AUDITORIA DE SISTEMAS

UNIDAD 1
Def. de Auditoría de Sistemas;

Proceso formal que es llevado a cabo por especializarse en auditoría y personas que entienden de sistemas, a efecto
de poder verificar y corroborar que los recursos y procesos que estén involucrados en la construcción o explotación
de los sistemas de información, cumplen con todos los procedimientos que están establecidos por la entidad que
estamos auditando y que se ajustan a los criterios de INTEGRIDAD, EFICIENCIA, SEGURIDAD, EFECTIVIDAD y
LEGALIDAD.

Cuando hablamos de auditoría de sistemas, tratamos de entender cuáles son los elementos que integran las
tecnologías de información de la entidad, como esos elementos van a impactar en los distintos aspectos de la
organización, por ejemplo; cómo van a impactar sobre el sistema en el control interno, tratar de observar cuáles
serán las tendencias tecnológicas, que nos gustaría que pasaran, como sacar provecho con toda nueva tecnología e
información, para poder tratar y poder entender los nuevos riesgos (no son los riesgos tradicionales), por ej; riesgos
de seguridad (ej. Hackeo al Telecom).

Tendríamos que conocer los procesos y ver que logren información integra, segura, eficiente.

 Para aprobar la cursada, se pedirá estar muy activo en la plataforma (foros, tp, debates, etc.)
 Se evaluará parte teórica en el parcial (de forma más presencial por plataforma) y se evaluará parte práctica
en trabajos prácticos o trabajos por plataforma.

Bibliografía a utilizar: “Auditoria de sistemas” de Ricardo Castello

 Auditoría interna 
Es una función de evaluación interna, ejercida por personal perteneciente a la empresa, mide y evalúa la
confiabilidad y eficacia del sistema de control interno de la entidad con miras a lograr su mejoramiento.

 Auditoría externa 
Ejecutada por un ente externo e independiente de la línea jerárquica establecida. Actúa controlando algún aspecto
particular de las operaciones o procedimientos establecidos en la organización.

Aspecto Auditoría externa Auditoría interna

considerado
OBJETIVO Opinar sobre la razonabilidad de la Medir y evaluar la eficiencia de la operatoria del ente, así
información reflejada en  los Estados como la confiabilidad del control interno del mismo,
Contables, y si fueron elaborados  de proveyendo análisis y recomendaciones que tiendan  a su
acuerdo con las Normas de Auditoría mejoramiento
Vigentes

SUJETO Contador Público

Preferentemente profesional de Ciencias Económicas.

INDEPENDENCIA Total
Profesional en relación  de dependencia

OBJETO PRINCIPAL DE Estados contables anuales o intermedios

SU EXAMEN
Actividades de control interno del ente, circuitos
administrativos, manual de procedimientos y organigramas.

NORMAS DE Normas profesionales vigentes. Exigencias Normas de auditoría interna. No obligatorias.

 APLICACION
legales de órganos de control.

PRODUCTO FINAL
Informe sobre Estados Contables anuales o Informes sobre control interno, gestión, desvíos
intermedios. presupuestarios.
RESPONSABILIDAD Profesional Laboral
Profesional 
Civil
Penal

CONDICIONES
PERSONALES Independencia de criterio (respecto del ente
auditado). Independencia de criterio (dependiendo del máximo nivel
Título habilitante. decisorio de la empresa). 
Cuidado profesional. Capacidad técnica.
Cualidades personales.

 Auditoría informática
Es el estudio que se realiza para comprobar la fiabilidad de la herramienta informática y la utilización que se hace de
ella en una organización. En forma más amplia se analiza la aplicación de recursos informáticos a los sistemas de
información existentes en las empresas, en especial los orientados a automatizar las tareas administrativo-contables,
financieras, de gestión, de soporte de decisiones, etc.
Cuando hablamos de auditoria informática, estamos hablando de una auditoria que se ocupa solo de evaluar cómo
se utilizan los recursos informáticos que dispone la organización.

Es un análisis de eficiencia y puede llegar a considerar incluso a las nuevas tecnologías disponibles en el mercado,
aplicables al procesamiento de datos según castello. Esta se diferencia con la auditoria de sistemas, ya que esta
establece a que se refiere, a las actividades de evaluación y control de los sistemas de información de una
organización.
La auditoría informática incluye la evaluación de los sistemas de aplicación de producción, las tareas comprendidas
en una auditoria de sistemas.
La auditoría de sistemas puede incluir la evaluación de los recursos informáticos que se usan.

Sistema Contable.

 Auditoría contable y sistema de control interno:

Una auditoria de sistemas se refiere a las actividades de evaluación y control de los sistemas de la organización y que
se suelen denominar así a 3 tipos de auditoria:

 Las que evalúan la operatividad de los sistemas de gestión de la organización (son las auditorias operativas)
 las que evalúan la eficacia de los sistemas de información de la empresa.
 las que evalúan la funcionalidad de los aplicativos implementados, incluidos también dentro de una actividad
informática.
la auditoria informática se encuentra dentro de la auditoria de sistemas

 Definición de Auditoria

Una auditoria es un proceso que se desarrolla en etapas, cuando se firma el contrato del cual se plantea esta
auditoria o trabajo, se efectúa una tarea muy importante que es el planeamiento de auditoria; una vez hecho este
planeamiento global, viene una parte donde se elabora un programa más detallado de los procedimientos que se
van a aplicar. Los procedimientos son todos aquellos que se determinen, dependiendo de las características del ente
que estamos auditando, las que a nuestro criterio sean las más adecuadas, de manera de poder obtener efectividad
y eficiencia en las tareas.
Eficacia por la capacidad de lograr el objetivo que se desea y unido a la eficiencia se refiere al logro de este objetivo
en el menor tiempo posible.

 Como planificar mi tarea:

 Hacer un buen planeamiento tiene beneficios.

 Dedicar una adecuada atención a las áreas más importantes para la auditoria.
 Identificar y resolver problemas de manera oportuna, redundando en el beneficio de no dudar.
 Organizar y administrar el encargo para que el trabajador sea eficaz y eficiente.
 Asistir a la selección del equipo de trabajo.
 Facilitar la dirección y supervisión del equipo y de su trabajo.
 Ayudar, si corresponde, a la coordinación de trabajo hecha por el experto que tienen en el equipo.

 Actividades de planeamiento:

El auditor debe fijar una estrategia global de la auditoria, que determine el alcance, la oportunidad y dirección del
trabajo, y el consecuente desarrollo del plan de auditoria.
La naturaleza y el alcance del plan varía según el tamaño y la complejidad del ente, la experiencia previa del equipo
de trabajo ese ente y los cambios en las circunstancias que ocurran durante el encargo, por ejemplo, no es lo mismo
si se trata de una auditoria recurrente o una primer auditoria.
El auditor debe considerar todos los factores que sean significativos que van a orientar al equipo de trabajo y que
también van a determinar la naturaleza, alcance y oportunidad de los recursos que se necesiten para ese encargo.
También lo que hace variar la naturaleza y el plan tiene que ver con los cambios que hayan por las circunstancias que
ocurren en el encargo. Se pueden encontrar con situaciones que hagan que algo que se había planificado se
simplifique o algo planificado se puede modificar.
El planeamiento tiene una característica fundamental y distintiva, no es estático, es dinámico. Está en constante
cambio, se va adaptando, se va adecuando a medida que la auditoria avanza y cada uno de los pasos del proceso
tienen un orden cronológico que se deben ir completando siempre antes de efectuar los procedimientos que son
posteriores. Al decir que el planeamiento es dinámico puedo volver y modificarlo.
RT37, Norma de auditoria y de encargos, cuando habla de planeamiento, dice que el auditor debe tener todos sus
elementos de juicio, que sean válidos y suficientes, que le permitan dar una opinión cuyo objetivo de la planificación
es deducir el riesgo, el riesgo que se analiza tiene que ver con el riesgo involucrado.

 Tipos de riesgos:

 Riesgo inherente; depende de lo que trabaja la organización, el mercado, es decir algo que es difícil de
manejar.
 Riesgo de detección; relacionado con el planeamiento, es el riesgo de auditoria, es decir que no se detecten
fallas o no se halla planificado bien los procesos a aplicar, o no se hayan aplicado correctamente.
 El riesgo de control; que está relacionado con el control interno y su incorrecto funcionamiento, o
funcionamiento defectuoso.

El riesgo de detección es el único riesgo que puede manejar, controlar y depende del auditor.
La aplicación tiene incidencia sobre este riesgo, y debe incluir la selección de procedimientos que se van a aplicar, el
alcance de esos procedimientos, como se va aplicar en el tiempo y como se va a determinar, si esos procedimientos
se van a realizar por el auditor o por sus colaboradores.
Todo lo que se encuentra en un planeamiento, todo tiene que estar escrito, incluso el planeamiento global ya que es
el respaldo.

 Actividades que comprende el planeamiento: (capítulo II de Carbello)

 Identificar las características del encargo, para definir el alcance del encargo; por ejemplo, los elementos de
juicio adquiridos anteriormente. (conocer al mediante)
 Averiguar los objetivos de los informes por emitir de manera de planear la oportunidad y naturaleza de las
naturalezas de las comunicaciones requeridas.
 considerar Factores que a su juicio son significativos para considerar los esfuerzos del equipo de trabajo, los
resultados de las actividades preliminares y en su caso los conocimientos adquiridos de otros trabajos
 similares realizados.

Otras actividades son:

 Determinar la naturaleza, oportunidad y alcance de los recursos necesarios para ejecutar el encargo.
 definir cuáles y cuantos miembros se designarán a cada área específica de trabajo, según el riesgo que ellas
presenten.
 seleccionar expertos necesarios que apoyaran las tareas.
 definir quiénes serán los encargados de tareas específicas.
 definir como estos recursos serán dirigidos y supervisados, las instrucciones que les darán, las reuniones que
mantendrán.

Una vez que se detecta o se determinen estos planeamientos, el auditor va a establecer un plan de auditoria más
desarrollado que la estrategia global, entonces lo que se pide es que sea más detallado, que haya una descripción de
cada tipo de trabajo y que esta descripción quede claro.
La naturaleza, alcance y oportunidad de los procedimientos posteriores de la auditoria
Cuando se habla de auditoria se habla de control, el control interno (CI) SE DEFINE CONFOME EL INFORME coso.
El control interno es el proceso efectuado por la dirección, la gerencia y otros miembros de la organización
destinados a proporcional seguridad razonable, en cuanto al logro de los objetivos.

 Efectividad y eficiencia en las operaciones

 Confiabilidad de la información
 Cumplimiento de las leyes y normas aplicables.

El control interno está formado por cinco componentes que están integrados e interrelacionados en el proceso de
Gestión Gerencial y de la organización

 MONITOREO O SUPERVICION

 LA INFORMACION Y
COMUNICACIÓN

 LAS ACTIVIDADES DE CONTROL

 EVALUACION DEL RIESGO

 AMBIENTE DE CONTROL

Todos estos aspectos esta interferidos por el flujo de

comunicación para llegar a la cúspide que será la Supervisión o el monitoreo.

 AMBIENTE DE CONTROL:

Contribuye al ambiente en el que las personas desarrollan sus actividades y cumplen con sus responsabilidades de
control. Marca el funcionamiento de la organización, influye en la percepción de sus empleados respecto al control.
Es la base de todos los demás componentes del control interno aportando disciplina y estructura.
El sistema de control interno es la columna de la auditoria aporta al ambiente de calidad toda la estructura, los
factores del ambiente del control los cuales constituyen la integridad, los valores, el estilo con el que se mueve la
Dirección, la manera en que los directivos toman las responsabilidades, la manera en que organizan las
capacitaciones de los empleados.
 El ambiente de control y de los Riesgos.

Los factores del ambiente de control incluyen:

- La integridad, los valores y la capacidad de los empleados de la entidad.
- La filosofía y el estilo de la Dirección
- La manera en que la dirección asigna la autoridad y la Responsabilidades, organiza.
- La atención y orientación que proporciona el consejo de administración.
- Conocer los factores me ayudan a conocer los Riesgos.

 LA EVALUACION DE LOS RIESGOS: A través de la investigación y análisis del riesgo relevante y el punto hasta el
cual el control vigente de la Naturaleza, se evalúa la vulnerabilidad del sistema. Es importante que se adquiera
un conocimiento práctico de la entidad y sus componentes de modo que se puede identificar los puntos débiles,
enfocando los riesgos, tanto en el nivel de la organización como el de la actividad. Teniendo en cuenta que es
una función de la dirección establecer los objetivos de la organización-

La función de la Dirección el establecimiento de los objetivos de una organización, nos interesa porque si bien no es
un componente del Sistema de Control Interno, es un requisito para que funcione correctamente. El informe coso
presenta una clasificación de los objetivos.

 EL INFORME COSO; presenta una clasificación de estos objetivos, los cuales pueden agruparse en categorías:
OBJETIVOS RELACIONADOS CON LAS OPERACIONES; Tienen que ver con la eficacia y eficiencia en relación con las
operaciones de la entidad.
OBJETIVOS RELACIONADOS CON LA INFORMACION FINANCIERA; Tienen que ver con la preparación de estados
contables.
OBJETIVOS RELACIONADOS CON EL CUMPLIMIENTO: Cumplimiento de leyes, de normas, de reglamentaciones
especiales.

 Actividades de control: Son las políticas y procedimientos con el que debe hacerse y el cómo debe hacerse y su
fin es asegurar, se llevan a cabo las instrucciones de la Dirección. Ayudan a asegurar que se tomen las medidas
necesarias Para controlar los riesgos, relacionados con el logro de los objetivos de la entidad. Se ejecutan en
todos los niveles y en todas las etapas de la Gestión.

El informe vuelve a agrupar las actividades de control que tengan que ver con las operaciones, actividades
relacionadas con la confiabilidad financiera y actividades relacionadas con el cumplimiento de leyes y
reglamentación.

La actividad de control es importante que se evalúen siempre para poder afrontar los Riesgos determinados con los
objetivos de cada actividad, por lo tanto, evaluar estas actividades levan a un proceso de evaluación de riesgo; y que
estas actividades son apropiadas, que las instrucciones establecidas se den para que ese deber se cumplan.

LA INFORMACION Y COMUNICACIONES: Así como es necesario que todos conozcan sus funciones y
responsabilidades, es imprescindible que cuenten con la información periódica y oportuna que debe manejar para
orientar sus acciones. Debe haber una comunicación eficaz en un sentido amplio que fluya en todas las direcciones a
través de todos los ámbitos de la organización de arriba hacia abajo.

EL MONITOREO O SUPERVICION: Cuando se habla de monitoreo hace referencia al proceso que compruebe que se
mantiene un correcto funcionamiento del sistema en el tiempo. Para lograr estos, es necesario ejecutar actividades
de supervisión continua, evaluación periódica o una combinación de ambos casos. La supervisión continua se da
conforme acabe la operación. El alcance y la referencia varía en función del tipo de empresa de la magnitud de los
riesgos.

Cuando esta mediado por tecnología el Sistema de Control Interno, SE ENCUENTRA CONFORMADO POR:
 - Equipos
- Programas que lo hacen funcionar para obtener ciertos resultados.
- Personas que los operan.
- Programas y datos sobre los cuales actúan.

Si un ente no establece controles internos se expone a Riesgos.

 FRAUDE
 PERDIDA DE BENEFICIOS
 INTERRUPCION DEL NEGOCIO
 ERRORES
 CLETENTES INSATISFECHOS.
 USO INEFICIENTE DE RECURSOS.

UNIDAD 2: AUDITORIA DE SISTEMAS

Auditoria: es un control selectivo, efectuado por un grupo independiente del sistema a auditar, con el objetivo de
obtener información suficiente para evaluar el funcionamiento del sistema bajo análisis y emitir una opinión
profesional.
Si pensamos en auditoria de sistemas, se refiere a las actividades de evaluación y control de los sistemas de
información de una organización, asi:
 Evalúan la operatividad de los sistemas de gestión
 Evalúan la eficiencia de los sistemas de información
 Avalúan la funcionalidad de los aplicativos implementados
Y el objetivo final será emitir una opinión profesional respecto a:
 Eficiencia en el uso de los recursos informáticos
 Validez de la información
 Efectividad de los controles establecidos

Una Auditoria es un proceso, que conforme a nuestras normas adopta un enfoque basado en riesgos, se desarrolla por
las siguientes etapas:
-PLANIFICACION PRELIMINAR: conocer en detalle las características de la entidad a auditar para tener los
elementos necesarios que permitan un adecuado planeamiento del trabajo a realizar y dirigirlo hacia las cuestiones que
resulten de mayor interés de acuerdo con los objetivos previstos.
La auditoría de sistema debe iniciar con una fase de planeación en la cual participen todas las áreas de la organización
para identificar los recursos necesarios que permitirán llevar a cabo un proyecto, como son, objetivos que se pretenden
alcanzar con el proyecto, análisis costo/beneficio, personal humano que intervendrá en el proyecto, marco de
referencia de Auditoria de Sistema que se va a utilizar. Lo cual se resume en obtener un conocimiento inicial de la
organización a evaluar, con especial énfasis en sus procesos informáticos basados en evaluaciones administrativas
realizadas a los procesos electrónicos, sistemas y procedimientos, equipos de cómputo, seguridad y confidencialidad
de la información, y aspectos legales de los sistemas y la información.
Los objetivos de esta etapa son:
a) Determinar las principales aplicaciones del área o sistema que se audita, y sus efectos en la información.
b) Conocer las características del equipamiento disponible.
c) Establecer el efecto del sistema computarizado en la información de la empresa. En caso de que sea
determinante, se pasa a la siguiente etapa.
-EVALUACION Y CONTROL INTERNO: los auditores internos deberán obtener, analizar, interpretar y documentar
la información para apoyar los resultados de la auditoria. Para lo cual:
 Se debe obtener la información de todos los asuntos relacionados con los objetivos y alcances de auditoría.
 La información deberá ser suficiente, competente, relevante y útil para que proporcione bases solidas en
relación con los hallazgos y recomendaciones de la auditoria. La información suficiente significa que está
basada en hechos, que es adecuada y convincente, de tal forma que una persona prudente e informada pueda
llegar a las mismas conclusiones que el auditor. La información competente significa que es confiable. La
información relevante apoya los hallazgos y recomendaciones de auditoría y es consistente con los objetivos
de esta. La información útil ayuda a la organización a lograr sus metas.
 Los procedimientos de auditoría, deberán ser elegidos con anterioridad, cuando esto sea posible, y ampliarse o
modificarse cuando las circunstancias lo requieran.
 Los documentos de trabajo de la auditoria deberán ser preparados por los auditores y revisados por la gerencia
de auditoría. Estos documentos deberán registrar información obtenida y el análisis realizado, y deben apoyar
las bases de los hallazgos de auditoría y las recomendaciones que se harán.

Pruebas de Consentimiento: El objetivo de esta fase es determinar si los controles internos operan como
fueron diseñados para operar. El auditor debe determinar si los controles declarados en realidad existen y si
realmente trabajan confiablemente.

- Pruebas Sustantivas: El objetivo es obtener evidencia suficiente que permita al auditor emitir su juicio en
las conclusiones acerca de cuándo pueden ocurrir perdidas materiales durante el procesamiento de la
información. Se pueden identificar 8 diferentes pruebas sustantivas:
 Pruebas para identificar errores en el procesamiento o de falta de seguridad o confidencialidad.
 Pruebas para asegurar la calidad de los datos.
 Pruebas para identificar la inconsistencia de los datos.
 Pruebas para comparar con los datos o contadores físicos.
 Confirmación de datos de fuentes externas.
 Pruebas para confirmar la adecuada comunicación.
 Pruebas para determinar falta de seguridad.
 Pruebas para determinar problemas de legalidad.

Evaluación de los Sistemas de acuerdo al Riesgo: una de las formas de evaluar la importancia que pude
tener para la organización un determinado sistema, es considerar el riesgo que implica el que no sea utilizado
adecuadamente, la perdida de la información o bien el que sea usado por personal ajeno a la organización
Personal Participante: Una de las partes más importantes dentro de la planeación de la auditoría en informática es el
personal que deberá participar y sus características.
Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervengan esté
debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimización de recursos (eficiencia) y se
le retribuya o compense justamente por su trabajo.
Con estas bases se debe considerar las características de conocimientos, práctica profesional y capacitación que debe
tener el personal que intervendrá en la auditoría. En primer lugar se debe pensar que hay personal asignado por la
organización, con el suficiente nivel para poder coordinar el desarrollo de la auditoría, proporcionar toda la
información que se solicite y programar las reuniones y entrevistas requeridas.
Éste es un punto muy importante ya que, de no tener el apoyo de la alta dirección, ni contar con un grupo
multidisciplinario en el cual estén presentes una o varias personas del área a auditar, sería casi imposible obtener
información en el momento y con las características deseadas.
También se debe contar con personas asignadas por los usuarios para que en el momento que se solicite información o
bien se efectúe alguna entrevista de comprobación de hipótesis, nos proporcionen aquello que se esta solicitando, y
complementen el grupo multidisciplinario, ya que se debe analizar no sólo el punto de vista de la dirección de
informática, sino también el del usuario del sistema.
Para completar el grupo, como colaboradores directos en la realización de la auditoría se deben tener personas con las
siguientes características:
 Técnico en informática.
 Experiencia en el área de informática.
 Experiencia en operación y análisis de sistemas.
 Conocimientos de los sistemas más importantes.

En caso de sistemas complejos se deberá contar con personal con conocimientos y experiencia en áreas específicas
como base de datos, redes, etc. Lo anterior no significa que una sola persona tenga los conocimientos y experiencias
señaladas, pero si deben intervenir una o varias personas con las características apuntadas.
Una vez que se ha hecho la planeación, se puede utilizar el formato señalado en el anexo 1, el figura el organismo, las
fases y subfases que comprenden la descripción de la actividad, el número de personas participantes, las fechas
estimadas de inicio y terminación, el número de días hábiles y el número de días/hombre estimado. El control del
avance de la auditoría lo podemos llevar mediante el anexo 2, el cual nos permite cumplir con los procedimientos de
control y asegurarnos que el trabajo se está llevando a cabo de acuerdo con el programa de auditoría, con los recursos
estimados y en el tiempo señalado en la planeación.

Investigación Preliminar: El objetivo será percibir las estructuras fundamentales y diferencias principales entre el
organismo a auditar y otras organizaciones que se hayan auditado.
La investigación preliminar debe incorporar fases de la evaluación del control gerencial y del control de las
aplicaciones.
- Evaluación del control gerencial: el auditor debe entender a la organización y las políticas y prácticas
gerenciales usadas en cada uno de los niveles, dentro de la jerarquía de la instalación en que se encuentran
las computadoras.
- Control de las aplicaciones: el auditor debe entender los controles ejercidos sobre el mayor tipo de
transacciones que fluyen a través de los sistemas de aplicaciones más significativos dentro de la
instalación de computadoras.
Se debe recopilas información para obtener una visión general del departamento por medio de observaciones,
entrevistas preliminares y solicitudes de documentos; la finalidad es definir el objetivo y alcance del estudio, así como
el programa detallado de la investigación.
Se deberá observar el estado general del departamento o área, su situación dentro de la organización, si existe la
información solicitada, si es o no necesaria y la fecha de su ultima actualización.

PROCEDIMIENTOS DE AUDITORIA
Los procedimientos son las actividades programadas que utiliza una organización para efectuar sus operaciones. En
este ámbito es importante destacar la necesidad de que existan manuales y/o documentación donde encontrar las
normas, detalle de los pasos o etapas de los procedimientos, los registros y los documentos fuente.

Los procedimientos necesitan de:

- Manuales de procedimientos formalizados, donde las operaciones están detalladas en forma escrita (pasos,
formularios, documentos, etc.).
- Mecanismos o canales de reclamo. Mecanismos de control que aseguren la precisión y seguimiento del
procesamiento (para ello se usan reportes automáticos de las transacciones procesadas, formularios prenumerados, etc.

TECNICAS MANUALES O DE OBSERVACION DIRECTA

Se aplica en los casos en que el funcionamiento de los controles pueda ser visualizado por el auditor. Ejemplos de
estas técnicas son los controles aplicados al ingreso de personas en áreas restringidas, verificación visual de los
resguardos o copias de seguridad, etc. Englobadas en esta categoría, disponemos también de las entrevistas y los
cuestionarios (o checklist):

a) Entrevista: La entrevista es una de las actividades personales más importantes del auditor, quien suele recoger más
información -acaso mejor detallada- que la proporcionada por medios puramente técnicos o por respuestas escritas a
cuestionarios.
La técnica de entrevista se basa fundamentalmente en el concepto de interrogatorio. Básicamente, lo que el auditor
hace en esta situación es interrogar e interrogarse a sí mismo.
El desarrollo de la entrevista debe hacerse bajo la forma de una conversación corriente y lo menos tensa posible,
procurando que el entrevistado genere respuestas sencillas y claras a las preguntas realizadas (que también deben ser
claras y sencillas). Lograr esta sencillez no es fácil, exige una preparación muy seria a fin de producir un paquete
sistemático. Para ello, es preciso que a su vez el auditor se pregunte: qué información necesito, quién me la puede
proporcionar, quién es el entrevistado que tengo enfrente (cargo, funciones, conocimiento del tema, etc.) y cuál es el
mejor modo de realizar las preguntas.

b) Cuestionario: Es un conjunto de preguntas “cerradas” destinadas a identificar los puntos débiles y fuertes de un
sistema de control interno. El conjunto de estas preguntas recibe también el nombre de checklist.
Salvo excepciones, se aconseja formular las preguntas en forma personal, dentro de una conversación cotidiana y
corriente: A veces, algunas de las preguntas de los cuestionarios podrán ser repetidas, pero deberán ser elaboradas de
manera distinta. En estos casos, el auditor confeccionará preguntas equivalentes para ser formuladas a distintas
personas (o a las mismas), en fechas iguales o diferentes. De este modo, podrá descubrir los puntos contradictorios,
analizar los matices de las respuestas, etc. Cuando perciba dudas, contradicciones, o incoherencias, deberá reelaborar
las preguntas, formular otras nuevas, complementarias.

TECNICAS COMPUTARIZADAS

a) Ejecución manual del procesamiento: Se re-ejecuta el proceso que se quiere controlar en forma manual, a partir de
los datos reales (para lo cual se toman muestras de los mismos). Los resultados obtenidos se comparan manualmente
con los que oportunamente generó el computador.
Solamente se podrá aplicar esta técnica, en tanto y en cuanto exista documentación o fuente de obtención que provea
los datos requeridos para la re-ejecución con cierta facilidad.

b) Lotes de prueba: Consiste en formar un conjunto de datos de entrada, reales o ficticios, para hacerlos ingresar en
grupo al computador a fin de ser procesados con el mismo programa que se encuentra en operación. Trabaja con una
copia de los programas y de los archivos en uso (en producción) y tiene por objetivo comprobar el funcionamiento de
los programas. Esta técnica no está diseñada para controlar el contenido de los archivos, por ello raras veces permite
detectar operaciones fraudulentas.

c) Simulación paralela: En esta técnica se utilizan los archivos reales de la entidad y se simula el procesamiento de la
aplicación mediante programas especialmente preparados. El auditor elabora sus propios programas; éstos deben
procesar los mismos datos que los programas de la aplicación a auditar. Luego ambos resultados son comparados.
Para lograr su cometido, la simulación necesita disponer de los datos reales de entrada y los archivos usados en su
procesamiento. Con estos elementos se efectúa la ejecución del proceso (on line) o la la ”corrida” (batchj) de
simulación, comparando a continuación los resultados con los que produjo el procesamiento real. Más tarde se
evaluarán las excepciones obtenidas de la corrida de simulación, entendiéndose por tales, las anomalías detectadas en
el proceso de reconciliación. Estas excepciones se tendrán en cuenta a la hora de hacer las recomendaciones.

d) Procesamiento paralelo: En este caso se busca verificar el funcionamiento de una aplicación sin afectar la
información residente en sus bases de datos, ni el procesamiento normal de las transacciones que debe atender. Para
instrumentar esta técnica, se debe obtener una copia de los programas, extraer una muestra representativa de la
información residente en los archivos de datos, luego, realizar el reprocesamiento usando datos de transacciones
reales, seleccionadas por el auditor. El reprocesamiento se realiza usando los mismos programas y bases de datos, pero
en otro computador.

e) Pruebas integradas (“minicompañía”): Esta técnica consiste en la creación de un ente ficticio dentro del sistema
de procesamiento en operación; por ejemplo crear una división, un departamento, una sucursal, una empresa, un
empleado, etc. ficticios, insertados como registro dentro de los archivos reales que utilizan las aplicaciones en
producción. A este ente ficticio se le aplicarán registros de transacciones de prueba, confeccionados en forma especial
por el auditor. Debe destacarse que se utiliza el mismo sistema que está en producción, dentro de los tiempos de
funcionamiento normal del mismo.
Este ente, al estar contemplado dentro de las aplicaciones en producción, permite que su procesamiento no altere los
registros reales de la empresa y los resultados de sus informes. En contrapartida, es necesario programar
procedimientos especiales para depurar las transacciones ficticias efectuadas por el auditor contra dicha entidad.

f) Pistas de transacciones: Esta técnica consiste en establecer rastros (datos especiales), con la finalidad exclusiva de
servir como pista de auditoría, en los registros de movimiento que se generan a partir de las transacciones. Los rastros,
marcas (tagging) o pistas de auditoría son grabados -como campos ad-hoc- en los registros durante el procesamiento
de las operaciones que ingresan al sistema.
A estos registros se les incorpora un atributo (campo) especial, por ejemplo, el número de legajo del empleado, la
fecha y hora de la operación, el número de terminal, etc. Estos datos sirven para identificar quién y cuándo se realizó
la operación. La idea es guardar información que permita realizar un seguimiento de las distintas etapas que siguió el
procesamiento de una transacción en particular.

g) Comparación de programas: Esta técnica consiste en el empleo de utilitarios del sistema operativo para comparar
dos o más versiones de un mismo programa ejecutable (archivo objeto) de una aplicación. La finalidad es verificar si
existen diferencias entre lasdistintas copias y versiones de los “ejecutables”. Si son diferentes se presume que hubo
cambios al programa, por ejemplo, desde la última visita del auditor. En estos casos, el auditor puede pedir que se le
informe respecto de dichos cambios y se le proporcione la documentación relacionada (solicitud de modificación,
autorizaciones, especificaciones, pruebas, orden de puesta en operación, etc.).

h) Paquetes de auditoría: Los paquetes de auditoría, conocidos en el pasado como sistemas GAS (de
General Audit System) y actualmente como herramientas CAATs, son productos de software diseñados para generar
programas que ayuden a los auditores a investigar el contenido de las bases de datos de la entidad bajo estudio. En
general, no requieren al auditor de calificación en tecnologías para ser usados..
En la actualidad, los productos de software de esta categoría se orientan principalmente a proveer al auditor de
herramientas de fácil comprensión y operación con funcionalidades similares a las provistas por el lenguaje SQL; su
principal virtud es facilitar el acceso a los archivos y bases de datos de la empresa auditada.

INFORME COSO

El informe COSO consta de cinco componentes o etapas para efectuar el análisis del sistema de Control Interno. Estos
componentes están relacionados entre sí, son derivados del estilo de la dirección y están integrados al proceso de
gestión. Ellos son:

I. Ambiente de Control: El ambiente de control refleja el espíritu ético vigente en una entidad respecto del
comportamiento de los agentes, la responsabilidad con que encaran sus actividades, y la importancia que le asignan al
control interno. Sirve de base a los otros componentes, ya que es dentro del ambiente reinante donde se evalúan los
riesgos y se definen las actividades de control tendientes a neutralizarlos. Simultáneamente se capta la información
relevante y se realizan las comunicaciones pertinentes, dentro de un proceso supervisado y corregido de acuerdo con
las circunstancias.

II. Evaluación de Riesgos: El riesgo es inherente a los negocios. El control interno ha sido pensado esencialmente
para limitar los riesgos que afectan las actividades de las organizaciones. A través de la investigación y análisis de los
riesgos relevantes y el punto hasta el cual el control vigente los neutraliza se evalúa la vulnerabilidad del sistema. Para
ello debe adquirirse un conocimiento practico de la entidad y sus componentes de manera de identificar los puntos
débiles, enfocando los riesgos tanto al nivel de la organización como de la actividad. Toda entidad debe hacer frente a
una serie de riesgos tanto de origen interno como externo que deben evaluarse. Una condición previa a la evaluación
de los riesgos es el establecimiento de objetivos en cada nivel de la organización que sean coherentes entre sí. La
evaluación del riesgo consiste en la identificación y análisis de los factores que podrían afectar la consecución de los
objetivos y, en base a dicho análisis, determinar la forma en que los riesgos deben ser administrados y controlados.

III. Actividades de Control: Son las políticas (qué debe hacerse) y los procedimientos (cómo debe hacerse) que
procuran asegurar se lleven a cabo las instrucciones de la Dirección. Ayudan a asegurar que se tomen las medidas
necesarias para controlar los riesgos relacionados con la consecución de los objetivos de la entidad.

IV. Información y Comunicación:

INFORMACION: La información relevante debe ser captada, procesada y transmitida de tal modo que llegue
oportunamente a todos los sectores, permitiendo asumir las responsabilidades individuales.
La calidad de la información generada por los diferentes sistemas afecta la capacidad de la Dirección de tomar
decisiones adecuadas al gestionar y controlar las actividades de la entidad. Resulta imprescindible que los informes
ofrezcan suficientes datos relevantes para posibilitar un control eficaz; la información se debe evaluar considerando:

- Contenido ¿Contiene toda la información necesaria?

- Oportunidad ¿Se obtiene en el tiempo adecuado?
- Actualidad ¿Es la más reciente disponible?
- Exactitud ¿Los datos son correctos?
- Accesibilidad ¿Puede ser obtenida por las personas autorizadas?
COMUNICACIÓN: Deben considerarse dos ámbitos en relación a esta actividad: interno y externo. Comunicación
Interna; además, de recibir la información necesaria para llevar a cabo sus actividades, todo el personal,
especialmente los empleados con responsabilidades importantes, deben conocer y asumir las funciones
comprometidas con el Control Interno. Cada función concreta ha de especificarse con claridad, cada persona tiene que
entender los aspectos relevantes del sistema de Control Interno, cómo funcionan los mismos, saber cuál es su papel y
responsabilidad en el sistema.

Comunicación Externa; además de una adecuada comunicación interna, ha de existir una eficaz comunicación
externa. Los clientes y proveedores podrán aportar información de gran valor sobre el diseño y la calidad de los
productos o servicios de la empresa, permitiendo que la empresa responda a los cambios y preferencias de los clientes.
Igualmente se deberá difundir las normas éticas que gobiernan la gestión de la empresa y la posición respecto a actos
indebidos como sobornos o pagos indebidos.

V. Supervisión: los sistemas de Control Interno requieren supervisión, es decir, un proceso que compruebe que se
mantiene el adecuado funcionamiento del sistema a lo largo del tiempo. Esto se consigue mediante actividades de
supervisión continua, evaluaciones periódicas o una combinación de ambas cosas.

Unidad 3:
Normas Internacionales y Nacionales vinculadas a la Seguridad de la Información.
Las normas ISO: familia 27000 Gestión de la Seguridad de la Información. Normas y estándares de la Auditoria en
Sistemas de Información: ISACA (Information Systems Audit and Control Association), SIGEN (Sindicatura General de
la Nación), BCRA (Banco Central de la República Argentina) y COBIT (Objetivo de control para la información y la
tecnología).

 Seguridad Informática:
- La seguridad depende de factores culturales, procedimentales y tecnológicos.
- No es misión del auditor solucionar técnicamente las fallas de seguridad y control que encuentre en el
sistema, pero sí debe alertar respecto a las que identifique.

Esta siempre afectada por la evolución que va teniendo la tecnología.

Nos preocupan los factores que se relacionan con los procedimientos.
El objetivo de los auditores informáticos, es evaluar la efectividad de los controles que se implementan, tratando de
evitar fallas, debilidades, hacer análisis de riesgo.
No es misión del auditor tratar de solucionar técnicamente las fallas de seguridad de control.
Vamos a evaluar los posibles problemas, deficiencias, debilidades, conociendo previamente los riesgos.

- Los Directivos de una empresa tienen la responsabilidad de preservar el patrimonio de su organización.

- Así como se protegen los activos físicos, equipamientos, también deben ser resguardados los activos
intangibles como programas, archivos de datos, conocimientos del personal de sistemas, etc.
- Estos van siendo cada vez más importantes entre los recursos estratégicos de una empresa.

Ejemplos: personal de seguridad en los depósitos, que haya cajas de seguridad, alarmas, accesos restringidos a
ciertas áreas, etc.

También se deben resguardar los activos de tipo intangibles (programas, archivos de datos, etc) Todo esto se va
transformando en un sistema estratégico la empresa.

- Lo más valioso que contienen los sistemas computarizados es la información que almacenan.
- Su valor estará dado por el costo de haberla generado, el costo de volver a generarla y el costo de no
poder volver de ella en un momento determinado.
- No basta con generar un modelo válido e instrumentarlo, sino que es necesario conseguir que sea
utilizado y respetado en las actividades cotidianas.
- Acá es donde se ve reflejada la cultura de la organización.
La cuestión cultural, es muy importante, dado la responsabilidad que asumen los responsables del circuito.

 Problemas más comunes de seguridad Informática:

- Desconocimiento y falta de conciencia de los riesgos que se asumen.
- Falta de familiarización y/o desconocimiento de los nuevos medios disponibles para el control y el modo
de utilización.
- Persistencia de la tradición del documento (comprobantes, registros y listados) como instrumento
central del control y respaldo de las operaciones.

La seguridad y el control, quedan opacados ante la falta de conocimiento de los riesgos por parte del personal.
Los niveles gerenciales son los que se encuentran en el punto 2. Hay que invertir en antivirus que protejan nuestros
equipos, dado a que, si no es bueno, deriva en un problema de seguridad.

- Adopción de un paradigma equivocado

- Falta de compromiso de diseñadores y proveedores de sistemas.
- Escasa o nula concientización de los usuarios acerca de la importancia de respetar los mecanismos y
normas de seguridad lógica.

Punto 1) se refiere a la inviolabilidad intrínseca que se ejecuta a través de una computadora, la computadora no es
segura, hay que agregarle otras herramientas y medidas de seguridad.
Punto 2) se refiere a los requisitos que por ejemplo tiene el sistema de AFIP. Resultan engorrosos dado a que no
están diseñados de manera accesible.
Punto 3) se refiere a la importancia de respetar los mecanismos de seguridad.

- Falta de respaldo y compromiso político por parte del nivel máximo.

- No suele tomarse en cuenta necesidad de actualizar y legitimar el esquema de niveles de autoridad, los
alcances y límites de las funciones.

Por ejemplo, cuando se tiene que anular un producto en un supermercado, el cajero debe llamar al encargado para
que pase su tarjeta y autorice tal operación.

Cuando hablamos de problemas de seguridad nos referimos a problemas que amenacen a los datos.

 Conceptos relacionados a la Seguridad Informática:

- Seguridad: Todo aquello que permite defenderse de una amenaza.
Algo está seguro si ninguna amenaza recae sobre ello. Ejemplos: virus, sabotajes, robos de datos, de
claves, un desastre natural es decir que se halla inundado donde está el servidor.
- Amenazas: Es un evento potencial no deseado que podría ser perjudicial.
Es algo perjudicial para el ambiente del procesamiento de datos. Constituyen contingencias potenciales
en un ambiente donde hay tecnologías.
- Componentes: Son las partes individuales de un sistema informático, al que deseamos proteger. (cada
una de las partes que integran un sistema informático)
- Control: Asegura que las amenazas sean mitigadas o detenidas y que los componentes sean
resguardados.
Preventivos, por ejemplo, un control de acceso; control de tipo disuasivos, controles de tipo detectives:
revelar los eventos indeseados y nos ofrecen evidencia de que alguien entro; control de tipo correctivo:
solucionar o corregir algún evento no deseado; y control de tipo recuperación tratan de recuperar el
efecto que tuvo un evento no deseado.
- Exposición (al riesgo): Pérdida estimada en relación con la ocurrencia de una amenaza.
Una exposición al riesgo puede ser cuantificable o no en valores pecuniarios, se va poder evaluar
teniendo en cuenta la probabilidad de ocurrencia. La exposición intangible se va a poder evaluar en base
a estimaciones.
- Riesgo: Nivel de exposición de un componente.
 Nos referimos al nivel de exposición de algún componente, equipo, dato.
- Evaluación de riesgo: Proceso mediante el cual se identifican amenazas, se derminan exposiciones y se
valorizan los riesgos.

 La Seguridad como Proceso

La seguridad no es una actividad.
- La seguridad debe verse como un proceso.
- No solo abarca lo relacionado con las herramientas tecnológicas, implica la solución y el conocimiento de
riesgo.
- El problema no hay que enfrentarlo con tecnología, pero también debe involucrar a los tomadores de
decisiones.
- Los riesgos que generalmente corren los datos Son:
a) La pérdida de datos; suele ser el problema más grave.
b) La alteración de los datos; en general no detiene el funcionamiento.
c) El robo de los datos; no incide de manera directa, pero puede tener graves consecuencias.
- La seguridad Informática debe vigilar principalmente por las siguientes propiedades de los datos:
 Confidencialidad: se refiere a como condición que asegura que los datos no pueden estar disponibles, o ser
descubiertos por una persona para otras, o entidades. La información puede ser vista y manipulada por la
persona que está encargada de ella.
 Integridad: cuando los datos de un soporte no difieren de los contenidos de la fuente original.
 Disponibilidad: se define como el grado en que un dato está en el lugar en el momento y en la forma que es
requerida por el usuario. Se relaciona con la fiabilidad técnica, es decir por la probabilidad de falla que hay
en los componentes informativos
 Autenticidad: mecanismo que nos permite conocer si la persona que está accediendo al sistema es
realmente la persona que está autorizada para poder hacerlo.

 Evaluación del Riesgo:

- Riesgo es la posibilidad de que se materialice una amenaza, por lo tanto, el análisis de riesgo es detectar
las amenazas a las que un sistema está expuesto, el grado de probabilidad de ocurrencia y sus posibles
consecuencias.
Tareas de la seguridad informática:
- Lo primero que hay que hacer es calificar el riesgo.
- Lo que implica descubrir las contingencias, amenazas, peligros y las debilidades de la organización
respecto a la protección de sus recursos informáticos.
- Se suelen utilizar diferentes métodos para poder valorar los riesgos.

 Medidas de seguridad:

- Una vez identificados y categorizados los riesgos, hay que analizar las medidas de seguridad para
contrarrestarlos. (Son las acciones de control para tratar de asegurar las amenazas sean minimizadas.)
- Ejemplos de medidas de seguridad:

 Activas: Control de acceso. Son las que se implementan para tratar de reducir o evitar un riesgo. Ejemplo: un
usuario, una contraseña.
 Pasivas: Copias de seguridad. Son aquellas que se adoptan para estar preparados en caso de que la amenaza
aparezca y tratar de facilitar la recuperación del sistema. Ejemplos las copias de seguridad el sistema.
 Lógicas: Permisos de acceso, antivirus. Tienen en cuenta características del ambiente informático.
 Físicas: Seguridad en la custodia de equipos.

 Plan de seguridad informática:

- Tras hacer un análisis de riesgos debemos decidir cuáles serán las medidas de seguridad que se van a
implementar.
- Hacer un plan de seguridad informático es que estas medidas de seguridad se conviertan en normas y
asegurarse que sean implementadas y documentadas correctamente.
El objetivo final de este plan es proteger los recursos informáticos de la entidad.

 Un plan de seguridad informática se desarrolla considerando los siguientes aspectos:

- Objetivos de seguridad informática.
- Análisis de riesgos.
- Identificación de medidas de seguridad.
- Elaboración de proyectos para implementar las medidas elegidas de seguridad.
- Difusión de las políticas de seguridad informática.
- Desarrollo de planes de contingencia.
- Asignación de presupuesto adecuado y apoyo de la Dirección.

Normativas sobre seguridad en los Sistemas

 Normativa ISO 17.799
● Establece algunas definiciones, como, por ejemplo, la definición del concepto de seguridad informática.
¿Porque es necesaria la seguridad informática? ¿Cómo establecer los requerimientos de seguridad?
evaluación de riesgo, etc.
● Define que los controles que se deben implementar, abarcan las políticas, las prácticas, los procedimientos,
las estructuras organizacionales y las funciones del software
● Evaluación de riesgos, la misma comprende la revisión sistemática de los procesos, midiendo el impacto
potencial de una falla de seguridad y la probabilidad de ocurrencia de la misma.

COMPONENTES:

1. Política de seguridad: en este punto la norma establece el concepto de política de seguridad, cómo debe ser
documentada y cómo debe realizarse la revisión y evaluación.
2. Organización de la seguridad: se basa en que el problema de seguridad debe ser compartido por todos los
integrantes de la organización y propone la creación de un foro gerencial sobre la seguridad de la
información, cuya función principal es la de coordinar la implementación de controles de seguridad.
3. Clasificación y control de los activos: Se ocupa de la administración (guarda, custodia e inventario) del
equipamiento y los datos. Aborda un concepto amplio de lo que es información. Luego incluye los recursos
de software de aplicación, los equipos físicos (equipamiento) y los servicios generales.
4. Seguridad del personal: sostiene que la responsabilidad en materia de seguridad debe ser establecida en la
etapa de reclutamiento e incluida en los aspectos contractuales, además de ser adecuadamente
monitoreada. Comprende la gestión del personal afectado a los servicios informáticos.
5. Seguridad física y ambiental: en este punto se incluye todo aquello referido al establecimiento de
actividades que impidan accesos no autorizados, daños o interferencia de la información. Abarca los
aspectos físicos tales como protección de oficinas, recintos e instalaciones.
6. Gestión de operaciones y comunicaciones: se establecen cómo deben realizarse los procedimientos
relativos a los procesamientos de la información, planificación y aprobación de sistemas, protección de
software malicioso, mantenimiento, administración de medios informáticos removibles, intercambio de
información y software, acuerdo de intercambio de información y software.
7. Control de accesos: detalla las pautas para el acceso a la información y los procesos de negocio, abarcando
los procesos de definición de políticas de acceso, administración de usuarios (altas, permisos, administración
de contraseñas) responsabilidad del usuario, control de acceso a la red, utilización de utilitarios, accesos
remotos, etc.
8. Desarrollo y mantenimiento de sistemas: comprende lo relacionado con la exploración de la información
mediante la utilización de software comercial (adquirido) y software desarrollado por la propia organización.
Así es que incluye las mejoras y los requerimientos de seguridad, la validación en el ingreso, el
procesamiento y la salida de datos, la incorporación de controles criptográficos, los controles relativos al
software para evitar la manipulación del código protegiendo programas fuente, los adecuados procesos de
desarrollo y soporte, etc.
9. Administración de la continuidad del negocio: el objetivo es que la organización siga funcionando y
realizando sus actividades principales, asegurando la continuidad de los procesos críticos de la organización.
 Abarca desde el diseño del plan de continuidad, el análisis de impacto, la implantación, la prueba y el
mantenimiento del plan.
10. Cumplimiento: se refiere al cumplimiento de la normativa legal vigente en el lugar donde la organización
desempeña sus actividades. Aquí se incluyen aspectos relativos al derecho de propiedad intelectual, la
protección de registros, la privacidad de la información personal, las políticas de seguridad y la auditoría de
sistemas.

 NORMA ISO 27.001- (toma el concepto de enfoque de procesos y resalta cuales eran los
requerimientos de seguridad informática)
Esta norma toma el concepto de enfoque de procesos y resalta la importancia del:

 Entender cuáles son los requerimientos de la seguridad informática de la organización y la necesidad de

establecer políticas y objetivos de seguridad informática.
 Implementar y operativizar controles para administrar los riesgos en seguridad.
 Proceso de mejora continua.

 ISACA:
Es una asociación que prevé diferentes certificaciones de calidad.
 Certificado de Auditores y control de sistemas de Información CISA, el cual cubre como por ejemplo el
conocimiento de actividades que son requeridas por el auditor para la función de una auditoria en
tecnología de información.
 Certificación para la administración de la seguridad de la información CISM. Del cual se intenta garantizar
que existen administradores de seguridad de tecnologías de la información que tienen los conocimientos
necesarios para reducir el riesgo y proteger la organización.
Estas certificaciones se las dan a una persona física la cual da la seguridad del trabajo a realizar. Los tiene un auditor
que este certificado.

 COBIT:
Es Un Informe Que Está Orientado a hacer una herramienta de gobierno de las tecnologías de información que
proporciona una serie de herramientas para que la gerencia pueda conectar los requerimientos de control con los
aspectos técnicos y los riesgos del negocio.
 Permite el desarrollo de las políticas y buena práctica para el control de las tecnologías en toda la
organización.
 Enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las
tecnologías, y permite su alineamiento con los objetivos del negocio.
 DESTINARIOS DEL COBIT:

- GERENTES: Para ayudar a equilibrar el riesgo y la inversión en controles de los servicios de TI a menudo
imprevisible.
- USUARIOS: Para obtener la garantía de la seguridad y los controles de los servicios TI provistos por el personal de
la organización o los terceros.
- AUTORES DE SISTEMAS DE INFORMACION: Para respaldar sus opiniones y/o aconsejar a la gerencia con respecto
a los controles internos.

 EL COBIT HOY:
- Es un compendio de mejores prácticas aceptadas internacionalmente. Orientadas al gerenciamiento de las
tecnologías.
- Complementando con herramientas y capacitación.
- Es gratuito.
- Respaldado por una comunidad de expertos.
- Se encuentra en evolución permanente.
- Esta mantenida por una organización sin fines de lucro, con conocimiento internacional.
- Mapeado con otros estándares.
- Orientados a procesos sobre la base de dominios de Responsabilidad.
El COBIT define al control como: Las políticas, procedimientos prácticos y estructuras organizacionales, diseñadas
para garantizar razonablemente que los objetivos del negocio serán alcanzados y que eventos no deseables serán
prevenidos o detectados y corregidos.
Objetivo de control de T.I. será el resultado o propósito que se desea alcanzar implementando procedimientos de
control en una actividad de TI (TECNOLOGIA DE INFORMACION) particular.
 Requerimientos de COBIT:
 Calidad.
 Costo.
 Entrega De Servicio.

 REQUERIMIENTOS FIDUCIARIOS:
 Efectividad y eficiencia de operaciones.
 Confiabilidad de la operación cumplimiento de leyes y regulaciones

 REQUERIMIENTO DE SEGURIDAD:
 Confidencialidad.
 Integridad
 Disponibilidad.

 LA INFORMACION TIENE QUE SER:

 Efectiva; Se refiere a que la información relevante sea pertinente para el proceso del negocio, así como a
que su entrega sea oportuna, correcta, consistente y de manera utilizable.
 Eficiente; Se refiere a la provisión de información a través de la utilización óptima (más productiva y
económica) de recursos.
 Confidencialidad; Se refiere a la protección de información sensible contra divulgación no autorizada.
 Integridad; Se refiere a la precisión y suficiencia de la información, así como a su validez de acuerdo con los
valores y expectativas del negocio.
 Disponibilidad; Se refiere a la disponibilidad de la información cuando ésta es requerida por el proceso de
negocio ahora y en el futuro. También se refiere a la salvaguarda de los recursos necesarios y capacidades
asociadas.
 Cumplimientos; Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los
que el proceso de negocios está sujeto, por ejemplo, criterios de negocio impuestos externamente.
 Confiabilidad de la información; Se refiere a la provisión de información apropiada para la administración
con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de
cumplimiento.

 RECURSOS DE LA TECNOLOGIA DE LA INFORMACION

 Datos; Son los elementos de datos en su más amplio sentido, (ej. Externos e internos), estructurados y
no estructurados, gráficos, sonidos, etc.
 Aplicaciones; Es la suma de procedimientos manuales y programados.
 Tecnologías; Cubre hardware, software, sistemas operativos, sistemas de administración de base de
datos, redes, multimedia, etc.
 Instalaciones; Recursos para alojar y dar soporte a los sistemas de información.
 Personal; Habilidades del personal, conocimiento, conciencia y productividad para planear, organizar,
adquirir, entregar, soportar y monitorear servicios y sistemas de información.