AUDITORIA EN INFORMATICA Segunda edicién JOSE ANTONIO ECHENIQUE GARCIA Universidad Nacional Autonoma de México Universidad Auténoma Metropolitana McGraw-Hill MEXICO - BUENOS AIRES - CARACAS - GUATEMALA - LISBOA - MADRID NUEVA YORK - SAN JUAN + SANTAFE DE BOGOTA - SANTIAGO - SAO PAULO AUCKLAND + LONDRES - MILAN + MONTREAL + NUEVA DELHI - SAN FRANCISCO SINGAPUR - ST. LOUIS « SIDNEY - TORONTOConTENIDO AGRADECIMIENTOS sess INTRODUCCION CAPITULO 1: Concepto de auditoria en informatica y diversos tipos de auditorias Concepto de auditoria y concepto de informatica ... ess Diversos tipos de auditoria y su relacién con la auditoria en informatica Auditoria interna/extemna y auditoria contable/ financiera ... Auditoria administrativa/operacional.. Auditoria con informatica so-so Definicién de auditoria en informatica. Concepto de auditoria en informatica Campo de la auditoria en informatica Auditoria de programas... CAPITULO 2; Planeacién de la auditoria en informatica .... Fases de la auditoria..... Planeacion de la auditoria en informatica ... Revisién preliminar Revisién detallada Examen y evaluacién de la informacion Pruebas de consentimiento .... Pruebas de controles del usuario Pruebas sustantivas . Evaluacién de los sistemas de acuerdo al tiesgo Investigacién preliminar 1: Personal participante...sermesnrsenn a 30 seoritaieteania ua BO: 35 CAPITULO 3: Auditoria de la funcién de informatica Recopilacién de la informacicn organizacional ... Principales planes que se requieren dentro de la organizacién de informatica ue. Evaluacién de la estruetura orgénica Estructura orgdinica sera. Funciones .. Objetivos .. Andlisis de organizaciones.. Evaluacién de los recursos humanos Entrevistas con el personal de informitica . Situacién presupuestal y financieravi CONTENIDO Presupuestos . Recursos financieros... Recursos materiales CAPITULO 4: Evaluacién de los sistemas y disefio estructurado ..-.. Evaluacién del diseito légico del sistema Programas de desarrollo... Bases dle datos El administrador de bases de datos ... Comunicacién 102 Informes... -- 103 Anilisis de informe: 113 Ruido, redundancia, entropia , 113 Evaluacién del desarrollo del sistema ... 15 Sistemas distribuidos, Internet, comunicacién entre oficinas .. 116 Control de proyectos . 17 Control de diseiio de sistemas y programacin 119 Instructivos de operaciOn so... 132 Forma de implantacién . sew 133 Equipo y facilidades de programacién 1 133 Entrevistas a usuarios 133, Entrevistas 134 Cuestionario 134 Derechos de autor y secretos industrials. 138 Internet .. 142 Proteccién de los dere 144 Secretos industriales... 145 CAPITULO 5: Evaluacién del proceso de datos y de los equipos de cémputo... 155 Controles soso 156 Control de datos fuente y manejo de ciftas de contwol. 161 Control de operaci6n ws. 164 Control de salida .170 Control de asignacidn de trabajo... a ATA Control de medios de almacenamiento mas 1173 Control de mantenimiento soon 176 Orden en el centro de cémputo .. 2 182 Evaluacién de la configuracién del sistema de computo.. 183 Productividad .. 2 185 Puntos a evaluar en los equipos 186 CAP{TULO 6: Evaluacién de la seguridad ... noni taL Seguridad logica y confidencialidad ..-...uco 2 194Seguridad Iigica Riesgos y controles a audita: Encriptamiento.... Seguridad en el personal Seguridad Fisica Ubicacién y construccidn del centro de cémputo Piso elevado o cémara plen Aire acondicionado .. Instalacicn eléctrica y suministro de energia Seguridad contra desastres provocados por agui Seguridad de autorizacién de accesos Deteccién de humo y fuego, extintores Temperatura y humedad Seguridad en contra de virus Protecciones contra virus y elementos a auditar. Seguros .... Condiciones generales del seguro de equipo electrénico . Seguridad en la utilizacin del equipo ..o.seneon Seguridad al restaurar el equipo Plan de contingencia y procedimientos de respaldo para casos de desastre ... é Plan de contingencias Seleccin de a estrategia . 205 216 218 219 220 221 221 224 225 226 237 . 240 vo 241 247 249 251 262 CAPfTULO 7: Interpretacién de la informacién ira la interpretacidn de la informaciéi 2 270 it 270 271 272 272 276 277 Metodologia para obtener el grado de madiurez del sistema. Evaluacién de los sistemas .. Anali Evaluacién de los sistemas de informaci Evaluacién en la ejecucién .. Evaluacién en el impacto 278 Evaluacién econémica 279 Evaluacién subjetiva ss 280 Controles.. Presentacién Conclusiones .. 289 Bibliografia ... 201 indice analitico... 293 cONTENIDOINTRODUCCION En la actualidad el costo de los equipos de cémputo ha disminuido considera- blemente, mientras que sus capacidades y posibilidades de utilizacién han au- mentado en forma inversa a la reduccidn de sus costos. Aunque los costos uni tarios han disminuido (el de una computadora personal, “microcomputadora”), los costos tatales de la computacién (de equipos, sistemas, paquetes, recursos humanos, consumibles, etc.) se han incrementado considerablemente. Ello se debe a que, si bien la relacin precio /memoria es menor, el tamaio de la me- moria de los equipos y sus capacidades son mucho mayores, con procesadores y dispositivos que permiten acceso de mas datos en mucho menos tiempo y que procesan la informacién en forma mds répida (memorias RAM y ROM, discos fijos, ete.). Esto hace que, aunque se han teducido los costos, al aumentar sus capacidades y facilidades se ha incrementado el costo total, lo que ha tenido como consecuencia que los costos totales del uso no hayan disminuido en todos los casos. Las nuevas herramientas con que se cuenta (Internet, Extranet, comu- nicacién, bases de datos, multimedia, etc.) hacen que también se pueda tener acceso a mayor informacién, aunque el costo total de los sistemas, asi como la confiabilidad y seguridad con que se debe trabajar, sean muy altos. En algunas ocasiones ha disminuido el costo de las aplicaciones, pero se tiene poca productividad en relacién con la informacién y uso que se daa éstas, También se tiene poco contral sobre Ia utilizaciGn de los equipos, existe un de- ficiente sistema de seguridad tanto fisica como l6gica y se presenta una falta de confidencialidad de la informacién, Lo que se debe incrementar es la producti- vidad, el control, la seguridad y la confidencialidad, para tener la informacion necesaria en el tiempo y en el lugar adecuados para poder tomar las mejores decisiones. Los siguientes puntos de la tecnologia de informacisin son particularmente notables: + Una gran disponibilidad de hardware de computadoras muy poderosos y baratos, incluyendo la incorporacién, a través de la miniaturizacién de po- derosas capacidades, en diferentes dispositivos disefiadas para usos perso- nales y profesionales. * Una gran disponibilidad de software poderoso, barato y relativamente ac- cesible, con interfases de uso grafico. A la medida del cliente, cambio de sistemas a software preempacado. Cambio de computadoras principales (mainframe) a computadoras de uso individual 0 aumentadas como parte de redes dedicadas a compartir infor- macién, asi como computadoras corporativas con los correspondientes cam-ail iTRopUCCION bios en la naturaleza, organizacién y localizacién de actividades de los sis- temas de informacién, como el cambio a computadoras de usuario final idad de las computadoras para accesar datos en tiempo real 0 demorado, ambos en forma local o a través de acceso a facilidades remotas, incluyendo via Internet. + Captura de nuevos datos y el liderazgo en tecnologia en almacenamiento maximo para incrementar la computarizaciGn, datos/informacién en tex- tos, gréficas y video, con énfasis en la administraci6n, presentacion y comu- nicacién de informacién, utilizando aproximaciones de multimedia. * La cobertura de informacién y las teenologias de comunicacién afectan la forma en que se trabaja y se compra + Incremento del uso de Internet para unir individuos, intraorganizaciones, a través de sistemas tales como correo electrénico (E-mail), Internet, inclu- yendo world y wide web + Elincremento en el uso de Internet para conducir comunicacién entre orga nizaciones e individuos, a través de sistemas de comercio electrdnico, tales como intercambio electrénico de datos (EDI) y sistema de transferencia elec- trdnica de fondos (EFTS). * Mercadeo masivo y distribucién de productos de tecnologia de informa- cidn y servicios, tales como computadoras, software preempacado, servicio de recuperacisn de datos en linea, correo electrénico y servicios financieros. + Reduccidn de barreras de uso de sistemas, estimulando una gran penetra- cin de sistemas de informacién dentro de organizaciones de todos los ta- majias, de lucro o no lucrativas, para contadores y consejos de administra- cin, y para propdsitos estratdégicos e incremento de papeles del usuario final de computadoras + Una amplia penetracién de tecnologia de informacién, tal como diseiio de manufactura por medio de asistencia computarizada (CAD/CAM), siste- ma de imagenes por computadora, sistemas de informacién para ejecutivos (EIS) y sistemas de reuniones en forma electrnica (EMS), + Nuevas técnicas de desarrollo de sistemas, basados en tecnologias de infor- maci6n, tales como software de ingenieria de asistencia computarizada (CASE), programacién orientada a objetos y tecnologia de flujos (WORK- FLOW). * Desarrollo continuo de soporte de sistemas inteligentes, incorporando sis- temas expertos, redes neuronales, agentes inteligentes y otras ayudas de solucién de problemas. * Acceso a reingenieria de nuevos negocios, basado en la integracién efectiva de tecnologia de informacién y procesos de negocios, Une de los problemas mas frecuentes en los centros de informatica es la falta de una adecuada organizacién, que permita avanzar al ritmo de las exi- gencias de las organizaciones. A esto hay que agregar la situacién que presen- ‘tan los nuevos equipos en cuanto al uso de bases de datos, redes y sistemas de informacién, Lo anterior, combinado con la necesidad cle una eficiente planeacién estratégica y corporativa de las organizaciones, y con una descentralizacién de equipos y centralizacidn de Ja informacién, ha provocado que la complejidad de las decisiones, y las dimensiones de los problemas en cuanto ala mejor forma de organizar el érea de cémputo, requieran aplicar técnicas modernas de control y administracién. En muchos centros de informatica también se desconoce el adecuado em- pleo de herramientas administrativas, contables / financieras, tales como presu- puestos, finanzas, costos, recursos humanos, organizacién, control, ete. Esto Tepercute en una inadecuada érea de informatica que no permite tomar decisio- nes con Ias caracteristicas que deben tener las organizaciones actuales, lo cual hace que-no se cuente con los controles para asegurar que esas decisiones no se desvien de los objetivos. La proliferacién de la tecnologia de informacién ha incrementado la de- manda de control de los sistemas de informacién, como el control sobre la pri- vacidad de la informacién y su integridad, y sobre los cambios de los sistemas. ‘demas, hay una preocupacién sobre la caida de los sistemas y sobre la seguri- dad de la continuidad del procesamiento de la informacién, en caso de que los sistemas se caigan. Otra drea de preocupacién es la proliferacidn de subsistemas incompatibles y el ineficiente uso de los recursos de sistemas. Los sistemas tienen diferentes etapas, y una de ellas puede ser la utilizaciGn de las herramientas que nos proporcionan los mismos sistemas electrdnticos. Para poder evaluar un sistema de informaci6n es necesario conocerlo y contro- larlo desde su inicio, siguiendo su proceso, que puede ser manual, mecénico, electrénico, o bien la combinacién de éstos, hasta Hegar a su almacenamiento, respaldos, seguridad y eficiencia en el uso de la informacidn que proporcionan. No basta, pues, conocer una parte o fase del sistema, como pueden ser los equi- pos de cémputo, que tan séle vienen a ser una herramienta dentro de un siste- ‘ma total de informacién. La informatica ha sido un area que ha cambiado drasticamente en los tilti- mos aftos. En una generaciGn, la tecnologia ha cambiado tanto que lo que sor- prendié hace algunos afios, como la Megada del hombre a Ia Luna, o bien la creacién del horno de microondas, hoy nos parece algo muy familiar. En una década hemos visto el cambio en la organizacién de la informatica: si hace poco era.algo comin la tarjeta perforada, hoy la vemos como algo de un pasado muy remota, y consideramos como algo normal el uso de microcomputadoras y de redes, Esto ha provocado que se tengan especialistas dentro del drea de la infor- matica. Ya ne podemos pensar en el personal de informatica que podia trabajar con microcomputadores y con grandes computadoras, 0 bien en la persona que conocia en detalle sobre bases de datos y de comunicaciones. Ahora se deben de tener especialistas en cada una de las dreas. Una de éstas es la auditoria en informatica, y en ella debemos de tener especialistas para cada una de las dife- rentes funciones que se realizardn. Esto sin duda depende del tamaio del érea de la inforthatica y de la organizacién. El principal objetivo del libro es evaluar Ia funcién de la informatica desde los siguientes puntos de vista: * La parte administrativa del departamento de informatica + Los recursos materiales y téenicos del drea de informatica. * Lossistemas y procedimientos, y la eficiencia de su uso y su relacién con las necesidades de la organizacién. iTRooUccIONINTRODUCCION Es conveniente precisar y aclarar que la funcién de la auditoria en informa- tica se ubica dentro del contexto de la organizacién, dependiendo de su tamaiio y caracteristicas. La profundidad con la que se realice, dependerd también de las caracteristicas y del niimero de equipos de cémputo con que se cuente. El presente libro sefiala un panorama general, pero habré que adecuar éste y pro- fundizar de acuerdo a la organizacin de que se trate y de los equipos, software y comunicacién que se auditen. Para cualquier comentario sobre esta obra, los lectores pueden dirigirse ala direccién del autor en Internet: jaeg@correo.uam.mxConcepto de auditoria en informatica y diversos tipos de auditorias CAPITULO Osyetivos Al finalizar este capitulo, usted: 1, Analizaré los conceptos de auditoria e informatica. 2. Conocerd los diversos tipos de auditoria y su relacién con la auditoria en informatica. 3. Expondré cuales son las técnicas avanzadas que se utilizan en la auditoria con informatica. 4. Describira las habilidades fundamentales que debe tener todo auditor de in- formatica. 5. Definird cual es el campo de la auditoria en informatica. 6. Explicard cuales son los principales objetivos de la auditoria en informatica.‘CAPITULO 1 CONCEPTO DE ‘AUDITORIA EN INFORMATICA Y DIVERSOS TIPOS DE AUDITORIAS. Definiciones Concerto DE AUDITORIA Y CONCEPTO DE INFORMATICA Auditorfa, Con frecuencia la palabra auditorfa se ha empleado incorrectamen- te y sele ha considerado como una evaluacién cuyo tinico fin es detectar errores y Sefalar fallas, Por eso se ha Wegado a usar la frase “tiene auditoria” como sinénimo de que, desde antes de realizarse, ya se encontraron fallas y por lo tanto se esté haciendo la auditoria. El concepto de auditoria es mas amplio; no sélo detecta errores: es un examen critico que se realiza con objeto de evaluar la eficiencia y eficacia de una secci6n o de un organismo, y determinar cursos alternatives de accién para mejorar la organizacién, y lograr los abjetivos pro- puestos. La palabra auditoria viene del latin auditorius, y de ésta proviene “auditor”, el que tiene la virtud de oir; el diccionario lo define como “revisor de cuentas colegiado! El auditor tiene la virtud de ofr y revisar cuentas, pero debe estar encaminado a un objetivo especifico, que es el de evaluar la eficiencia y eficacia con que se esté operando para que, por medio del sefialamiento de cursos alter- nativos de accién, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuacién. Si consultamos nuevamente el diccionario encontramos que eficacia es: “vir~ tud, actividad, fuerza, para poder obrar mientras que eficiencia es: “virtud y facultad para lograr un efecto determinado”, es decir, es el poder lograr lo pla- neado con los menores recursos posibles, mientras que eficacia es lograr los objetivos. El Bolettn C de normas de auditoria’ de! Instituto Mexicano de Contadores nos dice: La auditoria no es una actividad meramente mecinica que implique la aplicacisn de ciertos procedimientos cuyos resultados, una vez llevados a cabo, son de cardc- ter indudable. La auditoria requiere-el ejercicio de un juicio profesional, sétido y maduro, para juzgar los procedimientos que deben de seguirse y estimar los resul- tados obtenidos. Asi como existen normas y procedimientos especificos para Ia realizacién de auditorias contables, debe haber también normas y procedimientos para la realizacién de auditorfas en informatica como parte de una profesicn, Estas pueden estar basadas en las experiencias de otras profesiones, pero con algunas caracteristicas propias y siempre guidndose por el concepto de que la auditoria debe ser mas amplia que la simple detecciGn de errores, y que ademas la audito- ' Nueww Diccionario Espaiiol Sopens = tert ® Normas y procedimientos de audiforia, {nstituta Mexicano de Contadores Puiblicos.ta Facultad de Contaduria y Administracién (CIFCA) de la Universidad Auténoma de México:' ‘existe una sola concepcién acerea de qué es informatica; etimolégicamente, la bra informatica deriva del francés informatique, Este neologismo proviene de Ia conjuneicn de information (informacién) y automatique (automstica). Su creacién -estimulada por la intencisn de dar una alternativa menos tecnoeratica y menos nicista al concepta de “proceso de datos”. ia del tratamiento sistematico y eficaz, realizado especialmente mediante nas autométicas, de la informacién contemplada como vehiculo del saber sno y de 1a comunicacién en los dmbitos ténico, econémico y social. Hacia principios de los setenta ya eran claras las limitaciones de esta defini- . sobre todo: por el hincapié en el uso de las maquinas. El principal esfuerzo amental de Informatica (IB1), en aquel tiempo 6rgano asociado ala ©. Este organismo, a través de los comités expertos convocados para ormulé en 1975 esta definicién: ién racional, sistemdtica de la informacién para el desarrollo econémico, ¥ politico, IBI también dio en esa época una descripeién del concepto de informati- g, aunque no constituye una definicidn formal, resulta muy descriptiva: de los sistemas inteligentes de informacisn. ‘algunas ocasiones se han empleado como sinénimos los conceptos de es6 electrdnico, computadora ¢ informatica. El concepto de informatica es amplio, ya que considera el total del sistema y el manejo de la informacién, ual puede usar los equipos electrénicos como una de sus herramientas. Bolen del Centro de Informatica de ta FCA de ta UNAM, nim. 99, vol. 11, mayo de 1984. CONCERTO DE AUDITORIA ¥ ‘CONCEPTO DE INFORMATICAcapiTuLo 1 CONCEPTO DE También es comtin confundir el concepto de dato con el de informacidn, La ‘informacién es una serie de datos clasificados y ordenados con un objetivo co- muin. El dato se 1efiere tinicamente a un simbolo, signo o a una serie de letras 0 auorronia nuimeros, sin un objetivo que dé un significado a esa serie de simbolos, signos, EN INFORMATICA Y DIVERSOS TIPOS letras o ntimeros. DE AUDITORIAS.» La informacién esta orientada a reducir la incertidumbre del receptor y tie- — y e la caracteristica de poder duplicarse pricticamente sin costo, no se gasta. Ademés no existe por si misma, sino que debe expresarse en algtin objeto (pa- Pel. cinta, etc,); de otra manera puede desaparecer o deformarse, como sucede a son la comunicacién oral, lo cual hace que la informacién deba ser controlada debidamente por medio de adecuados sistemas de seguridad, confidencialidad y respaldo. La informacidn puede comunicarse, y para elle hay que lograr que los me- dios de seguridad sean evades a cabo después de un adecuado examen de la forma de transmision, de la eficiencia de los canales de comunicaci6n{l trans- misor, el receptor, el contenido de la comunicacisn, la redundancia y el ruidg) | __ La informacisn ha sido dividida en varios niveles. El primero es el nivel a los aspectos de eficiencia y capacidad de los canales de Gon desde el punto de tivo y de la parte ética, o sea considera cuai do, dénde y a quién s destina la informacién o cage se le dé. La inform: tica debe abarcar los cuatro niveles de informacion. En el cuarto nivel tenemos una serie de aspectos importantes, como la parte legal del uso de la informacién, los estudios que se han hecho sobre la Karle d de la infor Ta crecisn de la ética en informatica, que no sélo debe incluir a los profesionales t-0e"* datos, los sistemas de comunicacién y los sistemas de informacién, que van a complementar el concepto de informatica y su campo de accidn,Diversos TIPOS DE AUDITORIA 2 oP pienso 10s De Y SU RELACION CON LA AUDITORIA Fy, ean ce EN INFORMATICA UX AUDITORIA EN INFORMATICA Avorroria INTERNA/EXTERNA Y AUDITORIA CONTABLE/FINANCIERA El Boletin E-02 del Instituto Mexicano de Contadores® senala respecto al control interno: El estudio y evaluacién del control intema fe efectiia con el objeto de cumplir con la norma de ejecucién del trabajo que requiere que: el auditor debe efectuar un estudio y evaluacién adecuados de! control interno existente, que le sirvan de base pthc ae para determinar el grado de confianza que va a depositar en él, asi mismo, que le - permitan determinar la naturaleza, extensin y oportunidad que va a dar a los procedimientos de auditoria. El control interno comprende el plan de organizacin y todos los métodos y') Definicién y procedimientos que en forma coordinada se adoptan en un negocio para salva-\' objetivos del guardar sus activos, verificar la razonabilidad y confiabilidad de su informacién | control Interna financiera, promover la eficiencia operacional y provocar la adherencia a las poli-_ ticas prescritas por la administracién Objetivos basicos del control interno. De lo anterior se desprende que los cua- tro objetives basicos del control interno son: ~ + La proteccién de los actives de la empresa. Se * Laobtencién de informacién financiera veraz, confiable y oportuna. + La promocién de Ia eficiencia en la operacién de! negocio Vue Lograr que en la ejecucién de las operaciones se cumplan las politicas esta- \) blecidas por los administradores de la empresa. Se ha establecido que los dos primeros objetivos abarcan el aspecto de con- troles internos contables y los dos tiltimos se refieren a controles internos admi- nistrativos. Objetivos generales del control interno. El control interno contable compren- de el plan de organizacién y los procedimientos y registros que se refieren a la proteccién de los activos y a la confiabilidad de los registros financieros. Por lo * Boletin E-02, Normas y procedimientes de auditoria, Instituto Mexicano dle Contadores PublicoscapituLo 1 CONCEFTO DE AUDITORIA EN INFORMATICA ‘¥ DIVERSOS TIPOS DE AUDITORIAS tanto, estd disefiado en funcién de los objetivos de la organizacién para ofrecer seguridad razonable de que las operaciones se realizan de acuerdo con las nor- mas y politicas sefaladas por la administracién. Cuando hablamos de los objetivos de los controles contables intemnos pode- mos identificar dos niveles: A) Objetivos generales de control interno aplicables a todos los sistemas B) Objetivos de control interno aplicables a ciclos de transacciones Los objetivos generales de control aplicables a todos los sistemas se desa- rrollan a partir de los objetivos bésicos enumerados anteriormente, y son mas especificos, para facilitar su aplicaciGn. Los objetives de control de ciclos se de- sarrollan a partir de los objetivos generales de control de sistemas, para que se apliquen a las diferentes clases de transacciones agrupadas en un ciclo. @Los objetivos generales de control interno de sistemas pueden resumirse a continuacién. Objetivos de autorizacién Todas las operaciones deben realizarse de acuerdo con autorizaciones genera- les o especificaciones de la administracién. Las autorizaciones deben estar de acuerdo con criterios establecidos por el nivel apropiado de la administraci6n. Las transacciones deben ser validas para conocerse y ser sometidas oportu- namente a su aceptacién. Todas aquellas que retinan los requisitos establecidos por la administracién deben reconocerse como tales y procesarse a tiempo. Los resultados del procesamiento de transacciones deben comunicarse oportunamente y estar respaldados por archivos adecuados. Objetivos dei procesamiento y Clasificacion de transacciones Todas las operaciones deben registrarse para permitir la preparacidn de esta- dos financieros en conformidad con los principios de contabilidad general- mente aceptados, o con cualquier otro criterio aplicable a los estados y para mantener en archives apropiados los datos relatives a los activos sujetos a custodia. Las transacciones deben clasificarse en forma tal que permitan la prepara- cin de estados financieros en conformidad con los principios de contabilidad generalmente aceptados segiin el criterio de la administracién. Las transacciones deben quedar registradas en el mismo periodo contable, suidando de manera especifica que se registren aquellas que afectan mas de un ciclo.Objetivo de salvaguarda fisica Elacceso a los activos slo debe permitirse de acuerdo con autorizaciones de la administracién. Objetivo de verificacién y evaluacién Los datos registrados relatives a los activos sujetos a custodia deben comparar- secon los activas existentes a intervals razonables, y se deben tomar las medi- das apropiadas respecto a las diferencias que existan, Asimismo, deben existir controles relativos a la verificacion y evaluacién periddica de los saldos que se incluyen en los estados financieros, ya que este objetivo complementa en forma importante los mencionados anteriormente. Estos objetivos generales del control interno de sistemas son aplicables a todos los ciclos. No se trata de que se usen directamente para evaluar las técni- cas de control intemo de una organizacién, pero representan una base para desarrollar abjetivos especificos de control interno por ciclos de transacciones que sean aplicables a una empresa individual. El érea de informatica puede interactuar de dos manerasen el control inter- no. La primera es servir de herramienta para llevar a cabo un adecuade control interno, y la segunda es tener un control interno del area y del departamento de informatica Enel primer caso se Heva el control interno por medio de la evaluacién de una organizacién, utilizando la computadora como herramienta que auxiliard en el logro de los objetivos, lo cual se puede hacer por medio de paquetes de auditoria, Esto debe ser considerado como parte del control interno con infor- mitica, En el segundo caso se lleva a cabo el control interno de informatica. Es decir, como se sefala en los objetivos del control interno, se deben proteger adecuadamente los activos de la organizacién por medio del control, para que se obtenga la informacién en forma veraz, oportuna y confiable, para que se mejore la eficiencia de la operacién de la organizacién mediante la informatica, y para que en Ia ejecucin de las operaciones de informatica se cumplan las politicas establecidas por la administracidn: todo ello debe ser considerado como control interno de informatica. AL estudiar los objetivos del control interno podemos ver en primer lugar que, aunque en auditoria en informatica el abjetive es mas amplio, se deben fener en cuenta los objetives generales del control interno aplicables a todo ci- clo de transacciones. La auditoria en informatica debe tener presentes los objetivos de autoriza- cién, procesamiento y clasificacién de transacciones, asi como los de salvaguar- da fisica, verificacién y evaluacién de los equipos y de la informacién. La dife- rencia entre los objetivos de control intemo desde un punto de vista contable financiero es que, mientras éstos estén enfocados a la evaluacién de una organi- zacién mediante la revisién contable financiera y de otras operaciones, los obje- tivos del contro! interno en informatica estan orientados a todos los sistemas en DIVERSOS TIPOS DE AUDITORIA ¥ SU RELACION CON, UA AUDITORIA EN INFORMATICA 7