UNIVERSIDAD DE ORIENTE

NCLEO DE ANZOTEGUI
ESCUELA DE INGENIERA Y CIENCIAS APLICADAS
DEPARTAMENTO DE COMPUTACIN Y SISTEMAS
APLICACIN Y AUDITORA DE SISTEMAS DE INFORMACIN

Metodologas de Auditora y
Control Interno

Profesora: Bachilleres:

Yesenia Persad Velsquez, Greicys CI: 18.586.759

Ramrez, Reneymil CI: 20.106.130
Garca, Gnesis CI: 20.360.815
Mejas, Arturelys CI: 22.572.229
Seccin: 01

Barcelona, Noviembre de 2014

 METODOLOGAS DE CONTROL INTERNO Y AUDITORA INFORMTICA

Al analizar las diferentes metodologas, debe entenderse que una

metodologa consiste en investigar los diferentes mtodos que se pueden emplear
para llevar a cabo alguna actividad.

Debido a la complejidad de la informtica es necesario utilizar metodologas

en las diferentes reas que la componen. De acuerdo a la experiencia adquirida
por las personas en la realizacin de sus labores, estas desarrollaran diferentes
metodologas que evidencien la manera como entienden las tareas que realizan
en lo que respecta al mbito profesional.

Es importante la implementacin de metodologas en las empresas debido

a que los empleados al regirse por estas metodologas lograran resultados afines,
a pesar de que los grupos sean numerosos y diversos estos guindose por una
metodologa lograran la unificacin en el equipo y el alcance de los resultados
previstos.

A principio de los aos ochenta se dan a conocer diferentes metodologas

en el campo de la auditoria y el control informtico. El nacimiento de la informtica
se dio casi a la par con el nacimiento de la auditoria, una de las disciplinas que se
ha llevado a cabo de manera consecutiva es la seguridad de los sistemas de
informacin, esto no es ms que saber diferenciar la seguridad informtica de lo
que es la seguridad lgica del sistema.

La seguridad de los sistemas de informacin es una actividad que evala y

supervisa los riesgos informticos, accin de la cual la auditoria forma parte
importante. La seguridad informtica en una institucin debe ser vital y debe
evaluarse con objetividad y detalle, para asegurar la calidad y mantener con
eficacia las acciones y medidas que protegen la informacin de la empresa y sus
medios de procesos.
 La informtica en una entidad es favorable pero tambin representa un
riesgo para la misma, por lo tanto se debe tener bajo evaluacin y supervisin la
eficiencia y veracidad de la informacin, para as saber realmente acerca de sus
debilidades y entonces reforzarlas o mejorarlas, siendo esto una de las tareas del
auditor.

Tipos de metodologas

Metodologas cuantitativas
En esta metodologa se utiliza una lista de riesgos que contiene valores
numricos. Las metodologas cuantitativas se basan en el control de los riesgos,
analizando valores numricos que a su vez son datos que se extraen mediante
registros de probabilidad y deben ser suficientemente grandes, es decir, tender al
infinito.

Esta metodologa se da mediante clculos que le son de gran ayuda al

mtodo por lo que se hace aceptable. Existen diferentes coeficientes que
permiten elegir entre las diferentes contramedidas en un anlisis de riesgo.

Se presentan dos inconvenientes significativos para estas metodologas

que son su probabilidad de ocurrencia por la ausencia de registros y adems el
poco valor que se le da en todo el mundo y la posibilidad o dificultad de mantener
bajo evaluacin econmica todos los impactos que podran presentarse ante la
ventaja de emplear un modelo matemtico para el respectivo anlisis.

Metodologas cualitativas
Esta metodologa presenta mtodos que no incluyen lgicas matemticas.
Requieren de personal especializado y es por esto que a su vez requiere menos
recurso humano en comparacin con la metodologa cuantitativa.
 Diferencias y similitudes entre las metodologas cualitativas y cuantitativas
Diferencias
Diferencias
Metodologas cualitativas Metodologas cuantitativas
Se basan en el razonamiento humano Se basan en un modelo matemtico
capaz de definir un proceso de trabajo. numrico que ayuda a la realizacin del
trabajo.
Esta metodologa deja ver todo aquello Esta metodologa se lleva a cabo
que se desea. mediante la utilizacin de nmeros.
Tiene que ver con factores intangibles. Es probable que los datos obtenidos
dependan de datos fiables inexistentes.
A la hora de ejecutar el trabajo los Ofrece cifras que justifican cada
planes de ejecucin son tanto flexibles contramedida.
como reactivos.

Se requiere profesionalismo en el Las prdidas potenciales solo se pueden

personal que maneja el mtodo. obtener si son valores cuantificables.

Debido a que no aplica probabilidades Son metodologas difciles de mantener y

complejas y de clculos se identifican de someter a modificaciones.
mejor manera los eventos.

Similitudes
Ambas van encaminadas a establecer y mejorar un entramado de contramedidas
que garanticen que la probabilidad de amenazas sea lo ms baja posible o al
menos quede reducida de una forma razonable en costo-beneficio, otra similitud
es que tambin dependen de un profesional.

Sntesis:

Para la seguridad de los sistemas en las organizaciones, las metodologas

de evaluacin de sistemas son necesarias para desarrollar de manera ordenada y
eficaz un plan de seguridad, en ese sentido las metodologas existentes para tal
fin son de dos tipos las metodologas cuantitativas que estn basadas en un
modelo numrico que ayuda a la realizacin del trabajo, y las metodologas
cualitativas basadas en el criterio y raciocinio humano capaz de definir un proceso
de trabajo, para seleccionar en base a la experiencia acumulada.

Ventajas y desventajas de las metodologas cualitativas y cuantitativas

Ventajas
Metodologas cualitativas Metodologas cuantitativas
Enfoca lo ms amplio, plan de trabajo Enfoca pensamientos mediante uso de
flexible y reactivo. nmeros.

Se concentra en la identificacin de Facilita la comparacin de

eventos, incluye factores intangibles. vulnerabilidades muy distintas,
proporciona una cifra justificante para
cada contramedida.

Desventajas
Metodologas cualitativas Metodologas cuantitativas
Depende fuertemente de la habilidad y La estimacin de probabilidades
calidad del personal involucrado. depende de estadsticas fiables
inexistentes.
Puede excluir riesgos significantes Estimacin de las prdidas potenciales
desconocidos. solo si son valores cuantificables.
Identificacin de eventos reales ms Metodologas estndares difciles de
claros al no tener que aplicar mantener o modificar.
probabilidades complejas de calcular,
dependen de un profesional.

Sntesis:
 Ambas metodologas estn diseadas para identificar riesgos de un evento
y dependen de un profesional, la metodologa cuantitativa asigna valores
numricos a la probabilidad de ocurrencia, con el propsito de estudiar con
mtodos estadsticos posibles relaciones entre las variables, aunque en la prctica
la asignacin del valor numrico es aproximada subjetivamente, teniendo as por
una parte carcter cualitativo. Mientras que la metodologa cualitativa depende
fuertemente de la habilidad y calidad del personal involucrado, para proceder
luego a su interpretacin.

No obstante, como la metodologa cuantitativa pretende generalizar los

resultados de un registro de incidencias, presenta inconvenientes porque los
registros estadsticos de incidentes son escasos y tambin la poca fiabilidad de los
mismos a nivel mundial por varios motivos, lo que hace que el rigor cientfico de
los clculos sea pobre, por otro lado la imposibilidad de evaluar econmicamente
todos los impactos que pueden ocurrir al usar un modelo matemtico. Por el
contrario, la metodologa cualitativa no insiste en la representacin, por lo tanto
identifica eventos reales ms claros. Aunque puede excluir riesgos significantes
desconocidos, lo que puede deberse al carcter subjetivo de esta metodologa,
depende de la capacidad del profesional para usar elementos de ayuda como
listas de verificacin, etc., que reduzcan esas posibilidades.

Puede deducirse que la seleccin de la metodologa a utilizar depende de

cada profesional, de su forma de entender su trabajo, dicha escogencia est
ligada a su experiencia profesional.

En perspectiva propia puede decirse que la metodologa cuantitativa es la

mejor a implementar en lneas generales, en conformidad con sus caractersticas y
las ventajas de su aplicacin entre ellas de que tienen su fundamento en modelos
matemticos, siendo la manera cmo afronta sus problemas de validez externa a
travs del criterio objetivo de magnitudes numricas, adems de tener cierta parte
cualitativa como el aproximar los resultados de forma subjetiva para ayudar a
elegir el mtodo adecuado lo cual en ese sentido se considera aceptable, por lo
tanto constituye la metodologa ms adecuada.

Metodologas de anlisis de riesgos

Desarrollada para la identificacin de la falta de controles y el

establecimiento de un plan de seguridad.

Esquema bsico de una metodologa de anlisis de riesgos:

Sntesis:

Esta metodologa nos permite visualizar los diferentes riesgos que se

presentan en determinada organizacin, en funcin a las actividades que esta
realiza diariamente, el anlisis de riesgos en conjunto con diferentes herramientas
permiten elegir de manera oportuna y precisa el plan de seguridad para afrontar
los riesgos de la mejor forma posible, como ayuda fundamental emplea el
cuestionario a travs del cual se identifican las diferentes vulnerabilidades y
riesgos para seguidamente evaluar el impacto de estos, identificando luego las
contramedidas y el costo asociado, por medio de la simulacin que es donde se
emplea la metodologa bien sea cuantitativa o cualitativa se genera el anlisis del
efecto de los distintas contramedidas en cuanto a la prevencin o disminucin de
los diferentes riesgos existentes.

Plan de contingencias

Un plan de contingencia: es una estrategia planificada por un conjunto de

recursos de respaldo, una organizacin de emergencia y unos procedimientos de
actuacin encaminados a conseguir una restauracin progresiva y gil de los
servicios de negocios, afectados por una paralizacin total o parcial de la
capacidad operativa de la empresa.

Existen dos tipos de plan de contingencias, estos son: plan de

contingencias informticas y plan de contingencias corporativo.

El plan de contingencias informtica se diferencia del plan de contingencias

corporativo en que este cubre solamente la informtica mientras que el corporativo
todos los departamentos de una entidad, y puede incluir tambin el informativo
como un departamento ms.
Los planes de contingencia se desarrollan mediante tres fases:

o Primera fase: anlisis y diseo.

sta es la fase ms importante, con esta se puede llegar a la conclusin de
que no es viable o si es muy costoso su seguimiento.
Aqu se evalan dos familias metodolgicas, Risk Analisis y las de
Bussines Impact.
Esta fase estudia la problemtica, la necesidad de los recursos, alternativas
de respaldo y el coste y beneficio de las mismas.
 o Segunda fase: desarrollo del plan.
En todas las metodologas esta fase es muy parecida a la siguiente debido
a que en ella se desarrolla la estrategia seleccionada para luego ser implantada
con cada una de las acciones previstas.

o Tercera fase: pruebas y mantenimiento.

En esta fase se definen las pruebas para comprobar que funcionan y se
instruye al personal que realiza dicho trabajo.

Las metodologas de plan de contingencia son aplicadas por fases para

permitir un mejor manejo y control de cada actividad. En la primera fase se disea
el plan, en la siguiente fase se desarrolla y finalmente se ejecuta y adems se
capacita al personal para trabajarlo y mantenerlo adecuadamente.

Metodologas de auditora informtica

En la auditora informtica existen dos familias distintas, las auditorias de

controles generales y las metodologas de los auditores internos.
Las metodologas de auditora informtica son del tipo cualitativo/subjetivo.

Auditoras de Controles Generales: Dan una opinin sobre la habilidad

de los datos del computador para la Auditoria financiera, cuyo resultado es
un informe donde se destacan las vulnerabilidades encontradas. Tiene
apartados para definir pruebas y anotar sus resultados.
Auditoras Internas: Esta formada por recomendaciones de Plan de
trabajo; deber realizar cuestionarios y definir cuantas pruebas estime
oportunas; adems debe crear sus metodologas necesarias para auditar
reas o aspectos que defina en el plan auditor.
Para qu se usa cada una?
 Auditorias de controles generales Metodologas de los auditores internos
Se usan para generar una opinin Tambin cumple la misma funcin de
sobre la fiabilidad de los datos del las auditorias de controles generales
computador, basadas en pequeos pero son diseadas por el propio
cuestionarios estndares que dan como auditor.
resultado informes muy generalistas.

Sntesis:
La auditoria de controles generales y la auditora interna, aplicadas a los
procesos y la informacin de un sistema, se efectan con el propsito de evaluar
en su totalidad la situacin de una organizacin en diferentes aspectos,
dependiendo del conjunto de actividades que esta realice, permitindole obtener
mediante estas metodologas de auditora un seguimiento a partir de la
informacin obtenida basados en las deficiencias o debilidades que posee la
organizacin con respecto a sus procesos financieros.

Plan Auditor Informtico

Constituye el esquema metodolgico del auditor informtico. Este

documento debe estar cnsono con el plan auditor del resto de los auditores de la
entidad y dicho documento describe lo siguiente:

- Funciones: descripcin de las funciones y la organizacin del

departamento incluyendo todos los recursos.

- Procedimientos para las distintas tareas de las auditorias:

procedimientos de apertura, el de entrega y discusin de debilidades,
entrega de informe preliminar, cierre de auditora, redaccin de informe
final.

- Tipos de auditora: incluye las diferentes metodologas y cuestionarios que

se llevarn a cabo en funcin al tipo de auditora a realizar)
 - Sistema de evaluacin: radica en evaluar el nivel de gestin econmica,
de recursos humanos, cumplimiento de normas, que permitan evaluar de
forma global toda la auditoria.

- Nivel de exposicin.

- Lista de distribucin de informes.

- Seguimiento de acciones correctoras.

- Plan quinquenal: las reas a auditar deben corresponderse con

cuestionarios metodolgicos y deben repartirse en cuatro o cinco aos de
trabajo. Deber componer anualmente el plan de trabajo anual.

- Plan de trabajo anual.

Control Interno Informtico

Como principales objetivos del Control Interno Informtico, podemos indicar

los siguientes:
Inspeccionar que todas las actividades se realizan cumpliendo los
procedimientos y normas fijados, evaluar su bondad y asegurarse del
cumplimiento de las normas legales.
Asesorar sobre el conocimiento de las normas.
Colaborar y apoyar el trabajo de Auditora Informtica, as como de las
auditoras externas al grupo.
Definir, implantar y ejecutar mecanismos y controles para comprobar el
logro de los grados adecuados del servicio informtico, lo cual no debe
considerarse como que la implantacin de los mecanismos de medida y la
responsabilidad del logro de esos niveles se ubique exclusivamente en la
 funcin de Control Interno, sino que cada responsable de objetivos y
recursos es responsable de esos niveles, as como de la implantacin de
los medios y medidas adecuadas.

Diferencias entre el Control Interno Informtico y la Auditoria

Informtica

Las diferencias entre las funciones del control interno informtico y las de
la auditora informtica son:

- El rea informtica monta los procesos informticos seguros.

- El control interno monta los controles.
- La auditora informtica evala el grado de control.

Herramientas de control

Los diferentes riesgos de la informtica crean lo que son las contramedidas

las cuales se ejecutan con la finalidad de proteger la entidad. Estas
contramedidas se componen de lo que serian los estndares polticos, los
usuarios informticos, el hardware, el software, as como tambin los planes,
funciones o procedimientos.

Las herramientas de control permiten definir los procedimientos de control

para cumplir las normativas y objetivos de control.

Las herramientas de control se emplean con la finalidad de mejorar los

componentes o factores de las contramedidas, los cuales no mejoran a la par pero
a medida que se vayan aplicando los planes de seguridad los planes de control
sern superiores al anterior.
 Las herramientas de control ms frecuentes son las de control interno y
auditoria informtica, la primera tiene que ver con los procedimientos de control
que se dan da a da mientras que la auditoria informtica por otro lado tiene como
funcin evaluar una variedad de aspectos que tienen que ver con su plan auditor,
el cual posee fases de trabajo que se llevan a cabo con objetivos concretos y
despus de este se dejan ver los informes con los resultados obtenidos.

CONCLUSIONES
 Las metodologas siguen una secuencia de pasos ordenados para
llegar a un resultado. Existen diversas metodologas para desarrollar
cualquier proyecto, los profesionales hacen uso de estas
metodologas basndose en su experiencia y en la manera de cmo
conciben su trabajo.

Los planes de contingencia son estrategias planificadas dirigidas a

conseguir una restauracin de los servicios de negocios que han sido
afectados de alguna manera por la capacidad operativa de la
empresa.

La informtica es un rea compleja que requiere la aplicacin de

metodologas para su buen funcionamiento.

Para la seguridad de los sistemas de informacin se evalan y

supervisan los riesgos informticos a los que puede enfrentarse el
sistema. La seguridad informtica en una institucin debe ser vital y
debe evaluarse con objetividad y detalle para asegurar y mantener la
eficacia de las acciones y medidas que protegen la informacin de la
empresa y sus medios de procesos.

La auditora informtica comprende una serie de elementos

resaltantes uno de ellos lo conforman los especialistas, los cuales
verifican el buen desenvolvimiento de los procesos de los sistemas,
comprueban que sean seguros y efectivos, adems que cumplan con
una normativa.

El control interno proporciona seguridad en cuanto al seguimiento de

los objetivos alimentando la eficiencia mediante una serie de
acciones que conducen a un resultado. As mismo, el control interno
informtico controla que la realizacin de las actividades cumpla con
 los procedimientos y normativas fijados, del mismo modo que evala
y asegura el cumplimiento de las normas legales.

Al hablar de metodologas de control interno y de auditora

informtica es importante conocer los conceptos y como se
desarrollan tales metodologas, el contexto en el que pueden
aplicarse la variedad de mtodos que conllevan y como ejecutar con
xito sus determinadas tareas.

El auditor informtico cuenta con un esquema metodolgico que para

l es el ms importante pues contempla lo que es el plan auditor,
dicho plan hace referencia a su funcin y trabajo en la organizacin,
por tanto debe ser un profesional de gran nivel de experiencia y
formacin, capaz de dictar recomendaciones tcnicas, operativas y
jurdicas, logrando as que su desempeo como profesional se
consolide en la organizacin.

Los procedimientos de control se valen de las herramientas de

control las cuales generan lo necesario para cumplir con las normas
y objetivos de control.