Auditoria y Sistemas Informatic - Blanco Encinosa, Lazaro J

Edición: Deborah Prats López
Diseño de cubierta: Frank Herrera García

Diseño interior: Arsenio Fou rnier Cuza
Diagramación: Rolando Maikel Torres Muiña
© Lázaro Jesús Blanco Encinosa, 2008

© Sobre la presente edición:
Editorial Félix Varela, 200 8
ISBN 978-95 9-07-0950-0
EDITORIAL FÉLIX VARELA

Calle A No. 703 e/ 29 y Zapata
Vedado, La Habana, Cuba.
Introducción / 7
Capítulo 1: Definiciones iniciales. Desarrollo histórico
de la auditoría / 11
• Introducci ón / 11
• Definiciones bá sicas / 11
• Breve res eña histórica de la audi toría / 21
• Caso 1 par a me ditar / 28
• Pregu ntas / 28
Capítu lo 2: No rmas y orga nizaciones de a uditoría / 29
•• Introducci ón / 29p rofesionales de la actividad d e audit oría / 29

Organizaciones
• Docume ntos norma tivos de la auditoría / 32
• Pregu ntas / 35
• Problema de inve stigación 1 / 35
Capítu lo 3: El a uditor contemp oráneo y la i nformática / 36
• Funcione s a des arrollar / 36
• Conoci mientos y habi lidades necesarias / 41
• Pregu ntas / 45
Capítulo 4 : Ca usas de riesgos. Riesgos y contro les / 47

• Causas de riesgo : la calidad en los sistemas com putari zados / 48
• Controles informa tivos / 53
• Pregun tas / 72
• Problema de investigac ión 2 / 73
Capítulo 5: El control interno en condiciones de informatización / 74

• Debilidades en el control interno de a lgunos s istemas de conta -
bilidad comput arizados / 75
• Viejos conc eptos, n uevos enfoques / 77
• Los princ ipios d e control int erno en los sistemas inf ormát icos
contables: nueva visión / 79
• Caso 4 para meditar / 86
• Pregun tas / 87
Capítu lo 6: El au ditor ante la elaboración o la a dquisición de un
sistema info rmático / 89
• Modelos básicos d e los ciclos de v ida de los sistema s informáti -
cos / 91
• El auditor durante la ela bo ración o a d quisición d el sistema
informático / 98
• Caso 5 para meditar / 100
• Pregun tas / 101
• Problemas de investigación 4 / 101
Capítulo 7: Auditoría a sistemas informatizados en explotación / 102
• Pr epara ción del tra b ajo de la a udit oría en un ambie n te de
informat ización / 10 4
• Realización de l trabajo de audi toría / 106
• Conclusión del trabajo de audi toría / 120
• Caso 6 par a medi tar / 123
Capítulo 8: Audito ría a l as área s de p roces am iento d e datos : el
logro de la seguridad y protección de los recursos informativos
de la entidad / 125
• La segurida d y prot ección de l os recu rsos inform ativ os de la
entidad. Visión general / 126
• Proceso de ela bo ración y apli cación del s istem a de medi das de
seguridad y protección de los recursos informativos / 134
• Algunas medidas de seguri dad y prote cción de rec ursos infor -
mativos / 140
• Un caso particula r: la segur idad en inte rnet / 148

• Pregu ntas / 15 3
• Problema de investigación 6 / 154
Capítulo 9: Riesgos específicos: la amenaza de los programas
malignos, la consulta no autorizada a las bases de datos y el
acceso indebido a los sistemas de aplicación / 155
• Contraseñas o pal a bras de pa se / 155
• Encriptaci ón / 159
• Virus infor má ticos y otros programa s m alignos / 162
Capítu lo 1 0: Herr amientas y métodos utilizados en l a auditoría a los
sistemas informativos en explotación / 172
• Auditoría a las ba ses de dat os / 173
• Auditoría a las entradas / 180
• Auditoría a las informaci ones de salida 187
• Subsistema de auditoría, auditoría sistemática o auditoría desde
el sistema / 191
• Método s de da tos d e prueba / 193
• Método de simulación paralela / 195
• Software general d e auditoría / 1 96
Capítu lo 11 : Audi toría a la funci ón informática en la entid ad / 200
• Definiciones g enerales / 20 1
• Auditoría a la planificación de l a info rmática / 202
• Auditoría a la orga nización de la info rmática / 204
• Auditoría a la segurida d y prot ección de los recursos informat i-
vos / 206
• Auditoría a la gestión i nfor mática / 207
• Auditoría a lo s sistemas en proces o de ela borac ión / 209
• Auditorías a redes d e com putación / 209
Capítulo 12: Auditoría a sitios WEB / 214

• La auditoría a sitios WEB / 215
• Detalle de los aspectos a evaluar en una auditoría a sitios WEB / 216
• Conclusio nes / 220
Capítu lo 13 : Audi toría de la in formación y del co nocimiento / 222
• El proble ma inf ormat ivo en las entidades empr esariales / 223
• La solución / 227
• COBIT: un mo delo integral / 231
• El model o Henezel : de los dat os al conocimi ento / 234
• Presentación de otros model os de audit oría de la informa ción y
del conocim iento / 237
• El perfeccionamie nto de la ges tión en las organizaciones: algunas
herramientas / 238
• Hacia los sistemas empre sariales inteligent es / 246
Capítulo 14: Inteligencia artificial y auditoría / 249
• Sistemas basados en el conocimi ento (sistemas expertos ) / 250
• Aplicaciones de los sistemas expert os en la auditoría / 258
• Una pro pue sta de ap licación / 260
• Las redes neurona les artificiales / 262
• El paradigma B M LP y su empleo como bas e de u na red neur onal
de utilización en la auditoría / 263
• Conclusio nes / 266
Bibliografía / 269
La sociedad moderna se ha informatizado. Es un hecho innegable. Millones de
computadoras, enlazadas en red o aisladas (stand alone) se utilizan diariamente en
fábricas, hospitales, escuelas, empresas de variado tipo, bancos, etc. Dependemos de
estas máquinas para comunicarnos, para conservar nuestras informaciones, para ela-
borar nuestros informes, nuestros artículos, nuestros libros. Las utilizamos para diseñar
edificios, autos y aviones; para predecir el comportamiento climático, para garantizar
nuestros controles contables y estadísticos. Cuando queremos descansar las utilizamos
con fines lúdicos. Son, además, la base de la revolución que está ocurriendo en las
escuelas y universidades. Están en toda actividad humana. Si no existiesen, habría que
dedicar la mitad de los seres humanos que vivimos en este planeta, a procesar las
informaciones que obtiene la otra mitad. Han permitido el actual desarrollo humano,
pero a la vez lo condicionan.
Semejante dependencia exige medios de control eficaces y eficientes, que garan-
ticen la calidad de esos servicios computacionales y comunicacionales, que contri-
buyan a proteger y conservar las informaciones almacenadas, el equipamiento utili-
zado, que eviten desastres. Imaginemos por un momento las historias clínicas de un
hospital alteradas, o las cuentas de un banco borradas. Pensemos que una compañía
de aviación recibe datos climáticos erróneos o que pierda todas sus reservaciones.
Consideremos lo que podría p asar si se pierden todas l as informaciones de nuestros
seguros médicos o de vej ez. La sociedad no pu ede dar se el lujo de semeja ntes catás-
trofes. Esa comprensión fue lo que motivó el esfuerzo mundial que se realizó para
atenuar lo s efect os del “error del mi lenio” o “ Y2 K”. Estábamos aterra dos por lo
7
que podría pasar en cent rales atómicas, en aviones en vuel o, en s ervicios de gas y
calefacción. Esa comprensión de nuestra dependencia casi total de los sistemas de
computación y de peligros que eso conlleva, nos hace enfocar nuestros esfuerzos a
garantizar la mayor calidad posible de estos sistemas, de los procesos de captación,
transmisión, almacenamiento y diseminación de la información almacenada.
Esa información
personas, procesos, adquiere un valor
fenómenos, incalculable:
objetos, son además
etc. Incluye datos insustituibles sobrede
lo s programas
computadoras, “la inteligencia”, utilizados para procesarlos. Muchos de ellos son
únicos, hechos a la medida del problema y por progr amadores muy especializados, lo
que incrementa su valor práctico y financiero.
Es una información que describe procesos y fenómenos cada vez más complejos.
El ser humano ha construido redes de computadoras cada vez más perfectas, por
donde trans mite informaciones de variado tipo y form ato. Li bros, cuentas por pagar,
facturas, contratos comerciales, números de tarjetas de créditos, datos sobre cuentas
bancarias, canciones, películas, ... prácticamente to do tipo de informació n viaja por
las redes y se encuentra almacenada en las bases de datos accesibles por esas redes.
O sea, cualquier daño a esos sistemas podría provocar un efecto catastrófico en
la vida del ser humano, tanto en los aspectos económicos, sociales, culturales, pero
también físicos y biológicos; pues muchas de las armas más destructivas pueden ser
accesibles por los sistemas de computación, y muchos de los datos sobre la s bacterias
y virus más dañinos que se conservan en los laborato rios de investigación también lo
son.
Por otra parte, el empleo masivo de esos sistemas ha propiciado el surg imiento de
un nuevo tipo de delito: el delito informático, mediante el cual se sustraen diariamen-
te millones de dólares indebidamente.
¿Cómo protegernos de esas catástrofes?; ¿cómo asegurar que la dependencia
casi total de los sistemas de computación y las redes de comunicación basadas en
computadoras no se traduzca en desastres que afecten nuestra vida y nuestra activi-
dad?
Se impone desarrollar sistemas, métodos y procedimientos que garanticen la cali-
dad de esas redes, del software utilizado y de las in formaciones procesada s; sistemas
que eviten errores y disminuyan lo posible los riesgos de catástrofes, de fraudes, de
delitos; que detecten incorrecciones y mala utilización de las computadoras y los
recursos informativos.
Prácticamente desde el comienzo del uso comercial de las computadoras, se co-
menzaron a crear esos sistemas, a proponer esos mét odos. En cierto sentido fue el
desarrolllo natural de los métodos y sist emas de aud itor ía, que el ser humano ha
venido perfeccionando desde el surgimiento de la humanidad, extendidos y adapta-
dos a un entorno de control mucho más riesgoso y complejo.
8
Este libro se refiere precisamente a esos sistemas, procedimientos y métodos de
control y de aseguramiento de la calidad y la protección de los sistemas de información
computarizados. Es un libro sobre auditoría, sobre seguridad de los recursos
informáticos, sobre su protección. Es un texto que describe los principales métodos
de auditoría, sus principales herramientas, desarrolladas a través de cincuenta años de
actividad
sobre tododedeloslosauditores en el mundo
mejores auditor es delinformático. Incluye
mundo, relatad as enexperiencias del autor,
libros y artícul pero
os, descri-
tas en normativas y documentos oficiales, obtenidas en proyectos prácticos de
auditorías, en el intercambio en cursos o encuentros i nformales, en diferentes países.
Es un libro que recoge lo más actual, pero también lo que se está gestando y
vendrá en años futuros a enriquecer el arsenal práctico de los auditores.
Se ha escrito con un enfoque muy práctico, pero contando con la necesaria teoría
“no hay nada más práctico que una buena teoría” para que los lectores tengan un
bagaje más duradero en las informaciones que aquí reciban. De esa combinación de
teoría y práctica, de pasado útil , de presente y de fut uro; se ha conformado este libro.
Este comienza analizando las principales denominaciones que históricamente se
han utiliza do para nombrar a la auditoría en el ámbit o de los sistemas de computa-
ción. Ello no será un mero ejercicio semántico, sino que nos permitirá definir el
campo de atención del texto. Además, se fundamentará una tesis que el autor ha
defendido en diferentes foros –congresos de auditoria, artículos, libros– y que senci-
llamente apunta que no hay una auditoria tradicional y una dedicada a los sistemas
de información computarizados; hay sencillamente una auditoría contemporánea y
otra que no lo es. Seguidamente se analizarán las funciones, habilidades, conoci-
mientos, formación, etc.; que requiere el auditor y qué hacer para su reconocimiento
internacional oficial.
Como elemento imprescindible, se estudiarán las organizaciones int ernaciona-
les que norman el trabajo de auditoría y se mencionarán las principales normas y
documentos de apoyo al trabajo del auditor, pero fundamentalmente las normas bá-
sicas internacionales. Se analiz arán los principales tipos de auditoría y su relación
con la informática y los sistemas de comunicación computarizados.
Se analizará el rol del auditor en condiciones de compra o de diseño de un
sistema computarizado.
Se explicarán los principios, métodos y herramientas a utilizar en au ditorias a
sistemas que se encuentran en explotación. Para muchos, esta es la auditoría a siste-
mas de computación por antonomasia, por lo que se le dedicará mucha atención,
enfatizando aplicaciones contables y financieras de amplia difusión, con soluciones
concretas a problemas muy comunes que pueden presentarse. Así, dará respuesta a
cómo acometer auditorías financieras o temáticas (a inventarios, a activos fijos, al
personal, etc.) en condiciones de una gran informatización.
9
Para realizar este trabajo, se adoptará el enfoque más aceptado en el mundo
actual: en la atención a los controles, riesgos y causas de riesgos para realizar una
auditoría preventiva, más que correctiva. Se profundizará en los controles internos a
aplicar en entidades que utilicen sistemas informáticos para automatizar sus princi-
pales funciones de dirección.
Como unacomplemento,
informática, la seguridad yseprotección
abordará de
también la auditoría
los recursos a la propia
informativos, a losfunción
métodos
concretos de solución de problemas, a la elaboración y aplicación de planes de
contingencia contra catástrofes y situaciones indeseables.
Por su actualidad e importancia, se abordará detalladamente el tema sobre los
virus informáticos o programas malignos, haciendo una descripción de los principa-
les tipos, las acciones que realizan, y las medidas de protección, desinfección y recu-
peración a tomar en caso de su actuación. Se analizan otras amenazas que sufren los
sistemas i nformáticos en la a ctualidad.
Se incluye un capítulo destinado a la auditoría de la información y el conoci-
miento, por su actualidad y vigencia, e incluirá también una propuesta de auditoría
a sitios WEB, aspecto cada vez más necesario en el trabajo del auditor.
En los aspectos más perspectivos, se incluirá el análisis de la inteligencia artifi-
cial y su aplicación a la auditor ía; pero además, el uso de otras técnicas relativamen-
te novedosas, como los hipertextos e hipermedias, así como otras de desarrollo re-
ciente.
La auditor ía contemporánea y l os métodos y procedimientos de protección y segu-
ridad de los recursos informativos, están en plena ebullición. Auditores e investiga-
dores en to do el mundo dedican sus esfuerzos a estos aspectos, por lo que hay mucho
cambio, mucha evolución. Sin embargo, la actualidad de este libro le augura varios
años de utilidad práctica, de vigencia. Su ciclo de vida puede extenderse mucho
tiempo.
L ÁZARO J. BLANCO ENCINOSA

La Habana, diciembre de 2007
10
INTRODUCCIÓN
En este capítulo se abordarán los problemas terminológicos y de enfo-
que. Esto resulta importante porque no existe un consenso universal sobre
la auditoría contemporánea en los ambientes informáticos. El problema
pudiese ser intrascendente, sino se relacionara con la actividad profesional
del auditor: unos auditores piensan que la auditoría en ambientes de siste-
mas computarizados les concierne y otros no; es por ello que se expon drán
opiniones de instituciones y personalidades de la auditoría y también, lógi-
camente, el punto de vista del autor.
También en la segunda sección del capítulo, se realizará un breve reco-
rrido histórico, haciendo énfasis en los últimos cincuenta años, donde la
auditoría se ha adaptado a la informática y su cambiante mundo.
DEFINICIONES B ÁSIC AS
El mundo de la auditoría no ha conseguido ponerse de acuerdo sobre
la denominación que debe recibir la aplicación de ésta a los sistemas
computarizados o informáticos. Esa indefinición ha llevado a confusio-
nes entre los especialistas y los que no lo son. Por ejemplo, la auditoría
de gestión financiera que se realiza p or un auditor interno a los sistemas de
inventarios de una empresa, los cuales se encuentran informatizados
¿cómo d ebe denomi narse? Alguno s opinan q ue esa pu ede ser catalogada
11
com o “Auditoría inform ática”; otros o pinan que no, q ue ese término debe
reservarse a aquellas auditorías que se le hacen a la función informática
exclusivamente.
El problema no es sólo terminológico. Estos problemas se agravan al
traducir de un idioma a otro los diferentes términos. Muchos auditores
sostienen todavía elenpunto
no debe incluirse de vista
su campo de que
profesi onalauditar sistemas
de acción, sinoinformatizados
que corres pon-
de a un personal más especializado en la informática. Esos profesionales
se autodenominan “auditores” y consideran a aquellos como un tipo más
especializado, los “auditores informáticos”.
Otros auditores consideran que la Informática es un conjunto de me-
dios para procesar información mediante computadoras, y por tanto, los
sistemas computarizados se comprenden con su rango profesional de ac-
ción. Estos auditores, sin negar la existencia y la necesidad en ciertas oca-
siones, de pe rsonal más especializado, enfren tan la realización de auditorías
en instituciones que utilizan computadoras, y cuentan con los conocimien-
tos y las habilidades necesarias para esto.
Por ello, comenzaremos con las definiciones básicas, primigenias, de
la auditoría y las compararemos con las definiciones que se le atribuyen
una vez que se encuentra en un entorno informático.
El Comité Internacional de Prácticas de Auditoría, institución res-
ponsabilizada con las normas y estándares de esta actividad, en el docu-
mento 110, “Glosario de Términos”, expresa:
Auditoría: El objetivo de una auditoría de estados financieros

es hacer posible al auditor el expresar una opinión sobre si los
estados de
tancial, financieros
acue rdo están preparados,
a un marco respecto
de refere ncia pdeara
todo lo sus-fi-
reportes
nanciero s identif icado o a o tros criterios. Las f rases usadas para
expresa r la opin ión del audit or son “dar un pun to de vista ver-
dadero y jus to” o “presentar en forma apropiad a, en todos los
aspectos sustanciales”, que son términos equivalentes. 1
La American Accounting Association ha preparado la siguiente defini-

ción de auditoría:
1
Comité Int ernacio nal de Prácticas de Audit oría. Codi ficación de N ormas Internacio nales de
Auditoría (NIAs) y Declaraciones Internacion ales de Auditorí a, pp . 18-19 .
12
La auditoría es un proceso sistemático para obtener y evaluar de
manera objetiva las evidencias relacionadas con informes sobre
actividades económicas y otros acontecimientos relacionados. El
fin del proceso consiste en determinar el grado de corresponden-
cia del contenido informativo con las evidencias que le dieron
srcen, así como
observando determinar
principios si dichospara
establecidos informes se 2han elaborado
el caso.
Un concepto importante es el expuesto por W. B. Meigs, en su obra

Principios de auditoría. Su autor define:
Una auditoría es un examen de los estados financieros de una

compañía, re alizada p or una firma de conta dor es públicos in-
dependientes. La auditoría consiste en una investigación mi-
nuciosa de los r egistros contables y otras pru ebas que apoy an
esos estados financieros. 3
Otra importante organización, el American Institute of Certified Public

Accountant, expresa:
El objetivo del examen ordinario de los estados financieros

por el auditor independiente es la expresión de una opinión
sobre la rectitud con que presentan la situación financiera, los
resultados de las operaciones, y los cambios en la situación
financiera, de conformidad con los principios de contabilidad
generalment e ac eptados. El inform e del audit o r es el medio a
través del cual éste expresa su opinión o, si las circunstancias
4
lo requiere n, de clina hacerlo.
Un excelente diccionario económico ofrece la siguiente definición de
“auditoría”:
El requerimiento legal para una corporación de tener sus ba-

lances y sus estad os finan cieros y un sistema de contabilidad
2
“Report of the Committee on Basi s Concepts”,en Aud itorí a, p.5.
3
W.B. Meigs: Pri ncipi os de aud it orí a , p. 24.
4
American Inst itut e of Certifi ed Publi c Accoun t. Declaració n sobre n ormas de Auditorí aNo. 1 ,
AICPA, en W. B. Meig s: ob. cit., p. 24.
13
y registro exami nados po r un audit or calificad o, capaz de emi-
tir una opinión que se formará por la certeza de que dichos
estados representan la real condición financiera de la mencio-
nada corporación y de que estos cumplimentan sus estatutos
más relevantes. 5
En esas definiciones se destacan los siguientes aspectos:
• La auditoría com o proceso sistemático de obtención de evidencias

sobre hechos eco nómicos que s e encuentra n reflejados en informes
y estados financieros.
• La auditoría como un nec esario conj unto de proc ed imientos y mé to-
dos lógicos y organizados de la mejor manera posible, y que debe
seguir el auditor para recopilar la información.
• La existencia de es tándares y normas a seguir por el audi tor.
• La necesidad de o btener la evidencia y de eval uar la mis ma de ma-
• nera objetiva. a del auditor, administrativa y legal, pero también

La independenci
mental.
• El auditor debe usar su criterio selectivo para s eleccionar la eviden-
cia apropiada.
• Las definiciones perm iten que se considere cualquier tipo de informe
econó mico-finan ciero, incluyend o fun damentalmen te, los estados fi-
nancieros, las declaraciones de impuestos, los contratos, los informes
de funcionamiento, los estudios de factibilidad, etc.
• El auditor debe det erminar el gr ado de corr esponden cia entre los
que ocurrió e n rea lidad y lo reflejado en los inform es; y asegurarlo a
• los usuarios
La comp de ión
robac los mismos.
de los hechos, la medi ción y la c ompar ación con
lo reflejado en los informes, debe estar acorde a principios meto-
dológicos , que garanticen la estandarización de procedimientos y
métodos. Lo normal es que el auditor se base en los “Principios de
contabilidad generalmente aceptados” , pero también debe hacerlo
en leyes, reglamentos, resoluciones, convenios contractuales, ma-
nuales de normas y procedimientos, etc.
Se acepta no rmalmente que las audit orías sean externas o internas . Las
primeras se realizan cuando las organizaciones presentan sus estados fi-
5
C. Pass,y ot ros: The Harper Col lins Dicti onary of Econo mics , p. 23. (Latraducción es del autor.)
14
nancieros a bancos, acreedores, propietarios, probables inversionistas o
agencias del gobierno; y necesitan la certificación de una consultora de
contadores públicos y auditores certificados, y reconocida nacional e
internacionalmente. La segunda se lleva a cabo por auditores de la empresa,
pero independientes de aquellas áreas, o empleados cuyo trabajo revisan.
talesTambién p ueden exi stir auditorías real izadas por age ncias gubern amen-
o internacionales.
Por supuesto, el término “Auditoría” en la actualidad ha pasado a ser patri-
monio de toda una serie de actividades humanas como la medicina, la econo-
mía, el control medioambiental, etc. Ello ha motivado que su esfera de acción
se haya ampliado considerablemente y hoy se hable de “Auditoría médica”,
“Auditoría medioambiental”, “Auditoría de construcción”, “Auditoría a la
información y el conocimiento”, etc. Cada una de las mismas tiene su arsenal
de técnicas, procedimientos y métodos de trabajo; que en cierto sentido se
aparta de las clásicas auditorías del ámbito económico, financiero y de ges-
tión. Ha quedado solamente la esencia del término:“Auditoría”, como sinóni-
mo de revisión, análisis, control, examen, búsqueda, etc.
Acerquemos más nuestras definiciones a la temática que nos interesa,
para encontrar puntos de contacto y diferencias con ésta definiciones clá-
sicas aquí ofrecidas.
El mencionado Comité de Prácticas de Auditoría, cuando emitió su
NIA 15, para establecer la normatividad necesaria sobre el tema, usó el
término “Auditoría en un ambiente de información por computadoras” ; y
expresó que esa era aplicable “cuando está involucrada una computadora
de cualquie r tipo o tamaño en el proces amiento por la en tidad de inform a-
ción financiera de importancia para la auditoría, ya sea que dicha compu-
tadora sea o per ada por la entidad o por una tercera parte”. 6
Echenique y Sánch ez, en una difundida obra, uti lizan el término “Audi-
toría con in formática” y bajo este engloban otros conceptos relaciona-
7
dos, como el de “Auditoría de programas” 8, donde la describe como:
[...] la evaluación de la eficiencia técnica del uso de diversos

recursos (cantidad de memoria) y del tiempo que utilizan los
programas, su seguridad y confiabilidad con el objetivo de op-
timizarlos y evaluar el riesgo que tienen para la organización.
6
Comité In tern acional de Prácticas de Auditorí a, ob . cit., p. 135 .
7
J. A. Echenique: Aud it oría en in formát ica ,p. 9.
8
Ibí dem,p. 1 8.
15
También en la misma obra se habla de “Auditoría de la función informáti-
ca”, 9 yla define como la revisión de los aspectos relacionados con la función
de procesamiento de computarizado de datos en la entidad, abarcando la es-
tructura organizativa del departamento de Informática, la situación de los re-
cursos humanos, los recursos informáticos (hardware y software), la situación
presupuestal y financiera,
jo, los controles, las normas
los estándares y políticas vigentes,
y procedimientos vigentes. los planes de traba-
Se ocupa tam bién de la evaluación de los sistemas ,10 y en ella engloba
la evaluación del análisis, del diseño lógico del sistema, su desarrollo, el
control del pr oyecto, los i nstructivos d e operación, 11 las formas de implan-
tación, el equipo y las facilidades de programación.
Se infiere de las definiciones de esos autores, que enfocan su defini-
ción a lo que se conoce como “ Computer assisted audit.”, o “Audit oría
asistida por computadora” .1 2
Otros autores utilizan términos cercanos, pero no idénticos. Por ejem-
plo, D. H. L i prefie re “Auditor ía en cen tros d e cómputo” , que comprende
la auditoría apli ca da al diseño, d esarrollo y m antenimien to de sistemas; las
operaciones y la tecnología en que se apoyan.
Se han utilizado también los términos “Auditoría de sistemas compu-
tariza dos” ,13 “Auditoría de sistemas con computador”, 14 “Auditoría de
los sistemas electrónicos de procesamiento de la información” ,15 sin dife-
rencias significativas de enfoque.
Zabaro y Martínez, en su obra Audito ría informá tica distinguen dos
términos:
Auditoría Informática: “Conjunto de procedimientos y técni-
cas que permiten en una entidad: evaluar, tot al o parcialmen-
te, el grad o en que se cump len la observancia de los contro les
9
Ibí dem,p. 2 7.
10
Ibídem, pp. 5 1 y s s.
11
El autor ha respetado la terminologí a de todas las fuentes informativas qu eha citado, aunq ue no
si empre estéde acuerdo con el la.
12
Esa posició n teórico- semántica semantiene en versio nes másrecient es de ese t exto . El seño r
Echeniqu eha tenido la i nmensa amabi lidad de facilitar al autor u n borrador act ualizado de este
(México D.F., jun io d e 2000 ), dond e puede aprec iarse esto .
13
Ver, por eje mplo , los pr ocee di ng s del Primer Cong reso Nacio n al de Audi toría de Sis temas
Computarizados, celebrado en Colombia, 1995 .
1 4 Audi tor ía
, ob. cit., pp 372 y ss.
15
W. B. Meigs : ob., ci t., pp. 2 07 y ss.
16
internos asociados al Sistema Informático; determinar el grado de
protección de sus activos y recursos; verificar si sus actividades
se desarrollan eficientemente y de acuerdo con la normativa in-
formática y general existentes en la entidad, y para conseguir la
eficacia exigida en el arco de la organización correspondiente.
Auditoría asistida
auditoría con la informática: utilización de las técnicas de
por computadora.
Hernández Pascual utiliza el término “Auditoría Informática”,16 limitándolo

a la seguridad y protección de los medios informáticos. Nos dice que auditoría
informática es la “comprobación científica y sistemática de los controles sobre
la Política Informática, los medios técnicos y los sistemas informáticos de una
entidad, con el objeto de determinar la exactitud, integridad, eficiencia y cali-
dad de los mismos y eliminar las deficiencias detectadas”.
El autor d e este libro, en u n lejano artíc ulo, dond e p ublicó po r primera
vez sus experiencias sobre la temática, 17 utilizó el término “Auditoría a
sistemas
boga automatizados
en Cuba de dirección”,
en ese momento basándose
–no se utilizaba en corrientes
el término muy en
“informática”,
en su lugar se usaba una traducción del término ruso equivalente: “siste-
mas automatizados de dirección”, por motivos fundamentalmente políti-
cos–, el cual abarcaba tres grandes corrientes de trabajo:
• Auditoría a las aplicaciones informá ticas en explot ación.
• Auditoría a los sistemas informá ticos en proceso de ela boraci ón
• Auditoría a las ár eas de proceso de datos . En esencia, revisión de l a
seguridad y protección de los recursos informativos.
En años más recientes, en otras publicaciones, se reitera esa posición,
aunque
no utilizando el en
de “informática”, término
lugar más comprensible
del citado término en el mundodel
proveniente hispano-lati-
ruso. 18
En otra publicación suya relativamente reciente, 19 emplea también el

término “Auditoría Informática (AI)”, y expresa:
La AI representa un cambio cualitativo total con respecto a la
mal llamada “Auditoría tradicional”. La AI es una actividad
16
E. Hernández Pascual : “Audit oría informática”, revista Vis ión del Audito r ,p. 5.
17
L. Blanco: “La audito ría de los s istemas automatizados: una int roducción a su estudi o”, revista
Econ omía y Desa rro ll o , pp. 21 -45.
18
L. Blanco: Aud itorí ain fo rmát ica p ara el nu evo mil eni o , p. 11.
19
L. Bl anco: “La audi tor ía infor mática en el año 200 0”, en N. Mont es: Siste masconta bles ,
pp. 49 5-496.
17
que cada vez gana más autonomía y personalidad. En realidad,
es un conjunto de métodos y técnicas de trabajo, vinculadas a la
problemática de conservar adecuadamente los recursos infor-
mativos de las entidades y de avalar la autenticidad, corrección
e integridad de las informaciones de estas.
Además, parte de su objeto de trabajo, es la revisión, compro-
bación, examen, estudio y análisis de las informaciones pro-
cesadas por las computadoras en cualquier tipo de entidad;
empleando las técnicas, métodos y artes apropiados, con la
finalidad de exponer los hechos y situaciones económico-fi-
nancieras y de evaluar el estado general de la gestión de di-
chas entidades.
En otra faceta de su actividad, la AI contribuye a mejorar el
diseño de los sistemas informativos, basados o no en compu-
tadoras,
liza a aumentar
dichas la eficiencia
informaciones del aparato
y a garantizar directivoyque
la seguridad uti-
protec-
ción de los recursos informativos de la entidad.
Como se argumentará detalladamente más adelante, la auditoría a través

de la historia ha tenido como uno de sus objetivos fundamentales la protec-
ción de los activo s de las entidades donde se desarro lla (esto es más evidente
en el caso de las auditorías internas, pero se cumple en el caso de las exter-
nas también); y para ello se ha basado en las tecnologías imperantes de
tratamiento de la información. En la actualidad, esas tecnologías son las
informáticas, y la auditoría desarrolla su trabajo utilizando las mismas (lo
que Echenique y otros autores llaman “auditoría con la informática”), pero
también en ámbitos organizacionales totalmente informatizados (como se
expresa en la NIA 15, “auditoría en un ambiente de información por
comp utador as”). El auditor actual vive en u n mund o informatizado, y no se
concibe que esté ajeno a eso. Debe realizar su trabajo en ese ambiente, lo
cual es ya un f enóm eno normal, habitual.
Actualmente el auditor debe realizar auditorías financieras, temáticas,
operacionales e integrales, de gestión, etc. Son tareas que emprende desde
hace mucho tiempo, antes de que surgieran las computadoras y se utiliza-
ran en la gestión económico-financiera de las empresas. Los objetivos de
esas auditorías
realizarse en esencia
sí y también no han cambiado,
las herramientas peroutilizadas
y técnicas el en tornopor
enelque deben
auditor
18
(en la actualidad basadas en la informática). Esto es reconocido por las
autoridades que norman el trabajo del auditor, de ahí la emisión de la ya
mencionada NIA 15, donde se plantea en su acápite 12: “Los objetivos
específicos de auditoría del auditor no cambian ya sea que los datos de
contabilidad se procesen manualmente o por computadora.” 20
de laPero
quetambi én laseauditorí
siempre ocupó: aladebe cump lirdeotra
protección los funció
activosnde–ya
la menci onada–
entidad, de
los cuales la información y el conocimiento son los elementos más valio-
sos, y los distinto s medios utilizados para procesa rlos, y conservarlos. La
forma en que el auditor debe contribuir a su protección es analizando la
seguridad informativa y sugiriendo medidas para reducir o eliminar ries-
gos de daños, malos usos y pérd idas. Hoy en día los re cursos infor mativos
están soportados por la informática, por lo que el auditor debe dedicar aten-
ción también a estos prob lemas. Esto ha sido reconocido por las autoridad es
normativas competentes, y han emitido al respecto la Declaración 1, Docu-
mento 1001, “Entornos PED (Procesamiento Electrónico de Datos)
Microcompu tadoras independient es; y la Declaración 212 , Documento 1002 ,
“Entornos PED-Sistemas de computadoras en línea”; en las cuales se ha-
cen recomendaciones para garantizar la seguridad de los recursos infor-
mativos de la entidad basados en computadoras.
Una tercera función a la que debe dedicarse el auditor es la relacionada
con la adqu isición o la elabor ación de sis temas de procesamiento de la
información (contable, estadísticos, finan cieros, etc.). Tampoco en este caso
han cambiado los objetivos, sólo los medios y el ámbito de trabajo. Al res-
pecto, también se ha pronunciado el Comité Internacional de Prácticas de
Auditoría, con el Addendum 1 a la NIA 6, Documento 1008, “Evaluación
de riesgos y control interno-características y consideraciones de PED”. 22
En otras palabras, es aceptado –y también normado–, que el auditor con-
tempo ráneo debe realizar su trabajo en estos tres aspectos mencionad os.
Entonces, ¿por qué la necesidad de ese “apellido” que todos nos hemos
visto en la necesidad de agregarle al término “aud itoría”, para vincularlo a la
informática?, ¿por qué se ha motivado esa profusión de términos que ha
contribuido a crear cierta confusión en la profesión, haciendo pensar a mu-
chos profesionales que la “auditoría informática es un problema de los
informáticos, no de auditores?”.
20
Comité In tern acional de Prácticas de Auditorí a, ob . cit., p. 13 9.
21
Ibíd em, pp. 326-348.
22
Ibíd em,p. 4 69.
19
Lo que ha creado esa situación es la relativa novedad de las tecnolo-
gías informáticas y su complejidad, unido al desconocimiento que de esas
técnicas han tenido algunas generaciones anteriores de auditores. Pero el
tiempo pasa y ya esa novedad no lo es tanto.
En mu chas co nsultoras de auditoría, al co menzar a difun dirse las comp u-
atadoras en las de
los equipos organizaciones,
auditores, paracontrataron informáticos
complementar y los incorporaron
los conocimientos y habili-
dades de estos. Los auditores “tradicionales” encabezaban los equipos y
dividían el trabajo. Los informáticos se encargaron de la seguridad y pro-
tección de la información y de evaluar el diseño de las aplicaciones en explo-
tación o en proceso de compra o adquisición. Emitían sus informes, donde
expresaban sus criterios acerca del nivel de certeza con que se podían evaluar
los controles de los sistemas informáticos que habían auditado, los riesgos,
etc. Basándose en esos informes, el audito r “tradicio nal”, analizaba los esta-
dos financieros y realizaba el resto del trabajo de auditoría. Muchos todavía
trabajan así, sobre todo en aquellas instituciones que tienen en su equipo de
trabajo
Peroauditores formados
poco a poco en décadas
esa situación haanteriores.
ido cambiando. Las generaciones
más actuales de auditores han dejado de ser “tradicionales”. Conocen los
elementos fundamentales de la informática, dominan paquetes especiali-
zados de auditoría y tienen la cultura bás ica necesaria sob re la segur idad y
protección de los recursos informativos. Pueden realizar auditorías en en-
tidades que cuentan con sistemas computarizados de mediana y baja com-
plejidad sin requer ir de la ayuda complementa ria de per sonal informáti co.
Esa tendencia se acentuará en los próximos años, como es de esperar.
Indudablemente, hay situaciones en que la participación de técnicos
informáticos es imprescindible. En el caso de sistemas computarizados
complejos (por ejemplo, redes con decenas, cientos o miles de máquinas
interconectadas), resulta adecuado añadir al equipo de auditores ese tipo
de personal especializado, algo por demás, previsto. 23 Pero ello no quiere
decir que estemos en presencia de una actividad de objetivos diferentes a
la Auditoría que conocemos desde hace años.
Es sólo cuestión de tiempo. Poco a poco desaparecerán los criterios
que consideran que estamos en presencia de actividades diferentes. Las
auditorías serán cada vez más complejas, pero a la vez más fáciles de en-
frentar, pues los auditores contarán con técnicas y herramientas cada vez
más potentes. A su vez, estos tendrán un arsenal mucho más amplio y
23
Ibídem, pp. 2 25 y s s.
20
prof undo de conocimient os y habilida des. L os e xpert os auxi liares i n ter-
vendrán cada vez más sólo en aspectos muy puntuales, de mucha com-
plejidad.
Hay otra razón para garantizar que el futuro más o menos inmediato
será similar al descrito en el párrafo anterior: el factor económico. Imagi-
nemos una auditoría
mas contables externa soportados
y financieros a una pequeña empresa,
en una con todos sus¿Ha-
microcomputadora. siste-
bría que formar un equipo con dos o más tipos de especialistas para hacer
la auditoría en dicha empresa? Evidentemente esto sería muy cost oso. Igual-
mente, las auditorías internas requerirían de un personal especializado
informático permanentemente en sus plantillas de cargo, para complemen-
tar a unos supuestos “auditores tradicionales”, lo que indudablemente re-
dundaría en costos mucho más altos. Se impone, pues, un auditor más
completo e integral, con una formación en auditoría propiamente dicha,
pero también con una sólida base en informática.
Se puede concluir entonces que la auditoría actual se realiza con y so-
bre la informática.
hablar Hablar
de una auditoría de una “auditoría
anticuada. tradicional”
La llamada auditoría es, sencillamente,
informática, es la
que se realiza a la función informática de las entidades, y no será objeto de
un análisis muy profundo en este libro, dirigido fundamentalmente a los
auditores del área financiera, contable, económica y de gestión.
BR EVE RE SEÑA HISTÓ RICA DE LA AUDITOR ÍA

El surgimiento de la Auditoría se remonta a los albores de la humani-
dad. Es de s upon er que en su etapa prehis tórica, cuand o el ser humano se
vio obligado a inventar y desarrollar el comercio, 24 entendió la necesidad
de la auditoría y comenzó a desarrollarla y a aplicarla. “Desde el mismo
momento en que existió el comercio, se llevaron a cabo auditorías de al-
gún tipo”. 25
Las técnicas preliterarias de la auditoría definieron p ara siempre su nom -
bre: el auditor era llamado así porque “escuchaba” los informes de aque-
llos que debían reportar el resultado de su actividad económica o comer-
cial. Desde entonces, la tecnología dominante para el procesamiento de la
información, definió el carácter y la naturaleza de la actividad.
24
H. E. Barnes: His to ri a de la econo mía del mund o occid ent al , UTEHA, México, 1995, p. 4.
25
Aud it or ía , ob. cit., p. 13.
21
Hasta el momento, los documentos más antiguos que se conocen fue-
ron descubiert os en los años 3000 -2800 a.C. cerca del a ntiguo est uario del
Eufrates. Puede afirmarse que representaban el soporte físico de un siste-
ma de control económico: se tratan de libros de cuentas y de inventarios
redactados en escritura cuneiforme arcadiana en tabletas de arcilla. En esa
época tambiénenapare
bién apareció ció en
Eg ipto Egipto lajeroglífica.
la escritura escritura jerog lífica
En es . Por entonces
e Estado, tam-
f uertemente
centralizado alrededor de la figura del Faraón, los auditores fueron alta-
mente respetados y útiles, puesto que ayudaban al señor a controlar todos
sus activos. 2 6
Pero es de s upon er que el verdadero impulso a la aud itoría moderna lo
dio el Renacimiento, con el auge del comercio, el desarrollo de la Contabi-
lidad, prima hermana de la Auditoría, y el auge del capital financiero y de
préstamo. En ob ra ya citada, 27 se sugiere que “las primeras auditorías fue-
ron revisiones meticulosas y detalladas de los registros establecidos para
determinar si cada operación había sido asentada en la cuenta apropiada y
por el importe
era detecta correcto.
r desfal cos yEldeterminar
propósito principal de estasenprimeras
si l as personas auditorías
posiciones de con-
fianza estaban actuando e informando de manera responsable”. Los ban-
queros desde época temprana, al analizar los balances de los solicitantes
de préstamos, “exigían que un auditor independiente rectificara la exacti-
tud de dichos balances generales”. 28
El siguiente paso de desarrollo de la Auditoría fue el que se produjo
con la Revolución Industrial, cuando el alcance y la complejidad de los
negocios , de la pr oducción y del comerci o se ampli aro n considerabl emen-
te. Surge la contabilidad industrial, y con ella la necesidad de conocer y
controlar los costos. El auditor se vio obligado a desarrollar nuevas artes,
métodos y habil ida des. Su papel ca mbió, agregando a l a búsqueda de des -
falcos y de certificar la exactitud de un balance general, a la revisión del
sistema de información y comprobación de las evidencias a fin de poder
emitir una opinión correcta sobre los estados financieros. 29
Otro factor que incidió en el desarrollo de la auditoría fue la atomiza-
ción de la propiedad, al surgir las sociedades por acciones, y separarse la
26
Al resp ecto , puede con sultarse la novela hist órica Faraón, del autor polaco Boleslaw Prus, en la
que se muestra un excelente ejemplo literario de cómo actu aban lo s audito res en ese ent onces.
27
Audi tor ía , ob. cit ., p. 13.
28
Ibí dem,p. 1 4.
29
Ibídem.
22
prop iedad d e las co rporaciones de s u gestión y d irecció n. Ello ha o bligado
a los auditores a enfocar su trabajo al análisis de la actividad de dirección
y control de las entidades.
Desde el pu nto d e vista de la evolución d e las tecnolo gías de trat amien-
to de la informaci ó n, la evoluci ón d e la auditoría ha s eguido u na trayect o-
ria perfectamente
guiente identificada.
paso fue dado Desde ladeetapa
por el desarrollo oral yaymencionada,
la escritura los soportes el
de si-
la
información de manipulación práctica, como el papel. Es sabido que los
chinos inventaron el papel y la imprenta (ya en el año 98 d.C. puede ase-
gurarse de la existencia del papel en China, y de donde pasa a Japón,
Corea, llegando al mundo islámico en 750. Asimismo, en 868 ya se impri-
mían libros en China, y como prueba de tal aseveración, es la existencia
del Sutra del Diamante, versión china de un texto budista sánscrito).
En la Edad Media ya se utilizaban los libros encuadernados y cosidos
tal y como los conocemos hoy en día, pero no es hasta el Renacimiento,
con la invención de la imprenta de tipos móvile s por Gu tenberg, dond e los
mismos se hicieron
bilidad los prácticos
acogió, así como ely de un costo
método relativamentepor
de contabilidad bajos. La conta-
partida doble,
desarrollado por Paccioli y sus antecesor es. Nació así la audito ría financie-
ra moderna. Esos métodos se utilizaron cientos de años prácticamente sin
cambios, hast a que en 189 0 Herman Hollerith desarrolla una máquina elec-
tromecánica de tabulación para procesar la información del censo de 18 90
de los Estados Unidos.
Los sistemas de tabulación electromecánica fueron profusamente utili-
zados en el mundo para procesar tareas contables, estadísticas y financie-
ras. Los auditores se adaptaron a esa nuev a tecnolog ía y desarrollaron téc-
nicas y métodos adecuados a ellas, para asegurar la veracidad, integridad
y completitud de las informaciones procesadas.
En esa mitad primera del siglo XX se sistematizan rigurosamente los
principios y técnicas de la auditoría. Se escriben textos clásicos que han
servido para que miles de auditores en todos los conf ines de la tierra, estu-
dien y se formen. 30
En 194 4 se desarrolla el primer computador electrónico práctico, y ya en
1950 comienzan a ser utilizadas esas máquinas en tareas de tipo económico
y contable. Como resultado de ello, ya en los tempranos años sesenta se ha
sistematizado un conjunto de prácticas útiles en la auditoría a sistemas
30
Para ampli arinformació n al respecto , pu ede consult ar las obras de A. W. Holmes y A. Kohler
consig nadas enla bibliografía.
23
comp utarizados y se edita una guía para describirlas , destinada a las fuer-
zas armadas de los EE.UU., pero de aplicación en cualquier lugar o enti-
dad. 31 Ya en ella se des cribían métodos t ales como “audit oría alrededo r de
la computadora” (“a udit. around the computer”) y “audit oría a través de la
computadora” (“audit trough the computer”), que se han utilizado hasta
nuestros
nea. días. Es el momento del surgimiento de la auditoría contemporá-
En la tabla 1.1 se puede apreciar un conjunto de hitos importantes so-
bre el desarrollo de la tecnología de procesamiento de la información hasta
el advenimiento de la computadora electrónica y su comercialización.
Tabla 1.1
31
Esa guía en Cubase editó con la siguiente identificación: Autores varios. Guía par a la auditoría
de s istemas automatizados de pr ocesamiento de da tos , Edici ón Revo lucio naria, Instit uto del
Libro, La Habana, 197 2.
24
Tabla 1.1 (continuación)
Fuente: T. H. Athey yR. W. Zmud: Introduction to Computers and Information Systems .

nd
2 Edition.
el autor Scott, Foresman and Co. Glenview, Illinois. 1988. Adaptada y traducida por
, p. A-2.
Los años setenta y ochenta permiten la consolidación del procesamien-

to inform atizado d e la informaci ón en el mundo. La inf ormatización de la
sociedad es un hec ho que se aviz ora, y p rácticamente n o queda en el mu n-
do desarrollado ninguna empresa grande o mediana que no tenga infor-
matizada la información contable financiera que maneja. Los sistemas
computariz ados se han tornado extremadamente comp lejos, res pond iendo
a la necesidad de l os negocios y las actividades que des arrollan las empre-
sas. Las funciones automatizadas se han integrado, creándose bases de
datos que almacenan
utilización todas
por diferentes las informaciones
usuarios. necesarias,
Los sistemas y propician
han crecido: su
de algunas
decenas de programas y unos pocos cientos o miles de instrucciones de
programación, ahora cuentan con cientos o miles de programas y cientos
de miles y hasta millones de instrucciones de programación. En la tabla
1.2 se pueden apre ciar alguno s hitos de l a evoluci ón d e las computadoras
electrónicas y la informática en general. (La tabla muestra una relación
hasta el año 198 6, teniendo en cuenta q ue el desarrollo po sterio r, y hasta el
presente, ha sido vertiginoso, por lo que obliga a interrumpir esta exposi-
ción). Ya no es posible utilizar los métodos simples de auditoría de los
años 50 y 60, y es necesario emplear métodos más complejos, como la
auditoría a las bases de datos, actividad que se realiza muchas veces con soft-
ware especializado, por ejemplo, Idea, del cual se hablará en esta obra más
25
adelante. La auditoría con la computadora se convierte en una realidad in-
dispensable. A finales de los ochenta, surgen las primeras normas interna-
cionales, algunas ya citadas aquí (por ejemplo, la NIA 15).
Tabla 1.2
26
Fuente: T. H. Athey y R. W. Zmud, Introduction to Computers and Information Systems.

2nd Edition. Scott, Foresman and Co. Glenview, Illinois. 1988, pp. A-4 a A-14. Adaptada y
traducida por el autor.
Los años noventa traen la eclosión de Internet y las redes mundiales

de computadoras, 32 que habían comenzado a desarrollarse a finales de
los sesenta. Parejamente con esto, aparece el comercio electrónico, con
nuevas necesidades de certificación y autentificación, y la auditoría se
encuentra ante nuevos retos. 33 Los sistemas informáticos se hacen más
complejos. Por se
tecnología que ejemplo, incorporan elementos
venía desarrollando desde losdeaños
inteligencia artificial,
cincuenta, pero
que sólo en las última s décadas del s iglo XX se util iza en la econom ía y las
finanzas. La auditoría responde incorporando también esas tecnologías a
su quehacer. 3 4
En la actualidad estamos comenzando un siglo que permite avizorar un
desarrollo tecnológico sin precedentes en la historia de la humanidad. La
auditoría será parte de él, y no es una excepción en ese desarrollo. ¿Qué
método s incorp orará ? ¿Qué técnicas utilizará? Es difícil pr edecirlo, pero al
meno s, en este text o, se describirá los métodos, té cnica s y herram ientas de
trabajo utilizados en la actualidad, de forma tal que los lectores queden
con la información necesaria para realizar auditorías en sistemas de con-
trol económico, co ntable y financi ero de cualquier niv el d e comple jidad.
¿Qué nos t raerá el futuro? Es de suponer qu e sigan a centuándose al gu-
nas de las tendenci as mencion adas aquí, como el empleo de las técnicas de
inteligencia artificial y el empleo de software cada vez más completo.
32
Sobre la h ist oria de i nternet c ons ult e la obra de J. R. Levine y C. Baroudi , consig nada en l a
bibliografía.
33
Sobrecomercio electrónico y algunas de susregulaciones, consulte la obrade O.Hance consignada
enla bibl iografía.
34
Sobre inteligencia artificial en laauditoría, consulte la obra de G.J. Sierra y otros, consignada en
la bibliografía.
27
Pero nadie puede predecir como será la actividad de auditoría dentro de
veinte años. Es de suponer que sus objetivos y principios de trabajo sean
aproximadamente como hace veinte siglos, pero sus métodos, herramientas
y técnicas serán totalmente diferentes a la actualidad. La asociación entre
auditoría y tecnologías de tratamiento de la información, que se ha resumido
en las pocas líneas anteriores, se mantendrá en los próximos años.
Caso 1p ar a m edita r
Un auditor joven graduado de la Licenciatura en Contabilidad y Fi-

na nzas se encu entra con uno d e sus profesores, prestigi oso profesional de
la auditoría, Contador Público. Después de los saludos, el profesor le
pregunta a su a ntiguo alumno :
– ¿Y qu é está s haciendo ?
– Estoy trabajando en auditoría, en la consultora A ud itoría Interna-
cional. Esto y ha ciendo un trabajo m uy interesante, emplea ndo software
auditor de última generación –le contesta el joven.
– Entonces te es tás dedicando a la au ditoría informática.
– No profesor, esto y trabajando auditorías temática s de inven tario.
– ¿Con info rmática?
– Sí, con informátic a, para revisar las bases de datos sobre inven tarios,
detectar situaciones anormales y concentrar mis investigaciones en ellas.
El profesor no co ntinuó preguntando, y la conversa ción continuó por
otros rumbos, hasta que se despidieron.
¿Quétienen
sionales le hacedepensar esa situación sobre el enfoque que ambos profe-
su profesión?
Pre gunt as
1. ¿Existe una auditoría tradicional y una audit o ría informá tica?

2. ¿Es la auditoría contemporáne a una evoluci ón lógi ca de la auditoría
a través de los siglos?
3. ¿Resulta imprescin dible utilizar la informática pa ra auditar entida
des que tienen todas sus funciones de dirección informatizadas?
4. Defina las diferencias entre la auditoría informática y la auditoría
con la info rmática.
28
INTRODUCCIÓN
El trabajo de audit oría se reali za sobre la base de un co njun to de p rinci-
pios y estándares de auditoría, que en ocasiones ganan categoría de nor-
mas o reglamentaciones, en otras se lim itan a ser recomenda cio nes técnicas
u organizativas y en otras, principios éticos y profesionales. Las organiza-
ciones que establecen esas normas, emiten esas recomendaciones o esta-
blecen esos princip ios son de carácter variado, y se han creado por acuerdo
de los prop io s auditores para contribui r al desarrollo de la pro fesión. Exis-
ten organizaciones internacion ales, n acio nales o corporati vas .
En este capítulo se analizarán tanto los principios y estándares, como
las organizac iones, con el obje tivo de brindar una pano rámica general del
ambiente normativo de la auditoría. En capítulos posteriores se enfatizará
en aquellos documentos más relacionados con la auditoría en ambientes
de sistemas computarizados.
ORGANIZACIONES PROFESIONALES
DE LA ACTIVIDAD DE AUDITO RÍA
Entre las más importantes organizaciones profesionales internaciona-
les relacionadas con la actividad de auditoría se encuentra la Federación
Internacional de Contadores (IFAC), de quien depende el Comité Inter-
nacional de Prácticas de Auditoría (IAPC), el cual ha sido comisionado
29
permanentemente para facilitar “...el desarrollo y enriquecimiento de una
profesión contable que sea capaz de proporcionar servicios de una consis-
tente alta calidad para el interés público...”, 1 a través del desarrollo y emi-
sión de normas y estándares y declaraciones de auditoría y servicios
relacionados, de tal manera que se contribuya a perfeccionar y uniformar
las prácticas
Las normasde yauditoría en todo
declaraciones el mundo.
emitidas por el IAPC son promovidas entre
los países y organismos miembros, para lograr su aceptación voluntaria.
Un mecanismo para ello es integrar el IAPC por miembros de la IFAC
designados por los países y or ganismos, de manera qu e queden p lasmadas
las opiniones de todos en cada documento emitido. Para lograr un amplio
espectro d e p untos de vista , el IAPC está facultado p ara invitar a sus sesio-
nes de trabajo a profesionales de países que no están representados en la
IFAC.
En su trabajo, el IAPC puede basarse en las normas nacionales de
auditoría y serv icios relacionad os, pub licados en diferentes paí ses. En o tras
ocasiones, el procesolasesnormas
dos para establecer inverso,nacionales.
y los documentos del IAPC son utiliza-
El procedimiento de trabajo del IAPC comienza cuando se seleccionan
las materias que serán objeto de estudio por un subcomité establecido ad
ho c para ese propósito. Este estudia el problema en cuestión y redacta un
borrador de la norma o declaración. Para ello se basa en distintas fuentes,
como normas nacionales, literatura técnica, otros documentos del IAPC,
experiencias profesionales, etc. El borrador o proyecto se distribuye am-
pliamente para ser estudiado por los organismos miembros de IFAC, y a
aquellas organizaciones internacionales que tengan interés en la auditoría,
según sea conveniente. Se concede un tiempo para su estudio y para el
envío de las correspondientes consideraciones y opiniones sobre el pro-
yecto. Estas se analizan por el IAPC, y se revisa y adecua el proyecto
según se estime. Si se aprueba el proyecto, se emite como una Norma
Internacional de Auditoría (NIA) o como una Declaración I nternaciona l
de Auditoría (DIA) , y se vuelve operativa a partir de la fecha que se esta-
blezca.
Es hab itual q ue el texto de las NIA o las DIA se r edacte en idioma inglés,
pero los países miembros pueden preparar versiones en otros idiomas.
El IAPC apoya y ayuda a los países miembros a adoptar las NIA y las
DIA como normas nacionales.
1
Comité In tern acional d e Prácticas de Audito ría, ob. cit ., p. 10.
30
Dentro de cada país, existen diferentes organizaciones profesionales y
oficiales de contadores y auditores que tienen como misión normar y re-
glamentar la actividad dentro de sus fronteras. Pueden tomar como base
para ello las NIA y las DIA, su propia experiencia y principios de la tradi-
ción contable y de auditoría de su nación, los criterios profesionales de sus
especialistas,
Algunas deentre
estasotros.
organizaciones tienen una gran influencia fuera de las
fronteras del país don de actúan. Tal es el caso de la American A ccoun ting
Association (AAA) , el American Institute of Certified Publi c Accountants
(AICPA) y el Institute of In ternal Au ditors (IIA) , todo s de EE. UU.; los cua-
les, debido a la ex periencia y nivel técnico de s us miembros, emiten docu-
mentos normativos y técnicos que generalmente son considerados como
fuen te de inspiraci ón para la I FAC y el IAPC. Por ejemp lo, el AICPA emite
los Statements on Audit ing Stand ars (SAS) , donde establecen las normas y
pro cedimientos de trabajo a seguir en la p ráctica de la a uditoría en EE.UU.,
pero que también s on considerados c omo fuente de traba jo en el IFAC y el
IAPCEl ysiguiente
en otras nivel
organizaciones nacionales
de definición de muchos
de las normas países.
y procedimientos de
auditoría se establece dentro de la propia corporación o empresa, donde
normalmente se elaboran e implantan manuales de normas, políticas, in-
formación, organización y procedimientos donde se describen las activi-
dades a realizar por los propios auditores (generalmente internos), para
llevar a cabo las auditorías en la entidad. Por supuesto, estos «estándares
de empresa» se diseñan en correspondencia con las normas y declaracio-
nes nacionales e internacionales de auditoría.
Con este sistema jerarquizado de organizaciones, se establece el per-
feccionamiento y estandarización constante de la actividad de auditoría. Y
es lógico que sea a sí. El mun do se encuentra en un pro ce so de globalizaci ón
muy acentuado. En todos los países actúan empresas transnacionales y
multinacionales, con sistemas de contabilidad definidos por sus casas ma-
trices, las cuales no siempre radican en el país donde accionan. Esos siste-
mas contables tienen que vincularse a los sistemas nacionales, y no sería
correcto que tuviesen enfoques muy diferentes. En otros casos, organis-
mos privados (como los bancos) nacionales e internacionales; conceden
créditos a instituciones y países para la realización de determinados pro-
yectos, pero exigen controlarlos para evitar el uso inadecuado de los re-
cursos financieros que están facilitando . Consecuentemente, exigen también
que se utilicen sistemas y métodos de control contable en esos países y
organizaciones que se adecuen a sus propios sistemas y métodos.
31
Otra razón que con tribuye a es a conver gencia, es el uso de igual li tera-
tura. Prácticamente, con la acción de empresas editoriales transnacionales,
presentes en la mayoría de los países, los profesionales de la contabilidad
y la auditoría estudian y se forman por los mismos textos. Esa situación
presenta aristas favorables, pero desfavorables también, pues pudiera lle-
var al empo
aspectos brecimi ento
interesantes de de la teoría contable,
la experiencia o al meno
de algunos s, a n o considerar
profesionales que no
tengan acceso a publicar sus estudios en grandes editoriales.
Pero felizmente, no parece estar ocurriendo esa situación. La actividad
contable y la de auditoría se desarrollan y perfeccionan constantemente, y
responden adecuadamente a los retos tecnológicos que les impone la épo-
ca. Y en ello no poca contribución tienen las organizaciones que se han
descrito aquí.
DOCUMENTOS NORMATIVOS DE LA AUDITORÍA

Las org anizaciones mencionadas anteriormen te emiten docum entos con
carácter normati vo o de recomendaciones técnicas, que contribuyen a que
los profesionales de la auditoría desarrollen su trabajo sobre bases unifor-
mes y técnicamente correctas y avanzadas. Estos docum entos pued en adop -
tar la forma de normas internacionales o nacionales, de declaraciones o
recomendaciones técnicas o de manuales de empresas o corporaciones.
Todos se convierten en herramientas de trabajo para el auditor.
En esta sección se analizarán solamente las normas y declaraciones
que tienen carácter internacional.
El documento más importante que emite la IFAC a través del IAPC es
la Norma Internacion al de Auditoría (NIA). Las NIAs se emiten con el fin
de que sean aplicadas en la auditorías de los estados financieros, y con la
adaptación necesaria, a las auditorías de otra información y de servicios
relacionados.
Las NIAs contienen los principios básicos y los procedimientos esencia-
les, unido a lineamientos relativos en forma de materiales explicativos y de
algún otro tipo. Se aplican a asuntos sustanciales y tanto al sector privado
como al público, especificándose las peculiaridades de cada uno cuando sea
necesario.
Las NIAs son normas, pero su aplicación depende en muchos casos del
criterio del auditor durante la ejecución de su trabajo, para lograr el objeti-
32
vo de la audit or ía que reali za. 2 El auditor debe est ar prep arado p ara justifi-
car el apartarse de la NIA. Igualmente, las NIAs no prevalecen sobre nor-
mas de los países particulares.
En mu chos casos las NIAs se comp lementan con las llamadas Declara-
ciones Internacionales de Auditoría (DIA). Las DIAs son documentos téc-
nicos que se emiten

instrumentación para
de las proporcionar
normas apoyo práctico
y para promover a los adecuada
la práctica auditores de
en la
la
profesión.
En la tabla 2.1 se ofrece un listado de las NIAs y las DIAs establecidas
hasta años recientes. 3
Tabla 2.1
2
3 Ibí
No dem,
se hap.relacio
1 1. nado la DIA sobre l a actuación del audit or con relación al error d el año 20 00
(Y2K), por no estarin clui da en el documento fuente consultado.
33
Fuente: Instituto Mexicano de Contadores Públicos. Codificación de Normas Interna-

cionales de Auditoría (NIAs) y Declaraciones Internacionales de Auditoría (DIAs), Méxi-
co D.F. 1995, pp. 5-8.
Las NIAs, DIAs y otros documentos internacionales, nacionales y em-
presariales son las herramientas de trabajo con que cuenta el auditor. No se
concibe un profesion al q ue no do mine su contenido con suficiente soltura
como para permitir su aplicación sistemática.
En Cuba la instituc ión que rige la auditoría es el Mini sterio de Auditoría
y Control (MAC), creado por el decreto-ley 219 del Consejo de Estado,
34
heredero directo de la antigua Oficina Nacional de Auditoría (ONA). Entre
las regulaciones legales más importantes que norman la actividad de
auditoría, se encuentra el Decreto-Ley 159 “De la auditoría” y su legisla-
ción complementaria, donde se exponen las definiciones básicas para el
trabajo auditor.
Prácticamente
mentos en interna
de auditoría todos los
queministerios existen direcciones
se responsabilizan o departa-
por la realización de
auditorías de variado tipo en sus áreas de competencia. También existen
en muchas empresas grandes y medianas, así como en los gobiernos pro-
vinciales y municipales. A ello se unen consultoras independientes, como
Interaudit, Conas y otras, que fungen como auditores externos cuando son
requeridos sus servicios.
Todas esas instituciones conforman el sistema de la auditoría en Cuba.
Preguntas
1. ¿Cuáles son las institucion es internaci ona les más infl uyen tes en el
trabajo de auditoría?
2. ¿Qué instru mentos se utilizan p ar a apoyar técnic amente el t rabajo
de auditoría?
3. ¿Las NIA son d e obliga torio cumplimiento en cada país ?
4. ¿Existen norma s de audit oría de apli cació n en empre sas?
Pr ob lem a de investigación 1
Investigue en los documentos legales cubanos más importantes, como
el Decreto-Ley 219, los tipos de auditoría que se practican en Cuba.
35
INTRODUCCIÓN
En este capítulo se analizará la figura del auditor contemporáneo, cu-
yas funciones se han venido delineando a través de los siglos de práctica
profesional en diferentes países. En las últimas décadas, la irrupción en los
negocios de la info rmática, crea un n uevo entorno de t r abajo, d iferente al
que existía hace 50 años, por la forma en que se procesa y almacena la
informaci ón conta ble y financie ra.
Se propondrán sus funciones, se definirán los conocimientos y habili-
dades necesarias, se expondrán posibles vías de formación. Además, se
dedicará n alguno s párrafos al reconocimient o internacio nal de dicho pro-
fesional.
El objetivo del capítulo será propiciar la formación y actualización de lo s
auditores, de forma tal que puedan d esenvo lverse en el ambiente informático,
que caracteriza la actividad contable-financiera en la actualidad.
FUNCIONES A DESARROLLAR
El reconocimiento de las responsabilidades y funciones de los conta-
dores públicos y los auditores frente a sus clientes y al resto del público,
motivó la creación en Inglaterra y Es cocia, h ace más de un siglo y medio,
36
de Institutos de Contadores Públicos (Institutes of Chartered Accountants). 1
Ello significó un paso importante para la continua organización, perfeccio-
namiento y estructuración d e una pr ofesión que cambia y se adapta por y a
las condiciones que le imponen el medio y el desarrollo social y científico-
técnico.
Es histórico
precisar que se han
si las personas querealizado
ocupabanauditorías a lo puestos,
específicos largo de los siglos
o que para
realiza-
ban determinadas operaciones, actuaban de un modo honesto, legal, ade-
cuado.
Antes de 1900, la auditoría se ocupaba fundamentalmente de identifi-
car y revelar fraudes. Posteriormente, con el desarrollo de la industria y el
comercio, se enfatizó más en definir si los estados financieros presentaban
una imagen co rrecta de la situación de la empresa. 2 Era una é p oca en que
el auditor d ebía po seer gr andes conocimie ntos de c ontab ilidad, sobre todo,
además de los métodos y técnicas propias de su actividad.
Poco a poco se ampliaron los objetivos y conceptos que guiaban a las
auditorías. El desarrollo
público, hizo de empresas
que los posibles que ofrecían
inversionistas sus valores
requirieran de venta
de mayor al
infor-
mación, para fundamentar su inversión; y además, estos exigieron que esa
información estuviera avalada por terceras partes, caracterizadas por su
competencia, su independencia, su objetividad, su integridad y por una
ética rigurosa. Lo anterior propició que los auditores ampliaran su campo
de acción hacia lo s procedimie ntos de control interno, de manera que pu-
dieran garantizar niveles de certeza adecuados a la información que anali-
zaban. El lo, por s upuesto requirió que aumentara n el conjunto de conoci-
mientos y habilidades que necesitaban, pues debieron de incursionar en el
campo de la gestión, el control y la organización del trabajo administrativo.
Progres ivament e, e l auditor se vio obligado a adquir ir nuevos conoci-
mientos que propiciaran adaptar su trabajo a las nuevas condiciones que
encontraba. Por ejemplo, si en las empresas relativamente pequeñas y con
sistemas contables de innegable simplicidad que caracterizaban la activi-
dad económica en los siglos anteriores, podía realizar investigaciones ex-
haustivas; en las grandes empresas con un control contable cada vez más
complejo, que se desarrollaron en el siglo XX, se vio obligado a incorpo-
rar técnicas de muestreo, transformando el proceso de auditoría en una apli-
cación de pruebas selectivas de las transacciones, a los efectos de poder
1
W. Meigs : ob. cit., p. 2 3.
2
Ibí dem,p. 2 7.
37
realizar su trabajo, sin perder la certeza razonable de que las transacciones
analizadas eran representativas de la población total.
Otro elemento que obligó al auditor a adquirir nuevas responsabilida-
des fue la utilización de equipos electromecánicos de tabulación de dife-
rentes características, que dio una nueva tónica a los procesos de control
interno
cesada. par
Elloa garant izarestudiar
requirió la integridad y con fiabilidad
profundamente d e la inform
las técnicas ación pro -
de elaboración
de sistemas de información.
Pero también surgieron nuevas necesidades de auditoría, por ejemplo,
la auditoría llamada administrativa, de gestión, funcional o de operacio-
nes, orientada a determinar el cumplimiento de los objetivos y metas por
parte de las administraciones de las organizaciones, a evaluar la forma en
que utilizaban las informaciones y los métodos y técnicas que empleaban
para desarrollar su trabajo y lograr sus objetivos. Ello requirió un estudio
profundo por parte del auditor tanto de las características de la organiza-
ción que auditaba, como de la ciencia de la dirección (generalmente este
tipo de auditoría se realiza por auditores internos, pero no es exclusiva de
ellos).
No es de extrañar pues, que con el empleo masivo de la infor mática, en
las organizaciones se produjera otro cambio cualitativo en las formas en que
el auditor debe desarrollar su trabajo. A las funciones anteriores, se ha unido
la necesidad de que el auditor analice los propios sistemas informatizados
para tener la certeza de que la información y todos los recursos tengan la
seguridad y la protección necesarias para permitirle el aval de los estados
financieros y otros informes.
Entonces, sobre esta base se puede exponer las funciones que deberá
realizar un auditor contemporáneo (interno o externo), que se vea en la
necesidad de trabajar en un entorno de informatización, para evaluar in-
formes de tipo económico-financiero.
En entidades con sus principales funciones económico-financieras
informatizadas, el auditor deberá hacer revisiones al efectivo disponible
(caja); a los valores y otras inversiones, a las cuentas, los documentos por
cobrar y las transacciones de ventas en general; a los inventarios de mate-
rias primas, materiales y otros artículos almacenados, así como al costo de
la mercancía vendida y los servicios prestados; a los activos fijos o
inmovilizados, como los bienes raíces, la planta y los equipos; a los acti-
vos fijos intangibles, como licencias, patentes, marcas y otros; a las cuen-
tas por pagar y otros pasivos; a las deudas con pago de intereses y gastos
por tal concepto; al capital contable; a los rendimientos y gastos; a los
informes financieros, como Balance General o de Situación, Estado de
38
Pérdidas y Ganancias o de Resultado, Estado de Origen y Aplicación de
Fondos, etc.; a los sistemas de control interno existentes; a los manuales
de organización, normas y procedimientos; etc.
Para reali zar su función, el audit or deberá hac er primero u na Investiga-
ción preliminar, donde estudie primariamente las características generales
de la entidad
nanciera, y su donde
si stemadesarrollará
de co ntrol su trabajo,Con
interno. su los
condición
crite r ioseconómico-fi-
que gane en esa
investigación prelim inar, realizará la Planificación d e la aud itoría , donde
planeará y organizará con sumo cuidado la actividad a realizar, los méto-
dos de auditoría a emplear, las pru ebas de cump limiento y contro l a aplicar
y si es procedente, la discutirá con los directivos de la empresa y organiza-
rá los equipos de trabajo requeridos. Seguidamente pasará a la Realización
de la auditoría , donde ejecutará las tareas planificadas, procurando en-
contrar las evidencias necesarias que le permitirán formar un criterio sus-
tentado con una certeza razonable, sobre las funciones y la información
analizada. Deberá utilizar las artes, los métodos, las técnicas y herramientas
necesarias;
búsqueda entales
basescomo entrevistas,
de datos, empleoobservaciones, análisis
de datos de prueba, usodededocumentos,
software de
auditoría de carácter variado, análisis de programas y procedimientos, etc.
En la etapa siguiente, Elabo ración del informe, o también Conclusión de
la a uditoría , el auditor r esu mirá la infor mación captada, r ealizando su eva-
luación de los aspectos analizados, y emitiendo sus recomendaciones. Ese
infor me se discute con la dirección de la entidad au ditad a y con sus niveles
superiores, sean accionistas u otra entidad.
Durante la realización de la auditoría, el auditor inevitablemente debe-
rá analizar las causas de riesgos , los riesgos y los controles ejercidos sobre
el sistema informativo de la entidad o la función que se está auditando. El
objetivo será determinar el n ivel de seguridad y protección que tienen los
activos infor mativo s de la empresa, y cómo puede influir este en la calidad
de la info rmación u tilizada en los es tados financieros u o tros inform es eco-
nómico-financieros a revisar en la auditoría. Esta tarea puede requerir de
algún especialista en seguridad y protección de la información en ambien-
tes informáticos, pero en una gran parte puede ser realizada por el mismo
auditor financie ro con un entrenamie nto adecuado. P or ejemplo, una s im-
ple observación puede indicar si las computadoras están protegidas contra
robos físicos, o si las palabras de pases o contraseñas tienen una longitud
adecuada para impedir o dificultar el acceso indebido a los equipos o siste-
mas. Tampoco es muy complejo, por poner otro ejemplo, conocer si las
bases de datos de los sistemas están encriptadas o si los equipos tienen
39
protecciones para evitar daños a la información almacenada por interrup-
ción de la energía eléctrica.
Es posible que el auditor (fundamentalmente el interno) deba analizar
si los sistemas informáticos que se encuentran en proceso de diseño o de
compra , satisfacen los requisitos establecidos para ello; por ejemplo, los
objetivos
vos de losde toma superiores,
niveles de decisiones
las ynecesidades
de control, de
loscontrol
requerimientos informati-
interno para lograr,
una vez qu e estén en explotación. Esta tarea no comp romete la inde pend en-
cia del auditor (el autor de este libro, en sus cursos, se ha encontrado con
auditores entre sus alumnos que han planteado esta inquietud, no justificada
por la realid ad), todo lo contrario: le permite conocer d e antem ano el siste-
ma que se va a implantar, y concebir mejor los pro cedim ientos de auditoría
que utilizará. El auditor con una formación fuerte en contabilidad, finan-
zas, dirección de empresa, sistemas y controles, informática, actividad co-
mercial y p roducti va de la empresa, etc; puede ser una contrapart ida muy
útil para diseñ ador es de sistemas (anal istas de sistemas, ingeni eros en soft-
ware, programadores,
la esencia económica, etc.), que noyndirectiva
financiera ecesariamente conocen pro
de la actividad quefundamente
se está
informatizando. Igualmente, comprar o adquirir por otras vías (legales o
ilegales) un software de aplicación que se utilizará para automatizar algu-
na actividad de la empresa, puede ser una decisión muy arriesgada, pues
quizás éste no satisface totalmente los requisitos económicos, financieros,
de toma de decisiones y de control y una vez que esté adquirido y en
proceso de implanta ción, o en exp lotación, puede requer ir de modificac io-
nes que podrían resultar muy costosas. El auditor puede asesorar la empre-
sa que está en vías de adquirir ese software, para evitarle decisiones inco-
rrectas e inversiones no fundamentadas. Por supuesto, no se supone que el
auditor dé opiniones técnicas en el ámbito informático (lenguaje en que se
ha programado o se programará la aplicación, estructura y diseño de las
bases de datos, performance de la aplicación en explotación, etc.); sino de
aquellos aspectos relacionados con la utilización de la información resul-
tante para la toma de decisiones y el control, con la solución de la tarea a
que se destina, con el control interno.
El Informe de Auditoría que realice como resultado de su tr abajo, debe-
rá contener, entre otros aspectos, sus opiniones y sus evaluaciones de los
sistemas informativos (basados en computadoras o procesados manual-
mente) analizados, sus sugerencias para proteger mejor los activos de la
empresa (incluyendo, por supuesto, los activos informativos), y sus crite-
rios sobre el software a desarrollar o a adquirir.
40
Como se ha expuesto en otras secciones de esta obra, no todos los
auditores en activo tienen la comprensión de que deben ejecutar estas ta-
reas al desarrollar una auditoría, debido en parte porque no tienen la for-
mación necesaria en informática. Sin embargo, como se ha expuesto tam-
bién, hay total coincidencia entre autores especializados y organizaciones
profesionales sobre la necesidad
licen estas funciones. 3 y la posibilidad de que los auditores rea-
CONOCIMIE NTOS Y HABI LIDADES NECE SARI AS

Lógicamente, los conocimientos y habilidades que debe poseer un au-
ditor que desarrolla su actividad en el siglo XXI deben ser superiores y
diferentes a los que poseían aquellos cuya labor transcurría a mediados del
siglo XX. En el primer caso los conocimientos de informática desempeñan
un papel cada vez más importante, comparado prácticamente con el de la
contabilidad, las finanzas
presarial, comercial, entreootras.
la legislación relacionada con la actividad em-
A continuación se expondrá un conjunto de aspectos que un auditor
contemporáneo debe dominar para poder realizar las funciones anterior-
mente descritas.
 Infor mática básica:
• Sistemas ope rativo s de las máqui nas ut ilizadas en la entidad que debe
auditar.
Conocimientos generales sobre hardware de las máquinas existentes
en la entidad.
• Programas utilitarios del sistema operat ivo.
• Procesadores de t extos, hojas electrónic as, gestores de bas es de da-
tos, graficadores para exposiciones, etc.
• Conoci mientos básic os genera les sobre l a teoría bá sica de la compu-
tación: arquitectura de las computadoras, estructura y formatos de
los archivos, etc.
• Aspectos culturales genera les sobre informá tica y redes de comuni-
cación basadas en computadoras.
3
Cfr . W. B. Meigs : ob . cit., pp. 2 07-244 ; también Audi to rí a , ob. cit., pp. 37 2-39 5; y Normas
Internacionales de Auditoría y Declaraciones Intenacionales de Auditoría, todos consignadosen la
bibliografía.
41
 Programación de computadoras:
• Técnicas de programac ión básicas ( paradi gmas bás icos: estructurados
y orienta ción a objetos).
• Lenguaj es más conoc idos y utilizados en l a ent idad.
 Bases de datos:
•• Concept
Modelososfund
y deamentales
finiciones en
básicas sobre ad:
la actualid b ases de datos.ori entad os a
relacional,
objetos e hipertextos.
• Características de lo s gestor es de ba ses de d atos em p leados en la
entidad.
• Administración d e bases de datos: funci ones, respons abilidades.
• Protección y seg urida d de la informac ión en las bases de dat os.
 Redes de computadoras:
• Conceptos y definici ones generales.
• Arqui tectur as básicas y sus características.
•• Sistemas
Protecciónoperativos de de
y segur idad redelas informa
empleados
ciónen
e nlalaentidad.
red.
 Tecnología de diseño y elaboración de sistemas:
• Concept o de sistemas de informaci ón y otras defini ciones.
• Diseño de ent radas y salidas de inform ación (sob re papel o sobre
pantalla).
• Diseño de proc eso s automatizados.
• Diseño de p rocedimie ntos manuales.
• Elaboración de manu ales de operación.
• Metodologí a de trabajo utilizada (Paradigma s básicos: estructurados
• uDiseño
orientados a objeto).infor
de controles Normas de trabajo.
máticos.
 Seguridad y protección de la información en ambient es informati zados:
• Segurida d y prot ección fí sica, organiz ativo-a dministrativa, por soft-
ware, por instalación de equipos y dispositivos, por construcción y
remodelación de locales, mediante medidas educativas y culturales,
legales, entre otros.
• Actuación con tra virus informá ticos y o tros ataques.
• Elabor ación de plane s de segur idad y prot ección y de contingencias
ante catástrofes.
42
 Técnicas criptográficas:
• Conceptos básicos: encriptación y desenc riptación.
• Métodos g enerales.
• Software esp ecializado.
 Internet y redes globales de comunicación:
• Internet y su s servicios.
• Navegadore s, p ortales y otros softwares especializados.
 Técnicas de auditoría asistida por computadora:
• Métodos existentes y sus características.
• Software general y específico.
 Comercio electrónico:
• Definicio nes generales. Mod alidades.
• Problemas de seg uridad y protección de la doc umentac ión el ectró-
nica en el ciberespacio.
• Firmas electrónicas.
• Organizaciones nor mativas.
La lista anterior es bastante completa para describir los conocimientos
generales que en la actualidad debe tener un auditor sobre informática. Pero
no es una lista definitiva: las ciencias de la computación y las comunicacio-
nes están en constante desarrollo, por lo que es probable que dentro de un
año haya que añadirle otros elementos. Tampoco todos los conocimientos
expu estos tienen el mismo nivel de impor tancia en todo mom ento, depen de
del ámbito de trabajo en que se desarrolle el auditor. Por ejemplo, los cono-
cimientos sobre comercio electrónico son convenientes, pero no imprescin-
dibles para alguien que no trab aje en un a firma relaciona da (directa o indi-
rectamente) con esa actividad.
Por otra parte, aunque es una lista bastante amplia, debe entenderse que
no se requiere q ue un auditor la domine a la pro fun didad que debiera hacer-
lo un informático, por ejemplo, un ingeniero en software. Un auditor debe
poder trabajar con el sistema operativo de las máquinas de la entidad que
audita, pero no es necesario que conozca sus interioridades organizativas
(estructura del kernel, bibliotecas, etc.). Debe conocer la metodología de
análisis y diseño de sistema que se utiliza, para poder analizar la d ocumenta-
ción de diseño del mismo (p or ejemplo, la simbo logía empleada), pero a un
nivel general, porque no se espera de él que diseñe nada, sino que pueda
entender qué y cómo lo están haciendo los elaboradores.
En otras palabras, los con ocimientos que describe la lista anterior pu eden
obtenerse en muchos cursos de nivel de licenciatura, complementándolos
43
con algu nos cursos de p osgrado. 4 No repres entan un valladar inf ranqueable
para nadie, ni tampoco el auditor que los posea debe considerarse un
“Leonardo Da Vinci” de la auditoría, sino simplemente un profesional
actualizado. Observe el lector que muchos de ellos lo poseen, incluso,
niños que cursan los primeros grados de la escuela secundaria (como el
conocimiento de los sistemas operativos y la capacidad de utilizar
internet).
Por supuesto, esos conocimientos descritos se añaden a los más clási-
cos que se supon e que tenga un auditor, entre los q ue se encuentran:
• Teoría y prác tica con table en alto grado.
• Técnicas y métodos de auditoría en ge neral.
• Técnicas estadísticas, en particular mues treo.
• Finanz as.
• Dirección de e mpresas.
• Tecnologí a produc tiva o de servicios de l as entidad es donde t rabaja.
• Legislación v igente relacionada con su act ividad.
• Elementos de micro y macroeconomí a.
• Elementos de ma rketing.
• Políticas de las entidades que audit a. Programas , p lanes y objet ivos
de trabajo.
• Comu nicación o ral y escrita.
Se añaden a estos conocimientos, las habilidades que se le ha exigido
siempr e a este tipo de pro fesional: cap acidad invest igativa, ten acidad, inte-
ligencia, organización, sistematicidad, etc.
También, por supuesto, debe tener esas características que han definido a
la profesión desde su surgimiento: honestidad, discreción, alto sentido de la
ética,
Unentre otras. que reúna los conocimientos y habilidades aquí descri-
profesional
tos puede enfrentar las funciones esbozadas en el epígrafe anterior.
Se ha reconocido esta combinación de conocimientos y habilidades
para formar l o que internacionalmente se conoce como “Auditores CISA”
(Certified Informa tion Systems Aud itor) o Aud itor Certificado d e Sistemas
4
El aut orofrece cursos to dos lo saños s ob reauditoría en ambient es de sistemas compu tarizados,
dond e en 60 horas aborda muchos de los problemas aquí descritos, ydonde los asistentes egresan
con los conocimient os básicos necesariospara realizarauditorías enentidades que posean sistemas
in formático s de compleji dad pequeña o mediana. Esto s cursos se imparten regu larmente en las
facultad es de Cont abil idad y Finanza s y de Economí a de la Univ ers idad de L a Habana, o
eventual mente en otras u niv ersidades de América Latina y España.
44
de información. Los auditores que deseen lograr la certificación CISA,
deben realizar un exam en elaborado por la EDP Auditors Association (Aso-
ciación de aud itores de Procesamiento electró nico de datos) . Estos exá-
menes presentan gran rigor, pero garantizan un alto nivel técnico en la
profesi ón. Se convo can periódica mente en dif erentes países.
El debe
años, auditor que desee
realizar esas trabajar como
funciones, tal, al menos
y dominar en los próximosantes
los conocimientos veinte
mencionados . Pero sobre todo d eberá ser capaz de apren der, de adecuars e,
de adapt arse a lo ú nico permanent e que tend rá: el cambio.
Caso 2 para m edit ar
Juan, estudiante de Contabilidad y Finanzas qu e ha terminado su pri-

mer año, se encuentra con Raúl, graduado de la misma carrera en el año
2004 , que se desem peña como a uditor interno en una g ran empre sa. Des-
pués
tud: de los salud os y co mentarios habituales, Juan le p lantea un a inquie-
–Sab es, me interesa la auditoría, pero me preocupa q ue en la actuali-
dad hay que conocer mucha informática. A mí no me gusta mucho esa
materia, y tengo miedo de no dar la talla como auditor. ¿Tendría que
pasar cursos de po sgrado de compu tación, ap render pr ogramación y esas
cosas?
–No te preocupe s –le con testa Raú l– los co no cimient os que recibes
aquí son suficientes para empezar; además, el software de auditoría siem-
pre es muy amigable. Lo que sí tienes qu e tener es muy bu ena base conta-
ble y de la pro pia auditor ía.
–Bueno, si es así, pues voy a considerar orientarme en esa actividad.
–Eso sí, te aclaro q ue tend rás que estudiar toda la vi da, p ues tanto la
aud itoría, co mo la informática, están en evolución.
¿Refleja la preocupación de Juan la realidad sobre la relación de la
auditoría con la informática?
Preguntas
1. ¿La auditoría y la informática son actividades a jenas o incomp atibles?

2. ¿Lo s audit ores co ntem porá ne os deben es tudia r programaci ón de
computadoras para realizar su trabajo?
45
3. ¿La asimilación d e nuevos conocimie ntos rel aciona dos con la infor-
mática significa una desviación esencial del trabajo que siempre rea-
lizó el auditor?
4. ¿Debe converti rse el auditor en un experto e n materias tales como
criptografía, por ejemplo, o basta con que conozca que esa técnica
5. existe
En casoy cuándo debe ario,
de ser neces utilizarla?
¿podrí a el audit or apoyarse en un expert o
en informática?
46
INTRODUCCIÓN
El enfoque de la auditoría en ambientes de sistemas informatizados se
dirige más a prevenir fraudes y errores que a detectarlos. Es fácil entender
por qué. Los sistemas de información computarizados se desarrollan para
satisfacer las necesidades informativas de la dirección en los procesos de
toma de decisiones y de control. Las informaciones primarias que esos
sistemas inform áticos pro cesan p ara emitir infor macione s de r esultado p ara
la dirección, pueden ser susceptibles de errores o de acciones fraudulentas
que las modifiquen, afectando de ese modo los resultados que emiten las
computadoras. Para evitar eso s errores o esas po sibles ac cione s fraud u-
lentas, deben inclu irse co ntroles de diferentes categ orí as en d ichos siste-
mas. Si estos funcionaran perfectamente siempre, no habría necesidad de
controles, pero desgraciadamente no es así.
Los riesgos de perder valiosas informaciones que se obtienen en el
proceso de las actividades productivas, de servicios, comerciales, de las
empresas son mayores al utilizar sistemas informáticos, que al procesar
manualmente las informaciones. Los sistemas computarizados deficientes
repetirán sus errores cada vez q ue se u tilicen. Además, un error en la info r-
mación procesada generará un efecto en cascada a través de todos los
programas o que se aplique en el sistema, por lo que el efecto perjudicial
será mayor.
Muchas veces las entidades no prestan atención a las causas de riesgos
de perder info rmación, lo cu al les impide detectar la necesidad d e establecer
47
contro les para elim inar esas causas. Se tor nan v ulnerab les a las situaciones
indeseables que afectan a los recursos informativos. Ante el surgimiento
de una de esas situaciones, la entidad puede perder valiosas informacio-
nes, lo cual se pue de tradu cir en p érdidas cuantiosas , ta nto materiales como
cualitativas.
sus En este capítulo

recursos se estudiarán
informativos, las causas
los riesgos que sondegenerados
riesgos de ver afectados
por estas causas
y los controles que ayudan a reducir o a eliminar dichas causas, y conse-
cuentemente, los riesgos. Se explicarán algunos instrumentos y métodos a
utilizar en estos casos.
CAUSAS DE R IESGO: LA CALIDAD

EN LOS SISTEMAS COMP UTARIZADOS
Las causas de riesgo de afectación de los recursos informativos de las
entidades muchasenveces
nes informáticas se deben
algunas de lasa fases
la calidad
de sudeficiente de lasPor
ciclo de vida. aplicacio-
ello es
necesario qu e el diseño y la elabor ación de los s istemas, así como las posi-
bles adquisiciones de estos, tengan el más alto nivel de calidad posible.
Para alcanzar este objetivo se deben cumplir los siguientes requisitos:
• Seleccionar adecu adamente el pers onal que diseñará o trabaj ará con
las aplicaciones informáticas.
• Entrenarlo ad ecuadamente para la labo r en equipo.
• Escoger la metodo logía de trabajo adecuada para e l diseño del siste-
ma y aplicarla correctamente.
• Escoger la metodo logía ade cuada para la dirección y el control de l
proyecto y utilizarla consecuentemente.
• Establecer rel acione s de trabajo adec uadas, sinceras, de co labora-
ción mutua entre diseñadores o vendedores y usuarios o clientes.
• Realizar un estudio p rofun do de la situación informati va, organizativa,
de dirección y de control de la entidad o la función a automatizar.
Detectar las deficiencias y conocer realmente cuáles son las necesi-
dades informativas del usuario o cliente.
• Diseñar o s eleccionar correc tamente el nuevo si stema, que sa tisfaga
las necesidades ya detectadas, y adecuarlo a los requerimientos y
limitaciones del usuario y su entorno.
• comp
Realizar
robar
coco
nveniente
n los d atos
mentede la
prueba
pro gramación
necesar iosdel
lossistema.
progr amP as,
robtanto
ar o
48
individual como integradamente, para detectar cualquier situación
indeseable.
• Elaborar corre ctamente la d ocument ación técnica del proyect o y man-
tenerla actualizada.
• Elaborar correc tamente la document ación de utilización del sistema,
sea electrónica
tradicional (hipertextos
(manuales de ayuda,
de usuario sobremanuales electrónicos,
papel), de manera queetc.)
noo
contenga errores, resulte clara y completa y sea agradable y fácil de
consultar.
• Impla ntar corre ctamente el sistema, y capacitar a lo s usuarios. Esta-
blecer las condiciones requeridas, de tipo informativo, organizativo,
material, físicas, legales, etc.
• Realizar la prueb a del sistema en s u funci onami en to normal (prueba
“beta”, en “vivo” o “en caliente”).
• Instalar equipos inform áticos más conf iables.
• Cumplir con los plazos acorda dos co n el usu ario o cliente.
• Modificar y adapt ar el sistema a los cambios necesari os a través de
su vida útil, con un mínimo de gastos.
• Hacer corres ponde r el niv el tecnológico a ctual, tanto con el s oft-
ware como con e l h ardware, y con los criter ios de dis eño.
• Velar por q ue el costo resulte razonable y se corre sponda a lo acor-
dado por las partes.
• Diseñar conveni entemente los pr ocedimientos manua les de capta-
ción y transmisión de información desde el lugar de la generación
del dato primario, hasta su alimentación a las computadoras, para
evitar pérdidas de información, errores o captaciones y transmisio-
nes no aprobadas
• Conserv pormaciones
ar las infor los empleados responsables.
almacenada s en l as bases de dat os y
utilizarlas cuando sea necesario.
• Diseñar e implantar c on éxito los procedi mientos a decua dos de pro-
tección y seguridad de la información: sólo las personas autorizadas
accederán al sistema y sus diferentes elementos.
• Crear proc edimi entos de conservaci ón d e los r ecursos infor m ati-
vos para ser utilizados en casos de emergencias, tales como catás-
trofes naturales o artificiales, acciones dolosas o irresponsables,
erro res, e tc.
• Crear proced imientos racionales y seguro s de corrección d e errores.
La calidad de las aplicaciones individuales se combina con la calidad
de la utilización de todas las aplicaciones en forma integral, para poder
49
evaluar la de la informatización de la entidad; por lo que a los requisitos
anteriores hay que a ñadir, entre ot ros:
• Procedimientos adecuados de acceso a las áreas de p roceso de datos.
• Procedimientos adecua dos de conservación física de equipos, pro-
gramas y archivos de información, en condiciones correctas de tem-
peratura, humedad, ambientación, entre otros.
• Procedimientos co nvenie ntes de evitación de robos , pérdi das, etc.
• Política corre cta de seguros contra los princ ipales riesgos de pérdi da
o destrucción de los recursos informativos.
• Política adecuada de selección, formación, actualización y ro tación del
personal responsabilizado con el procesamiento de la información.
• Procedimientos ef icaces y actualizados de prote cción y act uación en
caso de ataques d e virus u otros prog ramas malign os y de hackers o
crackers.
• Procedimientos ad ecuados de recupera ción de la in formaci ón en caso
de pérdid a o daño.
• correctos,
Política correct a contra
pararrayos, des astres:
equipos existencia deeléctrica
de alimentación ex tintores, desagües
ininterrum-
pida, y otros.
• Política adecuada de establecimiento y ca mbio de contras eñas y pa-
labras de pase.
• Política a decu ada de so licitud d e modi ficaciones y cambios a las
aplicaciones.
• Política adecuada de adquis ición de medi os de alm acenamiento (dis-
cos, cintas), impresión (papel) y captación (formularios), para ga-
rantizar su calidad.
La figura 4.1 muestra gráficamente esta situación.
Fig. 4.1: Determinación de la calidad de la informatización en la entidad
50
Cuando no se cump len los requis itos expuestos, pu ed en ocurrir diver-
sas situaciones, como los que se enumeran a continuación, que conllevan
a la afectación de los recursos informativos de la entidad.
• Errores humanos: Elección incorrecta de volúmenes de infor-
mación (discos, cintas, disquetes, etc.), elección errónea de alter-
nativas de eje cució n en el sistema, man ipulaci ó n in corr ecta de fi-
cheros, introducción errónea de datos, envío de los listados de
salida a los destinatarios incorrectos, llenado incorrecto de for-
mulari o s, encuadern ació n er rónea de listado s, u tilizac ión d e ve r-
siones de archivos correspondientes a fechas o períodos inco-
rrectos, captura errónea de información, información de entrada
ex trav iada, en tre otro s.
• Delitos o acciones mal intencionadas: Consulta indebida de infor-
mación, destrucción física o mediante acciones informáticas de da-
tos y programas, alteración de las informaciones almacenadas y los
progr amas, destru
e instalaciones, cción
robo, de equipos , sopor tes magné ticos o en papel
y otros.
• Desastres naturales o artificiales: In cend ios, inundac ione s, t em-
peraturas m uy alt as o muy b ajas, hu medad ex cesiva, polv o ex ce-
sivo, variaciones muy grandes en el voltaje de la alimentación
eléctrica, interrupción de la misma, huracanes o vientos fuertes,
lluvias excesivas, sismos, descargas eléctricas, derrumbes, entre
otros.
• Afectaciones electrónicas y de software: Espionaje electrónico,
virus informáticos y otros pro gram as malignos, errores en el hard ware,
errores en la transmisión de la información, errores en los progra-
mas, falta de integridad en las bases de datos, etc.
Esa afectación es mayor en la medida que esos recursos están más aso-
ciados a la entidad en cuestión: la afectación menor es en el hardware; en el
siguiente nivel está el software operativo , los programas utilitarios, las bases
de datos generales y el software de tipo general; y en el nivel más alto de
afectación están los programas de aplicación particulares de la entidad y las
bases de datos creadas a partir de informaciones generadas por la actividad
de la propia entidad. Las medidas de seguridad y protección a establecer
deberán tener en cuenta esta peculiaridad y considerar el costo de afectación
que se produ cirá si se carece de algunos de esos elem en to s. La figu ra 4 .2
muestra gráficamente esta situación.
51
Fig. 4.2. Nivel de las afectaciones en los recursos informativos
Resumiendo, la falta de calidad en algunos de los elementos del siste-
ma, o de la explotación conjunta de todos o algunos de los sistemas o
aplicaciones de la entidad, genera causas de riesgos de pérdida o daño de
los recursos informativos. Ese riesgo puede concretarse en afectaciones
que pr oduzcan pérd idas reales o costos de opo rtunidad (ganancias dejadas
de obtener, daños de imagen, etc.) para la entidad. La figura 4.3 permite
apreciar gráficamente esta situación.
Fig. 4.3. Efecto en cascada de la falta de calidad en las aplicaciones

Esa situación sólo puede solucionarse, si se crea un sistema d e contro-
les informativos eficaz y eficiente, lo cual se verá en la próxima sección.
52
CONTROLES INFOR MATIVOS
Un control informativo es una acción que se diseña en un sistema
informático, o en un á rea de procesami ento de inform ac ión, pa ra eliminar
o disminuir posibles causas de riesg os durante la explotación u opera-
ción . Se diseña
ma, con y activ
un criterio de acosto-benefic
para garan tizar un altosnivel
io. Puede er undeco ntrol
calidad en el siste-
d iseñado ex-
clusivamente para activarlo dentro del sistema informático, mediante
acciones de software; un control requerido en el área en que hombre y
computadora interactúan (durante la captación de los datos primarios o
durante la consulta de las informaciones de resultado); o un control para
emplearlo en la parte donde exclusivamente trabaje el hombre.
Es necesario profundizar en esta última aseveración. La lista de los
controles que se ofrecerá más adelante, no es exhaustiva –siempre pueden
ser necesarios otros adicionales, que se diseñen para determinadas aplica-
ciones– pero es bastante completa. Su utilización no puede ser indiscrimi-
nada.Diseñarlo
etc. Un control cuesta, requiere
e implantarlo dependerecursos de diseño,detiempo
de la necesidad de máquina,
su existencia, y esa
necesidad está definida por la naturaleza del riesgo que ese control quiere
eliminar, así como del recurso info rmativo que se quiere pro teger. El costo
del control no pued e ser excesivo con relación al costo de opor tunidad de
perder ese recurso informativo. Dicho en palabras más simples, controlar
una causa de riesgo para eliminar ese posible riesgo, no debe ser más cos-
toso que lo que costarí a perder l a informaci ón, el prog rama o , incluso, la
computadora.
Con ce pto g e ner al de cont r ol
Acción correc tiv a que se toma para poner en con sonancia el com-
portamiento de un sistema con sus objetivos. Actúa basado en infor-
maciones sobre el estado del sistema.
Entre sus requisitos se encuentran:
– Reflejar las necesid ades de la dirección
– Ser econó mico, esto es, tener un costo de diseño y activación ra-
zonable, con relación a su efecto
– Indicar rápidamente las desviaciones
– Ser comprensi ble
– Ser flexible
predict orandete situaciones
nuevos casosfuturas
53
El control puede ser diseñado y accionado durante las etapas y fases de
creación o adquisición del sistema ( controles de desarrollo ) o durante su
explotación ( controles de explotación ). Asimismo, p uede ser un control de
software, administrativo, organizativo, físico o legal.
Los controles de desarrollo se aplican durante la elaboración o adquisi-
ción del sistema,
quisición. y en cadadeluna
En dependencia de lasdeetapas
modelo ciclo ydefases
vidade
quecreación o ad-
se utilice para
crear el sistema, pueden existir etapas y fases diferentes, con denominacio-
nes distintas (véase la sección correspondiente de esta obra), p ero a los efec-
tos de esta exp osición se utilizarán nombres de etapas que sean lo m ás gené-
rico posible. Se tendrá entonces:
• Control es de análi sis de factibilidad técn ico-económic a.
• Control es de an álisis detallado de la s itua ción exis tente.
• Controles de diseño detallado.
• Controles de desarro llo y prog ramación.
• Controles d e pruebas e implantación.
• Controles de man tenimiento.
Los controles de análisis de factibilidad técnico-económica tienen
como objetivo garantizar que las decisiones que se tomen en esa etapa
sean las correctas y así poder elaborar un proyecto informático con alta
racio nalidad técnica y econ ómica. Para lograrlo es necesario aplicar estos
controles fundamentales:
• Apoyo del trabajo de sistemas por pa rte de l a más alt a dirección de
la entidad.
• Seleccionar el mejor equipo posi ble de anal istas de sistemas y miem-
bro s del Grupo Mu ltidisciplinario de Sistemas –GM S– (v er más ade-
lante), para garantizar la más alta calidad del trabajo.
• Presentación del equipo de ana listas ante el equip o de dire cción de
la entidad y explicar claramente sus funciones y objetivos. Los
analistas pueden ser externos o internos. Apoyo a los mismos para
que puedan realizar s u investigación y elabo rar su informe.
• Exigir al equipo de analistas la presentación de un informe donde s e
expongan en términos no técnicos las especificaciones detalladas
que tendrá el sistema qu e se pretend e diseñar, los c ostos y b eneficios
esperados y el plan de trabajo general y el de la etapa siguiente.
• Establecer procedimientos formales de análisis de las propuestas técni-
cas de los analistas
factibilidad. de sistemas que
Estos procedimientos están
deben realizando
basarse el estudio de
en la existencia de un
54
GMS, integrado por los funcionarios de más alto nivel y por los téc-
nicos más destacados relacionados con la aplicación que se desea
informatizar; y los mismos; que responda ante la autoridad más alta
de la entidad, y que se responsabilice con la propuesta de aproba-
ción o no del estudio pres entado.
• Garantizar la parti cipación de un auditor interno (o externo) para
evaluar el informe.
Los controles de análisis detallado de la situación existente tienen
como objetivo garantizar que en esta etapa los analistas de sistemas rea-
licen una correcta y profunda investigación, y que logren detectar las
deficiencias del sistema aplicado y la esencia de los procesos que se de-
sea informatizar, a los efectos de que ejecuten las etapas siguientes con
la mayor calidad posible. Para lograr este fin, debe ponerse en práctica
los controles básicos siguientes:
• Exigir que se utilice una adecuada metodología de trabajo para realizar
• la investigación
Garantizar que sedetallada,
apoye alcon herramientas
equipo de diseñoy en
métodos específicos.
su trabaj o d e inves-
tigación, que los funcionarios y empleados que deban ser entrevista-
dos estén disponi bles, con el estado de ánimo corr ecto y pr eparados
con tod a la inform ación qu e solicitarán los analis tas de sistemas para
realizar su estudi o; y qu e las áreas que d eban visitar estén dispuest as
para ello.
• Garantizar que lo s usuarios fundament ales part icipen en la evalua-
ción del informe elaborado por los analistas de sistemas sobre las
deficiencias detectadas y los requerimientos informativos detallados
elaborados; de forma que incorporen sus principales criterios técni-
cos y administrativos.
• Analizar por la direc ción de la entidad del infor me detallado entrega-
do por los analistas y de los criterios ap ortado s por los usuarios princi-
pales. Evaluación d el pro grama de trabajo de las próximas etapas .
evaluar el informe mencionado.
Los controles de diseño tienen como objetivo garantizar que el sistema
que se elabora tenga unas especificaciones de diseño que respondan a los
requ erimientos de l a dirección de la en tidad y a sus nec esidades infor mati-
vas. Para garantizar esto, los controles básicos son:
• Exigir que se utili ce una metodologí a adecua da de traba jo para rea-
lizar el diseño, con métod os y herramientas de trab ajo conven ientes.
55
• Exigir que que de n document ados todos los elementos funda menta-
les del sistema: o bjetivos del mismo, fun ciones y tar eas que d esarro-
llará, bases de datos, formularios de entrada o de captura de datos
primarios, listados y reportes de salida, procedimientos manuales y
flujos de infor mación, estructur a comp utacional del s istema, hard ware
amientos
utilizar,correctos
costos ydebeneficios. Además,
modificación exigir que de
y actualización existan procedi-
esa documen-
tación.
• Garantizar que ex istan procedimi entos eficaces y eficientes de con-
trol interno en el nuevo sistema, que garanticen la calidad de la in-
formación que se procesará.
• Garantizar que lo s usuarios fundament ales part icipen en la evalua-
ción del informe elaborado por los analistas de sistemas sobre el
diseño del nuevo sistema.
• Análisis por la di rección de la e ntidad del informe detal lado entre ga-
do por los analistas y de los criteri os apor tados por los usuarios prin-
• cipales. Evaluación
Garantizar del programa
la parti cipación de undeauditor
trabajo interno
de las próximas etapas.
(o externo ) para
Los controles de d esarro llo y programación tienen como objetivo fun-
damental que el diseño realizado en la etapa anterior sea programado con
calidad y los manuales de utilización, o usuario sean completos, claros,
reflejen adecuadamente el proceso del sistema y sus requerimientos de
operación y util ización, y tengan un d iseño correcto y agradable. P ara ga-
rantizar esto, los controles fundamentales son:
• Verifi car qu e existe una ad ecuada met odol o gía de progra ma ción
aplicada, y que todos los programadores están entrenados en ellas.
• Garantizar que se efectúen actividades de compren sión del proble -
ma a programar, entre diseñadores y prog ramadores, que se efectúe
una adecuada utilización de los estándares de programación que se
establezcan, como los diagramas, la codificación convenientemente
realizada y comentada; que se efectúen pruebas adecuadas a los pro-
gramas, con los datos de prueba suficientemente completos y repre-
sentativos de las diferentes situaciones, y que se cumplan los proce-
dimientos de documentación de los programas.
• Supervisar estrech amente a los programadore s sobr e su estilo y mé-
todos de pro gramar y los tiempos d e desarrollo.
• Garantizar la pru eba integral de los programas , y verifi car que sus
resultados responden a las especificaciones de diseño.
56
• Garant izar que l o s usu ar ios f und am enta les d el sistem a (GMS)
evalúen los resultados de la prueba integral de los programas y
analicen si los resultados de los mismos, así como su performance
satisface las necesidades y requerimientos de su trabajo.
• Analizar detenida mente los ma nuales de utilizació n y u suario para
comprobar queestá
su descripción responden a laslaespecificaciones
acorde con operación de losdel sistema y que
programas.
• Análisis por la di rección de la e ntidad del informe d etallado entre ga-
do por los analistas y de los criteri os apor tados por los usuarios prin-
cipales. Evaluación del programa de trabajo de las próximas etapas.
Los controles de prueb as e implantación tienen como obj etivo garanti-
zar que el sistema elaborado se implante correctamente y que fun cione en
la práctica tal y como se espera, con eficacia y eficiencia. Para esto, los
controles más importantes son:
• Garantizar que las condi ciones para la implantación se han creado
convenientemente. Algunas de estas son:
– Entrenami ento adec uado del personal.
– Adquisición e in stalación del equipamient o com putacional y de
comunicaciones, así como del software básico necesario. Prueba
técnica del mismo.
– Impresi ón de los formu larios que se uti lizarán.
– Creación de l as bases de datos necesarias.
– Remod elación y reconstrucción de l ocales, si es necesario.
– Información
• Revisar que l os amplia y completa
m anuales a todosylouss uario
de utilización implicados en lauados
son adec prueba.
y
que están a disposición de los mismos por parte de las personas que
deberán usarlos.
• Organ izar la p rueb a “beta ” de fo rma que no se afecte el sistema
existente en caso de que existan dificultades en el nuevo. Empleo de
métodos como “prueba en paralel o” o “pr ueba piloto”.
• Vigilar la realización de la prue ba.
• Garantizar que du rante la prue ba, y a partir de la implantación, se
establezca la separación de funciones necesaria para la correcta
explotación del sistema: los programadores no tendrán acceso a la
operación del sistema, los operadores no tendrán acceso a la do-
cumentación de diseño, a los programas fuente ni a las bibliotecas de
57
programas maestros ni datos. Estas bibliotecas deben estar protegi-
das convenient emente para evit ar cambios no aprobado s.
• Vigilar que s e re alicen corr ectamente las accione s necesarias para
rectificar los errores e insuficiencias detectadas durante la prueba.
• Garantizar que lo s usuarios fundament ales del sistema evalúen los
resultados
criterios. de la prueba e implantación, los analicen, y expresen sus
• Análisis por el eq uipo de di rección de la e ntidad de l informe det alla-
do entregado por los analistas y de los criterios aportados por los
usuarios principales. Realizar la aceptación oficial del sistema cuan-
do estén satisfechos de su desempeño, acorde a lo contratado o acor-
dado al inicio de proyecto, o durante s u desarrollo.
• Analizar en la pr áctica los controles a la informac ión de e ntrada, a
los resultados de salida y a las bases de datos (véase esta sección
más adelante).
• Analizar en la prá ctica que e l sistema se inserta en su operaci ón, a la
política
que estogeneral
resulte de controles que se ha establecido en la entidad, y
satisfactorio.
• Garantizar la parti cipación de un auditor interno (o externo ) para
Los controles de mantenimiento tienen como objetivo garantizar que
los cambios y modificaciones que se realicen al sistema durante su explo-
tación, sean los adecuados y estén aprobados por las instancias capacita-
das para ello; y así evitar modificaciones indebidas o injustificadas. Para
garantizar esto, los controles necesarios son:
• Las solicitudes d e cambios debe ser realizadas oficial mente, y debe n
ser aprobadas por el GMS, integrado por los principales usuarios, así
como por la sección de Aud itoría Interna.
• Velar que las solicitudes de camb ios incluyan la metod ología para
modificar la documentación de diseño y utilización del sistema,
para reprogramar los programas, para modificar los programas
maestros conservados en las bibliotecas y para utilizar una copia
de estos en la explotación.
• Verificar que los oper adores y restantes usuarios estén informados
de los cambios y entrenados en su operación.
• Garantizar qu e qu ede do cumentada:
– La fecha de sol icitud y real ización del cambio.
– El nomb re y car go del funcionario solicitan te del cambio.
– La argumenta ción de la neces idad del cambio.
58
– Aproba ción del c am bio por el GMS y la secci ón de Aud itoría
Interna.
– El nombre de los analistas y programadores encargados del cambio.
– La fecha de modi ficación de los prog ramas maestr os en la biblio-
teca de programa s y n ombre del funcionari o que realizó esa mo-
dificación.
– La fec ha y nombre del funci ona rio que hizo el cam bio en los
equipos de explotación del sistema. Por supuesto, ese funciona-
rio d ebe tener la contraseña o palabra de pase para acceder a cam-
biar esos programas.
Los controles de explotación se realizan, como su nombre lo indica,
dur ante la fase de explotación del si stema. Alguno s se h an mencion ado y a,
pues forman parte de los controles de mantenimiento. Otros se especifica-
rán seguidamente. Los controles de explotación se componen de:
• Controles a l a informa ción primaria y de entrada.
•• Controles
Controles adel aproc
informa ción de res ultado o de salida.
esamiento.
• Controles de ajustes y corrección de err ores.
• Controles de almacenam iento de dat os.
• Controles de aplicación en diferentes modal idades de procesamiento.
Los con troles a la información primaria y d e entrada tienen como o bje-
tivo garantizar la calidad de la información primaria que refleja los hechos
económico-financieros acaecidos, y que después se utilizará para alimentar
el sistema informático y producir, mediante el procesamiento adecuado, la
actualización de las bases de datos y la emisión de los resultados. Pueden ser
controles de preparación, de transmisión o de captura de información . A
continuación se especifican cada uno de estos grupos de controles.
Los controles de preparación son aquellos que se realizan cuando se
efectúa la captación del dato primario y se preparan los soportes adecua-
dos para su transmisión. Entre los más importantes se encuentran:
• Garantizar que lo s empl eados autorizados sean los únicos ejecutores
y responsable s de la prepara ción y aprobación de las informaciones
que produzcan determinados hechos, derivados de las funciones y
actividades propias de su cargo.
• Cuidar que se utilicen los formu larios oficiales del sistema, preimpre-
sos y bien diseñados.
• Cuidar qu e cada formul ario tenga un códi go o nú mero de doc umen -
to secuencial y preimpreso.
59
• Cuidar que cada c opia de cada formul ario tenga un código de iden-
tificación.
• Garantizar que l os procedi mientos para crear lotes de formula rios
sean claros y adecuados, incluyendo, de ser necesario, el cálculo de
sumas control.
• reimpreso
Si se usa lapor
técn ica lote,
cada de envíos
donde por lote s, debeelexistir
se especifique número un secuencial
formula rio
del lote, el nomb re del formulari o, la fecha de env ío y de recepci ón
en el lugar de procesamiento, la suma control mencionada, el total
de fo rmularios env iados y la identificac ión y firma de la persona q ue
preparó el lote y de la qu e lo revi só y aprobó.
• Cuidar que todos l os formula rios se llenaron c orr ectamente, inclu-
yendo los nombres y firmas autorizadas de las personas encargadas
de su llenado, revisión y aprobación.
• Cuidar que se respete n las fechas establecidas par a el envío de los
formularios.
• rios
Garantizar que en enviados
y documentos el área emisora
, y qu e quede una cpor
se retengan opiaelde los formínimo
tiempo mula-
establecido.
• Cuidar, en el caso d e que l a alimentación de los d atos primarios se
realice directamente en equipos de captura o captación de datos, sin
tener un sopor te de papel para avalar al mismo, q ue exista un pro ce-
dimiento seguro de establecimiento y actualización de palabras de
pase o contraseñas, para garantizar que sólo las personas autoriza-
das alimenten los datos al sistema infor mático. Ade más, en ese caso,
el sistema debe dejar un registro exhaustivo de todas las transaccio-
nes procesadas, para posibles comprobaciones futuras.
Los controles de transmisión tienen como objetivo garantizar que el
traslado de la info rmación primaria al área d e procesami ento informatizado,
sea totalmente segu ra, sin dar lugar a pérdidas, extravío o deterioro. Algu-
nos de esos controles son:
• Garantizar, en el caso de traslado fís ico de formula rios, que esa ac-
ción la realice la persona autorizada.
• Registrar la entrega, me diante el nombre y l a firma, los lot es de for-
mularios entregados, con total claridad, el total de documentos, la
fecha de entrega, la fecha y hora en que deben ser entregados por
quien los traslada al área de procesamiento.
• Indic ar claramente las instrucciones de traslado y entrega de los do-
cumentos al empleado encargado de esa misión.
60
• Garantizar un emp aquetado ade cuado de los formul arios a trasladar,
para evi tar pérdi das o deterioros.
• En el caso de trasla do electrónico, gara ntizar que e xista un regis tro
de entrega de las transacciones en el área de procesamiento, unido a
los controles mencionados en el punto anterior.
Los controles de captura de información tienen com o obje tivo ga ran-
tizar que la captación de los datos de entrada por el sistema informático
se realice adecuadamente, disminuyendo lo más posible los errores y las
modificaciones intencionales, de manera que la información que se ali-
ment e al sistema r efleje fielmen te los h echos acaecido s. Algu nos de esos
controles son:
• Utilizar un regi stro de t odos los lotes de docume n tos que llegan al
proceso de captura o captación de datos, que incluyan al menos:
fecha y hora de recepción, formularios, persona autorizada a apro-
bar los formularios, número del lote recibido, sumas control, área
emisora, per sona
o especificado quedocumentos
en los entreg a el lote, desviaciones
de traslado d eylopersona
del lote progr amado
que
recepciona el lote.
• Establecer un progra ma de recepción de los lotes de f ormul arios.
Utilizarlo para evaluar las fechas y horarios de llegada de cada lote.
• Practicar proce di mientos de verificación de los d ocument os recibi-
dos contra los documentos de traslado de cada lote, y determinar
desviaciones, las cuales deben ser comprobadas.
• Practicar proced imientos de sumas control o con trol de totales.
• Comprobar que los formula rios utilizados son los a decuados, y que
los nombres y firmas de las personas que los han aprobado son los
correctos.
• Utilizar pantallas de captación de datos que sean imagen de c ada
tipo de formulari o, con el orden e xacto de captac ión de cada campo.
• Cuid ar que se utilicen crit erios ergonó micos ( colores adec ua dos,
sonidos, etc.) para garantizar que los operadores de captación de
datos trabajen en la forma más correcta posible, evitando de ese
modo cansancio adicional que pueda contribuir a introducir erro-
res adicionales.
• Captar sólo aque llos campo s que no pueda n ser ob tenidos de bas es
de datos o calculados. Si hay incompatibilidad entre el contenido de
estas o lo calculado, proceder a comprobar la situación, sin aceptar
el documento con prob lemas hasta que n o se rectifique.
61
• Marcar todos los docume ntos proces ados corre ctamente, y también
los que no fueron aceptados por tener errores , con o tro tipo de marca
identificativa.
• Procesar cad a docum ento en la forma establecida.
• Rechazar cada documen to erróneo s in incorporarl o a la base de datos.
• que
Garantizar
sólo la medi
persoan
nateautoriz
un control de pal abras
ada proceda a la cadeptura
pasesdeo dcontra
atos. señas,
• Establecer una “ b itácora” de t odas las capturas de datos realizadas,
para poder compr obar exhaust ivament e quién efectuó cada captura.
• Crear en el sistema un archivo con t odas las transacciones capturadas,
para efectos de auditorías. Si se decide crear un archivo con las tran-
sacciones erróneas, este debe ser actualizado cuando se rectifiquen.
• En el caso de aqu ellas captaciones de datos donde no existan sopor-
tes en papel, acentuar la acción de los tres controles anteriores.
Los controles a l a información de res ultado o de salida tienen como
objetivo garantizar que el procesamiento realizado culmine exitosamente,
con la información resultante obtenida correctamente y entregada a sus
destinatarios adecuados. Pueden dividirse en controles de distribución, de
conciliación y adicionales.
Los controles de distribución se crean para garantizar que los destina-
tarios reciban en tiempo y forma la información correcta. Algunos de los
mismos son:
• Garantizar que to dos los report es de salida tienen n úmeros de copi as
preimpresos en cada copia y página.
• Verificar que tod os los report es de salida uti lizado s como docume n-
tos oficiales para negociaciones económicas o financieras (como
cheques o facturas), tengan un número secuencial preimpreso en
cada página.
• Comproba r que cada pá gina de cada copi a de cada report e teng a su
código de reporte en cada página, para permit ir su identifi cación.
• Asegur ar que se imprima un núm ero de página en cada una de las
emitidas de cada reporte, complementado por el número total de
páginas de esa edición del reporte. De esta manera, el número
“49 de 83”, indicaría que se está en presencia de la página 49 de un total
de 83. La página siguiente, lógicamente, llevaría el “50 de 83”. En cier-
tos casos el número de página sería equivalente al número secuencial
preimpreso al que se hace referencia, arriba, en el segundo control de
esta serie.
62
• Garantizar que exi sten actualizadas las instruccione s de distribución
de cada r epor te, l as cuales deben incluir: identi ficac ión d e cada lista-
do o reporte, c op ias, nombre cargo y otros datos d e localización de
la persona destinataria de cada copia del reporte, descripción de los
procedimientos de encuadernación para la entrega de cada copia,
programación
de cada reporte,desientrega de cada
es necesario, etc.copia, nivel de confidencialidad
• Controlar en un r egistro apropi ado cua ndo se entrega cada copi a a la
persona encargada de distribuirla, incluyendo además, nombre del
listado, copia que se entrega, fecha y hora de entreg a, nomb re, cargo
y firma de la persona que reci bió el do cumento, et c.
• Si la entr ega es on-line , a través de una red de computadoras, y a
solicitud de determinado usuario, el único control posible es tener
establecido y actualizado un sistema de contraseñas y palabras de
pase, asociado a los privilegios o derech os que ten drá cada p oseedor
de cada c ontraseñ a, para q ue cada uno reclame y rec iba el reporte de
salida
recerá qu
en esunecesita y al
p anta lla cual tiene derecho
directamente, . Elrespons
y será su repor teabilidad
solicitado apa-
su utili-
zación.
• Garanti zar que cada r epor te diseñado para que salga en pantal la,
tenga su copia en papel si lo requiere, o que no la tenga si no debe
tenerla. Para ello habrá que programar adecuadamente el acceso a
las impresoras remotas, en caso de una red.
Los con troles de con ciliación tienen como objetivo establecer compara-
ciones entre ciertas operaciones, para garantizar la integridad de la informa-
ción procesada, así como su corrección. Puede exigir operaciones adiciona-
les en el sistema
personas informático,
que manipulan así como
los listados. otras operaciones
Algunos realizadas
de estos controles son:por las
• Comparar los con troles de tot ales calculado p or la computa dora e
incluidos en ciertos listados o reportes, con las sumas control de
totales calculadas durante la preparación de las transacciones de en-
trada, en algunas de las fases del procesamiento. En caso de incom-
patibilidades, se requerirá analizar todas las transacciones.
• Garantizar que los listados de validación de l a info rmación de entra-
da se comparen contra los documentos fuente o contra los listados
de transacciones alimentadas al sistema, para garantizar que no se
han introducido i nform aciones erróneas . Téngas e en cuenta q ue exis-
ten casos cuya única forma de detectar un error y de rectificarlo es
63
hacer un chequeo visual: por ejemplo, la captación de nombres de
personas o descripciones de productos para alimentar bases de datos.
• Garantizar que l o s report es de salida incluyen toda s las transaccio-
nes que en algún momento entraron con errores y se rechazaron,
para ser rectificadas después.
• por
Veriflaicar select ivame
computadora nte las transacciones
y volcadas ge neradas
en algunos reportes int ernamente
de salida.
• Verifi car l os docu mentos impre so s para gara ntizar su integridad.
Analizar el número real de copias y páginas impresas con el generado
por la computadora, el control de totales, el diseño de los documentos
impresos contra el que debía imprimirse, acorde a los manuales de
utilización; ciertos cálculos para compr obar su corrección (sobre todo
en las primeras ediciones de aquellos listados importantes), etc.
• Garantizar que los e rrores det ectados se registran, corrigen y s e elimi-
na la causa del er ror y se chequ ean de nuev o en cor ridas posteriores.
• Verificar el empleo que se le da a cada listado, par a evaluar constan-
temente su utilidad real para el sistema de dirección de la entidad.
Otros controles a dicionales a la información de salida pueden ser:
• Revisar peri ódicamente l os proce dimientos establecidos pa ra con-
servar y/o destruir reportes y sus copias, garantizando que se cum-
plan reglas y plazos.
• Revisar los p rocedimie ntos establecidos pa ra emitir copias adiciona-
les, incluyendo: personas que solicitaron y personas que aprobaron
la emisión adicional, fecha de la emisión, razones de la solicitud,
copias emitidas, procedimientos de distribución, utilización, archivo
y destrucción, etc.
• Garanti zar que se registren los posi bles document os extraviados ,
especificando fec ha, fo rmulario, des cripción del p roblema, acci ones
tomadas, etc.
Los controles de p rocesamiento se incluyen en el si stema info rmatizado,
y tienen como objetivo automatizar al mayor nivel posible las acciones
necesarias para la detección y depuración de errores en la información;
aunque pueden existir muchos de ellos que se apliquen en forma “ma-
nual” o combinada con acciones informatizadas. Pueden ser muchos y
muy variados, en dependencia de las posibilidades y las necesidades del
sistema inform ático, y de los niveles de desarrollo alcanzado po r el hardware
yAlgunos
el software, o sea,
de estos por la tecnología
controles son: de procesamiento de la información.
64
• Garantizar que s e determine en cada apl icación el númer o de tra n-
sacciones procesadas, así como la fecha de su procesamiento.
• Garantizar que se diseñen rut inas de cálculo de s u mas control, y se
comparen con las sumas obtenidas por otros medios en otras fases
del proceso, destacando las incompatibilidades. Esto puede incluir
• información correcta,enincorrecta
Ante discrepancias los casosoanteriores,
total. debe n establecerse pro-
cedimientos de rectificación de errores y garantizar su aplicación.
• Garantizar que en los casos de captación o captura de infor mación,
estén establecidos procedimientos de validación de caracteres y cam-
pos, que incluyan: tipo de campo (alfabético, num érico, etc.), existen-
cia de la infor mación, tamañ o, signos, razon abilidad (po r ejemplo, no
es razonable tener trabajadores de 80 o 90 años en la entidad), rang o y
límite, corrección del campo contra bases de datos (por ejemplo, si
existe un código determinad o en una base de datos ya validada) , valor
específico, dígito verificad or o de ch equeo, secuencia de campos, exis-
• tencia
Asegurarde transacciones, etc.la validación de toda la trans acción, y se
que se p roduce
detectan todos los posibles errores en cada una.
• Asegur arse que no se incorp oran al pro ceso transacciones incorrectas.
• Asegurars e que se apl ican los procesos de rectificación de errores y
de incorporación posterior de transacciones rectificadas.
• Establecer la existenc ia actualizada de archi vos de transacciones par a
su comprobación posterior. Esto es especialmente necesario en el caso
de transacciones que no estén avaladas por formularios de papel. De-
ben conservarse el tiempo legalmente establecido para cada caso.
• Deben emitirse in formes con las transacciones e rró neas para s u rec-
tificación y posterior control.
• Garantizar la exis tencia en los programas de rutinas de control de
identificación de archivos y versiones de archivos, para evitar pro-
cesar versiones atrasadas o archivos incorrectos.
• Garantizar la existencia de procedi miento s de actualización de l as
bases de datos, y chequear su realización (por ejemplo, puede llegar
una transacci ón a pro cesarse sobre un pro ducto q ue no existía en los
almacenes, y por ende tampoco en las bases de datos. El sistema
debe garantizar que se incluya en las bases de datos antes de proce-
sarse).
• Garantizar que el sistema regi stre las opera ciones reali zadas en un a
especie de bitácora de su propio procesamiento. Incluir los listados
emitidos, la cantidad de páginas, las copias, etc.
65
• Garantizar que se realicen todas las operac iones imp rescindibl es. Por
ejemplo, que no realice un cierre contable si falta procesar los com-
probantes de la nómina de pagos.
• Asegurars e que se e miten los reporte s periódicos en l os moment os
establecidos.
• chivos
Garantizar
de lasque se realicen
bases de datos las actualizaciones
en los nece sarias
períodos establecidos en ello.
para los ar-
• Garantizar que se ejecuten los proce dimientos establec idos para ac -
tualizar las palab ras de pase o contraseñas . Estas p ueden orientarse a
las funciones (definidas en forma de menues. Cada funcionario ten-
drá disponible sólo aquellos menues para los que estén capacitados,
en dependencia de su responsabilidad como trabajadores, manifes-
tada en los derech os habilitados para su contraseña) y a los archivos
que pueden o no acceder.
• Incluir pista de auditoría en aquellos sistemas que lo requi eran (por
ejemplo, conservar todas las transacciones procesadas, incluyendo
• las generadas
Garantizar internamente).
la exi stencia y apli cación de pro gramas antivirus actualiza-
dos, en toda s sus modalidades: cen tinelas, d etectores, limp iadores, etc.
• Garantizar la exi stencia de procedi mientos de detecc ión y limpieza
de virus informáticos, y de actuación en caso de que se detecte la
acción real o posible de alguno de ellos.
Los controles de ajustes y corrección de errores tienen como objetivo
garantizar que todas las transacciones erróneas se han detectado, rectifica-
do e incluido d e nu evo en el flujo no rmal de datos del sistema. Alguno s de
estos controles han sido ya mencionados por lo que deben considerarse
adicionalmente a los descritos en la siguiente lista:
• Garantizar la exi stencia y ejecución de los procedimie ntos de detec-
ción, información , registro y rectificación de erro res. Son una com-
binación de procedimientos automatizados y manuales los cuales
deben complement arse. Algunos se han mencionad o anteriormente.
• Verificar que los procedi mientos de detección y verifica ción de erro-
res son lógicos y racionales.
• Registrar los erro res y su detección para evaluar la calidad del pro-
ceso y el desempeño del sistema y las personas que trabajan en el
mismo. Estadísticas de errores.
• Verificar que se r ectifican los errores detectados y que se s upervi sa
• este proceso.
Analizar los erro res que se produc en, su frec uencia de oc urre ncia,
sus causas y eliminar estas.
66
Los controles de almacenamiento de datos son muy importantes, pues
se refieren a medidas de protección y seguridad de las informaciones al-
macenadas en las bases de datos. Resultan de una combinación de proce-
sos informatizados y manuales complementarios. Muchos ya se han men-
cionado de un a forma u otra. Alguno s de estos son:
• Revisar
copias delarespaldo
existencia y aplicación
(back-up) práctica de
y restauración y eficaz de proces
los archivos más os
im-de
portantes del sistema.
• Garantizar la apl icación del método de c onservación de ge neracio-
nes abuelo-padre-hijo en los archivos del sistema que lo requieran.
• Establecer proc ed imientos de encriptación adecua d os de los archi-
vos que lo requieran.
• Verificar que existen y se aplican procedi mientos de comprobac ión
de archivos, generaciones de archivos y sus copias.
• Establecer y aplicar procedi mientos actualizados y eficaces de com-
probación de contraseñas y palabras de pases, códigos de identifica-
ción de terminales,
de seguridad códigos
de a rchivos de seguridad
/programas de transacciones,
y otros que gar anticencódigos
la reali-
zación conf iable d e la consult a y actualización de l as bases de datos.
• Establecer procedimi entos ade cuados de comprobación de la inte-
gridad r eferencial de los registros en las bases de datos para i mped ir
pérdidas y deterioros de las informaciones almacenadas.
Los controles de ap licación en difere ntes moda lidades de proces amiento
se refieren a la forma en que pueden operar las aplicaciones informáticas.
Las modalidades son:
1. Modo batch o por lotes.
2. Consulta en lí nea con actual ización en f orma de lotes.
3. Consulta en línea con actualización en tiempo real.
La tendencia actual es realizar el procesamiento en las dos últimas
modalidades, pero la primera aún se utiliza.
Los controles mencionados se pueden emplear en una modalidad u
otra, con las adaptaciones requeridas para cada caso.
Un control no mencionado hasta ahora y que puede adaptarse a una
variante u otra, es la realización de procesos (en forma de programas del
sistema) en función de su sistematicidad y periodicidad. Así, los procesos
se pueden dividir en procesos periód icos o ad hoc; y los periódicos po-
drán dividirse
mestrales en horarios,
y anuales
diarios, semanales, quincenales, mensuales, tri-
. Una vez clasificados así, se pueden establecer reglas
67
automatizadas de realización de los mismos, y garantizar, por ejemplo,
que no se ejecute dos veces en el año un proceso anual.
Si esto se une a los derechos de invocación (activación) de un proceso
que puede estar asociado al trabajo de algún funcionario usuario del siste-
ma (manifestado a través del empleo de su contraseña), se garantizará aún
másOtro
la seguridad de utilización
control muy del sistema
útil se refiere o de sus partes.
a la ubicación y el acceso físico de
determi nados recur sos. Por ejempl o, la ubicación remo ta de una impresora
para d ar servi cio a varios us uarios, pu ede crear un prob lema de acces o real
a la información q ue imprime, pues es ta inform ación pu ede ser con sultada
indebidamente por las personas que tengan acceso físico al lugar donde se
encuentra dicha impresora.
Otras clasificaciones de controles pueden encontrarse en la literatura.
Por ejemplo, Zabaro y Martínez 1 proponen la siguiente clasificación:
 Controles Generales.
• Control es de organi
» Control zación. ón de func iones.
de segregaci
– Control de funcion es incompa tibles.
– Delimitación de r esponsabilidades.
– Separación a través de la división del conoci miento.
– Función de los especialistas qu e atiende n los sistemas
en explotación.
– Detección y correcc ión de er rores.
» Responsabilidad por el control.
• Controles de ha rd ware y software.
» Controles d e hardware.
– Control de me dios.
– Control de am biente.
– Control de pr otección de e nergía.
» Controles d e software.
– Seguridad del sof tware de s istema.
– Protección d e ficheros.
– Protección d e programas.
– Desarrollo de s oftware de aplicación.
– Control de d o cumentación.
1
L. Zabaro y C. Martín ez: Au dit oría info rmát ica , pp. 19-42.
68
• Control es de seguri d ad de los sistemas.
» Controles qu e prove en segur idad a los s istemas.
– Controles de administraci ón de segur idad.
– Control de me dio s de segur idad.
– Control de documentación, programas y ficheros de datos.
–– Control de id
Control de acceso desde terminales.
entificación.
» Controles para l a detecci ón de fa llos en la segur ida d de los
sistemas.
– Control de aut enticidad.
– Monitoreo d el sistema.
» Control es para la recuperac ión de fallos en l a seguri dad del
sistema.
– Plan de recup eración.
• Control es de aplicaciones.
• Control es d e accesos.
• Controles d e entrada.
» Controles p reventivos.
» Controles det ectores.
• Control es correct ivos.
• Control es de p rocesamiento.
» Controles cor rectivos.
• Control es d e salidas.
» Controles p reventivos.
» Controles cor rectivos.
La clasificación de Zabaro y Martínez no difiere significativamente de
la ya propuesta en esta obra, aunque hay diferencias menores de denomi-
nación y agrupamiento. Quizás también es una clasificación demasiado
detallada, con excesivas clases, lo que complica la catalogación de algu-
nos controles.
El Comité Internacional de Prácticas de Auditoría (CIPA), en el
Addendum 1 a la NIA 6, denominado “Evaluación de riesgos y control
interno. Características y consideraciones de PED” 2 propone la siguiente
clasificación:
2
Comit é Int ernacional de P rácti cas de Au di to ría, ob. cit ., pp . 465 -473 .
69
 Controles generales de PED.
• Controles de organiz ac ión y administración.
• Desarrollo de sistemas de apli cación y control es de mantenimi ento.
• Control es de opera ción de comput adoras.
• Controles del soft ware de sistemas.
 • Controles
Controles de entrada de
de aplicación de PED.
datos y programas.
• Control es sobre d atos de entrada.
• Control es sobre el proce samiento y sobre archivos de dat os en la
computadora.
• Controles sobre lo s datos de salida.
Esta clasificación del CIPA, por el contrario, es demasiado general y
evidentemente carente de mencionar ciertos controles de gran importan-
cia; pero muestra también gran coincidencia con la propuesta en esta obra.
D. H. Li muestra otra clasificación, sin contradicciones con las ya ex-
puestas, pero mucho más general:
 Controles gerenciales.
 Controles de sistemas de información general:
• Controles de di seño, des arrollo y manteni mien to de sistemas.
• Control es de opera ciones.
 Controles de aplicación.
 Controles de tecnología.
Esta breve revisión indica que puede haber diferencias de matices, de

ciertos enfoques, pero no contradicciones ni visiones irreconciliables entre
diferentes autores y organizaciones.
Antes de concluir este capítulo se hacen necesarias unas palabras fina-
les de carácter general.
No se han analizado todavía otros controles generales para las áreas de
pro cesamiento electró nico de datos (C ontro les Generale s de PED, según el
Addendum 1 a NIA 6), 3 como los controles de acceso físico a las áreas de
proceso de datos, los controles de tipo legal, donde se establecen respon-
sabilidades por el acceso y uso indebido de los recursos informativos, los
administrativos y organizativos, donde se establecen las formas de acceso
a los recursos informativos y estos se regulan prácticamente en cada enti-
dad; las recomendaciones de tipo cultural-educativo, donde las personas
3
Ibídem.
70
vinculadas a los mencionados recursos, reciben la información necesaria
sobre los recursos infor mativos y su conservación y pr ot ección; la existen-
cia de puertas y ventanas seguras, locales resistentes y bien construidos,
desagües adecuados , pararrayos, e tc. En la sección sobr e seguridad y pro -
tección de la información se le dedicará atención a estos aspectos.
Igualmente
el punto de vistaserá
delnecesario
llamado analizar
Controlotro enfoque
interno de los
, el cual ha controles, desde
sido desarrollado
por siglos de práctica de l a auditoría en gener al. Se analizará en un capítu-
lo dedic ad o al tema.
Los controles mencionados (o los que se mencionarán en otras seccio-
nes de esta obra) forman parte de un sistema general de controles para el
procesamiento electrónico de datos de la entidad o en particular para cada
uno de sus aplicaciones. Como se mencionó, deben diseñarse y aplicarse
con un criterio de costo-beneficio, muy relacionado con las características
de los recursos informativ os qu e se desea p roteger y con las posibilidades de
la entidad dueña de esos recursos. El auditor (interno o externo) tiene la
responsabilidad
esos contro les y de evaluar en real
su aplicación su trabajo, la necesidad
y práctica. de la existencia
Tiene la obligación de
de realizar
la protección de los activos informativos de la entidad. Debe llevarlo a cabo
durante el proceso de diseño o adquisición de una aplicación informática
(en caso de que tenga esa oportunidad y reciba esa tarea) o durante su
explotación. En ambos casos, en otras secciones de esta obra se abordará
nuevamente el tema de los controles y su aplicación y evaluación.
El director de inf ormática de la corporación se encu entra con el aud i-

tor y le pregunta sobre la últim a a uditoría r ealizada en u na de las grandes
tiendas que posee.
–Ha y mucha s violacion es de precios –le con testa el auditor–; no sé

cómo es posible que ocurra, si s e supone que los precio s se fijen central-
mente aq uí, en las bases de d atos maest ras de produ ctos.
–Es que hemos ten ido qu e permitir que den de alta a algunos produc-
tos en forma descentralizada, y el sistema informático no chequea que
esos produ ctos tenga n el precio correcto.
–¿Cómo es po sible eso? Si permiten que eso suceda vendrán a mon to-
nes los fraud es de precios, como ya comien za a ocurrir, y ya ves qu e hasta
en la prensa están apa reciendo qu ejas por las difere ncias en precios.
71
–S í, pero es qu e n o po demos llena r los sistemas de “policías”, pues
entonces todo se demoraría mucho.
–¿ Cuán do dices “po licías” te refieres a controles? Yo creo qu e debes
reconsiderar ese criterio, pues los controles son necesarios para la cali-
dad de la información.
–El problema e s que le quitan la rapide z al sistema.
Pre gunt as
1. La tarjeta que los trabajadores marcan en un reloj, para registrar su

entrada y salida de su trabajo, ¿es un control, acorde a las definicio-
nes dadas en este capítulo?
2. Una computadora sin palabras de p ase para su pro tección, situada
en una oficina de acceso abierto e indiscriminado, ¿se convierte en
causa de riesgo de pérdida de información?
3. ¿Qué p osiblea sus

cuadamente riesgo enfrent adeuna
operadores empresa que n o seleccione ade-
computadoras?
4. Si no se entrena correc tamente al personal en el uso de un nuevo
sistema informático de procesamiento contable, ¿a qué riesgo se en-
frenta la entidad?
5. En un sistema info rmático de pro cesamient o financi er o, se e stán
encontrando frecuentes errores en la información procesada. Cite
tres posibles causas de esa situación.
6. La llegada de la temporada cicl ónica en el país p uede ser causa de
riesgos de pérdida de información. ¿Qué puede hacerse para evitar
esa situación?
7. ¿Resulta
deteriorosconvenient e asegurar las bases de datos de una entidad contra
y pérdidas?
8. Diga tres medidas encami nadas a disminuir l os riesgos de pérdidas
por la acción de virus informáti cos u otros pro gramas malignos.
9. ¿Las palabras de pase o con traseñas deben establecerse para toda la
vida, o al menos para un largo período de tiempo?
10. ¿Por qu é se deben comprar equipos de proces amiento de la informa-
ción fiables?
11. Diga tres posible s afectaciones que genere la falta de calidad de un
sistema informático.
12. ¿Por qué el control tiene que s er económic o?
13. ¿Se puede garant izar la seguridad de las bas es de d atos de un siste-
ma, sólo con el empleo de contraseñas?
72
14. ¿Cómo puede el au ditor apoyar al logro de una ma y or calidad en el
diseño de un sistema informático?
15. Mencion e tres medid as que garan ticen la adecuada prueba de un
sistema informático.
16. ¿Cómo puede garan tizarse que la inform ación d e en trada a un siste
ma informático esté autorizada para su procesamiento?
17. ¿Cómo puede gara ntizarse que un det erminado listado con informa
ción de resultados llegue al destinatario correcto?
18. ¿Qué finalida d tienen los controles de conciliación?
19. ¿Deben ser conser vadas en el s istema informáti co todas las transac-
ciones que este procese? ¿Por qué?
20. ¿Cómo se pu ede establecer un adec uado sistema de copias de segu-
ridad en las bases de datos?
Pr ob lem a de inves tiga ci ón 2

Analice, en el caso particular de su puesto de trabajo, cuáles son las
principales causas de riesgo que pueden producir afectaciones en las in-
formaciones que procesa y propóngase un sistema de medidas para dismi-
nuirlas o eliminarlas.
73
INTRODUCCIÓN
El presente capítulo 1 reitera y hasta redunda en muchos aspectos rela-
cionados con el control, los riesgos y las causas de riesgo, pero lo hace
desde una perspectiva más clásica, más relacionada con el enfoque conta-
ble y financiero del control, eso que los contadores y auditores identifican
desde hace decenas de años como control interno.
Se destacan ciertas situaciones indeseables que ocurren en los proce-
sos de control interno de algunos sistemas informatizados contables y se
prop orciona n recom endac io nes prá cticas que pu eden ser de utili dad para
contadores
financieros yy auditores internos ydiseñadores
para informáticos externos, para consultores
de software contables y
contable.
Se hace evidente que en la etapa actual de desarrollo humano, caracte-
rizada por el procesamiento masivo de información por sistemas compu-
tarizados, incluso en las pequeñas y medianas empresas, se requiere de
enfoques de control interno adaptados a esas nuevas tecnologías. En este
capítulo se recoge lo mejor del conocimiento humano sobre esta temática,
además de algunas experiencias personales. No se tienen grandes preten-
1
Unaversión d eleste
informáticosde capít uloyha
aspequeñas sido publicada
medianas bajo
empresas”,enellarevista
tít ulo“El cont rol in terno en los sistemas
Auditoríay Control, número especial
diciembrede 2003.
74
siones de novedad, pero todo lo que aquí se incluye puede ser muy útil a
los especialistas que se mencionan en el párrafo anterior.
DEBILIDADES EN EL CONTROL INTERNO DE ALGUNOS

SISTEMAS DE CONTABILIDAD COMPUTARIZADOS
La existencia de un buen sistema de control interno que desarro lle info r-
mación contable-financiera de calidad en una entidad, ha sido condición
indispensable para que se puedan controlar eficazmente sus activos. Esa
aseveración f orma parte del arsenal de axiomas de que disponen contadores
y aud itores y ambo s pro ceden o –se supone que lo hagan – a evaluar y me-
jorar constantement e dicho sistema para apoyar el traba jo de control e in-
formación de las entidades en que laboran. Tan importante se le considera
al control interno, que en ocasiones se hacen esfuerzos a nivel de país para
contribuir a su perfeccionamiento. 2
Los principios
interno, y métodos durante
se han consolidado que rigensiglos
el diseño de los sistemas
de actividad contabledeycontrol
de
auditoría. Han evolucionado desde la época preliteraria hasta la actual era
de la inform ación y el conocimient o. En cada época, se h an adaptado a las
tecnologías imperantes de pro cesamiento de la i nfo rmación. 3 La actual etapa
de desarrollo human o, caract erizada por la revoluci ón inform ática y de las
comunicaciones, no es una excepción. Sin embargo, en esta época los
cambios han sido tantos y tan sustanciales, desde la introducción de la
partida doble, en el Renacimiento, y del libro impreso en papel, que mu-
chos contadores y auditores han sido superados por esta marea inconteni-
ble que es la informatización.
De esa controles
de buenos forma, algunos sistemas la
para garantizar informatizados
calidad de la de contabilidad
información carecen
procesada.
2
Por ejemplo, considérese la “Comprobación nacional del control interno”, que periódicamente se
realiza enCuba porla Asociación Nacional de Economistas y Contadores deCuba y el Minist erio
de Finanzas y Precios . Además, se ha p uesto en vigor en nuestro país la Resolu ción 297-200 3
qu e no rma y establ ece nuevos enfoques del control in terno, haciénd ose eco de los conocido s
in formes COSO (EE.UU.), COCO (Canad á) y Turnb ull (Reino Uni do). En esa resol u ción se
establecen cinco componen tes bás icos del cont rol: ambien te de control , evaluación de riesgo s,
acti vidades de control, información y comunicación,y supervi sión y moni toreo. El espíritude esa
resol ución, y d e los mencionad os in formes y sus recomendaciones , están presentes en este l ibro.
3
Esto
lib ro,hdesde
a si dosu
dest acado pos
modesta po r historiado resexpuesto
ición , lo ha y mucho senespeciali
congresosstascientíficos
en audi toría. El autoque
y trabajos r deha
este
publicado, to dos consig nado s en la bib li ografía general.
75
Por ejemplo, en ocasiones el autor ha visto en algunas entidades cuentas
contables que adoptan saldos contrarios a su naturaleza –en la jerga de los
contadores cubanos “se viró la cuenta”–, como por ejemplo, una cuenta
de inversión estatal –equivalente en ciertos aspectos, como se sabe en
Cuba, a la cuenta de capital de otras sociedades–, con saldo deudor al
prin cuentas
son cipio d ede
un algunos
ejerci cioactivos
contabcirculantes
le. Otro ejemplo que hacreedores
con saldos a podi d o detectar,
tam-
bién al inicio de un período contable. Ambas situaciones se producen
por debilid ades en el sistema de control intern o, no a daptado a la n ueva
situación de informatización.
Otra situación que se ha podido detectar, ha sido la existencia de medidas
de control interno típicas de sistemas manuales de procesamiento de la infor-
mación (basados en la existencia de libros, tarjeteros, registros sobre papel y
otros medios similares), pero que en condiciones de informatización se con-
vierten en lastres burocráticos que entorpecen la operatividad del sistema y
que además tampoco garantizan la calidad de la inf ormación que p rocesan.
Una tercera
informáticos quesituación lamentablemente
no incluyen habitual
medidas de control es encontrar
interno sistemas
como parte del
sistema informático. Por ejemplo, uno de ellos, bastante difundido en
América Latina, permite borrar comprobantes de diario erróneos, sin con-
siderar la centenaria y saludable práctica de invertir el asiento para cance-
lar su efecto. Otros sistemas tienen chequeos de validación débiles, o no
incluyen controles de precedencia, integridad de la información y comple-
titud para evitar que ocurran cierres contables sin antes haber procesado
todas las operaciones.
En un a ocasión, un a entidad, celos a de la protecci ón que debía pro por-
cionarles a s us rec ursos inform ativos, dispuso un co mpl ejo sistema de co n-
traseñas
embargo,para impedir se
las mismas el encontraban
acceso no autorizado
creadas ena las bases de
el clásico datos; .DBF
formato sin
de los sistemas xBASE, y los disquetes con las copias de dich as bases se
podían encontrar en la misma mesa de la computadora que las almacena-
ba, sin protección alguna.
Situaciones como las ejemplificadas no son las únicas, son sólo algu-
nas de las encontradas por el autor en su trabajo diario, pero son suficien-
tes para evidenciar que muchos sistemas actuales no tienen un control in-
terno fuerte, que muchos contadores y auditores no han comprendido la
verdadera naturaleza de las nuevas tecnologías de procesamiento de infor-
mación y conocimientos y q ue muchos informáti cos car ecen de la forma-
ción contable,
requeridos organizativa
en los y gerencial
sistemas que necesaria para incluir los controles
elaboran.
76
VIEJ OS CONC EPTO S, NUEVOS ENFOQUES
Se acepta que:
El control interno es el sistema interior de una compañía que
está integrado por el plan de organización, la asignación de
deberes
todas lasy medidas
responsabilidades,
y métodoselempleados:
diseño de cuentas
1) para eproteger
informeslos
y
activos; 2) obtener la exactitud de la contabilidad y de otros
datos e informes operativos; 3) promover y juzgar la eficien-
cia de las operaciones de todos los aspectos de las actividades
de la compañ ía, y 4) comu nicar las políticas ad ministrativas, y
estimular el cumplimiento de las mismas […] Incluye mucho
más que el sistema contable y cubre cosas como las prácticas
de empleo y ent renamient o, control de c alidad , planeación de
la producción, políticas de ventas y auditoría interna. 4
Otrointerno
control autor clásico, W. B Meigs
está formado expon las
por todas e comp lemenque
medidas tariamente
se toman “…el
quepara
suministrar a la a dministración la seguri dad de que to do está fun cionan -
do como debe”. 5
Ambos planteamientos mantienen su vigencia en los momentos actua-
les, a pesar de que estos textos citados se escribieron hace más de treinta
años. La Norma Internacional de Auditoría (NIA) No. 6 del Comité Inter-
nacional de Prácticas de Auditoría, 6 ratifica esos conceptos.
Es aceptado también que el control interno se divida en dos categorías:
controles administrativos y contables. Los primeros son procedimientos y
métodos que se relacionan sobre todo con las operaciones de una empresa y
con
plan las directivas, políticas
de organización, e informes administrativos.
los procedimientos Incluyen
y registros que se el llamado
relacionan con los
procesos de decisión que conducen a la autorización de operaciones por la
administración. Los segundos consisten en los métodos, los procedimientos y
el plan de organización, que se refieren sobre todo a la protección de los acti-
vos y a asegurar que las cuentas y los informes financieros sean confiables. 7
La introd ucción de los sistemas inform atizados no ha cambiado en nad a
el espíritu de esos conceptos, al meno s en lo referido a las consideraciones
4
Audi to rí a , ob. cit., pp . 207-208.
5
6 W. B. Meigs: obuna
El autorconsultó cit.,excelente
p. 16 8. ediciónhecha porel InstitutoMexicano deContadores Públicos,de 1995.
7
Audi torí a , ob.cit., pp . 207-208.
77
contables, económicas y financieras. Ya se ha ido reconociendo que la
información, el conocimiento y el capital humano en general, son los acti-
vos más importantes de una entidad. 8
Ha cambiado también la forma en que se debe implementar y aplicar el
control interno. Sí ha cambiado la manera en que se debe concebir las medi-
das y acciones
contable no es de
un control
sistemainterno.
manual No olvidarsolamente
(formado que un sistema informatizado
por seres humanos)
ni automático (integrado totalmente por máquinas): es un sistema hombre-
máquina, con todas las implicaciones filosóficas y prácticas que esto tiene.
Es ahí donde está la verdadera diferencia entre la era preinformática y la era
informática y de las comun icaciones. Es ahí donde debemos centrar la aten-
ción, donde se exigirá de nosotros despojarnos de prejuicios y de criterios
preconcebidos y consolidados en nuestras mentes por siglos de aplicación
de métodos, criterios y estilos de trabajo condicionad os por la utilización d e
for mas de pro cesamiento de la información, y a superadas.
Las computadoras han demostrado que pueden efectuar satisfactoria-
mente, y en ocasiones
procesamiento incluso mejor
de la información y de que
tomael de
serdecisiones.
humano, muchas tareas
Emplearlas de
sola-
mente en tareas rutinarias de procesamiento de datos de bajo nivel (cálculos
más o menos complejos, ordenamiento de información, almacenaje, etc.), es
subutilizarlas. Y cuando subutilizamos a las computadoras, lo hacemos
también con los hombres que las rodean, pues estos deben hacer –habi-
tualmente en forma menos eficiente– las tareas que las máquinas pudieran
hacer –más rápida y eficientemente– y no hacen. Dicho en otras palabras,
toda la eficiencia integral del sistema disminuye. Hace ya más de cincuenta
años que un gran adelantado, Norbert Weiner, conocido por muchos como
el “padre de la cibernética”, por sus aportes a esa ciencia, dijo ese gran
aforismo que reza: “Dad al hombre lo que es del hombre y a la máquina lo
que es de la máquina”.
Con referencia al control interno, muchas tareas, tanto de los controles
administrativos como contables, deben ser realizadas por el sistema
computariz ado y de ben reservarse al hombre algunas q ue la computadora
no pueda realizar.
8
Como se expresaen otros capítu los de esta o bra, la contabilidad clási ca todav ía desconoce esas
realidades de l aactual erade la informació n y el conocimiento . Para compro bar est o basta con
revisar el si stemacont able de ciertos país es.Mucho s e ha escrito sobre el tema y el auto r de este
lieltrabajo
bro t ambién hizo s umodesto
“Información, aporte enyeleco
conocimientos Congreso Int ernacionalsobre
nomía. Reflexiones “INFO 2002”yyellocosto
el valor p ublde
icólos
en
recurs os informativo s”, consignadoen bibl iografía.
78
El problema estriba entonces en diseñar un sistema informatizado con-
table que tenga la suficiente solidez como p ara que la p arte comp utarizada
asimile ciertas tareas de control, las más estructuradas, las más relaciona-
das con el proceso automatizado de la información; y la parte humana el
resto de las tareas, aquellas que requieren de más creatividad, o de habili-
dades
Quetípicamente humanas.
algunos sistemas informatizados contables tengan controles débi-
les, no quier e decir qu e todo s los deba n tener así. En definitiva los sistemas
manuales llevan miles de años de desarrollo e igualmente tienen debilida-
des e insuficiencias.
Hay que trabajar precisamente en el fortalecimiento de esos controles,
para elaborar sistemas infor matizados sólidos y fiables. En ello, los conta-
dores y auditores tienen una responsabilidad indelegable, pues los infor-
máticos necesitan de sus conocimientos técnicos para poder expresarlos
en mejores programas de computadoras.
Seguidamente se pasará a exponer soluciones concretas a cada uno de
los aspectos relacionados con el control interno.
LOS PRINCIPIOS DE CONTROL INTERNO EN LOS

SISTEMAS INFORMÁTICOS CONTABLES: NUEVA VISIÓN
Un adecuado sistema de control interno comienza por la definición
clara y sin cuestionamiento alguno, de la responsabilidad de diseñarlo y
mantenerlo, para que produzca información confiable y oportuna. Esa
responsabilidad pertenece a la administración de la entidad. 9
Para que la admini stración p ueda asumir esa responsa bilidad, debe apo-
yarse en dos especialistas idóneos para esa función: el contador y el audi-
tor interno, aunqu e tambié n puede u tilizar a algún consu ltor externo. En el
caso de un sistema informatizado, donde el control interno se comparte
entre los programas de computadora que integran el sistema y las personas
que trabajarán con él, se impone la definición de los requisitos de control
desde el momento de la elaboración del sistema o desde el análisis de los
disponibles en el mercado para su compra. Elaborar un sistema o comprar-
lo sin considerar los requisitos reales de control interno de la entidad es
una gran irresponsabilidad, pues después de terminado o de comprado
resulta prácticamente imposible su adecuación. Por ello, la administración
9
Audi to rí a , ob. cit., pp . 209-212.
79
o gerencia, debe propiciar y exigir que sus máximos especialistas en con-
tabilidad y auditoría participen en la elaboración del sistema o en la eva-
luación para su adquisición.
Resulta asombrosa la cantidad de entidades que adquieren costosas li-
cencias de software contable, resultando después que no pueden utilizarlo,
10
porqEn
uerelación
no se adecu
con laa responsabilidad
a sus requisitos de
inform ativos y de control
la administración sobre elinterno.
control
interno en los sistemas informatizados, debe tenerse en cuenta también el
concepto de certeza razonable , el cual se vincula al análisis costo/benefi-
cio que debe realizarse al sistema de control. Este debe ser económico. Un
sistema compu tarizad o contable extremadamen te caro tal v ez no se justifi-
ca. Todo dependerá del valor de la información que se deba proteger. La
administración, ase sorada por sus especialistas en con tab ilidad y aud itoría,
debe anali zar hasta dónd e incurrir en es fuerzos de cont rol, y consecuent e-
mente en gastos, para proteger la certeza de las informaciones que se pro-
cesan.
Algoy más
interno a suque
respdebe considerar
onsabilidad, es la
el administración
asegur amiento con relación
de que al control
los cambios que
se hagan al sistema de contabilidad computarizado, a los efectos de mante-
nimiento, sean justificados técnica, organizativa y económicamente. Para
ello es una práctica sana el que dichos cambios estén aprobados, o incluso
dirigidos, p or el conta dor y el audi tor interno.
Otro aspecto que debe atender la máxima responsabilidad de la enti-
dad, es la estimulación para el surgimiento y florecimiento de una cultura
de control interno y de protección d e los recursos info rmativos y de cono -
cimiento de la entidad. Cuando todos los empleados han interiorizado la
impor tancia d el contro l interno, lo val ioso que resultan las bases de d atos y
el software, lo necesario que resulta cumplir con los planes y procedimien-
tos establecidos, entre otros elementos a considerar; el control interno se
hace más efectivo. Para garantizar esto, no basta con declaraciones por
escrito o verbales en alguna reunión. Se requiere de un trabajo cultural,
administrativo y or ganizativo; del ej emplo, el chequeo , el apoyo sis temáti-
co. Todos los empleados deben ver y sentir que la administración concede
una gran importanci a al control interno y a la seguridad y protecci ón de los
10
Eninvestigacion es que el auto rha realizado y en cursos que ha impartido ,ha escuchado más d e
una vez, lasamargas quejas de gerentes, fun cionarios, contadoresy audit ores, referidas aqu e “el
si
lostema que compraron”,
s pro blemas. caro,complejo
Co sas así ocurrenpo rqueypo r loeren
adqui g eneral de firmassin
un p roducto intevaluarlo
ernacionaladecuadamente
es, no soluciona
y
si n analizar sus verdaderas necesid ades informativ as y de con trol.
80
recursos informati v os, que aprecie n q ue ellos piensen y actúen igual y que
de no hacerlo enfrentarán consecuencias administrativas y hasta legales
por ello.
Los aspectos culturales deben apoyarse en el plan de org anizac ión ,
documento en el que deben definirse las responsabilidades y la autoridad
de aquellos vinculados
computarizado contable;a así
los como
procesos
los ymedios
procedimientos
materialesdel sistema para
necesarios
asumir esa responsabilidad y para ejercer esa autoridad. Ese documen-
to debe ser ampliamente discutido y aceptado por todos los implicados, y
debe ser el soporte administrativo para el chequeo y apoyo sistemático al
control interno.
Un aspecto clásico en el control interno desde tiempos inmemoriales,
es la separación de funciones incompatibles . Se plantea en general que las
funciones de ejecución y custodia deben mantenerse separadas de las de
registro. ¿Cómo se manifiesta este principio en el caso de sistemas conta-
bles computarizados? Por supuesto, se cumple en su aspecto clásico: por
ejemplo,
embargo,quien
debe paga la nómina
ampliarse no debe participar
para reconocer en realidades.
las nuevas su elaboración. Sin
Veamos
algunas recomendaciones adicionales:
• Los anali stas de sistemas y prog ramadore s qu e conf eccion aron el
sistema no deben ser sus operadores.
• El custodio de la v ersión ori ginal y operat iva de l sistema no debe s er
uno de sus operadores, ni uno de sus elaboradores, ni tampoco el
contador. Igualmente debe ocurrir en el caso del custodio de las ver-
siones de seguridad de las bases de datos.
• Los cambios al sistema, sea por nuevas necesidade s de la adminis-
tración, sean de
introducción pornuevo
cambios en el sistema
hardware contable
o de nuevo nac ional,
software básicosea por la
o por
otras consideraciones técnicas, deben ser solicitados y aprobados o
no po r la administraci ón y p or sus delegados , el co ntador y el audi-
tor. Las nuevas versiones sustituirán a las antiguas en todas las má-
quinas en un proceso cuidadosamente controlado por el contador y
el auditor, incluy endo, por supues to, la versión de seguridad.
• Las personas que alimenten al sistema contable computarizado con los
datos primarios, no deben ser los utilizadores de la información final ya
procesada. Para lograr esto, el sistema computarizado debe ser integra-
do. Por ejemplo, la función “Elaboración de la nómina” debe servir no
sólo para confeccionar
sino también la nómina
para elaborar de salarios
automáticamente y sueldos del de
el comprobante personal,
gastos
81
por el mismo concepto. Otro ejemplo de comprobante automático
puede ser el de la depreciación mensual y su acumulación de los
activos fijos.
• Sólo las perso nas autor izadas po drán consult ar las infor macione s
procesadas por el sistema.
• indiscriminadamente
Los ope rad ores del las
s istema
bases com putarizado
de datos. Incluirno
unpodrá n manip ular
dato, modificarlo
o darle de baja son operaciones, q ue sólo podrán ser reali zadas cuand o
exista la autorización expresa (ver más adelante) y de la cual deberá
quedar constancia. El software será diseñado de tal manera, se impi-
da cualquier manipulación indebida.
• Las copias de seg urida d d e las bases de datos o d e cualquier otra
información que lo justifique, serán hechas automáticamente en los
momentos o perío dos que se hayan dete rminado du rante el proces o
de diseño. Los custodios tendrán la responsabilidad de conservarlas
en lugar s eguro, previament e acordado con la admi nistración y sus
delegados, el contador y el auditor.
Es posible que en casos particula res de determinadas entidades o deter-
minados sistemas computarizados, se exijan otras medidas adicionales de
separación de funciones, pero las esbozadas representan una lista bastante
completa.
El pr incipio de con trol interno de la autorización general y específica
se manifiesta con mucha fuerza también en los sistemas computarizados
contable s. Debe qu edar claro en el caso de cada opera ción compu tarizada
o manual, quién es el funcionario que autoriza la operación, tanto desde el
punto de vista de su cargo como de la persona específica. En el caso de los
sistemas computarizados,
el establecimiento esa autorización
de un procedimiento toma forma
riguroso explícita seguras,
de contraseñas mediante 11
relacionado con la jerarquía y de sempeño d e cada func ionario y empleado
que intervenga en la operación del sistema, la alimentación de los datos
primarios, la utilización de la información y la custodia de las copias de
bases de datos y de versiones de seguridad del sistema.
Otro principio de control interno que adopta formas peculiares en el
caso de los sistemas computarizados, es el de ejecución de las transaccio-
nes. Como es conocido, el término “transacción” se refiere tanto al inter-
cambio de activos y servicios entre la entidad y grupos internos y dentro
11
Sobrecon traseñas seguras se ha escrit o mucho . Véase, p or ejempl o, los artícul os de J. Coira, y
de S. Arbon a y D. Mato s, cons ignados en bi bliografía.
82
de la prop ia entidad. 12 El diseño del sistema computarizado contable debe
garantizar automáticamente:
• Que todas las transacciones qu e se pro duzcan se procesen. Para ello
deben establecerse chequeos automáticos de transacciones complemen-
tarias (por ejemplo, todas las solicitudes de materiales del almacén de-
ben ser igual a la suma de las entregas de materiales del almacén y a las
denegaciones por diferentes causas: ninguna puede perderse). Si al-
guna falt a, la co mputadora debe emi tir un mensa je reclamándola, y
reflejar su ausencia en las bases de datos de transacciones faltantes.
• Que ninguna transacción indebida se proc ese. También aquí puede
utilizarse el método de las transacciones complementarias (por ejem-
plo, ningú n trabajador que no hay a asistido al menos un día al trabajo,
podrá aparecer en la nómina de sueldos y salarios). Si algo indebido
se intentara procesar, la computado ra debe emitir un mensaje alertand o
esa situación y reflejar el incidente en las bases de datos de transac-
ciones indebidas, recogiendo también la contraseña del funcionario
que intentó introducir la transacción.
• Que ninguna tran sacción proces ada se pierda. Deben conse rvarse,
como mínimo, el tiempo que la legislación nacional establezca. Por
ejemplo, en Cuba son cinco años, al igual que en Bolivia y en otros
países de América.
• Que s ólo se pro cesen las transacciones q ue cuen ten con la a utori-
zación debida. Para ello se utilizará la contraseña que identifica a
cada funcionario o empleado. Debe existir una correspondencia
“con traseña de cad a funcionario o empleado-ti p o de tr ansacción”.
Esa corres p ondencia s e p r ograma, por lo que s u chequeo, s erá au-
tomático.
Adicionalmente, se deben establecer también controles para garantizar
el registro adecuado de las transacciones, en otras palabras, registrar las
transacciones que se realicen en una forma correcta, lo cual incluye la
cantidad apropiada, la cuenta adecuada y hacerlo dentro de un tiempo
razonable, después de consumarse el hecho económico que la generó. Ello
puede lograrse incluyendo en el sistema computarizado controles de valida-
ción de razonabilidad, de rango, de fechas, contra bases de datos maestras,
de tipo de campo, etc.; que disminuyan lo más posible la introducción de
errores o fraudes. Si se usan documentos prenumerados para recoger los
12
Aud it or ía , ob. cit., p. 215.
83
datos primarios, deben incluirse el chequeo de esa prenumeración para
llamar la atención sobre documentos faltantes o duplicados. Estos y otros
posibles controles, darán una alta probabilidad de garantía de que se ha
hecho el registro adecuado de las transacciones.
El uso de redes d e computadoras , que p ermiten la ub icación d e máqui-
nas
nes, en
loslos lugares donde
departamentos se realizanentre
productivos, los hechos
otros–,económicos –losque
ha posibilitado almace-
cada
día el trabajo interactivo en tiempo real –procesar cada transacción en el
momento en que se produ ce– gane mayor prepo nderancia sobre el t rabajo
en lotes, típico de una época en que se utilizaban grandes mainframes con-
centrados en cen tros de cálcu lo. Debido a ello, méto dos de validación como
la suma control, para garantizar la completitud de cada lote, están perdiendo
importancia técnica día a día, por lo que no merece comentarlos aquí.
Se debe también llamar la atención sobre el hecho de que la inconteni-
ble reducción de precios del equipam iento inform ático, su pro gresiva minia-
turización, el desarrollo de equ ipos para con exiones no cableadas (W ireless),
la producción
internet, de laptops,
propician palmtops técnicas
las condiciones y teléfonos celulares con
y económicas conexiónpara
necesarias a
reducir lo más posible e incluso eliminar, el uso de documentos sobre pa-
pel en el trabajo económico, contable y financiero de las entidades. Ello
exigirá modificar aún más los procedimientos de control interno, por lo
que las recomendaciones que aquí se hacen adquirirán mayor validez en
esas condiciones
Quizás sea difícil para personas, que han crecido en una cultura en la
cual el papel ha sido el soporte de información por excelencia durante si-
glos, pensar que pueda ser eliminado de la actividad económica o al menos
perder su protagonismo. Pero nadie se preocupe: así será, y será para mejo-
rar. Cuando el autor ha expuesto esta idea en sus clases o en otros foros, y
alguien le pregunta, “Entonces, ¿cómo podrá ser posible controlar los he-
chos económicos?” ; siempre le responde con otras preguntas, “¿Acaso no
estamos sepu ltado s en papel y no tenemos apen as con trol en mu cha s activi-
dades económicas?”; “¿Ha podido el papel, y de él los innumerables for-
mularios que se llenan, con copias y más copias, evitar los robos, los des-
víos de recursos, los fraudes?” . Es que son las acciones de los hombres, y
no los documentos en papel, las que producen –o no– el control sobre los
hechos económicos.
Otro principio importante de control interno es el acceso a los activos.
En la era de la informatización y la comunicación en que nos encontramos,
este principio gana cada vez más importancia, pues actualmente aparece un
nuevo tipo de activo que requiere también de protección y de seguridad:
84
son los activos informativos y de conocimientos, como las bases de datos,
el software de aplicación, los sitios de internet e intranet para intercambio
de conocimientos. La administración de una entidad debe trabajar para
garantizar la seguridad y protección de este tipo de activos. Más adelante
se ahondará en el tema; sólo se expresará aquí que la administración debe
estudiar esa problemática
los recursos informativos, para
que elaborar y aplicar
debe consistir un plan
en siete tiposdedeseguridad
medidasde
o
acciones: de seguridad por software, para la compra e instalación de equi-
pos seguros y fiables, de construcción y reconstrucción de locales, legales,
administrativas y organizativas, relacionadas con la selección y la forma-
ción adecuada del personal, y culturales.
La calidad y el entrenamiento del personal es otro principio básico
del control interno. Es aceptado por todo que el éxito de cualquier siste-
ma de control interno, depende del personal calificado, de su adecuada
selección, y del entrenamiento conveniente. 13 Es importante reiterar que
en el caso de los sistemas computarizados contables, deben entrenarse
muy bienlosenempleados
y to dos el uso delysistema, no rios
f unciona sóloque
sus operadores,
utilizarán lasino el contador
inform ación; para
poder explotarlo en su máxima potencialidad. En muchas ocasiones el
autor ha evaluado complejos sistemas contables a los que sus usuarios
principales no le extraen todas las informaciones posibles, por simple
desconocimient o de cómo hacerlo o porq ue no saben có mo utili zarlas en
la gestión. Ello resulta imperdonable.
En relación al personal y a su entrenamiento, es recomendable la varia-
ción y rot ació n de trabajos . Es una pro puesta razonable (aunqu e difícil de
aplicar en empresas pequeñas) y nadie se opondría a ello, pero en el caso
de los sistemas computarizados contables habría que hacer una acotación
para mantener la seguridad y protección de los recursos informativos: si
un emp leado recibe la responsabili dad de trabajar en el sistema, y con ella
la contraseña que le autoriza a ello; cuando rote a otro puesto, esa contra-
seña debe ser inhabilitada, para impedir su utilización desde un puesto
indebido.
Otro principio destacado por muchos autores es la necesidad de tener
la docu mentación de utilización actualizada del sistema , para definir cla-
ramente la autoridad y responsabilidad de cada uno de los implicados en la
ejecución de las tareas, la descripción de esas tareas y las formas de realiza-
ción, etc. En el caso de los sistemas compu tarizados contables, en o casiones
13
Ib ídem,p. 2 16 .
85
se cuenta con la ayuda en línea o con algún CD con cierta descripción del
sistema y sus actividades. También a veces cuentan con un manual sobre
papel. Pero no es menos cierto que esa ha sido una gran debilidad de los
sistemas computarizados, al menos en Cuba: la ausencia de documenta-
ción de utilización adecuada, o su desactualización. Sin documentación
actualizada
la renovaciónel de
sistema no p uede
lo s manu explotarse
ales, en convenientem
el caso de ente. Ello
nuevas ver siones incluye
del sistema.
Se puede llegar a extremos tales, como en el caso de los sistemas banca-
rios, de compañías de aviación o de seguros, de que las empresas que
contratan a los sistemas deban exigir no sólo información de explotación y
utilización, sino de elaboración, pudiendo esta llegar a incluir hasta los
programas fuente. Ello le confiere un alto grado de confiabilidad al siste-
ma que están explotando, e incluso, ante cualquier situación imprevis-
ta –como la disolu ción de la c ompañía el aboradora– tienen la documenta-
ción necesaria para enfrentar esa contingencia. Por supuesto, si el sistema
se elabora internamente en la entidad, hay que exigir a los elaboradores la
confección
ante cambios de almanuales
sistema.de documentación de usuario y su actualización
¿Son estas todas las adecuaciones que habría que hacerle a un sistema
de control interno para asimilar la informática? Por supuesto que no: cada
entidad requerirá su propio enfoque, su propio estudio, para adaptarlas a
sus condiciones particulares.
Finalmente, es prudente reiterar algunas ideas: El sistema informático
debe impla ntarse d espués de haber real izado una prof un da y seria evalua-
ción por todos los funcionarios implicados, incluyendo por supuesto, al
contador, al auditor y la alta gerencia. Sin un adecuado sistema de control
interno, el sistema computarizado contable está sencillamente incompleto
y no puede utilizarse.
La corporación Xu bel ha adquirido un sistema info rmático pa ra pro-

cesar sus informaciones administrativas, contables y financieras. Su di-
rector de informática, asesorado por sus mejores especialistas en compu-
tación, valoró técnicamente varias propuestas, y eligió el más eficaz
informáticamente, aunque resultó relativamente caro. Después explicó su
decisión en el Con sejo de Dirección de la corporación . Se estableció un
plan de implantació n, donde se entrenó al personal. Se sustituyó el siste-
ma anterior y se comenzó la explotación del nuevo sistema.
86
En los siguientes meses, se comenzaron a detectar algunos problemas
en la infor mació n. La gerencia gene ral inquirió sobre e sas situac iones
con el contad or y e l jefe del depart amento d e aud itoría interna. Estos le
informaron q ue el sistema a dqu irido presentaba cierto s problemas en los
módulos de captación de datos, que impedían establecer controles efica-
ces sobre la inform ación primaria, lo q ue motivaba qu e en traran datos

erróneos a l sistema.
El gerente genera l llamó al director de informática y le preguntó al
respecto. Este le expresó que no conocía nada sobre esa situación, que
nadie le informó sobre esa necesidad de controles y que ya no se podía
rectificar, a n o se r qu e le con trataran a la emp resa su ministrado ra la mo-
dificación del sistema, cosa que podría costar muy cara. El gerente le
pregun tó entonc es al contado r, y este respon dió qu e nadie le consultó so-
bre la a dq uisición d el sistema. An te la misma pregunta, e l jefe de a uditoría
interna explicó que tampoco había sido consultado.
–Bien, señores, ¿ qu é recomien dan ha cer entonces? –preguntó el ge-
rente general a los tres funcionarios.
El auditor jefe y el con tado r meditaron la respuesta, pero el informático
respondió rápidamente:
–Creo q ue lo mejor es contratar a la casa suministra dora la mod ifica-
ción . En tres meses ta l vez ya estará h echa .
Preguntas
1. ¿Por qué puede un a cuenta contable en un sistema informa tizado de

contabilidad, adquirir un valor contrario a su naturaleza? ¿puede
existir, por ejem plo, una cuenta de inventa rio co n valor negati vo?
2. ¿Un solo tipo de m edidas de control i nterno es sufic iente para garan-
tizar este?
3. ¿El sistema de co ntrol inte rno de una empres a dad a se limita a la
actividad contable?
4. ¿En qué cambi a co n relación al control interno, la informat ización?
5. ¿Pueden t rabajar combi nadame nte las partes infor matizada y huma-
na de un sistema para garanti zar el con trol interno?
6. ¿De qui én es la máx ima responsabil idad en u na enti dad sobre su
sistema de control interno?
7. ¿Qué significa el conce pto de “ce rteza razona ble”?
8. ¿Por qué es impor tante la existencia de una c ultur a y una educa ción
con relación al control interno?
87
9. ¿En qué consiste el p lan de organiz ación?
10. Los cambios a un sistema informáti co d eben ser ap robado s exclusi-
vamente por los prog ramadores de computadoras, p ues en definit i-
va son los que pueden hacerlos. ¿Está de acuerdo con esa asevera-
ción? ¿por qué?
11. ¿Por quélaesinformación
reciban impor tanteque
quesesólo las personas auto rizadas para ello
les destina?
12. ¿Un sistema informático debe asimilar todas las informaciones que re-
flejen los hechos económicos de la entidad? ¿Bajo qué condiciones?
13. ¿El acceso a las computadoras de una entidad debe ser controlado?
¿Bajo qué principios?
14. ¿Por qué es bueno rotar al perso nal que se ocupa del proces o de
información?

En la entidad donde trabaja o estudia, analice el sistema de control
interno existente, y trate de detectar tres po sibles causas de ri esgo de afec-
tación de los recursos informativos. Además, intente diseñar medidas de
control que reduzcan o eliminen esos riesgos.
88
INTRODUCCIÓN
Como ya se ha expuesto en otros capítulos de esta obra, la participa-
ción d el auditor, sobre todo interno, en un ambiente de sis temas comp utari-
zados, debe comenza r dur ante el proceso de diseño o de adqu isición de las
aplicaciones que se decida introd ucir e n la entidad. Ese es un criterio gene-
ralizado, y apoyado incluso por el CIPA, 1 con el que coinc iden otros auto-
res citados en esta obra.
La lógica de tan temprana participación es irrebatible: para que una
aplicación informática tenga incluidos todos los controles que garanticen
su calidad, el auditor deberá intervenir desde las etapas iniciales de su
proceso
incurre sideinterviene
diseño,y así evitar los
en etapas excesivosNo
posteriores. costos de rediseño
siempre en que se
el diseñador
informático advierte la necesidad de añadir unos controles que, según su
criterio, verdaderamente podrían complicar el diseño del sistema. Los
diseñadores tienden a concentrarse en las funciones principales de la apli-
cación, a su interfase con el operador, pero en ocasiones suponen que la
explotación debe transcurrir sin dificultades ni problemas, por lo que no
consideran necesario incluir controles. El auditor, sin embargo, tiene pre-
sente la necesidad de un sistema de control interno eficaz, para garantizar
la calidad de la información que se utiliza en los estados financieros y de
1
Comité Int ernacional de Prácticas de Audi to ría, ob . cit., pp. 34 8, 357, 4 69 y ss.
89
otros reportes e informes importantes para la dirección y control de la en-
tidad. Ese sistema de control interno, en una aplicación informatizada, se
obtiene al incluirle el conjunto de controles mencionado en el capítulo
correspondiente, y ello debe hacerse desde las más tempranas etapas de
diseño y elaboración del sistema informático.
Otras razones
su elaboración que justifican la participación del auditor en el diseño y
son:
• El auditor conoc e muy bie n la lóg ica económi ca, f inanciera, legal,
de dirección y control de la función que se automatiza. Su conoci-
miento pued e ser mu y útil a los informáticos en el pro ceso de diseño,
los cuales no necesariamente poseen el conocimiento del auditor.
• Al p articip ar en el dis eño del sistema, el auditor c omp rend erá m e-
jor su lógi ca interna de este, lo que le posibilitará prepara r y ejecu-
tar mejores auditorías al propio sistema, una vez que este se en-
cuentre en explotación.
• El auditor será en sí mismo, un elemento de bal ance en el proceso de
diseño y elaboración. Deberá exigir que se cumpla el sistema de con-
trol explicado en capítulos anteriores. Su opinión será muy valiosa
para la dirección de la entidad que desea introducir el sistema.
• Su participación dará un mayor ba lance al proceso de diseño: será
una contrapartida técnica importante para el diseñador.
Lógicamente, la participación del auditor estará muy bien delimitada
por su propia especialidad y sus conocimientos técnicos básicos. Él no se
dedicará a evaluar, por ejemplo, si la utilización de un algorit mo de orde-
namiento y clasificación empleado para organizar determinada informa-
ción, es mejor qu e otro; o si el uso de un lengu aje de pro gramación es más
eficiente que otro. Ambos problemas son típicos de la esfera profesional
del informático. El trabajo del auditor se enfocará hacia las cuestiones ya
mencionadas más de una vez en esta obra: la esencia económica, financie-
ra, legal, de dirección y de control de la aplicación que se automatiza.
Igualmente sucedería en el caso en que se decida adquirir el sistema
informático mediante compra, cesión u otro método. El papel del auditor
como contrapartida técnica de los vendedores será muy importante para
garantizar que el producto que se adquiera responda a los requerimientos
de la entidad.
Este tipo de auditoría forma parte de otra más general, la Auditoría a la
función in formática , pero por su importancia a los efectos de una aplica-
ción en particular, se está analizando independientemente en esta obra. En
90
un capítulo posterior, se analizará la auditoría a la función informática en
sus restantes componentes.
Para desarrollar las tareas que se están describiendo, el auditor debe
poseer los conocimientos y habilidades mencionados en el capítulo co-
rrespondiente de esta obra. Entre estos mismos se encuentra el conocer la
secuencia
creación y de trabajos del
desarrollo quesistema,
los diseñadores
llamadas realizan durante las
genéricamente etapas
“ciclo de de
vida
del sistema”, y los resultados que deben ir logrando. A continuación se
presentarán algunas variantes de ciclos de vida que pueden ser usadas en
el proceso de diseño, y que el auditor debe conocer .
MODELO S BÁSIC OS DE LOS CICL OS

DE VIDA DE LOS SIST EM AS INFOR MÁTICO S
Como y a se ha exp resado, las aplicaciones info rmá ticas tienen un ciclo
de vida , desde su nacimiento hasta el momento de su sustitución. Este
ciclo se compone de una serie de etapas y fases sucesivas, pero muchas
veces interpenetradas, donde los diseñadores realizan diversas tareas y
obtienen distintos resultados, como programas o documentos. Asimismo,
los usuarios o clientes también deben realizar ciertas acciones físicas, eco-
nómicas, de análisis y de toma de decisiones, para asegurar la calidad del
sistema que se diseña.
Existen diversos modelos de ciclos de vida, todos asociados con el
parad igma d e trabajo que hayan escogido desarr ollar los di señadores del
sistema. De hecho, cada equipo de elaboradores puede elegir o diseñar
el ciclo de vida que considere apropiado para confeccionar el sistema
info rmático , y para gara nt izar la dirección y el contro l adecua do del pro-
ceso de diseño.
El modelo de ciclo de vida más difundido en la literatura especializada
es el ciclo “en cascada” . En este, lo s diseñado res r ealizan un a etapa o fase
del trabajo, obtienen como resultado un documento o un conjunto de pro-
gramas, y lo someten a la aprobación de la dirección de la entidad, o sus
principales usuarios. Una vez aprobado el documento en cuestión, los
diseñadores pasan a desarrollar la próxima etapa o fase del proceso. Este
concluye con la entrega del sistema y su mantenimiento (en función de lo
reflejado en los c ontratos o conv enios). Es pos ible qu e en algún momento
del trabajo, sea necesario regresar a etapas anteriores para obtener más
91
información o modificar algo. En teoría, este “regreso” debe ser una ex-
cepción en el proceso. 2
La figura 6.1 p ermite apreciar gráfica mente este proceso.
Fig. 6.1. Modelo del ciclo de vida “en cascada”

Como se aprecia, el proceso nace con la existencia de un problema
informativo que debe ser resuelto. Los problemas informativos en las enti-
dades son de la siguiente naturaleza:
• Se necesita informa ción que no se tiene.
• La informaci ón que exis te tiene errores e in suficiencias.
• La informaci ón llega t arde a los elementos que deb en tomar dec isio-
nes o eje cutar pr o blemas de control.
2
Existe mucha i nformación sobre este tema . Uno de los primeros texto s al resp ecto, que p uede
consid erarse hoy un clásico , es el Manu al de los sist e mas de inf or maci ón , de W. Hartman y
ot ros, Ed. Parani nfo , Madrid , 1975 .
92
• Obtener la inform ación con los medios con que s e cuenta está resul-
tando muy costoso.
• Se desarrolla una nueva funci ón o t area en la entid ad, y requi ere un
nuevo sistema informativo que la apoye.
Ese problema informativo motiva a la dirección de la entidad a desarro-
llar un sistema informático o a adquirir uno (compra, cesión u otros medios).
Si se decide desarrollarlo, puede hacerse contratando los servicios de
una consultora para elaborar software o hacerlo con analistas, ingenieros
en software y progr amadores de la pro pia entidad.
En cada uno de los rectángulos de la Fig. 6.1, aparecen los nombres
de las etapas de trabajo que desarrollan los diseñadores para ir paso a
paso, y obtener, al final del proceso, un sistema informático en pleno
funcionamiento.
En la tabla 6.1 aparecen los objetivos y resultados que se deben obte-
ner al final de cada etapa.
Tabla 6.1
93
Fuente: Elaboración del autor.
Este modelo de ciclo de vida se ha convertido en el clásico de la teoría

informática. Sin embargo, la mayoría de las veces la práctica exige su modifi-
cación o adaptación. No siempre se p uede esperar a tener perfectamente defi-
nidos los resultados de una etapa antes de pasar a otra. Tampoco se puede
esperar que los usuarios puedan expresar sus reales necesidades informativas
o puedan evaluar las verdaderas causas de su problema informativo. Muchas
veces se requiere de un trabajo profundo de investigación del equipo de dise-
ño, para interpretar las necesidades informativas de la entidad.
Para solventar algunas de las insuficiencias de este modelo, se han di-
señado otros también interesantes y útiles.
Uno de ellos es el modelo de prototipos .3 Un prototipo es un sistema
informático, modelo temporal, a su vez de ese otro sistema que se quiere
desarrollar. El p rototipo tie ne caracte rísticas fun cionales análo gas, así como
similares informaciones que entran o salen del mismo. El prototipo puede
solucionar el problema informativo que motiva el diseño del sistema defi-
nitivo, aunque quizás lo haga menos eficientemente. El prototipo es simi-
lar al sistema informativo por los problemas que resuelve, por las funcio-
nes que desarrolla y por las informaciones que utiliza; y es diferente por la
forma en que lo hace y por el software que emplea. El objetivo final del
prototipo no es la explotación definitiva (aunque en algunos casos se utili-
ce así), sino permitir que el usuario final aprecie en un modelo en pleno
funcionamiento, cómo operará el sistema informático definitivo: podrá
apreciar cómo serán las salidas o resultados, qué informaciones de entrada
requerirá y cómo debe proporcionárselas, qué impacto tendrá el sistema
en la organización, qué medidas concretas deben tomarse para implantarlo
y cómo funcionará la entidad con el sistema informático en explotación.
El protot ipo se elabo ra con lenguaj es de programació n de alta prod uc-
tividad (como los lenguajes de cuarta generación), que permiten diseñar el
3
Sobre el trabajo con protot ipos, véase un o de las primeras pub li caciones sobre el tema de D.E
Klinger: “Rapid proto tiping revisited”,revista Dat amat io n ,octubre 15 d e 1986.
94
sistema en forma muy rápida, aunque quizás no sean eficientes en su
explotación.
En la elaboración del prototipo intervienen activamente los usuarios,
pues el diseño se hace con su participación, directamente en la máquina y
realizando interactivamente las modificaciones que ellos propongan, pro-
bando repetidamente
dos para el sistema
la prueba) . Hay, pues, ucon datosde(reales
n ciclo o ficticios,
elaboración perointerac
-prueba adapta-tiva
hasta lograr la aceptación del usuario.
El ciclo de vida p or p rototipos es apropiado p ara so lucionar p roblemas
informativos relativamente pequeños.
La figura 6.2 describe gráficamente en una forma más detallada, el
proceso esbozado.
Fig . 6.2. Modelo del ciclo de vida por prototipos
95
Los objetivos de cada etapa, así como sus respectivos resultados, son
similares a los expuestos en la tabla 6.1, exceptuando, lógicamente, a la
etapa Diseño intera ctivo y prueba del siste ma prototipo , donde se realiza,
como ya se explicó, la confecci ón y p rueba interact iva d el prototi po con la
participación del usuario.
4
Es importante también modelo basado en h erramientas C ASE . Una

herramien ta CASE es un el
conjunto de programas de computadora (soft-
ware) y una metodología de trabajo con esos programas para diseñar siste-
mas informáticos en forma automatizada. CASE significa Computer aid
software en gineering , o Ingeniería de software con apo yo de computadoras.
El proceso de diseño y elaboración de un sistema informático con herra-
mientas CASE es un proceso altamente automatizado, y por tanto, muy
rápido y productivo. Se puede decir que la tendencia en el mundo del
software de aplicación es de utilizar este tipo de herramientas y métodos
de diseño.
Existen muchos tipos de herramientas CASE, que desarrollan diferen-
tes funciones. Entre las más comunes se encuentran:
• Realizar determin ados t ipos de d iagrama s: de clases, de flujo de da-
tos, de estructura de procesos, etc.
• Referir ca da uno de los elementos de los diagramas real izados a un
diccionario de datos.
• Describir cada uno d e los elementos en el diccionario de datos. Con-
trol de nom bres, alias, tipos de datos, estructura de datos, tamaño, etc.
• Describir cada uno de los procesos u objetos elementales o primitivos.
• Generar un c ódigo fuente de esos procesos.
• Diseñar las bases de dat os a utilizar. Aplicar la tec nología es tableci-
da
esepo r el mod
diseño. Porelo de datossique
ej emplo, se utilelizamo
se utiliza para reali
delo zar adecuad
relacional amente
de bases de
datos, el diseño tendrá en cuenta las formas normales para evitar
deficiencias.
• Generar, actualizar e imprimi r la documentaci ón de análisis y diseño.
El lector advertirá que el uso de un CASE reducirá considerablemente
o eliminará la nece sidad de la fase de pr ogramación en el ciclo de vida, por
cuanto los programas se diseñarán automatizadamente. Asimismo, se sim-
plifican algunas etapas y fases, como por ejemplo, la etapa de Análisis de
4
Sobre eltrabajo con herramientas CASE,véase Herra mientas CASE. Metod olog íaestructurada
pa ra el desarr ollo ,consig nado en bibli ografía.
96
la situación existente, pues la documentación técnica se obtiene automá-
ticamente. También la etapa de Diseño detallado del nuevo sistema se sim-
plifica y se une con la etapa de Desarrollo del nuevo sistema, ya que el
diseño y la programación se realizan simultáneamente. El resto de las etapas
y fases tienen características similares a las explicadas en la tabla 6.1.
vidaLausando
Fig. 6.3 muestra gráfica
herramientas CASE. mente cómo q uedará el m odelo de ciclo de
El uso de una herramienta CASE simplificará el ciclo de vida y el trabajo de
los diseñadores, pero no cambia la esencia del diseño del sistema, de su docu-
mentación técnica de diseño y elaboración y de los programas que se elaboran.5
Fig. 6.3. Modelo del ciclo de vi da usando herrami entas CASE
La adquisición de un software de aplicación para utilizarlo en la enti-

dad tendrá otras implicaciones. Se requerirá estudiar detenidamente las
características de diseño y utilización del software antes de decidir su ad-
quisición y utilización. Igualmente será necesario establecer ciertas condi-
ciones contractuales que garanticen los inevitables cambios que se debe-
rán realizar en la etapa de Mantenimiento del sistema.
Un error frecuente en las entidades es adquirir software sin evaluar sus
características técnicas en fo rma adecuad a, ni establecer garantías contrac-
tuales de modificación. Ello muchas veces invalida los beneficios de ad-
quisición (en ocasiones eso ocurre cuando se utiliza software “pirata”, o
shareware, obtenido a través de las redes o directamente de sus autores).
Cfr. G.The Tao

mencionada; of Obj ects , de G.Ent sminger, M&T Boos, 1995; “Herramientas CASE”, obra y a
“Análisis y di seño orientado a objeto s” de J. Martín y J . Odell, Prentice Hall , 1 994;
“Object data management”, de R.G.G. Catell, Addison-Wesley Pub.Co., 1994.
97
En un caso u otro, el ciclo de vida es considerablemente más sencillo, pues
las etapas de diseño y programación dejan de ser necesarias. La Fig. 6.4 mues-
tra un esquema de este modelo.
Pueden existir otras variantes de ciclos d e vida, pero las esenciales se han
reflejado aquí. El aud itor d ebe conocerlas y dominar sus características para
permitir su trabajo durante el proceso de diseño y elaboración del sistema.
Fig. 6.4. Modelo de ciclo de vida para la adquisición de software mediante com-
pra, cesión u o tros medios
EL AUDITOR DURANTE LA ELABORACIÓN

O ADQUISICIÓN DEL SISTEMA INFORMÁTICO
La esencia
adquisición del sistema
de un trabajo informático,
del auditor durante
ha sido los procesos
descrita ya endealgunas
creación
sec-o
ciones de es ta obra, incluso en es te capítulo. Ahor a se d etallará minuciosa-
mente, de manera q ue se comprenda en forma pr áctica q ué debe hacer es e
profesional en esas etapas del ciclo de vida de un sistema.
Como ya se expresó, una de las tareas básicas del auditor, es garantizar
que el sistema que se está diseñando o en proceso de adquisición procese la
información con un alto nivel de calidad y ofrezca un grado aceptable de
certeza sobre la situación económico-financiera de la entidad y los hechos
económicos acaecidos. Para ello debe aportar sus conocimientos y expe-
riencias, como un consultor independ iente del equipo de diseño, y colaborar
con sus sugerencias o exigencias técnicas.
98
En el capítulo 4 se abordó el tema de los controles de desarrollo aplica-
dos durante los procesos de elaboración o adquisición del sistema, y nece-
sarios en cada una de las etapas y fases de esos pro cesos. Se mencionar on
los siguientes subconjuntos de controles:
• Control es de análi sis de factibilidad técn ico-económi ca.
• Control es de an álisis detallado de la s itua ción exis tente.
• Controles de diseño detallado.
• Controles de desarro llo y prog ramación.
• Controles d e pruebas e implantación.
• Controles de man tenimiento.
El auditor es el encargado de explicar el porqué de su necesidad, las
causas de riesgos q ue los motivan y los riesgos que se crearían de no u tili-
zarlos. El informático deberá solucionar el problema técnico de su dise-
ño y su inclusión en el sistema como parte del mismo. El tandem Aud i-
to r-Dis e ñad or info rmá tic o (y otros usuarios fundamentales, como el
contador),
adquiere. contribuirá mucho a la calidad del sistema que se elabora o
Otra tarea del auditor será actuar como un asesor independiente (ya sea
interno o externo) encargado de evaluar el trabajo del equipo de diseño o
de la entidad vendedora, y de trasladar sus criterios a la Dirección, a la que
apoy ará y asesorará en las decisiones que ésta deba tom ar sobre el proceso
de elaboración o ad quisición del sistema info rmático. Su asesoría, se reite-
ra, se limita al campo de su competencia: la contabilidad, las finanzas, la
dirección y el control.
Las principales decisiones, en cada una de las etapas del proceso, se
muestran en l a tabla 6.2.
Tabla 6.2
99
Fuente: Elaboración del autor.
Del trabajo conjunto del equipo dirección de la entida d-aud itor-diseñador

informático , se obtendrá un sistema informativo útil y eficiente, con gran
calidad y perfectamente auditable durante su explotación.
Caso 5 para me dit ar

–Mira lo qu e bajé de internet –le dice Pepito, el in quieto y excelen te
informático de la e mpresa Sa lmex, a su jefe Ramón, dire ctor de Informáti-
ca–, es un sistema contable que está muy bueno, pues es rapidísimo y
tiene muchas opciones.
–Tenemos que mostrárselo a la gente de Contabilida d y de Auditoría
pa ra ver si les sirve –le responde su jefe.
–¿ Por qué, acaso n osotros no somos los especialista s en informática?
Ya yo probé esto co n un ejemplo que trae y te digo que funciona rapidísi -
mo.
–S í, Pepe, pero ni tú ni yo sab emos na da de contabilidad ni de au ditoría,
y po r eso tenemos que consultarlo con ellos.
–Pero es qu e esa g ente no saben nada de informátic a. Después empie-
zan de qu e si el sistema no tiene esto, que si no hace lo otro, y al final pues
lo complican todo. Y este sistema es gratuito, está bueno y cualquier cosa

lo modificamos cuan do la vida les exija algún cambio.
100
–Pep e, tú sabes perf ectame nte q ue estos sistema s no son fá ciles de
modificar. Además, no viene con docu mentación de usu ario. Prepara una
exposición con los datos que trae, vamos a mostrarlo y decidiremos qué
hacer cua ndo ellos no s den sus cr iterios.
–Lo voy a hacer po rque me lo ordenas, pero no esto y de acuerdo con
eso. ¿Somos lo que somos o no lo somos?
Preguntas
1. ¿Cuándo res ulta m ás caro modifi car un sistema, en las primeras eta-
pas del ciclo de vida o en las etapas finales?
2. Diga tres razones por l as cuales el auditor debe par ticipar en el pro-
ceso de elaboración o de adquisición de un sistema informático con-
table.
3. ¿Por qué todos los ciclos de vi da de los sistemas siempre están divi-
4. didos por etapas?

Mencione dos elem entos pos itivos y uno negat ivo, d el ciclo de vida
“en cascada”.
5. Mencione dos elem entos pos itivos y uno negat ivo, d el ciclo de vida
basado en prototipos.
6. Mencione dos elem entos pos itivos y uno negat ivo, d el ciclo de vida
basado en herramientas CASE.
7. Mencione al menos un aporte del auditor en cada u na de las etapas
de los ciclos de vida de los sistemas.

Revise, en la institución donde trabaja o estudia, si hay intenciones de
adquirir, elaborar o modificar algún sistema informático de aplicación en
el área financiera, contable o económ ica. Inquiera si lo harán co n la aseso-
ría y la participación de los auditores intern os, los co ntadores y otro personal
usuario. Analice qué tipo de participación tienen o se espera que tengan.
101
INTRODUCCIÓN
La auditoría a sistemas computarizados en explotación es la parte más
importante del trabajo del auditor contemporáneo. Al menos, puede ase-
gurarse que es la q ue requerirá de más tiempo y esfuerz o por su p arte. Es
también a la que se le dedica más atenci ón por los orga nismos normad ores,
por lo que ha y más desarrollo teórico disponible.
En este capítul o se resumirán las principal es tenden cias recog idas en la
literatura existente y en los documentos normativos, así como otras expe-
riencias obtenidas en el transcurso de los años de práctica profesional.
El objetivo de un a a uditoría a un s istema infor mátic o q ue esté en ex-
plotación es el mismo que a un sistema informativo manual o mecanizado:
expresar una opinión sobre la justeza y rectitud con que la información
resultante del sistema refleja la situación económico-financiera de la enti-
dad y los resultados de las operaciones, considerando los principios de
contabilidad generalmente aceptados.
Ese objetivo se complementa con la necesidad de evaluar el sistema en
sí, a partir del criterio de que, si el sistema es confiable, esto es, si procesa
la información de entrada con un alto nivel de calidad y seguridad, la in-
formación resultante puede ser evaluada convenientemente. El sistema
informático, si está bien diseñado, operará sin errores y sin permitir fraudes,
al men os con un cierto nivel de certeza. Por ello, se requiere precisar el nivel
de calidad de su diseño y sobre todo, del sistema de control interno, eje
102
fundamental para t ener una información repres entativa d e la realidad eco-
nómico-financiera.
En otra sección de esta obra se expresó que la auditoría en un ambiente
de sistemas computarizados se orienta más a prevenir errores y fraudes
que a detectarlos. Esto se manifiesta, sobre todo, en la labor que debe
hacerse durante
el capítulo 6 deelesta
proobra.
ceso Su
de dtrabajo,
iseño ypues,
elaboración d elenfoque
tendrá un sistema,más
descrito
anti- en
cipativo, más proactivo, para resolver problemas potenciales antes que se
manifiesten y produzcan efectos negativos. Pero no se puede garantizar la
calidad de la información resultante de un sistema informático basándose
sólo en la prevención: hay que estar seguros de que no existen errores ni
fraudes, y ello sólo se logra con una auditoría durante su explotación que,
mediante las pruebas requeridas, detecte el nivel de confiabilidad del pro-
cesamiento de la información que hace el sistema. Las principales pruebas
que realiza el auditor son las siguientes:
• Pruebas sustanti vas (o procedi mientos sustantivos):
Acciones encaminadas a obtener evidencia de auditoría para detectar
representaciones erróneas sustanciales en los estados financieros u otra
información oficial de la entidad. Pueden incluir las pruebas de detalles
de transacciones y saldos.
• Pruebas de cumplimient o de controles, 1 o simplemente pruebas de
control. 2 Estas prueban e l nivel de efectividad d el sistema de contro l
interno (capítulos 4 y 5 de esta obra).
• Procedimi entos analíticos. 3
Las primeras se destinan a comprobar si hay errores o fraudes. Las
segundas tienen como objetivo
tos en la documentación determinar
de usuario si losverdaderamente
del sistema, controles internos
se descri-
usan y
funcionan efectivamente.
Tanto unas como otras se adaptarán al ambiente informatizado, por lo
que deberán ser diseñadas en consecuencia, y deberán utilizar métodos
tales como:
• Auditoría a l a informa ción de entrada al sistema.
• Auditoría a las informaci ones resultantes o de salida.
1
W.B. Meigs: ob . cit., p. 188.
2
Comité In ternacion al de Prácti cas de Auditoría, ob. cit., p. 26.
3
Ibídem.
103
• Auditoría a las bases de datos del sistema.
• Auditoría a los program as compo nentes del sistema.
Deberán util izarse un conjunto de técnicas que se agr upan bajo el rubr o
genérico de “Técnicas de au ditoría con ap oyo d e computa doras” (TAAC),
que poco a poco van sustituyen do a las técnicas más orie ntadas a los s iste-
mas manuales.
El contenido del presente capítulo deberá complementarse con otros
anteriores o posteriores en la presente obra. Pero será imprescindible para
entender cómo debe trabajar el auditor en las condiciones de un sistema
informáti co en explota ción.
PREPARACIÓN DEL TR ABAJO DE LA AUDIT ORÍA

EN UN AM BIENTE DE I NFOR MATIZACIÓN
Durante la etapa de Inv estiga ci ón p relimina r de una auditoría, el
aud itor deb e lo grar suf icien te conoc imiento del sistema i nfor mático p ara
con cebir, ejecu tar, dirigi r , superv isar y r evisar e l tr abajo de la audit oría.
Deberá obtener una comprensión adecuada del ambiente de automa-
tización general en que se aplica el sistema, por ejemplo, los controles
generales de informatización (PED) que se utilizan, los procedimien-
tos generales de trabajo, etc. Deberá conocer cómo se realiza la opera-
ción del sistema, a partir del análisis previo de su documentación técnica
de diseño y de usuario.
Ese conocimiento le permitirá analizar el ambiente de control interno
general y específico, indicar los posibles niveles de riesgo global y en el
propio
la sistema,
auditoría. y comenzar
Es posible a pensar yque
que determine diseñar las pruebas
necesite la ayudaquede utilizará
un expertoen
adicional, por ejemplo, un especialista en redes de comunicación infor-
máticas.
Deberá obtener un conocimiento cabal de la importancia del procesa-
miento informatizado para la contabilidad y las finanzas en la empresa, su
complejidad y la disponibilidad de datos existente.
Deberá con ocer la estructura o rgan izacional d e las ac tividades infor má-
ticas que se llevan a cabo en la ent idad, y cómo se reali za el procesamie nto
(centralizado, descentralizado, distribuido) de la información; buscando
entender, por eje m plo, cómo se organiz a la segregaci ón de funciones o de
trabajos.
104
Es necesario que conozca cómo se efectúa la disponibilidad de informa-
ción para la auditoría: si existen documentos fuente, copias de los archivos
de computadoras, así como otro material de evidenci a p osible, arc hivados
y por qu é tiem po lo estarán.
Deberá analizar y detallar la naturaleza de los riesgos existentes; por
ejemplo, la falta de rastros
de las transacciones; en papelenu las
uniformidad otrotransacciones,
soporte legible porde
nivel el segrega-
hombre,
ción de funciones existentes, potencial para errores, irregularidades y
fraudes; existencia de transacciones generadas automáticamente por la
computadora, poten cial para la supervis ión humana, inf luencia del proce-
samiento automatizado en otras funciones de la entidad, entre otros.
El auditor deberá obtener un conocimiento de las posibilidades de
utilización de TAACs y proyectar cuidadosamente su realización, así
como su vinculación a otras técnicas manuales.
La preparación cuidadosa de la auditoría, a partir de la información
obtenida en la etapa de Investigación preliminar, dará la oportunidad al
auditor de elaborar e l programa de realización, de manera que pueda lo-
grar la máxima eficiencia y efic acia. Ese prog rama se co nfecciona d urante
la etapa d e Planeación de la auditoría .
Durante la elabo ración de ese prog rama, el auditor po drá determinar cuá-
les serán sus necesida des informativas d uran te la realización de la auditoría:
archivos y documentos a consultar, período en que se consultan, y otra do-
cumentación.
También podrá evaluar las po sibilidades de su e qu ipo de auditores (en
cuanto a conocimientos y habilidades necesarias para realizar el trabajo), y
determinar si necesita otros expertos adicionales. Consecuentemente, po-
drá d efinir
cuáles qué pruebas
procedim ie ntos dedeberá
trabare cómo qué
jo ,alizar, técnicas
organizar el de auditoría
trabajo de su emplear,
equipo
y otras tareas de carácter organizativo.
Una vez determinado estas cuestiones organizativas, puede coordinar
las tareas de aud ito ría con la g erencia de la entidad, con las áreas que
intervendrán en la aud itoría y con los usuarios de la información resul-
tante del sistema; discutir el posible cronograma de trabajo , y finalmente,
presentar su presupuesto de gastos previsto.
A continuación, en la Fig. 7.1 se propondrá en esquema con las posi-
bles etapas de trab ajo qu e puede tener la aud itoría a un sistema info rmático
en explotación.
105
1. Investigación pre liminar (selección del sistema a aud itar, determi-
nación de pr ue bas, métodos y herramie nta s a emple ar).
2. Planeación (prog ramación) de la audit oría (objeti vos y programa
de trabajo).
3. Ejecución de la aud itoría (reuniones de preparaci ó n, análisis de la
docu mentación, evaluación del control interno , realización del plan
de pruebas e investigaciones).
4. Conclu siones y análisis fi nal (conclusi ones y recomendaciones ,
elaboración del informe final, reunión con dire cc ión y auditados y
discusión del inform e final).
Fig. 7.1. Esquema de trabajo de una auditoría a un sistema en explotación
REALIZACIÓN DEL TRABAJO DE AUDITOR ÍA

La realización de una auditoría a un sistema informático en explotación
es un trabajo extremadamente creativo. El auditor deberá estar preparado
para evaluar el verdadero estado del sistema, y en ocasiones eso requerirá
de pru ebas o invest igaciones muy particulares y puntual es, destinadas sólo
al sistema que se investiga. Se requerirá mucha imaginación, mucha capa-
cidad heurística, pero también muchos conocimientos y experiencia. No
obstante, seguir el esquema de trabajo presentado en la Fig. 7.1, resulta de
utilidad para la organización de la auditoría.
La Investigación preliminar incluye la selección del sistema o la aplica-
ción a a ud itar, la determinación de pruebas, métodos y herramientas a
emplear y no es un problema técnico exclusivamente. Depende también
de los problemas existentes en la entidad, de los intereses superiores y del
trabajo del esquema general de la auditoría y de otros factores, entre los
que pueden estar:
• Programación periódica de las auditorías : ha llegado el turno de la
auditoría a determinada aplicación.
• Auditoría solicitad a por la alta gerencia o direcci ón de la entidad:
consideran necesaria la auditoría por razones de seguridad, por sos-
pechas de fraudes o errores, etc.
• Auditoría re querida po r la g erencia de sistemas: las razones pueden
ser similares a las anteriores.
• Intuición, experienc ia u otras razones: el equipo de auditores consi-
dera conveniente realizar esa auditoría por motivos empíricos.
106
• Selección técn ico-an alítica : Se incorporan una serie de elementos
que deben ser considerados como motivadores de la auditoría. De-
ben evaluarse integralmente, como se exponen a continuación
Algunos de estos elementos para la selección técn ico-ana lítica son:
• Relación
plo, si se de la haciendo
está a plicaciónuna
conauditoría
los objetivos de la aaud
financiera la itoría: poryejem-
entidad, la
aplicación se refiere al control de los activos inmovilizados o fijos,
probablemente es conveniente auditarla, dada la vinculación infor-
mativa que tiene dicha aplicación con la auditoría más general que
se está realizando.
• Años activos de la aplicación : cuando el sistema informático tiene
muchos años de ex plotación, es adecuado revis arlo , pu es puede pre-
sentar insuficiencias de diseño, de software, etc.; que deban cono-
cerse y evaluarse. Igualmente es conveniente revisarlo si ha comen-
zado a explotarse en fecha relativamente reciente.
• Auditorías anteriores: Estas pueden haber dejado informes con con-
clusiones y recomendaciones que indican cambios para mejorar o
adecuar el sistema, y es conveniente comprobar si se han efectuado
o no y cómo.
• Frecuencia de modificaciones : Cuando se aprecia una alta frecuen-
cia de cambios en las aplicaciones, es de suponer que su proceso de
elaboración no fue totalmente satisfactorio. Resulta conv eniente, ade-
más, comprobar cómo se han efectuado esos cambios, a los efectos
de la seguridad y protecci ón d e los recursos inform ativos y del con-
trol interno.
• Cambio s en el hard ware o en e l software b ásico : Si han existido
cambios radicales en el hardware (nuevas máquinas o equipos de
teletransmisión) o en el software básico (nuevo sistema operativo,
por ejemplo), es conveniente comprobar si ha tenido determinada
influencia en las aplicaciones.
• Satisfacción del usuari o : El usuario directo de la información resul-
tante de la aplicación puede haber expresado criterios de insatisfac-
ción con la misma, o con otros aspectos del sistema (Existencia de
un “problema informativo”. Véase el capítulo 6 de esta obra). Esos
criterios deben ser comprobados.
• Riesgos de pé rdida de información u ot ros recursos: Existe el crite-
rio previo de poc a seguridad de los recursos infor mativos asociados
a la aplicación, por controles deficientes.
107
• Utilización inadecuada de recursos informativos : Existe el criterio
previo de uso no correcto de los recursos informativos disponibles
que tiene la aplicación.
• Interrelación de la aplicación con ot ros sistemas: Si la aplicación
procesa información que alimenta a otros sistemas, es conveniente
auditarla
formac iónpreviamente,
q ue provee, para lograr seguridad de la calidad de la in-
• Errores de información: Hay evidenci a de erro res de información, y
se hace necesario encontrar las causas y eliminarlas.
La determinación de pruebas, métodos y herramientas a emplear de-
penderá de los criterios de los auditores y de la necesidad de la propia
auditoría, y está en buena medida, en relación directa con los conocimien-
tos y experiencias de los auditores. Una fuente de información muy útil
será la propia documentación del sistema a auditar (Manuales de usuario,
documentación técnica, etc.).
La planeación o progr ama ción de la auditor ía es la segunda etapa del
trabajo. Tiene algunos requerimientos que ya han sido mencionados en
otras secciones de esta obra, pero que aquí vale la pena reiterar y comple-
mentar con otros adicionales. Para la planeación es indispensable adquirir
un cono cimiento p relimina r básico del siste ma a aud itar , que se logra en
la etapa anterior mediante la consulta previa de documentación de presen-
tación, técnica de diseño y elaboración o de usuario, las entrevistas inicia-
les y preparatorias con usuarios, gerentes o diseñadores, las observaciones
preliminares u otros medios.
Ese conocimie nto p revio le permitirá al audit or, con juntame nte con la
gerencia de la entidad, definir los objetivos y el alcance de trabajo que
tendrá la auditoría. La Fig.7.2 muestra un ejemplo de estos objetivos.
• Distribución de i nf ormación de sa lida:
– Asegurar que se han establecido controles ad ecuados que ga-
ranticen que cada destinatario reciba la información que nece-
sita en tiem po y forma.
• Segregación de funci ones de operación:
– Asegur ar que el sistema de contraseñas y palabr as de pase entre
los operadores es efectivo y se aplica convenientemente.
– Compro bar que los archivos de informaci ón en el disco duro
estén encriptados.
Fig. 7.2. O bjetivos de la audit oría. Sistema de cobros y pagos
108
Además, si es procedente y necesario, podrá dividirse el sistema en
subsistemas d e au ditoría , en función de criterios determinados (funcio-
nalidad, secuencia de procesamiento de la información, etc). Un ejemplo
de esta división se muestra en la Fig. 7.3. Esa subdivisión en esta etapa de
programación, podrá tener un carácter preliminar y modificable en etapas
más avanzadas del trabajo.
– Origen o fuente de los datos de entrada. – Documentación técnica de usuario.
– Flujo de datos al sistema info rmático. – Procedim ientos de copias y resguardo.
– Captació n de información de entrada – Procedim ientos de seguridad física.
– Detecció n y rectificación de errores. – Proces amiento y actual ización.
– Integrid ad de información en bases de – Documentación técnica d e diseño.
datos.
Fig. 7.3. Algunos subsistemas o áreas de auditoría. Sistema de cobros y pagos
La Ejecución de la auditoría incluye, en primer lugar, reuniones de
preparación con l a gerencia de la entidad, que tienen c omo objet ivo g aran-
tizar la participación adecuada de su personal en la auditoría. Podrá ser
necesario que pr opo rcionen apoy o de explo tación del sistema (por supu esto,
bajo el c ontrol del auditor), infor mación u otra ayuda. Es conveniente que
estén informados de los objetivos de la auditoría y que se logre su partici-
pación consciente para evitar fricciones innecesarias. El logro de los obje-
tivos generales de estas reuniones resulta fundamental para preparar ade-
cuadamen te la aud ito ría. Durante las mis mas debe lograr se el entendimiento
entre auditores y auditados, a los efectos de lograr la colaboración de los
últimos. Unos objetivos más específicos se ofrecen en la Fig. 7.4.
1. Explicar, en térm inos muy claros , los prop ósitos de la auditoría .

Presentar al equipo de auditores.
2. Identifi car el pe rsonal que nece sitarán de la ent idad. Expli car la
necesidad de su participación y asegurar la misma.
3. Identifi car los aspect os más important es del sistema y sus ca rac-
terísticas básicas.
4. Detectar y eliminar i nquietudes y preocupaciones entre el perso-
nal de la entidad auditada.
5. Identifi car y solicitar la información qu e se utilizará en la auditoría .
6. Obtener el compr omiso formal y rea l del personal a ser audi tado,
para colaborar en el proceso.
Fig. 7.4. Objetivos específicos de las reuniones de preparación
109
La ejecución o realización del trabajo de investigación sobre la aplica-
ción automat izada deb e continuar con el estudio y aná lisis p rofundo d e su
documentaci ó n técnic a d e diseño y d e usuar io. Ese regreso a la documen-
tación está justificado plenamente por la necesidad de ampliar el conoci-
miento acerca de có mo trabaja el sistema. La exis tencia d e esa docu menta-
ción actualizada
contrario, yaiste
si no ex es ounestá
riesgo menos que se
desactualizada, correunenriesgo
existe el sistema.
mayoPor
r de elqu e
el sistema no provea toda la seguridad necesaria a la información que pro-
cesa. Esa inexistencia o desactualización de la documentación técnica de
elaboración o de usuario será una deficiencia que deberá plasmar el audi-
tor en el i nforme de la audit oría.
En esta etapa de trabajo, el auditor deberá tener en cuenta, además del
Manual de Usuario y Explotación , la documentación técnica de diseño,
que incluye: Estudio de factibilidad técnico-económica, los documentos
acopiados durante el Estudio detallado de la situación existente, la Con-
cepción preliminar del nuevo sistema , el Diseño detallado del nuevo siste-
ma y las actas y acuerdos tomadosdel
entre la gerencia y los diseñadores
durante el proceso de la elaboración sistema. Debe tenerse en cuenta
que, si fue empleado un CASE para el análisis y diseño del sistema, la
información a consultar será electrónica en muchos casos y deberá hacer-
se a través del CASE en cuestión, para lo que se requerirá el apoyo del
personal de diseño.
En el caso de que el sistema haya sido adquirido por compra, cesión u
otros medios (“baj ado” de internet, o simplemente recib ido en forma “pi-
rata”, etc.), se requerirá también la documentación de diseño y utilización.
Muchas veces lo que simplemente se tiene es un Manual de Utilización y
Explotación. Entonces las características de diseño deberán obtenerse exa-
minando detenidamente el sistema, en su operación real o simulada o fue-
ra de ella.
Una deficiencia a señalar en el informe, como ya se expresó, es la
carencia de documentación de diseño. Esa situación puede dificultar o
impedir que se efectúen labores de mantenimiento del sistema, elevando
considerablemente los costos por este concepto o creando problemas
mayo res. La s empresa s diseñadora s debe n ser o bligada s, medi ante ac uer-
dos contract ua les, a en tregar de terminado s element os de diseño impre scin-
dibles, como el diseño de las bases de datos, la estructura de los procesos
computacionales, entre otros.
La utilización de software obtenido por otras vías, legales o no, puede
ser atractiva en el momento de su obtención, tal vez por su bajo costo
(quizás se ha obtenido gratuitamente), pero a la larga puede resultar muy
110
perjudicial para la empresa que lo adquiere y probablemente mucho más
caro; pues está obl igada a trabajar con un software que no puede modifica r
en caso que lo requiera; además de violar leyes y convenios internaciona-
les y naciona les sobre la pr otección de la pro piedad intelect ual. Ello es otra
deficiencia a señalar en el informe final.
Si no existe
la estructura información técnica
y funcionamiento o de usuario,
del sistema medianteel auditor debe estudiar
ob servacio nes direc-
tas de su fun cionamiento , para lo cual solicitará corridas reales o simula-
das (podrá emplear datos de la entidad o elaborados por él. Véase la sec-
ción correspondiente sobre datos de prueba en esta obra). Del estudio de la
documentación o de las observaciones directas, el auditor obtendrá una
comprensión de las causas de riesgos y los controles a implementar.
El auditor podrá analizar, además, estadísticas de operación, manuales
de políticas, normas, resoluciones y otros documentos de carácter legal,
correspondencia entre los usuarios y el departamento de operación de sis-
temas, y otros
Seguidamente deberá realizar el análisis del sistema de control inter-
no existente, a fin de evaluar su eficacia y eficiencia (Capítulo 5 de esta
obra). El análisis del control interno del sistema a auditar debe comple-
ment arse co n el an álisis de los controles gener ales in formático o de PED
que influyen en el mismo. En el análisis del control interno desempeña
un p apel mu y import ante la detección de las cau sas de r iesgo y la eva lua-
ción de los riesgos que las mismas generen, determinando su probable
grado de afectación a los recursos informativos en el sistema. Posterior-
mente, se requerirá analizar los controles existentes para evitar la acción
de esas causas de riesgos.
Entre los métodos de trabajo que deberá utilizar el auditor para cumplir
los objetivos de la etapa se encuentran:
• Análisis de la docu m entación existente.
• Entrevistas con el pe rsonal re lacionado con la ac tividad.
• Observaciones direct as de la corri da real del sistema.
• Realización de corridas con dat os pre parados al efecto.
• Análisis de los pro gramas.
• Análisis de las bases de datos.
• Análisis de la in formac ión de resultados o s alidas y las informaci o-
nes de entrada al sistema informático. Relacionar entradas contra
salidas.
111
La Fig. 7.5 describe gráficamente la parte de este proceso más relacio-
nada con la realización de las pruebas de cumplimiento y sustantivas.
Fig. 7.5. Proceso de evaluación de controles y realización de pruebas

En la evaluación de las causas de riesgo, los riesgos y los controles, es
conveniente utilizar una conocida herramienta de trabajo: la matriz de cau-
sas de riesgo, riesgos y controles de riesgo. En ella se relacionan los tres
elementos mencionados, pero además se incluye la evaluación del control
realizada po r el aud itor. (Ver Fig. 7.6)
La atención del auditor mediante la ejecución de pruebas d e cumpli-
miento se priorizará hacia los con troles in existentes o poco conf iables, y
posteriorme nte en los medianamente confiables . Los controles confiables
112
se comprobarán sólo en los casos en que la realización de determinadas
pruebas lo exija.
Las causas de riesgos muy graves , graves o medianamente graves se-
rán objeto de pruebas su stantiva s para determinar si han sido explotadas
en forma de fraud es o si han permiti do la real ización d e operaci ones erró-
neas.
dad deLos riesgos
cada riesgomenos
puedegraves se verificarán
determinar se a partiren
de último lugar. La
la apli cación grave-
de la llama-
da Ecuación de la Exposición, que se explicará más adelante.
Fig. 7.6. Esquema de una matriz de causas de riesgos, riesgos y controles

Algunos ejemplos de riesgos se presentan en la tabla 7.1.
Tabla 7.1
113
El auditor puede buscar las causas de riesgo en la aplicación que se

audita, y analizar los puntos de riesgo más comunes. Una lista relativa-
mente completa de estos puntos de riesgos se ofrece en la tabla 7.2.
Tabla 7.2
114
Otra informaci ón ú til con que pu ede contar e l audito r en la evaluación

de los riesgos, es su clasificación por determinados criterios, asociados al
tipo de sistemas que se audita. Un ejemplo de esta posible clasificación se
ofrece en la tabla 7.3
Tabla 7.3
115
Cada riesgo puede producir una afectación diferente en los recursos

informativos de la entidad, con una importancia también diferente. Los
riesgos más graves son aquellos que crean la posibilidad de una pérdida
mayor (la ganancia dejada de obtener puede considerarse también una
pérdida), unido a una probabilidad de ocurrencia mayor, y a su vez con
una mayor frecuencia. Se puede afirmar entonces, según resolución
297/03, que el grado de afectación que puede producir un riesgo –Ecua-
ción de la exposición o PE– se puede calcular de la siguiente forma:
PE=V*F (7.1)
Donde:
• PE: Pérdida anual esperada o exposición (también ganancia dejada
de obtener) que puede producir la ocurrencia del riesgo i, expresada
en unidades monetarias en un año.
• V: Pérdida estimada para cada caso en que el riesgo se concr ete en el
año, expresada en pesos.
• F: Frecuencia, veces probables en q ue el riesgo se concrete en el año.
(Los cálculos de estos indicadores pueden ser efectuados basándose en
criterios de expertos, informaciones estadísticas, u otra fuente análoga).
El cálculo del indicador PE para cada riesgo puede proporcionar una
base excelente para determinar hacia dónde enfocar los esfuerzos del au-
ditor en el proceso de auditoría: los riesgos con PE mayor deben recibir
mayor atención, por ser los más peligrosos.
El indicador PE puede ser un complemento muy eficaz de la ma-
triz Causas de riesgo-Riesgos-Controles, que se muestra en la Fig. 7.6, lo
que permite que se clasifique el nivel de gravedad de cada riesgo, en base a
este.
116
Ejem pl o de uti li zación de l i ndicad or P E
En el sistema de facturación y ventas de la Corporación Sinex, se

realiza el análisis de los riesgos existentes. La captación o captura de
las facturas se realiza un promedio de 100 veces diarias. Existe una
estadística que indica
$200.00. Alrededor delque
2%eldepromedio facturado
los usuarios po rdedocumento
requieren es de
reclamacio-
nes para abonar el importe de lo facturado. Si s e ext ravía una factura,
no aparecerá e n el sistema infor mático, y por tanto, no se reclamará su
pago, de ser necesario, lo cual produciría una pérdida. La estadística
de procesamiento indica que el equivalente a un 3% de las facturas
procesadas no se introducen al sistema por errores de captación o
captura y de traslado de documentos.
El efecto de esos ries gos se calcula a continuación :
Estimado de facturas dejadas de procesar al año: 3 * 365= 1 095
V=1 095*2%= 21,9 *$ 200.00= $ 4 380.00
F=3 (diaria)
PE=V*F=$ 4 380.00
Eliminar el riesgo de facturas no procesadas por distintas causas
puede representar una disminución de las probables pérdidas en
$ 4 380.00 anuales.
Un aspecto muy importante del control interno en los sistemas infor-

máticos es la seguridad y protección de la información y la elaboración de
planes de conting en cia para la ocurren cia d e catástrofes y otras situaciones
indeseables que se analizarán en el capítulo 8 de esta obra.
La evaluación del sistema de controles existente puede requerir la
realización de pruebas de variado tipo (véase la Fig. 7.5), para determi-
nar su verdadera eficacia. Se requerirá entonces planear las pruebas con
mucho cuidado ( Defi nición d el plan de prue ba s), lo cual se realizará a
partir de l a infor mación que se ha recop ilado e n el pr oceso d e auditoría
hasta el momento.
Deberá en tonces ejecutar pruebas de cu mplimie nto a cada control, uti-
lizando datos de prueba u otras TAACs. Si el control no es satisfactorio,
deberá realizar pruebas su stantivas, que determinen si hubo fraudes o erro-
res en ese caso.
117
Las pruebas de c umplimiento se diseñan para probar la eficacia y efi-
ciencia de cada control. Por lo general se diseñan a partir de las siguientes
opciones:
• Utilización de datos de prueba , ya sean ficticios o reales (correspon-
dientes a períodos anteriores, po r ejemplo), que pro duzcan en los pro-
gramas efectos perfectamente
nes controladas por el auditor. previstos,
Los efectospara ser ser
deben usados
tod osenloscondicio-
posibles.
Por ejemplo, si al revisar un programa de cálculo de salarios se ha
determinado que no existen salarios mayores a $400.00 mensuales,
deben algunos introducirse datos con valores superiores a esa cifra,
para conocer si el programa detecta o no el exceso. Si lo detecta, es de
suponer que el control funciona bien, pero si no lo hace, la prueba
indicará que deben obtenerse evidencias más detalladas de que no se
han pagado salarios excesivos, pues el sistema de controles activado
no garantiza eso.
• Análisis de los programas que se están utilizando, para evaluar las
rutinas
fuentes de validación
srcinales y control
o realizar existentes.
una labor Implica leer (ingeniería
de descompilación los listados
inversa) de los programas que están corriendo. Esta última variante
implica tener el programa adecuado. En ambos casos, el auditor pre-
cisa contar con conocimientos de programación.
• La simulación paralela , mediante un sistema de prueba, análogo en
su funcionamiento al del sistema que se audita, donde se introducen
los mismos datos y se emplean las mismas bases de datos. Si los
resultados son similares al sistema que se audita, es de suponer que
este trabaja adecuadamente.
• La combinación de las anteriores.
Si la prueba del control mediante los datos o mediante la revisión del
programa es satisfactoria, se obtendrá un alto grado de certeza de que el
control funciona bien. De lo contrario se precisará de investigaciones adi-
cionales (pruebas sustantivas), para conocer el efecto provocado por ese
control débil o inadecuado.
Las pruebas su stantivas sobre las áreas de controles débiles o inexistentes
pueden ser de varia do tipo. Su objetivo, como se expresó , es dete ctar erro -
res y fraudes. Algunas de las mismas pueden ser:
• Búsqueda en ba ses de datos de informacion es anormales (llamada
también Auditoría a las bases de datos). Si existen en los archivos de
las bases de datos informaciones no correctas, el sistema no es fia-
ble. Ejemplos de las mismas son: transacciones que faltan, precios y
118
salarios muy elevados o muy bajos, transacciones que se repiten
anor malmente, et c. Para su búsqueda se utiliza soft ware especializa-
do en auditoría, de carácter general o específico.
• Análisis de las informaciones que entran al siste ma informático (lla-
mada también Auditoría a las entradas). Se trata de encontrar que
transacciones
sentan errores,denolas
hanque entraron
sido al sistema
autorizadas, o hanestán
sido incompletas, pre-
modificadas sin
autoriz ac ión, etc.
• Análisis de las informaciones de salida (llamada también Auditoría
a las salidas ). Se busca detectar informaciones de resultados erró-
neos, entregas inc orr ectas de infor mación a usuarios, d atos de salida
alterados, etc.
• Análisis de las transaccion es (llamada también rastreo o seguimiento
de transacciones ). Implica realizar búsquedas en los ficheros de tran-
sacciones, tanto de entradas, como generadas automáticamente por el
sistema, para detectar alteraciones indebidas repeticiones anormales,
etc. Es una variante
• Subsistema de la primera.
de auditoría (Llamada también “Auditoría sistemática”,
“Auditoría desde el sistema”, etc.). Implica la creación de un subsistema
que se añade al sistema auditado , desde su creación e implantación, el
cual registra determinado s hechos, a solicitud del auditor, el cual, en el
momento de la aud itoría, lee las bases de datos de ese subsistema para
obtener información que describa el funcionamiento del sistema prin-
cipal.
Las pruebas sustantivas pueden ser variadas, por lo que su realización
pondrá a prueba la imaginación, la inteligencia y la intuición del auditor.
Es importante
efectos conservar
de evaluar las evidencias
finalmente al sistemaobtenidas de dichas resultante
y a la información pruebas, aque
los
ofrece.
Las pruebas mencionadas se explicarán más detalladamente en otros
capítulos posteriores de esta obra.
La realización de las pruebas de cumplimiento y sustantivas, las obser-
vaciones direct as, el recálculo de operaciones, el análi sis de docu mentos y
otras técnicas de i nvestigación, propo rcionará la inform ación necesaria (in-
cluyendo la s e videnci as, lógicamente) pa ra hacer una conclusión y análi-
sis final e i nteg ral de la aplicación auditada. En la evaluación final el audi-
tor expondrá sus opiniones sobre el sistema auditado, y sobre las
informaciones resultantes
dencias detectadas que ofrece,
en las pruebas, avalando
y con susdeopiniones
ejemplos con las
los controles evi-
débiles
119
o inexistentes. Vinculará las pruebas al sistema auditado, con pruebas si-
milares a los controles generales de PED, a que se ha hecho referencia en
otras secciones de esta obra.
Se elabor arán las conclusiones y recomendaciones del trabajo, concen-
trando la atención en los aspectos más destacados, pero sobre todo en las
deficiencias
resultados dee lainsuficiencias.
investigación,Por supuesto,
mientras que las
las conclusiones recogen
recomendaciones los
abarca-
rán las sugerencias del auditor para erradicar los problemas detectados,
incluyendo una propuesta de programa o calendario de eliminación de
problemas, donde se expongan las acciones requeridas para ello.
Las conclusiones y recomendaciones, además del resto del informe
del auditor, con un carácter preliminar, se presentarán a la dirección de la
entidad y al personal auditado en una reunión de conclusión del trabajo ,
donde se debatirán finalmente los criterios de todos sobre la auditoría rea-
lizada.
Finalmente, se aprobará el Informe final, el que recogerá los aspectos
más
plan significativos del trabajo por
de medidas a desarrollar realizado y separa
la entidad oficializará
erradicarellasmencionado
deficiencias
detectadas po r la auditoría. En la secc ión siguiente de es ta o br a se analiza-
rá de forma má s detallada el conteni do de este informe.
CONC LUSIÓN DEL TRABAJO DE AUDITOR ÍA

La conclusión del trabajo de la auditoría a un sistema informativo en
explotación abarca la última etapa de trabajo señalada en la Fig. 7.1.
La eva luación final e inte gral proporciona al auditor la oportunidad
de realizar la reflexión final sobre su investigación, sobre las evidencias
reunidas, sobre las conclusiones parciales que ha ido encontrando du-
rante la in dagac ión . Implica un análisis para l a formación de un criterio
general sobre el sistema auditado y sobre el informe que se espera que
elabore. Es una meditación imprescindible para elaborar el informe.
La s co nclu sion es y recomendaciones son el resu ltad o de esa ref lexi ón
fin al, de e sa v alor ación in tegr al d e ev iden cias, cr iterios , inf ormaci on es
obtenidas, etc. Representan el conocimiento aplicado del auditor, su
autoconvencimiento, sostenido por las evidencias encontradas, de la
calidad del sistema auditado y de lo que hay que realizar para perfec-
cionar lo y la info rmación resu ltan te que prov ee. El auditor d ebe fund a-
me ntar cad a co nclu sión con evidenc ias claras, y r efer ir a cada un a, u na
recomen dación corre spon dien te, si p rocede, pa ra trabajar en un futu ro
120
inmediato, con relación a la eliminación de los problemas detectados.
Pueden existir recomendaciones para la gerencia de la entidad, para los
usuarios directos y tambié n para los demás miembros d el eq uipo de audi-
tores, si acaso se dividió el trabajo en tre ellos. Por supuest o, t odas se plas-
marán en el informe f inal de la auditoría.
reunión d e conclu sión del traba jo resulta esencial para que la ge-
La de
rencia la entidad y el personal usuario del sistema conozcan esas con-
clusiones y recomendaciones, de hecho constituye el núcleo fundamental
del Informe final que incluye Dictamen del auditor 4 o de la auditoría.
El Informe final, incluyente del Dicta men del au ditor , representa la
culminación de su trabajo y su terminación oficial. Debe constar de dos
fechas: la de concl usión del trabajo d e campo, y la de pr esentación y entre-
ga del inform e; a los efectos de dejar totalmente claro e l período en q ue se
tomaron las evidencias.
El informe puede ser de dos formas :
• La forma corta : en uno o dos párrafos el auditor brin da su opini ón
sobre el sistema auditado y su información resultante.
• La forma larga : se detallan minuciosamente los resultados de las
investigaciones. (Ver Fig. 7 .7)
No deb e olvidarse que un sistema info rmativo tiene c omo objetivo apo-
yar a la toma de decisiones y los procesos de control de la entidad donde
se utiliza. Por tan to, se requiere que el info rme del aud itor abo rde también
las cuestiones de dirección y administración en el ámbito funcional del
sistema auditado.
Por supuesto, el formato definitivo dependerá de la aplicación a auditar
y de las políticas y normas internas que estén establecidas para el equipo
de auditores.
Con la presentación del informe concluye el proceso de la auditoría a
un sistema informático en proceso de explotación. Como se dijo al princi-
pio de este capítulo, representa la parte más voluminosa del trabajo del
auditor en condiciones de informatización.
Algunos aspectos presentados aquí, sobre todo los tipos de pruebas, y
los métodos de trabajo, se analizarán con mayor profundidad en otras sec-
ciones de esta obra.
4
Cfr.Comité Internacional de Prácticas de Audito ría, ob. ci t.,pp. 23 0-23 9.
121
• Portada: Título del documento, nombre del sistema audi-
tado, entidad, auditores, fecha de conclusión del trabajo y
fecha de entreg a del inform e.
• Índice: Secciones en que se divide el informe con su nú-
mero de páginas.
• Introducción: Explicación muy suscinta del contenido del
informe.
• Conclusiones: Ya explicadas. Abordan los problemas de
sistemas, los informativos y los de dirección. Incluyen no
solamente las conclusiones particulares de la aplicación
auditada, sino también el análisis de la actividad general
de informatización realizado durante la investigación.
• Recomendaciones: Sugerencias del auditor a la gerencia
de la entidad, al personal usuario y a otros niveles de di-
rección (propietarios, accionistas, entidades superiores,
etc.); así como a otros auditores del equipo, de ser proce-
dente.
• Análisis detallado: Puede dividirse en:
– Adecuación del sistema a las necesidades de la dirección
y la gerencia en lo relativo a toma de decisiones, control,
reglamentaciones vigentes, normas y políticas, etc.
– Análisis del sistema de contro l interno (específico d e la
aplicación o general).
– Análisis de la s infor maciones resultantes y su cal idad.
– Análisis de la segu ridad y pro tección de los re cursos
informativos, tanto en el ámbito particular de la aplica-
ción, como general.
• Anexos: Descripción de las pruebas realizadas y las evi-
dencias obtenidas. Documentación consultada, entrevistas
realizadas, observaciones efectuadas, etc.
Fig. 7.7. P ropuesta de formato de informe de auditoría a un sistema informático en

explotación.
122
El equ ipo de au di tores inte rno de la firma se reú ne para co menzar

po r pri me ra ve z el trab ajo d e a ud itorí a tem át ic a d e inv en ta rio s en
una de sus sucursales. Además de las investigaciones clásicas en este tipo
de a ud itoría, deb erá ana lizar el sistema inform atizad o q ue u tilizan .
Durante la labor d e organ ización del trabajo, el aud itor jefe plantea
que se d ebe estudi ar la documentación del sistema in formático qu e em-
plea n, a los efecto s de evaluar su nivel de control inter no y de planea r las
pruebas correspondientes. En eso, uno de los auditores miembros del equipo
manifiesta:
–Pero eso es imposible. Yo sé de buena tinta qu e ese sistema no tiene
docu mentación. Creo qu e no se po drá evalua r.
–No estoy d e acu erdo –dice otro au ditor– podemos p edir que nos ha-
gan corridas demostrativas para obtener el resultado equivalente como si
estudiásemos la do cumentación.
–¡Está s loco! –le cont esta el primero– ya eso los prep araría y los
alertaría acerca de nuestras intenciones, con lo que se perdería la sorpre-
sa de la a uditoría.
Preguntas
1. ¿Cuál es el objetivo de una auditoría a un sistem a inform ático que

está en explotación?
2. ¿Qué tipo de pruebas debe llevar a c abo el auditor durante la auditorí a
a un sistema informático que está en explotación?
3. ¿Qué trabajo se r ealiza durante la Investigación preliminar de una
auditoría?
4. ¿Por qué es nec esario tene r un conocimi ento del ambiente de con-
trol interno existente?
5. Mencione alguno s criterios para determi nar qué t ipo de sistema se
auditará.
6. ¿Es posible realizar la auditoría sin la investigació n prelimi nar? ¿Por
qué?
7. ¿Es imprescindible es tudiar la documentaci ón técn ica del sistema?
¿Por qué? ¿Y si no existe, qué se puede hacer?
8. Mencione algunos métodos de trabaj o a aplicar en la realización de
la auditoría.
123
9. ¿Cuál es el o bjetivo de calcular el i ndicador PE?
10. Si al evaluar un c ontrol, se detecta que no es sufi cientement e efecti-
vo para el riesgo que pretende e vitar, ¿qué debe h acer el a uditor?
11. Mencione tres áreas de riesgo y afectaciones que se pued en producir.
12. ¿Por qué es conve niente clasificar los ri esgos desd e diferentes pun-
13. tos
¿Quédeson
vista?
las prue bas de cumplimi ento o de control ? Mencione algu-
nas.
14. ¿Qué son las pr uebas sustantivas? Menc ione algunas.
15. Mencione tres asp ectos importante s que deban inclu irse en el infor-
me del auditor.
Pr o0 ble ma para in ves tiga ci ón 5

Si en la entidad donde trabaja o estudia hay sistemas informatizados,
investigue si han sido auditados o no, y si fuero n auditados, trate de obte-
ner el último informe de auditoría y estudiarlo. Compárelo con las reco-
mendaciones de este capítulo, y evalúe diferencias y similitudes.
124
INTRODUCCIÓN
La seguridad y protección de los recursos informativos de las entidades
forma parte de la esfera de trabajo del auditor prácticamente desde que
surgió la actividad, hace ya miles de años.
El auditor siempre conservó y ayudó a conservar todos aquellos me-
dios que perm itían registrar la riqueza de los señor es (activos) y las princi-
pales transacciones (comerciales o no) que se realizaban. Durante los si-
glos po steriores, el objetivo no camb ió, sólo los medio s de almacenam iento
y tratamiento de la info rmación . A mediados del siglo XX, en el comienzo
del fin de la prep onderancia d el papel como medio fun damental de regi s-
trar y conservar la información, la seguridad y protección de la informa-
ción no presentaba grandes problemas: se utilizaban para ello medios tra-
dicionales, como las cajas de seguridad, los locales antifuegos, los libros
de buen papel cosidos y prefoliados o prenumerados, las tintas indelebles,
las copias almacenadas en lugares diferentes a aquellos donde se almace-
naban los srcinales, las cerraduras, las ventanas enrejadas, etc.
El empleo de la computación en las décadas de los años cincuenta,
sesenta y setenta, comenzó a crear nuevos problemas para la seguridad y
protección de los recursos informativos, pues los nuevos medios de al-
macenamiento y tratamiento de información desplazaban al papel de su
función fundamental y permitía que nuevos medios asumieran una res-
ponsabilidad mayor: aparecieron las cintas y discos magnéticos, con posi-
bilidades de grabación de enormes cantidades de información, pero a la
125
vez resultaron más endebles y delicados. Eran susceptibles de ser dañados
por el polvo, la humedad, el calor, la mala manipulación, etc. Presentaban
además otro problema: la información era accesible para el hombre me-
diante equipos especiales –las computadoras–, pues a simple vista no era
posible su consulta. Se requirieron nuevas técnicas y medios de protección
de los recursos informativos, adicionalmente a los tradicionales ya men-
cionados.
Los años ochenta y los noventa acentuaron esos problemas: los medios
de almacenamiento y procesamiento se hicieron más chicos y baratos, lo
que permitía su adquisición por instituciones incluso pequeñas y personas
de relat ivos bajos ingresos. El auge mund ial de la microcompu tadora, con
sus posibilidades de distribución y descentralización de la capacidad de
procesa miento y alm acenami ento de la inform ación, co njuntament e con la
difusión global de las redes de comunicación basadas en computadoras,
creó una situación mucho más dramática en cuanto a las posibilidades y
necesidades de medidas de protección de los recursos de información. Hoy
en día no
acceso bastfuentes
a las a con de
cerrar una puertavíao comprar
información una caja
Internet permite delas
que seguridad:
informa- el
ciones sean dañadas desde miles de kilómetros de distancia, sin que sus
poseedores srcinales lo sepan. Otras amenazas se ciernen sobre nuestros
recursos informativos, muchas de ellas ya mencionadas en esta obra: virus
informáticos y otros programas malignos, catástrofes naturales o provoca-
das por el ser humano , intencional o no, entre otros.
Las situaciones descritas requieren de estudios y trabajos constantes
para velar por la segu ridad y protecci ón de los rec ursos informati vos, y es
deber del auditor contribuir en ello. En este capítulo se analizarán deteni-
damente las amenazas que se ciernen sobre los mencionados recursos, y la
forma de protegerlos y conservarlos. En cierto sentido se volverá sobre
temas ya tratados o esbozados desde otro punto de vista, pero se analiza-
rán aquí con mayor sistematicidad y profu ndidad.
LA SEGURIDAD Y PROTECCIÓN DE LOS RECURSOS

INFORMATIVOS DE LA ENTIDAD. VISIÓN GENERAL
Los recursos informativos de una entidad contemporánea están com-
puestos por:
• Las informaciones g eneradas int erna o externamen te en la entidad

por el resultado de sus operaciones internas o en relación con el
126
entorno o medio circundant e, en el cual se incluyen a los clientes,
proveedores, competidores, agencias gubernamentales, etc. Son in-
formaciones insustituibles, pues se han producido para reflejar los
hechos relacionados exclusivamente con la entidad o su esfera de
interés. No existe una fuente alternativa de estas informaciones, ni
siquiera a costa de
dios magnéticos grandes
o en papel.gastos. Pueden estar soportadas en me-
• Las informaciones de carácter general que le interesan a la entidad,
y que ha obtenido por la consulta a fuentes informativas externas:
internet, servicios informativos especializados, medios masivos de
información, etc. Están disponibles a otros usuarios e incluso, a la
propia entidad, si desea obtenerlos de nuevo. Igualmente pueden
estar soportadas en medios magnéticos o en papel.
• Los programas de apl icación (software de aplicació n) elab orados a
solicitud de la entidad o adquiridos por ella con cierto carácter de
exclusividad . Se
de utilización. Pucomponen , además,
eden obteners de la, documentac
e de nuevo ión técnica
en caso de daño o pérd i-y
da, pero a costa de grandes gastos.
• El software de carácter general (sistemas operativos, software utili-
tario, programas de aplicación de carácter general) adquirido por la
entidad. Puede obtenerse fácilmente, con gastos de adquisición rela-
tivamente moderados, y que en tendencia, bajan continuamente.
• El hardware construido específicamente para la entidad . Es algo ya
poco corriente, pues la oferta de carácter general es muy amplia,
especialmente en el caso de la gestión económico-financiera.
• El hardware de carácter general : Computadoras, líneas de transmi-
sión de datos, equipos de transmisión de información (gateways,
hubs, et c.), equi pos de protecci ón (d eshumidific ad ores, unidades de
alimentación ininterrumpida de energía eléctrica, etc.). Su costo va
descendiendo en tendencia, por lo q ue repr esenta el men or problema
técnico y económico, en comparación con los recursos ya citados.
Además, son parte también de los recursos informativos todo el perso-
nal relacionado con el procesamiento de la información : operadores de
computadoras, administradores de bases de datos, bibliotecarios de sopor-
tes, ciertos oficinistas dedicados a la captación y transmisión de informa-
ción, analistas de infor mación (econo mi stas, contado res, estadísticos, etc.,),
informáticos,
cuesta mucho programadores de computadoras.
formarlos y entrenarlos. Son recursos
Por lo general caros, puesen
son considerados
127
los pro gramas de seguridad y pro tección de recursos de inform ación, sola-
mente como fuente de amenazas. En opinión del autor, es un grave error
metodológico que g enera no p ocas d ificultades y probl emas informati vos.
En esta obra se tratarán en su doble carácter de “recurso informativo”,
puesto qu e contribu yen a su trabaj o a que se logren los objetivos inform a-
tivosComo
del sistema;
se puedeyapreciar
como causas de riesgos
en la Fig. o amenazas
4.2, y como al sistema.
se reitera aquí, el costo
de perder las informaciones y bases de datos particulares es mayor que
el de perder el har dware: hay una gr adación desce ndent e desde aquel has -
ta este, que debe ser tenida en cuenta al elaborar los planes de medidas
para garantizar su seguridad y protección. Si se pierden las bases de datos
particulares de la entidad, o los sistemas de aplicación hechos “a la medi-
da”, la afectación será much o mayo r que si se deteriora el sistema operati-
vo o si se dañ a una máquina.
Pero no hay que desconocer que estamos en presencia de un sistema de
elementos, todos interrelacionados, todos actuando entre sí. Por tanto, la
afectación en uno de ellos
adquirirse fácilmente en el puede incidir
mercado, peroensiotros. Un uno
se daña discodeduro
ellos,puede
que
almacena las bases de datos fundamentales del sistema, y del cual no se
tengan copias de respaldo, la rotura del disco tendrá una afectación mucho
mayor, pues afectará al recurso más valioso, las informaciones particulares.
Esos recursos están amenazado s por distintas causas de riesgos infor -
mativos, ya mencionadas en otras secciones de esta obra:
• Errores humanos
• Delitos o acciones mal intencionadas
• Desastres naturales o a rtificiales
• Afectaciones
Combinación electró nicas
de algun y de
as de software
ellas.
Esas causas de riesgo se deben disminuir o erradicar a través del diseño
e implantación de u n sistema de contro les, sobre el cual ya se ha trata do en
esta obra. Sin embargo, en el capítulo dedicado a causas de riesgo, riesgos
y controles, se le dedicó más énfasis a los llamados controles de aplica-
ción , y se prometió atender posteriormente a controles más generales e
integrales, los llamados controles generales i nformáticos o de PED . En un
capítulo posterior se trató lo relacionado con el control interno. Este ca-
pítulo se dedicará en parte a ello, como aspectos integrantes de una pro-
blem ática m ucho má s gener al: la seguri dad y p rotección de los rec u rsos
informativos.
128
Esta abarca todo el ámbito informativo de la entidad. Es el objetivo de
los sistemas de control –generales y de aplicación– que se establecen. No
debe ser limitada al ambiente informático solamente, aunque éste tiene un
gran peso dentro de aquella: hacerlo sería un grave err or técnico y ec onó-
mico. Debe aplicarse a todo el proceso informativo de la entidad: desde el
lugar
de se yutilizan
el momento dond eensurgen
finalmente, las informaci
los procesos ones primarias
de planificación, , hasta don-
organización,
toma de decisiones y control en la entidad, incluyendo, por supuesto, los
puntos de almacenaje y procesamiento.
Fig. 8.1. Ámbito de influencia de la seguridad y protección de los recursos informativos

La seguridad y pro tección d e los recursos informativo s de la entidad no
es un concepto absoluto, lo cual quiere decir que no debe ser logrado a
todo costo: se relaciona íntimamente con la problemática informativa de la
entidad y es un pro blema d e costo-benefic io, por lo que requiere u n estu-
dio acucioso sobre las implicaciones económicas de los riesgos existentes
(véase ecuación 7.1) para establecer un sistema de medidas o controles
acorde a las mismas. Para ciertas entidades quizás todo el problema de la
segur idad y pro tección se soluciona con u na copia en di squetes, en flash o
en CDs de las bases de datos y los sistemas de aplicación. Para otras, se
requerirán complejos sistemas de medidas, incluyendo equipos especiali-
zados, personal responsabilizado con el control y la seguridad. Es tarea del
auditor contemporáneo contribuir al diseño de un sistema de seguridad y
protección de los recursos informativos acorde a las necesidades y posibi-
lidades de las entidades con las que se relacione profesionalmente.
La seguridad y protección de los recursos informativos de la entidad
deben enfocarse a la consecución de la misión y al logro de los objetivos
de esta. Son medidas de protección de activos, tan importantes como las
acciones de protección de los activos tangibles (edificios, maquinarias,
129
inventarios de mercancías y materiales, etc.), y quizás mucho más. Su im-
portancia y necesidad deben penetrar en la mente de gerentes, funciona-
rios, empleados y trabajadores en general en la entidad; debe ser parte de
sus hábitos comunes de trabajo, de su cultura técnico-organizacional.
Fig. 8.2. Relaciones de la misión y los objetivos de la entidad con la seguridad y

protección de los recursos informativos
La seguridad y protección de los recursos informativos es un proceso

que debe diseñarse, a partir de un detallado análisis de las necesidades y
posibilidades de la entidad. Debe reflejarse en un programa activo para su
aplicación. No puede verse como un proceso burocrático que “hay que
cumplir”.
La seguridad y protección de los recursos informativos exige la partici-
pación activa de la gerencia en todos sus niveles (alta, media y baja). Pero,
debe ser, a su vez, responsabil idad ejecutiva d e un func ionario o equipo de
130
personas, especializado en la misma. Se requiere también de la compren-
sión y participaci ó n de los diseñado res de las aplicacion es inform áticas. Es
parte del contenido de trabajo d e los administradores de los sistemas infor -
mativos y del personal de operación. Por supuesto, la participación de los
empleados usuarios de la información es básica para su garantía. El audi-
tor deb e controlar
seguridad la aplicación
y protección adecuada
de los recursos de esas políticas.
informativos R esumiendde
es responsabilidad o: la
todas aquellas personas involucradas en los procesos de tratamiento de la
información y su utilización.
Fig 8.3. Participación del personal de la entidad en la elaboración y ejecución de las

políticas de seguridad y protección de los recursos informativos
Esa responsabilidad integral requiere de su implementación sistémica en

la entidad. Cada persona usuaria de los sistemas informatizados y a la vez
involucrada en la seguridad y protección de los recursos informativos, debe
estar imbuida de su importancia y el papel que desempeña para garantizar
131
todos los pro cesos productivos, de servicios, econó mico s, financieros y de
gestión de la entidad. Deben estar informados de las amenazas y peligros
existentes que afectan a los recursos informativos, y de qué hacer para
evitarlos.
El diseño y aplicación de controles y medidas de seguridad y protec-
ción
nes, aconstituye un proceso
nuevos retos, dinámico.
a cambios DebePor
constantes. adecuarse a nuevas
tanto, debe situacio-
ser revisada
constantemen te para que no pierdan su utilidad.
Los controles y medidas mencionados deben ser reflejados explícita-
mente en documentos de trabajo (manuales, ayudas en línea en las aplica-
ciones, resoluciones, normativas, etc.), enfocados a su utilización práctica
constante. Deben ser incorporados, muchos de ellos, a los programas de
los sistemas de apl icación y explotación, a los efectos d e su implementación
automática cuando proceda y se requiera.
Las medidas y co ntroles generales (Controles generales de informatización
o PED) y los controles de aplicación, deben ser diseñados con un criterio
integr al. Deben existir e implementarse po líticas de carácter gen eral, de f or-
ma tal que todas las aplicaciones solucionen problemas similares en forma
similar: interfases de diseño común para la comunicación hombre-máquina,
mensajes de err or, reglas de actuación, etc. Es el principio de la co nsistencia
en la solución, el cual prop orciona en la conciencia de usuarios y operado -
res, hábitos y rutinas de trabajo eficientes (“lo similar siempre se soluciona
de igual forma”).
La seguridad y protección de los recursos informativos se implanta a
través de un Programa o plan de seguridad y protección , en el cual se
reflejan las tareas concr etas a realiza r, con las responsabili dad es bien defi-
nidas en cuanto a por
ceso sistemático, d irección
lo que ylas
ejeprincipales
cución. Perosoluciones
como se son
expresó,
parteesdeunlospr o-
sistemas de aplicación y de los procesos generales de trabajo en el ámbito
informati vo d e la entidad.
Este plan o programa, para ser aplicado, debe orientarse en las siguien-
tes áreas de trabajo:
• Área de proc eso infor máti co de l a inf ormación
• Área de ca ptación de l a infor mación primaria
• Canales de tran smisión de dat os por líneas de comuni cación
• Actividad de traslado fí sico de informaci ón (formul arios, informes y
reportes impresos, etc.)
132
• Biblioteca de s op ortes magnéticos
• Áreas de toma de decis iones y control, mediante la informa ción que
brinda el sistema
• Áreas físicas circunda ntes
El plan o programa debe incl uir un sistema de medida s de seguridad y
protección relacionado con:
• El software
• La construcción y recons trucción de oficinas, locale s en genera l y
edificios
• La instalació n de e quipos de seguri dad y protección
• Las medidas organ izativas y de d irección
• Las medidas educativas y cul turales
• Las medidas legales
Fig. 8.4. Sistema de medidas de seguridad y protección de los recursos informativos
Ejempl o de vi ol ac ión del c oncep to de “sist em a”

en l a seguri dad y p rote cc ión de los r e curs os
informativos
En una determinad a entidad, elab oraron un excelente sistema integ ral
de con tabilidad
contab en Visua l uFox
les. E stablecieron Pro, q ue
n sistema a ba rcabadelas
completo principales
protección a funciones
través de
133
pa labras clave o contraseñas, para que los distintos usuarios de la máqui-
na donde se explotaba el sistema sólo accedieran a los subsistemas que les
correspondían. Sin embargo, dejaron las bases de datos, en formato .DBF,
accesibles en el disco duro. Cualquier persona con acceso a la máquina
po día consultarlas a través del propio Visual Fox Pro o de otro software
análogo. Se establecieron medidas de seguridad y protección, pero no com-

pletas, ni teniendo en cuenta la necesidad de establecerlas “en sistema”,
pa ra que se lograra el objetivo funda mental: brind ar seguridad y proteger
los recursos informativos. El resultado fue un sistema inseguro.
Parte importante del plan de seguridad y protección de la información lo

constituye el Plan o programa para contingencias y catástrofes , el que esta-
blece claramente qué hacer en caso de ocurrencias de determinados desas-
tres que puedan afectar los recursos informáticos. En el plan de contingen-
cias y catástrofes se incluy en medidas para evitar lo s mismos, par a recuperar
los recursos afectados y qué hacer para continuar el trabajo en esas condi-
ciones excepcionales, en el caso de que, a pesar de todo, ocurran las catás-
trofes y los afecten. Una contingencia o catástrofe puede ser algo tan dramá-
tico y serio como un huracán, una inund ación, o algo relativamente común
en ciertos países pobres –pero que puede afectar a cualquier región o país– como
la ausencia de energía eléctrica por un período más o menos largo.
La imple mentación del plan o pro grama de contingenc ias o catástrofes
requiere de activas medidas educativas y organizativas, para que sea co-
nocido por todos los implicados y todos sepan qué hacer en el caso que
ocurran las temidas contingencias o catástrofes.
PROCESO DE ELABORACIÓN Y APLI CACIÓN

DEL SISTE MA DE ME DIDAS DE SEGURI DAD
Y PROTECC IÓN DE LOS RECURSOS INFORM ATIVOS
El programa para elaborar y aplicar el sistema de medidas de seguridad
y protección debe ser desarrollado a partir de las necesi dades de la entidad, y
de sus posibilidades técnicas, organizativas, de personal y económicas.
La entidad debe se r estudiada par a identificar todas las posibles causas
potenciales de riesgos, y determinar los controles o medidas de carácter
general o de aplicación que se van a diseñar e implantar.
co, A partirendefunción,
y estar esto, e lcomo
progrse
ama que se de
expresó, elabore, debe ser yracional
las necesidades y prácti-
posibilidades
134
de cada entidad. El criterio de costo-beneficio es un p r incipio fu ndamental
a considerar: todo sistema de control cuesta, requiere de una inversión, la
cual debe estar en relación con el valor de aquellos recursos que se de-
sean proteger.
La elaboración del progr ama debe estructurarse por e tapas, para g aran-
tizar el cumplimiento
expresó, es un problemaen que
cadarequiere
una de ladeterminados
participaciónobjetivos.
de todos, Como
desde se
la
alta gerencia hasta los usuarios de la información, incluyendo la gerencia
media y baja, los operadores, bibliotecarios de soportes, administradores
de bases de datos, entre otros.
En aq uellas pequ eñas entidades dond e much as de esas fun ciones recaen
sobre el mismo empleado, y donde no hay posibilidades económicas de
particularizar y dividir las tareas, deben aplicarse las medidas posibles,
pero eso significará que el auditor, durante las auditorías a los sistemas en
explotación (véase el capítulo 7) deberá enfatizar en pruebas sustantivas
para determinar la validez de las informaciones que procesa el sistema,
pues no podr á confiar e n el sistema d e controles.
Las etapas de trabajo a desarrollar son las siguientes:
1. Establecimiento d e los objetivos de seguridad y p rotección de los
recursos informativos en la entidad
2. Garantizar la parti cipación de todos los impl icados
3. Análisis de las causas de riesgos
4. Diseño del si stem a de medidas nec esario: di visión en medidas o con-
troles generales y de aplicación. Diseño del plan para contingencias
y catástrofes
5. Documen tar el p lan de med idas
6. Aplicación
las medidasdel sist ema de medidas. Acciones neces arias para aplicar
7. Controlar la aplicaci ón del plan de medidas y el plan para contin-
gencias y catástrofes
8. Análisis sistemático de la adecua ción de los pl anes a la realidad.
Modificación y actualización de estos
En la primera etapa, Establecimie nto de los objetivos de seguridad y
protección de los recursos in forma tivos en la entidad , se define por la alta
gerencia, con la participación de auditores y el responsable de la seguridad
y protección de los recursos informativos, los objetivos o propósitos del
trabajo que seer,acometerá.

quiere proteg qué están Se definiráoexactamente
dispuestos no a permitirqué se pretende,
en caso qué se
de la ocurrencia
135
de determinad a catástrofe, etc. Esos ob jetivos servirán de guía po lítica para
la definición del sistema de medidas o controles.
Ejempl o d e objeti v os d e seguridad y protecci ón
de los recu rso s inf o rmativos
La compa ñía de aviación Aerosta r decide establecer un plan de

seguridad y protec ción de rec ursos informativos en u n pa ís del tercer
mundo con serios problemas de alimentación eléctrica. A continua-
ción, parte de sus objetivos de seguridad y protección, con alguna de
las medidas asociadas:
Objetivo: Garantizar que los clientes solicitantes de reservas y pa-
sajes en nuestros aviones tengan el servicio de nuestros sistemas
informáticos duran te todo el horario de atención d e nuestras oficinas
de reservación.
Med ida s:
• Instalar en cada oficina gener adores eléctricos para la ate nción a
las computado ras de la red informática, ante cortes del fluido eléc-
trico.
• Instalar unidade s de alimentac ión ininterrumpida en cada e sta-
ción de traba jo, para permi tir la transición de a limentación eléc-
trica de la red común, a la alimentación del generador eléctrico,
sin interrupcion es del servicio.
La segunda eta p a de trabajo, garantizar la participación de todos los

implicados , persigue que la segur idad y pro tección de la inform ación se
convierta en una
terizada por una gran
pr eocupaci óntrabajo
carga de de todos e n la entidad.
cultural E s una
y educativo: etapa carac -
conferencias,
explicaciones, ubicación de afiches promocionales, etc. Los auditores y el
funcionario debe p romov er la necesidad de adquirir háb itos saludables en
el trabajo con los recursos info rmativos, para lograr su segur idad y pro tec-
ción. Pero fundamentalmente la principal tarea administrativa e ideológica
recaerá en la al ta gerencia de la entid ad, qu ien debe g arantizar la participa-
ción de la gerencia media y baja, así como de todo el personal implicado.
Los criterios saludables del trabajo con los recursos informativos de-
ben penetrar en los hábitos laborale s de todos, al ext r emo de formar parte
del sistema de valores de la entidad; o sea, de su cultura organizativa y de
trabajo. Además del aspecto político, cultural y educacional, se requerirá
el soporte administrativo, organizativo y legal. Los trabajadores de la enti-
136
dad deben saber que toda la gerencia está enfrascada en una cruzada por
proteger los recursos informativos, y que se espera de ellos lo mismo; pero
además, los reglamentos y documentos normativos de su trabajo deben
especificar bien claro q ué deben hacer, y qu é aconte cer á en caso de v iola-
ciones a la política de seguridad y protección de los recursos informativos.
Es una etapa que no concluye: siempre debe trabajarse en ella.
La tercera etapa, Análisis de las ca usas de riesgos, es una etapa técni-
ca, que deben r ealizar los auditores, con el apoyo del p ersonal téc nico que
consideren conveni ente. Imp lica detectar aquellos punt os q ue ofrecen pe-
ligros o amenazas contra los recursos informativos. En la Fig. 8.1 se define
el ámbito de traba jo dond e se pued en presentar esas amenazas. Además,
en los capítulos sobre controles y riesgos, se analizó este aspecto con algu-
na profundidad. Se expondrán algunos criterios adicionales en una sec-
ción posterior de este capítulo.
La cuarta etapa, Diseño del sistema de medidas necesario : división en
medidas o controles generales y de aplicación. Diseño del plan para con-
tingencias y catástrofes , puede dividirse en dos partes:
• Diseño del sistema de medidas o controles generales y de apli cación.
• Diseño del plan para cont ingenc ias y catástrofe s.
En la primera, se diseñan los controles generales de informatización o
PED, y se establecen las directivas generales a seguir por los diseñadores
en los controles de aplicación de cada sistema (véase los capítulos sobre
contro les y r iesgos, y sobr e la auditor ía a los sistemas en pr oc eso de diseño
y elaboración). En la segunda, se analiza un conjunto muy particular de
causas de rie sgos: las catástrofes natu rales y artificiales, que pued en pr opi-
ciar la pérdida d e todo s o parte de los recursos infor mat ivos. En ese aspec-
to se definirá cómo actuar en cada caso y qué hacer para recuperar los
recursos dañados, con un mínimo de costos y de esfuerzos: es el plan para
evitar la acció n de catástrof es naturales y artificiales y para rea lizar la recu-
peración de los recursos informativos.
La quinta etapa de trabajo se refiere a la imprescindible necesidad de Do-
cumentar el plan de medidas. Ello no obedece al impulso burocrático de te-
nerlo todo escrito en papeles, sino a una realidad: la formalización que implica
escribir el plan de medidas contribuye a su logro y a su accionar práctico.
Evita confusiones y malas interpretaciones. Permite el control y su posterior
perfeccionamiento.
ción de ellas, ya seanEnexternas
el planoo concreto
internas, de lasdeja
pues auditorías, garantiza
perfectamente la realiza-
claro lo que
137
debe ser analizado. Además, se definen claramente las responsabilidades de
cada uno de los actores –gerencia, usuarios, operadores, y otros.
La form a de doc umentar el p lan de m edid as d epen de d e las caracte-
rísticas de la entidad, de las preferencias de auditores, usuarios, geren-
cia, etc. Una forma bastante adecuada es dividirlo en sus tres partes
básicas:
• Medidas relacionadas con l os controles generales d e informa tización
o PED.
• Medidas relacionadas con l os cont roles de apli cación es pecíficos de
informatización o PED.
• Medidas relacio nadas con las cont ingencias y catástrofe s.
Es recomendable precisar la medida a tomar, su responsable, sus parti-
cipantes, la fecha de activación y el período de acción.
La documentación elaborada debe reproducirse en copias que con-
tengan los principales implicados, atendiendo a su esfera de interés: la
gerencia, en ,todos
info rmática susnsabl
el respo niveles;
e de eldiseño
responsable de seguridad
y elaborac y protección
ión de sistemas, las áreas
usuarias y de procesamiento y otros posibles. Por supuesto, de existir en
la entidad una intranet, esta documentación será publicada.
La sexta etapa, Aplicación de l sistema de medidas. Acc iones necesa-
rias para aplicar las medidas , implica tomar las acciones necesarias para
activar el sistema de medidas diseñado y documentado. Es una etapa fun-
damental, pues si no se realiza convenientemente, todo el proceso puede
quedar en un mero ejercicio burocrático.
Todos los implicados deben participar, encabezados por la alta direc-
ción, la cual debe mostrar, con su ej emplo y con las acc iones administrati-
vas y organizativas necesarias, que la tarea de seguridad y protección de
los recursos informativos de la entidad tiene una alta prioridad. El respon-
sable de seguridad y protección será el encargado de organizar y dirigir la
ejecución de los planes elaborados. El jefe de diseño y elaboración de
sistemas tiene que implementar todas las medidas y controles recomenda-
dos y procedentes, a los sistemas de aplicación que se estén elaborando.
Los jefes de las áreas usuarias, los jefes de las áreas de pro cesamiento y los
responsables de las bibliotecas de soportes deberán estudiar las medidas
que corresponden a su área y entrenar a sus trabajadores para accionar las
mismas. Los auditores, a su vez, se encargarán de comprobar que el siste-
ma de medidas de segur idad y protecci ón se implanta y aplica convenie n-
temente.
138
Ejem pl o de Plan d e medida s de segu r idad y pr ot ec ci ón
de l os re cur sos in f or mat ivos
1. Medidas y con t role s gen erale s de in for ma tizaci ón o PED

• Permitir el acceso a las áreas de pr ocesamiento autom atizado de
datos solamente al personal autorizado. Responsable: jefe de

áreas. Participa ntes: operado res. Fecha de activa ción: 1-1 -20 05.
Período d e activa ción: permanente.
• Dotar a todas la s máqui nas de palabr as de pas e o cont raseñas de
set up y de protector de pantallas. Responsable: jefe de áreas.
Participantes: o peradores . Fecha de activación: 1-1 -20 05. Perío-
do de activación: permanente
2. Med ida s y co ntro les a incluir en los sistema s de ap licac ión
• Todo s istema de apl icación deber á ser dotado de una r utina auto-
mática de back-up o salvado de las bases de datos, para que se
active al finalizar l a sesión d e trabajo. Responsab le: jefe d e dise-
ño de sistemas. Participantes: analistas de sistemas. Fecha de ac-
tivación: 1 -1- 2005 . Período de activació n: perm anente.
3. Med ida s y co ntro les relacio nad os co n las co ntin ge ncias y ca tás-
tro fes
• Los sistemas de apli cación tendrán copias e n lo s locales de las
calles Jazmín # 3 45, del barrio de Miraflores y Bo lívar # 565 de la
colonia Antero. Se actualizarán trimestralmente o cuando se pro-
duzcan cambios en los sistemas. Las nuevas copias vendrán
acompañadas de una carta de autorización del departamento de
Auditoría Interna. En caso de daños en los sistemas en explotación,
se repondrán los mismos a partir de estas copias. Responsable: jefe
de bibliotecas. Participantes: responsables de los locales respecti-
vos y departamento de auditoría interna. Fecha de activación: im-
plantación de cada sistema. Período de activación : perman ente.
Cada medida o control a aplicar puede exigir esfuerzos diferentes: pue-

de requerirse la instalación de una puerta más segura, candados de seguri-
dad a cada máquina o simplemente trasladar la computadora de lugar.
La etapa siguiente p ertenece al ámbito de trabajo de l os auditores , pero
también a todos los que tengan algún nivel de responsabilidad en la enti-
dad: Controlar
gencias la aplicación
y catástrofes del realizar
. Se deben plan de sistemáticamente
medidas y el planesos
para contin-
controles,
139
sobre la base de la evaluación diaria en la entidad y del plan elaborado y
documentado. Pueden existir diferentes acciones de control del plan, des-
de los más habituales que realicen los propios jefes de las áreas, hasta los
más formales y rigurosos que ejecuten los auditores. El método fundamen-
tal es la observación, científica, rigurosa y con un objetivo claro: garanti-
zar que see cumplen
diseñado losesplanes
implantado eficazelaborados
y eficiente,y que el sistema
brindando de nivel
así un medidas
ade-
cuado de seguridad y protección a los recursos informativos de la entidad.
Es conveniente registrar los resultados de los chequeos realizados, para
futuras auditorías o para futuras adecuaciones o cambios del sistema de
seguridad y protección establecido.
Finalmente, la etapa de Análisis sistemático d e la adecuació n de los
planes a la rea lidad. Modificación y actualización de estos, tiene como
objetivo adecuar el sistema de medidas elaborado, a los cambios del me-
dio o entorno y a las nuevas exigencias. Debe ser realizada entre la geren-
cia, el responsable de la seguridad y protección de los recursos informati-
vos, los demás participantes y los auditores. Para esto deben basarse en:
• Experi encias obtenidas durant e la aplicación del sistema de medi-
das. Aspectos positivos y negativos. Resultados.
• Cambios en la mi sión y los obj etivos d e la entidad.
• Cambios en el hardware y el software gene ral.
• Necesidades de lo s nuevos s istemas de apl icación que se diseñan o
se desean adquirir.
• Modificaciones a los sistemas de apl icación que se encuentran en
explotación.
Los cambios que se realicen deben ser hechos con los mismos princi-
pios que implícita o explícitamente se han expuesto en esta obra: apoyo
activo de la gerencia, participación de todos los implicados, documenta-
ción y apli cació n formal y real.
ALGUNAS M EDIDAS DE SE GURI DAD

Y PROTECCI ÓN DE RECURSOS INFORM ATIVOS
En otros capítulos de esta obra se han expuesto ejemplos de controles,
utilizables, sobr e todo, per o no exclusivamen te, en sistemas de aplicaci ón.
Se apuntó que en secciones posteriores se analizarían algunos controles o
medidas de tipo general, que pudieran ser catalogados como “controles
generales de informatización o PED” . A continuaci ón se mencionarán una
140
serie de ello s, orientados a lograr la s egur idad y la protección de los recur-
sos informativos en general. 1
Las medidas de protección mediante la construcción y remodelación
de locales deben ser aplicadas, por supuesto, durante el proceso de crea-
ción de condiciones efectivas para la implantación del sistema. Implican
la r emodelación
truidos y constr
con materiales ucción de locales
incombustibles y cono el
ediacceso
ficios,físico
log rarcontrolable
lo cales cons-
a través de puertas y ventanas; la construcción de adecuados sistemas de
drenaje para evitar inundaciones, garantizar hermetismo y fortaleza en
puertas y ventanas, realizar instalaciones eléctricas con suficiente cali-
dad y capacidad para evitar sobrecargas, instalar puertas y ventanas se-
gura s y ubi cadas de forma que se permita el con trol al acceso, garant izar
paredes y techos suficientemente fuertes para resistir sismos, huracanes
u otros fenómenos naturales, etc. Por supuesto, estas medidas tienen que
diseñarse atendiendo a las necesidades de cada región y país: en el Cari-
be los huracanes son frecuentes, no así los sismos. Por el contrario, en
California o curredel oseguridad
Las medidas cont ra rio.
y protección a través de la instalación de equi-
po s deben realizarse en las mencionadas etapas y fases del proceso de crea-
ción del sistema. Incluyen la adquisición de equipos de cómputo y apoyo
fiables y de buena calidad, duplicar los equipos más susceptibles de romper-
se (discos du ros, impresoras, p rocesadore s, etc), si lo justifica el co sto de las
posibles roturas; instalar acondicionadores de aire de suficiente capacidad;
deshumidificador es; sistemas de acu mulación y alimentac ión eléctrica anti-
interrupciones; estabilizadores de voltaje; archivos antipolvo y antifue-
gos; sistemas de alarmas y protección contra fuegos y extintores; sistemas
de alarmas contra accesos indebidos; sistemas cerrados de televisión con
grabación en cintas de video para dejar constancia de los visitantes; para-
rrayos y sistemas de descarga a tierra de la electricidad estática; candados
especializados y otros sistemas de seguridad física para evitar el traslado
indebido de los equipos, el robo de sus componentes o su utilización no
autorizada, entre otras.
Las medidas organizativas y de dirección se ejecutarán durante la explo-
tación del sistema. Incluyen: el acceso restringido y controlado, el registro
de visitantes, su chequeo de identidad y de bultos y paquetes transportados,
1
Mucha de la informaciónutilizada en esta s ecciónse ha empleado con anterioridad enot ras obras
del autor, como Audito rí a in formát ica pa ra elnu evo milenio , y Si stemas in formático s. Teoría ,
métod os de ela bor aci ón, técni cas , her ramien tas; ambas consignadas en bib liografía.
141
la garantía de una limpieza sistemática y en una forma adecuada; el entre-
namient o al person al de operaci ón en cómo actuar en ca sos de incendi os o
desastres de otro tipo, extravío de información, programas malignos como
virus, etc.; establecimiento de una adecuada política de selección y rota-
ción del personal, de una adecuada política de creación, conservación,
actualización,
programas; de almacenamiento y control
una política de seguros de copias
contra de bases
desastres, de fallas
fuegos, datos del
y
sistema de alimentación, fraudes, etc.; de planes de emergencia ante con-
tingencias; control periódico de todo el sistema de medidas, tanto directa-
mente como utilizando auditores especializados internos o externos, entre
otros.
Las medidas educati va s y culturales se aplicarán ta nto antes de implan-
tar los sistemas, como durante su explotación. Incluyen la creación de una
cultura de seguridad y protección de la información y el conocimiento,
mediante conferencias, cursos, mensajes gráficos, entre otros.
Las medidas legales de protección también se aplican durante el di-
seño
etapa y. Se
la comp
explotación de estableci
onen del los sistemas, perodesobre
miento todo encione
reg lamenta esta súltima
y norm as
internas, basadas en leyes y otras regulaciones jurídicas vigentes en el
país; la in clusión en los contr atos de clá u sulas de finitorias d e re spon sa-
bilidad es ante daño de info rmacione s y recu rsos inf ormáti co s en gen e-
ral, entre otros.
Las medidas de protección a través del software. Cuando esas medidas
son de carácter general, o afectan a varias aplicaciones, deben formar par-
te del reglamento de trabajo del área de procesamiento de datos. Cuando
son de carácter específico, relacionado con un determinado sistema
informático (por ejemplo, un sistema que procesa información de carácter
confidencial), la descripción de las medidas se incluirán en los manuales
de usuario, explotación y/o utilización, según proceda o se implementará
automáticamente en cada sistema. Comprenden el uso de contraseñas
(“Passwords”) o controles biométricos, control de etiquetas, encriptación
de información, validación de datos de entrada, reiteración de envío de
mensajes, empleo de dígitos de chequeo y autoverificadores, protección
contra lectura y/o escritura, programas antivirus, etc. Este tipo de medi-
das debe estar en consonancia con el avance de la tecnología. Por ejemplo,
el uso de técnicas biométricas harán innecesarias, en los próximos años, el
empleo de las palabras de pase o contraseñas.
Todo s los gru pos de medidas están íntimamente relac ionadas, pues son
parte del mis mo pr oyecto de dise ño del área de proce samiento de d atos.
142
Una atención particular requiere aquellas medidas de protección contra
desastres naturales o provocados, algunas de las cuales se ofrecen a con-
tinuación.
A.- Contra Incendios
1. Ubicar el área central

cio incombustible de proceso
o resistente de datos (A PD) en un edifi -
al fuego.
2. Aislar el APD de las actividades consideradas p eligro sas. Uti-
lizar tabiques y paredes incombustibles.
3. Utilizar falsos pisos y techos incombu stibles.
4. Utilizar mobil iar io incombust ible.
5. Prohibir fumar en el APD.
6. Almacenar el pa pel y otros ma teriales combustibles fuera del
APD.
7. Adiestrar el per sonal en las técnicas de extinción de incendios .
8. Utilizar sistem as automát icos de extinción, d e agua, d ióxido
9. de carbonolos
Distribuir u ex
otrotintores
t ipo. estratégicamente e iden tificar su utili-
zación.
10. Ubicar los sistem as de corte de la energía el éctr ica cerca de l as
salidas y en lugares accesibles.
11. Garantizar que l os sistemas de corte de corrien te actúen sobre
la ventilación, la calefacción y el aire acondicionado.
12. Ubicar dete ctor es de humo e ioni zación en lug ares adecua dos.
Comprobarlos regularmente.
13. Realizar per iódicamente simulacros d e incendios .
14. Garantizar un su ministro adec uado de agua a los sistemas de
extinción.
15. Ubicar sistemas de alarm a contra incendi os en lugares ade-
cuados y la cantidad necesaria.
16. Controlar el e mpleo de materiales inflamables.
17. Permitir el acceso rápido de bomberos u otro equipo de emer-
gencia, medi ante una adecuada u bicación del APD.
18. Ubicar u n sistema de alumbra miento de emergenci a.
B.- Contra inundaciones
19. Ubicar las comp utadoras y otros equipos por e ncima del nivel
de los conductos de agua.
20. Excluir del APD cualquier conduct o de agua o vapor de agua ,
excepto los de la extinción de incendios.
143
21. Construir un ad ecuado si stema de drenaje baj o el falso piso.
22. Evitar goteras del pis o superior, c on un conv eniente sistema
de drenaje.
23. Construir un s istema correct o de drenaje en ár eas adyacent es.
24. Garantizar que l a instalación de electricidad n o sea dañada por
25. escapes de pu
Hermetizar agua.
ertas y vent anas que de n al exterior.
26. Colocar prote cción contra a cumul ación de ag ua de l luvia en
los respiraderos.
C.- Con rel ación a la temp eratura, filtracio nes y hu medad
27. Utilizar filtros y revestimientos de los condu cto s de aire incom-
bustibles.
28. Colocar el compres or en el lugar adecua do.
29. Proteger a decua damen te los re spiraderos.
30. Poseer un sistema de aire acondic ionado de emergenci a.
31. Ubicar
cubiertaslascon
tomas d eprotectoras,
capas aire por encima del que
de forma n ivelsedeimpida
la calle
la y
entrada de elementos contaminantes.
32. Utilizar equipos des humidific adores. Controlar el nivel de hu-
medad.
D.- Con relación a la electricidad
33. Dentro de lo posible, garantizar la fiabilidad del servicio eléctrico.
34. Controlar el voltaje de la línea. Utilizar estabilizadores de voltaje.
35. Utilizar sistem as de acumulac ión eléctrica y de alimentación
ininterrumpida.
36. Diseñar
plan las enormas
instalarestablecidas
las líneas eléctricas y de f orma que se cum-
de seguridad.
E.- Contra des ast res naturales
37. Instalar el APD en un edificio suficientemente robusto, protegido
contra huracanes y vientos fuertes, inundaciones, sismos, etc.
38. Instalar un sistema adecuado de pararrayos y protecc ión con-
tra desastres eléctricos.
F.- Con rel ación a lo s a ccesos al APD
39. Exigir i dentific ación en la entrada. Regi strar la mis ma en un
libro preparado al efecto, con el nombre de la persona que
autoriza.
144
40. Revisar paqu etes, portafolios, etc. Evitar el paso de grabadoras,
lap-top o palm- top computers, cámaras fotográficas, imanes, etc.
41. Permitir el acceso sólo a personas id entificadas.
42. Hacer que el sistema de con trol funcione las 2 4 horas del día,
profundizando en los controles en horas no laborables.
43. Utilizar ll aves, códigos de acceso, lect ores de tarj eta, u otro
mecanismo.
44. Evitar la pu blicidad sobre la ubicación del APD.
45. Analizar si so n necesarias todas las entradas al APD.
46. Proteger y contr olar el acceso a través de las venta nas y puer-
tas para ventilación.
47. Conectar las salidas de incendio con el sistema de ala rma.
48. Diseñar y constr uir sólidamente las puertas, ce rraduras, cerro-
jos, bisagras, m arcos, etc. para reducir la pro babilidad de ac-
cesos no autorizados.
49. Instalar una bat ería emergente para apoyar el co ntrol al acceso
al
se APD anteeléctricamente.
controle caídas del fluido eléctrico, en el caso de que éste
G.- Con relación al acceso a transmisión de datos

50. Estudiar las nec esidades de los usuarios y e stab lecer autoriza-
ciones selectivas y jerarquizadas (“privilegios”) para acceder
a los diferentes recursos informáticos: computadoras, termina-
les, datos, soportes magnéticos, etc.
51. Utilizar palabra s clave o contraseñas (passwor ds) relativamen-
te seguras, para controlar los accesos al sistema.
52. Utilizar soft ware de seguri dad para co ntrolar l os accesos al
sistema y las fu nciones de consult a y escritura de los ficheros.
53. Evaluar periódicamente el sistema de segurida d empleado p ara
proteger los recursos informáticos, y adecuarlo a la existencia
de nuevos avances, métodos, productos, etc.
54. Crear y mantener actualizado un regi stro de la s violaciones o
intentos de violación del sistema.
55. Establecer proc edimientos para prop iciar la r ápida actuación
de los operadores y responsables ante intentos de violación.
H.- Con relación al acceso a termi nales y microco mputadoras des -
centralizadas o distribuidas
56. Cubrir la máqu ina con forro o cub ierta similar (sellada), al con-
cluir el trabajo.
145
57. Cerrar los locales y sellarlos al conclu ir el trabaj o.
58. Proteger la tom a de alimentación de las máqui nas, en los pe-
ríodos en que no se estén usando.
59. Proteger el teclado con un a carcasa metálica o p lástica, o en su
defecto, guarda rlo bajo llave.
I.- Administración interna
60. Evitar la acumul ación d e material inn ecesario, despe rdicios,
etc., en las áreas de procesamiento de datos.
61. Establecer la limpieza peri ódica de equipos , sup erficies de tra-
bajo, suelos, superficies bajo el falso piso, etc.
62. Utilizar los pro ductos de limpie za y puli mento antiestáticos.
63. Utilizar conte nedores de basura resisten tes al fuego.
64. Mantener en ord en y limpios los cuartos destinados a guardar
útiles de limpieza y mantenimiento de locales.
J.- Segurida d g eneral
65. Responzabili zar a un personal especializado c on la seguridad
y la protección física.
66. Establ ecer procedimient os de seguri dad acordes al va lor de
los recursos a proteger.
K.- Política de personal
67. Estudiar el histo rial y las características psico sociales antes de
admitir a cada nuevo empleado.
68. Evaluarlos pe riódicamente.
69. Establecer una po lítica de cali ficación y r ecalificación.
70. Establecer una p olítica continua de recalificación sobre medi-
das de seguridad.
L.- Planes de emergencia y contingencia
71. Estab lecer un p lan de con tingenci a escrito, que abarqu e, al
menos, las siguientes cuestiones:
– procedimi ento deta llado pa ra actuar en caso de emer-
gencia.
– criterios par a determinar los alcances del prob lema.
– responsabi lid ades del personal ant e cad a situación.
72. Establecer un p rograma de forma ción sobre con tingenci as para

todo el personal.
146
M.- Procedimientos de copiado (backup)
73. Establecer, de ser posible, equipos es pecializados en copias o
backups, y ubicarlos fuera del área y/o del edificio.
74. Cuid ar que e l equip o especia lizado en backups , tenga la s me-
didas de s eguridad y pro tección física que se des cr iben a quí.
75. Establecer y co ntrolar la ejec ución de un p lan de copiado.
76. Cuidar que e xistan los sopor tes magnéti cos y repuestos sufi-
cientes.
77. Chequear periód icamente el estado del equipo . Establecer un
programa de mantenimiento preventivo.
78. Establecer y con trolar la ejecución de una política s obre reten-
ción de archivos o ficheros y copias de seguridad.
79. Situar el almacé n de copia s de seguridad fuera del edificio (de
ser posible) y e n un lugar protegido contra i n cendios y demás
situaciones aquí descritas.
80. Establecer, en lo s casos más crít icos, diferente s cop ias en dife-
rentes lugares.
81. Probar peri ódic amente el estado de las copias. Establecer un
procedimiento riguroso de actualización.
N.- Seguros
82. Incluir en el seguro del APD y sus medios :
–fuego.
– daños por agua.
– actos de vandalismo y desorden.
– desastres natu rales co mo huraca nes, sism os, y de scar-
gas eléctricas.
–derrumbes .
– daños producidos por ae ronaves .
– fallos del sistema de aire acondici onado.
– explosiones (gas, caldera s, etc.).
–fraudes , robos .
– fallos en el sistema de alimentació n eléctrica.
– gastos no pr evistos de repuest os, r oturas, etc.
– pérdidas po r int errupc ión de la actividad de la org ani-
zación.
147
83. Disponer de al ter nativas de solución para prob lemas inespera-
dos con:
– equipos de pro ceso de dat os.
–soportes m agnéticos.
– gastos de repuest o.
– software y do cument ación.
La lista anterior, bastante completa, s e aplica, en su máxima exp resión,
a grandes organizaciones de procesamiento automatizado de datos, con
redes o mainframes instalados e informaciones almacenadas y en procesa-
miento muy valiosas. No obstante, instituciones con volúmenes de proce-
samiento de datos mucho menores, como empresas medianas y pequeñas,
deben tener en cuenta las recomendaciones que aquí se dan. No debe olvi-
darse que la inform ación es igual de impor tante para u n pequeño taller que
para una gigantesca transnacional. En el caso de procesamiento sobre
minicomputadoras y de microcomputadoras, de poco valor relativo, los
usuarios y p royectist asUna
carlas rigurosamente. deben analipequeña
entidad zar qué medidas re qu
o mediana ieren
debe y cómo apli-
preocuparse
igualmente por sus informaciones, por el efecto que la pérdida de estas
puede te ner par a su actividad.
El auditor d ebe inf ormar a las instituciones labor a de estas medidas, sus
posibles costos y la conveniencia de aplicarlas.
En otros capítulos de esta obra se analizarán ciertas amenazas peculia-
res, sus medidas para prevenirlas y su corrección, como los programas
malignos y virus informáticos, la necesidad de proteger las bases de datos
y el empleo de las palabras de pase o contraseñas.
El tema de la seguridad y protección de los recursos informativos re-
quiere de ate nción constante por p arte de la gerencia y de los au ditores, los
cuales deben emitir sus criterios en los procesos de auditoría que realicen,
sobre cóm o protege la entidad sus dat os, prog ramas y el rest o de sus recur-
sos; y proponer medidas que permita mejorar ese nivel de protección y de
seguridad, en función de la misión y los objetivos de esta.
UN CASO PARTICULAR: LA SEGURIDAD EN INTERNET

El creciente uso de internet por organizaciones y personas individuales
crea una causa más de riesgo. La fuente de amenazas es ahora la red a la
que se han conectado las computadoras, y por donde llegan virus y otros
pro gramas malignos, p or donde consultan indeb idamente las info rmaciones
148
almacenadas, por donde se modifican indebida y dolosamente bases de
datos, etc.
Jamás las informaciones de una entidad o individuo han estado más
amenazadas. Los efectos de esas amenazas, si se concretan, pueden ser
devastadores. Algunos ejemplos son:
• Puede modifi carse el teléfono de la entidad en su página Web, para
colocar el número de su competidor.
• Pueden enviarse comuni caciones a sus suministrad ores pidiéndol es
partidas falsas de productos, para crear problemas y fricciones entre
ambos.
• Pueden det ectar l os números de cue ntas banca rias para intentar pe-
netrarlas.
La seguridad en internet tiene como objetivo reducir esas amenazas a
límites razonables, con un criterio de costo/beneficio, tal y como se ha
expuesto en este libro.
Al gunas amenaza s en sist em as con ec tad os a i nte rn et
• Entrada y alteración de sitios Web.

• Obtención de i nfor mación si n autorización.
• Utilización indeb ida de la informa ción obtenida.
• Dañar software y b ases de datos.
• Afectación de sis temas ajenos simulando haberlo hecho desde un
tercero.
• Cong estionamiento de re des.
• Consulta constant e a un sitio Web para evitar la co nsulta por otr os
usuarios.
• Sustitución de l a página Web, para ofrec er respue stas indebidas a
clientes o usuarios.
• Modificación de b ases de datos para el benefi cio ilegítimo del su-
jeto actuante.
• Utilización por los empleados de la entidad (conscie nte o incons-
cientemente) de s ervicios de Internet (e-m ail, chat, etc.) para trans-
mitir informa ción p erjudic ial a la pr opia enti dad.
• Políticas incor r ectas de a plicación d e cont raseñas, que m otivan
que estas sean violadas con facilidad.
• Ataque de virus y otros programas malignos, con la consiguiente
afectación de los recursos informativos.
149
También en este caso las medidas de control para disminuir los riesgos
de esas amenazas y dañen los recursos informativos, son de varios tipos:
• Medidas organizativ as y de dir ección.
• Medidas educativ as y cul turales.
• Medidas legales.
• Medidas de protección a través del software.
Estas medidas de control deben diseñarse e implantarse en dependencia
del estado de la técnica y la tecnología existente: muchos de los problemas
que se están exponiendo, no existían cinco años atrás. Es de suponer que, en
la medida que los servicios de internet se amplíen, surgirán también nuevos
riesgos y por ende, deberán implantarse nuevas medidas de control.
Al gu nas m edid as a tomar par a logra r segur idad

en in t ernet
• Contactar con el proveedor de servicios de Int ernet (PS I) e indagar

qué medidas aplican para evitar las actualizaciones no autorizadas a
las páginas Web. Exigir que se implementen medidas más estrictas.
• Asegurars e que los emple ados encargados de actu alizar las pági-
nas Web toman precauciones de seguridad, como cambiar regular-
mente las contraseñas y registrarse al salir de los archivos Web
antes de dejar sola la PC.
• Guardar la s p áginas clave de su sitio, diariamente.
• Tener es tab lecida una polít ica de copias de respal do d e las pági-
nas Web, tal y como se deben tener con otras informaciones im-
portantes.
• Como parte del proc edim iento de copias de respaldo, comparar
cada página activa con el respaldo más reciente.
• Obtener con el PSI regis tros de las consultas al sitio Web en forma
periódica. Estudiarlos y analizarlos para conocer quién visita el
sitio y qué hace.
• Proteger los d irectorios que guardan sus páginas Web.
• Instalar un firewall o “muro antifuego”, mant enerlo actualizado y
registrar quién accede al sistema y en qué momento lo hace. Man-
tener activa su alarma.
• Utilizar progra ma s “scanners” para d etectar los a taques a sus re-
cursos y de dónde provienen.
150
• Establecer políticas sobre la informaci ón que s e debe public ar o
no, y mantener informados a los empleados sobre esas políticas.
• Establecer pol íticas seguras y raci onales de encriptac ión de la i n-
formación importante de las bases de datos.
• Proteger el correo ele ctrónic o que sale d e la entidad, cuando s ea
necesario, mediante las opciones de codificación de los programas
de correo, como el Outlook o el Pegasus Mail; o las opciones de
otros sistemas.
• Realizar audit orías perió dicas de segur idad, a l menos s obre aque-
llos aspectos más susceptibles de ser violados, como la política
de contraseñas o passwords o las identificaciones de los usua-
rios.
• Utilizar servicio s de emp resas especializadas para q ue r ealicen ata-
ques simulados a los sistemas de la entidad y encuentren deficien-
cias de seguridad, “orificios”, “puertas traseras”, etc.
• Mantener actualizado al personal sobre los proble mas ex istentes
en materia deenseguridad.
pecializadas la difusiónUtilizar
de esoslos serviciosydesusinstituciones
problemas soluciones, es-
o
al menos, revistas o boletines técnicos.
• Cuidar la utilización de los recursos informa tivos por aquel los em-
pleados que trabajan desde la casa. Velar por que se apliquen las
mismas medidas que en la entidad.
La propia red ofrece un conjunto de sitios donde se puede encontrar

software apropiado para apoyar las tareas de seguridad o para proporcio-
nar información de utilidad en el establecimiento y aplicación de políticas
de seguridad. La tabla 8.1 muestra las direcciones de algunos de esos sitios
y la informa ción o facilidades que prop orciona.
Tabla 8.1
151
152
Logr ar un nivel de segur idad razon able en sistemas conectados a Internet

resulta imprescindible para las empresas, en la medida en que se integren
al comercio y los negocios electrónicos.
La empresa Rumba x ha instalado una red informática en sede central.

Orienta q ue cada person a a utorizada a utilizar las compu tado ras esta-
blezca su palab ra d e p ase definitiva, p ara log rar un al to n ivel de seguri-
dad . Esas palab ras de pa se se recogen en sobres sellad os y se gua rda n en
la caja fuerte de la entidad, de donde se sacarán en circunstancias nece-
sarias. Igualmente se establece una política mensual de copias de bases
de da tos, pa ra g ar antizar la continuidad del trabajo c uand o o curra a lgún
problema. No se estimó prudente invertir en unidades de alimen tación inin-
terrumpida (UPS ), p ues se les pidió a los usuarios que salvaran sus traba-
jos periódicamente, en el caso de que los apagones se intensifiquen, y así
aho rrar varios cien tos d e dólares en equ ipos. La red in stalad a se conside-
ra un éxito econó mico, pues s e lograron co mprar las co mputado ras más
baratas del mercad o, a una emp resa que liquida ba inve ntarios, por estar
en p roceso de mar charse del país. La acción se con sideró una gan ga.
Preguntas
1. ¿La seguri dad y p rotección de los rec ursos inform ativos e s un pro-
blema que corres p onde a la esfera de trabaj o del auditor? ¿P or qu é?
153
2. Establezca una escala del valor menor al mayor e n cuanto a los re-
cursos inf ormativos .
3. Mencione las causas de riesgo genéricas que afectan a los recursos
informativos.
4. ¿La prote cción y se gurida d de lo s recursos informa tiv os debe se r
5. lograda
¿Quiénese nson
form
losaprincipal
total a todo cos to? Expliq
es responsable ue elsuloopinión.
s en gro de la s eguri-
dad y protección de los recursos informativos?
6. Explique qué s ign ifica el pl an de seguri dad y prot ección de los re-
cursos inf ormativos .
7. ¿En qué cons iste el sistema de medidas de segurida d y protecci ón de
los recursos informativos?
8. ¿Qué es el plan o progra ma para conti ngenci as o cat ástrofe s?
9. Mencione las etapas de trabajo a desarro llar para establecer el sistema
de medidas de seguridad y protección de los recursos informativos.
10. ¿Quién es el respo nsable máximo de la seguridad y protecci ón de
11. los recursos

¿Puede tene rinformativos? ¿Por
éxito una medi da oqué?
acción aislada?
12. ¿Por qué son imp ortante s las medidas culturale s y educati vas?
13. ¿Puede lograr se la seguridad absol uta en Internet ?
14. Mencione algunas amenaza s específicas de la cone xión a internet .
Probl em a de inv e sti gaci ón 6

Analice las informaciones, software y trabajos en general que Ud. de-
sarrolla
de mediante
riesgos sistemas
de perder informáticos,
esa información. y encuentre
Diseñe al un
y aplique menos tres de
sistema causas
me-
didas para eliminar o disminuir esas causas de riesgo.
154
INTRODUCCIÓN
Existen algunas amenazas o causas de riesgos que por su novedad y
especificidad merecen un tratamiento un poco diferenciado: la amenaza
de los programas malignos entre los cuales están los virus informáticos, la
consulta no autorizada a las bases de datos y el acceso indebido a los
sistemas de aplicación. Esas amenazas se han potenciado con el desarrollo
de las redes de computación, a través de las cuales pueden llegar virus o
realizarse consultas y accesos no autorizados. Debido a ello, se ha decidi-
do dedicar un capítulo específico a estas cuestiones.
Aunque son aspectos mucho más relacionados con las tecnologías
infor máticas,
prob lema que velar
d ebe por la protecci
asimilar ón y seguridad
el auditor, an te esas
con total propie dad.amenazas
Para ello es un
debe
mantenerse muy informado sobre las modalidades de amenazas que pre-
sentan esas causas de riesgo, y de sus soluciones. Este capítulo pretende
contribuir e n algo a ello.
CONTRASEÑAS O PALABRAS DE PASE

Un password, pala bra de pase, contraseñ a o pa labra clave, es una
palabra (o más de una, literalmente hablando), que solicita un sistema
informático a un usuario determinado para permitir el acceso. De no coin-
cidir la palabra tecleada con la esperada, el acceso se denegará.
155
Desarrollar un adecuado sistema de generación y actualización de pa-
labras clave es un aspecto muy importante de la política de seguridad in-
formática en una entidad.
La seguridad de las palabras de pase depende del esfuerzo que se requiere
para ser descubiertas. Se ha escrito bastante sobre ese tema y muchas
personas e instituciones
ñas seguras y a descubrirsela dedican
forma decon gran empeño
violarlas. a diseñar
En teoría, contrase-
cualquier palabra
de pase puede ser descubierta, sólo se requerirá de tiempo y los métodos
adecuados. Se trata, pues, de dificultar ese proceso. Además, alguien con
recursos limitados (sin software ni conocimientos adecuados) si encuentra
una palabra de pase bien diseñada, estará encontrando un valladar insalva-
ble. Por ello el auditor debe velar porque se utilicen políticas correctas de
establecer y actualizar las palabras de pase o contraseñas.
Un principio fu nda mental es evitar palabras simples. El empleo de nom-
bres de familiares, de mascotas, etc., permite que un atacante con cierto
nivel de imaginación pueda violar fácilmente el escollo que pudiera signi-
ficarOtro
la palabra de apase.
principio tener en cuenta es la longitud. Mientras más larga sea
la palabra de pase, más difícil será su violación. En la t abla 9 .1 se muestra
una propuesta de longitud de palabra de pase (en su modalidad de “llave
secreta”), en relación al tiempo que se desea usar.
Tabla 9.1
Fuente: M. Carbonell “¿Cómo elegir y almacenar las claves?” revista Giga, no. 2 de
2000, p. 40.
Por supuesto, la propuesta que se presenta en la tabla 9.1 hay que to-
marla con mucha reserva: el aumento de las capacidades y la velocidad de
cálculo de las máquinas, y la existencia de técnicas de violación cada vez
más eficaces; hacen posible que los tiempos y los tamaños mencionados
puedan ser insuficientes en un futuro cercano.
Otro principio de diseño es combinar caracteres alfabéticos, con numéri-
cos, espacios y otros de tipo especial; a los efectos de evitar un ataque con
técnicas de “diccionario” (implica ir comparando la palabra de pase contra
un archivo contentivo de palabras: un diccionario) y dificultar un ataque
156
con las técnicas de “fuerza bruta” (se realiza mediante las permutaciones
de todos los posibles caracteres).
El último principio que se señalará es el de “memorizar” la palabra de
pase, nunca escribirlas en los sistemas informáticos. Las que se escriban
en los sistemas de aplicación, necesariamente deberán ser encriptadas (véas e
este capítulo(enmás
agradables adelante).
caso Es conveniente,
de muertes para evitardeincidentes
o pérdida prolongada des-
la conciencia),
guardar la palabra de pase escrita en sobre lacrado y en una caja de segu-
ridad.
El diseño de las palabras de pase puede ser variado.
La “palabra” pued e ser u n simple nom bre, o una combinación más com-
pleja, utilizando la fecha, la hora, u otro elemento variable que haga más
difícil la identificación . Por ejemplo, la palabra puede ser “SÉSAMO” más la
fecha del día, la cual se teclea a continuación, de la siguiente forma:
SÉSAMO 01/10 /2005
Ello implicará un doble chequeo, la palabra tecleada contra la palabra

esperada y la fecha tecleada contra la fecha de la computadora.
Otra variante es la existencia de todo un fichero encriptado de contra-
señas: pueden ser 31, para que el usuario interesado en el acceso, teclee la
que corresponda al día en cuestión (pueden existir otras variantes simila-
res). Por ejemplo, el fichero puede ser el siguiente:
1. árbol&7-8(/
2. César: _¡
3. baske tb all3 4"”
....
31. rock and rol l=]
Si el usuario desea acudir al sistema el día 3 de un mes determinado,
deberá teclear el password basketball34"”.
Una clasificación que se ha impuesto por el uso de software apro piado
para generarlas, es la utilización de p a lab ras cla v e secreta s y p úbl ica s.
Las primeras son aquellas sobre las que no se publica ninguna informa-
ción. Sólo las conocen aquellas personas que deben hacerlo. Las segundas
se dividen en dos partes: la palabra clave pública propiamente dicha, y la
secreta o privada. Ambas ensamblan, por lo q ue sólo se autorizará el acce-
so cuando ese “ensamblaje” se produzca.
Los passwords deben ser discriminantes: Por ejemplo, el usuario “jefe
de personal” puede tener acceso a incorporar datos, modificar, dar bajas y
157
consultar informaciones de una base de datos sobre personal. El director
de la empresa tendrá acceso sólo a consultar información. El responsa-
ble de la estadística sólo tendrá acceso a informaciones resúmenes y es-
tadísticas generales sobre el personal de la empresa, y no a informacio-
nes persona les so bre un persona l espec ífico; y así el res to de las personas
vinculadas al personal.
Los passwords discriminantes permiten el acceso a las aplicaciones
de d iferentes pe rso nas, co n difer entes r esponsabilidade s, y po r ende, con
diferentes niveles de autoridad, para consultar o no determinada infor-
mación.
Los passwords deben modificarse periódicamente. La frecuencia pue-
de ser determinada a partir de las informaciones de la tabla 9.1.
Evidentemente, el usuario debe teclear el password de forma que nadie
pueda fijarse en el mismo; por ello, la protección elemental indica que
deben enmascararse al salir en la pantalla, mediante el color u otro méto-
do, para evit ar que algui en no autoriz ad o pueda le er.
en elOtra variante
sistema son
de un los de
menú password
nivel Ns ajerárquicos:
otro de nivelpor ejemplo,
N+1, para avanzar
se requerirá tener
un password. De esta forma, cada menú tendrá, al menos una, por lo que
se requerirá conocerlas todas para utilizar todo el sistema.
Otros métodos d e passwords más sofisticados p ueden ser los passwords
de una sola vez , los cuales, como su nombre lo indica se utilizarán una
sola vez, y después se cambiarán. Requieren de ciertos equipos adiciona-
les que no forman parte de las configuraciones normales de los PC. 1
Por supuesto, estos métodos pueden combinarse entre sí, para obtener
una mayor seguridad.
En sistemas más sofisticados, pueden emplearse técnicas de reconoci-
miento de voz, de huellas digitales, del iris del ojo, etc. Estos métodos se
agrupan bajo el nombre genérico de Métodos bi ométricos . Es de suponer
que estos métodos desplacen a los anteriores en un quinquenio o menos
(por ejemplo, y a están en el mercado equipos incorpor ados al mo use, que
“leen” las huellas digitales del pulgar).
También es recomendable activar passwords al conectar la máquina
(contraseña del set up), al comenzar el sistema operativo (contraseña del
sistema) o vinculad os al ref rescador d e pantalla (sistemas estilo “Windows
XP”), para que este exija un password en caso de que el usuario-operador
se haya levantado y no h aya apagado la máquina. P or s upuesto, debe pro-
1
J. Coi ra: “Palabras clav es de úni ca vez”,revista Giga, pp. 35-40.
158
gramarse el refrescador de pantalla para que se active en un período de
tiempo suficientemente corto.
Otro tipo de protección que puede ser clasificada como cierta variante
de palabra de pase, son las llamadas llaves de protección , las cuales son
elementos de hardware y software ajenos al sistema que se desea proteger,
ydeque
un pseuerto
conecta a launcomputadora
serie, pu erto paralcuando la aplicaciónalseinterior
elo o incorporado instala,dea la
través
com-
putadora. Por lo general es un aditamento de hardware, pero proporciona
una zona de memori a (128 bytes o más) con la que se p uede int eractuar y
grabar datos codificados, contadores, algoritmos y otras palabras de pase.
Esa memoria puede permitir mucha flexibilidad, llegando incluso a ciertas
formas de programación. 2
La labor del audito r rad ica en analizar la polít ica existente de est ablecer
y actualizar las palabras de pase, y evaluar el nivel de seguridad y protec-
ción que realmente ofrece a la entidad y a sus recursos informativos. A
partir de esa evaluación, debe emitir sus criterios sobre esa política, y en
caso de que detecte deficiencias en la misma, debe sugerir su perfecciona-
miento.
Se puede co nsultar mu cha más inform ación sobre este tema en la litera-
tura especializada. En internet una dirección con mucha información es
http://www.kriptopolis.com/boletin.html . En correo electrónico puede
verse kriptopolis@jazzfree.com .
ENCRIPTACIÓN
La encriptación de información es una técnica anterior, incluso, a la
existencia de la propia computación. Se ha usado profusamente en el es-
pionaje, la diplomacia, la transmisión de mensajes cifrados, etc. Actual-
mente, en el ámb ito de la inform ática, la encriptación o criptograf ía ocupa
un espacio cada vez más importante. Significa el conjunto de principios,
método s y técnicas para man tener datos en secreto. En ot ras palabras, es el
conjunto de técnicas para el ocultamiento del significado de los datos, para
preservarlos contra eventuales receptores no deseados. Contrariamente, el
criptoanális is se dedica a descubrir la forma de hacer inteligibles los textos
cifrados o codificado s (criptogramas ).
2
S. Arbo na y D. Matas: “Llaves d e prot ección ”, revista PC World .
159
La criptografía busca mantener la seguridad de la información, tanto
durante su almacenamiento, como entre la transmisión entre un emisor y
un receptor . La segur idad se logra cuando:
• Se mantiene la co nfid enc ialid ad : la información no puede ser leída
por otra persona diferente a su destinatario.
• Es a uténtica: se puede comprobar que la información fue generada
por su emisor.
• Conserva su integridad : la informaci ón no h a sido modifica da inde-
bidamente en ninguna de las fases de su procesamiento.
• No p uede ser repud iad a : el emisor no puede negar que envió esa
información a su receptor ni el receptor que la recibió.
Con las velocidad es y los costos d e almacenamiento y de p rocesamien-
to de información actuales, no resulta nada sofisticado establecer métodos
de encriptamiento para cualquier sistema informático. En esencia, todos
esos método s consisten en ap licar un algor itmo o llave de encriptamiento a
cadaalgoritmo
cho dato, de forma
o llaveque
y aresulten
quienes ininteligibles
no co nozcan alasquienes
técnicasdesconozcan di-
de cr iptoanálisis.
Algunas técnicas elementales de la criptografía 3
son:
• Sustituir dete rmin ados caracteres del texto srcina l por otros c arac-
teres previamente establecidos. Por ejemplo: cambiar la letra “A”
por la letra “ M”, la letra “B” por la letra “P”, etc.
• Sustituir un cará cter del texto srcinal por más d e uno en el texto
encriptado. Por ej emplo, la primer a vez qu e se encue ntre la letra “A”
en el texto srcin al, se sustituirá por el número “1 1”, la segun da vez
por el número “25” y la tercera vez por el carácter “&”.
• Por
Sustituir bloque
ejemplo, s envez
cada el qtexto
ue seori ginal tre
encuen porelbloques
bloq ue en el texto
“ATA”, se cifrado.
cambia-
rá por el b loque “D E”.
• Sustituir cada carácter en el texto srcina l por otro separado n veces
a su derecha en el alfabeto. Por ejemplo, si n = 3, cada vez que se
encuentre una “A”, se cambiará por una “D”.
Esas técnicas, y otras similares, tienen la gran desventaja que pueden
ser descifradas fácilmente.
Hay otros métodos más prácticos y seguros, como la criptografía simé-
trica y asimétrica. En la primera, la misma llave de encriptación (elemento
3
Y. Quintero: “Sh hh , hablemos en s ecreto”, revista Giga.
160
externo que se relaciona y combina con el texto a encriptar) sirve para la
desencriptación. Es muy usada para garantizar la confidencialidad de la
información. La segunda o criptografía de lla ve pú blica-privada utiliza
una llave par a encriptar el mensaje y o tra para dese ncriptarlo. Esta se divi-
de en una clave pública, o de conocimiento común y otra privada o de
conocimiento particular
ideal para garantizar para la persona
la autenticidad de laque encripta la
información información.
y su Es
no repudiabi-
lidad.
Los p rincipales a lgoritmos simét ricos son DES, IDEA , Skipjack, CAS T,
SAFER y Blowfish. Entre los más conocido s de los asimétricos están RSA,
Curv as Elípticas y Elgamal. 4 Los algoritmos simétricos permiten encriptar
archivos largos a altas velocidades, pero los asimétricos permiten lograr
más seguridad, aunque para ser eficientes deben usarse con textos cortos,
como las firmas electrónicas.
Otro método son las llamadas llaves de sesión (o de una sola vez) . Son
llaves o algoritmos que se intercambian previamente para determinada
comu nicación de
a las palabras o con
pasesulta y después
de una no ya
sola vez, se leexplicadas
usará másanteriormente).
(o peran similarmente
Es posible utilizar funciones de hashing para encriptar y desencriptar.
Las más utilizadas son MD5 y SHA (desarrollada por la Agencia Nacional
de Seguridad de EE.UU. y considerada una de las más seguras).
Algunos lenguajes de programación como el C++ tienen su propia bi-
blioteca de algoritmos de encriptación (como la Cripto++ y la Criptolib,
del mencionado leng uaje; o la Criptix de Java), pero po r lo general pose en
débil seguridad, debido a que son elaboradas en EE.UU. y en ese país
existen leyes que prohíben exportar los algoritmos de exportación más
seguros. Un programa muy utilizado y relativamente seguro para niveles
domésticos de trabajo, es el PGP (Pretty Good Privacy), que puede encon-
trarse en Internet ( WWW.pgpi.com) gratuitamente.
Hasta este momento existe un estándar desarrollado: el DES (IBM),
aceptado por el ANSI 5 desde 1981. Actualmente se está en proceso de
elaborarse o tro e stándar: el AES (Advanced Encryp tion Standard). 6
La criptografía es una especialidad que requiere técnicos altamente ca-
lificados. El auditor, d e entenderlo ne cesario, deb e sugerir qu e se encripten
4
Ibí dem,p. 2 4.
5
American Nation al Stand aring Inst it ute, (Institu to Nacional Americano de Normalización y
Estandarización.)
6
Y. Quintero: ob . cit., p. 25.
161
determinadas informaciones y que se contrate para ello a especialistas en
la materia. No debe pretenderse que éste se responsabilice por proponer
un algorit mo concr eto ni mucho menos, pero debe tener la s agacidad y el
conocimiento necesario para saber cuándo es necesario encriptar alguna
información, de manera que pueda sugerir la aplicación de esta técnica.
VIRUS INFOR MÁTICO S Y OTROS

PROGRAM AS M ALIGNOS
Desde hace casi veinte años el mundo postmoderno ha conocido una
nueva y gravísima i nvasión: la de l os virus informáti co s y o tros programas
malignos. En los primeros tiempos nadie podía creerlo: ¿Virus que ataca-
ban a las computadoras?; ¿estaban en el aire, como los virus biológicos?;
¿afectaban a las personas? Hoy el mundo ha ganado en cultura informáti-
ca y ya nadie haría preguntas de es e tipo, pero no todo s conocen las inte-
rioridades de ese fascinante mundo de los virus informáticos y el modo de
comb atirlos. Debido a ello, se incluirán en esta obra al gun as páginas sobr e
el tema, tratando d e resumir los as pectos más interesant es de este tema qu e
afecta a los sistemas informáticos en el mundo.
Un virus informático u otro p rog ram a ma ligno es, según algunos ex-
pertos, un programa que es capaz de:
• Repli cars e, de s acar copia s de sí m ismo , pr obab lemente mo difi -
cadas.
• Realizar esa repl icación totalmente intencional , no es simplemente
un efecto colateral.
• malignos.
Al menos a lgunas de las copias replicadas son también programas
• Insertarse o añadirs e en otro progra ma hospedero, el cual, al ejecutar-
se, implica la ejecución del propio programa maligno. Algunos tipos
de ellos, como los gusanos, no requieren de programas hospederos.
• Causar daños t ales como el borrado de datos y pro gramas, el reformateo
indebido de discos, la modificación de datos y programas, la mod ifi-
cación de el BIOS de la máquina, ya sea con código vírico o con
“basura” (impide que la máquina arranque), etc. 7
7
Seha utilizadopara esta definición el archivo “Virus.t xt” , del sistema antivirus “F-prot”, actualizado
en juli o de 2000 ,y con la traducción del autor.
162
Para otros, los programas malignos no necesariamente tienen que cau-
sar daños para ser catalogados como tal. Por ejemplo, un reconocido ex-
perto como Richard Levi n, 8 dice:
Para satisfacer los criterios mínimos para diseño de virus, un
programa rogue tiene que:
• Ser ejecutable.
• Ser capaz d e reprodu cirse.
• Conv ertir o tros objetos ejecutables en cló nicos víricos.
En n inguna parte de la definición de virus info rmáticos hay al-
guna mención de operaciones no solicitadas, secretas, de accio-
nes destructivas o de propagación a través de múltiples instala-
ciones informáticas. Los programadores de software rogue han
añadido esas trampas, pero un programa no necesita conducir
una actividad así para ser calificado de virus informático.
virusPor supu esto,

y otros prog si esas de
r amas “trampas”
ese tipo nfuoesen
hu biesen sido añadi
ino fensivos, algodas, o sea, “bro
así como si los-
mas inocentes”, pues no se necesitaría prestarles atención; pero desgracia-
damente no es así.
Hay otro elemento que debe considerarse: la intencionalidad de los
autores de esos programas. Si un software presenta algún problema de
programación que produce efectos nocivos en los recursos informáticos,
no debe ser considerado un “virus” (de hecho ha ocurrido muchas veces,
y en software muy connotado).
Los programas malignos y los virus informáticos han causado mu-
cho daño en los últimos años, y causarán todavía mucho más. Se han
perdido cientos
ña s, en en de lucrati
tida des millones
v asdeo dólares en empresas
no, en org grandes
anizacio nes y peque- o en
pr of esionales
sistem as d omésti co s, etc. , po r la acción de ellos. So n un a gr an amenaza
para lo s re cursos infor máticos y po r tanto el auditor d ebe es tar pr epar a-
do para combatirlos.
Existen diferentes tipos de programas malignos. De hecho, es bastante
difícil desar rollar una ún ica tipología, debido a la gran varied ad de estos y
de sus acciones, y al gran dinamismo que han demostrado sus diseñadores.
En las tablas 9.2 y 9.3 se presentarán dos clasificaciones en función del
modo de acci onar , de difundirs e.
8
R. B. Levin: Vir us in fo rmát icos . Tipo s, pr ot ección, diagn os is y so lu ciones ,p. 7.
163
Tabla 9.2 9
9
La in formació n para estas do s tabl as se h a tomado de la o bra ya mencio nada de R. Levin ; del
do cumento electr ón ico citado como parte del sistema F -prot ;de un conj unto de artícul os sob re
virus m acro publicad os por la r e vista Giga , especi almente el artí c ulo de E. Guadi s , “Virus
macro”, y el de J. Bidot “¡Hoax! Lapl aga de virus místicos”, ambos consignados en bibli ografía
Como es una información que puede cambiar constantemente, serecomienda consultarlos texto s
sobre los propios programas antivirus, porlo general muy actualizados.Una fuentemuy il ustrativa
es elartículo de J. Bidot: “Panorámica delos programas malignos”, en revista Audi toría y contr ol ,
también con sig nado en bibliografía.
164
Tabla 9.3
165
Independientemente de la variedad de acciones de estos programas, se
puede afirmar que la mayoría utiliza algunos de los siguientes métodos: 10
• Añadidura: Agregan el có digo vírico al final de los p rog ramas ejecu-
tables. Los archivos anfitriones son modificados para que al
ejecutarse, el control pase primero al código vírico añadido. Lógica-
mente modifican el largo del programa infectado. Alteran la secuen-
cia de operaciones de dicho programa, ejecutándose las instruccio-
nes del programa vírico primero y después pasando el control al
anfitrión.
• Inserción : El virus sitú a su código de programa dent ro d e un código
no utilizado y de segmentos de programas ejecutables. El resto de
las operaciones es similar a los de añadidura.
• Reorientación : Es un método más complejo. Se introducen seccio-
nes de código vírico en una o más posiciones físicas de discos, tales
como áreas de partición, sectores marcados como “malos” o se hos-
pedan como ficher os escondidos o rdinarios . Desde ahí dirigen p ro-
cesos de infección contra archivos ejecutables. Estos, al ejecutarse,
permiten que ac túen los códigos ví ricos que han recibido.
• Sustitución : Es un método más burdo, pero n o deja de ser peligroso.
El virus se escrib e sobre los archivos ejec utables, b orrando y sustitu-
yendo el código d e los mismos por el código vírico . Después actúa,
cuand o el supuest o prog rama es llamado a ejecutarse. La simple s us-
titución de los programas ya es un daño que este tipo de virus reali-
za. Su mayor peligro radica en que no modifica el tamaño de los
programas anfitriones.
• Armazón vírica: Literalmente hablando, “envuelve” completamente
con código vírico las funciones básicas de una computadora. Se inter-
ceptan y enmascaran las posibles acciones que pudieran descubrir y
revelar la existencia del programa vírico y amenazar su superviven-
cia. Se bloquean y modifican los listados de directorios, para que pa-
rezca que los archivos modificados tienen su dimensión normal, a
pesar de que llevan unos bytes más de código vírico. Los intentos por
ver y verificar las dimensiones de los archivos, o para examinar los
sectores de arranque, los ficher os .BAT y otros similares son bloqu ea-
dos y luego redireccionados a posiciones de memoria alternati-
vas donde están almacenadas copias no infectadas de los progra-
mas, para así “engañar” a los programas antivirus.
10
R. Levin : ob. cit .,pp. 31 -36.
166
Estas formas básicas pueden combinarse entre sí, o pueden surgir otras,
igualmente ingeniosas.
Los virus o programas malignos han demostrado su efectividad contra
los sistemas operativos de PC más difundidos: el DOS y el Windows, en sus
diferentes versiones. Por ejemplo, se ha reportado el Hantavirus Pulmonary
11
Síndrome,
destructivo oWin95.CIH,
simplementetambién
HPS, como primer
conocido virus“Chernobil”
como para Windows
actúa98.
contraEl
Windows 95 y 98. Se ha reportado el llamado “Esperanto”, primer virus
12
multiprocesador y multiplataforma, capaz de accionar sobre “DOS, Win 3x,

Win 32, Windows 95, Windows NT y Macintosh”. 13
La gran incidencia sobre los sistemas tipo PC se debe a que son los más
difundidos en el mundo, los que tienen mayor libertad en el intercambio de
programas y ficheros de tipo variado sobre disquetes, vía Internet, por
CD-ROMs u otros medios. Pero los restantes sistemas no parece que puedan
librarse de esa epidemia: se reportan virus para Linux, por ejemplo. Existen
también muchos para Macintosh. Los sistemas para minicomputadoras o
mainframes,
malignos, porhan recibido
lo que poca atención
hasta ahora no ha sidodenotorio
los diseñadores de programas
ningún ataque a los mis-
mos (lo cual no quiere decir que no existan).
Muchos de estos programas tienen dos fases de actuación:
• La fase de difusión-infección , durante la cual se difunde e infecta
archivos, programas y sistemas, y
• La fase de acción , dur ante la cual se activa y d esarrolla sus acciones
sobre el sistema infectado.
Los virus macro entran a cada sistema a través de documentos Word,
Excel u otros de la suite Office; y se activan cuando el documento se abre
con las instrucciones Macro (prácticamente la única medida para evitar su
acción es abrir los documentos recibidos “sin Macros”, para que el virus
no pueda activarse). El tristemente célebre “Iloveyou” es un virus macro
con una fo rma muy i ngeniosa de difusi ón: a tra vés d el cor reo electrónic o,
pero al llegar a cada máquina, rastrea el buzón y utiliza la dirección y el
nombre de algunos de los incluidos en la lista de correspondencia para
generar un mensaje falso, con un emisor conocido para el destinatario, a
11
M. A. Méndez: “ Win dows 98 ante vi rus informáticos” , revist a Giga, pp. 24-26.
12
E. Guadis: “Virus altamente destructivo: Win95.CIH”,revista Giga, pp. 21-23; R. Martínez:“El
vi rus Chernobil ataca de nuevo”,periódico Patria.
13
E. Pérez: “La actual id ad en lo s vi rus: el Esperant o”, revista Giga, pp. 18-22.
167
los efectos de generar confianza en el mismo e inducirle a que abra el
documento adicionado (attached) al mencionado mensaje falso. Si el des-
tinatario es ingenu o (y la historia dem ostró que existen millones así), lee el
mensaje falso y después abre el documento adjunto “con macros”, para
encontrarse, de pronto, con que el virus ha actuado en breves segundos
yenviado
ha causado daños irreparables
sus clónicos en su
a toda la lista de máquina, pero nodel
correspondencia antes de haber
propio desti-
natario.
Estos programas malignos pueden ser modificados por sus propias ac-
ciones o por otras personas el abor ador as. Surgen así las “familia s”: grupo s
de pr ogramas de acc ión similar, que se diferencian sólo e n ciertos det alles.
Algunos criterios erróneos que deben ser aclarados se ofrecen a conti-
nuación:
• Estos programas pueden c lonarse a sí mismos, inclus o con ligeras
variaciones, pero inicialmente deben ser escritos, como cualquier
• otro programa.
No todos los viru s son dañi nos. Algunos sólo realizan acciones rela-
cionadas con la difusión de determinado criterio: por ejemplo, el
deseo de una paz universal.
• La lectura de archivos de texto no causa infección, mientras que los
archivos sean leídos sin activar las posibles macroinstrucciones que in-
cluyan (el procesador de textos Word tiene una opción que permite
realizar la lectura de esemodo, lo que evita la acción de los virus “macro”).
• Un disquete protegido fís icamente contra escritura no puede ser in-
fectado.
De sc ri pc ión y ac tuac ión de un vi rus: CIH
Conocido también como Chernobil, Win95.CIH, PE-CIH y CIHV.

Residente en memo ria e infector de archivos .EXE y el BIOS (Flash-
BIOS). Destruye t anto archivos como el MBR y el sector de arranque.
Afecta Wind ows 95 y 98. El tamañ o del código viral e s de apenas
1 KB. Sobrescribe los ficheros, por lo cual no aumenta el tamaño de
estos. El ma nejado r de archivo del vir us intercepta sólo una fun ción,
la apertura de archivos. Cuando un .EXE se abre, el virus lo infecta,
siempre qu e tenga hueco s suficientes. Seguida mente verifica la fecha
del archivo para decidir si es tiempo de archivar sus rutinas

destructivas. Hace llamadas a la Flash-BIOS y de acceso a discos.
168
Existen varias variantes del virus. Se activan los 26 de abril, de
mayo y en una de las variantes, todos los días 26 de cada mes. 14
¿Cómo puede conocerse que está actuando algún programa maligno
en alguna máquina ? Cuando se observe a lgún comporta miento inusual en
la computador a, tal como:
• Los progra mas demora n en cargar se más de lo usua l.
• Aparecen mensajes de error no us uales, en mome n tos que no d eben
aparecer.
• Parece haber decrecido la memoria disponi ble.
• Se nota n intento s indebidos de acceder a l as uni dades de discos.
• Alguno s archivos ha n desaparecido.
• Algunos progr amas son más gran des que lo habi tual.
El auditor debe co nocer desde un punto de vist a gene ral, sin renunciar
a todas aquella s especificidades que pued a, la acción d e los virus y prog ra-
mas malignos y cómo resolver o evitar sus potenciales daños. Para ello
debe recomendar a las entidades donde trabaja o a las que atiende de algún
modo, un conjunto de reglas sencillas:
1. Las computado ras deben tener incorpo rado software an tivirus, actua-
lizado y legal (obtenido de las empresas distribuidoras). El gasto adi-
cional que incu rrirá po r ello, quedará com pensado por los problemas
que se evitará, y la segur idad y protección que brindará a sus sistemas
informáticos. Pero nadie debe engañarse: el software antivirus no da
una seguridad absoluta, y pued e ser, a su vez, objeto de infección.
2. La entidad debe tener es tablecida y activada una adecuada política
de copias (backups) de archivos de datos y programas, para propi-
ciar su reins talación en caso d e daños por la acción de algún prog ra-
ma maligno. Esas copias deben ser limpias y sobre soportes pro tegi-
dos contra escritura.
3. No debe adquiri rse softwar e que tenga una proc edencia dud osa
(shareware, public-domain software, freeware, copias “piratas” o no
legales, etc.). Debe trabajarse con software obtenido por medios le-
gales a distribuidores o productores caracterizados por su seriedad.
4. Al obtener algún nuevo software, no deb e instalarse directamente en
máquinas conectadas a redes. Debe hacerse en alguna máquina aislada
(“stand alone”), y usarse allí durante un período “de cuarentena”, a
14
Cfr.R. Martínez, artículo citado.
169
los efectos de que si actúa algún virus, no produzca un daño muy
significativo.
5. No debe n abrirs e document os que lleguen por correo electrónic o, ni
permitir que actúen las posibles macroinstrucciones que tengan. El
documento puede leerse sin macros y después borrarse.
6. en
Debe impedirs
forma e qu e se introdu
indiscriminada en las zcan disquetes,
máquinas. CDs ocaso,
En cada memorias Flash
debe ser
comprobado por algún programa antivirus actualizado, en alguna
máquina aislada, destinada al efecto.
7. No debe n difundirse me nsajes que a su vez haya n llegado por co-
rreo electrónico, donde se avisa de la acción de cierto “misterioso y
nuevo virus”. Si se recibe algún mensaje de este tipo, debe borrarse.
8. Si se ha infect ad o alguna máquina, se tratará de bo rrar el virus con
algún programa antivirus. Si se tiene un programa actualizado, el
problema podrá solucionarse un 95 % de l as ocasiones.
9. Si a pesar de t od o se ha infectado alguna máqui na, y un virus actúa,
sin que los
remedio queprogramas
despe rtarantivirus lo puedan
la máquina eliminar,
desde un no queda
dis co limpio, otrogido
prote
contra escritura, formatear el disco duro, y reinstalar el software de
nuevo, así como las bases de datos, desde las copias limpias que se
deben tener.
10. Si se ha dañado a lguna bas e de datos, y no se t ien e copia de esta,
existen programas que permiten recuperar (hasta cierto punto) los
archivos perdidos. Resultan caros y en ocasiones deben manejarse
por profesionales, pero su utilización puede estar justificada.
Los virus informáticos y otros programas malignos existen y existirán.
Hay que
Crean aprender apero
problemas, convivir con ellos,
una política como se
adecuada dehace con losy biológicos.
seguridad protección
permitirá trabajar sin mayores dificultades.
De cualquier forma, la imaginación de los creadores de programas de
virus malignos ha demostrado no tener límite, por lo que los lectores de-
ben mantenerse informados y atentos.
En la Facultad de Estudios Filosóficos existe una red de computación
pa ra profesores
frecuencia. Hay esui nvestigadores. Tienen
ficientes máq uinas acceso
como paraa que
interne t y tres
ca da la utilizan con
profesores
170
e investigad o res utilicen una de ellas a la vez. Estos escriben sus artículos
en ellas. Tienen su s ca rpetas en los discos duros y g uar dan allí sus traba-
jos y las búsqueda s de información que hacen.
Utilizan varios a ntivirus, pues no han pod ido po ne rse de acuerdo en
cuál es el mejor, así que existen diferentes programas en dependencia de
las preferencias d e cada uno . En much as ocasiones está n desactualiz ado s,

pues los usuarios n o tienen ni el tiempo ni el cuidado e n buscar las actu a-
lizaciones.
El administrad or d e la red ha delegado en los profes ores la actualiza-
ción de los an tivirus, p ues cuan do quiso inst alar un o d e ellos, estos se
opusieron, alegando que tenían otros mejores.
Preguntas
1. ¿En qué cons iste una contra seña de un progra ma informát ico?
2. Mencione tres pri ncipios de di seño de las palabras de pase o contra-
señas.
3. ¿Las palabras de p ase pueden s er utilizadas para def inir autoriz acio-
nes expresas de realizar determinada transacción financiera en siste-
mas informatizados contables?
4. ¿En qué cons isten los métodos biomé tricos?
5. ¿La encriptación de informa ción es un método to talmente seguro?
6. Expliq ue en qué consi sten la confi denc ialidad, la aut enticid ad, la
integridad y el p rincipio de no repudio en un sistem a informati zado.
7. ¿Qué papel debe jugar el a uditor cuando cons idere que una det ermi-
nada información debe ser encriptada?
8. ¿Qué d años pueden ocasionar los virus y otros progr amas malignos?
9. ¿Cómo puede evita rse, reducirs e o eliminarse el da ño de los virus y
otros programas malignos?
10. Mencione tres tip os de estos progr amas y expl ique sus diferenci as
esenciales.
11. Explique cuándo puede ser que es té actuando un p rograma mal igno.

Investigue en su c entro de trabajo o estudio o en su computadora per-
sonal, qué antivirus utiliza y cuándo fue la última vez que lo actualizó.
171
INTRODUCCIÓN
En el capítulo 7, al analizar los aspectos más significativos de los siste-
mas informativos en explotación, se mencionaron algunas pruebas que
deberá el auditor realizar al sistema para comprobar su calidad. Estas prue-
bas tienen los nombres genéricos de:
• Pruebas sustanti vas o procedi mientos sustantivos.
• Pruebas de cumplimiento de control es, o simplemente prueba s de
control.
Estas agrupan una serie de pruebas, algunas de ellos han sido mencio-
nadas o explicadas.
mos preferido Entre“métodos
llamarles ellas existen varias que
de apoyo” , y por
son:su importancia, he-
— Pruebas sustantiv as, pro cedimientos sustantivos o m étodos de apo yo a
la auditoría a sistemas informativos en explotación:
• Búsqueda e n bases de datos de informacione s anor males o “Auditoría
a las bases de datos”.
• Análisis de las informaciones que entran al sistema in formático o
“Auditoría a las entradas” .
• Análisis de las info rmaciones de salida o “Auditoría a las salidas” .
• Análisis de las transacciones o “rastreo o seguimiento de transac-
• cion es”.
Subsistema de auditoría “Auditoría sistemática” o “Auditoría desde
el sistema”.
172
— Pruebas son las d e cumplimi ento de controle s, o simplement e pru ebas
de control:
• Datos de prueba
• Análisis de los programas
• Simulación paralela
En este capítulo se detallarán las pruebas o métodos mencionados, por
la importancia que presentan para el trabajo del auditor. Además, se co-
mentará el empleo de una herramienta más general de trabajo del auditor
contemporáne o: el softw are general d e auditoría.
AUDITORÍA A L AS BASES D E DATOS

La audito ría a las bases de dato s de los sistemas in for máticos implica la
búsqueda de informaciones anormales, sospechosas o incorrectas a través
de métodos,
deran artes
también y medios
como fundamentalmente
parte de computacionales.
las técnicas de Se consi-
auditoría con apoyo de
compu tadora s (TAAC). 1
La auditoría a las bases de datos se realiza como una prueba sustantiva de
gran utilidad, cuando existe un nivel razonable de certeza que ciertos contro-
les que debían garantizar la calidad de las informaciones en las bases de datos,
son relativamente débiles o simplemente no existen, y por tanto, es probable
que existan datos erróneos o falsos en las bases de datos, y deben ser detecta-
dos e investigados profundamente para determinar si han sido simples errores,
o si por el contrario, reflejan fraudes (ver Fig. 6.5 y su explicación en el capí-
tulo 6). Igualmente, la auditoría a las bases de datos tiene como otro objetivo,
refrendar laslos
ubicadas en informaciones de resultados de
reportes o informaciones quesalida
aparecen en ella y que han sido
del sistema.
En la auditoría a las bases de datos se utiliza un soft ware especializado,
que tiene entre sus funciones las búsquedas en bases de datos, llamado por
antonomasia Software de auditoría ; sin embargo, existen otros softwares
de aplicación en la auditoría y que no se dedican a la búsqueda en las
bases de d atos . En general, el softwa re de audit oría puede d ividirse en dos
grandes grupos:
• Software de auditorí a de propó sito g eneral
• Software de aud itoría d e p ropósito específico
1
Comité In ternacion al de Prácti cas de Auditoría, ob. cit.,pp. 474 -484 .
173
El p rimero se elab ora por firmas es pecializ ada s y se destina a realizar
auditorías en cualquier entidad. Maneja diferentes formatos y estructuras
de datos, a los efectos de poder ser aplicado en múltiples situaciones.
Uno de los más difundidos en el mundo es el paquete Inte ractive Data
Extr action a nd Anal ysis for Window s (Winid ea) , elaborado para el Insti-
tuto Canadiense
Accountants) (verdeFig.
Contad ores
10.1), Púrepresenta
que blicos (Canadi an Institutepara
un paradigma o f Chart
otros ered
paquetes de auditoría a las bases de datos de carácter general. Winidea
realiza un conjunto amplio de tareas, entre las que se encuentran:
• “Importar” informaciones de bases de datos en diferentes formatos:
ASCII, EBCDIC, dBASE y restantes sistemas xBASE; Lotus /
Simphony, Comma separated, ASCII delimited file, DIF y otros
formatos de los paquetes americanos e ingleses de contabilidad más
difundidos. Esa importación le permite trabajar con sus propias ba-
ses de datos, para así ejecutar las funciones que posteriormente se
señalan.
• Export ar a archivos con esos formatos.
Fig. 10.1. Idea for Windows. Menú principal y una aplicación
174
• Extraer datos mediante lo que llama, en el concepto de Winidea,
“ecuación de extracción” , lo que no es más que un análogo de una
instrucción “select” de SQL. Para utilizar la ecuación de extracción,
Winidea proporciona un lenguaje de búsqueda con constantes nu-
méricas y alfabéticas, las variables, tomadas fundamentalmente de
los
tipocampos de las estadísticas,
(matemáticas, bases de datos a analizar,
de fecha, funciones
etc. Tiene de variado
disponibles más
de 30 funciones diferentes), operadores de relación (<, >, =, etc.),
operadores lógicos (“and”, “or”, “not”, etc.), la in strucción de con-
dición I F, oper ado res de agr upación (parén tesis, llave s, etc.), y otros.
La utilización de la ecuación de extracción en forma inteligente es
una gran prueba sustantiva: con ella se puede analizar un fichero
bastante grande de transacciones y encontrar aquellas que pueden
ser consideradas anormales y que deben ser analizadas más profun-
da y ampliamente. Por supuesto, esas ecuaciones de extracción pue-
den crearse, editarse –modificarse–, almacenarse, borrarse, consul-
tarse, etc. de
conjuntos Losi nfresultados de que
ormaciones las ecuaciones
cump len losdeparám
extracción sonbúsque-
etros de
da, los cuales se almacenan en archivos que después pueden ser
consultados de variadas formas.
Ejem plo de e cuaci ón de e xt rac ci ón
Precio>200.0 0 and cliente = “Vartel”

El programa Winid ea busca rá en el archivo de info rmación a anali -
zar, aquellos registros que tengan un precio superior a 200.00 y que
pertenezcan al cliente “Vartel”. El resultado (los registros que cum-
plan con esa condición) lo pondrá en un archivo que podrá ser con-
sultado direct amen te o a través de un reporte genera do p or u na de las
utilidades de Winidea.
• Ordenar dat os de acuerdo con determinados criterio s y en determi-

nado orden ascendente o descendente.
• Crear agrupac iones de los registros (estratos) de la base de datos que
se analiza en función de determinados rangos de valores de ciertos
campos.
• Totalizar o sumar izar ciertos campos de aquellos re gistros c on igual
llave o clave y crear después un registro resumen.
• Creación de gr áficos de barras, circ ulares u otro tipo.
175
• Realizar anál isis de edades (análisis cronol ógico ) por dete rmina do
campo de información de la base de datos que se está estudiando, a
partir de deter minada fec ha.
• Realizar cálculos estadísticos de variado tipo: cálcu lo de medias arit-
méticas, suma total (algebraica) de campos, suma absoluta de un
• campo, valor mínimo

Compa ración de dosyamáximo,
rchivos, adesviación
p artir de típica y varianza. cl ave,
una determinada
para encontrar diferenci as.
• Detección de cla ve s faltantes en serie de regi stros d e la base de dat os
que se analiza (huecos).
• Detección de clav es dupli cadas en la ba se de dat o s que se analiza
• Realizar funci one s de mues treos en la base de dato s que se analiza:
emplear muestreos irrestrictos aleatorios, sistemáticos, por unidades
monetarias, por ciertos atributos.
• Generar nú meros a leatorios.
• Verificación de sumas cont rol u o tras operac iones en la base de da-
• tos que serazo

Calcular analiza.
nes, identificar fluctuacione s, etc.
• Listar las inform aciones obtenidas en los procesos de bú squeda, com-
paración, detección, muestreos, análisis cronológicos, sumarización,
etc.; en repo rtes d iseñado s a la medida, par a obtene rlos por la panta-
lla o por la impresora. A partir de ahí, se puede formar el expediente
de la auditoría usando esos reportes como papeles de trabajo. En
rigor, esto no sería necesario, pues de hecho el expediente de la
auditoría se irá formando en los soportes magnéticos.
• Manipular campos y ficheros en diferentes op eraciones: unión , extrac-
ción, renombrar campos y arch ivos, borrar archivos y campos, etc.
• Control ar la info rmación de cada uno de los clientes que son atendi-
dos por el audit or , con cierto nivel de pro tección m ediante contras e-
ñas o palabras de pase.
• Gestión de arch ivos e interacción con el sistema ope rativo.
El software de auditoría de propósito específico se elabora por los auditores
para utilizarlo en entidades concretas, para analizar aplicaciones determinadas;
por lo que no es necesario que tenga tantas opciones y flexibilidades de trabajo
como el software general. El auditor debe analizar los sistemas de aplicación
que debe auditar y estudiar qué pruebas sustantivas necesitará realizar. A partir
de esos requerimientos, él (si domina las técnicas de diseño de sistemas y de
programación) o algún informático, puede elaborar el software específico.
debeEnserteoría, el software
más flexible específico debe ser más eficiente, y el general
y amplio.
176
Ut iliza c ión del sof twar e gener al y el e sp ec f ico.
Criterios
• Software general: Debe usarse cuando se realizan auditorías en

much as entidades diferentes s obr e aplicaciones distintas . Ideal para
auditores externos.
• Software específico: Debe usarse cuando se trabaja en una sola
entidad o en varias entidades con características similares y con
sistemas de aplicación similares. Muy apropiado para auditores
internos.
La auditoría a las bases de datos requiere de imaginación y creatividad

por parte del auditor. Pero se pueden encontrar muchas opciones de traba-
jo en el software de auditoría disponible o en el que se puede elaborar.
En la tabla 10.1 se ofrecen algunos ejemplos de posibles pruebas
sustantivas utilizando el método de la auditoría a las bases de datos.
Tabla 10.1
177
Por supuesto,
limitarse la auditoría
a las pruebas a las bases
sustantivas de datos
mediante no necesariamente
software de auditoría atiene
las que
bases
de datos. Además, resulta muy con veniente que el auditor rev ise el diseño de
las bases de datos, su estructura y las restricciones de integridad que se le ha
impuesto por las opciones de diseño de los analistas y programadores.
Por lo general, en los sistemas informáticos de tipo contable-financie-
ro, las bases de datos se diseñan acorde al modelo relacional de datos,
diseñado por Codd y Date, y acogido por casi la totalidad del software
disponible en el me rcado para la gestión de las bases d e datos. Ese mod elo
se basa en el concepto de “relación” o “tabla” , caracteriza do por su senci-
llez y su adecuación a los problemas contables o financieros. Una tabla es
una
basematriz de organizado
de datos dos dimensiones,
acorde por
a eselomodelo,
que los estarán
archivosorganizados
de un sistema de
de esa
forma. La Fig. 10.2 muest ra un ejemplo de re lación o tabla.
178
Fig. 10.2. Ejemplo de relación o tabla de un sistema de base de datos basado en el
modelo relacional
Además, el modelo relacional se apoya en la lógica matemática para
lograr adecuados diseños de las bases de datos. Establece un conjunto
de reglas que, al ser seguidas, se garantiza una óptima calidad sintáctica de
diseño en el sistema (un sistema de bases de datos, como todo sistema infor-
mativo, está sujeto a las leyes de la semiótica, y las reglas del modelo
relacional no pueden garantizar la calidad semántica y pragmática: ambas
dependenen
sugerido deella capítulo
creatividad de los diseñadores
correspond iente q ue ely auditor
su técnica deiera
adqu diseño). Se ha
los conoci-
mientos mínimos sobre bases de datos, y estos, por supuesto, incluyen las
características básicas del modelo relacional.2 Conocer otros modelos no está
de más: el auge del www3 en los últimos tiempos demuestra lo necesario de
estar info rmad o en esas nuev as formas de almacenar información.
La revisión del diseño de las bases de datos no es exactamente una
prueba sustantiva, sino más bien una prueba de control. Se requiere para
ello consultar la documentación de diseño del sistema, a los efectos de
poder analizar adecuadamente los criterios de diseño. La consulta de la
2
Exis te mucha informa ció n sob re el modelo re lacional de bases de dat os. Al respecto, p uede
consultarse, además de la obra de J.Martín, Org ani za ción de las ba ses de dato s , consignada en
bi blio grafía, el excele nt e tex to de R.G.G. Catell, “Obj ect Data Man agement ”, pu blicado po r
Pub.Co., 1994; donde secomparan diferent es modelos entre lo s cuales se encuentra,por supuesto,
el relacional.
3
En rigor, el dis eño del www no es nuevo,aunq ue su aplicación práctica relativ amente lo es. El
Web se basa en el concep to de “hip ertexto ” y su extensió n, el de “h ipermedia”. Desde 1 945
Vannebar Bush propuso el hip ertexto como forma básica de organizar in formación documental
en una computadora. Pero además, el hipertexto adquierela formade “red”,donde los nodos son
elementos i nformativ os (textos, i mágenes, etc.) y lo s enlaces o v ínculos , son los arc os entre
no dos. Ese modelo en red (o reticular) fue elmodelo básico d e bases de dato s en los años sesenta
y setenta
finales de (si
losstemas
setenta,IDMS o TOTAL,
cuando basados
el modelo en lasserecomendaciones
relacional de CODASYL),hasta
impuso.O sea, la tecnología de lasbaseslos
de
datos h a dado un avu elta compl eta, ha desarrollado un ciclo, regresando a sus oríg enes.
179
documentación es básica también para planear las pruebas sustantivas que
se realizarán mediante el software de auditoría a las bases de datos.
Debe enfatizarse que la revisión del diseño se refiere fundamental-
ment e al di seño lóg ico, el cual p resta atención a las inform acion es qu e se
alm acenarán en la base de datos y las relaciones entre la s mismas. El dise-
ño físico, orientado
computadoras, a la de
requerirá ubicación y gestión
la asesoría de las basesen
de un especialista deinformática.
datos en las
Un tipo especia l de auditoría a las bases d e datos es el análisis, rastreo
o seguimiento de las transacciones . Consiste en analizar una (o varias)
transacciones deter minadas, y mediante té cnicas de búsq ueda analizar como
ha afectado a las b ases de datos. Es conveniente qu e se co nserven tod as las
transacciones en ficheros (como se ha expuesto, más o menos explícita-
mente en otros lugares de esta obra), para analizar las mismas, cuando se
requiera. Esta prueba puede resultar muy compleja, y hasta imposible, si el
sistema es muy integrado en cuanto a información. Una variante es intro-
ducir en el sistema un subsistema de au ditoría. Sus características se anali-
zarán
Lamás adelante.
auditoría a las bases de datos debe utilizarse en combinación con
otros métodos, como la auditoría a las entradas y a las salidas.
AUDITORÍA A LAS E NTRADAS

La auditoría a las informaciones de entrada, a las entradas o el análisis
de las informaciones que entran al sistema informático, es un método muy
important e pa ra que el auditor pueda asegurar que:
• dido,
El sistema
nada inform
ha sido ático ha proc esado
indebidamente todos los
escondido datos: nada se ha per-
o retirado.
• No ha sido procesa do ningún dato más d e lo que se debí a: nada s e
ha agregado.
• Se han proces ado los datos reque ridos: nada ha sido alterado o mo-
dificado por error o c on requeridos dolosas.
• Todas la s info rmaciones proce sad as han sido autor izadas de bida-
mente por los funcionarios competentes.
Si los controles han sido adecuados, la información llegará al sistema
informático cumpliendo esos objetivos, pero si son inexistentes o débiles,
se requerirán de pruebas sustantivas que permitan evaluar la calidad de la
información asimilada por el sistema. (Ver Fig. 7.5 y su explicación en el
capítulo 7)
180
Los controles a la información primaria y de entrada han sido clasifica-
dos en la siguiente forma:
• controles de preparación
• controles de t ransmisión
• controles de captu ra de infor mación
Estos son una combinación de controles automáticos (incluidos en el
sistema informático, y ejecutados cuando la información esté en proceso de
captarse) con controles de tipo administrativo, organizativo o “manuales”.
Por ejemplo, controlar si la fecha de una transacción está dentro de un
rango r azonable (co mo mínimo, el día ent re 1 y 31 , el m es entre 1 y 12 , el
año en curso), es un control de tipo automático; la suma control es mixto,
y el chequeo de aut orización puede ser exclusivament e a dministrativo (aun-
que de conta rse con scanners , este control p u ede ser mixto).
Esos controles se deben garantizar durante la elaboración o la adquisi-
ción del sistema informativo, pero no siempre los diseñadores y los vende-
dor es pro veen a su sistema de controles efectivos. Por el lo, el auditor deb e
estudiar la documentación del sistema y evaluar aquellos controles apa-
rentemente débiles o inexistentes. Si no existe documentación, deberá ob-
servar la operación del sistema y tomar la decis ión d e qu é pru ebas realizar.
Sobre esta cuestión ya se ha escrito en esta obra.
La auditoría a las entradas debe comenzar en el sitio donde se srci-
na n lo s datos pri m ario s, en su fuente srcinal. Como se r ecor dará, e ste
es uno de los puntos críticos a ser controlados. Las pruebas a realizar
por el auditor en este punto son, entre otras, las que se muestran en la
tabla 10.2.
Tabla 10.2
181
182
Las pruebas
los puntos a realizar
cr íticos durante
a revisar– la transmisión
permiten de información
detectar violaciones de los–otro de
controles
establecidos o controles débiles en ese punto. Algunos ejemplos de prue-
bas a realizar se ofrecen en la tabla 10.3.
Tabla 10.3
183
Durante la captura o captación d e infor mación se debe analizar los con-

troles que disminuyen al mínimo los errores de tecleo o las acciones mal
intencionadas. En c aso de qu e el auditor con sidere qu e hay con troles débi-
les o que algunos faltan, deben realizarse las pruebas que considere nece-
sario. Algunas de las posibles se mencionan en la tabla 10.4.
Tabla 10.4
184
185
186
En los prog ramas d e captura de información es tradic ional incluir pro-
cesos de detección de errores de tecleo y escritura. Es conveniente que el
auditor revise esos procesos, ya sea mediante datos de prueba o mediante
el análisis de los programas de captura. Algunos procesos típicos son:
• Comproba r los ra ngos de valores má ximos y mínimos d e aquellos
datos que sean procedentes. Por ejemplo, en las bases de datos sobre
un vuelo de un Boeing 757/200 no deben haber más pasajeros que
la capacidad máxima del avión, esto es, 187.
• Comproba ción de la existencia de un det erminado dato. Por ejem-
plo, si se procesan facturas en un sistema de ventas, es imprescindi-
ble la existencia del nombre del cliente.
• Existencia racional o no de u n determinado da to. Por ejemplo, un
trabajador masculino no debe tener información en el campo “Li-
cencia por maternidad”.
• Valor rac ional de un dat o. Por ejemplo, no debe n existir fechas de
nacimiento anteriores a 1930 en una entidad de un país, pues es
poco pro bable que a los 70 años aún existan trabaj adores en acti vo.
Muchos de los lenguajes actuales proveen fuertes funciones de valida-
ción incorporadas automáticamente. Por ejemplo, los lenguajes xBASE,
cuando proporcionan el tipo de dato “Fecha”, ya incorporan en el mismo
las rutinas de v alidación que impiden, por ejemplo, qu e se produ zcan erro-
res como el que sigue: “ 31/06 /99”.
La auditoría a las informaciones de entrada proporciona gran seguri-
dad al auditor sobr e el con ocimiento del nivel de calida d de la información
procesada por el sistema.
AUDITORÍA A LAS INF OR MACIONES DE SALIDA

Al realizar la auditoría a la información de resultado o de salida, el
auditor trata de lograr un nivel de certeza tal, que le permita formar una
opinión sobre el sistema en este punto crítico del procesamiento. La infor-
mación de salida es fundamental para garantizar los objetivos que motiva-
ron el diseño o adquisición del sistema informativo. Debe permitir los pro-
cesos de dirección y control en la entidad, con eficiencia y eficacia. En
otras palabras, la información de salida debe:
• Responder a las n ecesidades de dirección y contro l de la gerencia.
• Responder a la s n ecesidades de instancias superi or es (juntas de ac-
cionistas, etc.) y de agencias gubernamentales, si procede.
187
• Llegar a sus destinatarios en el mome nto adecua do y en la forma
más conveniente.
• Estar prot egida d e manera que nadi e no aut orizado tenga acceso a la
misma.
• Cumplir con las d isposiciones legales exi stentes, en cuanto a forma -
to, tiempo de conservación, etc.
El auditor debe analizar la documentación del sistema y observar detenida-
mente, d urante un períod o de tiempo razonable, su operación, a los efectos de
comprobar la existencia de los controles necesarios y su nivel de efectividad.
Recordarán que en el capítulo correspondiente a controles, se presentaron los
relacionados con la información de resultados. Estos se dividían en:
• Controles de distribución
• Controles de conciliación
• Controles adi cionales
La auditoría a las informaciones de salida debe comenzar en el área de
procesamiento de datos, continuar por las áreas usuarias de la información
(por supuesto, pueden coincidir, en el caso de sistemas distribuidos; lo
cual es la tendencia normal en este momento); y concluir en el área de
archivo de dicha información. Además, debe prestarse mucha atención a
los canales y métodos de distribución.
En el caso de contr oles débiles o inexistentes, en los pro cesos de distri-
bución y entrega de la información, el auditor debe real izar u n conjunto d e
pruebas sustantivas (ver Fig. 7.5 en el capítulo 7), como las que se mues-
tran en la tabla 10.5.
Tabla 10.5
188
debeAdemás
atenderdecon
prestar
m uchoatención
cuidadoaalos
la procesos de recog
información distribida
ución, el auditor
en listados de
salida y repo rtes en papel o en pantal la, para lograr un alto ni vel de certe-
za en cuanto a su corrección y a su adecuación a los objetivos del sistema.
Para ello deberá analizar los controles de conciliación existentes, los cua-
les, como se recordará, tienen como objetivo establecer comparaciones
entre ciertas operaciones, para garantizar la integridad de la información
procesada, así como su corrección
Si considera que esos controles son débiles o que algún control necesa-
rio no existe, deberá realizar un conjunto de pruebas sustantivas, como las
que se presentan en la tabla 10.6.
189
Tabla 10.6
Finalmente, deberá analizar otras situaciones adicion ales con r elación

atabla
las salidas, y si lo estima
10.7 aparecen algunosconvenien
ejemplos.te, realizar prueb as ad icio nales. En la
190
Tabla 10.7
La auditoría a las informaciones de salida complementan a las que de-

ben realizarse a las bases de datos y a las entradas.
SUBSISTEMA DE AUDITORÍA, AUDITORÍA

SISTEMÁTICA O AUDITORÍA DESDE EL SISTEMA
El método de auditoría sistemática o subsistema d e au ditoría o tam-
bién aud itoría d esd e el sistema consi ste en agregar u n conjunto de pr ogra-
mas al sistema que se desea auditar, para que estos programas realicen la
tarea de auditar regularmente el sistema. Por supuesto, debe concebirse
desde el proceso de diseño del sistema de aplicación, e implica una pro-
funda relación técnica entre diseñadores y auditores, los que deben reflejar
también sus necesidades durante su elaboración.
El subsistema de auditoría debe contar con una base de datos, para al-
macenar constantemente la información p rocesada en el sistema informático,
191
a los efectos de controlarla y evaluarla posteriormente. Es conveniente que
esa base de datos sea encriptada. También el acceso al subsistema de
auditoría debe estar protegido por palabras de pase o contraseñas.
El subsistema de auditoría analiza cada operación (movimiento, tran-
sacción), en su flujo a través de los elementos que conforman el sistema
informático; y si en
cribe un registro coincide
la basecon
de determinados criterios
datos de auditoría. predefinidos,
Entonces, se es-
otros progra-
mas del subsistema se encargarán, sistemáticamente o a solicitud de los
auditores, de contabilizar la información contenida en la base de datos de
auditoría.
El subsistema de auditoría debe modificarse también, ante cualquier
cambio del sistema informático en su conjunto.
Los resultados de salida del subsistema de auditoría pueden haberse
diseñado previamente, a solicitud del auditor, y haber sido programados e
incluidos en el subsistema o pueden obtenerse ad-hoc , acorde a las necesi-
dades del auditor, con un lengu aje estilo SQL. Ello imp lica un dom inio po r
parte del auditor d el lenguaje y la s técnic as de prog ram ación y de interro-
gación a bases de datos.
Otra forma para ob tener información de la base de da tos de audito ría,
es utilizar un software especializado, como el explicado anteriormente.
Este software, tal como se analizó en la sección de auditoría a las bases
de d atos, p or lo g enera l, es par ametrizado, fl exible, con men ús muy cla-
ros, de manera tal que permite al auditor modificar los criterios de selec-
ción con un mínimo de es f uerzo. Es la ap licació n a las bases de dato s de
auditoría, del método ya explicado de “Auditoría a las bases de datos”y
el software en cuestión puede ser el paquete Idea for Windows, también
ya mencionado.
Si el subsistema de auditoría va a ser integrado en la aplicación que se
diseña, entonces el departamento de auditoría se convierte en un usuario
más de los dis eñado res del sistema infor mático; por lo cual deben manifes-
tar sus necesidades. Además, el auditor tiene que conocer profundamente
las técnicas informáticas y la lógica de diseño, para poder especificar los
criterios de selección de los registros que se grabarán en la base de datos
de auditoría, y la frecuencia lógica con que esto se hará (cada cuántas
transacciones, cada qué tiempo, etc.).
Según algunas experiencias, el incremento del costo de elaboración, al
incluir el subsistema de auditoría en el diseño de la aplicación, puede fluc-
tuar entre un 2 % y un 5 % del costo total.
192
MÉ TODO DE DATOS DE PRUEBA
Uno de los métodos empleados como prueba de control, es llamado
“de datos de prueba” . El objetivo es probar los programas del sistema
infor mático con d atos totalmente contro lados, en los cu ales se cono ce per-
fectamente
del sistema cuáles son loscon
informático resultados a obtener.
lo esperados, es deSisuponer
coinciden
quelos resultados
existe un ni-
vel de certeza razo nable de que trabaje con una cal ida d aceptable, cuando
esté utilizando datos reales. Si por el contrario, se detectan diferencias, el
auditor deberá realizar investigaciones más profundas para determinar a
qué se deben dichas diferencias. Esas investigaciones se realizarán en for-
ma de pru ebas sustantivas, de las que v arias de las más imp ortantes se han
explicado ya (ver Fig 7 .5, en el capít ulo 7).
Existen algunas variantes del método de datos de prueba:
• Banco de pruebas ( bench test).
• Método integrado de prue bas (MIP).
El primero presupone la creación de un conjunto de datos, creados
especialmente para p rob ar el sistema infor mático dur ante su funcionam iento.
Ese conjunto de datos debe considerar las principales alternativas lógicas
del sistema y, a la vez, ser representativo del comportamiento real que se
supon e deban tener los datos. Los datos de prueba tam bién pueden pro ve-
nir de datos históricos existentes en la entidad o en otra análoga, con la
añadidura de algunos datos por el auditor, a los afectos de probar ciertas
alternativas de procesamiento. El sistema se prueba exclusivamente con
esos datos.
Por supuesto, la elaboración de ese conjunto de datos requiere del
conocimiento de la actividad que se automatiza. Cuando el sistema a
auditar trabaja en forma de lotes o batch, el conjunto de datos puede
agruparse en:
• Datos para los ar chivos pe rmane ntes de las bases de datos . Impli ca
tener datos de altas (la mayor parte), de bajas y de modificaciones;
para comprobar c ómo se compo rtan los prog ramas que deben at en-
der esas funciones básicas.
• Datos para trans acciones o movimi entos, utilizado s para actualizar
los archivos de l as bases de datos. Esas transaccio nes o mo vimientos
deben abarcar el universo de todas las operaciones existentes en el
sistema. Por ejemp lo, si en u n control d e inventario s existen entradas
193
de material es al a lmacén, salidas de materiales, dev olución d e entra-
das y devolución de salidas; los datos de prueba deben considerar
todas las posibles alternativas.
Si el sistema trabaja en un entorno interactivo u on-line, los datos para
transacciones o movimientos pueden introducirse manualmente a través
del teclado o crearlos en otro equipo y transmitirlos por las redes de comu-
nicación. También deberá considerar todas las alternativas expuestas ante-
riormente.
Los datos de prueba deben abarcar todas las posibles situaciones definidas
por el tiempo que requiera el sistema (cierres diarios, semanales, quinquenales,
mensuales, trimestrales, semestrales, anuales etc.); todas las definidas porca-
racterísticas de la actividad (datos sobre todos los tipos de transacciones u
operaciones previstas); todas las posibles condiciones de error existentes ,
etc. O sea, deben tratar de probar el sistema en la forma más exhaustiva
posible. Además, deberán hacerlo en una cantidad y tipos suficientes como
para que logren probar los cambios de hoja en las impresiones, los diferen-
tes tipos de afectaciones informativas (afectación a todas las cuentas conta-
bles, por ejemplo), etc. Por supuesto, deberá incluir también datos erróneos
orientados a probar los controles del sistema y las rutinas de cálculo.
Por supuesto, no pueden probarse todas las combinaciones lógicas que
la vida real supone, pero al menos debe tratarse de elaborar datos lo más
completos posibles.
Existen programas generadores de datos de prueba, que pueden sim-
plificar mucho el trabajo del auditor.
Realmente, cuand o el sistema a auditar es gran de y c omp lejo, es extre-
madamente difícil diseñar un conjunto satisfactorio de datos de prueba.
Ello se complica má s aún, si el sistema deb e trabajar en un entorn o on-line,
y también en condiciones
Una solución de bar
sería , pro comunicación
p or p artes con otras máquinas.
el sistema, y p or tanto, ir gene-
rando parcialmente los datos de prueba.
Es recomendable también conservar los datos después de utilizarlos,
para realizaciones futuras de otras auditorías.
El segundo es una variante más completa del método anterior, y es
llamado “mét odo integr ado de pruebas (MIP)”.
Implica desarrollar conjuntos de datos de prueba con características
similares a las explicadas.
En este método se trabaja en condiciones reales de ejecución, pero in-
corporando los datos de prueba a la base de datos real. Las pruebas se
realizan utilizando los mencionado s datos de pru eba, analizando t odas las
operaciones que ejecute el sistema y estudiando su efecto sobre dichos
datos, a través de los resultados de salida.
194
La auditoría se lleva a cabo sin interrumpir la explotación normal del
sistema.
De esa forma, los datos falsos (de prueba) son creados, actualizados,
utilizados en los resultados y después borrados. Para evitar confusión con
los datos reales y su acumulación en resúmenes y totales; debe tenerse un
cuidado so control identificables
falsas, fácilmente sobr e estos. Una método
través deesnombres
emplear un conjun toabsurdos,
y códigos de cuentas
de forma que puedan ser borrados fácilmente al finalizar la auditoría, y
que además, no sumen ni se consoliden con ningún otro dato real.
El método de dato s de prueba permite tener una idea mu y exacta de la
eficiencia y eficacia de los controles en el sistema, pero no permite la de-
tección de fraudes. Por ello se insiste en utilizarlo en una armónica rela-
ción con las pruebas sustantivas.
MÉ TODO DE SIMULACIÓN PARALE LA

Otro método que fo rma p arte de las pruebas de control , y puede utilizar
el auditor para lograr certeza sobre la calidad del procesamiento en el sis-
tema informático en la auditoría, es el de simulación paralela.
En este método, se requiere escribir un programa que simule las fun-
ciones de la aplicación real que se quiere auditar (por ejemplo, rutinas de
cálculo complejo o situaciones lógicas). Los auditores utilizan los mismos
datos de entrada del sistema real, en el sistema simulado y verifican la
correspon dencia y c orr ección de las salidas del sistema r eal, co ntra las que
ofrece el sistema simulado.
La simulación para lela precisa prog ramas que p rocese n los datos reales
y efectúen simulada mente los trat amientos del s istema or iginal. Ell o presu-
pone que los audi tores tengan habili dades en prog ram ación y un profun -
do conocimiento de la actividad informatizada y del sistema a auditar.
Los programas de la simulación pueden ser elaborados en cualquier
lenguaje de progr amación, aunqu e es preferi ble, por r azones económica s,
utilizar algún paquete especializado de auditoría, el cual debe proporcio-
nar la flexibilidad y rapidez necesaria para simular el sistema, a un costo
menor, que si se emplea algún lenguaje de programación convencional.
Otra variante es utilizar algún lenguaje de cuarta generación (4GL), el
cual permit e u na gran p roductivid ad en e l diseño y prog ram ación (Acces s,
aunque n o es propiam ente un 4GJ, es un sucedáneo muy satisfactorio, con
la ventaja de su g ran difusión y de que es conocido po r muchas personas.
Otra sería el Dataease Express, de gran facilidad de manejo).
195
Este método permite al auditor comprobar la lógica de algunas aplicacio-
nes complicadas, en menos tiempo que otros métodos. Además, al emplear los
mismos datos de entrada que el sistema a auditar, la validez de los resultados
de la prueba, es la máxima posible: proporciona un 100 % de seguridad en la
comprobación de los cálculos internos de un sistema, siempre que el sistema
simulado refleje
Claro está, lasadecuadamente
desventajas que las funciones
puede tener eldel sistema
método sonreal a auditar.
evidentes: la simu-
lación consume recursos y tiempo. Además, se corre el riesgo de que la simula-
ción no sea un modelo equivalente al sistema a auditar. Por ello, el auditor debe
evaluar esos riesgos contra el efecto que producirá su utilización.
Otro problema que puede encontrarse, es que la documentación del siste-
ma a auditar no exista o esté desactualizada. Ello puede impedir que se diseñe
el programa de simulación, al no tener los auditores una forma confiable de
estudiar las características del sistema. Además, suponiendo que pueda utili-
zarse dicha documentación, la necesidad de solicitar y emplear la misma, pue-
de afectar la independencia de la auditoría. Esto se acentúa ante posibles cam-
bios en el sistema
el sistema original,Se
de simulación. losrequiere
cuales deben conocer
entonces los auditores
establecer para adecuar
unas normas estric-
tas de envío sistemático de las especificaciones de las modificaciones al depar-
tamento de auditoría (lo cual es conveniente, no sólo para la realización de las
auditorías, sino también para la evaluación del diseño del sistema por parte de
los auditores, como se puede ver en otras secciones de esta obra).
A pesar de estos inconvenientes, la simulación paralela es conveniente
de utilizar cuando el sistema informático a analizar es utilizado en muchas
entidades (sucursales de una empresa, empresas similares, etc.); las cuales
deben auditarse. En ese caso, se justifica la inversión en el sistema de si-
mulación paralela, pues los gastos podrán recuperarse rápidamente por el
ahorro de tiempo y el aumento de seguridad en las auditorías a realizar.
SOFTWARE GENERA L DE AUDITORÍA

Cada día h ay más h erramientas de software que están siendo u tilizadas
para la g estió n y el desarrollo d el tra bajo d e auditoría. Ya fue comen tado el
Idea f or Windows, e specializado en auditorías a bases d e datos. Sin emb ar-
go, se están encontrando otros interesantes productos, algunos de los cua-
les vale la pena comentar.
Por lo general, las grandes consultoras han desarrollado software
pa ra u so d e su s em pleados , el cua l no comercial izan, para garantiza r la
salvaguarda de sus ventajas competitivas. Pero también se encuentran
196
aplicaciones interesantes, las cuales se comercializan, por lo que están dis-
ponibles para aquellas instituciones que dispongan de los recursos financie-
ros necesarios para adquirirlas.
Una de estas aplicaciones auditoras es Methodware Engine, que pro-
vee dos aplicac ione s comp lementarias , Planning Advisor (ver pantalla prin-
cipal 10.4).
Fig. en Fig.Mediante
10.3) y ProAudit
la primeraAdvisor
se lleva(ver pantalla
a cabo de una auditoría
la organización en
y pla-
neamiento de una auditoría (etapa 2 de la auditoría), a partir de un análisis
de riesgos y de los objetivos a lograr en dicha auditoría. Todo ello se ali-
menta a la segunda, la cual permite ir desarrollando dicha auditoría, acu-
mulando en sus archivos todas las evidencias que los auditores obtengan,
y permiti endo la e laboraci ón d el inform e en una for ma muy senci lla, pero
eficaz y eficiente.
Ambas aplicaciones pueden ser utilizadas para gestionar y desarrollar
una auditoría, y ser complementadas con otros métodos y herramientas
explicadas en esta obra.
queDe esta forma sepueden

perfectamente han exp
serlicado u n con
utilizados enjunto
formadeintegral,
métod os y herramientas
como un siste-
ma que provee rá un fuerte arsenal a los auditores.
Fig. 10.3. Pantalla pr incipal de Plannin g Advisor
197
Fig. 10.4. Una posible auditoría mediante ProAudit Advisor.
El equipo de audi tores de COPAX S.A., importante co nsultora, con mu-

chos años de tradición en el negocio de la auditoría, lleva reunido un rato
pa ra discutir un tema crucial para su negocio: el em pleo de las TAAC.
Isaac Gad o, auditor exp erimentado, argumenta:
–S i obtenemos Ide a for Windows vamos a poder entra r en las bases de
datos de los clientes. Unido a eso utilizamos el resto de las técnicas tradi-
cionales que conoc emos para la aud itoría a las entrad as y salidas, y ya
po demos au dita r los sistemas. No necesitamos más nada.
Carlos Manuel Pérez, un auditor más joven, expresa su criterio:
–No Isaac, creo q ue si incorporamos también los programas generales
de auditoría tendremos mucha más potencialidad. Además, si vamos a
introdu cir cambios , h agá moslos comp letos.
Silvio Martínez, ot ro auditor, opina :
–Oigan, con tanto s cambios no sé ad ónde pararemos. Yo creo que has-
ta ah ora no s va b ien. Yo, p or mi parte no estoy dis pu esto a camb iar. Yo
termino mi ca rrera como la he llevado hasta a hora.
198
Preguntas
1. ¿Los métodos y h erramientas coment ados en es te capítulo pueden

ser utilizados más eficazmente en forma conjunta, como un sistema,
o por el contrario pueden emplearse por separado?
23. ¿Cuál es ventajas
Diga las la lógi ca ygenera l de la audit
desventajas oría
del soft a las
ware debase
audistoría
de datos
a las? bases
de datos general y específico.
4. Mencione cinco funciones de Idea for Windows.
5. Mencione tres pru ebas sustantivas que pu eda efectuar en auditorías
con empleo de Id ea for Windows.
6. ¿En qu é consis te el anál isis, rastreo o seguimi ento de las tran sac-
ciones?
7. Diga po r qué es neces ario hacer la auditoría a las entradas.
8. Mencione tres pru ebas sustantivas a realizar a la información de en-
trada al sistema.
9. Mencione tres prueba s sustantivas a rea lizar durante la captura o
captación de información.
10. Exprese su opinió n sobre la neces idad de la a udito ría a las salidas
del sistema.
11. Mencione tres pru ebas sustantivas a realizar a los p rocesos de distri-
bución y entrega de la información.
12. Cite tres ejemplos de pru ebas sustantivas a los listados de s alida o
los reportes de papel en pantalla.
13. ¿En qu é consist e la auditorí a desde el s istema?
14. ¿Para qué si rve el mét odo de datos de prueba? ¿Cuántas modal ida-
15. des
¿Cuáladopta?
es el objetivo d el método de simulación para lela? ¿Qué venta-
jas y desventa jas presenta?
16. Mencione do s prod uctos de software que sirvan par a la gestión g e-
neral de una auditorí a.

Trate de vincula r se a alguna consul tora independien te o departament o
de aud itoría inte rn a de alguna institución. Investigue q ué m étodos y herra-
mientas de trabajo emplea. Compárelas con las mencionadas en el presen-
te capítulo.
199
INTRODUCCIÓN
Durante el desarrollo de esta obra se ha defendido, explícita e implíci-
tamente, una tesis que caracteriza a la auditoría contemporánea: el auditor
es un especialista que apoya con su trabajo, a la gerencia de la entidad
dond e trabaj a; y es un asesor q ue tiene como objetivo m ás general, ayudar
a perfeccionar el sistema de dirección de la organización con la que se
relaciona, ya s ea c omo auditor externo o interno. Dentro de esa línea gene-
ral de trabajo, se encuentra la auditoría a la función informática.
Como tal, se concibe la planificación, la organización, la dirección y el
control de toda la actividad de procesamiento automatizado de la informa-
ción
nes yyelsucontrol.
utilización por hace
Desde la gerencia
más dedecincuenta
la entidadaños,
paralos
la toma de decisio-
cibernéticos han
demostrado que los sistemas de dirección y control son, en realidad, y
sobre todo, sistemas de información. La informática, pues, es el corazón
informativo de la entidad, y por tanto, de su actividad de dirección.
Esa es la razón principal por la cual el auditor debe tener dentro de su
ámbito de trabajo, la auditoría a la función informática: es la atención al
sistema de dirección y control de la entidad, algo de lo cual no se puede
prescindir en los momentos actuales, donde la adecuada administración,
sobre bases informativas sólidas, repre senta la diferencia ent re el éxito y el
fracaso de una organización dada.
Se pudiera argumentar que la auditoría a la función informática es una
actividad demasiada especializada para au ditores más or ientados a los siste-
200
mas contables y financieros. Evidentemente, este es un ámbito de trabajo
mucho más enfocado a cuestiones puramente técnicas; por ejemplo, la
instalación de det erminado ti po d e red de computadoras o el entrenami en-
to a los programadores en cierto tipo de lenguaje de programación. Esas
cuestiones requieren para su auditoría, a auditores especializados en infor-
mática, sin
focadas a laduda alguna.
dirección Perotroltambién
y con existenqucuestiones
de la entidad mucho
e requieren de lamás en-
participa-
ción de auditores con un carácter más económico, más financiero, en su
especialidad de trabajo. Estas pudieran ser: el plan de sistemas de aplica-
ción a desarrollar o a adquirir, el plan de sistemas de aplicación a mejorar
o modificar, el establecimiento de políticas de seguridad y protección ge-
nerales de los recursos informativos, etc.
Esta es la razón que ha motivado la inclusión de este capítulo en esta
obra. Es un complemento imprescindible para la auditoría actual. Sin negar
la especialización, las cuestiones generales que aquí se abordan son de inte-
rés de cualquier auditor contemporáneo. Se tratará, eso sí, de darle un enfo-
que generalista a la información que se ofrezca, de manera que se presenten
los aspectos y se aborden las principales cuestiones con la profundidad ade-
cuada, per o en aquellos aspectos puramen te técnicos (por ejemplo, la au ditoría
a una red), el lector deberá recurrir a información más especializada.
DEFINICIONES GENERALES
Sobre la auditoría a la función informática Zabaro y Martínez nos dice
que:
[...] no es más que el examen o revisión de carácter objetivo,
crítico, sistemático
empleo de recursos,y metodologías
selectivo, que ysetécnicas
efectúa de
mediante el
evaluación,
de las po líticas, funciones, procedimiento s e informes relaciona-
dos con los sistemas de información computarizados, para emi-
tir una opinión profesional sobre la eficiencia en el uso de los
recursos informáticos, la validez de la información y la efectivi-
dad de los contro les establecidos, perm itiendo asegur ar:
• La seguri dad d e los recursos informá ticos: p ersonas, datos,
hardware, software e instalaciones.
• El apoyo de la informá tica a metas y objet ivo s de la organi -
zación.
• La
dadsegur
de laidad, u tilidad, en
inf ormación c onfi anza, privacidad
el ambient y disponi
e informáti co. bili-
201
• Minimizar los r iesgos en el uso de las tecnologías de infor-
mación.
• Reducir malas decisiones de inversión y gastos innecesarios.
• Garantizar las funci ones automatizadas con aut ocontr ol y
pistas de auditoría, etc. 1
Independientemente de pequeñas diferencias de opinión en cuanto a
determinados matices de la definición, es perfectamente suscribible a los
efectos de los objetivos de esta obra. Especialmente destacable es lo ex-
presado en la segunda pleca en cuanto a las metas y objetivos de la organi-
zación. Se requiere que el auditor, como ente independiente de los infor-
máticos de la entidad, analice y evalúe los planes informáticos elaborados
por estos y su ejecución, de manera tal que nunca se pierda el objetivo
fundamental de la función informática: el apoyo total a la dirección y el
control en la entidad.
La auditoría a la fun ción info rmática pued e tener un carácter más gene-
ral o más específico, en dependencia de sus objetivos y propósitos. Entre
las auditorías más generales se pueden citar:
• Auditoría a la pl anificación
• Auditoría a la org anización
• Auditoría a la segur idad
• Auditoría a la gestión
• Auditoría a los sistemas
Entre las auditorías más específicas se pueden mencionar:
• Auditorías a rede s de computac ión (tipo Novell, Windows N T, etc.)
• Auditorías a la seguri dad del sistema oper ativo
• Auditoría a los ser vicios de internet
Y otras de similar carácter.
AUDITORÍA A LA PLA NIFICACIÓN

DE LA INFOR MÁTI CA
La informáti ca, co mo cualquier act ividad fu ncional d e la entidad, debe
ser planificada o programada al horizonte de tiempo (más o menos largo)
que pueda ser provisto por la gerencia de la organización.
1
L. Zabaro, y C. Martín ez: ob. cit., p. 43.
202
El plan informático debe permitir conocer qué aplicaciones se diseña-
rán o elabo rarán, c uáles se adqu irirán, qué h ardware se instal ará y cóm o se
reno vará, qué política de comu nicaciones se establecer á, cómo se contra-
tará y entrenará al personal, qué política de seguridad se seguirá, etc. En
otras palabras, la planificación de la informática permite concretar en ac-
ciones ubicadas
informáticas queenla un horizonte
entidad de tiempo
requiera determinado,
para apoyar aquellas políticas
su gestión.
En dependencia de la complejidad de la organización, el plan infor-
mático puede dividirse en varios, a los efectos de un mejor control. Algu-
nos de estos pudieran ser:
• Plan de or ganización infor mática.
Puede incluir la misión de la inform ática dentro d e la entidad, sus
objetivos a corto, mediano y largo plazo, inci dencia de la informáti -
ca en la organización de la entidad, organización de la propia activi-
dad informática, política de personal, introducción de hardware y
software, etc.
• Plan de sistemas de i nfor mación.
Definición de los sistemas de aplicación a elabo rar, adqu irir, mod ifi-
car, sustituir o eliminar a corto, mediano o largo plazo; así como las
implicaciones que tendrán en la entidad.
• Plan de r equerimientos y nec esidades.
Definición de las necesidades de software, hardware, equipos auxi-
liares, personal, instalaciones y otros r equerimient os; para apoy ar el
plan de sistemas.
• Plan de segur id ad y protección de l os recurso s informa tivos.
Actividades a desarrollar
de los recursos paraIncluye
informativos. garantizar
planlade
seguridad y protección
contingencias y re-
cuperación.
• Presupu esto de inf ormática.
Abarca los principales gastos (e ingresos, cuando proceda) que exi-
girán la aplicación de los planes anteriores.
El auditor debe recabar información sobre los planes anteriores y anali-
zarlos entre sí, para determinar si en realidad conforman un sistema orgáni-
co y armónico de planes o si existen incongruencias o incompatibilidades.
Después, deberá analizar si los planes informáticos analizados garanti-
zan los objetivos y metas de la entidad en los mismos horizontes de tiem-
po. Ello implica una comparación entre los planes generales de la entidad
203
a corto, mediano y largo plazo; y los planes informáticos. Después hay
que tratar de responder las preguntas como las siguientes:
• ¿Garantizan los planes informá ticos los objetivos y metas de la enti-
dad?
• ¿Los planes infor máticos apoyan l os planes genera les de la entidad?
• ¿Existen o existirán áreas de pro blemas sin soluci onar en l a enti-
dad, que re quieren de la adecuación de los pl anes in formát icos?
• ¿Hay incompat ibilidades entre lo planificado por la informát ica y lo
planificado en general por la entidad?
• ¿El presupuesto d e informá tica es racional?; ¿se enmarc a dentro de
los presupuestos generales de la entidad, sin contradicciones o in-
compatibilidades entre ellos?
De las respu estas q ue obte nga el auditor, del aná lisis de los d ocu men-
tos que realic e, de las entrevi stas qu e efectúe, de berá o b tener las con clu-
sione s que re flejará en su info rme so bre la auditor ía a la planificaci ó n de
la informática.
AUDITORÍA A LA ORGANIZACIÓN
DE LA INFORMÁTICA
La auditoría a la organización de la informática tiene como objetivo
determinar que existe total correspondencia entre la misión y los objetivos
de la función infor mática y la forma en que están org an izados los recursos
con que cuenta.
La auditoría a la organización consiste en realizar una revisión profunda
de la estructura
recursos organizativa
materiales, humanos,dedelashardware,
áreas informáticas,
de softwaresus
confunciones, losla
que cuenta
entidad; las normas de trabajo, sus políticas, estándares y procedimientos,
etc. En otras palabras, es una auditoría de organización, pero concentrada en
la informática.
Las herramientas y métodos de trabajo que deberá utilizar el auditor
son las entrevistas, el análisis de documentos y las observaciones.
Deberá entrevistarse con los funcionarios y empleados del área de in-
formática; pero también con sus principales usuarios, así como con los
miembros de la gerencia que tienen subordinadas a las áreas informáticas.
De esas entrevistas deberá obtener una comprensión cabal de cóm o la info r-
mática responde a las necesidad es de la en tidad y de si existen ob stáculos de
tipo organizativo que impidan o dificulten esa respuesta.
204
Deberá analizar documentos tales como Planes, Organigramas, Funcio-
nes, Contenidos de trabajo, Manuales de normas, organización y procedi-
mientos, Presupuestos, Programas de formación y capacitación de personal,
entre otros.
Deberá determinar cuestiones tales como:
• La u bicación jerárq uica de l área d e infor mática en la en tidad e s la
más favorable para que realice sus funciones y cumpla con sus
tareas.
• Correspondenci a en tre los planes, las polí ticas de tr abajo, los objeti-
vos y los recursos con que cuenta el área de informática. Debilida-
des detectadas en este sentido.
• Adecuación de l as func iones y c ontenidos de trabajo establecidos
para el área informática y sus empleados, y las tareas que deben
desarrollar.
• Desempeño de las fun ciones que realiza el área de informát ica.
• Conoci miento de la mis ión, los objetivos de t rabajo, los planes y l as
funciones po r parte del personal de informáti ca.
• Adecuación de las no rmas, estándares de trabajo, procedi mientos y
organización con las funciones que se espera del área de informática.
Correspondencia con el nivel técnico y tecnológico de la actualidad.
• Adecuación de lo s manuales de no rmas, orga nizaci ón y pro cedi-
mientos con la actividad real que se desarrolla en el área.
• Correspondenci a entre las políticas de selección, f ormac ión, capaci-
tación, rotación y despido d e personal y la misión, l os objetivos y los
planes de trabajo del área.
• Correspondenci a en tre la estructura interna del área de informát ica y
las necesidades del trabajo que se realiza en la misma.
• Adecuación de lo s procedi mientos de comuni cación con las necesi-
dades de los planes de trabajo y programas de desarrollo.
• Correspondenci a entre los contenidos de tra bajo de los empleados
del área y las funciones de la misma.
Para efectuar esas investigaciones, el auditor puede valerse del trabajo
complementario de especialistas en informática, como hemos expresado
en otros lugares de esta obra.
Los resultados del trabajo del auditor deben ser discutidos tanto interna-
mente con la gerencia de informática, como con sus superiores y principales
usuarios, de manera de q ue la organ ización d e la función de infor mática no
205
se convierta en un o bstáculo, sino más bien en un conjunto de cond iciones
favorables para el desarrollo del trabajo.
AUDITORÍA A L A SEGUR IDAD Y PROTECC IÓN

DE L OS RECURSOS INFORMATIVOS
Sobre este tema se ha dedicado un capítulo en esta obra, por lo que no
se considera necesario ampliar más aquí; excepto un aspecto muy especí-
fico: la segu ridad d e los proy ectos de sistemas que se desarroll en en el área
de informática.
Los proyectos (sistemas informáticos de aplicación) que se están desa-
rrollando en el área de informática pueden ser objeto de espionaje electró-
nico o por otros medios. Asimismo, las personas que trabajan en ellos
(analistas de sistemas, ingenieros de software, programadores, operadores
de computadoras, secretarias, etc.), deben ser instruidos sobre la necesi-
dad de la discreción y de la no difusión de las características de su trabajo.
Debe garantizarse la adecuada documentación de los sistemas que están
en proceso de elaboración, explotación y modificación; a los efectos de
que sus proyectistas garanticen su continuidad en caso de abandono de la
entidad por algun a causa. Deben establecerse pro teccion es de variado tipo
(encriptaciones, palabras de pase, firewalls, etc.), para evitar que a través
de las redes de computadoras difundan indebidamente los resultados del
trabajo de diseñ o y elaboración.
Por extensión, el resto de las actividades de planificación, organiza-
ción, documentación, gestión, instalación de equipamiento, etc.; debe ser
sometido a las debe
El auditor mismas medidas
realizar de seguridad
entrevistas y protección.
y analizar documentos, pero tam-
bién observar detenidamente cómo se realiza el trabajo en el área de infor-
mática, para obtene r sus conclusiones s obr e el nivel de segur idad y pr otec-
ción de los recursos que se manejan en ella.
No debe olvidarse que la inmensa mayoría de los controles generales y
de aplicación de informatización o PED nacen en el área de informática,
por lo que part e de la función del audit or será comprob ar el nivel de cult u-
ra existente sobre el tema entre los diferentes empleados del área y en la
gerencia de la entidad.
Los resultados del trabajo, al igual que en el anterior caso, serán dis cu-
tidos internamente con la gerencia y los em pleados y co n los niveles supe-
riores y principales usuarios del área.
206
AUDITORÍA A LA GESTI ÓN INFORM ÁTICA
“Gestión” es sinónimo de “dirección”, de “administración”; luego esta
auditoría se incluye dentro del campo d e la aud itoría de gestión u operativa;
pero orientada a la función informática.
parteEndecierto
esta,sentido las auditorías
pues como funcionesagenerales
la planificación y la organización
de la dirección, integran forman
la ges-
tión. Sin embargo, en la que nos ocupa se concentrará la atención en la toma
de decisiones, el control, la utilización de recursos y la eficacia y eficiencia
con que se realiza.
La auditoría a la gestión info rmática se debe realiz ar teniendo en cuen -
ta un conjunto de factores:
• Actividad que se realiza en la entidad.
• Complejidad y ma gnitud de dicha entidad.
• Desarrol lo alcanzado en la actividad informát ica. Volume n de pro-
cesamiento
de la gestiónautomatizado deentidad
y control de la información y grado de dependencia
de la informática.
• Política organizat iva y de dirección de la entidad: central ización/des-
centralización de las decisiones y el control, impacto de la informática
en la organización de la entidad y en su estructura organizativa, etc.
• Grado de centralización/d escentralización del proce samien to de la
información.
Entre otros de similar importancia.
Entre los aspectos a evaluar por el auditor se encuentran:
• Centralización en las decisiones en el área informát ica. Participación
de especialistas.
• Dirección y contro l de los proyect os. Técni cas emp leadas. Efect ivi-
dad de las mismas. Utilización de recursos escasos.
• Control en la ge stión informá tica. Métodos e mpleados. Resultados.
• Control de la calida d de los proye ctos. Empleo d e metodologí as y
estándares adecuados.
• Utilización del p ersonal con e l máximo de efi cienc ia. Product ividad
del trabajo de analistas y programadores.
• Control del costo de realización de la actividad informática en general.
• Adecuación de la s normas de consumo material y de trabajo a las
realidades. Utilización de dichas normas en la dirección y el control.
207
• Cumplimiento de l os planes de desarrol lo e implan tación de siste-
mas, así como de mantenimiento.
• Utilización de las capacidades instalada s de hardw are.
• Utilidad del serv icio informá tico prestado. Adecuación de los siste-
mas implantados y en explotación a las necesidades de los usuarios
• yAnálisis
de la gerencia
de las nde la entidad.
ecesidades no satisfechas d e los usuarios.
• Nivel de cumplimi ento de los paráme tros técnicos de e xplot ación de
equipos.
• Análisis de los b eneficios obt enidos por los s istemas i mplantados y
en explotación. Análisis cuantificable y no cuantificable.
• Relación costo/be neficios. Qué se ha invertido en la funci ón infor-
mática y qué ha producido esta. Impacto económico y social en la
organización.
Al igual que en los casos anteriores, el auditor deberá analizar los do-
cumentos disponibles
funcionarios y relacionados
y empleados con este trabajo,
del área informática, con susentrevistarse conla
usuarios y con
gerencia superior; pero sobre todo deberá observar cómo se realiza el tra-
bajo y qué nivel de satisfacción tienen los usuarios. Resulta importante
también aquí la información obtenida por medios informales (rumores,
conversaciones “de pasillo”, etc.), pues permite encontrar puntos débiles a
analizar o estudiar durante la auditoría.
Los resultados de esta auditoría son de suma importancia para la entidad:
la alta gerencia requiere conocer cómo se dirige a la actividad destinada a
optimizar la dirección de la entidad en pleno, qué nivel de eficiencia y de
efectividad tiene y cómo utiliza los recursos que tiene disponibles, especial-
mente la fuerza de trabajo.
Las conclusiones del auditor deben ser discutidas con mucha responsa-
bilidad: hay una gran carga de subjetividad en estas, por lo cual deben ser
elaboradas cuidadosamente y expuestas también con delicadeza y correc-
ción. En muchos casos en este tipo de auditoría no existen pruebas ni evi-
dencias que mostrar, sino criterios y opiniones más o menos acreditadas.
El auditor debe ser capaz de señalar sólo aqu ellos criter ios sustentados por
hecho s o situacione s tales que resulten innegab les o irre batibles. Sus suge-
rencias y recomendaciones deben ser validadas por los criterios de los
especialistas (recuérdese que esta es una actividad altamente compleja y
que presenta características peculiares) y refrendadas por la gerencia a to-
dos los niveles.
208
Por supuesto, tanto conclusiones como recomendaciones deben ser
objeto de una amplia discusión con el área de informática, la gerencia y los
usuarios.
AUDITORÍA A LOS SISTEMAS EN PROCESO

DE ELABORACIÓN
Este aspecto también ha sido ampliamente tratado en el capítulo sobre
la auditoría a los sistemas en pro ceso de elaboración o adqu isición, y tam-
bién en aquellos donde se abordaron los problemas de controles y de la
seguridad y protección de los recursos informativos; lo cual hace innece-
sario su desarrollo aquí.
AUDITORÍAS A REDES DE COMPUTACIÓN

En la actualidad cualquier entidad mediana o grande cuenta con una
red de computaci ón y tiene un modelo dis tribuido en e l p rocesamiento de
la información. Desde cualquier nodo de la red, una persona con ciertos
conocimientos de informática pudiera acceder a los recursos informativos
disponibles y utilizarlos en su beneficio indebido o en perjuicio de otras
personas e instituciones. La auditoría a redes de computación permite de-
tectar fallas en los sistemas de seguri dad y p rotección de estas y con tribuir
a mejorar dic ha seguridad.
Este tipo de auditoría requiere un alto nivel de especialización técnica.
Además de los conceptos generales, el auditor debe dominar los coman-
dos del sistema operativo de red que se están utilizando. Ello motiva que
este tipo de auditoría requiera habitualmente de personal experto adicional
para complementar el equipo de auditores.
La auditorí a a una red d e compu tación pud iera dividi rse en cinco gr an-
des ámbitos de trabajo:
• Seguridad de los servidore s de la red .
• Análisis de los contr oles de autorización.
• Protección de las info rmaciones almacenadas.
• Análisis del emple o de la red.
El auditor deberá an alizar las utilidades que el sistema operativo le brinda
para permitirle la auditoría. Por supuesto, cada sistema operativo tiene co-
mandos diferentes. La tabla 11.1 permite observar varios ejemplos de sis-
temas y comandos a emplear.
209
Tabla 11.1
Fuente: L.
Zabaro y C. Martínez: ob. cit., pp. 132-133; y artículo de D. A. Crowel,
ambos consignados en la bibliografía.
En el caso de redes
considerablemente. conectadas
El auditor a internet,
debe velar por queelseproblema
garanticesela complica
confiden-
210
cialidad, la integridad y la disponibilidad de los recursos informativos del
sistema; en condiciones de protección difíciles.
Deberá prestar atención, entre otras cuestiones, a:
• Políticas de segur idad y protección existentes.
• Control del acceso.
• Protección de las info rmaciones almacenadas.
• Cumplimi ento de las normas éticas y legales establecidas en internet .
• Procesos de aute ntificación.
• Procesos de auto rización.
• Protección de los serv icios qu e se pre stan.
Algunas de l as re comendaciones que pud iera dar el auditor como con -
clusión de su trabajo pudieran ser las siguientes:
• Establecer cuentas p ara nue vos usuarios.
• Inha bilitar cuentas para usuarios existentes.
• Establecer req uerimientos para nuevas claves de acceso.
• Proponer polít icas de establecimiento, ac tualización y elimi nación
de claves de acceso.
• Limitar la conexión d e determinados usuarios a ciertos períodos de
tiempo.
• Definir las conexi ones desde ciertas terminales.
• Limitar el espacio de disco a utilizar para deter minados usuarios.
• Definir el uso de ciertos recursos de la red p ara determinados usuarios.
• Especificar las pi stas de audi toría a mantener sobre las conexi ones y
desconexiones de la red.
• Propon er pistas de auditoría para detectar intentos de con exión a la red.
•• Comprobar
Compr obar lala sdetecci
de bilidades
ón de idetectadas
ntrusos. en la oper ación de la red.
En el capítulo 8 se abordan algunos aspectos de esta problemática,
adicionalmente a los tratados aquí.
Finalmente, es bueno reiterar que la auditoría a la función informática
debe realizarse en toda entidad, por pequeña que sea, y adaptarse a las
características de esta, ya sea tan gran de que po sea miles de compu tadoras
conectadas en red, o un PC en una pequeña mesa. El auditor debe emitir
sus recomendaciones en cada caso, para que la gerencia realice una mejor
utilización de sus recursos informáticos en apoyo a la dirección y el con-
trol de su entidad.
211
Caso 10 p ara me dit ar
Sergio Valle, auditor recién graduado de Licenciatura en Contabilidad
y Finanzas, y afici onad o a la informática, de la cua l t iene conocimientos
superiores a la med ia de sus colegas, ha sido incluido al grupo de au dito-
res qu e deb erá rea lizar una a uditoría int egral a la corporación Antex.
Sergio está ansioso por demostrar sus conocimientos y su talento, por lo
que le expresó al auditor jefe de grupo, Prudencio Gómez, que podía asu-
mir la au dito ría a la función inform át ica d e Antex.
–¿ Estás seguro de eso? –le preguntó Prudencio–. Fíja te que Antex tie-
ne una red de computadoras de más de 500 máquinas, organizada en
forma compleja, y con dif erentes sistemas op erativos traba jando, como
Novel l, Windo ws y Uni x. Ademá s, tiene un departamento de desarrollo
informático con ca si cincuen ta p ersonas. Es un traba jo muy a mplio y es-
pecializado.
–No importa, yo siempre he traba jado en informática , he leído varios
libros y estoy convencido que puedo enfrentarme a esto.
–Es que aquí no ba sta con cono cer algo de Windows X P, d e Excel, y de
navegación por internet. Aquí se requiere experiencia y conocimientos
profundo s de informática. Vamo s a buscar uno o dos ex pertos pa ra que se
encarguen de esto , y te un irás a ese subgrupo com o auditor junior .
Sergio aceptó la decisión a regañadientes, pues consideró que Pru-
dencio lo estaba subestimando.
Pre gunt as
1. ¿Cómo puede un au ditor más clásico, especializado en contabilidad,

finanzas, asumir una auditoría a la función informática de una enti-
dad?
2. ¿Qué es la “funci ón informá tica de u na entidad”?
3. ¿Qué busc a la auditoría a esa funci ón?
4. ¿Cómo pudi era divi dir este tipo de audit oría?
5. ¿En qué consiste el plan informá tico d e la entidad?
6. Mencio ne tres cu estiones e n las que d eba conce nt rarse el au ditor
que real ice una a uditoría a la función informáti ca de la enti dad.
7. ¿Cómo defini ría el objetivo de l a auditoría a la o rgani zación de l a
entidad?
8. ¿Por qué debe protegerse el desarrollo de sistemas del espionaje elec-
trónico e industrial en general? ¿Cómo puede ayudar el auditor en esto?
212
9. ¿En qué consiste la audit oría a la gestión inform ática? ¿Considera
que pued e for mar p arte de la auditoría de gestión o administrativa en
general?
10. ¿Por q ué son nec esarias las auditorí as a redes de compu tación?

¿En el lugar donde trabaja o estudia han hecho audito rías a la función
informática? ¿Qué objetivos de trabajo han tenido? Si tiene acceso al in-
forme, estúdielo y compárelo con los aspectos tratados en este capítulo.
213
INTRODUCCIÓN
La creación masiva de sitios WEB en los últimos años, destinados al co-
mercio, a la difusión de noticias, al intercambio científico, a la diseminación
de ideas, etc., ha propiciado la necesidad de perfeccionar constantemente los
objetivos, el diseño y las funciones de esos sitios. Muchos especialistas se han
dedicado a lograr ese perfeccionamiento, y se ha generado en ese campo
mucho conocimiento, indicando cómo realizar la evaluación de esos sitios. 2
Esa tarea ha entrado con pleno derecho en la esfera de trabajo de los auditores,
sobre todo de aquellos que se dedican a la auditoría de gestión y a la auditoría
de la in formación y el conoc imiento. Sin embargo, todavía hay qu e investigar
mucho en esa área.
Este capítulo resume el trabajo de investigación del autor en esta línea,
durante alguno s meses, pero no pued e verse como algo definitivo ni mu cho
meno s, sino m ás bien como una “meta volante” en el interminable pro ceso
de perfeccionar la actividad de auditoría en estos tiempos de cambio cons-
tante, de dinámica evolución en el conocimiento y la experiencia práctica.
1
Publicado en forma de artículo en la revista Giga,número 2, 2003, LaHabana. También presentado
al Congreso In ternacio nal de Info rmación “Info 2002”.
2
Un simpl e ejemplo in dicativ o: entre nov iembre de 1999 y marzode 2000,el autor cons ultó en
in ternet alrededor de 46 si tios que ofrecían in formación sobre l aaudit oría a sitio s WEB. No fue
unabú squeda exhaustiv a.Seguramente que ho y se pueden encontrar muchos más.
214
Se expone en qué consiste la auditoría a sitios WEB y cómo puede
abordarse, a partir de un listado preliminar de aspectos a evaluar por parte
de los auditores.
La au ditoría a sitios WEB pued e considerarse como par te de la auditoría
de la información, por lo que tiene relación directa y estrecha con las
auditoríaslaoperativas
llamente o de
muestra de quegestión. Esta relación
los tiempos cambiannoy es
connada
ellosrara,
las es senci-
tecnolo-
gías, los métodos y los instrumentos de trabajo del ser humano. La WEB
ha devenido una herramienta de primer orden para los negocios, la cien-
cia, el arte, y la comunicaci ón humana en general, por lo que es lógico q ue
una gran parte de la información que se procesa en una entidad sea a tra-
vés de hipertextos e hipermedias, y consecuentemente, deba ser auditada,
tanto en auditorías autónomas, como en aquellas que son parte de esfuer-
zos de auditorías mucho mayores.
LA AUDIT ORÍA A LOS SIT IOS WEB

Podemos definirla como: aquellos trabajos de análisis, revisión, eva-
luación y propuesta de perfeccionamiento de los sitios WEB, de forma
tal que se contribuya a que su accionar apoye convenientemente las fun-
ciones para los que fueron creados.
La auditoría a los sitios WEB debe ser concebida cuidadosamente, or-
ganizada y ejecutada en función de lo planeado, y debe insertarse en las
auditorías de gestión y/o de la información que se realicen en la entidad.
Se distingue de otros tipos de auditorías, entre otros elementos, por el
hecho de que se realiza “a distancia”, sin necesidad de trasladarse a nin-
gún lugar físico. I ncluso el inform e puede prese ntarse por la red informá-
tica, sin que necesariamente se imponga la presentación personal.
Los objetivos de la auditoría están directamente relacionados con la
función del sitio WEB, algunos de los cuales pueden ser:
• Influencia en la o pinión pública, persuasión, promo ción d e ideas (.ORG).
• Negocios, market ing (. COM 3).
• Inform ación, n oticias generales o específic as (.COM).
• Informaci ón científi ca, artística, té cnica, etc. (. EDU; .ORG, . GOV)
• Apoyar e l traba jo de orga nizaciones o institu ciones (.ORG).
• Otr os
3
Es conocido que están na ciendo d ivi sio nes de los do min ios “.COM”, como el “.N ET”, para
redes, “.INF” p arain formació n, etc.
215
El sitio WEB no es un fin en sí mismo, es una herramienta de trabajo
para propiciar actividades de gestión, comunicación, negocios, etc. Por
esa razón, los aspectos a evaluar en la auditoría estarán en relación directa
con los objetivos del sitio, objetivos que tienen que ser muy estudiados y
analizados por los auditores durante su proceso de planificación.
Existe yuna
funciones losrelación
aspectosdialéctica
a evaluardirecta entre los objetivos del sitio, sus
en la auditoría.
Una lista preliminar y probablemente incompleta de los aspectos a ser
evaluados es la siguiente:
• Informa ción ge neral e identificación.
• Precisión, conf iabili dad y exactitud.
• Amplitud in formativa.
• Aptitud.
• Capacidad co municativa.
• Contenido básico.
• Sintáctica.
• Promoción y di vulgación.
• Diseño y ar quitectura.
• Acce sibi lida d.
• Utilid ad.
• Econó micos y financieros.
• Profe sionalid ad.
• Valor añadido.
• Desempeñ o.
Esa lista debe ser evaluada constantemente por los auditores, cada vez
que se enfrenten a una nueva auditoría: cada sitio tiene sus particularida-
des, por lo que se requerirá un diseño de auditoría “a la medida”, en cada
caso. Pero es u n buen p unto d e partida para la planific ación de cada audit oría.
DETALLE DE LOS ASPECTOS A EVALUAR

EN UNA AUDITORÍA A SIT IOS WE B
La lista anterior está expuesta en una forma muy general. Cada uno de
esos aspectos puede abrirse en una serie más detallada. A continuación
una propuesta:
Info rmación genera l e identificación
 Nombre de la organización.
 Logotipo.
216
 Slogan publicitario.
 Datos sobre los productos y servicios que se ofertan.
 Infor maciones d e contac to de la entidad: Nomb re del gerente ,
dirección postal y virtual, teléfonos, fax, e-mail, etc.
 Infor macione s sobre la actividad d e la entidad.

Información sobre sucursales de la entidad.
Precisión, confiabilidad y exactitud
 Calidad de la digitalización y tipografía.
 Referencia a las fuentes informativas utilizadas, con objetivos
de comprobación o ampliación.
 Informaciones sobre los autores de los contenidos, y contac-
tos (directo o indirecto) con ellos. Resumen del curriculum
vitae.
 Fechas de creación y de actualización del sitio, así como de
los materiales utilizados.

 Seguridad
Datos de proveedores
de los los hipervínculos.
de servicios de certificación y au-
tentificación (si existe): nombre, e-mail, dirección postal y
virtual, teléfono, fax, etc.
Amplitud informativa
 Alcance de los temas tratados.
 Actualidad de estos temas.
 Citas debidamente cumplimentadas.
 Relación entre la misión, objetivos y funciones de la organiza-
ción y los contenidos informativos presentados.

 Prestigiodedelalos
Aptitud autoresy los
entidad de los materiales
autores presentados.
para tratar los temas pre-
sentados.
 Vínculos a los sitios que presentan ampliación de la informa-
ción de los temas.
Aptitud
 Infor mación sob re capacidad de la organiz ación para abordar
los temas presentados.
 Conocimiento de la organización.
 Relación de los autores de los temas con el contenido de los
 mismos.
Opiniones de otras organizaciones o personalidades sobre los
temas expuestos.
217
Capacidad comunicativa
 Estadísticas de visita del sitio.
 Aplicación de los anuncios publicitarios.
 Balance de información textual, gráfica e imágenes.
 Lenguaje preciso y adecuado a los posibles receptores.
 Idiomas utilizados.
Contenido básico
 Relación entre las informaciones del sitio y el propósito fun-
damental de la organización.
 Profundidad, confiabilidad y validez de los temas tratados.
 Autoridad profes ional de los autores y la orga nización con re-
lación a los aspectos tratados.
Sintáctica
 Calidad en la ortografía, la redacción, la puntuación, los gráfi-
cos, las imágenes, los sonidos.
 Calidad en los textos completos, en los de resumen y de la
informaci ón f actográfica.
Promoción y divulgación
 Calidad de los ba nner s, los men sajes pub licitario s, los logo tipos
de los anunciantes, sus datos, etc.
 Promociones publicitarias.
Diseño y ar quitectura
 Calidad de la atracción del diseño.
 Variedad y calidad de las imágenes.
 Facilidad de acceso a las imágenes.
 Combinación ergonómica adecuada de los colores del fondo,
las letras y los gráficos.
 Calidad estética de los gráficos, las imágenes, los textos y el
resto de los diseños.
 Arquitectura adecuada del sitio.
Accesibilidad
 Menú de fácil acceso, en todos los niveles del sitio.
 Retornos fáciles.
 Historia de acceso, para facilitar su reproducción.
 Opciones de inscripción sencillas.
218
 Opciones de p ago por util ización de la inform ación.
 Empleo de soft ware general.
 Descarga sencilla de información o aplicaciones.
 Utilización de motores de búsqueda adecuados y difundidos.
 Opciones de búsqueda diferentes.

Rutina de trabajo eficiente.
Utilidad
 Estadísticas de accesos al sitio.
 Estadísticas de información bajada del sitio.
 Acciones generadas por las consultas del sitio (negocios, con-
sultas, etc.)
Económi cos y financ ieros
 Costo del acceso.
 Fuerza de trabajo empleada en la confección y actualización
 del sitio.
Costo de los servicios de conectividad.
 Costo de la adquisición y amortización de los activos fijos
intangibles (software, licencias, patentes, etc.)
 Costo de la adquisición y amortización de activos fijos tangi-
bles.
 Utilidad generada por el sitio.
 Rentabilidad del sitio.
Profesional
 Misión y objetivos del sitio.
 Ética de la entidad.
 Declaraciones de la responsabilidad del sitio.
 Información sobre las actividades de la organización.
Valor añadido
 Servicios en línea que presta.
 Formulari os p ara interactuar con la o rganiza ción.
 Noticias actualizadas sobre temáticas de interés para los clientes.
 Información sobre mecanismos de consulta, baja de informa-
ción, ve n ta, etc.
 Infor mación sobre servicios de posventa .
 Facilidades de pago . Ventajas. Estímulos . Promocion es.
 Entretenimientos.
219
 Buzones de quejas y sugerencias.
 Servicios adicionales: asesoría, etc.
 Interacción con otros recursos de Internet.
Desempeño

 Rapidez dealconsulta.
Velocidad bajar las imágenes.
Estos aspectos a evaluar no son todos, ni tienen que serlo en su
integralidad, sino adaptarlos a las características de cada sitio. Tampoco
todos tienen la misma importancia relativa, con relación a cada uno de los
demás. Por ejemplo, un sitio comercial, orientado a la promoción y divul-
gación de productos, deberá ser evaluado en función de las facilidades
que mu estre p ara tal fin. Por el contra rio, un si tio de u na univ ersidad, será
evaluado en relación con la función principal de divulgar conocimientos,
y requerirá otro enfoque de auditoría. Ello implica que en la valoración
final del sitio, los aspectos más relacionados con los objetivos y la misión
del sitio tengan un valor relativo más alto que aquellos que tienen una
relación más débil o lejana.
Cada aspecto podrá ser evaluado mediante una escala (pueden esco-
gerse cualquiera de las escalas tipo Likert, tipo Diferencial semántico u
otra variante similar) donde los extremos opuestos sean “Mal” y “Excelen-
te”, y los puntos intermedios “Regular”, “Bien” y “Muy bien”; o puede
utilizarse una equivalencia cuantitativa (por ejemplo: 1, 2, 3, 4 o 5), a los
efectos de realizar una valoración final mediante métodos estadísticos. Si
se utiliza este último método, deben ser consideradas las diferencias de
impor tancia de los diferentes aspectos evaluados, tal como se expu so en el
párrafo a nterior.
CONCLUSIONES
La complejidad de los sitios WEB crece a medida que las herramientas
creadas para elabor arlos proporcionan n uevas posi bilida des. Ello hace qu e
no sea conveniente en estos momentos, proponer una metodología muy
estructurada para realizar la auditoría. Los especialistas que enfrenten esta
nueva responsabilidad, deben estar preparados para enfrentar nuevos re-
tos, los cuales exigirán crear nuevos métodos y enfoques para esos nuevos
sitios.
años. Se requerirá investigar mucho sobre esta temática en los próximos
220
Durante la planeac ión de la au ditoría de gestión que realiza la consul-
tora Cop an S. A. a la corporación Su rco Latino, surge la siguiente conver-
sación entre los au ditores del eq uipo:
–¿Y no
tro traba jo vamos a eva
–p regun luar eldo,
ta Fernan sitiouno
WEB?
d e loEso cae
s aud de llen o dentro de nues-
itores.
–¿ Quié n te di jo eso? –r espo nde Mario, calificado especi ali sta en
auditoría financiera–. Eso es un problema de los informáticos.
–¿Por qué? Es un sitio de venta a distancia de sus productos, y por
tanto la informaci ó n q ue maneja influye directamente en la gestión –a rgu-
menta Fernan do –, por lo qu e tenemos que me ternos en eso.
–¿Y alguien aq uí sabe algo de eso? –pregunta Ramo na, otro miemb ro
del equipo.
–No sé –dice Fern an do– pero podemos investigar o apoyarnos en al-
gún experto.
–Yo no estoy de a cuerdo –continúa Mario–, nos vam os a meter en un
rollo que no nos corresponde y para el que no estamos calificados.
–Yo creo que Fern ando tiene razón –terció en la con versación Felipe,
jefe de l grupo–. Tene mos que anali zar el sitio WEB. Para eso deb emos
documentarnos antes y buscar un experto.
–Esto en cualquie r momento deja de ser una consultora de auditoría
–dice disgusta do Mario– para co nvertirse en un circo.
Preguntas
1. ¿Por qué la audito ría a sitios WEB debe formar parte de la esfera de
trabajo de l aud itor?
2. ¿Cómo puede definir la a uditoría a sitios WEB?
3. Caracterice los objetivo s de esta auditoría.
4. Mencione cinco aspecto s general es a evaluar.
5. En cada uno de esos a spectos, analice los elemento s más específicos
a evaluar.
6. ¿De qu é depende el peso especí fico qu e el auditor de be da r a la
evaluación de cada aspecto general?

Analice el sitio WEB de la institución en que trabaja o estudia. Realice
una auditoría al mismo aplicando los criterios aquí expuestos.
221
INTRODUCCIÓN
Ha sido una situación habitual en las organizaciones, la escasez de la
información necesaria para la toma de decisiones y el control. Esa necesi-
dad de las organizaciones e individuos de disponer de sistemas de infor-
mación que permitan hacer más eficaces y eficientes sus procesos de di-
rección, ha generado el desarrollo de técnicas y tecnologías orientadas a
ofrecer, en el mome nto y el lugar requerido, informaci o nes precisas y ac-
tuales. Entre esas técnicas y tecnologías se encuentra la Auditoría de la
Inf ormación (AI ), l a Auditoría de Gestión, Administrati va u Op eracional, y
el Análisis y Diseñ o de Sistemas de info rmación ( ADSI). De las tres, la más
novedo sa es la prim era, nac ida al calor de la explosión informacional que
ha ocurrido en el mund o en los últimos años.
La AI se propone una misión general similar, aunque un poco más amplia,
a la Auditoría de gestión, Administrativa u Operacional y al Análisis y Diseño
de Sistemas de Información: contribuir a lograr una gerencia más eficiente y
eficaz de las organizaciones. Sin embargo, las tres varían en sus objetivos más
específicos, aunque en cierto sentido tienen puntos de contacto.
El enfoque más actual es incluir como paso siguiente la llamada Audi-
toría del Conocimiento (AC). Esta se ubica en las tendencias más contem-
1
Artículo de L. Blanc o, pu bli cado como parte del libro Gerencia: del prop ósito a la acc ión,
Ed. Félix Varela, La Habana, 2002.
222
poráneas de la ges tión de o rganizac iones. El conocimi en to, como la infor-
mación, forma parte de los activos más valiosos de cualquier entidad en la
actualidad. Su adec uado d esarrollo y utilización propo r cionan una ventaja
comp etitiva fund ame ntal. Las entidades más exitosas estimulan el desarro-
llo del conocimiento entre su personal, y se distinguen por sus programas
estratégicos
Sobre la de gestión.
base de las La AC contribuye
conclusiones a lograrlaesos
que arrojan AI programas.
y la AC se deben
diseñar sistemas de información orientados al proceso de información, a la
generación y utilización de conocimientos y a su empleo para hacer más
eficaz y efic iente la gerencia. P ara ello es n ecesario ut ilizar herram ientas
orientadas al conocimiento.
Este capítulo tiene el pro pósito d e contribuir a la difus ión de la Auditoría
de la Información y del Conocimiento, en el ámbito de la dirección de
empresas y entidades similares, mostrando sus posibilidades, sus principa-
les enfoques y modelos de aplicación, sus recursos, y sus métodos y herra-
mientas de trabajo.
EL PROBLEMA INFORMATIVO
EN LAS ENTIDADES EMPRESARIAL ES
El mundo de la gerencia empresarial está viviendo un proceso muy
interesante y retador: el de la búsqueda de una alta productividad empresa-
rial, basada fundamentalmente en la aplicación de las tecnologías de la
información (TI) a los procesos organizativos, informativos y gerenciales;
unida a un alto rendimiento personal de cada uno de sus empleados. En
otras palabras, el perfeccionamiento del sistema en su conjunto y de cada
una de sus p artes por separa do, cum pliendo el dictum aristotélico “el todo
es más que la suma de sus partes”, 2 pero también reconociendo que las
partes individualmente presentan características que se inhiben, anulan o
limitan en función de la integración al todo, lo cual no siempre debe ser
deseable ni conveniente. 3
Ese proces o ocurr e en medio de l o que se ha llamad o por mu chos “so-
ciedad de la información y el conocimiento”, ese estadío de desarrollo
humano caracterizado por una eclosión sin precedentes de la generación
2
L.V. Bert alanfy: His to ri a y desar ro ll o de la Teor ía Ge nera l de Siste mas . Temas sel ecto s 1 .
Compilació n. Universidad del Vall ede México. Dirección d e Postgrado. 1992.
3
E. Morín: “Por una reforma del pensamie nto ”, revis ta El Cor reo de la UNESCO, p. 1 2.
223
de información en el mundo y por la potenciación como nunca antes del
conocimiento, como activo empresarial imprescindible. Cornella cita un
estudio realizado en la Universidad de Berkeley, 4 los cuales han estimado
la cantidad d e la informaci ón promedio que se genera en el mundo en un
año en dos hexabytes. En el mismo trabajo se nos pone de ejemplo el
hecho inquietante
media”): de 60,
en los años la evolución de común
una persona los medios
teníadeacceso
comunicación (“mass
a un promedio
de 18 estaciones de radio, cuatro canales de televisión y aproximadamente
unos 4 500 títulos de revistas. En el 2002, dispone de más de 2 400 esta-
ciones de radio, cientos de canales de televisión, 18 000 revistas y, por si
fuera poco, 20 millones de sitios en internet. Según Cornella –uno de los
mentores de la nueva era– se corre el riesgo de la “infoxicación” (término
que resulta de la unión de “intoxicación” e “información”); o sea, la imposi-
bilidad de encontra r la inf orm ación qu e se necesita po r carecer del conoci-
miento y la tecnología necesaria para obtenerla, a pesar de tener disponible
más información que nunca antes en la historia de la humanidad.
Una situación así lógicamente afecta al empresario y a los gerentes
empresariales, los cuales deben actuar en un entorno competitivo, sin la
suficiente cultura org anizativa, tecnológ ica e info rmaci onal necesaria para
propiciar que su institución progrese conjuntamente con los cambios que
se srcinan constantemente en el universo de la TI, que al parecer “siem-
pre llegan primero a las manos de los competidores”. El problema es más
agudo en el caso de países en vías de desarrollo y en particular, en las
pequeñas y medianas empresas, que por lo general son la inmensa mayo-
ría en el tejido empresarial de nuestros países.
El gerente de una empresa debe tomar deci siones e n condici ones mu y
agresivas, afectado
ción errónea, habitualmente
e scasa, por insuficiencia
en forma inadecuada, tardía, informativa
inco mpleta,(informa-
etc.) y p or
falta de tiempo. La mayor parte de sus decisiones estratégicas (introduc-
ción de nuevos productos o servicios, penetración de nuevos mercados,
etc.) las realiza en condiciones de incertidumbre, por carecer de la infor-
mación necesaria.
Sus sistemas de información, en los mejores casos, van orientados ma-
yormente a pr ocesar la inform ación q ue genera su pr opia org anización, y la
cual es adecuada solamente para la toma de decisiones operativas o a muy
corto plazo y al control: contabilidad, cobros y pagos, con trol de inv entarios,
4
A. Cornella: “Cómo sobrevi vira lainfox icación” (co nferencia).
224
control de activos fijos, nóminas y estadística de recursos humanos y otros
subsistemas análogos. 5 Sus inversiones en recursos informativos (hardware,
software básico y de aplicación, etc.) no reflejan los resultados esperados:
por ejemplo, es habitual que en los cursos impartidos por el autor donde
asisten gerentes o en consultorías realizadas, se escuchen amargas quejas
porque
que “...el
“...la sistema queno
computadora compré no me daella problema...”
me soluciona información que necesito...” o por-
Lo ciert o es que el problema informativo que acosa a nuestros gerentes
se produce porque estos no han analizado ni determinado correctamente
sus verdad eras nec esidades inform ativas, ni han diseñ ado el sistema que
realmente requieren, con énfasis en la información y el conocimiento; lo
que ha ce suponer que consider an a esos elementos co mo activos funda -
mentales de su organ ización .
La agresiva propaganda de la industria informática les hace pensar que
la instalación de una moderna red de computadoras veloces le ofrecerá la
información necesaria para dirigir. Igualmente, los productores de soft-
wareaplicaciones
con de aplicación
mules prometenas solucionar
y avanzad sus problemas
ya elaboradas. informativos
Por otra parte, se les exige
que tengan su contabilidad al día, repitiéndosele que la “...contabilidad
ayuda a la t oma de decisiones mostrando cuándo y dón d e se ha gastado el
dinero y qué obligaciones se han contraído, evaluando el desempeño e
indicando las implicaciones financieras de la selección de un plan versus
otro”. 6 Y consecuentemente, para atender el complejo problema de la in-
formática en la empresa, han creado un equipo de calificadísimos y muy
caros especialistas en informática, y han delegado en ellos todo lo relativo
a los sistemas de información de su entidad.
Pero nadie les dice que se pueden comprar computadoras, pero no la
tecnología para usar las eficientemente, pues la tecnolo gía es cono cimiento
y éste no se compra, sino que se desarrolla; nadie les dice que esa moderna
red, que tanto dine ro les ha costado, envejec erá rápidam ente, y al cabo de
tres años habrá dos generaciones más de computadoras en el mercado 7 y
5
Este tipo de sistemainformati vo es conocid o como MIS o Sistema de Información a la Dirección.
Enla escalaevolutiva de los sistemas de información se encuent ra en el nivel másbajo. Consúltese
al respecto, las obras de T. Athey y R. Zmud: Intro duction to Comput ers and Informati on Syst ems ;
G.Ent sminger: TheTao o f Objects; y el artículo de L.Blanco: “Informática y gestión.Un esquema
de lautilización de la computación en laempresa”; todos con signados enla bi bliografía.
6
Contabilidad Financiera ,p. 5.
7
La ley e nun ciada por George Moore, fu ndado r de Int el, y que expres a qu e cada 1 8 meses s e
du plica la capacidad de memoria y la rapi dez de procesamien to de las comp utadoras,to davía es
válida y parece que lo será po run buen tiem po más.
225
se verán obligados a invertir de nuevo, sin haber recuperado la inversión
anterior; nadie les dice que deben hacer un estudio minucioso de sus ver-
daderas necesidades de información antes de comprar el software que se
ofrece en el mercad o, pu es si no lo hacen as í, muy p rob ablemente adquiri-
rán algo que no les satisfará completamente; nadie les dice que la contabi-
lidad
rácter los ayudará relacionadas
estratégico en ciertas decisiones, pero muy
con el marketing poco
y la en aquellas
actividad futurade
deca-
su
entidad; y tampoco les dice nadie que los info rmáticos solos son incapaces
de diseñar el sistema informativo de la entidad, puesto que esa es una
función que rebasa sus capacidades y conocimientos. 8
Resumiendo, nuestros gerentes se encontrarán con que tienen que ad-
ministrar una “mod erna” red de computadoras , usadas generalme nte como
costosas máquinas de escribir, pero muy poco en la gestión de su entidad;
con complejos sistemas cuyas posibilidades no son explotadas completa-
mente, puesto que no se adaptan a las necesidades de sus entidades y porque
en realidad, n adie en la entidad sabe v erdaderamen te cómo hacerlo y que, a
pesar de todo, siguen
de informáticos con su contabilidad
se ve envuelto atrasada,
en el rediseño eternomientras que de
del software su aplica-
equipo
ción que utilizan, pero siempre tardíamente.
Otro problema que enfrentan muchas organizaciones empresariales, so-
bre todo en algunos países de economía centralizada, es que los sistemas de
información son impuestos por los niveles superiores y están orientados a
las requerimiento s informativos de estos, y no a las necesidades de las men-
cionadas organizaciones. En realidad, las gerencias de ese tipo de entidad
no son verdad eras gerencias, sino son mer amente un conjun to de funciona-
rios que intentan aplicar las directivas que reciben “de arriba”.
¿Qué hacer?, ¿cóm o solucionar esos prob lemas infor mativos, que como
cáncer implacable corroen a nuestras entidades, restándoles eficacia y efi-
ciencia?
La solución ya se ha mencionado explícita o implícitamente: hacer un
estudio d etallado de las verd aderas necesidades de info rmación y pro ceder
8
Napoleón decíaque la guerra erademasiado importante para dejarla en manos de los militares, sin
du da p ensando en s us impl icacion es po líti cas, económicas y sociales. Par afraseando al g ran
corsose puede decir que la “in formáticay los sist emas deinformación son demasiado importantes
para dejar los en manos de los i nform áti cos”, porq ue los sistema s de in formación so n lo s
elementos básicos para la toma de decision es y el cont rol que realizan los gerentes y t odo el
equipo de dirección de la entidad, por lo cual deben ser estos quienes particip en activamente en
la determinación de suspropias necesidades de información, facilitándoles asía los informáticos la
comprensión del problema de la gest ión de su organ ización.
226
a diseñar un sistema informativo acorde a esas necesidades, pero también
flexible y con capacidades evolutivas. Es aquí donde intervienen la AI y
sus primos, la Auditoría de Gestión, Administrativa u Operacional y el
Análisis y Diseño de Sistemas de Información y la AC, como elemento
fundamental para potenciar las fortalezas internas de la entidad.
LA SOLUCIÓN
La AI, como activid ad hu mana autónoma, se ha d esarro llado en la últi-
ma década, a partir del auge de la informatización, de las nuevas tecnolo-
gías de la información, incluyendo las redes. Como tal se define como
“...un proceso de identificación y evaluación de los recursos de informa-
ción necesarios para cumplir con los objetivos de la empresa”. 9
Otra definición la brinda Susan Henezel y nos dice que es:
[...] un proceso que analiza el ambiente informacional para identificar
qué información es requerida para garantizar las necesidades de la
información. La auditoría establece qué información es suministrada,
y analiza qué inconsistencias, duplicaciones y áreas sin información
existen. La auditoría también facilita el mapeo de los flujos de infor-
mación a través de las áreas de la organización o con su medio ambiente
y la identificación de los “cuellos de botella” e ineficiencias. 10
Esta misma autora, expresa también que la AI es “...una sistemática
evaluación del uso y los flujos de la infor mación y los recursos infor mati-
vos en genera l, para determi nar cómo están contribuyend o a los objetivos
de la organización”. 11
Similares enfoques se aprecian en otros autores y organizaciones que
se dedican a perfeccionar el empleo de la información en las entidades. 12
9
A.Cornella: “La información alimenta y ahoga” en “Infonomía.com: la empresa es información”,
Noviembre de2000. Texto distribuido como material de estudio alos alumnosde laMaestría en
Gesti ón d e la Información de la Facult ad de Econo mía de la Uni versid ad de La Habana. p. 2.
10
S.Henezel: “The Information Audit.As a First Step Towards Effective Knowledge Management:
An Opportu ni ty for th e Special Librarian”, p. 211. (Traducción del aut or.)
11
Ibíd em,p. 2 15.
12
Véase, por ejemplo, J. Buchanan: “The Information Audit.: An Integrated Strategic Approach”
en http :/ /www.st rath.ac.uk/Departam ents /I nfoStrateg y/ . Citado por B. Villán en su tes is de
Maestrí a, cons
Objetiv os ignada
de con en bibl
trol”,abril deiografí a.Además
1998, 2d a edición,consúltese el d ocuSystems
de la Information mento electró
Audit.niand
co “COBIT.
Co ntrol
Foundati on en WWW.ISACA.ORGo en research(@)isaca.org.
227
En otras palabras, la AI se ocup a de analizar las entid ades para d etermi-
nar dónde están sus déficit informativos, sus reiteraciones y ambigüedades
en la información, sus atrasos de las entregas de información y las fuentes
de errores de estas; así como las causas que engendran estas situaciones.
Implica realizar un diagnóstico de la entidad, pero alejado del simplismo
que puede
mación Ud.representar
necesita”: solamente preguntarle
La AI implica a algún
un estudio gerente:
profundo de “qué infor-de
la misión
la organización, sus objetivos estratégicos, tácticos y operativos, sus pla-
nes de trabajo y actividades, sus funciones básicas; lo cual abarca mucho
más que las opiniones de los propios gerentes y funcionarios sobre la in-
formación que necesitan. La AI requiere de un concienzudo análisis de las
necesidades informativas, para responder a preguntas que la mayoría de
los casos no pueden ser respondidas ni siquiera por esos gerentes o funcio-
narios, inmersos en una vorágine operativa de trabajo. Además, el estudio
debe orientarse también en cómo esos recursos están siendo utilizados,
cómo están incidiendo en el cumplimiento de la misión y los objetivos de
la organización.
Ese diagnóstico, ese análisis es esencial para poder pasar a una etapa
posterior de diseño (que de hecho excede los objetivos de la AI) donde se
tratará d e definir qué información necesitan para desarrollar sus procesos
de planificación, organización, toma de decisiones, control, así como sus
actividades fundamentales de producción y servicios, relaciones con los
clientes con las agencias gubernamentales y otras entidades; en qué mo-
mento necesitan esa información para poder utilizarla convenientemente y
en qué forma la requieren ; dónde la necesitan .
Como se expresó, se habla con fuerza de AI en la última década, pero
desde
cional hace mucho tiempo
ha desarrollado la Auditoría
funciones de Gestión,
similares en ciertosAdministrativa
aspectos de laugestión,
Opera-
aunq ue fue concebid a en un entorno mu y ajeno a la info rmatización integral
que caracteriza a las entidades más representativas de la actualidad.
La Auditoría de Gestión, Administrativa u Operacional se utiliza para
“...determinar qué tan bien está funcionando un departamento con relación
a los objetivos establecidos; [...]está sobre todo orientada hacia el futuro y
las mejoras que se pueden hacer. La determinación del grado hasta el cual
se seguían las políticas y procedimientos de la compañía, la evaluación de
esas políticas y procedimientos relativo a lo adecuado de su diseño para
llevar a cabo las metas de la administración y la evaluación de la calidad
228
del desempeñ o de los emp leados al realizar estas políticas y procedimientos,
se convirtió en un aspecto imp ortante d el trabajo de los auditores internos”. 13
Debe considerarse que la Auditoría de Gestión, Administrativa u Ope-
racional se concib ió en una etapa donde no existían co mputadoras (1947),
y el trabajo de las entidades se orientaba mucho a la organización adminis-
trativa
tran quey organizativa;
la misma no sin embargo,
es una los puntos
creación en de
exclusiva común con la AIdemues-
especialistas esta
turbulenta época, sino que se apoya en la experiencia de más de cinco
décadas de trabajo auditor.
También, com o se expr esó, la AI tiene much os punto s de contact o con
el análisis y diseñ o de sistemas de infor mación. El ADSI “...busca anali zar
sistemáticame nte la entrada de datos o el flujo de datos, el pro ceso o tran s-
formación de los datos, el almacenamiento de datos y la salida de informa-
ción dentro del contexto de un negocio particular. Además, el análisis y
diseño de sistemas es usado para analizar, diseñar e implementar mejoras
en el funcionamien to d e los negocios que pueden s er logradas por medio
14
del ¿Puede
uso de sistemas
haber tresdedisciplinas
información
máscomputarizados”.
interrelacionadas?
Pero se pudieran complicar las cosas si introducimos en el análisis la
Reingeniería de Procesos o de Negocios, 15 conjunto de técnicas orientadas a
mejorar radicalmente la actividad empresarial, a través de aplicar un diseño
racional y moderno en los sistemas de información en las entidades, unido,
por supuesto, a la aplicación de la informática.
Por supuesto, si no se está satisfecho con esa profusión conceptual, se
pued e añadir otro t érmino , el de Ing eniería de Negocios (Business Enginee-
ring), 16 esencialmente el diseño de actividades de negocios en firmas y
entidades análogas, con el empleo de técnicas contemporáneas de análisis
yobjetos.
diseño de sistemas de información, como la tecnología de orientación a
Pero lo importante, llámese como quiera llamársele a la actividad d e ana-
lizar las verdaderas necesidades informativas de la entidad y de proponerle
soluciones, es r ealizar el trabajo . Los gerentes necesitan qu e sus sistemas de
13
Aud itor ía , tomo II,pp. 398 -399 (Todas las citas con relación ala auditoría de gestión u operativa
están referidas a esta fuente informativa, quepor lo di fícil de comprob ar, no deja de ser vali osa.)
(N. de l A.)
14
K. E. Kendall y J. E. Kendall: Aná li si s y diseño de sist emas .
15
Cfr. D. Morris y J. Brandon: Rein gen ier ía . Có mo ap li car la con é xit o en los ne go cio s .
M. Hammer y P. Champy: Reingen iería , ambo s consignad os en la bib liog rafía.
16
Crf. D. A. Taylor: Bus in ess Eng in eerin g with Object Technol og y, John Wil ey and Sons ,1995.
229
información funcionen, pues estos son el sistema nervioso 17 de la entidad
que dirigen.
Pero, independien temente q ue el autor no comparte n ingún afán semán-
tico ni pertenece a sociedad profesional alguna, que le obligue a defender
ciertas denominaciones, continuará hablando de Auditoría de la Informa-
ción en aspecto
miento, este capítulo, en cual
sobre el su íntima relación
se tratará con la Auditoría del Conoci-
a continuación.
El “conocimiento” es un término suficientemente estudiado por discipli-
nas como la Filosofía, la Sicología y la Pedagogía, lo que hace innecesaria
su definición aquí. Solo vale la pena destacar que el conocimiento implica
un quehacer práctico. Está asociado a la solución de problemas, al “saber
qué, cóm o, por qué y cuánd o hacerlo”. El conocimi ento se di ferencia de la
infor mación en su p osibilidad inst rumental. Estudiar u n libro de metod olo-
gía de la investigación no convierte a nadie en investigador. El estudio de
un manual de management no garantiza que alguien sea un buen ejecuti-
vo.18 La práctica es la única forma de lograr conocimientos. El conocimien-
to abarca
hasta la experiencia,
el entusiasmo que sela pon
intuición, el tarea.
e en una juicio,Implica
las habilidades personales
la posibilidad y
de crear
valor, lo cual se hace muy evidente en una actividad empresarial, donde los
empleados crean conocimiento constantemente durante su trabajo.
La gestión eficiente y eficaz de una entidad en los momentos actuales
pasa por la del conocimiento. Y el conocimiento es un valor estrictamente
humano; por lo cual gestionar conocimiento implica gestionar adecuada-
mente a los trabajadores y empleados de la entidad, tesoreros del valioso
caudal de su conoc imiento privado. De sterrar el concep to de “recurs o hu-
mano” e implantar el de “capital humano” es una filosofía fundamental de
cualquier entidad. Las máqu inas se comp ran, los edificio s se construyen o
alquilan, las materias primas se adquieren, hasta los recursos financieros
pueden obtenerse p or variadas vías , cuando exis te un a buena idea empre-
sarial y el conocimiento para llevarla a cabo.
Pero para gestionar adecuadamente el conocimiento es necesario iden-
tificar dónde este se produce y por quién. Es necesario evaluarlo y deter-
minar un nivel de importancia y de influencia en la org anización. Se deben
encontrar áreas críticas por la generación de conocimiento y áreas críticas
17
El término se ha tomado prestado de Willi am Gates III,más con ocido como “Bil l”.
18
Aunque muchos especiali stasreconocid os han escrito sobre el tema, el auto r recomienda un
artículo de su autoría, “Informació n, con ocimient os y economía. Reflexiones sobreel costo y el
valor de los recursos informativo s”,consignado en la bib lio grafía.
230
por su utilización. Ambas serán b ásicas par a diseñar el sistema info rmativo
que permitirá la gestión de la entidad en su conjunto. Por ejemplo, en una
cadena de tiendas las áreas de ventas son críticas por la generación de
conocimientos: puede encontrarse aquí cuáles son las mercancías que los
clientes prefieren y cuáles no, cuándo las prefieren y por qué. En esa mis-
ma cadena,
miento, el área
a los de marketing
efectos de utilizar será crítica para lagenerado
el conocimiento utilizaciónendel
el conoci-
área de
ventas y definir adecuadas políticas de mercadeo. Un área puede ser al
mismo tiempo crítica en la generación y utilización de conocimiento. En el
ejemplo propuesto, el área de ventas generará mucho conocimiento, que
deberá utilizar para establecer sus propias políticas de merchandising .
En la determinación de esas áreas críticas de conocimiento, y del cono-
cimiento mismo, se ocupa la AC. Resulta fundamental para establecer una
política estratégica de dirección del conocimiento en la entidad.
Tanto en el caso de la AI como en el de la AC, se han desarrollado
diferentes modelos de trabajo, en los cuales se definen procedimientos,
métodos,
bajo, a losherramientas y enfoques
efectos de no extenderlocaracterísticos
excesivamente,de cada uno. En este
se presentarán dostra-
de
ellos: el COBIT y el propuesto por S. Henezel.
COBI T: UN MODELO INTE GRAL

COBIT es el nombre comercial de Objetivos de Control de las Tecno-
logías de la Información, 19 conjunto de documentos elaborados por un
conjunto de especialistas agrupados en la Information Systems Audit and
Control Foundation, organización que se orienta a apoyar el empleo ade-
cuado de elasinstituciones
empresas tecnologías relacionadas
de la información,
con esapatrocinada por poderosas
actividad. COBIT ayuda a
“salvar las brechas existentes entre riesgos de negocio, necesidades de
control y aspectos técnicos del empleo de las tecnologías de la informa-
ción”. 20 Es un estándar generalmente aplicable y aceptado para las buenas
prácticas de segu ridad y control en T ecnología de Infor mación (TI).
COBIT se apoya en el concepto de “objetivo de control”. Como tal se
conceptúa “una definición del resultado o propósito que se desea alcanzar
19
El autor tiene un a deuda q ue ha adquirid o volu ntariam ente: escribi r un trabajo m ucho más
detallado expl icando COBIT y su experiencia de aplicación, a los efectos que si rva de soporte a
un fut uro curso de posgrado so bre el tema. Loqu e se expo ndrá aquí será u n míni mo resumen.
20
Documento cit ado, p. 5.
231
implementando procedimientos de control específicos dentro de una acti-
vidad de TI”. 21
Propone un conjunt o de 34 Objetivos de Control para lograr nivele s de
excelencia y calidad en las auditorías, uno para cada uno de los Procesos
de TI, agrupados en cuatro dominios : planeación y orga nización, adquis i-
ción e impleme n tación, ent rega (de servicio ) y monitoreo.
Las actividades de planeación y organización de las Tecnologías de la
Información en la empresa abarcan los siguientes objetivos de control: 22
1. Definir un Plan Estratégico sobre la introdu cción y utilización de las TI
2. Definir la Arqui tectura de Informaci ón
3. Determinar la direcci ón tecnológ ica de ad quisición y emp leo de las TI
4. Definir la Organi zación y de las relaciones e n el entorno de las TI
5. Manejar las inv ersiones en TI
6. Comu nicar la dirección y as piraciones de la ger encia con rel ación
a las TI
7. Administrar
8. lo s recursos
Asegurar e l cumpl imientohumanos relacionado
de los requerimi entoss con l as TIrelaciona-
ex ternos
dos con las TI
9. Evaluar riesgos en la introducc ión y utilización de las TI
10. Administrar proyectos r elacionados con las TI
11. Administrar la ca lidad de la i ntroducción y u tilización de las TI
Las actividades de adquisición e implementación de las TI abarcan los
siguientes objetivos de control:
12. Identifi car solucion es integrales de TI.
13. Adquirir y mantener el software de aplic ación.
14. Desarrollar
15. Adqui rir y mant
y manener la arqui
tener tectura de ntos
los procedimie TI. rel acio nados con l as TI.
16. Instalar y acre ditar sistemas.
17. Administrar cam bios en las TI.
Las actividades de entrega y soporte de servicio consisten en:
18. Definir los niveles d e servic io a pr estar.
19. Administrar l os servicios prestados p or terceros .
20. Administrar el desem peño y la capacidad.
21
Ibídem.
22
Ibídem. p. 7. (Dentro de lo posible se ha respetado la redaccióndel d ocumento orig inal, variánd ose
éstesolamente para hacer más ent endible las expresi ones orig inales.)
232
21. Asegurar el se rvicio continuo y sistemático.
22. Garantizar la seguri dad de los s istemas.
23. Ident ificar y asignar cos tos.
24. Educa r y entre nar a los usuarios.
25. Apoyar y asistir a lo s clientes de las TI.
26.
27. Administrar lalosconfigu ración
problema de las TI.
s e incident es posibles.
28. Administrar los datos y su evoluci ón.
29. Administrar las inst alaciones.
30. Administrar la s opera ciones.
Finalmente, los objetivos de monitoreo son:
31. Monitorear los proc esos.
32. Evaluar lo adecua do del cont rol interno.
33. Obtener asegurami ento independie nte.
34. Proporc ionar audit or ías independi entes.
La objetivos
rentes Fig. 13.1 muestra un esquema de la dinámica de COBIT y sus dife-
de control.
Fig. 13. 1 C OBIT y sus objetivos de control
Una temprana adición significativa visualizada para la familia de productos

COBIT, es la presentación de las Guías Gerenciales (recomendaciones para la
dirección) que incluyen Factores Críticos de Éxito (elementos fundamentales
233
para lograr el éxito del trabajo), Indicadores Clave de Desempeño (medidas
del desarrollo del trabajo) y Medidas Comparativas (Benchmarkings).
COBIT persigue, ante todo, el éxito en los negocios, o dicho en otras
palabras, el cumplimiento satisfactorio de la misión en la entidad que se
aplica. Es un mo de lo muy complet o que debe ser analizado por cualquier
consultor
del o auditor quede
perfeccionamiento pretenda mejorarinformativos
sus procesos la gerencia empresarial
y cognitivos.a través
EL MODELO HENEZEL:
DE LOS DATOS AL CONOCIMIENTO
Susan Henezel, en documento ya citado, aborda un mo delo de auditoría
que comienza con el análisis de los datos que se generan en la entidad o en
su entorno, pero relacionados con su actividad; continúa con la auditoría
de la información, a los efectos de establecer un programa de gestión de
informaci ón y conc luye con la auditoría al conoci miento que es prod ucido
en la entidad y que resulta imprescindible en su actividad, para elaborar el
sistema estratégico de gestión de ese conocimiento.
Ese modelo consta de siete etapas y se presenta en la Fig. 13.2
Fig. 13.2. Modelo Henezel
234
La etapa 1. Planeación d e la auditor ía , se realizan las siguientes activi-
dades: Estudio y comprensión preliminar de la entidad y determinar los
objetivos de la auditoría; determinar el alcance de la auditoría y los recur-
sos que requerirá, definir los métodos, técnicas y herramientas que se uti-
lizarán; desarrollar una estrategia de comunicación entre los miembros del
equipo de auditoría
la auditoría y losundepatroci
y enco ntrar la entidad;
nadorexpresar los ble
o responsa posibles
d e la objetivos de
audit oría den-
tro de la entidad.
La etapa 2. Recolección de la información, se produce el estudio y
análisis de los procesos informativos de la entidad, recogiendo los audito-
res informaciones sobre los siguientes tipos de datos: datos relativos a la
información sobre la realización de tareas y actividades, datos sobre el
nivel crítico de los recursos informativos y datos relacionados sobre los
flujos de i nform ación.
La etapa 3. Análisis de la información , se relaciona con los d atos recolec-
tados, los cuales se deben analizar para identificar áreas de problemas sin
información (“gaps”) para su solución, informaciones duplicadas, informa-
ciones inadecuadas para solucionar las tareas y actividades y determinar
áreas donde el conocimiento crí tico se produce, d ond e se almacena y do nde
se requiere para ser utilizado. Ello implica una especie de “inventario de la
información y el conocimiento”. Deben ser detectados “cuellos de botella” e
ineficiencias informativas, sumideros de información (la información se al-
macena en cierta área, pero no se utiliza, nada “sale”), información solicita-
da y no utilizada, falta de sistematicidad en la información, etc.
La etapa 4. Evaluación de la información, implica encontrar las oportunida-
des para mejorar el suministro de información y la extensión de los servicios de
información; así como la calidad del conocimiento creado. Cada problema iden-
tificado debe tener una solución posible, la cual debe ser recomendada. Estas
soluciones deben ser realistas, logrables y manejables. Deben analizarse tam-
bién los costos que implicarán las soluciones propuestas.
La etapa 5. Presentar las recomendaciones , se refiere a comunicarse
con la gerencia de la entidad y mostrarle las deficiencias detectadas y las
recomendaciones elaboradas. Los cambios propuestos deben ser presenta-
dos de manera constru ctiva, y lograr con ello la receptividad adecuada de
la entidad. Estas r ecomend aciones se real izarán, escritas y orales, p ero de-
ben utilizarse formas más creativas, como talleres, boletines periódicos,
posters, mensajes en la intranet, etc.
La etapa 6. Implantar las recomendaciones, implica la elaboración de
un plan estratégico para solucionar los problemas detectados y facilitar los
235
necesarios cambios con un mínimo de resistencia y un máximo de apoyo.
La aplicación de las medidas previstas en ese plan debe responder a una
lógica y una racionalidad, de manera que se garantice el éxito y se dismi-
nuyan las dificultades . Esas medidas son lo que se conoce com o la “auditoría
de primera generación”.
La etapa 7. Aplicar la aud itoría como una fun ción sistemática , es en
realidad el elemento más srcinal del modelo de Henezel. Implica conti-
nuar y amplia r el trabajo, e n una forma const ante, de m anera que los pro-
cesos informativos de la entidad respondan a la lógica evolución de esta y
a los cambios del entorno que influyen sobre ella. Es lo que se conoce
como “auditoría de segunda y posteriores generaciones”. Consiste en rea-
lizar lo ya expuesto en una f orma sistemática, generaliz ador a, involucran do
a todos los factores humanos que estén relacionados con la generación y
uso de la información.
Pasar de la Auditoría de la Información a la Auditoría del Conocimien-
to, es un pro ceso sutil. La esencia de ese tránsito estriba en en contrar aque-
llas tareas que g eneran cono cimiento (“saber qué, cómo , cuándo, dónd e, y
para qué”) y el nivel de significación estratégica de ese conocimiento.
Implica encontrar dónde el conocimiento se elabora y dónde se utiliza. Se
obtiene un “mapa” d e la información formal e informal generada, trans fe-
rida y utilizada en la entidad y de las fuentes y uso del conocimiento en la
misma. Se pueden identificar así los puntos críticos con relación a la infor-
mación y el conocimiento, puntos que requerirán de gran atención por
parte de la geren cia y de s u equipo, por la impor tancia de estos.
En realidad no puede decirse que el modelo Henezel tenga un nivel
de n ovedad muy alto. U n lector median amente informa do pod rá adve rtir
que la sucesión
modelo general de
de etapas mencionadas
solución no es
de problemas, quemás que encontrarse
puede la aplicaciónendel
cualq uier texto de managem ent o d e análisis de sistemas, a la AI y la AC .
Lo importante, sin embargo, radica en enfocar a la AI como una forma
de perfeccionar la gestión de la entidad y como un tránsito necesario y
conveniente hacia la AC. Ello implica un proceso de maduración en au-
ditores y gerentes, para los cuales la identificación de la información y
del conocim iento c omo activos im porta nt es en l a entid ad, quizás tod avía
no está tan claro. 23
23
Cfr. el artícul o de L. Blanco: “Info rmación ,cono cimiento s y economía. Reflexi on es sobre el
costo y el valor d elos recurso s in formativos ”, con signado en bi bliografía.
236
PRESEN TACIÓN DE OTROS MODEL OS DE AUDIT ORÍA
DE LA INFORMACIÓ N Y DEL C ONOCIM IENTO
Existen otros modelos interesantes de AI y AC, pero su explicación con
cierto nivel de detalle extendería excesivamente este capítulo. No obstante,
resulta útil revis
el Infomap. 24 ar someramente al menos dos de el los: el mod elo ORNA y
El primero de ellos, llamado ORNA por su autor, hace énfasis en la im-
portancia del análisis de la entidad, y estudia detenidamente sus flujos de
información, dando como resultado una propuesta de política de informa-
ción.
Expresa realizar el trabajo en una serie de etapas, las cuales son:
1. Motivación de l os m iembros de la organizac ión para iniciar el traba-
jo y garantizar su éxito.
2. Elaborar un “retr ato de la organiz ación”: Definien do la misión, los
objetivos,
su Cultura su estructura, y destacando los rasgos fundamentales de
organizacional.
3. Auditor ia de Recursos Informat iv os. Conc entra r la atenció n en el
mapa info rmativo, en los flujos de infor mación, las fuentes , los tipos
de información, los procesos, y los costos.
4. Realizar el Balanc e Inform acional. Re alizar el análisis costo / bene-
ficios de los procesos informativos.
5. Elaborar, pr oponer y ej ecutar el Plan de Acción.
El modelo Infomap de Burk y Horton se concentra en la identifica-
ción, el análisis y la evaluación de los recursos de información en la
entidad. Es un mét odo muy estructurado y form al. Le presta muc ha a ten-
ción también a los costos y los beneficios. Las etapas de trabajo que
propone son:
1. Determinac ión de los ob jetivos, la organizac ión, las á reas, y el per-
sonal involucrado con la generaci ón y utilización de informaci ón.
2. Ident if icación de las entidades d e recursos d e informa ción (ERI).
Vinculación de estos a cada objetivo de la organización.
24
El autor se ha ba sado para la exposic ión d e estos d os modelos en l as notas de las clase s
impartidas por los profes ores Dr. J. García Orozco y Lic. R. Mas Camacho, du rante la Maestría
en Gesti ón de la Info rmación dela Facultad de Econ omía de la Uni versidad de La Habana; en la
tesi s d e Maestría d e B. Villán ya c it ada y en E. Orna: Information Aud iti ng , consig nada en
bibliografía.
237
3. Determina r la informa ción critica p or cada ERI.
4. Separar la i nformaci ón crítica de la accesoria.
5. Elaborar, pro poner y e jecutar el pl an de acciones.
En general los modelos expuestos pueden ser utilizados conveniente-
mente, en función del dominio que de ellos tengan los propios auditores.
No hay mo tivo para pensar q ue alguno sea definitivament e superior a otros,
aunque COBIT parece el más completo.
EL PERFECCIONAMIENTO DE LA GESTIÓN
EN LAS ORGANIZACIONES: ALGUNAS HERRAMIENTAS
Las recomendaciones que se obtienen de los procesos de AI y AC tie-
nen que ser implementadas mediante sistemas prácticos que permitan el
adecuado procesamiento y utilización de las informaciones, de manera
que se potencie la generación y aplicación de conocimientos en la entidad.
Existen algunas herramientas que propician ese procesamiento informati-
vo, las cuale s están dispon ibles en la actualidad. En tre estas se en cuentran:
• Los sistemas de bases de datos relacionales y lo s lenguajes SQL.
• Los almacenes de datos.
• Los método s de m inería de datos.
• Los proce sador es an alíticos en línea.
Veamos una pequeña reflexión sobre esos elementos.
Los sistemas de bases de datos relacionales y los lenguajes SQLsurgieron
desde los años 70, a partir de los trabajos de E. Codd, investigador de la IBM.
Estos se han convertido en el paradigma por excelencia de los sistemas aplica-
dos en las esferas de negocios, administrativos, etc. Un sistema de bases de
datos relacionales es un co njunto de archivos de información, cada uno de los
cuales tiene dos dimensiones, y un conjunto de relaciones entre ellos, de ma-
nera que se puede acceder a cualquier pieza de información en una forma
relativamente fácil.25 En esta obra ya se ha mostrado un ejemplo de esa estruc-
tura, pero ahora se presenta otro en la Fig. 13.3, donde se aprecia una base de
datos, relación o tabla bidimensional: el lector se sorprenderá de saber que se
concibe simplemente com o una tabla de do ble entrada, algo utilizado mucho
en la gestión administrativa, desde tiempos inmemoriales.
25
En esto s 32 años se ha escr ito muchísimo sob r e ese tem a. Se sug iere consul tar a J . Martín:
“Org ani zación de la s bases d eda to s”, consignado en la bib lio grafía.
238
Fig. 13.3. Ejemplo de base de datos relacional.
Obsérvese que las columnas de la tabla se encabezan con los nombres de
los campos de información, por ejemplo, la columna “Producto” encabeza
el campo donde se almacenan los nombres de cada uno de los productos.
En cada fila, también llamada “registro”, aparecen los datos combinados de
cada uno de los productos (Identificador o código del pedido, nombre del
pro ducto, precio por unidad, cantidad de unidades de prod ucto en cada pe-
dido y por ciento de descuento de cada un o).
Pero rara vez un sistema de información tiene solamente una tabla. Lo
normal es que
rrogaciones de tenga
variadomuchas,
tipo al todas interrelacionadas,
sistema. para de
Una forma gráfica permitir inte-
representar
esas interrelaci one s, se muestra en la Fig. 13.4 , don de s e muestra el esque-
ma de cada tabla y sus interrelaciones.
Fig. 13.4. Esquema de bases de datos relacionales interrelacionadas

Cada uno de los rectángulos representa una tabla o base de datos. En el
extremo superior aparece el nombre de la tabla y en el espacio de fondo
más claro los nombres de los campos. Por ejemplo, casi en el centro de la
figura se puede ver la tabla “Empleados”, compuesta por los campos “Id
empleado”, “Apellidos”, “Nombre”, “Cargo”, etc. Las líneas entre rectán-
gulos indican las relaciones entre tablas o bases de datos. Por ejemplo,
entre “Empleado” y “Pedido” hay una relación, que permite conocer qué
239
empleado de la entidad ha atendido cierto pedido. Igualmente hay una relación
entre “Pedido” y “Detalles de Pedidos”, indicando que determinados productos
están incluidos en pedidos específicos. La “M” y el “1” que hay sobre las líneas
de relación indican valores cuantitativos en esas relaciones: un empleado (1)
atiende muchos pedidos (M) y un pedido (1) incluye varios productos (M).
La los
diante interrogación a los
lenguajes de sistemas relacionales
interrogación basados endeel bases de datos
estándar SQL, se realiza me-
o “Lenguaje
de Interrogación Secuencial (Sequential Query Language)”. Ese estándar resul-
ta implementado de distinta manera por cada uno de los fabricantes de software,
pero la esencia es la misma: por ejemplo, si quisiéramos conocer los datos rela-
tivos al empleado “001564”, sería necesario utilizar la instrucción “SELECT”
(en Access y Oracle) o la instrucción DISPLAY (en Visual Fox Pro), pero ambas
son equivalentes. El empleo de SQL requiere cierto conocimiento experto. El
uso de los sistemas de bases de datos relacionales y los lenguajes SQL para
gestionar información es muy difundido (se utilizan en cada entidad, sea empre-
sarial o no), y su apoyo a la generación y uso de conocimiento pasa por la
necesidad de interrogar
Sin embargo, cuandoadecuadamente a las
los sistemas de bases
bases de de datos.
datos se tornan muy
complejos, por la cantidad de tablas o bases y de sus relaciones, y además
muy dispersos en el espacio (por ejemplo, sistemas de muchas sucursales
de una empresa, de los municipios de una provincia o de las facultades de
una universi dad gra nde), se hace muy difícil, por no d ecir impo sible, rea-
lizar un análisis integral. La solución que se ha dado a esa situación es el
llamado Almacén de datos (Data Warehouse), el cual permite tratar inte-
gralmente a esos archivos y datos diferentes. Un almacén de datos es, a la
vez, un proces o y u n produ cto de softw are, unido al con junto int egrado d e
datos de variados orígenes con el objetivo de solucionar problemas de la
grandes volúmenes
dirección de la entidad
de información.
y tomar decisiones.
Permite su
El acceso
almacén
en de
formas
datosdiversas,
maneja
cada una de ellas asociada al propio lenguaje de la entidad, de manera que
puedan obtenerse relaciones complejas entre los mismos y de esa forma
encontrar ciertas respuestas, incluso a preguntas que no se han formulado.
Un almacén de datos se orienta hacia la parte ejecutiva, directiva de la
entidad, a quien proporciona informaciones estadísticas durante períodos
de tiempo. Entre sus características se encuentran: la dimensión temporal
forma parte de sus datos, la información que almacena no es volátil, pre-
senta también información sumarizada, por lo general se orienta a determi-
nadas temáticas y la información es integrada. El éxito de un Data
Warehouse no está solamente en su construcción, sino en cómo utilizarlo
para mejorar los procesos de dirección, que incluyen, por supuesto, las
decisiones y el control, y operacionales. Construir un Data Warehouse
240
requiere la participación activa de quienes lo utilizarán y del conocimiento
de la realidad de la empresa que en ese momento y en perspectiva exista, y
debe basarse en las conclusiones de la AI y la AC. El Almacén de Datos
extrae la información operacional de las bases de datos existentes en los
sistemas de aplicación de la entidad; transforma la misma a f ormatos consis-
tentes
de los para su procesamiento
usuarios. y la prepara
Implica una carga para un análisis
de información eficiente
y múltiples p or parte
utilizaciones,
cada una de las cuales desde el punto de vista del sujeto interrogador. Gran
cantidad de reportes en papel serán reducidos o eliminados. La Fig. 13.5 26
ilustra la situación en una entidad sin y con un almacén de datos.
Existe una variante de los Almacenes de Datos, llamada Data Marts.
Son m ás pequ eños, y se utilizan sólo para un determina do num ero de usua-
rios, y en un área funcional específica de la entidad.
Fig. 13.5 Esquema de un Data Warehouse.
26
Esquema to mado d e las notas de clases imparti das por los proferores J. G arcía y R. Mas, ya
mencionada ennota 24.
241
Existen muchos sistemas disponibles en el mercado que se aplican con
éxito en esta tecn ología. Do s de los más conocidos son I nfo rmix MetaCube
(con varias versiones) y Microsoft SQL Server.
Pero el hecho de disponer de grandes volúmenes de información, re-
presentando múltiples fenómenos acaecidos a través de largos períodos de
tiempo
han , pu ede significa
desarrollado r un
técnicas retoconvencionales
poco para s u análisisque
e interrog ación
permiten . Por ello
buscar en se
esos océanos informativos, y así obtener conclusiones interesantes y mu-
chas veces, inesper adas. Esas técnicas se han agr upad o bajo el rubro g ené-
rico de Minería d e datos (Data mining o Knowledge Data Discovery) .
“ ”
Resulta interesante analizar algunas definiciones muy ilustrativas de

esta familia de técnicas de búsqueda: 27
• “...la extracción de informaci ón no trivial implícitamente desconoci -
da y potencialment e útil desde los dato s...” (W. Frawley, G. Piateisky-
Shapiro y C. Matheus).
• “...la búsque da de relaciones y patrones globales que existan en
amplias bases de datos, pero están ocultas entre la vasta cantidad de
datos...” (M. Holshemeier y A. Siebes).
• “...el proces o de extrac ción de informaci ón vál ida, previ amente des-
conocida y comprensible desde amplias bases de datos y el uso de
estas para la toma de decisiones...” (Compañía IBM).
O sea, en la miner ía de datos se realiza una exp loraci ón de los datos en
las bases de datos para encontrar ciertas regularidades interesantes y útiles
para la toma de dec isiones y el co ntrol. Dicho en otras palabras, se buscan
respuestas para preguntas que no se han hecho. El autor recuerda, por
ejemplo, una empre sa productora de licores que dedi caba muchos e sfuer-
zos y recursos a apoyar la venta de uno de sus productos, supuestamente
estrella dentro de la firma, según la opinión de todo el equipo gerencial.
Sin embargo, un análisis desprejuiciado e imaginativo de las ventas por
productos y segmentos de los clientes, demostró que el producto estrella,
en cuanto a costos, ganancia y preferencia de los clientes era otro, aparen-
temente de meno r calidad, pero paradóji camen te preferido.
El proceso de minería tiene varias etapas:
• Selección o segme ntación de la informa ción dispon ible, en funci ón
de determinado criterio.
27
Tomadas delartículo de M. Sánchez,L. González y J.O. Rodríguez: “Minería de datos”, revista
Giga, consignado en bibliog rafía.
242
• Preproce samiento o sa neamiento de los datos innec esarios.
• Transforma ción d e los datos en dependenc ia de l as operaciones de
minería que se realizarán.
• Aplicación de las diferentes técnicas de bús queda .
• Análisis, interpr etación o evaluación de la inform ación encont rada.
• Conclusiones y recomendac iones sobre la búsq ueda realizada.
Existen varios tipos de técnicas genéricas de Data Mining:
• Creación de modelos de predicción y clasificación , muy usado en
los casos de análisis histórico, para proponer modelos futuros de
comportamiento.
• Aná lisis de rela cion es, mediante los cuales se establecen ciertos
vínc ulos ent re elem entos d e las ba ses de datos. Por ejem plo, de ter-
minar qué tipo de artículo compran las personas de edades com-
pren didas entre 2 0 y 25 años de una re gión d etermin ada.
• Segmentaci ón de l a base de datos , si se quiere analizar sectores ob-
jetivo, para encontrar relaciones entre los datos (esta técnica se utili-
za antes de las dos anteriores).
• Detección de desviacion es, mediante la cual se fijan puntos extremos en
los datos y es establecen desviaciones o comportamientos anormales.
Entre las herramientas utilizadas se encuentran las técnicas de inducción
supervisada, las redes neuronales artificiales, los sistemas expertos, las téc-
nicas de descubrimiento de asociaciones y secuencias, árboles de decisión,
scoring, las de clusters y todo el arsenal de técnicas estadísticas (el análisis
detallado de cada una excede con mucho los objetivos de este trabajo).
La minería de dato s puede realizarse desde b ases de da tos oper acionales,
con modelos relacionales; o desde almacenes de datos.
Otraestécnica
siones de ande
el empleo alizar
los la inform aciónAnalíticos
Procesadores disponibleenp ar a la toma
Línea de deci-
(On Line
Analitical Processors) u OLAP.
Los OLAP son formas de tratar multidimensionalmente a bases o alma-
cenes de datos, a los efectos de buscar relaciones importantes en ellos. Es,
como su nombre lo indica, una herramienta de análisis de información, un
potente manipulador de los registros para poner de manifiesto diferentes
vínculos no evidentes.
Un ejemplo gráfico de multidimensionalidad se ofrece en las figuras 13.6,
13.7, 13.8, 13.9 y 13.10. En la Fig. 13.6 se muestra una tabla o base de datos con
información relacionada con las ventas de dos productos, cada una con datos
planificados
camente todasy reales en dos municipios
las dimensiones dados.
de esa tabla. En En
las la Fig. 13.7
figuras 13.8,se13.9
presenta gráfi-
y 13.10 se
proponen diferentes interrogaciones hechas a la base, por un supuesto OLAP.
243
Fig. 13.6 Ventas de ron en dos municipios
Fig. 13.7. Representación gráfica de la venta de ron en dos municipios
Fig. 13.8 Análisis por municipios de venta s de ron
Fig. 13. 9. Análisis de vent as de ron por m unicipios
244
Fig. 13.10. Análisis del cumplimiento del plan de ventas de ron en cada municipio
La fortaleza de un OLAP –qu izás no pueda apreciarse totalmente aquí– es
la posibilidad de efectuar diferentes análisis sólo con un movimiento de
ratón y algunos clicks, sin conocimientos especiales de programación en
SQL o de otro lenguaje y sin pedir ayuda al informático.
Una variante de los OLAPs son los Procesado res Tra nsaccio nales en
Línea (OLTP).
Otras herramientas importantes para la toma de decisiones y el control
son los Sistemas de Apoyo a las Decisiones (DSS) 28 y los Sistemas de In-
formación
Los DSSa los E jecutivos
resultaron (EIS). lógica de los primeros Sistemas de In-
la evolución
formación a la Dirección (MIS), orientados a la solución de tareas adminis-
trativas y de control: Una vez que se tenían creadas bases de datos sobre
inventarios, normas de consumo y de trabajo, facturas, clientes, cuentas de
contabilidad, etc., se comenzaron a aplicar las técnicas de la Investigación
de Operaciones (Programación Lineal, Programación Dinámica, Teoría de
Inventarios, etc.) a los efectos de permitir que los gerentes tomaran sus deci-
siones con la ayuda de las computadoras. Después los modelos de
optimización perd ieron terreno en un mun do cada vez más imp redecible, y
se incluyeron sistemas de análisis de posibilidades (“What If...”), generado-
res de escenarios,
(“Goal simuladores,
seeking”), etc. generadores
Se han elaborado DSSdedeDSS para estáticos
análisis buscar objetivos
o diná-
micos; para aplicar en situaciones estandarizadas, bien estructuradas, débil-
mente estructuradas o no estructuradas; de aplicación en situaciones de in-
certidumbre o de riesgo, de optimización, simuladores, heurísticos, etc. Las
modestas hojas de cálculo electrónico, muy utilizadas para hacer sólo tablas
“tontas” donde se cuadra horizontal y verticalmente información estática,
28
L. J.Blanco: “Sistemasdeayudaa la toma de decisiones”,revista Cibernética,Control yAutomatización;
“La automatizaciónde la información de marketing: una propuesta de solución”, revista Economía y
desarrollo ; e “Inform ática y gestió n. Un esquema de la utili zación de la computación en l a
empresa”, revista Giga; todos con signado s en la bi bliog rafía.
245
en realidad fueron concebidas y sólo alcanzan sus máximas posibilidades
utilizadas en sistemas tipo What If o Goal seeking.
Los EIS también forman parte de la dinámica evolutiva de los sistemas
informáti cos de apo yo a la direcc ión. In cluso no tienen m uy bien delimi ta-
da su fr ontera con los DSS y los MIS de actuale s genera ciones. Se orientan
a los ejecutivos,
relevante para la atoma
la gerencia. Su función
de decisiones es proporcionar
y el control, información
mediante reportes resu-
midos, gráficos , consultas ad hoc, informes por excepci ón, etc.
¿Son estas todas las herramientas disponibles para apoyar la toma de
decisiones y el control en empresas y entidades de variado tipo? Desde
luego que no, sólo son las más significativas y utilizadas.
HACIA LOS SISTEMAS EMPRESARIALES INTELIGENTES

Toda la tecnología descrita, ya disponible, debe ser utilizada para per-
feccionar
en el trabajoactuales,
las condiciones de aquellas empresas que
caracterizadas poraspiren a trabajardecon
la complejidad loséxito
pro-
cesos directivos, por la aguda competencia, por cuotas de ganancia bajas y
aún en proceso de d isminución y sobre todo, por el ampl io universo infor-
mativo en que se desenvuelven. Deben aspirar a convertir la abundancia
de datos que normalmente tienen, en una abundancia de conocimientos.
Esas entidades deben establecer estrategias coherentes de desarrollo
informativo y políticas inteligentes para la gestión del conocimiento que
generan y utilizan, tal y como se ha expuesto aquí. La AI y la AC son
elementos básicos para diseñar adecuados sistemas de información que
incluyen las herramientas aquí explicadas, en función de hacer más efi-
ciente
La ygerencia
eficaz sudebe
dirección.
aspirar a recibir la información relevante y útil para
dirigir y que en el sistema de información no circule más que esta. Las
recomendaciones de la AI y la AC pueden ayudar a ello. Pero no debe
olvidarse que la misión de la entidad y sus objetivos son los factores fun-
damental es para definir qué información e s rele vante y cuál no.
Es conveniente también crear una cultura de utilización de la informa-
ción: las redes informáticas son para compartir información, y no para
impedirlo. Sólo así los datos y la información se convertirán en una verda-
dera inteligencia que le confiera a la organización una ventaja competitiva
sobre sus competidores.
Es la mezcla de información, conocimientos, tecnología y cultura
organizacional, lo que garantizará esa ventaja para las organizaciones
inteligentes.
246
En la em presa LOVEL poseen una red de co mputa doras muy b ien
prov ista: m ás de c ien equ ipos de última genera ción, d isponib les a p rác-
tica mente todos lo s empleado s y funcio narios de la misma. Además, h an
comprado un costoso paquete computacional para automatizar todas
las funciones contables, financieras, económicas y administrativas; el
cual funciona desde hace seis meses.
Sin embar go, sigu en confrontando p roblemas con la información: po r
ejemplo, la contab ilidad se está cerrando con más de 15 días de atraso
como prome dio, cua ndo ya la infor mación q ue proporc io na n o tiene uti li-
dad algu na pa ra la toma d e decisiones y el control.
Su g erente genera l, Carlos Santan a, se quejab a am argamente de es a
situación fr ustran te co n uno d e sus amigos, Hipólito García, traba jador
de una consultora independiente en gestión, contabilidad y auditoría.
–¿Hiciste alguna auditoría de la información para detectar qu é pro-
blemas reales tenías y dónde se encontraba la causa de esos problemas,
antes de hacer es a tremenda inversión en máqu inas y so ftware? –p regun tó
Hipólito.
–¿Auditoría de la información? –preguntó Carlos–. No sé de qué me
estás hablando. Nadie me sugirió nada de eso. Simplemente me dijeron
que solucionaríamo s el p roblema con la compra de las compu tadoras y el
software.
Preguntas
1. Analice coincidenc ias y diferenci as entre la Auditor ía de la Inform a-

ción, la Auditoría de Gestión, Administrativa u Oper acional y el A ná-
lisis y Diseño de Sistemas Informativos.
2. ¿Por qué se ca racteri za gene ralmente el probl ema informati vo en las
entidades?
3. ¿En qué cons iste la Auditoría de la Información?
4. Defina l a Auditoría del Conoci miento.
5. ¿Qué rel aciones tienen ambas e ntre sí?
6. Defina las cuestiones f undamentale s de COBIT.
7. Describa la esencia del modelo H enezel.
8. ¿Qué es un sistema de base de datos rela cional?
9. ¿Para qué sirve el le nguaje SQL?
247
10. Mencione en q ué puede utilizarse un Data Warehouse .
11. En q ué consisten las técnicas de Mine ría de Datos .
12. ¿Qué respuestas pu eden dar l os OLAP?

Investigue en la institución en que trabaja o estudia si existen algunos
de los problemas informativos que se han caracterizado en este capítulo, o
en algún otro lugar de esta obr a. Detecte qué se ha hec ho para solucionar
ese problema. Inquiera, además, si se ha realizado alguna auditoría orien-
tada a la información o al conocimiento.
248
INTRODUCCIÓN
En los últimos di ez años apr oximadamente, inves tiga dores en el mun do
de la auditoría han comenzado a aplicar las técnicas de inteligencia arti-
ficial para hacer más eficiente su trabajo. Aunque todavía la gran mayo-
ría de los auditores viven ajenos a esas investigaciones, no cabe duda
que muestran un promisorio futuro para los próximos años. Debido a
ello, se ha estimado conveniente incluir este capítulo, el cual tiene como
objetivo contribuir a ampliar el horizonte de conocimientos del auditor
contemporán eo y m ostrarl e nueva s posibilidad es, métodos y herramien-
tas.
La inteligencia artificial es una de las ramas de la informática que
más desarrollo ha tenido en los últimos años. Una de sus definiciones
expresa:
“Campo de las ciencias de la computación que trata de mejorar el
desempeño de las computadoras, al dotarlas de características asocia-
das con la inteli ge ncia hum ana, como l a cap acidad d e en tend er el len-
guaje natural o de razonar bajo condiciones de incertidumbre”. 2
1
Este capít ulo ha sido desarrollado a partir d e la pon encia presentada por el auto r al congreso
cientí fico “Informáti ca 98 ” en cuyos pro ceedin gs aparece; y publicada, después , enla revista
BET-S IME, en lo s n úmeros de enero-febrero y marzo-abril d e 199 8, La Habana.
2
B. Pfaffenb erger: Que´s Comput er User’s Dicti on ar y. (Trad. del A.)
249
La inteligencia artificial se compone de varias áreas de aplicación y
desarrollo, algunas de las cuales se muestran a continuación:
• Solución genera l de proble mas (demos tración de te orema s, etc.).
• Iden tifi cación y reconoci mient o de pa trones vi sua les, auditivos y
digitales.
• Simulación d el mo vimiento hu mano.
• Análisis y síntesis d el lenguaj e natural.
• Potenciación del conoc imiento humano (si stemas b asados en el co-
nocimiento).
• Estudio del caos y los fractales.
La inteligencia artificial es un campo de investigación en plena ebulli-
ción. Constantemente están surgiendo nuevas áreas de trabajo, lo que hace
que la anteri or lista pueda envejec er rápidament e.
Sus objetivos de trabajo son los siguientes:
•• Ampliar
Solucionarlasprobl
capaci dades
emas huma nas ru tinarios en forma más eficiente
relativamente
• Solucionar probl emas en forma más económica
• Solucionar problema s en lugar es y mome ntos don de no p uede ac-
tuar el s er humano
• Mejorar las condici ones de trabajo
En los últimos años se ha aplicado con cierta intensidad en los proble-
mas económicos, contables y financieros, y en particular, en la auditoría.
SIST EMAS
(SISTEM ASBASA DOS EN EL CONOC IMIEN TO
EXPERTOS)
De todas las áreas de trabajo de la inteligencia artificial, los sistemas
basados en el cono cimiento (También llamados “S istem as Ex pertos (SE)”)
son los que más aplicaciones han encontrado en la auditoría. Las defini-
ciones más aceptadas de estos sistemas se ofrecen a continuación:
• Sistemas informáti cos des tinados a la solución d e problemas com-
plejos, cuya única otra alternativa de solución sería la aplicación del
conocimiento, la experiencia, la destreza intelectual y la intuición
del ser humano.
250
• Prog ramas que pued en acon sejar, a nalizar , categori zar, comunic ar,
consult ar, dia gno sticar, explor ar, pr edecir, formar conce ptos, i den-
tificar, interpretar, ju stificar, aprend er, dirigir, monitorear, planear, pro-
gramar, compr obar y gu iar.
• La incorpo ración a un or denador d e un compo nen te bas ado en el
conocimiento queelsesistema
de forma tal que obtienepueda
a partir
dardeconsejos
la habilidad de un experto,
inteligentes o tomar
decisiones inteligentes.
Para muchos, l a d enom inación de “s istemas exper tos” no es totalmente
correcta, pues esos sistemas se apartan de la concepción que tenemos de
un “experto” o “perito” en un área del conocimiento determinada. Algu-
nos autores y especialistas prefieren llamarles “Sistemas basados en el co-
nocimie nto”. Por e jemplo, un experto hu mano es más efi ciente en la medi-
da que acum ula con ocimientos y e xper iencias. Paradó jicam ente, un sistema
“experto” cuando acumula más “conocimientos” reduce su rapidez de
operación, por la necesidad
de conocimientos. de realizar
No obstante, en este búsquedas más amplias
libro se utilizará en su
el término base
“siste-
ma experto” por lo difundido del mismo.
Los SE han p asado por distintas etapas de desarrollo. A co ntinuación se
ofrecen las mismas:
1. Etapa de inic iación: 1965-1970. Primeros sistemas expertos.
2. Etapa de e xper imentación y de sarrollo: 1970-1980. Aparecen los
sistemas expertos más conocidos.
3. Etap a de in dustrializació n: Desde 1980. Las emp resas d e alta tec-
nología y la industria del software comienza a producirlos indus-
trialmente.
Estos sistemas tienen algunas características que merecen ser mencio-
nadas:
1. El desarrollo s e b asa en una t eoría descriptiva de la forma de res olu-
ción de los pr oblemas por parte de los exp ertos humanos.
2. El foco de des arr ollo es una representación de la experienci a, esto
es, el conocimiento adquirido por medio de la práctica y el estudio.
Las funciones que un sistema experto debe realizar son:
• Solucionar pr oblemas muy difíciles en for ma similar o mejor que e l
ser humano.
251
• Razonar heurís ticamente.
• Interactuar efi cazmente y en lenguaje natural con l as personas.
• Manipular descr ipciones simbólicas y razona r sobre el las.
• Contemplar hipótesis alternativas.
• Explicar por qué pl antean sus pregunt as.
• Justificar y explicar sus conclusiones.
Para que los sistemas expertos sean aceptados:
• Deben ser út iles.
• Deben p oder usarse.
• Deben ser educ ativos.
• Deben ser cap aces de explicar sus pr op ios consejos.
• Deben ser capa ces de responder a pre guntas s encillas.
• Deben incor porar nuevo conoc imiento cuando sea necesario.
• Deben poder ser mod ific ados fácilmente.
La facilidad o medio de explicación de un Sistema Experto describe el
razonamiento del sistema para el usuario.
Es una de sus diferencias fundamentales con el software tradicional.
La importancia de involucrar al usuario y de acompañar a los sistemas
exper tos con medios de explicaci ón, a umen ta según aumentan los siguientes
factores:
• La proba bilidad de t ener resultados incorr ectos.
• El costo de e star errado.
• El deseo de transfer ir al usuario la pericia del sistema.
La explicación dentro del SE tiene las siguientes funciones:
1.
2. Ayuda en la depura
Infor mación ción sobre
a usuarios del s istema.
el status del sistema.
3. Increment o d e la co nfianza del usu ario en el sistema (y en su a cep-
tación).
4. Clarificación de los términos y conceptos emple ado s por el sistema.
5. Increme nto del nivel personal de pe ricia del usuario.
Para que cualquier forma de explicación sea efectiva, debe existir una
infraestru ctura pa ra las expl icaciones , que sea mutuamente comprendi-
da, tanto por el usuario como por el sistema.
La infraestructura incluye elementos tales como un entendimiento del
paradigma de inferencia empleado por el sistema y una comprensión del
vocabulario del dominio específico utilizado en las explicaciones.
252
Las explicaciones más comunes son:
• ¿Por qué...? (preguntas): Se utiliza por el usua rio cuand o el sistema
le hace alguna pregunta. Implica que el sistema explique la razón
por la cual ha p reguntado al go.
• ¿Po r qué...? (respuesta s): Se utiliza por el usuario cuando el sistema
le ha dado una respuesta. Implica que el sistema explique cuáles fue-
ron las premisas que utilizó para llegar a una conclusión determinada.
• ¿Cómo...?: Se utiliza por el usuario cuando desea una explicación
del procedimiento seguido por el sistema para llegar a una determi-
nada conclusión. Implica una explicación por parte del sistema del
proceso seguido, tratando así de fundamentar la razonabilidad de la
conclusión.
Las ventajas de la utilización de los sistemas expertos son:
1. Mejoras en la product iv idad d e los usuarios.
2. Conservac
3. Mejora de lión y organiza
aprendi zaje y ción de conocimie
la comprens ión. nto s important es.
4. Posibilidad de us ar personal no espec ializado para resolver proble-
mas de expertos.
5. Obtención de soluciones más rápidas.
6. Obtención de soluciones más fiables.
7. Reducción de c ostos.
8. Eliminación d e operac iones incómodas o monótonas .
9. Acceso d el co nocimiento a poblac iones más amplias.
10. Posibilidades de trabajar en condici ones agresi va s o no agradable s
para el ser humano.
Sus desventajas o limitaciones son:
1. Complejidad en l a extracción de los conocimie ntos de los expertos
humanos.
2. Comple jidad e n la repres entación del conoci miento.
3. Incapaci dad para res olver prob lemas cuando tiene conocimie nto in-
completo.
4. Mala adaptación de las estrategias.
5. Duración del des arrollo.
6. Campo de aplicaciones restringido.
7. Poca utilizació n de la analogí a como método de inferencia.
253
Cada sistema experto puede tener su organización particular, pero la
arquitectura más general se muestra a continuación:
Fi g. 14.1. Arquitectura de un sistem a experto

El conocimient o puede ser públic o o privado ( Ver tabla 14.1)
Tabla 14.1
Está compuesto de los siguientes elementos:

• Hechos: “Bolivia es un país”.
• Regla s de pro cedimiento: “Verificar el movimiento vehicular antes
de entrar en una avenida”.
• Reg las heurística s: “Es mejor intentar un aterrizaje de emergencia en
condiciones controladas, que volar en condiciones desconocidas”.
254
El conocimie nto pr ivado p or lo general es poseído p o r los expertos . Un
experto es la persona que posee un modelo conceptual general del área
específica y un esquema global para hallar una solución a un problema o
dificultad. Conoce “cómo” solucionar los problemas. Posee también co-
nocimie nto públi co, pero el verdaderamente ú til es el privado.
El conocimiento puede representarse de las siguientes formas:
• Lengu aje natural conv encional: Ambiguo, muy rico y amplio.
• Estruc tu ras f icher o-regis tr o conven ciona les: Muy organizadas y
estructuradas. Propias para datos.
• Lengu ajes de lóg ica formal: Cálculo de predicados, lógica propo-
sicional.
• Reglas de pro ducción: SI....ENTONCES.....
• Armaduras (Frames): Todos los asertos de una en tidad p articular es-
tán agrupados juntos.
• Guiones (Sc ripts): Descripción de todos los procedimientos para lle-
gar a una solución.
• Enfoque func ional: El universo del discurso consta de “ entidades” y
“funciones” interrelacionadas.
De esas formas, la más común en los SE son las reglas de producción.
Una regla de producción tiene la siguiente forma:
S I <cond ición > E NTONCE S <acción 1> E N CASO CONTRARIO <acción 2>
Relación
elementose ntre dos
m ediante Ejecutar en caso d e
que la condición Ejecutar e n caso d e
que la condición
signos de relación: sea verdadera sea falsa.
=, <>, <, >, <=, >=,
AND, OR, NOT,
y sus combinaciones.
255
Un ejemplo de reglas de producción se muestra en la Fig. 14.2.
PAGO DEL CHEQUE PERMITIDO

SI el cheque es del b anco
Y el receptor ha sido identificado
Y
Y la
lasfirma es autorizada
cantidades concuerdan
Y hay saldo suficiente
EL RECEP TOR H A SIDO IDEN TIFICADO
SI el cheque es al portador
O la firma del receptor ha sido comprobada
HAY SALDO SUFICIENTE
SI el saldo es mayor que el importe
O el descubierto se ha autorizado
EL DES CUBIERTO HA SIDO AUTO RIZADO
SI el impor te del saldo es mayo r que el límite del des-
cubierto
Fig. 14.2. Ejemplo de reglas de producción

En los Sistemas expertos, uno de sus elementos fundamentales es el
Motor de Inferencia s. Este es el comp onen te que dirige y contro la la imple-
mentación del conocimiento.
Su estrategia de control determina cómo se examinarán las reglas en la
base de conocimientos.
Las estrategias de control más comunes son:
• Encadenamiento ha cia atrás, regresivo, retroencad enamiento o back-
chaining.
• Encadenamiento progr esivo, frontal hacia adelante o forw ard chaining.
El primero se caracteriza por:
• Se pre supon e la prueba de una hi pótesis.
• Se comienza por l as reglas que suponen la s conclusiones del sistema
y se retrocede en el árbol de reglas.
• Cuando se prue ba la hipót esis, el trabajo ha concl uido.
• Si no puede probarse e sa hipótesis, se asume que es falsa y pasa a
probarse otra hipótesis.
256
En el segundo:
• El razonamiento es ascendente.
• Se analizan las condic iones conoci das (hechos , pr oposiciones) y se
avanza en la base de conocimientos probando cada regla.
• El proceso conti n úa hasta que no sea posible prob ar más reglas. En
ese momento el proceso concluye y se ofrecen los resultados.
Los restantes módulos de la arquitectura mencionada, y sus funciones son:
• Módulo de interrog ació n al sistema expert o:
 Comunicación bidireccional.
 Descripción del problema por parte del usuario en lenguaje
natural.
 Explicación de sus conclusiones al usuar io. Justificación (cómo
lo hizo) y Explicación (por qué lo hizo).
 Amistoso.
• Módu lo de adquisició n del co nocimiento :

 Permiten crear y enriquecer la base de conocimientos.
 Comunicación con el experto.
El sistema experto puede utilizarse para los usuarios siguientes:

• Cliente: Utilizador del Sistema Experto para solucionar problemas
concretos.
• Alumno: Alguien que estudia o se entrena con la ayuda del Sistema
Experto.
El sistema experto se apoya, a su vez, en el trabajo de los siguientes
expertos humanos:
• Tutor: Persona que aporta, enriquece o modifica el conocimiento
del sistema experto.
• Verificador: Persona q ue va lida la ejecución o activid ad del sistema
experto.
Los tipos de sistemas expertos más comunes son:
• Asistente: Pequeño. Basado en Pcs. Funciones básicas de asesoría.
• Colega: Más desarrollado. Responsabilidades mayores. Realiza la
atención directa de algún problema.
• Experto: Mayor. Más capacidad de trabajo y conocimientos. Cerca-
no al desempeño de un experto humano.
257
Su dominio de trabajo es relativamente limitado, especializado y ho-
mogéneo.
Las herramientas de trabajo más comunes son:
1. Lenguaj es de programa ción convenci onales.
2. Prolog,
Lenguajes de Modu
Lisp, prog ramación
la. espec ializados en Intel ig encia Artificial :
3. Lenguaj es de programac ió n orient ados a obje to : C++, Smalltalk.
4. Shells: Art, Crystal, Exsys, Nexpert object, Ari es, Vp-Exp ert.
APLI CAC IONE S DE LOS SISTEM AS EXPERTOS

EN LA AUDITORÍ A
Son muy conocidas en el mun do las aplicaciones econó micas, financie-

ras y contables de los sistemas expertos. Se dedican con mucho éxito a la
planificación financiera,
de las oportunidades la evaluación
de negocios, de proyectos
la colocación de inversión,
de capital, el análisis
el asesoramiento
fiscal, la planificación de las jubilaciones, la evaluación de las peticiones de
créditos, etc.
Por ejemplo, el sistema GEF 3 eva lúa una empresa a parti r de la in for-
mación de sus estados financieros, y ofrece sus resultados en lenguaje
natural. Puede ser un excelente auxiliar de directivos empresariales que
no tengan u n conocimie nto ampli o de la contab ilidad y las f inanzas e m-
presariales. Fue el primer sistema experto que se hizo en Cuba para el
área de la gestión y las finanzas empresariales, al menos que se haya
documentado.
A partir de esas ex periencias iniciales, se continuar on en la Facultad de
Economía de la Universidad de La Habana, las investigaciones sobre la
aplicación de los sistemas exper tos a l a contabili dad, las finan zas y la ges-
tión empresaria l, ampliándo se también a la llamada Audi toría Infor mática,
área que cubrimos sistemáticamente, tanto en docencia 4 como en investi-
gaciones y servicios.
3
Elaborado en 199 5, por el ho y licenciado E. Rodrígu ez, como trabajo de di ploma, bajo la tu toría
del autor.
4
El aut or imparte tod os los años el curso de pos grado “Aud itoría a sistemas informáticos”, ya con
varias edi ciones,en el cual, por supuesto, se incluyen alg unas de las idea s qu ese abord an en este
libro.
258
Como resultado d e esas investigaciones, se han encontrado en la literatu-
ra disponible, algunos sistemas expertos d e aplicación directa en la auditoría.
A continuación la tabla 14.2 nos presenta algunos de estos sistemas.
Tabla 14.2
259
La aplicación de los sistemas expertos en la auditoría, presenta una
serie de ventajas:
• Creación de la de mand a para audi tar nueva informaci ón, para brin-
dar nuevos servicios de auditoría.
• Generalización a todos los auditores el conoci mient o expert o, la es-
pecialización y la experiencia de auditores más conocedores.
• Incremento d e la produ ctividad en lo s auditores.
• Reducción de l os costos de la auditoría.
• Mejora de la ca lidad del servicio d e auditoría.
• Aumento de la rapidez en la toma de decisiones.
• Disminuc ión de los errores por fati ga y operac io nes repetitivas.
• Ident ificación d e problem as potenciales en las áreas a auditar.
• Conservación y mejor utilización del conocimie nto expert o.
• Segurida d del equ ipo de a uditores ante la pote ncial posibilidad de
que alguno de los miembros deje de serlo.
También se presentan algunos obstáculos y desventajas potenciales:

• Alto costo de desarroll o d e los sistemas expert os. La tendenci a es a
disminuir, al disponerse de herramientas de desarrollo más eficien-
tes.
• Problemas legales, ante fallos de audit oría provoc ados por s istemas
expertos.
• Problemas con la adqui sición del c onoci miento.
• Barreras sicológicas por part e de los audi tores.
• Posible abandon o d el juicio hum ano.
• Abuso o mala interpret ación de las sugerenc ias de estos sistemas.
• Aplicación en l as fases de investigación y conclusiones preliminares
del trabajo.
No obstante, el balance es positivo. Además la tendencia mundial hace
ver que este tipo de herramientas tendrá un espacio cada vez mayor en el
arsenal del auditor.
UNA PROPUESTA DE APLICACIÓN

Una aplicación muy promisoria de los sistemas expertos sería el apoyo
de los trabajos de auditoría en las áreas de proceso automatizado de datos,
en lo referido a la evaluación de la seguridad de los recursos informativos
y la elaboración de los planes de contingencia.
260
El sistema que se e laboraría pod ría constar de los sigu ientes subsistemas,
como mínimo:
1. Auditoría del control interno. Este subsistema tendría como objetivo
comprob ar los mét odos y procedimient os de control interno en enti da-
des con centros y áreas de pro cesamiento automatizad o de datos. Cons-
taría de las siguientes tareas:
• Plani ficación.
• Organización y adm inistración.
 Personal.
 Estructura y organización.
 Relaciones con los usuarios.
• Explotación.
 Planificación.
 Personal.

 Gestión.
Documentación.
• Desarrollo de s istemas.
2. Auditoría del e nto rno o perativo. Este subsistema conce ntraría su activi-
dad en la valoración de los controles internos de las áreas de procesa-
miento de datos y los sistemas informáticos en explotación. Es un
subsistema muy importante en el proceso de auditoría. Se ocuparía de:
• Software.
 Software del sistema y utilidades.
 Ficheros y programas en explotación.
 Paquetes de aplicación.
 Sistemas gestores de bases de datos.
 Controles de acceso.
 Políticas de copias.
• Hardware.
 Locales: Emplazamiento, acondicionamiento y acceso.
 Protección de da tos en memoria.
 Soportes de información.
• Calidad del software.

 Factores de la calidad: Características operacionales, revisión,
entrega.
261
 Métricas de calidad utilizadas.
 Garantía de calid ad: Metodo logías utilizadas, r evisiones técni-
cas, pruebas, control de cambios, mediciones, registro y reali-
zación de informes.
3. Planes de contingencia y seguridad informática. El objetivo de este
subsistema sería evaluar los niveles de seguridad en los recursos informa-
tivos, las medidas de garantía de esa seguridad y los planes de contingen-
cia. Podría constar de las siguientes tareas:
• Procedimientos orga n izativos y act ivos.
• Docume ntación.
• Preparación del pe rsonal.
El sistema debería tener una estructura modular que permita agregar
otras funciones en la medida que sea necesario y posible.
Un ejemplo de las posibles reglas de producción se ofrece en la Fig. 14.3
... SI existe un estudio de las necesidades de hardware y software del

departamento informático ENTONCES El Dpto. Informático no
necesita elaborar un estudio de las necesidades de hardware y soft-
ware a lar go plazo.
... SI La empresa puede tener dificultades en la dirección por carecer
de las informaciones necesarias a largo plazo Y los Dptos. Usua-
rios pueden tener dificultades en la dirección a largo plazo por care-
cer de las informaciones necesarias O El Dpto. Informático debe
cotejar sus necesidades con los planes de la empresa ENTONCES
La función informáti ca no pod rá solucionar ad ecuadamen te los pr o-
blemas informativos de la empresa.
Fig. 14.3. Ejemplo de reglas de producción de aplicación e la auditoría
LAS REDES NEURONALES ARTIFICIALES

Es recono cido que una de las dificultades de utilizar sistemas expertos,
es encontrar y org anizar el conocimie nto humano para incorporarlo a s us
bases de cono cimie nto. Las causas son v ariadas. Por e jemplo, muchos peri-
tos en alguna rama del conocimiento no logran expresar organizadamente
su saber práctico o no desean hacerlo, para proteger sus ventajas competiti-
vas, por lo que en ocasiones la base de conocimientos de algunos sistemas
262
expertos no logran la masa crítica de reglas de producción (de conoci-
mientos prácticos) que permita el empleo verdaderamente útil de dichos
sistemas.
En esos casos una alternativa a valorar es el empleo d e redes neu ron ales
artificiales (RNA) 5, las cuales convenientemente diseñadas y entrenadas,
pued en realizar su trabajo con resultados simil ares o mej ores que los siste-
mas expertos.
Sin querer agotar el tema, el autor describirá su experiencia 6 en el caso
de la elaboración de una red neuronal basado en el paradigma 7 BMLP o
“Red multicapa de propagación hacia atrás”, para evaluar el control inter-
no de una entidad.
EL PARA DIGMA BM LP Y SU EMPLEO COMO BA SE

DE UNA R ED NEURONAL DE U TILIZACIÓN
EN LA AUDITORÍA
El BMLP presenta una excelente capacidad de evaluación y clasificación
de cualquier situación. Ello lo hace ideal para solucionar el problema de la
evaluación del control interno de una entidad, pues consiste precisamente
en un problema de clasificación del sistema, a partir de ciertos hechos, opi-
niones externas y observación de la realidad. Dicho de otra forma, es un
problema que implica evaluar una situación dada y tras ello, proponer una
solución que presupone clasificar el resultado entre varios posibles. Este es
un problema que puede solucionar perfectamente una red basada en dicho
paradigma.
El BMLP
puede trabajarsupera también a los
satisfactoriamente sistemas
sobre expertosdeenentrada
información el hecho
condecierto
que
nivel de “ruido”: por ejemplo, existencia de preguntas de los cuestionarios
5
Al igual que en el caso de l os si stemas ex pertos, las redes neuronales arti ficiales han generado
muchas investigaciones y publicacio nes. Parala ini ciación al tema puede consultarse el excelente
li bro de José Ramón Hilera González: Redes neu ro na les arti ficial es : fu nda ment os, mod elos y
aplicaciones , Editori al RA-MA, Madrid, 1995.
6
Publicada en forma de artículo como “Las redes neuronales artificiales enel trabajo de aud itoría”,
en la revista Giga , no. 3 de 2004, La Habana.
7
Como seg uramente sabe el lector info rmado, exist en casi doscient os paradig mas de red,
perfectamente i dent ificados y con sus características definidas. Est udi arlos todo s afondo puede
represent armuchos añosde t rabajo.
263
que no se respondan o que se hagan incorrectamente por motivos inten-
cionales o no. 8 Ambos casos pueden ser catalogados como “ruido” 9 en el
argot de los especialistas que trabajan con redes neuronales.
El BMLP tiene una capa de neuronas de entrada, una capa de salida y
una o varias internas. En el caso que se describe, el diseño de la arquitec-
tura de la RNA tiene tres capas de neuronas:
• La capa de entrada de informa ción, compue sta por una neur ona por
cada pregunta de los cuestionarios y por cada cuestión observada.
Los valores que recibía cada neurona eran los siguientes: “1”, en el
caso de que la pregunta se respondiera afirmativamente (por ejem-
plo: “Exis te sepa ración entre la fu nción de prepara ción de la nó mina
de salarios y la p reparaci ón del cheque para el pa go de dicha nómi-
na”); “0” para el caso de respuesta negativa (“No Existe separación
entre la función de preparación de la nómina de salarios y la prepa-
ración del cheque para el pago de dicha nó mina”) y “-1” p ara el caso
de
otrarespuesta
razón). improcedente (No se prepara la nómina en la entidad u
• La capa de s alida, responsable de emitir los criteri os eval uativos so-
bre el control i n terno d e la entidad, compuest a po r una neuron a por
cada una de las categorías evaluativas (por ejemplo, “Sistema de
control int erno r obusto” o “Si stema de control intern o con debilida-
des. Es necesario aumentar las pruebas sustantivas a la información
que procesa”). Cada neurona responsable de una categoría emite
como salida un valor que se mueve entre “0” y “1”: Si adopta el
valor “0” o alguno que tendiera al mismo ostensiblemente, esa cate-
goría no es tomada como conclusiva. Pero si el valor de salida era
“1” o cercano al mismo, la con clusión se asocia con esa categoría. A
partir de esos valores de salida de las neuronas, se elaboró un senci-
llo interfaz convirtiendo dichos valores en lenguaje natural, mucho
más claro para el ser humano.
• La capa interm edia. En el caso des crito se e xperi mentó c on una
capa y con dos, pe ro los r esulta d os m ejor es f uero n lo grad os p or
una capa. La cantidad de neuronas en la capa se obtuvo a partir
8
No esraro quealgu nos funci onarios s umin istren a los audi tores información incorrecta en las
entrevistas.
9
El “ruid o” es una se ñal que entr a al sistema y que p or su contenido y form a puede i nfluir
negativamente en la activid ad de este, debido a qu e disto rsiona la verdadera i nformación .
264
de la aplicación de una sencilla regla que dice que el número estándar de
neuronas en capas ocultas es igual a M/2N < n < 2M/N, donde:
 M: Es el nú mero de ejemplos con qu e se va a en trenar la red.
 N: Es el número de unidades de entrada.
 n: Es el núm ero de neur onas que se van a situar en capas inter-
medias.
La figura 14.4 muestra un esquema de la arquitectura de la BMLP.
Fig. 14.4. Esquema de la arquitectura de una BMLP

Como se aprecia en la Fig. 14.4, las líneas que van de la capa de entrad a
a la intermed ia y de ahí a la de salida rep resenta la información que generan
las neuronas cuando se activan. Es la información que procesa el resultado
del trabajo de la red, y la que apreciará el usuario al concluirse. Las líneas
que van en sentido inverso, de la capa de salida a la intermedia y a la de
salida, representan información
nar progresivamente de la
el trabajo de retroalimentación, y posibilita
red (su “aprendizaje”). 10 perfeccio-
La función de activación que se utilizó fue la conocida sigmoide, inte-
grándo la entre -1 y 1, para lograr val ores conti nuos de s alida en los proce-
sos de activación.
El proceso de entrenamiento de la red neuronal aproximó considera-
blemente los valores de salida de las neuronas a “1” y “0”, lo que mostró
que la red asimiló adecuadamente su entrenamiento.
10
Lamentablemente eneste trabajono puededetallarse cómose elaboran unas y otras informaciones
en la red, pues ell o se refiere a la tecnolo gía básica delas redesneuron ales artificiales. Los textos
mencio nados b rin dan in formación al respecto.Además, en la revista Giga pueden encontrarse
artículos referidos al t ema.
265
Se ha elaborado un prototi po para experimenta r su di seño, medi ante un
excelente simulador de redes neuronales que se tuvo disponible. 11
Los resultados fueron muy promisorios: la red evaluó adecuadamente
los casos que se le alimentaron, procesando resultados similares a los de
sistemas expertos con funciones similares. Cuando se intentó confundirla
introdu ciendo
erróneas), “ruidode
fue capaz s” dar
en las preg untas (pregun
evaluaciones tasasimilando
correctas sin respondhasta
er, respues
el 10-tas
12% de ruidos en las informaciones de entrada.
La tecnología de las RNA ya ha alcanzado una madurez en su desarro-
llo. Su empleo ha pasado a ser problema tecnológico y no científico: solo
resta solucionar problemas de amigabilidad entre el hombre y la máquina,
difundir sus ventajas mediante cursos, conferencias, etc. y demostrar sus
ventajas en la prác tica, para vencer la desconfianza y el temor ante lo nue-
vo que presentan muchos especialistas.
Con ellas se puede enriquecer mucho el arsenal de las TAAC para el
auditor contemporáneo en cualquiera de las modalidades de auditoría a
que se dedique.
CONCLUSIONES
La inteligencia art ificial ha dejado de ser un feu do de científicos y aca-

démicos, para entrar de lleno en el ámbito de la industria del software. El
mercado de productos de inteligencia artificial en los Estados Unidos se
triplica cada dos años. Similarmente sucede en países de la Unión Euro-
pea. En ese mercado los productos para aplicaciones en la auditoría ocu-
pan progresivamente un lugar cada vez más importante. Esas aplicaciones
se concentran fundamentalmente en los sistemas expertos. Sin embargo,
otras aplicaciones de la inteligencia artificial, como las redes neuronales
artificiales, muestran excelentes posibilidades de ser utilizados en la
auditoría, por su capacidad de diagnóstico.
Se requerirá, sin embargo, que la cultur a de trabajo del auditor le permita
aceptar productos tan revolucionarios, al menos en su esfera. Deberá com-
prender que el empleo de un sistema experto no implica la suplantación de
su persona por una computadora, sino todo lo contrario: la máquina, pero
sobre todo el software experto, complementará y ampliará sus capacidades,
11
J.I. Romero: “Simulado r de redes neuron ales artificiales”, trab ajo de tesis cuy a tut orí aestuvo a
cargo de F. Mesa, Universidad de Cádiz, 199 4.
266
permitiéndole la liberación de las funciones intelectuales más bajas y sim-
ples del auditor, brindándole diagnósticos preliminares y propiciándole que
se concentre en las evaluacio nes finales y esenciales, aquellas d onde ningún
hom bre inteligente y culto pod rá ser sustituido por máqu ina alguna.
Es de suponer que en los primeros años del próximo siglo este tipo de
herramienta
como hoy seseaceptan
torne imprescindible
los programaspara los auditores.
de auditoría Será aceptada, tal y
más clásicos.

Pedro, auditor de una consultora internacional muy grande y avanza-
da tecnológicame nt e, se encuentr a con un antiguo amig o, Miguel, auditor
también pero de un departamento interno de una empresa nacional.
Después de la típica conversación inicial, los temas se encauzan por la
actividad profesional, y Pedro cuen ta a Miguel qu e están utilizan do sistemas
expertos y redes neuronales para evaluar el control interno de la firmas a
las que realizan auditorías financieras, de man era de decidir cuán tas y qué
tipos de pruebas sustantivas harán antes de certificar los estados financie-
ros.
Miguel, un poco e scéptico ante tecnologías que no conoce, le dice:
–Compadre, esas t écnicas podrás aplicarlas en tu transnacional, pero
en mi empresa son imp osibles de u tilizar.
–¿Pero, por qu é d ices eso? –le pregun ta Pedro–. En realidad, casi no
te enteras de có mo traba jan, pues l o que usas son pro gramas muy amiga-
bles, y sólo tienes que responder a las preguntas que te hacen.
–¿Y dónde queda la creatividad de los auditores? –se defiende Miguel.
–S i tú su pie ras, q ue e sos pr ogra mas te libera n d e m uch as tare as
intrascendentes, y te dejan el suficiente tiempo libre como para que pue-
das pen sar en los v erda deros problemas. O sea, q ue te p ermiten ser verda -
deramente creativo.
–Mira, vamos a to marnos unas cervecitas y no me h ables más de esas
cosas. Que parecen de ciencia ficción.
Preguntas
1. ¿En qué consi ste la in teligencia artificial?

2. Mencione las principa les partes en qu e se divide.
3. ¿Cuáles son sus objetivos?
267
4. ¿Qué son lo s sistemas de razonam iento basa dos en reg las de pro-
ducción o en el conocimiento? ¿Tiene diferencias con los sistemas
expertos?
5. ¿Qué funciones puede rea lizar un sistema expe rto?
6. ¿Cuáles son sus v entajas de aplicación? ¿Y cuáles son sus desventa-
7. jas?
Mencione las partes principal es de la arquite ctura de un sistema ex-
perto.
8. ¿En qué cons iste la b ase de conocimi entos?
9. ¿Qué funci ón desempeña el motor de inferencias?
10. En el marco de lo s sistemas expertos , diga cómo se puede repres en-
tar al conocimiento.
11. ¿Qué cosa es un a regla de producción? ¿Cómo se repres enta?
12. Diga los ti po s más aceptados de si stemas expertos .
13. ¿Cómo p udieran u tilizarse los sistemas expertos en la auditoría?
14. ¿En qu é consist en las redes neuronale s artificiales?
15.
16. ¿Son unaposibi
¿Existen alter nativa
lidadesa los sistemas esas
de emplear experredes
tos? a¿Por qué?
la auditoría?
Pr ob lemas d e i nves t igaci ón 12

Haga una búsqueda en alguna biblioteca o en internet, trat ando de en-
contrar reportes sobre aplicaciones de los sistemas expertos o de las redes
neur onales art ificiales a la auditoría. Si es po sible, baje softwa re especiali-
zado para su aplicación, y estudie cómo hacerlo.
268
ARBONA, S. Y D. M ATOS: “Llaves de pro tección”, revis ta PC WORLD España,
no. 115, noviembre de 1995.
ATHEY , T. Y R. Z MUD: Introduction to Computers and Informa tion Systems,
2da. ed., Scott, Foreman and Company, 1988.
Auditoría. Libro de texto utilizado en la Facultad de Contabilidad y Finan-
zas de la Universidad de La Habana, [s.n], [s.a].
BERTALANFY, L. V.: “Historia y de sarrollo de la Teoría Gener al de Sistemas”,
en Temas 1992.
Posgrado, selectos 1 , Universidad del Valle de México, Dirección de
BIDOT , J.: “Panorámica de los programas malignos”, revista Audito ría y

Control, no. 11 y 12, 2004.
____ ____ ____ ____ : “¡Hoax! La plaga d e los virus místicos”, r evista Giga ,
no. 2, La Ha bana, 1999.
BLANCO, L. J.: “La auditoría de los sistemas automatizados: una introduc-
ción a su est ud io”, revist a Economía y Desarrollo , no. 67, La Habana,
1982.
________________: “Sistemas
Cibernética, Contro de ayuda a la, no.
l y Automatización toma1, de
La decisiones”,
Habana, 1989.revista
269
_____ ___ ___ _____ : “Aplicaciones de la inteligencia artifi cial a la auditoría
informática”, revista BET-SIME, enero-febrero y marzo-abril, La Ha-
bana, 1998.
________________: Auditoría informática para el nuevo milenio , Ed. Edu-
cación y Cultura, Cochabamba, 2000.
________________: “Informática y gestión. Un esquema de la utilización
de la computación en la empresa”, revista Giga , no. 1, La Haban a, 2000.
____ ____ ____ ____ : “La auditoría informáti ca en el añ o 2000, en N. M on-
tes, Sistemas contables , Ed. Educaci ón y Cultu ra, Cochabamba, 2000.
____ ____ ____ ____ : “Información, conocimie ntos y ec onom ía. Reflexio-
nes sobre el costo y el valor de los recursos informativos”, revista
Economía y Desarrollo , no. 2, La Habana, 2001.
________ __ ______: “La auditoría in formát ica al comienzo del tercer
milenio”, revista Economía y Desarrollo , no. 1, La H abana , 2001.
________________: “La automatización de la información de marketing:
una propuesta de solución”, revista Economía y desarrollo, no. 3/4,
La Habana.
________________: Auditoría y siste mas informáticos, Latina Editores,
Oruro, Bolivia, 2001.
________________: E. I. G UT SZTAT: Sistemas informáticos. Teoría, méto-
dos de elaboración, técnicas, herramientas , 2 t., Ed. ENPES, La Ha-
bana, 1991.
LANES
B , J.: Diccionario de té rminos contables, CECSA, 1973.
BOLAÑOS, J.: “Cortafuegos: una combinación de extintores y bomberos”,
revista GIGA , no. 2. La H abana , 1999.
BUSTAMANTE, E.: “¿Está usted protegido?”, revista GIGA, no. 3, La Habana, 1998.
CARREÑO, J. M.: “Auditoría de aplicaciones en funcionamiento ”, Primer Con-
greso Nacional de Auditoría en Sistemas Computarizados, Bogotá.
COIRA, J.: “Palabras claves de única vez”, revistaGIGA, no. 2, La Habana, 1998.
Comité Internaciona l de Prácticas de Auditoría. Norm as Internacionales de
Auditoría, Instituto Mexicano de Contadores Públicos, 1995.
270
Contabilidad Financiera . Texto utilizado en la Facultad de C ontabilidad y
Finanzas de la Universidad de La Habana, [s.n.], [s.a.].
CORNELLA , A.: “Cómo sobreviv ir a la infoxicac ión”. Transcripción de una
conferencia pronunciada en el acto de entrega de los programas de
Formación de Posgrado del año académi co 1999-20 00.
____ ____ ____ __: “La info rmación a limenta y ahoga” en “Infonomía.com:
la empresa es informació n”, noviembre de 2 000.
COUSO, E.: “Protegiendo archivo s en Apache h ttp Serv er”, revista Giga , no.
4, La Habana, 1998.
CROWELL , D. A.: “Techniqu es for Auditing Nov ell’s Netware”, en The EDP
Auditor Journal , Volume IV, 1992.
DATE, C. J.: An Introduction to D atabase Systems, 3nd. Edition, Addison
Wesley, 1982.
DAVIS, W. S.:deHerramientas
sarrollo
CASE. Metodología estructura da para el de-
los sistemas , Ed. Paraninfo, 1992.
DOMÍNGUEZ , A.: “Segur idad en los servido res”, r evista Giga , no. 3, La Ha-
bana, 1999.
ECHENIQUE , J. A.: Auditoría en informática , McGraw-H ill. 1 990.
ENTSMINGER, G.: The Tao of Objects , 2nd . Edition, M&T Books, 1995.
GARCÍA, J. Y R. Mas: Notas de clases impartidas en la Maestría en Gestión
de la Información de la Facultad de Economía de la Universidad de La
Habana, 2002.
GUADIS, E.: “Virus altam ente destructi vo: Win95. CI H”, rev ista Giga , no. 2,
La Habana, 1999.
____ ____ _ ____ __: “Los virus ma cros. Epidemi a de fin de siglo”, re vista
Giga , no. 1., La Habana, 1998.
_______________: “Virus macro”, revista Giga , No. 3, La Habana, 19 97.
Guía No. 1. “Comprobación nacional del control interno”. Asociación
Nacional de Economistas y Contadores de Cuba y Ministerio de Fi-
nanzas y Precios.
HAMMER, M. Y P. CHAMPY: “Reingeniería ”, Grupo E d. Norma, B ogotá, 1994 .
271
HANCE, O.: Leyes y negocio s en internet, McGraw-Hill , 1996 .
HENEZEL , S.: “The Information Audit. As a First Step Towards Effective
Knowledge Manage ment: An Opportunity f or the Spe cial Libraria n”.
Trabajo presentado en el Worldwide Conference on Special
Librari anship “Global 2000”, Brighton, 16-19 de octubre de 2000.
HERNÁNDEZ , P ASCUAL E.: “Auditoría infor m ática”, revista Visión del Au ditor ,
La Paz, Bolivia, 2000.
HERNÁNDEZ , R. y otro s: Metodología de la inve stigación científica, McGraw-
Hill, 1991.
HOLMES, A. W.: Auditoría. Principio s y procedimientos, UTEHA, México,
1945.
Information Systems audit. and Control Foundation. “COBIT. Objetivos
de con trol”, Abril de 1 998, 2da ed. www.isaca.org. research@saca.org.
KENDALL , K. E. Y KENDALL , J. E.: Análisis y dise ño de sistemas, 3ra. ed.,
Prentice Hall, Pearson Educación y Addison Wesley, 1996.
KOHLER, A.: Auditing , Prentice may Inic., Englewood Cliff, 1954.
LEVIN , R. B.: Virus informáticos. Tipos, protección, diagnosis y soluciones ,
Osborne, McGra w Hill, 1991 .
LEVINE , J. Y BAROUDI , C.: The In ternet for du mmies, 2nd. Editi on, IDG Book s
Foster City, 199 4.
LI , D. H.: Auditoría en cen tros de cómputo. Objetivos, lin eamientos y pro-
cedimientos , Ed. Trillas, 1990.
MARTÍN J.: Organ ización de la s bases de datos , Prentice-Hall Internacio-

nal,, 1977
MARTÍNEZ , R.: “El virus Chernobil ataca de nuevo”, periódico Patria, Oru-
ro, Bolivia, 2000.
MEIGS, W. B.: Principios d e a uditoría , [s.n.], [s.a.].
MÉNDEZ , M. A.: “Windows 98 ante viru s inform áticos”, revista Giga , no. 5,
1999, La Habana.
Ministerio de Finanzas y Precios. Resolución No. 297/03, Cuba, 2003.
MORENO, M.: “Auditoría informática y planes de contingencia”. Tesis de
diplomatura, Universidad de Cádiz, 1995.
272
MORÍN , E.: “Por una reforma del pensamiento”, revista El Corre o de la
UNESCO, febrer o de 1996.
MORRIS, D. Y J. BRANDON : “Reingeniería. Cómo aplicarla con éxito en los
negocios”, McGraw-Hill, 1994.
NORIEGA GONZÁLEZ: “¿De compras por internet?”, r evista Giga , no. 4,

, E. Y L. 1999.
La Habana,
____ ____ _ ____ __: “Almacenes de d atos”, revista Giga , no. 3, La Haba-
na, 1998.
OLIVA DE VARONA , O.: “La protección de la infor mación y la seguridad d e los
sistemas de información.” Ponencia presentada al Congreso Informá-
tica 1998, La Habana.
OLIVA, DE LA E. y o tros: “Sistema de auditoría de fácil explo tación (SAFE)”.
Ponencia presentada al Congreso Informática 1998, La Habana.
ORNA, E.: Information Auditing , Singapore L ibraries, 1996.

PASS, C. y otros: The Harper Collins dictionary of Economics , Harper
Perennial, 1991.
PÉREZ, E.: “La actualida d de los virus: el Esperan to”, revista Giga , no. 1 , La
Habana, 1999.
_______________: “Los hackers. ¿Héroes o bandidos?”, revista Giga ,
no. 5, La Ha bana, 1999.
PFAFFENBERGER, B.: Que´s Computer User´s Dictionary , 5ta. ed, Que Corp,
1994.
QUINTERO , Y.: “Shhh , hablemo s en secreto”, revista Giga , no. 1, L a Habana ,
2000.
RICA, E.: “De la marketing en internet”, Anaya Multimedia, 1997.
SÁNCHEZ M., L. G ONZÁLEZ Y J. O. RODRÍGUEZ: “Minería de datos”, revista Giga,
no. 5, 1999, La Habana .
SIERRA, G. J. Y otros: “Sistemas expertos en contabilidad y administración
de empresas”, Ed. RA-MA, Madrid, 1 995.
TAYLOR, D. A.: “Business Eng ineerin g with Object Technolog y”, John Wiley
and Sons, 1995.
273
THORIN , M.: “La auditoría inf ormática. Métodos, reglas , n orm as”, Masson,
S. A., 1989 .
TORRENTE, T. Y B. CHACÓN : “El contro l interno. Un inst rumento eficaz p ara la
administración”, revista Auditoría y Control, no. 7, dic iembre, 2002.
VARELA , M. L.:
Ponencia “Elaboración
presentada de unaInformática
al Congreso política de 1998,
seguridad informática”.
La Habana.
VILLABRILLE , J. Y E. GUADIS: “Para evitarlos, conocerlos”, revista Giga , no. 3,
La Habana, 1999.
VILLÁN , B.: “Aplicación de técnicas de gestión de inform ación para el me-
joramiento de los contenidos de información de la In tranet del sistema
informativo de la televisión cubana”. Tesis de Maestría, Facultad de
Economía de la Universidad de La Habana, agosto de 2000.
ZABARO, L. Y C. MARTÍNEZ : Auditoría informática , CIMEX, La Haban a, 1999.
274

Auditoria y Sistemas Informatic - Blanco Encinosa, Lazaro J

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Auditoria y Sistemas Informatic - Blanco Encinosa, Lazaro J

Uploaded by

Copyright:

Available Formats

Edición: Deborah Prats López

Diseño de cubierta: Frank Herrera García

© Lázaro Jesús Blanco Encinosa, 2008

ISBN 978-95 9-07-0950-0

EDITORIAL FÉLIX VARELA

•• Introducci ón / 29p rofesionales de la actividad d e audit oría / 29

Capítulo 4 : Ca usas de riesgos. Riesgos y contro les / 47

Capítulo 5: El control interno en condiciones de informatización / 74

• Caso 7 par a medi tar / 153

Capítulo 12: Auditoría a sitios WEB / 214

L ÁZARO J. BLANCO ENCINOSA

Auditoría: El objetivo de una auditoría de estados financieros

La American Accounting Association ha preparado la siguiente defini-

Un concepto importante es el expuesto por W. B. Meigs, en su obra

Una auditoría es un examen de los estados financieros de una

Otra importante organización, el American Institute of Certified Public

El objetivo del examen ordinario de los estados financieros

El requerimiento legal para una corporación de tener sus ba-

• La auditoría com o proceso sistemático de obtención de evidencias

• nera objetiva. a del auditor, administrativa y legal, pero también

dos, como el de “Auditoría de programas” 8, donde la describe como:

[...] la evaluación de la eficiencia técnica del uso de diversos

Hernández Pascual utiliza el término “Auditoría Informática”,16 limitándolo

En otra publicación suya relativamente reciente, 19 emplea también el

Como se argumentará detalladamente más adelante, la auditoría a través

BR EVE RE SEÑA HISTÓ RICA DE LA AUDITOR ÍA

Fuente: T. H. Athey yR. W. Zmud: Introduction to Computers and Information Systems .

Los años setenta y ochenta permiten la consolidación del procesamien-

Fuente: T. H. Athey y R. W. Zmud, Introduction to Computers and Information Systems.

Los años noventa traen la eclosión de Internet y las redes mundiales

Un auditor joven graduado de la Licenciatura en Contabilidad y Fi-

1. ¿Existe una auditoría tradicional y una audit o ría informá tica?

DOCUMENTOS NORMATIVOS DE LA AUDITORÍA

nicos que se emiten

Fuente: Instituto Mexicano de Contadores Públicos. Codificación de Normas Interna-

CONOCIMIE NTOS Y HABI LIDADES NECE SARI AS

Caso 2 para m edit ar

Juan, estudiante de Contabilidad y Finanzas qu e ha terminado su pri-

1. ¿La auditoría y la informática son actividades a jenas o incomp atibles?

sus En este capítulo

CAUSAS DE R IESGO: LA CALIDAD

Fig. 4.1: Determinación de la calidad de la informatización en la entidad

Fig. 4.3. Efecto en cascada de la falta de calidad en las aplicaciones

Con ce pto g e ner al de cont r ol

Esta breve revisión indica que puede haber diferencias de matices, de

Caso 3 para m edit ar

El director de inf ormática de la corporación se encu entra con el aud i-

–Ha y mucha s violacion es de precios –le con testa el auditor–; no sé

–El problema e s que le quitan la rapide z al sistema.

1. La tarjeta que los trabajadores marcan en un reloj, para registrar su

3. ¿Qué p osiblea sus

Pr ob lem a de inves tiga ci ón 2

DEBILIDADES EN EL CONTROL INTERNO DE ALGUNOS

LOS PRINCIPIOS DE CONTROL INTERNO EN LOS

La corporación Xu bel ha adquirido un sistema info rmático pa ra pro-

ces sobre la inform ación primaria, lo q ue motivaba qu e en traran datos

1. ¿Por qué puede un a cuenta contable en un sistema informa tizado de

Pr ob lem a de inves tiga ci ón 3

MODELO S BÁSIC OS DE LOS CICL OS

Fig. 6.1. Modelo del ciclo de vida “en cascada”

Fuente: Elaboración del autor.

Este modelo de ciclo de vida se ha convertido en el clásico de la teoría

Fig . 6.2. Modelo del ciclo de vida por prototipos

Es importante también modelo basado en h erramientas C ASE . Una