidad y certeza de la informacin a travs del
anlisis de las aplicaciones. Esta funcin, que la vienen desempeando los
114
auditores informticos, estn empezando ya a desarrollarla los auditores

financieros.
Auditora del riesgo operativo de los circuitos de informacin.
Anlisis de la gestin de los riesgos de la informacin y de la seguridad
implcita.
Verificacin del nivel de continuidad de las operaciones (a realizar
conjuntamente con los auditores financieros).
Anlisis del Estado del Arte tecnolgico de la instalacin revisada y de las
consecuencias empresariales que un desfase tecnolgico pueda acarrear.
Diagnstico sobre el grado de cobertura que dan las aplicaciones a las
necesidades estratgicas y operativas de informacin de la organizacin.
El papel de la auditora informtica se convierte de esta manera en algo ms que la

clsica definicin del auditor informtico:
El auditor informtico es responsable para establecer los objetivos de control que
reduzcan o eliminen la exposicin al riesgo de control interno. Despus de que los
objetivos de la auditora se hayan establecido, el auditor debe revisar los controles y
evaluar los resultados de su revisin para determinar las reas que requieran
correcciones o mejoras.
Aun a riesgo de ser criticado por muchos de mis compaeros, creo que el papel del
auditor informtico tiene que dejar de ser el de un profesional cuya nica meta
empresarial sea analizar el grado de implantacin y cumplimiento del control interno.
Las organizaciones estn invirtiendo mucho dinero en sistemas de informacin, cada
vez son ms dependientes de ellos y no pueden permitirse el lujo de tener buenos
profesionales, que estaban mediatizados por esquemas que eran vlidos hace unos
aos pero que en estos momentos no lo son a tenor de las necesidades empresariales. El
concepto de control interno es importantsimo, pero adems de verificar dicho control,
el auditor interno tiene la obligacin de convertirse un poco en consultor y en ayuda del
auditado, dndole ideas de cmo establecer procedimientos de seguridad, control
interno, efectividad y eficacia y medicin del riesgo empresarial.
3.10.6. Organizacin de la funcin de auditora informtica
Segn lo que hemos comentado hasta ahora, la funcin de auditora informtica ha
pasado de ser una funcin meramente de ayuda al auditor financiero a ser una funcin
que desarrolla un trabajo y lo seguir haciendo en el futuro, ms acorde con la
importancia que para las organizaciones tienen los sistemas informticos y de
informacin que son su objeto de estudio y anlisis. El auditor informtico pasa a ser
auditor y consultor del ente empresarial, en el que va a ser analista, auditor y asesor en
materias de:
Seguridad
Control interno operativo
Eficiencia y eficacia
Tecnologa informtica
Continuidad de operaciones
Gestin de riesgos
115
No solamente de los sistemas informticos objeto de su estudio, sino de las relaciones e

implicaciones operativas que dichos sistemas tienen en el contexto empresarial.
Con esta amplitud de miras, cmo se va a organizar la funcin dentro de la empresa?
Est claro que en este caso estamos hablando de una funcin interna de auditora
informtica.
La concepcin tpica que he visto en las empresas espaolas hasta ahora, es la de que la
funcin de auditora informtica est entroncada dentro de lo que es la funcin de
auditora interna con rango de subdepartamento. Esta concepcin se basa en el
nacimiento histrico de la auditora informtica y en la dificultad de separar el
elemento informtico de lo que es la auditora operativa y financiera, al igual que lo es
separar la operativa de una empresa de los sistemas de informacin que los soportan.
Si volvemos a mi aseveracin anterior sobre el papel que debe desempear el auditor
informtico dentro de un contexto empresarial, la organizacin tipo de la auditora
informtica, debe contemplar en mi opinin los siguientes principios:
Su localizacin puede estar ligada a la localizacin de la auditora interna operativa
y financiera, pero con independencia de objetivos (aunque haya una coordinacin lgica
entre ambos departamentos), de planes de formacin y de presupuestos.
La organizacin operativa tipo debe ser la de un grupo in dependiente del de auditora
interna, con una accesibilidad total a los sistemas informticos y de informacin, e
idealmente dependiendo de la misma persona en la empresa que la auditora
interna, que debera ser el director general o consejero delegado. Cualquier otra
dependencia puede dar al traste con la imagen del auditor informtico y
consecuentemente con la aceptacin de su trabajo y de sus conclusiones.
La dependencia, en todo caso, debe ser del mximo responsable operativo de la
organizacin, nunca del departamento de organizacin o del de sistemas (abundan los
casos en que esta dependencia existe), ni del departamento financiero y/o
administrativo.
La gestin de la funcin, en la medida de que exista la experiencia, debe ser llevada a
cabo por personal que haya o est trabajando en auditora informtica.
Los recursos humanos con los que debe contar el departamento deben contemplar una
mezcla equilibrada entre personas con formacin en auditora y organizacin y personas
con perfil informtico. No obstante, este perfil genrico debe ser tratado con un amplio
programa de formacin en donde se especifiquen no slo los objetivos de la funcin,
sino tambin de la persona.
Este personal debe contemplar entre su titulacin la de CISA como un
elemento bsico para comenzar su carrera como auditor informtico.
La organizacin interna tipo de la funcin podra ser:
- Jefe del departamento. Desarrolla el plan operativo del departamento, las
descripciones de los puestos de trabajo del personal a su cargo, las
116
planificaciones de actuacin a un ao, los mtodos de gestin del cambio en su

funcin y los programas de formacin individualizados, as como gestiona los
programas de trabajo y los trabajos en s, los cambios en los mtodos de trabajo y
evala la capacidad de las personas a su cargo.
- Gerente o supervisor de auditora informtica. Trabaja estrechamente con el Jefe
del departamento en las tareas operativas diarias. Ayuda en la evaluacin del
riesgo de cada uno de los trabajos, realiza los programas de trabajo, dirige y
supervisa directamente a las personas en cada uno de los trabajos de los que es
responsable. Realiza la formacin sobre el trabajo.
Es responsable junto con su jefe de la obtencin del mejor resultado del trabajo para
el auditado, entroncando los conceptos de valor aadido y gestin del cambio dentro
de su trabajo. Es el que ms "vende" la funcin con el auditado.
- Auditor informtico.
Son responsables para la ejecucin directa del trabajo.
Deben tener una especializacin genrica, pero tambin una especfica, segn
se coment anteriormente. Su trabajo consistir en la obtencin de informacin,
realizacin de pruebas, documentacin del trabajo, evaluacin y diagnstico de
resultados.
- El tamao slo se puede precisar en funcin de los objetivos de la funcin, pero
en mi opinin, para una organizacin tipo, el abanico de responsabilidades
debera cubrir:
- Especialista en el entorno informtico a auditar y en gestin de bases de datos.
- Especialista en comunicaciones y/o redes.
- Responsable de gestin de riesgo operativo y aplicaciones.
- Responsable de la auditora de sistemas de informacin, tanto en
explotacin como en desarrollo.
En su caso, especialista para la elaboracin de programas de trabajo conjuntos
con la Auditora Financiera.
3.11. ESTRATEGIAS METODOLGICAS:

Para socializar es necesario realizar: taller tipo conferencia a las personas que
trabajan en la Cooperativa San Pedro Limitada para que conozcan la propuesta que
es una de las soluciones que puede servir para mejorar
3.12. PLAN OPERATIVO:

Actividad
Socializar la
auditora
informativa a
los
funcionarios
de la
Cooperativa
San Pedro
Limitada
Objetivo
Metodologa
Fecha
Responsables Beneficiarios
Edwin y
Directivos,
9 de
Informar a los Taller
Miembros de
agosto del Milton
directivos y
la
2010
personal de
Comisiones,
apoyo sobre el
Personal
beneficio de la
tcnico y
Auditora
operativo
Informtica
como
herramienta de
control interno
y externo de la
cooperativa
117
3.13. IMPACTO:
Una vez aplicado el plan operativo en los diferentes departamentos de la institucin,
as como al personal que trabaja en la Cooperativa San Pedro Limitada, se espera
contar al futuro con la auditora informtica para la ejecucin del control interno y
externo de la institucin financiera y crediticia
118
BIBLIOGRAFIA:
Auditoria de los sistemas de informacin Rafael Bernal y scar Coltell Univ.
Politcnica de Valencia
Auditora Informtica, un enfoque prctico, Piattini, Mario, Del Peso Emilio, Edicin
Alfaomega, Grupo editor, Colombia 2006.
AUDITORIA INFORMATICA. Un enfoque prctico Mario Piatini Emilio del
Peso Ed. Rama
Fundamentos Informticos, Universidad de Cdiz, Servicio de Publicaciones, 1996
Informtica y Empresa, Llacer Rubio, Enrique; Editado por la Caja Rural Provincial
de Sevilla, 1983
Informtica, Instituto Hidrogrfico de la Marina, Servicio de Publicaciones de la
Armada, 1990
Introduccin a la informtica, Santodomingo, Adolfo; Editorial Ariel S.A., 1997
La Auditora Informtica: mtodos, Thorin, Marc; reglas, normas Ed. Masson, S.A.,
1989
NETGRAFICA:
Audinet : http://www.audinet.org, Sans Institute : http://www.sans.org
htp://212.9.83.4/auditora.nif.
htp//auditora interna&aq
htp//www.googleauditora+financiera&sq
http://es.wikipedia.org/wiki/Deontolog%C3%ADa
119
ANEXOS
Anexo 1
Facultad de Ciencias de la Administracin, Gestin Empresarial e Informtica
Encuesta a Directivos de la Cooperativa de Ahorro y Crdito San Pedro Ltda.
Objetivo: A travs de esta encuesta esperamos recoger informacin muy valiosa
sobre los procedimientos de control interno que se realizan su institucin, para
detectar posibles insuficiencias y proponer las soluciones adecuadas.
Indicaciones: Sr. Directivo haga el favor de responder a las preguntas planteadas en
esta encuesta, marcando su respuesta con una equis (X), informacin que ser de
mucha importancia para realizar nuestro trabajo de investigacin.
Existen Plan Operativo Anual para el departamento de

informtica?
Si
No
Los Directivos realizan algn tipo de estudio para analizar la
coherencia de su departamento de informacin sobre los avances
tecnolgicos?.
Permanente
Casual
Nunca
Se han realizado procedimiento de control de cumplimiento de
objetivos?
Si
No
La capacidad de equipos disponibles para satisface la demanda de
los talentos humanos disponibles?
No
Parcialmente
Se ha determinado las necesidades de hardware en funciones de las

tareas que realiza?
Siempre
Totalmente
Casualmente
Nunca
Se han desarrollado planes de implementacin, conversin y

pruebas de aceptacin para la red informtica distribuida en la
cooperativa?
Si
No
120
El departamento de informtica ha implantado sistemas de

seguridad contra intrusos?
Nunca
Parcialmente
Totalmente
Existe algn sistema de control sobre los cambios de contenidos y

procedimientos en base a datos en la red?
Si
No
En las auditoras altamente reglamentadas como la financiera se
han hecho observaciones sobre el Control Interno?
Conoce
Desconoce
Departamento independiente o subordinado al de Auditora
Financiera, guarda las auditoras pasadas?
Si
No
Gracias por su participacin
121
Anexo 2
Facultad de Ciencias de la Administracin, Gestin Empresarial e Informtica
Encuesta a Personal Tcnico y Operativos de la Cooperativa de Ahorro y
Crdito San Pedro Limitada
Objetivo: A travs de esta encuesta esperamos recoger informacin muy valiosa
sobre los procedimientos de control interno que se realizan su institucin, para
detectar posibles insuficiencias y proponer las soluciones adecuadas.
Indicaciones: Sr. funcionario, haga el favor de responder a las preguntas planteadas
en esta encuesta, marcando su respuesta con una equis (X), informacin que ser de
mucha importancia para realizar nuestro trabajo de investigacin.
En su departamento se ha realizado una Auditora Informtica?
Si
No
Conoce las ventajas de la informtica como herramienta de la
auditora financiera?
Si
No
Conoce las metodologas que existen para el control interno y la
auditora informtica?
Mucho
Poco
Considera necesario tener un software especial para el control de

acceso en los entornos distribuidos en la cooperativa?
Necesario
Innecesario
Qu funcin cumple el departamento de informtica?

Asesora
Nada
Mantenimiento
Control
Da importancia a la formacin continua del auditor informtico y al

secreto profesional?
Si
No
122
Tiene su departamento un plan de contingencias?
Si
No
Se utiliza mecanismos de seguridad para aplicar en su computador
personal para el mantenimiento de la informacin?
Si
No
Conoce si se realizan procedimientos de control informtico?
Conozco
Desconozco
Cuenta la cooperativa con un manual de procedimientos para el
departamento de informtica?
Si
No
Gracias por su colaboracin
123
Anexo 3
124
Anexo 4
125
126
127

TESIS

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

TESIS

Загружено:

Авторское право:

Доступные форматы

UNIVERSIDAD ESTATAL DE BOLVAR

FACULTAD DE CIENCIAS ADMINISTRATIVAS GESTION

TRABAJO DE GRADUACIN PREVIO LA OBTENCION DEL

ING. ARTURO ROJAS

GUARANDA, JULIO 2010

A mi esposa Rosa, gracias por tu incondicional y silencioso apoyo. Por tu fe,

A mi esposa y a mis tres hijas ya que son ellas la fuente de mi inspiracin.

CERTIFICACIN DEL DIRECTOR DE TESIS

de la Cooperativa San Pedro Ltda. y otras cooperativas de Guaranda sujetas al

Ing. Carlos Ribadeneira Zapata

MARCO TEORICO ..................................................................... 6

CONTROL INTERNO EN EL ECUADOR .................................. 9

LA INFORMTICA COMO HERRAMIENTA DEL

Grado de informatizacin ........................................................... 17

LA AUDITORIA FISICA .......................................................... 38

Fases de la Auditora Fsica ........................................................ 46

ESTRATEGIA METODOLOGA .............................................. 50

MTODOS DE INVESTIGACIN .......................................... 50

METODOLOGAS DE EVALUACION DE SISTEMAS ........... 80

Metodologas y anlisis de Riesgos ............................................. 82

METODOLOGIAS DE AUDITORIA INFORMATICA. ............ 86

PLAN DEL AUDITOR INFORMTICO .................................. 88

EL INFORME DE AUDITORIA ............................................. 102

ORGANIZACIN DEL DEPARTAMENTO DE

ESTRATEGIAS METODOLGICAS ..................................... 117

LISTA DE CUADROS Y GRAFICOS

Encuesta a Directivos de la Cooperativa de Ahorro y Crdito San Pedro

Encuesta a Personal Tcnico y Operativos de la Cooperativa de Ahorro y

Cuadro 1, Grfico 1 ........................................................................... 63

Encuesta a Directivos de la Cooperativa de Ahorro y Crdito

Control Interno de la Cooperativa San Pedro Ltda. y otras cooperativas de

El desarrollo de la Auditora Informtica nace desde que se comienzan a utilizar

FORMULACIN DEL PROBLEMA

Cmo influye el Control Interno de la Cooperativa San Pedro Ltda. y otras

Evaluar el Control Interno de la Cooperativa San Pedro Ltda. y otras cooperativas de

5.2.1 Identificar procedimientos del control interno de la Cooperativa San Pedro

La Cooperativa de Ahorro y Crdito San Pedro Ltda. es una institucin de derecho

garantizando efectividad, enmarcado en el comportamiento esmerado y muy

ATRIBUCIONES Y RESPONSABILIDADES (REGLAMENTO INTERNO )

Ver Anexo No. 4

6.2. CONTROL INTERNO EN EL ECUADOR

La reestructuracin de los procesos empresariales (BPR -Bussiness Process

El mundo en general est cambiando cada vez ms rpidamente, sometiendo a las

AUDITORIA INFORMATICA, Gloria Snchez Valriberas , 2006, pg. 280

La eliminacin de ramas de negocio no rentables o antiguas.

6.2.1.1. Control Interno Informtico

Idem, pg. 286

Controlar que todas las actividades se realizan cumpliendo los procedimientos y

Realizar en los diferentes sistemas (centrales, departamentales, redes locales, PC's,

El cumplimiento de procedimiento, normas y controles dictados. Merece

Idem, pag. 288

6.2.1.2. Auditora Informtica

Objetivos de proteccin de activos e integridad de datos.

El auditor evala y comprueba en determinados momentos del tiempo los controles y

Idem, Pg. 298

figuras tienen objetivos comunes,

6.2.1.4. Sistema de Control Interno Informtico

Idem, pg. 289

Histricamente, los objetivos de los controles informticos se han clasificado en las

Objetivo de Control de mantenimiento: asegurar que las modificaciones de

Objetivo del Control de seguridad de programas: garantizar que no se

6.3.1. Definicin del entorno.

Sustentada en determinados procedimientos

Una determinada informacin obtenida en un cierto soporte